Re: Attaque sur AES. disque préalablement rem pli de zéros.

Vincent Bernat wrote on 08/01/2008 20:28:
> OoO  Pendant  le  repas  du  mardi  08 janvier  2008,  vers  19:43,  mpg
> <manuel.pg@free.fr> disait:
> 
>> Je persiste à ne pas comprendre. Tu supposes que l'attaquant peut demander
>> le déchiffrement de données ?  Mais l'attaque est finie (de façon
>> victorieuse) à ce moment, non ?
> 
>> Bon, sinon, que ça soit des zéros ou pas, au fond on d'en fout. En supposant
>> que l'attaquant dispose de données en clair et des même données chiffrées
>> (même si je ne vois *vraiment* pas pourquoi tu supposes qu'il a les données
>> en clair), ça s'appelle une attaque à clair connu. Et plusieurs personnes
>> depuis le début du fil ont déjà dit qu'AES était censé bien résister à ce
>> genre d'attaques.
> 
> Pour   le   moment,  il   n'y   a  qu'une   personne   qui   a  dit   ça
> (Jean-Marc). Toutes les autres persistent  à ne pas comprendre que c'est
> le chiffré qui est une suite de 0.

une seule est suffisante non ?
le répéter changera quoi ? nous ne croyez que l'écho ?

que le chiffré soit des '0' ou des ce-que-vous-voulez ne change rien à 
rien (ni à votre question, ni à AES).

>>> Vous vous meprenez. Quelques Go de 0 ne menent à rien. Par contre,
>>> quelques Go de 0 déchiffrés par AES?
>>>
>> Une attaque à clair connu. Ni plus ni moins. 
> 
> Le clair  n'est pas connu.  On dispose de  tout un tas de  chiffrés dont
> tout un tas sont remplis de 0.

et on dispose de la bonne clé ? (et pourquoi on s'embête)

ou, et on teste toutes les clés AES 256 bits une à une ?
que le chiffré soit des '0' ou des '1' vous obtiendrez de la purée tant 
que ce ne sera pas la bonne clé - et vous n'apprendrez rien à préparer 
1ko, 1Mo ou 1Go de purée.

> Je  fais: decrypt_aes_cbc(X,  00000000000000000000000000). Pas  plus pas
> moins. L'attaquant n'obtient pas le résultat (c'est dire s'il ne connaît

c'est "je" qui faid ou l'attaquant ??

> rien). Est-ce  que cela donne  des informations pertinentes sur  la clef

ça confirme que c'est bien une clé de 256 bits ... si on fait un AES 256

> [1] ?  Selon  Jean-Marc, la réponse est non, c'est  aussi mon avis, mais
> on  trouve comme  conseil sur  le net  de remplir  le disque  de données
> aléatoires   avant   d'appliquer   cryptsetup  pour   éviter   certaines
> attaques. Le but  de la question de Kevin est  d'obtenir des billes pour
> montrer que c'est une croyance sans fondement (ou l'inverse).

ce conseil n'a rien à voir avec un problème (inexistant) de 
déchiffrement de zéros!
il vise à:
- dissimuler une partition chiffré parmi un disque éventuellement non 
entièrement utilisé
- minimiser le fait de rendre visible une information chiffrée (car ce 
ne sera que du bruit parmi du bruit), cela non par crainte que cette 
information chiffrée soit plus vulnérable mais seulement pour ne pas 
révéler qu'il pourrait exister une telle information chiffrée.

> [1]  C'est   une  question   un  peu  bête   car  il  y   aura  toujours
> 00000000000000000000000000 quelle que soit  la clef que l'on choisit, ça
> montre  clairement  que  cette  seule  information ne  vaut  rien.  Mais
> imaginons que l'on dispose en plus d'autres informations qui séparemment
> ne  valent  rien,  mais  combinées  avec cette  information,  cela  nous
> donnerait des infos.

l'age du capitaine ? ;)

Sylvain.