Cryptographie appliquée

Transcription

1 Cryptographie appliquée par Pierre-Alain FOUQUE Ingénieur télécoms, docteur en cryptographie Chercheur au Laboratoire de cryptographie de la direction centrale de la Sécurité des systèmes d information (DCSSI) 1. Contexte... H Évolution vers une science Objectifs de sécurité Cryptographie moderne Cryptographie symétrique Généralités sur le chiffrement Types d attaques d un système de chiffrement Premiers systèmes de chiffrement Primitives Algorithmes de chiffrement par bloc Algorithmes de chiffrement par flot Fonction de hachage Mécanismes cryptographiques Modes opératoires de chiffrement Code d authentification de messages Authentification de personne Génération d aléas Cryptographie asymétrique Rappels de mathématiques et d algorithmique Calcul modulaire Exponentiation modulaire Système de chiffrement asymétrique Types d attaque sur les schémas de chiffrement Cryptosystème RSA Mécanisme d échange de clé et chiffrement hybride Échange de clé Diffie-Hellman Chiffrement hybride Signature Généralités sur les schémas de signature Types d attaques Schémas de signature RSA, DSA et ECDSA Applications des signatures à l authentification d entité Applications de la cryptographie : protocoles de communication Avantages et inconvénients des méthodes symétriques et asymétriques Avantages de la cryptographie symétrique Inconvénients de la cryptographie symétrique Avantages de la cryptographie asymétrique Inconvénients de la cryptographie asymétrique SSL/TLS IPsec S/MIME Conclusion Bibliographie Techniques de l Ingénieur, traité Sécurité des systèmes d information H

2 CRYPTOGRAPHIE APPLIQUÉE A ujourd hui, les cryptographes ont défini des objectifs et des notions de sécurité répondant aux besoins des utilisateurs en matière de sécurité comme la confidentialité, l intégrité et l authentification. La cryptographie est devenue une discipline scientifique à part entière qui utilise des concepts mathématiques et informatiques pour prouver la sécurité des schémas. Cependant, de nouvelles attaques viennent périodiquement ébranler la confiance des utilisateurs. Récemment deux attaques sur la norme de communications sécurisées utilisée sur Internet, Secure Socket Layer (SSL), ont été largement annoncées dans la presse et sur Internet. Ces attaques ne remettent pas en cause les preuves de sécurité des systèmes mais montrent que la modélisation des adversaires n est pas idéale. En effet, pour traiter un problème de manière théorique, les scientifiques ont besoin de modéliser la réalité. En cryptographie, il est nécessaire de représenter les buts de l adversaire et ses moyens, c est-à-dire ce qu il cherche à faire et la manière dont il interagit avec le système. C est ici que la cryptographie montre ses limites face à la réalité : il est difficile d étudier de manière exhaustive tous les adversaires possibles. Après avoir rappelé les principes de conception des schémas cryptographiques de chiffrement et de signature électronique, nous décrirons quelques limites des systèmes actuels montrant ainsi la difficulté à concevoir des systèmes sûrs. Cette difficulté est aujourd hui liée à l implémentation des schémas cryptographiques dans des systèmes informatiques tels que des cartes à puce, des cartes accélératrices, etc. Enfin, nous donnerons des exemples de standards de communications sécurisées. (0) Glossaire Attaque : opération qui tente de violer les objectifs de sécurité d un cryptosystème. Authentification : preuve d identité ou preuve de l origine des données. Ce terme regroupe l identification, les signatures et les MAC. Cassage (total) : calcul de la clé secrète d un utilisateur. Chiffrement : transformation appliquée à un message pour assurer sa confidentialité. Il peut être déterministe ou probabiliste. Clé : valeur qui paramètre un cryptosystème. Si elle est confidentielle, on parle alors de clé secrète ou privée, sinon on parle de clé publique. Confidentialité : assurance que seules les personnes autorisées ont accès à l information. Pour cela, on utilise des systèmes de chiffrement. Contrefaçon : fabrication d un objet sans en avoir le pouvoir légitime (connaissance de la clé secrète). Contrefaire une signature ou un MAC. Cryptanalyse : étude des procédés de décryptage, ou plus généralement de la sécurité des cryptosystèmes. Cryptographie : étude des procédés permettant d assurer la confidentialité, l intégrité et l authentification. Cryptosystème (mécanisme cryptographique) : système de chiffrement et plus généralement tout schéma de signature, de MAC ou de générateur pseudo-aléatoire. Déchiffrement : transformation inverse du chiffrement qui consiste à retrouver, à l aide d une clé secrète, l information initiale contenue dans le message chiffré. Décryptage : action de «casser» le chiffrement, et donc de retrouver le texte clair d un chiffré, sans connaître la clé secrète. Fonction à sens unique : fonction simple à calculer mais difficile à inverser. Fonction à sens unique à trappe : fonction à sens unique pour laquelle une information supplémentaire, appelée «trappe», facilite l inversion. Fonction de hachage : transformation déterministe d une chaîne de bits de taille variable en une chaîne de bits de taille fixe, telle que toute modification de la valeur d entrée modifie la valeur de sortie. Générateur pseudo-aléatoire : transformation déterministe permettant de produire une chaîne de bits apparaissant aléatoire à partir d une entrée de petite taille. Identification : preuve d identité lors d un contrôle d accès. Intégrité : assurance qu un message n a pas subi de modifications volontaires ou non. MAC : donnée de taille fixe jointe à un message qui prouve l identité de l émetteur et qui garantit l intégrité du message. Contrairement aux signatures, seules les personnes possédant la clé secrète peuvent vérifier un MAC. Objectifs de sécurité : les services assurés par les systèmes cryptographiques sont la confidentialité, l intégrité et l authentification. Primitive : opération mathématique de base à partir de laquelle des cryptosystèmes pourront être construits. Par exemple, la primitive de chiffrement RSA consiste à calculer c = me mod N où pk = (e, N ) est la clé publique. Protocole : ensemble de messages échangés entre plusieurs entités. Système (ou schéma) : ensemble d opérations reliées combinant une ou plusieurs primitives entre elles avec d autres techniques afin d augmenter la sécurité et éventuellement traiter des messages de taille variable. Le système de chiffrement RSA consiste à rajouter un padding puis à utiliser la primitive de chiffrement RSA. Il est d usage de parler de schéma de signature et de système de chiffrement. Signature : donnée de taille fixe jointe à un message et qui prouve l identité de l émetteur, garantit l intégrité du message et assure la non-répudiation. Tout le monde ayant accès à la clé publique peut vérifier la signature. H Techniques de l Ingénieur, traité Sécurité des systèmes d information

3 CRYPTOGRAPHIE APPLIQUÉE 1. Contexte La cryptographie a pour but de garantir la protection des communications transmises sur un canal public contre différents types d adversaires. La protection des informations se définit en termes de confidentialité, d intégrité et d authentification. La confidentialité garantit que les données transmises ne sont pas dévoilées à une tierce personne. L intégrité assure que ces données n ont pas été modifiées entre l émission et la réception. Enfin, l authentification de message assure qu elles proviennent bien de la bonne entité et l authentification de personne, aussi appelée identification, garantit qu une entité qui cherche à s identifier vis-à-vis d un système informatique est bien celle qu elle prétend être. On distingue traditionnellement les systèmes symétriques et asymétriques. En cryptographie conventionnelle, aussi appelée cryptographie symétrique (ou à clé secrète), les correspondants partagent la même clé pour chiffrer et déchiffrer. L histoire de la cryptographie symétrique est très ancienne, mais les connaissances académiques dans ce domaine sont assez récentes et remontent à l invention du système de chiffrement par bloc appelé Data Encryption Standard (DES) au début des années En 1976, Diffie et Hellman ont révolutionné la cryptographie en inventant des systèmes asymétriques dans lesquels émetteur et récepteur ne partagent plus de clé commune : une clé, rendue publique, permet de chiffrer un message, la seconde est gardée secrète et permet au destinataire de déchiffrer [1]. Cette découverte a modifié la cryptographie car jusqu alors, pour envoyer un message chiffré, les correspondants devaient s échanger au préalable une information secrète : la clé. En inventant la cryptographie asymétrique, Diffie et Hellman ont conçu un système où les correspondants peuvent s échanger une information secrète sans se rencontrer. Exemple : cela permet aujourd hui d échanger un code de carte bleue avec un site marchand sans avoir besoin de rencontrer auparavant le responsable du site. Dans leur article [1], ils montrent aussi comment la cryptographie à clé publique permet de résoudre le problème des signatures électroniques, sans toutefois proposer un tel système. Cependant, ils décrivent les propriétés des fonctions permettant la création de tels schémas. Trois chercheurs du MIT (Massachusetts Institute of Technology) ont alors tenté de prouver que de telles fonctions n existent pas jusqu au jour où en 1977, ils en ont trouvé une. Cette fonction est aujourd hui appelée RSA des noms des chercheurs Rivest, Shamir et Adleman. Aujourd hui, la cryptographie à clé publique a permis de résoudre de nombreux problèmes pratiques mais elle reste beaucoup moins utilisée que la cryptographie à clé secrète. En effet, elle demande la mise en place d infrastructures à clé publique (Public-Key Infrastructure : PKI). De plus, les systèmes symétriques offrent de bien meilleures performances et ne requièrent pas l utilisation d une infrastructure spécifique. Comme nous allons le voir dans la suite, l association des deux types de cryptographie permet de concevoir des systèmes sûrs, efficaces et pratiques. Mais la cryptographie moderne a aussi permis de résoudre des problèmes complètement nouveaux. Par exemple, elle a développé des techniques permettant de convaincre quelqu un que l on connaît un secret sans révéler la moindre information sur ce secret. Ces méthodes, appelées à divulgation nulle de connaissance (zero-knowledge ) [2], ont permis la création de systèmes d identification [3] [4] et se sont aussi avérées très utiles pour prouver la sécurité de protocoles cryptographiques. 1.1 Évolution vers une science L histoire de la cryptographie a été pendant longtemps l histoire des codes secrets et depuis l Antiquité, ils ont décidé du sort des hommes et des nations. En effet, jusqu aux années 1970, l unique objectif de la cryptographie était de construire des systèmes de chiffrement. Les cryptosystèmes sauvèrent les Grecs des Perses, accompagnèrent César dans ses conquêtes, firent arrêter et décapiter Marie Stuart, décidèrent Wilson à rejoindre les Alliés et permirent d épargner des milliers de vies pendant la Seconde Guerre mondiale [5] [6] [7]. L invention de la radio a donné un nouvel élan à la cryptographie, car il est devenu encore plus facile d intercepter une communication longue distance. La Seconde Guerre mondiale a été profondément affectée par l utilisation de la cryptographie et le cassage des systèmes cryptographiques utilisés pour les communications radio. Il est intéressant de voir que les premières machines calculatoires conçues et construites par les Britanniques pour casser le système de chiffrement allemand, Enigma, sont les premiers exemples réels d «ordinateurs», si bien que l on peut dire que la cryptographie est à l origine de l informatique. La révolution d Internet et l utilisation de plus en plus massive d informations sous forme numérique facilitent les communications et rendent de ce fait plus fragiles les informations que l on détient. En effet, les réseaux «ouverts» créent des brèches de sécurité car il est plus aisé pour un adversaire d accéder aux informations. De même, le remplacement de l Homme par des machines rend les relations beaucoup plus anonymes alors qu en même temps, l accès aux données demande des moyens d authentification forts. De plus, la dématérialisation des documents change les moyens de preuve juridique : les signatures numériques doivent remplir certaines exigences que nous ne connaissions pas avec les signatures manuscrites. Ainsi, la révolution numérique des communications et de l information a ouvert de nombreux champs d investigation à la cryptographie, différents du seul besoin de confidentialité, de sorte que celle-ci a envahi notre vie quotidienne : carte à puce, transaction bancaire, Internet, téléphone cellulaire, télévision à péage... Dans le même temps, la cryptologie est devenue une science. La cryptologie, la science du secret d après son étymologie grecque, comprend d une part la cryptographie, art de la conception de systèmes sécurisés, et d autre part la cryptanalyse, art du cassage des systèmes. Par abus de langage, nous emploierons souvent le terme cryptographie à la place de cryptologie. Les différentes techniques employées, mélangeant mathématiques classiques du XVIII e siècle et informatique théorique, lui confèrent aujourd hui une place à part parmi les sciences. Depuis les années 1970, on a assisté à une explosion de la recherche en cryptographie. Beaucoup de systèmes ont été proposés, et beaucoup ont été détruits. Notre compréhension de la notion subtile de «sécurité cryptographique» a constamment progressé et, de nos jours, les cryptosystèmes sont prouvés sûrs (sous certaines hypothèses plausibles). Les relations fascinantes entre la cryptographie, la théorie de la complexité et la théorie algorithmique des nombres ont petit à petit enrichi ces trois domaines de recherche. 1.2 Objectifs de sécurité Commençons par voir quels services de sécurité peut garantir la cryptographie et quelles sont ses applications dans la vie «quotidienne». La cryptographie ne permet pas de résoudre tous les problèmes de sécurité informatique. Cependant, elle apporte des garanties et des briques de base sur lesquelles des produits peuvent être construits. Il est bien connu que la sécurité d un système se mesure à son maillon le plus faible. En général, le maillon le plus Techniques de l Ingénieur, traité Sécurité des systèmes d information H

4 CRYPTOGRAPHIE APPLIQUÉE faible d un système informatique n est pas le système cryptographique mais, par exemple, son implémentation informatique. En outre, il existe diverses attaques contre lesquelles la cryptographie n est pas d un grand secours, comme les virus informatiques ou les chevaux de Troie logiciels qui profitent de la confiance exagérée des utilisateurs dans les messages qu ils reçoivent ou dans les logiciels qu ils utilisent (voir l article [H 5 440]). La cryptographie participe à la sécurité informatique en proposant des primitives et des mécanismes permettant d atteindre les objectifs de confidentialité, de protection en intégrité et d authentification. Pour assurer le service de confidentialité, la cryptographie propose des systèmes de chiffrement à clé secrète ou à clé publique. La protection en intégrité et l authentification de l origine des données peuvent être assurées en utilisant des codes d authentification de messages (cryptographie à clé secrète) ou des signatures électroniques (cryptographie à clé publique). Enfin, le service d identification peut être garanti par l utilisation de preuves d identité. 1.3 Cryptographie moderne La cryptographie ne se contente plus aujourd hui de construire des systèmes. On demande bien souvent qu une preuve de sécurité soit apportée, permettant d estimer la sécurité du schéma. Ainsi, pendant de nombreuses années, cryptographes et cryptanalystes se sont combattus et tour à tour les uns prenaient le dessus sur les autres. De nos jours, il est rare qu un nouveau système soit proposé sans preuve. Mais qu est-ce qu une preuve de sécurité? Comment évalue-t-on la force des adversaires? Que cherchent-ils à casser? Et quels sont leurs moyens? Les travaux de Shannon dans les années 1940 sur les communications (théorie de l information) sont précurseurs des futurs travaux théoriques en cryptographie. En particulier, l article intitulé Communication Theory of Secrecy Systems [8] a dégagé et étudié la notion d entropie et a prouvé la sécurité parfaite du schéma de chiffrement de Vernam ( 2.1.2). Shannon a aussi présenté des notions importantes sur la sécurité d un protocole cryptographique en distinguant sécurité inconditionnelle et sécurité calculatoire. Dans le premier cas, on suppose que l adversaire a une ressource de temps infini, alors que dans le second cas, l adversaire est borné dans le temps. Il ne peut effectuer qu un nombre fini d étapes de calcul, d où le nom de sécurité calculatoire. Il est en effet raisonnable de penser que si, pour casser un système, il faut utiliser un million de machines pendant un million d années, alors le système est sûr. En pratique, on suppose que pour casser un système cryptographique, l adversaire a accès à plusieurs ordinateurs. On peut quantifier le nombre d opérations qu il peut faire ainsi que le nombre d informations qu il est capable de stocker. Par exemple, un ordinateur cadencé à 1 GHz effectue un milliard de cycles par seconde, soit environ 2 30 opérations élémentaires en 1 s. Si un million d ordinateurs à 1 GHz fonctionnent pendant cent mille ans, alors ils sont capables d effectuer environ 2 92 opérations. D un point de vue pratique, on dira qu un système est sûr si le nombre d opérations minimales pour le casser nécessite plus de 2 80 opérations. Si on veut se protéger de manière plus sûre, on augmentera le niveau de sécurité à La formalisation de la sécurité d un protocole n a pas été sans difficulté. On verra ( 2.2.1) que plusieurs définitions sont possibles pour définir la confidentialité d un système de chiffrement. Les preuves de sécurité permettent de relier le cassage d un système à un problème réputé difficile. Par conséquent, pour l attaquant, il n existe pas de méthode permettant de casser le système cryptographique sans savoir aussi résoudre le problème conjecturé difficile. Ainsi, il a tout intérêt à tenter de résoudre le problème sous-jacent. D un point de vue théorique, les cryptographes établissent des relations entre différents problèmes de la même manière qu en théorie de la complexité, où des relations entre des problèmes différents sont établies [9] [10]. On dit qu un problème est difficile s il n existe pas d algorithme pour le résoudre en temps polynomial. Nota : la complexité en temps est polynomiale si le nombre d étapes de calcul T qui dépend du paramètre de sécurité k s exprime comme un polynôme en k : il existe une constante c > 0 telle que T (k) < k c pour k suffisamment grand. La complexité des problèmes difficiles (nombre d opérations pour les résoudre) est donc au moins superpolynomiale ou bien même exponentielle : le temps nécessaire pour les résoudre est proportionnel à 2 k si k représente la taille des entrées en bits. Ces problèmes sont difficiles car le temps de calcul est multiplié par 2 chaque fois que la taille des entrées augmente d un bit! En théorie de la complexité, on distingue la classe de complexité appelée, pour polynomiale, qui regroupe l ensemble des problèmes ayant des algorithmes efficaces pour les résoudre et la classe des problèmes pour lesquels aucun algorithme efficace (polynomial) n est connu pour les résoudre. Enfin, si la célèbre conjecture s avérait fausse, toute construction théorique de cryptosystèmes sûrs et efficaces serait vouée à l échec. Il est d usage de distinguer les algorithmes cryptographiques en deux catégories : les primitives et les cryptosystèmes ou mécanismes cryptographiques. Les primitives ( 2.2) sont des briques de base ayant certaines propriétés et qui permettent de concevoir des mécanismes. Les cryptosystèmes sont censés garantir la confidentialité, l intégrité et/ou l authentification. Si l on montre qu il existe une attaque contre ces mécanismes, alors cette attaque doit aussi permettre de montrer que les primitives ne vérifient pas les propriétés qu elles étaient supposées satisfaire. Enfin, il est important de voir que la cryptographie moderne fait son entrée depuis quelques années dans les organismes de standardisation tels que l Organisation internationale de normalisation (ISO), l American National Standards Institute (ANSI), l Internet Engineering Task Force (IETF) et le National Institute of Standards and Technology (NIST). En effet, il existe différents projets internationaux (P1363 [11]), européens (NESSIE [12]) ou japonais (Cryptrec [13]) visant à évaluer la sécurité de certains algorithmes. Jusqu à présent, les normes en matière de sécurité étaient conçues à partir de schémas heuristiquement sûrs, c est-à-dire pour lesquels il n existait pas d attaques connues. Cependant, comme de nombreux standards ont été cassés par la communauté cryptographique, les organismes de standardisation sont demandeurs de tels projets au cours desquels les schémas sont évalués par des spécialistes du domaine. 2. Cryptographie symétrique La cryptographie symétrique est très souvent utilisée bien qu elle souffre de problèmes inhérents au fait qu émetteur et récepteur doivent partager la même clé. Le premier argument en faveur des systèmes symétriques est qu ils sont plus rapides que les systèmes asymétriques car ils utilisent directement les instructions câblées des processeurs du commerce. En effet, la cryptographie à clé publique requiert l utilisation de l arithmétique sur les grands nombres qui n est pas implémentée dans les processeurs des ordinateurs usuels. Dans un premier temps, nous présentons quelques primitives (algorithmes de chiffrement par bloc, par flot et fonctions de hachage) qui permettent de construire les protocoles ou mécanismes garantissant la confidentialité, l intégrité et l authentification de l origine des données (systèmes de chiffrement et codes d authentification de message : MAC). H Techniques de l Ingénieur, traité Sécurité des systèmes d information

5 CRYPTOGRAPHIE APPLIQUÉE 2.1 Généralités sur le chiffrement Un algorithme de chiffrement se compose des éléments suivants : l espace des messages : un ensemble de chaînes de bits (messages clairs) ; l espace des messages chiffrés : un ensemble de chaînes de bits (messages chiffrés) ; l espace des clés K : un ensemble de chaînes de bits (clés) ; un algorithme de chiffrement prenant ses entrées dans K et ses sorties dans ; un algorithme de déchiffrement prennant ses entrées dans K et retournant un élément de. Les algorithmes, et vérifient de plus la relation suivante : pour toute clé k K, pour tout message Types d attaques d un système de chiffrement Il existe plusieurs objectifs pour un adversaire [14] [15]. Si l adversaire trouve la clé de déchiffrement, on dit alors que le système est complètement cassé. S il est capable de déchiffrer tous les messages, on dit que le système est cassé. Un objectif moins fort est de déchiffrer un chiffré cible c* donné. Enfin, dans certaines applications, on souhaite qu aucun bit du clair ne puisse être appris à la vue du chiffré. On parle alors de sécurité sémantique [16]. On formalise cet objectif sous la forme du jeu suivant : dans une première phase, l adversaire choisit deux messages différents M 0 et M 1 de même taille et les envoie à un oracle de chiffrement. Ce dernier choisit aléatoirement un bit b. Si b = 0, il chiffre le message M 0 et si b = 1, il chiffre M 1. Le chiffré c* correspondant est renvoyé à l adversaire. Le but de l adversaire est de deviner correctement quel message a été chiffré dans c*. Il est clair qu avec une probabilité de 1/2, l adversaire devine le bit b. On définit son avantage de gagner ce jeu comme étant la différence entre la probabilité qu il devine correctement le bit b et 1/2, et on dit que l adversaire gagne le jeu de la sécurité sémantique si son avantage est non négligeable, c est-à-dire qu il existe une constante c > 0 telle que l avantage de l adversaire soit supérieur à 1/k c où k représente le paramètre de sécurité, soit la taille en bits de la clé k. La probabilité est prise sur l espace composé du bit b, de la chaîne d aléa de l adversaire et de la chaîne aléatoire de l oracle de chiffrement si le chiffrement est randomisé. Pour atteindre ces objectifs, l adversaire a accès à certains moyens : dans une attaque à chiffrés seuls, l adversaire intercepte des messages chiffrés mais ne connaît pas le clair correspondant ; dans une attaque à clairs connus (known plaintext attack ), l adversaire connaît des paires clairs/chiffrés pour des messages clairs non choisis ; dans une attaque à clairs choisis (chosen plaintext attack ), l adversaire a accès à une machine de chiffrement et peut obtenir le chiffré de n importe quel message clair ; enfin, dans une attaque à chiffrés choisis (chosen ciphertext attack ), l adversaire a accès à une machine de déchiffrement. Il peut obtenir le clair de tout chiffré sauf celui de c* Premiers systèmes de chiffrement Une pratique saine en cryptographie est que la description des algorithmes de chiffrement et de déchiffrement soit publique et que seule une donnée de petite taille, appelée la clé, soit détenue de manière secrète. Ces principes de base constituent les «principes de Kerckhoffs» du nom du militaire français qui les énonça en 1883 [17]. En effet, la sécurité d un mécanisme cryptographique ne peut être assurée par son secret. La description peut toujours être plus ou moins rapidement obtenue par les attaquants. Par conséquent, afin de raisonner correctement et de concevoir des systèmes sûrs, autant supposer que les algorithmes sont publics. Cela permet une analyse sérieuse de l algorithme par toute la communauté des cryptologues. Le but du chiffrement est de garantir la confidentialité des communications. Les premiers algorithmes de chiffrement étaient basés sur les principes de substitution et de permutation. Le chiffrement de César est un exemple de chiffrement par substitution, où l on chiffre une lettre du clair par une lettre située deux positions (modulo 26) plus loin dans l alphabet. Ainsi, la lettre «a» est remplacée lors du chiffrement par la lettre «c», la lettre «b» par la lettre «d»,..., la lettre «x» par la lettre «z», la lettre «y» par la lettre «a» et la lettre «z» par la lettre «b». L inconvénient de ce système est que les propriétés statistiques du langage du message clair ne sont pas modifiées. Par exemple, la lettre la plus courante en anglais est le «e». Ainsi en observant la lettre la plus fréquente dans le message chiffré, on en déduira que cette lettre correspond au chiffrement de la lettre «e», si le message clair est en anglais. Afin d éliminer ces propriétés statistiques, les cryptographes ont construit des systèmes de substitution polyalphabétique : une même lettre en clair peut être chiffrée de différentes manières. On peut citer ici le chiffrement de Vigenère, cassé par Babbage et Kasiski [6] [18]. Dans le système de Vigenère, la clé est un mot de passe, CRYPTO par exemple. Pour chiffrer la première lettre du message DEMAIN ATTAQUE, on utilise la première lettre du mot de passe, C, qui indique de combien de positions on doit décaler la lettre D. Il peut être utile de représenter les lettres par des nombres et de les additionner modulo 26. La lettre A sera représentée par 0 et la lettre Z par 25. Les espaces sont éliminés. Ainsi, D (3) sera chiffrée par la lettre C (2) pour obtenir la lettre F (5). Pour chiffrer la deuxième lettre du clair E, on utilise la deuxième lettre du mot de passe, R, et le chiffrement est V. On continue jusqu à la fin du mot de passe, puis on recommence au début. Ainsi, le chiffré complet est FVKPBBCKRPKIG. Il est facile de voir que les lettres A et E sont chiffrées de deux façons différentes. En cryptanalyse, on appelle recherche exhaustive ou attaque par force brute, une attaque qui consiste à tester toutes les clés de déchiffrement pour retrouver le clair. Cependant, pour casser le système de Vigenère, la recherche exhaustive sur la clé peut prendre un temps très grand selon sa longueur. En effet, pour toute longueur t du mot de passe, il existe (26) t mots de passe différents. Si l on teste tous les mots de passe ayant 20 lettres, il faut effectuer 2 92 tests, ce qui est totalement hors de portée. La cryptanalyse de ce système a donc requis l utilisation de techniques plus fines que la force brute. Elle est basée sur l observation que si la même lettre apparaît décalée d un multiple de la longueur du mot de passe, alors elle sera chiffrée de la même façon. Cela permet de déduire la longueur de la clé. Des statistiques sur les lettres montrent que certains digrammes ou trigrammes (combinaison de 2 ou 3 lettres consécutives) sont plus fréquentes que d autres. Par exemple, le trigramme «the» en anglais apparaît très fréquemment alors que la probabilité d apparition du trigramme «xyz» est quasi nulle. Toutes ces observations ont permis d attaquer efficacement le chiffrement de Vigenère. Pour diffuser certaines propriétés statistiques du langage clair (comme la fréquence de digrammes ou de trigrammes) sur tout le message chiffré, l idée est d échanger la position des lettres entre le clair et le chiffré : c est le principe du chiffrement par permutation. Pendant longtemps, les systèmes de chiffrement étaient basés sur une succession de substitutions et de permutations. Encore au début du XX e siècle, les machines électriques à rotors, comme Hagelin ou Enigma, étaient basées sur ces opérations. En 1926, l américain Vernam [19] proposa un système de chiffrement basé sur le même principe que le chiffrement de Vigenère mais où cette fois la clé est aussi longue que le message. Par conséquent, une même lettre peut être chiffrée en autant de lettres possibles qu il y a de lettres dans l alphabet. Il est d usage pour présenter ce système d utiliser l alphabet binaire composé de 0 et Techniques de l Ingénieur, traité Sécurité des systèmes d information H

6 CRYPTOGRAPHIE APPLIQUÉE de 1 : selon un codage approprié de l alphabet, on peut représenter n importe quelle lettre par une suite de quelques bits. C est le principe du codage ASCII par exemple. Pour générer une clé de chiffrement, on génère une suite aléatoire de 0 et de 1. Le chiffré du message m sous la clé k est c = m k où désigne le XOR des deux chaînes binaires m et k (encadré 1). Pour déchiffrer ce message, il convient de calculer c k = (m k ) k = m (k k ) = m 0 n = m, où n représente la taille du message m et 0 n désigne la chaîne de bits composée de n bits à zéro. En 1940, Shannon prouva que ce système était sûr contre n importe quel adversaire ayant une puissance de calcul infinie sous réserve que la clé soit aussi longue que le message et qu elle ne soit utilisée qu une seule fois. Ainsi, dans ce système, aussi appelé One-Time Pad, la recherche exhaustive sur les clés est impossible. En effet, à chaque chiffré correspondent tous les clairs possibles : pour tout message clair m, on peut trouver une clé k telle que c soit le chiffré de m : c = m k. Cela a permis aux espions russes durant la Guerre froide de ne pas être arrêtés mais uniquement soupçonnés. En effet, comme ils déchiraient de leur carnet la clé de chiffrement, n importe quel message clair était possible. L inconvénient principal de ce système est l échange et la gestion des clés : si l on désire chiffrer un message d un gigabit, il faut auparavant échanger un gigabit de clé et cette clé échangée ne servira qu une seule fois! Cependant, Shannon démontra aussi que l on peut construire des systèmes de chiffrement sûrs en utilisant les propriétés de confusion et de diffusion où une même clé de chiffrement, de petite taille, peut être utilisée pour chiffrer plusieurs messages. La propriété de confusion cherche à rendre complexes les relations entre le chiffré et la clé et entre le chiffré et le clair. En effet, comme le chiffré peut être intercepté, il doit être impossible d exploiter des relations avec la clé ou avec le clair. La propriété de diffusion dissipe les propriétés statistiques du clair en les répartissant dans le chiffré et diffuse sur tout le chiffré l influence du changement d un bit de clé ou de clair. Cependant, les systèmes basés sur ces propriétés ne seront plus «inconditionnellement sûrs» comme le système de Vernam, mais uniquement «calculatoirement sûrs». On montre dans la suite ( et 2.2.2) comment construire de tels systèmes, sûrs «en pratique». 2.2 Primitives Encadré 1 Le XOR L opération binaire appelée XOR ou OU exclusif, notée, est équivalente au calcul modulo 2. Cette opération est associative et commutative. La table de vérité est la suivante : 0 0 = 0 ; 0 1 = 1 ; 1 0 = 1 et 1 1 = 0. On étendra cette notation aux chaînes de bits en considérant que les opérations de XOR se font bit à bit. Ainsi, les propriétés importantes sont : quelle que soit la chaîne de bit a codée sur n bits, a a = 0 n et a 0 n = a si 0 n représente la chaîne de n bits à 0. Nous décrivons ici les primitives de cryptographie symétrique que sont les algorithmes de chiffrement par bloc ( 2.2.1), par flot ( 2.2.2) et les fonctions de hachage ( 2.2.3) Algorithmes de chiffrement par bloc Les algorithmes de chiffrement par bloc (block ciphers ) sont parmi les primitives les plus importantes dans les systèmes cryptographiques. Ils assurent la confidentialité, mais ils peuvent aussi être utilisés dans la construction d autres primitives ou mécanismes comme les générateurs aléatoires, les algorithmes de chiffrement par flot, les codes d authentification de messages ou les fonctions de hachage. Les block ciphers opèrent sur des messages clairs de taille fixe. Un block cipher est une fonction qui envoie un bloc de n bits de clair vers un bloc de n bits de chiffré. On peut les voir comme un chiffrement par substitution sur un grand ensemble de caractères : chaque bloc de 64 bits est substitué par un autre bloc de 64 bits. Cette fonction est paramétrée par une clé k de bits, tirée aléatoirement. Afin de permettre le déchiffrement unique, la fonction de chiffrement doit être bijective (inversible). Ainsi l espace des messages clairs et celui des chiffrés sont tels que = = { 0, 1} n, et l espace des clés est K = { 0, 1}. Un chiffrement (parfaitement) aléatoire est un block cipher implémentant toutes les (2 n )! bijections possibles sur les 2 n éléments. Chacune des (2 n )! clés spécifie une permutation. Si la taille des blocs est trop petite, le système est alors vulnérable aux attaques basées sur les analyses statistiques comme le système de chiffrement par substitution de César ( 2.1.2). Comme on le verra par la suite ( 2.3.1), cela peut être évité en utilisant des modes opératoires. D autres attaques peuvent aussi être considérées mais leur complexité augmente très rapidement avec la longueur du bloc ou de la clé. En pratique, pour des valeurs de n et suffisamment grandes, les block ciphers «apparaissent» comme aléatoires (pour quelqu un qui n a pas la clé). On notera E la fonction de chiffrement et D la fonction de déchiffrement. Il existe deux grandes familles de chiffrement par bloc. La première famille est celle des schémas basés sur des réseaux de Feistel [20] et est connue depuis l invention du DES en La seconde famille contient les schémas basés sur des réseaux de substitution-permutation, aussi appelés SP Networks. Elle a été introduite plus récemment. L AES (Advanced Encryption Standard), le successeur du DES, est issu de cette famille. Ces deux grandes familles font partie des algorithmes de chiffrement par bloc itéré mettant en jeu la répétition séquentielle d une fonction interne appelée fonction de tour. Les paramètres incluent le nombre de tours r (rounds), la taille n du bloc, et la taille de la clé k à partir de laquelle r sous-clés k i sont dérivées. À cause de l inversibilité (permettant un déchiffrement unique), pour chaque valeur k i, la fonction de tour est une bijection. Le choix du nombre de tours est important : c est un compromis entre sécurité (beaucoup de tours) et efficacité (peu de tours). La clé est alors répartie par un algorithme de dérivation de clé (key scheduling ) en r sous-clés. Le schéma général du DES est donné sur la figure 1. Comme nous l avons vu, un algorithme de chiffrement par bloc doit être une permutation afin que la fonction de déchiffrement permette d obtenir un unique antécédent. Or il est «assez» facile de construire des fonctions à clé ressemblant à des fonctions aléatoires, c est-a-dire ayant les propriétés de confusion et de diffusion en utilisant des XOR avec la clé, des substitutions et des permutations. Les réseaux de Feistel (figure 2 et encadré 2) sont une construction générique permettant de transformer une fonction en une permutation. Le problème avec les réseaux de Feistel est que seule une moitié des bits L i est mixée à chaque tour. L autre moitié R i se retrouve au tour suivant L i +1 sans être modifiée. Ainsi, par rapport à un réseau SP, où tous les bits du bloc sont mixés à chaque tour, il faudra environ deux fois plus de tours pour une sécurité équivalente aux schémas de cette famille. Le DES [21] est un algorithme de chiffrement par bloc basé sur un réseau de Feistel utilisant des clés de 56 bits et des sous-clés de 48 bits. La taille des blocs est de 64 bits et il y a 16 tours. Nous renvoyons à la norme FIPS PUB 81 [22] pour la description de ce schéma. Le nombre total des clés possibles est Un adversaire qui possède un couple clair/chiffré peut alors essayer toutes les clés pour retrouver la clé utilisée. Une attaque qui retrouve la clé s appelle une key recovery attack. En 1970, on pensait qu essayer les 2 56 clés différentes était une opération impossible en pratique sauf peut-être pour quelques organisations. De nos jours, un regroupement d ordinateurs sur Internet ou la construction de machines dédiées permet d effectuer 2 56 chiffrements DES en un H Techniques de l Ingénieur, traité Sécurité des systèmes d information

7 CRYPTOGRAPHIE APPLIQUÉE IP M 1 M 2 M 3 M 4 k i L 0 k 1 F R 0 Permutation SBox SBox SBox SBox L 1 k 2 R 1 F C 1 C 2 C 3 C 4 L 2 R 2 Figure 3 Tour d un réseau SP L 15 Figure 1 Schéma général du Data Encryption Standard (DES) Figure 2 Réseau de Feistel k 16 R 15 F IP -1 L i k 1 F Encadré 2 Réseau de Feistel Le but d un réseau de Feistel est de transformer une fonction F en permutation. Autrement dit, la fonction F n est pas forcément bijective, mais la fonction G : (L i, R i ) Œ (L i +1 = R i, R i +1 = F ki (R i ) L i ) est bijective. En effet, il est possible d inverser (L i +1, R i +1 ) de manière unique. Étant donné (L i +1, R i +1 ), on pose R i = L i +1, puis L i = (L i +1 ) R i +1. Il est facile de vérifier que L i = F ki (L i +1 ) R i +1 car F ki (L i +1 ) R i +1 = F ki (R i ) R i +1 = (R i ) (R i ) L i = L i. F ki F ki jour. Le NIST a donc proposé d utiliser l algorithme Triple-DES (3DES) : pour chiffrer un bloc de clair M, il est d abord chiffré avec le DES et une clé k 1, puis le résultat est déchiffré avec R i L i+1 R i+1 F ki une deuxième clé k 2 et enfin rechiffré avec une clé k 3 : C = 3 ( D k2 ( 1 ( M ))). Par conséquent, la taille des clés est de 3 56 = 168 bits et le temps d exécution est trois fois plus important que pour le DES. Une autre solution aurait été de faire trois chiffrements. Cependant, avec cet algorithme, si k 2 = k 3 ou k 1 = k 2, on obtient un algorithme équivalent à l algorithme DES. On peut aussi se demander pourquoi le NIST a proposé le Triple-DES et non le double DES. En fait, il existe une attaque sur le double DES demandant le même temps qu une attaque exhaustive sur le simple DES et exigeant environ 2 63 bits de mémoire. Pour cette raison, le NIST a proposé d utiliser directement le 3DES, pour lequel le même type d attaque a une complexité en temps de et en mémoire 2 63 bits. Il existe aussi une autre version du 3DES, appelée 3DES 2 clés pour lequel k 3 = k 1. Cette variante permet de diminuer la taille de la clé, sans pour autant affaiblir le schéma. Cependant, les mauvaises performances du 3DES et l arrivée de réseaux informatiques de plus en plus rapides ont accéléré le remplacement du 3DES. Son successeur, l AES, a été standardisé par le NIST en 2000 (FIPS PUB 197 [23]). L AES est un algorithme de chiffrement par bloc basé sur un réseau SP utilisant des clés de 128, 192 ou 256 bits. Le nombre de tours dépend de la taille des clés : pour des clés de 128 bits, 10 tours sont nécessaires, 12 tours pour des clés de 192 bits et 14 tours pour des clés de 256 bits. Enfin, la taille des blocs est de 128 bits. Nous renvoyons à la norme FIPS PUB 197 [23] pour la description détaillée de ce schéma. Chaque tour d un block cipher issu de la famille des réseaux SP est constitué d une succession d un XOR avec la sous-clé du tour, d une couche de substitution et d une couche de permutation (figure 3). Les fonctions de la couche de substitution et de la couche de permutation sont de garantir la confusion et la diffusion Algorithmes de chiffrement par flot Les algorithmes de chiffrement par flot (stream cipher ) sont une classe importante d algorithmes de chiffrement. Ils chiffrent individuellement chaque caractère (ou bit) d un message clair, un à la fois, en utilisant une transformation qui évolue grâce à une fonction de mise à jour. Par opposition, les algorithmes de chiffrement par bloc chiffrent simultanément des groupes de caractères (ou bits) du clair en utilisant une transformation fixe. Les stream ciphers sont généralement plus rapides que les block ciphers en hardware et ont des circuits moins complexes. Ils sont aussi plus appropriés dans certains contextes (comme les communications téléphoniques) quand le stockage temporaire des données avant réémission est limité ou que chaque caractère doit être traité dès Techniques de l Ingénieur, traité Sécurité des systèmes d information H

8 CRYPTOGRAPHIE APPLIQUÉE qu il est reçu. Enfin, ils ont la propriété de ne pas avoir de propagation d erreur et sont donc avantageux quand des erreurs de transmission sont très probables, par exemple dans les communications mobiles. Cependant, la théorie dans ce domaine, assez proche de celle des générateurs aléatoires, n est pas encore bien établie, contrairement à celle des block ciphers. La construction de stream ciphers est basée sur le principe du chiffrement de Vernam ( 2.1.2), mais évite ses inconvénients : la clé est différente et aussi longue que le message mais elle est issue d une autre clé, fixe et de petite taille. Pour ce faire, les stream ciphers génèrent, à partir d une clé de petite taille, un flot d aléa vu comme une clé aléatoire plus longue servant à un système de Vernam. La clé aléatoire, appelée clé du flot (keystream), peut être générée bit par bit ou octet par octet suivant le système. L algorithme permettant la génération de la clé du flot est un générateur pseudo-aléatoire (GPA) : k s = GPA (k ), c = m k s. Les algorithmes de chiffrement par flot ont l avantage d être très rapides. En revanche, ils présentent des propriétés qui ne sont pas forcément souhaitables comme la malléabilité du chiffré : étant donné un chiffré c correspondant à un clair m, il est facile d obtenir le chiffré du clair m δ en calculant c δ. Ainsi, bien qu un adversaire ne connaisse pas le clair, il est capable de modifier le chiffré et de maîtriser la modification induite sur le clair. De même, si l on sait que c correspond au chiffré du message m, on peut calculer le chiffré de n importe quel clair m en calculant c m m = m k s m m = k s m. Il faut remarquer que cette attaque ne remet pas en cause la confidentialité du clair, mais plutôt son intégrité. Il n est pas exigé qu un algorithme de chiffrement garantisse l intégrité. Cependant, la propriété de malléabilité du chiffré permet de montrer que le chiffrement n est pas sûr dans le cas d attaques à chiffrés choisis ( 2.1.1) [24]. L algorithme RC4, conçu par les laboratoires RSA, est un algorithme très rapide et très simple à implémenter. Il est utilisé dans de nombreuses normes comme SSL, IPsec (voir l article [IP 5 605]) ou la norme WEP (voir l article [TE 7 377]) pour les réseaux sans fil. Quelques faiblesses ont été découvertes mais qui ne remettent pas en cause la sécurité de l algorithme. Cependant, dans certaines implémentations de la norme WEP, la mise en œuvre du RC4 présente des faiblesses (voir l article [TE 7 377]). Dans une communication GSM (voir l article [TE 7 364]), la voix est numérisée, compressée, puis transmise sous forme de blocs de 114 bits appelés trames. Environ 217 trames sont échangées chaque seconde entre le mobile et la station hertzienne du réseau. La communication est bidirectionnelle et le générateur doit produire 228 bits de clé de flot pour chaque couple de trames. Ce générateur est appelé A5/1 en Europe et A5/2 en Asie. Il est fondé sur trois registres à décalage de longueur totale 64 bits. Après une phase d initialisation de ces registres, qui utilise la clé secrète de 64 bits, la génération de la suite pseudo-aléatoire commence en suivant la règle suivante : dans chacun des registres, on privilégie une position particulière (les bits de contrôle d horloge) et on prélève à chaque top d horloge le bit qui s y trouve ; une valeur majoritaire (0 ou 1) se dégage des trois registres ainsi prélevés et seuls les registres qui ont «voté» pour le bit gagnant sont décalés. Après 328 tops d horloge, une suite de 328 bits a été générée. Les 100 premiers sont trop prévisibles et ne sont pas utilisés. Il reste donc 114 bits pour les communications mobile vers base et 114 bits pour les communications base vers mobile. Le niveau de sécurité atteint est raisonnable même si la sécurité n est pas en 2 64 comme le laisse supposer la taille des clés. Une attaque est possible si l on dispose d une puissance de calcul assez importante ainsi que de suffisamment de couples de trames en clair et chiffrées. La phase de précalcul est assez longue, mais on peut ensuite retrouver n importe quelle clé avec un simple ordinateur en quelques minutes à partir de 2 s de communication ou en 1 s avec 2 min de communication. Cette faiblesse d A5/1 a entraîné une modification de l algorithme de chiffrement, appelé F8, pour la troisième génération de mobiles appelée UMTS (voir l article [TE 7 368]). Il s agit aujourd hui d un block cipher. Un générateur aléatoire peut être construit en utilisant un algorithme de chiffrement par bloc. En effet, étant donné qu un block cipher doit se comporter comme une permutation aléatoire, alors les sorties peuvent être vues comme des bits aléatoires et imprédictibles. Les modes opératoires CFB (Cipher FeedBack) ou OFB (Output FeedBack) sont des moyens pour générer un flux aléatoire à partir d un algorithme de chiffrement par bloc. Ils sont décrits au paragraphe Même si les modes CFB et OFB sont plus lents que les stream ciphers, on les préfère car leur sécurité est mieux connue : elle dépend uniquement de l algorithme de chiffrement par bloc (bloc de 64 bits et clé de 128 bits) pour lequel on ne dispose aujourd hui d aucune attaque significative Fonction de hachage La fonction de hachage est la dernière primitive dont nous ayons besoin. Les fonctions de hachage sont des fonctions très utiles en informatique. Elles permettent de représenter les éléments d entrée sur peu de bits. L espace d entrée des fonctions de hachage est composé de toutes les chaînes de bits de taille quelconque, noté {0, 1}*. L espace de sortie est l ensemble des chaînes de bits de taille n, {0, 1} n. Toute entrée sera transformée en une chaîne de n bits. En cryptographie, les fonctions de hachage sont utilisées pour construire des schémas de signature et des codes d authentification de messages. Elles sont basées sur les mêmes principes de confusion et de diffusion que les algorithmes de chiffrement par bloc [25] [26] [27] [28]. Les propriétés attendues des fonctions de hachage sont les suivantes. Fonction à sens unique : étant donné y, il est difficile de trouver en un temps raisonnable une entrée x telle que H (x ) = y. Fonction résistante aux collisions : il est difficile de trouver en un temps raisonnable x et x (x x ) tels que H (x ) = H (x ). Il est clair que de tels éléments existent car l espace d entrée est beaucoup plus grand que l espace de sortie. Fonction résistante à un deuxième antécédent : étant donné x et y tels que y = H (x ), il est difficile de trouver en un temps raisonnable x x tel que H (x ) = y. Les exemples de fonctions de hachage sont MD5 (Message Digest numéro 5) et SHA-1 (deuxième version de la norme américaine Secure Hash Algorithm FIPS PUB [29]). Dobbertin [30] a trouvé des faiblesses sur la fonction de compression de MD5 et aujourd hui seule la fonction SHA-1 est recommandée. La taille de sortie de la fonction MD5 est de 128 bits alors que celle de SHA-1 est de 160 bits. Afin d analyser la sécurité des fonctions de hachage, nous avons besoin du résultat suivant. Selon le paradoxe des anniversaires, si l on tire t valeurs avec remise dans un ensemble de N valeurs, alors la probabilité d obtenir au moins une collision est proportionnelle à t 2 /N. Ainsi, si t N, on obtient au moins une collision avec probabilité strictement supérieure à 1/2. Nota : le nom de ce résultat vient du fait que si N = 365, alors en prenant 23 valeurs au hasard, on obtiendra au moins une collision avec une probabilité supérieure à 1/2. En particulier, si dans une salle, il y a 23 personnes, il y a plus d une chance sur deux qu il existe au moins deux personnes qui ont leur anniversaire le même jour de l année. En revanche, étant donné une valeur parmi N, la probabilité qu il y ait une collision avec cette valeur en effectuant t tirages aléatoires avec remise est t /N. Ce paradoxe permet d estimer la probabilité de collision d une fonction de hachage. En effet, si on modélise la fonction de hachage comme une fonction aléatoire, on peut voir ses sorties comme des valeurs aléatoires dans {0, 1} n. Ainsi en calculant 2 n = 2 n 2 hachés, on a plus d une chance sur deux d obtenir une collision. Par conséquent, les sorties d une fonction de hachage doivent être suffisamment grandes. La puissance de calcul pour obtenir une collision sur SHA-1 est donc de 2 80 opérations et 2 64 pour MD5. H Techniques de l Ingénieur, traité Sécurité des systèmes d information