CRYPTOGRAPHIE Roberto M. Amadio

Transcription

1 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, CRYPTOGRAPHIE Roberto M. Amadio Master Ingénierie Informatique Université Paris Diderot (Paris 7)

2 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Cryptologie : de quoi s agit-il? La crypto-logie se décompose en deux activités : Crypto-graphie : l art de chiffrer les communications. Crypto-analyse : l art d analyser les communications chiffrées. NB En pratique, on utilise le terme cryptographie pour se référer aux deux activités.

3 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une longue histoire et beaucoup d histoires amusantes. Pendant longtemps un art et une activité mystérieuse. Facteurs de changement : introduction des ordinateurs, intérêt commercial, consolidation mathématique. Une variété d ingrédients techniques : théorie des nombres, probabilités, théorie de l information et codage, théorie de la complexité du calcul.

4 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Quelles propriétés la cryptographie peut-elle garantir? Voici une tâche élémentaire : A souhaite envoyer un message à B sur un canal où un attaquant C peut écouter (eavesdrop). A et B se mettent d accord sur une méthode pour chiffrer et déchiffrer le message. A chiffre le message avant de l envoyer. B déchiffre le message après l avoir reçu. Problème Comment définir le fait que l attaquant obtient de l information sur le message?

5 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Quelques variations possibles Attaquant actif C peut intercepter et remplacer des messages. Authentification B veut être sûr que le message qu il reçoit vient de A. Anonymat A et B veulent voter sans révéler leur identité. Non-répudiation B peut prouver que A a effectué une commande.

6 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une définition (préliminaire) de système cryptographique Des ensembles finis : P C K (textes clairs) (textes chiffrés) (clés) Des algorithmes : G : 1 K E : K P C D : K C P (générateur de clés) (chiffrement) (dechiffrement) tels que : k 1 k 2 p D k2 (E k1 (p)) = p où E k = E(k, ) et D k = D(k, ).

7 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques sur la définition Tous les espaces sont supposés finis. Le chiffrement E k est toujours injectif. Le générateur G et parfois le chiffrement E sont des algorithmes probabilistes. Pour traiter les messages de longueur arbitraire, il faut les couper en segments de taille bornée. L attaquant C comprend quand un texte clair est significatif. Les algorithmes de chiffrement et déchiffrement sont publiques.

8 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, NB Cette définition sera raffinée dans la suite du cours.

9 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme probabiliste (rappel) Un algorithme probabiliste A est un algorithme qui peut utiliser des bits aléatoires pour determiner son prochain état. En particulier, pour une entrée i soit Ω l ensemble des exécutions finies de A sur i. Si ω Ω alors r(ω) est le nombre de bits aléatoires utilisés dans ω. La probabilité de terminaison de A(i) est : Σ ω Ω 2 r(ω) Le temps moyen de calcul est : Σ ω Ω ω 2 r(ω)

10 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Terminologie Français Texte clair Texte chiffré Clef Déchiffrement Chiffrement Système cryptographique Texte chiffré connu Texte clair connu Texte clair choisi Texte chiffré choisi English Plaintext Ciphertext Key Decryption Encryption Cryptographic system Known cipher text Known plain text Chosen plain text Chosen cipher text

11 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes symétriques Il est facile de calculer la clef de déchiffrement à partir de la clef de chiffrement (et vice versa). Utilisation : 1. A génère de façon aléatoire une nouvelle clef k. 2. A communique la nouvelle clef k à B en utilisant un canal sûr. 3. A et B échangent des messages en utilisant la clef k.

12 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemples basés sur DES, AES,... Avantages : Chiffrement et déchiffrement rapide. Petites Clefs. Inconvénients : Un canal sûr est nécessaire pour initialiser la communication. Pour chaque correspondant, il faut maintenir une clef secrète.

13 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes asymétriques Les clefs de chiffrement et déchiffrement sont différentes et il est difficile de calculer l une à partir de l autre. Utilisation : 1. B génère un couple de clefs (k 1, k 2 ) telles que D k2 E k1 = id P. 2. B rend k 1 publique et maintient k 2 secrète. 3. A peut apprendre la clef publique k 1, chiffrer des messages avec elle et les envoyer à B. Dans ce cas, seulement B sera capable de déchiffrer ces messages en utilisant la clef secrète k 2.

14 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemples basés sur RSA, El Gamal,... Avantages : il ne faut pas se soucier du secret de la clef (mais il faut quand même être sûr que la clef est authentique). Inconvénient : Moins efficace que les systèmes symétriques (au moins, actuellement). NB En pratique on combine les deux systèmes : on utilise une clef asymétrique avec une longue durée de vie pour déterminer une clef symétrique pour une session seulement.

15 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un exemple (informel) de protocole cryptographique Les fonctions cryptographiques ont plusieurs applications qui vont bien au delà de la simple tâche de protéger l information que nous avons considéré pour l instant. Comme exemple simple, nous considérons le problème de jouer à pile ou face au téléphone. Le protocole considéré se base sur le concept cryptographique de fonction à sens unique.

16 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonctions à sens unique (intuition) Soit f : D D une fonction avec un (grand) domaine D. On dit que f est à sens unique (one way function) si : 1. Étant donné x, il est facile de calculer f(x). 2. Étant donné y, il est difficile de trouver x tel que f(x) = y (Inversion). 3. Il est difficile de trouver x 1 x 2 tels que f(x 1 ) = f(x 2 ) (Collision).

17 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Bien sûr, on a pas donné une définition : facile et difficile n ont pas de signification précise. Une possibilité est d établir que difficile signifie pas en temps probabiliste polynomial. Sous cette hypothèse, l existence d une fonction à sens unique est un problème ouvert majeur de la cryptographie. NB Il s agit d une caractéristique du domaine : plusieurs protocoles se basent sur la conjecture que certaines fonctions sont difficiles à calculer (par exemple, la fonction qui calcule les facteurs premiers d un nombre).

18 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Hypothèses pour le protocole A et B veulent jouer à pile ou face au téléphone. La ligne de téléphone est sécurisée : A et B sont sûrs de parler entre eux. A et B se mettent d accord pour utiliser une fonction f à sens unique. A et B ne se font pas confiance (il viennent de divorcer et doivent décider qui garde la maison...).

19 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un peu de notation (νx D) : affecte à x une valeur aléatoire du domaine D. Par exemple, D = Z m = {0,..., m 1}. A!exp : envoie à A un message qui résulte de l évaluation de l expression exp. B?x : on reçoit de B un message dont la valeur est affectée à la variable x.

20 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une description du protocole A B (1) (νx 1 Z m )B!f(x 1 ) A?y 1. (2) B?x 2. (νy 2 {0, 1})A!y 2 (3) B!x 1. A?y 3. (4) if x 1 mod 2 = x 2 if f(y 3 ) = y 1 then then LOSE if y 3 mod 2 = y 2 then WIN else WIN else LOSE

21 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques Chaque participant au protocole exécute en parallèle un certain nombre d instructions. Dans le protocole en question, la communication est fiable et synchrone (handshaking). En général, la communication est asynchrone (Internet...) et non fiable. Ici on suppose que A commence le protocole, qu il y a seulement deux participants et que le protocole est exécuté une fois. En général, on peut avoir plusieurs participants, le protocole peut être exécuté plusieurs fois (éventuellement en parallèle) et chaque participant peut jouer différents rôles (celui qui

22 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, démarre, celui qui répond,...). En plus, certains participants peuvent être malhonnêtes.

23 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques (suite) 1. On suppose que B a la capacité d inverser f. Comment B peut-il tricher (en effectuant un calcul additionnel)? 2. On suppose que A a la capacité de trouver des collisions dans f. Comment A peut-il tricher (en effectuant un calcul additionnel)? 3. On suppose que f est à sens unique. Pourquoi B devrait-il avoir confiance en A? 4. On suppose que le générateur aléatoire de A est biaisé alors que celui de B est équitable. Par exemple, A choisit plus souvent un nombre pair. Les chances que A gagne sont-elles affectées? Quid si B est biaisé et A équitable? 5. Maintenant on suppose que les deux générateurs aléatoires de A et B sont biaisés. Les chances que A gagne sont-elles affectées?

24 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Objectifs du cours 1. Introduction aux fonctions cryptographiques de base. 2. Pratique (utilisation, programmation, attaque,...) des constructions cryptographiques introduite.

25 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Pre-réquis Algorithmique et Complexité. Programmation (en Java). Probabilités discrètes. Arithmétique modulaire. Algèbre linéaire.

26 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Contrôle des connaissances 50% travaux pratiques/dirigés avec contrôle continu (écrit et/ou oral à la machine). 50% examen final écrit.

27 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La référence principale est : Références bibliographiques Introduction to modern cryptography. J. Katz, Y. Lindell. Chapman & Hall. Ce livre introduit à un niveau accessible la méthodologie developpée à partir des année 80 (dite moderne ) : 1. Définition de sécurité. 2. Construction de fonctions cryptographiques. 3. Preuve que les fonctions assurent un certain niveau de sécurité par réduction à certaines hypothèses (plus ou moins) standards. 4. Attaque? Revoir la définition Inefficace? Relâcher la définition, ou revoir la construction ou faire des compromis...

28 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Autres références Handbook of applied cryptography, Disponible en ligne. http :// Encyclopédique. Applied Cryptography : Protocols, Algorithms, and Source Code in C, Second Edition, par Bruce Schneier, publié par John Wiley & Sons (disponible aussi en Français). Flou sur les fondements mais avec tous les détails de mise en oeuvre. Security Engineering, Ross Anderson, Wiley. Disponible en ligne. Un survol à haut-niveau sur l état de l art en sécurité. Utile pour réaliser qu une fois que la cryptographique est au point, il y a encore des attaques dont il faut se soucier.

29 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Systèmes historiques

30 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Conventions Texte clair comme un mot de l alphabet Σ = {A, B,..., Z}. De façon équivalente Z 26 = {0, 1,..., 25}. Espaces, ponctuations, lettres minuscules et majuscules sont ignorées. I wake up early devient IWAKEUPEARLY Les langages naturels sont redondants.

31 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système de César (système à décalage) P = C = K = Z 26. Pour k Z 26 on définit : E k (p) = (p + k) mod 26 D k (c) = (c k) mod 26.

32 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On vérifie : D k (E k (p)) = ((p + k) mod 26 k) mod 26 = (p + k k) mod 26 = p Le système de César est un exemple simple de système symétrique. Le décalage est appliqué lettre par lettre.

33 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par énumération Hypothèse : l attaquant sait quand un texte suffisamment long est un texte significatif. Étant donné un message m m = c 1... c n On essaye les 26 clefs et on calcule (c 1 k) mod 26 (c n k) mod 26. Morale : l espace des clefs est trop petit.

34 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On élargit l espace des clefs. Soit Système de substitution P = C = Z 26 K = {π : Z 26 : Z 26 π permutation} Étant donnée une permutation π, on définit : E π (p) = π(p) D π (c) = π(c). Si π 1 est l inverse de la permutation alors : D π 1(E π (p)) = (π 1 π)(p) = p.

35 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par analyse de fréquence L espace des clefs est maintenant 26!, ce qui est considérable. Cependant... La fréquence des lettres dans les langages naturels a été bien étudiée. Par exemple, Lettre English Français e a o i t s

36 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Il y a un nombre fini de langages naturels. Étant donné un texte suffisamment long, la lettre qui est présente le plus souvent correspond probablement à e, et ainsi de suite... Comme les langages naturels sont redondants, des qu un nombre limité de substitutions ont été déterminées, il est possible de deviner celles qui restent. Il y a des statistiques aussi sur la fréquence de digrammes, tri-grammes,.... Par exemple, THE est un tri-gramme qu on trouve souvent en Anglais.

37 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Arithmétique modulaire (rappel) Quotient et reste Soient a, b Z avec b > 0. Alors!q, r (a = qb + r, 0 r < b). Théorème de Bezout Soient a, b Z. Alors az + bz = pgcd(a, b)z Algorithme d Euclide Soient a, b Z. Alors on peut calculer x, y tels que pgcd(a, b) = ax + by Inverse dans Z m Soient a, m Z, m 2. Alors (ax 1) mod m a une solution ssi pgcd(a, m) = 1 (et dans ce cas l algorithme d Euclide permet de calculer x).

38 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, initialisation L application des règles à 100 et 35 donne : k 0 1 r k q k 2 x k 1 0 y k 0 1

39 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 2 k r k q k 2 1 x k y k 0 1 2

40 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 3 k r k q k x k y k

41 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : Euclide modifié, pas 4 et fin k r k q k x k y k Donc pgcd(100, 35) = 5 =

42 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (Euclide modifié) Appliquez l algorithme pour déterminer x, y tels que pgcd(91, 143) = 91x + 143y.

43 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (sur le chiffrement affine) On considère les méthodes de chiffrement suivantes où Σ = Z 26 : Méthode 1 Chaque lettre a Σ est remplacée par ka mod 26, pour k {1,..., 26} et k impair. Méthode 2 Chaque lettre a Σ est remplacée par ka mod 26 où k {1,..., 26} et pgcd(k, 26) = De quelle méthode peut-on dériver un système cryptographique? 2. Quels sont les espaces de textes clairs, de textes chiffrés et de clefs?

44 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice On considère les fonctions E k : Z 143 Z 143 définies par pour k = 15 et k = 65. E k (x) = (k x) mod Pour quel k (s il existe) E k est susceptible de représenter une fonction de chiffrement? 2. Si E k est une fonction de chiffrement, quelle fonction de déchiffrement D k lui correspond-t-elle?

45 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice Le texte chiffré c = a été obtenu en effectuant un xor du texte clair p avec une suite z de bits générés en utilisant un générateur basé sur la congruence linéaire (z i+1 az i + b) mod 8 Les entiers z i ainsi générés sont interprétés comme des nombres à trois bits b i2 b i1 b i0 de façon telle que z i = b i b i1 2 + b i0. Ainsi on aura : z = b 02 b 01 b 00 b 12 b 11 b 10 b 62 b 61 b 60 c = p z On connaît les premiers 9 bits du texte clair p : p = Déterminez le reste du texte clair.

46 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Chiffrement à bloc Un système cryptographique est un chiffrement à bloc si P = C = Σ n Le système de César et le système par substitution sont des chiffrements à bloc où n = 1 et Σ = Z 26. On remarquera que les fonctions de chiffrement dans les chiffrements à bloc sont toujours des permutations. En pratique, on cherche des classes spéciales de permutations.

47 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Electronic codebook mode (ECB) Étant donné un chiffrement à bloc sur Σn et un document sur Σ, on décompose le document en blocs de longueur n. Si nécessaire, on complète le document (bourrage). Étant donnée une clef k, l émetteur applique la même fonction de chiffrement E k à chaque bloc et le récepteur applique la fonction de déchiffrement correspondente D k.

48 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Faiblesses du ECB A chaque bloc de texte clair correspond un bloc unique de texte chiffré. Il est donc possible de reconnaître un motif du texte clair en regardant le texte chiffré. Un attaquant actif peut substituer un bloc de texte chiffré avec un autre bloc de texte chiffré produit avec la même clef (un problème d authentification de blocs). Ces problèmes sont résolus par la méthode suivante (CBC).

49 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Cipherblock chaining mode (CBC) On suppose que Σ = {0, 1}. On a un vecteur d initialisation IV {0, 1} n qui peut être publique (mais dans certains cas IV doit être une suite aléatoire). Le chiffrement c 1,..., c t de blocs m 1,..., m t est maintenant défini itérativement comme suit : c 0 = IV c j+1 = E k (c j m j+1 ) j = 0,..., t 1 (xor avec texte chiffré précédent suivi de chiffrement).

50 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Le récepteur déchiffre en appliquant la définition suivante : n 0 = IV n j+1 = D k (c j+1 ) c j j = 0,..., t 1 Nous avons n j = m j, car : n j+1 = D k (E k (m j+1 c j )) c j = m j+1 c j c j = m j+1. NB Dans la suite du cours, nous préciserons comment utiliser le mode CBC de façon à avoir certaine propriétés de confidentialité et/ou authentification.

51 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice A utilise un chiffrement à bloc E : 2 s 2 s en mode CBC et avec un vecteur initial IV 2 s. Pour chiffrer un texte clair (x 1, x 2,..., x N ) (2 s ) N, A procède comme suit : c 0 = IV c 1 = E(x 1 c 0 ) c i = E(x i c i 1 ) Ensuite le message chiffré (c 0, c 1,..., c N ) est envoyé à B qui connaît la fonction de déchiffrement D = E 1 : 2 s 2 s.

52 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Une erreur se présente pendant la transmission du premier bloc c 1, ainsi B reçoit un bloc c 1 plutôt que c 1. Quels blocs seront déchiffrés correctement par B?

53 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Maintenant, on suppose que A fait une erreur dans le chiffrement du deuxième bloc, ainsi il calcule un bloc c 2 plutôt que c 2. Quels blocs chiffrés seront affectés par cette erreur? Quels blocs de texte clair pourront être calculés par B, en supposant qu il n y ait pas d erreur de transmission?

54 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système affine en dimension 1 Considérons un chiffrement à bloc où la longueur du bloc est n = 1. Fixons un entier positif m. L espace des clefs est donné par le couple (a, b) Z 2 m tel que a et m sont premiers entre eux. Pour k = (a, b), la fonction de chiffrement est donnée par E k (x) = (ax + b) mod m

55 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Si a 1 est l inverse de a dans Z m (qu on peut déterminer avec l algorithme d Euclide) alors D k (x) = (a 1 (x b)) mod m On remarque que le système affine (comme le système par décalage) est un cas particulier de système par substitution.

56 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Pour m = 26, l espace des clefs contient φ(m) m = 312 éléments, où φ(m) est le nombre d éléments dans Z m premiers avec m. Évidemment, cet espace peut être analysé par une recherche complète. Une autre faiblesse : on peut utiliser une attaque par texte clair connu qui exploite la linéarité de la fonction de chiffrement. La connaissance de la fonction en deux points peut être suffisante à déterminer la clef.

57 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (attaque sur texte clair connu) On sait qu un système affine avec clef (a, b) envoie E sur R et S sur H. 1. Dérivez de ces hypothèses un système composé de deux congruences. 2. Essayez de résoudre le système et d obtenir la valeur de la clef.

58 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système de Vigenère Attribué à Vigenère (16ème siècle). Généralisation du système de César où le décalage dépend de façon périodique de la position de la lettre dans le texte clair. On fixe une période n 1. On prend P = C = K = (Z 26 ) n

59 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On pose : E k ( p) = ( p + k) mod 26 D k ( c) = ( c k) mod 26 Évidemment, la fonction de chiffrement est affine.

60 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Le système de Vigenère est un premier exemple de système poly-alphabétique : un caractère peut être transformé dans des caractères différents selon sa position dans le texte. Par opposition, dans le système par substitution chaque caractère est transformé dans un seul caractère, de façon indépendante de sa position. Dans ce cas, on parle de système mono-alphabétique. NB Dans un système mono-alphabétique, le diagramme de distribution des caractères aura des pics comme dans les langages naturels (6 lettres constituent environ moitié du texte).

61 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par texte chiffré Le nombre de clefs est maintenant (26) n, ce qui est déjà considérable pour n = 10. Ainsi une attaque par énumération semble inefficace. Si on connaît la période n, alors on peut disposer le texte sur n colonnes. Par exemple, pour n = 5 X U O L M A B D H J K Z W J M...

62 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On sait que les lettres sur la même colonne dépendent du même décalage. Analyse de fréquence : la lettre la plus fréquente dans une colonne est probablement la lettre la plus fréquente dans le langage naturel. On calcule le décalage correspondant.

63 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Comment déterminer la période? La système a été considéré inattaquable pendant 3 siècles jusqu à Kasinski (1860). Il propose la méthode suivante pour déterminer la période. 1. On cherche dans le texte des répétitions du même mot (le plus long le mieux). 2. On calcule les distances entre les occurrences de chaque mot répété. Si un mot répété vient du chiffrement du même mot à partir de la même position alors les distances doivent être des multiples de la période n. 3. On calcule le pgcd des distances de mots (longs) répétés. 4. On applique l analyse de fréquence à chaque colonne.

64 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Indice de coïncidence Une autre méthode pour calculer la période. 1. On compte le nombre n i d occurrences de la lettre i dans un texte avec n lettres. 2. La probabilité que 2 lettres soient i est C(n i, 2)/C(n, 2). 3. L indice de coïncidence (IC) est obtenu en additionant cette probabilité pour toutes les lettres. 4. L indice est invariant par substitution (donc par décalage). 5. On calcule les IC par colonnes jusqu a trouver des IC proches du langage naturel. Langage Anglais Français Allemand IC 0,065 0,074 0,072

65 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algèbre linéaire sur les anneaux (rappel) On généralise le système affine aux espaces de dimension supérieure. D abord on rappelle certaines propriétés d algèbre linéaire sur un anneau. Soit R un anneau commutatif avec un élément 0 comme unité de l addition et un élément 1 comme unité de la multiplication. Par exemple, on peut penser à Z m. Soit R[m, n] la collection de matrices sur R avec m lignes et n colonnes, avec éléments génériques A, B,...

66 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, L addition et la multiplication de matrices est définie de façon standard. R[n, n] possède un structure d anneau avec élément unité I. Si A est une matrice alors on dénote avec A[i, j] l élément avec coordonnées (i, j).

67 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Déterminant Le déterminant d une matrice A R[n, n] est défini de façon inductive par si n = 1 alors det(a) = A[1, 1]. Autrement, det(a) = Σ j=1,...,n ( 1) i+j A[i, j]det(a i,j ) où A i,j R[n 1, n 1] est la matrice qui résulte de A en effaçant la ligne i et la colonne j. On sait que le déterminant ne dépend pas du choix de la ligne (ou colonne) i {1,..., n}.

68 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple (déterminant 2 2) On suppose A = a 1,1 a 1,2 a 2,1 a 2,2 Alors en calculant par rapport à la première ligne : A 1,1 = [a 2,2 ] A 1,2 = [a 2,1 ] Donc det(a) = ( 1) 1+1 a 1,1 A 1,1 + ( 1) 1+2 a 1,2 A 1,2 = a 1,1 a 2,2 a 1,2 a 2,1

69 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (déterminant 3 3) On suppose A = a 1,1 a 1,2 a 1,3 a 2,1 a 2,2 a 2,3 a 3,1 a 3,2 a 3,3 Donnez une formule pour calculer det(a).

70 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Adjoint et Inverse Une matrice A R[n, n] a une inverse multiplicative si et seulement si det(a) a une inverse dans R. Pour calculer l inverse, on définit la matrice adjointe (notez l inversion des indices) : adj (A)[i, j] = ( 1) i+j det(a j,i ). Alors A 1 = (1/det(A))adj (A) Il y des algorithmes polynomiaux en temps pour calculer déterminant et inverse basés sur l élimination de Gauss.

71 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (calculer une inverse) On travaille sur Z 11. On suppose A = Calculez det(a). 2. Déterminez son inverse. 3. Ensuite calculez la matrice adjointe. 4. Enfin, calculez la matrice inverse.

72 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonctions linéaires affines Fait : Une fonction linéaire affine f : R n R n est déterminée par une matrice A R[n, n] et un vecteur b R[n] tels que f(x) = Ax + b Si b = 0 alors on parle d une fonction linéaire. Une fonction linéaire affine est bijective si et seulement si det(a) a une inverse dans R. Plusieurs systèmes historiques sont déterminés par une fonction linéaire affine. Par exemple celui de Vigenère. D autres exemples suivent.

73 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Permutation (ou transposition) Une permutation π : {1,..., n} {1,..., n} induit un chiffrement à bloc sur Σ n où E π (x 1,..., x n ) = (x π(1),..., x π(n) ) D π 1(x 1,..., x n ) = (x π 1 (1),..., x π 1 (n)) NB Ceci est différent d un système par substitution.

74 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Avec chaque permutation π, on associe une matrice I π R[n, n], obtenue de la matrice identité en permutant les lignes de la matrice identité selon la permutation π. Alors E π ( x) = I π x. Ainsi, le chiffrement par permutation peut être vue comme une fonction linéaire.

75 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple (matrice de permutation) On suppose une permutation π telle que π(1) = 2 π(2) = 3 π(3) = 1 La matrice I π correspondante est :

76 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques La fréquence des lettres dans le texte chiffré est la même que dans le texte clair. Ainsi il est facile de voir si un texte chiffré a été chiffré avec un système par permutation. Pour réduire l espace des clefs, on peut sélectionner certains digrammes ou tri-grammes du langage du texte clair et ensuite chercher des permutations qui maximisent leur fréquence dans le texte chiffré. Aussi si un texte clair est connu, on peut chercher son anagramme dans le texte chiffré.

77 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attribué à Hill (1929). Système de Hill La fonction de chiffrement est déterminée par une fonction linéaire inversible sur (Z m ) n. En d autres termes une matrice A Z m [n, n] avec un déterminant inversible. E A ( x) = (A x) mod m.

78 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque par texte clair connu sur les systèmes linéaires affines Les systèmes linéaires affines avec alphabet Z m et longueur du bloc n sont vulnérables aux attaques par texte clair connu. On suppose que la fonction de chiffrement est E : (Z m ) n (Z m ) n, E( x) = (A x + b) mod m Si l attaquant connaît n + 1 textes clairs w i et les textes chiffrés correspondants c i = (Aw i + b) mod m, i = 0,..., n alors il y a une méthode pour calculer la clef (A, b).

79 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Soit W une matrice n n dont les colonnes sont les différences (w i w 0 ) mod m, pour i = 1,..., n. 2. Soit C une matrice n n dont les colonnes sont les différences (c i c 0 ) mod m, pour i = 1,..., n.

80 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On remarque que c i c 0 A(w i w 0 ) mod m. Ainsi on a (AW C) mod m. 4. Si, avec un peu de chance, det(w ) est premier avec m, alors soit w son inverse et soit W 1 = w adj (W ). Alors ( A CW 1 ) mod m et (b (c 0 Aw 0 )) mod m.

81 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exercice (attaque par texte clair connu) On suppose savoir qu un système de Hill sur (Z 26 ) 2 chiffre HAND avec FOOT. Est-ce suffisant pour déterminer la clef?

82 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Les fonctions linéaires affines (Z m ) n expliquent plusieurs systèmes classiques. Tous ces systèmes sont vulnérables aux attaques par texte clair connu.

83 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité parfaite

84 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Masque jetable (one time pad) Un message est maintenant représenté par une séquence de bits. Par exemple, codes ASCII de caractères du clavier. Si le texte clair a longueur n, on prend : P = C = K = {0, 1} n. Ces ensembles dépendent de la longueur du message qu on veut chiffrer!

85 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction xor Le xor (ou exclusif) : {0, 1} 2 {0, 1} x 1 x On étend à {0, 1} n {0, 1} n {0, 1} point à point.

86 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Masque jetable (suite) Étant donné, k K = {0, 1}n, on définit : E k : {0, 1} n {0, 1} n D k : {0, 1} n {0, 1} n E k (p) = p k D k (c) = c k On observe que est associatif, k k = 0 et p 0 = p. Donc D k (E k (p)) = (p k) k = p.

87 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Ce système est attribué à Gilbert Vernam (1917). Il s agit d un système symétrique où la longueur de la clef est supérieure ou égale à la longueur du message envoyé. On dit que les communications top secret entre USA et URSS étaient chiffrées en utilisant ce système.

88 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Espace de probabilité On rappelle certains faits. Un espace de probabilité (Ω, A, P ) est un triplet où : Ω est un ensemble non-vide. A est un sous-ensemble non vide d événements de 2 Ω, stable par complément et unions (et intersections) dénombrables. P : A [0, 1] est une fonction qu on appelle mesure de probabilité telle que P (Ω) = 1 et telle que P est additive par rapport à des unions dénombrables d événements disjoints entre eux : P ( i 0 A i ) = Σ i 0 P (A i ) NB En pratique, si Ω est fini : A = 2 Ω et P (A) = Σ ω A P (ω).

89 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Probabilité conditionnelle Soient A, B deux événements sur un espace de probabilité (Ω, A, P ) tel que P (A) > 0. Alors : P (B A) = P (B A)/P (A) est la probabilité conditionnelle de B étant donné A. On remarquera que si P (A) = 0 alors P (B A) n est pas définie. Formule de Bayes : en supposant P (A), P (B) > 0 : P (B)P (A B) = P (A)P (B A)

90 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Indépendance Deux événements A, B sont indépendants si P (A B) = P (A)P (B). Si P (B) > 0, l indépendance de A et B est équivalente à : P (A B) = P (A).

91 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Analyse de la masque jetable Cette analyse est due à Claude Shannon (1949), le père de la théorie de l information. On suppose que l espace de probabilité est défini sur Ω = P K.

92 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Événements à considérer (p, k) {(p, k)} est l événement où le texte clair p est chiffré avec la clef k. p {(p, k) k K} est l événement où le texte clair p est chiffré. k {(p, k) p P} est l événement où la clef k est utilisée pour chiffrer un texte clair. c {(p, k) E k (p) = c} est l événement où le texte chiffré est c.

93 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Hypothèses Les événements p et k sont indépendants, c est-à-dire P (p k) = P (p, k) = P (p)p (k). L attaquant connaît P (p), pour tout p P. NB Ceci est en faveur de l attaquant qui a une connaissance parfaite de la fréquence de tout texte clair de longueur n!

94 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité parfaite Un système cryptographique assure la confidentialité parfaite si le fait d observer un texte chiffré c ne fournit aucune information (probabiliste) sur le texte clair correspondant p. En d autres termes, si pour tout p P et c C avec P (c) > 0 P (p c) = P (p) On remarquera que ceci implique que p et c sont indépendants car P (p c)/p (c) = P (p) P (p c) = P (p)p (c).

95 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple P = {0, 1}, K = {A, B}, C = {a, b}. La fonction de chiffrement est définie par p k E k (p) 0 A a 1 A b 0 B b 1 B a

96 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La probabilité des textes clairs p et des clefs k : p P k P 0 1/4 A 1/4 1 3/4 B 3/4

97 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La probabilité dérivée du texte chiffré c : c P a 10/16 b 6/16

98 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Les autres probabilités dérivées : p c P (p c) P (p c)/p (c) 0 a 1/16 1/10 1 a 9/16 9/10 0 b 3/16 1/2 1 b 3/16 1/2 Ce système assure-t-il la confidentialité parfaite?

99 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Non! Par exemple, supposons que l attaquant voit le texte chiffré a. La probabilité que le texte clair est 1 est 9/10. Ce qui est différent de 3/4 qui est la probabilité qu un texte clair est 1.

100 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Théorème Soit donné un système cryptographique tel que : P = C = K et pour tout p P et c C, P (p), P (c) > 0. Alors le système assure la confidentialité parfaite ssi 1. Les clefs sont sélectionnées avec une probabilité uniforme P (k) = 1/ K. 2. p, c!k (E k (p) = c).

101 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Preuve : confidentialité parfaite implique 1 et 2 Pour tout texte clair p, on doit avoir que {E k (p) k K} = C S il y avait un texte chiffré c qui diffère de E k (p) pour tout k, alors P (c p) = 0 P (c) > 0. ce qui contredit l hypothèse de confidentialité parfaite. Pourquoi? Ainsi pour tout texte clair p et texte chiffré c il existe unique k(p, c) K tel que E k(p,c) (p) = c.

102 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On remarque que K = {k(p, c) p P}. Maintenant, on démontre que P (k(p, c)) est constante par rapport à p, ce qui implique que P (k(p, c)) = 1/ K. Pour démontrer cette propriété, on calcule : P (p) = P (p c) (par confidentialité parfaite) = P (c p)p (p)/p (c) (par Bayes) = P (k(p, c))p (p)/p (c) (par définition). Ainsi P (k(p, c)) = P (c) pour tout texte clair p.

103 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Preuve : 1 et 2 impliquent la confidentialité parfaite Il suffit d observer que : P (p c) = P (p)p (c p)/p (c) (par Bayes) = P (p)p (k(p, c))/σ q P P (q)p (k(q, c)) (par hyp. (2)) = (P (p)1/ K)/(1/ K(Σ q P P (q))) (par hyp. (1)) = P (p).

104 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Corollaire Le système de la masque jetable avec choix uniforme des clefs assure la confidentialité parfaite. On vérifie sur {0, 1} que c, p! k (p k = c). Ceci se généralise de suite à {0, 1} n.

105 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (longueur de la clé) Supposons qu on dispose d un système cryptographique tel que : K < P. Pour tout p P, P (p) > 0. On a donc moins de clés que de textes à chiffrer. Or un tel système ne peut pas assurer la confidentialité parfaite. Soit c = E k (p) avec P (k) > 0. Il doit exister p P tel que pour tout k K, p D k (c). Il suit que 0 = P (p c) P (p ) > 0.

106 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (confidentialité authentification) Le système à masque jetable assure la confidentialité parfaite ma ne garantit pas l authentification du message. Par exemple, un attaquant peut complémenter les bits du message chiffré. Dans ce cas, le recepteur, après déchiffrement du message, va accepter un message qui est le complémentaire du message authentique.

107 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Nous avons analysé deux systèmes extrêmes : Systèmes qu un élève de primaire peut utiliser et casser (décalage, substitution). Systèmes qui sont incassables (en théorie!) mais dont l utilisation n est pas très pratique. Pour avoir des systèmes pratiques qui assurent un bon niveau de confidentialité nous allons supposer que l attaquant : dispose d un pouvoir de calcul limité. a une probabilité de succès négligeable (mais pas forcement nulle).

108 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Générateurs pseudo-aléatoires et 1-confidentialité

109 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme PPT Un algorithme PPT (probabilistic polynomial time) est un algorithme qui calcule en temps polynomial dans la taille de son entrée et qui peut utiliser pendant le calcul un générateur de bits aléatoires non-biaisé. Si les seuls résultats de l algorithme PPT sont 0 ou 1 on parle aussi d algorithme de décision PPT. On fait l hypothèse : attaquant raisonnable = algorithme de décision PPT Rappel On ne sait pas si le fait d avoir accès à une source aléatoire augmente vraiment le pouvoir de l attaquant.

110 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Algorithme avec oracle On s intéresse aussi à un algorithme PPT A f qui a la possibilité d appeler une fonction f. Par exemple, la fonction f pourrait être la fonction de chiffrement. Dans ce cas, f est utilisée comme un oracle capable de produire le chiffrement d un message arbitraire. L algorithme (=attaquant) peut donc calculer le chiffrement d un message sans pour autant connaître la clé.

111 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Paramètre de sécurité En général, on spécifie un système cryptographique qui depend d un paramètre de sécurité. Typiquement, ce paramètre est la taille de la clé du système (taille = nombre de bits). L analyse de la sécurité du système est fonction de n (comme en complexité asymptotique). Dans la mise-en-oeuvre on choisit un paramètre assez grand pour garantir un niveau de sécurité adéquat. Par exemple, on choisit n pour que la probabilité d attaque soit inférieure à

112 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction négligeable Une fonction ɛ : N N est négligeable si pour tout k 1 on a : en d autres termes : ɛ est O(n k ) k 1 c, n 0 N n n 0 ( ɛ(n) c n k ) De façon plus informelle, on dit que pour tout polynôme, ɛ décroit plus vite que l inverse du polynôme.

113 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Stabilité des fonctions négligeables 1. Si ɛ 1 et ɛ 2 sont négligeables alors ɛ 1 + ɛ 2 est négligeable. 2. Si ɛ est négligeable et p est un polynôme dans une variable alors p ɛ est encore négligeable.

114 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Familles de distributions (ensemble) Considérons le chiffrement d un message m. Ce chiffrement dépend du paramètre de sécurité n. De plus, si l on fixe le paramètre de sécurité, le chiffrement va dépendre du choix aléatoire de la clé. Pour un n fixé, le chiffrement du message m est une variable aléatoire discrète (v.a.d.) X n. Si n est variable, le chiffrement du message m est une famille de v.a.d. {X n } n ω En anglais : probability ensemble.

115 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Egalité et équivalence calculatoire de familles de v.a.d. Dans le système à masque jetable, les chiffrements de deux messages différents produisent deux distributions identiques (à savoir la distribution uniforme). En pratique, on relâche cette condition d égalité en une condition d équivalence calculatoire. On dit que deux familles de v.a.d. {X n } n ω, {Y n } n ω sont équivalentes si pour tout algorithme de décision PPT A (paramétré 1 n omis) la fonction : est négligeable. ɛ(n) = P [A X n = 1] P [A Y n = 1]

116 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (symétrie de la définition) La définition implique que la quantité : est aussi négligeable. P [A X n = 0] P [A Y n = 0] En effet, si A est un algorithme de décision PPT alors l algorithme A qui calcule A et complémente le résultat est aussi un algorithme de décision PPT. On a donc : P [A X n = 1] = P [A X n = 0] P [A Y n = 1] = P [A Y n = 0] P [A X n = 0] P [A Y n = 0] = P [A X n = 1] P [A Y n = 1]

117 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Subtilité de la définition Soit X n une fonction qui échantillonne n-bits avec probabilité uniforme et soit Y n = X c n. Soit A l algorithme PPT qui prend une suite de n-bits et retourne le premier bit. On a : P [A X n = 1] P [A Y n = 1] = 0 P [A X n A Y n ] = 1 Si maintenant X n échantillonne n-bits avec une probabilité 3/4 que le premier bit soit 1 on a : P [A X n = 1] P [A Y n = 1] = 1/2

118 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Stabilité de la notion d équivalence calculatoire La notion d équivalence calculatoire se base sur l analyse d 1 seul échantillon de la v.a.d. Que se passe-t-il s il on peut disposer de m échantillons indépendants? Rien ne change tant que : le nombre d échantillons est borné par un polynôme dans le paramètre de sécurité. il y a un algorithme PPT pour échantilloner la v.a.d. ; on dit que la v.a.d. est échantillonable.

119 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Argument hybride La preuve consiste à construire des familles de v.a.d. hybrides qui interpolent les deux familles qui nous intéressent. On considère un cas simplifié. Soit X, Y v.a.d. échantillonnables telles que pour tout A algorithme de décision PPT d(a, X, Y ) = P [A X = 1] P [A Y = 1] ɛ On montre que les v.a.d. (X, X) et (Y, Y ) (on échantillonne 2 fois) ont la propriété que pour tout A algorithme de décision PPT d(a, (X, X), (Y, Y )) 2 ɛ

120 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On utilise l inégalité triangulaire : d(a, (X, X), (Y, Y )) = P [A (X, X) = 1] P [A (X, Y ) = 1]+ P [A (X, Y ) = 1] P [A (Y, Y ) = 1] d(a, (X, X), (X, Y )) + d(a, (X, Y ), (Y, Y )) Si on pose A 1 = A (X, ) on a encore un algorithme de décision PPT (hyp. X échantillonnable) et d(a, (X, X), (Y, Y )) = d(a 1, X, Y ) ɛ. De façon similaire, on pose A 2 = A (, Y ) et on dérive : d(a, (X, X), (Y, Y )) = d(a 2, X, Y ) ɛ.

121 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Variations Les définitions de sécurité qui vont suivre (1-confidentialité, CPA-confidentialité, authentification...) sont des variations sur la notion d équivalence : On a deux familles de v.a.d.. On demande à que toute fonction PPT ait une probabilité négligéable de les distinguer. Dans ce contexte, les preuves de sécurité consistent à montrer que : si deux familles de v.a.d. sont équivalentes alors deux autres familles le sont aussi (exemple à suivre).

122 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Équivalence calculatoire et PRG Intuitivement, un générateur pseudo-aléatoire (PRG) est une fonction qui prend n bits aléatoires et produit l(n) > n bits qui semblent aléatoires à un attaquant PPT. Formellement, G est un PRG s il consiste en une (famille de) fonctions : G n : 2 n 2 l(n) n ω, l(n) > n telle que les deux familles de v.a.d suivantes sont équivalentes : [k 2 n : G n (k)] [x 2 l(n) : x]

123 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Tests pour PRG Le fait qu on fait référence à une distribution uniforme permet de tester un PRG. Voir, par exemple, pour une liste de tests. En général, il s agit de tests efficaces (PPT) et donc la définition proposée implique qu un PRG doit passer tous ces tests.

124 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Système cryptographique symétrique (revisité) Un triplet d algorithmes PPT : G : 1 n K E : K P C D : K C P (générateur) (chiffrement) (déchiffrement) tels que, pour tout k K, p P : D(k, E(k, p)) = p En général, on suppose que G(1 n ) n et que E et D traitent des textes clairs et chiffrés dont la longueur est polynomiale en n. Dans certains cas, on suppose que cette longueur est fixée.

125 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité Dans le système à masque jetable, les distributions des chiffrements de deux messages différents sont identiques. Il en suit que le chiffrement d un message ne dévoile aucune information sur le message clair. On introduit un affaiblissement de cette notion que l on appelle confidentialité pour 1 message (abrégé en 1-confidentialité). On dit que le système cryptographique (symétrique) assure la 1-confidentialité si pour m, m messages tel que m = m, et avec un choix uniforme de la clef, la distribution du chiffrement de m est équivalente à la distribution du chiffrement de m.

126 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Ceci revient à dire que pour tout algorithme de décision PPT A et en fonction du paramètre de sécurité (la taille de la clef), la quantité : P [A (m, m, E k (m)) = 1] P [A (m, m, E k (m ))] = 1] est négligeable.

127 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRG implique 1-confidentialité Si l on dispose d un PRG G n : 2 n 2 l(n) (à ne pas confondre avec les générateur de clé) alors on peut construire un système qui assure la 1-confidentialité de messages de longueur l(n) en définissant : E k (m) = G n (k) m k 2 n, m l(n) Argument Soient m 1, m 2 deux messages de longueur l(n). On sait que (masque jetable) : U l(n) m 1 = U l(n) m 2 Par ailleurs, on doit avoir pour i = 1, 2 : autrement, G n est pas un PRG. (G U n ) m i U l(n) m i

128 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRG : théorie et pratique En théorie, on peut construire un PRG à partir d une fonction à sens unique (preuve compliquée et construction pas très efficace). En pratique, on peut utiliser un (candidat pour un) PRF (pseudo-random function) comme DES ou AES. On a aussi des constructions spécialisées comme RC4, Fortuna,.... Voir secure_pseudorandom_number_generator#designs.

129 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction à sens unique (définition formelle) Une fonction f : 2 2 est à sens unique si elle est : 1. facile à calculer, à savoir calculable en PPT. 2. difficile à inverser, pour tout g : 2 2 PPT, la fonction est négligeable. ɛ(n) = P [x 2 n : f(g(f(x))) = f(x)] De façon plus informelle, la probabilité de trouver une image inverse est négligeable.

130 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Condition nécessaire : P NP On montre que si P = NP alors on a un algorithme efficace pour calculer l image inverse. Il est facile de vérifier que le langage suivant est dans NP : L = {(z, y) z prefixe x et f(x) = y} On dévine x et on vérifie. Si maintenant P = NP et f(x) = y on a un algorithme efficace pour trouver une image inverse de y : (ɛ, y) L et si (z, y) L alors on trouve i {0, 1} tel que (zi, y) L NB P NP est juste une condition nécessaire à l existence d une fonction à sens unique.

131 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Candidats pour fonction à sens unique Le produit de deux nombres premiers de taille comparable. Basé sur la difficulté à factoriser. L exposant modulaire. Basé sur la difficulté à calculer le logarithme discret. Le problème de la somme de sous-ensembles : pour x 1,..., x n Z et J {1,..., n} on considère la fonction : (x 1,..., x n, J) (x 1,..., x n, Σ i J x i ) Pour inverser (x 1,..., x n, y) il faut trouver J {1,..., n} tel que Σ i J x i = y. On sait que ce problème est NP-complét et on ne connaît pas d algorithme qui marche bien en moyenne.

132 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Fonction à sens unique : une condition nécessaire On peut montrer qu on peut construire une fonction à sens unique à partir de : Un PRG. Un système cryptographique qui assure la 1-confidentialité. Un système qui aussure l authentification (MAC) à venir. Donc l existence d une fonction à sens unique est une condition nécessaire et suffisante pour garantir les propriétés de la cryptographie moderne...

133 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire concepts introduits Algorithme PPT : k A est O(n k ). Fonction négligeable : k 1 ɛ est O(n k ). Equivalence de familles de v.a.d. : ɛ(n) = P [A X n = 1] P [A Y n = 1] négligeable. PRG : [k 2 n : G(k)] [x 2 l(n) : x]. 1-confidentialité : (m, m, E k (m)) (m, m, E k (m )). Construction pour assurer 1-confidentialité avec un PRG : Fonction à sens unique. E k (m) = G(k) m

134 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Générateur de fonction pseudo-aléatoire (PRF) et CPA-confidentialité

135 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRF Une fonction dans [2 n 2 n ] est spécifiée par un tableau qui associe n bits à chaque entrée (spécifiée aussi par n bits). Tirer une fonction dans [2 n 2 n ] avec probabilité uniforme revient donc à tirer n 2 n bits. Un générateur de fonction pseudo-aléatoire (PRF pour pseudo-random function generator) est une fonction : F : 2 n [2 n 2 n ] qui associe à n bits une fonction dans [2 n 2 n ] qui semble aléatoire à un algorithme de décision P P T.

136 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un algorithme de décision A PPT en n n a pas le temps d examiner l integralité d une fonction f [2 n 2 n ] présentée en tant que tableau. Nous supposons que A a la possibilité d appeler g (coût appel O(1)) un nombre (polynomial) de fois et d enregistrer la valeur calculée. On dénote par A g un algorithme PPT qui peut appeler la fonction g. On dit que F est un PRF si pour tout algorithme de décision PPT A g (donc qui utilise une fonction g [2 n 2 n ] comme oracle) les deux familles de v.a.d. suivantes sont équivalentes : [k 2 n : A F k ] [f [2 n 2 n ] : A f ]

137 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRF : théorie et pratique En théorie, il est possible de construire un PRF à partir d un PRG. En pratique, on utilise des fonctions comme DES/AES qui sont efficaces et semblent se comporter comme un PRF (pas de preuve!) A partir d un PRF, on peut constuire des chiffrements qui garantissent un haut niveau de confidentialité et authentification (voir suite).

138 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRG PRF Un PRF F : 2 n [2 n 2 n ] induit un PRG G en posant : G(k) = F k (0)F k (1) On montre (sans preuve) comment construire un PRF à partir d un PRG qui double la taille : G n : 2 n 2 2n Pour un n fixé, on dénote par G 0 (x) (G 1 (x)) la moitié gauche (droite) de G n (x). On définit un PRF : par F : 2 n [2 n 2 n ] F k (x 1 x n ) = G xn ( (G x1 (k)) ) Cette construction est attribuée à Goldreich-Goldwasser-Micali (1986).

139 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Générateur permutation pseudo-aléatoire (PRP) Parfois il est intéressant de générer une fonction pseudo-aléatoire qui est aussi une permutation et dont l inverse peut être calculée de façon efficace. La constuction de Feistel (sous certaines conditions) permet de construire un PRP à partir d un PRF. Cette construction sera présentée dans la suite (DES).

140 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, CPA-Confidentialité (chosen plain-text attack) On renforce la notion de 1-confidentialité en supposant qu on a accès à la fonction de chiffrement (mais pas à la clé). Techniquement, on dénote par : A E k un algorithme de décision PPT qui peut appeler la fonction de chiffrement E k. Un système cryptographique assure la CPA-confidentialité si pour tout algorithme de décision PPT A E k qui utilise la fonction de chiffrement comme un oracle, la quantité P [A E k (m, m, E k (m)) = 1] P [A E k (m, m, E k (m ))] = 1] est négligeable (avec m = m ). NB Ceci est une définition simplifiée.

141 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, CPA-confidentialité (définition revisée) 1. On génère une clef k avec G. 2. L adversaire PPT, qui utilise E k comme un oracle, génère deux messages m 0, m 1 de la même taille avec m 0 m L adversaire reçoit un chiffrement c = E k (m b ), b {0, 1} avec probabilité 1/2. 4. L adversaire PPT, qui utilise E k comme un oracle, decide si c est un chiffrement de m 0 ou de m La probabilité que l adversaire PPT repond correctement est 1/2 à une quantité négligeable près. NB On peut trouver de nombreuses variantes de cette définition de confidentialité et notamment une définition de CCA-confidentialité (CCA=chosen ciphertext attack) qui est encore plus restrictive car elle permet à l attaquant un accès (limité) à la fonction de déchiffrement aussi.

142 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, CPA-confidentialité chiffrement probabiliste Pour avoir la CPA-confidentialité, la fonction de chiffrement doit être probabiliste (et la probabilité d obtenir le même texte en chiffrant 2 fois le même message négligeable). En effet, si E k est déterministe, à partire du triplet (m, m, c) il suffit de calculer E k (m) et de le comparer à c pour savoir si c est le chiffrement de m.

143 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRF implique CPA-confidentialité (longueur fixe) Soit F : 2 n [2 n 2 n ] un PRF. Pour chiffrer un message de taille n on définit : E k (m) = [r 2 n : (r, F k (r) m)] Pour déchiffrer (r, c) il suffit de définir : D k (r, c) = F k (r) c

144 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques préliminaires Si l on sait que E k (m) = (r, c) alors on connaît F k (r) car : F k (r) = c m Supposons disposer du triplet : (m, m, (r, c)) où l on sait que (r, c) est un chiffrement de m ou de m. Alors si on trouve m avec un chiffrement (r, c ) on peut calculer F k (r) et donc c F k (r) {m, m }. Morale : la probabilité de tirer 2 fois le même r doit être négligeable.

145 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Structure de la preuve On montre qu on obtient CPA-confidentialité en supposant que f est tirée de façon aleatoire. Ensuite on remplace f par F k est on dérive d une attaque à la CPA-confidentialité une attaque à PRF (argument par réduction).

146 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Observation principale Supposons f : 2 n 2 n choisie avec probabilité uniforme et E k (m i ) = (r i, c i ) pour i = 1,..., l. Si r i r j pour i j alors les f(r i ) sont des suites de n bits indépendants et tirés avec probabilité uniforme. On est dans la situation du masque jetable où le chiffré ne donne aucune information sur le texte clair. Il faut donc se soucier juste du cas où un r i = r j avec i j (remarque préliminaire). Mais on peut calculer un chiffrement (=consulter l oracle) au plus un nombre polynomial q(n) de fois et la probabilité de tirer un r fixé est au plus q(n)/2 n qui est négligeable.

147 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque (mauvaise utilisation d un PRF) Il ne suffit pas d avoir une PRF pour garantir la CPA-confidentialité! Il faut utiliser aussi un schéma correct. Par exemple, les PRF utilisés en pratique (DES, AES) donnent une permutation pseudo-aléatoire avec son inverse. Il est alors tentant de définir les système : E k (m) = F k (m) D k (c) = (F k ) 1 (c) Mais dans ce système le chiffrement n est pas probabiliste et donc on ne peut pas garantir la CPA-confidentialité.

148 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Technique de bourrage On s intéresse maintenant au chiffrement de messages de longueur arbitraire. On suppose avoir un système pour chiffrer des blocs de n bits. Pour chiffrer un message m on le découpe en k blocs de n bits : m = m 1 m k Si m est un multiple de n alors on ajoute un bloc m k+1 qui contient le mot 10 0 (par exemple). Autrement, on complète le dernier bloc m k avec un mot de la forme Pour retrouver les bits originaux il suffit de regarder à droite du dernier bloc et d éliminer le mot de la forme 10 0.

149 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, PRF et mode compteur (CTR) On suppose que F : 2 n [2 n 2 n ] est un PRF et que après bourrage le message à chiffrer m a la forme m 1 m k. La fonction de chiffrement : E k (m) = νr 2 n (r, F k (r + 1) m 1,..., F k (r + k) m k ) La fonction de déchiffrement : D k (r, c 1,..., c k ) = (c 1 F k (r + 1),... c k F k (r + k)) Ceci donne un schéma qui assure la CPA-confidentialité pour des messages de longueur variable à condition de renouveller périodiquement la clé (voir suite). Par exemple, avec un bloc de taille 64 le nombre de blocs qu on peut chiffrer est de l ordre de 2 30.

150 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Soient : Attaque sur le mode compteur m = m 1 m q m = m 1 m q et soit (r, c 1,..., c q ) le chiffrement de m (ou de m ). On chiffre l messages composés de q blocs. E k (m t ) = (r t, c t,1,..., c t,q ) t = 1,..., l

151 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, On reçoit un chiffré avec un r tel que, par exemple, r + i = r t et 0 i < q (le segment [r, r + q 1] intersecte le segment [r t, r t + q + 1]). Alors : c i+1 = F k (r + i + 1) m i+1 c t,1 = F k (r t + 1) m t,1 = F k (r + i + 1) m t,1 F k (r t + 1) = F k (r + i + 1) = c t,1 m t,1 m i+1 = c i+1 F k (r + i + 1)

152 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Il faut donc calculer la probabilité que deux segments de longueur q dans un intervalle de longueur 2 n s intersectent. Cette probabilité est bornée par 2q/2 n. Si on chiffre l messages on a l segments de longueur q. La probabilité que le chiffrement d un message intersecte un de ces segments est bornée par l 2q/2 n.

153 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité CPA avec CBC Si le PRF génère une permutation pseudo-aléatoire avec son inverse alors on peut utiliser le mode CBC pour obtenir un système avec confidentialité CPA. E k (m 1 m l ) = [r 2 n ; c 0 = r; c 1 = F k (c 0 m 1 ); ; c l = F k (c l 1 m l ) : (c 0, c 1,..., c l )] D k (c 0, c 1,..., c l ) = [m 1 = c 0 F 1 k (c 1);... ; m l = c l 1 F 1 k (c 1) : (m 1,..., m l )]

154 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un piège Supposons qu on a une fonction p qui prédit le prochain vecteur d initialisation r utilisé dans CBC. Dans ce cas, la propriété de CPA-confidentialité est perdue! Soit (r, F k (0 r)) = (r, F k (r)) le chiffrement d un bloc de 0 et r = p(r). Si m = r r et m m alors on peut distinguer le chiffrement de m du chiffrement de m. En effet le chiffrement de m devrait être : (r, F k (r r r )) = (r, F k (r))

155 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Permutations pseudo-aléatoires : pratique

156 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques préliminaires Parmi les fonctions f : 2 n 2 n sur n bits il y a (2 n )! permutations. Une notation pour représenter une permutation aléatoire a besoin de log 2 ((2 n )!) n2 n bits. Un générateur de permutations pseudo-aléatoires pratique ne génère qu un petit nombre de permutations parmi celles possibles. Par exemple, 2 n permutations parmi les (2 n )! possibles. Dans ce cas, les permutations générées peuvent être réprésentées de façon compacte.

157 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Méthodes et Réalisations Méthodes Schéma de Feistel Réseaux de Substitution-Permutation Réalisations DES AES

158 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Heuristiques Confusion Il faut cacher la relation entre le texte clair et le texte chiffré. On utilise des substitutions sur des sous-blocs. Diffusion Il faut cacher la redondance du message et diffuser un changement de 1-bit dans le texte clair à tout le texte chiffré. On utilise une opération de permutation sur la totalité du bloc. Clef de tour La clef génère un vecteur de clefs de tour qui sont combinées avec les données à l aide de la fonction xor.

159 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Critères d évaluation Le critère idéal est qu il doit être difficile de distinguer une permutation aléatoire d une permutation générée par la méthode. Plus pratiquement, la recherche de la clé (=germe) de la permutation pseudo-aléatoire doit essentiellement demander une recherche exhaustive (ce qui est le cas aujourd hui pour DES et AES).

160 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Combiner les systèmes cryptographiques Pour améliorer la sécurité, une idée naturelle est de combiner les systèmes cryptographiques. Questions Comment les combiner? La combinaison est-elle utile?

161 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Produit de systèmes cryptographiques Pour simplicité, on suppose P = C. On suppose aussi S i = (P, P, K i, E i, D i ) pour i = 1, 2. On définit le produit comme suit : avec S 1 S 2 = (P, P, K 1 K 2, E, D) E (k1,k 2 )(p) = E k2 (E k1 (p)) D (k1,k 2 )(c) = D k1 (D k2 (c))

162 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple Soit S un système par décalage (César) et L un système linéaire défini comme un système affine avec constante additive b = 0. Alors le système affine peut être vu comme L S : E (a,b) (x) = ((ax) mod m + b) mod m = (ax + b) mod m où pgcd(a, m) = 1.

163 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Double chiffrement Soit S un chiffrement à bloc avec clefs sur 2 n. Maintenant on considère le produit S S. On suppose qu étant données les clefs k 1, k 2 il est improbable qu il y ait une clef k telle que k : E k2 E k1 = E k On pourrait espérer qu une attaque par recherche complète contre le système produit demanderait 2 2n essais...

164 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque au milieu (meet in the middle attack) En connaissant un certain nombre de couples texte clair-texte chiffré, on peut réduire l espace de recherche. On suppose connaître : Alors, il faut que : c i = E k2 (E k1 (p i )), i = 1, 2 E k1 (p i ) = D k2 (c i ), i = 1, 2

165 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Pour toutes les clefs k, on calcule (on a besoin d une mémoire de taille 2 n ) : E k (p 1 ) Pour toutes les clefs possibles k, on calcule : D k (c 1 ) et on vérifie si E k (p 1 ) = D k (c 1 ). Alors on peut tomber sur k = k 1 et k = k 2. Pour améliorer la confiance dans le résultat, on vérifie : E k (p 2 ) = D k (c 2 ) Évidemment, le plus de couples texte clair-texte chiffré le mieux.

166 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Chiffrement triple A cause de l attaque au milieu, le chiffrement double n est pas utilisé. Une approche différente qui évite l attaque est de chiffrer-déchiffrer-chiffrer. On définit : c = E k1 (D k2 (E k1 (p))) p = D k1 (E k2 (D k1 (c))) Ceci est connu comme chiffrement triple et il s agit de la méthode standard pour améliorer la sécurité de DES sans changer l algorithme. NB Si k 1 = k 2 alors le chiffrement triple est la même chose que le chiffrement standard.

167 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Réseaux de substitution permutation RSP Exemple à petite échelle. On veut definir une fonction de chiffrement E k : Substitution On utilise la première ligne de la première boite de DES (à venir) qui est une fonction S : spécifiée par le tableau suivant : Entrée : A B C D E F Sortie : E 4 D 1 2 F B 8 3 A 6 C Permutation Comme permutation on utilise une fonction P : {1,..., 16} {1,..., 16} qui est spécifiée par le tableau suivant : Entrée : Sortie :

168 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Clef Une clef K est aussi sur 16 bits. La clef K i du tour i pour i = 1, 2, 3, 4 est obtenue en effectuant 4 (i 1) décalages circulaires vers la droite de la clef K. Ainsi si K = x 1 x 2 x 3 x 4 et x i 2 4 pour i = 1, 2, 3, 4, on aura : K 1 = x 1 x 2 x 3 x 4 K 2 = x 4 x 1 x 2 x 3 K 3 = x 3 x 4 x 1 x 2 K 4 = x 2 x 3 x 4 x 1

169 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Tour Le chiffrement se décompose en 4 tours. Le tour i, pour i = 1, 2, 3, 4 consiste à transformer un bloc x = (x 1 x 2 x 3 x 4 ), où x i 2 4 comme suit : (y 1 y 2 y 3 y 4 ) = (x K i ) (XOR avec la clef) (w 1 w 2 w 3 w 4 ) = (S(y 1 ) S(y 2 ) S(y 3 ) S(y 4 )) (Substitution) z = P (w 1 w 2 w 3 w 4 ) (Permutation) Exercice Expliquer comment dechiffrer.

170 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Schéma de Feistel (ingrédients de base) Alphabet Σ = {0, 1}. Une méthode pour associer à une clef k, une fonction f k : 2 t 2 t. NB f k n est pas forcement injective! Un nombre de tours r. Une méthode pour générer d une clef k, r clefs de tour k 1,..., k r.

171 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Schéma de Feistel Il s agit d un chiffrement qui opère sur des blocs de longueur 2t en r tours. Chiffrement On divise le texte clair p en deux moitiés L 0 R 0. On définit pour i = 1,..., r : L i R i = R i 1 (L i 1 f ki (R i 1 )) On pose E k (p) = L r R r

172 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Déchiffrement Pour L i R i = R i 1 (L i 1 f ki (R i 1 )) on dérive R i 1 L i 1 = L i (R i f ki (R i 1 )) = L i (R i f ki (L i )) Étant donné un bloc de texte chiffré c, on le divise en L rr r et on calcule L i R i pour i = r 1,..., 0 en utilisant les clefs k r,..., k 1. Alors D k (c) = L 0 R 0 NB On peut déchiffrer même si les fonctions f ki ne sont pas injectives ; dans le déchiffrement on a pas à calculer l inverse de f ki! Une construction (Luby-Rackoff 1988) utilise le schéma de Feistel pour construire un générateur de permutation pseudo-aléatoire à partir d un PRF.

173 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Data encryption standard (DES) Il s agit de l exemple le plus connu de schéma de Feistel. Soit P = C = Soit K = Une clef est complétée à 64 bits en insérant 8 bits aux positions 8, 16, 24, 32, 40, 48, 56, 64 Ces bits sont utilisés pour détecter et corriger 1 erreur. Il y a r = 16 tours.

174 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Ici t = 64/2 = 32 bits. DES : fonctionnement interne Les clefs de tour sont sur 48 bits. Il y a une fonction d expansion Ex : Il a y une série de S-boites (S-boxes) qui sont des fonctions (non-affines) S i : , i = 1,..., 8.

175 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La fonction d expansion Ex : NB Redondance en première et sixième colonne.

176 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Exemple : la boite S 1 [0] [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15 [0] [1] [2] [3] NB Les valeurs dans chaque ligne sont différentes. La composition de l expansion et des S-boites est bien une permutation sur 2 32.

177 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Soit B = b 1 b 2 b 3 b 4 b 5 b 6. i = (b 1 b 6 ) 2 {0, 1, 2, 3} détermine l indice de la ligne. j = (b 2 b 3 b 4 b 5 ) 2 {0,..., 15} détermine l indice de la colonne. Le résultat est la valeur de coordonnées (i, j) exprimée en base 2.

178 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Par exemple, pour calculer S 1 (001011) : 1. i = (01) 2 = j = (0101) 2 = S 1 [1, 5] = S 1 (001011) = 0010.

179 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Calcul de f ki (R i 1 ) R := Ex(R i 1 ) (Expansion R i à 48 bits) B 1 B 8 := R k i (B i a 6 bits) C i := S i (B i ), i = 1,..., 8 (C i a 4 bits) P (C 1 C 8 ) (P pour une permutation sur 32 bits) NB Avant de commencer les 16 tours, DES applique une permutation initiale à ne pas confondre avec la permutation P.

180 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, La permutation P

181 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarques Permutation, expansion et S-boites sont spécifiées par certaines tables fixées. Si on veut implémenter DES, il faut faire référence à ces tables. Autrement, l intérêt de ces tables est limité...

182 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, DES : génération des clefs de tour Les fonctions suivantes sont données : f 1 : f 2 : et les fonctions de décalage : shift i pour i = 1,..., 16 Alors, état donné une clef k, on calcule : C 0 D 0 := f 1 (k) C i := shift i (C i 1 ) D i := shift i (D i 1 ) i = 1,..., 16 k i := f 2 (C i D i )

183 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaques Les techniques développées (analyses linéaires et différentielles) marchent seulement dans des situations simplifiées. Linéaire On utilise une approximation linéaire des S-boites. Différentielles On compare le de l entrée et de la sortie. Une recherche complète est maintenant possible.

184 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Successeur : Advanced Encryption Standard (AES) Il a une histoire intéressante : Spécification du AES en 1997 : Sécurité (blocs de longueur 128, longueur de la clef 128, 192, 256). Coût (vitesse et mémoire). Implémentation simple (matériel) Compétition internationale ouverte (par opposition au DES). Le gagnant : Rijandel (2000). Il s agit d une spécialisation de l idée de réseau de substitution-permutation.

185 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Deux schémas intéressants : 1. Feistel. 2. Réseaux substitution-permutation. Qui peuvent être spécialisés pour donner des systèmes robustes à ce jour : 1. DES. 2. AES. Le diable et dans les détails... et les détails sont difficiles à justifier.

186 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Intégrité : MAC

187 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Problème Adam connaît la signature de Eve. S il reçoit une lettre avec la signature d Eve il est confiant que la lettre a été rédigée par Eve. On souhaite avoir une mécanisme similaire pour les documents électroniques, par exemple contrats électroniques, transactions bancaires,... A noter que la signature doit permettre de vérifier à la fois l origine du message et son intégrité.

188 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Il y a deux mécanismes principaux : Codes d authentification de messages (message authentification codes, MAC), avec des systèmes symétriques. Signatures digitales avec des systèmes asymétriques.

189 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Confidentialité et Intégrité Très souvent, les systèmes qui assurent la confidentialité d un message ne garantissent pas son intégrité. Par exemple, le masque jétable garantit une confidentialité parfaite mais pour complémenter les bits du message réçu il suffit de complémenter les bits du message chiffré : si x k = c alors c k = x. Plus en général, si toute suite de bits dans un certain format est admissible, on peut juste générer une suite de bits et pretendre que c est un texte chiffré.

190 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Un autre exemple : PRF avec mode CBC Le chiffrement de m = m 1 m l a la forme : (c 0 = r, c 1 = F k (c 0 m 1 ),..., c l = F k (c l 1 m l )) Si on remplace r par r le recepteur obtient : m 1 = F 1 k (c 1) r, m 2 = F 1 k (c 2) c 1,... m l = F 1 k (c l) c l 1 Donc l intégrité du premier bloc est compromise.

191 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Codes d authentification de messages (MAC) Des ensembles : P T K (textes clairs) (MACs, ou tags) (clés) Des algorithmes (probabilistes polynomiaux) : G : 1 K Mac : K P T V : K P T {0, 1} (générateur de clés) (générateur MAC) (vérificateur MAC) tels que : k, m, t V (k, m, t) = 1 ssi t = Mac(k, m)

192 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Propriété d intégrité En ayant pris connaissance des MAC d un nombre (polynomial) de messages m 1,..., m l un attaquant devrait avoir une probabilité négligeable de produire un MAC valide pour un message m différent de m 1,..., m l.

193 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Construction CBC-MAC Si un générateur de permutations pseudo-aléatoires existe alors on peut construire un MAC sûr (rappel : en pratique on utilise AES). Une construction possible est d adapter le mode de transmission CBC : A partir d une clé k on dérive deux clés k 1 et k 2. On decompose le message m en l blocs m = m 1 m l et on calcule le dernier bloc du mode CBC par rapport à la clé k 1 : c 0 = 0 (notez que IV = 0!) c j+1 = E k1 (c j m j+1 ) j = 0,..., l 1 Ensuite on chiffre c l avec la deuxième clé : Mac(k, m) = E k2 (c l ) Pour vérifier, il suffit de refaire le calcul et le comparer au MAC associé au message. NB Il y a d autres schémas pour construire un MAC. Par exemple, HMAC et NMAC qui utilisent les fonctions de hachage (à suivre).

194 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Attaque sur CBC-MAC simplifié Le chiffrement de la sortie de la chaîne sert à eviter l attaque suivante : On suppose que m = m 1 m l, l 2 et qu on connaît les CBC-MAC (faibles) c l 1 et c l. On peut alors construire le message : m = m (m l c l c l 1 ) Et on remarque qu on sait calculer son CBC-MAC (faible) : E k1 (c l m l c l c l 1 ) = E k1 (m l c l 1 ) = c l

195 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Piège (CBC-MAC) On a vu qu un PRF en mode CBC n assure pas la CPA-confidentialité si le vecteur d initialisation est prévisible. On pourrait donc penser que dans la mise-en-oeuvre du CBC-MAC il convient de choisir le vecteur d initialisation de façon aléatoire. Or il se trouve qu avec un choix aléatoire, CBC-MAC n assure pas l authentification! Morale Cet exemple illustre bien la nécessite de prouver (sous condition) la sécurité d un schéma.

196 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Insécurite de CBC MAC avec vecteur aléatoire Dans ce cas le Mac doit inclure le vecteur aléatoire r. Soit le Mac pour des messages composés d un bloc défini par : Mac(m, k) = (r, E k (r m)) Alors (r, E k (r m)) est un MAC valide pour m car : r m = r m.

197 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Combiner confidentialité et intégrité On peut imaginer différentes façon de combiner un schéma qui assure la confidentialité avec un MAC : 1. Chiffrement suivi par MAC. 2. Chiffrement et MAC. 3. MAC suivi par chiffrement. (E(k, m), Mac(k, E(k, m))) (E(k, m), Mac(k, m)) E(k, (m, Mac(k, m))) NB Le premier schéma (=chiffrement suivi par MAC) est le plus robuste et en tout cas il ne faut pas utiliser la même clef pour le chiffrement et le MAC. Aussi il convient d assurer toujours confidentialité + intégrité.

198 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Intégrité dans le cas asymétrique : idée générale Eve a une clef publique e et une clef privée d. Pour signer un document m elle calcule s(d, m). Adam reçoit le couple (m, s(d, m)). En utilisant la clef publique e, il peut vérifier que le message a vraiment été signé par Eve. NB En réalité, Adam reçoit la signature du hachage du message.

199 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Remarque Dans ce schéma : la clef privée est utilisée quand on envoie le message, et la clef publique (de l émetteur) quand on le reçoit. C est juste le contraire de ce qui se passe dans le système à clef publique! NB Dans RSA, les clefs de chiffrement et de déchiffrement ont les mêmesp propriétés (chaque clef est l inverse de l autre). Les noms se réfèrent à l utilisation envisagée et non pas à des propriétés mathématiques particulières.

200 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Comparaison MAC et signature Les arguments sont similaires à ceux développés pour la comparaison entre chiffrement symétrique et asymétrique. L utilisation de signatures simplifie la gestion des clés. L utilisation de MAC est plus efficace. Dans certaines applications on veut prouver à un tiers qui a envoyé un certain message (non-répudiation). Pour cette application, on utilise les signatures.

201 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire Il faut distinguer confidentialité et intégrité. Pour garantir l intégrité on attache au message une étiquette (tag, signature,...) qui peut être vérifiée par le recepteur. Deux mécanismes principaux : MAC basés sur les systèmes symétriques. Signatures digitales basées sur les systèmes asymétriques.

202 Cours Cryptographie, R.M. Amadio, Master U. Paris-Diderot, October 19, Sommaire : l état de l art en chiffrement (symétrique) Factorisation, Logarithme discret,...?????? Fonction à sens unique Générateur séquence pseudo-aléatoire P NP Générateur fonction pseudo-aléatoire??????des, AES,... Confidentialité Intégrité Les implications?????? sont des voeux pieux. Il n y a pas de preuve et on ne semble pas près d en avoir une!