SYSTÈMES CRYPTOGRAPHIQUES

Transcription

1 SYSTÈMES CRYPTOGRAPHIQUES Signature électronique Eanuel Bresson Ingénieur de l Areent Départeent d inforatique École norale supérieure %XWGHODVLJQDWXUH Reproduire les caractéristiques d une signature anuscrite Assurer l authenticité de l expéditeur Mécanise essentielleent à clé publique Paires de clés privées / clés publiques Assurer l intégrité des données Vérification du contenu d un essage Preuve (non-interactive) de non-odification 1 Passer à la preière page 2 6LJQDWXUHSDUDGLJPH 6LJQDWXUH$XWKHQWLILFDWLRQ essage + signature OK! OK! Capacité à signer un essage aléatoire = Alice Bob Alice σ()= Bob 3 4 0LVHHQ±XYUHGHODVLJQDWXUH 6LJQDWXUH&KLIIUHPHQW Seul l auteur du essage doit pouvoir signer Le signeur utilise sa clé secrète Personne ne peut signer sans le secret Tout le onde doit pouvoir vérifier La vérification utilise la clé publique Pas de distinction entre les vérifieurs Tout le onde peut envoyer un essage à Alice PK A SK A Seule Alice peut déchiffrer Alice : clés SK A, PK A Seule Alice peut signer ses essages SK A Tout le onde peut vérifier sa signature PK A 5 6

2 5HPDUTXHV 6LJQDWXUHGpILQLWLRQV 7 Le écanise de vérification est publique chiffreent, clé secrète La sécurité inconditionnelle n existe pas cf. Chiffreent de Verna (invérifiable) Il est possible de tester toutes les signatures potentielles, jusqu à obtenir un test de validité concluant. La sécurité sera toujours calculatoire 8 3 algorithes Génération de clés : KG(1 k ) (SK, PK). Probabiliste, produit une paire de clés secrète/publique. Signature : SIGN(, SK) σ. Souvent probabiliste, calcule une signature d un essage. Vérification : VERIF(, σ, PK) 1/0. Typiqueent déteriniste, vérifie la validité d une signature. $OJRULWKPHVG XQHVLJQDWXUH 3URSULpWpVG XQHVLJQDWXUH essage SK S σ PK V ok? 1/0 Non répudiation: Il est ipossible de renier la signature d un docuent qu on a signé auparavant. Falsification ipossible : Il est ipossible de produire une signature correcte sans la clé de signature Signature Vérification 9 10 (IILFDFLWpG XQHVLJQDWXUH 6pFXULWpGHVVLJQDWXUHV Rapidité des algorithes Signature : souvent off-line, avec de la puissance. Protocole de signature en présence d un attaquant => Définir la sécurité de la signature Vérification : au vol, rapide, ebarqué. Taille de la signature et de la clé Taille de la clé publique : vérification Taille de la signature pour un long essage? Que veut-il faire Modifier un essage signé Se faire passer pour autrui Quel est son but? Retrouver la clé Falsifier une signature De quoi dispose-t-il? Inforations publiques Que peut-il obtenir? Messages déjà signés Nouvelles signatures 11 12

3 0RGqOHGHVpFXULWp 6pFXULWpGHVVLJQDWXUHV Attaquant passif Attaquant actif (, σ) Écoute le réseau Contrôle le réseau Bob Ne touche pas aux essages Attaque «off-line» Attaque par dictionnaire Modifie les essages Insère des essages Essentielleent «on-line» Alice (, σ ) Contrefaçon Ok! Écoute, Insertion, Corruption, )DOVLILFDWLRQVFDVVDJHV $WWDTXHV Cassage total : Attaque sans essage : L attaquant retrouve la clé secrète Inforations publiques seuleent Falsification universelle : Attaque à essages connus : Capacité de signer n iporte quel essage. Une liste de essages avec leur signature Falsification sélective : Attaque à essage choisis : Capacité de signer un essage au choix. Signature d une liste de essage Falsification existentielle : Attaque à essages choisis adaptative : Capacité à exhiber un essage signé Signatures de essages au fur et à esure Cassage 1LYHDX[GHVpFXULWp Moyens 6pFXULWpGpILQLWLRQV On choisit coe définition de sécurité la plus forte exigence possible : Falsif. exist. Danger Sans essage Adaptatif absence de falsification existentielle, êe sous une attaque adaptative à essages choisis

4 6pFXULWpGHVVLJQDWXUHV 6LJQDWXUHHWFKLIIUHPHQW essages (choisis ou connus) Signatures Allier confidentialité et intégrité Contrat confidentiel Données sensibles facileent odifiables PK Chiffrer puis signer «en aveugle» Danger : on ne «voit» pas ce qu on signe «Attaque» Signer puis chiffrer SK ou (,σ) LJQDWXUHVGHORQJVPHVVDJHV +DVKDQGVLJQ ª Signer des essages arbitraireent longs avec un schéa donné. Message de 15 Mo avec RSA 1024 bits? Taille de signature fixe Indépendante de la taille du essage signé. Sécurité «conservée» Les contrefacons doivent rester ipossibles. Rapport_Annuel_156Mo.doc Hachage S 156 Mo σ ( 1ko) V Ok? Utilisation de fonctions de hachage )RQFWLRQVGHKDFKDJHGpILQLWLRQ )RQFWLRQVGHKDFKDJHVpFXULWp Une fonction de hachage cryptographique Rapide à calculer Publique Produisant une epreinte de taille fixe Inversion difficile Etant donné h(x), trouver x. Seconde pré-iage difficile Caractérisée par l absence de collisions Etant donné x et h(x), trouver y tel que h(x)=h(y). Assurer l intégrité Prévenir les falsifications Collisions difficile Trouver x et y tels que h(x)=h(y)

5 $WWDTXHGHVDQQLYHUVDLUHV Taille n=2 128 Taille n=2 128 n essais en oyenne suffisent à obtenir une collision. Dans une asseblée de 23 personnes, la probabilité que deux personnes soient nées le êe jour est > 50% )RQFWLRQVGHKDFKDJHFODVLTXHV Fonctions MDx («essage digest») MD2, MD4, MD5 [Rivest]. Epreinte sur 128 bits Partielleent attaquée, ais pas de collisions. Fonctions SHA («Secure Hash Algorith») SHA [NIST 1992] : replacée par SHA-1 : epreinte de 160 bits SHA sur 256, 384, 512 bits [2000] (WXGHVGHVLJQDWXUHV /DVLJQDWXUH56$ Basées sur la factorisation La signature RSA La signature Guillou-Quisquater Basées sur le logarithe discret La signature ElGaal La signature de Schnorr Le standard DSS n=pq, produit de 2 grands nobres preiers e : exposant public d = e -1 od ϕ (n) : exposant privé Signature du essage Z n : σ = d od n Vérification du couple (,σ) : σ e?= od n /DVLJQDWXUH56$IDLEOHVVH La signature RSA utilisée telle quelle est existentielleent falsifiable par une attaque sans essage universelleent falsifiable par une attaque à essage choisis Choisir σ Z n Calculer : := σ e od n Choisir Z n Faire signer 2 et /2 : α := 2 d, β:=(/2) d od n Calculer σ : σ := αβ = d od n $WWDTXHVXUODVLJQDWXUH56$ Si on factorise le odule n On retrouve ϕ(n) et la clé secrète d : cassage total La factorisation est équivalente au cassage total Peut-on falsifier une signature sans factoriser? (i.e. exhiber d pour fixé) Peut-être que oui, ais on ne sait pas [Bon99] 29 30

6 (IILFDFLWpGH56$HQVLJQDWXUH 6LJQDWXUH56$DYHFKDFKDJH Taille de clé : typiqueent 1024 bits On hache le essage avant de le signer Taille de la signature : 1024 bits (pas d expansion) Signature efficace de essages longs Vérification Avec un petit exposant public (e=3 ou e=65537), la vérification est (très) rapide Bien adaptée aux environneents contraints (carte à puce, atériel ebarqué) Inconvénient : teps de signature plus long Prévention des falsifications Signature : essage signé avec SK=d h := H() σ := h d od n Vérification : étant donné PK=e et (,σ) h := H() σ e?= h od n LJQDWXUH56$DYHFKDFKDJH 6LJQDWXUH56$DYHFKDFKDJH Message_156Mo.doc Hachage Message_156Mo.doc Hachage Modification h:= h:= S σ := h d [n] Modification σ V σ e?= H() [n] σ e = H(??) [n] S σ := h d [n] V H( )?= H() σ e?= H() [n] UHXYH 6LJQDWXUH Toute preuve interactive «Zéro- Knowledge» (vérifieur honnête) est transforable en schéa de signature sûr Fiat-Shair (86), Pointcheval-Stern (96) r e s V(r,e,s) Signature (r,s) Calcul de r Calcul de e:=h(,r) Calcul de s Vérification V(r,e,s) 6LJQDWXUHGH*XLOORX4XLVTXDWHU>@ n=pq, produit de 2 grands nobres preiers e : exposant public, P, éléent public S : éléent secret tel que S e =P od n Signature du essage : (y, z) Choisir x aléatoire et calculer y:=x e [n] Calculer c:=h(y,) et z:=xs c od n Vérification du couple (, y, z) : Calculer c :=H(y,) Vérifier z e?= yp c [n] 35 36

7 6LJQDWXUHGH*XLOORX4XLVTXDWHU La vérification fonctionne : z e =(xs c ) e = x e (S e ) c =yp c od n. Utilisation de la fonction de hachage cryptographique : Heuristique de Fiat-Shair (1986). Preuve ZK Schéa de signature. Signature de longs essages. 6LJQDWXUHGH*XLOORX4XLVTXDWHU Schéa probabiliste : le êe essage est signé de plusieurs façons différentes. Mais x doit rester secret. Le vérifieur n a pas besoin de x. Sécurité : Sécurité basée sur la factorisation. Le cassage est équivalent à calculer une racine e- ièe odulo n /RJDULWKPHGLVFUHW Problèe du logarithe discret Soit (G, ) un groupe d ordre n, engendré par g. Problèe du logarithe discret : étant donné h G, trouver l unique [0,n-1] tel que h=g. Signature basée sur le logarithe discret On considère un groupe où ce problèe est dur. On ontre qu une falsification équivaut à un calcul de logarithe discret. 6LJQDWXUHG (O*DPDO>@ G=<g>, groupe généré par g, d ordre preier p x Z p-1 : clé privée y=g x od p: clé publique Signature du essage Z * p : (a, b) Choisir k aléatoire, preier avec p-1 Calculer a:=g k [p] Calculer b tel que =(xa+kb) od p-1 (Euclide!) Vérification du couple (, a, b) : Vérifier g?= y a a b od p LJQDWXUHG (O*DPDO 6LJQDWXUHGH6FKQRUU>@ La vérification fonctionne : g =g xa+kb =(g x ) a (g k ) b =y a a b od p Schéa probabiliste La taille de la signature est deux fois la taille de p Sécurité du schéa : Supposée équivalente au logarithe discret Trouver a et b vérifiant y a a b = g (fixé) od p «resseble» à : trouver x tel g x =y od p. G= Z p, g G, d ordre preier q p-1 x Z q : clé privée y=g x od p: clé publique Signature du essage : (r, s) Choisir u aléatoire, calculer r:=g u [p] Calculer e:=h(, r) et s:=u-xe od q Vérification du couple (, r, s) : Calculer e := H(, r) Vérifier r?= g s y e od p 41 42

8 6LJQDWXUHGH6FKQRUU /DVLJQDWXUH'6$ La vérification fonctionne : g s y e =g u-xe (g x ) e =g u-xe+xe =g u = r od p Fonction de hachage (Fiat-Shair) Signature de longs essages Schéa probabiliste La taille de la signature est p + q. (Ex ) Sécurité du schéa : Supposée équivalente au logarithe discret. On n a pas de preuve de sécurité forelle. DSA : Digital Signature Algorith [1994] Basé sur le écanise ElGaal Modification par rapport au schéa ElGaal pour obtenir une plus grande efficacité. G=<g>, groupe généré par g, d ordre q x Z q : clé privée y=g x : clé publique /DVLJQDWXUH'6$ 6LJQDWXUH'6$YDOLGLWp Z p, p preier, q un facteur preier de p-1 g est un éléent d ordre q dans Z p x Z q : clé privée, y=g x : clé publique Signature du essage : Choisir u Z q * aléatoireent u secret! c:=(g u od p) [q], c 0 d:=(+xc)/u [q], d 0 (c,d) Vérification du couple (, c, d) : a:=/d od q, b:=c/d od q (g a y b od p)?= c [q] et 0<c,d<q? Signature du essage Z q : (c,d) c:=(g u od p) [q] =>NB : le vérifieur ne connaît pas u! d:=(+xc)/u [q] a:=/d od q, b:=c/d od q g a y b = g a g xb = g a+xb = g (+xc)/d = g u od p Donc (g a y b od p) od q = c LJQDWXUH'6$HIILFDFLWp 6LJQDWXUH'6$UHPDUTXHV Avec le écanise de ElGaal : Travail dans Z p, avec p environ 1024 bits Coe pour le chiffreent, la signature coporte deux teres, soit au total 2048 bits Intérêt de DSA : On travail dans un sous-groupe d ordre q <g> d ordre q, avec q d environ 160 bits Signature de 320 bits Application : cartes à puce. Signature probabiliste On choisit un secret aléatoire u Plusieurs signatures pour un essage Le vérifieur n a pas besoin de u Que se passe-t-il si d = 0? Il faut diviser par d pour vérifier : a=/d, b=c/d La probabilité que d=0 [q] est Pas de problèe en pratique

9 '6$KLVWRULTXH La société RSA avait viveent critiqué la sortie de ce standard Soupçons envers le gouverneent Moins de licences RSA Baisse des revenus De nobreuse critiques attaquaient DSA Inapte au chiffreent, et plus lent que RSA Développé par la NSA, sans processus public Avec une taille iposée (512) étendu à LJQDWXUH'6$VpFXULWp Contrefaçon existentielle possible : Choisir s et t dans Z q * Calculer : c:=g s y t od p d:=c/t od q :=cs/t od q (c,d) est une signature valide de LJQDWXUH'6$DYHFKDFKDJH 6LJQDWXUH'6$DYHFKDFKDJH Message.doc Modification Message.doc H():=160 bits H( ) H() H():=160 bits d:=(h()+xc)/u [q] Choix de u c S (c, d) V g H()/d y c/d?= c [q] Choix de u c S (c, d) V g H()/d y c/d?= c [q]??? d:=(h()+xc)/u [q] Modification c, d pFXULWpUpVXPp Sécurité Attaque active (essages choisis) Contre falsifications existentielles Attention à la «alléabilité» Propriété ultiplicative de RSA Propriétés d El Gaal : attaques Fonctions de hachage Epêchent de façonner un essage Signature de essages arbitraires 6FKpPDVUpVXPp Basés sur la factorisation RSA (avec le hachage) Guillou-Quisquater (transforation ZK Sign) Basés sur le logarithe discret El Gaal Schnorr (ZK Sign) DSA : standard El Gaal + Schnorr 53 54

10 $SSOLFDWLRQV 5pFXSpUDWLRQVGHPHVVDJHV Récupération de essages Codes d authentification Certificats nuériques Monnaie électronique Vote électronique Dans le cas de RSA, la vérification de la signature n est rien d autre que le calcul du essage signé. On peut généraliser cette fonctionnalité à d autres schéas Signature Le essage est transis «dans» la signature et non plus à côté. Il n est pas chiffré pour autant! Vérification Le vérifieur calcule le essage original si la signature est valide &RGHVG DXWKHQWLILFDWLRQ0$& &HUWLILFDWVQXPpULTXHV Analogues des signatures en clé secrète PK J essage + code d authentification OK! Certificat C, Data Alice SK Clé secrète coune Bob SK C=Sign J (PK A ) Verif(C, PK J ) = ok? Data $XWUHVYDULDQWHVSRVVLEOHV &RQFOXVLRQ Signatures interactives Nécéssite le concours du signataire. Contrôle de la diffusion d un docuent. Signatures collectives Une personne signe (anonyeent) au no d un groupe (société ) Plusieurs personnes signent en êe teps (seuil inial ) La signature est un écanise inhérent à l authentification des données, des clés, des identités. Une signature doit assurer l authenticité et l intégrité, ainsi que la propriété de nonrépudiation Les variantes sont aussi nobreuses que les applications sont diverses