Cryptographie. Master de cryptographie Fonctions de hachage et applications. 14 et 21 mars Université Rennes 1

Transcription

1 Cryptographie Master de cryptographie Fonctions de hachage et applications 14 et 21 mars 2017 Université Rennes 1 Master Crypto ( ) Cryptographie 14 et 21 mars / 29

2 Utilisation 2 types d'utilisation MDC ou code detecteur de modication Assure l'intégrité des données sur une taille réduite MAC ou code authenticateur de message (utilise une clé) Prouve que l'expéditeur possède la clé Empreinte numérique Exemples d'utilisation téléchargement stockage des mots de passe recherche dans une table signature numérique Master Crypto ( ) Cryptographie 14 et 21 mars / 29

3 Stockage des mots de passe On stocke le haché d'un mot de passe sur le serveur. L'utilisateur rentre son login et son mot de passe en clair. Le mot de passe est haché. Le serveur vérie si le login correspond au haché du mot de passe stocké. un espion peut récupérer les haché mais pas les clairs. Attaque par dictionnaire Principe : utilisation d'un dictionnaire des mots de passe les plus courants et de leurs hachés. Exemple : John the ripper. Détection : imposer un temps entre 2 tentatives, limiter les tentatives. Protection : salage, ie rajouter une donnée claire avant de hacher nouveau dictionnaire nécessaire à chaque fois. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

4 Dénition Une fonction de hachage est une fonction h de l'espace des clairs dans le sous-ensemble des chirés d'une certaine taille. Typiquement Propriétés requises h : {0, 1} {0, 1} n Résistance à la préimage (fonction à sens unique). Étant donné y, il est dicile de trouver x tq y = h(x). Résistance à la seconde préimage. Etant donné x, il est dicile de trouver x x tq h(x ) = h(x). Résistance à la collision. Il est dicile de trouver x x tq h(x) = h(x ) Eet d'avalanche (sauf cas particuliers). Résistance à la collision seconde préimage préimage. Attaque des anniversaires collision en 2 n/2 hachages. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

5 Fonctions de hachage itérées On suppose connue une fonction de compression c : {0, 1} m+t {0, 1} m 0n veut en déduire un haché de longueur m d'une chaîne x. Prétraitement : déduire de x une chaîne y = y 1 y 2... y r avec y i de longueur t (padding). Traitement : Soit IV publique de longueur m. On calcule z 0 = IV, z 1 = c(z 0 y 1 ), z 2 = c(z 1 y 2 ),, z r = c(z r 1 y r ). Transformation de sortie (facultatif) : h(x) = g(z r ) Remarques La fonction de prétraitement doit être injective. A la base de la plupart des fonctions de hachage. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

6 Modèle de Merkle-Damgard Prétraitement On coupe x en r 1 blocs de t 1 bits On rajoute d 0 à x r 1 pour que x r 1 = t 1 On rajoute un bloc de t 1 bits codant d y 1 = 0 x 1,, y k = 1 x k,, y r 1 = 1 x r 1, y r = 1 (d) 2 Traitement classique avec z 0 = 0. Theorem Si la fonction de compression résiste aux collisions, alors la fonction de hachage construite sur le modèle de Merkle-Damgard aussi. Remarque : Il existe une variante si t = 1. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

7 Utilisation des chirements par blocs Motivation : Les chirements par blocs existent déjà et sont "éprouvés". Inconvénient : Ils ne possèdent pas de bonnes propriétés statistiques. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

8 Construction de MAC Idée : concaténer la clé avec le message à authentier. HMAC (standard) Paramètres K clé jusqu'à 512 bits. ipad = 0x et opad = 0x5C 5C 5C constantes de 512 bits. h fonction de hachage. x message à authentier. HMAC(K, x) = h((k opad) h(k ipad x)) On peut aussi utiliser le mode CBC et ne garder que le dernier bloc chiré (CBC-MAC) Master Crypto ( ) Cryptographie 14 et 21 mars / 29

9 Exemples de fonction de compression MD5 Proposé par Rivest en Produit une emprunte de 128 bits pour des blocs de 512 bits. Faille trouvée en Collision trouvée en quelques heures en Encore très utilisé en pratique. A éviter SHA-1 Standard ociel actuel depuis Produit une emprunte de 160 bits pour des blocs de 512 bits. Fonctionnement très similaire à MD5. Collision en 2 63 en Master Crypto ( ) Cryptographie 14 et 21 mars / 29

10 Description de SHA-1 Prétraitement Ajouter 1 à la n du message. Bourrer avec des 0 jusqu'à ce que la taille vaille 448 mod 512. Ajouter la taille du message codé sur 64 bits. Traitement : Master Crypto ( ) Cryptographie 14 et 21 mars / 29

11 Description de SHA-1 Traitement 80 tours avec K i et les valeurs initiales de A, B, C, D, E sont des constantes de 32 bits. les W 0 W 15 sont les sous-blocs de 32 bits du bloc de 512 bits à comprimer. W 16 W 79 en sont déduites. B C (( B) D) si i [0, 19] B C D si i [20, 39] F (B, C, D) = (B C) (B D) (C D) si i [40, 59] B C D si i [60, 79] Master Crypto ( ) Cryptographie 14 et 21 mars / 29

12 Fonctions de compression cryptographiquement sûres SHA-256 (et SHA-224) Produit une emprunte de 256 bits pour des blocs de 512 bits. Même principe que SHA-1 (8 variables, 64 rondes). SHA-512 (et SHA-384) Produit une emprunte de 512 bits pour des blocs de 1024 bits. Même principe que SHA-1 (8 variables de 64 bits, 80 rondes). Whirlpool Produit une emprunte de 512 bits pour des blocs de 1024 bits. Même principe que AES (8 variables de 64 bits, 10 rondes). SHA-3 Standard depuis 2013 suite à un concours. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

13 Les fonctions éponges Principe Phase de préparation Phase d'absorption Phase de restitution Utilise 2 paramètres r, le débit binaire c, la capacité et une fonction travaillant sur des blocs de r + c bits Sécurité Assurée par c qui doit être le double de la taille de l'emprunte Une attaque sur ce modèle implique que la fonction peut être distinguée d'une permutation aléatoire Pas de nécessité d'avoir une fonction de compression sûre Master Crypto ( ) Cryptographie 14 et 21 mars / 29

14 Fonctionnement des fonctions éponges Préparation : padding + découpage en blocs de r bits (A, B) = (0, 0) Absorption : répéter (A, B) = f (A m i, B) Restitution : renvoyer A et répéter (A, B) = f (A, B) Master Crypto ( ) Cryptographie 14 et 21 mars / 29

15 Propriétés des fonctions éponges Prouvées sûres si la fonction sous-jacente ne peut pas être distinguée d'une permutation aléatoire hachage et ot longueur arbitraire en entrée longueur au choix en sortie Facile à paramétrer Niveau de sécurité est simplement xé grâce à c Choix du compromis performance sécurité Modes hachage, hachage en arbre, hachage avec clé, chirement par ot, générateur pseudo-aléatoire Attention une collision se trouve en la racine de la taille de l'emprunte (anniv) une préimage se trouve en la taille de l'emprunte et en 2 c/2 Master Crypto ( ) Cryptographie 14 et 21 mars / 29

16 Keccak et SHA-3 Keccak utilise des blocs de 25,50,100,200,400,800,1600 bits utilise seulement, not, and et rot particulièrement ecace en matériel pas mieux que SHA-2 en logiciel SHA-3 utilise seulement des blocs de 1600 bits pas tous les modes c vaut 2 fois la taille de l'emprunte et r = 25w c avec w = 64 r > n aucune étape de restitution Master Crypto ( ) Cryptographie 14 et 21 mars / 29

17 La transformation f de SHA-3 24 tours de ronde 5 étapes : θ, ρ, π, χ, ι état a où a[i, j, k] est le (5i + j)64 + k-ème bit du bloc à traiter étape θ a[i, j, k] = a[i, j, k] par(a[., j + 1, k 1]) par(a[., j 1, k]) but : diusion Master Crypto ( ) Cryptographie 14 et 21 mars / 29

18 Les étapes ρ et π étape ρ : décalage circulaire des mots. Pour t=0..24, soit ( i j ) = ( ) t ( 0 1 ). Le mot a[i, j,.] est décalé circulairement de (t +1)(t +2)/2 vers la droite (a[0, 0,.] n'est pas décalé) but : dispersion à travers les couches étape π : permutation des mots a[3i + 2j, i,.] = a[i, j,.] but : peturber les alignements horizontaux/verticaux Master Crypto ( ) Cryptographie 14 et 21 mars / 29

19 Les étapes χ et ι étape χ sur les lignes a[i, j, k] = a[i][j][k] (( a[i, j+1, k]) a[i, j+2, k]) but : non linéarité étape ι : xor du premier mot avec une constante dépendante du tour. Au tour n, a[0, 0, 2 m 1] est xoré avec le m + 7n ième bit de sortie du LFSR déni par le polynôme x 8 + x 6 + x 5 + x et initialisé à but : casser les dernières symétries Master Crypto ( ) Cryptographie 14 et 21 mars / 29

20 Signatures numériques Même valeur juridique qu'une signature manuscrite. Doit être gardée très longtemps haut niveau de sécurité recquis. Très utilisées autrement que pour la non-répudiation (identication, transaction bancaire,...). Propriétés recquises Authenticité : elle convainc le destinataire que c'est le prétendu signataire qui a eectivement signé un document. Infalsiable. Non réutilisable : ne doit pas pouvoir être utilisée sur un autre document. Inaltérable. Non répudiable. Conséquence : une signature dépend du message et de l'expéditeur. Exemple : HMAC Master Crypto ( ) Cryptographie 14 et 21 mars / 29

21 Principe général des signatures à clé publique On suppose que A a une clé publique K A, et une clé privée k A et veut signer un message m que B va vérier. Signature A hache d'abord le message m : h(m) A "déchire" h(m) en utilisant k A : s A envoie à B m et s Vérication B calcule h(m) B chire s en utilisant K A : r B vérie que r = h(m) Ainsi, A prouve à B qu'il connaît le secret k A et prouve ainsi son identité. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

22 Signatures numériques Remarques On utilise une fonction de hachage parce qu'il est trop long de chirer le message en entier. Le message n'est pas protégé. Ne prouve pas que (k A, K A ) sont les clés d'alice. Autorité de conance nécessaire. Alice peut dire s'être fait voler sa clé privée pour révoquer sa signature. Utilisation de la signature pour l'authentication Le système dé-réponse (B veut identier A) B envoie un dé à A. A signe ce dé et le renvoie à B. B vérie la signature qui prouve l'identité de A. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

23 Signature ElGamal Soit p premier et g une racine primitive de F p. La clé privée d'alice est un entier aléatoire k A < p 1 et sa clé publique K A = g k A. On suppose que h est une fonction de hachage à valeurs dans {1,, p 2}. Génération de signature d'un document m Alice choisit un nombre aléatoire k < p 1. Alice calcule r = g k mod p et s = k 1 (h(m) k A r) mod p 1. Alice envoie m, r et s. Vérication de la signature B teste si K r A r s = g h(m) mod p Signature très rapide (si g k précalculé) mais vérication longue (3 exponentiations). Master Crypto ( ) Cryptographie 14 et 21 mars / 29

24 Digital Signature Agreement (DSA) Standard du NIST basé sur ElGamal Fabrication de la clé A choisit un nombre premier l de 160 bits et un nombre premier p tel que l p 1. Soit g un élément d'ordre l dans F p. Clé privée : k A < l. Clé publique K A = g k A. h fonction de hachage à valeurs dans {1,, l 1}. Signature : r = (g k mod p) mod l et s = k 1 (h(m) + k A r) mod l. Vérication : r = ((g s 1 h(m) mod l K rs 1 mod l A mod p) mod l) Commentaires Signature très rapide (si g k précalculé). Vérication moins longue (2 exponentiations). exposants de longueur 160 au lieu de Master Crypto ( ) Cryptographie 14 et 21 mars / 29

25 Signature de Schnorr g G d'ordre l premier. Clé privée k A, clé publique K A = g k A (idem DSA) Signature Choisir un élément k < l au hasard. Calculer la clé publique temporaire r = g k. Calculer e = h(m r) et s = k k A e mod l Vérication Calculer r = g s K e A Accepter si e = h(m r) Signature encore plus simple. Prouvé sûr (si le log discret est dur). Authentication à base de coupon simple à réaliser. Master Crypto ( ) Cryptographie 14 et 21 mars / 29

26 Message recovery signature But : récuperer le message signé en même temps que la vérication. Problématique : on ne peut plus vérier. Principe Rajouter de la redondance au message pour pouvoir s'assurer qu'il est valide via une forme spécique imposée au clair (padding) permettant de vérier la validité de la signature en s'assurant que le message récupéré est valide. via une fonction de redondance R du type m m RSA (sans hachage) marche naturellement Master Crypto ( ) Cryptographie 14 et 21 mars / 29

27 Protocole de Nyber-Rueppel Paramètres publics G = F p, l p 1 premier et g générateur. Paire de clés : x (privée) et y = g x (publique). Génération de signature. forger une paire de clés temporaires k, g k calculer e = R(m)r et s = xe + k mod l envoyer (e, s) vérication Calculer u 1 = g s y e et u 2 = e/u 1 Vérier que u 2 est dans l'image de R (vérication de la signature) Prendre un antécédent de u 2 par R (message recovery) Master Crypto ( ) Cryptographie 14 et 21 mars / 29

28 Signature indéniable Problématique : Vérication impossible sans le consentement du signataire. Protocole Paramètres publics G groupe et g d'ordre l dans G. h : {0, 1} G. Le signataire (S) choisit une clé privée k A et une publique K A = g k A. Signature : s = h(m) k A. Vérication Le désaveu Le vérieur (V) lance un dé z = s u KA v à S, avec u et v aléatoires. S répond en calculant w = z k 1 A mod l. V calcule h(m) u g v et compare à w. S peut faire échouer la vérication pour prétendre ne pas avoir signé. Solution : V envoie un dé z et S doit répondre w V teste si (wg v ) u = (w g v ) u Master Crypto ( ) Cryptographie 14 et 21 mars / 29

29 Signature en aveugle Problématique : signer sans connaître le contenu d'un message m choisit par A Protocole S choisit une clé privée RSA p, q, d et une publique e, n. Masquage : A choisit un masque k et calcule m = mk e mod n. Signature : S signe m : s = m d mod n Démasquage : A calcule s = k 1 s mod n la signature de m. Vérication : V teste si s e = m mod n Il existe plein d'autres protocoles de signature (signature de groupe, k parmi n, multisignature,...) Master Crypto ( ) Cryptographie 14 et 21 mars / 29