[gull] e-banking
Frederic Schutz
schutz at mathgen.ch
Mon Aug 13 11:03:00 CEST 2007
Marc SCHAEFER wrote:
> (*) ce système a été conçu dans les années 80. Aujourd'hui on considère
> qu'une clé RSA-768 est le minimum. Chaque bit ajouté double la
> complexité (Frédéric? :))
Pas entièrement correct. Ceci est valable pour une clé symétrique (créée
aléatoirement), quand on parle d'attaque par force brute: dans ce cas,
l'ajout d'un bit double effectivement le nombre de clés possible, et
donc la complexité de l'attaque (si on a pas de meilleure attaque).
Dans le cas d'une clé RSA, le problème n'est pas le même à cause de la
structure intrinsèque de la clé (elle n'est pas entièrement aléatoire,
elle dépend d'un nombre à factoriser qui est le produit de deux grands
nombres premiers). Il se peut très bien qu'une clé plus grande soit plus
facile à factoriser qu'une clé plus petite, en particulier si les
facteurs n'ont pas été bien choisis. A cause de la structure, il se peut
aussi très bien qu'il y ait des meilleurs algorithmes dont le temps
n'augmente pas de façon exponentielle avec la taille du nombre.
Mais en règle générale, on s'attent à ce (et on espère) qu'une clé plus
grande soit effectivement plus difficile à factoriser qu'une clé plus
petit...
> PS/2: l'ancien système à code à biffer de la Poste me semblait très
> bien, sauf que j'avais l'impression que les nombres n'étaient pas si
> aléatoires que ça (j'aurais dû faire un test statistique :)), notamment
> dans le redoublement des chiffres dans le même nombre, et la
> similarité des nombres entre deux comptes que j'avais cru
> percevoir analogiquement.
Attention, alerte au "data snooping"; l'article Wikipedia sur le sujet
n'est pas terrible (http://en.wikipedia.org/wiki/Data-snooping_bias),
mais il s'agit de la tendance (plus ou moins inconsciente) de trouver
quelque chose de suspect dans les données sans avoir spécifié au
préalable ce que tu cherchais, puis de fare un test statistique non pas
pour voir si la suspicion est correcte, mais pour la renforcer. En
d'autres termes: il y a tellement de similarités ou de motifs différents
que l'on peut discerner que même si on regarde une table créée avec des
nombres vraiment aléatoires, on y trouvera quelque chose qui semble bizarre.
Mais ceci dit, j'avais pensé à faire exactement la même chose :-) J'ai
gardé les listes mais n'ai jamais été plus loin.
Frédéric
More information about the gull
mailing list