INTEGRITE. «Parités» usuelles pour la simple détection d erreur

Transcription

1 INTEGRITE 43 «Parités» usuelles pour la simple détection derreur e 1972 à 2007: Code ISBN sur les livres sur 10 chiffres a 10 a 9 a 8 a 7 a 6 a 5 a 4 a 3 a 2 a 1 a 1 = chiffre de contrôle appartient à {0, 1, 2,, 9, X} avec X=10 et tel que : 10.a a a a a a a a a a 1.= 0 mod 11 epuis 2007: Code ISBN sur les livres=ean-13: c 12 c 11 c 10 c 9 c 8 c 7 c 6 c 5 c 4 c 3 c 2 c 1 c 0 Avec pour les livres: c 12 c 11 c 10 =978 Ex: c 0 =10-[ x( ) mod 10]=10-3 = 7 44

2 Codes bidimensionnels correcteurs Code PF417: 1108 octets, grâce à un code correcteur de Reed-Solomon Codes R : 2953 octets, code correcteur de Reed-Solomon (jusqu à 30% redondance) V2 : 25x25 de 20 à 47 caractères V40 : 177x octets= 4296 caractères 45 Plan du cours Semaine dernière: introduction: Fonction de hash cryptographique, cryptographie symétrique et asymétrique Aujourd hui: Intégrité Exemples introductifs : Codes de parité Codes détecteurs derreur: Circuits LFSR et polynômes Codes CRC Codes MAC Correction des effacements. 46

3 Exemple: contrôle de parité dans TCP 7 Application (HTTP,FTP, NS) TCP Packet Format Transport (TCP, UP) Network (IP) ata Link (Ethernet, b) Physical TCP Checksum :bits de contrôle, calculés par l émetteur à partir de l en-tête et des données, et vérifiés lors de la réception. Exemple: Ethernet CRC Linear Feedback Shift Registers (LFSRs) (registres à décalage à rétroaction linaire ) LFSR : circuit élémentaire à base de registres à décalage et quelques xor. Exemple 4-bit LFSR : CLK Avantages: Hardware très simple => opération rapide Rapide (débit élevé) : en général, nombre faible de xors ( 2!) Applications: chiffrement (pas seuls! avec des NLFSRs, des Sbox etc ) générateurs pseudo-aléatoires (non cryptographique), compteurs, arithmétique corps fini détection et correction d erreurs 48

4 4-bit LFSR binaire CLK 4 Etat = valeur des registres [4,3,2,1] Etat à t+1 = Left-shift circulaire état à t suivi de xor avec bit le plus à gauche Exemple: 4(t+1) = 3(t) 3(t+1) = 2(t) 2(t+1) = 1(t) + 4(t) 1(t+1) = 4(t) 3 En général, avec n bascules, cycle sur 2 n -1 valeurs différentes non nulles : Exemple: 15 valeurs (NB 0000 est absorbant) générateur pseudo-aléatoire avec une longue période xor xor xor xor xor xor xor Généralisation: LFSR (dans un corps) g 0 g 1 g r-1 R 0 R 1 R r-1 Valeurs des registres du LFSR : à t : [R r-1, R r-2, R 0 ] à t+1 : [R r-1, R r-2, R 0 ] avec R i = R i-1 + g i.r r-1 Polynôme générateur: g(x) = X r g r-1 X r g 0 X 0. polynôme à coefficients dans GF 2 = Z/2Z = ( {0,1}, + mod 2, * mod 2, 0, 1) Notation: K[X] = { polynômes en X à coefficients dans le corps K Ici polynôme dans GF 2 [X] Généralisation à K[X] pour tout corps fini K (avec p m éléments, p premier) Exemples LFSR: sur GF(256)=corps des octets; GF(2 16 )= mots de 16 bits; etc 50

5 4 bit LFSR binaire Exercice 1: quel est le polynôme de rétroaction? CLK 51 4 bit LFSR binaire Exercice 2: quel est le polynôme de rétroaction? CLK Indication: ne pas oublier l entrée initiale 52

6 4 bit LFSR binaire Exercice 2: quel est le polynôme de rétroaction? CLK Indication: ne pas oublier l entrée initiale 53 Généralisation: LFSR avec opérations dans K. Lien avec polynôme dans K[X] g 0 g 1 g r-1 v in R 0 R 1 R r-1 Valeurs des registres du LFSR : à t : [R 0, R 1, R r-1 ] à t+1 : [R 0, R 1, R r-1 ] avec R i = R i-1 + g i.r r-1 Polynôme caractéristique : g(x) = X r g r-1 X r g 0 X 0. Valeurs des registres du LFSR, vues comme un polynôme : à t : [R 0, R 1, R r-1 ] : P t (X) = R r-1.x r-1 + R r-2.x r R 0.X 0 à t+1: [R 0, R 1, R r-1 ] : P t+1 (X) = R r-1.x r-1 + R r-2.x r R 0.X 0 = (R r-2 + g r-1.r r-1 )X r (R i-1 + g i.r r-1 )X i + +(v in + g 0.R n-1 )X 0 = X.P t (X) - R r-1.g(x) + v in.x 0 = [ X.P t (X) mod g(x) ] + v in.x 0 Si K=corps : Reste division euclidienne polynômiale par g(x) dans K[X] 54

7 Construction LFSR en configuration Galois à partir d un polynôme primitif Pour un LFSR à k-bit, numéroter les registres-bascules avec 1 à droite. Le feedback vient du registre le plus à gauche (k). Choisir un polynôme primitif de la forme x k Chaque monôme de la forme 1.x i correspond à un xor entre i et i+1. Exemple 4-bit: utiliser x 4 + x + 1 x 4 sortie de 4 x xor entre 1 et entrée de 1 CLK Pour un LFSR 8-bit, utiliser le polynôme primitif x 8 + x 4 + x 3 + x et mettre des xors entre 2 et 3, 3 et 4, 4 et CLK 55 Berlekamp-Massey Séquence de bits de clefs b 0, b 1, b 2, b 3, Trouver les c i tels que c 0 b t = c 1 b t-1 + +c d b t-d Polynôme annulateur LSFR c d X d + + c 1 X 1 + c 0 Algorithme : Mise à jour de polynômes annulateurs 1. P(X) = 1 b 1 /b 0 X! 1 * b 1 = b 1 /b 0 * b 0 2. éfaut : P(X) sur b 0, b 1 et b 2! δ 2 = b 2 b 1 /b 0 b 1 3. Augmenter P(X) pour annuler b 0, b 1 et b 2 4. (X) = (1 b 1 /b 0 X) - δ 2 /b 0 X 2 5. éfaut : P(X) sur b 3! δ 3 = [b 1,b 2,b 3 ] 6. P(X) = (X) - δ 3 /δ 2 P(X) X 7. Etc. Complexité O(d 2 ) seulement!

8 Plan du cours Semaine dernière: introduction: Fonction de hash cryptographique, cryptographie symétrique (et asymétrique) Aujourd hui: Intégrité Exemples introductifs : Codes de parité, détection, correction Concepts de base de la correction: longueur et distance. Codes détecteurs derreur: Circuits LFSR et polynômes Codes CRC Codes MAC Généralisation : Code linéaire éfinition. Exemple : parité, codes de Hamming Codes cycliques et Reed-Solomon Autres codes et applications 57 Exemple: contrôle de parité dans TCP 7 Application (HTTP,FTP, NS) TCP Packet Format Transport (TCP, UP) Network (IP) ata Link (Ethernet, b) Physical TCP Checksum :bits de contrôle, calculés par l émetteur à partir de l en-tête et des données, et vérifiés lors de la réception. Exemple: Ethernet CRC-32 58

9 Codes réseaux informatiques : codes CRC (1) CRC : cyclic redundancy check avec r bits de redondance Polynome générateur g(x) = x r + Σ i=0..r-1 g i.x i de degré r sur F 2 Mots de code : les multiples de g(x) Source: m=k bits " m(x) polynome de degré k-1 Exemple: m=01101 m(x) = x+x 2 +x 4 Codage: c = m.x r - (m.x r mod g) = m.x r + (m.x r mod g) On a c multiple de g Redondance r bits (g r = 1) -m.x r mod g m r bits m= Bloc message source (k bits) écodage : détection derreurs Réception de y et vérification que y(x) mod g(x) = 0! 59 Codeur et décodeur CRC par LFSR Codeur CRC m k-1 m 1 m 0 f 0 f 1 f r-1 R 0 R 1 R r-1 écodeur CRC f 0 f 1 f r-1 m k-1 m 1 m 0 R 0 R 1 R r-1 A 0 A 1 A r-1 erreur détectée bits source 60

10 Exemple: Ethernet CRC-32 CRC-32: G(x) = x 32 + x 26 + x 23 + x 22 + x 16 + x 12 + x 11 + x 10 + x 8 + x 7 + x 5 + x 4 + x 2 + x + 1 Utilisé dans ethernet Initialisation des registres du LFSR à 1 (Il y a 32 bits à 1 ajouté en tête de message) Exercice: Expliciter le circuit (ou l algorithme) de codage et de décodage 61 Exemples de CRC standards Exercice: construire le circuit de codage et décodage pour CRC-16 X25-CCITT 62

11 Construction de codes CRC : propriétés pour le choix du polynôme. Propriétés: un code CRC binaire détecte : si g 0 = 1, détecte les erreurs de poids 1 si g(x) a un facteur avec au moins 3 termes: détecte les erreurs de poids 2. si g a (x+1) comme facteur: détecte un nombre impair derreurs Si g(x)=p(x).q(x) avec p polynome primitif de degré d étecte toute erreur sur 2 bits distants dau plus 2 d -1 bits consécutifs Souvent, on choisit g(x)=(x+1).p(x) avec p primitif : détecte tout paquet de taille inférieure à deg(g) 1, 2 ou 3 erreurs isolées (si n < 2 r pour détecter 2 erreurs) uestion: quelles propriétés sont vraies si V = GF(q)? 63 Exercice CRC-16: G(x) = x 16 + x 12 + x = (X+1)(X 15 + ) onner le circuit de codage et décodage Caractériser des erreurs détectées. 64

12 CRC et applications étection d erreurs aléatoires, pas de correction (=> AR) Très peu coûteux et très efficace; Très utilisé dans les communications numériques Mais non résistant aux erreurs malicieuses 65 Code MAC Message Authentication Code 66

13 Intégrité des messages Codes MAC MAC (Message Authentication Code) Fonction à sens unique paramétrée avec une clef secrète f K (m) m r bits m= Bloc message source (k bits) Redondance : r bits = f k (M) Seul le possesseur de la clef k peut vérifier l empreinte : 1. Alice et Bob possèdent une clef k 2. Alice envoie M et r 3. Bob vérifie que le r reçu est bien égal à f k (M) pour le M reçu # Intégrité : Tous les possesseurs de k peuvent vérifier que M n a pas été modifié puisqu il correspond à r + Authentification si la clef n est distribuée qu à deux personnes MAC avec fonction de chiffrement symétrique On utilise un mode de chaînage séquentiel (CBC, OFB ) mais seul le dernier bloc chiffré est le résumé Exemple: CBC MAC(k, E) avec fonction de chiffrement E=f K =AES k Attention: pas sûr pour des messages de taille non fixe. Pourquoi? (exercice) Contre-mesures: Length-Prepending - 1 er bloc = taille du message (+padding ) : pourquoi? Encrypt-Last-Block : CBC-MAC-ELB(k,k,m) = Ek ( CBC-MAC(k, M) ) 68

14 Performances CBC-MAC uasi aussi rapide qu AES AES : 275 Mbits/seconde sur un PIII 500 MHz CBC-MAC-AES : 234 Mbits/seconde Fonction de hachage cryptographique éf: Une fonction h: {0,1} + {0,1} r qui, à tout message M, associe un résumé sur r bits (k fixé, par exemple k=512) et telle qu il est calculatoirement impossible (bien que mathématiquement possible): étant donné x de r bits, de trouver M tel que h(m) = x [résistance à la préimage] ; étant donné M, de trouver M M tel que h(m)=h(m ) [résistance à la 2ème préimage]; trouver M M tel que h(m)=h(m ) [résistance aux collisions]. Application: h(m) est une empreinte numérique sur r bits du message M. Il est calculatoirement impossible d avoir 2 messages différents de même hash => permet de vérifier l intégrité d un message. Exemples: M5 (128 bits, attention: non résistante aux collisions), RIPEM, Whirlpool Standard: SHA = Secure Hash Algorithm 1993: SHA-0, SHA-1 : 160 bits (mais collisions) 2000: SHA-256 et SHA-512 (SHA-2, variante de SHA-1): résumés sur 256 et 512 bits 2012: SHA-3 70

15 Code MAC avec fonction de Hachage cryptographique Attention: NE PAS UTILISER EN GENERAL f K (Message) = H(K Message) car souvent (Merkle amgard) H K (Message) = H(Message) avec IV = K # On peut ajouter ce que l on veut à la fin du message en itérant H! H(Message K) car souvent (Merkle amgard) si H(x) = H(y) alors H(x K) = H(y K) # Collision sur H donne un MAC valide! Plutôt Enveloppe : H(K 1 Message K 2 ) NMAC : H K1 ( H K2 ( Message ) ) Hybride : H K1 (Message K 2 ) Ou encore HMAC HMAC HMAC k (M) = H( (K XOR pad 1 ) H( (K XOR pad 2 M ) ) Exemple: M5-MAC 5 à 20% plut lent que M5 seul

16 Fonction de hachage cryptographique: le couteau suisse de la cryptographie Nombreuses applications: signatures numériques (avec des algorithmes à clef publique) Générateur de nombres pseudo-aléatoires Mise à jour et dérivation de clef (symétrique) Fonction à sens unique (asymétrique) MAC Message authentication codes (avec une clef secrète) Intégrité Reconnaissance de programmes ou codes binaire (lists of the hashes of known good programs or malware) Authentication d utilisateurs (with a secret key) Non-répudiation (suivi de versions, commit ) => Intégité par signature numérique 73 Intégrité par chiffrement asymétrique Exemple: Signature ElGamal ans G = Z p * avec p premier (groupe cyclique d'ordre p-1 de générateur g) Alice signe le message m Clef secrète et publique d'alice: A = g a mod p, clef publique = (p, g, A) clef secrète=a (avec 1<a<p-1) Signature: Alice choisit un entier k secret tel que pgcd(k, p-1) = 1 r = g k s = ( Hash(m) a.r). k -1 ) mod p-1 (si s=0, recommencer!) Signature = (r, s); et donc message signé = (m, r, s) Vérification que (m,r,s) a bien été signé par Alice : g Hash(m) =? A r. r s mod p- 1 Exercice: prouver que la vérification est correcte Exercice: comment usurper la signature d'alice? 74

17 ON A VU AUJOUR HUI étection d erreurs par contrôle de parité En binaire = CRC : associé à un polynôme avec de bonne propriétés Implantation: élémentaire et super efficace!!! LFSR, quelques «taps» et des «xor» => mais ne résiste pas aux aerreurs malicieuses MAC = Message authentification code Résumé chiffré du message par chiffrement symétrique : exemple CBC-MAC-AES par chiffrement asymétrique : Signature du hash du message avec la clef privée Vérification avec la clef publique 75 Plan du cours Semaine dernière: introduction: Fonction de hash cryptographique, cryptographie symétrique et asymétrique Aujourd hui: Intégrité Exemples introductifs : Codes de parité Codes détecteurs derreur: Circuits LFSR et polynômes Codes CRC Codes MAC Suite: Correction des effacements. wifi multicast 76