Fonctions de hachage. Autres missions de la cryptologie contemporaine. Éric Wegrzynowski. dernière modif : 28. marts 2013

Transcription

1 Plan (MDC) Plan (MDC) Éric Wegrzynowski (MDC) dernière modif : 28. marts 2013 Plan (MDC) Plan (MDC) Autres missions de la cryptologie contemporaine Contrôle d intégrité Nécessité de contrôler l intégrité des documents 1. contrôle d intégrité 2. authentification 1. contre les modifications accidentelles (bruit) ; 2. contre les modifications intentionnelles (contrefaçons). Solutions : 1. dans le premier cas utilisation de codes correcteurs d erreurs ; 2. dans le second utilisation de fonctions de hachage.

2 Plan (MDC) Plan (MDC) Deux familles Selon l usage prévu des fonctions de hachage 1. Modification Detection Codes (MDC) codes de détection de manipulation. Permettent (avec un canal sécurisé) d assurer l intégrité d un document. Vérification possible en général par tous. 2. Message Authentication Codes (MAC) codes d authentification de message. Permettent (sans canal sécurisé) d assurer l intégrité document n a pas été modifié. Vérification possible si connaissance d une clé. (MDC) Plan (MDC) Plan (MDC) (MDC) Rôle de l émetteur Assurer l intégrité d un message m en calculant une empreinte h(m) de ce message, et en transmettant cette empreinte via un canal sécurisé. Le récepteur vérifie l intégrité en calculant l empreinte h(m) du message m reçu, et en comparant cette empreinte à celle qu il a obtenu via le canal sécurisé.

3 Plan (MDC) Plan (MDC) Attaques Un attaquant peut tenter en connaissant un message m et son empreinte h(m), de construire un autre message m ayant la même empreinte ; ou bien, de construire a priori deux messages différents m et m ayant la même empreinte. (s il y parvient il peut déjouer des protocoles d engagement de bit par exemple) (MDC) Plan (MDC) Plan (MDC) Objectifs Définition Une fonction de hachage h est une fonction qui, à partir d un document x (fichier) de taille quelconque, calcule une chaîne de bits h(x) d une taille fixée (m) nommée empreinte (ou haché, ou condensé, ou encore résumé). h : {0, 1} {0, 1} m x h(x) On ajoute souvent la condition supplémentaire que l empreinte doit être facile à calculer : pour tout x {0, 1}, h(x) facile à calculer. Associée au document x, l empreinte h(x) doit permettre le Fonctions contrôle de hachage d intégrité du document. OWHF Pour un usage en cryptographie, une fonction de hachage doit satisfaire les propriétés : résistance au calcul de préimage : pour presque tout y h({0, 1} ) il doit être calculatoirement difficile de trouver x {0, 1} tel que h(x) = y ; résistance au calcul de seconde préimage : étant donné x {0, 1}, il doit être calculatoirement difficile de trouver x x tel que h(x) = h(x ). Définition Une fonction de hachage satisfaisant ces deux conditions est dite à sens unique, ou One Way Hash Function (OWHF).

4 Plan (MDC) Plan (MDC) CRHF Autre proriété intéressante : résistance aux collisions : il doit être calculatoirement difficile de trouver x x dans {0, 1} tels que. h(x) = h(x ) Définition Une fonction de hachage satisfaisant cette condition est appelée Collision Resistant Hash Function (CRHF). Relations entre ces propriétés 1. Toute CRHF est résistante au calcul d une seconde préimage. 2. Toute CRHF n est pas nécessairement résistante au calcul d une préimage. Par exemple, si g est une CRHF qui produit des empreintes de longueur m, alors la fonction h suivante est une CRHF qui produit des empreintes de longueur m + 1 : { 1 x si x = m h(x) = 0 g(x) sinon. Plan (MDC) Plan (MDC) Une ignorance Hélas! L existence de OWHF ou de CRHF est inconnue. Probabilité de collision Lorsque le nombre d empreintes est n (pour des empreintes de taille m, n = 2 m ), la probabilité d existence d une collision parmi k documents choisis au hasard est minorée par Pr( collision) 1 e k(k 1) 2n Figur: Probabilité de collisions en fonction de k pour n = 365

5 Plan (MDC) Plan (MDC) Taille des empreintes Si on souhaite une probabilité de succès au moins égale à un certain seuil α en cherchant des collisions au hasard sur des empreintes de taille m, le nombre k de documents à considérer doit satisfaire k 2 m+1 ln(1 α) = c α 2 m 2 c α étant une constante ne dépendant que de α. Pour α = 1 2, c α 1, 17. Taille des empreintes au moins égale à 160 bits. (MDC) Plan (MDC) Plan (MDC) Fonction de compression Définition Une fonction de compression est une fonction qui transforme toute chaîne d une taille fixée n en une chaîne de taille fixée m avec n > m. f : {0, 1} n {0, 1} m Une fonction de compression peut avoir les bonnes propriétés de facilité de calcul de f (x) ; résistance au calcul de préimage ; résistance au calcul de seconde préimage ; résistance aux collisions. Schéma itératif de Merkle-Damgård Schéma général de construction de fonctions de hachage à partir d une fonction de compression f : {0, 1} n {0, 1} m (n > m). 1. document x {0, 1} découpés en t blocs x i de longueur r = n m, le dernier bloc x t étant éventuellement complété (padding) avec des 0. x = x 1 x 2... x t ; 2. ajout d un bloc x t+1 avec la représentation binaire de la longueur de x (avant padding) ; 3. H 0 = IV où IV est une valeur initiale de m bits (par exemple H 0 = 0 m ) ; 4. pour i variant de 1 à t + 1 calcul de H i = f (H i 1, x i ), les H i sont des blocs de m bits ; 5. retourner h(x) = g(h t+1 ), g étant une fonction {0, 1} m {0, 1} m.

6 Plan (MDC) Plan (MDC) Une remarque Théorème Si h est une fonction construite par le schéma itératif de Merkle-Damgård avec une fonction de compression f résistante aux collisions, alors h est une CRHF. Compte tenu du bloc x t+1 de longueur r qui doit représenter la longueur de x, la taille des documents hachables est limitée à 2 r bits. C est pourquoi les fonctions de hachage construites sur ce schéma limitent la taille des documents. Plan (MDC) Plan (MDC) (MDC) Fonction de hachage à base de chiffrement par blocs Principe : utiliser une fonction de chiffrement par bloc E pour construire une fonction de compression. : 1. f (H i 1, x i ) = E Hi 1 (x i ) ; 2. f (H i 1, x i ) = E xi (H i 1 ) ; 3. et bien d autres.

7 Plan (MDC) Plan (MDC) MD5 MD5 = Message Digest. Fonction de hachage proposée par R. Rivest ; produit des empreintes de 128 bits ; exemple : pour le fichier laisser passer.ps ci-dessous) ae7f8f3557aa0c5ee047416a820a55cf ATTENTION Longtemps jugée insuffisante par la taille de ses empreintes, et pas la découverte de collisions pour sa fonction de compression, des collisions ont été trouvées sur MD5 (cf par exemple et pour de beaux exemples de collisions). MD5 ne doit plus être utilisée pour un usage cryptographique. SHA1 SHA1 = Secure Hash Algorithm. Fonction utilisée dans le protoole de signature DSS ; produit des empreintes de 160 bits ; exemple : pour le fichier laisser passer.ps 78639f296bbb5d5ce995fe7f4d563abbe4f9dd4f ATTENTION Une méthode de calcul de collisions avec un facteur de travail de 2 69 a été trouvée en les jours de SHA1 sont comptés. Plan (MDC) Plan (MDC) SHA2 RIPEMD-160 RIPEMD = RACE Integrity Primitives Evaluation Message Digest. Extension de SHA1 proposée par le NIST en 2001 produit des empreintes de 224, 256, 384 et 512 bits. Fonction développée en Europe par Hans Dobbertin, Antoon Bosselaers et Bart Preneel ; produit des empreintes de 160 bits ; exemple : pour le fichier laisser passer.ps 8d91aa07e3c1a89750ff467d66d50afac749cae5

8 Plan (MDC) Plan (MDC) Keccak Fonction développée par G. Bertoni, J. Daemen, M. Peeters et G. Van Assche ; futur standard SHA3 choisi par le NIST (oct. 2012) ; produit des empreintes de tailles variables ; repose sur une construction en éponge (sponge construction) Autres Existence de fonctions de hachage s appuyant sur l aritmétique modulaire ; peu utilisées compte-tenu de leur lenteur. exemple : pour le fichier laisser passer.ps (avec r = , c = 576 et l = 224 bits) 6F48A E75B6826E4AB3E820ECD15B3E2546D30DDDFCDDB8827 Plan (MDC) Plan (MDC) (MDC) (MDC)

9 Plan (MDC) Plan (MDC) Attaques Rôle de l émetteur Assurer l intégrité d un message m en calculant une empreinte, ou un MAC, c = h k (m) de ce message à l aide d une clé secrète k, et en transmettant le couple (m, c) via un canal non sécurisé. Le récepteur vérifie l intégrité en calculant l empreinte h k (m) du message m reçu avec la même clé secrète k, et en comparant cette empreinte à celle qu il a obtenu via le canal non sécurisé. Un attaquant peut tenter de retrouver la clé k en connaissant un ou plusieurs couples (m, c) ; de construire un couple (m, c) valide sans connaissance de la clé, le message m n étant a priori pas imposé ; de construire un couple (m, c) valide sans connaissance de la clé, le message m étant imposé. Plan (MDC) Plan (MDC) (MDC) CBC-MAC Le principe de ce type de MAC consiste à utiliser un système de chiffrement par blocs avec une clé secrète k ; et à chiffrer le message m en mode CBC avec un vecteur d initialisation fixé une fois pour toute (par exemple IV = 0) ; et à ne retenir que le dernier bloc chiffré. Tel quel ce principe n est pas sûr que si les messages sont de longueur fixée. Dans le cas contraire une attaque est connue. On rajoute donc une étape supplémentaire pour le calcul du MAC. On chiffre le bloc obtenu après la dernière étape ci-dessus avec une autre clé k. Pour accroître encore la sécurité, on peut ajouter une dernière étape. On ne retient qu une partie des bits du bloc obtenu après le second chiffrement. Par exemple la première moitié (comme dans le standard ISO/IEC 9797).