1066, FUCK YEAH
-= Chaos Legions =-
Inscription le 26-05-02
Messages : 3366
 Age : 38 ans
Lieu de résidence : Le Donjon
|
|
|
|
|
La fin des haricots ? a été posté le : 27/11/06 11:20
|
J'ai trouvé cet article sur un autre forum où on en cause encore, je le mets ici pour avoir d'autres avis :
"Le Monde" (CLIC)
Citation :
La confiance qu'ont les utilisateurs d'Internet dans la capacité du système à sécuriser les données a toujours été relative. Elle pourrait bien s'effondrer si l'industrie des microprocesseurs et les fournisseurs de logiciels de cryptage se révélaient incapables de répondre à un nouveau type d'attaque, redoutablement efficace, découvert par une équipe conduite par le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck). Le commerce en ligne serait alors menacé, mais aussi, plus largement, tout ce qui permet la dématérialisation des échanges, fondée sur des applications faisant appel aux codes secrets dits asymétriques, qu'il s'agisse de crypter, de signer ou de garantir l'intégrité de données numériques.
Dans un article encore confidentiel, le chercheur et ses collègues décrivent la façon dont ils ont pu, en une seule tentative - soit quelques millisecondes -, récupérer la quasi-intégralité d'une clé de cryptage de 512 bits (suite d'autant de 0 ou de 1). A titre de comparaison, la plus grande clé publique cassée à ce jour faisait 640 bits, et sa décomposition, annoncée en novembre 2005, avait mobilisé, pendant trois mois, 80 microprocesseurs cadencés à 2,2 GHz.
Depuis l'annonce, cet été, sur le serveur de l'Association internationale de recherche cryptologique (IACR), de la faisabilité théorique d'une telle attaque, les producteurs de microprocesseurs sont sur les dents : les puces de la quasi-totalité du parc informatique sont en effet vulnérables. Au point que le chef de la sécurité d'Intel, numéro un mondial des microprocesseurs, sollicité sur la question, fait répondre qu'il sera "indisponible pendant plusieurs semaines". C'est que la parade face aux attaques classiques des systèmes à clé publique - à savoir allonger la taille des clés - est dans ce cas inopérante.
Jean-Pierre Seifert a en effet pris ces systèmes à rebours. Alors que leur robustesse s'appuie sur la grande difficulté à déduire mathématiquement la clé privée, secrète, à partir de son complément public, il s'est intéressé à la façon dont le microprocesseur lisait en interne ces données confidentielles.
Or il se trouve que le mode de fonctionnement même de la puce, optimisé pour accélérer les calculs, la rend vulnérable. "La sécurité a été sacrifiée au bénéfice de la performance", estime le chercheur.
On peut résumer ainsi le principe de l'attaque : pour aller toujours plus vite, le processeur fonctionne en parallèle et dispose d'un système de prédiction du résultat de l'opération en cours. Si la prédiction est bonne, le processus est sensiblement accéléré. Si elle est erronée, il faut revenir en arrière et recommencer l'opération élémentaire. Il "suffit" de mesurer le temps de calcul lorsque le processeur égrène la chaîne de 0 et de 1 qui constitue la clé de cryptage pour en déduire celle-ci.
Cette menace, qui porte le nom d'"analyse de prédiction de branche" (BPA), était déjà connue, mais elle nécessitait de très nombreux essais pour déduire de façon statistique la clé de cryptage. Ce qui la rendait impraticable. La percée de Jean-Pierre Seifert tient à ce qu'une seule écoute est désormais nécessaire. Et sa force réside dans le fait que le processus de prédiction, fondamental pour accélérer les performances du processeur, n'est pas protégé.
Un petit logiciel "taupe" pourrait donc écouter la puce en toute discrétion, et renvoyer la clé à des hackers, à des services de renseignement ou à des espions à la solde de concurrents.
"UNE QUESTION DE SEMAINES"
On n'en est pas tout à fait là. "Nous n'avons pas développé d'application clé en main, qui serait disponible en ligne", se défend Jean-Pierre Seifert. Mais il estime qu'une fois sa méthode dévoilée, début 2007, lors de la prochaine conférence RSA - du nom du système de cryptage le plus populaire -, la réalisation de tels logiciels d'attaque ne sera qu'"une question de semaines".
Les spécialistes de cryptographie confirment le sérieux de la menace. Sous couvert d'anonymat, l'un des meilleurs connaisseurs mondiaux des systèmes à clé publique résume sans fard la situation : "La solution réelle est de revoir la conception même de nos microprocesseurs - un processus très long et difficile. Une solution de court terme serait de ne pas permettre que des applications sensibles tournent en parallèle avec des opérations standards sur un même ordinateur, ce qui est plus facile à dire qu'à faire dans un environnement de travail classique. Il reste des remèdes partiels, mais ils impliquent de ralentir considérablement le PC."
Jean-Jacques Quisquater (Université catholique de Louvain, Belgique) rappelle que les normes militaires américaines mettent en garde depuis longtemps contre les attaques fondées sur l'analyse des temps de calcul. Pour lui, l'avenir est aux processeurs spécialisés dans les fonctions de sécurité. "Mais on n'y viendra pas avant plusieurs années", remarque-t-il.
"INTEL DOIT ÊTRE DÉSESPÉRÉ"
"On sait bien que ne sont undefinedundefinedtrès sûres'' que les opérations cryptologiques conduites dans une enceinte protégée, côté serveur, avec un module spécifique", confirme Jacques Stern, directeur du laboratoire d'informatique de l'Ecole normale supérieure, à Paris. Une prophylaxie radicale, impraticable pour l'internaute lambda.
David Naccache (université Paris-II) reconnaît qu'"il n'y a pas d'opération à coeur ouvert possible" : toucher au système de module de prédiction pourrait affecter des fonctions essentielles.
En première ligne, Intel se borne à préciser de façon laconique que la prochaine version d'OpenSSL, un logiciel libre de sécurisation de données, répondra à la menace, au besoin en désactivant le module de prédiction. "Une telle mesure ralentirait par quatre le microprocesseur, assure Jean-Pierre Seifert, ce qui prouve à quel point Intel doit être désespéré." Lui-même ancien collaborateur d'Intel et de son concurrent Infineon, revenu ensuite à l'université, il cherche désormais des parades à la faille qu'il a découverte. Mais dans la mesure où les recherches dans ce domaine sont récentes, prévient-il, "cela prendra un certain temps avant d'y voir clair".
Certes l'assaut qu'il a conçu est plus difficile à mettre en oeuvre que les innombrables stratagèmes imaginés par les hackers, qui contraignent l'industrie à produire des "patchs" en permanence. Dans son cas, une simple rustine ne saurait suffire."
|
|
|
Alors... à votre avis, comment on va faire, maintenant ?
|
|
Dernière mise à jour par : Wam le 27/11/06 11:22
|
--------------------
"Demain est le premier jour qu'il nous reste à vivre"
Maxime du vaisseau-monde Neithan.
Hamburger/Paladin, Chaotique Pleutre... et Sandwich au Boulet.
Currently living in Neverland.
Parce que BN est un con mais que je l'aime bien.
|
|
|
|
 Cachée
|
|
|
Chaos Legions
-= Chaos Legions =-
Inscription le 07-08-02
Messages : 2931
 Age : ???
Lieu de résidence :
|
|
|
|
|
|
Réponse au Sujet 'La fin des haricots ?' a été posté le : 28/11/06 03:54
|
C'est cela justement la question, et comme l'article ne donne aucune donnée quantitative sur ce que sujet on ne risque pas de tirer la réponse de notre chapeau.
Ce qui est sûr, c'est que, comme en force brute l'analyse consiste à essayer l'une après l'autre les 2^N combinaisons (N étant le nombres de bits), une fois qu'on a une fraction n de la (bonne) combinaison, il ne faut plus en essayer que 2^[(1-n)N], soit (2^N)^(1-n).
C'est-à-dire, si on considère que le temps utilisé est proportionnel au nombre de combinaison t = k.C (k temps d'une opération, C nombre de combinaison), qu'on a :
t(nouveau) = k[2^N]^(1-n)
Donc t(nouveau) = t(ancien)/[2^N]*[2^N]^(1-n)
Donc t(nouveau) = t(ancien)*[2^N]^(-n)
Donc t(nouveau) = t(ancien)*(2^-nN)
(conditions aux limites collent - wwouups, réflexe de taupin)
Ensuite tout dépend de n et N les amis !
Mais si on prend l'exemple bidon de leur clef de 640 bits, avec un taux de découverte de 90 % (ce qui n'est pas beaucoup pour une quasi-totalité...), le temps est divisé par... 2^0,9*640. Tiens, ma calculatrice scientifique n'aime pas cela, cela doit être supérieur à 10^100.
Essayons avec un taux de 50 % (pour le coup, c'est la plus petite quasi-totalité que j'aie jamais vu), cela nous fait une division par... 2*10^96. N'essayez pas de faire l'application numérique avec le temps de 3 mois donné, vous obtenez du 10^-90 s, c'est si peu que cela n'a même pas de sens physique. En l'occurence, il va de soi que le modèle du temps de décryptage proportionnel ne s'applique plus.
Donc le gain est énorme, surtout pour des grosses clefs. Evidemment en l'occurence on n'utilise pas vraiment de la force brute, puisqu'il s'agit de factoriser un nombre entier en premiers... Mais l'approche montre tout de même l'étendue du gain en terme d'information.
Que quelqu'un me corrige si je dis une bêtise, je ne suis pas informaticien et encore moins spécialiste de cryptage non plus. Mais là je ne pense pas me planter de beaucoup.
post-scriptum :
Je viens de regarder sur Wikipedia, j'ai trouvé cela :
Citation :En fait, la sécurité de cet algorithme repose sur deux conjectures : casser RSA nécessite la factorisation du nombre n et la factorisation est un problème difficile. Par difficile, on entend qu'il n'existe pas d'algorithme rapide pour résoudre cette question. Si l'on veut être un peu plus précis, on pense qu'il n'existe pas d'algorithme ayant une complexité polynomiale en temps qui donne les facteurs premiers d'un nombre quelconque. Il est possible que l'une des deux conjectures soit fausse, voire que les deux le soient. Si c'est le cas, alors RSA n'est pas sûr. Cela fait néanmoins maintenant plus de 20 ans que RSA est cryptanalysé et celui-ci n'a pas encore été cassé, on peut donc raisonnablement le considérer comme un algorithme sûr. Cependant si une personne venait à trouver un moyen « rapide » de factoriser ce nombre n, tous les algorithmes de chiffrement fondés sur ce principe seraient remis en cause et rendus non sûrs, remettant en cause par la même occasion toutes les données chiffrées auparavant à l'aide de ces algorithmes.
En 2005, le plus grand nombre factorisé par les méthodes générales et l'état de l'art en matière de calculs distribués, était long de 663 bits. Les clefs RSA sont habituellement de longueur comprise entre 1024 et 2048 bits. Quelques experts croient possible que des clefs de 1024 bits soient cassées dans un proche avenir (quoique ce soit controversé); mais peu voient un moyen de casser des clefs de 4096 bits dans un avenir prévisible. On présume donc que RSA est sûr si la taille de la clé est suffisamment grande. On peut trouver la factorisation d'une clé de taille inférieure à 256 bits en quelques heures sur un ordinateur individuel, en utilisant des logiciels déjà librement disponibles. Pour une taille allant jusqu'à 512 bits, et depuis 1999, il faut faire travailler conjointement plusieurs centaines d'ordinateurs. Par sûreté, il est couramment recommandé que la taille des clés RSA soit au moins de 2048 bits.
|
|
|
Donc, une clé invulnérable de 2048 bits, si on en récupère 87,5 %, il ne me reste plus qu'à casser 256 bits et c'est très faisable pour un amateur...
|
|
Dernière mise à jour par : JWRK le 28/11/06 05:06
|
|
|
|
|
|
Cachée
|
|
