Encore les chinois :-(
http://www.theregister.co.uk/2005/08/19/sha-1_attack/
Encore les chinois :-(
http://www.theregister.co.uk/2005/08/19/sha-1_attack/
Encore les chinois :-(
http://www.theregister.co.uk/2005/08/19/sha-1_attack/
Il faut quand même relativiser. C'est une attaque qui permet de générer
une collision à partir d'entrées aléatoires. Ce qui est beaucoup plus
facile que de trouver une collision à partir d'une entrée donnée. Or
c'est cela qui est nécessaire pour compromettre la sécurité d'un
cryptosystème reposant sur SHA-1.
Il faut quand même relativiser. C'est une attaque qui permet de générer
une collision à partir d'entrées aléatoires. Ce qui est beaucoup plus
facile que de trouver une collision à partir d'une entrée donnée. Or
c'est cela qui est nécessaire pour compromettre la sécurité d'un
cryptosystème reposant sur SHA-1.
Il faut quand même relativiser. C'est une attaque qui permet de générer
une collision à partir d'entrées aléatoires. Ce qui est beaucoup plus
facile que de trouver une collision à partir d'une entrée donnée. Or
c'est cela qui est nécessaire pour compromettre la sécurité d'un
cryptosystème reposant sur SHA-1.
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
Je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié - j'entends bien sur substituer
une image à hash connu par une autre différente qui
serait ajustée pour produire le même hash.
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
Je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié - j'entends bien sur substituer
une image à hash connu par une autre différente qui
serait ajustée pour produire le même hash.
une estimation qualitative (..) du risque objectif pour
un hash calculé sur, disons, une dizaine de kilo-octets
de données disposant d'une "certaine liberté d'entropie".
Je pense par exemple à une image où on peut jouer à
volonté sur des points tant que l'aspect général ne
parait pas modifié - j'entends bien sur substituer
une image à hash connu par une autre différente qui
serait ajustée pour produire le même hash.
Il faut bien comprendre que les attaques de Xiaoyun Wang
et ses sollègues contre MD5 et SHA-1 ne permettent PAS
de produire UN message ayant un hash arbitrairement imposé
[...]
Ces attaques permettent de produire DEUX messages
distincts ayant le même hash [...], quand les 2
conditions suivantes sont réunies:
1) l'attaquant est libre de choisir une (ou des)
courte(s) section(s) du message (de l'ordre de 128
octets chacune) qui sera la seule (ou seront les seules)
où diffèreront les deux messages [...]
2) l'attaquant connais au préalable le reste du message.
Transposées dans le contexte de messages codant une
image, les attaques de Xiaoyun Wang et ses sollègues
permettent de produire DEUX messages distincts ayant
le même hash et astreints à produire des images de
même apparence; ou ayant l'apparence d'une image
arbitrairement imposée; voire même ayant l'apparence
de deux images distinctes arbitrairement imposées.
Il faut bien comprendre que les attaques de Xiaoyun Wang
et ses sollègues contre MD5 et SHA-1 ne permettent PAS
de produire UN message ayant un hash arbitrairement imposé
[...]
Ces attaques permettent de produire DEUX messages
distincts ayant le même hash [...], quand les 2
conditions suivantes sont réunies:
1) l'attaquant est libre de choisir une (ou des)
courte(s) section(s) du message (de l'ordre de 128
octets chacune) qui sera la seule (ou seront les seules)
où diffèreront les deux messages [...]
2) l'attaquant connais au préalable le reste du message.
Transposées dans le contexte de messages codant une
image, les attaques de Xiaoyun Wang et ses sollègues
permettent de produire DEUX messages distincts ayant
le même hash et astreints à produire des images de
même apparence; ou ayant l'apparence d'une image
arbitrairement imposée; voire même ayant l'apparence
de deux images distinctes arbitrairement imposées.
Il faut bien comprendre que les attaques de Xiaoyun Wang
et ses sollègues contre MD5 et SHA-1 ne permettent PAS
de produire UN message ayant un hash arbitrairement imposé
[...]
Ces attaques permettent de produire DEUX messages
distincts ayant le même hash [...], quand les 2
conditions suivantes sont réunies:
1) l'attaquant est libre de choisir une (ou des)
courte(s) section(s) du message (de l'ordre de 128
octets chacune) qui sera la seule (ou seront les seules)
où diffèreront les deux messages [...]
2) l'attaquant connais au préalable le reste du message.
Transposées dans le contexte de messages codant une
image, les attaques de Xiaoyun Wang et ses sollègues
permettent de produire DEUX messages distincts ayant
le même hash et astreints à produire des images de
même apparence; ou ayant l'apparence d'une image
arbitrairement imposée; voire même ayant l'apparence
de deux images distinctes arbitrairement imposées.
ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
les contraintes sur le codage de l'image se limiteront à
un header court (50 à 100 octets) (fixe en structure mais
différent en données de celui de l'original) et à un
encodage JPG ou JP2 (choix indépendant de celui de
l'image d'origine).
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
les contraintes sur le codage de l'image se limiteront à
un header court (50 à 100 octets) (fixe en structure mais
différent en données de celui de l'original) et à un
encodage JPG ou JP2 (choix indépendant de celui de
l'image d'origine).
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
les contraintes sur le codage de l'image se limiteront à
un header court (50 à 100 octets) (fixe en structure mais
différent en données de celui de l'original) et à un
encodage JPG ou JP2 (choix indépendant de celui de
l'image d'origine).
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
Dans l'article <4311b53d$0$17248$,
Sylvain écrit:ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
On ne sait PAS le faire, ni par Xiaoyun Wang, ni par
une force brute plausible ! On peut produire deux
fichiers, l'un représentant l'image d'origine, l'autre
l'image totalement différente, et qui ont le même hash,
mais ce hash ne sera PAS celui du fichier de l'image
d'origine.
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
Si le signataire réalise lui-même l'acquisition de
l'image en un fichier, la meilleure attaque connue
est la force brute en 2^159 rounds de moyenne au moins.
Dans l'article <4311b53d$0$17248$8fcfb975@news.wanadoo.fr>,
Sylvain écrit:
ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
On ne sait PAS le faire, ni par Xiaoyun Wang, ni par
une force brute plausible ! On peut produire deux
fichiers, l'un représentant l'image d'origine, l'autre
l'image totalement différente, et qui ont le même hash,
mais ce hash ne sera PAS celui du fichier de l'image
d'origine.
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
Si le signataire réalise lui-même l'acquisition de
l'image en un fichier, la meilleure attaque connue
est la force brute en 2^159 rounds de moyenne au moins.
Dans l'article <4311b53d$0$17248$,
Sylvain écrit:ma question se place plus dans ce cas: on connait
l'intégralité de l'image d'origine et son hash,
on souhaite la remplacer par une image totalement
différente (y compris si besoin en taille pour peu
de garder un ordre comparable) produisant le même
hash.
On ne sait PAS le faire, ni par Xiaoyun Wang, ni par
une force brute plausible ! On peut produire deux
fichiers, l'un représentant l'image d'origine, l'autre
l'image totalement différente, et qui ont le même hash,
mais ce hash ne sera PAS celui du fichier de l'image
d'origine.
est-ce que ce problème se ramène à une attaque force
brute ou est-ce que les travaux de Xiaoyun Wang et
ses collègues nous facilitent la tache ?
Si le signataire réalise lui-même l'acquisition de
l'image en un fichier, la meilleure attaque connue
est la force brute en 2^159 rounds de moyenne au moins.
la question n'est donc pas liée à l'opération de signature [...]
la question n'est donc pas liée à l'opération de signature [...]
la question n'est donc pas liée à l'opération de signature [...]
je comprends cela comme une possibilité de modifier l'image d'origine à
la volée en n'interférant pas ensuite son procédé de hash (puis
signature) mais en faisant en sorte que ces modifications permettent de
forger une image différente à hash identique.
ce point indique que dans le cas normal (on l'espère) où l'image
préalable n'a pas pu être "préparée", trouver une 2nd image à hash
identique a la difficulté habituelle.
on suppose ici une image non formattée pour faciliter une attaque
ultérieure et de 10 à 20 ko.
on souhaite une garantie (je ne dis pas conjecture ou spéculation)
qu'il restera pratiquement impossible de forger une autre image
(en s'autorisant toute modification d'aspect) qui produise le même
hash et ce sur une période de 5 ou 10 ans.
une variante à la question pourrait être: est-ce que SHA1 est suffisant
(indépendemment de l'actualité de la semaine) ou est-ce que SHA2-256
serait plus sage ?
je comprends cela comme une possibilité de modifier l'image d'origine à
la volée en n'interférant pas ensuite son procédé de hash (puis
signature) mais en faisant en sorte que ces modifications permettent de
forger une image différente à hash identique.
ce point indique que dans le cas normal (on l'espère) où l'image
préalable n'a pas pu être "préparée", trouver une 2nd image à hash
identique a la difficulté habituelle.
on suppose ici une image non formattée pour faciliter une attaque
ultérieure et de 10 à 20 ko.
on souhaite une garantie (je ne dis pas conjecture ou spéculation)
qu'il restera pratiquement impossible de forger une autre image
(en s'autorisant toute modification d'aspect) qui produise le même
hash et ce sur une période de 5 ou 10 ans.
une variante à la question pourrait être: est-ce que SHA1 est suffisant
(indépendemment de l'actualité de la semaine) ou est-ce que SHA2-256
serait plus sage ?
je comprends cela comme une possibilité de modifier l'image d'origine à
la volée en n'interférant pas ensuite son procédé de hash (puis
signature) mais en faisant en sorte que ces modifications permettent de
forger une image différente à hash identique.
ce point indique que dans le cas normal (on l'espère) où l'image
préalable n'a pas pu être "préparée", trouver une 2nd image à hash
identique a la difficulté habituelle.
on suppose ici une image non formattée pour faciliter une attaque
ultérieure et de 10 à 20 ko.
on souhaite une garantie (je ne dis pas conjecture ou spéculation)
qu'il restera pratiquement impossible de forger une autre image
(en s'autorisant toute modification d'aspect) qui produise le même
hash et ce sur une période de 5 ou 10 ans.
une variante à la question pourrait être: est-ce que SHA1 est suffisant
(indépendemment de l'actualité de la semaine) ou est-ce que SHA2-256
serait plus sage ?