La théorie de l information

Documents pareils
Capacité d un canal Second Théorème de Shannon. Théorie de l information 1/34

Introduction à l étude des Corps Finis

Cryptographie Quantique

Théorie et Codage de l Information (IF01) exercices Paul Honeine Université de technologie de Troyes France

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

1.1 Codage de source et test d hypothèse

ÉPREUVE COMMUNE DE TIPE Partie D

Loi d une variable discrète

Cryptographie et fonctions à sens unique

TSTI 2D CH X : Exemples de lois à densité 1

Chapitre 3. Mesures stationnaires. et théorèmes de convergence

Calcul matriciel. Définition 1 Une matrice de format (m,n) est un tableau rectangulaire de mn éléments, rangés en m lignes et n colonnes.

Chapitre VI - Méthodes de factorisation

LES GENERATEURS DE NOMBRES ALEATOIRES

Texte Agrégation limitée par diffusion interne

Probabilités et Statistiques. Feuille 2 : variables aléatoires discrètes

Exercices types Algorithmique et simulation numérique Oral Mathématiques et algorithmique Banque PT

Exo7. Matrice d une application linéaire. Corrections d Arnaud Bodin.

Quelques tests de primalité

I. Introduction. 1. Objectifs. 2. Les options. a. Présentation du problème.

Exercices sur le chapitre «Probabilités»

Probabilité. Table des matières. 1 Loi de probabilité Conditions préalables Définitions Loi équirépartie...

Durée de L épreuve : 2 heures. Barème : Exercice n 4 : 1 ) 1 point 2 ) 2 points 3 ) 1 point

Simulation de variables aléatoires

Coefficients binomiaux

Résolution d équations non linéaires

UEO11 COURS/TD 1. nombres entiers et réels codés en mémoire centrale. Caractères alphabétiques et caractères spéciaux.

Espérance conditionnelle

Chapitre 2 Le problème de l unicité des solutions

Programmation linéaire

Probabilités sur un univers fini

Correction du Baccalauréat S Amérique du Nord mai 2007

Exercices - Fonctions de plusieurs variables : corrigé. Pour commencer

Correction du baccalauréat ES/L Métropole 20 juin 2014

I - PUISSANCE D UN POINT PAR RAPPORT A UN CERCLE CERCLES ORTHOGONAUX POLES ET POLAIRES

* très facile ** facile *** difficulté moyenne **** difficile ***** très difficile I : Incontournable T : pour travailler et mémoriser le cours

Moments des variables aléatoires réelles

Probabilités conditionnelles Exercices corrigés

Baccalauréat ES Polynésie (spécialité) 10 septembre 2014 Corrigé

Chaînes de Markov au lycée

Suites numériques 3. 1 Convergence et limite d une suite

Modélisation et simulation

Chapitre 6. Fonction réelle d une variable réelle

Probabilités. I Petits rappels sur le vocabulaire des ensembles 2 I.1 Définitions... 2 I.2 Propriétés... 2

Les devoirs en Première STMG

Travaux dirigés d introduction aux Probabilités

DOCM Solutions officielles = n 2 10.

Arithmétique binaire. Chapitre. 5.1 Notions Bit Mot

Baccalauréat ES Pondichéry 7 avril 2014 Corrigé

6. Hachage. Accès aux données d'une table avec un temps constant Utilisation d'une fonction pour le calcul d'adresses

Commun à tous les candidats

Fonctions de plusieurs variables

Exo7. Calculs de déterminants. Fiche corrigée par Arnaud Bodin. Exercice 1 Calculer les déterminants des matrices suivantes : Exercice 2.

Contexte. Pour cela, elles doivent être très compliquées, c est-à-dire elles doivent être très différentes des fonctions simples,

Correction du baccalauréat STMG Polynésie 17 juin 2014

Comparaison de fonctions Développements limités. Chapitre 10

Bac Blanc Terminale ES - Février 2011 Épreuve de Mathématiques (durée 3 heures)

EXERCICE 4 (7 points ) (Commun à tous les candidats)

Quelques contrôle de Première S

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Probabilités. C. Charignon. I Cours 3

La fonction exponentielle

Exercices - Polynômes : corrigé. Opérations sur les polynômes

Soit la fonction affine qui, pour représentant le nombre de mois écoulés, renvoie la somme économisée.

Compression Compression par dictionnaires

INF 232: Langages et Automates. Travaux Dirigés. Université Joseph Fourier, Université Grenoble 1 Licence Sciences et Technologies

EI - EXERCICES DE PROBABILITES CORRIGES

* très facile ** facile *** difficulté moyenne **** difficile ***** très difficile I : Incontournable T : pour travailler et mémoriser le cours.

ENS de Lyon TD septembre 2012 Introduction aux probabilités. A partie finie de N

Une réponse (très) partielle à la deuxième question : Calcul des exposants critiques en champ moyen

Baccalauréat ES Antilles Guyane 12 septembre 2014 Corrigé

Précision d un résultat et calculs d incertitudes

Optimisation des fonctions de plusieurs variables

t 100. = 8 ; le pourcentage de réduction est : 8 % 1 t Le pourcentage d'évolution (appelé aussi taux d'évolution) est le nombre :

Probabilités sur un univers fini

I3, Probabilités 2014 Travaux Dirigés F BM F BM F BM F BM F B M F B M F B M F B M

LEÇON N 7 : Schéma de Bernoulli et loi binomiale. Exemples.

Fonctions de plusieurs variables, intégrales multiples, et intégrales dépendant d un paramètre

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Exo7. Limites de fonctions. 1 Théorie. 2 Calculs

M2 IAD UE MODE Notes de cours (3)

Chapitre 7. Récurrences

Souad EL Bernoussi. Groupe d Analyse Numérique et Optimisation Rabat http ://

Extrait du poly de Stage de Grésillon 1, août 2010

Compression et Transmission des Signaux. Samson LASAULCE Laboratoire des Signaux et Systèmes, Gif/Yvette

Probabilités Loi binomiale Exercices corrigés

La simulation probabiliste avec Excel

GEA II Introduction aux probabilités Poly. de révision. Lionel Darondeau

Probabilités (méthodes et objectifs)

Probabilités conditionnelles Loi binomiale

Economie de l incertain et de l information Partie 1 : Décision en incertain probabilisé Chapitre 1 : Introduction à l incertitude et théorie de

Cryptologie à clé publique

1 Recherche en table par balayage

«Cours Statistique et logiciel R»

De même, le périmètre P d un cercle de rayon 1 vaut P = 2π (par définition de π). Mais, on peut démontrer (difficilement!) que

!-.!#- $'( 1&) &) (,' &*- %,!

Groupe symétrique. Chapitre II. 1 Définitions et généralités

L exclusion mutuelle distribuée

Université Paris-Dauphine DUMI2E 1ère année, Applications

Par combien de zéros se termine N!?

Transcription:

La théorie de l information Comment mesurer la sécurité apportée par un système de cryptographie? C est le mathématicien Claude Shannon qui en 1947 a répondu à cette question en développant la théorie de l information. Entropie On considère une épreuve aléatoire, et une variable aléatoire X associée à cette épreuve. Comment mesurer l information moyenne apportée par la connaissance de X sur l épreuve aléatoire? 1

Prenons l exemple suivant : on lance un dé non pipé et on considère les 3 variables aléatoires suivantes : X 1 qui vaut 0 si le nombre tiré est pair, 1 s il est impair. X 2 qui vaut 0 si le nombre tiré est 1 ou 2, 1 si le nombre tiré est 3 ou 4, 2 si le nombre tiré est 5 ou 6. X 3 qui vaut le nombre tiré. Il est intuitivement clair que la connaissance de X 3 renseigne plus sur le déroulement de l épreuve aléatoire que la connaissance de X 2, qui elle-même renseigne plus que celle de X 1. 2

La notion d entropie permet de mathématiser cette heuristique : Définition 1 Si X est une variable aléatoire discrète, l entropie de X est définie par : H(X ) = x P(X = x)log(p(x = x)) Dans cette définition, la base du logarithme est souvent choisie égale à 2. L entropie se mesure alors en shannons, ou en bits. Il nous faut encore mesurer l incertitude ou le désordre, liée à l expérience aléatoire. Si {a 1,..., a N } est l ensemble des issues possibles de l expérience, l entropie vaut : H(E) = i P({a i })log(p({a i })) On retrouve ici la définition physique de l entropie : mesure du désordre d un système. La variable aléatoire X renseigne totalement sur le déroulement de l expérience E si H(X ) = H(E). 3

Exemples : Dans l exemple du dé, on vérifie que : H(X 1 ) = log2 < H(X 2 ) = log3 < H(X 3 ) = log6 Dans cet exemple, l incertitude totale liée à l expérience est log 6. Si X est une variable aléatoire équidistribuée qui peut prendre n valeurs, l entropie de X est : H(X ) = n k=1 ( ) 1 1 n log = logn n Il est facile de voir que parmi les variables à n valeurs, l entropie H(X ) est maximale lorsque X est équirépartie : une variable aléatoire apporte en moyenne un maximum d informations lorsqu elle peut prendre chaque valeur avec une égale probabilité.

En effet A cause de la concavité de la fonction t t log t sur l intervalle [0, 1], l entropie H(X ) est maximale si et seulement si X est équidistribuée. En effet, si X n est pas équidistribuée, il existe deux valeurs de x telles que Notons f (t) = t log t, t 1 = P(X = x 1 ) P(X = x 2 ) = t 2. f (t 1 ) + f (t 2 ) > 2f ( t 1 + t 2 ). 2 Si on remplace X par la variable X avec P(X = x 1 ) = P(X = x 2 ) = t 1+t 2 2, on obtient une entropie plus grande: H(X ) > H(X ). 4

Pour la cryptographie, la quantité importante va être l entropie conditionnelle de X sachant Y. Elle est définie par : H(X Y ) = x,y P(X = x,y = y)log(p(x = x Y = y)) où la somme est étendue à toutes les valeurs x et y prises par X et Y. H(X Y ) représente l incertitude qu il reste sur X lorsque l on connait Y. Elle verifie la propriété: H(X,Y ) = H(Y ) + H(X Y ) qui signifie que l information apportée par les 2 variables X et Y vaut l information apportée par Y seule plus l information apportée par X connaissant déjà la valeur de Y. 5

Proposition 1 On a: H(X,Y ) = H(Y ) + H(X Y ) où H(X,Y ) désigne l entropie de la variable aléatoire (X,Y ). Démonstration: Il suffit de se rappeler que On a alors: P(X = x,y = y) = P(X = x Y = y)p(y = y). H(X,Y ) = P(X = x,y = y)logp(x = x,y = y) x,y = P(X = x,y = y)(logp(x = x Y = y) + logp(y = y)) x,y = H(X Y ) ( ) P(X = x,y = y) logp(y = y) y x = H(X Y ) P(Y = y)logp(y = y) y = H(X Y ) + H(Y ) 6

La quantité H a un certain nombre de propriétés intéressantes qui justifient plus loin qu elle soit prise comme mesure raisonnable de choix ou d information. 1. H = 0 si et seulement si tous les p i sauf un sont nuls, celui-ci ayant la valeur 1. Ainsi seulement quand nous sommes certains des résultats, H = 0. Autrement H est positif. 2. Pour n donné, H est un maximum et une égale à logn quand tous les p i sont égaux (c.-à-d., 1/n). C est intuitivement la situation la plus incertaine.

3. Supposons qu il y ait deux événements, x et y en question avec m possibilités pour la première et le n pour la seconde. Soit p(i, j ) la probabilité de l occurrence commune de i pour le premier et de j pour la seconde. L entropie de l événement commun est tandis que H(x, y) = p(i, j )log p(i, j ) H(x) = i ( j p(i, j ))log j p(i, j ) H(y) = j ( i p(i, j ))log i p(i, j ) il est facilement montré que H(x, y) H(x) + H(y) avec l égalité seulement si les événements sont indépendants (c.-à-d., p(i, j ) = p(i)p(j )). L incertitude d un événement commun est inférieur ou égal à la somme des différentes incertitudes.

4. N importe quel changement vers l égalisation des probabilités p 1, p 2,..., p n augmente H. Ainsi si p 1 < p 2 et si nous augmentons p 1, décroissions p 2 du même montant de telle sorte que p 1 et p 2 soient plus voisins, alors H augmente. 5. L incertitude (ou l entropie) de l événement commun x, y est l incertitude de x plus l incertitude de y quand x est connu. H(x, y) = H(x) + H(y x) 6. D après 3 et 5 nous avons Donc H(x) + H(y) H(x, y) = H(x) + H(y x) H(y) H(y x) L incertitude de y n est jamais augmentée par la connaissance de x. Elle sera diminuée à moins que x et y soient des événements indépendants, dans ce cas elle n est pas changée. 7

Application à la cryptographie Shannon a modélisé les systèmes cryptographiques de la façon suivante : le message clair m est défini comme une variable aléatoire à valeurs dans l ensemble des messages M possibles; le message chiffré c est défini comme une variable aléatoire à valeurs dans l ensemble C des messages chiffrés. m, k et c sont reliés par la relation c = e k (m), où e est la fonction de chiffrement. L incertitude liée au système est l entropie H(m). Un cryptanalyste doit donc obtenir de l ordre de H(m) shannons d information pour retrouver m. A priori, il ne peut connaitre que le système cryptographique utilisé, et c. 8

Proposition 2 Pour qu un système cryptographique soit parfaitement sûr il faut et il suffit que H(m c) = H(m) où m et c sont des variables aléatoires. Démonstration H(m c) = H(m) H(m c) + H(c) = H(c) + H(m) H(m,c) = H(c) + H(m) m et c sont indépendantes P(m c) = P(m) 9

Proposition 3 L équivocation du message et de la clé sont liés par Démonstration Par la propriété 5 de l entropie, on a H(k c) = H(m c) + H(k m,c) H(m c) = H(m,c) H(c) = H(m,k,c) H(k m,c) H(c) H(k c) = H(k,c) H(c) = H(m,k,c) H(m k,c) H(c) Maintenant, puisqu un système de cryptographie est réversible, la connaissance de c et k détermine complètement m. Donc: H(m (c,k)) = 0. Par conséquent H(k c) = H(m,k,c) H(c) = H(m c) + H(k m,c) 10

Corollaire 1 On a H(k c) H(m c) Théorème 1 Si un système cryptographique est parfait, alors : H(k) H(m) Démonstration H(k) H(k c) H(m c) = H(m) En d autres termes, l information contenue dans la clé est au moins aussi grande que l information contenue dans le message en clair. Si t est la taille de la clé, on a H(K ) t. Il ne sert à rien de vouloir inventer un système de cryptographie à clé réduite aussi sûr que le chiffre de Vernam. La théorie de Shannon prouve que cela est impossible. 11

Distance d unicité Shannon a aussi considéré le cas des systèmes imparfaits, à clé courte, en cherchant a déterminer la quantité d information nécessaire au cryptanalyste pour retrouvrer la clé à partir du texte chiffré. Prenons le cas, par exemple, d un système de chiffrement par substitution sur l alphabet latin. On a M = C = A = {A,B,..., Z } et l ensemble K des clés est l ensemble des permutations de 26 éléments. Il est clair que si le cryptanalyste intercepte un texte chiffré trop court, par exemple d une seule lettre, il ne saura en déduire la clé. Combien de lettres lui faut-il intercepter en moyenne pour qu il puisse en déduire la clé? 12

Plus généralement, supposons qu une même clé K, de longueur fixe, soit utilisée pour chiffrer un texte constitué de n messages M 1,..., M n, auxquels sont associés les cryptogrammes C 1,...,C n. On appelle distance d unicité d le plus petit entier n tel que H(K (C 1,...,C n )) = 0. Il s agit du plus petit nombre moyen de cryptogrammes C 1,...,C n tel que, connaissant C 1,...,C n, il n y ait plus aucune incertitude résiduelle sur la clé. On a: H(K (C 1,...,C n )) = H(K,C 1,...,C n ) H(C 1,...,C n ) = H(M i,..., M n,k,c 1,...,C n ) H(C 1,...,C n ) = H(M i..., M,K ) H(C 1,...,C n ) = H(M i,..., M n ) + H(K ) H(C 1,...,C n ) la dernière égalité provenant de ce que les M i sont indépendants de K.

On vient donc de montrer que : H(M i,..., M d ) + H(K ) H(C 1,...,C d ) = 0. Comment utiliser cette égalité pour évaluer d? On pourra faire l hypothèse que H(C 1,...,C d ) = d log(#c). Cela signifie que tous les cryptogrammes possibles sont équiprobables, ce qui est clairement une caractéristique souhaitable d un système cryptographique. 13

Posons H = 1 d H(M 1,..., M d ). Si l on peut considérer les messages M i comme indépendants, alors on a H = H(M i ). Si les messages M i sont les lettres d un texte écrit dans un langue naturelle, l hypothèse d indépendance est inexacte. Mais si une lettre dépend fortement des lettres voisines elle dépend en général très peu des lettres plus éloignées, autrement dit la suite H(M 1 ), H(M 1, M2)/2, H(M 1, M 2, M 3 )/3... est rapidement stationnaire. On pourra donc, par exemple, prendre un échantillon de texte, calculer la fréquence p L d apparition de chaque suite L de i lettres et poser H = 1 p L log p L. i L A i

Dans ces conditions, l égalité se réécrit H(M i,..., M d ) + H(K ) H(C 1,...,C d ) = 0. d H + H(K ) d log(#c) = 0 c est-à-dire d = H(K ) log(#c) H 14

Reprenons notre exemple de chiffrement par substitution sur l alphabet latin. Dans ce cas on a H(K ) = log(26!), et log(#c) = log(#a) = log26. Pour des textes en clair écrits en anglais ou en français une analyse fine des fréquences en prenant i de l ordre de 8 permet d estimer l entropie par lettre à H 2 bits. On en déduit : d 30. Cela veut dire que l on doit savoir retrouver la clé dès que le texte chiffré dépasse une trentaine de lettres. I expérience confirme ce calcul assez précisément. 15

On peut retenir de cette analyse que, si l on chiffre des messages qui contiennent une certaine redondance, comme celle des langues naturelles, et que l on utilise des clés de longueur fixée, alors il est inévitable, quel que soit le système de chiffrement utilisé, qu avec suffisamment de cryptogrammes interceptés, le cryptanalyste aura à sa disposition assez d information pour retrouver la clé. Cela ne préjuge cependant pas de l effort de calcul qui lui sera nécessaire. Du point de vue des utilisateurs d un système de chiffrement, on peut également retenir qu il est souhaitable, pour augmenter la distance d unicité, de réduire la redondance des messages en clair avant de les chiffrer, par exemple par un algorithme de compression.

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back