Introduction à la Cryptographie

Documents pareils
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Architectures PKI. Sébastien VARRETTE

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Fonction de hachage et signatures électroniques

Cours 14. Crypto. 2004, Marc-André Léger

Cryptographie Quantique

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Authentification de messages et mots de passe

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Les fonctions de hachage, un domaine à la mode

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Annexe 8. Documents et URL de référence

TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION

Cryptographie appliquée

SSL ET IPSEC. Licence Pro ATC Amel Guetat

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Panorama de la cryptographie des courbes elliptiques

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

D31: Protocoles Cryptographiques

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Les protocoles cryptographiques

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Cryptographie et Linux

ÉPREUVE COMMUNE DE TIPE Partie D

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Sécurité de l'information

Le protocole SSH (Secure Shell)

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Travail d intérêt personnel encadré : La cryptographie

Protocoles d authentification

Cryptographie et fonctions à sens unique

Richard MONTBEYRE Master 2 Professionnel Droit de l Internet Administration Entreprises. La banque en ligne et le protocole TLS : exemple

Sécurité WebSphere MQ V 5.3

IPSEC : PRÉSENTATION TECHNIQUE

Sécuristation du Cloud

INF 4420: Sécurité Informatique Cryptographie II

Manuel des logiciels de transferts de fichiers File Delivery Services

La cryptographie du futur

Nouveaux résultats en cryptographie basée sur les codes correcteurs d erreurs

Sécurité des Systèmes Informatiques. Concepts. Plan de cours. Statistiques. Statistiques. Vulnerabilities. Incidents. Introduction

PKI PKI IGC IGC. Sécurité des RO. Partie 4. Certificats : pourquoi?

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

LES SECURITES DE LA CARTE BANCAIRE


Devoir Surveillé de Sécurité des Réseaux

TECHNIQUES DE CRYPTOGRAPHIE

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Concilier mobilité et sécurité pour les postes nomades

0x700. Cryptologie Pearson France Techniques de hacking, 2e éd. Jon Erickson

Ludovic Mé http ://rennes.supelec.fr/rennes/si/equipe/lme/ Campus de Rennes Equipe SSIR

Chapitre 3 : Crytographie «Cryptography»

Cryptologie à clé publique

Plan de l exposé. La sécurité informatique. Motivation & risques. Quelques chiffres. Introduction. Un premier exemple. Chiffres à clé secrète

Sécurité des réseaux IPSec

Le protocole sécurisé SSL

Livre blanc. Sécuriser les échanges

Réseaux Privés Virtuels

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Sécurité des réseaux wi fi

La sécurité dans un réseau Wi-Fi

Université d Aix-Marseille Master Réseaux & Télécoms Cryptographie

Vers une Théorie du Chiffrement Symétrique

Le protocole RADIUS Remote Authentication Dial-In User Service

La sécurité dans les grilles

MATHÉMATIQUES DISCRÈTES (4) CRYPTOGRAPHIE CLASSIQUE

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

Des codes secrets dans la carte bleue. François Dubois 1

«La Sécurité des Transactions et des Echanges Electroniques»

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

L authentification de NTX Research au service des Banques

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Les Réseaux sans fils : IEEE F. Nolot

SOMMAIRE. 3. Comment Faire? Description détaillée des étapes de configuration en fonction du logiciel de messagerie... 3

Signatures électroniques dans les applications INTERNET

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

Le partage de clés cryptographiques : Théorie et Pratique

Sécurité des réseaux sans fil

Théorie et Pratique de la Cryptanalyse à Clef Publique

Bibliographie. Gestion des risques

Du 03 au 07 Février 2014 Tunis (Tunisie)

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Gestion des Clés Publiques (PKI)

Une introduction à SSL

De la sphère de Poincaré aux bits quantiques :! le contrôle de la polarisation de la lumière!

Cryptologie et physique quantique : Espoirs et menaces. Objectifs 2. distribué sous licence creative common détails sur

Sécurité et sûreté des systèmes embarqués et mobiles

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Déploiement d'une Infrastructure de Gestion de Clés publiques libre

La citadelle électronique séminaire du 14 mars 2002

L ordinateur quantique

SSH, le shell sécurisé

Druais Cédric École Polytechnique de Montréal. Résumé

2 FACTOR + 2. Authentication WAY

TP 2 : Chiffrement par blocs

Transcription:

/* */ M,E, Introduction à la Cryptographie 1. Généralités et concepts de base E. Thomé (cours) ; H. Labrande (TD) Projet CARAMEL, INRIA Nancy CARAMEL /* */ C,A, /* */ R,a, L,i= 5,e, d[5],q[999 ]={0};main(N ){for (;i--;e=scanf("%" "d",d+i));for(a =*d; ++i<a ;++Q[ i*i% A],R= i[q]? R:i); for(;i --;) for(m =A;M --;N +=!M*Q [E%A ],e+= Q[(A +E*E- R*L* L%A) %A]) for( E=i,L=M,a=4;a;C= i*e+r*m*l,l=(m*e +i*l) %A,E=C%A+a --[d]);printf ("%d" "\n", (e+n* N)/2 /* cc caramel.c; echo f3 f2 f1 f0 p./a.out */ -A);} Telecom Nancy, 2A TRS 2015 http://www.loria.fr/~thome/teaching/2015-esial-crypto/

2 / 67 Objectifs du cours Comprendre le rôle de la cryptographie dans la protection de l information les fonctionnalités cryptographiques fondamentales les limites de la protection assurée par la cryptographie Connaître les primitives cryptographiques et leurs principes

3 / 67 Plan du cours (12 heures) 1. Généralités et concepts de base 2/3. Chiffrement symétrique chiffrement de Vernam chiffrement par flot chiffrement par bloc (AES) 4. Fonctions de hachage cryptographiques construction Merkle-Damgård attaques (tables arc-en-ciel) 5/6. Cryptographie à clé publique chiffrement (RSA) échange de clés (Diffie-Hellman) signature (DSA) 6 TD, 1 examen, 1 projet

4 / 67 Bibliographie : aspects historiques Simon Singh, Histoire des Codes Secrets. Livre de Poche, 2001. Jacques Stern, La Science du Secret. Odile Jacob, 1998. David Kahn, The Codebreakers, revised edition. Schribner, 1996.

5 / 67 Bibliographie : ouvrages de référence Alfred J. Menezes, Paul C. van Oorschot et Scott A. Vanstone, Handbook of Applied Cryptography. Chapman & Hall / CRC, 1996. http://www.cacr.math.uwaterloo.ca/hac/ Serge Vaudenay, A Classical Introduction to Cryptography. Springer, 2005. Douglas R. Stinson, Cryptography: Theory and Practice, 3rd edition. Chapman & Hall / CRC, 2005.

6 / 67 Bibliographie : ouvrages de référence Bruce Schneier, Applied Cryptography, 2nd edition. Wiley, 1996. Jeffrey Hoffstein, Jill Pipher et Joseph H. Silverman, An Introduction to Mathematical Cryptography. Undergraduate Texts in Mathematics, Springer, 2008.

7 / 67 Bibliographie : ouvrages de référence Antoine Joux, Algorithmic Cryptanalysis. CRC press, 2009. Steven D. Galbraith, Mathematics of Public Key Cryptography. Undergraduate Texts in Mathematics, Springer, 2012.

8 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

9 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

10 / 67 Position du problème Caractéristiques des systèmes d information Information numérique Communications sur un canal public Machines reliées par réseau Multi-utilisateurs

11 / 67 Les besoins de sécurité Confidentialité Maintien au secret des informations vis-à-vis de tiers Intégrité État des informations qui n ont pas été modifiées Authenticité Garantie de l identité d une entité ou de l origine d une communication Disponibilité

12 / 67 Situations d usage (1/2) : le chiffrement Les propriétés offertes par la cryptographie sont souvent utiles. Courrier électronique : Si je ne veux surtout pas que ma petite sœur lise le contenu. Si je ne veux surtout pas que la NSA lise le contenu. Disque dur. Je chiffre mon disque dur pour protéger le contenu (informations confidentielles, vie privée) contre : Le vol. L intrusion (laissez-nous votre PC monsieur, on l inspecte...) Travail à distance (vpn, ssh) : quand il y a 2000km entre le clavier et l ordinateur. Ceci relève de la confidentialité. Les données chiffrées ne doivent pas être déchiffrables par l adversaire.

13 / 67 Situations d usage (2/2) : la signature D autres situations : Distributions de paquets logiciels : assurer que c est un vrai, pas une version vérolée. Commerce en ligne : assurer qu on parle bien à amazon, pas à un pirate. Signature : créer un courrier éléctronique capable de faire foi. Authentification : fonctionnellement comme un mot de passe. Prouver qui on est. Tout ceci relève davantage de l authenticité. On signe une donner pour lui donner une garantie d authenticité.

14 / 67 Bien définir le problème Souvent, il n y a pas de réponse unique à un besoin de cryptographie. Tout dépend des hypothèses faites sur l espion. Tout dépend des garanties qu on souhaite obtenir. Il faut être réaliste. Mon mail passe par gmail, donc la NSA l écoute. En général, on suppose que l attaquant est très fort, et on voit ce qu on peut garantir. Si nécessaire, on raffine (mais si on peut obtenir des garanties maximales pour pas cher, on ne se prive pas).

15 / 67 Moyens de protection Il existe plusieurs techniques : Cryptographie Sécurité informatique Tempest Chaque technique propose des solutions contre certaines menaces Pour se protéger efficacement, il faut combiner les techniques

16 / 67 La science du secret Définition (Cryptographie) Étymologie : crypto-, du grec κρυπτός, caché, et -graphie, du grec γράφειν, écrire. Art d écrire en langage codé, secret, chiffré. [Dictionnaire de l Académie française, 9ème édition] De nombreuses applications dans la vie courante : ssl, ssh, gpg, etc. carte bleue, téléphone cellulaire, WiFi, Bluetooth etc. En quoi consiste cette science?

17 / 67 Cryptologie Définition (Cryptologie) Étude de la protection de l information sous forme numérique contre des accès ou manipulations non-autorisés. cryptologie = cryptographie + cryptanalyse cryptographie : conception des algorithmes cryptographiques cryptanalyse : évaluation de la sécurité des algorithmes cryptographiques

18 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

19 / 67 Cryptographie artisanale Antiquité 19e s. César (1er s. av. J.C.), Vigenère (1586), etc. Transpositions et substitutions alphabétiques

20 / 67 Cryptographie mécanique 1883 La Cryptographie Militaire [Kerckhoffs] Formalisation des systèmes de chiffrement 1926 Cipher Printing Telegraph Systems for Secret Wire and Radio Telegraphic Communications [Vernam] Chiffrement de Vernam (masque jetable) 1939-44 Enigma et les bombes de Bletchley Park 1950-60 Machines Hagelin

21 / 67 Cryptographie industrielle 1949 Communication Theory of Secrecy Systems [Shannon] Notion de sécurité inconditionnelle 1973-77 Standardisation de DES (Data Encryption Standard) 1976 New Directions in Cryptography [Diffie-Hellman] Invention de la cryptographie à clé publique 1978 A Method for Obtaining Digital Signatures and Public- Key Cryptosystems [Rivest-Shamir-Adleman] Invention de RSA 1997-00 Standardisation d AES (Advanced Encryption Standard)

22 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

23 / 67 Modèle de communication Modèle d un système de communication général [Shannon, 1948]. source codeur de source codeur de canal canal bruité décodeur de canal décodeur de source puits

23 / 67 Modèle de communication Modèle d un système de communication sans bruit. source codeur de source codeur de canal canal bruité décodeur de canal décodeur de source puits émetteur canal de communication public récepteur

23 / 67 Modèle de communication Modèle standard d un système de communication sans bruit. source codeur de source codeur de canal canal bruité décodeur de canal décodeur de source puits émetteur canal de communication public récepteur

23 / 67 Modèle de communication Modèle élargi d un système de communication sans bruit. source codeur de source codeur de canal canal bruité décodeur de canal décodeur de source puits émetteur canal de communication public récepteur

24 / 67 Modèle de communication Modèle d un système de communication cryptographique source codeur de source Traitement cryptographique codeur de canal canal bruité décodeur de canal dé-traitement cryptographique décodeur de source émetteur canal de communication public récepteur Attaques actives Attaques passives puits

25 / 67 Modèle de communication Modèle folklorique d un système de communication cryptographique Alice Traitement cryptographique Charlie Canal public Eve dé-traitement cryptographique Bob

26 / 67 Différentes menaces Une attaque peut être passive : espionnage active : usurpation d identité (de l émetteur ou du récepteur) altération des données = modification du contenu du message répudiation du message = l émetteur nie avoir envoyé le message répétition du message retardement de la transmission destruction du message

27 / 67 Réponses de la cryptographie Trio fondamental : la confidentialité (Qui recevra le message?) : l information ne doit pas parvenir à des personnes qui n ont pas à la connaître l intégrité : l information ne doit pas subir d altérations frauduleuses l authenticité (Qui a émis le message?) : l information doit provenir de son véritable auteur Des fonctionnalités plus élaborées : la non répudiation, la divulgation nulle de connaissance, le vote électronique, etc.

28 / 67 Les couches cryptographiques Système cryptographique = édifice en strates êtres humains protocoles lois modes opératoires primitives implantation matériel

29 / 67 Les primitives cryptographiques Algorithmes fournissant une fonctionnalité cryptographique élémentaire contrôle d intégrité fonction de hachage génération de clés générateur d aléa authentification code d authentification de message, algorithme de signature confidentialité chiffrement

Les primitives cryptographiques 30 / 67

31 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

32 / 67 Cryptographie symétrique / asymétrique Confidentialité Eve Alice M E C canal de communication public C D M Bob Authentification, contrôle d intégrité Charlie Alice M A (M,c) canal de communication public (M,c) V M Bob D (resp. A) se déduit facilement de E (resp. V ) symétrique D (resp. A) ne se déduit pas facilement de E (resp. V ) asymétrique

33 / 67 Les algorithmes cryptographiques Un algorithme : est long à concevoir doit être implanté sur du matériel doit être transmis aux utilisateurs doit être maintenu Confidentialité déchiffrement possible seulement par le récepteur Authentification authentifiant calculable seulement par l émetteur Les algorithmes doivent-ils être secrets?

34 / 67 Les desiderata de Kerckhoffs (1883) 1. Le système doit être matériellement, sinon mathématiquement, indéchiffrable ; 2. Il faut qu il n exige pas le secret [...] 3. La clef doit pouvoir en être [...] retenue sans le secours de notes écrites, et être changée [...] 4. Il faut qu il soit applicable à la correspondance télégraphique ; 5. Il faut qu il soit portatif [...] 6. Enfin, il est nécessaire [...] que le système soit d un usage facile, [...]

35 / 67 Cryptographie avec clé(s) Confidentialité K E Eve K D Alice M E C canal de communication public C D M Bob Authentification, contrôle d intégrité K A Charlie K V Alice M A (M,c) canal de communication public (M,c) V M Bob Algorithme D (resp. A) symétrique clé secrète Algorithme D (resp. A) asymétrique clé publique

36 / 67 Retour sur le modèle de communication Différents types de canaux de communications : public (ni authentifié ni confidentiel) ex. Internet [universel] authentifié ex. (partiellement) le réseau téléphonique [voix] confidentiel ex. le réseau postal [loi] authentifié et confidentiel ex. le téléphone rouge [dédié] Sécurité, disponibilité, débit, coût variables

37 / 67 Intervention de la cryptographie Construire des canaux authentifiés et/ou confidentiels à partir d un canal public et d un canal authentifié et/ou confidentiel Utilisation différente et/ou asynchrone des canaux souplesse d utilisation, nouvelles fonctionnalités, etc.

38 / 67 Exemple : améliorer un canal authentifié Contrôle d intégrité avec fonction de hachage Un canal public pour transmettre des messages de grande taille Un canal authentifié pour transmettre un contrôle d intégrité de petite taille Définition (partielle) Une fonction de hachage est un algorithme (efficace) qui calcule une valeur de taille fixe, appelée empreinte ou haché, à partir de messages de taille quelconque.

39 / 67 Améliorer un canal authentifié Charlie Alice M canal public M H H h h canal authentifié h =? non oui M Bob On utilise le canal authentifié après la création du message

40 / 67 Modèle d attaques Pour que H soit qualifié de cryptographique, il faut que H résiste aux attaques par calcul de premier antécédent : étant donné y il est difficile de trouver x tel que y = H(x) deuxième antécédent : étant donné (x, H(x)) il est difficile de trouver x tel que H(x ) = H(x) collision : il est difficile de trouver x et x tels que H(x ) = H(x) La pertinence des modèles d attaques dépend des applications.

41 / 67 Créer un canal authentifié (I) Utiliser un code d authentification de messages (MAC) Un canal public pour transmettre des messages et leur code d authentification Un canal authentifié et confidentiel pour transmettre la clé secrète Définition (partielle) Un code d authentification de message (MAC) est un algorithme qui calcule une valeur de taille fixe, appelée (aussi) MAC, à partir de messages de taille quelconque et d une clé secrète partagée entre émetteur et récepteur.

42 / 67 Créer un canal authentifié (I) générateur de clés canal authentifié et confidentiel K K MAC MAC c non Alice M c (M,c) canal public (M,c ) M c oui =? Bob M M Charlie On utilise le canal authentifié et confidentiel préalablement au message

43 / 67 Modèle d attaques Connaissant certains couples (M, c), un attaquant ne doit pas pouvoir retrouver la clé secrète K créer un nouveau couple (M, c ) valide sans connaître la clé secrète K distinguer l algorithme de MAC d une fonction aléatoire Le contrôle d intégrité est assuré sur le canal public par l authentification de l origine des messages.

44 / 67 Créer un canal authentifié (II) Utiliser un algorithme de signature Un canal public pour transmettre des messages et leur signature Un canal authentifié pour transmettre la clé publique Définition (partielle) Un algorithme de signature calcule une valeur appelée signature, usuellement de taille fixe, à partir de messages de taille quelconque et de la clé privée de l émetteur. La vérification par le récepteur se fait grâce à la clé publique de l émetteur.

45 / 67 Créer un canal authentifié (II) générateur de clés K S canal authentifié S K P non Alice M c (M,c) canal public (M,c ) V oui M Bob M Charlie On utilise le canal authentifié préalablement au message

46 / 67 Modèle d attaques Connaissant certains couples (M, c) et la clé publique K P, un attaquant ne doit pas pouvoir retrouver la clé privée K S créer un nouveau couple (M, c ) valide sans connaître la clé privée K S distinguer l algorithme de signature d une fonction aléatoire Le contrôle d intégrité est assuré sur le canal public par l authentification de l origine des messages.

47 / 67 Authentification/Signature L authentification permet de répondre à la question : Mais qui pose la question? Qui a émis le message? MAC : l autre possesseur de la clé secrète 1 personne 2 personnes peuvent calculer l authentifiant Signature : un possesseur de la clé publique tout le monde Une seule personne peut calculer l authentifiant non-répudiation

48 / 67 Créer un canal confidentiel (I) Utiliser un chiffrement à clé secrète (symétrique) Un canal public pour transmettre des messages chiffrés Un canal authentifié et confidentiel pour transmettre la clé secrète Définition (partielle) Un chiffrement à clé secrète, E, est un algorithme paramétré par une chaîne binaire secrète, K, partagée entre deux entités qui transforme un message clair M en un message chiffré C. Le déchiffrement associé, D, utilise le même paramètre K.

49 / 67 Créer un canal confidentiel (I) générateur de clés canal authentifié et confidentiel K K Alice E canal public D M C C M Bob Eve On a besoin du canal authentifié et confidentiel au préalable de l envoi d un nombre élevé de messages

50 / 67 Modèle d attaques Connaissant certains couples (M, C) et un chiffré C 0, un attaquant ne doit pas pouvoir retrouver la clé secrète K retrouver le clair M 0 correspondant à C 0 sans connaître la clé secrète K distinguer C 0 d une suite aléatoire ( randomisation) Attention : chiffrer authentifier (ce n est pas le même modèle de sécurité)

51 / 67 Créer un canal confidentiel (II) Utiliser un chiffrement à clé publique (asymétrique) Un canal public pour transmettre des messages chiffrés Un canal authentifié pour transmettre la clé publique Définition (partielle) Un chiffrement à clé publique, E, est un algorithme paramétré par une chaîne binaire publique, K P, connue de tous qui transforme un message clair M en un message chiffré C. Le déchiffrement associé D utilise un paramètre privé K S.

52 / 67 Créer un canal confidentiel (II) générateur de clés canal authentifié K P K S Alice E canal public M C C M D Bob Eve On a besoin du canal authentifié une fois au préalable

53 / 67 Modèle d attaques Connaissant certains couples (M, C), un chiffré C 0, et la clé publique K P, un attaquant ne doit pas pouvoir retrouver la clé privée K S retrouver le clair M 0 correspondant à C 0 sans connaître la clé privée K S distinguer C 0 d une suite aléatoire ( randomisation) Attention : chiffrer authentifier (ce n est pas le même modèle de sécurité)

54 / 67 Chiffrement à clé secrète : le coffre-fort Alice et Bob ont la clé du coffre Alice envoie un message à Bob 1. Alice utilise la clé pour déposer un courrier dans le coffre ; 2. Bob utilise la clé pour lire le courrier déposé par Alice. Propriétés du coffre-fort seuls Alice et Bob peuvent déposer du courrier dans le coffre ; seuls Alice et Bob peuvent retirer le courrier déposé dans le coffre.

55 / 67 Chiffrement à clé publique : la boîte aux lettres Seul Bob a la clé de sa boîte Alice obtient l adresse de Bob dans un annuaire Alice envoie un message à Bob 1. Alice dépose un courrier dans la boîte de Bob ; 2. Bob utilise sa clé pour retirer le courrier déposé dans sa boîte. Propriétés de la boîte aux lettres tout le monde peut envoyer du courrier à Bob ; seul Bob peut lire le courrier déposé dans sa boîte aux lettres.

56 / 67 Algorithmes à clé secrète / à clé publique gestion sécurité clé secrète la clé est secrète aux deux extrémités nombre de clés : O(n 2 ) canal auxiliaire authentifié et confidentiel pas de preuve formelle de sécurité clé publique seule la clé privée est secrète nombre de clés : O(n) canal auxiliaire authentifié repose sur la difficulté supposée de problèmes mathématiques taille clé ex. AES : 128 bits ex. RSA : 3072 bits très rapides très lents perf. 10-100 Mbits/s (software) 10-100 Kbits/s

57 / 67 Créer un canal confidentiel (III) Utiliser un système hybride générateur de clés symétriques canal authentifié générateur de clés asymétriques K P K S K E A canal public Eve D A K Alice M E S canal public C C S M Eve D Bob

58 / 67 Plan Contexte Repères historiques Généralités Cryptographie symétrique / asymétrique Notions de sécurité

59 / 67 Quelques leçons de l histoire Le principe du n 2 : dans un réseau à n points, il y a n 2 couples et n est (très) grand Les desiderata de Kerckhoffs : la sécurité ne doit pas reposer sur le secret des spécifications La loi de Moore : la puissance des processeurs double tous les 18 mois, gare à la recherche exhaustive La loi de Murphy : un trou de sécurité finira toujours par être découvert... au pire moment Le principe de réalité : un procédé inadapté (cher, contraignant, lent, etc.) ne sera pas utilisé

60 / 67 Contextes d attaques Selon le matériau disponible : attaque à chiffré seul attaque à clair connu attaque à clair choisi (adaptative ou non) (toujours possible pour les chiffrements à clé publique) attaque à chiffré choisi (adaptative ou non) attaque à clés liées Selon les spécifications disponibles : cryptanalyse de boîte noire cryptanalyse structurelle Selon l accès au matériel chiffrant disponible : cryptanalyse par canaux auxiliaires cryptanalyse par injection de fautes

61 / 67 Un chiffrement inconditionnellement sûr Le chiffrement de Vernam (1926) (aussi appelé : masque jetable ou One Time Pad) K M + + + + + + + + + + + + C est le OU-exclusif bit à bit

62 / 67 Qu est-ce qu un système sûr? Définition (Sécurité inconditionnelle) Confidentialité parfaite [Shannon, 1949] La connaissance du message chiffré n apporte aucune information sur le message clair : la seule attaque possible est la recherche exhaustive. Pour qu un chiffrement soit inconditionnellement sûr, il faut que la clé soit aléatoire et aussi longue que le texte clair. Authentification parfaite [Simmons, 1984] Théorie de l authentification à clé secrète à usage unique.

63 / 67 Recherche exhaustive de la clé secrète K = nombre de clés possibles Retrouver la clé K /2 essais en moyenne DES (1977), clé secrète : 56 bits 2 55 10 17 possibilités 1997 : 39 jours sur 10 000 Pentium 1998 : machine dédiée, EFF DES cracker 250 000 $ : l attaque prend 2,5 jours 1 million de $, l attaque prendrait 15 heures 10 millions de $, l attaque prendrait 1,5 heure 2007 : Copacobana (reprogrammable), prix 10 000 $, attaque en 6,4 jours

64 / 67 Sécurité calculatoire Les systèmes utilisés dans la pratique sont théoriquement cassables Définition (Sécurité pratique, ou calculatoire) La connaissance du message chiffré (et de certains couples clairs-chiffrés) ne permet de retrouver ni la clé ni le message clair en un temps humainement raisonnable. Sécurité inconditionnelle cryptographie à clé secrète La cryptographie à clé publique est rendue possible par la sécurité pratique. Elle utilise deux notions clés : fonction à sens unique fonction à sens unique avec trappe

Complexité d une attaque : ordres de grandeur Complexité = O(Temps + Mémoire + Données) On estime que 2 128 opérations représente aujourd hui un niveau raisonnable de sécurité n 2 n Exemples 32 2 32 nombre d êtres humains sur Terre 46 2 46 distance Terre - Soleil en millimètres nombre d opérations effectuées par jour par un ordinateur à 1 GHz 55 2 55 nombre d opérations effectuées par an par un ordinateur à 1 GHz 82 2 82 masse de la Terre en kilogrammes 90 2 90 nombre d opérations effectuées en 15 milliards d années (âge de l univers) par un ordinateur à 1 GHz 155 2 155 nombre de molécules d eau sur Terre 256 2 256 nombre d électrons dans l univers 65 / 67

66 / 67 Niveau de sécurité : taille des clés Chiffrement réputé sûr si aucune attaque n a une complexité significativement inférieure à la recherche exhaustive Clé symétrique : la taille des clés est souvent de 128 bits (AES) Clé asymétrique : la taille des clés est calculée de manière à offrir une sécurité supérieure à 2 128 ex. 3072 bits pour un module RSA Problème pratique : plus la taille des clés augmente, plus les algorithmes sont lents surtout en cryptographie asymétrique

67 / 67 Résistance aux attaques Dimensionnement suffisant (clé, bloc, etc.) Résistance aux attaques structurelles Résistance aux attaques par canaux auxiliaires Sans compter les menaces annexes mise en œuvre logicielle intégration dans un système utilisation en pratique Prise en compte du facteur temps et des usages remplacement lent des algorithmes faibles déjà déployés (coût de la sécurité) algorithmes maison sans expertise scientifique certains sujets de recherche plus ou moins longtemps délaissés (ex. chiffrements à flot, fonctions de hachage)

67 / 67

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back