SHA-1 cassé, et les médias ?

Mister Jack

22/02/2005 à 17:34

Salut !

mif wrote:

La nouvelle de cette semaine me semble concerner le grand public, car elle
remet en question la sécurité des transactions effectuées par
Monsieur-tout-le-monde.

Je trouve curieux que les médias généralistes ne se soient pas encore
emparés de cette grosse nouvelle.
Y a-t-il une explication ?

Oui, il y a de moins en moins de journalistes spécialisés dans la presse
généraliste (!). Si vous contactez un journal pour leur faire part de
votre étonnement il mettront un gus qui n'y connait rien sur le coup. Le
gars va demander ce qu'ils en pensent à 2,3 connaissances et pondre un
article minable. Plus personne ne s'embête donc à leur demander, et la
probabilité est faible qu'un journaliste s'y intéresse. C'est triste
mais c'est ce qu'il se passe depuis quelques années.

S'agit-il de pressions extérieures ?

Non.

Ou bien la crainte que personne ne comprenne rien ?

Les journalistes ont peut-être des lacunes, mais rarement dans l'art de
faire passer les choses complexes à un public large. Enfin, j'espère
pour eux ;-)

Ou bien est-ce moi qui n'ai rien compris ? %-)

Non, non.

Cordialement,
--
Mister Jack (MJ)
"Linux c'est pas pour les manchots !"

Kevin Drapel

23/02/2005 à 02:31

Ou bien la crainte que personne ne comprenne rien ?

C'est tout de même assez complexe et surtout, une telle explication
demande d'introduire tout un contexte sur la cryptographie pour bien
situer les choses. Sinon, des raccourcis seraient vite pris et le côté
"mon dieu, tous les codes sont cassés" l'emporterait :) Pour expliquer
les virus informatiques, on fait souvent allusion à l'équivalent
biologique mais pour un SHA-1, comment pourrait-on faire une analogie
valable ? :)

Jean-Marc Desperrier

23/02/2005 à 09:42

mif wrote:

La nouvelle de cette semaine me semble concerner le grand public, car elle
remet en question la sécurité des transactions effectuées par
Monsieur-tout-le-monde.

Définitivement, non, elle n'a aucune influence sur la sécurité des
transactions de monsieur tout le monde !

Je trouve curieux que les médias généralistes ne se soient pas encore
emparés de cette grosse nouvelle.
Y a-t-il une explication ? S'agit-il de pressions extérieures ? Ou bien la
crainte que personne ne comprenne rien ?

Ou bien est-ce moi qui n'ai rien compris ? %-)

Une chose que tu n'as pas bien comprise, que peut-être d'autre n'ont pas
compris non plus, est qu'aucune collision sur SHA-1 n'a été trouvée pour
l'instant.

Les chercheurs chinois ont trouvé des collisions sur des formes de
tailles réduites de SHA-1, et par extrapolation estiment que la
difficulté d'en trouver une sur le SHA-1 complet est de 2^69.

Pourquoi ne sont-ils pas allé plus loin pour réaliser l'attaque sur le
SHA-1 complet ? Et bien parcequ'avec les moyens informatiques actuels,
pour résoudre un problème d'une complexité de 2^69, il faut réunir
quelques centaines de milliers de machines, et les faire travailler
dessus pendant au moins 4 ou 5 ans pour y arriver. Si on commence
maintenant, c'est fini en 2009.
Pour trouver en tout et pour tout 1 collision, sans pouvoir choisir
quelque chose sur la valeur qui donne une collision càd sans pouvoir
l'utiliser concrétement pour falsifier quoi que ce soit.

C'est un gros progrès par rapport à la difficulté initiale théorique de
2^80, mais cela laisse encore une marge de difficulté suffisante pour ne
courrir aucun risque pratique. Après cette attaque, SHA-1 reste plus
solide que MD-5 ne l'était *avant* que l'on arrive à trouver une attaque
dessus.

La raison pour laquelle c'est inquiétant est que si on a pu trouver une
telle méthode pour accélérer la recherche de collision sur SHA-1, il est
peut-être possible d'en trouver encore d'autres, et d'accélérer encore
autant la recherche de collision, auquel cas on rentrerait dans le
domaine du faisable, et si on accélérait encore une troisième fois de la
même marge, ca deviendrait facile, et on pourrait rechercher beaucoup de
collisions. Jusqu'à finir par en dénicher une qui soit utilisable de
manière pratique pour falsifier quelquechose.

Ca reste une perspective fort éloignée de la situation présente.

Mais pour les cryptographes, cela signifie qu'il est temps de bouger et
de ne plus s'enraciner sur SHA-1. Vérifier dans tous les systèmes qu'on
conçoit qu'il n'est pas codé en dur que l'algo utilisé est SHA-1.
Vérifier que les biblio crypto utilisées implémentent toutes aussi autre
chose encore solide, RIPEMD-160 ou SHA-2. Commencer à voir comment on
pourra le moment voulu changer juste un paramètre pour changer l'algo de
hachage utilisé. Commencer à réfléchir comment on va pouvoir pour les
systèmes actuels les mettre à jour pour qu'ils ne dépendent plus de
l'utilisation de SHA-1. Ca pose déjà des soucis, par exemple il ya de
nombreux systèmes hardware qui n'implémentent que MD-5 et SHA-1, et ça
ne se remplace pas du jour au lendemain. Heureusement, il n'y pas
urgence aujourd'hui, mais si on ne s'en occupe pas maintenant, on prend
le risque de très gros problèmes le jour où il y aura une attaque sur
SHA-1 utilisable concrétement.

En fait, la vraie étape initiale qui est vraiment en cours actuellement
est de s'assurer de l'algorithme vers lequel on va se diriger, pas la
peine de faire du SHA-2 qui est quand même encombrant si c'est pour
découvrir dans 6 mois le même type de faiblesse dessus.

Aujourd'hui la situation malheureusement est plutôt qu'il n'est pas
besoin d'aller chercher très loin pour trouver des systèmes enracinés
sur MD-5, càd où le haché utilisé est MD-5, et où il n'y a pas de
paramètrage pour utiliser autre chose.

mif wrote:

La nouvelle de cette semaine me semble concerner le grand public, car elle
remet en question la sécurité des transactions effectuées par
Monsieur-tout-le-monde.

Définitivement, non, elle n'a aucune influence sur la sécurité des
transactions de monsieur tout le monde !

Je trouve curieux que les médias généralistes ne se soient pas encore
emparés de cette grosse nouvelle.
Y a-t-il une explication ? S'agit-il de pressions extérieures ? Ou bien la
crainte que personne ne comprenne rien ?

Ou bien est-ce moi qui n'ai rien compris ? %-)

Une chose que tu n'as pas bien comprise, que peut-être d'autre n'ont pas
compris non plus, est qu'aucune collision sur SHA-1 n'a été trouvée pour
l'instant.

Les chercheurs chinois ont trouvé des collisions sur des formes de
tailles réduites de SHA-1, et par extrapolation estiment que la
difficulté d'en trouver une sur le SHA-1 complet est de 2^69.

Pourquoi ne sont-ils pas allé plus loin pour réaliser l'attaque sur le
SHA-1 complet ? Et bien parcequ'avec les moyens informatiques actuels,
pour résoudre un problème d'une complexité de 2^69, il faut réunir
quelques centaines de milliers de machines, et les faire travailler
dessus pendant au moins 4 ou 5 ans pour y arriver. Si on commence
maintenant, c'est fini en 2009.
Pour trouver en tout et pour tout 1 collision, sans pouvoir choisir
quelque chose sur la valeur qui donne une collision càd sans pouvoir
l'utiliser concrétement pour falsifier quoi que ce soit.

C'est un gros progrès par rapport à la difficulté initiale théorique de
2^80, mais cela laisse encore une marge de difficulté suffisante pour ne
courrir aucun risque pratique. Après cette attaque, SHA-1 reste plus
solide que MD-5 ne l'était *avant* que l'on arrive à trouver une attaque
dessus.

La raison pour laquelle c'est inquiétant est que si on a pu trouver une
telle méthode pour accélérer la recherche de collision sur SHA-1, il est
peut-être possible d'en trouver encore d'autres, et d'accélérer encore
autant la recherche de collision, auquel cas on rentrerait dans le
domaine du faisable, et si on accélérait encore une troisième fois de la
même marge, ca deviendrait facile, et on pourrait rechercher beaucoup de
collisions. Jusqu'à finir par en dénicher une qui soit utilisable de
manière pratique pour falsifier quelquechose.

Ca reste une perspective fort éloignée de la situation présente.

Mais pour les cryptographes, cela signifie qu'il est temps de bouger et
de ne plus s'enraciner sur SHA-1. Vérifier dans tous les systèmes qu'on
conçoit qu'il n'est pas codé en dur que l'algo utilisé est SHA-1.
Vérifier que les biblio crypto utilisées implémentent toutes aussi autre
chose encore solide, RIPEMD-160 ou SHA-2. Commencer à voir comment on
pourra le moment voulu changer juste un paramètre pour changer l'algo de
hachage utilisé. Commencer à réfléchir comment on va pouvoir pour les
systèmes actuels les mettre à jour pour qu'ils ne dépendent plus de
l'utilisation de SHA-1. Ca pose déjà des soucis, par exemple il ya de
nombreux systèmes hardware qui n'implémentent que MD-5 et SHA-1, et ça
ne se remplace pas du jour au lendemain. Heureusement, il n'y pas
urgence aujourd'hui, mais si on ne s'en occupe pas maintenant, on prend
le risque de très gros problèmes le jour où il y aura une attaque sur
SHA-1 utilisable concrétement.

En fait, la vraie étape initiale qui est vraiment en cours actuellement
est de s'assurer de l'algorithme vers lequel on va se diriger, pas la
peine de faire du SHA-2 qui est quand même encombrant si c'est pour
découvrir dans 6 mois le même type de faiblesse dessus.

Aujourd'hui la situation malheureusement est plutôt qu'il n'est pas
besoin d'aller chercher très loin pour trouver des systèmes enracinés
sur MD-5, càd où le haché utilisé est MD-5, et où il n'y a pas de
paramètrage pour utiliser autre chose.

Vous avez filtré cet utilisateur ! Consultez son message

mif wrote:

La nouvelle de cette semaine me semble concerner le grand public, car elle
remet en question la sécurité des transactions effectuées par
Monsieur-tout-le-monde.

Définitivement, non, elle n'a aucune influence sur la sécurité des
transactions de monsieur tout le monde !

Je trouve curieux que les médias généralistes ne se soient pas encore
emparés de cette grosse nouvelle.
Y a-t-il une explication ? S'agit-il de pressions extérieures ? Ou bien la
crainte que personne ne comprenne rien ?

Ou bien est-ce moi qui n'ai rien compris ? %-)

Une chose que tu n'as pas bien comprise, que peut-être d'autre n'ont pas
compris non plus, est qu'aucune collision sur SHA-1 n'a été trouvée pour
l'instant.

Les chercheurs chinois ont trouvé des collisions sur des formes de
tailles réduites de SHA-1, et par extrapolation estiment que la
difficulté d'en trouver une sur le SHA-1 complet est de 2^69.

Pourquoi ne sont-ils pas allé plus loin pour réaliser l'attaque sur le
SHA-1 complet ? Et bien parcequ'avec les moyens informatiques actuels,
pour résoudre un problème d'une complexité de 2^69, il faut réunir
quelques centaines de milliers de machines, et les faire travailler
dessus pendant au moins 4 ou 5 ans pour y arriver. Si on commence
maintenant, c'est fini en 2009.
Pour trouver en tout et pour tout 1 collision, sans pouvoir choisir
quelque chose sur la valeur qui donne une collision càd sans pouvoir
l'utiliser concrétement pour falsifier quoi que ce soit.

C'est un gros progrès par rapport à la difficulté initiale théorique de
2^80, mais cela laisse encore une marge de difficulté suffisante pour ne
courrir aucun risque pratique. Après cette attaque, SHA-1 reste plus
solide que MD-5 ne l'était *avant* que l'on arrive à trouver une attaque
dessus.

La raison pour laquelle c'est inquiétant est que si on a pu trouver une
telle méthode pour accélérer la recherche de collision sur SHA-1, il est
peut-être possible d'en trouver encore d'autres, et d'accélérer encore
autant la recherche de collision, auquel cas on rentrerait dans le
domaine du faisable, et si on accélérait encore une troisième fois de la
même marge, ca deviendrait facile, et on pourrait rechercher beaucoup de
collisions. Jusqu'à finir par en dénicher une qui soit utilisable de
manière pratique pour falsifier quelquechose.

Ca reste une perspective fort éloignée de la situation présente.

Mais pour les cryptographes, cela signifie qu'il est temps de bouger et
de ne plus s'enraciner sur SHA-1. Vérifier dans tous les systèmes qu'on
conçoit qu'il n'est pas codé en dur que l'algo utilisé est SHA-1.
Vérifier que les biblio crypto utilisées implémentent toutes aussi autre
chose encore solide, RIPEMD-160 ou SHA-2. Commencer à voir comment on
pourra le moment voulu changer juste un paramètre pour changer l'algo de
hachage utilisé. Commencer à réfléchir comment on va pouvoir pour les
systèmes actuels les mettre à jour pour qu'ils ne dépendent plus de
l'utilisation de SHA-1. Ca pose déjà des soucis, par exemple il ya de
nombreux systèmes hardware qui n'implémentent que MD-5 et SHA-1, et ça
ne se remplace pas du jour au lendemain. Heureusement, il n'y pas
urgence aujourd'hui, mais si on ne s'en occupe pas maintenant, on prend
le risque de très gros problèmes le jour où il y aura une attaque sur
SHA-1 utilisable concrétement.

En fait, la vraie étape initiale qui est vraiment en cours actuellement
est de s'assurer de l'algorithme vers lequel on va se diriger, pas la
peine de faire du SHA-2 qui est quand même encombrant si c'est pour
découvrir dans 6 mois le même type de faiblesse dessus.

Aujourd'hui la situation malheureusement est plutôt qu'il n'est pas
besoin d'aller chercher très loin pour trouver des systèmes enracinés
sur MD-5, càd où le haché utilisé est MD-5, et où il n'y a pas de
paramètrage pour utiliser autre chose.

Thierry

23/02/2005 à 12:19

Bonjour,

Jean-Marc Desperrier a écrit :

C'est un gros progrès par rapport à la difficulté initiale théorique de
2^80, mais cela laisse encore une marge de difficulté suffisante pour ne
courrir aucun risque pratique. Après cette attaque, SHA-1 reste plus
solide que MD-5 ne l'était *avant* que l'on arrive à trouver une attaque
dessus.

J'aimerais comprendre quelque chose.
Produire des données de même hash est une chose mais il faut que ces
données restes coherentes. Par exemple si un attaquant remplace sur un site
Web par exemple un fichier executable par un autre de même hash, il faut
que ce nouveau fichier soit effectivement un fichier executable (avec
l'entete qui va bien). Sans ça l'attaque n'a que peu d'interet.

Est-ce que c'est le cas (produire le même hash avec des données
"cohérentes") quand on dit que MD5 ou SHA-1 est cassé ?

--
« Le travail est probablement ce qu'il y a sur cette terre de plus bas et
de plus ignoble. Il n'est pas possible de regarder un travailleur sans
maudire ce qui a fait que cet homme travaille, alors qu'il pourrait nager,
dormir dans l'herbe ou simplement lire ou faire l'amour avec sa femme. »
Boris VIAN

Mon blog RSS : http://yarglah.free.fr/monblog_rss.php <<

Francois Grieu

23/02/2005 à 13:16

Dans l'article ,
Thierry a écrit:

Produire des données de même hash est une chose mais il faut que
ces données restent coherentes. Par exemple si un attaquant remplace
sur un site Web par exemple un fichier executable par un autre de
même hash, il faut que ce nouveau fichier soit effectivement un
fichier executable (avec l'entete qui va bien). Sans ça l'attaque
n'a que peu d'interet.

Est-ce que c'est le cas (produire le même hash avec des données
"cohérentes") quand on dit que MD5 ou SHA-1 est cassé ?

Les attaques récentes sur MD5 et (peut-être) SHA-1 permettent de
produire 2 messages qui ont le même hash, mais l'attaquent n'a pas
beaucoup de contrôle sur ce hash; en d'autre termes on produit des
collisions, pas des préimages. A titre d'exemple, les attaques ne
permettent de substituer un fichier par un autre sans changer le
hash que si les DEUX fichiers sont choisis pr l'attaquant.

De plus, les attaques (contrairement à la force brute) ne permettent
pas (encore ?) à l'attaquant de choisir deux long morceaux *différents*
dans chacun des deux messages, ce qui limite encore le nombre de
scénarios où l'attaque est réellement praticable.

Par contre, les attaques fonctionnent parfaitement bien si le message
est imposé par le contexte sauf une petite partie quelque part largement
au choix de l'attaquant. Il ne faut donc pas compter du tout sur des
vérifications de "cohérence" d'un en-tête.

En signature électronique: si le signataire produit tout le message,
ou impose un début imprévisible au message, ou insère un hash des
messages au début des messages qu'il signe, il semble qu'il n'a rien
à craindre de ces attaques. Sinon, il faut regarder très en détail.

François Grieu

Francois Grieu

23/02/2005 à 13:18

Dans l'article ,
Thierry a écrit:

Produire des données de même hash est une chose mais il faut que
ces données restent coherentes. Par exemple si un attaquant remplace
sur un site Web par exemple un fichier executable par un autre de
même hash, il faut que ce nouveau fichier soit effectivement un
fichier executable (avec l'entete qui va bien). Sans ça l'attaque
n'a que peu d'interet.

Est-ce que c'est le cas (produire le même hash avec des données
"cohérentes") quand on dit que MD5 ou SHA-1 est cassé ?

Les attaques récentes sur MD5 et (peut-être) SHA-1 permettent de
produire 2 messages qui ont le même hash, mais l'attaquant n'a pas
beaucoup de contrôle sur ce hash; en d'autre termes on produit des
collisions, pas des préimages. A titre d'exemple, les attaques ne
permettent de substituer un fichier par un autre sans changer le
hash que si les DEUX fichiers sont choisis par l'attaquant.

De plus, les attaques (contrairement à la force brute) ne permettent
pas (encore ?) à l'attaquant de choisir deux long morceaux *différents*
dans chacun des deux messages, ce qui limite encore le nombre de
scénarios où l'attaque est réellement praticable.

Par contre, les attaques fonctionnent parfaitement bien si le message
est imposé par le contexte sauf une petite partie quelque part largement
au choix de l'attaquant. Il ne faut donc pas compter du tout sur des
vérifications de "cohérence" d'un en-tête.

En signature électronique: si le signataire produit tout le message,
ou impose un début imprévisible au message, ou insère un hash des
messages au début des messages qu'il signe, il semble qu'il n'a rien
à craindre de ces attaques. Sinon, il faut regarder très en détail.

François Grieu

Jean-Marc Desperrier

23/02/2005 à 13:50

Thierry wrote:

Produire des données de même hash est une chose mais il faut que ces
données restes coherentes. Par exemple si un attaquant remplace sur un site
Web par exemple un fichier executable par un autre de même hash, il faut
que ce nouveau fichier soit effectivement un fichier executable (avec
l'entete qui va bien). Sans ça l'attaque n'a que peu d'interet.

Est-ce que c'est le cas (produire le même hash avec des données
"cohérentes") quand on dit que MD5 ou SHA-1 est cassé ?

Non, et on est très loin de ce type d'attaque.

Le critère de qualité sur une fonction de hachage est fixé très haut, et
il est que ce soit tellement difficile de trouver une collision que
personne n'a jamais été capable d'en montrer une seule.

D'ailleur en fait SHA-1 continue à remplir formellement ce critère,
celui qu'il ne remplit plus est plutôt : qu'il n'existe aucune méthode
plus rapide que la force brute pour trouver une collision.

La classe d'attaque trouvée par les chercheurs chinois demande que l'on
puisse choisir les deux textes à hacher, elle ne permet pas de trouver
une collision sur un texte quelconque.

Cependant comme les collisions trouvées ne modifient que quelques bits
sur l'ensemble du texte initial, le fait qu'on ait besoin que le fichier
qui produit la collision garde un format donné n'est pas trop un obstacle.
Si on arrivait à étendre l'attaque pour trouver une collision par
rapport à un texte quelconque, il ne serait pas difficile sur cette
classe d'attaque de faire en sorte que le texte par lequel on remplace
soit encore exécutable.

Thierry

23/02/2005 à 15:04

Bonjour,

Jean-Marc Desperrier a écrit :

Si on arrivait à étendre l'attaque pour trouver une collision par
rapport à un texte quelconque, il ne serait pas difficile sur cette
classe d'attaque de faire en sorte que le texte par lequel on remplace
soit encore exécutable.

Mais impossible de le modifier suffisement pour qu'il contienne du code
malin, non ?

Autre chose : quelle est la taille des données generées pour obtenir le
même hash par rapport a la taille de l'original ? Identique ?

--
« Le travail est probablement ce qu'il y a sur cette terre de plus bas et
de plus ignoble. Il n'est pas possible de regarder un travailleur sans
maudire ce qui a fait que cet homme travaille, alors qu'il pourrait nager,
dormir dans l'herbe ou simplement lire ou faire l'amour avec sa femme. »
Boris VIAN

Mon blog RSS : http://yarglah.free.fr/monblog_rss.php <<

mif

23/02/2005 à 16:20

Une chose que tu n'as pas bien comprise, que peut-être d'autre n'ont pas
compris non plus, est qu'aucune collision sur SHA-1 n'a été trouvée pour
l'instant.

Les chercheurs chinois ont trouvé des collisions sur des formes de tailles
réduites de SHA-1, et par extrapolation estiment que la difficulté d'en
trouver une sur le SHA-1 complet est de 2^69.

Pourquoi ne sont-ils pas allé plus loin pour réaliser l'attaque sur le
SHA-1 complet ? Et bien parcequ'avec les moyens informatiques actuels,
pour résoudre un problème d'une complexité de 2^69, il faut réunir
quelques centaines de milliers de machines, et les faire travailler dessus
pendant au moins 4 ou 5 ans pour y arriver. Si on commence maintenant,
c'est fini en 2009.

Merci pour cette mise en perspective.

Jean-Luc

03/03/2005 à 21:18

Je trouve curieux que les médias généralistes ne se soient pas encore
emparés de cette grosse nouvelle.

Zont peur de se faire enlever, enfin, vous avez compris.

JL

SHA-1 cassé, et les médias ?

10 réponses

Veuillez sélectionner un problème