TD3 - Attaques par canaux cachés

Documents pareils
Cryptographie et fonctions à sens unique

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Cryptologie et physique quantique : Espoirs et menaces. Objectifs 2. distribué sous licence creative common détails sur

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Calculateur quantique: factorisation des entiers

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Fonction de hachage et signatures électroniques

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Cryptologie à clé publique

Cours 14. Crypto. 2004, Marc-André Léger

INF 4420: Sécurité Informatique Cryptographie II

Gestion des Clés Publiques (PKI)

Sécurité de l'information

Travail d intérêt personnel encadré : La cryptographie

Cryptographie Quantique

UEO11 COURS/TD 1. nombres entiers et réels codés en mémoire centrale. Caractères alphabétiques et caractères spéciaux.

Panorama de la cryptographie des courbes elliptiques

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

MATHÉMATIQUES DISCRÈTES (4) CRYPTOGRAPHIE CLASSIQUE

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Sécurité et sûreté des systèmes embarqués et mobiles

J AUVRAY Systèmes Electroniques TRANSMISSION DES SIGNAUX NUMERIQUES : SIGNAUX EN BANDE DE BASE

Compression Compression par dictionnaires

Qu est-ce qu un ordinateur quantique et à quoi pourrait-il servir?

Les Réseaux sans fils : IEEE F. Nolot

Systèmes de transmission

ÉPREUVE COMMUNE DE TIPE Partie D

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Objets Combinatoires élementaires

Les protocoles cryptographiques

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Chapitre 2 Les ondes progressives périodiques

TP 2 : Chiffrement par blocs

Université de La Rochelle. Réseaux TD n 6

CARACTERISTIQUE D UNE DIODE ET POINT DE FONCTIONNEMENT

module Introduction aux réseaux DHCP et codage Polytech / 5

Comment paramétrer correctement son compte Facebook pour pouvoir protéger un maximum ses données et sa vie privée.

Projet Matlab : un logiciel de cryptage

Licence Sciences et Technologies Examen janvier 2010

Travaux pratiques. Compression en codage de Huffman Organisation d un projet de programmation

La sécurité dans un réseau Wi-Fi

Organigramme / Algorigramme Dossier élève 1 SI

L identité numérique. Risques, protection

LES CARACTERISTIQUES DES SUPPORTS DE TRANSMISSION

EPREUVE OPTIONNELLE d INFORMATIQUE CORRIGE

DM 1 : Montre Autoquartz ETA

Des codes secrets dans la carte bleue. François Dubois 1

Les techniques de multiplexage

Date De Création 14/05/2013. PIC Poitou Charente. Préparé par : Cécilia CHARTIER. Modification 14/05/2013

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Les portes logiques. Voici les symboles des trois fonctions de base. Portes AND. Portes OR. Porte NOT

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

De la sphère de Poincaré aux bits quantiques :! le contrôle de la polarisation de la lumière!

Architecture des ordinateurs TD1 - Portes logiques et premiers circuits

Gestion d'une billeterie défilé des talents

STAGE D'INITIATION AUX SOINS INFIRMIERS D'ACCES EN PCEM2 ou en 2ème ANNEE DE CHIRURGIE DENTAIRE

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Cisco Certified Network Associate

Protocoles d authentification

IFT2880 Organisation des ordinateurs et systèmes

Année Universitaire session 1 d automne Parcours : CSB5 Licence 3 STS Informatique

EPFL TP n 3 Essai oedomètrique. Moncef Radi Sehaqui Hamza - Nguyen Ha-Phong - Ilias Nafaï Weil Florian

TABLE DES MATIÈRES CHAPITRE I. Les quanta s invitent

Acquisition et conditionnement de l information Les capteurs

0x700. Cryptologie Pearson France Techniques de hacking, 2e éd. Jon Erickson

La température du filament mesurée et mémorisée par ce thermomètre Infra-Rouge(IR) est de 285 C. EST-CE POSSIBLE?

Algorithmique et Programmation, IMA

Traitement et communication de l information quantique

Solutions du chapitre 4

TD n o 8 - Domain Name System (DNS)

CHAPITRE IX : Les appareils de mesures électriques

Comment réaliser physiquement un ordinateur quantique. Yves LEROYER

Théorie et Codage de l Information (IF01) exercices Paul Honeine Université de technologie de Troyes France

IV- Comment fonctionne un ordinateur?

- MANIP 2 - APPLICATION À LA MESURE DE LA VITESSE DE LA LUMIÈRE

le système d alarme sans fil avec caméra intégrée permettant la levée de doute évènementielle. Sans fil Fonctionne sur piles 128 Bit AES crypté

Les réseaux cellulaires

EP A1 (19) (11) EP A1 (12) DEMANDE DE BREVET EUROPEEN. (43) Date de publication: Bulletin 2011/26

transformer en avantage compétitif en temps réel vos données Your business technologists. Powering progress

Les principes de la sécurité

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Audit des risques informatiques. Introduction à la Cryptographie Pierre-François Bonnefoi

TP Modulation Démodulation BPSK

document proposé sur le site «Sciences Physiques en BTS» : BTS AVA 2015

Présentation Générale

Sécurité des réseaux IPSec

Indiscrétions et «zones constructeurs» «Redécouvrons nos disques durs»

Catalogue Produits. Version 1

Nouveaux résultats en cryptographie basée sur les codes correcteurs d erreurs

TECHNIQUES DE CRYPTOGRAPHIE

Comme chaque ligne de cache a 1024 bits. Le nombre de lignes de cache contenu dans chaque ensemble est:

1 Architecture du cœur ARM Cortex M3. Le cœur ARM Cortex M3 sera présenté en classe à partir des éléments suivants :

Evaluation, Certification Axes de R&D en protection

6 ème. Rallye mathématique de la Sarthe 2013/ ère épreuve de qualification : Problèmes Jeudi 21 novembre 2013

Les arbres binaires de recherche

Transcription:

TD 3 - RSA Exercice 1. La clé publique de Bob est N = 247 et E = 11, et sa clé privée est D = 59. 1. Aidez Alice à chiffrer le message clair M = 100 pour l envoyer à Bob. 2. Le cryptogramme C = 52 est reçu par Bob. Aidez-le à le déchiffrer. Exercice 2. 1. Pour fabriquer son chiffre RSA, Bob a choisi les deux nombres premiers p = 13 et q = 23. Calculer le module N et le nombre ϕ. 2. Bob doit maintenant choisir son compliqueur E. Le nombre 41 constitue-t-il un compliqueur acceptable? Pourquoi? Le nombre 72 constitue-t-il un compliqueur acceptable? Pourquoi? 3. Réflexion faite, Bob a choisi le compliqueur E = 83 (on ne vous demande pas de vérifier qu il est acceptable). Calculer le faciliteur correspondant D. 4. Bob va maintenant publier la partie publique de son chiffre RSA. Indiquez de quoi est constituée cette partie publique. Exercice 3. Alice a publié la partie publique de son chiffre RSA : E A = 179 et N A = 629. La partie privée de son chiffre est D A = 251. Bob a publié la partie publique de son chiffre RSA : E B = 601 et N B = 851. La partie privée de son chiffre est D B = 481. Alice veut envoyer un message (codé numériquement par un seul nombre M = 342) à Bob. 1. Quel est le calcul que doit effectuer Alice pour chiffrer son message? Vous noterez C le message chiffré. 2. Quel est le calcul que doit effectuer Bob pour déchiffrer C? Vous noterez M le message déchiffré. Exercice 4. Alice a publié la clef publique de son chiffre RSA : N = 391 et E = 151, et elle a conservé en lieu sûr sa clef privée D = 7. 1. Bob lui transmet un message sous la forme du nombre : C = 17. Quelle opération Alice va-t-elle effectuer pour déchiffrer ce message? Quel nombre va-t-elle obtenir? 2. Retrouvez les deux nombres premiers p et q (le nombre N étant petit, c est faisable). En déduire ϕ(n). 3. Quelle relation existe-t-il entre E et D? Vérifiez cette relation sur les nombres donnés. Exercice 5. 1. On considère un chiffre RSA constitué du module N = 221, du compliqueur E = 11 et du faciliteur D = 35. On ne demande pas de vérifier que ces valeurs sont acceptables. (a) Chiffrer le message M = 112. (b) Déchiffrer le cryptogramme C = 78. 2. Pour fabriquer un chiffre RSA, on a choisi p = 53 et q = 71. (a) Calculer le module N et le nombre ϕ(n). (b) On choisit le compliqueur E = 307. Vérifier qu il est acceptable et calculer le faciliteur correspondant D. (c) Indiquer quels sont les éléments qui constituent la clé publique et quels sont les éléments qui constituent la clé privée de ce chiffre RSA. (d) Que faut-il faire des éléments restants? Pourquoi?

TD3 - Attaques par canaux cachés 1 La cryptanalyse en quelques mots Attaque par force brute On énumère toutes les clés secrètes possibles. Chiffrements par décalage : 26 Chiffrements affines : 12 26 Permutation quelconque lettre à lettre : 26! 4. 10 26 Pour Enigma (allemand, WW2) : environ 10 16 Pour DES (Data Encryption Standard, protocole symétrique) : 2 56 7.10 16 Des attaques plus subtiles Celles-ci exploitent des faiblesses des protocoles. Chiffrement par décalage : correspondance entre 2 lettres. Chiffrement affine : (parfois) correspondance entre 2 paires. Chiffrement par permutation : fréquences et dictionnaire. Pour Enigma, l attaque repose sur des faiblesses dans la mise en oeuvre. Pour DES, cryptanalyse différentielle (observation de l effet de petites perturbations d un message sur le chiffré). Remarque. Ces attaques se font dans des cadres différents. Par exemple l attaque différentielle nécessite de pouvoir faire chiffrer de nombreux messages. C est raisonnable si l on se place dans le cadre de cryptographie embarquée, c est-à-dire sur des puces (exemple d utilisation : télé crypté). Attaques par canaux cachés Il ne suffit pas de fixer une grosse clé pour être tranquille. On peut déduire des informations importantes, voir la clé secrète en «observant» l activité du processeur temps de calcul consommation énergétique température rayonnement D autres attaques plus sophistiquées (attaque au flash, attaque au laser) perturbent physiquement un composant de la puce à un instant donné (inversion de bits pendant le calcul). 2 Attaque par canaux cachés de RSA Retour sur le déchiffrement RSA Bob calcule C à partir du message M Alice déchiffre C en calculant C D mod N qui vaut M. Ici D est secret. Si Charlie découvre D, il pourra déchiffrer le prochain message envoyé par n importe qui à Alice! Retour sur l exponentielle modulaire rapide Exemple. 174 37 mod 187 =? On utilise 37 = 32 + 4 + 1 = 2 5 + 2 2 + 2 0 = bin 100101 donc x 37 mod 187 = ( (x 2 mod 187) 2) 2 (x 2 mod 187) x donc Soit x 37 mod 187 = ( (x 2 mod 187) 2) 2 (x 2 mod 187) x i 0 1 2 3 4 5 (174) 2i mod 187 174 169 137 69 86 103 174 37 = 174 137 103 = 4 mod 187 Attaque temporelle? nombre de bits de la clé + nombre de 1!

Attaque par analyse simple de la consommation les bits de la clé! Remarque. L attaque repose sur le fait que le circuit calculant un produit est différent de celui qui calcule un carré (le second est plus efficace). Exemple. On analyse les pics de consommations et on retrouve des motifs pour chaque étape : soit un carré seulement (bit de la clé correspondant 0) ; soit un carré puis une multiplication (bit égal à 1). On peut lire les bits de la clés (de droite à gauche). sens de lecture de l attaque 1 0 1 0 0 1 sens de lecture des bits Récapitulatif de l attaque par analyse simple de la consommation Charlie branche son oscilloscope sur l ordinateur d Alice (ou bien il prend des jumelles thermales) Charlie attend que Bob envoie un message C à Alice et intercepte ce message Charlie observe le calcul d Alice par le biais du canal caché Il retrouve la clé secrète d Alice D en binaire Il lui reste à faire lui-même le calcul C D mod N (le modulo N est public) pour retrouver le message M! 3 Une contre-mesure Puisque l attaque repose sur le fait qu à chaque étape on ne fait pas forcément de multiplication, on change un petit peu le code en faisant une multiplication à chaque étape, même si elle ne sert à rien! Square and multiply always Exponentiation rapide classique b=1 else: b=b*x2%n b=b*x2%n Remarque. La consommation est indépendante du bit de la clé dans le second cas. A chaque étape il y a une élévation au carré et un produit. Attaque au flash Il y a Encore une faiblesse. On peut physiquement changer une variable en cours d exécution et contre Square and multiply always on peut retrouver les branches bidons. La technique de l échelle de Montgomery permet d éviter à la fois l attaque par analyse simple de la consommation et l attaque au flash.

4 Exercices Exercice 1. Bob a publié la partie publique de sa clé RSA sur sa page web : N = 143, E = 73. Alice code un message M et envoie C = 8 à Bob. Bob décode le message C et retrouve M = M. Flashback : Charlie a branché son oscilloscope sur l ordinateur d Alice et il observe le tracé ci-dessous. Que peut-il (Charlie) déduire de ce tracé? Exercice 2. Comme précédemment, Bob a publié la partie publique de sa clé RSA sur sa page web : N = 143, E = 73. Alice code un message M et envoie C = 8 à Bob. Bob décode le message C et retrouve M = M. Flashback : Charlie a branché son oscilloscope sur l ordinateur de Bob et il observe le tracé ci-dessous. Que peut-il (Charlie) déduire de ce tracé? Exercice 3. Bob s aperçoit que son code actuel pour faire une exponentielle rapide est un peu idiot. Il change donc son code comme ci-dessous. Code après changement Code avant changement x1=x % N else: Comme Bob est content de cette amélioration et qu il porte un t-shirt Tux, il publie sur sa page web un patch de ce code. Bob ne change pas sa clé RSA publique qui est toujours N = 143, E = 73. Le lendemain, Alice code un message M et envoie C = 69 à Bob. Bob décode le message C et retrouve M = M. Charlie a branché son oscilloscope sur l ordinateur de Bob et il observe le tracé ci-dessous. Est-ce-que Charlie peut retrouver la clé D qu il connaît déjà en observant ce tracé?

5 Pour aller plus loin La technique de l échelle de Montgomery Il s agit d une méthode permettant de calculer l exponentielle rapide, dont le pseudo-code est ci-dessous (la notation est la même que pour la méthode classique). x1=x ^2 for i=k-2 to 0 do x2 = x1*x2 % N x1 = x1^2 % N Remarque. Attention, ici on procède dans un ordre différent que précédemment (poids forts vers les poids faibles : on lit les bits de la clé dans l ordre habituel de lecture). Exercice 4. Faite tournez les deux programmes (classique et Montgomery) sur l exemple du cours (C = 174 et D = 37) pour comprendre ce qui se passe. Pour éviter de se mélanger avec des chiffres, on notera par c 0, c 1,..., c 5 les valeurs des carrés successifs (174,169, etc). Vous pouvez présenter les étapes de calcul dans deux tableaux : Montgomery Classique i di x1 x2 5 1 c 0 c 1 4 0 3 0 2 1 1 0 0 1 i di x1 x2 0 1 c 0 c 0 1 0 2 1 3 0 4 0 5 1 Exercice 5. Démontrez que Montgomery calcule bien ce qu il faut, à savoir la même chose que l exponentielle rapide (on suppose que l exposant n est jamais 0). (indication. faire une preuve par récurrence sur le nombre de bits de l exposant en démontrant une propriété un peu plus forte à savoir que à la fin du programme x 1 a pour valeur x D mod N et que x 2 a pour valeur x D+1 mod N).

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back