On the security of 2-key triple DES

Cet article démontre que la sécurité du triple DES à deux clés est plus faible que prévu grâce à une nouvelle attaque généralisée, invalidant ainsi l'estimation de 80 bits de sécurité et appelant à une migration urgente vers la variante à trois clés.

L'essentiel

🕵️‍♂️ Le Secret du Triple DES : Pourquoi la serrure de vos cartes bancaires est plus fragile qu'on ne le pensait

Imaginez que le DES (Data Encryption Standard) soit une vieille serrure à clé unique utilisée pour protéger les données financières depuis les années 70. Comme la clé était un peu courte, les experts ont eu une idée : au lieu d'utiliser une seule serrure, on en empile trois ! C'est ce qu'on appelle le Triple DES.

Il existe deux versions de ce système :

1. La version "3 clés" : Trois serrures différentes avec trois clés différentes (très solide).
2. La version "2 clés" : On utilise deux clés, mais on les réutilise de manière astucieuse (Clé A, puis Clé B, puis Clé A). C'est la version la plus utilisée dans le monde bancaire (cartes de crédit, paiements).

Pendant des décennies, les experts ont dit : "La version à 2 clés est très sûre, elle offre une sécurité équivalente à une clé de 80 bits. Tant que vous changez de clé régulièrement, vous êtes en sécurité."

L'article de Chris Mitchell vient de dire : "Attendez une minute. Cette sécurité est en réalité beaucoup plus fine qu'on ne le pensait."

Voici comment il a découvert cette faille, expliqué avec des analogies du quotidien.

---

1. L'ancienne méthode de piratage (L'attaque Van Oorschot-Wiener)

Imaginez que vous essayez de deviner la combinaison d'un coffre-fort.

• L'ancienne idée : Vous avez besoin d'une énorme quantité de messages chiffrés (des "cylindres de serrure") qui ont tous été verrouillés avec la même clé.
• Le problème : Si vous avez 4 milliards de messages, mais qu'ils ont tous été faits avec la même clé, c'est très difficile à obtenir dans la vraie vie. Les banques changent souvent de clé.
• La conclusion précédente : "Pas de panique, tant qu'on change la clé souvent, personne ne peut rassembler assez de cylindres pour casser la serrure."

2. La nouvelle découverte : "La foule fait la loi"

Mitchell a eu une idée géniale : Et si on utilisait des cylindres venant de différentes serrures ?

Imaginez un détective qui ne cherche pas à ouvrir un seul coffre spécifique, mais qui veut trouver l'une quelconque des clés d'une banque.

• L'analogie : Au lieu de chercher à ouvrir la porte de la maison de M. Dupont, le détective regarde des milliers de portes de milliers de maisons différentes. Il essaie une clé sur une porte. Si ça ne marche pas, il passe à la suivante.
• Le résultat : Mitchell a montré qu'on peut mélanger des messages chiffrés avec des clés différentes dans son attaque. Le fait de changer de clé régulièrement ne rend plus l'attaque impossible, cela ne fait que limiter les dégâts après qu'une clé ait été trouvée.
• La leçon : La sécurité ne dépend plus de la fréquence du changement de clé, mais de la quantité totale de données disponibles, peu importe qui les a chiffrées.

3. L'astuce du "Miroir" (La propriété de complémentarité)

Le DES a une curieuse propriété mathématique : si vous inversez tous les bits d'une clé et du message (comme regarder dans un miroir noir et blanc), le résultat est aussi inversé.

• L'analogie : C'est comme si, en essayant d'ouvrir une porte avec une clé, vous obteniez gratuitement une deuxième chance avec une clé "miroir" sans effort supplémentaire.
• Le gain : Cela double la vitesse de l'attaque. C'est comme si le détective avait deux clés pour le prix d'une.

4. Le pouvoir du "Presque connu" (Plaintext partiellement connu)

C'est peut-être l'astuce la plus puissante. Souvent, on ne connaît pas tout le message original, mais on en connaît une grande partie.

• L'exemple concret (Le code PIN) : Quand vous utilisez une carte bancaire, le message contient votre numéro de compte (que l'on connaît) et votre code PIN (4 chiffres, que l'on ne connaît pas).
• L'astuce : Au lieu de dire "Je ne peux pas attaquer car je ne connais pas le PIN", le détective dit : "Je vais essayer les 10 000 combinaisons possibles de PIN (0000 à 9999) et les coller à mon numéro de compte connu."
• Le résultat : Il crée 10 000 fausses paires de messages pour chaque message réel. Même si 9 999 sont faux, cela suffit à alimenter l'attaque. Cela rend l'attaque possible même avec des données incomplètes, ce qui est très fréquent dans la vie réelle.

---

🚨 La Conclusion : Pourquoi faut-il s'inquiéter ?

Avant cet article, on pensait que le Triple DES à 2 clés offrait une sécurité de 80 bits. On pensait que c'était une marge de sécurité confortable.

Mitchell nous dit :

1. La marge est mince : Avec ces nouvelles astuces (mélanger les clés, utiliser des données partielles, l'effet miroir), la sécurité réelle est beaucoup plus proche de la limite du possible. Ce n'est plus "très sûr", c'est "juste à la limite".
2. Changer de clé ne suffit plus : L'argument classique "changez de clé tous les jours pour être en sécurité" est maintenant remis en question. L'attaque fonctionne même si les clés changent, tant qu'il y a assez de données globales.
3. Le verdict : Le Triple DES à 2 clés n'est pas "cassé" (on ne peut pas le pirater en 5 minutes), mais il est fragile. Comme une vieille porte en bois qui tient encore, mais qui craque sous la moindre pression.

Que faut-il faire ?
Il est urgent de remplacer cette vieille serrure par quelque chose de plus moderne et robuste, comme l'AES (le standard actuel), qui utilise des clés beaucoup plus longues et résiste à ces types d'attaques. C'est un peu comme remplacer une serrure à 3 goupilles par une serrure électronique à reconnaissance d'empreinte digitale : c'est plus cher et plus complexe à installer, mais c'est la seule façon de dormir tranquille aujourd'hui.

En résumé : La sécurité de vos cartes bancaires repose sur une technique qui a 40 ans. Les experts pensaient qu'elle était solide, mais cet article montre qu'elle a des fissures invisibles. Il est temps de passer à la suite !

Résumé technique

1. Problématique

Bien que le Triple DES à deux clés (2-key Triple DES) ait été déstandardisé par le NIST fin 2015, il reste largement utilisé, notamment dans l'industrie des paiements (normes EMV). La sécurité de ce schéma est traditionnellement estimée à 80 bits, une valeur considérée comme offrant une marge de sécurité suffisante, à condition que les clés soient changées régulièrement pour limiter le nombre de paires texte clair/chiffré disponibles pour un attaquant.

L'auteur remet en cause cette évaluation. Il démontre que la marge de sécurité est beaucoup plus fine que prévu et que les conseils de sécurité actuels (comme le changement fréquent de clés) sont insuffisants pour contrer les nouvelles attaques cryptanalytiques décrites.

2. Méthodologie

L'article propose une généralisation et une amélioration de l'attaque connue sous le nom d'attaque de van Oorschot-Wiener (1990), qui était jusqu'alors la meilleure attaque contre le 2-key Triple DES. L'auteur introduit trois améliorations majeures :

A. Généralisation aux multiples clés

L'attaque originale de van Oorschot-Wiener nécessitait un grand nombre de paires (texte clair, texte chiffré) générées avec une seule et même clé. L'auteur montre que l'attaque fonctionne tout aussi bien si les données proviennent de multiples clés différentes.

• Mécanisme : L'attaquant regroupe les paires par étiquette de clé. Lors de la phase de recherche, si une hypothèse de clé $K_1$ correspond à une paire d'une étiquette spécifique, l'attaque teste $K_2$ uniquement sur les paires de cette même étiquette.
• Conséquence : Le changement régulier de clés ne réduit plus la probabilité de succès de l'attaque, mais seulement l'impact (seules les données chiffrées avec la clé compromise sont décryptées).

B. Exploitation de la propriété de complémentarité du DES

Le DES possède une propriété de complémentarité : $E_K(P) = \overline{E_{\overline{K}}(\overline{P})}$.

• Mécanisme : En utilisant cette propriété, l'attaquant peut traiter simultanément une valeur hypothétique $A$ et son complément $\overline{A}$. Cela double le nombre de paires de données utilisables pour chaque itération de l'attaque.
• Gain : Cela permet de diviser par deux le nombre d'itérations nécessaires pour trouver la clé, réduisant la complexité temporelle d'un facteur 2.

C. Utilisation de textes clairs partiellement connus

Dans de nombreux scénarios réels (ex: blocs PIN dans les paiements), l'attaquant connaît une partie du texte clair mais pas tout (ex: le numéro de compte est connu, mais le code PIN à 4 chiffres est inconnu, soit $2^{13}$ possibilités).

• Mécanisme : L'attaquant génère toutes les combinaisons possibles pour les bits inconnus, créant ainsi un grand nombre de "fausses" paires texte clair/chiffré pour chaque bloc chiffré réel.
• Résultat : L'attaque tolère ces fausses paires. Tant que le nombre total de paires (réelles + fausses) reste inférieur à $2^{56}$, la complexité computationnelle de l'attaque n'augmente pas de manière significative, bien que la complexité de stockage augmente légèrement.

3. Contributions Clés

1. Première avancée majeure depuis 1990 : C'est la première amélioration significative de la cryptanalyse du 2-key Triple DES depuis l'attaque de van Oorschot-Wiener.
2. Réfutation de la sécurité des 80 bits : L'article démontre que l'estimation de 80 bits n'est pas conservatrice. Avec les améliorations (notamment la propriété de complémentarité), la sécurité effective chute à 79 bits (ou moins selon le contexte).
3. Invalidation de la stratégie de rotation des clés : L'auteur prouve que limiter le nombre de messages par clé (en changeant fréquemment de clé) n'empêche pas l'attaque généralisée, car celle-ci peut agréger des données provenant de nombreuses clés différentes.
4. Extension aux MAC ANSI Retail : L'attaque est appliquée avec succès au schéma de code d'authentification de message (MAC) ANSI Retail (utilisé dans EMV), montrant que la limitation du nombre de MAC par clé ne protège pas contre cette attaque généralisée.

4. Résultats Techniques

La complexité de l'attaque est résumée comme suit (où $n = 2^t$ est le nombre de paires texte clair/chiffré disponibles) :

• Complexité temporelle : L'attaque nécessite environ **$2^{120-t}$** opérations DES (au lieu de$2^{121-t}$ pour l'attaque originale, grâce à la propriété de complémentarité).
• Complexité spatiale : $O(2^t)$ (ou $O(2^{t+w})$ si l'on utilise des textes clairs partiellement connus avec $w$ bits inconnus).

Exemple concret :
Si un attaquant dispose de $2^{32}$(4 milliards) de paires (même partiellement connues ou provenant de multiples clés), la clé peut être découverte en **$2^{88}$** opérations DES.

• Sans les améliorations : $2^{89}$ opérations.
• Avec les améliorations : $2^{88}$ opérations.

Bien que $2^{88}$ semble élevé, cela rend l'attaque beaucoup plus réaliste qu'auparavant, surtout avec le matériel de calcul moderne et le parallélisme massif.

5. Signification et Conclusion

L'article conclut que la sécurité du 2-key Triple DES est précaire.

• Urgence de migration : Les efforts pour remplacer le 2-key Triple DES doivent être menés avec urgence, soit par la variante 3-key Triple DES, soit, de préférence, par des algorithmes modernes comme l'AES.
• Risque pour les paiements : L'industrie des paiements, qui dépend encore fortement de ce schéma (notamment pour les MAC), est plus vulnérable que prévu.
• Avertissement : La recommandation de changer les clés régulièrement est insuffisante pour assurer la sécurité cryptographique contre cette attaque généralisée. La marge de sécurité est désormais considérée comme trop faible pour une utilisation à long terme.

En résumé, ce papier démontre que le 2-key Triple DES est "cassé" dans le sens où sa sécurité marginale est érodée, rendant son utilisation actuelle risquée malgré le fait qu'il ne soit pas totalement brisé (comme le serait le DES simple).