CRYPTOGRAPHIE. Chiffrement asymétrique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Transcription

1 CRYPTOGRAPHIE Chiffrement asymétrique E. Bresson SGDN/DCSSI Laboratoire de cryptographie

2 I. CHIFFREMENT ASYMÉTRIQUE I.1. CHIFFREMENT À CLÉ PUBLIQUE Organisation de la section «CHIFFREMENT À CLÉ PUBLIQUE» Introduction Chiffrement RSA Cryptsosystème ElGamal CHIFFREMENT ASYMÉTRIQUE 2/52

3 Introduction RSA ElGamal LES LIMITES DU CHIFFREMENT SYMÉTRIQUE CHIFFREMENT ASYMÉTRIQUE 3/52

4 Introduction RSA ElGamal UTILISATION La clé de chiffrement pk est publique La clé sk reste privée et sert au déchiffrement uniquement Ma clé publique = pk sk m E c D m La clé publique ne permet pas de déchiffrer (en particulier, elle ne permet pas de retrouver la clé privée) CHIFFREMENT ASYMÉTRIQUE 4/52

5 Introduction RSA ElGamal DÉFINITION Un chiffrement à clé publique se compose de trois algorithmes: Algorithme de génération des clés KG(l) = (pk, sk): à partir d un paramètre de sécurité, il produit un couple (clé publique, clé privée) Algorithme de chiffrement E(m, pk) = c: utilise la clé publique pour chiffrer un message m Algorithme de déchiffrement D(c, sk) = m: utilise la clé privée pour remonter à m CHIFFREMENT ASYMÉTRIQUE 5/52

6 Introduction Chiffrement RSA ElGamal LE CHIFFREMENT RSA Proposé par Rivest Shamir et Adleman en 1978 soit un modulo n = p q (p et q premiers) ordre du groupe multiplicatif Z n = ϕ(n) = (p 1)(q 1) x Z n, x ϕ(n) = 1 mod n (théorème d Euler) soit e un entier premier avec ϕ(n) et d tel que d = e 1 mod ϕ(n) ed + uϕ(n) = 1 (Bezout) Conséquence du théorème d Euler Pour tout m Z n: (m e ) d = m ed = m 1 uϕ(n) = m 1 u = m mod n CHIFFREMENT ASYMÉTRIQUE 6/52

7 Introduction Chiffrement RSA ElGamal LE CHIFFREMENT RSA n = pq: module public e: exposant public d = e 1 mod ϕ(n): exposant secret Définition (Algorithmes RSA) Secret: KG(l) = (n, e) (d) Public: E(m) = m e mod n c Secret: D(c) = c d = m ed = m mod n CHIFFREMENT ASYMÉTRIQUE 7/52

8 Introduction Chiffrement RSA ElGamal RSA: PROPRIÉTÉS MULTIPLICATIVES La primitive RSA est un homomorphisme Le chiffré d un produit est égal au produit des chiffrés (m 1 m 2 ) e = m e 1m e 2 = c 1 c 2 mod n Ce peut être intéressant pour certains scénarios... Mais aussi nuisible à la sécurité: La malléabilité permet de faire une attaque à chiffré choisi 1. Soit C = m e un message à déchiffrer 2. Alors C = r e C est le chiffré de r m, pour tout r 3. Le déchiffrement de C fournit celui de C CHIFFREMENT ASYMÉTRIQUE 8/52

9 Introduction Chiffrement RSA ElGamal EFFICACITÉ DE RSA Le coût est celui d une exponentiation modulaire: Chiffrement: E(m) = m e mod n: 3 e /2 multiplications si e est de même taille que n: coût total 1.5 log 3 n si e est petit = chiffrement efficace Déchiffrement: D(m) = c d mod n (CRT) c d = g(f (c) d ): f et g sont linéaires 3 p /2 multiplications mod p + 3 q /2 mult. mod q 3 p mult. mod p soit 3 n /8 mult. mod n c d mod q c m c d mod p CHIFFREMENT ASYMÉTRIQUE 9/52

10 Introduction Chiffrement RSA ElGamal RSA: SÉLECTION DES PARAMÈTRES 1. Choisir p et q de la même taille pour éviter les méthodes de factorisation par courbes elliptiques 2. Choisir p et q au hasard pour éviter que p q ne soit trop petit (car sinon p n) 3. Choisir pour p et q des nombres premiers forts: p 1 a un grand( ) facteur premier r (pour éviter l algorithme p 1 de Pollard) p + 1 a un grand facteur premier (pour éviter l algorithme de Williams) r 1 a un grand facteur premier (éviter les attaques par cycles) : «grand» = 200 bits au moins CHIFFREMENT ASYMÉTRIQUE 10/52

11 Introduction Chiffrement RSA ElGamal SÉCURITÉ DE RSA Question Comment se définit la sécurité de RSA? Suivant le niveau visé: pour casser complètement le système, il faut retrouver l exposant d ou (mieux?) p et q: factorisation pour déchiffrer un message, il faut retrouver m à partir de m e : extraction de racine e-ièmes CHIFFREMENT ASYMÉTRIQUE 11/52

12 Introduction Chiffrement RSA ElGamal LE PROBLÈME RSA Défini comme le problème mathématique sous-jacent au chiffrement: à partir du chiffré, retrouver le clair Problème RSA: racines modulaires Étant donné un module RSA, n, un exposant e premier avec ϕ(n) et un élément y Z n, calculer x vérifiant: y = x e mod n CHIFFREMENT ASYMÉTRIQUE 12/52

13 Introduction Chiffrement RSA ElGamal DIFFICULTÉ DE RSA Si on connaît la factorisation, on casse RSA: on retrouve toutes les données secrètes RSA se réduit à la factorisation Le contraire est peut-être faux! calculer des racines e-ièmes sans factoriser... mais on ne sait pas faire En pratique La factorisation est la seule méthode connue pour casser RSA CHIFFREMENT ASYMÉTRIQUE 13/52

14 Introduction Chiffrement RSA ElGamal FACTORISATION ET RSA Factoriser = calculer p et q ϕ(n): fonction d Euler ϕ(n) = (p 1)(q 1) est suffisant pour factoriser...et nécessaire d: clé secrète associée à une clé publique e peut-être calculée à partir de p et q (Euclide)...et est équivalente à p et q ϕ(n), d, p et q sont équivalents CHIFFREMENT ASYMÉTRIQUE 14/52

15 Introduction Chiffrement RSA ElGamal LA CLÉ SECRÈTE SUFFIT À FACTORISER La connaissance d un couple (e, d) suffit à factoriser complètement le modulo 1. Un tel couple (e, d) fournit une racine carrée modulaire de 1 Soit m quelconque. De m ed = m, on déduit m ed 1 = 1 mod n Donc m (ed 1)/2 est une racine carrée de 1 (NB: ed 1 est pair...) 2. Or, une telle racine, si elle est non triviale, donne la factorisation de n d une relation x 2 = 1 mod n, on tire: (x 1)(x + 1) = 0 mod n Donc x 1 et x + 1 contiennent les facteurs de n CHIFFREMENT ASYMÉTRIQUE 15/52

16 Introduction Chiffrement RSA ElGamal LES LIMITES DE RSA: CAS D UN MODULO COMMUN Le modulo doit être spécifique à chaque personne Si Alice et Bob utilisent un modulo commun et même si chacun a ses propres clés privées et publiques e et d Chacun, avec sa clé privée retrouve la factorisation et devient capable de retrouver la clé privée de n importe qui utilisant ce modulo CHIFFREMENT ASYMÉTRIQUE 16/52

17 Introduction Chiffrement RSA ElGamal ATTAQUES SUR MODULO COMMUN Supposons qu Alice et Bob utilisent le même modulo, car ils n ont pas d exigence de confidentialité l un vis-à-vis de l autre Si un même message est chiffré à l intention d Alice et de Bob, il devient possible pour tout le monde de le déchiffrer! message m chiffré avec les exposants e A et e B, supposés premiers entre eux: ue A + ve B = 1 (Bezout) soient c A = m e A et c B = m e B les chiffrés n importe qui peut calculer c u A cv B = mue A+ve B Conclusion = m Ne jamais partager un modulo RSA à plusieurs CHIFFREMENT ASYMÉTRIQUE 17/52

18 Introduction Chiffrement RSA ElGamal L ATTAQUE «BROADCAST» Moduli différents, mais petit exposant... Alice: module n A, exposant e A = 3 Bob: module n B, exposant e B = 3 Charlie: module n C, exposant e C = 3 c A = m 3 mod n A Soit m < n A, n B, n C c B = m 3 mod n B c C = m 3 mod n C CHIFFREMENT ASYMÉTRIQUE 18/52

19 Introduction Chiffrement RSA ElGamal ATTAQUE BROADCAST Un attaquant A voit les chiffrés c A, c B et c C... A construit X < n A n B n C X = c A mod n A X = c B mod n B tels que (CRT): X = c C mod n C Or si on pose M = m 3 (qui est < n A n B n C ): M = m 3 = c A mod n A M = c B mod n B M = c C mod n C Conclusion Par unicité on a X = M = m 3 (dans Z). Par extraction de racines cubiques dans Z, l attaquant retrouve m CHIFFREMENT ASYMÉTRIQUE 19/52

20 Introduction Chiffrement RSA ElGamal LIMITES DE RSA: PETIT EXPOSANT Un petit exposant public permet d accélérer les calculs RSA à petit exposant public Attaque basique: chiffrement d un message court exposant e = 3 et chiffrement d une clé AES de 128 bits la taille de m 3 est = 384 < 1024 bits = racine cubique dans N Attaques plus sophistiquées CHIFFREMENT ASYMÉTRIQUE 20/52

21 Introduction RSA Cryptsosystème ElGamal AUTRES PROBLÈMES DE LA THÉORIE DES NOMBRES À part la factorisation et les racines e-ièmes, existe-t-il d autres problèmes à sens unique munis de trappe? Le problème du logarithme discret Le(s) problème(s) de Diffie-Hellman CHIFFREMENT ASYMÉTRIQUE 21/52

22 Introduction RSA Cryptsosystème ElGamal PROBLÈME DU LOGARITHME DISCRET Définition (Problème du log discret) Soit G un groupe multiplicatif, g G et y g. On définit log g (y) = min{x > 0 g x = y} Problème algorithmiquement difficile dans certains groupes: En pratique, G est un (sous-) groupe de: Z p, Z n: algo. sous-exponentiel Courbe elliptique: exponentiel (en général) Jacobienne de courbe hyper-elliptique: idem quelques autres cas... CHIFFREMENT ASYMÉTRIQUE 22/52

23 Introduction RSA Cryptsosystème ElGamal PROBLÈME DE DIFFIE-HELLMAN Problème Diffie-Hellman Soit G un groupe multiplicatif cyclique, G = g. Étant donnés A = g a et B = g b, Calculer C = DH(A, B) = g ab Clairement, DH LOG (le problème est facile pour qui sait calculer des logarithmes discrets) Hypothèse: DH est aussi difficile que le LOG CHIFFREMENT ASYMÉTRIQUE 23/52

24 Introduction RSA Cryptsosystème ElGamal ÉCHANGE DE CLÉ DIFFIE- HELLMAN (1976) g x g y choisit x choisit y Valeur secrète commune K = g xy = (g x ) y = (g y ) x CHIFFREMENT ASYMÉTRIQUE 24/52

25 Introduction RSA Cryptsosystème ElGamal ET LES TRAPPES? Logarithme discret: problème difficile, mais on ne connaît pas de trappe qui le rendrait facile Le problème Diffie-Hellman se prête mieux aux trappes: Étant donnés A = g a et B = g b, Calculer C = DH(A, B) = g ab Difficile, mais si a est connu, on a C = B a CHIFFREMENT ASYMÉTRIQUE 25/52

26 Introduction RSA Cryptsosystème ElGamal CHIFFREMENT ELGAMAL (1984) p premier, q p 1 et g d ordre q dans Z p : param. communs x: clé secrète y = g x : clé publique Définition (Algorithmes ElGamal) Public: E(m) = (g r, y r m) mod p (c, d) Secret: D(c, d) = d/c x mod p Attention: m doit être dans le groupe engendré par g CHIFFREMENT ASYMÉTRIQUE 26/52

27 Introduction RSA Cryptsosystème ElGamal CONDITIONS D EMPLOI DE ELGAMAL Avantages: tous les utilisateurs peuvent utiliser le même groupe G et le même g possibilité de techniques d exponentiation rapide chiffrement randomisé nativement meilleure sécurité «basique» Inconvénients: augmentation de la taille du chiffré CHIFFREMENT ASYMÉTRIQUE 27/52

28 Introduction RSA Cryptsosystème ElGamal ELGAMAL: PRÉCAUTIONS D EMPLOI La structure multiplicative est source d attaques ElGamal: précautions Même type de danger que pour RSA 1. Les chiffrés sont malléables Si (c, d) est le chiffré de m, alors pour tout α, le couple (c, dα) est un chiffré de mα 2. Ne jamais utiliser deux fois le même aléa Si m 1 et m 2 sont chiffrés avec le même aléa r, alors (c 1, d 1 ) = (g r, y r m 1 ) et (c 2, d 2 ) = (g r, y r m 2 ) d où m 1 /m 2 = d 1 /d 2 CHIFFREMENT ASYMÉTRIQUE 28/52

29 Clé publique Notions de sécurité I. CHIFFREMENT ASYMÉTRIQUE I.2. NOTIONS DE SÉCURITÉ Introduction Modèle de sécurité sémantique du ElGamal Organisation de la section «NOTIONS DE SÉCURITÉ» CHIFFREMENT ASYMÉTRIQUE 29/52

30 Clé publique Notions de sécurité Introduction Modèle Sémantique ElGamal SÉCURITÉ PARFAITE? Au sens de Shannon (théorie de l information), la sécurité parfaite est impossible en clé publique Pourquoi? La connaissance de la clé publique et du chiffré biaise la distribution de probabilité du message clair (en fait, l ensemble des clairs possibles est un singleton!) Quel espoir? un attaquant avec une capacité de calcul polynomiale peut-il exploiter ce biais et accéder à une information? Quelle est la bonne définition de sécurité? CHIFFREMENT ASYMÉTRIQUE 30/52

31 Clé publique Notions de sécurité Introduction Modèle Sémantique ElGamal SÉCURITÉ PROUVÉE Comment analyser (et prouver) la sécurité d un cryptosystème? prouvée: méthodologie 1. spécifier les buts de l attaquant 2. spécifier ses moyens: calculs, accès aux ressources... Modèle de sécurité 3. examiner quelles sont les chances pour un attaquant d atteindre son but avec les moyens spécifiés probabilité de succès «Preuve» de sécurité 4. conclure (pertinence du modèle, choix des paramètres,...) CHIFFREMENT ASYMÉTRIQUE 31/52

32 Clé publique Notions de sécurité Introduction Modèle Sémantique ElGamal MÉTHODOLOGIE Comment représenter l attaquant? L attaquant A est un algorithme (machine de Turing) probabiliste et polynomiale Cryptographie: «A, sécurité»: l attaquant est une boîte noire (on ignore son code) Cryptanalyse: «A, victorieux»: on cherche à exhiber un attaquant (on construit son code) CHIFFREMENT ASYMÉTRIQUE 32/52

33 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal DEUX AXES D ANALYSE Buts Dégâts plus sévères Adversaire plus puissant Moyens maximale CHIFFREMENT ASYMÉTRIQUE 33/52

34 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal LES BUTS DE L ATTAQUANT Quels sont les buts de l adversaire? retrouver la clé de déchiffrement est-ce équivalent à déchiffrer tout message? déchiffrer un message «challenge» (OW) distinguer deux chiffrés l un de l autre (IND) modifier le clair (inconnu) d un chiffré (NM) CHIFFREMENT ASYMÉTRIQUE 34/52

35 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal RETROUVER LA CLÉ PRIVÉE minimale «Cassage total» pk KG s s = sk? CHIFFREMENT ASYMÉTRIQUE 35/52

36 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal SÉCURITÉ OW (ONE-WAYNESS) Inverser le chiffrement Déchiffrer un message arbitraire KG m $ c = E(m) pk c m m = m? CHIFFREMENT ASYMÉTRIQUE 36/52

37 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal SÉCURITÉ IND (INDISTINGUABILITÉ) Obtenir un bit d information Distinguer un bit (par rapport à un aléa) pk KG bit $?? bit b b ok? Interaction à définir CHIFFREMENT ASYMÉTRIQUE 37/52

38 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal MODIFIER UN CHIFFRÉ : NM (Non-malléabilité) Fabriquer deux chiffrés «liés» (plaintext-dependent) KG m $ c = E(m) pk c c D(c ) m? Les clairs contenus dans c et c vérifient une relation CHIFFREMENT ASYMÉTRIQUE 38/52

39 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal LES MOYENS DE L ATTAQUANT Quels sont les moyens de l attaquant? attaque à clairs connus: il voit passer des couples clairs/chiffrés attaque à clairs choisis: il peut chiffrer des messages de son choix (CPA) attaque à chiffrés choisis: il peut faire déchiffrer des messages arbitraires (CCA) s il a cette possibilité après avoir reçu un «challenge» (mais avec la restriction de ne pas faire déchiffrer ce challenge), l attaque est dite adaptative (CCA2) CHIFFREMENT ASYMÉTRIQUE 39/52

40 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal ATTAQUES À CHIFFRÉS CHOISIS Attaques les plus sévères (Chosen-Ciphertext Attacks, CCA) KG pk D A observe des déchiffrements et espère obtenir de l information CHIFFREMENT ASYMÉTRIQUE 40/52

41 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal DEUX AXES D ANALYSE Buts brk ow ind Dégâts plus sévères Adversaire plus puissant nm none kpa cpa cca1 cca2 Moyens maximale CHIFFREMENT ASYMÉTRIQUE 41/52

42 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal ATTAQUES POSSIBLES Un modèle d attaque= un but + des moyens Exemple: OW-CPA: chiffrement à sens unique sous une attaque à clair choisi Toujours possible: attaques KPA et CPA en clé publique Souvent dévastatrice: attaque CCA Prendre le cas de RSA: quel niveau peut-on espérer atteindre? CHIFFREMENT ASYMÉTRIQUE 42/52

43 Clé publique Notions de sécurité Intro Modèle de sécurité Sémantique ElGamal ATTAQUES POSSIBLES SUR RSA On suppose RSA bien utilisé : (niveaux où RSA n est pas cassé) BRK-CPA: clé secrète, c est-à-dire factorisation OW-CPA: extraction de m = c d : racine e-ième, soit problème RSA Vulnérabilités: (en fonction de l attaquant) IND-CPA: il y a (au moins) un bit d information qui fuit: b = (m == 1) OW-CCA: étant donné c, l attaquant A demande à déchiffrer c/2 e, et obtient m/2 CHIFFREMENT ASYMÉTRIQUE 43/52

44 Clé publique Notions de sécurité Intro Modèle sémantique ElGamal SÉCURITÉ SÉMANTIQUE Une information partielle peut-être aussi sensible que le tout Alice a chiffré un contrat-type en ayant coché «achat» ou «vente» sémantique Le chiffrement ne révèle à un attaquant polynomial «aucune information» sur le clair (à part peut-être sa longueur) Toute fonction du clair (de taille fixée) calculable au vu du chiffré est également calculable sans le chiffré CHIFFREMENT ASYMÉTRIQUE 44/52

45 Clé publique Notions de sécurité Intro Modèle sémantique ElGamal SÉCURITÉ SÉMANTIQUE 2 expériences Soit A l adversaire. On considère les deux expériences suivantes: 1. On dit à A que l on a tiré un message m et on lui demande de calculer une certaine fonction de m (un bit, un checksum,...) 2. On tire m, on fournit E(m) à A et on lui demande de calculer la même fonction de m Si l adversaire ne réussit pas significativement mieux la seconde expérience, c est que le chiffré E(m) ne lui a pas apporté d information exploitable. CHIFFREMENT ASYMÉTRIQUE 45/52

46 Clé publique Notions de sécurité Intro Modèle sémantique ElGamal INDISTINGUABILITÉ DES CHIFFREMENTS Notion mathématiquement équivalente à la sécurité sémantique, et plus simple à manipuler. Expérience 1. A choisit deux messages m 0 et m 1 de même longueur 2. Un bit b secret est tiré aléatoirement, A reçoit la valeur de E(m b ) 3. A doit deviner la valeur de b : A ne réussit pas significativement mieux qu en répondant au hasard (1 chance sur 2) CHIFFREMENT ASYMÉTRIQUE 46/52

47 Clé publique Notions de sécurité Intro Modèle sémantique ElGamal INDISTINGUABILITÉ KG pk b aléa E b m 0,m 1 c=e(m b ) b b = b? C est A qui choisit les messages m 0 et m 1! CHIFFREMENT ASYMÉTRIQUE 47/52

48 Clé publique Notions de sécurité Intro Modèle sémantique ElGamal CHIFFREMENT PROBABILISTE Remarque immédiate Un chiffrement déterministe ne peut pas être pas sémantiquement sûr. = Il suffit de rechiffrer m 0 et m 1 pour voir lequel conduit à c Condition nécesaire: un clair donné doit admettre un grand nombre de chiffrés (au-delà de la recherche exhaustive) CHIFFREMENT ASYMÉTRIQUE 48/52

49 Clé publique Notions de sécurité Intro Modèle Sémantique du ElGamal INVERSION DE ELGAMAL p premier, q p 1 et g d ordre q dans Z p : éléments communs x: clé secrète y = g x : clé publique Supposons qu on sache résoudre le problème Diffie-Hellman 1. Algorithme : soit A = g a et B = g b, (A, B) = g ab 2. Soit C = g r et D = my r un chiffré de m avec y 3. On calcule Z = (C, y) 4. On obtient m = D/Z CHIFFREMENT ASYMÉTRIQUE 49/52

50 Clé publique Notions de sécurité Intro Modèle Sémantique du ElGamal INVERSION DE ELGAMAL p premier, q p 1 et g d ordre q dans Z p : éléments communs x: clé secrète y = g x : clé publique Supposons qu on sache inverser ElGamal 1. A un algorithme inversant le chiffrement fait avec une clé publique y: A(y, C, D) m 2. Soit A = g a et B = g b une instance du problème DH (a et b inconnus!) 3. On choisit Z aléatoire 4. On calcule m = A(A, B, Z) 5. Alors on a DH(A, B) = g ab = Z/m Inverser ElGamal résoudre DH CHIFFREMENT ASYMÉTRIQUE 50/52

51 Clé publique Notions de sécurité Intro Modèle Sémantique du ElGamal SÉCURITÉ SÉMANTIQUE DE ELGAMAL Diffie-Hellman decisionnel Étant donnés A = g a, B = g b et un «candidat» C = g c, décider si C = DH(A, B), c est-à-dire si c = ab Étant donnés deux messages m 0 et m 1, et un chiffré (c, d) de m b, deviner b revient à décider si (c, d) chiffre m 0 ou m 1 décider si (c, d) chiffre m 0 or c est l un des deux posons c = g r et d = y r m b décider si m 0 = m b = d/c x or c x = y r = g rx = DH(c, y) décider si m 0 = d/dh(c, y) décider si DH(c, y) = d/m CHIFFREMENT ASYMÉTRIQUE 51/52

52 Clé publique Notions de sécurité Intro Modèle Sémantique du ElGamal CONCLUSION SUR ELGAMAL : (niveau où ElGamal n est pas cassé) BRK-CPA: clé secrète, c est-à-dire logarithme discret OW-CPA: extraction de m = d/c x : problème calculatoire DH IND-CPA: distinguer m = d/c x : problème décisionnel DDH Vulnérabilités: (en fonction de l attaquant) OW-CCA: étant donné c, l attaquant A demande à déchiffrer c/2, et obtient m/2 CHIFFREMENT ASYMÉTRIQUE 52/52