Académique Documents
Professionnel Documents
Culture Documents
Chirement par ot
E. Bresson
SGDN/DCSSI Laboratoire de cryptographie
Emmanuel.Bresson@sgdn.gouv.fr
Chirement par ot
RC4 Wi Conclusion
3/53
RC4 Wi Conclusion
Introduction
4/53
LE CHIFFREMENT SYMETRIQUE
k m
5/53
CHIFFREMENT SYMETRIQUE
6/53
Clair m
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
Chir ec
7/53
STREAM CIPHERS
Les chirements par ots sont tr` es utilis es pour prot eger les donn ees multim edia: RC4 (utilis e dans SSL et dans le WiFi 802.11) E0/1 (norme Bluetooth) A5/1, A5/2, A5/3 (utilis es dans le GSM)
8/53
CARACTERISTIQUES
Tr` es bonnes performances, mais s ecurit e d elicate
Avantages Les stream ciphers sont de fa con g en erale: tr` es rapides (en mat eriel et en logiciel) impl ementation mat erielle avec peu de portes adapt es aux applications temps r eel Inconv enients Principaux probl` emes: propagation derreurs (prob. de synchronisation) s ecurit e dicile ` a atteindre (pas de preuve)
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 9/53
10/53
c1
c2
c3
11/53
SOUS-JACENTE IDEE
Le chirement de Vernam (masque jetable): cl e = suite al eatoire parfaite cl e aussi longue que le message op erations tr` es simples incomditionnellement s ur Chirement par pseudo-al ea Les chirements par ux sinspirent du chire de Vernam mais utilisent une suite pseudo-al eatoire, g en er ee ` a partir de quelques bits de cl e r eellement al eatoires
12/53
(PSEUDO-RANDOMNESS) PSEUDO-ALEA
Pseudo-al ea = al ea imparfait Propri et e souhait ee: impossible ` a distinguer dun v eritable al ea Plus pr ecis ement: Propri et es du pseudo-al ea: Equilibre: la sortie vaut 0 ou 1 avec probabilit e 1/2 Ind ependance: chaque bit de sortie est ind ependant des suivants et des pr ec edents Tr` es dicile ` a satisfaire. . .
13/53
SECURIT E
Al ea pur m GPA m S ecurit e Lorsque le ux de cl e est XOR- e avec le ux de donn ees, la s ecurit e revient ` a lindistinguabilit e du ux de cl e par rapport ` a un ux purement al eatoire
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
c Inconditionnel
S ecurit e?
14/53
Pratique
15/53
MISE EN OEUVRE
A priori, probl` eme pour chirer plusieurs messages avec la m eme cl e: m eme cl e = m eme al ea Ek (M1 ) Ek (M2 ) = M1 M2 solution: ne pas r einitialiser le GPA entre deux chirements ?
pas r ealiste (obligation de m emoriser un etat)
16/53
VECTEUR DINITIALISATION
Solution On utilise une entr ee auxiliaire IV (vecteur dinitialisation)
Cl eK
GPA
IV
keystream
Clair m
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
Chir ec
17/53
K , IV
Etat interne Ei
Fonction d evolution
Fonction dextraction
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 18/53
` PARAMETRES IMPORTANTS
Taille de la cl e: recherche exhaustive Taille de l etat interne: recherche exhaustive Taille de lIV: recherche en collisions
19/53
Chirement par ot
Algorithmes
20/53
Chirement par ot
2 grandes cat egories: 1. chirements synchrones: la sortie du GPA ne d epend que de son etat interne
probl` emes de synchronisation exemples: modes OFB et CTR dun chirement bloc
2. chirements asynchrones: la sortie du GPA d epend de son etat interne et de plusieurs symboles du message
rebouclage avec clair ou chir e exemples: mode CFB dun chirement bloc
21/53
Chirement par ot
A5/1, E0: dans GSM, Bluetooth,. . . SNOW, SOBER: registre ` a d ecalage sur GF (232 ) T-fonctions: utilisation de fonctions d evolution non lin eaires bien etudi ees: X X + (X 2 5) Plus r ecents: Helix, SEAL, Rabbit
22/53
Chirement par ot
Certains modes op eratoires permettent ` a des chirements par blocs de se comporter comme des chirements par ux CFB (Cipher Feed-Back ) et OFB (Output Feed-Back )
23/53
Stream
Chirement RC4
Wi Conclusion
24/53
Stream
Wi Conclusion
Introduction
CHIFFREMENT RC4
Introduction
25/53
Stream
Chirement RC4
Wi Conclusion
Introduction (1/4)
S ecurit e
CHIFFREMENT RC4
Algorithme d evelopp e par Ron Rivest en 1987 RC = Rivest Cipher (ou encore Rons Code) brevet e et tenu secret par la soci et e RSA Inc. d etails post es anonymement sur Usenet en 1994. . . mais jamais approuv es ociellement par RSA Largement utilis e: WEP, WPA, SSL/TLS, Oracle SQL . . . grande simplicit e, facilit e de mise en uvre excellentes performances (vitesse de chirement)
26/53
Stream
Chirement RC4
Wi Conclusion
Introduction (2/4)
S ecurit e
CHIFFREMENT RC4
Du point de vue technique: 1. RC4 est un chirement par ux (octet par octet)
permet datteindre des performances logicielles
La cl e est utilis ee pour m elanger le tableau le mieux possible, puis le tableau (la permutation) evolue ` a chaque tour
27/53
Stream
Chirement RC4
Wi Conclusion
Introduction (3/4)
S ecurit e
CHIFFREMENT RC4
Initialisation (pour une cl e K de longueur ) RC4 key schedule for i = 0 to 255 do S [i ] := i // permutation j := 0 for i = 0 to 255 do j := (j + S [i ] + K [i mod ]) mod 256 swap(S [i ], S [j ])
identit e
28/53
Stream
Chirement RC4
Wi Conclusion
Introduction (4/4)
S ecurit e
CHIFFREMENT RC4
G en eration de ux pseudo-al eatoire Keystream generation i := 0 j := 0 while g en eration do i := i + 1 mod 256 j := j + S [i ] mod 256 swap(S [i ], S [j ]) output S [S [i ] + S [j ] mod 256]
29/53
Stream
Chirement RC4
Wi Conclusion
Introduction
S ecurit e de RC4
CHIFFREMENT RC4
S ecurit e de RC4
30/53
Stream
Chirement RC4
Wi Conclusion
Introduction
Il existe des biais sur le ux pseudo-al eatoire g en er e: Fluhrer et McGrew (2000) d ecrivent un distingueur entre le ux et un al ea pur. . .
moyennant la donn ee dun giga-octets de ux
31/53
Stream
Chirement RC4
Wi Conclusion
Introduction
Or certaines applications (dont WEP) utilisent une simple concat enation de lIV avec la cl e pour eectuer les initialisations donc les motifs de lIV sont directement concern es or lattaquant conna t lIV. . .(voire il peut le choisir !) Attaque r ealiste Avec 6 millions de chir es (intercept es via une attaque passive), on retrouve lint egralit e de la cl e secr` ete
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 32/53
Stream
Chirement RC4
Wi Conclusion
Introduction
Le nombre de permutation de 256 valeurs est enorme: 256! 21684 donc un etat interne de 1700 bits environ (avec i et j )
Mais cela nexclue pas les faiblesses statistiques certains etats (216 0, 015%) sont inaccessibles certaines cl es sont faibles et r eduisent lespace des etats qui seront atteints
33/53
Stream RC4
S ecurit e du Wi-
Conclusion
34/53
Conclusion
DU WI-FI SECURIT E
Introduction
35/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (1/3)
WEP WPA
Le Wi intervient dans la couche data entre couche physique et couche r eseau protocole normalis e IEEE 802.11 en 1997 objectif: condentialit e et int egrit e ( !)
Attaques successives Les versions ant erieures ` a 802.11i (nalis ee en 2004) doivent etre consid er ees comme cass ees
36/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (2/3)
WEP WPA
LE WEP
WEP = Wired Equivalent Privacy Utilise RC4 pour la condentialit e: WEP 40 = 24 bits pour lIV et 40 bits de cl e (lois U.S.) WEP 104 = 24 bits pour lIV et 104 bits de cl e (104 bits = 26 caract` eres hexa) WEP 232 (256 au total): parfois propos e CRC32 pour lint egrit e
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
37/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (3/3)
WEP WPA
AUTHENTIFICATION WEP
Open System / Shared Key Authentication Open system authentication: association au bon r eseau (ID) authentication via possession de la cl e Shared key authentication: le client envoie une requ ete dauthentication le serveur (access point ) envoie un clair le client doit renvoyer le chir e Semble plus s ur. . .mais est plus dangereux (clairs connus)
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
38/53
S ecurit e du Wi-
Conclusion WPA
DU WI-FI SECURIT E
39/53
S ecurit e du Wi-
Conclusion WPA
Une m eme cl e K pour tous les paquets: on d erive la cl e k = IV K pour chaque paquet, on calcule un CRC32 ou ICV (Integrity Check Value ) on chire Ci = RC 4k (Mi ICVi ) LIV est transmis dans len-t ete du paquet Lattaquant conna t une partie de la cl e!
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
40/53
S ecurit e du Wi-
Conclusion WPA
IV DANS LE WEP
Comment est initialis e / utilis e lIV ? Le WEP ne sp ecie pas comment est initialis e lIV certaines cartes PC linitialisent ` a 0 et incr ementent de 1 ` a chaque message. . . certaines cartes ne chirent pas du tout (le WEP est optionnel) IV visible = attaque passive Lespace des IV est beaucoup trop petit: 24 bits = collision en 212 = 4096 forte probabilit e de r eutiliser un IV, m eme si attaque passive
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 41/53
S ecurit e du Wi-
Conclusion WPA
42/53
S ecurit e du Wi-
Conclusion WPA
43/53
S ecurit e du Wi-
Conclusion WPA
SUITE DE LATTAQUE
Comment remonter ` a la cl e?
La cl e ne change pas, il y a 224 IV possibles: donc seulement 224 keystreams possibles En injectant des trames judicieusement choisies, on r ecup` ere des keystreams connus ( 25 Go, env. 20h)
44/53
S ecurit e du Wi-
Conclusion WPA
DU CRC LINEARIT E
Si C = RC 4k (M CRC ) alors on peut calculer le chir e de M = M : C = RC 4k (M CRC ) = RC 4k (M CRC (M )) = RC 4k (M CRC (M )) ( CRC ( )) = C ( CRC ( ))
On peut donc produire de nombreux chir es coh erents ` a partir dun seul
45/53
S ecurit e du Wi-
Conclusion WPA
OBTENTION DE LA CLE
En combinnant les deux probl` emes: 1. exploitation du biais lorsque lIV (et donc la cl e RC4) est faible 2. connaissance dune partie du clair (en-t ete) on peut reconstituer la cl eK ` a partir de 1 ou 2 millions de paquets (quelques heures) Lattaque ayant et e etendue ` a tous les IV, on passe ` a quelques secondes ` a peine pour 40 bits, et un quart dheure pour 104 bits
46/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
DU WI-FI SECURIT E
47/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
` REMEDES AU WEP
utiliser WEP2 (IV 128 bits et cl e 128 bits) utiliser WEP+ (non standard, evite les IV faibles) utiliser Dynamic WEP (changement dynamique de cl e) utiliser WPA ou mieux, WPA2 (` a base dAES) utiliser des protocoles tunnels (SSH, IPSEC)
Seuls les deux derniers ont et e standardis es
Bluetooth: ce nest pas un protocole 802.11 (port ee et d ebit inf erieurs)
48/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
` WPA DE WEP A
2001: les premi` eres attaques eectives sur le WEP sont publi es, faisant suite ` a de nombreuses recherches sur RC4 2003: la Wi-Fi Alliance annonce au WPA (Wireless Protected Access ) 2004: le WEP-40 et le WEP-104 sont ociellement obsol` etes ; le nouveau standard est le WPA2 ou IEEE 802.11i
49/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
50/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
LE WPA2: AMELIORATIONS
Pour compatibilit e, le WPA utilise RC4 comme algorithme de chirement. Bien que plus s ur que WEP, le WPA utilise un algo faible IEEE adopte le WPA en 2004 apr` es quelques modications: support de lAES pour le chirement mode condentialit e-authenticit e: CCMP (Counter mode, CBC-MAC, Protocol ) inclut une gestion de cl e plus soign ee (liens ad-hoc. . .) IEEE 802.11i = WPA2 = TKIP-AES
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 51/53
Stream RC4 Wi
Conclusion
CONCLUSION
Les chirements par ot sont tr` es utilis es: applications temps r eel donn ees multim edia
Leur s ecurit e est tr` es hasardeuse construction souvent ad-hoc absence dune vraie th eorie sur le sujet de nombreuses propositions ont et e cass ees
52/53
Merci
Questions ?