Qu'a fait Serge Humpich ?
Cyber Cube
Quelle est la taille des nombres factorisés par Serge Humpich ?
Sur <http://www.acbm.com/pirates/num_05/interview.html> Pirate Mag cite
Serge Humpich, à propos du système CB:
"(..le système CB..) utilise un algorithme assez solide à 96 chiffres"
et plus loin, sans qu'il soit explicite si Humpich parle du système
précédent ou d'une démonstration distincte à des experts:
"SH: Quand j'ai fait ma démonstration, les spécialistes sont tombés des nues
! L'algorithme de cryptage utilisé est de niveau militaire: RSA, 640 bits.
PM: Il vous faut combien de temps pour retrouver un couple de nombres ?
SH: Cela dépend. Tout n'est pas automatique, je dois intervenir
'manuellement'. Il ne faut pas partir du raisonnement 'soit x tel nombre',
il faut dire 'soit x un nombre particulier' et sortir toutes ses
caractéristiques spécifiques. Le produit avait une forme particulière.
Aussi, ils n'ont pas pris le premier nombre, pas le dernier, ni au milieu,
pour gêner ceux qui font un crible en partant d'une telle position. J'ai
fait plein de raisonnements de ce genre et prévu des probabilités. J'ai
utilisé des méthodes récentes de factorisation de nombres premiers, que j'ai
adaptées à mes nombres particuliers. On pouvait se douter que la solution
était proche de la racine carrée...'
PM: (..) Vous nous parlez de code 640 bits maîtrisé depuis un an ?
SH: Trouver des nombres premiers de plus en plus grands, ce n'est pas
facile. Et, ici, les nombres demandent une particularité supplémentaire qui
les rend encore plus difficiles à trouver. L'avenir de cette
implémentation-là est fragilisée par cette considération. Car il n'est pas
sûr que trouver de telles clefs suffisamment grandes soit plus simple que de
briser l'algorithme sur des clefs plus importantes. Ce qui continuera à se
faire de manière conventionnelle. De plus, mes 640 bits correspondent à deux
nombres de 320 bits. Peut-être que les chercheurs sont toujours plus forts
que moi !"
Dans la première citation, 96 chiffres décimaux c'est 320 bits. Cette taille
est cohérente avec les informations que donne
<http://humpich.com/histoire.htm>:
"A l'aide d'un logiciel japonais utilisant (..une..) variante de
l'algorithme (..MPQS..) pour factorisation des grands nombres en facteurs
premiers (..Humpich..) parvient à factoriser (..) la clé publique de 321
bits en 2 facteurs premiers" ce qui est aussi tout à fait cohérent avec
l'état de l'art de la factorisation: 320 bits avec un PC, 384 bits avec
quelques PCs, 512 bits avec une armée de PC et un gros Cray. Et est aussi
cohérent avec des publications scientifiques de Louis Guillou (co-auteur de
l'algorithme GQ) mettant en garde, en 1988 et 1990, contre l'utilisation de
clés de 320 bits dans l'application CB. Et le fait, vérifié par mes soins
sur ma carte émise en 1999, qu'elle contient un certificat de 320 bits, avec
la clé publique de 320 bits des spécifications du GIE CB (maintenant
Groupement CB) dans l'édition de 1991.
Dans la seconde citation, il est clairement fait état de 640 bits. Ce
chiffre peut sembler très élevé, mais est en fait crédible dans le cas
particulier de clés RSA choisies avec des facteurs très proches, et
attaquées au moyen d'algorithmes de factorisation spécialisés (en
particulier Fermat et variantes), ce que semble revendiquer Humpich une fois
interprétée la transcription de Pirate Mag. Et si le nombre factorisé a été
choisi pour une épreuve, ou à fortiori pour un système réel, c'est soit une
magnifique performance de la part de Humpich, soit une faille (volontaire ou
pas) dans le système qui a choisi la clé, soit un hasard si hautement
improbable que c'est une hypothèse presque exclue. Mais que je sache Humpich
n'a pas renouvelé ce type de déclaration fracassante, et le site
<http://humpich.com> ne mentionne pas cet épisode 640 bits, pourtant très
glorieux, et sans lequel l'affaire Humpich ne serait que la tentative de
répression par voix judiciaire d'une demande de fond anonyme pour commenter
et taire une attaque en réalité bien connue, sous le doux nom de "YES card",
par les experts techniques du Groupement CB.
Les trois clés publiques données dans les spécifications (non
confidentielles) du système CB sont:
1:2^320+0x90b8aaa8de358e7782e81c7723653be644f7dcc6f816daf46e532b91e84f
2:2^320+0xd3ab7e06bc577b64101f69b96078a83f6703f49456a1025f65e9000b791f
3:2^320+0xc18407505f55c246af7ab247cbe332f0efc2d1c9b2b6bfa697e4d5766891
La clé 1 est utilisée par les deux cartes que j'ai testé, la clé 2 est une
clé de réserve. J'ai factorisé les clés 1 et 3 en quelques jours avec un
programme MPQS (japonais aussi !). La clé 3, en principe non utilisable pour
de "vraies" transactions, se décompose en
0xc31f7084b75c502caa4d19eb137482aa4cd57aab
*0x14fdeda70ce801d9a43289fb8b2e3b447fa4e08ed
Ni cette factorisation, ni celle de la clé 1 ne sont du type "près de la
racine" indiqué par Serge Humpich, sans que l'on puisse en déduire quoi que
ce soit de certain sur la réalité de l'épisode 640 bits.
Si quelqu'un
- a connaissance de CB en circulation utilisant un certificat plus grand que
320 bits, peut-être en complément du certificat actuel
- a eu des échos sur la prouesse supposée de la factorisation de clés de 640
bits par Serge Humpich,
il est prié de le dire sur ce forum, depuis un cybercafé, c'est plus sur.
Anie Nomat
Olivier Aichelbaum
> Si quelqu'un
> - a connaissance de CB en circulation utilisant un certificat plus grand que
> 320 bits, peut-être en complément du certificat actuel
> - a eu des échos sur la prouesse supposée de la factorisation de clés de 640
> bits par Serge Humpich,
> il est prié de le dire sur ce forum, depuis un cybercafé, c'est plus sur.
il semblerait que Serge Humpich ne parlait pas le meme langage que les pros
du cryptage (il avait lui meme emis cette hypothese). depuis peu, il parle de
2 x 320 bits. je trouve pour ma part scandaleux que le GIE CB en soit reste
a une telle clef (et je "comprends" que le Groupement souhaitait nous le cacher,
voir laisser supposer que la clef avait ete rallongee depuis 1983...)
c'est le GIE qui devrait etre juge pour avoir menti aux consommateurs.
a un tel niveau, il est peu probable que Humpich ait ete le seul a trouver
la "faille".
> le site <http://humpich.com> ne mentionne pas cet épisode 640 bits,
(rectif : ne mentionne "plus")
a+
--
Olivier Aichelbaum
Ultra
je me mefie toujours des mails anonymes
Guillermito
> je me mefie toujours des mails anonymes
Et ton nom a toi, c'est Jean Ultra, ou Robert Ultra?
--
Guillermito
http://www.pipo.com/guillermito
Pierre Vandevenne
>Ultra wrote:
>
>> je me mefie toujours des mails anonymes
>
>Et ton nom a toi, c'est Jean Ultra, ou Robert Ultra?
En fait, il existe essentiellement deux méthodes qui permettent de
résoudre ce problème, d'une part, la méthode des variations; d'autre part la
méthode des perturbations. Je te suggère de te référer à Pauling
( http://www.amazon.com/exec/obidos/ASIN/0486648710/ ) pour résoudre cette
épineuse question ;-)
---
Pierre Vandevenne, MD
www.datarescue.com, home of the IDA Pro Disassembler
Version 4.01 available
Thomas Pornin
[citant Serge Humpich]
> Trouver des nombres premiers de plus en plus grands, ce n'est pas facile.
Cette citation montre qu'Humpich ne maîtrise pas complètement le sujet.
Trouver de grands nombres premiers, c'est l'enfance de l'Art : on tire
aléatoirement des 0 et des 1, on les mets bout à bout et on cherche le
prochain nombre premier. Statistiquement, pour des nombres de, mettons,
256 bits, il faudra essayer environ 220 nombres (en fait, la moitié, on
peut sauter les multiples de 2). Un test statistique à la Miller-Rabin
permet d'éliminer rapidement les mauvais candidats.
On peut acquérir une "certitude probabiliste" qu'un nombre est premier
à peu de frais (genre : ce nombre a une chance sur 2^100 de ne pas être
premier) ; faire une vraie preuve mathématique est plus difficile mais
on possède des algos qui marchent assez bien, aussi on peut, si on veut
vraiment une telle preuve, rejeter un candidat où ça ne marche pas et
chercher le suivant.
Aussi, il ne faudrait pas prendre tous les détails techniques donnés
par Humpich pour argent comptant : comme il le dit lui-même, il ne
connaît pas le vocabulaire et les conventions utilisées habituellement
en cryptographie.
D'après le Canard Enchaîné (de je ne sais plus quel jour de janvier --
le jour de la comparution d'Humpich, ou le lendemain), le GIE aurait
annoncé un remplacement des cartes et des terminaux pour passer à un
système plus sûr, mis en place depuis septembre 1999. Il faut deux
ans pour changer toutes les cartes, ça nous amène à septembre 2001,
pile-poil pour passer à l'euro, aussi.
Pour expliquer le fait que ça n'intervienne que maintenant, il faut
garder en tête l'équation "standard = gros sous". Quand je regarde mon
décodeur de télé par câble, je vois une grosse boîte avec dedans une
carte à puce. Ça n'a pas de sens, le format "carte de crédit" pour une
telle application ; n'importe quelle clé "tamper resistant" marcherait,
et permettrait plus de silicium pour plus de puissance (le silicium
est fragile, la carte flexible, donc la surface limitée)(d'ailleurs,
Canal+ utilise une clé en plastique épaisse dans ses décodeurs). Mais le
standard existe et demeure, et c'est lui qui permet d'avoir des cartes
et des interfaces carte-décodeur pas chères, même en petites séries.
> il est prié de le dire sur ce forum, depuis un cybercafé, c'est plus sûr.
Arf.
--Thomas Pornin, de son vrai bureau et sous son vrai nom
que sa maman lui a donné et qu'il en est fier.
Ultra
> Anie Nomat
cest une contrepeterie
elle etait facile pourtant, je commence serieusement a minquieter
petit jeux, trouver moi une contrepeterie dans "salut patrick"
Sylvain PEREZ
>petit jeux, trouver moi une contrepeterie dans "salut patrick"
Je ne comprend pas, tu as répondu à Pierre, tu veux donc dire "salut Pierre"
? C'est ça ?
--
Niavlys.
Participer à la recherche de très grands Nombres Premiers, sérieusement,
pour le plaisir, ou les prix ! ... http://www.entropia.com/gimps/fr
Ultra
une avec "Patrick"
si quelqun en a une avec "Pierre" je suis preneur
Bernard PERROT
!>jai pas encore trouve de contrepeterie avec "Pierre", alors jen ai fait
!>une avec "Patrick"
!>si quelqun en a une avec "Pierre" je suis preneur
Peut-etre que pour conserver sa vocation au groupe, vous pourriez lui
dispenser les effluves des etats quantiques de votre cerveau les moins
appropries a celui-ci ?
Ce groupe, dedie a la crypto, va devenir totalement inutilisable si certains
s'emploient activement a le rendre inutilisable...
Y-a pas quelqu'un qui a prononce le mot "AAV pour moderation" il y a qques
jours ?
Laurent PELE
87tt76$30oo$1...@nef.ens.fr...
> D'après le Canard Enchaîné (de je ne sais plus quel jour de janvier --
> le jour de la comparution d'Humpich, ou le lendemain),
Le mercredi précédent, voir revue de presse sur http://humpich.com, il y a
un lien sur l'article
>le GIE aurait
> annoncé un remplacement des cartes et des terminaux pour passer à un
> système plus sûr, mis en place depuis septembre 1999. Il faut deux
> ans pour changer toutes les cartes, ça nous amène à septembre 2001,
> pile-poil pour passer à l'euro, aussi.
Il n'y a pas de carte bancaire spécifique pour l'euro. c'est une décision
prise il y a bien longtemps (1998) par le GIE / cartel des banques.
Le porteur de carte peut, dès maintenant si le terminal de paiement
l'accepte, choisir au niveau du commerçant si sa transaction est en franc ou
en euro.
Cela permet de fourguer au commerçant des modifications de système du
terminal de paiement
inutile (tout comme celles du passage à l'an 2000).
Mais bien sûr la procédure d'authentifcation des cartes bancaires est
inchangée.
Quant au délai de 2 ans, de remplacement des cartes, il faut déployer les
nouvelles cartes après s'être assuré que tous les terminaux de paiements
sont compatibles avec cette nouvelle carte.
De plus avant de fourguer un nouveau système, il faudrait avoir un maximum
de transparence dessus ? Taille des clés ? Possibilité de clonage ? Audit
indépendant ?
Concernant la taille de la clé, Serge m'a confirmé qu'elle ne faisait que
321 bits. Il y a eu une embrouille quelque part.
A mon avis, c'est du au fait qu'il les a trouvé il y a assez longtemps
(1997) et une partie de son matos a été saisi.
--
Laurent PELE 13 rue Lantiez 75017 PARIS
Tél/Fax +33 1 40 25 08 50 mob + 33 6 08 21 96 69
mailto:lau...@pele.org http://www.pele.org
Convertisseur euro et multi-devises sur http://fxtop.com/fr
Laurent PELE
87sbhf$ap2$1...@front6m.grolier.fr...
> Quelle est la taille des nombres factorisés par Serge Humpich ?
Cher(e) "Annie Nomat",
Bravo, nous avons mis un lien vers ton message depuis la page d'accueil du
site http://humpich.com
Michel Arboi
> Concernant la taille de la clé, Serge m'a confirmé qu'elle ne faisait que
> 321 bits. Il y a eu une embrouille quelque part.
> A mon avis, c'est du au fait qu'il les a trouvé il y a assez longtemps
> (1997) et une partie de son matos a été saisi.
J'ai quelque difficulté à saisir la logique de l'enchaînement.
1. On saisit le matos de SH
2. Subitement, plus personne ne retrouve la spécification de la CB et
on s'imagine que les clés font 640 bits.
Toute cette histoire est fort brumeuse. Je ne comprendrais jamais
pourquoi SH a fait du reverse engineering sur un terminal pour
retrouver un protocole documenté dans des pavés auquel il avait accès
puisqu'il a bossé dans le domaine.
Je le soupçonne d'être complètement mythomane. Le GIE ferait mieux de
l'envoyer devant un psychiatre que devant un tribunal.
Je sais, tout ce message manque de diplomatie, mais cette affaire
commence à être franchement lassante.
--
mailto:ar...@bigfoot.com http://www.bigfoot.com/~arboi/
PGP Public keys: http://www.bigfoot.com/~arboi/pubkey.txt
Laurent PELE
m3d7q11...@casserole.ochim-el-arbi.fr...
> "Laurent PELE" <lau...@pele.org> writes:
>
> > Concernant la taille de la clé, Serge m'a confirmé qu'elle ne faisait
que
> > 321 bits. Il y a eu une embrouille quelque part.
> > A mon avis, c'est du au fait qu'il les a trouvé il y a assez longtemps
> > (1997) et une partie de son matos a été saisi.
>
> J'ai quelque difficulté à saisir la logique de l'enchaînement.
> 1. On saisit le matos de SH
> 2. Subitement, plus personne ne retrouve la spécification de la CB et
> on s'imagine que les clés font 640 bits.
>
> Toute cette histoire est fort brumeuse. Je ne comprendrais jamais
> pourquoi SH a fait du reverse engineering sur un terminal pour
> retrouver un protocole documenté dans des pavés auquel il avait accès
> puisqu'il a bossé dans le domaine.
Il a travaillé dans la banque mais pas dans ce domaine,
c'est grand les banques, c'est segmenté, il y a des milliers
d'informaticiens, très peu travaillent sur la monétique, il n'y a aucune
expertise propre dans les banques, j'y travaille depuis 1990 et je n'y ai
jamais vu de document sur le sujet : les
recherches et brevets sur le procédé d'authentification sont faits par
France Télécom, la mise en place par le GIE cartes bancaires, et il ne
savait pas que c'était documenté.
Juridiquement, on ne peut lui reprocher d'avoir violé un secret
professionnel puisqu'il n'a pas acquis ces connaissances dans le cadre de
son travail, même de loin.
Ce qu'il savait, c'était que le milieu industriel était en général assez
léger au niveau sécurité et que les personnes qui prenaient les décisions au
niveau technique n'avaient pas les compétences requises.
Cela lui a permis d'émettre dès 1993 de sérieux doutes sur la sécurité des
cartes à puce.
De plus les spécifications sont assez vieilles, tout le monde pensait
qu'elles avaient
dû évoluer (on ne sait pas trop comment car le GIE ne fait pas de
publications là dessus).
Moi y compris : les scientifiques disent et publient dans des revues
spécialisées que le système doit évoluer en 1988 et en 1993 le système
réputé non sûr 5 ans plus tôt devient opérationnel.
J'ai du mal à le croire, donc je creuse car je suis constructif.
C'est le cas, les banques ont bien mis ene place un système obsolète. Je
peux l'expliquer mais je ne peux l'excuser :
La mise en place de la carte à puce ne s'est pas faite en douceur : cela a
duré 20 ans de 1973 à 1993 (naissance de la carte à puce à l'utilisation de
la puce chez les commerçants), les banques ont englouti des milliards,
l'ambiance était conflictuelle entre les banques.
vers 1991-92 le système n'était toujours pas opérationnel, Marc Viénot, le
PDG de la Société Générale, en avait marre de mettre tant d'argent et
menaçait de quitter le projet.
Dans ces conditions, elles devaient rechigner à mettre encore de l'argent
pour faire évoluer le système pourtant déjà obsolète, le GIE ne l'a peut
être pas dit car il se serait décrédibilisé et le projet aurait été sûrement
enterré.
Quant au brouillard, il est du côté du GIE qui doit faire la transparence
sur son système qui l'impose aux consommateurs et aux commerçants.
Nous on apporte des documents, des sources (notamment ceux distribués en
cours à Supélec en 1991) et on essaie de mettre la lumière là dessus.
Si tu vois une erreur parmi les documents HTML présents sur le site
http://humpich.com merci de nous le transmettre. Mais, nous avons recoupé
les sources et tous les faits qui y sont indiqués sont exacts actuellement
et si ce n'était pas le cas, j'en assumerais les responsabilités.
Par contre certaines imprécisions ou erreurs se sont propagées dans la
presse et je le regrette.
>Je sais, tout ce message manque de diplomatie, mais cette affaire
>commence à être franchement lassante.
Au delà du cas personnel de Serge Humpich, il subsiste le problème de la
sécurité des transactions par carte bancaire dans une démocratie, ce
problème m'intéresse particulièrement et intéresse baucoup de monde :
Est ce normal qu'un cartel de banques répète encore que son système soit
complètement inviolable, que des commerçants, du coup, installent à leur
frais des terminaux de paiements par carte pour en bénéficier et qu'on se
rende compte que dès l'origine, la sécurité n'était pas assurée ?
Notamment, à la SNCF, la RATP, les parking, les automates, les cabines
téléphoniques où il n'y a personne de physiquement présent pour vérifier la
présence d'hologramme sur la carte.
Est ce normal que des porteurs de cartes s'étonnent d'opérations qui leur
sont imputées unilatéralement par leur banque, que ces personnes peuvent
prouver que ce n'est pas eux qui ont fait ces opérations et qu'ils étaient
ailleurs à ce moment là et qu'on leur oppose une fin de non recevoir : "le
système est techniquement infaillible" alors que dès 1988, les experts
disaient qu'une carte bancaire peut être dupliquée ?
Il y a des milliards en jeu. La question des responsabilités et de la faute
devra se poser, et elle se posera tout prochainement, car tout le monde
s'intéresse à son fric.
Au niveau politique, ces questions de sécurité devront faire l'objet d'un
débat démocratique public.
Ce forum, fr.misc.cryptologie, permet de faire un débat, non seulement au
niveau technique, mais aussi juridique et politique (relire la charte).
Le site http://humpich.com apporte également sa contribution et des
éléments à ce débat.
Tu es totalement libre de dire ce que tu veux et ce que tu penses.
Pour ma part, j'essaie d'être constructif et de mettre de la clarté sur ce
sujet.
Je comprend qu'on n'est pas su immédiatement tout sur le sujet .
En effet, cela s'explique du fait de procédures judiciaires, et de menaces
faits par l'autorité judiciaire sur Serge Humpich pour le dissuader de
révéler des détails techniques, ni qu'il n'ait voulu détruire tout un
système dès 1998.
Restant dispo
Je suis totalement ouvert sur une discussion concernant les faits techniques
et juridiques concernant la sécurité du système des cartes bancaires.
Quant aux problèmes moraux, d'éthiques et psychologiques, ils ne
m'intéressent guère.
Pierre Vandevenne
>Je sais, tout ce message manque de diplomatie, mais cette affaire
>commence à être franchement lassante.
C'est un peu vrai - cela dit cela peut se comprendre. D'abord, les banques
semblent être le dernier bastion de la sécurité par l'obscurité et c'est très
désagréable. Comme je l'ai déjà signalé ici auparavant, les contrats de "web
banking" que j'ai signé me mentent outrageusement. Je ne prétends pas que le
système est craquable, j'affirme simplement que dans le cadre contractuel qui
me lie à mes banques, on me colle toutes les responsabilités sur la tête tout
en me mentant. Tu trouves cela normal ? Et je fais encore partie de ces
bienheureux qui savent qu'on leur ment - la majorité des utilisateurs n'est
probablement pas capable de le démontrer de façon formelle...
Ensuite, il me semble que la façon dont SH a été traité est indigne d'un
environnement démocratique. Qu'il soit fou, idéaliste, escroc ou génial n'a
que très peu d'importance en fait : le principe lui en a. Quand on en arrive à
ce dire que ce gars dit peut-être la vérité parce qu'on le cole en taule,
c'est pas jojo pour la démocracie hein ? Et d'ailleurs, quand bien même il
serait naif et croirait avoir découvert ce que d'autres ont découvert et
exploité bien avant lui, il a au moins le mérite de la franchise et le courage
de donner un grand coup de pied dans le désordre...
D'autre part, il est vrai qu'il faut tout de même protéger certains mécanismes
de notre société : leur vulnérabilité ne nous oblige pas à les détruire.
L'idéal serait qu'on foute la paix à SH, que son travail soit reconnu(*) d'une
façon ou d'une autre et que le monde bancaire prenne un peu
ses responsabilités.
Au niveau imprécisions / mensonges, je crois en tout cas que SH n'est pas le
plus coupable dans cette affaire.
(*) De deux choses l'une
1) soit SH est génial et a mis le doigt sur une faille importante du système :
à ce titre son travail devrait être rétribué.
2) soit SH n'est en fait que le Xième individu à avoir réussi le coup, son
n'exploit n'est en fait qu'une redite publique de ce que certains ont réussi
secrètement depuis longtemps et il a vraiment mal évalué la portée de ses
travaux : ce serait un "plouc naif". Dans ce cas, il mérite encore plus sa
rétribution puisqu'il démontre avec brio que le système est à la merci des
ploucs naifs du monde entier.
La leçon vaut bien un fromage non ?
ZipZap
En publiant ici ce message, avez-vous dévoilé du même coup le secret des
cartes bancaires? Ces informations sont-elles utilisables pour quelqun qui
voudrait faire la même chose que Serge Humpich ?
Je suis journaliste et je m'intéresse de très près à cette affaire. Mais par
contre je n'ai pas l'ombre d'un minimum de votre culture technique (chacun
son métier), aussi pourriez vous me répondre avec des termes
"compréhensibles" ?
Merci 1000 fois
Pascal C.
Cyber Cube a écrit dans le message <87sbhf$ap2$1...@front6m.grolier.fr>...