Sécurité et preuves de sécurité des fonctions de hachage

Transcription

1 Sécurité et preuves de sécurité des fonctions de hachage Charles Bouillaguet Département d Informatique Ecole Normale Supérieure de Paris Septembre 2007

2 Les fonctions de hachage Qu est-ce qu une fonction de hachage et à quoi ça sert? Quoi C est simplement une fonction (déterministe) H : {0, 1} {0, 1} n n est petit (entre 100 et 200). Pourquoi très informellement Calculer des empreintes informellement Ressembler à une fonction aléatoire

3 Les fonctions de hachage Propriétés indispensables Ce qui caractérise une fonction de hachage cryptographique F doit résister aux : 1 Pré-images 2 Secondes pré-images 3 Collisions Entrée Sortie y {0, 1} n (un haché) M tel que H(M) = y

4 Les fonctions de hachage Propriétés indispensables Ce qui caractérise une fonction de hachage cryptographique F doit résister aux : 1 Pré-images 2 Secondes pré-images 3 Collisions Entrée M {0, 1} (un message) Sortie M M tel que H(M) = H(M )

5 Les fonctions de hachage Propriétés indispensables Ce qui caractérise une fonction de hachage cryptographique F doit résister aux : 1 Pré-images Entrée 2 Secondes pré-images 3 Collisions Sortie M M tels que H(M) = H(M )

6 Les fonctions de hachage Propriétés indispensables Ce qui caractérise une fonction de hachage cryptographique F doit résister aux : 1 Pré-images 2 Secondes pré-images Difficulté relative Réductions entre les 3 notions Coût pour une fonction aléatoire 3 Collisions Collision seconde pré-image pré-image

7 Les fonctions de hachage Propriétés indispensables Ce qui caractérise une fonction de hachage cryptographique F doit résister aux : 1 Pré-images 2 Secondes pré-images Difficulté relative Réductions entre les 3 notions Coût pour une fonction aléatoire 3 Collisions Collision seconde pré-image pré-image 2 n/2 2 n 2 n

8 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe Si on envoie le mot de passe en clair... Charlie peut s en emparer!

9 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe Si on envoie le mot de passe en clair... Charlie peut s en emparer!

10 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe A la place, on envoie le haché du mot de passe Charlie peut s emparer du haché... mais comment retrouver le mot de passe? Il faut trouver une pré-image de H

11 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe A la place, on envoie le haché du mot de passe Charlie peut s emparer du haché... mais comment retrouver le mot de passe? Il faut trouver une pré-image de H

12 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe A la place, on envoie le haché du mot de passe Charlie peut s emparer du haché... mais comment retrouver le mot de passe? Il faut trouver une pré-image de H

13 Exemples réalistes d utilisation des fonctions de hachage Exemple 1 : vérification de mot de passe A la place, on envoie le haché du mot de passe Charlie peut s emparer du haché... mais comment retrouver le mot de passe? Il faut trouver une pré-image de H

14 Exemples réalistes d utilisation des fonctions de hachage Exemple 2 : schéma de signature Taille signature = taille M Signatures trop grosses, pas pratique.

15 Exemples réalistes d utilisation des fonctions de hachage Exemple 2 : schéma de signature paradigme Hash-and-Sign produit de petites signatures la sécurité dépend alors aussi de H

16 Exemples réalistes d utilisation des fonctions de hachage Exemple 2 (suite) : attaque contre le schéma de signature Si Alice peut calculer la collision (M, M )... Alors elle peut signer M et prétendre avoir signé M! Heureusement, on contrôle généralement peu M et M

17 Exemples réalistes d utilisation des fonctions de hachage Exemple 2 (suite) : attaque contre le schéma de signature M = Alice doit $$100,000,000 à Charlie Si Alice peut maintenant calculer des secondes pré-images Alice peut signer un gros chèque M Et prétendre avoir signé M, un message inoffensif! Ou bien faire signer M à Charlie...

18 La principale construction et ses défauts La construction de Merkle-Damgård (1989) Une méthode populaire et répandue pour fabriquer des fonctions de hachage découper M en blocs de m bits : M = x 1, x 2,..., x r appliquer un padding spécial sur le dernier bloc itérer une fonction de compression F sur les x i F : {0, 1} n+m {0, 1} n on obtient H F : {0, 1} {0, 1} n

19 La principale construction et ses défauts Attaques en seconde pré-image sur Merkle-Damgård Une attaque naïve qui ne marche pas trouver un bloc B qui connecte l IV à h i0. Coût : 2 n / M M = B.x i0... x r est une seconde pré-image M > M! Le padding fait échouer l attaque.

20 La principale construction et ses défauts Attaques en seconde pré-image sur Merkle-Damgård (suite) L attaque de Kelsey et Schneier (2005) Problème : M M + padding Solution : messages expandables. Famille de messages... de différentes tailles de même haché (avant padding) Collisions entre messages de longueurs différentes assemblage : (M 1 M 1 ).(M 2 M 2 ).....(M k M k ) haché final : h k

21 La principale construction et ses défauts Attaques en seconde pré-image sur Merkle-Damgård (suite) L attaque de Kelsey et Schneier (2005) Problème : M M + padding Solution : messages expandables. Famille de messages... de différentes tailles de même haché (avant padding) Collisions entre messages de longueurs différentes assemblage : (M 1 M 1 ).(M 2 M 2 ).....(M k M k ) haché final : h k

22 La principale construction et ses défauts Bilan Avec M 2 k, coût de l attaque de Kelsey et Schneier : k 2 n n k+1 MD5 : n = 128, k = opérations pour une seconde pré-image Améliorer Les fonctions de compression Ici : La façon dont on les utilise

23 Nouvelles propositions Nouvelles propositions récentes de mode opératoire On en étudie deux : HAIFA et Rivest Point commun : ajout d une perturbation à l entrée de F HAIFA : un compteur sur 64 bits Rivest : un élément d une suite apériodique codé sur 2 bits HAIFA

24 Nouvelles propositions Le dithering Analogie avec les techniques de traitement d image Introduction d une perturbation aléatoire noir et blanc original noir et blanc (majorité simple) (niveaux de gris) (dithering)

25 Nouvelles propositions Proposition de Rivest : dithering sans carré Rivest : séquence de dithering infinie z sans carré répétitions variante de Kelsey et Schneier carré : banane séquence infinie sans carré : Thue-Morse (1906) Séquence de Keränen (1992) abcacdcbcdcadcdbdabacabadbabcbdbcbacbcdcacbabdabacadcbcdcacdbcbacbcdcacdcbdcdadb...

26 Nouvelles propositions Le dithering empêche l attaque de Kelsey et Schneier 2 bits de perturbations sont suffisants

27 Nouvelles propositions Le dithering empêche l attaque de Kelsey et Schneier 2 bits de perturbations sont suffisants

28 Nouvelles propositions Problème Quelle est la sécurité de ces deux schéma?

29 Principaux résultats Objectifs du stage 1 Essayer de trouver une attaque sur Rivest... 2 Essayer de prouver des garanties de sécurité pour ces deux constructions Le reste de cet exposé : 1 Une nouvelle attaque générique en seconde pré-image La proposition de Rivest est cassée 2 Une preuve de sécurité sur la seconde pré-image L attaque de Kelsey et Schneier est optimale HAIFA est résistant aux attaques génériques

30 Principaux résultats Objectifs du stage 1 Essayer de trouver une attaque sur Rivest... 2 Essayer de prouver des garanties de sécurité pour ces deux constructions Le reste de cet exposé : 1 Une nouvelle attaque générique en seconde pré-image La proposition de Rivest est cassée 2 Une preuve de sécurité sur la seconde pré-image L attaque de Kelsey et Schneier est optimale HAIFA est résistant aux attaques génériques

31 Contourner le dithering : une nouvelle technique Gérer le dithering Le dithering perturbe la construction des messages expandables leur connexion au message M = nouvelle technique pour construire des M.E. plus souple : supporte la perturbation plus coûteuse...

32 Contourner le dithering : une nouvelle technique Nouvelle technique pour les messages expandables inspirée par la structure en diamant de Kelsey et Kohno (2006) Grosse multicollision en forme d arbre binaire complet Permet d atteindre un haché (la racine) à partir de 2 hauteur hachés. Construction : naïvement 2 n 2 +l+1 plus malin 2 n 2 + l 2 +2 (l = hauteur)

33 Contourner le dithering : une nouvelle technique Application aux secondes pré-images 1 construire la multicollision 2 connecter h M et le message M 3 choisir un préfixe P arbitraire 4 connecter P et la multicollision 5 assembler les morceaux 2 n 2 + l n k+1 avantage! 2 n l+1 gratuit

34 Contourner le dithering : une nouvelle technique Coût de l attaque s il n y a pas le dithering En fonction de l : 2 n 2 + l n l n k+1 Minimal pour l = n 3 2 2n n k+1 Kelsey et Schneier Général k 2 n n k+1 2 2n n k+1 MD5 (n = 128, k = 55) SHA-1 (n = 160, k = 55) Ici

35 Et avec le dithering... Dans le cas du dithering de Rivest Chaque fois qu on connecte la racine à M, il faut vérifier que les lettres correspondent.

36 Et avec le dithering... Analyse du coût sans dithering arbre de collision utile partout avec dithering utile à certaines positions seulement Question Est-ce que le mot utilisé pour construire l arbre est fréquent dans z??? Dans le pire des cas : fréquence 1/[ # facteurs de taille l de z] Automatiquement : # facteurs de taille l de z???

37 Et avec le dithering... Analyse du coût (suite) De la cryptologie aux langages formels Lemme Si l 85, Fact z (l) 8 l Fact z (k) 8*k+332 Number of factors of length k in the Keranen sequence 600 fact z (k) beaucoup d autres résultats plus ou moins généraux

38 Et avec le dithering... Analyse du coût (fin) Coût de l attaque : 2 n 2 + l Fact z (l) 2 n k n l+1 avec la séquence de Keränen et n 3k : (k + 39) 2 n k+4 Pour SHA-1 (n = 160, k = 55) : une seconde pré-image devrait coûter = Cassé

39 l autre côté de la sécurité Obtenir des garanties Les attaques donnent une borne supérieure sur la sécurité. quid d une borne inférieure? Peut-on prouver que HAIFA est résistant à ce genre d attaques? OUI!

40 Les idées de Merkle-Damgård dans le modèle de l Oracle Aléatoire Résultat de sécurité Théorème Si F est une fonction aléatoire, alors avec Q évaluations de F, la probabilité qu un adversaire (non borné) trouve une pré-image de M sur HAIFA est : P [ A réussit ] Q 2 n Conséquence Pour obtenir une seconde pré-image, il faut évaluer F 2 n fois! HAIFA est résistant aux attaques (génériques) en seconde pré-image.

41 Les idées de Merkle-Damgård dans le modèle de l Oracle Aléatoire Résultat similaire sur Merkle-Damgård Théorème (variante) Si F est une fonction aléatoire, alors avec Q évaluations de F, la probabilité qu un adversaire (non borné) trouve une pré-image de M sur Merkle-Damgård normal est : Conséquence P [ A réussit ] Q M Pour obtenir une seconde pré-image, il faut évaluer F 2 n / M fois! L attaque de Kelsey et Schneier est optimale (parmi les attaques génériques). 2 n

42 Autres résultats Nous avons étudié des variantes de la proposition de Rivest autres séquences sans carré mélange compteur/séquence sans carré séquence pseudo-aléatoire = toutes cassées L attaque marche aussi contre une fonction de Shoup pas Merkle-Damgård Première attaque connue Il y a une preuve de sécurité : l attaque est optimale

43 Résumé Une nouvelle attaque générique efficace contre la proposition de Rivest Tellement générique qu elle s applique aussi à d autres constructions Condamne certaines manières de réparer le schéma de Merkle-Damgård HAIFA est résistant aux attaques génériques Perspectives Trouver d autres solutions aussi simples que HAIFA mais plus rapides Participer à la réflection sur les candidats pour la compétition du NIST

44 La construction de Merkle-Damgård (1989) Propriété principale Théorème [Merkle et Damgård, 1989] Si le padding contient l encodage en binaire de M, alors une collision sur H F induit une collision sur F. transmet la résistance aux collisions de F à H F Utilisé dans MD5, SHA-1, SHA-2, Whirpool, Tiger, Snefru rien concernant la résistance aux (secondes) pré-images

45 Schéma de l attaque de Kelsey et Schneier 1 (M, h M ) Précalcul() 2 (x, i 0 ) Connection (M, h M ) 3 P Instanciation (M, i 0 1) 4 M Assemblage(P, x, i 0, M) = P x x i0... x r

46 Comment empêcher l attaque? Pour empêcher l attaque Pour empêcher l attaque, il faut un nombre de facteur exponentiel. dithering avec un compteur sur k bits (HAIFA) simple, efficace, k bits perdus pour le message... dithering pseudo-aléatoire (répétitions?) moins de bits perdus, plus compliqué, analyse délicate

47 Comment empêcher l attaque? Idées de la preuve Cas de Merkle-Damgård on part de [Merkle-Damgård] : seconde pré-image collision sur F L adversaire a trouvé x, m et m t.q. h i 1 m F h i x m F h i Cependant, cette collision est contrainte h i 1 vit dans un ensemble de taille M plus dure à trouver qu une collision libre F aléatoire paradoxe des anniversaires il faut environ 2 n / M évaluations de F