Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Francois Grieu
(talib) demande:
c'est quoi exactement l'utilité du calcul d'un redondant pour signer un message ?
Si on prend simplement comme signature du message m s = m^d mod n il y a plein de problèmes:
* tout d'avord, tout x<n est la signature valable d'un message que l'adversaire peut calculer: m = x^e mod n; l'adversaire n'est gêné que pour fabriquer la signature d'un message "qui veux dire quelque chose", critère peu facile à automatiser.
* de plus l'adversaire connais la signature de pas mal de messages très particuliers et indépendants de la valeur de n message signature 0 0 1 1 x^e x pour petits x tels que x^e < n et d'autres messages dépendants de n, exemple (n-x)^e n-x pour petits x tels que x^e < n
* de plus, si l'adversaire connais deux couples (m1,s1) et (m2,s2) valides, alors il peut déduire que la signature de m3 = m1*m2 mod n est s3 = s1*s2 mod n.
* les attaques se combinent; par exemple, si les e bits (ou octets) de gauche de m1 son à 0, et que la signature de m1 est s1, alors la signature de m3 obtenu en décallant m1 de e bits (ou octets) vers la gauche, est s1 décallé de 1 bit (ou octet) vers la gauche puis réduit modulo n.
Bref l'adversaire peut fabriquer plein de signatures, à partir de rien et/ou de la signature de messages existants. Ce qui peut être un problème.
Pour éviter tous ces ennuis, un bon système de signature se doit d'empêcher l'adversaire de produire la moindre signature valide (qui n'ait été produite par le signatiare légitime), même en combinant la signature d'autres messages, et même si l'adversaire choisi ces dernier messages [ce modèle d'attaque est tout à fait réaliste si la signature a une valeur indiquée dans le message]
François Grieu
alib200@yahoo.fr (talib) demande:
c'est quoi exactement l'utilité du calcul d'un redondant
pour signer un message ?
Si on prend simplement comme signature du message m
s = m^d mod n
il y a plein de problèmes:
* tout d'avord, tout x<n est la signature valable
d'un message que l'adversaire peut calculer: m = x^e mod n;
l'adversaire n'est gêné que pour fabriquer la signature
d'un message "qui veux dire quelque chose", critère peu
facile à automatiser.
* de plus l'adversaire connais la signature de pas mal de
messages très particuliers et indépendants de la valeur de n
message signature
0 0
1 1
x^e x pour petits x tels que x^e < n
et d'autres messages dépendants de n, exemple
(n-x)^e n-x pour petits x tels que x^e < n
* de plus, si l'adversaire connais deux couples (m1,s1) et
(m2,s2) valides, alors il peut déduire que la signature de
m3 = m1*m2 mod n est s3 = s1*s2 mod n.
* les attaques se combinent; par exemple, si les
e bits (ou octets) de gauche de m1 son à 0, et que la
signature de m1 est s1, alors la signature de m3 obtenu
en décallant m1 de e bits (ou octets) vers la gauche,
est s1 décallé de 1 bit (ou octet) vers la gauche puis
réduit modulo n.
Bref l'adversaire peut fabriquer plein de signatures,
à partir de rien et/ou de la signature de messages
existants. Ce qui peut être un problème.
Pour éviter tous ces ennuis, un bon système de signature
se doit d'empêcher l'adversaire de produire la moindre
signature valide (qui n'ait été produite par le signatiare
légitime), même en combinant la signature d'autres messages,
et même si l'adversaire choisi ces dernier messages
[ce modèle d'attaque est tout à fait réaliste si la
signature a une valeur indiquée dans le message]
c'est quoi exactement l'utilité du calcul d'un redondant pour signer un message ?
Si on prend simplement comme signature du message m s = m^d mod n il y a plein de problèmes:
* tout d'avord, tout x<n est la signature valable d'un message que l'adversaire peut calculer: m = x^e mod n; l'adversaire n'est gêné que pour fabriquer la signature d'un message "qui veux dire quelque chose", critère peu facile à automatiser.
* de plus l'adversaire connais la signature de pas mal de messages très particuliers et indépendants de la valeur de n message signature 0 0 1 1 x^e x pour petits x tels que x^e < n et d'autres messages dépendants de n, exemple (n-x)^e n-x pour petits x tels que x^e < n
* de plus, si l'adversaire connais deux couples (m1,s1) et (m2,s2) valides, alors il peut déduire que la signature de m3 = m1*m2 mod n est s3 = s1*s2 mod n.
* les attaques se combinent; par exemple, si les e bits (ou octets) de gauche de m1 son à 0, et que la signature de m1 est s1, alors la signature de m3 obtenu en décallant m1 de e bits (ou octets) vers la gauche, est s1 décallé de 1 bit (ou octet) vers la gauche puis réduit modulo n.
Bref l'adversaire peut fabriquer plein de signatures, à partir de rien et/ou de la signature de messages existants. Ce qui peut être un problème.
Pour éviter tous ces ennuis, un bon système de signature se doit d'empêcher l'adversaire de produire la moindre signature valide (qui n'ait été produite par le signatiare légitime), même en combinant la signature d'autres messages, et même si l'adversaire choisi ces dernier messages [ce modèle d'attaque est tout à fait réaliste si la signature a une valeur indiquée dans le message]
