Vous êtes sur la page 1sur 60

Premier ministre

Agence nationale de la s ecurit e des syst` emes dinformation

R ef erentiel G en eral de S ecurit e version 1.0

Annexe B1
M ecanismes cryptographiques R` egles et recommandations concernant le choix et le dimensionnement des m ecanismes cryptographiques
Version 1.20 du 26 janvier 2010

(Annule et remplace la version 1.10 dius ee par le document No 2741/SGDN/DCSSI/SDS/LCR du 19 d ecembre 2006)

HISTORIQUE DES VERSIONS


DATE 19 novembre 2004 19 d ecembre 2006 VERSION 1.02 No 2791/SGDN/DCSSI/SDS/Crypto 1.10 No 2741/SGDN/DCSSI/SDS/LCR EVOLUTIONS DU DOCUMENT Premi` ere version applicable. Mise ` a jour plani ee. Principales modications apport ees : prise en compte de la cr eation du r ef erentiel gestion de cl es ; indication du document d ecrivant les fournitures n ecessaires ` a l evaluation des m ecanismes cryptographiques ; prise en compte des evolutions de l etat de lart dans les domaines suivants : algorithmes de chirement par ot ; modes op eratoires de chirement ; probl` emes math ematiques asym etriques ; g en eration dal ea. rajout dune mention concernant le statut de SHA-1. Int egration dans le R ef erentiel g en eral de s ecurit e (en tant quannexe B1). Mise ` a jour plani ee. Principales modications apport ees : ajout ou modication de r` egles et de recommandations sur la primalit e des ordres (RecomLogp-1, RecomLog2-2, RecomECp-1, RecomEC2-1) ; modication des r` egles et des recommandations concernant larchitecture et le retraitement pour la g en eration dal ea cryptographique (section 2.4) ; ajout de r` egles concernant les algorithmes de chirement sym etriques ` a lhorizon 2020 (R` egleCl eSym-2, R` egleBlocSymegleAlgoBloc-2, R` egleChiFlot-2). 2, R`

26 janvier 2010

1.20

Les commentaires sur le pr esent document sont ` a adresser ` a:

Agence nationale de la s ecurit e des syst` emes dinformation Sous-direction Assistance, Conseil et Expertise SGDSN/ANSSI/ACE 51 boulevard de La Tour-Maubourg 75700 Paris 07 SP crypto (.) ace (@) ssi (.) gouv (.) fr

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 2/ 60

Table des mati` eres

Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.1 Objectif du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Limites du champ dapplication du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Organisation du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Mise ` a jour et classication du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 R` egles et recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1 Cryptographie sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.1 Taille de cl e sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2 Chirement sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2.1 Chirement par bloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.2.2 Chirement par ot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1.3 Authentication et int egrit e de messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Cryptographie asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1 Probl` emes math ematiques asym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1.1 Factorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1.2 Logarithme discret dans GF(p) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1.3 Logarithme discret dans GF(2n ) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.1.4 Logarithme discret dans les courbes elliptiques d enies sur GF(p) . . 2.2.1.5 Logarithme discret dans les courbes elliptiques d enies sur GF(2n ) . 2.2.1.6 Autres probl` emes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.2 Chirement asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.3 Signature asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2.4 Authentication dentit es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Fonction de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 G en eration dal ea cryptographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.1 Architecture dun g en erateur dal ea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 G en erateur physique dal ea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 Retraitement algorithmique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Gestion de cl es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5.1 Cl es secr` etes sym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5.2 Bi-cl es asym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A D enitions et concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1 Cryptographie sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.1 Chirement sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.1.1 Chirement par bloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.1.2 Chirement par ot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.2 S ecurit e du chirement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.3 Authentication et int egrit e de messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.1.4 Authentication dentit es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2 Cryptographie asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.1 Chirement asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.2 Signature cryptographique asym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.2.3 Authentication asym etrique dentit es et echange de cl es . . . . . . . . . . . . . . . . . A.2.4 S ecurit e des primitives asym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.3 Fonction de hachage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.4 G en eration dal ea cryptographique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.5 Gestion de cl es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.5.1 Cl es secr` etes sym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . A.5.2 Bi-cl es asym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 5 6 6 7 8 8 8 9 9 12 13 15 15 15 16 16 17 18 18 19 19 20 21 22 23 24 25 26 26 27 28 29 29 30 32 33 34 35 36 38 39 39 40 41 42 43 43 44

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 3/ 60

ements acad B El emiques de dimensionnement cryptographique . . . . . . . . . . . . . . . . . . . . . . . B.1 Records de calculs cryptographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.1 Records de calculs en cryptographie sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . B.1.2 Records de calcul de factorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.2.1 Factorisation par des machines d edi ees . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.2.2 Autres records de factorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.3 Records de calcul de logarithme discret dans GF(p) . . . . . . . . . . . . . . . . . . . . . . B.1.4 Records de calcul de logarithme discret dans GF(2n ) . . . . . . . . . . . . . . . . . . . . . B.1.5 Records de calcul de logarithme discret dans GF(pn ) . . . . . . . . . . . . . . . . . . . . . B.1.6 Calcul de logarithme discret sur courbe elliptique . . . . . . . . . . . . . . . . . . . . . . . B.2 Etude de la taille des cl es dapr` es larticle de Lenstra [Len04] . . . . . . . . . . . . . . . . . . B.2.1 Evolution des tailles de cl es sym etriques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.2 Evolution des tailles de modules en cryptographie asym etrique . . . . . . . . . . . . B.2.3 Evolution des tailles de courbes elliptiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.4 Equivalence de s ecurit e entre tailles de module asym etrique et de cl e sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.2.5 Equivalence de s ecurit e entre tailles de courbe elliptique et de cl e sym etrique C Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . D Liste des tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . E Table des gures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . F Index des termes et des acronymes utilis es . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . G Index des r` egles et des recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45 45 45 45 46 46 46 47 47 47 48 48 49 51 52 54 56 57 58 59 60

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 4/ 60

Introduction

La cryptographie moderne met ` a la disposition des concepteurs de syst` emes dinformation des outils permettant dassurer, ou de contribuer ` a assurer, des fonctions de s ecurit e telles que la condentialit e, lint egrit e, lauthenticit e et la non-r epudiation. Ces outils sont souvent quali es dalgorithmes, de primitives ou encore de m ecanismes cryptographiques. Suite aux d eveloppements majeurs qui ont eut lieu dans les ann ees 1980 et 1990, la science cryptographique, bien quencore jeune, semble avoir atteint un degr e de maturit e susant pour permettre de d egager des r` egles g en erales concernant le choix et lemploi correct des m ecanismes. Ce document vise ` a expliciter ces r` egles ainsi que certaines recommandations. 1.1 Objectif du document

Nous d ecrivons dans ce document des r` egles et des recommandations relatives au choix et au dimensionnement des m ecanismes cryptographiques. Les r` egles d enissent des principes qui doivent a priori etre suivis par tout m ecanisme visant un niveau de robustesse donn e. Lobservation de ces r` egles est une condition g en eralement n ecessaire, mais non susante, ` a la reconnaissance du niveau de robustesse vis e par le m ecanisme. Par contre, le fait de suivre lensemble des r` egles, qui sont par nature tr` es g en eriques, ne garantit pas la robustesse du m ecanisme cryptographique ; seule une analyse sp ecique permet de sen assurer. En plus des r` egles, nous d enissons egalement des recommandations. Elles ont pour but de guider dans le choix de certaines primitives et dinciter ` a certains dimensionnements permettant un gain consid erable en termes de s ecurit e pour un co ut souvent modique. Il va de soi quen tant que recommandations, leur application peut etre plus librement modul ee en fonction dautres imp eratifs tels que des contraintes de performance. Il importe de noter d` es ` a pr esent que les r` egles et recommandations contenues dans ce document ne constituent pas un dogme impos e aux concepteurs de produits utilisant des m ecanismes cryptographiques. Lobjectif est de contribuer ` a une am elioration constante de la ` ce titre, le suivi des r` qualit e des produits de s ecurit e. A egles enonc ees dans ce document doit etre consid er e comme une d emarche saine permettant de se pr emunir contre de nombreuses erreurs de conception ainsi que contre d eventuelles faiblesses non d ecel ees lors de l evaluation des m ecanismes cryptographiques. Dans un souci de transparence, nous avons tent e de justier chaque r` egle et recommandation contenue dans ce document. Le but est de convaincre que les choix ne sont pas faits de mani` ere arbitraire mais au contraire en tenant compte le plus rigoureusement possible de l etat de lart actuel en cryptographie ainsi que des contraintes pratiques li ees ` a sa mise en uvre. La d enition des r` egles et des recommandations prend egalement en compte certaines hypoth` eses classiques telles que la loi de Moore sur l evolution de la puissance de calcul disponible, ce qui permet de d enir des r` egles et des recommandations de mani` ere susamment objective et scientique pour xer un cadre acceptable par tout professionnel en s ecurit e des syst` emes dinformation. Il va cependant de soi quune telle analyse ne peut tenir compte d eventuels ev enements catastrophiques tels quune cryptanalyse op erationnelle de lAES ou la d ecouverte dune m ethode de factorisation ecace sur de grands nombres. Par ailleurs, lestimation des niveaux de r esistance qui seront n ecessaires an de garantir la s ecurit ea ` 10 ou 20 ans des informations est d elicate. Elle est cependant requise par de nombreuses applications comme par exemple le maintien de la condentialit e de certaines informations ou la signature electronique qui n ecessite souvent une validit e ` a long terme. De plus, lors de la d enition dun produit, il est n ecessaire davoir une vision dont le terme est dict e par la dur ee de vie envisag ee. Il est bien entendu possible de r esoudre certains probl` emes par des moyens

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 5/ 60

techniques (surchirement r egulier dinformations devant etre prot eg ees ` a long terme, horodatage et signature r eguli` ere de documents notari es,. . .) ; cette approche est parfois indispensable mais ne peut etre g en eralis ee ` a cause des contraintes quelle impose. Par cons equent, nous avons tent e de d evelopper une analyse valable ` a plus de 15 ans. Les r esultats pr esent es doivent cependant etre pris avec pr ecaution. Il sut pour sen convaincre de comparer l etat de lart actuel ` a celui dil y a quelques dizaines dann ees ; aucun m ecanisme utilis e aujourdhui na plus de quarante ans, le plus ancien etant certainement le DES, standardis e en 1977. 1.2 Limites du champ dapplication du document

Ce document traite des r` egles et recommandations concernant le choix et le dimensionnement de m ecanismes cryptographiques. Il est compl et e par deux documents. Un premier document intitul e Gestion des cl es cryptographiques R` egles et recommandations concernant la gestion des cl es utilis ees dans des m ecanismes cryptographiques traite plus sp eciquement des aspects li es a la cr ` eation, la distribution et la manipulation de cl es. Un second document intitul e Authentication R` egles et recommandations concernant les m ecanismes dauthentication traite plus sp eciquement des aspects li es ` a lutilisation de mots de passe, de cartes m emoire, de cl es de d everrouillage pour acc eder ` a un syst` eme dinformation. Ces di erents aspects ne sont donc pas trait es par le pr esent document. Sont egalement explicitement exclus de ce document : la recommandation de m ecanismes cryptographiques pr ecis permettant datteindre les di erents niveaux de robustesse cryptographique d enis dans ce document, bien que certaines primitives tr` es classiques soient mentionn ees, les aspects li es ` a limplantation des m ecanismes et en particulier au choix du support ainsi qu` a la s ecurit e de limplantation face aux attaques par canaux auxiliaires (timing attack, simple power analysis [SPA], dierential power analysis [DPA], higher order dierential power analysis [HO-DPA], electromagnetic power analysis [EMA] . . .) ou par injection de faute (dierential fault analysis [DFA]) ; les m ethodes d evaluation des m ecanismes cryptographiques, qui reposent avant tout sur une connaissance pr ecise de l etat de lart en cryptographie ; les m ethodes danalyse de menaces et de d eveloppement de produits cryptographiques menant ` a choisir les m ecanismes cryptographiques permettant dassurer les fonctions de s ecurit e identi ees ainsi que les niveaux de robustesse cryptographique n ecessaires ; les liens entre niveau de robustesse dun m ecanisme cryptographique et niveau de robustesse dun produit tel que d eni dans les processus de qualication ou d evaluation selon une m ethode normalis ee telle que les Crit` eres Communs ; les fournitures n ecessaires ` a l evaluation de m ecanismes cryptographiques qui font lobjet dun document s epar e intitul e Fournitures n ecessaires ` a lanalyse de m ecanismes cryptographiques version 1.2 num ero 2336/SGDN/DCSSI/SDS du 6 novembre 2006 ; les m ecanismes non cryptographiques assurant cependant des fonctions de s ecurit e tels que lemploi de mots de passe, lusage de la biom etrie,. . . Ces m ecanismes sont exclus du champ dapplication de ce document car ils ne peuvent etre analys es au moyen de m ethodes cryptographiques usuelles. Ceci ne remet cependant pas en cause leur int er et eventuel dans certaines applications. De tels m ecanismes sont trait es dans le document Authentication R` egles et recommandations concernant les m ecanismes dauthentication . 1.3 Organisation du document Ce document est organis e de la mani` ere suivante : lensemble des r` egles et recommandations sont regroup ees dans la partie 2 ; elles sont rep er ees selon la codication suivante : les premi` eres lettres (R` egle ou Recom) indiquent si lon a aaire ` a une r` egle ou une recommandation, le domaine dapplication est ensuite pr ecis e et, nalement, un chire permet de distinguer les r` egles dune m eme cat egorie. Par exemple, R` egleFact-3 d esigne la r` egle num ero 3 concernant le probl` eme de la factorisation ;

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 6/ 60

des r ef erences bibliographiques apparaissent dans la bibliographie ; un rappel non math ematique des principaux concepts cryptographiques n ecessaires ` a la compr ehension de ce document est propos e en annexe section A ; des informations issues de publications du milieu acad emique sur le dimensionnement des m ecanismes cryptographiques sont regroup ees en annexe section B. Ce document ne comporte volontairement aucun tableau r ecapitulatif des tailles minimales de param` etres requis pour chaque niveau de robustesse. La concision a et e privil egi ee dans lexpression des r` egles et recommandations ; vouloir les r esumer ` a une simple valeur num erique serait une grave source derreur et de confusion. 1.4 Mise ` a jour et classication du document

Ce document ayant en particulier pour but de xer des bornes num eriques, par exemple en termes de tailles de cl es, il convient de le maintenir ` a jour r eguli` erement. Une r evision tous les deux ans semble ` a la fois r ealiste et susante. La collecte de commentaires et la diusion des r evisions sont eectu ees par le laboratoire de cryptographie de lANSSI1 .

Pour toute correspondance, utiliser ladresse courrier ou e-mail en page 2 du document.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 7/ 60

R` egles et recommandations

Les r` egles et recommandations contenues dans ce document sont organis ees de mani` ere tr` es comparable aux rappels cryptographiques propos es en annexe A. Elles sadressent ` a un lecteur familier avec ces concepts qui ne sont par cons equent pas syst ematiquement rappel es. 2.1 2.1.1 Cryptographie sym etrique Taille de cl e sym etrique

Nous d enissons dans cette section les propri et es attendues de cl es utilis ees par des m ecanismes sym etriques. Par taille de cl e, nous entendons le nombre de bits eectifs de la cl e, i.e. le nombre de bits r eellement variables2 . Par exemple le DES utilise des cl es de 64 bits mais seuls 56 de ces bits peuvent etre choisis al eatoirement, les 8 bits restants servant de contr ole de parit e. Cest pourquoi on consid` ere que les cl es DES ont une taille de 56 bits. Les tailles minimales d enies ci-dessous nont de valeur que sous lhypoth` ese que la meilleure attaque pratique permettant de mettre en d efaut le m ecanisme sym etrique employ e consiste ` a eectuer une recherche exhaustive sur lespace des cl es. Cette attaque etant g en erique, le respect des r` egles d enies ci-dessous est une condition n ecessaire qui ne peut etre consid er ee comme susante. Une analyse cryptographique du m ecanisme est en particulier indispensable.

`gles et recommandations : Re
R` egleCl eSym-1. La taille minimale des cl es sym etriques utilis ees jusquen 2020 est de 100 bits. R` egleCl eSym-2. La taille minimale des cl es sym etriques devant etre utilis ees au-del` a de 2020 est de 128 bits.

RecomCl eSym-1. La taille minimale recommand ee des cl es sym etriques est de 128 bits. Justications : Lestimation de la capacit e de calcul que peut rassembler une organisation motiv ee fait lobjet de beaucoup de controverses. De nombreux indices (voir A.1.1, B.1.1 et B.2.1) indiquent cependant que lemploi de cl e de moins de 100 bits semble risqu e. Les cl es de 56 bits sont clairement insusantes et la capacit e actuelle ` a attaquer des cl es de 64 bits est aujourdhui admise, m eme si un tel calcul nest pas ` a la port ee de nimporte qui. De telles attaques ont cependant d ej` a et e men ees concr` etement dans le milieu public (voir B.1.1). Une recherche exhaustive sur des cl es de 100 bits demeure dicilement concevable avant plusieurs dizaines dann ees. Lemploi de cl es de moins de 128 bits devrait cependant tendre a dispara ` tre avec lemploi dalgorithmes modernes tel que lAES. Remarques : Limpact en termes de performances de lemploi de cl es dau moins 128 bits est souvent faible, comme le montre lexemple de lAES. Lemploi de cl es de 128 bits permet de sassurer que les attaques g en eriques par recherche exhaustive seront inop erantes, y compris ` a assez long terme. Ceci ne veut bien entendu pas dire que tout m ecanisme utilisant de telles cl es est cryptographiquement s ur.
2

Formellement, la taille de la cl e est d enie en fonction de lespace des cl es possibles et de la probabilit e de choix de chacune des cl es en utilisant le concept dentropie. En pratique, une approche aussi complexe est g en eralement inutile, lid ee intuitive de taille de cl e eective etant evidente.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 8/ 60

Lemploi de cl es de 112 bits, comme dans le cas du triple DES, ne pose pas de probl` eme pratique de s ecurit e vis-` a-vis dattaques par recherche exhaustive. Lutilisation du triple DES peut cependant etre d econseill ee pour dautres raisons, en particulier li ees ` a la taille du bloc (64 bits) insusante pour assurer une s ecurit e pratique avec certains modes op eratoires classiques. 2.1.2 2.1.2.1 Chirement sym etrique Chirement par bloc

Les deux caract eristiques les plus simples dun m ecanisme de chirement par bloc sont la taille egles et recommandations eective de la cl e ainsi que la taille des blocs trait es (voir A.1.1). Les r` concernant la taille eective de la cl e ont et e pr esent ees au paragraphe pr ec edent. Taille de bloc.

`gles et recommandations : Re
R` egleBlocSym-1. La taille minimale des blocs de m ecanismes de chirement par bloc utilis es jusquen 2020 est de 64 bits. R` egleBlocSym-2. Pour une utilisation au-del` a de 2020, la taille minimale des blocs de m ecanismes de chirement par bloc est de 128 bits.

RecomBlocSym-1. La taille recommand ee des blocs de m ecanismes de chirement par bloc est de 128 bits. Justications : Lemploi de blocs de taille trop petite rend des attaques el ementaires comme la constitution de dictionnaires plus ecaces en pratique que la recherche de la cl e secr` ete. Il est commun ement admis que la taille dun bloc doit etre dau moins 64 bits. Les m ecanismes de chirement par bloc sont utilis es via des modes op eratoires permettant de chirer des messages de taille quelconque ou bien de calculer des codes dauthentication de message. La taille du bloc intervient alors dans lestimation de la s ecurit e de ces m ecanismes. La principale menace est la d ecouverte, fr equente, dattaques dites en racine carr ee ou en paradoxe des anniversaires (voir A.1) ; ceci signie que certaines attaques deviennent op erationnelles d` es que plus de 2n/2 blocs de message sont trait es, o` u n d esigne la taille en bits du bloc. Dans le cas de blocs de 64 bits, la limite de s ecurit e est donc seulement de quelques milliards de blocs, ce qui peut etre tr` es rapidement atteint pour certaines applications. Une mani` ere simple de se pr emunir en pratique contre de telles attaques est dutiliser des blocs de 128 bits. Lemploi de blocs de moins de 128 bits devrait tendre ` a dispara tre avec lemploi dalgorithmes modernes tel que lAES. Choix de lalgorithme. Le choix dun algorithme de chirement par bloc repose sur la prise en compte des r` egles et recommandations li ees ` a la taille de la cl e ainsi qu` a la taille du bloc. Au-del` a de la simple consid eration de ces deux dimensions, il faut bien entendu prendre en compte la s ecurit e intrins` eque apport ee par le m ecanisme face ` a des attaques plus evolu ees que la simple recherche exhaustive sur la cl e (cryptanalyse lin eaire, di erentielle,. . .). Consid erons une attaque sur un algorithme de chirement par bloc. Une telle attaque a un but et n ecessite des moyens. Le but peut etre de retrouver la cl e ou, plus modestement, de distinguer le

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 9/ 60

chirement par bloc dune permutation al eatoire. Les moyens consistent par exemple ` a permettre a lattaquant dobserver des chir ` es, les clairs correspondants etant connus ou pas, ou bien de lui permettre de faire chirer des messages de son choix, voire m eme de faire d echirer des chir es quil choisit. An de simplier, on consid` ere g en eralement quune attaque est quali ee par : le nombre Nop dop erations de calcul n ecessaires ` a lattaque, une op eration etant equivalente au chirement dun bloc ; le nombre Nbloc de blocs ` a faire chirer ou d echirer an de r ealiser lattaque ; la quantit e Nmem de m emoire n ecessaire, par exemple pour stocker des pr ecalculs.

`gles et recommandations : Re
R` egleAlgoBloc-1. Pour un algorithme de chirement ne devant pas etre utilis e apr` es 2020, aucune attaque n ecessitant moins de Nop = 2100 op erations de calcul doit etre connue. R` egleAlgoBloc-2. Pour un algorithme de chirement utilis e au-del` a de 2020, aucune attaque n ecessitant moins de Nop = 2128 op erations de calcul doit etre connue.

RecomAlgoBloc-1. Il est recommand e demployer des algorithmes de chirement par bloc largement eprouv es dans le milieu acad emique. Remarque importante : Les r` egles ne font pas mention du nombre de blocs Nbloc ` a faire chirer ou d echirer an de r ealiser lattaque, ni de la quantit e de m emoire Nmem n ecessaire. Ceci tient essentiellement ` a la volont e de ne pas trop compliquer l enonc e de ces r` egles. Il conviendra, au cas par cas, de juger si lun de ces deux param` etres est susamment important an de justier quun m ecanisme de chirement par bloc est s ur m eme sil ne v erie pas les r` egles R` egleAlgoBloc-1 et/ou R` egleAlgoBloc-2. Justications : Les r` egles tentent de d enir les attaques que lon qualie habituellement de pratiques, op erationnelles ou r ealistes, bien que ces termes prennent souvent des sens tr` es di erents selon qui les emploie. Laspect pratique des attaques est privil egi e. Par contre, il va de soi que lexistence dattaques plus th eoriques , m eme si elles ne m` enent pas directement ` a des attaques op erationnelles, sont une preuve dexistence de faiblesses intrins` eques au m ecanisme. Lemploi dalgorithmes largement etudi es par la communaut e acad emique ore un gage de qualit e tr` es important. M ecanisme conforme au r ef erentiel : LAES, tel quil est sp eci e dans le FIPS-197, est un m ecanisme de chirement par bloc conforme au r ef erentiel. Remarque : Le triple DES, i.e. lutilisation du DES avec deux cl es K1 et K2 en chirant avec K1 , d echirant avec K2 et chirant de nouveau avec K1 , est un algorithme de chirement par bloc utilisant des cl es de 112 bits et des blocs de 64 bits. Le triple DES respecte donc les

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 10/ 60

r` egles de tailles de cl e et de bloc. Ce m ecanisme ne suit toutefois pas les recommandations correspondantes. Il convient donc d etre extr emement prudent lorsquon utilise ce m ecanisme avec un mode op eratoire de chirement, dint egrit e ou bien dans des protocoles de transport de cl e par exemple, en particulier ` a cause de la faible taille du bloc. De plus, le triple DES avec deux cl es est vuln erable ` a une attaque ` a clair connu. La complexit e de cette attaque est de 280 pour 240 couples clairs-chir es connus et de 2100 pour 220 couples clairs-chir es connus. Selon le cadre demploi, lutilisation du Triple-DES avec deux cl es peut ne pas etre conforme au r ef erentiel. Mode op eratoire pour le chirement. Le mode op eratoire pour le chirement permet dassurer la condentialit e de messages de taille quelconque ` a partir dune primitive de chirement ecanisme de chirement par bloc ne permet pas par bloc. Comme expliqu e en A.1.1, un simple m dassurer une telle fonction, en particulier ` a cause de sa nature fondamentalement d eterministe et de la taille impos ee des blocs de donn ees trait es.

`gles et recommandations : Re
Le choix dun mode op eratoire de chirement est tr` es d ependant de la nature des donn ees trait ees et du mod` ele de s ecurit e envisag e pour ce m ecanisme. Les r` egles et recommandations se veulent malgr e tout relativement g en eriques. R` egleModeChi-1. Au sein du mod` ele de s ecurit e correspondant ` a lusage du mode de chirement, il ne doit exister aucune attaque de complexit e inf erieure ` a 2n/2 appels de la primitive o` u n est la taille en bits du bloc.

RecomModeChi-1. Lemploi dun mode op eratoire de chirement non d eterministe est recommand e. RecomModeChi-2. Lutilisation dun mode op eratoire de chirement se fera de pr ef erence conjointement ` a lutilisation dun m ecanisme dint egrit e. Un tel m ecanisme pourra etre ind ependant du mode de chirement. RecomModeChi-3. On utilisera de pr ef erence des modes op eratoires disposant dune preuve de s ecurit e.

Justications : De nombreux modes, tel que le CBC (voir A.1.1), ne sont s urs que si lon traite au plus de lordre de 2n/2 blocs de messages clairs, o` u n d esigne la taille en bits du bloc. Pour un m ecanisme de chirement utilisant des blocs de 64 bits, cette limite peut etre rapidement atteinte (32 Go). Laspect pratique des attaques est privil egi e. Par contre, il va de soi que lexistence dattaques plus th eoriques , m eme si elles ne conduisent pas directement ` a des attaques op erationnelles, sont une preuve dexistence de faiblesses intrins` eques au m ecanisme. Pour garantir la condentialit e des informations, un mode op eratoire de chirement ne doit pas etre d eterministe. Cela permet notamment d eviter que le chirement dun m eme message fournisse le m eme chir e. Lemploi de valeurs initiales et dun mode op eratoire adapt e (voir A.1.1) permet de r esoudre ce probl` eme. Il est important de prendre en consid eration les capacit es dun eventuel attaquant ` a observer des messages chir es mais egalement ` a obtenir les messages clairs correspondants, ` a faire chirer ou d echirer des messages de son choix,. . . Le mod` ele de s ecurit e est ici fondamental ; se restreindre au sc enario o` u lattaquant peut seulement avoir connaissance de messages chir es est une grave erreur qui peut avoir de r eelles cons equences pratiques sur la s ecurit e du m ecanisme.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 11/ 60

Le besoin de condentialit e est souvent associ e` a un besoin dint egrit e, m eme si ce dernier semble parfois moins evident ` a premi` ere vue. Il est fondamental de prendre conscience du fait quun m ecanisme de chirement peut apporter une protection de tr` es haut niveau en termes de condentialit e sans pour autant garantir la moindre int egrit e ! En particulier, aucun des modes op eratoires classiques (ECB, CBC, OFB, CFB, CTR) napporte la moindre protection en int egrit e. M ecanisme conforme au r ef erentiel : Le mode de chirement CBC utilisant une primitive de chirement conforme au r ef erentiel comme lAES et des valeurs initiales al eatoirement choisies pour chaque message et transmises en clair est un m ecanisme de chirement sym etrique conforme au r ef erentiel. Ce m ecanisme est rappel e en section A.1.1. 2.1.2.2 Chirement par ot

Les algorithmes de chirement par ot3 constituent lautre grande famille de m ecanismes de chirement sym etrique (voir A.1.1). Lalgorithme dit de one-time pad , qui se r esume ` a une addition bit ` a bit du message ` a chirer avec une cl e de m eme taille, est ` a part dans la classication des algorithmes de chirement. Il ne peut en particulier pas etre consid er e comme un chirement par ot m eme si ces derniers en d erivent souvent. Cet algorithme est le seul ` a disposer dune s ecurit e parfaite. Ses contraintes demploi sont cependant telles que son utilisation est en pratique impossible, sauf dans des cas tr` es particuliers. Rappelons que ce m ecanisme n ecessite en particulier demployer une cl e` a usage unique aussi longue que le message ` a prot eger, sans aucune possibilit e dune quelconque r eutilisation de cette cl e. En g en eral, lemploi du one-time pad repousse simplement le probl` eme du chirement au niveau de la mise en accord de cl e. Choix de lalgorithme. Avant de d enir des r` egles li ees au choix dalgorithmes de chirement par ot, il convient de rappeler que ces derniers ne garantissent en g en eral aucune forme dint egrit e des messages transmis (voir remarque ci-dessus pour les modes de chirement par bloc). Cependant, pour un algorithme de chirement par ot sans rebouclage, le d echirement dun message chir e non g en er e par lalgorithme de chirement napporte aucune information suppl ementaire susceptible de favoriser une attaque. Le mod` ele de s ecurit e g en eralement retenu pour l evaluation de tels m ecanismes est la connaissance par ladversaire du ot de sortie de lalgorithme. Il convient par ailleurs de pr eciser que nous parlons ici dalgorithmes de chirement par ot d edi es dans le sens o` u ils ont et e con cus sp ecialement pour cet usage. Les r` egles ne concernent pas les autres types de g en erateurs pseudo-al eatoires d eterministes (mode ot de chirement par bloc, g en erateurs fond es sur des probl` emes diciles, g en erateurs conditionnellement s urs). Dautre part, les r` egles et recommandations en termes de chirement par ot se fondent sur le constat qu` a ce jour la recherche acad emique dans ce domaine ne semble pas poss eder la m eme maturit e que dans le domaine des primitives de chirement par bloc. Ces r` egles sont cependant susceptibles d etre revues si des avanc ees th eoriques importantes sont eectu ees dans le domaine du chirement par ot.

`gles et recommandations : Re
3

Stream cipher en anglais.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 12/ 60

R` egleChiFlot-1. Pour un algorithme de chirement par ot ne devant pas etre utilis e apr` es 2020, aucune attaque n ecessitant moins de 2100 op erations de calcul doit etre connue. R` egleChiFlot-2. Pour un algorithme de chirement par ot visant ` a etre utilis e apr` es 2020 aucune attaque n ecessitant moins de 2128 op erations de calcul doit etre connue.

RecomChiFlot-1. Il est recommand e demployer des algorithmes de chirement par ot largement eprouv es dans le milieu acad emique. RecomChiFlot-2. Il est recommand e demployer des primitives de chirement par bloc et non des algorithmes de chirement par ot d edi es. Il est ainsi possible, si les propri et es du chirement par ot sont requises, dutiliser un mode op eratoire par ot de chirement par bloc conforme au r ef erentiel et simulant un chirement par ot. Remarque importante : Les r` egles ne font pas mention de la quantit e de donn ees ` a chirer ou ` a d echirer an de r ealiser lattaque, ni de la quantit e de m emoire n ecessaire. Ceci tient essentiellement ` a la volont e de ne pas trop compliquer l enonc e de ces r` egles. Il conviendra, au cas par cas, de juger si lun de ces deux param` etres est susamment important an de justier quun m ecanisme de chirement par ot est s ur m eme sil ne v erie pas les r` egles R` egleChiFlot-1 et/ou R` egleChiFlot-2. Justications : Laspect pratique des attaques est privil egi e. Par contre, il va de soi que lexistence dattaques plus th eoriques , m eme si elles ne conduisent pas directement ` a des attaques op erationnelles, sont une preuve dexistence de faiblesses intrins` eques au m ecanisme. Lemploi dalgorithmes largement etudi es par la communaut e acad emique ore un gage de qualit e tr` es important. Les algorithmes de chirement par ot d edi es sont parfois pr ef er es aux algorithmes de chiffrement par bloc pour leur ecacit e. Lexp erience montre cependant que la conception dalgorithmes de chirement par ot d edi e est tr` es dicile. De nombreuses propositions ont et e cryptanalys ees et le savoir-faire ne semble pas avoir atteint une maturit e comparable ` a celle observ ee dans le domaine du chirement par bloc. Nous recommandons par cons equent lemploi de chirement par bloc, en combinaison avec des modes op eratoires satisfaisants, de pr ef erence ` a des algorithmes de chirement par ot. Lorsque les propri et es du chirement par ot sont n eanmoins requises, il est recommand e, si la d egradation en termes de performance le permet, dutiliser un mode op eratoire par ot de chirement par bloc, tel que les modes classiques OFB, CFB ou CTR. Il est ainsi possible de tirer parti du savoir-faire acquis en chirement par bloc tout en b en eciant dun m ecanisme de chirement par ot. 2.1.3 Authentication et int egrit e de messages

Les r` egles sur les m ethodes dauthentication et dint egrit e de messages sont tr` es d ependantes du m ecanisme choisi. Certaines r` egles g en erales peuvent cependant etre emises.

`gles et recommandations : Re

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 13/ 60

R` egleIntegSym-1. Les m ethodes sym etriques dint egrit e les plus classiques se basent sur des m ecanismes de chirement par bloc ou de hachage. De telles primitives doivent etre conformes au r ef erentiel. R` egleIntegSym-2. Il ne doit pas exister dattaque sur le m ecanisme dint egrit e utilisant moins de 2n/2 appels ` a la primitive sous-jacente o` u n est la taille de sortie de cette primitive.

RecomIntegSym-1. On utilisera de pr ef erence des m ecanismes disposant dune preuve de s ecurit e. Remarques : Par confusion avec les modes op eratoires de chirement, lutilisation de valeurs initiales est parfois constat ee pour des m ecanismes dint egrit e tel que le CBC-MAC4 (voir section A.1.1) ; de graves failles de s ecurit e peuvent en d ecouler. Il est important de prendre en consid eration les capacit es dun eventuel attaquant ` a observer des el ements dint egrit e mais egalement ` a en obtenir pour des messages de son choix, par exemple. De nombreux modes, tel que le CBC-MAC, ne sont s urs que si lon traite au plus de lordre de 2n/2 blocs de messages clairs, o` u n d esigne la taille en bits du bloc. Pour un m ecanisme de chirement utilisant des blocs de n = 64 bits, cette limite peut etre rapidement atteinte. Lemploi de cl es de taille importante ne garantit pas n ecessairement une s ecurit e en rapport avec cette taille. La plupart des variantes du CBC-MAC construites an dobtenir une s ecurit e comparable ` a celle du triple DES ont ainsi et e cryptanalys ees au sens o` u leur s ecurit e est plus comparable ` a celle du DES que du triple DES (cest le cas de lexemple de la section A.1.1 si lon utilise le DES comme algorithme de chirement par bloc, m eme si la taille de la cl e est au total de 112 bits). Un m ecanisme dint egrit e vient souvent en compl ement dun m ecanisme assurant la condentialit e. La composition de deux m ecanismes cryptographiques nest jamais simple et doit ` titre dexemple, il est possible en associant un tr` etre r ealis ee avec soin. A es bon chirement avec un tr` es bon algorithme dint egrit e dobtenir un m ecanisme nassurant plus le service de condentialit e.

M ecanisme conforme au r ef erentiel : Le mode dint egrit e CBC-MAC retail utilisant lAES comme m ecanisme de chirement par bloc et deux cl es distinctes (une pour la cha ne CBC et lautre pour le surchirement dit retail ) est conforme au r ef erentiel (` a condition, bien entendu, de ne pas utiliser de valeur initiale). Ce m ecanisme est rappel e section A.1.1.

M ecanisme non conforme au r ef erentiel : Le mode dint egrit e CBC-MAC retail recommand e ci-dessus nest pas conforme au r ef erentiel sil est utilis e avec le DES comme m ecanisme de chirement par bloc, et ce m eme sil emploie deux cl es distinctes. En eet, bien quutilisant alors 112 bits de cl e, lobservation de 232 MACs valides permet ensuite de retrouver ces 112 bits de cl e en eectuant seulement de lordre de 256 calculs de DES.
4

Pour des raisons de simplication, nous d esignons par CBC-MAC le mode avec surchirement egalement connu sous le nom de CBC-MAC retail .

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 14/ 60

2.2

Cryptographie asym etrique

Les m ecanismes de cryptographie asym etrique sont tous fond es sur un probl` eme dicile, la plupart du temps issu de la th eorie des nombres (voir 2.2.2). Lemploi de probl` emes r eellement diciles pour un attaquant est par cons equent primordial en termes de s ecurit e. 2.2.1 2.2.1.1 Probl` emes math ematiques asym etriques Factorisation

Le probl` eme de la factorisation consiste ` a retrouver la d ecomposition en facteurs premiers dun entier obtenu de mani` ere secr` ete par multiplication de deux nombres premiers de taille comparable. Un tel nombre compos e est classiquement appel e module . Dautre part, lutilisation du probl` eme de la factorisation est en g en eral eectu ee au moyen du cryptosyst` eme RSA. Deux autres donn ees, appel ees exposant public et exposant secret sont alors utilis ees.

`gles et recommandations : Re
R` egleFact-1. La taille minimale du module est de 2048 bits, pour une utilisation ne devant pas d epasser lann ee 2020. R` egleFact-2. Pour une utilisation au-del` a de 2020, la taille minimale du module est de 4096 bits. R` egleFact-3. Les exposants secrets doivent etre de m eme taille que le module. R` egleFact-4. Pour les applications de chirement, les exposants publics doivent etre strictement sup erieurs ` a 216 = 65536.

RecomFact-1. Il est recommand e, pour toute application, demployer des exposants publics strictement sup erieurs ` a 216 = 65536. RecomFact-2. Il est recommand e que les deux nombres premiers p et q constitutifs du module soient de m eme taille et choisis al eatoirement uniform ement. Justications : La taille des modules RSA est un sujet souvent tr` es pol emique. Lusage courant fait que lutilisation de modules de 1024 bits est en g en eral consid er e comme susant pour garantir une s ecurit e pratique, m eme si les analyses eectu ees par les plus grands sp ecialistes du domaine saccordent sur lid ee que de tels modules napportent pas une s ecurit e susante, ou tout du moins comparable ` a celle que lon exige des autres m ecanismes cryptographiques. Lapplication dun paradigme fondamental de la cryptographie, qui consiste ` a dimensionner les syst` emes non pas en se pla cant juste ` a la limite des capacit es dattaquants connus (voir B.2.1) mais en simposant une marge de s ecurit e, milite pour lemploi de modules dau moins 2048 bits, m eme si aucun module de 1024 bits na et e ociellement factoris e` a ce jour5 . Par cons equent, nous consid erons que lemploi de modules de 1024 bits constitue une prise de risque incompatible avec des crit` eres de s ecurit e raisonnables. Les annexes B.2.1 et B.2.2 fournissent des informations compl ementaires sur les analyses li ees au probl` eme de la factorisation.
5

Un r esultat de 2007 annonce la factorisation dun nombre de 1039 bits. Cependant ce nombre nest pas de type module RSA.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 15/ 60

Lemploi dexposants secrets particuliers (comme des exposants secrets petits par exemple) an dam eliorer les performances est ` a proscrire ` a cause des attaques pratiques publi ees ` a ce sujet. Lemploi dexposants publics tr` es petits, tel que lexposant 3, est egalement ` a proscrire dans le cas du chirement ` a cause des attaques existantes. Plus g en eralement, pour toute application, lemploi de tels exposants est d econseill e pour des raisons de s ecurit e. Lemploi de nombres premiers p et q trop proches ou de tailles trop di erentes peut compromettre la s ecurit e du syst` eme. Il faut egalement eviter des valeurs poss edant des propri et es particuli` eres comme labsence dun grand facteur premier dans la d ecomposition de p 1 ou q 1. Pour eviter ces probl` emes, il est recommand e de choisir p et q al eatoirement uniform ement parmi les nombres premiers de taille egale ` a la moiti e de la taille du module. 2.2.1.2 Logarithme discret dans GF(p)

Le probl` eme dit du logarithme discret dans GF(p) est fond e sur des calculs eectu es dans le corps ni ` ap el ements, o` u p est un nombre premier egalement appel e module .

`gles et recommandations : Re
R` egleLogp-1. La taille minimale de modules premiers est de 2048 bits pour une utilisation ne devant pas d epasser lann ee 2020. R` egleLogp-2. Pour une utilisation au del` a de 2020, la taille minimale de modules premiers est de 4096 bits. R` egleLogp-3. On emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 200 bits.

RecomLogp-1. Il est recommand e demployer des sous-groupes dont lordre est premier (au lieu d etre multiple dun nombre premier). Justications : Le probl` eme du logarithme discret semble avoir une complexit e comparable ` a celle de la factorisation. Des m ethodes similaires sappliquent ` a la r esolution des deux probl` emes et il est raisonnable de penser quune avanc ee majeure dans la r esolution du probl` eme de la factorisation saccompagnera dune avanc ee semblable dans celui du logarithme discret. Il est par cons equent naturel dappliquer des r` egles identiques pour les deux probl` emes. Le probl` eme du logarithme discret semble cependant l eg` erement plus dicile en pratique, certaines phases de calcul etant plus d elicates que pour la factorisation, les records de calcul evidence un d ecalage compris entre 100 et 200 bits mais on peut se (voir B.2.1) mettent en demander si une telle di erence ne provient pas en partie du plus grand prestige promis ` a un record en mati` ere de factorisation. La raison de recommander un sous-groupe dordre premier est que, si lordre dun sous-groupe nest pas premier mais petit multiple dun grand premier (dans le pire cas, 2), le probl` eme Die-Hellman d ecisionnel dans ce sous-groupe peut etre r esolu avec une probabilit e nonn egligable. Ceci peut etre tr` es probl ematique, notamment dans des proc edures de chirement de type ElGamal. 2.2.1.3 Logarithme discret dans GF(2n )

Le probl` eme dit du logarithme discret dans GF(2n ) est fond e sur des calculs eectu es dans le corps ni ` a 2n el ements, o` u n est un entier.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 16/ 60

`gles et recommandations : Re
R` egleLog2-1. La valeur minimale de n est de 2048 bits, pour une utilisation ne devant pas d epasser lann ee 2020. R` egleLog2-2. Pour une utilisation au-del` a de 2020, la valeur minimale de n est de 4096 bits. R` egleLog2-3. On emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 200 bits.

RecomLog2-1. Il est recommand e de privil egier des primitives ` a cl e publique ne se fondant pas sur le probl` eme du logarithme discret dans GF(2n ). RecomLog2-2. Il est recommand e demployer des sous-groupes dont lordre est premier (au lieu d etre multiple dun nombre premier). Justications : Le probl` eme du logarithme discret dans GF(2n ), bien que dicile, semble plus facile, ` a taille de corps egale, que dans GF(p). Dans de nombreuses applications, lemploi de GF(2n ) par rapport ` a GF(p) nest justi e que par des raisons decacit e de calcul. Pour des raisons de s ecurit e, nous conseillons par cons equent de pr ef erer lemploi de GF(p). La raison de recommander un sous-groupe dordre premier est, tout comme sur GF(p), que si lordre dun sous-groupe nest pas premier mais petit multiple dun grand premier (au pire, 2), le probl` eme Die-Hellman d ecisionnel dans ce sous-groupe peut etre r esolu avec une probabilit e non-n egligable. Ceci peut etre tr` es probl ematique, notamment dans des proc edures de chirement de type ElGamal. 2.2.1.4 Logarithme discret dans les courbes elliptiques d enies sur GF(p)

Il est egalement possible de d enir un probl` eme de logarithme discret dans des structures plus complexes pour lequel aucun algorithme plus ecace que les m ethodes g en eriques de calcul de logarithme discret nest connu. Cest en particulier aujourdhui le cas des courbes elliptiques qui sont d enies sur un corps de base pouvant etre, en pratique, premier (GF(p)) ou binaire (GF(2n )).

`gles et recommandations : Re
R` egleECp-1. Pour une utilisation ne devant pas d epasser 2020, on emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 200 bits. R` egleECp-2. Pour une utilisation au-del` a de 2020, on emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 256 bits. R` egleECp-3. En cas dutilisation de courbes particuli` eres faisant reposer la s ecurit e sur un probl` eme math ematique plus facile que le probl` eme g en erique de calcul de logarithme discret sur courbe elliptique d enie dans GF(p), ce probl` eme devra v erier les r` egles correspondantes.

RecomECp-1. Il est recommand e demployer des sous-groupes dont lordre est premier (au lieu d etre multiple dun nombre premier). Justications : Le probl` eme du logarithme discret sur courbe elliptique semble aujourdhui un probl` eme tr` es dicile. Il permet dobtenir, pour des tailles de param` etre r eduites, une s ecurit e comparable a celle exig ` ee pour des primitives sym etriques.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 17/ 60

En cas dutilisation de courbes g en eralement quali ees de particuli` eres , la s ecurit e peut etre s erieusement d egrad ee. Le probl` eme math ematique sous-jacent peut notamment etre ramen e ` a un probl` eme de calcul de logarithme discret dans un corps ni et non plus sur une courbe elliptique. Dans ce cas, les r` egles relatives ` a ce probl` eme sappliquent bien evidemment. La raison de recommander un sous-groupe dordre premier est encore une fois que si lordre dun sous-groupe nest pas premier mais petit multiple dun grand premier (au pire, 2), le probl` eme Die-Hellman d ecisionnel dans ce sous-groupe peut etre r esolu avec une probabilit e non-n egligable. M ecanisme conforme au r ef erentiel : Lemploi des courbes P-256, P-384 et P-521 d enies dans le FIPS 186-2 du 27/01/2000 est conforme au r ef erentiel. 2.2.1.5 Logarithme discret dans les courbes elliptiques d enies sur GF(2n )

`gles et recommandations : Re
R` egleEC2-1. Pour une utilisation ne devant pas d epasser 2020, on emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 200 bits. R` egleEC2-2. Pour une utilisation au-del` a de 2020, on emploiera des sous-groupes dont lordre est multiple dun nombre premier dau moins 256 bits. R` egleEC2-3. Le param` etre n doit etre un nombre premier. R` egleEC2-4. En cas dutilisation de courbes particuli` eres faisant reposer la s ecurit e sur un probl` eme math ematique plus facile que le probl` eme g en erique de calcul de logarithme discret sur courbe elliptique d enie dans GF(2n ), ce probl` eme devra v erier les r` egles correspondantes.

RecomEC2-1. Il est recommand e demployer des sous-groupes dont lordre est premier (au lieu d etre multiple dun nombre premier). Justications : Lemploi de n compos e r eduit consid erablement la dicult e du calcul de logarithme discret et aaiblit donc le m ecanisme correspondant. Nous ne di erencions pas les courbes elliptiques d enies sur GF(p) de celles d enies sur GF(2n ). M ecanisme conforme au r ef erentiel : Lemploi des courbes B-283, B-409 et B-571 d enies dans le FIPS 186-2 du 27/01/2000 est conforme au r ef erentiel. 2.2.1.6 Autres probl` emes

Plusieurs autres probl` emes ont et e propos es dans le milieu acad emique an de fournir des alternatives aux probl` emes cit es pr ec edemment. Ces probl` emes n etant que tr` es peu utilis es aujourdhui en pratique, leur s ecurit e est ` a traiter au cas par cas.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 18/ 60

2.2.2

Chirement asym etrique

Toute m ethode de chirement asym etrique sappuie sur un probl` eme dicile de base. Ce dernier doit donc etre en accord avec le niveau de robustesse recherch e. Il est de plus possible pour certains m ecanismes de chirement de faire la preuve, eventuellement sous certaines hypoth` eses, que la s ecurit e est equivalente ` a celle du probl` eme de base et pas uniquement reli ee de mani` ere heuristique. Cette approche moderne de la cryptographie permet datteindre un niveau dassurance meilleur que la simple approche qui consiste ` a constater labsence dattaques connues.

`gles et recommandations : Re
RecomChiAsym-1. Il est recommand e demployer des m ecanismes de chirement asym etrique disposant dune preuve de s ecurit e. Justication : Lexistence dune preuve de s ecurit e apporte des garanties importantes sur la r esistance du m ecanisme. M ecanisme conforme au r ef erentiel : Le m ecanisme de chirement asym etrique RSAES-OAEP d eni dans le document PKCS#1 v2.1 est conforme au r ef erentiel a ` condition de respecter les r` egles R` egleFact-1, R` egleFact-2, R` egleFact-3 et R` egleFact-4. Justication : Comme expliqu e la premi` ere fois par Bellare et Rogaway [BR94], la s ecurit e dune fonction ne se mesure pas seulement de fa con asymptotique, mais egalement (et m eme surtout) de fa con exacte. Quand le premier type de s ecurit e signie que la fonction est s ure pour des param` etres assez grands , la seconde version donne pr ecis ement un moyen de choisir les tailles de ces param` etres. En eet, en s ecurit e exacte, la preuve donne un facteur de nesse de la r eduction qui relie la dicult e de lattaquant ` a attaquer le sch ema et la dicult e de la r eduction ` a r esoudre le probl` eme sous-jacent. Id ealement, dans les preuves dites nes, ce facteur de nesse est aussi petit que possible. Au contraire, quand le facteur est grand et que la r eduction est dite l ache, il est n ecessaire de prendre des probl` emes surdimensionn es pour que le sch ema ait la s ecurit e voulue. En dautres termes, exhiber une preuve sans se servir de celle-ci pour en d eduire les param` etres est sans utilit e. Ainsi, si la s ecurit e esp er ee est en 2128 et que le facteur de r eduction est de 232 , il ne faudra pas prendre une taille de param` etre telle que la dicult e estim ee du probl` eme soit de 2128 , mais une taille plus grande telle que la dicult e estim ee du probl` eme soit de 2160 . 2.2.3 Signature asym etrique

Toute m ethode de signature asym etrique sappuie sur un probl` eme dicile de base. Ce dernier doit donc etre en accord avec le niveau de robustesse recherch e. Il est de plus possible pour certains m ecanismes de signature de faire la preuve, eventuellement sous certaines hypoth` eses, que la s ecurit e est equivalente ` a celle du probl` eme de base et pas uniquement reli ee de mani` ere heuristique. Les sch emas de signature utilisent de plus en g en eral des fonctions de hachage dont le niveau de robustesse (voir 2.3) doit bien entendu etre en accord avec le niveau de robustesse souhait e pour le m ecanisme de signature.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 19/ 60

`gles et recommandations : Re
RecomSignAsym-1. Il est recommand e demployer des m ecanismes de signature asym etrique disposant dune preuve de s ecurit e. M ecanismes conformes au r ef erentiel : Le m ecanisme de signature asym etrique RSA-SSA-PSS6 d eni dans le document PKCS#1 v2.1 est conforme au r ef erentiel ` a condition de respecter les r` egles R` egleFact-1, R` egleFact-2, R` egleFact-3 et R` egleFact-4. Le m ecanisme de signature asym etrique ECDSA, ` a base de courbes elliptiques, d eni dans le FIPS 186-2 est conforme au r ef erentiel sil utilise lune des courbes P-256, P-384, P-521, B-283, B-409 ou B-571. Justication : Comme vu pr ec edemment dans le cas du chirement asym etrique, la s ecurit e dune fonction ne se mesure pas seulement de fa con asymptotique, mais egalement de fa con exacte. Il est donc important dutiliser les r esultats de la preuve de s ecurit e pour en d eduire la taille des param` etres. 2.2.4 Authentication dentit es

Comme il est rappel e en A.2.3, les m ecanismes interactifs dauthentication dentit es et d echange de cl es reposent en g en eral sur des m ecanismes de g en eration dal ea, de hachage et de chirement ou de signature ` a cl e publique. Les r` egles enonc ees dans les sections 2.2.2, 2.2.3, 2.3 et 2.4 sappliquent donc directement. Bien entendu, l evaluation du niveau de robustesse global du m ecanisme doit etre eectu ee avec soin, m eme si des primitives de niveau compatible sont employ ees. Par ailleurs, les m ecanismes utilisant des mots de passe sous une forme quelconque (passphrase, code didentication personnel,. . . ) ainsi que les m ecanismes sappuyant sur des proc ed es biom etriques ne sont pas de nature cryptographique et par cons equent ne sont pas trait es dans le cadre de ce document. Bien entendu, ceci ne signie pas quils ne pr esentent aucun int er et pour la s ecurisation dun syst` eme dinformation. Le document intitul e Authentication R` egles et recommandations concernant les m ecanismes dauthentication aborde plus sp eciquement cette question. Rappelons cependant quelques remarques el ementaires li ees ` a lutilisation de mots de passe : si lon souhaite d eriver des cl es secr` etes ` a partir de mots de passe, ces derniers doivent etre susamment longs et non devinables pour orir une s ecurit e compatible avec les ` titre dexemple, des mots de passe de 8 caract` r` egles relatives aux tailles de cl e. A eres alphanum eriques (chires et lettres majuscules ou minuscules) ne permettent pas de g en erer des cl es de plus de 47 bits, et encore, sous lhypoth` ese tr` es optimiste que ces mots de passe sont choisis al eatoirement. Il convient, lorsquon etudie la s ecurit e dun m ecanisme dauthentication, de distinguer les calculs qui peuvent etre eectu es o-line , i.e. sans acc` es ` a une ressource telle quun serveur, et les op erations qui doivent etre r ealis ees on-line . Ainsi un protocole dauthentication par mot de passe ne doit pas permettre de tests de v erications o-line ecaces. Il faut egalement prendre en compte le nombre de ressources susceptibles d etre attaqu ees. Notons enn que des attaques en paradoxe des anniversaires peuvent egalement sappliquer, par exemple si une liste dempreintes de mots de passe dacc` es ` a un syst` eme est disponible.
6

RSA-SSA-PSS : RSA Signature Scheme with Appendix Provably Secure encoding method for digital Signatures

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 20/ 60

2.3

Fonction de hachage

Les fonctions de hachage cryptographiques doivent avoir plusieurs propri et es telles que labsence de collisions (voir A.3). De telles collisions peuvent cependant toujours etre trouv ees au moyen dattaques g en eriques dites par paradoxe des anniversaires . Un des buts lors de la conception dune fonction de hachage est par cons equent de faire en sorte quil nexiste pas de meilleure attaque. En pratique, an de contrer les attaques par paradoxe des anniversaires , une empreinte doit etre deux fois plus longue quune cl e sym etrique pour atteindre le m eme niveau de robustesse. Dautre part, les fonctions de hachage it eratives sont construites autour de fonctions plus el ementaires appel ees fonctions de compression. Lexistence dattaques sur ces constituants, attaques quali ees de partielles ci-dessous, nimplique pas n ecessairement la possibilit e dattaquer la fonction de hachage en elle-m eme mais trahit des d efauts de conception majeurs.

`gles et recommandations : Re
R` egleHash-1. Pour une utilisation ne devant pas d epasser 2020, la taille minimale des empreintes g en er ees par une fonction de hachage est de 200 bits. R` egleHash-2. Pour une utilisation au-del` a de 2020, la taille minimale des empreintes g en er ees par une fonction de hachage est de 256 bits. R` egleHash-3. La meilleure attaque connue permettant de trouver des collisions doit n ecessiter de lordre de 2h/2 calculs dempreintes, o` u h d esigne la taille en bits des empreintes.

RecomHash-1. Lemploi de fonctions de hachage pour lesquelles des attaques partielles sont connues est d econseill e. Justications : Les r` egles en termes de taille dempreinte sont directement d eduites de celles appliqu ees en cryptographie sym etrique. Nous insistons sur le fait que lexistence dattaques partielles, m eme si elles ne conduisent pas ` a une attaque sur la fonction de hachage, trahit de graves d efauts de conception. Le crit` ere de s ecurit e employ e pour juger de la qualit e dune fonction de hachage est labsence de collisions connues. Dans certaines applications, cette propri et e semble trop forte car seul le calcul de pr e-image doit etre irr ealisable. Nous consid erons cependant quind ependamment de tout contexte une fonction de hachage ne peut etre reconnue dun niveau de robustesse donn e que vis-` a-vis de la propri et e dabsence de collision. Ceci nest pas contradictoire avec la possibilit e quun m ecanisme employant une fonction de hachage non conforme au r ef erentiel puisse quand m eme etre jug e, dans sa globalit e, comme atteignant un niveau de s ecurit e susant. M ecanisme conforme au r ef erentiel : Le m ecanisme de hachage SHA-256 d eni dans le FIPS 180-2 est conforme au r ef erentiel. M ecanisme non conforme au r ef erentiel : Le m ecanisme de hachage SHA-1 d eni dans le FIPS 180-2 a r ecemment fait lobjet dune attaque en recherche de collision. La complexit e de cette attaque est estim ee ` a 263 , cest ` a 80 dire inf erieure ` a 2 . M eme si cette attaque na pas conduit, au moment de la r edaction de ce document, au calcul dune collision explicite, sa seule existence montre une faille s erieuse dans la s ecurit e de cette fonction. Le m ecanisme de hachage SHA-1 nest donc pas conforme au r ef erentiel. Il ne respecte ni R` egleHash-1, ni R` egleHash-3.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 21/ 60

2.4

G en eration dal ea cryptographique

e de lal ea est un el ement crucial pour la s ecurit e Comme expliqu e au paragraphe A.4, la qualit dun syst` eme, que ce soit pour la g en eration des cl es ou pour le bon fonctionnement des primitives cryptographiques. Dans cette partie, nous enon cons les r` egles et les recommandations applicables ` a un g en erateur dal ea destin e` a alimenter un syst` eme cryptographique de mani` ere durable. Un tel g en erateur consiste g en eralement en la combinaison de di erentes sources dal ea et dune couche de retraitement algorithmique. Plus pr ecis ement, nous appellerons source dal ea un dispositif susceptible de fournir en entr ee du retraitement des el ements au moins partiellement al eatoires. Une source dal ea est : physique sil sagit dun g en erateur physique dal ea, cest-` a-dire dun dispositif physique sp ecialement con cu pour produire des bits al eatoires en quantit e (th eoriquement) illimit ee ; syst emique si elle correspond ` a une accumulation d ev enements partiellement impr evisibles provenant du syst` eme (par exemple le proc ed e daccumulation dal ea de /dev/random sous Linux) ; import ee sil sagit de donn ees secr` etes parfaitement al eatoires sp ecialement fournies par le reste du syst` eme dinformation ; manuelle sil sagit de donn ees al eatoires secr` etes obtenues par action intentionnelle dun utilisateur (par exemple : frappes au clavier, mouvements de la souris,. . .). On note que selon les cas les sources dal ea peuvent etre disponibles de mani` ere r eguli` ere ou, au contraire, ponctuelle. Dans le cas dun ordinateur personnel, lexemple le plus simple de source manuelle consiste ` a demander ` a lutilisateur dentrer au clavier une suite susamment longue de caract` eres al eatoires , puis ` a en extraire une valeur secr` ete courte par hachage. Toutefois, de mani` ere g en erale, il est pr ef erable que linteraction de lutilisateur ne soit pas facilement reproductible et fasse intervenir egalement des valeurs analogiques comme les instants de frappe au clavier ou les positions successives de la souris. Un retraitement algorithmique est un m ecanisme de nature cryptographique destin e ` a combiner di erentes sources dal ea et a ` garantir dans la dur ee la qualit e de lal ea produit. Un etat interne est une donn ee secr` ete d edi ee au retraitement, destin ee g en eralement ` a accumuler lentropie des sources dal ea. Les eventuelles cl es secr` etes utilis ees par les m ecanismes cryptographiques employ es par le retraitement font egalement partie de l etat interne. En labsence de source dal ea r eguli` ere, i.e. si les sources dal ea disponibles sont ponctuelles, on note que le retraitement sapparente ` a un g en erateur pseudo-al eatoire. Il poss` ede n ecessairement un etat interne et une source dal ea ponctuelle pour linitialiser. Dans le cas des syst` emes pouvant etre mis hors tension (cas consid er e par d efaut dans ce qui suit), la sauvegarde des etats internes du retraitement algorithmique dans une m emoire non volatile, prot eg ee en condentialit e et en int egrit e, sav` ere un el ement de s ecurit e important pour eviter les attaques par rejeu. Finalement, les di erents el ements constituant un g en erateur dal ea cryptographique peuvent etre repr esent es de la mani` ere suivante (gure 1), etant entendu que tous les composants ne sont pas forc ement n ecessaires pour chaque niveau de robustesse et que le d etail des fonctionnalit es repr esent ees peut varier dun syst` eme ` a un autre.

Les r` egles et recommandations applicables aux g en erateurs dal ea se basent sur le constat quil est aujourdhui tr` es dicile de fournir une preuve convaincante concernant la qualit e de lal ea issu dun g en erateur physique, alors quil est relativement ais e de se convaincre de la qualit e dun bon retraitement. Ces r` egles sont cependant susceptibles d etre revues si des avanc ees th eoriques importantes sont eectu ees dans le domaine des g en erateurs physiques dal ea.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 22/ 60

Sources dal ea Rafra chissement Initialisation

Avancement

Sortie

Etat interne

Restauration

Sauvegarde

M emoire non volatile

Fig. 1. Architecture g en erique pour la g en eration dal ea cryptographique

2.4.1

Architecture dun g en erateur dal ea

`gles et recommandations : Re
R` egleArchiGDA-1. Un retraitement algorithmique disposant dun etat interne doit etre employ e. R` egleArchiGDA-2. En labsence de g en erateur physique dal ea, le retraitement algorithmique doit disposer dune m emoire non volatile. R` egleArchiGDA-3. L etat interne doit etre au minimum de 128 bits. En labsence de g en erateur physique dal ea, cette limite inf erieure est port ee ` a 160 bits.

RecomArchiGDA-1. Il est recommand e dutiliser un retraitement avec un etat interne, une m emoire non volatile et une source dal ea rafra chissant r eguli` erement l etat interne du g en erateur.

Sources dal ea Rafra chissement Initialisation

Avancement

Sortie

Etat interne

Restauration

Sauvegarde

M emoire non volatile

Fig. 2. Architecture minimale pour la g en eration dal ea


(Les pointill es gurent les el ements recommand es.)

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 23/ 60

Justications : Lemploi dun g en erateur physique non retrait e est exclu. De m eme, lemploi de retraitements el ementaires ( lissages ), ou dont l etat interne est trop petit est jug e insusant. Un retraitement algorithmique est, par nature, tr` es di erent dun g en erateur physique dal ea. En eet, le retraitement est un algorithme d eterministe qui ne g en` ere pas dal ea mais uniquement des suites de bits indistinguables de suites r eellement al eatoires en partant dune graine al eatoire de petite taille. Le bon fonctionnement du retraitement algorithmique peut facilement etre contr ol e, ` a linstar de tout autre m ecanisme d eterministe cryptographique. Il y a l` a une di erence majeure avec les g en erateurs physiques dal ea pour lesquels il est tout juste possible de contr oler quils ne sont pas dans un etat de panne evident au moyen de tests statistiques. En particulier, utiliser des tests statistiques de panne ` a la sortie du retraitement algorithmique est non seulement inutile mais peut m eme sav erer dangereux pour la s ecurit e. Par ailleurs, il convient dappliquer les m emes r` egles dimplantation aux algorithmes de retraitement que pour tout autre m ecanisme cryptographique. Remarques : Par rafra chissement de l etat interne, on entend le calcul dun nouvel etat interne combinant lancien etat et des donn ees al eatoires externes. (Il ne sagit donc pas dune simple r einitialisation.) En cas de source continue dal ea, le rafraichissement est souvent combin e` a lavancement. Dans le cas o` u le retraitement utiliserait des cl es secr` etes, celles-ci sont consid er ees comme faisant partie de l etat interne, en particulier pour le calcul de sa taille. 2.4.2 G en erateur physique dal ea

Le g en erateur physique dal ea est con cu pour g en erer de lal ea tout au long de la vie du syst` eme. Il importe donc de garantir autant que possible la qualit e et la abilit e de cet al ea.

`gles et recommandations : Re
R` egleArchiGVA-1. Le g en erateur physique dal ea doit disposer dune description fonctionnelle. Celle-ci doit notamment indiquer les principes concourant ` a la g en eration de vrai al ea. R` egleArchiGVA-2. Des tests statistiques en sortie du g en erateur physique ne doivent pas faire appara tre de d efauts dans lal ea g en er e.

RecomArchiGVA-1. Il est souhaitable quun raisonnement permette de justier la qualit e de lal ea produit par le g en erateur physique. Justications : La conception dun g en erateur physique ne repose pas simplement sur la juxtaposition de composants physiques, en esp erant que lassemblage obtenu fournisse un al ea satisfaisant. Une certaine r eexion doit guider le concepteur dans ses choix. Ces choix de conception et la r eexion qui les a guid es doivent donc appara tre dans un document. Il sagit, entre autres, de d ecrire les sources physiques utilis ees et le traitement appliqu e` a ces sources. Il est souvent recommand e de surveiller la qualit e de lal ea issu dune source physique au moyen de tests statistiques el ementaires an de d etecter d eventuels blocages. Ces tests doivent bien entendu etre r ealis es avant tout retraitement. Il convient egalement de sp ecier tr` es pr ecis ement la conduite ` a tenir en cas de d etection de panne par ces tests.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 24/ 60

L etape suivante, qui est une simple recommandation, est de justier les choix faits par un raisonnement, quil soit heuristique ou rigoureux, qualitatif ou quanti e. La forme et le type de raisonnement sont laiss es libres. Son but est de convaincre ` a la fois les concepteurs et les utilisateurs que le g en erateur dal ea produit bien de lal ea vrai. Force est de constater aujourdhui quil est tr` es dicile de fournir une preuve convaincante concernant la qualit e de lal ea issu dun g en erateur physique. Il est donc n ecessaire de pratiquer des tests statistiques sur un echantillon repr esentatif issu directement du g en erateur physique. Ces tests servent de validation a posteriori des choix de conception. On pourra par exemple utiliser les tests pr econis es par le NIST (FIPS 140-2 et SP 800-22), mais tout test paraissant pertinent peut etre utilis e. Remarque : Les tests statistiques concern es par la r` egle R` egleArchiGVA-2 sont des tests dusine ou des tests ponctuels. Il ne sagit pas d eventuels tests de panne pouvant etre r ealis es en fonctionnement, au cours de lutilisation du g en erateur physique. 2.4.3 Retraitement algorithmique

Nous enon cons maintenant les propri et es attendues du retraitement algorithmique pour la g en eration dal ea.

`gles et recommandations : Re
R` egleAlgoGDA-1. Les primitives cryptographiques employ ees par le retraitement algorithmique doivent etre conformes au r ef erentiel. R` egleAlgoGDA-2. Dans lhypoth` ese o` u l etat interne est able, m eme en cas de d efaillance des sources dal ea pr esentes, les sorties successives du retraitement doivent etre parfaitement al eatoires du point de vue de lattaquant. De plus, la connaissance de ces sorties ne doit pas mettre en danger la condentialit e des etats internes ni des sources dal ea (ables). R` egleAlgoGDA-3. En cas de compromission de l etat interne ou des sources dal ea ( eventuelles) a un instant donn ` e, la sortie courante ne doit donner ` a lattaquant aucune information exploitable sur les sorties pass ees. Justications : Le m ecanisme de retraitement employ e se doit dutiliser des primitives cryptographiques (fonction de hachage, chirement par bloc,. . .) conformes au r ef erentiel. Le but du retraitement est de garantir la qualit e cryptographique de lal ea g en er e. De plus, comme la d etection des pannes physiques est d elicate, on souhaite limiter leur impact sur la s ecurit e du g en erateur nal.

M ecanismes conformes au r ef erentiel : Le m ecanisme de retraitement cryptographique dal ea d eni dans la norme ANSI X9.31, et ef erentiel sil est utilis e avec lAES comme m ecanisme rappel e en section A.4, est conforme au r de chirement par bloc et si les sources physiques dal ea pr esentes permettent eectivement de garantir la propri et e R` egleAlgoGDA-3.. Sous r eserve dutiliser des algorithmes et des param` etres conformes, les algorithmes de retraitement sp eci es dans la norme NIST SP800-90 sont conformes au r ef erentiel.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 25/ 60

2.5

Gestion de cl es

La gestion des cl es est un probl` eme ` a part enti` ere, qui se r ev` ele parfois aussi complexe que la d etermination des proc ed es de chirement et dint egrit e. Ce probl` eme est donc trait e dans un document qui lui est sp eciquement consacr e. Ce document sintitule Gestion des cl es cryptographiques R` egles et recommandations concernant la gestion des cl es utilis ees dans des m ecanismes cryptographiques . Il est egalement d eclin e en di erentes versions qui suivent les m emes principes de diusion que le pr esent document. An de donner un premier aper cu du probl` eme de la gestion des cl es, quelques r` egles sont enonc ees dans la suite de cette section. Ces r` egles ne sont pas exhaustives et le lecteur est invit e` a se reporter au document sp ecialis e pour conna tre l etendue des r` egles r egissant la gestion de cl es. Avant de traiter des r` egles et recommandations relatives ` a la gestion des cl es, rappelons que le recouvrement de cl e est un m ecanisme ` a part enti` ere dont le niveau de robustesse doit, ` a ce titre, etre estim e en utilisant les m emes r` egles que pour tout autre m ecanisme cryptographique. Ce probl` eme est egalement trait e dans le document Gestion des cl es cryptographiques . 2.5.1 Cl es secr` etes sym etriques

Les deux principaux risques g en eraux dans lemploi de cl es secr` etes sont, dune part, lusage dune cl e pour plusieurs emplois (en condentialit e et int egrit e par exemple), et dautre part lemploi de cl es partag ees par un nombre important dutilisateurs ou d equipements (voir A.5). Nous d esignons de telles cl es par le terme de cl es communes au sens o` u elles sont d etenues par de nombreux acteurs de m eme niveau hi erarchique au sein dun syst` eme. Ces cl es sont egalement appel ees cl es de r eseau dans certaines applications. Les cl es communes ne doivent pas etre confondues avec les cl es ma tres utilis ees an de g en erer des cl es d eriv ees . Dans ce cas, seules les cl es d eriv ees sont pr esentes dans les produits et pas les cl es ma tres ayant permis leur g en eration. Ceci est ` a distinguer du cas des cl es di erenci ees qui sont g en er ees localement ` a partir dune m eme cl e secr` ete pour etre utilis ees par des m ecanismes distincts.

`gles et recommandations : Re
R` egleGestSym-1. Lemploi dune m eme cl e pour plus dun usage est exclu. R` egleGestSym-2. Les eventuelles cl es di erenci ees utilis ees avec un m ecanisme conforme au r ef erentiel doivent etre g en er ees en utilisant un m ecanisme de diversication conforme au r ef erentiel. R` egleGestSym-3. Les eventuelles cl es d eriv ees doivent etre g en er ees en utilisant un m ecanisme de diversication de niveau de s ecurit e adapt e au risque pesant sur le syst` eme global.

RecomGestSym-1. Lemploi de cl es communes est d econseill e. Justications : Lemploi dune m eme cl e` a plus dun usage, par exemple pour chirer avec un m ecanisme de condentialit e et assurer lint egrit e avec un m ecanisme di erent, est source de nombreuses erreurs. Ceci ninterdit cependant pas de di erencier localement deux cl es ` a partir dune m eme cl e secr` ete, ` a condition que le m ecanisme de diversication soit conforme au r ef erentiel. La r` egle R` egleGestSym-3 indique la n ecessit e de dimensionner le syst` eme de mani` ere ` a ce que les cibles privil egi ees dattaque comme les cl es ma tres soient susamment prot eg ees. Lemploi de cl es communes est d econseill e car de telles cl es sont des cibles privil egi ees dattaque.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 26/ 60

2.5.2

Bi-cl es asym etriques

Une infrastructure de gestion de cl es est en g en eral construite de mani` ere hi erarchique, chaque cl e publique etant certi ee par une cl e de rang imm ediatement sup erieur jusqu` a arriver ` a une cl e racine.

`gles et recommandations : Re
R` egleGestAsym-1. Lemploi dun m eme bi-cl e` a plus dun usage est exclu. R` egleGestAsym-2. Les cl es hi erarchiquement importantes, telles que les cl es racine, doivent etre g en er ees et utilis ees par des m ecanismes de niveau coh erent . Justications : Lemploi dun m eme bi-cl e` a plus dun usage, par exemple pour chirer et signer, est une source derreurs graves. La r` egle R` egleGestAsym-2 indique la n ecessit e de dimensionner le syst` eme de mani` ere ` a ce que des cibles privil egi ees dattaque comme les cl es racine soient susamment robustes.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 27/ 60

D enitions et concepts

Lobjet de ce chapitre est de rappeler certaines d enitions et certains concepts essentiels en cryptographie dans le but de faciliter la compr ehension des r` egles et des recommandations de ce document. Ces rappels couvrent le strict minimum et sont enonc es volontairement de fa con non math ematique. Pour plus de d etails, on pourra par exemple consulter les ouvrages de r ef erence suivants [MvV97], [Sti01] et [Vau06]. On pourra egalement trouver de nombreux el ements de esent ee dans [Sin99]. r eponse dans [Ste98] et [Sch01]. Une approche plus historique est pr
Des compl ements permettant de pr eciser certaines notions mais pouvant etre pass es en premi` ere lecture sont propos es en petits caract` eres, dans le style de ce paragraphe.

La cryptologie, discipline ` a la fronti` ere entre math ematiques et informatique, est traditionnellement d enie comme la science du secret . Longtemps concentr ee sur la probl ematique de la condentialit e, ` a des ns essentiellement militaires ou diplomatiques, la cryptologie a b en eci e dun essort scientique important suite au d eveloppement de la soci et e de linformation jusqu` a devenir un outil incontournable pour s ecuriser les syst` emes dinformation. La cryptologie traite de la conception, de la s ecurit e et de lemploi de m ecanismes cryptographiques, le terme g en erique de m ecanisme englobant ici ` a la fois les primitives (fonction de hachage, chirement par bloc,. . .), les modes op eratoires et les protocoles cryptographiques. On divise traditionnellement la cryptologie en deux branches selon que lon se place du point de vue du concepteur ou de celui de lattaquant. La cryptographie etudie la conception de m ecanismes permettant dassurer des propri et es de s ecurit e vari ees comme la condentialit e, lint egrit e ou lauthenticit e de linformation. La cryptanalyse sint eresse ` a ces m emes primitives en tentant danalyser leur s ecurit e, voire de la mettre en d efaut. Il va de soi quil ny a pas de cryptographie sans cryptanalyse et inversement. Par ailleurs, sur un plan technique, on distingue habituellement la cryptographie sym etrique, encore quali ee de conventionnelle ou de cryptographie ` a cl e secr` ete, de la cryptographie asym etrique, ou encore cryptographie ` a cl e publique. Cette s eparation est issue de larticle fondateur de W. Die et M. Hellman [DH76] qui, en 1976, a donn e naissance ` a la cryptographie asym etrique en sugg erant que pour chirer un message ` a lattention dun destinataire donn e il nest pas n ecessaire de partager au pr ealable un secret avec lui. Dans la suite de ce chapitre, nous abordons les primitives sym etriques et asym etriques de mani` ere s epar ee. Une seconde dimension de classication des primitives cryptographiques se base sur lobjectif de s ecurit e vis e. Traditionnellement on distingue les besoins de condentialit e et/ou dint egrit e des donn ees, dauthentication de donn ees ou dentit es ainsi que les besoins de non-r epudiation. Dautres fonctions sont bien entendues envisageables mais celles que nous venons de citer sont, de loin, les principales trait ees par des moyens cryptographiques. Le but de la condentialit e est de sassurer que des informations transmises ou stock ees ne sont accessibles quaux personnes autoris ees ` a en prendre connaissance. Cet objectif de s ecurit e est classiquement assur e par le chirement mais peut bien entendu egalement l etre par tout autre moyen appropri e, ` a commencer par des mesures organisationnelles non cryptographiques. Assurer lint egrit e de donn ees consiste ` a emp echer, ou tout du moins ` a d etecter, toute alt eration non autoris ee de donn ees. Par alt eration, on entend toute modication, suppression partielle ou insertion dinformation. Lint egrit e des donn ees est classiquement assur ee en cryptographie par des codes dauthentication de message ou des m ecanismes de signature num erique. Lauthentication de donn ees vise ` a sassurer quelles proviennent bien dun interlocuteur particulier. Une telle authentication implique lint egrit e de ces informations et est assur ee par les m ecanismes cit es ci-dessus. Lauthentication dentit es, encore d esign ee sous le terme didentication, vise pour sa part ` a sassurer quun correspondant est bien celui quil pr etend etre. Elle peut etre r ealis ee de diverses mani` eres, sym etriques ou asym etriques. La non-r epudiation est un service visant ` a eviter quune entit e puisse nier avoir eectu e une certaine action. Le principal m ecanisme de non-r epudiation est la signature ` a cl e publique, une signature sur un message devant en g en eral rester valide, m eme si le signataire change ensuite davis.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 28/ 60

Nous pouvons maintenant aborder les principales primitives oertes par la cryptographie moderne. Le tableau ci-dessous permet de les r epartir en fonction de leur nature sym etrique ou asym etrique et de leur objectif de s ecurit e. Bien entendu, dautres primitives tr` es int eressantes peuvent etre cit ees mais elles ne sinscrivent pas naturellement dans un tel tableau. La suite de ce chapitre d ecrit sommairement ces primitives et rappelle les points essentiels, n ecessaires ` a la compr ehension du reste de ce document.

Service Condentialit e Int egrit e Authentication de donn ees dentit es Non-r epudiation

Cryptographie sym etrique Chirement conventionnel par bloc (A.1.1.1) ou par ot (A.1.1.2) Code dauthentication de message (A.1.3)

Cryptographie asym etrique Chirement ` a cl e publique (A.2.1) Echange de cl e (A.2.3)

Signature num erique (A.2.2) D e-r eponse (A.1.4)

A.1

Cryptographie sym etrique

Les primitives cryptographiques sym etriques se caract erisent par le fait quelles utilisent des cl es cryptographiques partag ees par plusieurs personnes ou entit es. Une cl e secr` ete sym etrique est donc simplement un el ement secret. La s ecurit e dun syst` eme utilisant de telles cl es repose donc notamment sur la protection de ces secrets. Une cl e secr` ete est g en eralement une suite quelconque de bits, i.e. de 0 et de 1, de taille x ee. Cette taille de cl e, not ee n ci-apr` es, est d eterminante pour la s ecurit e du syst` eme car on peut former exactement 2n cl es de longueur n. Les syst` emes sym etriques sont en g en eral susceptibles d etre attaqu es de mani` ere g en erique au moyen dune enum eration de toutes les cl es possibles. Une telle attaque, dite par recherche exhaustive , ne peut cependant aboutir que si le nombre de calculs est r ealisable par des moyens informatiques raisonnables. La capacit e ` a eectuer 2n op erations fournit donc une borne inf erieure au dimensionnement des syst` emes sym etriques.
An de xer les id ees sur les ordres de grandeur manipul es, et surtout de bien prendre conscience que 2n est un nombre tr` es rapidement gigantesque lorsque n cro t, nous avons rassembl e dans le tableau 1 quelques exemples num eriques concrets. Ces chires montrent simplement que la fonction 2n cro t extr emement rapidement avec n. La capacit e, m eme en disposant de moyens tr` es importants, de r ealiser de lordre de 2128 calculs appara t donc tr` es peu plausible de nos jours. Pour ceux qui ont encore des doutes, il appara t en tout etat de cause queectuer 2256 calculs est parfaitement impossible et ne le sera jamais. Cest une des rares certitudes que lon peut avoir en cryptographie. Ceci va en particulier a ` lencontre de lid ee re cue selon laquelle tout cryptosyst` eme peut n ecessairement etre cass e par recherche exhaustive ` a condition dy mettre les moyens.

A.1.1

Chirement sym etrique

Les primitives sym etriques les plus connues sont les algorithmes de chirement. Ceux-ci permettent, au moyen de cl es secr` etes connues des seuls emetteurs et r ecepteurs dinformations, de prot eger la condentialit e de ces derni` eres, m eme si le canal de communication employ e est ecout e. Il doit cependant etre dores et d ej` a bien clair que ceci laisse ouvert le probl` eme majeur de l echange initial de la cl e secr` ete entre les correspondants. Dun point de vue vocabulaire, il faut noter que le seul terme admis en fran cais est celui de chirement. On entend cependant souvent parler de cryptage qui est un anglicisme popularis e par les t el ecommunications, voire de chirage , mais ces mots sont incorrects. Lop eration inverse du chirement est le d echirement. On d esigne par d ecryptage , ou d ecryptement ,

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 29/ 60

Tab. 1. Ordre de grandeur de la valeur de 2n


n 32 46 46 55 82 90 2n 2
32

Ordre de grandeur Nombre dHommes sur Terre Distance Terre Soleil en millim` etres Nombre dop erations eectu ees en une journ ee a raison dun milliard dop ` erations par seconde (1GHz) Nombre dop erations eectu ees en une ann ee a raison dun milliard dop ` erations par seconde (1GHz) Masse de la Terre en kilogrammes Nombre dop erations eectu ees en 15 milliards dann ees ( age de lunivers) ` a raison dun milliard dop erations par seconde (1GHz) Nombre de mol ecules deau sur Terre Nombre d electrons dans lunivers

246 2
46

255 282 2
90

155 256

2155 2256

lop eration qui consiste ` a retrouver le clair correspondant ` a un chir e donn e sans conna tre la cl e secr` ete, apr` es avoir trouv e une faille dans lalgorithme de chirement. Les algorithmes de chirement sym etriques permettent egalement de s ecuriser le stockage dinformations, sans intention de les transmettre. On peut ainsi prot eger la condentialit e dinformations enregistr ees sur des supports potentiellement vuln erables. La protection en condentialit e dinformations permet cependant uniquement de sassurer que le contenu de ces informations est inaccessible ` a un attaquant. Par contre, nulle garantie dint egrit e ou dauthenticit e nest a priori fournie par les m ethodes de chirement et rien ne permet dexclure des possibilit es dattaques actives visant ` a modier les informations transmises ou stock ees. On peut ainsi facilement concevoir des sc enarios dattaques au cours desquels un attaquant peut modier des communications prot eg ees en condentialit e, sans avoir ` a comprendre pr ecis ement ce qui est transmis. Un exemple de cette attaque est d etaill e en section A.1.1.2. Les m ethodes de chirement sym etrique, encore appel e chirement conventionnel ou chirement ` a cl e secr` ete, se divisent naturellement en deux familles, le chirement par bloc ( block cipher ) et le chirement par ot ( stream cipher ), d ecrites ci-dessous. A.1.1.1 Chirement par bloc

Une primitive de chirement par bloc est un algorithme traitant les donn ees ` a chirer par blocs de taille x ee. On notera k le nombre de bits de ces blocs de donn ees ; typiquement, cette taille vaut 64 ou 128 bits en pratique. Un tel m ecanisme permet donc uniquement de combiner une suite de k bits de donn ees avec une cl e de n bits an dobtenir un bloc de donn ees chir ees de m eme taille k que le bloc de donn ees claires. Les principales propri et es attendues dun m ecanisme de chirement par bloc sont d etre facilement inversible si lon dispose de la cl e secr` ete de chirement. De plus, on veut egalement que, sans informations sur la cl e secr` ete, il soit impossible en pratique de retrouver de linformation sur le message dorigine. Seuls les d etenteurs de la cl e secr` ete sont capables de transformer des donn ees claires en donn ees chir ees et, inversement, des donn ees chir ees en donn ees claires.
Lun des exemples les plus connus dalgorithme de chirement par bloc est le DES (Data Encryption Standard) d eni en 1977 par le NIST, institut de standardisation am ericain, comme standard de chirement ` a usage commercial. Il traite des blocs de k = 64 bits au moyen de cl es de n = 56 bits. La s ecurit e du DES a fait couler depuis lors beaucoup dencre. Cet algorithme peut cependant etre consid er e comme particuli` erement bien con cu, la meilleure attaque pratique connue etant la recherche exhaustive sur les cl es. La taille de ces cl es est

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 30/ 60

cependant sous-dimensionn ee, ce qui rend aujourdhui cette attaque r ealiste, au moyen dune machine d edi ee, en quelques heures seulement. On utilise cependant toujours couramment le DES mais sous la forme du triple-DES , une variante utilisant des cl es de 112 bits, inattaquable par recherche exhaustive. Lobjectif a moyen terme est cependant de le remplacer par lAES (Advanced Encryption Standard), ` s electionn e par le NIST au terme dune comp etition internationale. LAES est con cu pour traiter des blocs de 128 bits au moyen de cl es de 128, 192 ou 256 bits. Plus g en eralement, un algorithme de chirement par bloc combine des op erations de substitution, visant ` a remplacer des symboles par dautres an den cacher le sens, avec des op erations de permutation echangeant la position des symboles. Ces deux principes sont historiquement tr` es anciens mais demeurent encore valables aujourdhui, toute primitive de chirement par bloc pouvant etre vue comme une combinaison intelligente de ces deux op erations.

` ce niveau, il convient de comprendre pr A ecis ement ce que permet de faire un algorithme de chirement par bloc, et surtout ce quil ne permet pas. Tout dabord, un tel algorithme permet uniquement de traiter des blocs de taille xe, relativement petite. Par cons equent, an de chirer des messages de taille quelconque, il convient de d enir comment le message doit etre cod e en une suite de blocs de taille xe. Ceci implique de d enir tr` es pr ecis ement comment r epartir linformation de tels messages en une suite de bits de longueur exactement un multiple de la taille k du bloc el ementaire. On appelle cette op eration le padding ou le bourrage . De plus, un algorithme de chirement par bloc est fondamentalement d eterministe : ` a partir dun bloc de donn ees et dune cl e secr` ete, il produit toujours le m eme bloc de chir e. Ainsi, un attaquant passif observant deux blocs de chir es identiques peut imm ediatement en d eduire que les blocs de message clair correspondants sont identiques, sans pour autant apprendre la moindre information sur ce clair. Dans certaines circonstances, une telle information est cependant susante pour attaquer un syst` eme.
` titre dexemple, imaginons un syst` A eme bancaire o` u, an de v erier la validit e dun PIN code ( Personal Identication Number ) ` a quatre chires de carte de cr edit, ce code est chir e et envoy e ` a un central bancaire. Si lon utilise un simple chirement par bloc avec une cl e bancaire xe, ` a chaque PIN code va correspondre un unique chir e. On peut d` es lors imaginer par exemple quun attaquant observant les communications apprendra imm ediatement qui a le m eme PIN code que lui.

An de traiter des messages de taille quelconque et dassurer la condentialit e globale de ces messages, et pas uniquement une condentialit e par bloc , il convient donc de d enir un mode op eratoire pr ecisant le traitement initial du message en une suite de blocs ainsi que le mode de chirement de ces blocs an dobtenir au nal le message chir e. Notons que la d enition dun tel mode op eratoire na nul besoin de tenir compte des d etails de lalgorithme de chirement par bloc employ e ; seul la taille k des blocs est r eellement n ecessaire. Notons encore quan de rompre le caract` ere d eterministe du chirement, il est n ecessaire de randomiser le processus, i.e. dintroduire une valeur al eatoire.
Le mode op eratoire le plus connu est le CBC ( cipher-block chaining ). Une des nombreuses variantes fonctionne de la mani` ere suivante : an de chirer un message form e dune suite de bits, on commence par ajouter ` a droite un bit valant 1 et autant de 0 que n ecessaire an dobtenir un nombre total de bits multiple de la taille du bloc. Notons x1 , x2 , . . .xt les t blocs de message clair ainsi obtenus. On choisit ensuite un bloc al eatoire, not e IV pour initial vector , ind ependant du message et des pr ec edents chirements. Si lon note EK (x) le r esultat du chirement du bloc x avec la cl e K , le chir e (c0 , c1 , c2 , . . . ct ) du message est obtenu en posant c0 = IV et en calculant successivement ci = EK (ci1 xi ) pour i allant de 1 ` a t (lop erateur ou-exclusif not e repr esente laddition bit ` a bit, sans retenue). Graphiquement, on obtient la repr esentation symbolique de la gure 3.

Cet exemple de mode op eratoire illustre la phase initiale de padding, consistant ` a compl eter le message par un bit valant 1 suivi de bits nuls. Il montre egalement que lemploi de donn ees al eatoires, via lIV, permet de rendre le chirement non d eterministe. Ainsi, le chirement du m eme message deux fois de suite na quune chance inme dutiliser le m eme IV et par

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 31/ 60

Fig. 3. Mode op eratoire CBC

cons equent lensemble du chir e va di erer ` a cause du m ecanisme de rebouclage faisant intervenir le bloc de chir e ci 1 lors du chirement du bloc de message clair xi . Notons encore que dans cette variante du mode CBC, lIV est transmis en clair, sans avoir besoin d etre chir e. An de d echirer un message (c0 , c1 , c2 , . . . ct ), il sut de calculer xi = ci1 DK (ci ) pour i allant de 1 ` a t, DK (c) d esignant le d echir e du bloc c avec la cl e secr` ete K . Il est facile de v erier que le message ainsi obtenu est bien le message initial. Notons enn que ce mode a naturellement une propri et e dauto-synchronisation ; si des blocs de chir es sont perdus en cours de transmission, il sut dobtenir deux blocs successifs intacts an de pouvoir reprendre correctement le d echirement.

A.1.1.2

Chirement par ot

Les primitives de chirement par ot utilisent une approche di erente du chirement par bloc au sens o` u elles consid` erent g en eralement le message ` a chirer comme une suite de bits qui sont combin es de mani` ere simple (g en eralement un ou-exclusif bit ` a bit ) avec une s equence de bits d eriv ee de la cl e secr` ete (et dans la plupart des cas egalement dun vecteur dinitialisation).
Les algorithmes de chirement par ot sinspirent du chirement de Vernam qui est ` a la fois tr` es simple, tr` es s ur et inutilisable en pratique. Si lon consid` ere un message repr esent e sous la forme dune suite de bits m1 , m2 , m3 , . . . ainsi quune cl e egalement vue comme une suite de bits k1 , k2 , k3 , . . ., le chir e du message est alors tr` es simplement obtenu au moyen de lop eration de ou-exclusif bit ` a bit (appel ee le XOR), o` u le i-` eme bit de chir e ci sobtient par addition (sans retenue) du i-` eme bit de message avec le i-` eme bit de cl e, soit ci = mi ki . Ainsi 0 0 = 0, 0 1 = 1 0 = 1 et 1 1 = 0, le dernier cas etant le seul o` u lop eration XOR di` ere de laddition classique. An de d echirer, il sut dappliquer la m eme op eration de ou-exclusif bit ` a bit du chir e avec la cl e secr` ete car ci ki = (mi ki ) ki = mi (ki ki ) = mi 0 = mi , en remarquant que, quelle que soit la valeur ki de chaque bit de cl e, ki ki vaut toujours 0. Il est facile de d emontrer que le chirement de Vernam est parfaitement s ur, en termes de condentialit e, si la cl e est au moins de m eme taille que le message ` a chirer et nest utilis ee quune seule fois. Ceci restreint evidemment consid erablement les applications envisageables a cause de la taille de la cl ` e ` a partager entre emetteur et destinataire ; dans la plupart des cas, cette mise en accord de cl e secr` ete pose un probl` eme similaire ` a la transmission s ecuris ee du message lui-m eme. Il est assez facile de montrer que le cryptosyst` eme de Vernam est le seul m ecanisme de chirement permettant dassurer une condentialit e parfaite des donn ees. Claude Shannon en avait d eduit en 1949 limpossibilit e de r ealiser des primitives cryptographiques parfaites utilisables en pratique. Lapproche moderne ne viole pas cette id ee mais admet une s ecurit e imparfaite ; tout lart du cryptographe est destimer ce degr e dimperfection et de concevoir des primitives pour lesquelles il peut etre rendu n egligeable. On ne cherche donc pas ` a se prot eger contre un adversaire disposant dune puissance de calcul innie mais plut ot dune puissance de calcul pour laquelle on sait estimer une borne sup erieure. Lid ee ma tresse du chirement par ot est dutiliser des cl es de petite taille, typiquement de lordre de 128 bits, et den d eriver de mani` ere d eterministe, et par cons equent parfaitement

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 32/ 60

reproductible, des suites dallure al eatoire pouvant etre utilis ees comme des cl es de m eme longueur que le message avec lalgorithme de chirement de Vernam7 . Le d echirement agit ensuite de m eme, en g en erant la m eme suite ` a partir de la cl e secr` ete. eriv e En echo ` a la mise en garde de lintroduction de la section A.1.1, le chirement par ot d de lalgorithme de Vernam fournit un exemple simple et particuli` erement eloquent du fait quassurer la condentialit e, m eme de mani` ere parfaite, nentra ne pas automatiquement une protection en int egrit e du message transmis. En eet, si un attaquant d esire inverser un bit de message clair, i.e. transformer un 0 en 1 ou inversement, il lui sut dajouter 1 au bit de chir e ci et donc de transmettre ci = ci 1. Lors du d echirement, le destinataire va calculer ci ki = ci 1 ki = mi 1 ; si mi vaut 0 le r esultat obtenu est un 1 et, inversement, si mi vaut 1 le r esultat est 1 1 = 0. Par cons equent, m eme si lattaquant na aucune id ee de la valeur ` titre dexemple dapplication, du bit modi e, il peut ` a coup s ur et sans eort linverser. A on peut par exemple imaginer le chirement du montant dune transaction nanci` ere ; le positionnement du montant a ` payer dans le message se situe en g en eral ` a une position xe, facile ` a conna tre. On peut alors inverser un bit de cette somme et ainsi facilement transformer un faible montant en une somme tr` es importante, comme si lon transformait, en notation d ecimale, 0000017 euro en 1000017 euro. La confusion classique entre condentialit e et int egrit e est souvent renforc ee par des images un peu trop simplistes du m ecanisme daction des primitives cryptographiques. On pr esente ainsi souvent le chirement comme la version electronique dune enveloppe opaque ou, pire, dun core-fort. Comme on imagine mal pouvoir modier des informations contenues dans un core sans pouvoir en prendre connaissance, on peut ` a tort simaginer que le chirement prot` ege totalement les donn ees, tant en condentialit e quen int egrit e. Lexemple pr ec edent montre cependant quemploy e seul, le chirement peut se r ev eler parfaitement inecace face a certaines menaces. Si lon d ` esire r ealiser des cores-forts num eriques , il faut donc au minimum, en plus de la condentialit e, assurer lint egrit e des donn ees. Ceci peut se faire en combinant deux m ecanismes s epar es ou bien au moyen dun m ecanisme con cu pour assurer simultan ement la condentialit e et lint egrit e. Une telle mise en place de m ecanisme doit cependant etre r ealis ee avec le plus grand soin.

On parle de chirement par ot synchrone lorsque la suite chirante est calcul ee ` a partir de la cl e secr` ete, ind ependamment du message ` a chirer. Inversement, les algorithmes de chirement par ot asynchrones, ou auto-synchronisants, utilisent des suites chirantes d ependant de la cl e secr` ete mais egalement dun certain nombre de bits de texte chir e. Lint er et avanc e pour une telle approche est de permettre une sorte de resynchronisation automatique du d echirement, m eme si des portions de message chir e sont perdues lors de la transmission. Notons quune telle propri et e tient plus de la correction derreurs de transmission que dune quelconque protection de nature cryptographique des donn ees. On peut d` es lors sinterroger sur lad equation de telles techniques ainsi que sur la menace r eelle quelle vise ` a eviter. Notons egalement que certains modes op eratoires de chirement par bloc, tel que le mode CBC vu pr ec edemment, poss` edent aussi cette propri et e dauto-synchronisation ` a condition que des blocs entiers soient perdus. A.1.2 S ecurit e du chirement

Au-del` a de la description des primitives de chirement, il convient de d enir pr ecis ement ce que lon attend comme propri et es de s ecurit e de leur part. Lid ee intuitive selon laquelle aucune information sur le message clair ne doit pouvoir etre d eduite du chir e par un attaquant est d elicate ` a d enir pr ecis ement et n ecessite beaucoup de soin. La cryptographie moderne a cependant d evelopp e des mod` eles de s ecurit e tr` es pr ecis an dexpliciter sans ambigu t e ce que lon attend des primitives de chirement.
An de pr eciser la dicult e dune d enition pr ecise de ce que lon attend du chirement, reprenons lexemple de la randomisation vue section A.1.1.1. Une propri et e naturellement attendue dun algorithme de chirement est d etre non-inversible par quelquun qui ne dispose pas de la cl e secr` ete. En labsence de toute attaque connue, cette propri et e semble v eri ee par lAES ou le triple-DES. Nous avons cependant d ej` a remarqu e quun chirement d eterministe
7

Plus pr ecis ement, cette approche conduit ` a une classe particuli` ere dalgorithmes de chirement par ot appel ee binary additive stream cipher .

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 33/ 60

(cest le cas de lAES ou du triple-DES), aussi bon soit-il, entra ne que deux chirements du m eme message g en` erent des chir es identiques et quune part dinformation est ainsi d evoil ee. La propri et e de non-inversibilit e est donc insusante et doit etre ran ee. Lid ee selon laquelle la connaissance de messages chir es ne doit r ev eler aucune information sur les messages clairs associ es est classiquement formalis ee par la notion de s ecurit e s emantique . Une telle d enition est complexe mais peut se r esumer ` a lintuition suivante : si un m ecanisme de chirement est tel quen proposant deux messages di erents de son choix (mais de m eme taille), not es M0 et M1 , et en obtenant le chir e C de lun des deux, on est incapable de savoir lequel des deux messages a et e chir e, ceci signie que la vue dun chir e ne contient aucune information exploitable sur le clair associ e, quels que soient les messages trait es. Il est de plus possible de renforcer encore ce mod` ele en tenant compte de capacit es eventuellement tr` es evolu ees dun attaquant. On peut par exemple reprendre lexp erience pr ec edente en permettant ` a celui qui propose les deux messages M0 et M1 dobtenir en plus le chir e de nimporte quel autre message de son choix ainsi que le d echir e de nimporte quel chir e, evidemment di erent de C . Sil est encore impossible de deviner si C est le chir e de M0 ou M1 , il est clair que le m ecanisme de chirement sera r esistant dans un grand nombre de sc enarios dattaque. Les mod` eles de s ecurit e les plus forts sont obtenus par la combinaison dun objectif de s ecurit e exigeant (par exemple la s ecurit e s emantique) et dun attaquant disposant de ressources puissantes (par exemple, des oracles de chirement et/ou de d echirement). Ces mod` eles orent donc les meilleures garanties. Le niveau de s ecurit e le plus elev e correspond au mod` ele de lindistinguabilit e face aux attaques ` a chir es choisis adaptatives , d esign e par lacronyme IND-CCA2.

Les mod` eles de s ecurit e utilis es en cryptographie moderne peuvent parfois para tre trop g en ereux pour les attaquants, mais ils sont justi es par le fait que dans certaines circonstances, les attaquants contre lesquels on veut se pr emunir ont une grande marge de manuvre. Evaluer la s ecurit e dune primitive dans de tels mod` eles de s ecurit e permet egalement de minimiser les risques de faille de s ecurit e lors de leur composition8 avec dautres m ecanismes an de concevoir des syst` emes complets. De plus, utiliser des primitives s ures face ` a des attaquants tr` es puissants est un important gage de qualit e. Enn, la cryptographie moderne propose des primitives permettant datteindre de tels niveaux de s ecurit e sans r eduire fortement les performances ; il serait par cons equent dommage de se priver de lemploi de ces m ecanismes. A.1.3 Authentication et int egrit e de messages

Des techniques cryptographiques sym etriques permettent egalement de garantir lint egrit e de donn ees transmises, quelles soient d ej` a prot eg ees en condentialit e ou non. De tels m ecanismes visent ` a garantir quaucune alt eration des donn ees na eu lieu au cours de leur transmission. Nous avons d ej` a mentionn e linad equation des m ecanismes de chirement pour garantir une telle int egrit e des donn ees. Notons par ailleurs que les m ethodes cryptographiques visent en g en eral a se pr ` emunir face ` a des attaques volontaires, potentiellement intelligentes, par opposition aux techniques de codage et aux protocoles de transmission visant ` a d etecter ou ` a corriger des erreurs al eatoires et involontaires. Plus pr ecis ement, la principale technique permettant dassurer lint egrit e des donn ees consiste a calculer un code dauthentication de message (souvent appel ` e MAC pour message authentication code ) ` a partir des donn ees ` a prot eger et dune cl e secr` ete partag ee avec celui ` a qui le message est destin e. Ce code dauthentication, typiquement long de 128 bits, est ensuite ajout e au message et transmis. Apr` es r eception, le code dauthentication est recalcul e ` a laide de la cl e secr` ete et du message re cu, potentiellement corrompu. Le r esultat obtenu est compar e au MAC re cu ; sils sont identiques, il est extr emement probable que les donn ees sont int` egres et proviennent donc de la bonne personne.
Nous insistons sur la di erence conceptuelle fondamentale existant entre chirement et calcul de code dauthentication de message. Par contre, ` a un niveau plus technique, de nombreuses
8

Cest-` a-dire utilisation conjointe

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 34/ 60

similarit es peuvent r eappara tre. Lalgorithme le plus connu de calcul de MAC est le CBC-MAC. Le code dauthentication est alors simplement calcul e en appliquant le mode de chirement CBC(d ecrit gure 3) au message, sans utiliser de vecteur dinitialisation (IV), et en ne conservant comme valeur de MAC que le dernier bloc de chir e, surchir e avec une cl e K, di erente de celle utilis ee dans la cha ne CBC. Graphiquement, on obtient la repr esentation symbolique de la gure 3. On voit clairement que toute modication, m eme minime, du message ` a prot eger engendre un r esultat totalement di erent comme MAC . Il faut cependant se garder de penser quun tel m ecanisme est s ur, dans un sens g en eral, sur cette simple impression initiale, car une telle analyse ne constitue pas une preuve de s ecurit e.

Fig. 4. Mode op eratoire CBC-MAC

La protection de lint egrit e dun message garantit egalement, vis-` a-vis du destinataire, son authenticit e car la connaissance de la cl e secr` ete est n ecessaire pour g en erer des MACs corrects. Par contre, cette authentication na pas de valeur vis-` a-vis dun tiers car rien ne permet de savoir par quel d etenteur de la cl e secr` ete un MAC est r eellement g en er e. De plus, toute v erication par un tiers n ecessite de lui r ev eler la cl e secr` ete utilis ee. Ceci est intrins` equement li e` a la nature sym etrique du m ecanisme. On d esigne parfois les codes dauthentication de message sous le terme de signature sym etrique mais il doit etre bien entendu que ce qualicatif de signature est impropre pour la simple raison que la propri et e de non-r epudiation nest pas assur ee. Actuellement, seuls les m ecanismes asym etriques, qui evitent justement que la connaissance de la cl e secr` ete ne soit n ecessaire pour v erier la validit e dune signature, peuvent r eellement rendre de tels services de s ecurit e. Notons enn quun code dauthentication de message valide ne permet que de garantir lauthenticit e de ce message. Si lon souhaite assurer lint egrit e et lauthenticit e dun ensemble de messages formant une communication, et eviter par exemple le rejeu ou la suppression de certains messages accompagn es de MACs valides, il convient de soigner les m ethodes de cha nage employ ees. A.1.4 Authentication dentit es

` partir des primitives de chirement et de calcul de MAC que nous venons de d A ecrire, il est facile de d eriver des m ecanismes permettant dauthentier des entit es, ce terme etant pris au sens large. La principale di erence entre lauthentication dentit es et celle de messages est le caract` ere interactif de la premi` ere alors que la seconde doit pouvoir etre eectu ee en une seule transmission, comme par exemple dans des applications de messagerie s ecuris ee. La m ethode sym etrique la plus utilis ee an de sassurer de lidentit e dun correspondant est de partager avec lui une cl e secr` ete. An de sassurer ensuite que quelquun se pr esentant sous son identit e est bien la bonne personne, lauthentication va consister ` a sassurer que ce dernier

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 35/ 60

poss` ede bien la cl e secr` ete. La technique la plus simple, sapparentant directement aux techniques de mot de passe, consiste ` a transmettre le secret. Les inconv enients sont cependant multiples, a commencer par le risque quun simple attaquant passif intercepte le secret et lutilise ensuite. ` Par cons equent, une bien meilleure m ethode est celle dite par challenge-response , que lon peut traduire par question-r eponse ou d e-r eponse . Lid ee est denvoyer ` a celui que lon souhaite authentier un message quelconque, de lui demander de le chirer en utilisant la cl e secr` ete partag ee, puis de renvoyer le r esultat obtenu. Si la r eponse re cue se d echire correctement et aboutit ` a la question pos ee, il y a une forte probabilit e pour que la personne qui a calcul e le chir e poss` ede eectivement la cl e secr` ete et, par cons equent, quelle soit la personne quelle pr etend etre. Notons cependant que ceci nest vrai que si aucune question d ej` a pos ee nest r eutilis ee lors des authentications suivantes.
Le probl` eme de la non-r eutilisation des questions est tr` es sensible mais peut facilement etre r esolu si lon dispose dune source de donn ees al eatoires, sans avoir ` a m emoriser les questions d ej` a pos ees. En eet, il est possible de calculer la probabilit e quune m eme question de n bits soit obtenue deux fois si les questions sont tir ees au hasard. Par application du fameux paradoxe des anniversaires , on montre que la premi` ere collision appara t en moyenne apr` es environ 2n/2 tirages. Par cons equent, si le nombre maximal dauthentications avec une m eme cl e est nettement inf erieur a ` 2n/2 , lemploi de challenges al eatoires de n bits est susant, ` titre dapplication, des le risque de poser deux fois la m eme question etant n egligeable. A questions de 64 bits sont parfaitement adapt ees jusqu` a plusieurs millions dauthentications et des challenges de 128 bits potentiellement utilisables sans limite atteignable en pratique.

Le probl` eme majeur de telles authentications sym etriques r eside, comme dans le cas du chiffrement et de lint egrit e de messages, dans la n ecessit e de partager une cl e secr` ete entre personne identiante et personne identi ee. Ceci implique de plus limpossibilit e de distinguer ces deux personnes. On peut ainsi se demander sil est vraiment n ecessaire que celui qui v erie lidentit e connaisse n ecessairement le secret associ e` a lidentit e dun individu. Une fois de plus, la r eponse a ce probl` ` eme est apport ee par la cryptographie asym etrique dont nous allons maintenant d ecrire les bases. A.2 Cryptographie asym etrique

Lid ee majeure de la cryptographie asym etrique est que les op erations publiques (le chirement, la v erication de signature,. . .) nont pas n ecessairement besoin dutiliser les m emes cl es que les op erations priv ees (le d echirement, la signature,. . .). Ainsi, la cryptographie asym etrique, telle que d ecrite par W. Die et M. Hellman [DH76], utilise des cl es priv ees , que seul un utilisateur poss` ede et peut utiliser pour les op erations priv ees, et des cl es publiques , que tout le monde conna t et peut utiliser pour les op erations publiques. Les cl es publiques et priv ees sont reli ees par des equations math ematiques, ces equations etant la base de probl` emes que lon croit diciles ` a r esoudre. Pour illustrer la notion de dicult e en pratique, une image simple est la suivante : ` a partir dun pot de peinture jaune et dun pot de peinture bleue, il est facile par simple m elange dobtenir un pot de peinture verte. Par contre, lop eration inverse consistant ` a s eparer les pigments jaunes des pigments bleus, sans etre th eoriquement infaisable, lest en pratique. Dans cet exemple, le vert fait oce d el ement public, et le bleu et le jaune sont priv es : tout le monde sait que le but est de diviser le vert en bleu et jaune pour retrouver la cl e priv ee, mais lop eration est consid er ee comme tr` es dicile. De m eme, dans le monde math ematique, il existe de telles op erations inversibles mais asym etriques dans leur dicult e. On les appelle souvent probl` emes diciles ou asym etriques. La plus connue de ces op erations asym etriques est la multiplication de grands nombres premiers9 . Lop eration inverse, consistant ` a retrouver ces nombres ` a partir du r esultat, est appel ee factorisation ou encore d ecomposition en produit de facteurs premiers. Choisir deux nombres premiers de taille x ee et les multiplier est une op eration facile mais, d` es que la taille des entiers
9

Les nombres premiers etant les nombres divisibles uniquement par 1 et par eux-m emes. Par exemple, 2, 3, 5, 7 sont premiers, mais 6 qui est divisible par 1,2,3 et 6 ne lest pas.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 36/ 60

manipul es est susamment grande, nous ne connaissons ` a ce jour aucune m ethode ecace permettant de retrouver ces facteurs premiers ` a partir de la simple valeur de leur produit. Insistons sur le fait quune telle factorisation nest pas impossible ; elle est math ematiquement parfaitement d enie et lon conna t des algorithmes forts simples permettant de la retrouver. Le probl` eme r eside dans la complexit e temporelle, i.e. dans le temps de calcul n ecessaire ` a ces m ethodes pour trouver le r esultat. De plus, rien ne permet de dire quil nexiste pas de m ethode ecace. On peut tout juste armer quaucune m ethode ecace de factorisation utilisant une technologie disponible na et e rendue publique ` a ce jour.
Parmi les probl` emes asym etriques, comme celui de la factorisation, on distingue les probl` emes asym etriques dits ` a trappe . Ils se fondent sur une op eration facile ` a r ealiser mais dicile ` a inverser ` a moins de disposer dun el ement suppl ementaire appel e la trappe . Lexemple le plus connu, mais egalement le plus utilis e dans les produits actuels, est lop eration sur laquelle repose le fameux cryptosyst` eme RSA. Cette op eration est directement li ee au probl` eme de la factorisation, la connaissance des facteurs premiers constituant la trappe permettant dinverser facilement le calcul. En termes de comparaison avec le monde physique, on peut par exemple penser au m elange de limaille de fer et de limaille de cuivre. Comme dans le cas des pots de peinture de couleurs primaires di erentes, lop eration de m elange est ais ee mais lop eration inverse est tr` es complexe, ` a moins de disposer dun aimant qui constitue en quelque sorte la trappe.

Les recherches en cryptographie de ces 30 derni` eres ann ees ont permis de disposer de quelques probl` emes math ematiques asym etriques utilisables ` a des ns cryptographiques. Ils ne sont cependant pas nombreux et reposent presque tous sur des probl` emes issus de la th eorie des nombres : factorisation et calculs de logarithmes discrets dans des structures math ematiques vari ees, dont les courbes elliptiques sont des exemples particuli` erement int eressants.
Lid ee de base des probl` emes de logarithme discret consiste ` a utiliser une structure math ematique contenant un nombre ni d el ements que lon peut combiner au moyen dune op eration poss edant des propri et es semblables ` a celles de laddition ou de la multiplication sur les entiers classiques. Une telle structure est appel ee groupe en alg` ebre, le groupe etant dit additif si lop eration est not ee +, ou multiplicatif si lop eration est not ee . On peut ensuite d enir une version it er ee de lop eration agissant sur les el ements du groupe. Si lon note multiplicativement lop eration et si x d esigne un el ement du groupe alors le produit de n copies de x se note x ` a la puissance n , soit xn . En g en eral, le calcul de xn est facile, m eme pour de tr` es grandes valeurs de lentier n. Par contre, dans certains groupes, lop eration inverse consistant, ` a partir de x et de xn , ` a retrouver lentier n est tr` es dicile, bien que math ematiquement parfaitement d enie. On parle de calcul de logarithme discret , n etant appel e logarithme de xn en base x . Comme dans le cas de la factorisation, il doit etre clair que le calcul de logarithme nest pas impossible en th eorie ; il sut par exemple de tester toutes les valeurs possibles de n, m eme sil existe de bien meilleures m ethodes. Cependant, pour des dimensionnements susants, nous ne connaissons pas ` a ce jour de m ethode ecace permettant deectuer de tels calculs en temps raisonnable dans les groupes utilis es en cryptographie. Les courbes elliptiques , si leurs param` etres sont choisis avec soin, sont de tels exemples de groupes dans lesquels on suppose que le calcul de logarithme discret est particuli` erement dicile.

Nous nentrerons pas ici dans des d etails n ecessitant de lourds rappels math ematiques. Notons simplement que ces probl` emes ne deviennent r eellement diciles, et donc cryptographiquement int eressants, que pour des tailles susantes de certains param` etres. Ce sont ces tailles qui d eterminent la s ecurit e intrins` equement apport ee par le probl` eme de base ` a lensemble du cryptosyst` eme. La s ecurit e dun syst` eme asym etrique s evalue donc en fonction de la dicult e` a r esoudre num eriquement un certain probl` eme math ematique et non pas en fonction de la taille de lespace des cl es. Ainsi, par exemple, lorsque lon parle de RSA-2048, ceci signie que lon utilise RSA avec un param` etre, appel e module, long de 2048 bits et obtenu par multiplication de deux nombres premiers de 1024 bits chacun. Il ne faut par cons equent pas s etonner de voir appara tre en cryptographie asym etrique des param` etres ou des cl es de 2048 bits ou plus alors quen cryptographie

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 37/ 60

sym etrique les cl es d epassent rarement 128 bits, voire 256 bits pour les plus longues. Les tailles de cl es sym etriques et asym etriques ne sont donc pas comparables.10 Notons enn que lemploi dun probl` eme r eellement dicile et correctement dimensionn e est une condition n ecessaire an dobtenir un niveau de s ecurit e recherch e. Bien entendu, ceci est tr` es loin d etre susant car bien dautres sources de failles de s ecurit e existent, que ce soit dans lemploi du probl` eme, dans les modes op eratoires, dans la gestion des cl es, dans les probl` emes de conception ou dimplantation des protocoles, etc. A.2.1 Chirement asym etrique

Lid ee essentielle du chirement asym etrique, encore souvent appel e chirement ` a cl e publique, est que rien nimpose ` a l emetteur dun message chir e d etre capable de d echirer les messages quil envoie. Dit autrement, aussi naturelle quelle puisse para tre, lintuition selon laquelle la m eme cl e doit etre utilis ee a ` la fois pour le chirement et le d echirement nest pas fondamentalement justi ee. Dans le cadre du chirement, lid ee est dutiliser des paires de cl es, ou bi-cl es, compos ees dune cl e priv ee11 et dune cl e publique associ ee. An de chirer un message ` a lattention dun correspondant, on utilise la cl e publique de ce dernier. Apr` es transmission, lop eration inverse de d echirement est eectu ee en utilisant la cl e priv ee. Les propri et es du m ecanisme sont telles que la connaissance de la cl e publique ne permet pas de retrouver la cl e priv ee. Par cons equent, la cl e publique peut, comme son nom lindique, etre largement dius ee. Par contre, la cl e priv ee doit etre gard ee condentielle.
Une image classique consiste ` a imaginer une bo te aux lettres (physique). L equivalent de la cl e publique est la bo te ` a ladresse du destinataire, adresse consultable par tous, dans un annuaire par exemple. L equivalent de la cl e priv ee est la cl e de la bo te dont ne dispose, normalement, que le propri etaire de la bo te. An de transmettre un document, il sut de prendre connaissance de ladresse du destinataire et de le lui envoyer sous pli scell e. Lors de la r eception, seul le destinataire peut prendre connaissance du document ` a la condition que lui seul poss` ede la cl e. Cette image permet en outre de comprendre le probl` eme pos e par lauthentication de la bo te du destinataire puisquil faut savoir relier de mani` ere able le destinataire ` a sa bo te pour sassurer que la bonne personne recevra le document. Pour le destinataire des documents si aucun m ecanisme nest pr evu pour authentier l emetteur, il ne peut davantage sassurer de lint egrit e de ce quil re coit.

Il est important de noter que, contrairement au cas des m ecanismes sym etriques, il nest pas ici n ecessaire que les deux correspondants partagent, au pr ealable, une cl e secr` ete. Ceci permet th eoriquement de r esoudre tr` es el egamment les probl` emes de mise en accord de cl e inh erents ` a la cryptographie sym etrique. Il se pose cependant le probl` eme de la certication des cl es publiques visant ` a sassurer quune cl e publique utilis ee pour chirer appartient bien au correspondant ` a qui lon destine le message. Le probl` eme appara t plus clairement formalis e sous le diptyque condentialit e/authentication. En eet sil est facile de comprendre que l echange dun secret n ecessite de la condentialit e, on aurait tendance ` a oublier que lauthentication de lorigine du secret (cest-` a-dire ` a la fois la garantie de son int egrit e et de l emetteur) est cruciale. Si la cryptographie asym etrique l` eve le probl` eme de la condentialit e, le probl` eme de lauthentication reste quant ` a lui entier. Il est r esolu comme nous le verrons plus loin par des m ecanismes de certication. Comme dans le cas du chirement par bloc, lutilisation de chirement ` a cl e publique avec des messages de taille quelconque doit etre tr` es pr ecis ement sp eci ee. Ceci implique d etre capable de formater et de compl eter les messages an dappliquer lalgorithme de chirement ; on parle de padding ou bourrage . Lutilisation de donn ees al eatoires est egalement n ecessaire an de
10

11

Ainsi, si 256 bits de cl es sont largement susants pour la cryptographie sym etrique, un module RSA de 256 bits peut etre factoris e sur un simple PC en moins dune heure. Lusage veut que lon r eserve le terme de cl e secr` ete aux applications sym etriques et le terme de cl e priv ee aux applications asym etriques. Une cl e publique est donc en g en eral naturellement associ ee a ` une cl e priv ee, alors quune telle association na aucun sens pour une cl e secr` ete.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 38/ 60

randomiser le chirement et par cons equent d eviter que le chirement du m eme message ` a deux reprises produise des chir es identiques. Ceci est fondamental pour des applications o` u lespace des messages, i.e. lensemble des messages, est restreint ` a un petit sous-ensemble des messages possibles. Cette probl ematique est dailleurs similaire ` a celle rencontr ee dans le cas sym etrique et expos ee en section A.1.1.1.
Notons enn que pour des raisons decacit e il est inutile de chirer de grands messages au moyen dun m ecanisme asym etrique. Une m ethode bien plus ecace, d esign ee sous le terme de chirement hybride , consiste ` a choisir une cl e de session pour un m ecanisme de chirement sym etrique et ` a ne chirer avec le m ecanisme ` a cl e publique que cette cl e de session, le message etant lui chir e en sym etrique avec la cl e de session. On peut ainsi transmettre la cl e de session de mani` ere s ecuris ee ` a son interlocuteur, et un long message peut etre chir e de mani` ere conventionnelle et tr` es ecace.

A.2.2

Signature cryptographique asym etrique

La signature cryptographique permet de garantir lint egrit e dun message sans utiliser de cl e secr` ete partag ee entre l emetteur et le destinataire. Elle permet egalement dassurer une authentication forte de l emetteur du message en emp echant ce dernier de nier par la suite avoir envoy e le message ; on parle de propri et e de non-r epudiation. La signature est un m ecanisme asym etrique qui peut donner limpression davoir de nombreuses similitudes avec le chirement ` a cl e publique. Signature et chirement ne doivent cependant surtout pas etre confondus. Le principal point commun est lemploi de bi-cl es form es dune cl e priv ee et dune cl e publique associ ee. La cl e priv ee permet de g en erer la signature dun message sous la forme erier dune donn ee qui lui est accol ee12 , ` a la mani` ere des MACs vus au chapitre A.1.1. An de v la validit e dune signature, il sut de disposer de la cl e publique. Par cons equent, tout le monde peut potentiellement sassurer de lauthenticit e dun message puisque la cl e publique peut etre librement rendue disponible. Ceci r ealise donc une version electronique de la signature manuscrite classique, certains diront m eme en mieux. Notons cependant quici encore la certication de la cl e publique est un probl` eme crucial que nous abordons rapidement ci-dessous dans le chapitre A.5 consacr e` a la gestion de cl e, et qui est repris plus en d etail dans le r ef erentiel intitul e Gestion des cl es cryptographiques R` egles et recommandations concernant la gestion des cl es utilis ees dans des m ecanismes cryptographiques , sp eciquement consacr e` a cette probl ematique. Comme pour le chirement, la mise en forme ` a appliquer au message avant signature est tr` es importante en termes de s ecurit e. Elle utilise souvent une fonction de hachage transformant un message de longueur quelconque en une empreinte de taille xe et petite.
On a souvent tendance ` a pr esenter la signature num erique comme une sorte de r eciproque du chirement asym etrique. Ceci provient du fait que dans le cas de RSA, souvent pr esent e comme illustration, chirement et signature sont en eet tr` es proches, la signature dun message sapparentant fortement ` a lop eration de d echirement. Ce cas est cependant exceptionnel. La grande majorit e des sch emas de signature ne peuvent etre utilis es ` a des ns de chirement.

A.2.3

Authentication asym etrique dentit es et echange de cl es

Les id ees permettant une authentication interactive dentit es vues au chapitre A.1.1 peuvent bien entendu s etendre aux primitives asym etriques. An dauthentier quelquun dont on conna t avec certitude la cl e publique, il sut par exemple de chirer ` a son attention un message quelconque susamment long et de lui demander de retourner ce message clair. De m eme, on peut lui demander de signer un tel message et ensuite v erier la validit e de cette signature.
12

Plus exactement, le m ecanisme consistant ` a calculer une signature et ` a lajouter au message est appel e signature avec appendice . Dautres techniques permettant d economiser un peu de place sont envisageables avec des m ecanismes tel que RSA utilisant une permutation ` a trappe. Ceci na cependant que peu dimportance en premi` ere approche.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 39/ 60

Il existe cependant des m ecanismes sp eciquement con cus pour le cadre interactif. Ces primitives dites ` a divulgation nulle de connaissance ou zero-knowledge , bien quencore peu utilis ees en pratique, sont ` a la source de la plupart des sch emas de signature num erique. On citera par exemple le standard de signature am ericain DSA ( digital signature algorithm ), directement d eriv e du protocole dauthentication de Schnorr.

La cryptographie asym etrique permet egalement de r esoudre le probl` eme de la condentialit e dans l echange de cl e, qui consiste pour deux entit es ne partageant initialement aucun secret commun ` a se mettre daccord sur une valeur de cl e secr` ete13 . L echange de cl e est d elicat, car il doit se faire ` a laide dun canal non s ecuris e, cest ` a dire potentiellement ecout e voire enti` erement contr ol e par un attaquant. Larticle fondateur de W. Die et M. Hellman [DH76] d ecrivait dailleurs principalement une solution au probl` eme d echange de cl e ; le protocole r esultant est ce que lon appelle encore aujourdhui l echange de cl e Die-Hellman .
Techniquement, la remarque fondamentale de W. Die et M. Hellman est que, lorsque lon utilise une structure math ematique dans laquelle le calcul de logarithme discret est dicile, on peut facilement choisir un grand entier secret a et publier xa sans que a ne puisse etre retrouv e par quiconque. Ainsi, an que deux interlocuteurs not es A et B se mettent daccord sur un secret commun K , il sut que A choisisse un entier a et transmette y = xa , que B choisisse un entier b et transmette z = xb . A peut alors calculer K = z a = (xb )a = xab et B peut faire de m eme en calculant la m eme valeur K = y b . Par contre, un attaquant qui ecoute passivement la communication ne peut apprendre que y et z ; ` a ce jour, nous ne connaissons pas de m ethode plus ecace que le calcul de logarithme discret pour retrouver les secrets a et b an den d eduire le secret partag e K. Notons cependant que ce protocole el ementaire ne permet pas de garantir la s ecurit e face a ` des attaquants actifs pouvant modier les communications. Il ne garantit egalement aucune forme dauthentication des interlocuteurs. Une attaque connue sous le nom dattaque par le milieu permet en eet ` a un attaquant actif de mettre en d efaut la s ecurit e de l echange de cl e Die-Hellman.

Les m ecanismes dauthentication et d echange de cl e sont g en eralement utilis es de concert en pratique car, dune part, echanger une cl e avec une personne dont on ignore lidentit e a peu dint er et et, dautre part, une simple authentication apporte peu. Le lien entre authentication et echange de cl e doit cependant etre r ealis e avec soin. A.2.4 S ecurit e des primitives asym etriques

La cryptographie moderne a d evelopp e des techniques de preuve de nature math ematique an de tenter de prouver la s ecurit e des primitives, notamment asym etriques. Ces preuves nont pas un caract` ere absolu mais reposent avant tout sur un mod` ele de s ecurit e formalisant les propri et es attendues de la primitive ainsi que les capacit es suppos ees de lattaquant contre lequel on veut se pr emunir. Ces preuves sont dites par r eduction au sens o` u elles vont ramener la s ecurit e globale dune primitive ` a une hypoth` ese bien identi ee telle que factoriser des modules RSA de 2048 bits nest pas possible14 . Les preuves en cl e publique assurent ainsi rarement une s ecurit e inconditionnelle cest-` a-dire face ` a un attaquant de puissance innie15 . Elles orent au contraire le plus souvent une s ecurit e calculatoire , cest-` a-dire lassurance quil est impossible dattaquer une certaine propri et e du sch ema sans r esoudre un certain probl` eme math ematique.
An dillustrer limportance mais egalement la dicult e de d enition dun mod` ele de s ecurit e, prenons lexemple de la signature. On peut tout dabord consid erer divers types dattaques, selon les capacit es de lattaquant, qui peuvent aller de la simple connaissance de la cl e publique de v erication de signature a ` la capacit e dobtenir la signature de nimporte quel message de son choix. On peut egalement sinterroger sur la d enition m eme de ce que lon entend par succ` es dune attaque. Cela peut aller de la simple contrefa con existentielle , consistant
13 14 15

Cette cl e secr` ete pouvant par exemple par la suite etre utilis ee pour chirer des messages. En un temps raisonnable. La puissance etant ici la m emoire et la puissance de calcul

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 40/ 60

a r ` eussir ` a g en erer une signature valide dun message non ma tris e, ` a un cassage total , consistant ` a retrouver la cl e priv ee de signature. Il existe deux types de s ecurit e, comme mis en avant la premi` ere fois par M. Bellare et Ph. Rogaway [BR94] : la s ecurit e asymptotique et la s ecurit e exacte . Quand la premi` ere se contente dassurer que le sch ema est s ur pour des param` etres assez grands , la seconde enonce clairement des estimations de la dicult e de lattaque en fonction de la dicult e du probl` eme. Ainsi, il est tr` es important de prendre en compte les r esultats que nous apportent la preuve, et de ne pas sarr eter au fait que le sch ema est s ur pour des param` etres assez grands. Pour etre plus pr ecis, la s ecurit e exacte conduit ` a ce que lon appelle des r eductions nes (dans lesquels la dicult e du cassage du sch ema est de lordre de la dicult e du probl` eme math ematiques) et des r eductions l aches (dans lesquels il est plus facile dun ordre de grandeur non n egligeable de casser le sch ema que de r esoudre le probl` eme). On voit ainsi que les sch emas ` a pr ef erer sont ceux apportant les r eductions les plus nes possibles, car les autres sch emas n ecessitent de plus grandes cl es et param` etres pour une m eme garantie de s ecurit e. De m eme, sil nest pas possible de s electionner un sch ema avec une r eduction ne, il faut en ce cas utiliser les coecients de nesse donn es par la preuve pour en d eduire les tailles de param` etres et de cl es ad equats. Ceci permet de conserver une signication ` a la garantie de s ecurit e oerte par la preuve.

Il est clair quune primitive asym etrique prouv ee s ure, relativement ` a une hypoth` ese bien identi ee et raisonnable, est dautant plus int eressante que lon a pris en compte des attaquants puissants et des d enitions de succ` es dattaque modestes dans la preuve. Tout comme pour la eles de s ecurit e utilis es en s ecurit e du chirement sym etrique, vue au chapitre A.1.1, les mod` cryptographie moderne peuvent para tre excessifs mais lexp erience montre que cest loin d etre le cas et quil est important de se placer dans ce cadre contraignant an d evaluer correctement les primitives. A.3 Fonction de hachage

Un certain nombre de primitives cryptographiques, ou directement utilis ees en cryptographie, ne sont pas param etr ees par des cl es. La classication usuelle bas ee sur la n ecessit e ou labsence de n ecessit e de partager un secret commun ne sapplique pas. Ces primitive sont n eanmoins souvent class ees parmi les primitives sym etriques dans la mesure o` u leurs caract eristiques principales empruntent beaucoup aux primitives ` a cl e secr` ete ou que le cadre de leur utilisation n ecessite qu emetteur et r ecepteur r ealisent les m emes op erations (de mani` ere sym etrique, donc). La plus importante de ces primitives est la fonction de hachage dont le but est de transformer, de mani` ere d eterministe, une suite de bits de longueur quelconque, en un condensat, encore appel e empreinte ou hach e, de taille x ee. On demande de plus ` a une fonction de hachage cryptographique d etre en pratique non inversible, i.e. quil ne soit pas possible etant donn e un condensat de trouver un message dont limage par la fonction de hachage est egale ` a ce condensat : on dit que le calcul dun ant ec edent est dicile. On demande en outre quil ne soit pas possible de trouver deux messages distincts ayant m eme condensat. On dit alors que la fonction de hachage est sans collision.
Bien entendu, une fonction de hachage etant une fonction dun ensemble de taille potentiellement innie vers un ensemble de taille nie, il existe une innit e de telles collisions. On demande cependant quil ne soit pas possible de calculer pratiquement, en temps raisonnable, une telle collision. Une fois encore le paradoxe des anniversaires peut sappliquer ; si lon note n le nombre de bits du condensat et si la fonction de hachage peut etre consid er ee comme ayant un comportement relativement al eatoire malgr e le fait quelle soit parfaitement d enie en tous points16 , alors, n/2 pour trouver une collision, il sut de calculer de lordre de 2 hach es de messages al eatoires avant que deux de ces messages ne fournissent le m eme condensat. Ceci fournit une borne inf erieure ` a la taille n ecessaire des sorties des fonctions de hachage cryptographiques.
16

Cest-` a-dire que, avant davoir fait le calcul, la valeur du hachage en un point est al eatoire pour un utilisateur. Une bonne fonction de hachage a ce comportement al eatoire, alors quune simple fonction de troncature par exemple nest pas du tout al eatoire.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 41/ 60

Une des nombreuses applications des fonctions de hachage appara t dans les sch emas de signature num erique an de r eduire le message de longueur quelconque ` a un simple condensat de taille x ee et petite. Elles sont egalement utilis ees an de r ealiser certains codes dauthentication de message (par exemple HMAC). Suite aux publications cons ecutives ` a lannonce dattaques sur les principales familles de fonctions de hachage en ao ut 2004, le panel des fonctions de hachage consid er ees comme s ures sest beaucoup r eduit puisque ny apparaissent plus ni MD5 (d enitivement cass e) ni SHA-1 (qui natteint plus le niveau standard). Dans lattente de la publication de nouveaux standards, dont par exemple SHA-3, et de leur mise ` a l epreuve, la famille SHA-2 reste utilisable. A.4 G en eration dal ea cryptographique

La cryptographie fait un usage intensif de donn ees al eatoires, typiquement an de g en erer des cl es mais egalement pour bien dautres applications comme dans les op erations de formatage de messages avant chirement ou signature. La qualit e des donn ees al eatoires utilis ees est parfois critique en termes de s ecurit e et n ecessite de disposer de donn ees al eatoires de qualit e .
` titre dexemple particuli` A erement frappant de la n ecessit e de disposer de bon al ea pour certaines applications, citons le standard de signature am ericain DSA. En utilisant cet algorithme, la signature dun message n ecessite lemploi dun nombre al eatoire de 160 bits, gard e secret par le signataire. Pour chaque signature, il est n ecessaire de disposer dun nouveau nombre al eatoire ind ependant des pr ec edents et donc ` a usage unique. Sans que cela ne remette en cause la s ecurit e de DSA, on conna t aujourdhui une attaque qui permet de retrouver la cl e priv ee ` a condition de disposer de signatures pour lesquelles seulement 3 bits du nombre al eatoire ` a usage unique sont connus. Cette attaque fonctionne donc tr` es ecacement m eme si les 157 bits restants sont parfaitement al eatoires et inconnus de lattaquant. Cet exemple montre que, pour certaines applications, il est impossible de se contenter de nombres partiellement al eatoires.

La g en eration de bits r eellement al eatoires, i.e. valant 0 ou 1 avec m eme probabilit e et, surtout, ind ependants les uns des autres, est particuli` erement d elicate sur une plate-forme fondamentalement d eterministe comme un ordinateur ou un microprocesseur de carte ` a puce. Il existe cependant des dispositifs physiques sp eciques tirant parti de ph enom` enes suppos es al eatoires comme le bruit thermique ou le temps s ecoulant entre deux d esint egrations dune source radioactive. On parle alors de g en erateur dal ea vrai ou dal ea physique. Il est egalement possible de g en erer du pseudo-al ea, i.e. des suites de bits indistinguables de suites r eellement al eatoires mais issues dun m ecanisme d eterministe initialis e avec un germe ou graine, de petite taille mais r eellement al eatoire pour sa part. La plupart des m ecanismes de chirement par ot sont dailleurs construits autour de tels g en erateurs pseudo-al eatoires.
An dillustrer la notion de g en erateur pseudo-al eatoire, d ecrivons rapidement celui normalis e par lANSI sous la r ef erence X9.31 qui reprend celui de la norme X9.17. Il utilise une cl e secr` ete K et une primitive de chirement par bloc not ee EK . Ce processus it eratif utilise une variable interne, gard ee secr` ete et not ee Etati . Elle est mise ` a jour lors de chaque it eration par etat, ainsi que la cl e le m ecanisme d ecrit ci-dessous gure 5. La valeur initiale de la variable d K forment le germe. Le bloc not e ALEAi contient les donn ees pseudo-al eatoires g en er ees lors de la i-` eme it eration. Enn, le bloc Exti contient d eventuelles donn ees ext erieures, optionnelles, permettant par exemple de diversier le m ecanisme au moyen de donn ees al eatoires de mauvaise qualit e, par exemple issues de lhorloge.

Notons enn que, par d enition, il est en pratique impossible de distinguer du pseudo-al ea correctement g en er e de v eritables bits al eatoires. Malgr e lexistence de notions th eoriques bien d enies issues de la th eorie de linformation, comme celle dentropie, la seule mani` ere de tester des bits ainsi g en er es est dappliquer des tests statistiques visant ` a d etecter des biais statistiques dont la probabilit e dapparition est n egligeable dans des s equences de bits issues de sources dal ea vrai. Lecacit e de ces tests, aussi elabor es soient-ils, demeure cependant tr` es limit ee en pratique. Une suite d eterministe aussi simple que la succession des d ecimales de sut en eet ` a tromper la plupart des tests statistiques.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 42/ 60

Fig. 5. G en erateur pseudo-al eatoire X9.31 A.5 A.5.1 Gestion de cl es Cl es secr` etes sym etriques

La gestion des cl es peut etre plus ou moins simple selon les applications. Dans le contexte de m ecanismes sym etriques, la principale dicult e r eside dans la distribution, ou mise en accord, des cl es an de permettre aux correspondants de partager les m emes secrets initiaux sans que des attaquants potentiels ne les aient intercept es. Ceci peut etre r ealis e au moyen de techniques asym etriques modernes mais peut egalement l etre via des m ethodes non cryptographiques de nature organisationnelle. En outre, une dur ee de vie maximale, appel ee crypto-p eriode, est en g en eral associ ee ` a chaque cl e. Une telle dur ee de vie peut etre repr esent ee par une date limite demploi ou par un compteur du nombre dutilisations qui ne doit pas d epasser une certaine limite. Une telle limitation de lusage des cl es vise en g en eral ` a r eduire leet dune eventuelle compromission des cl es. Elle peut cependant egalement sav erer n ecessaire si les primitives cryptographiques sont sous-dimensionn ees par rapport au niveau de s ecurit e vis e. Il est cependant important de bien comprendre que dans un syst` eme cryptographiquement bien con cu il ne doit pas y avoir de ph enom` ene dusure des cl es limitant leur emploi. An de prot eger les cl es lors de leur stockage, celles-ci peuvent etre elles-m emes chir ees avec une autre cl e qui na g en eralement pas ` a etre partag ee. On d esigne en g en eral sous le terme de cl e noire une cl e ainsi chir ee, par opposition aux cl es rouges qui sont en clair. Il va de soi que lensemble des cl es dun syst` eme en fonctionnement ne peuvent toutes etre noires simultan ement. Notons enn un cas particulier darchitecture, encore assez courant, utilisant un secret largement partag e entre un grand nombre dutilisateurs. La divulgation de telles cl es a en g en eral des cons equences dramatiques en termes de s ecurit e, ce qui est contradictoire avec leur large diusion. Dans certaines applications, lusage exclusif de primitives sym etriques rend n ecessaire lemploi de telles architectures ; ceci milite fortement en faveur dune utilisation darchitectures asym etriques permettant de sen passer.
` titre dexemple, imaginons un groupe important de n individus souhaitant pouvoir sauA thentier mutuellement. En utilisant des techniques sym etriques, on peut soit pr evoir une cl e secr` ete par paire dindividu, ce qui implique que chacun m emorise au moins n 1 cl es, soit donner la m eme cl e` a tout le monde. Si lon souhaite de plus pouvoir ajouter de nouveaux membres facilement, cette derni` ere solution devient la seule possible. Cependant, quelle conance peuton avoir dans un tel syst` eme, m eme si la cl e est stock ee dans une enceinte prot eg ee telle une carte ` a puce ? Une mani` ere simple de r esoudre ce probl` eme avec une technique asym etrique est de faire choisir ` a chaque membre du groupe un bi-cl e dont la cl e publique est certi ee par une autorit e. Chaque membre doit donc uniquement m emoriser son bi-cl e et la cl e publique de lautorit e. On peut ensuite utiliser une des techniques didentication evoqu ees au chapitre A.2.1.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 43/ 60

A.5.2

Bi-cl es asym etriques

La gestion des bi-cl es en cryptographie asym etrique est ` a la fois plus simple et plus complexe que dans le cas sym etrique. Plus simple, et egalement plus s ure, car il ny a plus besoin de partager des secrets ` a plusieurs. Ainsi, la cl e priv ee na besoin d etre connue que de son seul d etenteur et certainement pas divulgu ee ` a dautres. Par cons equent, il ny a en th eorie nul besoin de faire g en erer de telles cl es par un tiers. On peut par exemple tout ` a fait concevoir quune cl e priv ee soit g en er ee par une carte ` a puce et qu` a aucun moment de la vie du syst` eme cette cl e nait ` a quitter lenceinte suppos ee s ecuris ee de la carte. Le probl` eme majeur qui se pose r eside cependant dans la n ecessit e dassocier une cl e publique a lidentit ` e de son d etenteur l egitime. Une telle certication de cl e publique peut etre eectu ee au moyen de la signature dun certicat par une autorit e qui certie de ce fait que telle cl e publique appartient bien ` a tel individu ou entit e. Il se pose alors le probl` eme de la v erication de cette signature qui va ` a son tour n ecessiter la connaissance de la cl e publique de lautorit e. An de certier cette cl e, on peut concevoir quune autorit e sup erieure g en` ere un nouveau certicat, et ainsi de suite. On construit ainsi un chemin de conance menant ` a une cl e racine en laquelle il faut bien nir par avoir conance, sans que cette conance soit garantie par un m ecanisme cryptographique. De telles constructions sont d esign ees sous le terme dinfrastructure ` a cl e publique (ICP ou PKI pour public key infrastructure ). La notion dInfrastructure de gestion de cl e (IGC ou KMI pour key management infrastructure ) recouvre quant ` a elle toutes les op erations denregistrement ou daectation dune cl e dans un syst` eme en y incluant aussi la v erication de lidentit e de son possesseur, les gestion de ses equipements, des r evocations, etc. Notons enn que dans de nombreuses applications pratiques, il est n ecessaire de disposer dune sorte de voie de secours permettant par exemple dacc eder ` a des donn ees chir ees sans etre pour autant destinataire de ces informations. Les motivations de tels m ecanismes de recouvrement peuvent etre multiples mais il est important dinsister sur le fait quelles peuvent etre parfaitement l egales et l egitimes. La m ethode la plus simple est le s equestre de cl es consistant ` a mettre sous scell es les cl es priv ees ou secr` etes tout en contr olant les conditions dacc` es ` a ces informations. Des travaux cryptographiques modernes proposent cependant de nombreuses autres solutions bien plus souples, s ures et ecaces.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 44/ 60

ements acad El emiques de dimensionnement cryptographique

Nous pr esentons dans cette annexe quelques informations issues dannonces et de publications acad emiques permettant de contribuer ` a la justication de certains dimensionnements cryptographiques. B.1 Records de calculs cryptographiques

Les records de calculs cryptographiques permettent de donner une borne inf erieure ` a la dicult e pratique de certains probl` emes. Ils concernent essentiellement le cassage de cl es sym etriques par enum eration de lensemble des cl es possibles (recherche dite exhaustive) ainsi que la r esolution de probl` emes math ematiques issus de la th eorie des nombres (factorisation et logarithme discret dans des structures vari ees). B.1.1 Records de calculs en cryptographie sym etrique

Les principaux records de calcul rendus publics ont utilis e le r eseau Internet et le b en evolat dinternautes acceptant deectuer des calculs sur leur ordinateur personnel en t ache de fond . Les principaux r esultats sont dune part le cassage de cl es DES de 56 bits : 17 juin 1997, 96 jours de calcul distribu e sur Internet, 23 f evrier 1998, 41 jours de calcul distribu e sur Internet17 , 17 juillet 1998, 56 heures de calcul sur une machine sp ecique18 dont le co ut a et e estim e a 250 000 dollars, ` 19 janvier 1999, 22 heures de calcul en combinant la machine pr ec edemment cit ee et des calculs sur Internet, Dautre part le cassage de cl es de chirement RC5 : 19 octobre 1997, version 56 bits cass ee apr` es 250 jours de calcul sur Internet, 14 juillet 2002, version 64 bits cass ee apr` es 1757 jours de calcul sur Internet. Il va de soi que ces records ne tiennent pas compte des capacit es de calcul de services gouvernementaux sp ecialis es qui ne recherchent bien evidemment pas la publicit e. Ceci ne doit cependant pas engendrer de parano a excessive, comme expliqu e au paragraphe A.1.1. B.1.2 Records de calcul de factorisation

Les principaux records successifs en termes de calcul de factorisation de modules produits de deux nombres premiers de taille comparable sont : juin 1993, 399 bits (120 chires d ecimaux) avril 1994, 429 bits (129 chires d ecimaux) 10 avril 1996, 432 bits (130 chires d ecimaux) 2 f evrier 1999, 466 bits (140 chires d ecimaux) 22 ao ut 1999, 512 bits (155 chires d ecimaux) Janvier 2002, 524 bits (158 chires d ecimaux) 1er avril 2003, 530 bits (160 chires d ecimaux) 3 d ecembre 2003, 576 bits (176 chires d ecimaux) 9 juin 2005, 663 bits (200 chires d ecimaux) Les deux premiers records ont utilis e lalgorithme du crible quadratique et les suivants lalgorithme du crible alg ebrique, le plus ecace connu ` a ce jour. La plupart des challenges ont et e propos es par la soci et e RSA19 .
17 18 19

Voir http ://www.distributed.net Voir http ://www.e.org/Privacy/Crypto/Crypto misc/DESCracker Les challenges de la soci et e RSA etaient disponibles sur http://www.rsasecurity.com/rsalabs/ es d etre valables en 2007. challenges, mais ont cess

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 45/ 60

bits 700 663 600 512 500 429 400 432 399 ann ees 1990 1995 2000 2005 2010 466 576 524 530

300

Fig. 6. Records de factorisation

B.1.2.1

Factorisation par des machines d edi ees

De m eme quil est possible de concevoir des machines d edi ees con cues exclusivement ` a des ns de calculs exhaustifs sur des cl es de chirement sym etrique, il est aujourdhui s erieusement envisag e de concevoir de telles machines an de factoriser de grands modules RSA. Le projet le plus abouti a et e pr esent e par Adi Shamir et Eran Tromer en ao ut 2003. Les estimations de co ut indiquent quil semblerait possible de r ealiser pour quelques dizaines de millions deuros une machine capable ` ce jour aucune annonce de conception de factoriser des modules de 1024 bits en moins dun an. A concr` ete na cependant et e faite. B.1.2.2 Autres records de factorisation

Notons enn que dans certains cas il est possible demployer des algorithmes de factorisation particuliers, plus ecaces que les algorithmes g en eraux mais ne sappliquant pas ` a tous les entiers (et en particulier, ` a ce jour, ne sappliquant pas aux modules RSA). Lalgorithme SNFS (crible alg ebrique dit sp ecial ) a ainsi permis de factoriser un entier de 244 chires d ecimaux (i.e. 809 bits) d ebut 2003, soit un entier bien plus grand que le dernier record RSA en date. Le m eme type dalgorithme a et e utilis e en 2007 pour factoriser le nombre 21039 1, ce qui a conduit pour la premi` ere fois dans lhistoire ` a la factorisation dun nombre de plus de 1024 bits. B.1.3 Records de calcul de logarithme discret dans GF(p)

Les principaux records successifs en termes de calcul de logarithme discret dans un corps ni premier ` ap el ements GF(p) sont : 25 septembre 1996, Weber, Denny et Zayer, 281 bits (85 chires d ecimaux) 26 mai 1998, Joux et Lercier, 298 bits (90 chires d ecimaux) 2000, Joux et Lercier, 331 bits (100 chires d ecimaux) 19 janvier 2001, Joux et Lercier, 364 bits (110 chires d ecimaux) 17 avril 2001, Joux et Lercier, 397 bits (120 chires d ecimaux) 18 juin 2005, Joux et Lercier, 432 bits (130 chires d ecimaux) o` u la taille en bits d esigne la taille du nombre premier p. 5 f evrier 2007, Bahr, Franke et Kleinjung, 532 bits (160 chires d ecimaux)

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 46/ 60

B.1.4

Records de calcul de logarithme discret dans GF(2n )

Les principaux records successifs en termes de calcul de logarithme discret dans un corps ni a 2n ` el ements GF(2n ) sont : 1992, Gordon et McCurley, GF(2401 ) soit 401 bits 25 septembre 2001, Joux et Lercier, GF(2521 ) soit 521 bits 23 f evrier 2002, Thom e, GF(2607 ) soit 607 bits 22 septembre 2005, Joux et Lercier, GF(2613 ) soit 613 bits On notera en particulier qu` a taille de corps equivalente, le calcul de logarithme discret est bien plus facile dans GF(2n ) que dans GF(p). B.1.5 Records de calcul de logarithme discret dans GF(pn )

Les principaux records en termes de calcul de logarithme discret dans un corps ni ` a pn el ements n GF(p ), pour p sup erieur ` a 2, sont les suivants : 28 juin 2005, Lercier et Vercauteren, GF(37080118 ) soit 336 bits (101 chires d ecimaux) 24 octobre 2005, Joux et Lercier, GF(6553725 ) soit 400 bits (120 chires d ecimaux) 9 novembre 2005, Joux et Lercier, GF(37080130 ) soit 556 bits (168 chires d ecimaux) ao ut 2006, Joux, Lercier et Vercauteren, GF(p3 ) soit 400 bits (120 chires d ecimaux) On notera en particulier qu` a taille de corps equivalente, le calcul de logarithme discret pour p et n de taille moyenne est dune dicult e interm ediaire entre la dicult e dans GF(2n ) et dans GF(p). B.1.6 Calcul de logarithme discret sur courbe elliptique

Challenge ECCp-79 ECCp-89 ECCp-97 ECCp-109 ECCp-131 ECC2-79 ECC2-89 ECC2-97 ECC2-109 ECC2-131 ECC2K-95 ECC2K-108 ECC2K-130

Date dannonce 06/12/1997 12/01/1998 18/03/1998 06/11/2002

Nombre dop erations 240 244 247 254

Non r esolu 16/12/1997 09/02/1998 22/09/1999 15/04/2004 Non r esolu 21/05/1998 04/04/2000 Non r esolu 244 251 240 244 247 254

La soci et e Certicom a publi e le 6 novembre 1997 une liste de challenges20 concernant le probl` eme du logarithme discret sur courbe elliptique. Les challenges sont de trois types : courbe elliptiques quelconque d enie sur GF(p) ou sur GF(2n ), et courbe de Koblitz egalement d enie sur GF(2n ). Ces challenges sont respectivement d esign es par les codes ECCp-x, ECC2-x et ECC2Kx, o` u x d esigne la taille en bits de lordre premier du sous-groupe dans lequel sont d enies les op erations. Nous avons reproduit ci-dessus les r esultats annonc es jusqu` a aujourdhui ainsi que les prochains challenges non-r esolus et le nombre dop erations qui ont et e n ecessaires.
20

Voir http ://www.certicom.com

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 47/ 60

B.2

Etude de la taille des cl es dapr` es larticle de Lenstra [Len04]

A. Lenstra a publi e en 2004 un article visant ` a comparer les niveaux de robustesse des divers probl` emes employ es en cryptographie. Ce travail acad emique doit bien entendu etre consid er e avec beaucoup de prudence ; il a cependant le m erite de proposer des mod` eles ` a la fois motiv es et raisonnables. Mise en garde : ce travail est mentionn e dans ce document car il est le plus complet r ealis e` a ce jour dans ce domaine par des chercheurs du milieu acad emique. Il est, de plus, souvent r ef erenc e, ainsi que sa version ant erieure, datant de 2001. Le fait de le citer et de reproduire quelques-uns des r esultats dans cette annexe ne constitue cependant pas une caution de larticle pris dans son int egralit e. Nous laissons en particulier aux auteurs la responsabilit e de certaines armations.

B.2.1

Evolution des tailles de cl es sym etriques

Il est facile destimer l evolution des tailles de cl es sym etriques n ecessaires sous lhypoth` ese dune loi de Moore selon laquelle la quantit e de m emoire et la puissance de calcul disponible pour evolution des tailles un prix donn e double tous les 18 mois. Le graphique de la gure 7 indique l

bits 110 Moore : 15 mois 100 Moore : 18 mois 90

80

Moore : 2 ans

70

60

ann ees 1980 1990 2000 2010 2020 2030 2040 2050

Fig. 7. Taille de cl e sym etrique orant une s ecurit e equivalente ` a celle du DES en 1982

de cl es n ecessaires an de demeurer equivalent ` a la s ecurit e du DES (56 bits) en 1982 : en vertu de ce qui pr ec` ede, la longueur de cl e n ecessaire augmente dun bit tous les 18 mois. Le graphique

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 48/ 60

se lit donc de la fa con suivante. Lann ee est donn ee en abscisse. Lordonn e indique la taille de cl e ` titre de comparaison, on a en bit orant une s ecurit e equivalente ` a la s ecurit e du DES en 1982. A repr esent e en pointill es ce que donnerait lextrapolation bas ee sur une loi de Moore plus optimiste (doublement tous les 15 mois) ou plus pessimiste (doublement tous les 24 mois). Remarques : Des cl es de 128 bits apportent un tr` es haut niveau de s ecurit e face ` a une attaque par recherche exhaustive, Des cl es de 256 bits orent une s ecurit e d emesur ee face aux attaques par recherche exhaustive, En conclusion, on peut se prot eger ecacement contre les attaques par recherche exhaustive, m eme ` a un horizon tr` es lointain. B.2.2 Evolution des tailles de modules en cryptographie asym etrique

Le m eme genre d evaluation peut etre r ealis e pour des modules asym etriques. Le graphique de la gure 8 se lit de la fa con suivante. Lann ee est donn ee en abscisse. Lordonn e indique la taille de module en bit orant une s ecurit e equivalente ` a la s ecurit e du DES en 1982. En poursuivant le raisonnement de larticle de Lenstra, on adopte les hypoth` eses suivantes : tout dabord les records publi es laissent ` a penser que les implantations mat erielles conduisent ` a un meilleur rapport performances/co ut ; de fait la loi de Moore dun doublement de puissance du mat eriel tous les 18 mois est applicable ; par ailleurs, les am eliorations dans limplantation des algorithmes de factorisation sont egalement ` a prendre en compte : lexp erience montre quelles correspondent assez bien ` a une progression de type loi de Moore. Larticle de Lenstra [Len04] fait lhypoth` ese que les deux facteurs de progr` es (am eliorations du mat eriel et avanc ees algorithmiques) sont ind ependants, et peuvent donc saccumuler ; en loccurrence, on obtient une division par deux de la dicult e de factoriser un module de taille donn ee au bout de 9 mois. esente l evolution des tailles de module Sur la gure 8, la courbe rouge en trait plein repr en se basant sur les hypoth` eses pr ec edentes. Par ailleurs, les eventuels progr` es algorithmiques, en factorisation dentiers comme en calcul de logarithmes discrets, peuvent avoir une inuence consid erable sur le choix des tailles de param` etres. Le meilleur algorithme de factorisation connu aujourdhui, le crible alg ebrique ou NFS, a une complexit e not ee L[, c] qui d epend de deux facteurs : une constante c et un exposant . La courbe verte en pointill e repr esente les tailles de module orant une s ecurit e equivalente au DES en 1982, en supposant que lon dispose dun algorithme pour lequel la constante c vaut 1.60 au lieu de 1.92 (avec un exposant inchang e et une loi de Moore bas ee sur 9 mois). La courbe noire en pointill e repr esente le m eme ph enom` ene en supposant que lon dispose dun algorithme pour lequel lexposant vaut 0.30 au lieu de 1/3 (Les autres param` etres etant pris, l` a encore, identiques ` a ceux de la courbe rouge). On notera que ces deux courbes sintersectent. Remarques : La croissance est nettement non lin eaire ` a cause de lexistence dalgorithmes dits sousexponentiels tels que les cribles quadratiques et alg ebriques. ` moyen terme, lemploi de modules de grande taille simpose. A Aucune distinction nest faite ici entre probl` eme de factorisation et de logarithme discret dans GF(p) car cette distinction aurait peu de sens en pratique. On consid` ere cependant que le probl` eme du logarithme discret est l eg` erement plus dicile que celui de la factorisation ; en pratique, dans les gammes de taille qui nous int eressent, 100 ` a 200 bits les s eparent, cette approximation etant tr` es impr ecise. Une comparaison de cette courbe et des records annonc es publiquement est n ecessaire. Les courbes de la gure 8 ont vocation ` a guider les choix de param` etres pour eviter le cassage dun

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 49/ 60

bits 4000 L[0.3, c]

3500 L[, 1.6] 3000

2500

2000

NFS=L[, c]

1500

1000

500 Figure 9 ann ees 1980 1990 2000 2010 2020 2030 2040 2050

Fig. 8. Taille de module orant une s ecurit e equivalente ` a celle du DES en 1982. Inuence de la constante (en vert) et de lexposant (en noir) du crible alg ebrique (NFS). Les param` etres actuels de lalgorithme NFS sont = 1/3 et c = 3 64/9 1.92.

syst` eme, alors que les records ne traduisent que le savoir-faire acad emique en mati` ere de cassage. Ces records ne rendent pas compte des r ealisations non publi ees. Ces pr ecautions etant prises, observons les records publi es et comparons les aux courbes pr ec edentes : dans la gure 9 Les 9 records de factorisation sont indiqu es par les billes bleues. La droite noire et epaisse est une interpolation lin eaire de ces records ; La courbe rouge continue correspond ` a la courbe rouge de la gure 8 : meilleur algorithme connu (crible alg ebrique NFS), soutenu par une loi de Moore de doublement tous les 9 mois ; La courbe rouge en pointill e repr esente le m eme sc enario d ecal e de 12,5 ans. Que peut-on conclure de ce graphe ? Il est tout dabord evident que les points exp erimentaux sont peu nombreux et donc certainement peu signicatifs. De plus, on na pas tenu compte de leffort de calcul qui a et e n ecessaire pour obtenir chacun de ces records. On constate cependant que lhypoth` ese faite sur la loi de Moore (progr` es conjoints du mat eriel et de la qualit e dimplantation des algorithmes) correspond assez bien ` a une avance de 12 ans sur les records (ou sur leur interpolation). Dans tous les cas, il convient de rester extr emement prudent quant ` a linterpr etation de

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 50/ 60

bits 1100

1000

900

800

12.5 ans

700

600

500 NFS 400

300 1980 1985 1990 1995 2000 2005 2010 2015

ann ees

Fig. 9. Comparaison entre les records de factorisation et les tailles th eoriques n ecessaires pour une s ecurit e equivalente ` a celle du DES en 1982

ces r esultats : les courbes obtenues ici sont bas ees sur des hypoth` eses qui, tout en etant r ealistes, sont avant tout arbitraires. De plus ces courbes sont extr emement proches les unes des autres et semblent tr` es sensibles ` a une petite variation des param` etres. En conclusion, des principes cryptographiques el ementaires poussent ` a tenir compte de toutes les hypoth` eses disponibles permettant de dimensionner correctement un syst` eme an de se mettre ` a labri des attaquants les plus puissants. Cest le parti pris dans larticle de Lenstra et egalement par la plupart des experts du domaine. Les observations que nous venons de faire peuvent cependant pousser certains concepteurs ` a assumer le risque demployer des modules plus petits an de gagner en performance tout en maintenant une s ecurit e apparemment susante . Le d ebat peut bien entendu se prolonger ` a linni car il est impossible de le trancher objectivement avec des arguments indiscutables. B.2.3 Evolution des tailles de courbes elliptiques

esume les di erentes Le m eme travail est r ealis e dans le cas de courbes elliptiques. La gure 10 r situations, et se lit de la fa con suivante. Lann ee est donn ee en abscisse. Lordonn e indique la taille

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 51/ 60

de module en bit orant une s ecurit e equivalente ` a la s ecurit e du DES en 1982. La courbe rouge correspond au sc enario actuel, en se basant sur une loi de Moore orant un doublement de la puissance de calcul tous les 18 mois (autrement dit, la m eme hypoth` ese que les courbes rouges continues des gures pr ec edentes). Une loi de Moore tr` es optimiste dun doublement tous les ans m` ene ` a la courbe en bleu et en pointill e. Enn en tenant compte dhypoth etiques progr` es algorithmiques (algorithmes en O(q 0.4 ) au lieu de O(q 0.5 ) o` u q d esigne le nombre de points de la courbe), on obtient la courbe en noir et en pointill e.

bits 260

240

220

200

O(q 0.4 )

180

O(q 0.5 )

160

140

120

ann ees 1980 1990 2000 2010 2020 2030 2040 2050

Fig. 10. Taille de courbes elliptiques orant une s ecurit e equivalente ` a celle du DES en 1982, et inuence des potentiels progr` es algorithmiques (en noir).

B.2.4

Equivalence de s ecurit e entre tailles de module asym etrique et de cl e sym etrique

An de comparer cl es sym etriques et asym etriques, on peut reprendre les donn ees pr ec edentes et tracer les equivalences, ind ependamment du temps. On obtient les courbes de la gure 11 comparant les cl es sym etriques et les modules asym etriques. Le graphique se lit de la fa con suivante.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 52/ 60

Le nombre de bits des cl es sym etriques est donn e en abscisse. Lordonn e indique la taille en bits du module asym etrique orant une s ecurit e equivalente. La courbe en rouge r esulte de linterpr etation de la formule de complexit e du meilleur algorithme connu (crible alg ebrique ou NFS). La courbe verte en pointill e repr esente le sc enario o` u un progr` es algorithmique permet un gain de 25% sur la constante c, soit une valeur c = 1.44. La courbe noire et en pointill e repr esente le sc enario o` u un progr` es de 25% est fait sur la valeur de lexposant , soit une valeur = 1/4.

bits de module 4000

3500

L[0.25, c]

3000

2500

L[, 1.44]

2000

1500

NFS

1000

500

bits 0 20 40 60 80 100 120 140

Fig. 11. Equivalence entre taille de module asym etrique et taille de cl e sym etrique. Inuence des progr` es algorithmiques (gain de 25%) sur la constante (courbe verte) ou lexposant (courbe noire) du crible alg ebrique.

Remarques : Rechercher une s ecurit e equivalente en cryptographie asym etrique bas ee sur le probl` eme de la factorisation ou sur celui sur logarithme discret ` a celle apport ee en cryptographie

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 53/ 60

sym etrique par une cl e secr` ete de plus de 128 bits m` ene ` a des tailles de cl e tr` es importantes, peu utilisables en pratique. Il est absurde de chercher ` a utiliser des modules dune s ecurit e comparable ` a celle dune cl e sym etrique de 256 bits. Il est courant de chercher ` a comparer la taille des cl es sym etriques et celle des cl es asym etriques en estimant le nombre de bits asym etriques equivalent, en termes de s ecurit e, ` a un bit sym etrique . En dautres termes, ceci nest rien dautre que la pente de la courbe de la Figure 11. On peut par cons equent enoncer en termes courants que : pour des cl es longues denviron 1024 bits, un bit sym etrique equivaut ` a 51 bits asym etriques , pour des cl es longues denviron 2048 bits, un bit sym etrique equivaut ` a 77 bits asym etriques . On peut egalement reformuler ces armations sous la forme suivante : pour doubler leort n ecessaire an de factoriser un module de 1024 bits, il convient dutiliser un module de 1024+51=1075 bits . B.2.5 Equivalence de s ecurit e entre tailles de courbe elliptique et de cl e sym etrique

Le m eme proc ed e peut etre appliqu e pour comparer les cl es sym etriques et les cryptosyst` emes ` base de courbes elliptiques. On obtient les courbes de la gure 12. Le graphique se lit de la a fa con suivante. Le nombre de bits des cl es sym etriques est donn e en abscisse. Lordonn e indique la

taille de courbe 640

560

480 O(q 0.4 ) O(q 0.5 )

400

320

240

160

80

bits 0 20 40 60 80 100 120 140 160 180 200 220 240 260

Fig. 12. Equivalence entre dimensionnement de cryptosyst` eme ` a base de courbe elliptique et taille de cl e sym etrique

taille en bits de la courbe elliptique orant une s ecurit e equivalente. La courbe en rouge r esulte de

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 54/ 60

linterpr etation de la formule de complexit e du meilleur algorithme connu (en O(q 0.5 )). La courbe noire en pointill e repr esente le sc enario o` u un progr` es algorithmique permet davoir une complexit e en O(q 0.4 ).

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 55/ 60

Bibliographie
Mihir Bellare and Philipp Rogaway. Optimal asymmetric encryption. In Proceedings of Eurocrypt 1994, volume 839 of LNCS, pages 92111. Springer-Verlag, 1994. Whiteld Die and Martin Hellman. New directions in cryptography. IEEE Transactions on Information Theory, 22(6) :644654, 1976. Arjen Lenstra. Handbook of Information Security, volume 2, chapter Key Lengths. Wiley, 2004.

BR94. DH76. Len04.

MvV97. Alfred J. Menezes, Paul C. van Oorschot, and Scott A. Vanstone. Handbook of Applied Cryptography. CRC Press, 1997. http://www.cacr.math.uwaterloo.ca/hac. Sch01. Sin99. Ste98. Sti01. Vau06. Bruce Schneier. Cryptographie appliqu ee. Vuibert, 2001. Simon Singh. Histoire des codes secrets. JC Latt` es, 1999. Jacques Stern. La science du secret. Editions Odile Jacob, 1998. Douglas Stinson. Cryptographie, th eorie et pratique. Vuibert, 2001. Serge Vaudenay. A Classical Introduction to Cryptography : Applications for Communications Security. Springer, 2006.

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 56/ 60

D
1

Liste des tableaux


Ordre de grandeur de la valeur de 2n . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 57/ 60

E
1 2 3 4 5 6 7 8

Table des gures


23 23 32 35 43 46 48

Architecture g en erique pour la g en eration dal ea cryptographique . . . . . . . . . . . . . . . . . . . Architecture minimale pour la g en eration dal ea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode op eratoire CBC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mode op eratoire CBC-MAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . G en erateur pseudo-al eatoire X9.31 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Records de factorisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Taille de cl e sym etrique orant une s ecurit e equivalente ` a celle du DES en 1982 . . . . . . . Taille de module orant une s ecurit e equivalente ` a celle du DES en 1982. Inuence de la constante (en vert) et de lexposant (en noir) du crible alg ebrique (NFS). Les param` etres actuels de lalgorithme NFS sont = 1/3 et c = 3 64/9 1.92. . . . . . . . . . . 9 Comparaison entre les records de factorisation et les tailles th eoriques n ecessaires pour une s ecurit e equivalente ` a celle du DES en 1982 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 Taille de courbes elliptiques orant une s ecurit e equivalente ` a celle du DES en 1982, et inuence des potentiels progr` es algorithmiques (en noir). . . . . . . . . . . . . . . . . . . . . . . . . 11 Equivalence entre taille de module asym etrique et taille de cl e sym etrique. Inuence des progr` es algorithmiques (gain de 25%) sur la constante (courbe verte) ou lexposant (courbe noire) du crible alg ebrique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Equivalence entre dimensionnement de cryptosyst` eme ` a base de courbe elliptique et taille de cl e sym etrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

50 51 52

53 54

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 58/ 60

Index des termes et des acronymes utilis es

AES, 810, 12, 14, 25 ANSI, 25, 42 CBC, 11, 12, 14 CBC-MAC, 14 CFB, 11, 13 CTR, 11, 13 DES, 8, 10, 14, 30, 45, 48, 51 DFA, 6 DPA, 6 ECB, 11 ECDSA, 20 FIPS, 10, 18, 20, 21, 25 GF(2n ), 1618, 47 GF(p), 1618, 46, 47, 49 HO-DPA, 6 MAC, 14 NIST, 25, 30 OAEP, 19 OFB, 11, 13 PIN, 31 PKCS, 19, 20 PSS, 20 RSA, 15, 19, 20, 45, 46, 49 SHA, 21 SPA, 6

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 59/ 60

Index des r` egles et des recommandations


Recom-ChiFlot-1, 13 Recom-ChiFlot-2, 13 Recom-Cl eSym-1, 8 Recom-EC2-1, 18 Recom-ECp-1, 17 Recom-Fact-1, 15 Recom-Fact-2, 15 Recom-GestSym-1, 26 Recom-Hash-1, 21 Recom-IntegSym-1, 14 Recom-Log2-1, 17 Recom-Log2-2, 17 Recom-Logp-1, 16 Recom-ModeChi-1, 11 Recom-ModeChi-2, 11 Recom-ModeChi-3, 11 Recom-SignAsym-1, 20

R` egle-AlgoBloc-1, 10 R` egle-AlgoBloc-2, 10 R` egle-AlgoGDA-1, 25 R` egle-AlgoGDA-2, 25 R` egle-AlgoGDA-3, 25 R` egle-ArchiGDA-1, 23 R` egle-ArchiGDA-2, 23 R` egle-ArchiGDA-3, 23 R` egle-ArchiGVA-1, 24 R` egle-ArchiGVA-2, 24 R` egle-BlocSym-1, 9 R` egle-BlocSym-2, 9 R` egle-ChiFlot-1, 13 R` egle-ChiFlot-2, 13 R` egle-Cl eSym-1, 8 R` egle-Cl eSym-2, 8 R` egle-EC2-1, 18 R` egle-EC2-2, 18 R` egle-EC2-3, 18 R` egle-EC2-4, 18 R` egle-ECp-1, 17 R` egle-ECp-2, 17 R` egle-ECp-3, 17 R` egle-Fact-1, 15 R` egle-Fact-2, 15 R` egle-Fact-3, 15 R` egle-Fact-4, 15 R` egle-GestAsym-1, 27 R` egle-GestAsym-2, 27 R` egle-GestSym-1, 26 R` egle-GestSym-2, 26 R` egle-GestSym-3, 26 R` egle-Hash-1, 21 R` egle-Hash-2, 21 R` egle-Hash-3, 21 R` egle-IntegSym-1, 14 R` egle-IntegSym-2, 14 R` egle-Log2-1, 17 R` egle-Log2-2, 17 R` egle-Log2-3, 17 R` egle-Logp-1, 16 R` egle-Logp-2, 16 R` egle-Logp-3, 16 R` egle-ModeChi-1, 11 Recom-AlgoBloc-1, 10 Recom-ArchiGDA-1, 23 Recom-ArchiGVA-1, 24 Recom-BlocSym-1, 9 Recom-ChiAsym-1, 19

Version V1.20

Annexe B1 au RGSv1.0 : Choix et dimensionnement des m ecanismes cryptographiques Date Crit` ere de diusion 26 janvier 2010 PUBLIC

Page 60/ 60