LES TECHNIQUES DE CRYPTOGRAPHIE

G Florin

Grard FLORIN

CNAM-Cedric

Introduction Chiffrement (cryptage) = Transformation d'un texte pour en cacher le sens L'outil primordial de la scurit
Texte en clair P C=Ek (P) Mthode E + cl de chiffrement k Emetteur Chiffrement Texte crypt C Texte en clair Dchiffrement P Dk'(C)=Dk'(Ek (P)) Mthode D + cl de dchiffrement k' Destinataire

L'usage ancien du chiffre et l'usage actuel en informatique ont conduit aux contraintes suivantes: - Ralisation rapide du codage et du dcodage. - La mthode de chiffrement est stable (on ne peut la changer que trs rarement) Elle est publiquement connue. - Elle dpend de paramtres secrets (cls de chiffrement ou de dchiffrement ) qui doivent pouvoir tre modifis aisment et si possible frquemment.
Grard FLORIN CNAM-Cedric 2

- C'est sur le secret des cls que doit reposer la scurit de la mthode.

Grard FLORIN

CNAM-Cedric

Diffrentes difficults d'attaque d'une mthode de cryptage Crypter ne se justifie que relativement l'existence d'attaquants ou cryptanalystes dont le travail est plus ou moins difficile. a) - L'attaque textes chiffrs On dispose seulement de textes chiffrs b) - L'attaque textes en clair connus On dispose de quelques morceaux de texte en clair et de leur cryptage c) - L'attaque textes en clair choisis On peut faire crypter ce que l'on veut par la mthode de cryptage et voir ce qu'elle produit Remarque. Une bonne mthode doit rsister aux attaques de type c.
Grard FLORIN CNAM-Cedric 4

Plan de l'expos Les approches principales Chapitre I - Les chiffres cls prives . Systmes classiques de cryptographie . Chiffres symtriques Chapitre II - Les chiffres cls publiques . Systmes modernes de cryptographie . Chiffres asymtriques Chapitre III - Les signatures numriques (fonctions de hachage sens unique).

Grard FLORIN

CNAM-Cedric

I LA CRYPTOGRAPHIE CLASSIQUE ( cls prives) Principe gnral - La connaissance de la mthode et de la cl de chiffrement et celle de la mthode et de la cl de dchiffrement se dduisent facilement l'une de l'autre. - Les deux mthodes et les cls sont connues de l'metteur et du destinataire => L'metteur et le destinataire doivent se mettre pralablement d'accord sur un secret (la cl) pour utiliser le chiffre. Deux problmes - L'change pralable toute communication scurise d'un secret ("la distribution de cls)

Grard FLORIN

CNAM-Cedric

- Dans un rseau de N entits susceptibles de communiquer secrtement il faut distribuer N*(N-1)/2 cls.

Grard FLORIN

CNAM-Cedric

Les mthodes de chiffrement par substitution Principe gnral A chaque lettre ou groupe de lettres on substitue une autre lettre ou un autre groupe de lettres. La substitution simple (substitution mono alphabtique) Pour chaque lettre de l'alphabet de base on se donne une autre lettre utilise dans le texte chiffr.
A B C D E F G H I J K L M N O P Q R S T U VW X Y Z Q W E R T U Y I O P A S F G H J K V MD N C Z B L X

Exemple historique: Le chiffre de Csar

On dcale les lettres de 3 positions
ABCDEFGHIJKLMNOPQRSTUVWXYZ DEFGHIJKLMNOPQRSTUVWXYZABC

Grard FLORIN

CNAM-Cedric

Les techniques d'attaque statistique - Analyse statistique des textes crypts. - Dtermination des frquences d'apparition des symboles - Comparaison avec les frquences types caractristiques des langues Frquences d'apparition (en anglais) Lettres E 13,05 T9,02 Digrammes Trigrammes TH 3,16 THE 4,72 IN 1,54 ING 1,42

Une analyse statistique d'un texte suffisamment long permet de casser un code mono ou mme poly-alphabtique Le problme est de disposer: - de puissance de calcul - de suffisamment de texte en regard de la longueur des cls utilises.
Grard FLORIN CNAM-Cedric 9

La substitution poly-alphabtique - Une attaque est facile avec un seul alphabet. - On utilise une suite de chiffres mono alphabtiques. - La suite des chiffres mono alphabtiques est rutilise priodiquement. Exemple : le chiffre de Vigenere On prend les 26 chiffres de Csar. Les chiffres associs aux 26 dcalages possibles sont reprsents par une lettre. Ex : chiffre avec dcalage de k associ la k ime lettre de l'alphabet
A->B C D E F G H I J K L M N O P Q R S T U V W X Y Z B->C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C->

- On choisit une cl de rptition comme une suite de lettres: un mot ou une phrase ou un livre - Cette cl rpte indfiniment vis vis de chaque lettre d'un texte chiffrer sert dterminer le chiffre utiliser.
Grard FLORIN CNAM-Cedric 10

Autres substitutions Les substitutions homophoniques Au lieu d'associer un seul caractre crypt un caractre en clair on dispose d'un ensemble de possibilits de substitution de caractres dans laquelle on choisit alatoirement. Les substitutions de polygrammes Au lieu de substituer des caractres on substitue par exemple des digrammes (groupes de deux caractres) - Au moyen d'une table (systme de Playfair) - Au moyen d'une transformation mathmatique (systme de Hill).

Grard FLORIN

CNAM-Cedric

11

Les chiffres de substitution longueur de cl gale celle du texte (systmes cls jetables) - Pour viter les attaques statistique il faut utiliser une substitution qui rend le texte crypt non analysable statistiquement. Exemple de solution: - Gnrer une cl qui est une suite binaire parfaitement alatoire Phnomne physique alatoire Le bruit lectro magntique - Pour chiffrer un message faire le ou exclusif du message et de la cl. - Si chaque cl ne sert qu'une fois le chiffre est incassable. Difficults de la mthode - Volume des cls Devant tre connu aux deux bouts. - Problme de synchronisation Si l'on perd une seule donne on ne sait plus dcrypter.
Grard FLORIN CNAM-Cedric 12

Les mthodes de chiffrement par transposition Principe gnral On procde un rarrangement de l'ensemble des caractres (une transposition) qui cache le sens initial. La technique est trs peu rsistante aux attaques statistiques. Exemple Le plus souvent on utilise deux visions gomtriquement diffrentes du texte.
T E C TEC E R E R X S E T E T XSE TET

- On enroule une fine langue de papyrus ou de peau sur un tambour d'un diamtre donn (technique assyrienne 400 av JC). - On crit horizontalement un texte sur la lamelle enroule. - Quand la lamelle est droule les lettres sont incomprhensibles. - Pour dcrypter le message il faut un cylindre du bon diamtre.
Grard FLORIN CNAM-Cedric 13

Exemple de transposition base matricielle - Le message en clair est crit dans une matrice. - La cl est la matrice. - La technique de transposition de base consiste lire la matrice en colonne. Exemple (6,5):
M E E E R S T A E N R S S S E A S P A C G R T O

Le message crypt est donc: MEERSE TAESS NRSEAS AC P GRTO

Grard FLORIN

CNAM-Cedric

14

Chiffre transposition avec chiffre substitution simple. - On combine la transposition avec une substitution et on rarrange l'ordre des colonnes selon une permutation qui est ajoute la matrice pour former la cl. Exemple d'ordre d'exploration des colonnes 1 6 4 3 2 5, le texte crypt est: "MEERSGRTO SEAS SN NRE TAEAC P " - On peut gnrer et mmoriser simplement des permutations en prenant une cl sous forme d'un mot qui ne comporte pas deux fois la mme lettre On numrote les colonnes dans l'ordre ou apparaissent les lettres du mot dans l'alphabet. Exemple ESPOIR correspond la permutation 1 6 4 3 2 5.

Grard FLORIN

CNAM-Cedric

15

Le DES "Data Encryption Standard" -Ds le dbut des annes 1960 la technologie des circuits intgrs permet de travailler des circuits combinatoires complexes permettant d'automatiser: la mthode de substitution. la mthode de transposition. => Ide d'appliquer ces techniques en cascade dans un produit de chiffres. - Mise au point partir de 1968 d'une mthode de cryptage base sur 16 tages de substitutions et transpositions bass sur des cls (IBM) - Appel d'offre NBS (1973) pour la mise au point d'un systme de cryptographie - Proposition IBM (1975) - Adoption dfinitive et normalisation du DES d'IBM (1978) par le NBS ("National Bureau of Standards"). -Normalisation ANSI X3.92 connue sous le nom de DEA ("Data Encryption Algorithm").
Grard FLORIN CNAM-Cedric 16

Principes Gnraux du DES Choix possibles pour la scurit - Mthodes simples de chiffrement et des cls trs longues . Le DES - Produit de transpositions et substitutions nombreuses et compliques pour une cl relativement courte => facilit de transport. - Les chiffres substitution et transposition sont faciles raliser en matriel. Les botes de transposition "P-Box" Les boites de substitution "S-Box"

Grard FLORIN

CNAM-Cedric

17

Bote de transposition (P - box "Permutation box") Exemple pour 8 bits (solution matrielle) 1 3

Le bit 1 remplace le 3 Facile raliser par simple cblage Autre solution (logicielle) par des tables Exemple de transposition sur 64 bits La permutation initiale du DES
58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7

Le bit 1 remplace le 58

Grard FLORIN

CNAM-Cedric

18

Bote de substitution (S - box) Exemple de solution matrielle pour 3 bits

0 0 1 Demultiplexeur Transposition Multiplexeur 3 8 8 3 0 1 1

- Trois bits slectionnent un fil en sortie - L'ensemble subit une transposition. - Le rsultat est remultiplex sur 3 bits Solution par consultation de table Pour une configuration d'entre on slectionne directement au moyen d'une table la configuration de sortie. Exemple: Table S-1 du DES Approche particulire on substitue une valeur sur 6 bits une valeur sur 4 bits. Les deux bits faible et fort slectionnent la ligne, les 4 bits intermdiaires la colonne. 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
Grard FLORIN CNAM-Cedric 19

DES - Caractristiques Deux modes - Mode cryptage par bloc de 64 bits - Mode cryptage la vole ("stream") (octets par octets avec des registres dcalage) Utilisation d'une cl sur 56 bits En fait 8 fois 7 bits avec une parit (initialement 128 bits) 19 tages de logique combinatoire Appliquent des transpositions substitutions sur des blocs de 2 x 32 bits - 1 tage amont, 2 en aval sont des transpositions simples fixes - 16 tages intermdiaires dpendent de la cl de faon complexe.

Grard FLORIN

CNAM-Cedric

20

Architecture gnrale du DES

Grard FLORIN

CNAM-Cedric

21

Entre

Permutation Initiale In LO + F RO K1

L 1 =R O + F

R 1 = L O + F( RO,K1) K2

L 2 =R 1 +

. . . . . . .
F

R 2 = L 1 + F( R1 ,K2) Ki

. . . . . . .
L 15 = R 14 + F R15= L14+ F(R 14 ,K15) K16

L 16 = R 15

R16= L15+ F(R 15 ,K16) Sortie

Permutation In Inverse

Grard FLORIN

CNAM-Cedric

22

Principe de ralisation d'un tage

L(i-1)

R(i-1) g +

Ki

L(i) = R(i-1)

R(i)=L(i-1) + gK(R(i-1)) i

Grard FLORIN

CNAM-Cedric

23

Dtails de la fonction principale d'un tage

L(i-1) 32 bits R(i-1) 32 bits Expansion de 32 48 bits E (R(i-1)) Ki 48 bits Addition

Modulo 2

E(R(i-1)) + Ki = A

S1 Substitu tions (S-box)

6 -> 4

S8
6 -> 4

... B 32 bits

Permutation

P(B) Addition + modulo 2 (bit bit) R(i) = P(B) + L (i-1) 32 bits

CNAM-Cedric 24

L(i) = R (i-1) 32 bits

Grard FLORIN

Dtail des boites de substitution

R(i-1) 32 bits Expansion de 32 48 bits E (R(i-1)) 48 bits Addition

Ki 48 bits

+
E(R(i-1)) + Ki

Modulo 2 48 bits S6
6 -> 4

S1
6 -> 4

S2
6 -> 4

S3
6 -> 4

S4
6 -> 4

S5

S7
6 -> 4

S8
6 -> 4

32 bits 32 bits

Permutation

P(B)

32 bits Addition modulo 2 (bit bit) 32 bits

L (i-1)

+
R(i) = P(B) + L (i-1)

Grard FLORIN

CNAM-Cedric

25

Mthode de calcul des cls

Cl K Permutation PC-1

CO Rotation gauche LS1 C1 Rotation gauche LS2 C2 Rotation gauche LS3

DO Rotation gauche LS1 Permutation D1 Rotation gauche LS2 Permutation D2 Rotation gauche LS3 PC K2 -2 PC K1 -2

. . . . . . . . . . C16 D16

Permutation PC K16 -2

Grard FLORIN

CNAM-Cedric

26

Complment sur le calcul des cls intermdiaires - La cl initiale K est sur 64 bits. - La permutation PC-1 enlve les bits de parit et opre sur les 56 bits restants. - On divise le rsultat en deux moitis C0 et D0 de 28 bits. - On gnre une suite Ci, Di en oprant des dcalages gauche successifs: Ci = LSi (Ci-1) Di = LSi (Di- 1) - Pour obtenir la cl Ki on regroupe Ci et Di et l'on opre sur les 56 bits une permutation PC-2 Ki = PC-2(Ci Di)

Grard FLORIN

CNAM-Cedric

27

DES Utilisation A la Vole

Cl Registres dcalage 64 bits Cl

D E S

D E S

Octet Texte en clair

+
h Voie physique Texte encrypt

+
h Texte en clair

ou exclusif par octets

- Un circuit DES de cryptage par blocs de 64 bits est utilis octets par octets au moyen de registre dcalage (octets) d'entre et de sortie. - Performances Excellentes - cryptage la vole dbits potentiellement trs levs (dizaine/ centaine de Mgabits/seconde). - Utilisation multiples Transmission de donnes informatiques Cryptage de chanes de tlvision page.
Grard FLORIN CNAM-Cedric 28

Controverse sur la scurit du DES Problme de longueur des cls - Initialement dfini avec une cl de 112 bits le DES a t finalement dot par les autorits amricaines d'une cl de 56 bits. => Le DES 56 est trs probablement attaquable par des moyens informatiques plus ou moins lourds la porte des tats. Des puces spciales permettant l'essai de 106 cls par seconde ont t construites Elles peuvent tre organises en processeurs spciaux massivement parallles. Problme du choix des substitutions - Les principes de choix des S-box n'ont jamais t rendu public. Officiellement elles sont conues pour rsister une attaque particulire (la cryptanalyse diffrentielle). => Personne n'a jamais rien trouv concernant d'ventuelles proprits caches des boites de substitution.
Grard FLORIN CNAM-Cedric 29

Amlioration de la scurit du DES Utilisation de DES en cascade Premire proposition Avec deux cls K1, K2 (128 bits). Moins bon qu'un DES 128 bits
Texte en clair DES K1 Texte crypt DES-1 K2 DES K1

Seconde proposition Avec trois cls K1, K2 , K3.

Texte en clair DES K1
Grard FLORIN

Texte crypt DES-1 K2

CNAM-Cedric

DES K3
30

Conclusion - DES - Standard maintenant assez ancien ayant finalement bien tenu. - Excellentes performances en vitesse de cryptage. Un circuit ddi crypte 1 Gigabit/s En logiciel on crypte 1 Mgabit/s - Niveau de scurit pour une solution cls prives trs correct pour des applications ne ncessitant pas une confidentialit de haut niveau (militaire). Le DES 56 est probablement peu sr pour un attaquant ayant de gros moyens mais performant et trop coteux casser pour des applications habituelles.

Grard FLORIN

CNAM-Cedric

31

IDEA: International Data Encryption Algorithm Autre solution de chiffrement par blocs de 64 bits bas sur huit tages facilement ralisable en matriel ou en logiciel. Les oprations utilises sont des oprations arithmtiques: - ou exclusif - addition modulo 216 - multiplication modulo 216 +1
(1)

X1(1)
(1)

X2 (1)
(1)

X3 (1) Z3
(1)

X4 Z4
(1)

(1)

Z1

Z2

Un tage IDEA

Z5

(1)

Z6

(1)

Cls gnres partir de la cl initiale par dcoupage et dcalage

7 autres tages
Grard FLORIN CNAM-Cedric 32

Conclusion IDEA - IDEA est considr par les spcialistes comme l'un des meilleurs cryptosystme cl prive. - La longueur de cl est leve (128 bits). - La vitesse de chiffrement et de dchiffrement peut-tre leve au moyen de circuits spciaux. Circuits 55 Mb/s et 177 Mb/s En logiciel sur 386 33Mhz: 880 Kb/s - Les attaques semblent difficile mais le systme est assez rcent (1990)

Grard FLORIN

CNAM-Cedric

33

Chapitre II LA CRYPTOGRAPHIE A CLS PUBLIQUES Deux problmes essentiels limitent les mthodes de cryptographie cls prives dans les rseaux (utilises seules): - L'change de cls entre des sites qui n'ont jamais t en relation => Il faut un moyen diffrent pour changer des cls. - Pour communiquer dans un groupe de n participants il faut n(n-1)/2 cls. 1976 - Diffie et Hellman dfinissent les principes d'une nouvelle approche en cryptographie sans proposer de solution au problme qu'ils posent. La cryptographie cls publique. 1978 - R. Rivest A. Shamir L. Adelman donnent une premire solution: La mthode RSA.
Grard FLORIN CNAM-Cedric 34

Cryptographie cls publiques L'ide est de supposer que l'on sait trouver deux fonctions Ek et Dk' qui dpendent de cls k et k'. Ek est la mthodes d'encryptage. Dk' est la mthodes de dchiffrage. Ayant les proprits suivantes : 1- Dfinition mme de la cryptographie: le dchiffrage est l'inverse de l'encryptage. D k' ( E k (M) ) = M 2- Il est trs trs difficile de dduire D k' de la connaissance de messages crypts par E k ou de E k complte car cette fonction est diffuse tous. => Des milliers d'annes de calcul seraient ncessaires dans l'tat des connaissances. 3- Idalement Ek(M) et Dk'(M) devraient tre faciles calculer.

Grard FLORIN

CNAM-Cedric

35

Les cls publiques: une rvolution dans l'approche cryptographique Un utilisateur a un couple ( Ek, Dk') - L'ide essentielle est que Ek (en fait k) peut-tre rendue publique par exemple dans un annuaire (le nom vient de l). - Dk' est prive (en fait k' est prive et ncessairement diffrente de k). - Tout le monde peut connatre E k et envoyer des messages secrets qu'un seul destinataire (celui qui connat Dk') peut comprendre. - D'o l'hypothse fondamentale d'un tel systme. => On ne doit pas pouvoir trouver D k' quand on connat E k. Comme un attaquant connat Ek et des messages crypts par Ek il ne doit pas pouvoir casser Ek => Dcrypter des messages crypts par Ek en essayant des messages connus.
Grard FLORIN CNAM-Cedric 36

L'Algorithme RSA Fonction E Encodage (publique) - La cl publique est un couple d'entiers: k = (e, n) - L'encodage se fait au moyen de l'lvation la puissance e modulo n: E k (M) = M e (mod n) Fonction D Dcodage (secrte) - La cl secrte est un couple d'entiers: k' = (d, n) - Le dcodage se fait au moyen de l'lvation la puissance d modulo n: D k' (M) = M d (mod n) Remarque: Les entiers n, e, d doivent tre choisis selon des rgles prcise.
Grard FLORIN CNAM-Cedric 37

Mthode de choix des cls 1. Dtermination de n Trouver deux entiers premiers p et q trs grands: Calculez n = p q De prfrence dtruisez p et q. La scurit du systme repose sur la difficult de factoriser un grand entier n en deux entiers premiers p et q (taille de n : 320 bits, 512 bits, 1024 bits conditionne galement la lenteur des algorithmes). 2. Dtermination de d Calculez z = (p-1) (q-1) Choisir un entier e premier avec z. La cl publique est ( e , n ) 3. Dtermination de d Choisir un entier d tel que : e d 1 (mod z) (d inverse de e dans l'arithmtique mod z) La cl prive est ( d , n )
Grard FLORIN CNAM-Cedric 38

Rversibilit de RSA Fonction d'Euler Pour n entier z = (n) est le nombre d'entiers premiers avec n. - si n est premier (n) = n-1 - si n = pq avec p et q premiers (n) = (p-1)(q-1) Thorme d'Euler Si a et n sont premiers entre eux a (n) (mod n ) = 1 Pourquoi RSA marche D ( E (M)) = ((M)e (mod n ) )d (mod n ) = (Me)d (mod n ) = Me.d (mod n ) Mais on a choisi e.d 1 (mod z) Soit en fait e.d = j z + 1 Me.d Mj.z M (mod n) M (mod n) Parceque thorme d'Euler: Mj z (mod n) = (Mz)j (mod n) = (1) j = 1

Grard FLORIN

CNAM-Cedric

39

Remarques 1. Le RSA doit toujours tre appliqu des blocs de chiffres d'amplitude infrieure n pour faire des calculs modulo n. =>Dcomposition des messages en blocs 2. On voit ici que l'on a aussi: D ( E (M)) = E ( D (M)) = M

Grard FLORIN

CNAM-Cedric

40

Exemple 1 Soient deux entiers premiers p =47,q =71 n = pq = 3337 2 z= (p-1)(q-1)= 46 . 70 = 3220 Choisissons e = 79 (premier avec n) 3 Calcul de l'inverse de e modulo z Une solution possible: le thorme d'Euler e (n) = 1 = e e-1 = e e (n)-1 (mod z) Donc d = e -1 = e (n)-1 (mod z) Numriquement 7978 (mod 3220) = 1019 Une autre solution plus simple: L'algorithme d'Euclide 4 Crypter M = 6882326879666683 Dcomposition en blocs de taille infrieure n= 3337 => Des blocs de 3 chiffres M= 688 232 687 966 668 3 Crypter 688: 68879 (mod 3337) = 1570 E(M) = 1570 2756 2091 2276 2423 158 Dcrypter 1570: 15701019 (mod 3337) = 688 Tir de "Cryptographie applique" B. Schneier
Grard FLORIN CNAM-Cedric 41

Intuitions relatives au RSA Crypter = bousculer les informations pour rendre le sens inaccessible. RSA = l'utilisation de l'lvation la puissance puis d'une congruence. - L'lvation a une puissance permet de changer le registre des entiers choisis Exemple trs simple e = 3 et n = 41: Pour M = 27, M' = 28 peu diffrents. E(M) = 27 3 = 19683 E(M') = 28 3 = 21952 - Les congruences introduisent des discontinuits => il est trs difficile de trouver le logarithme d'un nombre dans un ensemble d'entiers modulo n. E(M) = 273 mod (41) = 19683 mod (41) E(M) = 480 x 41 + 3 mod (41) E(M) = 3 E(M') = 283 mod (41) = 21952 mod (41) E(M') = 535 x 41 + 17 mod (41) E(M') = 17

Grard FLORIN

CNAM-Cedric

42

Attaque du RSA Solution de base - n tant public le cryptanalyste cherche trouver p et q pour calculer z. => Il doit factoriser un grand nombre en deux facteurs premiers. Ce problme est complexe Meilleurs algorithmes connus - En 1989 avec 400 Vax pendant 3 semaines factorisation d'un nombre de 106 chiffres (352 bits) - Actuellement factorisation possible de nombres de 110 120 chiffres (350 400 bits) - Si on a trouv p et q alors utiliser l'algorithme d'Euclide pour trouver e, d premiers avec (p-1) (q-1) = z D'autres attaques sont dcouvrir...

Grard FLORIN

CNAM-Cedric

43

Scurit et performances du RSA Utiliser des longueurs de cls de plus en plus importantes Valeurs envisages 512 bits, 640 bits 1024 bits (considr comme assez sr pour plusieurs annes) 2048 bits Utiliser des circuits intgrs de cryptage de plus en plus performants Actuellement une dizaine de circuits disponibles. Vitesse de cryptage de base pour 512 bits: de 10 30 Kb/s volution en cours de l'ordre de 64 Kb/s A venir de l'ordre de 1 Mb/s Remarque: Compte tenu de la complexit des traitements le DES doit tre environ toujours 100 fois plus rapide que le RSA.
Grard FLORIN CNAM-Cedric 44

Problmes du RSA - Trouver de grands nombres premiers (on prend en fait des nombres premiers en probabilit). - Choisir des cls secrtes et publiques assez longues. - Raliser les oprations modulo n rapidement. RSA carte bancaire limitation des calculs du fait de la puissance de calcul disponible. n sur 320 bits (de l'ordre de 95 chiffres) cl publique 3 pour tout le monde

Grard FLORIN

CNAM-Cedric

45

Conclusion RSA - Problme principal Complexit algorithmique de la mthode. Solution assez gnrale. Utiliser le RSA brivement au dbut d'un change pour changer des cls secrtes de session d'un algorithme efficace cls prives. - Efficacit en scurit La mthode est officiellement sre si l'on respecte certaines contraintes de longueur de cls et d'usage. Personne depuis 2500 ans n'a trouv de solution rapide au problme de la factorisation ...

Grard FLORIN

CNAM-Cedric

46

III Les fonctions de hachage sens unique Notion de fonction sens unique ("one way function") C'est une fonction f(M) facile calculer mais telle qu'il est extrmement difficile de dduire M de f(M). Exemple: Calcul modulo n (dans un corps fini) M2 est facile calculer modulo n (Me). M est difficile calculer (log M). Les fonctions sens unique sont utiles pour garder sous forme inaccessible des mots de passe. Par contre pour la cryptographie elles sont peu utiles car une fois M chiffr on ne sait pas dchiffrer M. Notion de fonction sens unique brche secrte C'est une fonction f(M) facile calculer telle qu'il est extrmement difficile de dduire M sauf si l'on connat un secret K.
Grard FLORIN CNAM-Cedric 47

Notion de fonction de hachage Une fonction de hachage est une fonction mathmatique qui a partir d'un message (d'une donne) gnre une autre chane (gnralement plus courte). Terminologie: fonction de contraction, digest, empreinte digitale, ... Exemples: Calcul de parit verticale On fait le ou exclusif de tous les octets d'une chane de caractres. Calcul de code polynomial. Notion de fonction de hachage sens unique sans cl C'est une fonction de hachage sens unique qui peut tre calcule par n'importe qui (MD5). Notion de fonction de hachage sens unique avec cl C'est une fonction de hachage sens unique qui ne peut tre calcule que par une seule entit dtentrice de la cl.
Grard FLORIN CNAM-Cedric 48

Nombreux exemples de fonctions de hachage sens unique avec cl.

Grard FLORIN

CNAM-Cedric

49

Signatures numriques Une signature manuscrite idale est rpute possder les proprits suivantes: - La signature ne peut-tre imite. Elle prouve que le signataire a dlibrment sign le document. - La signature authentifie le signataire. Seul le signataire peut avoir sign. - La signature appartient un seul document (elle n'est pas rutilisable). - Le document sign ne peut tre partiellement ou totalement modifi. - La signature ne peut-tre renie. Base de la signature numrique: L'existence d'une fonction de hachage sens unique avec cl. Une solution possible: une fonctions de hachage sens unique et une technique classique de cryptographie (exemple le RSA)
Grard FLORIN CNAM-Cedric 50

MD5 Message Digest version 5 Une fonction de hachage sens unique. On gnre une signature sur 128 bits. Le message est dcompos en blocs de 512 bits soient 16 sous-blocs Mj de 32 bits. Pour chaque bloc de 512 bits on ralise 4 sries de 16 applications successives des fonctions de base FF, GG , HH, II qui dpendent des sous-blocs Mj et de constantes a, b, c, d, ti:
FF(a,b,c,d,Mj,s,ti) a = b + ((a = F(b, c,d) + Mj + ti) s) GG(a, b,c,d,Mj,s, ti) a = b + ((a = G(b,c,d) + Mj + ti) HH(a,b, c,d,Mj,s,ti) a = b + ((a = H(b,c,d) + Mj + ti) II(a,b, c,d,Mj,s,ti) a = b + ((a = I(b,c, d) + Mj + ti) s) s) s)

Dans les formules prcdentes s dsigne un dcalage gauche de s positions les fonctions F,G, H,I sont donnes par:
F(X,Y,Z) = (X Y) (X Z) G(X,Y, Z) = (X Z) (Y Z) H(X,Y,Z) = (X Y Z) I(X,Y,Z) = Y (X Z)

Grard FLORIN

CNAM-Cedric

51

Bibliographie

A.S. Tannenbaum - Computer Networks Prentice Hall B. Schneier - Cryptographie applique Thomson Publishing International France D.E. Denning - Cryptography and data security Addison Wesley 1982

Grard FLORIN

CNAM-Cedric

52