Ne lancez pas votre propre crypto.

N'inventez pas votre propre algorithme ou protocole de cryptage; c'est extrêmement sujet aux erreurs. Comme Bruce Schneier aime à le dire,

"N'importe qui peut inventer un algorithme de chiffrement qu'il ne peut pas briser lui-même; il est beaucoup plus difficile d'en inventer un que personne d'autre ne peut casser".

Les algorithmes de cryptographie sont très complexes et nécessitent un contrôle intensif pour être sûr qu'ils sont sécurisés; si vous inventez le vôtre, vous n'obtiendrez pas cela, et il est très facile de se retrouver avec quelque chose d'insécurité sans vous en rendre compte.

À la place, utilisez un algorithme et un protocole cryptographiques standard. Il y a de fortes chances que quelqu'un d'autre ait déjà rencontré votre problème et ait conçu un algorithme approprié à cette fin.

Votre meilleur cas est d'utiliser un schéma de haut niveau bien vérifié: pour la sécurité des communications, utilisez TLS (ou SSL ); pour les données au repos, utilisez GPG (ou PGP). Si vous ne pouvez pas faire cela, utilisez une bibliothèque cryptographique de haut niveau, telle que cryptlib, GPGME, Keyczar ou NaCL, au lieu d'un de bas niveau, comme OpenSSL, CryptoAPI, JCE, etc. Merci à Nate Lawson pour cette suggestion.

N'utilisez pas le chiffrement sans authentification des messages

C'est une erreur très courante de chiffrer des données sans les authentifier également.

Exemple: le développeur veut garder un message secret, donc crypte le message avec le mode AES-CBC. L'erreur: ce n'est pas suffisant pour la sécurité en présence d'attaques actives, d'attaques de relecture, d'attaques de réaction, etc. Il existe des attaques connues sur le chiffrement sans authentification de message, et les attaques peuvent être assez graves. Le correctif consiste à ajouter une authentification des messages.

Cette erreur a entraîné de graves vulnérabilités dans les systèmes déployés qui utilisaient le chiffrement sans authentification, notamment ASP.NET, XML chiffrement, Amazon EC2, JavaServer Faces, Ruby on Rails, OWASP ESAPI, IPSEC, WEP, ASP.NET à nouveau et SSH2. Vous ne voulez pas être le prochain sur cette liste.

Pour éviter ces problèmes, vous devez utiliser l'authentification de message chaque fois que vous appliquez le chiffrement. Vous avez deux choix pour faire cela:

• La solution la plus simple consiste probablement à utiliser un schéma de chiffrement qui fournit un chiffrement authentifié, par exemple., GCM, CWC, EAX, CCM, OCB. (Voir aussi: 1.) Le schéma de chiffrement authentifié gère cela pour vous, vous n'avez donc pas à y penser.

• Sinon, vous pouvez appliquer votre propre authentification de message, comme suit. Tout d'abord, cryptez le message à l'aide d'un schéma de cryptage à clé symétrique approprié (par exemple, AES-CBC). Ensuite, prenez l'intégralité du texte chiffré (y compris les IV, nonces ou autres valeurs nécessaires pour le déchiffrement), appliquez un code d'authentification de message (par exemple, AES-CMAC, SHA1-HMAC, SHA256-HMAC), et ajoutez le condensé MAC résultant au texte chiffré avant la transmission. Du côté de la réception, vérifiez que le condensé MAC est valide avant de déchiffrer. C'est ce qu'on appelle la construction chiffrer puis authentifier. (Voir aussi: 1, 2.) Cela fonctionne également bien, mais nécessite un peu plus d'attention de votre part.

Faites attention lors de la concaténation de plusieurs chaînes, avant le hachage.

Une erreur que je vois parfois: les gens veulent un hachage des chaînes S et T.Ils les concaténent pour obtenir un chaîne unique S || T, puis hachez-la pour obtenir H (S || T). Ceci est imparfait.

Le problème: la concaténation laisse la frontière entre les deux chaînes ambiguë. Exemple: intégré || sécurisé = construit || non sécurisé . En d'autres termes, le hachage H (S || T) n'identifie pas de manière unique la chaîne S et T. Par conséquent, l'attaquant peut être en mesure de changer la frontière entre les deux chaînes, sans changer le hachage. Par exemple, si Alice voulait envoyer les deux chaînes builtin et en toute sécurité , l'attaquant pourrait les changer en deux chaînes built et de manière non sécurisée sans invalider le hachage.

Des problèmes similaires s'appliquent lors de l'application d'une signature numérique ou d'un code d'authentification de message à une concaténation de chaînes.

Le correctif: plutôt qu'une simple concaténation, utilisez un encodage décodable sans ambiguïté. Par exemple, au lieu de calculer H (S || T), vous pouvez calculer H (longueur (S) || S || T), où longueur (S) est une valeur de 32 bits indiquant la longueur de S en octets. Ou, une autre possibilité est d'utiliser H (H (S) || H (T)), ou même H (H (S) || T).

Pour un exemple réel de cette faille , consultez cette faille dans Amazon Web Services ou cette faille dans Flickr [pdf].

Ne réutilisez pas les nonces ou les IVs

De nombreux modes de fonctionnement nécessitent un IV (vecteur d'initialisation). Vous ne devez jamais réutiliser la même valeur pour une IV deux fois; cela peut annuler toutes les garanties de sécurité et provoquer une faille de sécurité catastrophique.

• Pour les modes de fonctionnement de chiffrement de flux, comme le mode CTR ou le mode OFB, réutiliser un IV est un désastre de sécurité. Cela peut rendre les messages chiffrés facilement récupérables.

• Pour d'autres modes de fonctionnement, comme le mode CBC, la réutilisation d'un IV peut également faciliter les attaques de récupération de texte brut dans certains cas .

Quel que soit le mode de fonctionnement que vous utilisez, vous ne devez pas réutiliser l'IV. Si vous vous demandez comment le faire correctement, la spécification NIST fournit une documentation détaillée sur la façon d'utiliser correctement les modes de fonctionnement du chiffrement par blocs.

Le projet Tarsnap fournit un bon exemple de cet écueil. Tarsnap crypte les données de sauvegarde en les divisant en morceaux, puis en chiffrant chaque morceau avec AES en mode CTR. Dans les versions 1.0.22 à 1.0.27 de Tarsnap, le même IV a été réutilisé par inadvertance, permettant la récupération de texte en clair.

Comment cela s'est-il passé? Afin de simplifier le code de Tarsnap - et dans l'espoir de réduire le potentiel de bugs - Colin Percival en a profité pour "refactoriser" le code AES-CTR dans un nouveau fichier (lib / crypto / crypto_aesctr.c dans le code source de Tarsnap ) et modifié les emplacements existants où AES-CTR a été utilisé pour profiter de ces routines. Le nouveau code ressemble à ceci:

 / * Crypter les données. * / - aes_ctr (& encr_aes-> clé, encr_aes-> nonce ++, buf, len, - filebuf + CRYPTO_FILE_HLEN); + if ((stream = + crypto_aesctr_init (& encr_aes-> clé, encr_aes-> nonce) +) == NULL) goto err0; + crypto_aesctr_stream (flux, buf, filebuf + CRYPTO_FILE_HLEN, len); + crypto_aesctr_free (flux); 

Lors de la refactorisation, encr_aes->nonce ++ a été transformé par inadvertance en encr_aes->nonce , et par conséquent la même valeur nonce a été utilisée à plusieurs reprises . En particulier, la valeur nonce CTR n'est pas incrémentée après que chaque bloc est chiffré. (Le compteur CTR est correctement incrémenté après chaque traitement de 16 octets de données, mais ce compteur est remis à zéro pour chaque nouveau bloc.) Tous les détails sont décrits par Colin Percival dans: http://www.daemonology.net /blog/2011-01-18-tarsnap-critical-security-bug.html

Assurez-vous de semer les générateurs de nombres aléatoires avec suffisamment d'entropie.

Assurez-vous d'utiliser des générateurs de nombres pseudo-aléatoires à crypto-force pour des choses comme la génération de clés, le choix des IV / nonces, etc. . N'utilisez pas rand () , random () , drand48 () , etc.

Assurez-vous ensemencer le générateur de nombres pseudo-aléatoires avec suffisamment d'entropie. Ne le semez pas avec l'heure de la journée; c'est devinable.

Exemples: srand (time (NULL)) est très mauvais. Un bon moyen d'amorcer votre PRNG est de récupérer 128 bits ou des nombres véritablement aléatoires, par exemple à partir de / dev / urandom , CryptGenRandom ou similaire. En Java, utilisez SecureRandom et non Random. Dans .NET, utilisez System.Security.Cryptography.RandomNumberGenerator et non System.Random. En Python, utilisez random.SystemRandom, pas aléatoire. Merci à Nate Lawson pour quelques exemples.

Exemple du monde réel: voyez cette faille dans les premières versions du navigateur de Netscape, qui permettait à un attaquant de briser SSL.

Voici un article et un article de la base de connaissances Microsoft très similaire sur la manière dont le mode ECB génère du code qui n'est pas chiffré.

Voir également ce message similaire de Rook

Message en texte clair:

Le même message chiffré en mode ECB (peu importe le chiffrement que vous utilisez):

Le même message EXACT en mode CBC (encore une fois, peu importe ce que chiffrement que vous utilisez):

La mauvaise manière

  chaîne statique publique Encrypt (chaîne toEncrypt, clé de chaîne, bool useHashing) { byte [] keyArray = UTF8Encoding.UTF8.GetBytes (key); byte [] toEncryptArray = UTF8Encoding.UTF8.GetBytes (toEncrypt); if (useHashing) keyArray = new MD5CryptoServiceProvider (). ) {Key = keyArray, Mode = CipherMode.ECB, Padding = PaddingMode.PKCS7}; ICryptoTransform cTransform = tdes.CreateEncryptor (); byte [] resultArray = cTransform.TransformFinalBlock (toEncryptArray, 0, toEntrcryptArray.Tength) (resultArray, 0, resultArray.Length);}  

L'erreur est dans la ligne suivante

{Key = keyArray, Mode = CipherMode.ECB , Padding = PaddingMode.PKCS7};

La bonne manière

Les bonnes gens de Microsoft m'ont envoyé le code suivant pour corriger cet article de la base de connaissances lié ci-dessus. Ceci est référencé dans le cas # 111021973179005

Cet exemple de code utilise AES pour crypter les données, et la clé du cryptage AES est le code de hachage généré par SHA256. AES est l'algorithme Advanced Encryption Standard (AES). L'algorithme AES est basé sur des permutations et des substitutions. Les permutations sont des réarrangements de données et les substitutions remplacent une unité de données par une autre. AES effectue des permutations et des substitutions en utilisant plusieurs techniques différentes. Pour plus d'informations sur AES, reportez-vous à l'article «Protégez vos données avec la nouvelle norme de chiffrement avancée» sur MSDN Magazine à l'adresse http://msdn.microsoft.com/en-us/magazine/cc164055.aspx.

SHA est l'algorithme de hachage sécurisé. SHA-2 (SHA-224, SHA-256, SHA-384, SHA-512) est maintenant recommandé. Pour plus d'informations sur les valeurs de hachage dans .NET Framework, reportez-vous à http://msdn.microsoft.com/en-us/library/92f9ye3s.aspx#hash_values ​​.

La valeur par défaut du mode de fonctionnement de l'algorithme symétrique pour AesCryptoServiceProvider est CBC. CBC est le mode de chaînage de blocs de chiffrement. Il introduit des commentaires. Avant que chaque bloc de texte brut ne soit chiffré, il est combiné avec le texte chiffré du bloc précédent par une opération OU exclusive au niveau du bit. Cela garantit que même si le texte brut contient de nombreux blocs identiques, chacun sera chiffré dans un bloc de texte chiffré différent. Le vecteur d'initialisation est combiné avec le premier bloc de texte brut par une opération OU exclusive au niveau du bit avant que le bloc ne soit chiffré. Si un seul bit du bloc de texte chiffré est mutilé, le bloc de texte brut correspondant sera également mutilé. De plus, un morceau du bloc suivant, dans la même position que le bit mutilé d'origine, sera mutilé. Pour plus d'informations sur CipherMode , veuillez consulter http://msdn.microsoft.com/en-us/library/system.security.cryptography.ciphermode.aspx.

Voici l'exemple de code.

  // Cette fonction est utilisée pour crypter les données avec la clé et iv.
byte [] Encrypt (byte [] data, byte [] key, byte [] iv) {// Créer un AESCryptoProvider. using (var aesCryptoProvider = new AesCryptoServiceProvider ()) {// Initialisez l'AESCryptoProvider avec la clé et iv. aesCryptoProvider.KeySize = key.Length * 8; aesCryptoProvider.IV = iv; aesCryptoProvider.Key = clé; // Créer un chiffreur à partir de AESCryptoProvider. using (ICryptoTransform encryptor = aesCryptoProvider.CreateEncryptor ()) {// Créer un flux mémoire pour stocker les données chiffrées. using (MemoryStream stream = new MemoryStream ()) {// Créez un CryptoStream pour crypter les données. using (CryptoStream cryptoStream = new CryptoStream (stream, encryptor, CryptoStreamMode.Write)) // Crypter les données. cryptoStream.Write (données, 0, données.Longueur); // renvoie les données chiffrées. retourne stream.ToArray (); }}}} // Cette fonction est utilisée pour déchiffrer les données avec la clé et iv.byte [] Decrypt (byte [] data, byte [] key, byte [] iv) {// Créer un AESCryptoServiceProvider. using (var aesCryptoProvider = new AesCryptoServiceProvider ()) {// Initialisez AESCryptoServiceProvier avec la clé et iv. aesCryptoProvider.KeySize = key.Length * 8; aesCryptoProvider.IV = iv; aesCryptoProvider.Key = clé; // Créer un déchiffreur à partir de AESCryptoServiceProvider. using (ICryptoTransform decryptor = aesCryptoProvider.CreateDecryptor ()) {// Créer un flux mémoire comprenant les données chiffrées. using (MemoryStream stream = new MemoryStream (data)) {// Créez un CryptoStream pour décrypter les données chiffrées. using (CryptoStream cryptoStream = new CryptoStream (stream, decryptor, CryptoStreamMode.Read)) {// Créer un tableau de tampons d'octets.
byte [] readData = nouvel octet [1024]; int readDataCount = 0; // Crée un flux mémoire pour stocker les données déchiffrées. using (MemoryStream resultStream = new MemoryStream ()) {do {// Décrypter les données et écrire les données dans le tableau de tampons readData. readDataCount = cryptoStream.Read (readData, 0, readData.Length); // Ecrit les données déchiffrées dans resultStream. resultStream.Write (readData, 0, readDataCount); } // Vérifiez s'il n'y a plus de données chiffrées dans le flux. while (readDataCount > 0); // Renvoie les données déchiffrées. return resultStream.ToArray (); }}}}}} // Cette fonction est utilisée pour générer un binaire de clé valide avec un codage UTF8 et un algorithme de hachage SHA256.byte [] GetKey (clé de chaîne) {// Créer une classe d'algorithme de hachage SHA256. using (SHA256Managed sha256 = new SHA256Managed ()) // Décode la clé de chaîne en binaire et calcule le binaire de hachage de la clé. return sha256.ComputeHash (Encoding.UTF8.GetBytes (key));}  

Pour plus de détails sur les classes dans l'exemple de code, veuillez vous référer aux liens suivants:

· Classe AesCryptoServiceProvider

· Classe SHA256Managed

· Classe CryptoStream

De plus, il existe plusieurs articles qui peuvent vous aider à mieux comprendre la cryptographie dans .NET Framework, veuillez vous référer aux liens ci-dessous:

· Services de cryptographie

· Modèle de cryptographie .NET Framework

· Un guide simple de la cryptographie

· Chiffrement sans Secrets

N'utilisez pas la même clé pour le chiffrement et l'authentification. N'utilisez pas la même clé pour le chiffrement et la signature.

Une clé ne doit pas être réutilisée à des fins multiples; qui peuvent ouvrir diverses attaques subtiles.

Par exemple, si vous avez une paire de clés privée / publique RSA, vous ne devez pas tous les deux l'utiliser pour le chiffrement (chiffrer avec la clé publique, déchiffrer avec la clé privée) et pour la signature (signer avec la clé privée, vérifier avec la clé publique): choisissez un seul but et utilisez-le pour un seul but. Si vous avez besoin des deux capacités, générez deux paires de clés, une pour la signature et une pour le cryptage / décryptage.

De même, avec la cryptographie symétrique, vous devez utiliser une clé pour le cryptage et une clé indépendante distincte pour l'authentification des messages. Ne réutilisez pas la même clé dans les deux cas.

Principe de Kerckhoffs: un cryptosystème doit être sécurisé même si tout ce qui concerne le système, à l'exception de la clé, est de notoriété publique

Un mauvais exemple: hachages LANMAN

Les hachages LANMAN seraient difficiles à comprendre si personne ne connaissait l'algorithme, mais une fois que l'algorithme a été connu, il est maintenant très simple de le casser.

L'algorithme est le suivant ( depuis wikipedia):

1. Le mot de passe ASCII de l'utilisateur est converti en majuscules.
2. Ce mot de passe est complété par des valeurs nulles jusqu'à 14 octets
3. Le mot de passe de «longueur fixe» est divisé en deux moitiés de sept octets.
4. Ces valeurs sont utilisées pour créer deux clés DES, une de chaque moitié de 7 octets
5. Chacune des deux clés est utilisée pour chiffrer DES la chaîne ASCII constante «KGS! @ # $%», ce qui donne deux valeurs de texte chiffré de 8 octets.
6. Ces deux valeurs de texte chiffré sont concaténées pour former une valeur de 16 octets, qui est le hachage LM

Parce que vous connaissez maintenant le texte chiffré de ces faits, vous pouvez maintenant très divisez facilement le texte chiffré en deux textes chiffrés que vous savez être en majuscules, ce qui donne un jeu limité de caractères que le mot de passe pourrait éventuellement être.

Un exemple correct: chiffrement AES

• Algorithme connu
• Échelle avec la technologie. Augmentez la taille de la clé lorsque vous avez besoin de plus de puissance cryptographique

Essayez d'éviter d'utiliser des mots de passe comme clés de chiffrement.

Une faiblesse courante dans de nombreux systèmes est d'utiliser un mot de passe ou une phrase de passe, ou un hachage d'un mot de passe ou d'une phrase de passe, comme la clé de chiffrement / déchiffrement. Le problème est que cela a tendance à être très sensible aux attaques de recherche de clés hors ligne. La plupart des utilisateurs choisissent des mots de passe qui n'ont pas une entropie suffisante pour résister à de telles attaques.

La meilleure solution est d'utiliser une clé de chiffrement / déchiffrement vraiment aléatoire, et non une clé générée de manière déterministe à partir d'un mot de passe / phrase de passe.

Cependant, si vous devez en utiliser un basé sur un mot de passe / une phrase de passe, utilisez un schéma approprié pour ralentir la recherche exhaustive de clés. Je recommande PBKDF2, qui utilise le hachage itératif (dans le sens de H (H (H (.... H (mot de passe) ...)))) pour ralentir la recherche dans le dictionnaire. Arrangez-vous pour utiliser suffisamment d'itérations pour que ce processus prenne, par exemple, 100 ms sur la machine de l'utilisateur pour générer la clé.

Dans un protocole cryptographique: Rendez chaque message authentifié reconnaissable: deux messages ne doivent pas se ressembler

Une généralisation / variante de:

• Soyez prudent lors de la concaténation de plusieurs chaînes, avant le hachage.
• Ne réutilisez pas les clés.
• Ne réutilisez pas les nonces.

Pendant un exécution du protocole cryptographique de nombreux messages qui ne peuvent être contrefaits sans secret (clé ou nonce) peuvent être échangés. Ces messages peuvent être vérifiés par le reçu parce qu'il connaît une clé publique (signature), ou parce que seuls lui et l'expéditeur connaissent une clé symétrique, ou nonce. Cela garantit que ces messages n'ont pas été modifiés.

Mais cela ne garantit pas que ces messages ont été émis lors de la même exécution du protocole: un adversaire peut avoir capturé ces messages précédemment, ou pendant une exécution simultanée du protocole. Un adversaire peut lancer de nombreuses exécutions simultanées d'un protocole cryptographique pour capturer des messages valides et les réutiliser sans modification.

En rejouant intelligemment les messages, il peut être possible d'attaquer un protocole sans compromettre aucune clé primaire, sans attaquer aucun RNG , tout chiffrement, etc.

En rendant chaque message authentifié du protocole clairement distinct pour le destinataire, les opportunités de rejouer les messages non modifiés sont réduites (non éliminées).

N'utilisez pas de longueurs de clé non sécurisées.

Assurez-vous d'utiliser des algorithmes avec une clé suffisamment longue.

Pour la cryptographie à clé symétrique, je ' d recommande au moins une clé de 80 bits, et si possible, une clé de 128 bits est une bonne idée. N'utilisez pas de crypto 40 bits; il est peu sûr et facilement cassé par les amateurs, simplement en essayant de manière exhaustive toutes les clés possibles. N'utilisez pas de DES 56 bits; ce n'est pas anodin de casser, mais il est à la portée d'attaquants dévoués de casser DES. Un algorithme de 128 bits, comme AES, n'est pas sensiblement plus lent qu'un crypto 40 bits, vous n'avez donc aucune excuse pour utiliser une cryptographie minable.

Pour la cryptographie à clé publique, les recommandations de longueur de clé dépendent de l'algorithme et le niveau de sécurité requis. De plus, l'augmentation de la taille de la clé nuit aux performances, donc une surpuissance massive n'est pas économique; ainsi, cela nécessite un peu plus de réflexion que la sélection des tailles de clé symétrique. Pour RSA, El Gamal ou Diffie-Hellman, je recommanderais que la clé soit d'au moins 1024 bits, au minimum absolu; cependant, les clés 1024 bits sont à la limite de ce qui pourrait devenir fissurable à court terme et ne sont généralement pas recommandées pour une utilisation moderne, donc si possible, je recommanderais des clés 1536 ou même 2048 bits. Pour la cryptographie à courbe elliptique, les clés de 160 bits semblent adéquates et les clés de 224 bits sont meilleures. Vous pouvez également consulter les directives publiées établissant des équivalences approximatives entre les tailles de clé symétrique et de clé publique.

N'utilisez pas la même clé dans les deux sens.

Dans les communications réseau, une erreur courante consiste à utiliser la même clé pour la communication dans le sens A-> B comme pour la direction B-> A. C'est une mauvaise idée, car cela permet souvent de rejouer des attaques qui rejouent quelque chose A envoyé à B, retour à A.

L'approche la plus sûre est de négocier deux clés indépendantes, une pour chaque direction. Alternativement, vous pouvez négocier une seule clé K, puis utiliser K1 = AES (K, 00..0) pour une direction et K2 = AES (K, 11..1) pour l'autre direction.

Utilisez le mode correct

De manière équivalente, ne vous fiez pas aux paramètres par défaut de la bibliothèque pour être sécurisé. Plus précisément, de nombreuses bibliothèques qui implémentent AES implémentent l'algorithme décrit dans FIPS 197, qui est appelé mode ECB (Electronic Code Book), qui est essentiellement un mappage simple de:

  AES (clairxt [32 ] octet, clé [32] octet) -> texte chiffré [32] octet  

est très peu sûr. Le raisonnement est simple, alors que le nombre de clés possibles dans l'espace de clés est assez grand, le maillon faible ici est la quantité d'entropie dans le message. Comme toujours, xkcd.com décrit est mieux que moi http://xkcd.com/257/

Il est très important d'utiliser quelque chose comme CBC (Cipher Block Chaining) qui fondamentalement fait du texte chiffré [i] un mappage:

  ciphertext [i] = SomeFunction (texte chiffré [i-1], message [i], clé)  

Juste pour signaler quelques bibliothèques de langage où ce genre d'erreur est facile à commettre: http://golang.org/pkg/crypto/aes/ fournit une implémentation AES qui, si elle est utilisée naïvement, résultat en mode ECB.

La bibliothèque pycrypto passe par défaut en mode ECB lors de la création d'un nouvel objet AES.

OpenSSL, fait cela correctement. Chaque appel AES est explicite sur le mode de fonctionnement. Vraiment, la chose la plus sûre IMO est d'essayer de ne pas faire de crypto de bas niveau comme celle-ci vous-même. Si vous y êtes obligé, procédez comme si vous marchiez sur du verre brisé (avec précaution) et essayez de vous assurer que vos utilisateurs ont raison de vous faire confiance pour protéger leurs données.

Ne réutilisez pas la même clé sur plusieurs appareils.

Plus vous partagez une clé cryptographique, moins vous serez en mesure de la conserver secret. Certains systèmes déployés ont réutilisé la même clé symétrique sur tous les périphériques du système. Le problème avec cela est que tôt ou tard, quelqu'un extraira la clé d'un seul appareil, puis il pourra attaquer tous les autres appareils. Alors, ne faites pas cela.

Voir aussi «Le chiffrement symétrique à ne pas faire n ° 6: ne partagez pas une seule clé sur plusieurs appareils» dans cet article de blog. Crédits à Matthew Green.

Un pad ponctuel n'est pas un pad ponctuel si la clé est étirée par un algorithme

L'identifiant "one-time pad" (également connu sous le nom de chiffrement Vernam) est fréquemment mal appliqué à diverses solutions cryptographiques dans le but de revendiquer une sécurité incassable. Mais par définition, un chiffrement Vernam est sécurisé si et seulement si ces trois conditions sont remplies:

• Le matériel clé est vraiment imprévisible; AND
• Le matériel clé a la même longueur que le texte brut; AND
• Le matériel clé n'est jamais réutilisé.

Toute violation de ces conditions signifie qu'il ne s'agit plus d'un chiffrement par pad unique.

L'erreur commune commise est qu'une touche courte est étirée avec un algorithme. Cette action viole la règle d'imprévisibilité (sans parler de la règle de longueur de clé.) Une fois que cela est fait, le pavé à usage unique est mathématiquement transformé en algorithme d'étirement de clé. La combinaison de la clé courte avec des octets aléatoires ne modifie que l'espace de recherche nécessaire pour forcer brutalement l'algorithme d'étirement de clé. De même, l'utilisation d'octets "générés aléatoirement" transforme l'algorithme du générateur de nombres aléatoires en algorithme de sécurité.

Voici un exemple simple. J'ai un message que je vais crypter à l'aide d'un "pad à usage unique" qui utilise une fonction cryptographiquement sécurisée comme générateur de clé. J'ai choisi une clé secrète, puis j'y ai ajouté un nombre aléatoire pour m'assurer qu'elle ne sera pas réutilisée. Comme je ne réutilise pas la clé, il n'y a aucun moyen d'attaquer le texte chiffré en soustrayant un message d'un autre.

  texte en clair: 1234567890123456789012345678901234567890 matériel clé: 757578fbf23ffa4d748e0800dd7c424a46feb0ccOTP function (xor) ------ texte chiffré: 67412E83622DCE1B0C1E1A348B04D25872A8C85C  

Le matériel clé a été généré en toute sécurité en utilisant SHA-1 pour hacher mon mot de passe secret (plus aléatoire) afin de l'étirer. Mais tout attaquant qui connaît l'algorithme d'étirement * utilisé est SHA-1 peut l'attaquer en essayant diverses entrées dans SHA-1 et en XORing la sortie avec le texte chiffré. Deviner la clé "OTP" n'est désormais pas plus difficile que de deviner les entrées combinées de l'algorithme cryptographique. Cette propriété est vraie quel que soit l'algorithme cryptographique de base choisi, les mesures de complexité qu'il contient ou la manière dont il est implémenté ou amorcé.

Vous pouvez avoir un très bon algorithme d'étirement des touches. Vous pouvez également avoir un générateur de nombres aléatoires très sécurisé. Cependant, votre algorithme n'est par définition pas un pad ponctuel, et n'a donc pas la propriété incassable d'un pad ponctuel.

* L'application du principe de Kerckhoff signifie que vous devez supposer que l'attaquant peut toujours déterminer les algorithmes utilisés.

Ne faites pas confiance aux normes.

De nombreuses normes existent en cryptographie, et parfois vous devez les utiliser. Mais ne supposez pas que les personnes qui rédigent les normes ont bien compris la cryptographie dont elles avaient besoin. Par exemple, EAX a été retravaillé dans une norme de réseau. EAX a une preuve de sécurité. La version retravaillée ne l'a pas fait.

MD5 est une norme. Il est maintenant cassé. La puce et le code PIN ont été cassés à plusieurs reprises à plusieurs reprises, grâce à une abondance de caractéristiques dangereuses. GPG prend toujours en charge les clés DSA trop courtes pour le confort. SSL a des options qui ne doivent pas être utilisées, et nécessite des précautions pour les éviter.

Que peut-on faire à ce sujet? Être prudent, comprendre les risques connus et suivre la recherche de nouveaux risques.

N'utilisez pas de chiffrement OTP ou de flux dans le chiffrement du disque

Exemple 1

Supposons que deux fichiers soient enregistrés en utilisant un chiffrement de flux / OTP. Si le fichier est réenregistré après une modification mineure, un attaquant peut voir que seuls certains bits ont été modifiés et en déduire des informations sur le document. (Imaginez changer la salutation «Cher Bob» en «Cher Alice»).

Exemple 2

Il n'y a pas d'intégrité dans le résultat: un attaquant peut modifier le texte chiffré et modifier le contenu des données en effectuant simplement un XOR sur les données.

À retenir: les modifications apportées au texte chiffré ne sont pas détectées et ont un impact prévisible sur le texte en clair.

Solution

Utilisez un chiffrement par bloc pour ces situations qui inclut des vérifications d'intégrité des messages

Ne jamais utiliser une clé de chiffrement One Time Pad (OTP) ou de flux plus d'une fois

Un OTP appliqué deux fois signifie que les données chiffrées avec le "secret parfait" seront déchiffrées et en clair. Cela se produit parce que les données sont XOR'ed deux fois.

Example↑

Supposons qu'un OTP / ou un flux avec la même clé soit réutilisé.

Un attaquant collecte beaucoup de données envoyé d'un client à un serveur, et XORs un ensemble de deux paquets ensemble jusqu'à ce que les deux paquets se déchiffrent (ou sous-ensemble à l'intérieur).

Le codage ASCII a une redondance suffisante pour que, avec suffisamment de texte chiffré, les messages originaux pourraient être décodés (avec la clé secrète OTP).

Exemples du monde réel

• Projet Verona (1941-46) pour un exemple d'un OTP utilisé par les Russes et a été par la suite décrypté par l'agence de renseignement américaine

• PPTPv1 de Microsoft, le client et le serveur chiffrent les données à l'aide de la même clé.

• WEP réutilise la même clé une fois que 2 ^ 24 paquets sont envoyés, ou si une carte NIC est réinitialisée. Le premier problème est dû au fait que l'IV a une longueur de 24 bits, ce qui signifie qu'après 16 millions de trames transmises, un tampon à deux temps est créé. Le deuxième problème se produit dans les implémentations matérielles où, après un cycle d'alimentation, l'IV se réinitialise à zéro, ce qui entraîne un décalage de deux heures. Ce problème est facile à voir puisque l'IV est envoyé en clair.

Recommandations

• Une nouvelle clé doit être créée pour chaque session (par exemple TLS).

• Le client doit utiliser un OTP (ou un chiffrement de flux avec PRG) avec le serveur et le serveur devrait utiliser une clé différente lors du chiffrement des données vers le client

• Plutôt que de générer de nombreuses clés, il est possible d'étendre une seule clé dans un long flux en utilisant un PRG (en supposant que vous faites confiance au PRG) et utilisez chaque segment de cette expansion comme clé.

• Sachez que tous les PRG ne sont pas conçus pour fonctionner en mode incrémental et qu'une entrée aléatoire peut être nécessaire. (RC4 a ce problème en mode incrémentation)

N'utilisez pas RC4

RC4 a été conçu en 1987 pour être utilisé comme chiffrement de flux. Il est utilisé en HTTPS et WEP.

Il y a des faiblesses

1. Il y a un biais dans la sortie initiale: Pr [2nd byte = 0] = 2/256
2. La probabilité de seize bits égal à zéro est 1/256 ^ 2 + 1/256 ^ 3. Cela se produit après le chiffrement de plusieurs Go de données.
3. Vulnérable aux attaques par clé associées, où seul le IV change mais la clé reste la même.

À emporter Si vous devez utiliser RC4, ignorez les 256 premiers octets car ils sont biaisés. Si vous utilisez RC4 pour des Gigs de données, alors le biais de RC4 permettra d'attaquer toutes les données cryptées précédentes.

Utilisez des processeurs de flux modernes qui fonctionnent correctement dans le matériel ou le logiciel

Tous les chiffrements de flux ne sont pas conçus pour être implémentés dans du matériel ou des logiciels. Le registre à décalage de rétroaction linéaire (LFSR) est un exemple de chiffrement matériel largement déployé qui est facilement cassé.

LFSR est utilisé dans:

• Cryptage DVD (également appelé CSS) 2 LFSR
• Cryptage GSM (A5 / 1.2) 3 LSFR
• Bluetooth (E0): 4 LFSR

Le matériel pour ce qui précède est largement déployé et donc difficile à mettre à jour ou à mettre aux normes modernes. Tous les éléments ci-dessus sont gravement endommagés et ne doivent pas être fiables pour les communications sécurisées.

Attaque:

Étant donné que la clé est divisée en deux sections pendant le chiffrement ( 17 bits et 25 bits) et ces bits sont utilisés pour crypter le même texte chiffré, il est possible d'utiliser la connaissance du format MPEG et de forcer brutalement une clé 17 bits pour extrapoler ce qu'est la clé 25 bits.

Voici à peine nouveau, mais le logiciel libre est facile à trouver, ce qui illustre ce problème.

Solution:

Le projet eStream (en 2008 ) qualifié 5 chiffrements de flux qui devraient être utilisés. Une différence notable est qu'au lieu d'utiliser une clé avec un IV, les chiffrements utilisent une clé, un nonce et un compteur. Salsa20 fonctionne de cette façon et est conçu pour être utilisé facilement à la fois dans le matériel et le logiciel. Plus précisément, il est inclus dans le jeu d'instructions x86 SSE2.

À part

Les chiffrements modernes sont non seulement plus sûrs, mais ils sont également plus rapides:

  Vitesse PRG (Mo / s) RC4 126 (obsolète) Salsa20 / 12 643 (moderne) Sosemaunk 727 (moderne)  

N'utilisez que des MAC qui ne sont pas vulnérables aux attaques par extension de message

Un MAC est un code de hachage qui garantit l'intégrité du message (pas de modifications, etc.) d'une plaine donnée texte. De nombreuses implémentations et normes publiées ne parviennent pas à protéger un MAC d'un attaquant qui ajoute des données supplémentaires au MAC.

La solution pour cela est que l'implémentation MAC utilise une deuxième clé (différente) et rechiffre la sortie finale.

ECBC et NMAC sont des exemples de chiffrements qui empêchent correctement le attaque par extension de message.

Solution:

• Utilisez CBC crypté (ECBC) au lieu de CBC brut
• Utilisez NMAC au lieu de cascade