Cryptographie. Master de cryptographie Chirement par ot. 26 janvier Université Rennes 1

Transcription

1 Cryptographie Master de cryptographie Chirement par ot 26 janvier 2015 Université Rennes 1 Master Crypto ( ) Cryptographie 26 janvier / 25

2 Qu'est ce que la cryptographie par ot? Rappel : le masque jetable XOR entre le message et une clé de même longueur qu'on jette ensuite Seul prouvé sûr Inutilisable (échanger la clé = même problème qu'échanger le message) Chirement par ot = se rapprocher du masque jetable Méthode Générer un ux de bits aléatoires : la clé. Faire un XOR avec le message (ou autre). Master Crypto ( ) Cryptographie 26 janvier / 25

3 Caractéristiques des chirements par ot Comparaison avec les chirements par blocs Chirement par ot Chirement par bloc en mode CFB ou OFB 1 bit à la fois blocs de bits débit élevé débit moyen bien adapté à une implémentation hard soft implémentation spécique ré-utilisation de l'existant Utilisation Essentiellement pour des communications sans l (GSM, Wi, Bluetooth,...) à cause du besoin de débit élevé. Master Crypto ( ) Cryptographie 26 janvier / 25

4 Générateurs aléatoires et pseudo-aléatoires Un (vrai) générateur aléatoire doit être non-déterministe (il ne doit pas pouvoir être reproduit de manière able). Un générateur pseudo-aléatoire doit produire une suite qui a l'air aléatoire, c.a.d. qui satisfait des tests probabilistes disponibles sur imprévisible (impossible, étant donné l'algo et les premiers bits de construire le bit suivant), déterministe (c.a.d. il peut être reproduit). Master Crypto ( ) Cryptographie 26 janvier / 25

5 Réalisation un ordinateur est déterministe générateurs aléatoires diciles à réaliser. Le monde réel est aléatoire (bruit dans un ordinateur, temps de lecture d'un chier, vitesse de frappe au clavier) débits très faibles. un ordinateur n'a qu'un nombre ni d'états possibles générateurs pseudo-aléatoires périodiques (on va utiliser deux fois la même clé). De grandes périodes sont nécessaires. Master Crypto ( ) Cryptographie 26 janvier / 25

6 Principe d'un générateur pseudo-aléatoire dans un chirement par ot Master Crypto ( ) Cryptographie 26 janvier / 25

7 Types de Chirement par ot : chirement synchrone La séquence de clé est indépendante du message Avantage : Inconvénient : Avantage de l'inconvénient : Inconvénient de l'avantage : Solutions : k i = f (k i 1 ) c i = k i m i pas de propagation d'erreur tout faux si désynchronisation une attaque par omission ou insertion provoque une désynchronisation modication facile et indétectable Si on utilise le même ux de clé, ça casse tout - changer la clé de départ (graine), - utiliser un générateur avec une grande période équivalent au mode OFB Master Crypto ( ) Cryptographie 26 janvier / 25

8 Types de Chirement par ot : chirement asynchrone Les bits de clé dépendent des bits de clé précédents et des bits du message. Un chirement auto-synchrone ne dépend que de ça k i = f (k i 1, c i t,, c i 1 ) c i = k i m i Avantage : Inconvénients : synchronisation automatique propagation d'erreurs possibilité de rejouer les données (attaque par rejeu) équivalent au mode CFB Master Crypto ( ) Cryptographie 26 janvier / 25

9 Générateurs linéaires congruentiels z n = (az n 1 + b) mod m où m est public et a, b, z 0 (la graine) forment la clé. Si a, b et m sont choisis correctement, le générateur sera de période maximale (m). Avantages : rapides car peu d'opérations, bonne répartition Inconvénient : cryptographiquement mauvais Utilisation non cryptographique Combinaison de générateurs linéaires (ou polynomiaux) congruentiels meilleur comportement statistique plus grandes périodes pas plus sûrs Master Crypto ( ) Cryptographie 26 janvier / 25

10 Registres à décalage à rétroaction Composé de deux éléments un registre à décalage une fonction de rétroaction f A chaque étape (top d'horloge), s 0 est retourné, tous les autres bits sont décalés vers la droite et s n est calculé par la fonction de rétroaction f. Master Crypto ( ) Cryptographie 26 janvier / 25

11 Registres à décalage à rétroaction linéaire (LFSR) Par exemple s n = f (s 0,..., s n 1 ) = n c i s n i. i=1 Il y a 2 n possibilités d'initialisation (la clé) période maximale T = 2 n 1 Dans le cas de la période maximale, on parle de m-suite. Master Crypto ( ) Cryptographie 26 janvier / 25

12 Polynôme de rétroaction On appelle polynôme de rétroaction le polynôme de F 2 [X ] F (X ) = 1 + c 1 X + c 2 X c n X n Theorem La suite est une m-suite si son polynôme de rétroaction est le polynôme minimal d'un générateur du groupe cyclique F 2 n (c.a.d. le polynôme est primitif), autrement dit si F est irréductible F divise X 2n F ne divise pas X d + 1 si d 2 n 1 Générer un polynôme primitif est un problème dicile. Méthode : prendre un polynôme au hasard et vérier. Master Crypto ( ) Cryptographie 26 janvier / 25

13 Exemple de LFSR Le polynôme de F 2 [X ] est primitif et donc le LFSR X 16 + X 14 + X 13 + X a une période de On utilise souvent des polynômes clairsemés qui sont plus rapides mais moins sûrs. Master Crypto ( ) Cryptographie 26 janvier / 25

14 Un peu de théorie Dénition La complexité linéaire d'une suite périodique s est la longueur du plus petit LFSR qui l'engendre. On la note L(s). Si s est une m-suite de période 2 L 1, alors sa complexité linéaire est L. Algorithme de Berlekamp-Massey Calcul en temps quadratique la complexité linéaire et d'un LFSR engendrant un ot donné. il sut de connaître 2L(s) bits consécutifs de la suite pour la retrouver entièrement. LFSR pas sûrs du tout Master Crypto ( ) Cryptographie 26 janvier / 25

15 Combinaison de LFSR avec f non linéaire. f et les polynômes de rétroaction sont publics. La clé est l'état initial des LFSR. Master Crypto ( ) Cryptographie 26 janvier / 25

16 Combinaison de LFSR (2) La suite est forcément périodique attaquable par Berlekamp-Massey La complexité linéaire vaut dans ce cas f (L 1, L 2,..., L n ) Exemple : générateur de Gee 3 LFSR de longueurs premières entre elles 2 à 2. f (x 1, x 2, x 3 ) = x 1 x 2 x 1 x 3 x 2 période (2 L 1 1)(2 L 2 1)(2 L 3 1) complexité linéaire : L 1 L 2 + L 1 L 3 + L 2 Autres moyens d'introduire de la non-linéarité contrôle d'horloge (un LFSR contrôle l'horloge de l'autre) utilisation d'une mini mémoire (permettant de retarder la sortie) rétroaction non-linéaire (mais pas de théorie mathématique derrière) Master Crypto ( ) Cryptographie 26 janvier / 25

17 Attaques par corrélation On exploite une éventuelle corrélation entre la sortie d'un des LFSR et la sortie générale. Exemple : Générateur de Gee La sortie du générateur est égale à celle de LFSR2 dans 75% des cas. On essaye de deviner l'état initial du LFSR2 (i.e. on essaye tous les états initiaux possibles). On compare les résultats obtenus avec le Gee attaqué d'une part et avec le LFSR2 deviné d'autre part. Si on a deviné le bon LFSR2, les résultats sont les mêmes dans 75% des cas, sinon seulement dans 50% des cas. Cette attaque peut être généralisée à tous les générateurs pseudo-aléatoires qui ont plusieurs composantes Master Crypto ( ) Cryptographie 26 janvier / 25

18 Quelques exemples de chirement par ot : A5 (GSM) 3 LFSR de tailles 19,22 et 23, utilisant les polynômes clairsemés X 19 + X 18 + X 17 + X X 22 + X X 23 + X 22 + X 21 + X Les registres sont remplis au départ avec une clé de 64 bits (en fait 54 seulement). Non-linéarité : les registres sont décalés à la majorité des bits du milieu (si on a deux 0 et un 1, on décale les registres où il y a les 0). Fait pour être cassable. Fondamentalement bon (bonne répartition de la sortie). Master Crypto ( ) Cryptographie 26 janvier / 25

19 Quelques exemples de chirement par ot : E 0 (Bluetooth) 4 LFSR de 25, 31, 33 et 39 bits X 25 + X 20 + X 12 + X X 31 + X 24 + X 16 + X X 33 + X 28 + X 24 + X X 39 + X 36 + X 28 + X Clé de 128 bits. Non-linéarité assurée par 2 états internes de 2 bits chacun (mémoire tampon) mis à jour en fonction de l'état courant l'état précédent les sorties des LFSR Master Crypto ( ) Cryptographie 26 janvier / 25

20 Quelques exemples de chirement par ot : E 0 (Bluetooth) Attaques en 2 40 mais gourmandes en mémoire. Master Crypto ( ) Cryptographie 26 janvier / 25

21 Très facile à implémenter. Rien n'empêche des tables plus grandes. Des attaques existent, considéré comme peu sûr. Master Crypto ( ) Cryptographie 26 janvier / 25 Quelques exemples de chirement par ot : RC4 (Wep, SSL) Dû à Rivest (1987), commercial. Détails connus depuis 1994 (équivalent libre : Arcfour). Fonctionnement Pas basé sur les LFSR mais sur une table S a 256 cases (S 0,..., S 255 ) formant une permutation des nombres entre 0 et 255. Cette permutation initiale dépend de la clé (de 40 à 256 bits). 2 compteur i et j sont initialisés à 0. Pour générer un octet aléatoire : i = i + 1 mod 256 j = j + S i Échanger S i et S j t = S i + S j mod 256 Renvoyer S t

22 Mauvais exemple d'intégration : le WEP RC4-64 (ou 128) avec 24 bits de vecteur initialisation (IV), envoyé en clair. reste 40 bits de clé (ou 104) Rôle de IV : éviter d'utiliser 2 fois la même graine. En pratique le IV change pour chaque paquet. Problèmes IV très court Aucune recommandation sur la sélection des IV (incrémentation, tirage aléatoire?) ensemble des IV très vite parcouru (11h à 54Mbps, voire 10 secondes si c'est aléatoire) Master Crypto ( ) Cryptographie 26 janvier / 25

23 Attaque du WEP Étape 1 : se faire un dictionnaire de couples (IV, RC4(IV,k)) grâce à des couples clair/chirés obtenus en espionnant les authentications (la borne envoie une trame T, il faut répondre le bon chiré pour s'authentier), envoyant plein de mails, la borne va les chirer. Étape 2 : s'authentier en répondant T RC4(IV, k) à la requête T grâce au dictionnaire. La faiblesse ne vient pas du RC4. Alternatives WPA (IV de 48 bits, clés changées régulièrement) compatible avec le WEP. WPA2 utilisant AES, pas compatible, plus lent, plus sûr. Master Crypto ( ) Cryptographie 26 janvier / 25

24 Est il possible de trouver un générateur pseudo-aléatoire cryptographiquement sûr? Générateur de Blum-Blum-Shub p, q 2 premiers congrus à 3 mod 4 et n = pq x 0 un résidu quadratique (graine) x i+1 = xi 2 mod n le bit de parité de x i donne la suite aléatoire Propriétés Prouvé sûr si la factorisation de n est dicile Indiscernable d'une suite aléatoire Pour avoir une grande période, il faut que gcd(ϕ(p 1), ϕ(q 1)) soit petit. Areusement lent Master Crypto ( ) Cryptographie 26 janvier / 25

25 Conclusion Très bien en hardware. Pas assez étudiés. Très peu ne sont pas attaqués. Chirement par bloc en mode ot conseillé en software. Un des grands chantier de la cryptographie Master Crypto ( ) Cryptographie 26 janvier / 25