SYSTÈMES CRYPTOGRAPHIQUES



Documents pareils
CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Fonction de hachage et signatures électroniques

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Cryptographie et fonctions à sens unique

Authentification de messages et mots de passe

Arrondissage des résultats de mesure. Nombre de chiffres significatifs

Les fonctions de hachage, un domaine à la mode

Tolérance aux fautes-2 Serveurs à haute disponibilité

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cours 14. Crypto. 2004, Marc-André Léger

Panorama de la cryptographie des courbes elliptiques

ÉPREUVE COMMUNE DE TIPE Partie D

Chapitre 7. Sécurité des réseaux. Services, attaques et mécanismes cryptographiques. Hdhili M.H. Cours Administration et sécurité des réseaux

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Petite introduction aux protocoles cryptographiques. Master d informatique M2

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Les protocoles cryptographiques

Mécanique : Cinématique du point. Chapitre 1 : Position. Vitesse. Accélération

Aristote Groupe PIN. Utilisations pratiques de la cryptographie. Frédéric Pailler (CNES) 13 janvier 2009

Signature électronique. Romain Kolb 31/10/2008

2.1 Comment fonctionne un site?

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Gestion des clés. Génération des clés. Espaces de clés réduits. Mauvais choix de clés. Clefs aléatoires. Phrases mots de passe

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Sécurité de l'information

Signatures électroniques dans les applications INTERNET

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Livre blanc. Sécuriser les échanges

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Sécurité des réseaux IPSec

La sécurité dans les grilles

«Des places de jeux pour tous» Formulaire de demande

Les bases de données. Historique

Les certificats numériques

La sécurité des réseaux. 9e cours 2014 Louis Salvail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Gestion des Clés Publiques (PKI)

Cryptologie à clé publique

Le protocole sécurisé SSL

Certificats (électroniques) : Pourquoi? Comment? CA CNRS-Test et CNRS

Autour des nombres et des polynômes de Bernoulli

FORMATION SUR «CRYPTOGRAPHIE APPLIQUEE

Du 03 au 07 Février 2014 Tunis (Tunisie)

INF 4420: Sécurité Informatique Cryptographie II

D31: Protocoles Cryptographiques

Certificats X509 & Infrastructure de Gestion de Clés. Claude Gross CNRS/UREC

Chapitre 3 : Crytographie «Cryptography»

ÉTUDE BDC LES CINQ FACTEURS CLÉS ET LES CINQ PIÈGES À ÉVITER POUR RÉUSSIR EN AFFAIRES

Abstract. Key-words: The flowshop problem, Heuristics, Job scheduling, Total flowtime.

Le Passeport Biométrique. Benoit LEGER CISSP ISO LD

MASSE, VOLUME ET QUANTITE DE MATIERE

La sécurité des Réseaux Partie 7 PKI

Protocoles cryptographiques

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

La technologie GQ2 : Un complément essentiel à RSA. Une solution d'authentification dynamique aussi sûre et plus rapide que le RSA

DOSSIER SUR LE SECTEUR DES NOMS DE DOMAINE VOLUME 11 - NUMÉRO 4 - JANVIER 2015

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Architectures PKI. Sébastien VARRETTE

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

Sécurité WebSphere MQ V 5.3

Cryptographie appliquée

Protocoles d authentification

innovation / construction / territoire Crèche modulaire-bois La Rose des Vents GAILLAC (81) COMMUNAUTÉ DE COMMUNES

TIW4 : SÉCURITÉ DES SYSTÈMES D INFORMATION

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

Devoir Surveillé de Sécurité des Réseaux

Rapport de certification

6. Hachage. Accès aux données d'une table avec un temps constant Utilisation d'une fonction pour le calcul d'adresses

Plan de l exposé. La sécurité informatique. Motivation & risques. Quelques chiffres. Introduction. Un premier exemple. Chiffres à clé secrète

TECHNIQUES DE CRYPTOGRAPHIE

Nouveaux résultats en cryptographie basée sur les codes correcteurs d erreurs

Les protocoles de non-répudiation

Voyez la réponse à cette question dans ce chapitre.

Utiliser Internet Explorer

OBJECTIFS. I. A quoi sert un oscilloscope?

EXERCICE II : LE TELEPHONE "POT DE YAOURT" (5 points)

Chap. I : Introduction à la sécurité informatique

Géométrie des nombres et cryptanalyse de NTRU

Sécurité des Systèmes Informatiques. Concepts. Plan de cours. Statistiques. Statistiques. Vulnerabilities. Incidents. Introduction

Gestion des certificats digitaux et méthodes alternatives de chiffrement

Le protocole SSH (Secure Shell)

Politique d utilisation par AC. Certification et protocoles. Contenu d un certificat (X.509)

Le partage de clés cryptographiques : Théorie et Pratique

Espace Numérique Régional de Santé Formation sur la messagerie sécurisée. Version Auteur : Nathalie MEDA

Concilier mobilité et sécurité pour les postes nomades

Cryptologie et physique quantique : Espoirs et menaces. Objectifs 2. distribué sous licence creative common détails sur

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

Audit des risques informatiques

L authentification de NTX Research au service des Banques

1 L Authentification de A à Z

Gilles GUETTE IRISA Campus de Beaulieu, Rennes Cedex, France

THESE. Applications des algorithmes d'auto-organisation à la classification et à la prévision

>#? " $: $A; 4% 6 $7 -/8 $+.,.,$9:$ ;,<=</.2,0+5;,/ ! " # $%!& *$$ $%!& *! # +$

Calculateur quantique: factorisation des entiers

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

SSH, le shell sécurisé

Transcription:

SYSTÈMES CRYPTOGRAPHIQUES Signature électronique Eanuel Bresson Ingénieur de l Areent Départeent d inforatique École norale supérieure %XWGHODVLJQDWXUH Reproduire les caractéristiques d une signature anuscrite Assurer l authenticité de l expéditeur Mécanise essentielleent à clé publique Paires de clés privées / clés publiques Assurer l intégrité des données Vérification du contenu d un essage Preuve (non-interactive) de non-odification 1 Passer à la preière page 2 6LJQDWXUHSDUDGLJPH 6LJQDWXUH$XWKHQWLILFDWLRQ essage + signature OK! OK! Capacité à signer un essage aléatoire = Alice Bob Alice σ()= Bob 3 4 0LVHHQ±XYUHGHODVLJQDWXUH 6LJQDWXUH&KLIIUHPHQW Seul l auteur du essage doit pouvoir signer Le signeur utilise sa clé secrète Personne ne peut signer sans le secret Tout le onde doit pouvoir vérifier La vérification utilise la clé publique Pas de distinction entre les vérifieurs Tout le onde peut envoyer un essage à Alice PK A SK A Seule Alice peut déchiffrer Alice : clés SK A, PK A Seule Alice peut signer ses essages SK A Tout le onde peut vérifier sa signature PK A 5 6

5HPDUTXHV 6LJQDWXUHGpILQLWLRQV 7 Le écanise de vérification est publique chiffreent, clé secrète La sécurité inconditionnelle n existe pas cf. Chiffreent de Verna (invérifiable) Il est possible de tester toutes les signatures potentielles, jusqu à obtenir un test de validité concluant. La sécurité sera toujours calculatoire 8 3 algorithes Génération de clés : KG(1 k ) (SK, PK). Probabiliste, produit une paire de clés secrète/publique. Signature : SIGN(, SK) σ. Souvent probabiliste, calcule une signature d un essage. Vérification : VERIF(, σ, PK) 1/0. Typiqueent déteriniste, vérifie la validité d une signature. $OJRULWKPHVG XQHVLJQDWXUH 3URSULpWpVG XQHVLJQDWXUH essage SK S σ PK V ok? 1/0 Non répudiation: Il est ipossible de renier la signature d un docuent qu on a signé auparavant. Falsification ipossible : Il est ipossible de produire une signature correcte sans la clé de signature Signature Vérification 9 10 (IILFDFLWpG XQHVLJQDWXUH 6pFXULWpGHVVLJQDWXUHV Rapidité des algorithes Signature : souvent off-line, avec de la puissance. Protocole de signature en présence d un attaquant => Définir la sécurité de la signature Vérification : au vol, rapide, ebarqué. Taille de la signature et de la clé Taille de la clé publique : vérification Taille de la signature pour un long essage? Que veut-il faire Modifier un essage signé Se faire passer pour autrui Quel est son but? Retrouver la clé Falsifier une signature De quoi dispose-t-il? Inforations publiques Que peut-il obtenir? Messages déjà signés Nouvelles signatures 11 12

0RGqOHGHVpFXULWp 6pFXULWpGHVVLJQDWXUHV Attaquant passif Attaquant actif (, σ) Écoute le réseau Contrôle le réseau Bob Ne touche pas aux essages Attaque «off-line» Attaque par dictionnaire Modifie les essages Insère des essages Essentielleent «on-line» Alice (, σ ) Contrefaçon Ok! Écoute, Insertion, Corruption,... 13 14 )DOVLILFDWLRQVFDVVDJHV $WWDTXHV Cassage total : Attaque sans essage : L attaquant retrouve la clé secrète Inforations publiques seuleent Falsification universelle : Attaque à essages connus : Capacité de signer n iporte quel essage. Une liste de essages avec leur signature Falsification sélective : Attaque à essage choisis : Capacité de signer un essage au choix. Signature d une liste de essage Falsification existentielle : Attaque à essages choisis adaptative : Capacité à exhiber un essage signé Signatures de essages au fur et à esure 15 16 Cassage 1LYHDX[GHVpFXULWp Moyens 6pFXULWpGpILQLWLRQV On choisit coe définition de sécurité la plus forte exigence possible : Falsif. exist. Danger Sans essage Adaptatif absence de falsification existentielle, êe sous une attaque adaptative à essages choisis. 17 18

6pFXULWpGHVVLJQDWXUHV 6LJQDWXUHHWFKLIIUHPHQW essages (choisis ou connus) Signatures Allier confidentialité et intégrité Contrat confidentiel Données sensibles facileent odifiables PK Chiffrer puis signer «en aveugle» Danger : on ne «voit» pas ce qu on signe «Attaque» Signer puis chiffrer SK ou (,σ) 19 20 6LJQDWXUHVGHORQJVPHVVDJHV +DVKDQGVLJQ ª Signer des essages arbitraireent longs avec un schéa donné. Message de 15 Mo avec RSA 1024 bits? Taille de signature fixe Indépendante de la taille du essage signé. Sécurité «conservée» Les contrefacons doivent rester ipossibles. Rapport_Annuel_156Mo.doc Hachage 010001010001001 S 156 Mo σ ( 1ko) V Ok? Utilisation de fonctions de hachage. 21 22 )RQFWLRQVGHKDFKDJHGpILQLWLRQ )RQFWLRQVGHKDFKDJHVpFXULWp Une fonction de hachage cryptographique Rapide à calculer Publique Produisant une epreinte de taille fixe Inversion difficile Etant donné h(x), trouver x. Seconde pré-iage difficile Caractérisée par l absence de collisions Etant donné x et h(x), trouver y tel que h(x)=h(y). Assurer l intégrité Prévenir les falsifications Collisions difficile Trouver x et y tels que h(x)=h(y). 23 24

$WWDTXHGHVDQQLYHUVDLUHV Taille n=2 128 Taille n=2 128 n essais en oyenne suffisent à obtenir une collision. Dans une asseblée de 23 personnes, la probabilité que deux personnes soient nées le êe jour est > 50% )RQFWLRQVGHKDFKDJHFODVLTXHV Fonctions MDx («essage digest») MD2, MD4, MD5 [Rivest]. Epreinte sur 128 bits Partielleent attaquée, ais pas de collisions. Fonctions SHA («Secure Hash Algorith») SHA [NIST 1992] : replacée par SHA-1 : epreinte de 160 bits SHA sur 256, 384, 512 bits [2000] 25 26 (WXGHVGHVLJQDWXUHV /DVLJQDWXUH56$ Basées sur la factorisation La signature RSA La signature Guillou-Quisquater Basées sur le logarithe discret La signature ElGaal La signature de Schnorr Le standard DSS n=pq, produit de 2 grands nobres preiers e : exposant public d = e -1 od ϕ (n) : exposant privé Signature du essage Z n : σ = d od n Vérification du couple (,σ) : σ e?= od n 27 28 /DVLJQDWXUH56$IDLEOHVVH La signature RSA utilisée telle quelle est existentielleent falsifiable par une attaque sans essage universelleent falsifiable par une attaque à essage choisis Choisir σ Z n Calculer : := σ e od n Choisir Z n Faire signer 2 et /2 : α := 2 d, β:=(/2) d od n Calculer σ : σ := αβ = d od n $WWDTXHVXUODVLJQDWXUH56$ Si on factorise le odule n On retrouve ϕ(n) et la clé secrète d : cassage total La factorisation est équivalente au cassage total Peut-on falsifier une signature sans factoriser? (i.e. exhiber d pour fixé) Peut-être que oui, ais on ne sait pas [Bon99] 29 30

(IILFDFLWpGH56$HQVLJQDWXUH 6LJQDWXUH56$DYHFKDFKDJH Taille de clé : typiqueent 1024 bits On hache le essage avant de le signer Taille de la signature : 1024 bits (pas d expansion) Signature efficace de essages longs Vérification Avec un petit exposant public (e=3 ou e=65537), la vérification est (très) rapide Bien adaptée aux environneents contraints (carte à puce, atériel ebarqué) Inconvénient : teps de signature plus long Prévention des falsifications Signature : essage signé avec SK=d h := H() σ := h d od n Vérification : étant donné PK=e et (,σ) h := H() σ e?= h od n 31 32 6LJQDWXUH56$DYHFKDFKDJH 6LJQDWXUH56$DYHFKDFKDJH Message_156Mo.doc Hachage Message_156Mo.doc Hachage Modification h:=010001010001001 h:=010001010001001 S σ := h d [n] Modification σ V σ e?= H() [n] σ e = H(??) [n] S σ := h d [n] V H( )?= H() σ e?= H() [n] 33 34 3UHXYH 6LJQDWXUH Toute preuve interactive «Zéro- Knowledge» (vérifieur honnête) est transforable en schéa de signature sûr Fiat-Shair (86), Pointcheval-Stern (96) r e s V(r,e,s) Signature (r,s) Calcul de r Calcul de e:=h(,r) Calcul de s Vérification V(r,e,s) 6LJQDWXUHGH*XLOORX4XLVTXDWHU>@ n=pq, produit de 2 grands nobres preiers e : exposant public, P, éléent public S : éléent secret tel que S e =P od n Signature du essage : (y, z) Choisir x aléatoire et calculer y:=x e [n] Calculer c:=h(y,) et z:=xs c od n Vérification du couple (, y, z) : Calculer c :=H(y,) Vérifier z e?= yp c [n] 35 36

6LJQDWXUHGH*XLOORX4XLVTXDWHU La vérification fonctionne : z e =(xs c ) e = x e (S e ) c =yp c od n. Utilisation de la fonction de hachage cryptographique : Heuristique de Fiat-Shair (1986). Preuve ZK Schéa de signature. Signature de longs essages. 6LJQDWXUHGH*XLOORX4XLVTXDWHU Schéa probabiliste : le êe essage est signé de plusieurs façons différentes. Mais x doit rester secret. Le vérifieur n a pas besoin de x. Sécurité : Sécurité basée sur la factorisation. Le cassage est équivalent à calculer une racine e- ièe odulo n. 37 38 /RJDULWKPHGLVFUHW Problèe du logarithe discret Soit (G, ) un groupe d ordre n, engendré par g. Problèe du logarithe discret : étant donné h G, trouver l unique [0,n-1] tel que h=g. Signature basée sur le logarithe discret On considère un groupe où ce problèe est dur. On ontre qu une falsification équivaut à un calcul de logarithe discret. 6LJQDWXUHG (O*DPDO>@ G=<g>, groupe généré par g, d ordre preier p x Z p-1 : clé privée y=g x od p: clé publique Signature du essage Z * p : (a, b) Choisir k aléatoire, preier avec p-1 Calculer a:=g k [p] Calculer b tel que =(xa+kb) od p-1 (Euclide!) Vérification du couple (, a, b) : Vérifier g?= y a a b od p 39 40 6LJQDWXUHG (O*DPDO 6LJQDWXUHGH6FKQRUU>@ La vérification fonctionne : g =g xa+kb =(g x ) a (g k ) b =y a a b od p Schéa probabiliste La taille de la signature est deux fois la taille de p Sécurité du schéa : Supposée équivalente au logarithe discret Trouver a et b vérifiant y a a b = g (fixé) od p «resseble» à : trouver x tel g x =y od p. G= Z p, g G, d ordre preier q p-1 x Z q : clé privée y=g x od p: clé publique Signature du essage : (r, s) Choisir u aléatoire, calculer r:=g u [p] Calculer e:=h(, r) et s:=u-xe od q Vérification du couple (, r, s) : Calculer e := H(, r) Vérifier r?= g s y e od p 41 42

6LJQDWXUHGH6FKQRUU /DVLJQDWXUH'6$ La vérification fonctionne : g s y e =g u-xe (g x ) e =g u-xe+xe =g u = r od p Fonction de hachage (Fiat-Shair) Signature de longs essages Schéa probabiliste La taille de la signature est p + q. (Ex. 512+160) Sécurité du schéa : Supposée équivalente au logarithe discret. On n a pas de preuve de sécurité forelle. DSA : Digital Signature Algorith [1994] Basé sur le écanise ElGaal Modification par rapport au schéa ElGaal pour obtenir une plus grande efficacité. G=<g>, groupe généré par g, d ordre q x Z q : clé privée y=g x : clé publique 43 44 /DVLJQDWXUH'6$ 6LJQDWXUH'6$YDOLGLWp Z p, p preier, q un facteur preier de p-1 g est un éléent d ordre q dans Z p x Z q : clé privée, y=g x : clé publique Signature du essage : Choisir u Z q * aléatoireent u secret! c:=(g u od p) [q], c 0 d:=(+xc)/u [q], d 0 (c,d) Vérification du couple (, c, d) : a:=/d od q, b:=c/d od q (g a y b od p)?= c [q] et 0<c,d<q? Signature du essage Z q : (c,d) c:=(g u od p) [q] =>NB : le vérifieur ne connaît pas u! d:=(+xc)/u [q] a:=/d od q, b:=c/d od q g a y b = g a g xb = g a+xb = g (+xc)/d = g u od p Donc (g a y b od p) od q = c 45 46 6LJQDWXUH'6$HIILFDFLWp 6LJQDWXUH'6$UHPDUTXHV Avec le écanise de ElGaal : Travail dans Z p, avec p environ 1024 bits Coe pour le chiffreent, la signature coporte deux teres, soit au total 2048 bits Intérêt de DSA : On travail dans un sous-groupe d ordre q <g> d ordre q, avec q d environ 160 bits Signature de 320 bits Application : cartes à puce. Signature probabiliste On choisit un secret aléatoire u Plusieurs signatures pour un essage Le vérifieur n a pas besoin de u Que se passe-t-il si d = 0? Il faut diviser par d pour vérifier : a=/d, b=c/d La probabilité que d=0 [q] est 2-160. Pas de problèe en pratique. 47 48

'6$KLVWRULTXH La société RSA avait viveent critiqué la sortie de ce standard Soupçons envers le gouverneent Moins de licences RSA Baisse des revenus De nobreuse critiques attaquaient DSA Inapte au chiffreent, et plus lent que RSA Développé par la NSA, sans processus public Avec une taille iposée (512) étendu à 1024 6LJQDWXUH'6$VpFXULWp Contrefaçon existentielle possible : Choisir s et t dans Z q * Calculer : c:=g s y t od p d:=c/t od q :=cs/t od q (c,d) est une signature valide de 49 50 6LJQDWXUH'6$DYHFKDFKDJH 6LJQDWXUH'6$DYHFKDFKDJH Message.doc Modification Message.doc H():=160 bits H( ) H() H():=160 bits d:=(h()+xc)/u [q] Choix de u c S (c, d) V g H()/d y c/d?= c [q] Choix de u c S (c, d) V g H()/d y c/d?= c [q]??? d:=(h()+xc)/u [q] Modification c, d 51 52 6pFXULWpUpVXPp Sécurité Attaque active (essages choisis) Contre falsifications existentielles Attention à la «alléabilité» Propriété ultiplicative de RSA Propriétés d El Gaal : attaques Fonctions de hachage Epêchent de façonner un essage Signature de essages arbitraires 6FKpPDVUpVXPp Basés sur la factorisation RSA (avec le hachage) Guillou-Quisquater (transforation ZK Sign) Basés sur le logarithe discret El Gaal Schnorr (ZK Sign) DSA : standard El Gaal + Schnorr 53 54

$SSOLFDWLRQV 5pFXSpUDWLRQVGHPHVVDJHV Récupération de essages Codes d authentification Certificats nuériques Monnaie électronique Vote électronique Dans le cas de RSA, la vérification de la signature n est rien d autre que le calcul du essage signé. On peut généraliser cette fonctionnalité à d autres schéas Signature Le essage est transis «dans» la signature et non plus à côté. Il n est pas chiffré pour autant! Vérification Le vérifieur calcule le essage original si la signature est valide 55 56 &RGHVG DXWKHQWLILFDWLRQ0$& &HUWLILFDWVQXPpULTXHV Analogues des signatures en clé secrète PK J essage + code d authentification OK! Certificat C, Data Alice SK Clé secrète coune Bob SK C=Sign J (PK A ) Verif(C, PK J ) = ok? Data. 57 58 $XWUHVYDULDQWHVSRVVLEOHV &RQFOXVLRQ Signatures interactives Nécéssite le concours du signataire. Contrôle de la diffusion d un docuent. Signatures collectives Une personne signe (anonyeent) au no d un groupe (société ) Plusieurs personnes signent en êe teps (seuil inial ) La signature est un écanise inhérent à l authentification des données, des clés, des identités. Une signature doit assurer l authenticité et l intégrité, ainsi que la propriété de nonrépudiation Les variantes sont aussi nobreuses que les applications sont diverses. 59 60

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back