Sécurité : la clé RSA 768 bits est cassée, l'INRIA recommande au moins 2048 bits

Julien L. - publié le Vendredi 08 Janvier 2010 à 17h33 - posté dans High-Tech

Avec l'augmentation progressive de la puissance de calcul des ordinateurs, le niveau global des clés de sécurité baisse baisse mécaniquement. Cependant, si certaines peuvent encore résister aux assauts du calcul distribué, comme les dispositifs ayant une longueur supérieure à 1024 bits, les autres sont désormais inadaptés pour assurer convenablement la sécurité des échanges électroniques.

C'est le cas de la clé de chiffrement RSA 768 bits, qui a été cassée par une équipe de mathématiciens et de spécialistes en informatique et en cryptographie. Il aura fallu près de deux ans (.pdf) pour que ces chercheurs parviennent à fragiliser cet algorithme asymétrique à clé publique mis au point en 1977 par Ron Rivest, Adi Shamir et Len Adleman, dont les initiales des noms de famille forment l'acronyme de la méthode de chiffrement.

L'Institut national de recherche en informatique et en automatique (INRIA), qui a participé au projet, a indiqué dans un communiqué de presse avoir recouru "à une partie de l'infrastructure Grid'5000 qui relie en France 1544 machines, soit plus de 5000 coeurs. Au total, avec l'intervention des autres partenaires, ce sont l'équivalent de 1700 coeurs utilisés pendant un an, soit 425 PC quadri-coeurs pendant un an, qui ont été mobilisés". L'établissement public a précisé que plus de 64 milliards de relations (factorisations d'un entier de quelques dizaines de chiffres) ont été collectées durant ce calcul, nécessitant 5 Tera-octets d'espace disque.

Ce record fait suite à un précédent établi en 2006, où une clé de 663 bits avait été cassée. Au regard de ce nouvel exploit, l'INRIA "confirme les recommandations de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) à de ne pas utiliser des clés inférieures à 2048 bits au-delà de 2010".

L'institut a également rajouté que "les derniers utilisateurs de clés RSA de 768 bits (ou moins) doivent changer de solution. Tout système de chiffrement basé sur de telles clés sous-dimensionnées, qui serait encore inclus dans les transactions numériques (commerce électronique), les puces de cartes bancaires ou autre système, s'avère en effet dès lors résolument inadapté".
Publié par Julien L., le 8 Janvier 2010 à 17h33
 
 
38
Commentaires à propos de «Sécurité : la clé RSA 768 bits est cassée, l'INRIA recommande au moins 2048 bits»
 

1
2
Personne n'a relevé qu'ils ont collecté 5 To de factorisations ? Avec ces données, *plus aucune clés* de 768 bits ne peux leur résister : ils n'ont qu'à chercher dans leur base de données pour trouver comment est calculée cette clé.
Si vous voulez participer à un projet de calcul distribué traitant de chiffrement, il y a http://www.distributed.net qui tente de finir un « cassage » de RC5-72 avant la fin du siècle et apparemment pour ce genre d'attaque frontale l'avenir n'est plus aux CPU mais aux GPU.
Malheureusement si au début il était sympa d'utiliser des cycles CPU effectivement inutilisés, l'architecture des processeurs à tellement évoluée que désormais ça pousse les unités de calculs à ne pas se mettre en économie d'énergie et là il y a comme un problème écologique qui se pose.
L'intérêt de décrypter un message, c'est surtout de savoir ce que le message annonce.
S'il faut UN an et 1700 ordinateurs pour déchiffre UN message du type "attention, dans 6 mois, un nigérian essayera de faire sauter un avion", cela n'a pas beaucoup d'intérêt.

Cela a divers interets :
1/ Le cryptage asymétrique (comme RSA) est gourmand en ressources. Le cryptage symétrique assure une bonne sécurité mais à un point faible : la sécurité de la clefs. Ainsi, ce qui est fait, c'est le cryptage asymétrique (comme RSA) est utilisé pour échanger une clef. Cette clef sera utilisée pour faire un cryptage symétrique.

Donc, faire tomber une telle clef, ce n'est pas déchiffer un message, mais tous les messages entres deux correspondants.

2/ Des données de factorisation ont été récupérées pendant ce cassage. Elle pourront être réutilisées directement plutôt que recalculées lors d'un prochains cassage. un prochain cassage sera plus rapide que celui-ci.

3/ La loie de moore nous dis que ce temps divisera par deux tous les 18 mois. Donc on cassera une telle clef en moins de 3 mois dans 3 ans, 3 semaines dans 6.

4/ Le GPU n'est pas mis à profit ici. Or, c'est typiquement le type de tache ou il excelle. un GPU moderne a typiquement 8 fois plus de puissance de calcul qu'un CPU.

5/ Les botnets, ça existe.

et

6/ Le RSA est aussi utilisé couplé aux techno de hachage pour les signatures numériques. Un cassage permet de signer à la place de quelqu'un d'autre. C'est donc tout le problème de l'authentification sur internet qui est compromit.
Et les gars je sais pas si vous êtes au courant mais y a des pirates qui ont des milliers de machines zombies sous leur contrôle......
c'est sur que ce n'est pas a la porté de user landa mais ya des personnes dans le monde qui peuvent cracker ses clés RSA en beaucoup moins de temps c'est une certitude.
donc cet article parle de sécurité plutôt par rapport a ce type de pirate donc faut pas le prendre pour vous.
C'est une demi-news. On savait que le RSA était en danger. A cause des GPU, des multi-coeurs, du calcul distribué, ... Et puis le RSA est basé sur les "grands nombres premiers" 768bits sa me parait pas grand du tout, même pour une clef symétrique.
Le RSA a encore de beau jour devant lui (donc 10 ans à la louche), et si moi, particulier, utilise une clé de 4096bits, je n'ose imaginer les moyens utilisé par les militaires.

Et puis bonne nouvelle. En chiffrement asymétriques on a déjà trouvé son remplaçant : les courbes elliptiques.
Et puis bonne nouvelle. En chiffrement asymétriques on a déjà trouvé son remplaçant : les courbes elliptiques.

Tant qu'on a pas de moyen polynomial de casser ça, augmenter la taille de la clef suffit.
deadalnix, le 09/01/2010 - 01:53
2/ Des données de factorisation ont été récupérées pendant ce cassage. Elle pourront être réutilisées directement plutôt que recalculées lors d'un prochains cassage. un prochain cassage sera plus rapide que celui-ci.
Non à priori, car ces données sont spécifiques au polynôme utilisé pour la factorisation, qui lui même a été calculé par rapport au nombre à factoriser.

4/ Le GPU n'est pas mis à profit ici. Or, c'est typiquement le type de tache ou il excelle. un GPU moderne a typiquement 8 fois plus de puissance de calcul qu'un CPU.
Le crible utilise très peu de capacités de calcul mais beaucoup d'accès mémoire. En conséquence de quoi l'utilisation d'un GPU n'apportera pas de gain significatif voir pas de gain du tout. Par contre rien n'empêche d'imaginer la conception de machines spécifiques pour effectuer des cribles.

5/ Les botnets, ça existe.
Encore faut-il que les micro-ordinateurs infectés disposent des capacités techniques suffisantes (dans le rapport on parle de 2 Go de RAM par coeur) pour être efficaces, et qu'elles soient utilisables pendant un temps important (je ne sais pas le temps nécessaire pour mener à bien une opération élémentaire du crible donnant des résultats qui doivent ensuite être transmis à un serveur pour être centralisée et passer ainsi à une autre opération élémentaire).
Dako, le 09/01/2010 - 01:03
Personne n'a relevé qu'ils ont collecté 5 To de factorisations ? Avec ces données, *plus aucune clés* de 768 bits ne peux leur résister : ils n'ont qu'à chercher dans leur base de données pour trouver comment est calculée cette clé.
Non, les données recueillies ne peuvent être utilisées qu'à la factorisation de ce nombre là et pas d'un autre, ne rêvons pas.
lildadou, le 09/01/2010 - 12:10
Et puis le RSA est basé sur les "grands nombres premiers" 768bits sa me parait pas grand du tout, même pour une clef symétrique.
Les clefs symétriques ont des tailles bien plus réduites :
     * 56 bits pour le DES et 168 pour le triple-DES
     * 128 bits pour l'AES (voire 192 et 256)

Le RSA a encore de beau jour devant lui (donc 10 ans à la louche), et si moi, particulier, utilise une clé de 4096bits, je n'ose imaginer les moyens utilisé par les militaires.
Rien ne dit qu'il n'existe pas (connus publiquement) ou qu'on ne découvrira pas dans un avenir proche d'autres algorithmes ou moyens techniques (ordinateur quantique...) permettant de casser des clefs aussi importantes. La NSA dispose de moyens très importants aussi bien techniques (elles possède une usine de fabrication de circuits intégrés) qu'intellectuelle (elle emploie beaucoup de mathématiciens).

Et puis bonne nouvelle. En chiffrement asymétriques on a déjà trouvé son remplaçant : les courbes elliptiques.
On se heurte là à un autre problème... celui des brevets.
y'a beau y avoir des brevets sur les EC, tout le monde les utilise sans vergogne hein
En même temps, pour une organisation ou une société d'une taille importante (un Etat, ou une grande entreprise internationale), un tel changement d'infrastructure technique (effectuer une migration de leurs systèmes de sécurité d'une certaine taille de clé vers une taille supérieure) peut prendre beaucoup...beaucoup...beaucoup de temps.

Rien que pour que la décision se prenne, que le plan d'action se décide, que le planning se mette en place, que les rôles se répartissent...bref, avant même de commencer à faire les modifications, il peut s'écouler beaucoup de temps.

C'est le propre d'une organisation: plus sa taille augmente, plus elle acquiert d'"inertie", au sens vraiment physique du terme, à savoir qu'il lui faut de plus en plus de temps et d'énergie pour se mettre en mouvement, mais une fois le mouvement initié, il lui est tout aussi difficile de s'arrêter ou de faire marche arrière.

Ces donc pour cela que ces organisations ont besoin d'être notifiées longtemps à l'avance de ce type de changements, parce qu'il leur faut longtemps pour réagir. Ce genre de news n'est pas destinée aux particuliers, qui eux ne verront rien changer (normalement).
Silky, le 11/01/2010 - 14:43
C'est le propre d'une organisation: plus sa taille augmente, plus elle acquiert d'"inertie", au sens vraiment physique du terme, à savoir qu'il lui faut de plus en plus de temps et d'énergie pour se mettre en mouvement, mais une fois le mouvement initié, il lui est tout aussi difficile de s'arrêter ou de faire marche arrière.
Comme toujours il y a des exceptions, il n'y a qu'à voir à quelle vitesse l'argent à été jeté par les fenêtre pour acheter des vaccins contre la grippe A-H1N1... :-(


enter, le 11/01/2010 - 09:51
>>>"Rien ne dit qu'il n'existe pas (connus publiquement) ou qu'on ne découvrira pas dans un avenir proche d'autres algorithmes ou moyens techniques (ordinateur quantique...) permettant de casser des clefs aussi importantes"
Ben non. mais c'est le destin inévitable de tous les algorithmes de chiffrage : un jour ou l'autre, ils seront cassés.
Le masque jetable a fait la preuve (mathématique) de sa résistance.

Ce n'est pas le premier et ce n'est pas le dernier. Dis-toi bien que les gens qui ont mis au point ces algorithmes de chiffrage le savent parfaitement, qu'ils suivent attentivement les travaux de décryptage, qu'ils y participent activement et qu'ils travaillent constamment à l'amélioration.
On ne peut pas dire pour le moment que l'algorithme RSA a été cassé, mais juste que les clefs de 1024 bits (comparées aux 2048 ou aux 4096) ne sont plus jugées assez sûres. De la même façon que le DES avec ses 56 bits est jugés trop faible, il reste encore considéré comme sûr sous sa forme triple-DES.

Mais un système utilisé pour crypter les transactions Carte Bleue, on ne peut pas matériellement le faire évoluer tous les 6 mois.
C'est matériellement possible, seulement le coût de mise en oeuvre d'une telle capacité est prohibitif comparé aux montants de la fraude à la carte bancaire.
@enter le but est pas d'attaquer les transactions mais la clé du système par exemple, et ensuite de pouvoir d'usurper l'identité (coté client ou serveur selon le but). Car au fait la taille des clés sur les CB débute justement à 768bit :D :D :D qui a dit hazard ?
Silky, le 11/01/2010 - 14:43
En même temps, pour une organisation ou une société d'une taille importante (un Etat, ou une grande entreprise internationale), un tel changement d'infrastructure technique (effectuer une migration de leurs systèmes de sécurité d'une certaine taille de clé vers une taille supérieure) peut prendre beaucoup...beaucoup...beaucoup de temps.

Ils ont eu le temps de voir venir car comme je l'ai dit plus haut, ça fait depuis 2002 au moins qu'on recommande les clés de 2048 bits pour les professionnels.
D'ailleurs, certains considéraient à l'époque qu'avec une machine assez puissante, on pourrait factoriser une clé de 1024 bits en un jour d'ici 2009. On voit qu'on n'en est pas encore là.
1700 ordinateurs c'est peu, en comparaison de plusieurs dizaine de milliers pour un gouvernement ou un réseau de bot

1
2
A LA UNE
LES + COMMENTÉS
> Tous les articles
Télécharger
Intel Thermal Analysis
Optimisation - Augmenter la fréquence d'un processeur Intel
 
MessenPass
Communication - Retrouver le mot de passe d'une messagerie instantanée
 
UltraSurf
Cryptage - Naviguez sur Internet anonymement
 
xMule
eMule (et mods eMule) - eMule porté sous Linux
 
WinMerge
Développement - Fusionner deux fichiers
 
Janvier 2010
 
Lu Ma Me Je Ve Sa Di
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31
1 2 3 4 5 6 7
Matoumba
EntrepreNantes
Numerama est un site du réseau PressTIC