MessageRoot Hash

Fig. 2-5Arbresde Merkle.

sationpuis ombinaison(Randomize-then-Combine Paradigm) introduit parBellare etMi ian io[BM97℄ onstitueunautreexemple.Lafon tionXOR-Hash,dé riteau hapitre 9,est fondéesur e paradigme.

Arbresde Merkle. Lesarbres de Merkleont étéintroduits par RalphMerkleen 1979 [Mer79b ℄,dansle butde onstruire un s hémade signature éle troniquefondé sur les fon tions de ha hage. Mais des primitives ryptographiques plus e a es, fondéessurlathéoriedesnombres(RSA, DSA,ECC),ont renduobsolètelesarbres deMerklepour e domained'utilisation. Leprin ipedesarbres deMerkle onsiste à onstruireunarbredeha hageàpartird'unefon tiondeha hage etdedonnées.Les feuilles de l'arbresont les empreintes des diérentsblo s de données; les noeudsde l'arbresont onstituésparlesempreintesdeleurlsrespe tifs.Ausommetdel'arbre, ontrouvel'empreinte ra ine(RootHash).Uneillustrationgraphiqueduprin ipedes arbres de Merkle se trouve gure 2-5. La plupart des implémentations d'arbre de Merkle utilisent des arbres binaires, mais le prin ipe peut être étendu aux arbres

q

-aires.

Les arbres de Merkle sont intensivement employés dans les réseaux pair à pair (Peer-to-Peer Networks). Avant de ommen er letélé hargement d'un hier, l'empreinte ra ine est obtenue d'une sour e de onan e : par exemple, le site internet fournisseur de l'appli ation pair à pair. Lorsque l'empreinte ra ine a été obtenue, l'arbredeha hagepeutêtrereçuetvériéà partirden'importe laquelledessour es du réseau. Cet arbre permet de vérier l'intégrité des données au fur et à mesure dela transmissiondesdiérentesparties d'un hier.Il sut de onnaître lenoeud sesituant à la hauteur orrespondante dans l'arbre, pour vérierune sous-bran he del'arbre ou un fragment de hier.Un autre avantagedes arbres de Merkleréside dansleurnature parallélisable.

2-5 Sé urité des onstru tions

2-5.1 Attaques génériques

Nousdétaillonsi ilesdeuxtypesd'attaquesgénériquessus eptiblesd'êtreappli- quéesaux fon tionsde ha hage. Ces attaques s'appliquent àtoutes lesfon tions de ha hage indépendamment de la façon dont elles sont onstruites. Elles onstituent lesréféren es àlaquellesont omparéesles omplexitésdesattaquesvisantàmettre en défautune destroispropriétés lassiques.

Paradoxe des anniversaires. L'attaque du paradoxe des anniversaires est une attaquegénériquequipermetd'obtenirune pairedemessagesformant une ollision. Soit

h

une fon tion de ha hage de

{0, 1}

∗

vers

{0, 1}

n

. L'adversaire onstruit deux ensembles

E1

E2

, de taille respe tivement

#E1

#E2

, onstitués de ouples de messages tous diérents et de leurs empreintes. La probabilité qu'un message appartenant à

E1

etunmessageappartenantà

E2

possèdent lamêmeempreinteest

P ≈ 1 − exp#E1× #E2

2n

.

En parti ulier, si

#E1= #E2

= 2

n/2

alors

P ≈ 1 −

1 e

= 0, 63.

La omplexitéalgorithmique d'unetelleattaqueest don de l'ordrede

O(2

n/2₎

éva- luations delafon tion de ha hage.

Une fon tionde ha hage ryptographique est onsidérée omme assée dèslors quel'onpeutproduireuneattaquepar ollisionpossédantune omplexitéinférieure à l'attaqueduparadoxe desanniversaires.

Attaques par for e brute. Ce type d'attaque on erne les propriétés de résis- tan e à la re her he d'anté édent et de se ond anté édent. Soit

h

une fon tion de ha hage de

{0, 1}

∗

vers

{0, 1}

n

. L'adversaire tire aléatoirement un message, al ule sonempreinte etvérie si elle- i orrespond àl'empreintedésirée. Silafon tion de ha hage se omporte ommeune fon tion pseudo-aléatoire, laprobabilité de su ès est égale à

1/2

n

. La probabilité de su ès d'une telle attaque peut être améliorée en augmentant lenombre demessagestirés.Sil'adversaire al ulel'empreintede

2 n

messagesdiérents, laprobabilité desu èsest approximativement égale à

0, 63

. En pratique, e type d'attaque est parallélisable. De plus, un adversaire peut onstruire ette attaque simultanément pour un sous-ensemble d'empreintes pos- sibles, ave pour obje tif de ne trouver qu'un seul anté édent. La omplexité de l'attaqueest alors réduitepar latailledu sous-ensemble visé.

Delamêmefaçonquepourl'attaqueparparadoxedesanniversaires,unefon tion deha hageest onsidérée omme asséedèslorsqu'ilexisteuneattaqueparre her he d'anté édent,oudese ondanté édent,possédantune omplexitémeilleureque

O(2

n₎

2-5.2 Attaques spé iques

Lesattaquesgénériquesdé ritesdanslase tionpré édentes'appliquent àtoutes lesfon tions deha hage. Lorsde lades ription de l'algorithmede Merkle-Damgård nousavonsremarquéque etalgorithme,bienquelepluspopulaire,possède ertaines vulnérabilités. Nous dé rivons i i, les attaques développées spé iquement ontre l'algorithmede Merkle-Damgård. Cesattaques sont sus eptibles d'êtreappliquéesà d'autresfon tionsde ha hage itératives.

Attaque des Multi- ollisions. Dans une tentative d'augmenter la sé urité, il a étéproposé de réer une nouvelle fon tion de ha hage en on aténant lessorties de deuxfon tions de ha hage diérentes. Soient deuxfon tions de ha hage résistantes aux ollisions :

h

produisant desempreintes de taille

n

bits et

g

produisant desem- preintesdetaille

m

bits.Lafon tiondeha hage

hg

déniepar

hg(M ) = h(M )||g(M )

produit des empreintes de taille

n + m

bits. La fon tion

hg

est résistante aux ollisions, si on ne peut onstruire une attaque possédant une omplexité inférieure à

O(2n+m2

)

évaluationsde lafon tion de ha hage

hg

Cependant, Antoine Jouxa démontré en 2004 [Jou04 ℄que sil'une au moinsdes deux fon tions on aténées est une fon tion itérative, il existe une attaque stri - tement meilleure que l'attaque générique. Cette attaque repose sur le prin ipe des multi- ollisions. Une

k

-multi- ollision est un ensemble de

k

messages possédant la mêmeempreinte (le asoù

k = 2

orrespondàune ollision lassique).Sanspertede généralitéonpeutsupposerquelafon tion

h

estlafon tionitérative fondéesurl'al- gorithmedeMerkle-Damgård.L'attaquedesmulti- ollisions onsisteà onstruireune

m/2

-multi- ollision pour

h

.La première étape onsiste à obtenir une ollision pour lafon tionde ompressionde

h

ave ommevariablede haînagel'

IV

, ette ollision estobtenue après

O(2

n/2₎

évaluations de la fon tion de ompression de

h

.A partir de la nouvelle variable de haînage on onstruit, de la même façon, une deuxième ollision pour lafon tion de ompression; on répète l'opération

m/2

fois. Ces

m/2

ollisions aboutissent à

2 m/2

messagesdiérents possédant la même empreinte, soit une

m/2

-multi- ollision pour

h

pour un oût égal à

O(

m

2 × 2n/2)

évaluations de la fon tion de ompression de

h

.De plus, parmi es

2 m/2

messages diérents, le paradoxe desanniversairesnousindique qu'il ya une forteprobabilité quedeux d'entre eux onstituent une ollision pour

g

. Finalement, on obtient une ollision pour la fon tion

hg

ave un oût inférieur à

O(2

n+m

2 )

évaluations de ette fon tion. Une illustrationde l'attaquedesmulti- ollisions estproposée gure2-6.

Amélioration de la re her he de se ond anté édent. Pour une fon tion de ha hage idéaleproduisantdesempreintes detaille

n

bits,uneattaquepar re her he de se ond anté édent né essite

O(2

n₎

évaluations de la fon tion de ha hage. Ce- pendant, Dean [Dea99 ℄ a remarqué que ette propriété n'est pas satisfaite par les fon tionsde ha hage itérativesdès lors que l'on peut fa ilement trouver despoints xespour lafon tionde ompression.KelseyetS hneier[KS05 ℄ont montréquel'on peut onstruire unse ond anté édent en moinsde

O(2

n₎

évaluations de lafon tion de ompressionsansutiliserdepointsxes.Pourdesmessageslongs onstituésde

2 k

blo s,ilestpossiblede trouverun se ondanté édent ave une omplexitéde l'ordre de

O(k × 2

n/2_{+ 1 + 2}n−k+1₎

n

H0

H1

H2

Hm/2

M1

M′

1 M2

M′

2 Mm/2

M′

m/2

M1

M1′

M2

M2′

Mm/2

Mm/2′

M2

M2′

g

_h

Fig.2-6 Prin ipe de l'attaquedesmulti- ollisions.

Le prin ipede etteattaques'appuiesurdesmessagesextensibles (Expandable Messages) quisontdesensemblesdemessagesdelongueursdiérentes.Ilssontutili- séspour onstruiredesmessagesdetaillevariable onduisantàunemêmevariablede haînageavant insertion dublo ontenant le odage delalongueur.Onpeut onsi- dérerunmessageextensible ommeunemulti- ollisionoùlesmessagespossèdentun nombre de blo sdiérent, mais onduisent tousà une même variable de haînage.

Un message extensible produisant des messagesde taille variant entre

k

2 k₊

k + 1

blo spermetde trouverun se ondanté édent pour unmessage long omposé de

2 k_{+ k + 1}

blo s.L'attaque onsisteàsto kerl'ensembledesvariablesde haînage intermédiairespuisàtenterdelierlavariablede haînagenaledumessageextensible àl'unedesvariablesde haînagedumessageoriginal.Lorsqu'unlienesttrouvé,ilest toujourspossibled'ajusterlemessageextensibleanqu'ilprésentelamêmelongueur quela premièrepartie du message original,de sondébut jusqu'àl'endroit où lelien a ététrouvé.Onobtient don deuxmessageslongs demême longueur etprésentant une ollision des variables de haînage à un ertain point. On on atène alors au messageextensiblelandumessageoriginal equi onduitàl'obtentiondelamême empreinte. Cepro essus estillustrégure 2-7.

La omplexité totaleestégale à

O(k × 2

n/2_{+ 1 + 2}n−k+1₎

.Le premiertermeest dû à la génération du message extensible, le se ond dé rit la omplexité né essaire pourtrouverun lienentrelemessageextensible etunedesvariables de haînagedu message original.

Attaque de Nostradamus (Herding Atta k). L'attaque de Nostradamus in- troduiteparKelseyetKohno[KK06℄permetàunadversairedes'engager,aprèsavoir

Dans le document Analyse et conception de fonctions de hachage cryptographiques (Page 37-41)

q

h

{0, 1}

∗

{0, 1}

n

E1

E2

#E1

#E2

E1

E2

P ≈ 1 − exp#E1× #E2

2n

.

#E1= #E2

= 2

n/2

P ≈ 1 −

1

e

= 0, 63.

O(2

n/2)

h

{0, 1}

∗

{0, 1}

n

1/2

n

2

n

0, 63

O(2

n)

h

n

g

m

hg

hg(M ) = h(M )||g(M )

n + m

hg

O(2n+m2

)

hg

k

k

k = 2

h

m/2

h

h

IV

O(2

n/2)

h

m/2

m/2

2

m/2

m/2

h

O(

m

2

× 2n/2)

h

2

m/2

g

hg

O(2

n+m

2

)

n

O(2

n/2₎

n₎

n/2₎

n₎

n₎

n/2_{+ 1 + 2}n−k+1₎

_h

k₊

k_{+ k + 1}

n/2_{+ 1 + 2}n−k+1₎