SHACAL

SHACAL
Résumé
Concepteur(s)	Helena Handschuh, David Naccache
Première publication	2001
Dérivé de	la fonction de hachage cryptographique SHA-1
Chiffrement(s) basé(s) sur cet algorithme	aucun
Caractéristiques
Taille(s) du bloc	160 bits
Longueur(s) de la clé	128 à 512 bits
Structure	fonction de compression réversible
Nombre de tours	80
Meilleure cryptanalyse
attaque rectangle par Eli Biham et al. sur 49 tours
modifier

SHACAL-1 et SHACAL-2 sont des algorithmes de chiffrement par blocs basés sur les fonctions de hachage cryptographique de type SHA. Ils ont été conçus par Helena Handschuh et David Naccache, cryptographes de la société Gemplus productrice de cartes à puces. Ils ont depuis quitté cette société.

SHACAL-1 (simplement nommé SHACAL à l'origine) est un chiffrement à 160 bits par blocs basé sur SHA-1 et supporte des clés de 128 à 512 bits. SHACAL-2 est un chiffrement à 256 bits par blocs basé sur la fonction de hachage cryptographique SHA-256.

En 2003, SHACAL-2 fut sélectionné par le projet NESSIE comme l'un de leurs 17 algorithmes recommandés.

Architecture

SHACAL est basé sur les observations de SHA-1 suivantes :

La fonction de hachage SHA-1 est structurée autour d'une fonction de compression. Celle-ci prend en entrée un registre de 160 bits et des données sur 512 bits puis envoie un autre registre de 160 bits en sortie. La fonction de hachage travaille par répétition de la fonction de compression sur des blocs de 512 bits et, chaque fois, met à jour le registre en conséquence. Cette fonction de compression est aisément réversible si le bloc de données est connu, i.e. connaissant les données et le résultat de la compression, on peut calculer le contenu du registre d'entrée.

SHACAL utilise SHA-1 comme fonction de chiffrement par bloc en prenant le registre d'entrée comme bloc de données et les données en entrée comme clé. En d'autres termes, SHACAL réinterprète la fonction de compression de SHA-1 comme un chiffrement à 160 bits par blocs, avec une clé de 512 bits. Les clés plus courtes sont utilisables en complétant par des 0 (zéro) à concurrence des 512 bits. SHACAL n'est pas prévu pour être utilisé avec des clés inférieures à 128 bits.

Cryptanalyse

Comme tout algorithme de chiffrement par blocs, il est possible de traiter des messages plus longs en chaînant les blocs grâce à des modes de chiffrement comme le CBC, CTR ou encore OFB. Si l'algorithme résiste aux attaques originales comme la cryptanalyse linéaire et différentielle, des variantes permettent d'attaquer plusieurs tours.

Une combinaison des deux, la cryptanalyse différentielle-linéaire a été appliquée sur SHACAL-2. L'équipe de Jongsung Kim a présenté une attaque par différentielles impossibles sur 30 tours. Une attaque rectangle sur 49 des 80 tours a été proposée par Eli Biham et al. D'autres attaques similaires comme l'attaque boomerang sont applicables.

Références

• Eli Biham, Orr Dunkelman, Nathan Keller: Rectangle Attacks on 49-Round SHACAL-1. FSE 2003: pp22–35
• Helena Handschuh, Lars R. Knudsen, Matthew J. B. Robshaw: Analysis of SHA-1 in Encryption Mode. CT-RSA 2001: pp70–83
• Seokhie Hong, Jongsung Kim, Guil Kim, Jaechul Sung, Changhoon Lee, Sangjin Lee: Impossible Differential Attack on 30-Round SHACAL-2. INDOCRYPT 2003: pp97–106
• Jongsung Kim, Guil Kim, Sangjin Lee, Jongin Lim and Junghwan Song, Related-Key Attacks on Reduced Rounds of SHACAL-2, INDOCRYPT 2004, pp175–190.
• Jongsung Kim, Guil Kim, Seokhie Hong, Sangjin Lee, Dowon Hong: The Related-Key Rectangle Attack — Application to SHACAL-1. ACISP 2004: pp123–136
• Jongsung Kim, Dukjae Moon, Wonil Lee, Seokhie Hong, Sangjin Lee, Seokwon Jung: Amplified Boomerang Attack against Reduced-Round SHACAL. ASIACRYPT 2002: pp243–253
• Markku-Juhani Olavi Saarinen: Cryptanalysis of Block Ciphers Based on SHA-1 and MD5. FSE 2003: pp36–44
• YongSup Shin, Jongsung Kim, Guil Kim, Seokhie Hong, Sangjin Lee: Differential-Linear Type Attacks on Reduced Rounds of SHACAL-2. ACISP 2004: pp110–122

• Portail de la cryptologie