1 / 28

Les Clefs Fragiles

Attaque du protocoles RSA Yoann Moulin ESISAR IR - P2004. Les Clefs Fragiles. Plan. Historique Rappel sur le protocole RSA Attaque de Wiener Attaque de Weger Attaque de Hastad Autres Attaques Force Brute. RSA : Historique.

logan-hansen
Download Presentation

Les Clefs Fragiles

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Attaque du protocoles RSA Yoann Moulin ESISAR IR - P2004 Les Clefs Fragiles

  2. Plan • Historique • Rappel sur le protocole RSA • Attaque de Wiener • Attaque de Weger • Attaque de Hastad • Autres Attaques • Force Brute

  3. RSA : Historique • 1976 : Diffie et Hellman Théorie de la cryptographie asymétrique • 1978 : Adelman, Rivet, Shamir : RSA 1er protocole de cryptographie asymétrique

  4. RSA : Rappel (1) • Soit p et q, 2 entiers tel que : n = pq(n) = (p-1)(q-1) • e : l'exposant publique premier avec (n) • la paire (n,e) représente la clé publique • d : la clé privée tel que d = e-1 modulo ((n))

  5. RSA : Rappel (2) • soit m un message à chiffrer • Chiffrement du message : c = memodulo(n) • Déchiffrement du message m = cdmodulo(n)

  6. Plan • Historique • Rappel sur le protocole RSA • Attaque de Wiener • Attaque de Weger • Attaque de Hastad • Autres Attaques • Force Brute

  7. Attaque de Weiner (1) • Principe • Petit exposant de déchiffrement • d supposé petit devant (n) • p et q supposés proche

  8. Attaque de Weiner (2) • attaque basée sur l'équation définissant d : e*d = 1 modulo((n))/2 • la division par 2 vient de : PGCD(p-1,q-1) = 2

  9. Attaque de Weiner (3) • Donc existe k > 0 tel que e*d = 1 + k*(n)/2 • l'équation peut s'écrire : 2e k 1 - =(n) d d*(n)

  10. Attaque de Weiner (4) • Proposition(n) = n + 1 – p - q • Approximation de (n)(n) ≃ n

  11. Attaque de Weiner (5) • si on trouve d & k premier entre eux alors 2e k 1 - ≤(n) d 2d*d • on peut simplifier la fraction de la sorte 1 1≤(n) 2d

  12. Attaque de Weiner (6) • Théorème de Weiner (1990) Soient n=pq p premier avec q vérifiant q < p < 2q Si d < 1/3*n1/4Alors connaissant n et e on peut calculer d

  13. Plan • Historique • Rappel sur le protocole RSA • Attaque de Wiener • Attaque de Weger • Attaque de Hastad • Autres Attaques • Force Brute

  14. Attaque de Weger (1) • Attaque directe par la fonction  • Amélioration de l'approximation de (n) • Amélioration de l'attaque Weiner

  15. Attaque de Weger (2) • Approximation (n) ≃ n-2n1/2+1 • Donc dans l'e problème de Weiner : 2e / n est remplacé par 2e / (n - 2n1/2 + 1)

  16. Attaque de Weger (3) • Attaque directe :si p et q choisie proche • On peux poser le problème non linéaire suivant n = PQ (P-1)(Q-1) = n - 2n1/2 + 1

  17. Attaque de Weger (3) • Théorème (2003)Soient n = pqp et q premiers vérifiant q < p < 2qSi |p-q|<2n1/4alors, connaissant n, on peut calculer p et q

  18. Plan • Historique • Rappel sur le protocole RSA • Attaque de Wiener • Attaque de Weger • Attaque de Hastad • Autres Attaques • Force Brute

  19. Attaque de Hastad (1) • 1er faiblesse de RSA trouvée en 1985 • basé sur l'utilisation d'un petit exposant de chiffrement • appelé aussi « attaque par diffusion » • Pourquoi un petit exposant e ? • Est-ce que c'est risqué ?

  20. Attaque de Hastad (2) • Alice envoie 1 message m à trois personnes : Bob1 (n1,e1) , Bob2 (n2,e2) , Bob3 (n3,e3) • on suppose n1, n2, n3 deux à deux premiers • on suppose également e1 = e2 = e3 = e • ci = me modulo (ni)

  21. Théorème des restes chinois • Soient m1, m2, ... mn, n entiers (>1) premiers entre eux deux à deux et n entiers a1, a2, ... anAlors le système suivant :x= a1 modulo (m1)x= a2 modulo (m2)...x= an modulo (mn)admet une solution

  22. Attaque de Hastad (3) • un attaquant arrive à récupérer c1, c2, c3 • On applique le théorème des restes chinois C = c1 c2 c3 = m3 modulo ( n1 n2 n3) • si m3 < (n1 n2 n3) alors on peut facilement trouver m • Il suffit de calculer racine cubique de 3

  23. Plan • Historique • Rappel sur le protocole RSA • Attaque de Wiener • Attaque de Weger • Attaque de Hastad • Autres Attaques • Force Brute

  24. Autre Attaque • Attaque de Simmons Attaque par modules partagé • Attaque de Davida et Dennings Création de Fausse signature

  25. Force Brute • RSA-576 : Clé de 576 bits (174 chiffres) cassé • Jens Franke et Thorsten Kleinjung, de l'Institut de mathematiques de Bonn • Utilisation de cluster de PC • objectif : RSA-640 avant fin 2004

  26. Conclusion • Pas d'attaque directe sur le protocole RSA • Origine des failles • dans le choix des clefs • 1 même message avec la même clef donne le même message crypté • Besoin de connaître des messages cryptés • Mise en pratique ?

  27. Références • « Attaque de protocoles RSA » Robert ERRAMisc N°10 Nov/Deb 2003 • « Twenty years of attacks on the RSA cryptosyste » Dan Bonehhttp://crypto.stanford.edu/~dabo/papers/RSA-survey.pdf • « Cryptanalysis of Short RSA Secret Exponents » Michael J. Weiner 1989http://www3.sympatico.ca/wienerfamily/Michael/MichaelPapers/ShortSecretExponents.pdf • « Simple backdoors for RSA key generation » Claude Crepeau & Alain Slakmon 2002http://crypto.cs.mcgill.ca/~crepeau/PDF/CS02.pdf • « Cryptanalysis of RSA with private key d less than N° 292 » D. Boneh & G. Durfeehttp://crypto.stanford.edu/~dabo/papers/lowRSAexp.ps • « 1, 2, 3, 4, 5, 6, ... » zataz.comhttp://www.zataz.com/zatazv7/news_4883.html

  28. Questions ?

More Related