Google Groups

Qu'a fait Serge Humpich ?


Cyber Cube Feb 9, 2000 12:00 AM
Posted in group: fr.misc.cryptologie
Je relance une question qui a été l'objet de débats houleux:

  Quelle est la taille des nombres factorisés par Serge Humpich ?

Sur <http://www.acbm.com/pirates/num_05/interview.html> Pirate Mag cite
Serge Humpich, à propos du système CB:
"(..le système CB..) utilise un algorithme assez solide à 96 chiffres"

et plus loin, sans qu'il soit explicite si Humpich parle du système
précédent ou d'une démonstration distincte à des experts:
"SH: Quand j'ai fait ma démonstration, les spécialistes sont tombés des nues
! L'algorithme de cryptage utilisé est de niveau militaire: RSA, 640 bits.
PM: Il vous faut combien de temps pour retrouver un couple de nombres ?
SH: Cela dépend. Tout n'est pas automatique, je dois intervenir
'manuellement'. Il ne faut pas partir du raisonnement 'soit x tel nombre',
il faut dire 'soit x un nombre particulier' et sortir toutes ses
caractéristiques spécifiques. Le produit avait une forme particulière.
Aussi, ils n'ont pas pris le premier nombre, pas le dernier, ni au milieu,
pour gêner ceux qui font un crible en partant d'une telle position. J'ai
fait plein de raisonnements de ce genre et prévu des probabilités. J'ai
utilisé des méthodes récentes de factorisation de nombres premiers, que j'ai
adaptées à mes nombres particuliers. On pouvait se douter que la solution
était proche de la racine carrée...'
PM: (..) Vous nous parlez de code 640 bits maîtrisé depuis un an ?
SH: Trouver des nombres premiers de plus en plus grands, ce n'est pas
facile. Et, ici, les nombres demandent une particularité supplémentaire qui
les rend encore plus difficiles à trouver. L'avenir de cette
implémentation-là est fragilisée par cette considération. Car il n'est pas
sûr que trouver de telles clefs suffisamment grandes soit plus simple que de
briser l'algorithme sur des clefs plus importantes. Ce qui continuera à se
faire de manière conventionnelle. De plus, mes 640 bits correspondent à deux
nombres de 320 bits. Peut-être que les chercheurs sont toujours plus forts
que moi !"

Dans la première citation, 96 chiffres décimaux c'est 320 bits. Cette taille
est cohérente avec les informations que donne
<http://humpich.com/histoire.htm>:
"A l'aide d'un logiciel japonais utilisant (..une..) variante de
l'algorithme (..MPQS..) pour factorisation des grands nombres en facteurs
premiers (..Humpich..) parvient à factoriser (..) la clé publique de 321
bits en 2 facteurs premiers" ce qui est aussi tout à fait cohérent avec
l'état de l'art de la factorisation: 320 bits avec un PC, 384 bits avec
quelques PCs, 512 bits avec une armée de PC et un gros Cray. Et est aussi
cohérent avec des publications scientifiques de Louis Guillou (co-auteur de
l'algorithme GQ) mettant en garde, en 1988 et 1990, contre l'utilisation de
clés de 320 bits dans l'application CB. Et le fait, vérifié par mes soins
sur ma carte émise en 1999, qu'elle contient un certificat de 320 bits, avec
la clé publique de 320 bits des spécifications du GIE CB (maintenant
Groupement CB) dans l'édition de 1991.

Dans la seconde citation, il est clairement fait état de 640 bits. Ce
chiffre peut sembler très élevé, mais est en fait crédible dans le cas
particulier de clés RSA choisies avec des facteurs très proches, et
attaquées au moyen d'algorithmes de factorisation spécialisés (en
particulier Fermat et variantes), ce que semble revendiquer Humpich une fois
interprétée la transcription de Pirate Mag. Et si le nombre factorisé a été
choisi pour une épreuve, ou à fortiori pour un système réel, c'est soit une
magnifique performance de la part de Humpich, soit une faille (volontaire ou
pas) dans le système qui a choisi la clé, soit un hasard si hautement
improbable que c'est une hypothèse presque exclue. Mais que je sache Humpich
n'a pas renouvelé ce type de déclaration fracassante, et le site
<http://humpich.com> ne mentionne pas cet épisode 640 bits, pourtant très
glorieux, et sans lequel l'affaire Humpich ne serait que la tentative de
répression par voix judiciaire d'une demande de fond anonyme pour commenter
et taire une attaque en réalité bien connue, sous le doux nom de "YES card",
par les experts techniques du Groupement CB.

Les trois clés publiques données dans les spécifications (non
confidentielles) du système CB sont:
1:2^320+0x90b8aaa8de358e7782e81c7723653be644f7dcc6f816daf46e532b91e84f
2:2^320+0xd3ab7e06bc577b64101f69b96078a83f6703f49456a1025f65e9000b791f
3:2^320+0xc18407505f55c246af7ab247cbe332f0efc2d1c9b2b6bfa697e4d5766891
La clé 1 est utilisée par les deux cartes que j'ai testé, la clé 2 est une
clé de réserve. J'ai factorisé les clés 1 et 3 en quelques jours avec un
programme MPQS (japonais aussi !). La clé 3, en principe non utilisable pour
de "vraies" transactions, se décompose en
    0xc31f7084b75c502caa4d19eb137482aa4cd57aab
  *0x14fdeda70ce801d9a43289fb8b2e3b447fa4e08ed
Ni cette factorisation, ni celle de la clé 1 ne sont du type "près de la
racine" indiqué par Serge Humpich, sans que l'on puisse en déduire quoi que
ce soit de certain sur la réalité de l'épisode 640 bits.

Si quelqu'un
- a connaissance de CB en circulation utilisant un certificat plus grand que
320 bits, peut-être en complément du certificat actuel
- a eu des échos sur la prouesse supposée de la factorisation de clés de 640
bits par Serge Humpich,
il est prié de le dire sur ce forum, depuis un cybercafé, c'est plus sur.

Anie Nomat