Attaque de collisions
En cryptographie, une attaque de collisions est une attaque sur une fonction de hachage cryptographique qui tente de trouver deux entrĂ©es de cette fonction qui produisent le mĂȘme rĂ©sultat (appelĂ© valeur de hachage), c'est-Ă -dire qui rĂ©sultent en une collision. Dans une attaque de collisions, contrairement Ă une attaque d'image inverse (en anglais : preimage attack), la valeur de hachage n'est pas prĂ©cisĂ©e.
Il existe deux types principaux d'attaques de collisions :
- l'attaque de collisions classique : cette attaque consiste à trouver deux messages m1 et m2 différents, tels que hachage (m1) = hachage (m2) ;
- l'attaque de collisions avec prĂ©fixes choisis : Ă©tant donnĂ© deux prĂ©fixes diffĂ©rents P1 et P2, cette attaque consiste Ă trouver deux suffixes S1 et S2 tels que hachage (P1 â„ S1) = hachage ( P2 â„ S2) (oĂč â„ est l'opĂ©ration de concatĂ©nation).
Attaque de collisions avec préfixes choisis
Une variante de l'attaque de collisions classique est une attaque de collisions avec prĂ©fixes choisis qui est spĂ©cifique aux fonctions de hachage de Merkle-DamgaĂ„rd. Dans ce cas, l'attaquant choisit deux documents diffĂ©rents, puis concatĂšne deux valeurs calculĂ©es diffĂ©rentes aux documents de façon que les deux documents rĂ©sultants aient la mĂȘme valeur de hachage. Cette attaque est beaucoup plus puissante quâune attaque de collisions classique.
En 2007, un article rapportait qu'une attaque de collisions avec prĂ©fixes choisis avait Ă©tĂ© rĂ©ussie contre la fonction de hachage cryptographique MD5. L'attaque nĂ©cessitait environ 250 Ă©valuations de la fonction MD5. Le mĂȘme article mentionnait aussi deux certificats X.509 pour diffĂ©rents noms de domaine ayant la mĂȘme valeur de hachage. Cela signifie qu'une autoritĂ© de certification pourrait ĂȘtre invitĂ©e Ă signer un certificat pour un domaine, puis ce certificat pourrait ĂȘtre utilisĂ© pour usurper l'identitĂ© d'un autre domaine[1].
Une attaque de collisions avec prĂ©fixes choisis contre la fonction de hachage cryptographique MD5 dans le monde rĂ©el a Ă©tĂ© publiĂ©e en dĂ©cembre 2008 quand un groupe de chercheurs en sĂ©curitĂ© a publiĂ© un certificat de signature X.509 forgĂ© qui pourrait ĂȘtre utilisĂ© pour usurper l'identitĂ© d'une autoritĂ© de certification. Cela signifie qu'un attaquant pourrait usurper l'identitĂ© d'un site Web sĂ©curisĂ© SSL comme un homme du milieu, trompant ainsi la validation des certificats intĂ©grĂ©e dans tous les navigateurs Web pour protĂ©ger le commerce Ă©lectronique. Le certificat contrefait pouvait ne pas ĂȘtre rĂ©vocable par les autoritĂ©s de certification lĂ©gitimes et pouvait aussi avoir une date d'expiration arbitraire. MĂȘme s'il Ă©tait connu que MD5 Ă©tait trĂšs faible depuis 2004[2], les autoritĂ©s de certification Ă©taient toujours prĂȘtes Ă signer des certificats MD5 (vĂ©rifiĂ© en dĂ©cembre 2008)[3].
En 2012, le malware Flame utilisait avec succÚs une variante d'une attaque de collisions avec préfixes choisis pour usurper une signature de code de Microsoft qui utilisait encore l'algorithme MD5[4] - [5].
Une attaque de collisions avec prĂ©fixes choisis contre la fonction de hachage cryptographique SHA-1 a Ă©tĂ© publiĂ©e en fĂ©vrier 2017 par une Ă©quipe composĂ©e de chercheurs de Google et du CWI, permettant de forger deux documents PDF diffĂ©rents ayant la mĂȘme valeur de hachage SHA-1[6] - [7].
Notes et références
- (en) Marc Stevens, Arjen Lenstra et Benne de Weger, « Chosen-preïŹx Collisions for MD5 and Colliding X.509 CertiïŹcates for DiïŹerent Identities »,â
- (en) Xiaoyun Wang, Dengguo Feng, Xuejia Lai, Hongbo Yu: Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD, Cryptology ePrint Archive Report 2004/199, 16 Aug 2004, revised 17 Aug 2004. Retrieved July 27, 2008.
- (en) Alexander Sotirov, « Creating a rogue CA certificate », 12 30 2008
- (en) « Microsoft releases Security Advisory 2718704 », Microsoft, (consulté le )
- (en) Marc Stevens, « CWI Cryptanalist Discovers New Cryptographic Attack Variant in Flame Spy Malware », Centrum Wiskunde & Informatica, (consulté le )
- (en) « SHAttered », sur shattered.it, (consulté le )
- « Sha-1 chahutĂ© : Google annonce ĂȘtre parvenu Ă crĂ©er une collision pour la fonction », sur zdnet.fr, (consultĂ© le )