Tutorial cryptologie

1.

2. Plan du tutorial Introduction Les outils : algorithmes sym�triques Algorithmes par bloc G�n�rateur de pseudo-al�a 3. Les outils : algorithmes asym�triques Le protocole Diffie-Hellman L�exemple du RSA en mode chiffrement et signature Les 2 familles de cryptosyst�mes hybrides

3. Assurer la confidentialit� La donn�e ne peut �tre lue que par les personnes ayant le besoin d�en conna�tre Assurer l�int�grit� La donn�e n�a pas �t� modifi�e Assurer l�authenticit� La donn�e provient bien d�une certaine source Assurer la non r�pudiation Signature �lectronique avanc�e Nouveaux besoins li�s au d�veloppement de l�Internet et des r�seaux de t�l�communications : Preuve sans divulgation Partage de secret .../�

4. Cryptographie sym�trique Commentaires: Les cl�s doivent rester secr�tes Les cl�s sont g�n�r�es al�atoirement Les cl�s doivent �tre renouvel�es p�riodiquement Aujourd�hui, taille de cl�s minimum de l�ordre de 80 bits. 128 bits semble �tre raisonnable. Commentaires: Les cl�s doivent rester secr�tes Les cl�s sont g�n�r�es al�atoirement Les cl�s doivent �tre renouvel�es p�riodiquement Aujourd�hui, taille de cl�s minimum de l�ordre de 80 bits. 128 bits semble �tre raisonnable.

5. Cryptographie sym�trique Principe de conception �l�mentaire d�un cryptosyst�me Traitement it�ratif des messages (clairs ou chiffres) par bit ou par bloc de longueur fixe pour respecter les principes de diffusion et de confusion de Shannon , i.e : ConfusionLes statistiques du cryptogramme doivent d�pendrent des statistiques du clair d�une fa�on suffisamment compliqu�e pour ne pas �tre exploitable par le cryptanalyste Diffusion : chaque symbole du clair et de la cl� doit influencer chaque symbole du chiffre 2 cat�gories de cryptosyst�mes sym�triques : cryptosyst�mes par blocs : DES, AES en continu (stream cipher) : g�n�rateur de pseudo-al�a

6. One-time pad Syst�me cr�� par Vernam M et C sont de m�me longueur, K doit �tre au moins aussi long que C Cet algorithme est le seul th�oriquement s�r si : la cl� est un al�a parfait la cl� est d�truite apr�s utilisation H(M |C)=H(M), i.e C n��apporte aucune information sur M Exemple : le t�l�phone rouge Inconv�nient : g�n�ration et transport de l�al�a

7. Algorithmes sym�triques Deux techniques fondamentales de conception : substitution = permutation sur un alphabet index�e par une cl� secr�te, i.e : S? (m1,�.,mn)= ( ?(m1),�.,?(mn) ) ou ��la cl� ?�� est une permutation ��al�atoire�� sur l��ensemble M des messages. exemples: le chiffrement par d�calage : M=Zn et ?(x)=x?b mod n o� b est un �l�ment de Zn .b est la cl� : le nombre de cl�s possibles est �gal � n. ( Chiffrement der CESAR :n=26,b=3); transposition = permutation des positions des �l�ments d�une suite finie T(m1,�.,mn)=m?(1),...., m?(n) avec ? permutation sur {1,�,n} Employ�es seules, ces deux techniques sont non-s�res une simple analyse de fr�quence linguistique permet de cryptanalyser un chiffrement par substitution ou par transposition

8. Principe g�n�ral d�un algorithme par bloc : on d�finit une op�ration �l�mentaire qui comporte au moins une op�ration non lin�aire(exemple sch�ma de Feistel du DES) la ronde est it�r�e n fois : propage la diffusion et la confusion sur tout le bloc de chiffre longueur du message = longueur du bloc Exemples : Data Encryption Standard (DES), blocs : 64 bits / cl� : 56 bits International Data Encryption Algorithm (IDEA), blocs : 64 bits / cl� : 128 bits AES (nouveau standard): 128 bits / cl�s variables de 128 � 256 bits

9. Objectif : �laborer une suite pseudo al�atoire � partir d�un algorithme, une cl� et un message en clair Probl�me : l�op�ration doit �tre r�versible : la transformation doit donc �tre bijective Apport de Feistel : m�thode permettant de construire facilement une fonction bijective � partir de n�importe quelle fonction bool�enne non lin�aire. Objectif : �laborer une suite pseudo al�atoire � partir d�un algorithme, une cl� et un message en clair Probl�me : l�op�ration doit �tre r�versible : la transformation doit donc �tre bijective Apport de Feistel : m�thode permettant de construire facilement une fonction bijective � partir de n�importe quelle fonction bool�enne non lin�aire.

10. Algorithmes par bloc Le nouveau Standard AES Historique : En 1998 : d�cryptage du DES gr�ce � un processeur d�di� valant la somme d�risoire de 250 k� Le DES s��tant largement r�pandu dans les communications bancaires ?n�cessit� de d�finir un nouveau standard En 1998 : appel � candidature du NIST pour trouver un successeur au DES en octobre 2000 : choix de l�algorithme Rijndael qui a pris le nom d�AES (Advanced Encryption Standard)

11. Cahier des charges du nouvel algorithme Public mais �galement utilisable dans le monde bancaire et militaire S�curit� sup�rieure au TDES et plus performant Traitant des blocs de taille >128 bits avec des tailles de cl� variables (128 � 256 bits) Flexible pour une grande gamme d�impl�mentations Crit�res d��valuation S�curit� compar�e des candidats Rapidit� de l'algorithme: mise � la clef, changement de clef, chiffrement, Taille du code, Ram exig�e, #portes logiques Flexibilit�: taille variable des clefs, des blocs Efficacit� des impl�mentations: 8 bits, 32 bits, r�seaux ATM, voix, communications satellites,RNIS, TVHD,cartes � puces Le 12 septembre 1997, le NIST a lanc� un appel � contribution pour remplacer le DES sous le nom de ��Advanced Encryption Standard�. Le cahier des charges du nouvel algorithme de chiffrement par bloc sp�cifiait notamment que : L�AES devait supporter des longueurs de cl� �gales � 128,192 et 256 bits; L�AES devait �tre libre de droit dans le monde entier. La date de limite de d�p�ts �tait fix�e au 15 Juin 1998. Des 21 cryptosyst�mes soumis, 15 remplissaient tous le crit�res n�cessaires et furent accept�s comme candidats AES. Le NIST a pr�sent� les 15 candidats AES lors de la ��First Candidate Conference�. A l�issue de la ��Second Candidate Conference ��, cinq candidats furent choisis par le NIST comme finaliste : MARS,RC6,Rijndael, Serpent et Twofish. Enfin, suite � la ��Third Candidate Conference�� qui eu lieu en avril 2000, �l�algorithme Rijndael fut d�clar� gagnant le 2 septembre 2000. La standardisation de l�AES fut officialis�e par la publication FIPS 197 dans le Federal Register le 4 d�cembre 2001. L�algorithme Rijndael a �t� invent� par deux chercheurs belges : Joan Daemen et Vincent Rijmen. Le 12 septembre 1997, le NIST a lanc� un appel � contribution pour remplacer le DES sous le nom de ��Advanced Encryption Standard�. Le cahier des charges du nouvel algorithme de chiffrement par bloc sp�cifiait notamment que : L�AES devait supporter des longueurs de cl� �gales � 128,192 et 256 bits; L�AES devait �tre libre de droit dans le monde entier. La date de limite de d�p�ts �tait fix�e au 15 Juin 1998. Des 21 cryptosyst�mes soumis, 15 remplissaient tous le crit�res n�cessaires et furent accept�s comme candidats AES. Le NIST a pr�sent� les 15 candidats AES lors de la ��First Candidate Conference�. A l�issue de la ��Second Candidate Conference ��, cinq candidats furent choisis par le NIST comme finaliste : MARS,RC6,Rijndael, Serpent et Twofish. Enfin, suite � la ��Third Candidate Conference�� qui eu lieu en avril 2000, �l�algorithme Rijndael fut d�clar� gagnant le 2 septembre 2000. La standardisation de l�AES fut officialis�e par la publication FIPS 197 dans le Federal Register le 4 d�cembre 2001. L�algorithme Rijndael a �t� invent� par deux chercheurs belges : Joan Daemen et Vincent Rijmen.

12. Algorithmes par blocs Modes d�op�ration Modes non cha�n�s ou � non�FeedBack mode�� (ECB,CTR,�) Ces modes traitent les blocs de clairs de mani�re ind�pendante (ex: d�chiffrement al�atoire dans une Base de donn�e) efficacit� d�impl�mentation en logiciel et en Hard (parall�lisation des calculs) : mode adapt� pour la cryptographie haut d�bit Simplicit� d�impl�mentation pour le mode CTR : le chiffrement et le d�chiffrement ne d�pend que de E Pour le mode ECB, : l�entropie du clair se retrouve dans le cryptogramme, donc s�il l�espace des messages est de taille r�duite : possibilit� de construire un carnet de codage Probl�me des modes non feedback : pas de service d�int�grit� Les modes cha�n�s ou ��FeedBack mode�� sont par nature des modes s�quentiels (ex�: CBC, CFB, OFB, IACBC, IAPM, PCBC�)�. Il offrent une s�curit� accrue et sont donc utilis�s plus souvent que les modes non-cha�n�s. Ce gain de s�curit� implique n�cessairement baisse des performances du composant cryptographique en terme de d�bit. En effet, ces modes engendrent une d�pendance tr�s forte entre les blocs de cryptogramme. Le calcul d�un cryptogramme ne peut s�effectuer que lorsqu�au moins le cryptogramme pr�c�dent a �t� trait�. Cette restriction a bien entendu un impact fort sur les sp�cifications de l�impl�mentation mat�rielle d�un �quipement de s�curit� puisque aucun parall�lisme sur les composants cryptographiques ne peut �tre exploit� nativement pendant le traitement d�un m�me flot de donn�es. Toutes les techniques pour accro�tre les d�bits utilisant des principes de parall�lisation, notamment le pipelining, ne peuvent �tre utilis�es efficacement que sur des flots de donn�es ind�pendants.Les modes cha�n�s ou ��FeedBack mode�� sont par nature des modes s�quentiels (ex�: CBC, CFB, OFB, IACBC, IAPM, PCBC�)�. Il offrent une s�curit� accrue et sont donc utilis�s plus souvent que les modes non-cha�n�s. Ce gain de s�curit� implique n�cessairement baisse des performances du composant cryptographique en terme de d�bit. En effet, ces modes engendrent une d�pendance tr�s forte entre les blocs de cryptogramme. Le calcul d�un cryptogramme ne peut s�effectuer que lorsqu�au moins le cryptogramme pr�c�dent a �t� trait�. Cette restriction a bien entendu un impact fort sur les sp�cifications de l�impl�mentation mat�rielle d�un �quipement de s�curit� puisque aucun parall�lisme sur les composants cryptographiques ne peut �tre exploit� nativement pendant le traitement d�un m�me flot de donn�es. Toutes les techniques pour accro�tre les d�bits utilisant des principes de parall�lisation, notamment le pipelining, ne peuvent �tre utilis�es efficacement que sur des flots de donn�es ind�pendants.

13. Algorithmes par blocs Mode ECB et CTR Le mode dictionnaire est le mode le plus naturel. Les blocs sont chiffr�s ind�pendamment les uns des autres. C�est le seul qui soit totalement parall�lisable, il n�offre donc pas de service d�int�grit�. Par ailleurs, � cl� fix�e deux messages identiques donnent deux cryptogrammes identiques et la redondance du clair se retrouve dans le cryptogramme Le mode dictionnaire est le mode le plus naturel. Les blocs sont chiffr�s ind�pendamment les uns des autres. C�est le seul qui soit totalement parall�lisable, il n�offre donc pas de service d�int�grit�. Par ailleurs, � cl� fix�e deux messages identiques donnent deux cryptogrammes identiques et la redondance du clair se retrouve dans le cryptogramme

14. Algorithmes par bloc : mode cha�n�s Modes cha�n�s ��FeedBack mode��. Ces modes sont par nature des modes s�quentiels (ex�: CBC, CFB, OFB, �/�)�. Le calcul d�un cryptogramme ne peut s�effectuer que lorsqu�au moins le cryptogramme pr�c�dent a �t� trait�; s�curit� accrue et sont donc utilis�s plus souvent que les modes non-cha�n�s, Ce gain de s�curit� implique n�cessairement baisse des performances. Certains modes permettent d�assurer conjointement un service de confidentialit� et d�int�grit� (Ex: IACBC,�) Possibilit� de pr�-traitements. Le fait que le proc�d� de chiffrement soit ind�pendant de M permet d�effectuer naturellement le pr�-traitement de la suite . Acc�s al�atoire. Comme pour le mode dictionnaire (ECB), chaque bloc peut �tre chiffr� ou d�chiffr� de mani�re ind�pendante; Messages de taille arbitraire. A l�instar d�autres modes d�op�rations, le traitement de messages de taille arbitraire est trivial. Il n�y a pas de perte de bit et donc pas besoin de bourrage. Preuve de s�curit�. On peut montrer que les propri�t�s d�crites ci dessus n�induisent pas de failles de s�curit�. Le mode compteur pr�sente n�anmoins les d�savantages suivants�: Pas de service d�int�grit�. Le mode compteur ne fournit pas nativement de service d�int�grit� de donn�es. Comme pour les autres modes standardis�s par le NIST, il est bien entendu toujours possible d�adjoindre un MAC (Message Authentication Code ) au cryptogramme . Cette technique aura pour effet de diminuer sensiblement le d�bit du composant cryptographique. Pas de propagation d�erreur. Si une erreur appara�t sur un bit d�un bloc de cryptogramme, apr�s d�chiffrement, l�erreur est localis�e sur le m�me bit du bloc de clair correspondant. Sensibilit� aux erreurs d�impl�mentation et d�utilisation. Il est fondamental de ne pas r�utiliser la valeur du compteur, deux initialisations identiques donnant la m�me suite de pseudo-al�a. Possibilit� de pr�-traitements. Le fait que le proc�d� de chiffrement soit ind�pendant de M permet d�effectuer naturellement le pr�-traitement de la suite . Acc�s al�atoire. Comme pour le mode dictionnaire (ECB), chaque bloc peut �tre chiffr� ou d�chiffr� de mani�re ind�pendante; Messages de taille arbitraire. A l�instar d�autres modes d�op�rations, le traitement de messages de taille arbitraire est trivial. Il n�y a pas de perte de bit et donc pas besoin de bourrage. Preuve de s�curit�. On peut montrer que les propri�t�s d�crites ci dessus n�induisent pas de failles de s�curit�. Le mode compteur pr�sente n�anmoins les d�savantages suivants�: Pas de service d�int�grit�. Le mode compteur ne fournit pas nativement de service d�int�grit� de donn�es. Comme pour les autres modes standardis�s par le NIST, il est bien entendu toujours possible d�adjoindre un MAC (Message Authentication Code ) au cryptogramme . Cette technique aura pour effet de diminuer sensiblement le d�bit du composant cryptographique. Pas de propagation d�erreur. Si une erreur appara�t sur un bit d�un bloc de cryptogramme, apr�s d�chiffrement, l�erreur est localis�e sur le m�me bit du bloc de clair correspondant. Sensibilit� aux erreurs d�impl�mentation et d�utilisation. Il est fondamental de ne pas r�utiliser la valeur du compteur, deux initialisations identiques donnant la m�me suite de pseudo-al�a.

15. Algorithmes par bloc : mode CBC Propri�t�s du mode CBC : algorithme auto synchronisant par rapport aux erreurs de transmission : si une erreur appara�t sur le bloc Ci mais pas sur Ci+1 alors le bloc Ci+2 est correctement d�chiffr� Valeur initiale de l�IV : publique mais al�atoire et int�gre Attention le mode CBC ne doit pas �tre utilis� pour r�aliser un service d�int�grit� Ce mode est pour l�instant le seul mode cha�n� standardis� par le NIST. A l�instar des autres modes standardis�s par le NIST, il ne peut pas utilis� pour r�aliser un service d�int�grit� de donn�es. (cf. planches suivantes). Ce mode est pour l�instant le seul mode cha�n� standardis� par le NIST. A l�instar des autres modes standardis�s par le NIST, il ne peut pas utilis� pour r�aliser un service d�int�grit� de donn�es. (cf. planches suivantes).

16. Algorithmes par blocs Les attaques Les attaques th�oriques Cryptanalyse lin�aire et diff�rentielle (attaques � clair choisies) Objectif : casser les rondes et trouver la derni�re sous-cl� Principe : une variation ?M sur un message M produit une variation ?C sur le chiffre C. Le cryptanalyste recherche des valeurs particuli�res de ?M qui engendrent un ?C connu avec une probabilit� anormale. Pour de ��bons�� algorithmes : Recherches exhaustive de l�attaquant Attaques ��physiques�� non intrusives �Attaques SPA, DPA, Timing Attacks Commentaires : Commentaires :

17. Chiffrement en continu Le g�n�rateur continu est un GPA utilisant pour graine la cl� K le flux de sortie est additionn� avec le message clair (xor) Exemple de g�n�rateur continu : tout algorithme de chiffrement sym�trique utilis� en mode CFB Permet de simuler le One Time PAD Tr�s utilis� dans le monde des communications satellites et t�l�phonique

18. G�n�rateurs pseudo-al�atoires un g�n�rateur binaire pseudo-al�atoire (GPA) est : une fonction facilement calculable de l�espace des graines (seed) G vers l�espace des suites semi-infinies S telle que ? g ? G, le pseudo-al�a s = GPA(g) a les caract�ristiques suivantes : p�riode longue pour tout k, les 2k k-uplets apparaissent de fa�on �quiprobable �tant donn� s(0)..s(i), la valeur s(i+1) est impr�visible (sans conna�tre g) remarque : un pseudo-al�a n�est pas un al�a (au sens de la complexit�) ! Aucun algorithmes civils standards (RC4,RC5,A5/1�) Tr�s utilis� dans le monde militaire

19. Mode autoclave (clair ou chiffre) permet de faire de l�int�grit� N�cessite une synchronisation parfaite propagation des erreurs

20. Mode autoclave autosynchronisant propagation des erreurs < d bits se synchronise automatiquement apr�s r�ception de d bits corrects de crypto (tr�s utile pour des lignes � fort taux d�erreurs)

21. Objectif : obtenir un al�a ��vrai�� au sens de th�orie de la complexit�. L�al�a pur est fondamental en cryptologie Principe de conception Utilisation d�une source d�al�a physique Amplification du bruit d�un composant actif �chantillonnage d�une horloge synchrone par une horloge asynchrone Et d�un algorithme d�terministe pour lisser les biais r�siduels Attention : Il est tr�s facile d�introduire des trappes dans un g�n�rateur d�al�a Ex : principe de la r�duction d�entropie coupl� avec un algorithme de chiffrement dont l�initialisation est connue seule du concepteur On ne doit jamais faire confiance � un g�n�rateur d�al�a dont on ne ma�trise pas les principes de conception

22. Fonctions de hachage Deux familles de fonctions de Hachage : Fonction de hachage � clef (Keyed Hash functions) Exemple d�utilisation : Int�grit� des messages (MAC) Fonction de Hachage sans clef Exemples d�utilisation : dans une base de v�rification de mot de passe, stockage seulement des hach�s (ex: Mot de passe Unix) Signatures �lectroniques (Cf. cryptographie asym�trique) Hachage : propri�t�s d�sir�es Entr�es de taille arbitraire (Compression initiale de l�entr�e) R�sultat sur une taille fixe (160, 256, � bits)

23. Fonctions de hachage Hachage propri�t�s d�sir�es Non-inversible : sachant y, il est difficile de trouver x tel que H(x) = y Sans collision : il est difficile de trouver x et x� tels que H(x) = H(x�). (Attaque des anniversaires) Facilit� de calcul : �tant donn� une entr�e x et la fonction h, H(x) est ��facile�� calculer, it�ration d�une fonction �l�mentaire Entr�es de taille arbitraire (Compression initiale de l�entr�e) R�sultat sur une taille fixe (160, 256, � bits) Nouveaux standards de Hachage (FIPS 180-2) Exemple d�utilisation : Dans une base de v�rification de mot de passe, stockage seulement des hach�s, pour les signatures (asym�triques) Exemple d�utilisation : Dans une base de v�rification de mot de passe, stockage seulement des hach�s, pour les signatures (asym�triques)

24. Cryptographie asym�trique : les besoins Probl�me de la distribution et de la gestion des clefs sym�triques dans des grands syst�mes ouverts et mal hi�rarchis�s N n�uds ? maillage de tunnels n x n ? n� clefs � g�rer M�me type de probl�me que pour les tables de routage Probl�me du s�questre par un serveur de cl� sym�trique Un point unique (le serveur de clefs) conna�t toutes les clefs de tout le monde ? confiance ? Besoin de base : mis en accord publique sur un secret commun sans distribution de confiance pr�alable La naissance de la cryptographie � clef publique Le probl�me de la distribution de clef a tourment� les cryptologues � travers l�histoire. Par exemple, pendant la seconde guerre mondiale l��tat major de l�arm�e allemande devait distribuer mensuellement � tous les op�rateurs de la machine de chiffrement Enigma la liste des clefs journali�res. Le probl�me de logistique �tait donc �norme, en particulier pour les U-boats qui devaient d�une fa�on ou d�une autre obtenir un annuaire de clefs valides malgr� l��loignement fr�quent de leur base d�origine. Les nombreuses compromissions de clefs et les erreurs de manipulation des op�rateurs ont dans la pratique facilit�es le d�cryptement de la machine Enigma. Ainsi, dans un syst�me de chiffrement traditionnel ou sym�trique, l��metteur et le destinataire doivent poss�der un secret commun pour s��changer des donn�es de mani�re s�curis�e. Ce secret commun doit �tre distribu� aux deux intervenants par un moyen de communication s�r. Dans ce type de syst�me, la gestion des clefs des utilisateurs ne peut donc pas s�affranchir d�une autorit� de confiance centralisant la g�n�ration et la distribution des clefs. Pendant la seconde guerre mondiale, les cl�s secr�tes �taient par exemple g�n�r�es par les �tats majors et distribu�es par enveloppe cachet�e par un officier habilit�. Dans ce contexte, la ��lib�ralisation�� des �changes s�curis�s sur un r�seau public ne pouvait �tre solutionn�e que par la r�solution du probl�me de mise en accord sur un secret commun suivant�: Deux personnes, disons Alice et Bob, d�sirent communiquer de mani�re s�curis�e sur un canal non s�r ( par exemple le r�seau Internet) en utilisant un algorithme � clef secr�te. N�anmoins, ils ne poss�dent pas de secret commun indispensable pour initialiser leur algorithme sym�trique. Comment peuvent t�ils alors, sans solliciter un tiers de confiance, se mettre d�accord publiquement sur un secret commun? La naissance de la cryptographie � clef publique Le probl�me de la distribution de clef a tourment� les cryptologues � travers l�histoire. Par exemple, pendant la seconde guerre mondiale l��tat major de l�arm�e allemande devait distribuer mensuellement � tous les op�rateurs de la machine de chiffrement Enigma la liste des clefs journali�res. Le probl�me de logistique �tait donc �norme, en particulier pour les U-boats qui devaient d�une fa�on ou d�une autre obtenir un annuaire de clefs valides malgr� l��loignement fr�quent de leur base d�origine. Les nombreuses compromissions de clefs et les erreurs de manipulation des op�rateurs ont dans la pratique facilit�es le d�cryptement de la machine Enigma. Ainsi, dans un syst�me de chiffrement traditionnel ou sym�trique, l��metteur et le destinataire doivent poss�der un secret commun pour s��changer des donn�es de mani�re s�curis�e. Ce secret commun doit �tre distribu� aux deux intervenants par un moyen de communication s�r. Dans ce type de syst�me, la gestion des clefs des utilisateurs ne peut donc pas s�affranchir d�une autorit� de confiance centralisant la g�n�ration et la distribution des clefs. Pendant la seconde guerre mondiale, les cl�s secr�tes �taient par exemple g�n�r�es par les �tats majors et distribu�es par enveloppe cachet�e par un officier habilit�. Dans ce contexte, la ��lib�ralisation�� des �changes s�curis�s sur un r�seau public ne pouvait �tre solutionn�e que par la r�solution du probl�me de mise en accord sur un secret commun suivant�: Deux personnes, disons Alice et Bob, d�sirent communiquer de mani�re s�curis�e sur un canal non s�r ( par exemple le r�seau Internet) en utilisant un algorithme � clef secr�te. N�anmoins, ils ne poss�dent pas de secret commun indispensable pour initialiser leur algorithme sym�trique. Comment peuvent t�ils alors, sans solliciter un tiers de confiance, se mettre d�accord publiquement sur un secret commun?

25. Malheureusement, il n�est pas aussi facile dans la pratique de quantifier formellement la �difficult�d�inverser� une fonction f. Pour trouver des candidats concrets, les premiers syst�mes � cl� publiques ont utilis� l�arithm�tique modulaire�: c�est en effet une branche des math�matiques riche en fonctions � sens unique. En arithm�tique modulaire, les math�maticiens consid�rent un ensemble fini de nombres entiers arrang�s en cycle, de mani�re semblable aux nombres figurant sur une horloge. Cette discipline est en r�alit� assez simple, on l�utilise inconsciemment tous les jours lorsqu�on donne l�heure. Consid�rons par exemple une horloge avec 7 chiffres num�rot�es de 0 � 6. Pour effectuer l�addition de 2+3, on se positionne sur le chiffre 2 et on tourne l�aiguille de�3 chiffres pour atteindre le nombre 5. Pour effectuer l�addition de 2+6, on se positionne sur le chiffre 2 et on tourne l�aiguille de�6 chiffres pour atteindre le nombre 1. Ces r�sultats peuvent s�exprimer formellement de la mani�re suivante�: 2+3?5 mod 7 et 2+6?1 mod 7 Les fonctions sp�cifi�es sur un ensemble modulaire (on parle en r�alit� de groupe, anneau ou corps) ont tendance � se comporter de mani�re tr�s irr�guli�re, ce qui peut potentiellement en faire de bons candidats pour des fonctions � sens unique. Cette irr�gularit� s�observe naturellement en comparant les valeurs de la fonction calcul�es en arithm�tique modulaire � ses valeurs calcul�es en arithm�tique usuelle (cf. Tableau 1). � �Malheureusement, il n�est pas aussi facile dans la pratique de quantifier formellement la �difficult�d�inverser� une fonction f. Pour trouver des candidats concrets, les premiers syst�mes � cl� publiques ont utilis� l�arithm�tique modulaire�: c�est en effet une branche des math�matiques riche en fonctions � sens unique. En arithm�tique modulaire, les math�maticiens consid�rent un ensemble fini de nombres entiers arrang�s en cycle, de mani�re semblable aux nombres figurant sur une horloge. Cette discipline est en r�alit� assez simple, on l�utilise inconsciemment tous les jours lorsqu�on donne l�heure. Consid�rons par exemple une horloge avec 7 chiffres num�rot�es de 0 � 6. Pour effectuer l�addition de 2+3, on se positionne sur le chiffre 2 et on tourne l�aiguille de�3 chiffres pour atteindre le nombre 5. Pour effectuer l�addition de 2+6, on se positionne sur le chiffre 2 et on tourne l�aiguille de�6 chiffres pour atteindre le nombre 1. Ces r�sultats peuvent s�exprimer formellement de la mani�re suivante�: 2+3?5 mod 7 et 2+6?1 mod 7 Les fonctions sp�cifi�es sur un ensemble modulaire (on parle en r�alit� de groupe, anneau ou corps) ont tendance � se comporter de mani�re tr�s irr�guli�re, ce qui peut potentiellement en faire de bons candidats pour des fonctions � sens unique. Cette irr�gularit� s�observe naturellement en comparant les valeurs de la fonction calcul�es en arithm�tique modulaire � ses valeurs calcul�es en arithm�tique usuelle (cf. Tableau 1). � �

26. Exemple de fonction � sens unique: l��exponentielle modulaire Ces deux op�rations conf�rent � l�ensemble Zn une structure d�anneau�; et en particulier (Zn ,+) a une structure de groupe. Ce n�est pas toujours le cas de (Zn \{0}, ?)�: par exemple dans (Z10 \{0}, ?), 3 admet 7 pour inverse car 3?7=21?1 mod 21 mais l�inverse de 4 n�existe pas Ainsi, pour que (Zn \{0}, ?) soit un groupe, il faut ne conserver que les �l�ments inversibles de Zn \{0}, c�est � dire les �l�ments qui sont premiers avec n. On note cet ensemble Z*n. Lorsque n est un nombre premier, l�ensemble Z*n est �gal � Zn \{0} et l�anneau (Zn, +, ?) devient un corps. Dans ce cas, le groupe Z*n est de plus cyclique. C�est � dire qu�il existe un �l�ment ? (cf. protocole de Diffie Hellman) dont les puissances successives engendrent tous les �l�ments du groupe. On dit alors que le nombre ? est un g�n�rateur du groupe Z*n , i.e on a Z*n ={? i, 0= i< n-1}. Dans un corps fini, il est possible, comme dans le corps des r�els, de diviser par tous les �l�ments non nuls. On peut donc y adapter tous les algorithmes (d�finis habituellement sur le corps des r�els ) qui n�utilisent comme seules op�rations que les op�rations �l�mentaires +, ?, �, \ et le test d��galit�. C�est un des int�r�ts de ces structures�: il est en effet bien plus facile d�impl�menter, en logiciel ou en mat�riel, des calculs sur des entiers que sur des r�els. Ces deux op�rations conf�rent � l�ensemble Zn une structure d�anneau�; et en particulier (Zn ,+) a une structure de groupe. Ce n�est pas toujours le cas de (Zn \{0}, ?)�: par exemple dans (Z10 \{0}, ?), 3 admet 7 pour inverse car 3?7=21?1 mod 21 mais l�inverse de 4 n�existe pas Ainsi, pour que (Zn \{0}, ?) soit un groupe, il faut ne conserver que les �l�ments inversibles de Zn \{0}, c�est � dire les �l�ments qui sont premiers avec n. On note cet ensemble Z*n. Lorsque n est un nombre premier, l�ensemble Z*n est �gal � Zn \{0} et l�anneau (Zn, +, ?) devient un corps. Dans ce cas, le groupe Z*n est de plus cyclique. C�est � dire qu�il existe un �l�ment ? (cf. protocole de Diffie Hellman) dont les puissances successives engendrent tous les �l�ments du groupe. On dit alors que le nombre ? est un g�n�rateur du groupe Z*n , i.e on a Z*n ={? i, 0= i< n-1}. Dans un corps fini, il est possible, comme dans le corps des r�els, de diviser par tous les �l�ments non nuls. On peut donc y adapter tous les algorithmes (d�finis habituellement sur le corps des r�els ) qui n�utilisent comme seules op�rations que les op�rations �l�mentaires +, ?, �, \ et le test d��galit�. C�est un des int�r�ts de ces structures�: il est en effet bien plus facile d�impl�menter, en logiciel ou en mat�riel, des calculs sur des entiers que sur des r�els.

27. Mise en accord sur un secret commun Le protocole de Diffie-Hellman

28. Casser le protocole de Diffie Hellman est �quivalent au probl�me du logarithme discret Le sch�ma est peu s�r pour 512 bits mais offre un haut niveau de s�curit� pour 1024 bits p-1 doit contenir un gros facteur premier pour r�sister aux algorithmes de calcul de calcul de logarithmes discrets Une version s�curis�e de DH : le protocole STS (Station To Station) assure une authentification mutuelle des entit�s et explicite du secret partag� gr�ce � un m�canisme de chiffrement et signature.

29. Cryptosyst�me asym�trique

30. Remarques : l�asym�trique est calculatoirement moins efficace que le sym�trique : chiffrement de 100 � 1000 fois plus lents � r�sistance �gale cl�s ~10 fois plus longues � r�sistance �gale les cl�s publiques doivent �tre authentifi�es Premier cryptosyst�me � cl� publique : Le RSA Conceptuellement assez �loign� de Diffie-Hellman La s�curit� du RSA est calculatoire : sa robustesse repose sur la difficult� de factoriser un nombre qui est le produit de 2 grands nombres premiers Utilis� dans plus de 400 millions de logiciels, il est devenu un standard de fait (Standardis� dans les FIPS 140-2)

31. Le crypto syst�me RSA

32. Le crypto syst�me RSA La preuve que yd=xed=x modulo n utilise le Th�or�me de Fermat-Euler connu depuis le XVIII �me si�cle : ��Soit ? (n) le nombre d�entiers >0 inf�rieurs � n et premiers avec n, alors si a est premier avec n on a�: a? (n) =1 modulo n ��. La preuve du RSA est alors tr�s simple�: On suppose que x est premier avec n (dans les cas peu probables o� ce n�est pas le cas, on montre que la d�monstration reste vraie), Alors yd=(xe)d=xed modulo n , mais comme ed=1 modulo ? (n) , la quantit� ed-1 est un multiple de ?(n) , il existe donc un k tel que ed-1=k ?(n) donc xed = x (x ?(n))k = x modulo n

33. Aucune attaques d�vastatrices pour le moment : surtout des pr�cautions de mise en oeuvre Attaque de Wiener si d <n0,292 alors on retrouve d � partir du calcul de pgcd(e,n), ce qui permet de factoriser n en temps polynomial RSA 512 bits a �t� cass� en 1999, RSA 1024 : s�curit� commercialeLe protocole est g�n�ralisable � tous les groupes o� le probl�me du logarithme discret est difficile exemple : le groupe des points d�une courbe elliptique : taille des cl�s moindre pour une s�curit� �quivalente : exemple un EC-RSA 192 bits est �quivalent � un RSA 1024 bits sur Zp Attention : Il est ais� d�introduire des portes d�rob�es dans un g�n�rateur de cl� RSA (Principe de Cr�peau et Slakmon publi� en 2002) : il est illusoire d�avoir une confiance aveugle dans un g�n�rateurs de cl�s dont on ne ma�trise ni la sp�cification ni la conception S�curit� du RSA

34. Signature �lectronique Fait : avec un cryptosyst�me sym�trique, la m�me cl� est utilis�e par les deux correspondants : on ne peut pas signer L�exemple de la signature RSA : Il suffit d�inverser le r�le de e de d (cf. planche suivante) Tout le monde peut v�rifier la signature Seul, le signataire qui dispose de d a pu cr�er une signature valide v�rifiable par e (fonction � sens unique) Il s�agit donc d�une signature et le signataire ne peut d�nier avoir sign�. Les standards de signature sont donn�s dans la FIPS 186-2 (DSA,RSA, ECDSA) publi� par le NIST

35. Signature RSA Les cl�s publiques (na, ea) et (nb, eb) doivent �tre authentifi�es. int�r�t de f : int�grit� de la signature : si on remplace f(x)db par xdb alors un attaquant C recouvre le message x en calculant seb

36. La r�alit� pratique : la cryptographie � clef publique est utilis�e pour la gestion des cl�s? 2 familles de cryptosyst�mes hybrides Mise en accord sur un secret commun : Les entit�s �mettrice et destinatrice se mettent publiquement d�accord sur un secret commun et l�utilise ensuite pour chiffrer les donn�es gr�ce � une algorithmie sym�trique classique (ex. SSL) Transport de clef : la crypto � clef publique est utilis�e pour s�curiser le transport d�une clef sym�trique. L�entit� �mettrice cr�e un secret (ou l�obtient), prot�ge ce secret gr�ce � la cryptographie publique puis chiffre les donn�es avec ce secret et enfin communique le tout � l�entit� r�ceptrice. (ex PGP ) En sym�trique : une autorit� centrale partage une cl� sym�trique avec chacun de ses clients, appel�e Cl� de protection des Cl�s (KEK) la KEK est distribu�e par un chemin de confiance les cl�s de session (utilis�es entre les clients) sont distribu�es � la demande en �tant chiffr�es avec la KEK exemple : serveurs de cl�s Kerberos En asym�trique : une autorit� de certification (AC) poss�de une cl� priv�e et distribue la cl� publique correspondante � ses clients par un chemin de confiance l�AC certifie les cl�s publiques de ses clients les clients s��changent leurs certificats pour obtenir les cl�s publiques (pas d��intervention de l�AC n�cessaire) En sym�trique : une autorit� centrale partage une cl� sym�trique avec chacun de ses clients, appel�e Cl� de protection des Cl�s (KEK) la KEK est distribu�e par un chemin de confiance les cl�s de session (utilis�es entre les clients) sont distribu�es � la demande en �tant chiffr�es avec la KEK exemple : serveurs de cl�s Kerberos En asym�trique : une autorit� de certification (AC) poss�de une cl� priv�e et distribue la cl� publique correspondante � ses clients par un chemin de confiance l�AC certifie les cl�s publiques de ses clients les clients s��changent leurs certificats pour obtenir les cl�s publiques (pas d��intervention de l�AC n�cessaire)

37. Transport s�curis� de cl� sym�trique en asym�trique

Tutorial cryptologie

Tutorial cryptologie

Presentation Transcript

Tutorial

Tutorial

Tutorial

TUTORIAL

Tutorial

Tutorial Tutorial

TUTORIAL

Tutorial

tutorial

TUTORIAL

Tutorial