Masterpro Chapitre 1

Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie
CHAPITRE 1. INTRODUCTION A LA CRYPTOGRAPHIE

Cruptos ( o ) : cach e, dissimul e Graphein ( ) : ecrire http://math.univ-lyon1.fr/~roblot/masterpro.html
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Notions de base
Notions de base
Les quatre buts de la cryptographie Condentialit e : m ecanisme pour transmettre des donn ees de telle sorte que seul le destinataire autoris e puisse les lire. Int egrit e : m ecanisme pour sassurer que les donn ees re cues nont pas et e modi ees durant la transmission. Authentication : m ecanisme pour permettre didentier des personnes ou des entit es et de certier cette identit e. Non-r epudiation : m ecanisme pour enregistrer un acte ou un engagement dune personne ou dune entit e de telle sorte que celle-ci ne puisse pas nier avoir accompli cet acte ou pris cet engagement.
Terminologie
Alphabet A : ensemble ni de symboles utilis es pour ecrire les messages. Message clair m : cha ne de caract` eres compos ee de lettres de lalphabet A et dont on veut en g en eral conserver la condentialit e. On note M lensemble de tous les messages clairs possibles. Message crypt e c : cha ne de caract` eres compos ee de lettres de lalphabet A, correspondant ` a un message clair, et dont la diusion ` a des entit es non autoris ees ne doit pas d evoiler pas dinformation sur ce message clair. On note C lensemble de tous les messages crypt es. Cryptage : transformation dun message clair en un message crypt e. D ecryptage : transformation inverse du cryptage qui permet de retrouver ` a partir dun message crypt e, le message clair correspondant.
Terminologie
Signature s : cha ne de caract` eres associ ees ` a un message donn e (et aussi possiblement ` a une entit e) et le caract erisant. Transformation Tk : fonction qui associe ` a un message clair ou crypt e, une autre donn ee qui peut etre un message clair, crypt e ou une signature. En g en eral, ce sont des fonctions qui d ependent de cl es. Cl e k : donn ee suppl ementaire permettant de construire les fonctions de cryptage et de d ecryptage. Sans connaissance de la cl e de d ecryptage, le d ecryptage doit etre impossible. On note K lensemble de toutes les cl es. Protocole : description de lensemble des donn ees n ecessaires pour mettre en place le m ecanisme de cryptographie : ensemble des messages clairs, des messages crypt es, des cl es possibles, des transformations...
Fonctions cryptographiques
Notations. Pour une fonction f : X Y . on note Im(f ) limage de f et f 1 la fonction r eciproque (si f est bijective). Probl` eme de linversion. Pour une fonction f : X Y et pour y Im(f ) Y . Le probl` eme de linversion est de trouver x X tel que f ( x) = y . Fonction ` a sens unique. Cest une fonction f : X Y telle que, pour presque tout el ement y Im(f ), le probl` eme de linversion est impossible ` a r esoudre. On veut aussi que f (x) soit facile ` a calculer pour tout x X . Fonction ` a sens unique ` a trappe. Cest une fonction f : X Y ` a sens unique et telle que la connaissance dune donn ee suppl ementaire, la trappe ou cl e, permet de r esoudre facilement le probl` eme de linversion.
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Condentialit e
Condentialit e Eve Alice

m c
Protocole. M ensemble des messages clairs C ensemble des messages crypt es K ensemble des cl es Ck : M C fonction de cryptage Dl : C A fonction de d ecryptage
CkA
?
c
Bob
A c m
Dl
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Exemples historiques de protocoles de cryptographie
Exemples historiques de protocoles de cryptographie
La scytale Le cryptogramme de C esar La permutation de lettres Le chirement de Vigen` ere Le chirement de Hill
Scytale
Message crypt e
KTMIOILMDLONKRIIRGNOHGWT
Cryptogramme de C esar
AE HL OS V Z
BF IM P T W A
CG J N QU XB
DH KO RV Y C
EI LP SW ZD
F J M Q T X
GK N R U Y
Exemple
ATTAQUE AU MATIN EXXEUYI EY QEXMR Cl e : entier entre 1 et 26
Permutations de lettres
AD HN OT V F BR IS P J W B CK J O QE XY DX KP RU Y G EV LQ SZ ZM F H M W T A GL N I U C
Exemple
ATTAQUE AU MATIN DAADECV DC WDASI Cl e : permutations sur 26 lettres Nombre de cl es : 26! = 403291461126605635584000000 288
Cryptanalyse de la permutation de lettres

Message ` a d ecrypter
CEGCL AM NMGAL LJC ZWIWJLL LH CYEWJ RMYCWLJ ZEHC GHL LJC UMQWCLL RMY ALJ QLANLJ A MGCYL RMY ALJ MVGWCMWHJ AM CYEWJWLPL RMY SLGF VGW ZMHJ ALGY AMHNGL JL HEPPLHC SLACLJ LC ZMHJ AM HECYL NMGAEWJ On attaque en utilisant les fr equences dapparition des lettres en fran cais. E 17,3% L 27 A 8,4% M 16 S 8,1% C 15 I 7,4% J 15 N 7,1% A 12 T 7,0% W 11 R 6,6% H 10 L 6,0% G 10
Essai de d ecodage : (L, M) (E, A)

CEGCE AA NAGAE EJC ZWIWJEE EH CYEWJ RAYCWEJ ZEHC GHE EJC UAQWCEE RAY AEJ QEANEJ A AGCYE RAY AEJ AVGWCAWHJ AA CYEWJWEPE RAY SEGF VGW ZAHJ AEGY AAHNGE JE HEPPEHC SEACEJ EC ZAHJ AA HECYE NAGAEWJ
Essai de d ecodage : (L, M) (E, A)

CEGCE AA NAGAE EJC ZWIWJEE EH CYEWJ RAYCWEJ ZEHC GHE EJC UAQWCEE RAY AEJ QEANEJ A AGCYE RAY AEJ AVGWCAWHJ AA CYEWJWEPE RAY SEGF VGW ZAHJ AEGY AAHNGE JE HEPPEHC SEACEJ EC ZAHJ AA HECYE NAGAEWJ
Essai de d ecodage : (L, M, A) (E, A, L)

CEGCE LA NAGLE EJC ZWIWJEE EH CYEWJ RAYCWEJ ZEHC GHE EJC UAQWCEE RAY LEJ QELNEJ L AGCYE RAY LEJ AVGWCAWHJ LA CYEWJWEPE RAY SEGF VGW ZAHJ LEGY LAHNGE JE HEPPEHC SELCEJ EC ZAHJ LA HECYE NAGLEWJ
Essai de d ecodage : (L, M, A, J) (E, A, L, S)

CEGCE LA NAGLE ESC ZWIWSEE EH CYEWS RAYCWES ZEHC GHE ESC UAQWCEE RAY LES QELNES L AGCYE RAY LES AVGWCAWHS LA CYEWSWEPE RAY SEGF VGW ZAHS LEGY LAHNGE SE HEPPEHC SELCES EC ZAHS LA HECYE NAGLEWS
Essai de d ecodage : (L, M, A, J, C) (E, A, L, S, T)

TEGTE LA NAGLE EST ZWIWSEE EH TYEWS RAYTWES ZEHTGHE EST UAQWTEE RAY LES QELNES L AGTYE RAY LES AVGWTAWHS LA TYEWSWEPE RAY SEGF VGW ZAHS LEGY LAHNGE SE HEPPEHT SELTES ET ZAHS LA HETYE NAGLEWS
E 17,3% L 27
A 8,4% M 16
S 8,1% C 15
I 7,4% J 15
N 7,1% A 12
T 7,0% W 11
R 6,6% H 10
L 6,0% G 10
Essai de d ecodage :
(L, M, A, J, C, W, H) (E, A, L, S, T, I, N)
TEGTE LA NAGLE EST ZIIISEE EN TYEIS RAYTIES ZENT GNE EST UAQITEE RAY LES QELNES L AGTYE RAY LES AVGITAINS LA TYEISIEPE RAY SEGF VGI ZANS LEGY LANNGE SE NEPPENT SELTES ET ZANS LA NETYE NAGLEIS
http://math.univ-lyon1.fr/~roblot/masterpro.html
Chirement de Vigen` ere

Correspondance lettre nombre. A = 0, B = 1, . . . , Z = 25 Addition sur les lettres. J + W = F (9 + 22 mod 26 = 5)
Exemple
NOUS ATTAQUERONS AU MATIN PAR LE NORD VIGE NEREVIGENER EV IGENE REV IG ENER KYCY PZMGNEMXDTL GR WIZXT IGO VM TDXW
Cl e : mot de l lettres (l x e) Nombre de cl es : 26l (Note : 2619 26!)
Cryptanalyse du chirement de Vigen` ere (Friedman-Babbage-Kasiski)

Indice de co ncidence. Probabilit e que 2 lettres prises au hasard dans un texte soient egales IC = 1 n2
Z
n2 l
l=A
Fr equence et IC. Notons pl la fr equence de la lettre l = A, . . . , Z . Alors, on a

Z
IC =
l=A
p2 l
Il suit que lIC dun texte (susamment long) en fran cais est 0.078. Exercice. D emontrer les diverses formules de lIC. Puis, calculer le IC dun texte totalement al eatoire.
Exercice sur les propri et es de lindice de co ncidence

On travaille avec lalphabet A = {A, B, C }. On suppose que ces lettres apparaissent dans un texte avec les probabilit es suivantes A = 68%,
1 2
B = 18%,
C = 14%
Calculer lindice de co ncidence du texte. On applique la transformation (A, B, C) (B, C, A) au texte. Calculer lindice de co ncidence du texte obtenu. On applique la transformation (A, B, C) (B, C, C) au texte. Calculer lindice de co ncidence du texte obtenu. Soit k 2. On consid` ere le texte obtenu en s electionnant une lettre sur k . Estimer son indice de co ncidence ? On applique un chirement de Vigen` ere de longueur k au texte, puis on s electionne une lettre sur k dans le texte chir e. Calculer lindice de co ncidence du nouveau texte.
Message ` a d ecrypter
KIIFSIRV A E NEEF HJYKR SPFCVI GI KRVMMSYI XSLC HZ ZVAX YI EBVY IJG UPM JR HZGYNMIE RH QDPZRY YI C RUPMEBBZ HV PIOXV NRIIV RX KIEQEIX CRUPIC YI WEIBQZXIR XJQSN E NIGG GZRK QMS QZYPDQVGVZW TR JPX LA SPVRTEI WRAW DRKRVHMKGIIGV DYD HLEE YY UVB CYZG EP ZZAKO GZAU HEIF PZW INZVKVF UP MC CVJHLVWDX WHVZRK VQHIEFIN IE NQZVZDYZ IE RYMSGR II EJVI NYI HRZ DFAI GEITI YI UVB CYZG GZRKF QDPCRW LYZ FI YIJFMIEZG SWPZDYZQVAX V P VDYVXVHV YIGHMN PV GVZRKR GDRHHMZQV CEMECYIGI EBVY NLFUP EL DYVVRAXDIDR TVVRYPZPV FYY
IC des sous-s equences :

Intervalle 1 : KIIFSIRVAENEEFHJYKRSPFCVIGI... Intervalle 2 : KISRANEHYRPCI.. IFIVEEFJKSFV... Intervalle 3 : KFREEJRFI... ISVNFYSCG... IIAEHKPVI... Intervalle 4 : KSAEYPI... IIEFKFG... IRNHRCI... FVEJSVK... Intervalle 5 : KINJ... IREY... IVEK... FAFR... SEHS... 0,05257 0,05184 0,05245 0,05053 0,07981
Cl e C1 C2 C3 C4 C5 de longueur 5
Message extrait 1 : 1 lettre sur 5

KINJPGMXZYYPZIDYPZOIKIPWZJNZSDZPPIDHIDYCPOHZVPJDZHNZZMINZGYCZDLYIWZVVYNZDZMGYPVDVZY Premi` ere lettre : 16 Z (19, 3%) donc C1 = Z - E = V
Message extrait 2 : 1 lettre sur 5

IREYFIMSZIIMGEPIMHXIIXIEXQIRQQWXVWRMGHYYZGEWKMHXRIIVISEYDEIYRPYIEPQPXIPRRQEINEVIVP Deuxi` eme lettre : 17 I (20, 7%) donc C2 = I - E = E
http://math.univ-lyon1.fr/~roblot/masterpro.html
Th eor` eme Le protocole de chirement de Vigen` ere avec une cl e de longueur egale ou sup erieure ` a la longueur du message, et utilis ee une et une seule fois, est totalement s ur.
Chirement de Hill
Correspondance lettre nombre. A = 0, B = 1, . . . , Z = 25 Action des matrices. Un matrice 2 2 agit sur les vecteurs de longueur 2 de la mani` ere suivante (x, y ) a c b d = (ax + cy, bx + dy )
En r eduisant les nombres modulo 26, on en d eduit une action sur les 3 21 couples de lettres, par exemple pour la matrice M = 5 8 RE (17, 4) (71, 389)
M mod 26
(19, 25) TZ
Exercice. A quelles conditions existe-t-il une matrice N permettant de renverser la transformation ? Calculer cette matrice pour lexemple ci-dessus.
Exemple
Cl e : M = 3 5 Message : RE (17, 4) M (19, 25) TZ ND (13, 3) M (2, 11) CL EZ (4, 25) M (7, 24) HY VO (21, 14) M (3, 7) DH 21 8 US (20, 18) M (20, 18) US CE (2, 4) M (0, 22) AW SO (18, 14) M (20, 22) UW IR (8, 17) M (5, 18) FS ! inversible
RENDEZ VOUS CE SOIR
Nombre de cl es : (22 1)(22 2)(132 1)(132 13) = 157 248 G en eralisation. On peut utiliser des matrices de taille plus grande, pour des matrices de taille 5, on obtient un nombre de cl e de lordre de 2115 . Cas particulier. Le digramme AA correspond au vecteur (0, 0) et donc est toujours cod e sur lui-m eme pour toute matrice M . Plusieurs m ethodes permettent de pallier ` a ce probl` eme.
Cryptanalyse du chirement de Hill

Attaque par les digrammes. On consid` ere les digrammes qui apparaissent le plus souvent ES 3,3% DE 2,4% LE 2,3% EN 2,1% RE 1,9% NT 1,7% ON 1,6% ER 1,5% TE 1,5%
Attaque par texte clair connu. Si on conna t une partie du texte clair et sa version crypt ee, on peut en d eduire des informations sur la cl e, voire la cl e enti` ere. Attaque par information partielle. En particulier, si on peut deviner une partie du message clair, on peut en d eduire des informations sur la cl e. Exercice. Sachant que la version crypt ee du message clair CRYPTO est le message MPODXM, en d eduire le maximum dinformation sur la cl e de cryptage.
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Protocoles de condentialit e
Protocoles de condentialit e
Choix des cl es. Bob dispose dun couple de cl es (kB , lB ) telles que DlB (CkB (m)) = m pour tout m M. kB est la cl e de cryptage et lB la cl e de d ecryptage. Transmission dun message.
1 2 3
Alice veut transmettre le message m ` a Bob Elle calcule c = CkB (m) et transmet c ` a Bob Bob retrouve le message clair ` a partir de c : DlB (c) = DlB (CkB (m)) = m
Types de protocole : Si kB = lB , alors cest un protocole ` a cl e secr` ete (ou sym etrique), et kB doit etre secr` ete (lB est toujours secr` ete). Sinon, kB peut etre rendue publique et cest un protocole ` a cl e publique.
Principe de Kerckho : la s ecurit e du protocole repose dans le secret des cl es et non celui des algorithmes
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Protocoles de condentialit e
Protocoles ` a cl e secr ete et ` a cl e publique

canal s ur canal non s ur G en erateur de cl es k k kB lB canal s ur canal non s ur G en erateur de cl es
Cryptage c = Ck (m) m Source
D ecryptage m = Dk (c) m Destination
Cryptage c = CkB (m) m Source
D ecryptage m = DlB (c) m Destination
Alice
Eve
Bob
Alice
Eve
Bob
Protocole ` a cl e secr` ete
Protocole ` a cl e publique
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Quelques principes de base en cryptographie
Quelques principes de base en cryptographie

Performance. Un protocole s ur vaut mieux quun protocole ecace. Exemple : attaque par chronom` etre sur les cartes ` a puce. Simplicit e. Un protocole ne doit jamais essayer de faire plus que ce quil est sens e faire. Exemple : extension des protocoles didentication. Le Maillon Faible. Un protocole nest jamais aussi s ur que sa composante la plus faible. Exemple : le WiFi de luniversit e Lyon 1. Raisonnement parano aque. Un protocole avec une faiblesse, aussi petite quelle soit, est un protocole qui nest plus s ur. Exemple : le protocole WEP Mod` ele de s ecurit e. Un protocole nest jamais parfait. Lessentiel est dobtenir le niveau de s ecurit e souhait e. Exemple : le WiFi de luniversit e Lyon 1 ?
Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie Cryptanalyse
Cryptanalyse Attaques classiques

Lattaquant conna t les algorithmes de cryptage et d ecryptage. Attaque ` a texte crypt e uniquement : lattaquant ne dispose que dun ou plusieurs messages crypt es quil souhaite d ecrypter. Cest le type dattaque le plus dicile. Attaque ` a texte clair connu : lattaquant dispose dexemples de messages clairs avec les messages crypt es correspondants, ou dune partie clair dun message crypt e. Le but est dobtenir de linformation sur la cl e. Attaque ` a texte clair choisi : lattaquant peut obtenir la version crypt ee dun certain nombre de messages clairs choisis, soit avant lattaque (attaque hors ligne), soit au fur et ` a mesure (attaque en ligne). Le but est encore dobtenir de linformation sur la cl e. Attaque ` a texte crypt e choisi : lattaquant peut obtenir la version crypt ee dun certain nombre de messages clairs choisis, et aussi la version claire dun certain nombre de messages crypt es choisis. On distingue encore entre attaques hors ligne et en ligne.
Cryptanalyse Autres types dattaques

Attaque par le paradoxe des anniversaires : Il sagit dobtenir des collisions (utilisation deux fois dune m eme valeur) pour obtenir de linformation. Si on utilise 2n valeurs possibles, on peut esp erer la premi` ere collision avec environ 2n/2 valeurs. Attaque par pr ecalcul : Il sagit pour lattaquant de pr ecalculer des informations et de sen servir pour identier des messages ou des cl es. Cela n ecessite plus de travail mais permet aussi plus de exibilit e. Un cas extr eme est la recherche exhaustive. Attaque de di erentiation : Il sagit dune attaque qui permet de di erencier le protocole de cryptage utilis e dun protocole de cryptage parfait. Cela couvre les attaques cit ees pr ec edemment et toutes les attaques ` a venir !
Le mod` ele de Dolev-Yao

Environnement vuln erable. On suppose que lattaquant dispose est tr` es intelligent et dispose de beaucoup de moyens pour modier les communications du r eseau. On suppose que lattaquant : peut obtenir tous les messages circulant sur le r eseau ; est un utilisateur l egitime du r eseau ; peut initier une communication avec tous les membres du r eseau ; peut envoyer un message ` a tous les membres du r eseau en se faisant passer pour un autre personne. Cependant, lattaquant nest pas tout puissant. On suppose, entre autres, que lattaquant : ne peut pas deviner un entier choisi au hasard ; ne peut deviner la cl e priv ee correspondant ` a une cl e publique.
Cryptanalyse
Echelle de succ es Cassage complet : lattaquant d ecouvre la cl e. D eduction globale : lattaquant d ecouvre des fonctions equivalentes aux fonctions de cryptage et de d ecryptage sans pour autant conna tre la cl e. D eduction locale : lattaquant peut d ecrypter un ou plusieurs nouveaux messages crypt es. D eduction dinformation : lattaquant obtient de linformation sur la cl e ou sur des messages crypt es. Crit` eres d evaluation Temps : le nombre dop erations de bases n ecessaires Espace : la quantit e de m emoire maximale n ecessaire Donn ees : le nombre de messages clairs/crypt es n ecessaires
Echelle des co uts en temps

Congurations : A. Un ordinateur de bureau avec 4 coeurs ` a 2,5 GHz : 236 FLOPS B. Cluster du laboratoire de maths : 240 FLOPS C. Supercomputer (` a 133 million de dollars) : 250 FLOPS Nbre op erations Cl e W.E.P. : Cl e D.E.S. : Collision MD5 : 240 2 2
56 64
Cong. A 16 sec. 12 jrs 8 /2 ans 142000 mill. 106 univers 10

10 1
Cong. B 1 sec. 18 h 194 jrs 9000 mill. 105 univers 10 univers 1010 univers2
8
Cong. C 1 sec. 1 mn. 4 h. 8 mill. 83 univers 105 univers 107 univers2
perm. de lettres : 288 Hill de dim. 5 : 2115 Cl e 128 bits : Cl e 192 bits : 2
128
univers
2192
1011 univers2

Masterpro Chapitre 1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Masterpro Chapitre 1

Transféré par

Droits d'auteur :

Formats disponibles

Master Pro Ing enierie Math ematique Cryptographie Introduction ` a la cryptographie

CHAPITRE 1. INTRODUCTION A LA CRYPTOGRAPHIE

Condentialit e Eve Alice

Exemples historiques de protocoles de cryptographie

Cryptanalyse de la permutation de lettres

Essai de d ecodage : (L, M) (E, A)

Essai de d ecodage : (L, M) (E, A)

Essai de d ecodage : (L, M, A) (E, A, L)

Essai de d ecodage : (L, M, A, J) (E, A, L, S)

Essai de d ecodage : (L, M, A, J, C) (E, A, L, S, T)

Chirement de Vigen` ere

Cl e : mot de l lettres (l x e) Nombre de cl es : 26l (Note : 2619 26!)

Cryptanalyse du chirement de Vigen` ere (Friedman-Babbage-Kasiski)

Fr equence et IC. Notons pl la fr equence de la lettre l = A, . . . , Z . Alors, on a

Exercice sur les propri et es de lindice de co ncidence

IC des sous-s equences :

Message extrait 1 : 1 lettre sur 5

Message extrait 2 : 1 lettre sur 5

RENDEZ VOUS CE SOIR

Cryptanalyse du chirement de Hill

Protocoles ` a cl e secr ete et ` a cl e publique

Cryptage c = Ck (m) m Source

D ecryptage m = Dk (c) m Destination

Cryptage c = CkB (m) m Source

D ecryptage m = DlB (c) m Destination

Protocole ` a cl e secr` ete

Quelques principes de base en cryptographie

Cryptanalyse Attaques classiques

Cryptanalyse Autres types dattaques

Le mod` ele de Dolev-Yao

Echelle des co uts en temps

Cong. A 16 sec. 12 jrs 8 /2 ans 142000 mill. 106 univers 10

Cong. C 1 sec. 1 mn. 4 h. 8 mill. 83 univers 105 univers 107 univers2

Vous aimerez peut-être aussi