Sur le principe des clés privés, clés publics.
Dans mes souvenirs de cours, (il y a un petit moment maintenant), le systéme
est simple.
Si on a un message "A" et une clé public "B", on applique la clé au message
pour obtenir un message crypté "C".
Puis avec la clé privé "D" on recuper le message en clair "E".
A -> (B) -> C
C -> (D) -> E
Et donc A et E sont identique.
Question :
Dans l'hypothése où pour tout message "C" données on puisse récupé le
message "E" (example un boite noire ou circuit electronique)
peut-il exister des message "C" qui met la securite de cle prive en danger,
comme un message entierement a 0, ou avec juste certains bits a 1.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Laurent Jumet
Hello !
"Nathan NAU" wrote:
Sur le principe des clés privés, clés publics. Dans mes souvenirs de cours, (il y a un petit moment maintenant), le systéme est simple. Si on a un message "A" et une clé public "B", on applique la clé au message pour obtenir un message crypté "C". Puis avec la clé privé "D" on recuper le message en clair "E". A -> (B) -> C C -> (D) -> E Et donc A et E sont identique.
Question : Dans l'hypothése où pour tout message "C" données on puisse récupé le message "E" (example un boite noire ou circuit electronique) peut-il exister des message "C" qui met la securite de cle prive en danger, comme un message entierement a 0, ou avec juste certains bits a 1.
Oui. On recommande de ne pas fournir un matériel original/cyphertext simplifié, qui pourrait servir de base de travail pour une attaque.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Hello !
"Nathan NAU" <nathan@actisens.com> wrote:
Sur le principe des clés privés, clés publics.
Dans mes souvenirs de cours, (il y a un petit moment maintenant), le systéme
est simple. Si on a un message "A" et une clé public "B", on applique la
clé au message pour obtenir un message crypté "C". Puis avec la clé privé
"D" on recuper le message en clair "E". A -> (B) -> C C -> (D) -> E Et donc
A et E sont identique.
Question :
Dans l'hypothése où pour tout message "C" données on puisse récupé le
message "E" (example un boite noire ou circuit electronique)
peut-il exister des message "C" qui met la securite de cle prive en danger,
comme un message entierement a 0, ou avec juste certains bits a 1.
Oui. On recommande de ne pas fournir un matériel original/cyphertext simplifié, qui pourrait servir de base de travail pour une attaque.
--
Laurent Jumet - Point de Chat, Liège, BELGIUM
KeyID: 0xCFAF704C
[Restore address to laurent.jumet for e-mail reply.]
Sur le principe des clés privés, clés publics. Dans mes souvenirs de cours, (il y a un petit moment maintenant), le systéme est simple. Si on a un message "A" et une clé public "B", on applique la clé au message pour obtenir un message crypté "C". Puis avec la clé privé "D" on recuper le message en clair "E". A -> (B) -> C C -> (D) -> E Et donc A et E sont identique.
Question : Dans l'hypothése où pour tout message "C" données on puisse récupé le message "E" (example un boite noire ou circuit electronique) peut-il exister des message "C" qui met la securite de cle prive en danger, comme un message entierement a 0, ou avec juste certains bits a 1.
Oui. On recommande de ne pas fournir un matériel original/cyphertext simplifié, qui pourrait servir de base de travail pour une attaque.
-- Laurent Jumet - Point de Chat, Liège, BELGIUM KeyID: 0xCFAF704C [Restore address to laurent.jumet for e-mail reply.]
Francois Grieu
Dans l'article <4469845e$0$299$, "Nathan NAU" a écrit sensiblement:
Sur le (chiffrement à) clés privées, clés publiques (..) Si on a un message "A" et une clé publique "B", on applique la clé au message pour obtenir un message crypté "C". Puis avec la clé privée "D" on récupère le message en clair "E". A -> (B) -> C C -> (D) -> E (avec E = A)
Question : Dans l'hypothèse où pour tout message "C" donné on peut récupérer le message "E" (exemple un boite noire ou circuit electronique) peut-il exister des messages "C" qui mettent la sécurite de la clé privée en danger, comme un message entièrement a 0, ou avec juste certains bits a 1.
C'est une question fort intéressante. Je ne crois pas qu'il y ait de réponse indépendante du cryptosystème. Dans le cas de RSA utilisé pour du chiffrement, même si l'adversaire peut décriffrer des messages qu'il a choisi (avec la boite noire RSA) - pour autant que l'on le sache, la confidentialité de la clé secrète (ou d'informations directement équivalentes permettant la factorisation du module public) n'est pas directement compromise; - mais bien sur, le confidentialité des messages chiffrés antérieurement est complètement fichue; - et même si l'adversaire doit rendre la boite, la confidentialité des messages chiffrés ultérieurement peut être grandement mise à mal, si la boite réalise la primitive RSA sans précaution; en effet, l'adversaire à pu utiliser la boite pour déchiffrer assez de messages bien choisis pour lui permettre de déchiffrer untérieurement une partie non négligeable des futurs messages.
Une technique pour cela est de déchiffrer les messages que constituent les petits nombres premiers (autant que le permet la vitesse de calcul de la boite); avec ces résultats (et la clé publique), on pourra déchiffrer tout message C pour lequel on trouve k tel que C+k*N est assez 'lisse', c'est à dire est le produit de petits nombres premiers que l'on sait déchiffrer (N est le module public, bien sur).
Cette attaque est facile à contrer: il suffit que le boite noire RSA qui déchiffre vérifie un "padding" bien choisi du message, et ne révèle E que si ce padding est conforme. Mais de nombreuses boites noires RSA, vendues fort cher, estampillées FIPS 141 et tout, sont vulnérables à cette attaque (pour autant que l'on arrive à les utiliser sans autorisation, bien sur), puisqu'elles exposent la primitive RSA nue, sans vérification de padding.
François Grieu
Dans l'article <4469845e$0$299$7a628cd7@news.club-internet.fr>,
"Nathan NAU" <nathan@actisens.com> a écrit sensiblement:
Sur le (chiffrement à) clés privées, clés publiques (..)
Si on a un message "A" et une clé publique "B", on applique la clé
au message pour obtenir un message crypté "C".
Puis avec la clé privée "D" on récupère le message en clair "E".
A -> (B) -> C
C -> (D) -> E (avec E = A)
Question :
Dans l'hypothèse où pour tout message "C" donné on peut récupérer
le message "E" (exemple un boite noire ou circuit electronique)
peut-il exister des messages "C" qui mettent la sécurite de la clé
privée en danger, comme un message entièrement a 0, ou avec juste
certains bits a 1.
C'est une question fort intéressante. Je ne crois pas qu'il y ait de
réponse indépendante du cryptosystème. Dans le cas de RSA utilisé
pour du chiffrement, même si l'adversaire peut décriffrer des
messages qu'il a choisi (avec la boite noire RSA)
- pour autant que l'on le sache, la confidentialité de la clé secrète
(ou d'informations directement équivalentes permettant la factorisation
du module public) n'est pas directement compromise;
- mais bien sur, le confidentialité des messages chiffrés antérieurement
est complètement fichue;
- et même si l'adversaire doit rendre la boite, la confidentialité des
messages chiffrés ultérieurement peut être grandement mise à mal, si
la boite réalise la primitive RSA sans précaution; en effet,
l'adversaire à pu utiliser la boite pour déchiffrer assez de messages
bien choisis pour lui permettre de déchiffrer untérieurement une partie
non négligeable des futurs messages.
Une technique pour cela est de déchiffrer les messages que constituent
les petits nombres premiers (autant que le permet la vitesse de calcul
de la boite); avec ces résultats (et la clé publique), on pourra
déchiffrer tout message C pour lequel on trouve k tel que C+k*N est
assez 'lisse', c'est à dire est le produit de petits nombres premiers
que l'on sait déchiffrer (N est le module public, bien sur).
Cette attaque est facile à contrer: il suffit que le boite noire
RSA qui déchiffre vérifie un "padding" bien choisi du message, et ne
révèle E que si ce padding est conforme. Mais de nombreuses boites
noires RSA, vendues fort cher, estampillées FIPS 141 et tout, sont
vulnérables à cette attaque (pour autant que l'on arrive à les utiliser
sans autorisation, bien sur), puisqu'elles exposent la primitive RSA
nue, sans vérification de padding.
Dans l'article <4469845e$0$299$, "Nathan NAU" a écrit sensiblement:
Sur le (chiffrement à) clés privées, clés publiques (..) Si on a un message "A" et une clé publique "B", on applique la clé au message pour obtenir un message crypté "C". Puis avec la clé privée "D" on récupère le message en clair "E". A -> (B) -> C C -> (D) -> E (avec E = A)
Question : Dans l'hypothèse où pour tout message "C" donné on peut récupérer le message "E" (exemple un boite noire ou circuit electronique) peut-il exister des messages "C" qui mettent la sécurite de la clé privée en danger, comme un message entièrement a 0, ou avec juste certains bits a 1.
C'est une question fort intéressante. Je ne crois pas qu'il y ait de réponse indépendante du cryptosystème. Dans le cas de RSA utilisé pour du chiffrement, même si l'adversaire peut décriffrer des messages qu'il a choisi (avec la boite noire RSA) - pour autant que l'on le sache, la confidentialité de la clé secrète (ou d'informations directement équivalentes permettant la factorisation du module public) n'est pas directement compromise; - mais bien sur, le confidentialité des messages chiffrés antérieurement est complètement fichue; - et même si l'adversaire doit rendre la boite, la confidentialité des messages chiffrés ultérieurement peut être grandement mise à mal, si la boite réalise la primitive RSA sans précaution; en effet, l'adversaire à pu utiliser la boite pour déchiffrer assez de messages bien choisis pour lui permettre de déchiffrer untérieurement une partie non négligeable des futurs messages.
Une technique pour cela est de déchiffrer les messages que constituent les petits nombres premiers (autant que le permet la vitesse de calcul de la boite); avec ces résultats (et la clé publique), on pourra déchiffrer tout message C pour lequel on trouve k tel que C+k*N est assez 'lisse', c'est à dire est le produit de petits nombres premiers que l'on sait déchiffrer (N est le module public, bien sur).
Cette attaque est facile à contrer: il suffit que le boite noire RSA qui déchiffre vérifie un "padding" bien choisi du message, et ne révèle E que si ce padding est conforme. Mais de nombreuses boites noires RSA, vendues fort cher, estampillées FIPS 141 et tout, sont vulnérables à cette attaque (pour autant que l'on arrive à les utiliser sans autorisation, bien sur), puisqu'elles exposent la primitive RSA nue, sans vérification de padding.
François Grieu
Francois Grieu
On me pointe
@InProceedings{desmedt-odlyzko86, author = {Y. Desmedt and A. M. Odlyzko}, title = {A chosen text attack on the {RSA} cryptosystem and some discrete logarithm schemes}, crossref = {crypto1985}, pages = {516--521} }
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque que j'esquissais.
François Grieu
On me pointe
@InProceedings{desmedt-odlyzko86,
author = {Y. Desmedt and A. M. Odlyzko},
title = {A chosen text attack on the {RSA} cryptosystem and
some discrete logarithm schemes},
crossref = {crypto1985},
pages = {516--521}
}
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n
pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que
l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût
de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque
que j'esquissais.
@InProceedings{desmedt-odlyzko86, author = {Y. Desmedt and A. M. Odlyzko}, title = {A chosen text attack on the {RSA} cryptosystem and some discrete logarithm schemes}, crossref = {crypto1985}, pages = {516--521} }
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque que j'esquissais.
François Grieu
Francois Grieu
On me pointe
@InProceedings{desmedt-odlyzko86, author = {Y. Desmedt and A. M. Odlyzko}, title = {A chosen text attack on the {RSA} cryptosystem and some discrete logarithm schemes}, crossref = {crypto1985}, pages = {516--521} }
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque que j'esquissais.
François Grieu [reposté avec un lien vers un meilleur pdf, et de légalité moins douteuse]
On me pointe
@InProceedings{desmedt-odlyzko86,
author = {Y. Desmedt and A. M. Odlyzko},
title = {A chosen text attack on the {RSA} cryptosystem and
some discrete logarithm schemes},
crossref = {crypto1985},
pages = {516--521}
}
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n
pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que
l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût
de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque
que j'esquissais.
François Grieu
[reposté avec un lien vers un meilleur pdf, et de légalité
moins douteuse]
@InProceedings{desmedt-odlyzko86, author = {Y. Desmedt and A. M. Odlyzko}, title = {A chosen text attack on the {RSA} cryptosystem and some discrete logarithm schemes}, crossref = {crypto1985}, pages = {516--521} }
Ce papier considère le cas d'un adversaire qui obtiens mj^d mod n pour des mj choisi, PUIS essaye d'en déduire m^d pour un m que l'on lui impose. Je n'ai pas, encore, tout compris, et ni le coût de l'attaque comparé avec la factorisation GNFS, ni avec l'attaque que j'esquissais.
François Grieu [reposté avec un lien vers un meilleur pdf, et de légalité moins douteuse]
Francois Grieu
Euh bon, je précise/corrige ce que j'ai dit
Dans le cas de RSA utilisé pour du chiffrement, même si l'adversaire peut décriffrer avec une boite noire RSA des messages qu'il a choisi - pour autant que l'on le sache, la confidentialité de la clé secrète (ou d'informations directement équivalentes permettant la factorisation du module public) n'est pas directement compromise; - mais bien sur, le confidentialité des messages chiffrés antérieurement est complètement fichue; - même si l'adversaire doit rendre la boite, la confidentialité des messages chiffrés ultérieurement est PROCHE d'être mise à mal, si la boite réalise la primitive RSA sans précaution; en effet, l'adversaire à pu utiliser la boite pour déchiffrer assez de messages bien choisis pour essayer de lui permettre de déchiffrer ultérieurement une partie non négligeable des futurs messages; MAIS à ce que j'ai résussi à trouver, la meilleure attaque de ce genre, due à Desmedt et Odlyzko, est moins efficace que la factorization par GNFS, donc il n'y a pas lieu de la craindre.
Source: Index Calculation Attacks on RSA Signature and Encryption (section 3), par Jean-Sébastien Coron, Yvo Desmedt, David Naccache, Andrew Odlyzko, and Julien P. Stern; Designs, Codes, and Cryptography, vol. 38, no. 1, Jan. 2006 http://www.dtc.umn.edu/~odlyzko/doc/index.calculation.rsa.pdf
Pas simple, cette question.
François Grieu
Euh bon, je précise/corrige ce que j'ai dit
Dans le cas de RSA utilisé pour du chiffrement, même si l'adversaire
peut décriffrer avec une boite noire RSA des messages qu'il a choisi
- pour autant que l'on le sache, la confidentialité de la clé secrète
(ou d'informations directement équivalentes permettant la factorisation
du module public) n'est pas directement compromise;
- mais bien sur, le confidentialité des messages chiffrés antérieurement
est complètement fichue;
- même si l'adversaire doit rendre la boite, la confidentialité des
messages chiffrés ultérieurement est PROCHE d'être mise à mal, si
la boite réalise la primitive RSA sans précaution; en effet,
l'adversaire à pu utiliser la boite pour déchiffrer assez de messages
bien choisis pour essayer de lui permettre de déchiffrer ultérieurement
une partie non négligeable des futurs messages; MAIS à ce que j'ai
résussi à trouver, la meilleure attaque de ce genre, due à Desmedt et
Odlyzko, est moins efficace que la factorization par GNFS, donc
il n'y a pas lieu de la craindre.
Source: Index Calculation Attacks on RSA Signature and Encryption
(section 3), par Jean-Sébastien Coron, Yvo Desmedt, David Naccache,
Andrew Odlyzko, and Julien P. Stern; Designs, Codes, and Cryptography,
vol. 38, no. 1, Jan. 2006
http://www.dtc.umn.edu/~odlyzko/doc/index.calculation.rsa.pdf
Dans le cas de RSA utilisé pour du chiffrement, même si l'adversaire peut décriffrer avec une boite noire RSA des messages qu'il a choisi - pour autant que l'on le sache, la confidentialité de la clé secrète (ou d'informations directement équivalentes permettant la factorisation du module public) n'est pas directement compromise; - mais bien sur, le confidentialité des messages chiffrés antérieurement est complètement fichue; - même si l'adversaire doit rendre la boite, la confidentialité des messages chiffrés ultérieurement est PROCHE d'être mise à mal, si la boite réalise la primitive RSA sans précaution; en effet, l'adversaire à pu utiliser la boite pour déchiffrer assez de messages bien choisis pour essayer de lui permettre de déchiffrer ultérieurement une partie non négligeable des futurs messages; MAIS à ce que j'ai résussi à trouver, la meilleure attaque de ce genre, due à Desmedt et Odlyzko, est moins efficace que la factorization par GNFS, donc il n'y a pas lieu de la craindre.
Source: Index Calculation Attacks on RSA Signature and Encryption (section 3), par Jean-Sébastien Coron, Yvo Desmedt, David Naccache, Andrew Odlyzko, and Julien P. Stern; Designs, Codes, and Cryptography, vol. 38, no. 1, Jan. 2006 http://www.dtc.umn.edu/~odlyzko/doc/index.calculation.rsa.pdf
