CRYPTOGRAPHIE Roberto M. Amadio

Transcription

1 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, CRYPTOGRAPHIE Roberto M. Amadio Master Ingénierie Informatique Université Paris Diderot (Paris 7)

2 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Cryptologie : de quoi s agit-il? La crypto-logie se décompose en deux activités : Crypto-graphie : l art de chiffrer les communications. Crypto-analyse : l art d analyser les communications chiffrées. NB En pratique, on utilise le terme cryptographie pour se référer aux deux activités.

3 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une longue histoire et beaucoup d histoires amusantes. Pendant longtemps un art et une activité mystérieuse. Facteurs de changement : introduction des ordinateurs, intérêt commercial, consolidation mathématique. Une variété d ingrédients techniques : théorie des nombres, probabilités, théorie de l information et codage, théorie de la complexité du calcul.

4 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Quelles propriétés la cryptographie peut-elle garantir? Voici une tâche élémentaire : A souhaite envoyer un message à B sur un canal où un attaquant C peut écouter (eavesdrop). A et B se mettent d accord sur une méthode pour chiffrer et déchiffrer le message. A chiffre le message avant de l envoyer. B déchiffre le message après l avoir reçu. Problème Comment définir le fait que l attaquant obtient de l information sur le message?

5 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Quelques variations possibles Attaquant actif C peut intercepter et remplacer des messages. Authentification B veut être sûr que le message qu il reçoit vient de A. Anonymat A et B veulent voter sans révéler leur identité. Non-répudiation B peut prouver que A a effectué une commande.

6 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une définition (préliminaire) de système cryptographique Des ensembles finis : P C K (textes clairs) (textes chiffrés) (clés) Des algorithmes : G : 1 K E : K P C D : K C P (générateur de clés) (chiffrement) (dechiffrement) tels que : k 1 k 2 p D k2 (E k1 (p)) = p où E k = E(k, ) et D k = D(k, ).

7 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques sur la définition Tous les espaces sont supposés finis. Le chiffrement E k est toujours injectif. Le générateur G et parfois le chiffrement E sont des algorithmes probabilistes. Pour traiter les messages de longueur arbitraire, il faut les couper en segments de taille bornée. L attaquant C comprend quand un texte clair est significatif. Les algorithmes de chiffrement et déchiffrement sont publiques.

8 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, NB Cette définition sera raffinée dans la suite du cours.

9 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme probabiliste (rappel) Un algorithme probabiliste A est un algorithme qui peut utiliser des bits aléatoires pour determiner son prochain état. En particulier, pour une entrée i soit Ω l ensemble des exécutions finies de A sur i. Si ω Ω alors r(ω) est le nombre de bits aléatoires utilisés dans ω. La probabilité de terminaison de A(i) est : Σ ω Ω 2 r(ω) Le temps moyen de calcul est : Σ ω Ω ω 2 r(ω)

10 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Terminologie Français Texte clair Texte chiffré Clef Déchiffrement Chiffrement Système cryptographique Texte chiffré connu Texte clair connu Texte clair choisi Texte chiffré choisi English Plaintext Ciphertext Key Decryption Encryption Cryptographic system Known cipher text Known plain text Chosen plain text Chosen cipher text

11 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes symétriques Il est facile de calculer la clef de déchiffrement à partir de la clef de chiffrement (et vice versa). Utilisation : 1. A génère de façon aléatoire une nouvelle clef k. 2. A communique la nouvelle clef k à B en utilisant un canal sûr. 3. A et B échangent des messages en utilisant la clef k.

12 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemples basés sur DES, AES,... Avantages : Chiffrement et déchiffrement rapide. Petites Clefs. Inconvénients : Un canal sûr est nécessaire pour initialiser la communication. Pour chaque correspondant, il faut maintenir une clef secrète.

13 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes asymétriques Les clefs de chiffrement et déchiffrement sont différentes et il est difficile de calculer l une à partir de l autre. Utilisation : 1. B génère un couple de clefs (k 1, k 2 ) telles que D k2 E k1 = id P. 2. B rend k 1 publique et maintient k 2 secrète. 3. A peut apprendre la clef publique k 1, chiffrer des messages avec elle et les envoyer à B. Dans ce cas, seulement B sera capable de déchiffrer ces messages en utilisant la clef secrète k 2.

14 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemples basés sur RSA, El Gamal,... Avantages : il ne faut pas se soucier du secret de la clef (mais il faut quand même être sûr que la clef est authentique). Inconvénient : Moins efficace que les systèmes symétriques (au moins, actuellement). NB En pratique on combine les deux systèmes : on utilise une clef asymétrique avec une longue durée de vie pour déterminer une clef symétrique pour une session seulement.

15 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un exemple (informel) de protocole cryptographique Les fonctions cryptographiques ont plusieurs applications qui vont bien au delà de la simple tâche de protéger l information que nous avons considéré pour l instant. Comme exemple simple, nous considérons le problème de jouer à pile ou face au téléphone. Le protocole considéré se base sur le concept cryptographique de fonction à sens unique.

16 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonctions à sens unique (intuition) Soit f : D D une fonction avec un (grand) domaine D. On dit que f est à sens unique (one way function) si : 1. Étant donné x, il est facile de calculer f(x). 2. Étant donné y, il est difficile de trouver x tel que f(x) = y (Inversion). 3. Il est difficile de trouver x 1 x 2 tels que f(x 1 ) = f(x 2 ) (Collision).

17 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Bien sûr, on a pas donné une définition : facile et difficile n ont pas de signification précise. Une possibilité est d établir que difficile signifie pas en temps probabiliste polynomial. Sous cette hypothèse, l existence d une fonction à sens unique est un problème ouvert majeur de la cryptographie. NB Il s agit d une caractéristique du domaine : plusieurs protocoles se basent sur la conjecture que certaines fonctions sont difficiles à calculer (par exemple, la fonction qui calcule les facteurs premiers d un nombre).

18 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Hypothèses pour le protocole A et B veulent jouer à pile ou face au téléphone. La ligne de téléphone est sécurisée : A et B sont sûrs de parler entre eux. A et B se mettent d accord pour utiliser une fonction f à sens unique. A et B ne se font pas confiance (il viennent de divorcer et doivent décider qui garde la maison...).

19 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un peu de notation (νx D) : affecte à x une valeur aléatoire du domaine D. Par exemple, D = Z m = {0,..., m 1}. A!exp : envoie à A un message qui résulte de l évaluation de l expression exp. B?x : on reçoit de B un message dont la valeur est affectée à la variable x.

20 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une description du protocole A B (1) (νx 1 Z m )B!f(x 1 ) A?y 1. (2) B?x 2. (νy 2 {0, 1})A!y 2 (3) B!x 1. A?y 3. (4) if x 1 mod 2 = x 2 if f(y 3 ) = y 1 then then LOSE if y 3 mod 2 = y 2 then WIN else WIN else LOSE

21 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques Chaque participant au protocole exécute en parallèle un certain nombre d instructions. Dans le protocole en question, la communication est fiable et synchrone (handshaking). En général, la communication est asynchrone (Internet...) et non fiable. Ici on suppose que A commence le protocole, qu il y a seulement deux participants et que le protocole est exécuté une fois. En général, on peut avoir plusieurs participants, le protocole peut être exécuté plusieurs fois (éventuellement en parallèle) et chaque participant peut jouer différents rôles (celui qui

22 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, démarre, celui qui répond,...). En plus, certains participants peuvent être malhonnêtes.

23 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques (suite) 1. On suppose que B a la capacité d inverser f. Comment B peut-il tricher (en effectuant un calcul additionnel)? 2. On suppose que A a la capacité de trouver des collisions dans f. Comment A peut-il tricher (en effectuant un calcul additionnel)? 3. On suppose que f est à sens unique. Pourquoi B devrait-il avoir confiance en A? 4. On suppose que le générateur aléatoire de A est biaisé alors que celui de B est équitable. Par exemple, A choisit plus souvent un nombre pair. Les chances que A gagne sont-elles affectées? Quid si B est biaisé et A équitable? 5. Maintenant on suppose que les deux générateurs aléatoires de A et B sont biaisés. Les chances que A gagne sont-elles affectées?

24 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Objectifs du cours 1. Introduction aux fonctions cryptographiques de base. 2. Pratique (utilisation, programmation, attaque,...) des constructions cryptographiques introduite.

25 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Pre-réquis Algorithmique et Complexité. Programmation (en Java). Probabilités discrètes. Arithmétique modulaire. Algèbre linéaire.

26 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Contrôle des connaissances 50% travaux pratiques/dirigés avec contrôle continu (écrit et/ou oral à la machine). 50% examen final écrit.

27 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La référence principale est : Références bibliographiques Introduction to modern cryptography. J. Katz, Y. Lindell. Chapman & Hall. Ce livre introduit à un niveau accessible la méthodologie developpée à partir des année 80 (dite moderne ) : 1. Définition de sécurité. 2. Construction de fonctions cryptographiques. 3. Preuve que les fonctions assurent un certain niveau de sécurité par réduction à certaines hypothèses (plus ou moins) standards. 4. Attaque? Revoir la définition Inefficace? Relâcher la définition, ou revoir la construction ou faire des compromis...

28 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Autres références Handbook of applied cryptography, Disponible en ligne. http :// Encyclopédique. Applied Cryptography : Protocols, Algorithms, and Source Code in C, Second Edition, par Bruce Schneier, publié par John Wiley & Sons (disponible aussi en Français). Flou sur les fondements mais avec tous les détails de mise en oeuvre. Security Engineering, Ross Anderson, Wiley. Disponible en ligne. Un survol à haut-niveau sur l état de l art en sécurité. Utile pour réaliser qu une fois que la cryptographique est au point, il y a encore des attaques dont il faut se soucier.

29 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes historiques

30 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Conventions Texte clair comme un mot de l alphabet Σ = {A, B,..., Z}. De façon équivalente Z 26 = {0, 1,..., 25}. Espaces, ponctuations, lettres minuscules et majuscules sont ignorées. I wake up early devient IWAKEUPEARLY Les langages naturels sont redondants.

31 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système de César (système à décalage) P = C = K = Z 26. Pour k Z 26 on définit : E k (p) = (p + k) mod 26 D k (c) = (c k) mod 26.

32 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On vérifie : D k (E k (p)) = ((p + k) mod 26 k) mod 26 = (p + k k) mod 26 = p Le système de César est un exemple simple de système symétrique. Le décalage est appliqué lettre par lettre.

33 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par énumération Hypothèse : l attaquant sait quand un texte suffisamment long est un texte significatif. Étant donné un message m m = c 1... c n On essaye les 26 clefs et on calcule (c 1 k) mod 26 (c n k) mod 26. Morale : l espace des clefs est trop petit.

34 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On élargit l espace des clefs. Soit Système de substitution P = C = Z 26 K = {π : Z 26 : Z 26 π permutation} Étant donnée une permutation π, on définit : E π (p) = π(p) D π (c) = π(c). Si π 1 est l inverse de la permutation alors : D π 1(E π (p)) = (π 1 π)(p) = p.

35 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par analyse de fréquence L espace des clefs est maintenant 26!, ce qui est considérable. Cependant... La fréquence des lettres dans les langages naturels a été bien étudiée. Par exemple, Lettre English Français e a o i t s

36 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Il y a un nombre fini de langages naturels. Étant donné un texte suffisamment long, la lettre qui est présente le plus souvent correspond probablement à e, et ainsi de suite... Comme les langages naturels sont redondants, des qu un nombre limité de substitutions ont été déterminées, il est possible de deviner celles qui restent. Il y a des statistiques aussi sur la fréquence de digrammes, tri-grammes,.... Par exemple, THE est un tri-gramme qu on trouve souvent en Anglais.

37 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Arithmétique modulaire (rappel) Quotient et reste Soient a, b Z avec b > 0. Alors!q, r (a = qb + r, 0 r < b). Théorème de Bezout Soient a, b Z. Alors az + bz = pgcd(a, b)z Algorithme d Euclide Soient a, b Z. Alors on peut calculer x, y tels que pgcd(a, b) = ax + by Inverse dans Z m Soient a, m Z, m 2. Alors (ax 1) mod m a une solution ssi pgcd(a, m) = 1 (et dans ce cas l algorithme d Euclide permet de calculer x).

38 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, initialisation L application des règles à 100 et 35 donne : k 0 1 r k q k 2 x k 1 0 y k 0 1

39 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 2 k r k q k 2 1 x k y k 0 1 2

40 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 3 k r k q k x k y k

41 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 4 et fin k r k q k x k y k Donc pgcd(100, 35) = 5 =

42 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (Euclide modifié) Appliquez l algorithme pour déterminer x, y tels que pgcd(91, 143) = 91x + 143y.

43 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (sur le chiffrement affine) On considère les méthodes de chiffrement suivantes où Σ = Z 26 : Méthode 1 Chaque lettre a Σ est remplacée par ka mod 26, pour k {1,..., 26} et k impair. Méthode 2 Chaque lettre a Σ est remplacée par ka mod 26 où k {1,..., 26} et pgcd(k, 26) = De quelle méthode peut-on dériver un système cryptographique? 2. Quels sont les espaces de textes clairs, de textes chiffrés et de clefs?

44 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice On considère les fonctions E k : Z 143 Z 143 définies par pour k = 15 et k = 65. E k (x) = (k x) mod Pour quel k (s il existe) E k est susceptible de représenter une fonction de chiffrement? 2. Si E k est une fonction de chiffrement, quelle fonction de déchiffrement D k lui correspond-t-elle?

45 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice Le texte chiffré c = a été obtenu en effectuant un xor du texte clair p avec une suite z de bits générés en utilisant un générateur basé sur la congruence linéaire (z i+1 az i + b) mod 8 Les entiers z i ainsi générés sont interprétés comme des nombres à trois bits b i2 b i1 b i0 de façon telle que z i = b i b i1 2 + b i0. Ainsi on aura : z = b 02 b 01 b 00 b 12 b 11 b 10 b 62 b 61 b 60 c = p z On connaît les premiers 9 bits du texte clair p : p = Déterminez le reste du texte clair.

46 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Chiffrement à bloc Un système cryptographique est un chiffrement à bloc si P = C = Σ n Le système de César et le système par substitution sont des chiffrements à bloc où n = 1 et Σ = Z 26. On remarquera que les fonctions de chiffrement dans les chiffrements à bloc sont toujours des permutations. En pratique, on cherche des classes spéciales de permutations.

47 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Electronic codebook mode (ECB) Étant donné un chiffrement à bloc sur Σn et un document sur Σ, on décompose le document en blocs de longueur n. Si nécessaire, on complète le document (bourrage). Étant donnée une clef k, l émetteur applique la même fonction de chiffrement E k à chaque bloc et le récepteur applique la fonction de déchiffrement correspondente D k.

48 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Faiblesses du ECB A chaque bloc de texte clair correspond un bloc unique de texte chiffré. Il est donc possible de reconnaître un motif du texte clair en regardant le texte chiffré. Un attaquant actif peut substituer un bloc de texte chiffré avec un autre bloc de texte chiffré produit avec la même clef (un problème d authentification de blocs). Ces problèmes sont résolus par la méthode suivante (CBC).

49 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Cipherblock chaining mode (CBC) On suppose que Σ = {0, 1}. On a un vecteur d initialisation IV {0, 1} n qui peut être publique (mais dans certains cas IV doit être une suite aléatoire). Le chiffrement c 1,..., c t de blocs m 1,..., m t est maintenant défini itérativement comme suit : c 0 = IV c j+1 = E k (c j m j+1 ) j = 0,..., t 1 (xor avec texte chiffré précédent suivi de chiffrement).

50 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Le récepteur déchiffre en appliquant la définition suivante : n 0 = IV n j+1 = D k (c j+1 ) c j j = 0,..., t 1 Nous avons n j = m j, car : n j+1 = D k (E k (m j+1 c j )) c j = m j+1 c j c j = m j+1. NB Dans la suite du cours, nous préciserons comment utiliser le mode CBC de façon à avoir certaine propriétés de confidentialité et/ou authentification.

51 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice A utilise un chiffrement à bloc E : 2 s 2 s en mode CBC et avec un vecteur initial IV 2 s. Pour chiffrer un texte clair (x 1, x 2,..., x N ) (2 s ) N, A procède comme suit : c 0 = IV c 1 = E(x 1 c 0 ) c i = E(x i c i 1 ) Ensuite le message chiffré (c 0, c 1,..., c N ) est envoyé à B qui connaît la fonction de déchiffrement D = E 1 : 2 s 2 s.

52 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une erreur se présente pendant la transmission du premier bloc c 1, ainsi B reçoit un bloc c 1 plutôt que c 1. Quels blocs seront déchiffrés correctement par B?

53 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Maintenant, on suppose que A fait une erreur dans le chiffrement du deuxième bloc, ainsi il calcule un bloc c 2 plutôt que c 2. Quels blocs chiffrés seront affectés par cette erreur? Quels blocs de texte clair pourront être calculés par B, en supposant qu il n y ait pas d erreur de transmission?

54 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système affine en dimension 1 Considérons un chiffrement à bloc où la longueur du bloc est n = 1. Fixons un entier positif m. L espace des clefs est donné par le couple (a, b) Z 2 m tel que a et m sont premiers entre eux. Pour k = (a, b), la fonction de chiffrement est donnée par E k (x) = (ax + b) mod m

55 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Si a 1 est l inverse de a dans Z m (qu on peut déterminer avec l algorithme d Euclide) alors D k (x) = (a 1 (x b)) mod m On remarque que le système affine (comme le système par décalage) est un cas particulier de système par substitution.

56 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Pour m = 26, l espace des clefs contient φ(m) m = 312 éléments, où φ(m) est le nombre d éléments dans Z m premiers avec m. Évidemment, cet espace peut être analysé par une recherche complète. Une autre faiblesse : on peut utiliser une attaque par texte clair connu qui exploite la linéarité de la fonction de chiffrement. La connaissance de la fonction en deux points peut être suffisante à déterminer la clef.

57 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (attaque sur texte clair connu) On sait qu un système affine avec clef (a, b) envoie E sur R et S sur H. 1. Dérivez de ces hypothèses un système composé de deux congruences. 2. Essayez de résoudre le système et d obtenir la valeur de la clef.

58 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système de Vigenère Attribué à Vigenère (16ème siècle). Généralisation du système de César où le décalage dépend de façon périodique de la position de la lettre dans le texte clair. On fixe une période n 1. On prend P = C = K = (Z 26 ) n

59 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On pose : E k ( p) = ( p + k) mod 26 D k ( c) = ( c k) mod 26 Évidemment, la fonction de chiffrement est affine.

60 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Le système de Vigenère est un premier exemple de système poly-alphabétique : un caractère peut être transformé dans des caractères différents selon sa position dans le texte. Par opposition, dans le système par substitution chaque caractère est transformé dans un seul caractère, de façon indépendante de sa position. Dans ce cas, on parle de système mono-alphabétique. NB Dans un système mono-alphabétique, le diagramme de distribution des caractères aura des pics comme dans les langages naturels (6 lettres constituent environ moitié du texte).

61 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par texte chiffré Le nombre de clefs est maintenant (26) n, ce qui est déjà considérable pour n = 10. Ainsi une attaque par énumération semble inefficace. Si on connaît la période n, alors on peut disposer le texte sur n colonnes. Par exemple, pour n = 5 X U O L M A B D H J K Z W J M...

62 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On sait que les lettres sur la même colonne dépendent du même décalage. Analyse de fréquence : la lettre la plus fréquente dans une colonne est probablement la lettre la plus fréquente dans le langage naturel. On calcule le décalage correspondant.

63 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Comment déterminer la période? La système a été considéré inattaquable pendant 3 siècles jusqu à Kasinski (1860). Il propose la méthode suivante pour déterminer la période. 1. On cherche dans le texte des répétitions du même mot (le plus long le mieux). 2. On calcule les distances entre les occurrences de chaque mot répété. Si un mot répété vient du chiffrement du même mot à partir de la même position alors les distances doivent être des multiples de la période n. 3. On calcule le pgcd des distances de mots (longs) répétés. 4. On applique l analyse de fréquence à chaque colonne.

64 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Indice de coïncidence Une autre méthode pour calculer la période. 1. On compte le nombre n i d occurrences de la lettre i dans un texte avec n lettres. 2. La probabilité que 2 lettres soient i est C(n i, 2)/C(n, 2). 3. L indice de coïncidence (IC) est obtenu en additionant cette probabilité pour toutes les lettres. 4. L indice est invariant par substitution (donc par décalage). 5. On calcule les IC par colonnes jusqu a trouver des IC proches du langage naturel. Langage Anglais Français Allemand IC 0,065 0,074 0,072

65 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algèbre linéaire sur les anneaux (rappel) On généralise le système affine aux espaces de dimension supérieure. D abord on rappelle certaines propriétés d algèbre linéaire sur un anneau. Soit R un anneau commutatif avec un élément 0 comme unité de l addition et un élément 1 comme unité de la multiplication. Par exemple, on peut penser à Z m. Soit R[m, n] la collection de matrices sur R avec m lignes et n colonnes, avec éléments génériques A, B,...

66 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, L addition et la multiplication de matrices est définie de façon standard. R[n, n] possède un structure d anneau avec élément unité I. Si A est une matrice alors on dénote avec A[i, j] l élément avec coordonnées (i, j).

67 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Déterminant Le déterminant d une matrice A R[n, n] est défini de façon inductive par si n = 1 alors det(a) = A[1, 1]. Autrement, det(a) = Σ j=1,...,n ( 1) i+j A[i, j]det(a i,j ) où A i,j R[n 1, n 1] est la matrice qui résulte de A en effaçant la ligne i et la colonne j. On sait que le déterminant ne dépend pas du choix de la ligne (ou colonne) i {1,..., n}.

68 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple (déterminant 2 2) On suppose A = a 1,1 a 1,2 a 2,1 a 2,2 Alors en calculant par rapport à la première ligne : A 1,1 = [a 2,2 ] A 1,2 = [a 2,1 ] Donc det(a) = ( 1) 1+1 a 1,1 A 1,1 + ( 1) 1+2 a 1,2 A 1,2 = a 1,1 a 2,2 a 1,2 a 2,1

69 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (déterminant 3 3) On suppose A = a 1,1 a 1,2 a 1,3 a 2,1 a 2,2 a 2,3 a 3,1 a 3,2 a 3,3 Donnez une formule pour calculer det(a).

70 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Adjoint et Inverse Une matrice A R[n, n] a une inverse multiplicative si et seulement si det(a) a une inverse dans R. Pour calculer l inverse, on définit la matrice adjointe (notez l inversion des indices) : adj (A)[i, j] = ( 1) i+j det(a j,i ). Alors A 1 = (1/det(A))adj (A) Il y des algorithmes polynomiaux en temps pour calculer déterminant et inverse basés sur l élimination de Gauss.

71 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (calculer une inverse) On travaille sur Z 11. On suppose A = Calculez det(a). 2. Déterminez son inverse. 3. Ensuite calculez la matrice adjointe. 4. Enfin, calculez la matrice inverse.

72 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonctions linéaires affines Fait : Une fonction linéaire affine f : R n R n est déterminée par une matrice A R[n, n] et un vecteur b R[n] tels que f(x) = Ax + b Si b = 0 alors on parle d une fonction linéaire. Une fonction linéaire affine est bijective si et seulement si det(a) a une inverse dans R. Plusieurs systèmes historiques sont déterminés par une fonction linéaire affine. Par exemple celui de Vigenère. D autres exemples suivent.

73 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Permutation (ou transposition) Une permutation π : {1,..., n} {1,..., n} induit un chiffrement à bloc sur Σ n où E π (x 1,..., x n ) = (x π(1),..., x π(n) ) D π 1(x 1,..., x n ) = (x π 1 (1),..., x π 1 (n)) NB Ceci est différent d un système par substitution.

74 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Avec chaque permutation π, on associe une matrice I π R[n, n], obtenue de la matrice identité en permutant les lignes de la matrice identité selon la permutation π. Alors E π ( x) = I π x. Ainsi, le chiffrement par permutation peut être vue comme une fonction linéaire.

75 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple (matrice de permutation) On suppose une permutation π telle que π(1) = 2 π(2) = 3 π(3) = 1 La matrice I π correspondante est :

76 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques La fréquence des lettres dans le texte chiffré est la même que dans le texte clair. Ainsi il est facile de voir si un texte chiffré a été chiffré avec un système par permutation. Pour réduire l espace des clefs, on peut sélectionner certains digrammes ou tri-grammes du langage du texte clair et ensuite chercher des permutations qui maximisent leur fréquence dans le texte chiffré. Aussi si un texte clair est connu, on peut chercher son anagramme dans le texte chiffré.

77 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attribué à Hill (1929). Système de Hill La fonction de chiffrement est déterminée par une fonction linéaire inversible sur (Z m ) n. En d autres termes une matrice A Z m [n, n] avec un déterminant inversible. E A ( x) = (A x) mod m.

78 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par texte clair connu sur les systèmes linéaires affines Les systèmes linéaires affines avec alphabet Z m et longueur du bloc n sont vulnérables aux attaques par texte clair connu. On suppose que la fonction de chiffrement est E : (Z m ) n (Z m ) n, E( x) = (A x + b) mod m Si l attaquant connaît n + 1 textes clairs w i et les textes chiffrés correspondants c i = (Aw i + b) mod m, i = 0,..., n alors il y a une méthode pour calculer la clef (A, b).

79 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Soit W une matrice n n dont les colonnes sont les différences (w i w 0 ) mod m, pour i = 1,..., n. 2. Soit C une matrice n n dont les colonnes sont les différences (c i c 0 ) mod m, pour i = 1,..., n.

80 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On remarque que c i c 0 A(w i w 0 ) mod m. Ainsi on a (AW C) mod m. 4. Si, avec un peu de chance, det(w ) est premier avec m, alors soit w son inverse et soit W 1 = w adj (W ). Alors ( A CW 1 ) mod m et (b (c 0 Aw 0 )) mod m.

81 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (attaque par texte clair connu) On suppose savoir qu un système de Hill sur (Z 26 ) 2 chiffre HAND avec FOOT. Est-ce suffisant pour déterminer la clef?

82 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Les fonctions linéaires affines (Z m ) n expliquent plusieurs systèmes classiques. Tous ces systèmes sont vulnérables aux attaques par texte clair connu.

83 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité parfaite

84 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Masque jetable (one time pad) Un message est maintenant représenté par une séquence de bits. Par exemple, codes ASCII de caractères du clavier. Si le texte clair a longueur n, on prend : P = C = K = {0, 1} n. Ces ensembles dépendent de la longueur du message qu on veut chiffrer!

85 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction xor Le xor (ou exclusif) : {0, 1} 2 {0, 1} x 1 x On étend à {0, 1} n {0, 1} n {0, 1} point à point.

86 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Masque jetable (suite) Étant donné, k K = {0, 1}n, on définit : E k : {0, 1} n {0, 1} n D k : {0, 1} n {0, 1} n E k (p) = p k D k (c) = c k On observe que est associatif, k k = 0 et p 0 = p. Donc D k (E k (p)) = (p k) k = p.

87 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Ce système est attribué à Gilbert Vernam (1917). Il s agit d un système symétrique où la longueur de la clef est supérieure ou égale à la longueur du message envoyé. On dit que les communications top secret entre USA et URSS étaient chiffrées en utilisant ce système.

88 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Espace de probabilité On rappelle certains faits. Un espace de probabilité (Ω, A, P ) est un triplet où : Ω est un ensemble non-vide. A est un sous-ensemble non vide d événements de 2 Ω, stable par complément et unions (et intersections) dénombrables. P : A [0, 1] est une fonction qu on appelle mesure de probabilité telle que P (Ω) = 1 et telle que P est additive par rapport à des unions dénombrables d événements disjoints entre eux : P ( i 0 A i ) = Σ i 0 P (A i ) NB En pratique, si Ω est fini : A = 2 Ω et P (A) = Σ ω A P (ω).

89 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Probabilité conditionnelle Soient A, B deux événements sur un espace de probabilité (Ω, A, P ) tel que P (A) > 0. Alors : P (B A) = P (B A)/P (A) est la probabilité conditionnelle de B étant donné A. On remarquera que si P (A) = 0 alors P (B A) n est pas définie. Formule de Bayes : en supposant P (A), P (B) > 0 : P (B)P (A B) = P (A)P (B A)

90 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Indépendance Deux événements A, B sont indépendants si P (A B) = P (A)P (B). Si P (B) > 0, l indépendance de A et B est équivalente à : P (A B) = P (A).

91 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Analyse de la masque jetable Cette analyse est due à Claude Shannon (1949), le père de la théorie de l information. On suppose que l espace de probabilité est défini sur Ω = P K.

92 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Événements à considérer (p, k) {(p, k)} est l événement où le texte clair p est chiffré avec la clef k. p {(p, k) k K} est l événement où le texte clair p est chiffré. k {(p, k) p P} est l événement où la clef k est utilisée pour chiffrer un texte clair. c {(p, k) E k (p) = c} est l événement où le texte chiffré est c.

93 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Hypothèses Les événements p et k sont indépendants, c est-à-dire P (p k) = P (p, k) = P (p)p (k). L attaquant connaît P (p), pour tout p P. NB Ceci est en faveur de l attaquant qui a une connaissance parfaite de la fréquence de tout texte clair de longueur n!

94 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité parfaite Un système cryptographique assure la confidentialité parfaite si le fait d observer un texte chiffré c ne fournit aucune information (probabiliste) sur le texte clair correspondant p. En d autres termes, si pour tout p P et c C avec P (c) > 0 P (p c) = P (p) On remarquera que ceci implique que p et c sont indépendants car P (p c)/p (c) = P (p) P (p c) = P (p)p (c).

95 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple P = {0, 1}, K = {A, B}, C = {a, b}. La fonction de chiffrement est définie par p k E k (p) 0 A a 1 A b 0 B b 1 B a

96 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La probabilité des textes clairs p et des clefs k : p P k P 0 1/4 A 1/4 1 3/4 B 3/4

97 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La probabilité dérivée du texte chiffré c : c P a 10/16 b 6/16

98 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Les autres probabilités dérivées : p c P (p c) P (p c)/p (c) 0 a 1/16 1/10 1 a 9/16 9/10 0 b 3/16 1/2 1 b 3/16 1/2 Ce système assure-t-il la confidentialité parfaite?

99 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Non! Par exemple, supposons que l attaquant voit le texte chiffré a. La probabilité que le texte clair est 1 est 9/10. Ce qui est différent de 3/4 qui est la probabilité qu un texte clair est 1.

100 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Théorème Soit donné un système cryptographique tel que : P = C = K et pour tout p P et c C, P (p), P (c) > 0. Alors le système assure la confidentialité parfaite ssi 1. Les clefs sont sélectionnées avec une probabilité uniforme P (k) = 1/ K. 2. p, c!k (E k (p) = c).

101 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Preuve : confidentialité parfaite implique 1 et 2 Pour tout texte clair p, on doit avoir que {E k (p) k K} = C S il y avait un texte chiffré c qui diffère de E k (p) pour tout k, alors P (c p) = 0 P (c) > 0. ce qui contredit l hypothèse de confidentialité parfaite. Pourquoi? Ainsi pour tout texte clair p et texte chiffré c il existe unique k(p, c) K tel que E k(p,c) (p) = c.

102 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On remarque que K = {k(p, c) p P}. Maintenant, on démontre que P (k(p, c)) est constante par rapport à p, ce qui implique que P (k(p, c)) = 1/ K. Pour démontrer cette propriété, on calcule : P (p) = P (p c) (par confidentialité parfaite) = P (c p)p (p)/p (c) (par Bayes) = P (k(p, c))p (p)/p (c) (par définition). Ainsi P (k(p, c)) = P (c) pour tout texte clair p.

103 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Preuve : 1 et 2 impliquent la confidentialité parfaite Il suffit d observer que : P (p c) = P (p)p (c p)/p (c) (par Bayes) = P (p)p (k(p, c))/σ q P P (q)p (k(q, c)) (par hyp. (2)) = (P (p)1/ K)/(1/ K(Σ q P P (q))) (par hyp. (1)) = P (p).

104 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Corollaire Le système de la masque jetable avec choix uniforme des clefs assure la confidentialité parfaite. On vérifie sur {0, 1} que c, p! k (p k = c). Ceci se généralise de suite à {0, 1} n.

105 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (longueur de la clé) Supposons qu on dispose d un système cryptographique tel que : K < P. Pour tout p P, P (p) > 0. On a donc moins de clés que de textes à chiffrer. Or un tel système ne peut pas assurer la confidentialité parfaite. Soit c = E k (p) avec P (k) > 0. Il doit exister p P tel que pour tout k K, p D k (c). Il suit que 0 = P (p c) P (p ) > 0.

106 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (confidentialité authentification) Le système à masque jetable assure la confidentialité parfaite ma ne garantit pas l authentification du message. Par exemple, un attaquant peut complémenter les bits du message chiffré. Dans ce cas, le recepteur, après déchiffrement du message, va accepter un message qui est le complémentaire du message authentique.

107 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Nous avons analysé deux systèmes extrêmes : Systèmes qu un élève de primaire peut utiliser et casser (décalage, substitution). Systèmes qui sont incassables (en théorie!) mais dont l utilisation n est pas très pratique. Pour avoir des systèmes pratiques qui assurent un bon niveau de confidentialité nous allons supposer que l attaquant : dispose d un pouvoir de calcul limité. a une probabilité de succès négligeable (mais pas forcement nulle).

108 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Générateurs pseudo-aléatoires et 1-confidentialité

109 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme PPT Un algorithme PPT (probabilistic polynomial time) est un algorithme qui calcule en temps polynomial dans la taille de son entrée et qui peut utiliser pendant le calcul un générateur de bits aléatoires non-biaisé. Si les seuls résultats de l algorithme PPT sont 0 ou 1 on parle aussi d algorithme de décision PPT. On fait l hypothèse : attaquant raisonnable = algorithme de décision PPT Rappel On ne sait pas si le fait d avoir accès à une source aléatoire augmente vraiment le pouvoir de l attaquant.

110 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme avec oracle On s intéresse aussi à un algorithme PPT A f qui a la possibilité d appeler une fonction f. Par exemple, la fonction f pourrait être la fonction de chiffrement. Dans ce cas, f est utilisée comme un oracle capable de produire le chiffrement d un message arbitraire. L algorithme (=attaquant) peut donc calculer le chiffrement d un message sans pour autant connaître la clé.

111 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Paramètre de sécurité En général, on spécifie un système cryptographique qui depend d un paramètre de sécurité. Typiquement, ce paramètre est la taille de la clé du système (taille = nombre de bits). L analyse de la sécurité du système est fonction de n (comme en complexité asymptotique). Dans la mise-en-oeuvre on choisit un paramètre assez grand pour garantir un niveau de sécurité adéquat. Par exemple, on choisit n pour que la probabilité d attaque soit inférieure à

112 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction négligeable Une fonction ɛ : N N est négligeable si pour tout k 1 on a : en d autres termes : ɛ est O(n k ) k 1 c, n 0 N n n 0 ( ɛ(n) c n k ) De façon plus informelle, on dit que pour tout polynôme, ɛ décroit plus vite que l inverse du polynôme.

113 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Stabilité des fonctions négligeables 1. Si ɛ 1 et ɛ 2 sont négligeables alors ɛ 1 + ɛ 2 est négligeable. 2. Si ɛ est négligeable et p est un polynôme dans une variable alors p ɛ est encore négligeable.

114 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Familles de distributions (ensemble) Considérons le chiffrement d un message m. Ce chiffrement dépend du paramètre de sécurité n. De plus, si l on fixe le paramètre de sécurité, le chiffrement va dépendre du choix aléatoire de la clé. Pour un n fixé, le chiffrement du message m est une variable aléatoire discrète (v.a.d.) X n. Si n est variable, le chiffrement du message m est une famille de v.a.d. {X n } n ω En anglais : probability ensemble.

115 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Egalité et équivalence calculatoire de familles de v.a.d. Dans le système à masque jetable, les chiffrements de deux messages différents produisent deux distributions identiques (à savoir la distribution uniforme). En pratique, on relâche cette condition d égalité en une condition d équivalence calculatoire. On dit que deux familles de v.a.d. {X n } n ω, {Y n } n ω sont équivalentes si pour tout algorithme de décision PPT A (paramétré 1 n omis) la fonction : est négligeable. ɛ(n) = P [A X n = 1] P [A Y n = 1]

116 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (symétrie de la définition) La définition implique que la quantité : est aussi négligeable. P [A X n = 0] P [A Y n = 0] En effet, si A est un algorithme de décision PPT alors l algorithme A qui calcule A et complémente le résultat est aussi un algorithme de décision PPT. On a donc : P [A X n = 1] = P [A X n = 0] P [A Y n = 1] = P [A Y n = 0] P [A X n = 0] P [A Y n = 0] = P [A X n = 1] P [A Y n = 1]

117 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Subtilité de la définition Soit X n une fonction qui échantillonne n-bits avec probabilité uniforme et soit Y n = X c n. Soit A l algorithme PPT qui prend une suite de n-bits et retourne le premier bit. On a : P [A X n = 1] P [A Y n = 1] = 0 P [A X n A Y n ] = 1 Si maintenant X n échantillonne n-bits avec une probabilité 3/4 que le premier bit soit 1 on a : P [A X n = 1] P [A Y n = 1] = 1/2

118 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Stabilité de la notion d équivalence calculatoire La notion d équivalence calculatoire se base sur l analyse d 1 seul échantillon de la v.a.d. Que se passe-t-il s il on peut disposer de m échantillons indépendants? Rien ne change tant que : le nombre d échantillons est borné par un polynôme dans le paramètre de sécurité. il y a un algorithme PPT pour échantilloner la v.a.d. ; on dit que la v.a.d. est échantillonable.

119 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Argument hybride La preuve consiste à construire des familles de v.a.d. hybrides qui interpolent les deux familles qui nous intéressent. On considère un cas simplifié. Soit X, Y v.a.d. échantillonnables telles que pour tout A algorithme de décision PPT d(a, X, Y ) = P [A X = 1] P [A Y = 1] ɛ On montre que les v.a.d. (X, X) et (Y, Y ) (on échantillonne 2 fois) ont la propriété que pour tout A algorithme de décision PPT d(a, (X, X), (Y, Y )) 2 ɛ

120 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On utilise l inégalité triangulaire : d(a, (X, X), (Y, Y )) = P [A (X, X) = 1] P [A (X, Y ) = 1]+ P [A (X, Y ) = 1] P [A (Y, Y ) = 1] d(a, (X, X), (X, Y )) + d(a, (X, Y ), (Y, Y )) Si on pose A 1 = A (X, ) on a encore un algorithme de décision PPT (hyp. X échantillonnable) et d(a, (X, X), (Y, Y )) = d(a 1, X, Y ) ɛ. De façon similaire, on pose A 2 = A (, Y ) et on dérive : d(a, (X, X), (Y, Y )) = d(a 2, X, Y ) ɛ.

121 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Variations Les définitions de sécurité qui vont suivre (1-confidentialité, CPA-confidentialité, authentification...) sont des variations sur la notion d équivalence : On a deux familles de v.a.d.. On demande à que toute fonction PPT ait une probabilité négligéable de les distinguer. Dans ce contexte, les preuves de sécurité consistent à montrer que : si deux familles de v.a.d. sont équivalentes alors deux autres familles le sont aussi (exemple à suivre).

122 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Équivalence calculatoire et PRG Intuitivement, un générateur pseudo-aléatoire (PRG) est une fonction qui prend n bits aléatoires et produit l(n) > n bits qui semblent aléatoires à un attaquant PPT. Formellement, G est un PRG s il consiste en une (famille de) fonctions : G n : 2 n 2 l(n) n ω, l(n) > n telle que les deux familles de v.a.d suivantes sont équivalentes : [k 2 n : G n (k)] [x 2 l(n) : x]

123 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Tests pour PRG Le fait qu on fait référence à une distribution uniforme permet de tester un PRG. Voir, par exemple, pour une liste de tests. En général, il s agit de tests efficaces (PPT) et donc la définition proposée implique qu un PRG doit passer tous ces tests.

124 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système cryptographique symétrique (revisité) Un triplet d algorithmes PPT : G : 1 n K E : K P C D : K C P (générateur) (chiffrement) (déchiffrement) tels que, pour tout k K, p P : D(k, E(k, p)) = p En général, on suppose que G(1 n ) n et que E et D traitent des textes clairs et chiffrés dont la longueur est polynomiale en n. Dans certains cas, on suppose que cette longueur est fixée.

125 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité Dans le système à masque jetable, les distributions des chiffrements de deux messages différents sont identiques. Il en suit que le chiffrement d un message ne dévoile aucune information sur le message clair. On introduit un affaiblissement de cette notion que l on appelle confidentialité pour 1 message (abrégé en 1-confidentialité). On dit que le système cryptographique (symétrique) assure la 1-confidentialité si pour m, m messages tel que m = m, et avec un choix uniforme de la clef, la distribution du chiffrement de m est équivalente à la distribution du chiffrement de m.

126 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Ceci revient à dire que pour tout algorithme de décision PPT A et en fonction du paramètre de sécurité (la taille de la clef), la quantité : P [A (m, m, E k (m)) = 1] P [A (m, m, E k (m ))] = 1] est négligeable.

127 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRG implique 1-confidentialité Si l on dispose d un PRG G n : 2 n 2 l(n) (à ne pas confondre avec les générateur de clé) alors on peut construire un système qui assure la 1-confidentialité de messages de longueur l(n) en définissant : E k (m) = G n (k) m k 2 n, m l(n) Argument Soient m 1, m 2 deux messages de longueur l(n). On sait que (masque jetable) : U l(n) m 1 = U l(n) m 2 Par ailleurs, on doit avoir pour i = 1, 2 : autrement, G n est pas un PRG. (G U n ) m i U l(n) m i

128 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRG : théorie et pratique En théorie, on peut construire un PRG à partir d une fonction à sens unique (preuve compliquée et construction pas très efficace). En pratique, on peut utiliser un (candidat pour un) PRF (pseudo-random function) comme DES ou AES. On a aussi des constructions spécialisées comme RC4, Fortuna,.... Voir secure_pseudorandom_number_generator#designs.

129 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction à sens unique (définition formelle) Une fonction f : 2 2 est à sens unique si elle est : 1. facile à calculer, à savoir calculable en PPT. 2. difficile à inverser, pour tout g : 2 2 PPT, la fonction est négligeable. ɛ(n) = P [x 2 n : f(g(f(x))) = f(x)] De façon plus informelle, la probabilité de trouver une image inverse est négligeable.