PROJET DE VEILLE TECHNOLOGIQUE

Transcription

1 ECOLE CENTRALE DE NANTES PROJET DE VEILLE TECHNOLOGIQUE Panorama des algorithmes de cryptage d information Henri DER SARKISSIAN, Pierre BELLOUARD

2 Sommaire Introduction 3 Cadre de l étude 3 Cryptographie symétrique 4 L AES 5 Algorithme de hachage SHA-1 8 IDEA (International Data Encryption Algorithm) 10 L algorithme Blowfish 12 L algorithme Serpent 14 L algorithme RC6 16 Comparaison de différents algorithmes 18 Cryptographie asymétrique 19 RSA 20 Algorithme d ElGamal 21 La signature DSA 22 ECIES 24 La cryptographie hybride 25 Conclusion 26 Bibliographie 27

3 Introduction La cryptologie est une discipline mathématique qui comprend deux champs d étude: - la cryptographie : Conception de mécanismes cryptologiques destiné à garantir la sécurité à des fins de confidentialité, d authenticité et d intégrité de l information - la cryptanalyse : Le déchiffrement de messages cryptés La cryptographie est utilisée depuis l antiquité, mais depuis l apparition des ordinateurs, cette discipline a pris une ampleur sans précédente. Ses domaines d utilisation sont très vastes et vont du domaine militaire au domaine commercial, en passant par l utilisation privée. Cadre de l étude Les technologies cryptographiques étant en constante évolution, nous ne nous intéresserons qu aux algorithmes les plus récents dans ce projet de veille technologique, c est-à-dire qui datent de 20 ans environ, ou du moins qui sont largement utilisés encore récemment. De plus, nous nous intéresserons aux algorithmes de cryptage d information au sens large, c est-àdire de utilisés pour la confidentialité ou pour l authentification d information (signatures numériques). On distingue ainsi deux grandes classes d algorithmes : la cryptographie symétrique ou à clé secrète et la cryptographie asymétrique aussi appelée à clé publique.

4 Cryptographie symétrique La cryptographie symétrique est la plus ancienne forme de cryptographie. Elle est basée sur l utilisation d une clé unique qui sert à chiffrer et à déchiffrer le message. L émetteur et le destinataire ont alors le même niveau d information.

5 L AES L AES (Advanced Encryption Standard), est un algorithme de chiffrement symétrique établi par deux chercheurs belges entre 1998 et 2000 sous le nom de code Rijndael. Cet algorithme a été choisi suite à un concours international organisé par la NIST (National Institute of Standards and Technology), une agence américaine, afin de désigner le successeur de l algorithme DES qui commençait à montrer ses limites. Principe de l algorithme On prend en entrée le fichier à chiffrer et une clé générée aléatoirement avec une taille de 128,192 ou 256 bits. Le fichier d entrée est segmenté en paquets de 16 octets qui remplissent chacun une matrice 4x4 qu on appelle Store. L étape suivante consiste à créer des sous-clés de la clé principale afin de faire des opérations sur chacune d entre elles et sur la matrice Store. Dans des méthodes de chiffrement simples, ces sous-clés peuvent être des parties contigües de la clé principale, mais pour l AES, la détermination de ces sous-clés est beaucoup plus complexe. Une fois les sous-clés calculées, il reste 10 étapes à effectuer (pour une clé de 128 bits) : Etape 1 : On effectue un ou-exclusif entre la matrice Store et la première sous-clé rangée elle aussi dans une matrice. Etapes 2 à 8 : On effectue : - Une transformation SubBytes (décrite ci-dessous) appliquée cette fois aux éléments de la matrice Store - Une transformation ShiftRows qui consiste à permuter circulairement les lignes de Store un certain nombre de fois en fonction du numéro de la ligne. - Une transformation MixColumns où chaque colonne de Store est multipliée par la matrice : La multiplication est définie de la manière suivante : par 1 l octet reste inchangé, par 2 on décale l octet vers la gauche, et par 3 on décale l octet vers la gauche et on effectue un ou-exclusif avec l octet qui a été multiplié par 1 - Puis on refait l étape 1. Etape 10 : On effectue : - La transformation SubBytes - La transformation ShiftRows - L étape 1

6 On obtient à la fin une matrice Store chiffrée. Il ne reste qu à réitérer les opérations sur tous les octets restant du fichier d entrée. Exemple de détermination des sous-clés Voici l exemple d une implémentation en C de la détermination des sous-clés (pour une clé principale de 128 bits) : KeyExpansion(byte Key[4*Nk] word W[Nb*(Nr+1)]) { for(i = 0; i < Nk; i++) W[i] = (Key[4*i],Key[4*i+1],Key[4*i+2],Key[4*i+3]); for(i = Nk; i < Nb * (Nr + 1); i++) { temp = W[i - 1]; if (i % Nk == 0) temp = SubByte(RotByte(temp)) ^ Rcon[i / Nk]; W[i] = W[i - Nk] ^ temp; } } é = =4 32 é = =4 32 =10 La fonction KeyExpansion prend en paramètre la clé principale Key qui est rangée par octet (soit 16 cases pour une clé de 128 bits), et le tableau W. W représente des parties contigües des sous-clés: Les 4 premiers octets de la clé sont rangés tel quel dans W. Pour les suivants, on utilise les fonctions RotByte, SubByte et Rcon. RotByte effectue une permutation circulaire sur chaque octet qui compose W. Par exemple, si W est composé de 4 octets a,b,c,d rangés dans cet ordre, on obtiendra en sortie (b,c,d,a). SubByte est une transformation affine définie de la manière suivante : Pour chaque octet, on prend son inverse dans le corps fini GF(2 8 ) qu on met dans un vecteur de 8 bits [x 0,, x 7 ]. Puis on applique la transformation suivante :

7 Rcon est un tableau de 255 cases définie par : = en héxadécimal Soit 255 ={8d,01,02,04,08,..,3a,74,e8,cb}

8 Algorithme de hachage SHA-1 Le chiffrement par hachage sert à former des condensats de fichier afin entre autre d identifier l auteur du fichier. Pour chaque fichier en entrée, il existe un condensat unique en sortie sauf bien évidemment dans le cas où on arrive à trouver une collision. Ce condensat a une taille unique. Dans le cas de SHA-1 (Secure Hash Algorithm), cette taille est de 160 bits. Mais celle-ci peut aller jusqu à 512 bits, ce qui offre un nombre déjà très important de condensats. Principe de calcul des condensats Initialisation Le fichier d entrée est d abord adapté de manière à ce que sa taille soit un multiple de 512 bits. Pour cela, on rajoute un bit 1 à la fin du fichier puis un certain nombre de bits 0 tel qu on puisse insérer le nombre 1 en binaire dans les 64 derniers bits. Typiquement, on cherche la solution à l équation : +1+ = , k étant le nombre de zéro à rajouter et L la taille initiale du fichier. Ensuite, on effectue la division par blocs de 512 bits qu on stocke sur : M (1), M (2),, M (N). On va diviser ensuite chacun de ces «mots» en 16 sous-mots de 32 bits qu on va stocker dans : M (i) 0,M (i) 1,M (i) 2, M (i) (i) 3, M 4 pour le i ème mot. On initialise ensuite les 5 variables suivantes en hexadécimal: EDCDAB89 98BADCFE D2E1F0 On va utiliser aussi les variables locales suivantes : - un tableau de 80 mots, qu on note W 0, W 1,, W 79-5 variables a,b,c,d,e - 5 variables contenant les valeurs de hachage, notées H 0 (i), H 1 (i), H2 (i),h 3 (i),h 4 (i) - une variable T de 32 bits. Algorithme Pour i=1 à N { On remplit le tableau W t tel que Pour t entre 0 et 15 : W t M t (i) Pour t entre 16 et 79 : W t ROT L 1 (W t-3 xor W t-8 xor W t-14 xor W t-16 ) //avec ROT L 1 la rotation d un bit vers la gauche, et xor : ou exclusif On fait ensuite: a H 0 (i-1) b H 1 (i-1)

9 c H 2 (i-1) d H 3 (i-1) e H 4 (i-1) Pour t=0 à 79 { T ROTL 5 (a) + f t (b,c,d) + e + K t + W t // avec ROTL 5 la rotation de 5 bits vers la gauche // f définit de la manière suivante // pour t entre 0 et 19 : f t (x,y,z) = (x & y) xor ( -x & z) // pour t entre 20 et 39 : f t (x,y,z) = x xor y xor z // pour t entre 40 et 59 : f t (x,y,z) = (x & y) xor ( x & z) xor ( y & z) // pour t entre 60 et 79 : f t (x,y,z) = xor y xor z e d d c c ROTL 30 (b) b a a T } H 0 (i) a + H 0 i-1) H 1 (i) b + H 1 i-1) H 2 (i) c + H 2 i-1) H 3 (i) d + H 3 i-1) H 4 (i) e + H 4 i-1) } On concatène ensuite les valeurs: H 0 (N), H 1 (N), H 2 (N), H 3 (N), H 4 (N) pour obtenir le condensat final.

10 IDEA (International Data Encryption Algorithm) C est aussi un algorithme de chiffrement symétrique par bloc tout comme l AES. Il a été développé en 1991 par Xuejia Lai et James Massey. Il se base sur des blocs de 64 bits en entrée avec une clé de 128 bits. Notations On se place dans des groupes algébriques de 2 16 éléments. On a les opérateurs suivants : - xor : il s agit du où exclusif - + : il s agit de l addition modulo & : il s agit de l opérateur AND suivi de 0xFFFF en hexadécimal - *: il s agit de la multiplication modulo Algorithme Tout d abord, on calcule les sous-clés de 16 bits de la clé principale (128 bits) qui vont servir à l implémentation. Il y aura 9 étapes dans le chiffrement. Pour chacune des 8 premières, on aura besoin de 6 sous-clés. Pour la dernière, seules 4 sous-clés sont nécessaires. Les sous-clés sont calculées de la manière suivante : 1. Les 8 premières sont extraites directement de la clé principale. On segmente tout simplement en 8 cette dernière, chacun des morceaux étant une des 8 sous-clés. 2. Les 8 sous-clés suivantes sont obtenues en faisant une rotation de 25 bits de la clé principale vers la gauche puis en segmentant la clé résultante en 8 comme en On répète l opération 2. jusqu à ce qu on ait pu définir entièrement les 52 sous-clés. Ces sous clés sont rangés en une suite : K (r) 1, K (r) 2, K (r) 3, K (r) 4, K (r) (r) 5, K 6 avec r variant de 1 à 8 symbolisant les 6 sous-clés nécessaires pour chacune des 8 premières étapes. Puis K (9) 1, K (9) 2, K (9) (9) 3, K 4 pour les sous-clés de la dernière étape. Ensuite, on prend en entrée un fichier qu on divise en blocs de 64 bits qu on range dans 4 variables de 16 bits chacune : X 1, X 2, X 3, X 4. On effectue ensuite les opérations suivantes : Début Pour r=1 à 8 { X 1 X 1 * K 1 (r) X 2 X 2 & K 2 (r) X 3 X 3 & K 3 (r) X 4 X 4 * K 4 (r) t 0 K 5 (r) * (X 1 xor X 3 ) t 1 K 6 (r) * (t 0 & (X 2 xor X 4 ))

11 t 2 t 0 & t 1 X 1 X 1 xor t 1 X 4 X 4 xor t 2 a X 2 xor t 2 X 2 X 3 xor t 1 X 3 a } Y 1 X 1 *K 1 (9) Y 2 X 3 & K 2 (9) Y 3 X 2 & K 3 (9) Y 4 X 4 * K 4 (9) Fin On obtient en sortie les 4 mots de 16 bits : Y 1, Y 2, Y 3, Y 4 chiffrés.

12 L algorithme Blowfish C est un algorithme de chiffrement par bloc qui prend en entrée des blocs de 64 bits et une clé dont la taille peut varier de 32 à 448 bits. Génération des sous-clés de la clé principale Ces sous-clés vont ensuite servir pour le chiffrement. On définit donc un tableau P de 18 cases et 4 tableaux appelé S-box qui disposent de 256 cases chacun. 1. On initialise le tableau P et les 4 tableaux S avec les valeurs décimales de Pi en hexadécimal. Par exemple : P 1 0x243f6a88 P 2 0x85a308d3 P 3 0x13198a2e P 4 0x On effectue ensuite un xor entre P 1 et les 32 premiers bits de la clé principale, un xor entre P 2 et les 32 bits suivants, et ainsi de suite pour tous les bits de la clé. 3. On utilise ensuite l algorithme principale de Blowfish avec une suite de zéros comme entrée de fichier et chacune des sous-clés P 1,, P On affecte à P 1 les 32 premiers bits du résultat du chiffrement, et à P 2 les 32 suivants. 5. On chiffre de nouveau avec en entrée le résultat de 3. et les sous-clés modifiées P 1,, P On affecte à P 3 les 32 premiers bits du résultat et à P 4 les 32 suivants. 7. On continue ainsi jusqu à remplacer toutes les sous-clés P et toutes les entrées de S Chiffrement principal Soit x une fraction du fichier d entré, de taille 64 bits. Début de l algorithme On sépare x en deux parties égales de 32 bits : xl et xr Pour i 1 à 16 { xl xl xor P i xr F(xL) xor xr on échange xl et xr // la fonction F divise xl en 4 blocs de 8 bits : a,b,c,d et fait : // F(xL) = ((S 1,a + S 2,b mod 2 32 ) xor S 3,c ) + S 4,d mod 2 32 } on échange de nouveau xl et xr

13 xr xr xor P 17 xl xl xor P 18 on rassemble xl et xr } Fin de l algorithme Pour le déchiffrement, on agit comme pour le chiffrement sauf que P 1,, P 18 sont utilisés dans l ordre inverse.

14 L algorithme Serpent C est un algorithme qui a aussi été présenté lors du concours de l AES en 1998 mais qui malheureusement a fini deuxième de la compétition derrière Rijndael. Calcul des sous-clés de la clé principale La première étape consiste à calculer les sous-clés de la clé principale. Celle-ci peut être de 128, 192 ou 256 bits. Si la clé est inférieure à 256 bits (128 bits par exemple), on étend celle-ci en rajoutant un bit 1 à la fin et autant de bits 0 qu il faut. On va ensuite en tirer 33 clés de 128 bits de la manière suivante. On répartit la clé de 256 bits dans 8 sous-clés de 32 bits : w -s,, w -1 puis on effectue la récurrence suivante afin d obtenir 132 sous-clés : w i (w i-8 xor w i-5 xor w i-3 xor w i-1 xor ϕ xor i ) <<< 11 <<< signifie rotation à gauche ϕ est la partie décimale du nombre d or (5^(1/2) + 1)/2 Ensuite on utilise les tables de substitution (S-box) sur les w i : {k 0,k 1, k 2, k 3 } S 3 (w 0,w 1,w 2,w 3 ) {k 4,k 5, k 6, k 7 } S 2 (w 4,w 5,w 6,w 7 ) {k 8,k 9, k 10, k 11 } S 1 (w 8,w 9,w 10,w 11 ) {k 12,k 13, k 14, k 15 } S 0 (w 12,w 13,w 14,w 15 ) {k 16,k 17, k 18, k 19 } S 7 (w 16,w 17,w 18,w 19 ) {k 124,k 125, k 126, k 127 } S 4 (w 124,w 125,w 26,w 127 ) {k 128,k 129, k 130, k 131 } S 3 (w 128,w 129,w 130,w 131 ) Puis on stocke ces sous-clés de 32 bits dans 33 sous-clés Ki de 128 bits : K i { k 4i, k 4i+1, k 4i+2, k 4i+3 } On effectue ensuite une «permutation» sur les K i grâce à la transformation suivante : Ici, par exemple, la valeur 32 en position 1 signifie qu on affecte à position 1 le bit situé en position 32. On obtient donc les sous-clés Kp i

15 Chiffrement Pour commencer le chiffrement, on applique la permutation précédente au bloc de 128 bits qui constitue l entrée. On obtient donc un bloc B 0. Puis on effectue les opérations suivantes : Pour i de 0 à 30 :B i+1 L(S i (B i xor Kp i )) où L est une transformation linéaire qu on peut représenter de la manière suivante : {X0;X1;X2;X3} = Si(Bi xor Kpi) X0 X0 <<< 13 X2 X2 <<< 3 X1 X1 xor X0 xor X2 X3 X3 xor X2 xor (X0 << 3) X1 X1 <<< 1 X3 X3 <<< 7 X0 X0 xor X1 xor X3 X2 X2 xor X3 xor (X1 << 7) X0 X0 <<< 5 X2 X2 <<< 22 Bi+1 {X0;X1;X2;X3 } // avec << un décalage de n bits vers la gauche // et <<< une rotation de n bits vers la gauche Pour i = 31 : B i+1 S i (B i xor Kp i ) xor Kp 32 On applique au final une permutation à B 32 pour obtenir le résultat final. La permutation est la suivante : Les tables de substitution utilisées sont les suivantes : S 0 : S 1 : S 2 : S 3 : S 4 : S 5 : S 6 : S 7 :

16 L algorithme RC6 C est un autre candidat à l AES en 1998, qui est arrivé en seconde position après l algorithme Rijndael. C est un algorithme dérivé de RC5 (crée en 1995), simple et performant à la fois. Calcul des sous-clés L expansion de la clé principale (algorithme issu de RC5 ) du RC6 étant quasiment similaire. On définit d abord deux constants binaires P w et Q w qui représentent les parties décimales de deux nombres : e ( ) et le nombre d or ( ) sur w bits (w=16, 32 ou 64 bits). Par exemple P 16 = = B7E1 Q 16 = = 9E37 P 32 = B7E15163 Q 32 =9E3779B9 Ensuite, on divise la clé principale K en plusieurs sous-clés L i de même longueur. On définit ensuite des tableaux S qu on remplit de la façon suivante : S[0]=P w Pour i de 1 à t-1 //t=2*(r+1) où r est le nombre de tours choisi pour chiffre les données // Plus r est grand, plus solide sera le chiffrement S[i] S[i-1] + Q w Fin Pour Puis on effectue l algorithme suivant à partir de deux mots A et B de w bits chacun : i 0 j 0 A 0 B 0 Faire 3*max(t,c) fois /*où c = 8*b/w avec b le nombre de bits de la clé principale) */ S[i] S[i] + A + B <<< 3 // <<< étant une rotation vers la gauche A S[i] L[j] (L[j]+A+B) <<< (A+B) i i+1 mod(t) j j+1 mod(e) Fin faire Chiffrement On a comme paramètres d entrée : b le nombre de bits de la clé principale w le nombre de bits des sous-clés (16, 32 ou 64 bits) r le nombre de tours choisis pour le chiffrement

17 A, B, C, D les données d entrées sur w bits chacune En sortie, on aura A, B, C et D. Début B B+S[0] D D+S[1] Pour i de 1 à r faire t (B*(2B+1)) <<< lg w u (D * (2D +1)) <<< lg w A ((A xor t) <<< u) + S[2i] C ((C xor u) <<< t ) + S[2i+1] (A,B,C,D) (B,C,D,A) Fin Pour A A+S[2r+2] C C+S[2r+3] Fin L opérateur * désigne la multiplication modulo 2 w L opérateur + désigne l addition modulo 2 w <<< n : la rotation à gauche de n bits Déchiffrement En entrée : - A, B, C, D chiffrés - le nombre r de tours utilisé pour le chiffrement - w En sortie : - A, B, C, D déchiffré Début C C S[2r+3] A A - S[2r+2 Pour u de r à 1 faire (A,B,C,D) (D,A,B,C) u (D * (2D+1)) << lg w t ((B * (2B+1)) << lg w C ((C S[2i+1]) >> t ) xor u A (( A S[2i]) >> u ) xor t Fin pour D D-S[1] B B S[0] Fin L opérateur désigne la soustraction modulo 2 w. >>> n : la rotation à droite de n bits

18 Comparaison de différents algorithmes Ci-dessous se trouve la comparaison des 15 algorithmes candidats à l AES entre 1998 et Les performances des 15 algorithmes ont été comparées en temps sur un Pentium Pro 200Mhz. A chaque algorithme, on a mesuré en nombre de cycle processeur le temps de chiffrement, de déchiffrement et de calcul des sous-clés, pour plusieurs taille de clé principales (128, 192, et 256 bits). Pour les algorithmes Rijndael, CRYPTON et CRYPTON v1, les deux valeurs dans le calcul des clés représentent le chiffrement et le déchiffrement. Les trois dernières lignes représentent les différentes vitesses de l algorithme calculées en Mbits/s. Sur le tableau, on voit que les algorithmes Rijndael, MARS et Twofish se suivent et ont à peu près les même performances. D une manière générale, l algorithme le plus performant est RC6, suivi par Rijndael. Or c est ce dernier qui a gagné le concours et est devenu l AES. Une des raisons de l échec de RC6 sont ses faibles performances sur les processeurs 8-bits et 64 bits comparés aux autres finalistes du concours.

19 Cryptographie asymétrique Un des problèmes majeurs qui résident en la cryptographie symétrique est l échange de clés. En effet il est nécessaire de donner la clé au destinataire afin qu il puisse décrypter le message. Cet échange de clé se fait à priori en clair si on n utilise que des systèmes symétriques. La cryptographie asymétrique ou à clé publique répond à ce problème. Elle repose sur l utilisation de deux clés : - Une clé publique qui est diffusée - Une clé privée gardée secrète Ainsi, l expéditeur peut utiliser la clé publique du destinataire pour crypter le message alors que seul le destinataire peut le déchiffrer à l aide de sa clé secrète. Ce mécanisme garantit la confidentialité de l information. A l inverse, l expéditeur peut utiliser sa propre clé privée pour crypter l information souhaitée alors que le destinataire peut la décrypter à l aide de la clé publique de l expéditeur. Ce mécanisme permet d authentifier l auteur du message, c est la signature numérique. La cryptographie asymétrique a été inventée par Diffie et Hellman.

20 RSA RSA est un algorithme de cryptage asymétrique. Il a été inventé par Rivest, Shamir et Adleman en C est l exemple le plus courant en cryptographie asymétrique. Même s il a été inventé il y a plus de 30 ans, il reste toujours considéré comme sûr pour des clés suffisamment grosses et est largement utilisé aujourd hui dans le cadre de transactions sécurisées sur internet, paiement par carte bleue, etc. Description de l algorithme RSA utilise l'arithmétique de Z où n est le produit de deux nombres premiers distincts p et q. Alice est la destinataire et Bob l émetteur. 1. Alice génère grands nombres premiers (une centaine de chiffre en pratique) et, ainsi qu un grand nombre d premier avec le produit = Alice calcule = et e tel que = Alice diffuse et, garde et détruit., est donc la clé publique et,, la clé privée. 4. Pour crypter un message, Bob utilise et : ainsi le message est crypté par n et l envoie à Alice 5. Alice décode le message crypté parl opération. Quelques précisions L algorithme repose, entre autres, sur les deux résultats arithmétiques suivants : Et,, = 1 1 1, 1 2 Ces résultats ne seront par démontrés. Premièrement, vérifions que les opérations sont réciproques : Comme =1, = +1. Soit Z,, = = d après le résultat (2). On peut montrer que ce résultat reste vrai même dans le cas où n est pas premier avec. L opération d encryptage et décryptage sont donc réciproques. Exemple pratique Prenons =101, =113, = =11413 = = peut être utilisé pour le chiffrement si et seulement si il n est pas divisible par 2, 5 ou 7. On prend =3533, =6597. Donc l exposant secret est On publie =11413 =3533. On garde et, secrets. Sécurité : Attaquer RSA, c est factoriser. Pour que le système soit sûr il est donc nécessaire que = soit suffisamment grand pour que sa factorisation soit calculatoirement impossible. On considère que des clés de 768 bits sont sûrs pour un usage privé et 2048 bits voire 4096 pour un usage sensible. Si on admet que la puissance des ordinateurs double tous les 18 mois (loi de Moore), une clé de 2048 bits devrait tenir jusque l an Cependant, il a été récemment infirmé que «casser» RSA est aussi difficile que factoriser. On peut alors imaginer d autres moyens plus rapides pour casser la sécurité RSA.

21 Algorithme d ElGamal Le logarithme discret? Soit, un groupe multiplicatif, d ordre. Le problème du logarithme discret est de trouver pour < > l unique exposant,0 < tel que =. L utilité du logarithme discret vient du fait qu il est difficile de le déterminer alors que l opération inverse d exponentiation peut être effectuée facilement. L algorithme d ElGamal Cet algorithme repose sur l utilisation du logarithme discret. Il a été publié par Tahar ElGamal en Cet algorithme est utilisé par le logiciel libre GNU Privacy Guard, PGP, et d autres systèmes de chiffrement. Aucun brevet n a été déposé, contrairement à RSA. Il peut être utilisé aussi bien pour le chiffrement que pour la signature électronique. Soit Alice l émetteur d un message et Bob le destinataire. Bob possède deux clés : - Une clé privée : un entier - Une clé publique : un grand nombre premier tel que trouver le logarithme discret dans le groupe cyclique Z, est difficile, un nombre premier avec et = Chiffrement 1. Alice tire aléatoirement un nombre. 2. Elle calcule = et = Le message chiffré est alors le couple,. Déchiffrement 1. A la réception du couple,, Bob doit calculer = 2. Il lui reste à calculer la quantité = = = = = Sécurité Un attaquant éventuel doit pouvoir calculer pour en déduire en connaissant, et. Il doit donc découvrir, et est confronté au problème du logarithme discret. Cet algorithme fonctionne également sur d autres groupes cycliques où le problème du logarithme discret est difficile. L introduction d aléa (paramètre ) apporte une sécurité supplémentaire : deux messages identiques ne seront pas codés de la même façon. En revanche, cet algorithme a le défaut de générer un message crypté

22 La signature DSA Le Digital Signature Algorithm est un algorithme de signature numérique standardisé par le NIST aux Etats-Unis. Il fait partie de la spécification Digital Signature Standard (DSS) adoptée en 1993 mais ce n est plus le message lui-même qui est signé par une fonction de hachage mais l empreinte du message. Le DSA est similaire à un autre type de signature développée par Claus Schnorr en Il a aussi des points communs avec la signature ElGamal. Le processus se fait en trois étapes : - génération des clés - signature du document - vérification du document signé Génération des clés La clé publique est composée de 4 nombres (p,q,g,y) et la clé publique d un seul nombre x. Le choix de ces nombres se fait de la manière suivante : - p est un nombre premier de L-bit avec et L divisible par 64 - q est un nombre premier de 160 bits tel que 1= - =h² avec 1<h< 1 et >1 - = - x est choisit aléatoirement entre 0 et q (non compris) Signature La signature est un doublet (s1,s2) généré de la manière suivante : - on choisit s aléatoirement entre 1 et q (non compris) - 1= - 2= + 1 avec m le message et H une fonction de hachage cryptographique connu de tous les utilisateurs comme SHA-1 par exemple Il faut aussi noter que 2 0 car 2 est nécessaire à la validation de la signature. Si l émetteur obtient 2=0, il doit rejeter la signature et en créer une nouvelle avec une nouvelle valeur de k. Vérification Le destinataire doit ensuite vérifier la validité de la signature de la manière suivante : - On commence par vérifier que 0< 1< et 0< 2< sinon la signature est directement rejetée - On calcule = 2 1= 2= 1 = - La signature est valide si = 1 L intérêt de ce principe est que ce n est plus le message entier qui est signé mais son empreinte par la fonction de hachage H. La taille de la signature ne dépend donc plus de la taille du

23 message. L objet que l on signe est de taille fixe (environ 160 bits) ce qui permet de réduire la taille du message signé transmis.

24 ECIES L Elliptic Curve Integrated Encryption Scheme est système de chiffrement variante de El Gamal. Ce schéma est basé sur le problème de Diffie-Hellman. Le problème de Diffie-Hellman Alice et Bob veulent faire un échange de clé. Ils choisissent ensemble une courbe elliptique, une génératrice g de cette courbe et un nombre premier p. Alice choisit au hasard un nombre a et envoie à Bob. Bob fait de même avec sa clé privé b, nombre choisi au hasard. Alice élève le message reçu de Bob à la puissance a, elle obtient. Bob fait le calcul analogue et obtient donc la même chose. Les deux personnes obtiennent ainsi la même clé secrète sans qu une personne extérieure (de par la difficulté de calculer le logarithme discret) ne puisse calculer a et b. Les clés privés sont donc a et b ; la clé public est composé de p et g. Principe de l algorithme ECIES Les paramètres sont E une courbe elliptique et d ordre l avec l premier (c est-à-dire que p est premier avec l). On a aussi : - SYM un algorithme de chiffrement symétrique - MAC un code authentificateur de message - KDF une fonction génératrice de clé Alice envoie un message m à Bob. La clé publique est, la clé privée est =. Chiffrement On choisit 1; au hasard. On calcule : = et =. =, =, =, Alice envoie R, C et t à Bob. Déchiffrement On commence par vérifier que. On calcule = = = On calcule =, et =,. Si, on rejette le message sinon on retrouve =,.

25 La cryptographie hybride La cryptographie asymétrique est intrinsèquement lente de par les calculs complexes qui y sont associés alors que la cryptographie symétrique brille par sa rapidité mais est beaucoup moins sure du fait de l obligation de la transmission des clés. La cryptographie hybride consiste donc à l association de ces deux techniques afin d améliorer la rapidité tout en ayant une certaine sécurité. Les logiciels PGP et GnuPG reposent sur ce système. La plupart des systèmes hybrides procèdent de la manière suivante. On code tout d abord le message grâce à un algorithme de chiffrement symétrique utilisant une clé publique dite de session générée aléatoirement et de taille comprise entre 128 et 512 bits. La clé de session est ensuite chiffrée avec la clé publique du destinataire selon un algorithme cryptage asymétrique. Comme la clé est courte, ce chiffrage prend peu de temps, ce qui n aurait pas été le cas si on avait chiffré l ensemble du message à partir d un algorithme de cryptographie asymétrique. Il suffit alors d envoyer l ensemble composé du message chiffré ainsi que de la clé privée elle-même cryptée avec une clé publique. L utilisateur dit donc utiliser sa clé privée pour déchiffrer la clé de session et ensuite il peut accéder au message grâce à cette dernière.

26 Conclusion La cryptographie moderne a fait de nombreux progrès pour répondre aux besoins de confidentialité et d authentification croissants : commerce électronique, votes électroniques, défense Les algorithmes présentés dans ce document ne sont pas inviolables. Il existe des méthodes de chiffrement réputées invulnérables (Chiffre de Vernom et cryptographie quantique) mais leur mise en œuvre est excessivement difficile à mettre en place. On préfère donc des algorithmes plus simples à mettre en œuvre, avec une taille de clés raisonnable, qui garantissent une sécurité limitée dans le temps. Enfin, l avenir réside certainement en la cryptographie quantique. Cette dernière désigne un ensemble de protocoles permettant de distribuer une clé de cryptage secrète entre deux interlocuteurs distants grâce aux lois de la physique quantique et de la théorie de l information. Ce type de cryptographie ne peut néanmoins pas être utilisé pour crypter le message lui-même pour deux raisons. Premièrement, les bits d informations communiqués ne peuvent être obtenus que aléatoirement ce qui ne convient pas pour un message. Enfin, même si le mécanisme de la cryptographie quantique garantit que l espion sera toujours détecté, rien n assure que les informations ne soient pas déjà détenues par ce dernier. Ceci n est pas acceptable pour un message mais sans importance pour une clé aléatoire qui doit alors simplement être jetée en cas d interception.

27 Bibliographie Articles scientifiques G.N KRISHNAMURTY, V. RAMASWANY, G.H LEELA, M.E ASHALATHA, «Blow-CAST-Fish : A New 64-bit Block Cipher» dans IJCSNS International Journal of Computer Science and Network 282 Security, Avril 2008, VOL.8 N.4 «Secure Hash Standard» dans Federal Information Processing Standards Publication, 01 Août 2001, B. GLADMAN, «Implementation Experience with AES Candidate Algorithms» dans Second AES Conference R.L RIVEST, M.J.B ROBSHAW, R. SYDNEY, Y.L YIN, «The RC6 TM Block Cipher», 20 Août 1998 M.J.B ROBSHAW, «RC6 and the AES», 9 Janvier 2001 R. ANDERSON, E. BIHAM, L. KNUDSEN, «A Proposal for the Advanced Encryption Standard» J. DAEMEN, V. RIJMEN, «AES Proposal: Rijndael», 1998 Sites Internet Autres Cours de l électif cryptographie enseigné en deuxième année à l Ecole.