[Crypto] Faille de sécurité majeure

[François Battail]

Note préalable : ce sujet concerne des travaux de recherche en cryptologie et en sécurité informatique.

Vu sur Slashdot.org.

Article et interview d'un des chercheurs à l'origine de la découverte dans Le Monde.

Des chercheurs ont découvert un moyen indirect de déterminer la clé secrète employée dans des algorithmes de cryptage de type RSA. Cette méthode exploite de façon élégante le système de prédiction de saut des microprocesseurs modernes. En mesurant les délais d'exécution il est possible de retracer l'historique du système de prédiction et connaissant la clé publique et l'algorithme, la clé secrète devient visible. Bien sûr c'est un petit peu plus complexe que cela et ce n'est pas un craqueur en culotte courte qui va être en mesure d'exploiter cela.

Les chercheurs ont testé en pratique leur découverte et réussi à déterminer en une seule attaque 508 bits sur 512 de la clé secrète (les 4 bits restants pouvant être trouvés en brute force en quelques secondes).

Quel est l'impact ? Tous les systèmes à base de RSA, ce qui inclut en particulier OpenSSL et donc les connexion sécurisées de type SSH, dès lors qu'un microprocesseur disposant d'un système de prédiction de saut est employé. Cela remet en cause fortement l'architecture des microprocesseurs modernes.

La mauvaise nouvelle c'est que cela remet en cause les connexions sécurisées sur Internet, la bonne c'est que les DRM et que l'informatique de « confiance » (NGSCB) prennent une claque au passage car la taille de la clé n'est plus un critère dans la complexité du processus de décryptage

[tass_]

Il me semblait en avoir déja entendu parler l'année dernière ( pour le cassage de SSH2 il me semble, et encore on ne cassait que la moitié de la clé). C'est sur c'est balot pour le RSA, mais en même temps depuis on a AES et les courbes parraboliques, et là bon courage pour casser quelquechose.

En plus si je me trompe pas, par cette méthode, on "devine" la clé bit par bit en "écoutant" les opérations que réalise le CPU (diférence de température, temps mis pour l'opération, tout ca permet de savoir si c'est un + un x ou un XOR). Donc il faut pouvoir écouter le CPU, donc etre en local sur la machine ou avoir un spyware/trojan/ver installé.

Donc bon je doute forcément (et ceci après mes cours de crypto de DEA) que tous les cryptages soient affectés, et je pense que pour le TCPA ils on pas été aussi balot que de mettre du RSA.... c'est comme le CSS, c'est si bidon qu'on peut à peine le considérer comme du cryptage, mais le blue ray et le HD DVD seront en AES, et ca (malheureusement ?) c'est encore bien sûr.

[François Battail]

Tout à fait. Cependant cette découverte met en avant une faille majeure dans l'architecture des microprocesseurs. RSA n'est qu'ici un exemple mais nul doute qu'avec un principe similaire il sera possible d'utiliser cette technique appliquée à un autre algorithme de crypto.
L'attaque locale n'est pas un problème dans le cas des DRM (enfin tant qu'on a encore le droit d'exécuter nos propres programmes).

[Mikelenain]

ils viennent d'en parler au 20h de TF1