FI/SP/00

Une faiblesse du protocole SSL mise en évidence par le LASEC

Professeur Serge Vaudenay serge.vaudenay@epfl.ch

SSL (Secure Sockets Layers) est très utilisé sur Internet, pour encrypter des transactions, notamment les paiements électroniques. Le LASEC (Laboratoire de sécurité et de cryptographie) a mis en évidence une faiblesse dont la probabilité est faible mais qui constitue un sérieux talion d'Achille du procédé d'encryption.

L'idée de base repose sur le paradoxe d'anniversaire (birthday paradox) qui stipule que si 23 personnes au moins sont réunies dans une même pièce, la probabilité que deux d'entre elles aient la même date d'anniversaire est de plus de 50%. Dans le cas du codage SSL, on se retrouve avec 4 milliards de personnes et une année de 18'446'744'073'709'551'616 jours, mais le principe reste le même!

L'attaque réalisée par l'équipe du LASEC en moins d'1 heure sur un PC permet de découvrir deux segments de 8 caractères du texte initial avec un taux de réussite variant avec la taille du message (0.5pour 1000 avec un message codé de 1GB).

Rien de dramatique en soi au vu de la probabilité, la démonstration est plus théorique que pratique; mais cela démontre une fois de plus que les procédés d'encryption actuels ont montré leurs limites.

Pour plus de renseignement, contacter le Professeur Serge Vaudenay par

e-mail: serge.vaudenay@epfl.ch

ou par tél. 693-7696/7603.


retour au sommaire du Flash informatique spécial été 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI spécial été 2000 du 5 septembre 2000