[gull] e-banking

Frederic Schutz schutz at mathgen.ch
Mon Aug 13 11:03:00 CEST 2007 

Marc SCHAEFER wrote:

> (*) ce système a été conçu dans les années 80. Aujourd'hui on considère
> qu'une clé RSA-768 est le minimum. Chaque bit ajouté double la
> complexité (Frédéric? :)) 

Pas entièrement correct. Ceci est valable pour une clé symétrique (créée 
aléatoirement), quand on parle d'attaque par force brute: dans ce cas, 
l'ajout d'un bit double effectivement le nombre de clés possible, et 
donc la complexité de l'attaque (si on a pas de meilleure attaque).

Dans le cas d'une clé RSA, le problème n'est pas le même à cause de la 
structure intrinsèque de la clé (elle n'est pas entièrement aléatoire, 
elle dépend d'un nombre à factoriser qui est le produit de deux grands 
nombres premiers). Il se peut très bien qu'une clé plus grande soit plus 
facile à factoriser qu'une clé plus petite, en particulier si les 
facteurs n'ont pas été bien choisis. A cause de la structure, il se peut 
aussi très bien qu'il y ait des meilleurs algorithmes dont le temps 
n'augmente pas de façon exponentielle avec la taille du nombre.

Mais en règle générale, on s'attent à ce (et on espère) qu'une clé plus 
grande soit effectivement plus difficile à factoriser qu'une clé plus 
petit...

> PS/2: l'ancien système à code à biffer de la Poste me semblait très
>       bien, sauf que j'avais l'impression que les nombres n'étaient pas si
>       aléatoires que ça (j'aurais dû faire un test statistique :)), notamment
>       dans le redoublement des chiffres dans le même nombre, et la
>       similarité des nombres entre deux comptes que j'avais cru
>       percevoir analogiquement.

Attention, alerte au "data snooping"; l'article Wikipedia sur le sujet 
n'est pas terrible (http://en.wikipedia.org/wiki/Data-snooping_bias), 
mais il s'agit de la tendance (plus ou moins inconsciente) de trouver 
quelque chose de suspect dans les données sans avoir spécifié au 
préalable ce que tu cherchais, puis de fare un test statistique non pas 
pour voir si la suspicion est correcte, mais pour la renforcer. En 
d'autres termes: il y a tellement de similarités ou de motifs différents 
que l'on peut discerner que même si on regarde une table créée avec des 
nombres vraiment aléatoires, on y trouvera quelque chose qui semble bizarre.

Mais ceci dit, j'avais pensé à faire exactement la même chose :-) J'ai 
gardé les listes mais n'ai jamais été plus loin.

Frédéric

More information about the gull mailing list