Qu'est-ce qu'un oracle cryptographique?

Un Oracle est un individu qui connaît le numéro de téléphone portable d'un dieu. Cela lui permet d'obtenir des informations qui sont généralement considérées comme hors de portée de simples mortels, comme des aperçus de l'avenir. En cryptographie, c'est la même chose, sauf qu'aucune divinité n'est impliquée: un Oracle est un système qui peut donner des informations supplémentaires sur un système, qui autrement ne seraient pas disponibles.

Par exemple, envisagez le chiffrement asymétrique avec RSA . La norme que je lie à indique comment un élément de données doit être chiffré avec une clé publique. En particulier, le chiffrement commence par une opération de remplissage , dans laquelle l'élément de données est d'abord développé en ajoutant un en-tête, de sorte que la longueur des données remplies correspond la longueur de la clé publique RSA. L'en-tête doit commencer par les deux octets 0x00 0x02, suivi d'au moins huit octets aléatoires non nuls, puis d'un autre 0x00. Une fois les données complétées, il est temps d'appliquer l'opération mathématique qui est au cœur de l'opération RSA (exponentiation modulaire). Les détails du rembourrage sont importants pour la sécurité.

Le résultat du chiffrement est un module entier le module RSA , un grand entier qui fait partie de la clé publique. Pour une clé RSA 1024 bits, le module n est une valeur entière supérieure à 2¹⁰²³, mais plus petit que 2¹⁰²⁴. Un bloc de données correctement chiffré, avec RSA, donne une valeur entière entre 1 et n-1 . Cependant, le remplissage implique une structure , comme indiqué ci-dessus. La partie déchiffrante DOIT trouver, lors du déchiffrement, un en-tête PKCS # 1 correctement formé, commençant par 0x00 0x02 octets, suivis d'au moins huit octets non nuls, et il doit y avoir un 0x00 qui marque la fin de l'en-tête. Par conséquent, tous les entiers compris entre 1 et n-1 ne sont pas des RSA valides -message crypté (moins de 1 sur 65 000 de ces entiers donnerait un remplissage correct lors du décryptage).

Savoir si un module entier donné n donnerait, lors du décryptage, un une structure de remplissage valide, est censée être impossible pour quiconque ne connaît pas la clé privée. Le propriétaire de la clé privée (la divinité) obtient ces informations, et bien plus encore: si le décryptage fonctionne, le propriétaire de la clé privée reçoit en fait le message, qui est le point de décryptage. Supposons qu'il existe une entité, quelque part, qui peut vous dire si un entier donné modulo n est une donnée valablement chiffrée avec RSA; cette entité ne vous donnerait pas le résultat de décryptage complet, elle vous dirait simplement si le décryptage fonctionnerait ou non. C'est une information d'un bit, un aperçu réduit de ce que la divinité obtiendrait. L'entité est votre Oracle: elle renvoie des parties des informations qui ne sont normalement disponibles que pour le propriétaire de la clé privée.

Il s'avère que, étant donné l'accès à un tel Oracle, il est possible de reconstruire la clé privée, en envoyant des entiers spécialement conçus modulo n (il faut environ un million de ces valeurs, et pas mal de mathématiques, mais cela peut être fait). Il s'avère également que la plupart des implémentations SSL/TLS de cette époque (c'était en 1999) agissaient involontairement comme des oracles: si vous envoyiez, en tant que client, un message ClientKeyExchange crypté RSA, le serveur répondait avec un message d'erreur spécifique ("duh, votre message ClientKeyExchange pue"), alors que si le décryptage fonctionnait, le serveur suivait le protocole, en utilisant la valeur décryptée (généralement inconnue du client si le client a envoyé une valeur aléatoire , donc le protocole a échoué plus tard, mais le client a pu voir la différence entre un remplissage valide et non valide). Par conséquent, avec une telle implémentation, un attaquant pourrait (après un million de connexions échouées) reconstruire la clé privée du serveur, ce qui est généralement considéré comme une mauvaise chose.

Voilà ce que sont les oracles: une description mathématique d'une fuite de données, à utiliser dans les preuves de sécurité. Dans le cas de RSA, cela démontre que savoir si une valeur a un remplissage correct ou non est en quelque sorte équivalent à l'apprentissage de la clé privée (si vous connaissez la clé privée, vous pouvez essayer le déchiffrement et voir le remplissage par vous-même; l'attaque de Bleichenbacher montre que cela fonctionne aussi dans l'autre sens).