Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parLaudine Smith Modifié depuis plus de 10 années
1
Damier Alexandre Saccomani Thomas M2 MAIMIR CCS
Cryptanalyse de MD2 Damier Alexandre Saccomani Thomas M2 MAIMIR CCS
2
1. Introduction Fonction de hachage
Fonction de Hachage H : {0,1}* {0,1}n Binaire de taille arbitraire (Le message) Binaire de taille fixe (Le haché)
3
1. Introduction Fonction de hachage
Résistance aux collisions x x’ et H(x) H(x’) Résistance aux secondes pré images x et y H(x) donné, trouver x’ x tel que H(x’) y Résistance aux pré images y H(x) donné, trouver x’ tel que H(x’) y
4
1. Introduction Fonction de hachage
Attaque par le paradoxe des anniversaires Complexité de 2n/2 pour trouver une collision Recherche brute pour les autres Complexité de 2n Fonction de hachage sûr si il n’existe pas de meilleur attaque
5
1. Introduction Merkle – Damgard - Principe
Méthode typique des fonctions de hachage Fonction de compression f : {0,1}n {0,1}b {0,1}n et h0 vecteur initial de n bits Message m Blocs de b bits m1, m2, … mt hi f(hi-1,mi) et la sortie est H(m) ht
6
1. Introduction Merkle – Damgard - Schéma
7
1. Introduction Merkle – Damgard
MD4, MD5 et SHA-1 en sont des exemples MD2 ne suit pas totalement ce principe
8
2. Description de MD2 Historique
Développé en 1989 par Ronald Rivest Algorithme de signature Plutôt destiné aux processeurs de type 8 bits Performances moindre Pas totalement cassé
9
2. Description de MD2 Padding
oi représentant 1 octet Multiple de 16 Pi de valeur k 16 o1 o2 o3 o4 … or-3 or-2 or-1 or o1 o2 o3 … oi or p1 pk
10
2. Description de MD2 Fonction de Compression
f : {0,1}128 {0,1}128 {0,1}128 mi hin hout Calcul de la fonction de compression par algorithme
11
2. Description de MD2 Fonction de Compression - Algorithme
A0 = hin , B0 = m et C0 = hin m Xi = Ai || Bi || Ci L 0 Pour i de 1 à 18 : Pour j de 0 à 47 : Xij S(L) Xji-1 L Xij L L + i - 1 Renvoyer A18
12
A B C 19 lignes 3 16 = 48 octets
13
2. Description de MD2 Fonction de Compression - Schéma
… m15 X10 X11 X12 X20 X21 X22
14
A B C 19 lignes hout 3 16 = 48 octets
15
2. Description de MD2 Fonction de Compression - Schéma
Xji-1 Xj-1i Xji Xij = S(Xij-1) Xji-1 Xij-1 = S -1(Xij Xji-1) Xi-1j = Xij S (Xij-1 )
16
2. Description de MD2 Checksum
Empreinte ajoutée au message Pour vérifier l’intégrité du message Taille de 16 octets pour MD2
17
3. Attaques sur collisions Rogier & Chavaud
Attaque sur la fonction de compression Pas généralisable à MD2 entier hin doit « être à 0 » B0 = C0 Idée : Ai15 = Bi15 = Ci15 I i 14
18
A B C 0 #
19
A016 A017 et A018 sont en collisions
3. Attaques sur collisions Rogier & Chavaud – Explications supplémentaires Les valeurs de B014 et B114 déterminent les 216 possibilités Deux messages sont en collisions si : A016 A017 et A018 sont en collisions On peut former 232/2 paires avec les possibilités de M Obtention de 27 collisions sur les 24 bits A016 A017 et A018
20
4. Attaque Par Préimage Principe & Rappel
f : {0,1}128 {0,1}128 {0,1}128 mi hin hout Calcul de la fonction de compression par algorithme Explications sur schémas
21
A
22
A
23
A B C
24
A B C
25
4. Attaque Par Préimage Complexité
Attaque par force brute : 2128 Attaque présentée: 272 pour k = 8
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.