CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Dimension: px
Commencer à balayer dès la page:

Download "CRYPTOGRAPHIE. Signature électronique. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie"

Transcription

1 CRYPTOGRAPHIE Signature électronique E. Bresson SGDN/DCSSI Laboratoire de cryptographie

2 I. SIGNATURE ÉLECTRONIQUE I.1. GÉNÉRALITÉS Organisation de la section «GÉNÉRALITÉS» Introduction au problème SIGNATURE ÉLECTRONIQUE 2/64

3 Introduction au problème SIGNATURE: IDÉE GÉNÉRALE Reproduire les caractéristiques d une signature manuscrite 1. Lier un document à son auteur 2. Rendre la signature difficilement imitable 3. Responsabilité de l auteur (juridique...) SIGNATURE ÉLECTRONIQUE 3/64

4 Introduction au problème LES DIFFÉRENTS ACTEURS Le signataire: doit pouvoir émettre facilement des signatures en son nom L ennemi: il cherche à générer une fausse signature Le vérifieur (potentiellement tout le monde): il doit pouvoir vérifier la signature sans avoir d information confidentielle Utilisation de la notion de clé publique! SIGNATURE ÉLECTRONIQUE 4/64

5 Introduction au problème FONCTIONNEMENT D UNE SIGNATURE Tout le monde peut vérifier: mécanisme à clé publique! sk Ma clé publique = pk S m σ 0/1 V m SIGNATURE ÉLECTRONIQUE 5/64

6 Introduction au problème SIGNATURE: MÉCANISME CRYPTOGRAPHIQUE Un schéma de signature est définie par trois algorithmes: Algorithme de génération des clés KG(l) = (pk, sk): à partir d un paramètre de sécurité, il produit un couple (clé publique, clé privée) Algorithme de signature S(sk, m) = σ: utilise la clé privée pour signer un message m Algorithme de vérification V(pk, m, σ)= yes/no: utilise la clé publique seulement SIGNATURE ÉLECTRONIQUE 6/64

7 Généralités Sécurité des signatures Études de signatures Conclusion I. SIGNATURE ÉLECTRONIQUE I.2. SÉCURITÉ DES SIGNATURES Organisation de la section «SÉCURITÉ DES SIGNATURES» Signature et fonctions de hachage Modèle de sécurité Exemple: la signature RSA SIGNATURE ÉLECTRONIQUE 7/64

8 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple SIGNATURE DE LONGS MESSAGE Autre problématique (très courante!) Signer des messages arbitrairement longs avec un schéma donné Signature d un document de 15 Mo avec RSA 1024 bits?? Taille de signature: Indépendante de la taille du message? Sécurité conservée? Les falsifications doivent rester difficiles Utilisation de fonctions de hachage SIGNATURE ÉLECTRONIQUE 8/64

9 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple LA TECHNIQUE HASH-AND-SIGN Idée Au lieu de signer le message très long, on signe un condensé du message M Hash Sign Hash V La signature fonctionne sur le condensé de taille fixe Chaque condensé doit être unique? impossible SIGNATURE ÉLECTRONIQUE 9/64

10 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE Une fonction de hachage condense une entrée arbitraire Data Hash SIGNATURE ÉLECTRONIQUE 10/64

11 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple PROPRIÉTÉS ATTENDUES Une bonne fonction de hachage doit être: publique (pas de notion de secret) rapide à calculer à sortie de taille fixe (quelque soit l entrée) bien répartie en sortie ( mélange bien) Quelle sécurité (en fonction de la taille)? SIGNATURE ÉLECTRONIQUE 11/64

12 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE: PROPRIÉTÉS Trois propriétés distinctes: Résistance à la préimage étant donné H(x) il est difficile de trouver x Résistance à la seconde préimage étant donné x et H(x), il est dur de trouver y x vérifiant H(x) = H(y) Résistance aux collisions il est difficile de trouver x et y vérifiant x y et H(x) = H(y) SIGNATURE ÉLECTRONIQUE 12/64

13 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple EXEMPLE: INTÉGRITÉ On veut vérifier qu un fichier n a pas été modifié (checksum) On calcule son empreinte par une fonction de hachage Sécurité = difficulté de trouver un deuxième antécédent (deuxième message avec la même empreinte) SIGNATURE ÉLECTRONIQUE 13/64

14 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple ATTAQUE DES ANNIVERSAIRES Appelée aussi «Paradoxe des anniversaires» Borne sur l obtention d une collision Si la fonction de hachage a N valeurs possibles, N calculs suffisent en moyenne pour obtenir une collision Dans une assemblée de 23 ( 365) personnes, il est probable ( 50%) que deux personnes soient nées le même jour SIGNATURE ÉLECTRONIQUE 14/64

15 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple CONSTRUCTION DE MERKLE-DAMGARD M 0 M 1 M 2 M 3 h 0 f f f f H = h n Fonction de compression f : {0, 1} m {0, 1} h {0, 1} h SIGNATURE ÉLECTRONIQUE 15/64

16 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE CLASSIQUES Fonctions MDx (Message Digest) Proposées par Rivest dans les années 90 MD2, MD4, MD5: condensés de 128 bits MD2: calcul (théorique) de pré-images en MD4: peu utilisée, collisions faciles (2004) MD5: des collisions exhibées en 2004, puis 2005 SIGNATURE ÉLECTRONIQUE 16/64

17 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE CLASSIQUES Fonctions SHA (Secure Hash Algorithm) Proposées par le NIST dans la même période SHA-0 et SHA-1, empreinte sur 160 bits collisions sur SHA-0 (2004) attaque théorique (2 63 ) sur SHA-1 Successeurs: SHA-224, SHA-256, SHA-384, SHA-512 (années 2000) Autres fonctions RIPEMD (128 bits): cassée en 2005 SIGNATURE ÉLECTRONIQUE 17/64

18 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple CONSÉQUENCES POUR LES SIGNATURES Attaque en second antécédent (à venir?) À partir d un message signé, on en trouve un autre avec le même condensé la signature est valide Cas des certificats de clés publiques... Attaque en collision À partir d une collision, on demande la signature du premier message m 1 c est aussi une signature pour m 2 on peut répudier la signature de m1 en prétendant avoir signé m 2 Règle actuelle: on n utilise plus MD5, et si possible plus SHA-1 non plus SIGNATURE ÉLECTRONIQUE 18/64

19 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple DÉFINIR LA SÉCURITÉ Que souhaite-t-on? Un adversaire ne doit pas pouvoir signer à la place du signataire Un message quelconque (67fc 3a90 b245) Un message de son choix (Dette = 256,000 $) Un adversaire ne doit pas pouvoir retrouver la clé privée À partir de la clé publique À partir de signatures interceptées... ou qu il aurait choisies Si cela est impossible (ou très difficile), la propriété de non-répudiation est satisfaite SIGNATURE ÉLECTRONIQUE 19/64

20 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple CLASSIFICATION DES NOTIONS Deux axes d analyse: 1. ce que peut faire l adversaire ( puissance de l attaque) 2. ce qu il cherche à obtenir ( niveau de sécurité souhaité) SIGNATURE ÉLECTRONIQUE 20/64

21 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES BUTS DE L ADVERSAIRE L adversaire est plus ou moins ambitieux... Du plus dur au moins dur Retrouver la clé de signature (cassage total) Signer n importe quel message (forge universelle) Signer un message choisi (forge sélective) Signer un message quelconque (forge existentielle) Trouver une autre signature d un message signé (malléabilité) Un premier paramètre du modèle SIGNATURE ÉLECTRONIQUE 21/64

22 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES MOYENS DE L ADVERSAIRE L adversaire est plus ou moins puissant... Du plus faible au plus puissant Attaque sans message (uniquement la clé publique) Attaque à messages connus: l adversaire connaît une liste de messages signés Attaque à messages choisis: l adversaire peut faire signer des messages de son choix c est la notion d oracle de signature Deuxième paramètre du modèle SIGNATURE ÉLECTRONIQUE 22/64

23 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES NOTIONS DE SÉCURITÉ En combinant un but et un moyen on définit une modèle de sécurité: pas de cassage total même dans une attaque à messages choisis pas de forge sélective dans une attaque à messages connus etc... Le critère de sécurité le plus fort Absence de forge existentielle sous une attaque à messages choisis adaptative (EF-CMA, Existential Forgery, Chosen Message Attack) notion formalisée en 1988 et devenue le critère de référence SIGNATURE ÉLECTRONIQUE 23/64

24 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple SÉCURITÉ EF-CMA KG sk S pk { V=1? m mi pk m, σ m i σ i SIGNATURE ÉLECTRONIQUE 24/64

25 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple REMARQUES Attention La sécurité inconditionnelle n existe pas en signature! il est toujours possible de tester toutes les signatures possibles jusqu à obtenir une vérification correcte cela vient du fait que l algorithme de vérification est public la sécurité sera toujours calculatoire SIGNATURE ÉLECTRONIQUE 25/64

26 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RAPPEL: LE PROBLÈME RSA Problème RSA Soit n = p q le produit de deux grands nombres premiers, et ϕ(n) = (p 1)(q 1) l ordre du groupe Z n. Soit e un entier premier avec ϕ(n) et y un élément aléatoire dans Z n. Trouver x tel que x e = y mod n Ce problème se réduit facilement à la factorisation de n L inverse n est pas prouvé......et est peut-être faux! SIGNATURE ÉLECTRONIQUE 26/64

27 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA LA SIGNATURE RSA Chiffrement RSA: la clé publique est le couple (n, e) la clé privée est un exposant secret, inverse de e: ed = 1 mod ϕ(n) le chiffré d un entier x est y = x e mod n RSA: du chiffrement à la signature RSA : x x e mod n est une permutation sur Z n: Le déchiffré d un message peut servir de signature: en re-chiffrant, on doit retomber sur le message original les rôles des clés sont inversés SIGNATURE ÉLECTRONIQUE 27/64

28 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA LA SIGNATURE RSA Signature: σ = m d mod n Vérification: tester si σ e = m mod n Ce schéma simpliste est: Existentiellement falsifiable par une attaque sans message choisir σ et exhiber m = σ e Universellement falsifiable par une attaque à messages choisis faire signer m/2 et 2 (multiplicativité...) SIGNATURE ÉLECTRONIQUE 28/64

29 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA SIGNATURE RSA AVEC ENCODAGE (PADDING) L encodage (ou bourrage, padding, encapsulation) permet de briser la propriété de multiplicativité les attaques basiques sont rendues inopérantes Le message est encapsulé dans un certain format chaîne de bits fixe accolée au message codage d une propriété du message (checksum, longueur...) chaîne de bits variable mais avec redondance plus sophistiqué... Lors de la vérification de la signature le format de l encapsulation doit être valide SIGNATURE ÉLECTRONIQUE 29/64

30 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RSA AVEC REDONDANCE FIXE On ajoute une suite (de longueur fixe) de 0 au message Message } {{ } RSA signature Attention: il faut un nombre suffisant de 0 sinon on peut tomber sur une redondance valide avec une probabilité non négligeable SIGNATURE ÉLECTRONIQUE 30/64

31 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RSA AVEC ENCODAGE FIXE Cet encodage consiste à faire subir à m une transformation affine avant la signature: on calcule E(m) = a m + b mod n, a et b sont fixés la signatures est σ = E(m) d mod n vérification: a m + b = σ e mod n Pas d attaque triviale... SIGNATURE ÉLECTRONIQUE 31/64

32 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA ATTAQUES SUR L ENCODAGE RSA Deux attaques ont été trouvées contre ce schéma 1. Falsification existentielle, avec attaque à messages choisis exhibée en 2001 par Brier, Coron et Naccache 2. Falsification sélective (signature d un message donné) en 2002 par Lenstra et Shparlinski SIGNATURE ÉLECTRONIQUE 32/64

33 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA DÉTAILS DE L ATTAQUE DE BRIER ET AL. L attaque fonctionne comme suit: on cherche 4 messages tels que: E(m 1 ) E(m 2 ) = E(m 3 ) E(m 4 ) mod n les signatures vérifient donc: σ 1 σ 2 = σ 3 σ 4 mod n donc si on demande les signatures de trois d entre eux, on calcule facilement la signature du quatrième Comment trouver les messages? SIGNATURE ÉLECTRONIQUE 33/64

34 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA DÉTAILS DE L ATTAQUE (SUITE) Comment trouver les messages? on cherche à satisfaire la relation (am 1 + b) (am 2 + b) = (am 3 + b) (am 4 + b) mod n si on pose P = b/a, t = m 3, x = m 1 m 3, y = m 2 m 3 et z = m 4 m 1 m 2 + m 3, alors l équation se réécrit xy = (P + t) z mod n la méthode des fractions continues permet de résoudre ce type d équations SIGNATURE ÉLECTRONIQUE 34/64

35 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA REMARQUE SUR LA TAILLE DE L ENCODAGE Les attaques ci-dessus s appliquent dès que la taille du message est suffisamment grande (1/3 de la taille de n) taille maximale du message = 340 bits si n fait 1024 bits Danger! Il ne faut pas utiliser RSA avec un encodage trop petit (680 bits au moins réservés à l encodage) SIGNATURE ÉLECTRONIQUE 35/64

36 I. SIGNATURE ÉLECTRONIQUE I.3. ÉTUDES DE SIGNATURES Organisation de la section «ÉTUDES DE SIGNATURES» Signature RSA: utilisation Signatures basées sur le logarithme discret SIGNATURE ÉLECTRONIQUE 36/64

37 Signature RSA: utilisation D-Log SIGNATURE RSA AVEC HACHAGE PLEIN FDH, Full-Domain Hash C est l application la plus simple du Hash-and-sign cette méthode suppose que l on dispose d une fonction de hachage produisant comme empreintes des entiers modulo n Pour signer un message m, on calcule σ = H(m) d le hachage joue le rôle de l encodage Ce schéma a été proposé et prouvé sûr par Bellare et Rogaway en 1996 mais la preuve de sécurité donne une borne mauvaise (i.e., on est oblige de prendre des grands paramètres) SIGNATURE ÉLECTRONIQUE 37/64

38 Signature RSA: utilisation D-Log SÉCURITÉ DE RSA-FDH Preuve de sécurité du schéma: sécurité EF-CMA, sous l hypothèse de difficulté du problème RSA, dans le modèle de l oracle aléatoire Réduction proposée par Bellare et Rogaway: mauvaise pour une probabilité de forge de 2 80 avec 2 60 calculs de hachage, la taille du module doit être de 4096 bits Preuve améliorée en 2000 par Coron en fait un module de 2048 bits est suffisant SIGNATURE ÉLECTRONIQUE 38/64

39 Signature RSA: utilisation D-Log PREUVE DE SÉCURITÉ DE RSA-FDH Réduction: si un attaquant peut forger une signature, je peux m en servir pour construire un attaquant qui résout le problème mathématique RSA Preuve proposée par Bellare et Rogaway (Eurocrypt 1996) preuve par réduction RSA: étant donnés n, e et y, trouver x tel que x e = y mod n dans le modèle de l oracle aléatoire SIGNATURE ÉLECTRONIQUE 39/64

40 Signature RSA: utilisation D-Log SIGNATURE RSA: FORMATS NORMALISÉS Ces normes publiées par RSA Security Inc. existent en 2 versions: 1. PKCS#1 v1.5: pas de preuve de sécurité PKCS#1 v2.1: schéma initialement proposé par Bellare et Rogaway en 1996 (PSS: Probabilistic Signature Scheme) la preuve de sécurité fournit une bonne réduction SIGNATURE ÉLECTRONIQUE 40/64

41 Signature RSA: utilisation D-Log SIGNATURE RSA PKCS#1 V1.5 C est un schéma déterministe: la signature d un message est unique FF FF 00 H(M) AID } {{ } au moins 8 octets } {{ } RSA Signature AID=Algorithm IDentifier SIGNATURE ÉLECTRONIQUE 41/64

42 Signature RSA: utilisation D-Log SÉCURITÉ DE PKCS#1 V1.5 On n en sait rien Aucune preuve de sécurité sur ce schéma aucune certitude mathématique Aucune attaque connue malgré de nombreuses recherches Considéré malgré tout comme une solution raisonnable SIGNATURE ÉLECTRONIQUE 42/64

43 Signature RSA: utilisation D-Log PSS: SCHÉMA DE SIGNATURE PROBABILISTE L algorithme de signature utilise des nombres aléatoires la signature change à chaque fois Seed H(M) Seed Hash G Hash H 00 Masked seed Masked data } {{ } RSA Signature SIGNATURE ÉLECTRONIQUE 43/64

44 Signature RSA: utilisation D-Log SÉCURITÉ DE RSA-PSS Preuve de sécurité sécurité EF-CMA, sous l hypothèse de la difficulté du problème RSA dans le modèle de l oracle aléatoire Conséquences sur le choix des paramètres pour une probabilité de forger de 2 80, avec des longueurs k 0 et k 1 d au moins 200 bits, il faut un module RSA d au moins 1536 bits SIGNATURE ÉLECTRONIQUE 44/64

45 RSA Signatures basées sur le logarithme discret LA SIGNATURE ELGAMAL Elle est directement dérivée de l algorithme de chiffrement du même nom Liée au problème du logarithme discret Définition (Problème du logarithme discret) Soit G un groupe multiplicatif fini, g et y deux éléments de G. Trouver, s il existe, un entier x tel que g x = y dans G. Le plus souvent, G est cyclique et g est un générateur de G SIGNATURE ÉLECTRONIQUE 45/64

46 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: LES CLÉS 1. Choix d un nombre premier p 2. Générateur g du groupe multiplicatif Z p 3. Choix d un entier x compris entre 0 et p 1 4. On calcule y = g x mod p 5. La clé publique est (p, g, y) 6. La clé privée est x SIGNATURE ÉLECTRONIQUE 46/64

47 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: ALGORITHMES Pour signer un message m: 1. choisir k < p 1 aléatoire et premier avec p 1 2. calculer r = g k mod p et s = k 1 (H(m) xr) mod p 1 3. la signature de m est (r, s) Pour vérifier une signature: 1. tester si 0 < r < p 2. calculer u = y r r s mod p et v = g H(m) mod p 3. accepter si u = v SIGNATURE ÉLECTRONIQUE 47/64

48 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: COHÉRENCE y = g x On sait que r = g k s = k 1 (H(m) xr) mod p 1 On a donc: u = y r r s = g xr g kk 1 (H(m) xr) = g xr+h(m) xr = g H(m) = v SIGNATURE ÉLECTRONIQUE 48/64

49 RSA Signatures basées sur le logarithme discret SÉCURITÉ DE LA SIGNATURE ELGAMAL Attention Le non-respect des conditions de la signature ElGamal rend celle-ci falsifiable: 1. il faut utiliser un entier k différent pour chaque nouvelle signature (sinon, on retrouve la clé privée) 2. sans fonction de hachage, on peut produire des forges existentielles (attaque sans message) 3. il faut vérifier que l entier r de la signature est inférieur à p, sinon ce peut être une forge (facile à produire si r > p) Note: il n y a pas de preuve de sécurité (même si on respecte ces trois règles) SIGNATURE ÉLECTRONIQUE 49/64

50 RSA Signatures basées sur le logarithme discret RÈGLE 1: UN ALÉA FRAIS Dans le cas contraire: supposons que k ait été utilisé pour deux messages m 1 et m 2 on a alors: il vient s 1 = k 1 (H(m 1 ) xr) mod p 1 s 2 = k 1 (H(m 2 ) xr) mod p 1 (s 1 s 2 )k = H(m 1 ) H(m 2 ) mod p 1 On en déduit k = (s 1 s 2 ) 1 (H(m 1 ) H(m 2 )) mod p 1 puis on a r = g k Cassage total De sk = H(m) xr, on tire alors la valeur de x SIGNATURE ÉLECTRONIQUE 50/64

51 RSA Signatures basées sur le logarithme discret RÈGLE 2: UNE FONCTION DE HACHAGE Si on n utilise pas de fonction de hachage: on a s = k(m xr) mod p 1 choisir (α, β) avec pgcd(β, p 1) = 1 calculer r = g α y β mod p calculer s = rβ 1 mod p 1 Forge existentielle (r, s) est une signature du message m = sα. En effet le vérifieur calcule u = y r r s = y r (g α y β ) s = g sα y r+sβ = g m = v SIGNATURE ÉLECTRONIQUE 51/64

52 RSA Signatures basées sur le logarithme discret RÈGLE 3: VÉRIFICATION SUR R On suppose que l on a une signature (r, s) sur un message m pour signer m on calcule u = H(m )H(m) 1 on pose s = su par le théorème chinois, on trouve r < p 2 tel que r = ru mod p 1 r = r mod p Forge universelle (r, s ) est une signature valide de m car: r = r = g k mod p s = k 1 (H(m) xr) H(m )H(m) 1 = k 1 (H(m ) xr ) mod p 1 SIGNATURE ÉLECTRONIQUE 52/64

53 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: EFFICACITÉ La signature est très efficace (une seule exponentiation modulaire) La vérification est coûteuse (3 exponentiations) on peut améliorer l implémentation naïve La signature est longue: deux fois la taille de p SIGNATURE ÉLECTRONIQUE 53/64

54 RSA Signatures basées sur le logarithme discret LA SIGNATURE DSA Un standard de signature basé sur le principe de la signature ElGamal DSA = Digital Signature Algorithm standard Américain (FIPS 186) datant de 1995 utilise une fonction de hachage résistante aux collisions SIGNATURE ÉLECTRONIQUE 54/64

55 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: LES PARAMÈTRES 1. Un nombre premier p 2. Un deuxième nombre premier q diviseur de p 1 3. Un générateur g du groupe cyclique d ordre q de Z p 4. Un entier x < q, on calcule y = g x mod p 5. La clé publique est (p, q, g, y) 6. La clé privée est x SIGNATURE ÉLECTRONIQUE 55/64

56 RSA Signatures basées sur le logarithme discret DSA: GÉNÉRATION D UNE SIGNATURE Pour signer un message m: 1. choisir un entier k < q aléatoire 2. calculer: { (r = g k mod p) mod q s = k 1 (H(m) + xr) mod q 3. la signature de m est (r, s) SIGNATURE ÉLECTRONIQUE 56/64

57 RSA Signatures basées sur le logarithme discret SIGNATURE DSA : VÉRIFICATION 1. Vérifier que r et s sont dans l intervalle [1, q 1] 2. Calculer: 3. Accepter si z = r w = s 1 mod q u = wh(m) mod q v = rw mod q z = (g u y v mod p) mod q SIGNATURE ÉLECTRONIQUE 57/64

58 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: SÉCURITÉ Pas de preuve de sécurité... cela a engendré des critiques et des suspicions En pratique la sécurité repose sur la difficulté de calculer un logarithme discret modulo p ou dans le sous-groupe d ordre q Mêmes remarques que pour ElGamal un k différent à chaque fois, vérification de r et s, hachage Attaque connue (Shparlinski) Si on connaît quelques bits de l aléa k, on peut retrouver la clé privée... SIGNATURE ÉLECTRONIQUE 58/64

59 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: EFFICACITÉ La signature est assez rapide (et beaucoup plus courte que pour ElGamal : 160 au lieu de 1536 bits) La vérification est plus coûteuse (que la signature) Taille recommandée: 160 bits pour q, au moins 1536 pour p SIGNATURE ÉLECTRONIQUE 59/64

60 RSA Signatures basées sur le logarithme discret SIGNATURE ECDSA Extension de DSA aux courbes elliptiques Les courbes elliptiques: objet mathématique abstrait (ensemble de points) muni d une loi: structure de groupe le problème du logarithme discret y est difficile on ne connaît pas d algorithme sous-exponentiel Même description formelle que DSA mais opère dans un groupe plus petit (160 ou 256 bits) plus efficace que Z p (où p = 1536) à condition d implémenter correctement SIGNATURE ÉLECTRONIQUE 60/64

61 RSA Signatures basées sur le logarithme discret LA SIGNATURE DE SCHNORR Une autre variante d ElGamal... comme pour DSA, on prend un sous-groupe d ordre q dans Z p les paramètres sont les mêmes y = g x,... Ce schéma jouit d une preuve de sécurité SIGNATURE ÉLECTRONIQUE 61/64

62 RSA Signatures basées sur le logarithme discret SIGNATURE DE SCHNORR: ALGORITHMES Pour signer un message m 1. choisir k < q aléatoire 2. calculer: 3. la signature de m est (e, s) Pour vérifier une signature: 1. on calcule u = g s y e mod p 2. on accepte si e = H(m u) r = g k mod p e = H(m r) s = k + xe mod q SIGNATURE ÉLECTRONIQUE 62/64

63 RSA Signatures basées sur le logarithme discret SIGNATURE DE SCHNORR: PROPRIÉTÉS La signature est rapide (une seule exponentiation) La vérification demande deux exponentiations mais on peut optimiser Taille de signature: taille de q + taille des condensés Note: le schéma de Schnorr est breveté (Fév. 1991) SIGNATURE ÉLECTRONIQUE 63/64

64 Généralités Sécurité Études de signatures Conclusion CONCLUSION Les applications de la signature sont concrètes et nombreuses Les schémas cryptographiques sont nombreux également préférer ceux avec une preuve de sécurité ou au moins ceux qui sont largement étudiés, depuis longtemps Toujours appliquer scrupuleusement les algorithmes SIGNATURE ÉLECTRONIQUE 64/64

CRYPTOGRAPHIE. Chiffrement asymétrique. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Chiffrement asymétrique. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Chiffrement asymétrique E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr I. CHIFFREMENT ASYMÉTRIQUE I.1. CHIFFREMENT À CLÉ PUBLIQUE Organisation de la section

Plus en détail

Fonction de hachage et signatures électroniques

Fonction de hachage et signatures électroniques Université de Limoges, XLIM-DMI, 123, Av. Albert Thomas 87060 Limoges Cedex France 05.55.45.73.10 pierre-louis.cayrel@xlim.fr Licence professionnelle Administrateur de Réseaux et de Bases de Données IUT

Plus en détail

CHAPITRE 6 : Signature, identi cation.

CHAPITRE 6 : Signature, identi cation. CHAPITRE 6 : Signature, identi cation. La cryptographie ne se limite plus à l art de chi rer des messages, on va considérer dans ce chapitre de nouvelles tâches qu il est possible de réaliser. La signature

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

Authentification et intégrité

Authentification et intégrité Chapitre 8 Authentification et intégrité Jusqu à présent nous avons considéré le chiffrement pour maintenir un secret. Cependant, d autres facteurs peuvent entrer en ligne de compte pour garantir une communication

Plus en détail

Les fonctions de hachage, un domaine à la mode

Les fonctions de hachage, un domaine à la mode Les fonctions de hachage, un domaine à la mode JSSI 2009 Thomas Peyrin (Ingenico) 17 mars 2009 - Paris Outline Qu est-ce qu une fonction de hachage Comment construire une fonction de hachage? Les attaques

Plus en détail

Cryptographie et fonctions à sens unique

Cryptographie et fonctions à sens unique Cryptographie et fonctions à sens unique Pierre Rouchon Centre Automatique et Systèmes Mines ParisTech pierre.rouchon@mines-paristech.fr Octobre 2012 P.Rouchon (Mines ParisTech) Cryptographie et fonctions

Plus en détail

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D ÉPREUVE COMMUNE DE TIPE 2008 - Partie D TITRE : Les Fonctions de Hachage Temps de préparation :.. 2 h 15 minutes Temps de présentation devant le jury :.10 minutes Entretien avec le jury :..10 minutes GUIDE

Plus en détail

CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques

CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques Présenté par: AMBASSA PACÔME LANDRY Membre du laboratoire de Mathématiques Expérimentales (LME) Université

Plus en détail

Plan. Cryptographie à clé publique II. Exemple. Un autre problème di. Bruno MARTIN, Université Nice Sophia Antipolis. par RSA par El Gamal

Plan. Cryptographie à clé publique II. Exemple. Un autre problème di. Bruno MARTIN, Université Nice Sophia Antipolis. par RSA par El Gamal Plan Cryptographie à clé publique II 1 Bruno MARTIN, Université Nice Sophia Antipolis 2 3 Bruno MARTIN, Université Nice Sophia Antipolis Cryptographie à clé publique II 1 Un autre problème di cile Bruno

Plus en détail

CRYPTOGRAPHIE. Authentification et échange de clé. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Authentification et échange de clé. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Authentification et échange de clé E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr L authentification symétrique I. AUTHENTIFICATION I.1. L AUTHENTIFICATION

Plus en détail

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux Damien Stehlé LIP CNRS/ENSL/INRIA/UCBL/U. Lyon Perpignan, Février 2011 Damien Stehlé Problèmes arithmétiques issus de la cryptographie

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

UN I V E R S I T É. Vincennes-Saint-Denis. Hieu Phan & Philippe Guillot. 11 octobre 2013

UN I V E R S I T É. Vincennes-Saint-Denis. Hieu Phan & Philippe Guillot. 11 octobre 2013 PARIS8 UN I V E R S I T É Vincennes-Saint-Denis UFR 6 MITSIC Mathématiques, Informatique, Technologies, Sciences de l Information et de la Communication Preuves de sécurité des schémas cryptographiques

Plus en détail

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Cryptographie. Cours 3/8 - Chiffrement asymétrique Cryptographie Cours 3/8 - Chiffrement asymétrique Plan du cours Différents types de cryptographie Cryptographie à clé publique Motivation Applications, caractéristiques Exemples: ElGamal, RSA Faiblesses,

Plus en détail

Authentification de messages et mots de passe

Authentification de messages et mots de passe Sébastien Gambs Autour de l authentification : cours 1 1 et mots de passe Sébastien Gambs sgambs@irisa.fr 1 décembre 2014 Sébastien Gambs Autour de l authentification : cours 1 2 Introduction à l authentification

Plus en détail

La Cryptographie Asymétrique et les Preuves de Sécurité

La Cryptographie Asymétrique et les Preuves de Sécurité La Cryptographie Asymétrique et les Preuves de Sécurité Chargé de recherche CNRS Département d informatique École normale supérieure Sommaire 1. Introduction 2. Les hypothèses algorithmiques 3. Le chiffrement

Plus en détail

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux Chapitre 7 Sécurité des réseaux Services, attaques et mécanismes cryptographiques Hdhili M.H Cours Administration et sécurité des réseaux 1 Partie 1: Introduction à la sécurité des réseaux Hdhili M.H Cours

Plus en détail

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1 Cryptographie RSA Introduction Opérations Attaques Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1 Introduction Historique: Rivest Shamir Adleman ou RSA est un algorithme asymétrique de cryptographie à clé

Plus en détail

Signatures électroniques dans les applications INTERNET

Signatures électroniques dans les applications INTERNET ECOLE ROYALE MILITAIRE 156 e Promotion Polytechnique Lieutenant-Général Baron de GREEF Année académique 2005 2006 3 ème épreuve Signatures électroniques dans les applications INTERNET Par le Sous-lieutenant

Plus en détail

Sécurité informatique

Sécurité informatique Sécurité informatique Université Kasdi Merbah Ouargla Master RCS Octobre 2014 Département Informatique 1 Master RCS 1 Sécurité informatique Organisation du cours Ce cours a pour but de présenter les fondements

Plus en détail

Le Chiffrement Asymétrique

Le Chiffrement Asymétrique Université Paris VII Habilitation à Diriger des Recherches Le Chiffrement Asymétrique et la Sécurité Prouvée David Pointcheval 17 juin 2002 Président du jury : Gilles Kahn Rapporteurs : Dan Boneh Anca

Plus en détail

INF 4420: Sécurité Informatique Cryptographie II

INF 4420: Sécurité Informatique Cryptographie II : Cryptographie II José M. Fernandez M-3106 340-4711 poste 5433 Aperçu Crypto II Types de chiffrement Par bloc vs. par flux Symétrique vs. asymétrique Algorithmes symétriques modernes DES AES Masque jetable

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

Cryptographie à clé publique : Constructions et preuves de sécurité

Cryptographie à clé publique : Constructions et preuves de sécurité Université Paris VII Denis Diderot UFR Algorithmique École Normale Supérieure, Paris Équipe de cryptographie Cryptographie à clé publique : Constructions et preuves de sécurité THÈSE présentée et soutenue

Plus en détail

quelques problèmes de sécurité dans les réseaux de capteurs

quelques problèmes de sécurité dans les réseaux de capteurs quelques problèmes de sécurité dans les réseaux de capteurs Marine MINIER Laboratoire CITI INSA de Lyon Journées EmSoC 2007 1 Introduction Réseaux sans fil multi-sauts utilisés en général pour monitorer

Plus en détail

TP 2 : Chiffrement par blocs

TP 2 : Chiffrement par blocs USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie TP 2 : Chiffrement par blocs Objectifs du TP utiliser openssl pour chiffrer/déchiffrer, étudier le remplissage

Plus en détail

DOCM 2013 http://docm.math.ca/ Solutions officielles. 1 2 10 + 1 2 9 + 1 2 8 = n 2 10.

DOCM 2013 http://docm.math.ca/ Solutions officielles. 1 2 10 + 1 2 9 + 1 2 8 = n 2 10. A1 Trouvez l entier positif n qui satisfait l équation suivante: Solution 1 2 10 + 1 2 9 + 1 2 8 = n 2 10. En additionnant les termes du côté gauche de l équation en les mettant sur le même dénominateur

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Le Passeport Biométrique. Benoit LEGER CISSP ISO 27001-LD

Le Passeport Biométrique. Benoit LEGER CISSP ISO 27001-LD Le Passeport Biométrique Benoit LEGER CISSP ISO 27001-LD Il ne faut pas confondre le vol de titres vierges la contrefaçon (imitation d'un titre officiel) la falsification (modification des données d'un

Plus en détail

Les défis de l ordinateur quantique

Les défis de l ordinateur quantique Les défis de l ordinateur quantique Frédéric Magniez http://www.lri.fr/quantum Vers la nanotechnologie 2 Fin de la loi de Moore? "No exponential is forever. Your job is to delay forever.", Andrew Gordon

Plus en détail

Panorama de la cryptographie des courbes elliptiques

Panorama de la cryptographie des courbes elliptiques Panorama de la cryptographie des courbes elliptiques Damien Robert 09/02/2012 (Conseil régional de Lorraine) La cryptographie, qu est-ce que c est? Définition La cryptographie est la science des messages

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Quelques tests de primalité

Quelques tests de primalité Quelques tests de primalité J.-M. Couveignes (merci à T. Ezome et R. Lercier) Institut de Mathématiques de Bordeaux & INRIA Bordeaux Sud-Ouest Jean-Marc.Couveignes@u-bordeaux.fr École de printemps C2 Mars

Plus en détail

Arithmétique et Cryptographie, Partie II Applications cryptographiques des pairings

Arithmétique et Cryptographie, Partie II Applications cryptographiques des pairings Arithmétique et Cryptographie, Partie II Applications cryptographiques des pairings A. Bonnecaze Institut de Mathématiques de Luminy (IML) Oujda, Mai 2009 A. Bonnecaze (IML) Arithmétique et Cryptographie,

Plus en détail

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé Cible de Sécurité CSPN Produit TrueCrypt version 7.1a Catégorie Stockage Sécurisé Date : le 15/01/2013 Page 1 sur 18 Siège : 4 bis Allée du Bâtiment 35000 Rennes France www.amossys.fr SIRET : 493 348 890

Plus en détail

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade.

Crypt ographie. Les risques réseau. Les risques réseau. Les risques réseau. Sniffing. Attaque passive. Spoofing ou masquarade. Crypt ographie Les risques réseau Spoofing ou masquarade Se faire passer pour quelqu'un d'autre Possible dès qu'il y a une association effectuée dynamiquement : adresse physique-ip adresse IP-nom redirection

Plus en détail

La cryptographie de Bitcoin

La cryptographie de Bitcoin La cryptographie de Bitcoin Le fonctionnement d une cryptomonnaie Olivier Coutu Département d Informatique et de recherche opérationnelle Université de Montréal Cours de sécurité informatique IFT6271 Jeudi

Plus en détail

Applications de la cryptographie à clé publique

Applications de la cryptographie à clé publique pplications de la cryptographie à clé publique Crypter un message M revient à appliquer à celui-ci une fonction bijective f de sorte de former le message chiffré M = f ( M ). Déchiffrer ce dernier consiste

Plus en détail

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Petite introduction aux protocoles cryptographiques. Master d informatique M2 Petite introduction aux protocoles cryptographiques Master d informatique M2 Les protocoles cryptographiques p.1/48-1 Internet - confidentialité - anonymat - authentification (s agit-il bien de ma banque?)

Plus en détail

Using SEND Signature Algorithm Agility and Multiple-Key CGA to Secure Proxy Neighbor Discovery and Anycast Addressing

Using SEND Signature Algorithm Agility and Multiple-Key CGA to Secure Proxy Neighbor Discovery and Anycast Addressing Using SEND Signature Algorithm Agility and Multiple-Key CGA to Secure Proxy Neighbor Discovery and Anycast Addressing Tony Cheneau & Maryline Laurent présenté par Kheira Bekara Télécom SudParis - Département

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr. Le format OpenPGP Traduit par : Sébastien Person personseb@yahoo.fr Matthieu Hautreux matthieu.hautreux@insa-rouen.fr Odile Weyckmans odile.weyckmans@insa-rouen.fr Relu et maintenu par : Yvon Benoist benoist@insa-rouen.fr

Plus en détail

Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows

Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows Les compromis temps-mémoire et leur utilisation pour casser les mots de passe Windows Philippe Oechslin Laboratoire de Securité et de Cryptographie (LASEC) École Polytechnique Fédérale de Lausanne Faculté

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

Sécurité des réseaux Certificats X509 et clés PGP

Sécurité des réseaux Certificats X509 et clés PGP Sécurité des réseaux Certificats X509 et clés PGP A. Guermouche A. Guermouche Cours 5 : X509 et PGP 1 Plan 1. Certificats X509 2. Clés PGP A. Guermouche Cours 5 : X509 et PGP 2 Plan Certificats X509 1.

Plus en détail

Étude de protocoles cryptographiques à base de mots de passe

Étude de protocoles cryptographiques à base de mots de passe École normale supérieure Département d Informatique Équipe CASCADE INRIA Université Paris 7 Denis Diderot Étude de protocoles cryptographiques à base de mots de passe Thèse présentée et soutenue publiquement

Plus en détail

IFT3245. Simulation et modèles

IFT3245. Simulation et modèles IFT 3245 Simulation et modèles DIRO Université de Montréal Automne 2012 Tests statistiques L étude des propriétés théoriques d un générateur ne suffit; il estindispensable de recourir à des tests statistiques

Plus en détail

M2 IAD UE MODE Notes de cours (3)

M2 IAD UE MODE Notes de cours (3) M2 IAD UE MODE Notes de cours (3) Jean-Yves Jaffray Patrice Perny 16 mars 2006 ATTITUDE PAR RAPPORT AU RISQUE 1 Attitude par rapport au risque Nousn avons pas encore fait d hypothèse sur la structure de

Plus en détail

La sécurité des réseaux. 9e cours 2014 Louis Salvail

La sécurité des réseaux. 9e cours 2014 Louis Salvail La sécurité des réseaux 9e cours 2014 Louis Salvail Échanges de clés authentifiés Supposons qu Obélix et Astérix, qui possèdent des clés publiques certifiées PK O et PK A, veulent établir une communication

Plus en détail

Contrôle de mathématiques

Contrôle de mathématiques Contrôle de mathématiques Correction du Lundi 18 octobre 2010 Exercice 1 Diviseurs (5 points) 1) Trouver dans N tous les diviseurs de 810. D 810 = {1; 2; 3; 5; 6; 9; 10; 15; 18; 27; 30; 45; 54; 81; 90;

Plus en détail

TECHNIQUES DE CRYPTOGRAPHIE

TECHNIQUES DE CRYPTOGRAPHIE Jonathan BLANC Enseignant : Sandrine JULIA Adrien DE GEORGES Année universitaire 23/24 Licence Informatique TECHNIQUES DE CRYPTOGRAPHIE - - TABLE DES MATIERES INTRODUCTION 3. TECHNIQUES DE CRYPTOGRAPHIE

Plus en détail

Les protocoles cryptographiques

Les protocoles cryptographiques Les protocoles cryptographiques École des Mines, 3e année 1/79 Véronique Cortier Protocoles cryptographiques - Cours 1 Internet Introduction - confidentialité - anonymat - authentification (s agit-il bien

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Correction du baccalauréat ES/L Métropole 20 juin 2014

Correction du baccalauréat ES/L Métropole 20 juin 2014 Correction du baccalauréat ES/L Métropole 0 juin 014 Exercice 1 1. c.. c. 3. c. 4. d. 5. a. P A (B)=1 P A (B)=1 0,3=0,7 D après la formule des probabilités totales : P(B)=P(A B)+P(A B)=0,6 0,3+(1 0,6)

Plus en détail

Nombres premiers. Comment reconnaître un nombre premier? Mais...

Nombres premiers. Comment reconnaître un nombre premier? Mais... Introduction Nombres premiers Nombres premiers Rutger Noot IRMA Université de Strasbourg et CNRS Le 19 janvier 2011 IREM Strasbourg Definition Un nombre premier est un entier naturel p > 1 ayant exactement

Plus en détail

Théorie de l information : historique

Théorie de l information : historique Théorie de l information : historique Développée dans les années quarante par Claude Shannon. Objectif : maximiser la quantité d information pouvant être transmise par un canal de communication imparfait.

Plus en détail

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Chiffrement par flot E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr CHIFFREMENT PAR FLOT Chiffrement par flot Chiffrement RC4 Sécurité du Wi-fi Chiffrement

Plus en détail

Livre blanc. Sécuriser les échanges

Livre blanc. Sécuriser les échanges Livre blanc d information Sécuriser les échanges par emails Octobre 2013 www.bssi.fr @BSSI_Conseil «Sécuriser les échanges d information par emails» Par David Isal Consultant en Sécurité des Systèmes d

Plus en détail

Les protocoles cryptographiques: comment sécuriser nos communications?

Les protocoles cryptographiques: comment sécuriser nos communications? Les protocoles cryptographiques: comment sécuriser nos communications? Stéphanie Delaune Chargée de recherche CNRS au LSV, INRIA projet SecSI & ENS Cachan 21 Mars 2014 S. Delaune (LSV Projet SecSI) Les

Plus en détail

De même, le périmètre P d un cercle de rayon 1 vaut P = 2π (par définition de π). Mais, on peut démontrer (difficilement!) que

De même, le périmètre P d un cercle de rayon 1 vaut P = 2π (par définition de π). Mais, on peut démontrer (difficilement!) que Introduction. On suppose connus les ensembles N (des entiers naturels), Z des entiers relatifs et Q (des nombres rationnels). On s est rendu compte, depuis l antiquité, que l on ne peut pas tout mesurer

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

Géométrie des nombres et cryptanalyse de NTRU

Géométrie des nombres et cryptanalyse de NTRU École normale supérieure Département d informatique Équipe CASCADE INRIA Université Paris 7 Denis Diderot Géométrie des nombres et cryptanalyse de NTRU Thèse présentée et soutenue publiquement le 13 novembre

Plus en détail

Introduction à l étude des Corps Finis

Introduction à l étude des Corps Finis Introduction à l étude des Corps Finis Robert Rolland (Résumé) 1 Introduction La structure de corps fini intervient dans divers domaines des mathématiques, en particulier dans la théorie de Galois sur

Plus en détail

Chapitre VI - Méthodes de factorisation

Chapitre VI - Méthodes de factorisation Université Pierre et Marie Curie Cours de cryptographie MM067-2012/13 Alain Kraus Chapitre VI - Méthodes de factorisation Le problème de la factorisation des grands entiers est a priori très difficile.

Plus en détail

Trouver un vecteur le plus court dans un réseau euclidien

Trouver un vecteur le plus court dans un réseau euclidien Trouver un vecteur le plus court dans un réseau euclidien Damien STEHLÉ http://perso.ens-lyon.fr/damien.stehle Travail en commun avec Guillaume HANROT (INRIA Lorraine) CNRS/LIP/INRIA/ÉNS Lyon/Université

Plus en détail

Université Paris-Dauphine DUMI2E 1ère année, 2009-2010. Applications

Université Paris-Dauphine DUMI2E 1ère année, 2009-2010. Applications Université Paris-Dauphine DUMI2E 1ère année, 2009-2010 Applications 1 Introduction Une fonction f (plus précisément, une fonction réelle d une variable réelle) est une règle qui associe à tout réel x au

Plus en détail

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009 Aristote Groupe PIN Utilisations pratiques de la cryptographie Frédéric Pailler (CNES) 13 janvier 2009 Objectifs Décrire les techniques de cryptographie les plus courantes Et les applications qui les utilisent

Plus en détail

Fiche n 2: Morphisme, sous-groupe distingué, quotient

Fiche n 2: Morphisme, sous-groupe distingué, quotient Université Lille 1 Algèbre 2010/11 M51.MIMP Fiche n 2: Morphisme, sous-groupe distingué, quotient Exercice 1 Soient G, G deux groupes et f un homomorphisme de G dans G. Montrer que si A G, alors f( A )

Plus en détail

Sécurité de l'information

Sécurité de l'information Sécurité de l'information Sylvain Duquesne Université Rennes 1, laboratoire de Mathématiques 24 novembre 2010 Les Rendez-Vous Mathématiques de l'irem S. Duquesne (Université Rennes 1) Sécurité de l'information

Plus en détail

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité Les risques liés à la signature numérique Pascal Seeger Expert en cybercriminalité Présentation Pascal Seeger, expert en cybercriminalité Practeo SA, Lausanne Partenariat avec Swisscom SA, Zurich Kyos

Plus en détail

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr

Technologies de l Internet. Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Technologies de l Internet Partie 6 : Introduction à la sécurité dans le web Iulian Ober iulian.ober@irit.fr Cryptage avec clé secrète même clé I think it is good that books still exist, but they do make

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

Théorie et Pratique de la Cryptanalyse à Clef Publique

Théorie et Pratique de la Cryptanalyse à Clef Publique UNIVERSITÉ PARIS 7 DENIS DIDEROT UFR D INFORMATIQUE Théorie et Pratique de la Cryptanalyse à Clef Publique MÉMOIRE présenté et soutenu publiquement le 23 novembre 2007 pour l obtention du Diplôme d Habilitation

Plus en détail

Programmation linéaire

Programmation linéaire 1 Programmation linéaire 1. Le problème, un exemple. 2. Le cas b = 0 3. Théorème de dualité 4. L algorithme du simplexe 5. Problèmes équivalents 6. Complexité de l Algorithme 2 Position du problème Soit

Plus en détail

TP : Cryptographie. Important : Un rapport doit être rendu au plus tard 10 jours après le TP.

TP : Cryptographie. Important : Un rapport doit être rendu au plus tard 10 jours après le TP. TP : Cryptographie Important : Un rapport doit être rendu au plus tard 10 jours après le TP. Objectif : Comprendre le mécanisme de chiffrement des mots de passe sous Linux Mise en œuvre d un algorithme

Plus en détail

Sécurité des systèmes d'information Cryptographie appliquée

Sécurité des systèmes d'information Cryptographie appliquée Sécurité des systèmes d'information Cryptographie appliquée ENSIIE 12 avril 2013 Julien Raeis Ou sur irc.iiens.net! Plan de cours 1. Cryptographie? 2. Un peu d'histoire 3. Cryptographie

Plus en détail

De la sécurité physique des crypto-systèmes embarqués

De la sécurité physique des crypto-systèmes embarqués Université de Versailles Saint-Quentin Laboratoire de recherche en informatique De la sécurité physique des crypto-systèmes embarqués THÈSE présentée et soutenue publiquement le 23 novembre 2007 à l École

Plus en détail

Chapitre 2. Eléments pour comprendre un énoncé

Chapitre 2. Eléments pour comprendre un énoncé Chapitre 2 Eléments pour comprendre un énoncé Ce chapitre est consacré à la compréhension d un énoncé. Pour démontrer un énoncé donné, il faut se reporter au chapitre suivant. Les tables de vérité données

Plus en détail

UEO11 COURS/TD 1. nombres entiers et réels codés en mémoire centrale. Caractères alphabétiques et caractères spéciaux.

UEO11 COURS/TD 1. nombres entiers et réels codés en mémoire centrale. Caractères alphabétiques et caractères spéciaux. UEO11 COURS/TD 1 Contenu du semestre Cours et TDs sont intégrés L objectif de ce cours équivalent a 6h de cours, 10h de TD et 8h de TP est le suivant : - initiation à l algorithmique - notions de bases

Plus en détail

TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION

TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION PROTECTION CRYPTOGRAPHIQUE romuald.thion@univ-lyon1.fr http://liris.cnrs.fr/~rthion/dokuwiki/enseignement:tiw4 Master «Technologies de l Information» Romuald

Plus en détail

Cryptologie à clé publique

Cryptologie à clé publique Cryptologie à clé publique La cryptologie est partout Chacun utilise de la crypto tous les jours sans forcément sans rendre compte en : - téléphonant avec un portable - payant avec sa carte bancaire -

Plus en détail

Projet de Cryptographie

Projet de Cryptographie Projet de Cryptographie «Cassage mot de passe Windows et Linux» Lionel Coin 08/09 Sébastien Pône Un mot de passe est un moyen d authentification afin de restreindre l accès à une ressource ou un service.

Plus en détail

Les bases de la Cryptologie POLSYS LIP6/UPMC/INRIA

Les bases de la Cryptologie POLSYS LIP6/UPMC/INRIA Les bases de la Cryptologie Guénaël Renault POLSYS LIP6/UPMC/INRIA 2/90 Part I Définitions 3/90 La cryptologie Définitions La cryptologie est la science du secret. Elle se divise en deux disciplines :

Plus en détail

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique

Étudiant : Nicolas Favre-Félix IFIPS Info 3. Les One Time Passwords, Mots de passe à usage unique Étudiant : Nicolas Favre-Félix IFIPS Info 3 Les One Time Passwords, Mots de passe à usage unique Sommaire Définition d'un système d'authentification par OTP...3 Historique...3 Utilisation actuelle...3

Plus en détail

Cryptographie et Cryptanalyse

Cryptographie et Cryptanalyse Cryptographie et Cryptanalyse Christophe Bidan Références Historique : Histoire des codes secrets : de l'égypte des pharaons à l'ordinateur quantique, Simon Singh. Introduction : Cryptographie appliquée

Plus en détail

Mathématiques autour de la cryptographie.

Mathématiques autour de la cryptographie. Mathématiques autour de la cryptographie. Index Codage par division Codage série Code cyclique Code dual Code linéaire Corps de Galois Elément primitif m séquence Matrice génératrice Matrice de contrôle

Plus en détail

TP : RSA et certificats avec openssl

TP : RSA et certificats avec openssl USTL - Licence et Master Informatique 2006-2007 Principes et Algorithmes de Cryptographie 1 Présentation de openssl 1.1 Protocole SSL TP : RSA et certificats avec openssl Le protocole SSL (Secure Socket

Plus en détail

Le partage de clés cryptographiques : Théorie et Pratique

Le partage de clés cryptographiques : Théorie et Pratique École Normale Supérieure Université Paris 7 Département d Informatique Groupe de Recherche En Complexité et Cryptographie Le partage de clés cryptographiques : Théorie et Pratique THÈSE présentée et soutenue

Plus en détail

Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI)

Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI) Sécurité informatique, cryptographie, certificats et signature électronique (DESS NTSI) Florent Guilleux, octobre 2004 florent.guilleux@cru.fr www.cru.fr Ce cours dans votre formation découvrir la problématique

Plus en détail

Sécurité de protocoles cryptographiques fondés sur les codes correcteurs d erreurs

Sécurité de protocoles cryptographiques fondés sur les codes correcteurs d erreurs UNIVERSITÉ de CAEN/BASSE-NORMANDIE U.F.R. : Sciences ÉCOLE DOCTORALE : SIMEM THÈSE présentée par Léonard Dallot et soutenue le 15 juillet 2010 en vue de l obtention du DOCTORAT de l UNIVERSITÉ de CAEN

Plus en détail

Introduction à l Algorithmique

Introduction à l Algorithmique Introduction à l Algorithmique N. Jacon 1 Définition et exemples Un algorithme est une procédure de calcul qui prend en entier une valeur ou un ensemble de valeurs et qui donne en sortie une valeur ou

Plus en détail

Mathématiques assistées par ordinateur

Mathématiques assistées par ordinateur Mathématiques assistées par ordinateur Chapitre 4 : Racines des polynômes réels et complexes Michael Eisermann Mat249, DLST L2S4, Année 2008-2009 www-fourier.ujf-grenoble.fr/ eiserm/cours # mao Document

Plus en détail

Modes opératoires pour le chiffrement symétrique

Modes opératoires pour le chiffrement symétrique Modes opératoires pour le chiffrement symétrique Charles Bouillaguet 5 février 2015 1 Notion(s) de sécurité On a vu qu un mécanisme de chiffrement symétrique E est contistué de deux algorithmes : E : {0,

Plus en détail

Audit des risques informatiques

Audit des risques informatiques Audit des risques informatiques Introduction à la Cryptographie Pierre-François Bonnefoi Université de Limoges Laboratoire XLIM # 1 # La cryptographie : Introduction et définitions Introduction Depuis

Plus en détail