Introduction à la Cryptographie

Transcription

1 Introduction à la Cryptographie 4. Fonctions de hachage E. Thomé (cours et TD) Équipe Caramba, INRIA Nancy Telecom Nancy, 2A TRS

2 2 / 31 Plan Fonctions de hachage Attaques simples et réductions Constructions de fonctions de hachage Après md5 et sha1

3 3 / 31 Qu est-ce que le hachage? Le hachage est un procédé connu de programmation. Principe d une table de hachage, pour stocker des données arbitraires. Données arbitraires = chaînes de bits : {0, 1}. On dispose d une fonction de hachage F : {0, 1} {0, 1} t. La longueur t est fixe. Les données sont stockées dans 2 t listes indépendantes au total : L 0,..., L 2 t 1. La donnée x est stockée dans la liste L F (x).

4 4 / 31 Tables de hachage Coût pour insérer une m-ème valeur dans une table de hachage sur n = 2 t bits : Coût du calcul de F (x) : O(1). Coût de l ajout à la liste L F (x) : O(1 + #L F (x) ). Hypothèse : les valeurs F (x) sont uniformément réparties, donc #L F (x) m/n. En général, dans ce contexte, on n est pas en train de parler de fonction de hachage cryptographique.

5 5 / 31 Desiderata Pour l application informatique table de hachage, on souhaite que les valeurs prises par F (x) soient bien réparties. Choix d implémentation pour une fonction de hachage : Rapide à calculer. Espace des valeurs prises = [0, 2 t 1]. Autre application : calcul de sommes de contrôle : Paquets IP. Si le paquet a subi une altération aléatoire, on le jette. Idée commune : on ne va pas rencontrer par hasard la situation F (x) = F (x ) (collision).

6 6 / 31 Hachage cryptographique Le terme de fonction de hachage est aussi utilisé dans le contexte cryptographique. Les exemples d applications sont multiples. Le hasard devient autre chose : un attaquant. Point commun avec ce qui précède : fonction de {0, 1} {0, 1} t avec t fixe. Exemples d usage : Contrôle d intégrité. Stockage de mots de passe. Signature numérique. (plus tard) Authentification (MAC).

7 7 / 31 Contrôle d intégrité Situation : Je publie sur un site web le code d un logiciel : toto.tar.gz. Je publie aussi une somme de contrôle. Si la somme de contrôle est malléable, quelqu un peut produire un code source différent avec la même somme de contrôle. Fonction de hachage cryptographique : rendre cela impossible. (Attention : un attaquant pourrait aussi changer la somme que je publie!)

8 8 / 31 Stockage de mots de passe Situation : serveur où on se connecte avec un mot de passe. Si les mots de passe sont stockés en clair sur le serveur : Attaque du serveur = tous les mots de passe sniffés. (Mais : si M. Tartempion perd son mot de passe, il peut le retrouver). Alternative : stocker le haché F (login mot de passe). Retrouver le mdp à partir du haché nécessite d inverser F.

9 9 / 31 Propriétés voulues On demande à une fonction de hachage cryptographique de remplir les conditions suivantes. Résistance au calcul de préimage. Étant donné y, difficile de trouver x tel que F (x) = y. Résistance au calcul de seconde préimage. Étant donné x, difficile de trouver x x tel que F (x) = F (x ). Résistance aux collisions. difficile de trouver x et x tels que F (x) = F (x ). Tout ceci nécessite de définir la notion de difficulté. Ces propriétés entretiennent des liens.

10 10 / 31 Résistance au calcul de préimage Pour l application stockage de mot de passe. On a h = F (login mot de passe). Trouver un antécédent de h = retrouver le mot de passe. [terme équivalent : F doit être une à sens unique (one-way)]

11 11 / 31 Collisions Application pile ou face par téléphone. Alice et Bob jouent à pile ou face par téléphone. Convention : pile = chaines avec une majorité de 0. Alice trouve x et x tels que F (x) = F (x ), et x pile, x face. Alice envoie F (x) à Bob. Bob choisit pile ou face. Alice révèle x ou x selon ce qui l arrange.

12 12 / 31 Plan Fonctions de hachage Attaques simples et réductions Constructions de fonctions de hachage Après md5 et sha1

13 13 / 31 De l impossibilité Qu entend-on par la difficulté de trouver une collision? {0, 1} est un ensemble infini. {0, 1} t est un ensemble fini. Donc il existe des collisions. On impose une notion de difficulté calculatoire. On présume ne pas connaître d implantation d algorithme qui en un temps T résout le problème fixé avec probabilité > ɛ (algorithme Las Vegas ). (Mais un tel algorithme existe : avec deux print). Notion de sécurité souhaitée : T /ɛ 2 k pour un paramètre de sécurité k. Valeurs communes k 80, plutôt k 128 de nos jours.

14 14 / 31 Attaques triviales Recherche de préimage pour y [0, 2 t [. Algorithme 1 : essayer une valeur. Pr(succès) = 2 t. Algorithme 2 : essayer 2 t valeurs. Pr(succès) =?.

15 14 / 31 Attaques triviales Recherche de préimage pour y [0, 2 t [. Algorithme 1 : essayer une valeur. Pr(succès) = 2 t. Algorithme 2 : essayer 2 t valeurs. Pr(succès) =?. Hypothèse : F (x) valeur aléatoire dans [0, 2 t [. Probabilité que 2 t tirages évitent la valeur cible : (1 1 2 t ) 2t

16 14 / 31 Attaques triviales Recherche de préimage pour y [0, 2 t [. Algorithme 1 : essayer une valeur. Pr(succès) = 2 t. Algorithme 2 : essayer 2 t valeurs. Pr(succès) =?. Hypothèse : F (x) valeur aléatoire dans [0, 2 t [. Probabilité que 2 t tirages évitent la valeur cible : (1 1 2 t ) 2t 1 e. Proba de succès 1 1/e après 2 t essais. Si le paramètre de sécurité est k, la résistance au calcul de préimage exige au minimum t k. Proposition Pour qu une préimage ne soit pas calculable en temps 2 80, il faut hacher sur 80 bits au moins.

17 15 / 31 Attaques triviales (2) Recherche de collisions. Algorithme : essayer 2 x valeurs au pif, voir s il y a une collision. En temps 2 x, probabilité de succès π =?

18 15 / 31 Attaques triviales (2) Recherche de collisions. Algorithme : essayer 2 x valeurs au pif, voir s il y a une collision. En temps 2 x, probabilité de succès π =? C est une application du paradoxe des anniversaires.

19 16 / 31 Paradoxe des anniversaires Cas général n tirages parmi m valeurs (ici n = 2 x, m = 2 t ). Soit 1 π = Pr(échec) = Pr(aucune collision). 1 π = 1 (1 1 m ) (1 2 m ) (1 3 m )... (1 n 1 m ), log(1 π) ( (n 1)) 1/m, log(1 π) n 2 /2m, (1 π) exp( n 2 /2m), d où la probabilité de succès π 1 exp( n 2 /2m). π σ = n/ m

20 17 / 31 Paradoxe des anniversaires La probabilité d avoir des collisions s approche de 1 quand n/ m dépasse quelques unités. Contexte des fonctions de hachage : Pour avoir T /ɛ > 2 k, on doit donc prendre t 2k. Proposition Pour qu il soit impossible de trouver des collisions en temps 2 80, il faut au moins hacher sur 160 bits.

21 18 / 31 Réductions entre propriétés Quelle est la propriété la plus forte? Celle qui demande le plus à la fonction de hachage? 1. Résistance au calcul de préimage? 2. Résistance au calcul de seconde préimage? 3. Résistance au calcul de collisions?

22 18 / 31 Réductions entre propriétés Quelle est la propriété la plus forte? Celle qui demande le plus à la fonction de hachage? 1. Résistance au calcul de préimage : NON. 2. Résistance au calcul de seconde préimage : NON. 3. Résistance au calcul de collisions. Proposition Une fonction résistante au calcul de collisions est résistante au calcul de préimage. Démonstration : Pouvoir calculer une préimage pouvoir calculer une seconde préimage pouvoir calculer des collisions.

23 19 / 31 Plan Fonctions de hachage Attaques simples et réductions Constructions de fonctions de hachage Après md5 et sha1

24 20 / 31 Comment faire Principe général : ne pas laisser n importe qui faire n importe quoi. Il existe des constructions standard, largement étudiées (qui peuvent certes avoir leurs défauts, mais au moins on les connaît). Construction MD (Merkle-Damgård). Fonctions de hachage à partir de block ciphers. Éponges.

25 21 / 31 Merkle-Damgård Brique de base : fonction de compression c : {0, 1} b+v {0, 1} v. Valeur initiale IV de v bits. Message de n b bits : M = (m 0,..., m n 1 ). Haché H(M) = h n, où : h 0 = IV, h 1 = c(h 0 m 0 ),..., h n = c(h n 1 m n 1 ). m 0 m 1 m n 1 IV c c... c H(M) Théorème (admis) Si c est résistante aux collisions alors H aussi.

26 22 / 31 Attention avec MD La construction MD a ses défauts : En vrai, les messages ont une longueur qui n est pas multiple de quelque chose. Nécessité d un padding M Pad(M). Une idée qui ne marche pas : Compléter par zéro ou plusieurs 0 jusqu à un multiple de b bits.

27 22 / 31 Attention avec MD La construction MD a ses défauts : En vrai, les messages ont une longueur qui n est pas multiple de quelque chose. Nécessité d un padding M Pad(M). Padding standard : Ajouter un 1 au bout. Compléter par zéro ou plusieurs 0 jusqu à un multiple de b bits. Ajouter la longueur en bits du message d origine. Étant donné H(X ), on peut déduire H(Pad(X ) Y ) aisément, puisque H(X ) est une valeur de l état interne.

28 22 / 31 Attention avec MD La construction MD a ses défauts : En vrai, les messages ont une longueur qui n est pas multiple de quelque chose. Nécessité d un padding M Pad(M). Padding standard : Ajouter un 1 au bout. Compléter par zéro ou plusieurs 0 jusqu à un multiple de b bits. Ajouter la longueur en bits du message d origine. Étant donné H(X ), on peut déduire H(Pad(X ) Y ) aisément, puisque H(X ) est une valeur de l état interne. La construction MD reste néanmoins la plus utilisée à ce jour.

29 23 / 31 Exemple : MD5 MD5 (Message Digest 5 Rivest). État interne de v = 128 bits (4 blocs de 32 bits). blocs de message : b = 512 = bits. Un tour = 64 fois le dessin. La fonction F varie (parmi 4) K i constantes. M j l un des 16. s varie. haché sur 128 bits. Mj Ki A B C D F <<< s A B C D

30 24 / 31 MD5 : en gros On considère le dessin comme une fonction M paramétrée par : A, B, C, D : État interne. F : la fonction à utiliser. j : le morceau de message à utiliser. K, s : constantes. La fonction de compression est : (A, B, C, D, (m 0, m 1,..., m 15 )) (A, B, C, D ) après 64 applications de : (A, B, C, D) M(A, B, C, D, F, j, K, s) où (F, j, k, s) sont spécifiés explicitement.

31 25 / 31 MD5 : éléments MD5 est construit à parti d éléments très simples : Opérations bit à bit. Opérations arithmétiques. Décalages. MD5 s implante très bien. MAIS : md5 ne satisfait pas les critères souhaités. Résistance aux collisions : NON. Il est en fait très facile d exhiber des collisions. Résistance au calcul de préimage : pas encore complètement cassé.

32 26 / 31 SHA-1 SHA-1 n est pas le successeur de md5, mais un contemporain. Merkle-Damgård État interne et haché sur 160 bits. Schéma et opérations semblables à MD5. On peut aussi calculer des collisions (plus cher que pour MD5).

33 27 / 31 Plan Fonctions de hachage Attaques simples et réductions Constructions de fonctions de hachage Après md5 et sha1

34 28 / 31 MD5 et SHA1 poubelle! MD5 et SHA1 sont encore aujourd hui les fonctions les plus utilisées. La facilité à créer des collisions pose problème : Attaque Nostradamus. Création de faux certificats de sites web. Conclusion : il faut une nouvelle fonction de hachage. Appel à propositions SHA-3. Vainqueur : Keccak (une éponge).

35 29 / 31 Hachage avec un block cipher Autre construction possible : utiliser un chiffrement par blocs comme brique de base. Idée : E(K, M) = E K (M) est : à sens unique (retrouver M est difficile). rapide et facile à implanter / trouver. On peut s en servir come fonction de compression dans MD. Attention : E(K, M) n est que partiellement à sens unique. Construction Davies-Meyer : H i = E mi (H i 1 ) H i 1. Option éventuellement viable, mais SHA-3 vise plus rapide.

36 30 / 31 Finalistes SHA-3 Détermination du vainqueur SHA-3 en Finalistes : Blake. JH. Keccak. Skein. Grøstl. Ces différentes fonctions ont pour l instant à peu près survécu à deux ans d attaques intenses de la part de la communauté scientifique. Une fois choisi, la fonction gagnante sera promise à un déploiement rapide (Cf AES).

37 30 / 31 Finalistes SHA-3 Détermination du vainqueur SHA-3 en Finalistes : Blake. JH. Keccak. (heureux gagnant!) Skein. Grøstl. Ces différentes fonctions ont pour l instant à peu près survécu à deux ans d attaques intenses de la part de la communauté scientifique. Une fois choisi, la fonction gagnante sera promise à un déploiement rapide (Cf AES).

38 31 / 31 Fonctions de hachage prouvées Il existe des fonctions de hachage assorties de preuves les ramenant à des problèmes mathématiques. Hélas ces fonctions : remplissent rarement (jamais?) les desiderata complets pour une fonction de hachage. sont (pour toutes les instances proposées) très lentes. Exemple d une fonction de hachage prouvée : H(m) = 17 m mod N, où N est un grand entier (impossible à factoriser?). Si H(m ) = H(m), alors m m peut aider à factoriser N. Défauts innombrables.