SHA-1 cassé

Dans l'article <slrnd1g9b1.q5a.chaton@pdksh.local>,
chaton@tristeza.org dit:

S'ils ont effectivement trouvé une collision (ou une méthode
théorique pour produire des collisions) en moins de 2^80,
c'est plus compromis, c'est cassé.

Pour se faire une opinion, suivre ce lien (en Anglais)
http://theory.csail.mit.edu/~yiqun/shanote.pdf

Note: Il me semble limpide que l'attaque fonctionne aussi bien
(ou difficilement) pour SHA-1 avec le bloc final comprenant la
longeur, que pour un SHA-1 simplifié sans ce bloc.


François Grieu

Francois Grieu wrote:

Note: Il me semble limpide que l'attaque fonctionne aussi bien
(ou difficilement) pour SHA-1 avec le bloc final comprenant la
longeur, que pour un SHA-1 simplifié sans ce bloc.

De toute façon, il est au moins de plus en plus probable qu'il y a
possibilité de titiller ce SHA-1. En crypto, un doute appuyé est suffisant
pour passer à autre chose.

Alors, en ce qui le concerne... Paix à son âme.

--
AMcD®

http://arnold.mcdonald.free.fr/

En crypto, un doute appuyé est suffisant pour passer à autre chose.

Passer à quoi ? Y a-t-il une alternative aussi universelle et répandue que
le SHA-1, et pas encore cassée ?

mif wrote:

En crypto, un doute appuyé est suffisant pour passer à autre chose.

Passer à quoi ?

Ben à autre chose que SHA-1...

Y a-t-il une alternative aussi universelle et
répandue que le SHA-1, et pas encore cassée ?

RIPEMD-160 :-) ?

--
AMcD®

http://arnold.mcdonald.free.fr/

Dans l'article <2mnSd.3003$h06.493967@monger.newsread.com>,
"mif" <mif@mif.com> dit:

En crypto, un doute appuyé est suffisant pour passer à autre chose.

Passer à quoi ? Y a-t-il une alternative aussi universelle et
répandue que le SHA-1, et pas encore cassée ?

On peut penser à RIPEMD-160
http://www.esat.kuleuven.ac.be/~bosselae/ripemd160.html

C'est compatible SHA-1 au niveau des entrants et sortant, et validé par
les autorités de certification européennes (dont DCSSI)
http://webapp.etsi.org/workprogram/Report_WorkItem.asp?WKI_ID277

Mais, et de loin, RIPEMD-160 n'est pas aussi répandu que SHA-1; et
est un peu moins efficace il me semble (précisément pour être plus sur);
et 160 bits de hash (donc 80 bits de sécurité par rapport à la recherche
de collision par la force brute), ce n'est pas satisfaisant pour le
vraiment long terme.

Pour les tailles au dessus, on peut penser à la famille SHA-2
http://csrc.nist.gov/publications/fips/fips180-2/fips180-2withchangenotice.pdf

mais (peut-être) a-t-il des faiblesses théoriques comme SHA-1; il y a
aussi RIPEMD-256 et RIPEMD-320; mais aucun des deux n'est dans la liste
des algorithmes Européens "officiels", que je sache; et ce n'est pas
du tout répandu.


Sinon il me semble qu'il est possible de construite un hash 256 bits
à partir de AES-128, avec deux AES "seulement" par bloc de 256 bits
entrant, et avec une preuve de sécurité montrant que toute attaque
implique une attaque (au moins de type "related key") sur AES-128.
Dans un contexte où AES-128 est câblé, cela me semble attrayant.

J'ose à peine évoquer l'hypothèse d'un bricolage à partir de
triple-DES, mais ce n'est pas si ridicule..


François Grieu

"mif" <mif@mif.com> a écrit dans le message de
news:2mnSd.3003$h06.493967@monger.newsread.com...

En crypto, un doute appuyé est suffisant pour passer à autre chose.

Passer à quoi ? Y a-t-il une alternative aussi universelle et répandue que
le SHA-1, et pas encore cassée ?

peut etre lire le fichier dans les deux sens sans garantie ou a verifier
exemple un fichier 1 ko

x^1024*8...x^0+x^0...x^1024*8

Devant la gravité du problème, je propose de mettre notre meilleur agent
sur le coup, j'ai nommé notre ami Raymond H.
Non, je rigole

Sinon il me semble qu'il est possible de construite un hash 256 bits
à partir de AES-128, avec deux AES "seulement" par bloc de 256 bits
entrant, et avec une preuve de sécurité montrant que toute attaque
implique une attaque (au moins de type "related key") sur AES-128.
Dans un contexte où AES-128 est câblé, cela me semble attrayant.

C'est cette idée qui est utilisée pour Whirlpool (Vincent Rijmen et P.
Barreto). Il y a un bloc W similaire à ce qui est implémenté dans
Rijndael donc AES. L'empreinte est quand même assez grosse avec ses 512
bits mais il serait toujours possible de prendre les N premiers bits. Il
est probable qu'on entende un peu plus parler de Whirlpool ces prochains
temps.

Sinon il me semble qu'il est possible de construite un hash 256 bits
à partir de AES-128, avec deux AES "seulement" par bloc de 256 bits
entrant, et avec une preuve de sécurité montrant que toute attaque
implique une attaque (au moins de type "related key") sur AES-128.
Dans un contexte où AES-128 est câblé, cela me semble attrayant.

C'est cette idée qui est utilisée pour Whirlpool (Vincent Rijmen et P.
Barreto). Il y a un bloc W similaire à ce qui est implémenté dans
Rijndael donc AES. L'empreinte est quand même assez grosse avec ses 512
bits mais il serait toujours possible de prendre les N premiers bits. Il
est probable qu'on entende un peu plus parler de Whirlpool ces prochains
temps.

Mais notre cher Christophe HENRY va avoir un gros travail de supervision ;-)


"Roland Le Franc" <x-kane@hotmail.com> a écrit dans le message de news:
421a54a7$0$30022$636a15ce@news.free.fr...

Devant la gravité du problème, je propose de mettre notre meilleur agent
sur le coup, j'ai nommé notre ami Raymond H.
Non, je rigole

Sinon il me semble qu'il est possible de construite un hash 256 bits
à partir de AES-128, avec deux AES "seulement" par bloc de 256 bits
entrant, et avec une preuve de sécurité montrant que toute attaque
implique une attaque (au moins de type "related key") sur AES-128.
Dans un contexte où AES-128 est câblé, cela me semble attrayant.

C'est cette idée qui est utilisée pour Whirlpool (Vincent Rijmen et P.
Barreto). Il y a un bloc W similaire à ce qui est implémenté dans
Rijndael donc AES. L'empreinte est quand même assez grosse avec ses 512
bits mais il serait toujours possible de prendre les N premiers bits. Il
est probable qu'on entende un peu plus parler de Whirlpool ces prochains
temps.