La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Damier Alexandre Saccomani Thomas M2 MAIMIR CCS

Présentations similaires


Présentation au sujet: "Damier Alexandre Saccomani Thomas M2 MAIMIR CCS"— Transcription de la présentation:

1 Damier Alexandre Saccomani Thomas M2 MAIMIR CCS
Cryptanalyse de MD2 Damier Alexandre Saccomani Thomas M2 MAIMIR CCS

2 1. Introduction Fonction de hachage
Fonction de Hachage H : {0,1}*  {0,1}n Binaire de taille arbitraire (Le message) Binaire de taille fixe (Le haché)

3 1. Introduction Fonction de hachage
Résistance aux collisions x  x’ et H(x)  H(x’) Résistance aux secondes pré images x et y  H(x) donné, trouver x’  x tel que H(x’)  y Résistance aux pré images y  H(x) donné, trouver x’ tel que H(x’)  y

4 1. Introduction Fonction de hachage
Attaque par le paradoxe des anniversaires Complexité de 2n/2 pour trouver une collision Recherche brute pour les autres Complexité de 2n Fonction de hachage sûr si il n’existe pas de meilleur attaque

5 1. Introduction Merkle – Damgard - Principe
Méthode typique des fonctions de hachage Fonction de compression f : {0,1}n  {0,1}b  {0,1}n et h0 vecteur initial de n bits Message m  Blocs de b bits m1, m2, … mt hi  f(hi-1,mi) et la sortie est H(m)  ht

6 1. Introduction Merkle – Damgard - Schéma

7 1. Introduction Merkle – Damgard
MD4, MD5 et SHA-1 en sont des exemples MD2 ne suit pas totalement ce principe

8 2. Description de MD2 Historique
Développé en 1989 par Ronald Rivest Algorithme de signature Plutôt destiné aux processeurs de type 8 bits Performances moindre Pas totalement cassé

9 2. Description de MD2 Padding
oi représentant 1 octet Multiple de 16 Pi de valeur k  16 o1 o2 o3 o4 or-3 or-2 or-1 or o1 o2 o3 oi or p1 pk

10 2. Description de MD2 Fonction de Compression
f : {0,1}128  {0,1}128  {0,1}128 mi hin hout Calcul de la fonction de compression par algorithme

11 2. Description de MD2 Fonction de Compression - Algorithme
A0 = hin , B0 = m et C0 = hin  m Xi = Ai || Bi || Ci L  0 Pour i de 1 à 18 : Pour j de 0 à 47 : Xij  S(L)  Xji-1 L  Xij L  L + i - 1 Renvoyer A18

12 A B C 19 lignes 3  16 = 48 octets

13 2. Description de MD2 Fonction de Compression - Schéma
m15 X10 X11 X12 X20 X21 X22

14 A B C 19 lignes hout 3  16 = 48 octets

15 2. Description de MD2 Fonction de Compression - Schéma
Xji-1 Xj-1i Xji Xij = S(Xij-1)  Xji-1 Xij-1 = S -1(Xij  Xji-1) Xi-1j = Xij  S (Xij-1 )

16 2. Description de MD2 Checksum
Empreinte ajoutée au message Pour vérifier l’intégrité du message Taille de 16 octets pour MD2

17 3. Attaques sur collisions Rogier & Chavaud
Attaque sur la fonction de compression Pas généralisable à MD2 entier hin doit « être à 0 »  B0 = C0 Idée : Ai15 = Bi15 = Ci15 I  i  14

18 A B C  0 #

19 A016 A017 et A018 sont en collisions
3. Attaques sur collisions Rogier & Chavaud – Explications supplémentaires Les valeurs de B014 et B114 déterminent les 216 possibilités Deux messages sont en collisions si : A016 A017 et A018 sont en collisions On peut former 232/2 paires avec les possibilités de M Obtention de 27 collisions sur les 24 bits A016 A017 et A018

20 4. Attaque Par Préimage Principe & Rappel
f : {0,1}128  {0,1}128  {0,1}128 mi hin hout Calcul de la fonction de compression par algorithme  Explications sur schémas

21 A

22 A

23 A B C

24 A B C

25 4. Attaque Par Préimage Complexité
Attaque par force brute : 2128 Attaque présentée: 272 pour k = 8


Télécharger ppt "Damier Alexandre Saccomani Thomas M2 MAIMIR CCS"

Présentations similaires


Annonces Google