>Tout cela est lourd mais c'est la seule solution pour un maximum de transparence.
>Toutes ces données seront mise sur ma page le 18/06.
ok
>En final, je ne peux pas être plus honnête et transparent dans ma démarche.
ok pour la transparance.
L'ennui c'est que pour reproduire exactement l'attaque avec les même graine, il m'aurai fallu en effet faire les 100 cryptanalyses sur la même machine.
Je suis partie du principe que l'attaque doit marcher quelque soit le seed (tu en conviendra), mais c'est vrai que ca ne reproduit pas parfaitement le code donné sur ton site.
>C'est pourquoi je "coince" un peu.
>Ce n'est pas comme cela que l'on saura.
certe,
je te comprends.
>Que mon code source soit lui-même examiné.
si ca peu aider, j'ai lu une remarque interessante à ce sujet sur sci.crypt:
>Personne ne sera assez idiot pour conserver une clef sur $2^{31}$ blocs.
et ben si justement,
c'est pourquoi je suis autant interessée par la "veracité" du résultat.
Les algo de chiffrement par block comme l'AES (ou ses copains) ne sont pas exclusivement utilisé pour le chiffrement.
Prends par exemple un protocole tout con d'authentification sur une carte à puce (c'est très simplifié dans mon exemple):
une carte dispose d'une clé secrete que le verifieur connait.
pour vérifier qu'il cause à la bonne carte, le verifieur envoie un challenge, cad un message aléatoire chiffré avec la clé que la carte va déchiffrer et véfrifie que la carte à utilisé la bonne clé.
içi, il ne s'agit plus de chiffrer des données
ce type de protocole permet à un attaquant d'obtenir autant de couples claire chiffré qu'il le souhaite.
bien sur tu va me dire que l'a carte n'est pas assez rapide pour me sortire 2^31 chifferements en un temps réaliste ou bien que je n'ai qu'a implementer un compteur .... tout comme on me répondait tout à l'heure que je n'avais qu'a compresser mon texte à chiffrer.
Il n'en reste pas moins que le choix de l'algo pour ce type de protocole se fait en fonction de critères très stricts, comme par exemple la resistance à la cryptanalyse à clair ou chiffré connu.
Et quand je dis résistance, je pense complexité équivalente à une attaque en brute force.
C'est pourquoi on ne peu se satisfaire d'arguments de sécurité comme :
->2^31 c'est beaucoup quand même...
->il suffit de compresser ses messages...
...
-> il suffit de ne pas chiffrer les messages commencent par "a" aussi?
ca me rappelle cette fois les arguments d'un célèbre trolleur sur fr.misc.cryptologie...
les algo de chiffrement par blocks utilisés aujourd'hui sont conçu pour résister aux attaques à claire ou chiffrés connus.
or si il s'avère que ce n'est pas le cas, beaucoup de protocoles, courament utilisé aujourd'hui et dont la sécurité repose sur cette hypothese se retrouveront faibles.
C'est pourquoi je refuse de relativiser l'improtance du résulat !
j'attendrai donc le 18 avec impatience pour relancer mes petits calculs. Je te tiendrai informé des résultats si tu y tiens.
>Quand vous dites que vous avez tenté (en vain) de reproduire >cette attaque, vous avez donc (bien entendu) effectué 100 >cryptanalyses complétes et constaté le taux de succès observé.
non je n'ai justement pas observé le taux de succés donné.
>Parce que si ce n'est pas le cas, désolé, vous ne pouvez rien >dire. Je signale au passage que l'expérience (100 >cryptanalyses) nécessite 3 mois de calcul sur un PC puissant.
Je disposais d'une grande puissance de calcul. J'ai en partie utilisé le code donné sur la page de l'auteur en remplacant l'implementation donnée par une implementation assembleur de l'AES bien plus rapide. Ce qui rend l'experience réalisable en beacoup moins de trois mois, d'autant plus que le calcul est facilement parallelisable.
>Affirmer que cette approche est fausse (sans autres preuves) >ne manque pas d'une certaine prétention
J'ai dit "probablement" faux.
Ma seul preuve étant le résultat de mon experimentation qui est peut être faux lui aussi.
Je me refere également en effet aux expériences du preprint 2003/022.
>pour le moment elle ne permet pas de dire que l'AES est cassé >>(encore un effet d'hystérie
c'est là que je ne comprend plus.
Passer d'une securité de l'ordre de 2^128 à 2^31 pour trois bits d'info de clé, et ce grace à une attaque assez simple et qui tient en quelques lignes de C, ca me parait énorme.
Et , quitte à passer pour encore plus hysterique, voir que tant de monde trouve ca très banal et ne voit pas en quoi ce réultat est iimportant, ca me déprime encore plus.
Ca me fait penser au gars qui avait factorisé une des clés de 320 bits des cartes bancaires, sans doute qu'à l'époque on se disait que factoriser un 320 bits c'était faisable, mais qui irai passer trois mois sur un PC pour faire ca?
Donc pour conclure:
-> je trouve que ce résultat est très important.
-> quand je vois que le problème de savoir si il est vrai ou faux n'interesse personne, ca m'énérve beaucoup ! (mais vraiement beacoup!!!)
-> je suis très heureuse d'appendre que plus de résultats seront dispo sur ta page d'içi peu.
Et pour en revenir à l'article initial au sujet de ce fameux général, même fixée sur "une cloison de placoplatre", j'aimerai que la crypto reste "une porte blindé".
bon j'ai pas trop envie de polémiquer mais c'est faux.
si tu te réfère au papier en question (dispo sur www.iacr.org), ils'agit d'une attaque statistique (et non algebrique) sur un grand nombre de données encodées sur 7 bits en effet.
mais le choix des 7 bits est juste donné comme exemple(parceque utilisé en pratique), il n'y a absolument aucune raison pour que cette attaque ne fonctionne pas sur des ensembles de messages avec d'autres caracteristques.
Je ne me fait pas trop de soucis car les résultats de cette attaque on été assez critiqués et je pense qu'il sont faux. (j'ai personnelement essayé en vain de reproduire l'attaque)
Je suis juste surprise qu'une présentation ai été donné sur le sujet au SSTIC car:
-> soit cette attaque est fausse et dans ce cas je trouve dommage de présenter des résulats faux (de cette importance) dans une conference qui se veut serieuse.
->soit cette attaque fonctionne et dans ce cas il s'agit d'un résultat très lourd de conséquence pour l'avenir de la crypto(contrairement à ce que tu as l'air de penser).
Cela dit, il s'agit d'une opinion totalement personelle.
non je ne trouve pas.
je trouve ca très peu au contraire,
sans compter que l'ataque décrite pour retrouver 3 bits à partir de 10gpo de données est très simple,
et, (encore une fois si elle marchait), elle pourrait être très facilement oprimisé pour retrouver le reste de la clé avec éventuelement moins de donnée.
et 10 giga de données c'est très petit pour un algo comme celui ci.
>Puis comme nous dirait notre bon général, la cryptographie >n'est pas le point le plus faible de la securité informatique de >nos jours.
je crois au contraire que notre cher géneral part du principe que la cryptographie est aujourd'hui une science fiable.
Or, aujourd'hui la robustesse théorique de l'AES (et des autres algo de ce type) est sensée être hors de portée des moyens de calcul disponible.
Donc 3 bits de clé pour une complexité de 40Giga de mémoire, c'est ridiculement petit à coté de ce à quoi cet algo est censé résiter Et ce même avec avec la contrainte des octets des messages codés sur 7 bits.
Si cette attaque est réalisable en pratique alors la complexité pour retrouver les 125 bits restant de la clé et très probablement la même que celle nécessaire à retrouver les 3 premier bits.
C'est pourquoi je serai vraiment très interessée de savoir si ce Mr Filiol a confirmé ses résultats lors de cette conférence.
au sujet de cette conference,
je vois sur le site qu'il y avait une présentation de Eric Filiol au sujet du chiffrement par block ou il dit, je cite :
"Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2^31 blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii. "
(Eric Filiol avait déjà publié un article assez contesté à ce sujet.)
Ce résultat, s'il est vrai, sera très lourd de consequences pour la cryptographie.
As tu assisté à cette conférence?
Peux tu nous donner tes impressions sur ce sujet.
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 1.
Ce qui confirme mes craintes.
>OK je suis intéressé par toute personne qui pourra refaire l'expérience.
ca sera fait
a+
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 2.
>Toutes ces données seront mise sur ma page le 18/06.
ok
>En final, je ne peux pas être plus honnête et transparent dans ma démarche.
ok pour la transparance.
L'ennui c'est que pour reproduire exactement l'attaque avec les même graine, il m'aurai fallu en effet faire les 100 cryptanalyses sur la même machine.
Je suis partie du principe que l'attaque doit marcher quelque soit le seed (tu en conviendra), mais c'est vrai que ca ne reproduit pas parfaitement le code donné sur ton site.
>C'est pourquoi je "coince" un peu.
>Ce n'est pas comme cela que l'on saura.
certe,
je te comprends.
>Que mon code source soit lui-même examiné.
si ca peu aider, j'ai lu une remarque interessante à ce sujet sur sci.crypt:
http://groups.google.fr/groups?q=Grieu+PDRC&hl=fr&lr=&i(...)
>Personne ne sera assez idiot pour conserver une clef sur $2^{31}$ blocs.
et ben si justement,
c'est pourquoi je suis autant interessée par la "veracité" du résultat.
Les algo de chiffrement par block comme l'AES (ou ses copains) ne sont pas exclusivement utilisé pour le chiffrement.
Prends par exemple un protocole tout con d'authentification sur une carte à puce (c'est très simplifié dans mon exemple):
une carte dispose d'une clé secrete que le verifieur connait.
pour vérifier qu'il cause à la bonne carte, le verifieur envoie un challenge, cad un message aléatoire chiffré avec la clé que la carte va déchiffrer et véfrifie que la carte à utilisé la bonne clé.
içi, il ne s'agit plus de chiffrer des données
ce type de protocole permet à un attaquant d'obtenir autant de couples claire chiffré qu'il le souhaite.
bien sur tu va me dire que l'a carte n'est pas assez rapide pour me sortire 2^31 chifferements en un temps réaliste ou bien que je n'ai qu'a implementer un compteur .... tout comme on me répondait tout à l'heure que je n'avais qu'a compresser mon texte à chiffrer.
Il n'en reste pas moins que le choix de l'algo pour ce type de protocole se fait en fonction de critères très stricts, comme par exemple la resistance à la cryptanalyse à clair ou chiffré connu.
Et quand je dis résistance, je pense complexité équivalente à une attaque en brute force.
C'est pourquoi on ne peu se satisfaire d'arguments de sécurité comme :
->2^31 c'est beaucoup quand même...
->il suffit de compresser ses messages...
...
-> il suffit de ne pas chiffrer les messages commencent par "a" aussi?
ca me rappelle cette fois les arguments d'un célèbre trolleur sur fr.misc.cryptologie...
les algo de chiffrement par blocks utilisés aujourd'hui sont conçu pour résister aux attaques à claire ou chiffrés connus.
or si il s'avère que ce n'est pas le cas, beaucoup de protocoles, courament utilisé aujourd'hui et dont la sécurité repose sur cette hypothese se retrouveront faibles.
C'est pourquoi je refuse de relativiser l'improtance du résulat !
j'attendrai donc le 18 avec impatience pour relancer mes petits calculs. Je te tiendrai informé des résultats si tu y tiens.
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 2.
non je n'ai justement pas observé le taux de succés donné.
>Parce que si ce n'est pas le cas, désolé, vous ne pouvez rien >dire. Je signale au passage que l'expérience (100 >cryptanalyses) nécessite 3 mois de calcul sur un PC puissant.
Je disposais d'une grande puissance de calcul. J'ai en partie utilisé le code donné sur la page de l'auteur en remplacant l'implementation donnée par une implementation assembleur de l'AES bien plus rapide. Ce qui rend l'experience réalisable en beacoup moins de trois mois, d'autant plus que le calcul est facilement parallelisable.
>Affirmer que cette approche est fausse (sans autres preuves) >ne manque pas d'une certaine prétention
J'ai dit "probablement" faux.
Ma seul preuve étant le résultat de mon experimentation qui est peut être faux lui aussi.
Je me refere également en effet aux expériences du preprint 2003/022.
>pour le moment elle ne permet pas de dire que l'AES est cassé >>(encore un effet d'hystérie
c'est là que je ne comprend plus.
Passer d'une securité de l'ordre de 2^128 à 2^31 pour trois bits d'info de clé, et ce grace à une attaque assez simple et qui tient en quelques lignes de C, ca me parait énorme.
Et , quitte à passer pour encore plus hysterique, voir que tant de monde trouve ca très banal et ne voit pas en quoi ce réultat est iimportant, ca me déprime encore plus.
Ca me fait penser au gars qui avait factorisé une des clés de 320 bits des cartes bancaires, sans doute qu'à l'époque on se disait que factoriser un 320 bits c'était faisable, mais qui irai passer trois mois sur un PC pour faire ca?
Donc pour conclure:
-> je trouve que ce résultat est très important.
-> quand je vois que le problème de savoir si il est vrai ou faux n'interesse personne, ca m'énérve beaucoup ! (mais vraiement beacoup!!!)
-> je suis très heureuse d'appendre que plus de résultats seront dispo sur ta page d'içi peu.
Et pour en revenir à l'article initial au sujet de ce fameux général, même fixée sur "une cloison de placoplatre", j'aimerai que la crypto reste "une porte blindé".
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 2.
si tu te réfère au papier en question (dispo sur www.iacr.org), ils'agit d'une attaque statistique (et non algebrique) sur un grand nombre de données encodées sur 7 bits en effet.
mais le choix des 7 bits est juste donné comme exemple(parceque utilisé en pratique), il n'y a absolument aucune raison pour que cette attaque ne fonctionne pas sur des ensembles de messages avec d'autres caracteristques.
Je ne me fait pas trop de soucis car les résultats de cette attaque on été assez critiqués et je pense qu'il sont faux. (j'ai personnelement essayé en vain de reproduire l'attaque)
Je suis juste surprise qu'une présentation ai été donné sur le sujet au SSTIC car:
-> soit cette attaque est fausse et dans ce cas je trouve dommage de présenter des résulats faux (de cette importance) dans une conference qui se veut serieuse.
->soit cette attaque fonctionne et dans ce cas il s'agit d'un résultat très lourd de conséquence pour l'avenir de la crypto(contrairement à ce que tu as l'air de penser).
Cela dit, il s'agit d'une opinion totalement personelle.
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 1.
non je ne trouve pas.
je trouve ca très peu au contraire,
sans compter que l'ataque décrite pour retrouver 3 bits à partir de 10gpo de données est très simple,
et, (encore une fois si elle marchait), elle pourrait être très facilement oprimisé pour retrouver le reste de la clé avec éventuelement moins de donnée.
et 10 giga de données c'est très petit pour un algo comme celui ci.
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 2.
je crois au contraire que notre cher géneral part du principe que la cryptographie est aujourd'hui une science fiable.
Or, aujourd'hui la robustesse théorique de l'AES (et des autres algo de ce type) est sensée être hors de portée des moyens de calcul disponible.
Donc 3 bits de clé pour une complexité de 40Giga de mémoire, c'est ridiculement petit à coté de ce à quoi cet algo est censé résiter Et ce même avec avec la contrainte des octets des messages codés sur 7 bits.
Si cette attaque est réalisable en pratique alors la complexité pour retrouver les 125 bits restant de la clé et très probablement la même que celle nécessaire à retrouver les 3 premier bits.
C'est pourquoi je serai vraiment très interessée de savoir si ce Mr Filiol a confirmé ses résultats lors de cette conférence.
ode
[^] # Re: [HS] C'était comment SSTIC ?
Posté par ODE . En réponse à la dépêche Inquiètude sur l'indépendance informatique du pays. Évalué à 2.
au sujet de cette conference,
je vois sur le site qu'il y avait une présentation de Eric Filiol au sujet du chiffrement par block ou il dit, je cite :
"Des résultats récents sur l'AES, provenant de 200 cryptanalyses réelles, seront présentés. Ils permettent de retrouver trois bits d'information sur la clef en n'utilisant que 2^31 blocs de chiffré, à la condition que ce chiffré ait été produit à partir de texte codé en ascii. "
(Eric Filiol avait déjà publié un article assez contesté à ce sujet.)
Ce résultat, s'il est vrai, sera très lourd de consequences pour la cryptographie.
As tu assisté à cette conférence?
Peux tu nous donner tes impressions sur ce sujet.
merçi
ode