J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html : "En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 : "L'algorithme de signature MD5, pour Message Digest 5, est une fonction de hachage encore très populaire, mais qui n'est plus considéré comme un algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest" ... "Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
a+ Raymond H.
"Pascal Junod" a écrit dans le message de news: 4213062e$
Il semblerait que les Chinois aient remis la compresse :
J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html :
"En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en
est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 :
"L'algorithme de signature MD5, pour Message Digest 5, est une fonction de
hachage encore très populaire, mais qui n'est plus considéré comme un
algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé
sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest"
...
"Considéré comme sûr au départ, son efficacité s'est peu à peu effritée
grâce à la découverte de failles potentielles dans son fonctionnement. Le
MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang,
Dengguo Feng, Xuejia Lai et Hongbo Yu. "
a+
Raymond H.
"Pascal Junod" <newsgroups@junod.info> a écrit dans le message de news:
4213062e$1@epflnews.epfl.ch...
Il semblerait que les Chinois aient remis la compresse :
J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html : "En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 : "L'algorithme de signature MD5, pour Message Digest 5, est une fonction de hachage encore très populaire, mais qui n'est plus considéré comme un algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest" ... "Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
a+ Raymond H.
"Pascal Junod" a écrit dans le message de news: 4213062e$
Il semblerait que les Chinois aient remis la compresse :
J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html : "En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 : "L'algorithme de signature MD5, pour Message Digest 5, est une fonction de hachage encore très populaire, mais qui n'est plus considéré comme un algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest" ... "Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
Ces articles sont de vieilles nouvelles qui datent de l'été passé.
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux autres designs ont apparement "récidivé" et amelioré leurs attaques. Maintenant, ils semblent trouver des collisions sur SHA-1 en 2^69 (au lieu de 2^80). Un papier circule chez certain cryptologues, mais il n'est pas encore disponible publiquement.
A+
Pascal http://crypto.junod.info
Raymond H. wrote:
J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html :
"En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en
est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 :
"L'algorithme de signature MD5, pour Message Digest 5, est une fonction de
hachage encore très populaire, mais qui n'est plus considéré comme un
algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé
sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest"
...
"Considéré comme sûr au départ, son efficacité s'est peu à peu effritée
grâce à la découverte de failles potentielles dans son fonctionnement. Le
MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang,
Dengguo Feng, Xuejia Lai et Hongbo Yu. "
Ces articles sont de vieilles nouvelles qui datent de l'été passé.
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux autres
designs ont apparement "récidivé" et amelioré leurs attaques.
Maintenant, ils semblent trouver des collisions sur SHA-1 en 2^69 (au
lieu de 2^80). Un papier circule chez certain cryptologues, mais il
n'est pas encore disponible publiquement.
J'ai lu ceci sur http://linuxfr.org/~fifre/14961.html : "En gros, ils disent que SHA-0 a été cassé, et des rumeurs disent qu'il en est de même pour md5... "
J'ai lu aussi ceci sur http://fr.wikipedia.org/wiki/MD5 : "L'algorithme de signature MD5, pour Message Digest 5, est une fonction de hachage encore très populaire, mais qui n'est plus considéré comme un algorithme sûr. On suggère maintenant d'utiliser plutôt un algorithme basé sur le SHA-1 ou de type RIPEMD-160. Le MD5 a été inventé par Ronald Rivest" ... "Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
Ces articles sont de vieilles nouvelles qui datent de l'été passé.
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux autres designs ont apparement "récidivé" et amelioré leurs attaques. Maintenant, ils semblent trouver des collisions sur SHA-1 en 2^69 (au lieu de 2^80). Un papier circule chez certain cryptologues, mais il n'est pas encore disponible publiquement.
A+
Pascal http://crypto.junod.info
Apokrif
Raymond H. :
"Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
Pour la petite histoire, Lai est un des concepteurs de IDEA.
-- `cat ~/.signature`
Raymond H. :
"Considéré comme sûr au départ, son efficacité s'est peu à peu
effritée grâce à la découverte de failles potentielles dans son
fonctionnement. Le MD5 a été cassé durant l'été 2004 par des
chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo
Yu. "
Pour la petite histoire, Lai est un des concepteurs de IDEA.
"Considéré comme sûr au départ, son efficacité s'est peu à peu effritée grâce à la découverte de failles potentielles dans son fonctionnement. Le MD5 a été cassé durant l'été 2004 par des chercheurs chinois, Xiaoyun Wang, Dengguo Feng, Xuejia Lai et Hongbo Yu. "
Pour la petite histoire, Lai est un des concepteurs de IDEA.
-- `cat ~/.signature`
Apokrif
Pascal Junod :
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux autres designs ont apparement "récidivé" et amelioré leurs attaques. Maintenant, ils semblent trouver des collisions sur SHA-1 en 2^69 (au lieu de 2^80).
Une solution: utiliser des algos de chiffrement par blocs comme fonctions de hachage (en espérant qu'ils résisteront un peu mieux au rouleau compresseur chinois).
-- `cat ~/.signature`
Pascal Junod :
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux
autres designs ont apparement "récidivé" et amelioré leurs
attaques. Maintenant, ils semblent trouver des collisions sur SHA-1
en 2^69 (au lieu de 2^80).
Une solution: utiliser des algos de chiffrement par blocs comme
fonctions de hachage (en espérant qu'ils résisteront un peu mieux au
rouleau compresseur chinois).
L'équipe de chercheurs chinois qui avait cassé SHA-0, MD5 et deux autres designs ont apparement "récidivé" et amelioré leurs attaques. Maintenant, ils semblent trouver des collisions sur SHA-1 en 2^69 (au lieu de 2^80).
Une solution: utiliser des algos de chiffrement par blocs comme fonctions de hachage (en espérant qu'ils résisteront un peu mieux au rouleau compresseur chinois).
-- `cat ~/.signature`
pornin
According to Apokrif :
Une solution: utiliser des algos de chiffrement par blocs comme fonctions de hachage
Hmmm.... oui, on pourrait imaginer ça. Un algorithme de chiffrement par blocs, avec un schéma de Feistel. Le message servirait en fait de clé, et on chiffrerait une valeur conventionnelle. Avec un peu de chaînage et de padding, on peut utiliser des messages de taille arbitraire. Et puis, pour faire smart, on va étendre un peu le concept du schéma de Feistel, et au lieu de deux moitiés, on va découper l'entrée en quatre ou cinq blocs, en en modifiant un en fonction des trois ou autre autres, et en faisant tourner les blocs.
Et puis on appelle le tout MD5 ou SHA-1. Pour faire original.
Traduction : MD5 et SHA-1 _sont_ des fonctions de chiffrement par blocs utilisées en hachage, c'est-à-dire en faisant rentrer le message en tant que clé, et en chiffrant un bloc conventionnel. Les attaques annoncées sur MD5, SHA-1 et tout ça seraient classées "related key weaknesses" si on parlait des algorithmes de chiffrement.
De fait, on peut utiliser l'AES en hachage si on veut, avec un chaînage du même genre. Mais le résultat ne serait sûr que si l'AES respectait certaines propriétés (pas de "related keys" par exemple), propriétés qu'il respecte peut-être mais qui n'ont pas été intensivement testées jusqu'à maintenant (ça ne faisait pas partie des critères de sélection du NIST pour le choix de l'AES, alors peu de gens ont travaillé dessus).
Pour information, l'algorithme de chiffrement utilisé en mode hachage pour SHA-1 a été formalisé sous le nom de SHACAL, et NESSIE (un effort européen de normalisation) l'a déclaré "bon pour le service".
--Thomas Pornin
According to Apokrif <apokrif1@yahoo.com>:
Une solution: utiliser des algos de chiffrement par blocs comme
fonctions de hachage
Hmmm.... oui, on pourrait imaginer ça. Un algorithme de chiffrement par
blocs, avec un schéma de Feistel. Le message servirait en fait de clé,
et on chiffrerait une valeur conventionnelle. Avec un peu de chaînage et
de padding, on peut utiliser des messages de taille arbitraire. Et puis,
pour faire smart, on va étendre un peu le concept du schéma de Feistel,
et au lieu de deux moitiés, on va découper l'entrée en quatre ou cinq
blocs, en en modifiant un en fonction des trois ou autre autres, et en
faisant tourner les blocs.
Et puis on appelle le tout MD5 ou SHA-1. Pour faire original.
Traduction : MD5 et SHA-1 _sont_ des fonctions de chiffrement par blocs
utilisées en hachage, c'est-à-dire en faisant rentrer le message en tant
que clé, et en chiffrant un bloc conventionnel. Les attaques annoncées
sur MD5, SHA-1 et tout ça seraient classées "related key weaknesses" si
on parlait des algorithmes de chiffrement.
De fait, on peut utiliser l'AES en hachage si on veut, avec un chaînage
du même genre. Mais le résultat ne serait sûr que si l'AES respectait
certaines propriétés (pas de "related keys" par exemple), propriétés
qu'il respecte peut-être mais qui n'ont pas été intensivement testées
jusqu'à maintenant (ça ne faisait pas partie des critères de sélection
du NIST pour le choix de l'AES, alors peu de gens ont travaillé dessus).
Pour information, l'algorithme de chiffrement utilisé en mode hachage
pour SHA-1 a été formalisé sous le nom de SHACAL, et NESSIE (un effort
européen de normalisation) l'a déclaré "bon pour le service".
Une solution: utiliser des algos de chiffrement par blocs comme fonctions de hachage
Hmmm.... oui, on pourrait imaginer ça. Un algorithme de chiffrement par blocs, avec un schéma de Feistel. Le message servirait en fait de clé, et on chiffrerait une valeur conventionnelle. Avec un peu de chaînage et de padding, on peut utiliser des messages de taille arbitraire. Et puis, pour faire smart, on va étendre un peu le concept du schéma de Feistel, et au lieu de deux moitiés, on va découper l'entrée en quatre ou cinq blocs, en en modifiant un en fonction des trois ou autre autres, et en faisant tourner les blocs.
Et puis on appelle le tout MD5 ou SHA-1. Pour faire original.
Traduction : MD5 et SHA-1 _sont_ des fonctions de chiffrement par blocs utilisées en hachage, c'est-à-dire en faisant rentrer le message en tant que clé, et en chiffrant un bloc conventionnel. Les attaques annoncées sur MD5, SHA-1 et tout ça seraient classées "related key weaknesses" si on parlait des algorithmes de chiffrement.
De fait, on peut utiliser l'AES en hachage si on veut, avec un chaînage du même genre. Mais le résultat ne serait sûr que si l'AES respectait certaines propriétés (pas de "related keys" par exemple), propriétés qu'il respecte peut-être mais qui n'ont pas été intensivement testées jusqu'à maintenant (ça ne faisait pas partie des critères de sélection du NIST pour le choix de l'AES, alors peu de gens ont travaillé dessus).
Pour information, l'algorithme de chiffrement utilisé en mode hachage pour SHA-1 a été formalisé sous le nom de SHACAL, et NESSIE (un effort européen de normalisation) l'a déclaré "bon pour le service".
Est-ce à dire que le peu de recherches encore faites sur les attaques par clés apparentées est ce qui permet d'une part à ces équipes chinoises de progresser si vite sur les algos de signature actuels ?
Existe-t-il un actuel algo de signature qui ne soit pas une fonction de chiffrement utilisé en hacahe ?
Thomas Pornin wrote:
(pas de "related keys" par exemple)
Est-ce à dire que le peu de recherches encore faites sur les attaques
par clés apparentées est ce qui permet d'une part à ces équipes
chinoises de progresser si vite sur les algos de signature actuels ?
Existe-t-il un actuel algo de signature qui ne soit pas une fonction de
chiffrement utilisé en hacahe ?
Est-ce à dire que le peu de recherches encore faites sur les attaques par clés apparentées est ce qui permet d'une part à ces équipes chinoises de progresser si vite sur les algos de signature actuels ?
Existe-t-il un actuel algo de signature qui ne soit pas une fonction de chiffrement utilisé en hacahe ?
Jean-Marc Desperrier
Pascal Junod wrote:
Il semblerait que les Chinois aient remis la compresse :
Une chose n'est pas claire pour moi, si ils ont trouvé une collision en 2^69, cela veut dire qu'ils ont les moyens matériels de brute forcer du 2^69 !?
La plus grande taille publiquement cassée jusqu'à présent c'est 2^64, non ? Et avec beaucoup de difficultés, alors qu'il n'y a pas eu de réseau distribué mondial monté par ces chercheurs chinois pour vérifier leur théorie sur l'attaque de SHA-1.
Ou alors c'est uniquement théorique, et la puissance de calcul nécessaire ne leur a pas permis de vérifier concrétement, contrairement aux attaques de l'année dernière.
Par ailleurs, des précisions commencent à circuler, et il semble qu'il ne s'agit pas exactement d'une attaque sur le SHA-1 complet, mais sur SHA-1 sans le padding final, ce qui d'après les personnes ayant diffusé cette information change quand même les choses (personnellement, je ne suis pas capable de quantifier la difficulté suplémentaire que représente cela).
Pascal Junod wrote:
Il semblerait que les Chinois aient remis la compresse :
Une chose n'est pas claire pour moi, si ils ont trouvé une collision en
2^69, cela veut dire qu'ils ont les moyens matériels de brute forcer du
2^69 !?
La plus grande taille publiquement cassée jusqu'à présent c'est 2^64,
non ? Et avec beaucoup de difficultés, alors qu'il n'y a pas eu de
réseau distribué mondial monté par ces chercheurs chinois pour vérifier
leur théorie sur l'attaque de SHA-1.
Ou alors c'est uniquement théorique, et la puissance de calcul
nécessaire ne leur a pas permis de vérifier concrétement, contrairement
aux attaques de l'année dernière.
Par ailleurs, des précisions commencent à circuler, et il semble qu'il
ne s'agit pas exactement d'une attaque sur le SHA-1 complet, mais sur
SHA-1 sans le padding final, ce qui d'après les personnes ayant diffusé
cette information change quand même les choses (personnellement, je ne
suis pas capable de quantifier la difficulté suplémentaire que
représente cela).
Une chose n'est pas claire pour moi, si ils ont trouvé une collision en 2^69, cela veut dire qu'ils ont les moyens matériels de brute forcer du 2^69 !?
La plus grande taille publiquement cassée jusqu'à présent c'est 2^64, non ? Et avec beaucoup de difficultés, alors qu'il n'y a pas eu de réseau distribué mondial monté par ces chercheurs chinois pour vérifier leur théorie sur l'attaque de SHA-1.
Ou alors c'est uniquement théorique, et la puissance de calcul nécessaire ne leur a pas permis de vérifier concrétement, contrairement aux attaques de l'année dernière.
Par ailleurs, des précisions commencent à circuler, et il semble qu'il ne s'agit pas exactement d'une attaque sur le SHA-1 complet, mais sur SHA-1 sans le padding final, ce qui d'après les personnes ayant diffusé cette information change quand même les choses (personnellement, je ne suis pas capable de quantifier la difficulté suplémentaire que représente cela).
chaton
On 2005-02-17, Erwan David wrote:
Dans tous les cas ce n'est peut-être pas cassé, mais en tout cas SHA-1 est compromis.
S'ils ont effectivement trouvé une collision (ou une méthode théorique pour produire des collisions) en moins de 2^80, c'est plus compromis, c'est cassé.
On 2005-02-17, Erwan David <erwan@rail.eu.org> wrote:
Dans tous les cas ce n'est peut-être pas cassé, mais en tout cas SHA-1
est compromis.
S'ils ont effectivement trouvé une collision (ou une méthode théorique
pour produire des collisions) en moins de 2^80, c'est plus compromis,
c'est cassé.
Dans tous les cas ce n'est peut-être pas cassé, mais en tout cas SHA-1 est compromis.
S'ils ont effectivement trouvé une collision (ou une méthode théorique pour produire des collisions) en moins de 2^80, c'est plus compromis, c'est cassé.
