Le Chiffrement Asymétrique et la Sécurité Prouvée

Documents pareils
Cryptographie et fonctions à sens unique

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Fonction de hachage et signatures électroniques

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Modes opératoires pour le chiffrement symétrique

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Calculateur quantique: factorisation des entiers

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Contexte. Pour cela, elles doivent être très compliquées, c est-à-dire elles doivent être très différentes des fonctions simples,

Les protocoles cryptographiques

Résolution d équations non linéaires

Souad EL Bernoussi. Groupe d Analyse Numérique et Optimisation Rabat http ://

Cryptologie à clé publique

La cryptographie du futur

Résolution de systèmes linéaires par des méthodes directes

Quelques tests de primalité

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Chapitre VI - Méthodes de factorisation

FONCTIONS DE PLUSIEURS VARIABLES (Outils Mathématiques 4)

Image d un intervalle par une fonction continue

Cryptographie à clé publique : Constructions et preuves de sécurité

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Notes du cours MTH1101 Calcul I Partie II: fonctions de plusieurs variables

ÉPREUVE COMMUNE DE TIPE Partie D

Travail d intérêt personnel encadré : La cryptographie

MATHÉMATIQUES DISCRÈTES (4) CRYPTOGRAPHIE CLASSIQUE

Resolution limit in community detection

Polynômes à plusieurs variables. Résultant

Raisonnement par récurrence Suites numériques

Protocoles d authentification

De même, le périmètre P d un cercle de rayon 1 vaut P = 2π (par définition de π). Mais, on peut démontrer (difficilement!) que

Cours de Master Recherche

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Table des matières. I Mise à niveau 11. Préface

Panorama de la cryptographie des courbes elliptiques

Chapitre 6. Fonction réelle d une variable réelle

Limites finies en un point

Fonctions de plusieurs variables

Exercices - Polynômes : corrigé. Opérations sur les polynômes

Correction du baccalauréat ES/L Métropole 20 juin 2014

Comparaison de fonctions Développements limités. Chapitre 10

Cryptographie Homomorphe

Programmation linéaire

Équations non linéaires

ALGORITHMIQUE II NOTION DE COMPLEXITE. SMI AlgoII

TABLE DES MATIÈRES CHAPITRE I. Les quanta s invitent

Exercices - Fonctions de plusieurs variables : corrigé. Pour commencer

Bac Blanc Terminale ES - Février 2011 Épreuve de Mathématiques (durée 3 heures)

Cours Fonctions de deux variables

I - PUISSANCE D UN POINT PAR RAPPORT A UN CERCLE CERCLES ORTHOGONAUX POLES ET POLAIRES

Baccalauréat ES/L Amérique du Sud 21 novembre 2013

Chapitre 3 : Crytographie «Cryptography»

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Filtrage stochastique non linéaire par la théorie de représentation des martingales

Chapitre 3. Quelques fonctions usuelles. 1 Fonctions logarithme et exponentielle. 1.1 La fonction logarithme

Le partage de clés cryptographiques : Théorie et Pratique

Programmation Linéaire - Cours 1

Nouveaux résultats en cryptographie basée sur les codes correcteurs d erreurs

1 Recherche en table par balayage

Planche n o 22. Fonctions de plusieurs variables. Corrigé

Baccalauréat ES Pondichéry 7 avril 2014 Corrigé

Deux disques dans un carré

Corrigé du baccalauréat S Pondichéry 12 avril 2007

Chp. 4. Minimisation d une fonction d une variable

Master Modélisation Aléatoire Paris VII, Cours Méthodes de Monte Carlo en nance et C++, TP n 2.

Nombre dérivé et tangente

Correction : E = Soit E = -1,6. F = 12 Soit F = y = 11. et G = -2z + 4y G = 2 6 = 3 G = G =

CHAPITRE V SYSTEMES DIFFERENTIELS LINEAIRES A COEFFICIENTS CONSTANTS DU PREMIER ORDRE. EQUATIONS DIFFERENTIELLES.

Séminaire TEST. 1 Présentation du sujet. October 18th, 2013

1.1 Codage de source et test d hypothèse

LA PHYSIQUE DES MATERIAUX. Chapitre 1 LES RESEAUX DIRECT ET RECIPROQUE

CCP PSI Mathématiques 1 : un corrigé

LES MÉTHODES DE POINT INTÉRIEUR 1

Concurrence imparfaite

Fonctions homographiques

Exo7. Calculs de déterminants. Fiche corrigée par Arnaud Bodin. Exercice 1 Calculer les déterminants des matrices suivantes : Exercice 2.

Notes du cours MTH1101N Calcul I Partie II: fonctions de plusieurs variables

Si deux droites sont parallèles à une même troisième. alors les deux droites sont parallèles entre elles. alors

Exercices Corrigés Premières notions sur les espaces vectoriels

Continuité d une fonction de plusieurs variables

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Continuité en un point

Bien lire l énoncé 2 fois avant de continuer - Méthodes et/ou Explications Réponses. Antécédents d un nombre par une fonction

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Fonctions de deux variables. Mai 2011

1 radian. De même, la longueur d un arc de cercle de rayon R et dont l angle au centre a pour mesure α radians est α R. R AB =R.

Structures algébriques

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

4.2 Unités d enseignement du M1

Pourquoi l apprentissage?

Factorisation d entiers (première partie)

Problème 1 : applications du plan affine

Optimisation non linéaire Irène Charon, Olivier Hudry École nationale supérieure des télécommunications

Cours 14. Crypto. 2004, Marc-André Léger

La NP-complétude. Johanne Cohen. PRISM/CNRS, Versailles, France.

I. Polynômes de Tchebychev

Optimisation des fonctions de plusieurs variables

Transcription:

Le Chiffrement Asymétrique et la Sécurité Prouvée Habilitation à Diriger des Recherches Université Paris VII - Denis Diderot École normale supérieure Sommaire 1. Le chiffrement asymétrique 2. Les hypothèses algorithmiques 3. Les preuves de sécurité 4. Un exemple : OAEP 5. La sécurité pratique 6. Conclusion Le chiffrement asymétrique et la sécurité prouvée - 2

Sommaire 1. Le chiffrement asymétrique 2. Les hypothèses algorithmiques 3. Les preuves de sécurité 4. Un exemple : OAEP 5. La sécurité pratique 6. Conclusion Le chiffrement asymétrique et la sécurité prouvée - 3 Cryptographie asymétrique Deux clés Alice une clé privée (de déchiffrement k d ) qui lui permet de déchiffrer confidentialité authenticité Bob Diffie-Hellman 1976 Chiffrement asymétrique : Bob possède un couple de «clés» une clé publique (de chiffrement k e ) qui permet à qui le souhaite de lui chiffrer un message connue de tous (dont Alice) connue de Bob uniquement Le chiffrement asymétrique et la sécurité prouvée - 4

Chiffrement / déchiffrement décryptement Alice envoie à Bob ce coffre que nul ne peut ouvrir (impossible de décrypter) Grâce à la clé publique de Bob, Alice peut fermer un coffre, avec le message à l intérieur (chiffrer le message) sauf Bob, avec sa clé privée (il peut déchiffrer) Le chiffrement asymétrique et la sécurité prouvée - 5 Un schéma de chiffrement 3 algorithmes : - génération des clés - chiffrement - déchiffrement k e ω (k e,k d ) k d m r c m Confidentialité = impossibilité de retrouver m à partir de c sans la clé privée k d Le chiffrement asymétrique et la sécurité prouvée - 6

Confidentialité calculatoire Le chiffré est calculé par c = ke (m;r) la clé k e est publique un unique m satisfait cette relation (avec éventuellement plusieurs r) Au moins la recherche exhaustive sur m et r permet de retrouver m, peut-être mieux! confidentialité inconditionnelle impossible hypothèses algorithmiques Le chiffrement asymétrique et la sécurité prouvée - 7 Sommaire 1. Le chiffrement asymétrique 2. Les hypothèses algorithmiques 3. Les preuves de sécurité 4. Un exemple : OAEP 5. La sécurité pratique 6. Conclusion Le chiffrement asymétrique et la sécurité prouvée - 8

Factorisation entière et RSA Multiplication/Factorisation : Fonction p, q n = p.q facile (quadratique) à sens-unique n = p.q p, q difficile (super-polynomial) Fonction RSA, de n dans n (avec n=pq) pour un exposant e fixé Rivest-Shamir-Adleman 1978 x x e mod n facile (cubique) y=x e mod n x difficile (sans p ni q) x = y d mod n où d = e -1 mod ϕ(n) trappe Le chiffrement asymétrique et la sécurité prouvée - 9 Factorisation entière et RSA Multiplication/Factorisation : Fonction p, q n = p.q facile (quadratique) à sens-unique n = p.q p, q difficile (super-polynomial) Fonction RSA, de n dans n (avec n=pq) pour un exposant e fixé Rivest-Shamir-Adleman 1978 x x e mod n facile (cubique) y=x e mod n x difficile (sans p ni q) x = y d mod n où d = e -1 mod ϕ(n) chiffrement trappe Le chiffrement asymétrique et la sécurité prouvée - 10

Factorisation entière et RSA Multiplication/Factorisation : Fonction p, q n = p.q facile (quadratique) à sens-unique n = p.q p, q difficile (super-polynomial) Fonction RSA, de n dans n (avec n=pq) pour un exposant e fixé Rivest-Shamir-Adleman 1978 x x e mod n facile (cubique) y=x e mod n x difficile (sans p ni q) x = y d mod n où d = e -1 mod ϕ(n) chiffrement décryptement difficile trappe Le chiffrement asymétrique et la sécurité prouvée - 11 Factorisation entière et RSA Multiplication/Factorisation : Fonction p, q n = p.q facile (quadratique) à sens-unique n = p.q p, q difficile (super-polynomial) Fonction RSA, de n dans n (avec n=pq) pour un exposant e fixé Rivest-Shamir-Adleman 1978 x x e mod n facile (cubique) y=x e mod n x difficile (sans p ni q) x = y d mod n où d = e -1 mod ϕ(n) chiffrement décryptement difficile trappe clé déchiffrement Le chiffrement asymétrique et la sécurité prouvée - 12

Variantes et autres problèmes RSA Flexible : (y, n) (x, e), y = x e mod n Relié : (Dependent-RSA) (P EC-1999) pour n et e fixés, y=x e mod n (x+1) e mod n Logarithme discret : g, y=g x Diffie-Hellman log g (y) = x Calcul : (A=g a, B=g b ) DH(A,B)=g ab? Décision : (A=g a, B=g b, C=g c ) C=DH(A,B) Gap : Gap-Problems (OP PKC-2001) Résoudre C-DH à l aide d un oracle D-DH Le chiffrement asymétrique et la sécurité prouvée - 13 Estimations de complexité Estimations pour la factorisation Lenstra-Verheul 2000 Record Août 1999 Module (en bits) 512 1024 2048 4096 8192 Mips-Year (en log 2 ) 13 35 66 104 156 Opérations (en log 2 ) 58 80 111 149 201 Convenables pour RSA Bornes inférieures pour LD dans * p Repère Le chiffrement asymétrique et la sécurité prouvée - 14

Sommaire 1. Le chiffrement asymétrique 2. Les hypothèses algorithmiques 3. Les preuves de sécurité 4. Un exemple : OAEP 5. La sécurité pratique 6. Conclusion Le chiffrement asymétrique et la sécurité prouvée - 15 Hypothèse algorithmique nécessaire n=pq : module public e : exposant public d=e -1 mod ϕ(n) : privé Chiffrement RSA (m) = m e mod n (c) = c d mod n Si le problème RSA est facile, clairement, la confidentialité n est pas garantie : n importe qui peut retrouver m à partir de c Le chiffrement asymétrique et la sécurité prouvée - 16

Hypothèse algorithmique suffisante? Les preuves de sécurité garantissent que l hypothèse est suffisante pour la confidentialité : si un adversaire parvient à violer la confidentialité on peut mettre en défaut l hypothèse preuve par réduction Le chiffrement asymétrique et la sécurité prouvée - 17 Preuve par réduction Réduction d un problème à une attaque Atk : Soit un attaquant qui parvient à son but alors peut être utilisé pour résoudre Instance de Solution de insoluble schéma incassable Le chiffrement asymétrique et la sécurité prouvée - 18

Protocole prouvé sûr Pour prouver la sécurité d un protocole cryptographique, on doit préciser les hypothèses algorithmiques préciser les notions de sécurité à garantir présenter une réduction : un attaquant permet de contredire les hypothèses Le chiffrement asymétrique et la sécurité prouvée - 19 Notions de sécurité En fonction des besoins, on définit les objectifs de l adversaire les moyens, soit les informations mises à sa disposition. Le chiffrement asymétrique et la sécurité prouvée - 20

Confidentialité élémentaire Non-inversibilité (OW - One-Wayness) : sans la clé privée, il est calculatoirement impossible de retrouver le message clair Succ ow ( ) = Pr m, r [ ( c) = m c = ( m;r) ] Insuffisant si on a déjà de l information sur m : «Message au sujet de XXXXX» «Ma réponse est XXX» Le chiffrement asymétrique et la sécurité prouvée - 21 Confidentialité forte Sécurité sémantique (IND - Indistinguishability) : GM 1984 le chiffré ne révèle aucune autre information sur le message clair à un adversaire polynomial Adv ind ( ) = ( m, m, s) ( k e r, b c mb r 2 0 1 1 Pr 2 ( m0, m1, c, s) = b (, ) ) 1 Le chiffrement asymétrique et la sécurité prouvée - 22

Non-malléabilité Non-malléabilité (NM - Non-Malleability) : DDN 1991 Aucun adversaire polynomial ne peut dériver de c= (m;r) un deuxième chiffré c = (m ;r ), de façon à ce que les clairs m et m soient reliés non-malléabilité sécurité sémantique non-inversibilité Le chiffrement asymétrique et la sécurité prouvée - 23 Attaques de base Attaques à clairs choisis (CPA - Chosen-Plaintext Attacks) Dans l environnement à clé publique, l adversaire peut chiffrer tout message de son choix, grâce à la clé publique attaque de base Autres informations : accès à des oracles attaque par réaction : c valide?? attaque par vérification : (m,c) m = (c) Le chiffrement asymétrique et la sécurité prouvée - 24

Attaques à chiffrés choisis Attaques à chiffrés choisis (CCA - Chosen-Ciphertext Attacks) L adversaire a accès à l oracle de déchiffrement soit le clair de tout chiffré de son choix (sauf le challenge) non-adaptatives (CCA1) NY 1990 accès avant de recevoir le challenge adaptatives (CCA2) RS 1991 accès illimité Le chiffrement asymétrique et la sécurité prouvée - 25 Relations BDPR C-1998C Implications et séparations NM-CPA NM-CCA1 NM-CCA2 IND-CPA IND-CCA1 IND-CCA2 OW-CPA sécurité faible sécurité minimale sécurité forte : CCA Le chiffrement asymétrique et la sécurité prouvée - 26

Sommaire Le chiffrement asymétrique Les hypothèses algorithmiques Les preuves de sécurité Un exemple : OAEP La sécurité pratique Conclusion Le chiffrement asymétrique et la sécurité prouvée - 27 Une permutation à trappe Une permutation à sens-unique à trappe conduit à un schéma OW-CPA Ex : RSA f (m) = m e mod n g(c) = c d mod n Mais niveau de sécurité insuffisant! On veut la sécurité forte : IND-CCA2 Le chiffrement asymétrique et la sécurité prouvée - 28

OAEP Bellare-Rogaway 1994 M a M = m 0 0 r aléa G H G et H fonctions aléatoires r b (m) : Calculer a,b puis retourner c=f (a b) (c) : Calculer a b = g(c) inverser OAEP, et retourner m (si la redondance est satisfaite) Le chiffrement asymétrique et la sécurité prouvée - 29 Oracle aléatoire Aucun schéma vraiment efficace n admet de preuve de sécurité forte par réduction Aucun schéma inefficace n a d intérêt pratique (sécurité transparente) hypothèse supplémentaire Ex : modèle de l oracle aléatoire (ROM) Bellare-Rogaway 1993 certaines fonctions (G et H) sont considérées parfaitement aléatoires Le chiffrement asymétrique et la sécurité prouvée - 30

OAEP (suite) Dans le modèle de l oracle aléatoire, OAEP conduit à un schéma IND-CPA à partir de toute permutation à sens-unique à trappe et CCA? admis jusqu à très récemment RSA-OAEP retenu par RSA PKCS, SET, IETF, IEEE, ISO, finalement faux Shoup 2000 Le chiffrement asymétrique et la sécurité prouvée - 31 RSA-OAEP FOPS C-2001C OAEP conduit au niveau CCA à partir d une permutation à sens-unique sur un domaine partiel, à trappe : (a,b) f (a b) à sens-unique, à trappe f (a b) a également difficile RSA-Partiel RSA avec un (t, ε)-oracle qui extrait a de (a b) e mod n, RSA(n,e) résolu avec probabilité ε 2 en temps 2t IND-CCA2 de RSA-OAEP RSA Heureusement pour les applications industrielles! Le chiffrement asymétrique et la sécurité prouvée - 32

Intérêt pratique RSA-OAEP : construction efficace, prouvée IND-CCA2 sous RSA (ROM) Mais la réduction est quadratique Attaquant contre IND-CCA2 en t Algorithme contre RSA en t t 2 RSA 1024 bits impose t > 2 80 donc t > 2 40 sécurité prouvée en 2 40! (ou 2 74, mais avec 4096 bits : pas pratique) Le chiffrement asymétrique et la sécurité prouvée - 33 Sommaire Le chiffrement asymétrique Les hypothèses algorithmiques Les preuves de sécurité Un exemple : OAEP La sécurité pratique Conclusion Le chiffrement asymétrique et la sécurité prouvée - 34

Sécurité pratique Attaquant en t Algorithme contre en t = T (t) Théorie de la complexité : T polynomiale Sécurité exacte : T explicite Sécurité pratique : T petite (linéaire) Ex : t = 4t insoluble en moins de 2 80 opérations schéma incassable en moins de 2 78 op. Le chiffrement asymétrique et la sécurité prouvée - 35 REACT OP RSA-2001 (m ; r)= a = f (r) avec r b = k m où k = G(r) c = H(m,r,a,b) (a,b,c): Calculer r = g(a) et k = G(r) extraire m = k b si c = H(m,r,a,b) et r alors retourner m sinon «refus» Conversion efficace de toute fonction injective f, de type Gap-Problem, en chiffrement IND-CCA2 Le chiffrement asymétrique et la sécurité prouvée - 36

Sécurité pratique G : { 0, 1} { } { } G H : 0,1 01, H Si un adversaire contre IND-CCA2 obtient un avantage ε en temps t après q G, q H et q questions à G, H et resp. alors on peut casser le Gap-Problem f avec probabilité 2 q 2 (ROM) H en temps t t + (q G + q H ) T test 2t (si T test petit) Le chiffrement asymétrique et la sécurité prouvée - 37 REACT : exemples Réduction linéaire : sécurité pratique Efficacité : version hybride RSA-REACT sécurité avec 1024 bits prouvée en 2 78! (à comparer à 2 40 pour RSA-OAEP 1024 bits) El Gamal-REACT (PSEC-3 sur courbes elliptiques) sécurité basée sur le Gap Diffie-Hellman Le chiffrement asymétrique et la sécurité prouvée - 38

Sommaire Le chiffrement asymétrique Les hypothèses algorithmiques Les preuves de sécurité Un exemple : OAEP La sécurité pratique Conclusion Le chiffrement asymétrique et la sécurité prouvée - 39 La sécurité prouvée Trois étapes primordiales : notions formelles de sécurité formalisation BDPR C-1998 nouvelles notions BBDP AC-2001 hypothèses algorithmiques précises Dependent RSA P EC-1999 Gap Problems OP PKC-2001 preuves par réduction REACT OP RSA-2001 OAEP FOPS C-2001 Le chiffrement asymétrique et la sécurité prouvée - 40

Nouveautés Étude du chiffrement après l authentification Thèse de doctorat Réduction efficace sécurité pratique Nouveau formalisme Shoup preuves plus claires et plus modulaires affiner ce formalisme prouver des protocoles complets (protocoles de groupes) Le chiffrement asymétrique et la sécurité prouvée - 41

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back