Chiffrement Par Flux Ou Flot

CRYPTOGRAPHIE
Chirement par ot
E. Bresson
SGDN/DCSSI Laboratoire de cryptographie
Emmanuel.Bresson@sgdn.gouv.fr
CHIFFREMENT PAR FLOT
Chirement par ot Chirement RC4 S ecurit e du Wi-
Chirement par ot
RC4 Wi Conclusion
I. CHIFFREMENT PAR FLOT
I.1. CHIFFREMENT PAR FLOT
Organisation de la section CHIFFREMENT PAR FLOT

Introduction G en erateurs pseudo-al eatoires Pratique Algorithmes
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT
3/53
Chirement par ot Introduction
RC4 Wi Conclusion
GPA Pratique Algorithmes
Introduction
4/53
Chirement par ot Introduction (1/5)
RC4 Wi Conclusion GPA Pratique Algorithmes
LE CHIFFREMENT SYMETRIQUE
La cl e de chirement est la m eme que la cl e de d echirement
k m
5/53
CHIFFREMENT SYMETRIQUE
2 grandes familles: blocs et ots

Chirement par blocs: les messages sont d ecoup es en blocs DES: blocs de 64 bits, cl es de 56 bits AES: blocs de 128 bits ... Chirement par ots: les donn ees sont trait ees en ux traitement bit par bit RC4 : chirement octet par octet ...
6/53
CHIFFREMENT PAR FLOT (STREAM CIPHER)

Caract eristiques Pas besoin de lire le message ni davoir sa longueur pour commencer ` a chirer G en eration de pseudo-al ea, appel e ux de cl e (keystream) que lon combine (souvent par XOR) avec le ux de donn ees GPA keystream
Clair m
Chir ec
7/53
STREAM CIPHERS
Les chirements par ots sont tr` es utilis es pour prot eger les donn ees multim edia: RC4 (utilis e dans SSL et dans le WiFi 802.11) E0/1 (norme Bluetooth) A5/1, A5/2, A5/3 (utilis es dans le GSM)
8/53
CARACTERISTIQUES
Tr` es bonnes performances, mais s ecurit e d elicate
Avantages Les stream ciphers sont de fa con g en erale: tr` es rapides (en mat eriel et en logiciel) impl ementation mat erielle avec peu de portes adapt es aux applications temps r eel Inconv enients Principaux probl` emes: propagation derreurs (prob. de synchronisation) s ecurit e dicile ` a atteindre (pas de preuve)
M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT 9/53
RC4 Wi Conclusion Pratique Algorithmes
G en erateurs pseudo-al eatoires
G en erateurs pseudo-al eatoires
10/53
G en erateurs pseudo-al eatoires (1/4)
ERATEUR GEN PSEUDO-ALEATOIRE

En pratique un chirement par ux est r ealis e en utilisant un g en erateur pseudo-al eatoire Cl e GPA m1 m2 m3
c1
c2
c3
11/53
SOUS-JACENTE IDEE
Le chirement de Vernam (masque jetable): cl e = suite al eatoire parfaite cl e aussi longue que le message op erations tr` es simples incomditionnellement s ur Chirement par pseudo-al ea Les chirements par ux sinspirent du chire de Vernam mais utilisent une suite pseudo-al eatoire, g en er ee ` a partir de quelques bits de cl e r eellement al eatoires
12/53
(PSEUDO-RANDOMNESS) PSEUDO-ALEA
Pseudo-al ea = al ea imparfait Propri et e souhait ee: impossible ` a distinguer dun v eritable al ea Plus pr ecis ement: Propri et es du pseudo-al ea: Equilibre: la sortie vaut 0 ou 1 avec probabilit e 1/2 Ind ependance: chaque bit de sortie est ind ependant des suivants et des pr ec edents Tr` es dicile ` a satisfaire. . .
13/53
SECURIT E
Al ea pur m GPA m S ecurit e Lorsque le ux de cl e est XOR- e avec le ux de donn ees, la s ecurit e revient ` a lindistinguabilit e du ux de cl e par rapport ` a un ux purement al eatoire
c Inconditionnel
S ecurit e?
14/53
Chirement par ot Introduction GPA
Pratique
15/53
RC4 Wi Conclusion Pratique (1/4) Algorithmes
MISE EN OEUVRE
A priori, probl` eme pour chirer plusieurs messages avec la m eme cl e: m eme cl e = m eme al ea Ek (M1 ) Ek (M2 ) = M1 M2 solution: ne pas r einitialiser le GPA entre deux chirements ?
pas r ealiste (obligation de m emoriser un etat)
Solution On utilise une entr ee auxiliaire IV (vecteur dinitialisation)
16/53
VECTEUR DINITIALISATION
Solution On utilise une entr ee auxiliaire IV (vecteur dinitialisation)
Cl eK
GPA
IV
keystream
Clair m
Chir ec
17/53
FABRICATION DUN GPA

Un GPA sera constitu e de: 1. etat interne: susamment grand (recherche exhaustive) 2. fonction d evolution 3. fonction dextraction
K , IV
Etat interne Ei
Fonction d evolution
Fonction dextraction
` PARAMETRES IMPORTANTS
Taille de la cl e: recherche exhaustive Taille de l etat interne: recherche exhaustive Taille de lIV: recherche en collisions
19/53
Chirement par ot
RC4 Wi Conclusion Algorithmes
Introduction GPA Pratique
Algorithmes
20/53
Chirement par ot
RC4 Wi Conclusion Algorithmes (1/3)
ALGORITHMES DE CHIFFREMENT PAR FLOTS
2 grandes cat egories: 1. chirements synchrones: la sortie du GPA ne d epend que de son etat interne
probl` emes de synchronisation exemples: modes OFB et CTR dun chirement bloc
2. chirements asynchrones: la sortie du GPA d epend de son etat interne et de plusieurs symboles du message
rebouclage avec clair ou chir e exemples: mode CFB dun chirement bloc
21/53
Chirement par ot
EXEMPLES DE CHIFFREMENTS PAR FLOTS
RC4: op erations arithm etiques: chirement par octets

Propos e par Rivest en 87, post e sur Usenet en 95, reconnu en 2001 Lotus Notes, SSH, Wi 802.11,. . . Structure originale
A5/1, E0: dans GSM, Bluetooth,. . . SNOW, SOBER: registre ` a d ecalage sur GF (232 ) T-fonctions: utilisation de fonctions d evolution non lin eaires bien etudi ees: X X + (X 2 5) Plus r ecents: Helix, SEAL, Rabbit
22/53
Chirement par ot
MODES OPERATOIRES DE FLUX
Certains modes op eratoires permettent ` a des chirements par blocs de se comporter comme des chirements par ux CFB (Cipher Feed-Back ) et OFB (Output Feed-Back )
23/53
Stream
Chirement RC4
Wi Conclusion
I.2. CHIFFREMENT RC4
Organisation de la section CHIFFREMENT RC4

Introduction S ecurit e de RC4
24/53
Stream
Chirement RC4 S ecurit e
Wi Conclusion
Introduction
CHIFFREMENT RC4
Introduction
25/53
Stream
Chirement RC4
Wi Conclusion
Introduction (1/4)
S ecurit e
CHIFFREMENT RC4
Algorithme d evelopp e par Ron Rivest en 1987 RC = Rivest Cipher (ou encore Rons Code) brevet e et tenu secret par la soci et e RSA Inc. d etails post es anonymement sur Usenet en 1994. . . mais jamais approuv es ociellement par RSA Largement utilis e: WEP, WPA, SSL/TLS, Oracle SQL . . . grande simplicit e, facilit e de mise en uvre excellentes performances (vitesse de chirement)
26/53
Stream
Chirement RC4
Wi Conclusion
Introduction (2/4)
S ecurit e
CHIFFREMENT RC4
Du point de vue technique: 1. RC4 est un chirement par ux (octet par octet)
permet datteindre des performances logicielles
2. impl emente un g en erateur pseudo-al eatoire

etat interne = un tableau codant une permutation de 256 octets deux pointeurs i et j sur des cases du tableau
La cl e est utilis ee pour m elanger le tableau le mieux possible, puis le tableau (la permutation) evolue ` a chaque tour
27/53
Stream
Chirement RC4
Wi Conclusion
Introduction (3/4)
S ecurit e
CHIFFREMENT RC4
Initialisation (pour une cl e K de longueur ) RC4 key schedule for i = 0 to 255 do S [i ] := i // permutation j := 0 for i = 0 to 255 do j := (j + S [i ] + K [i mod ]) mod 256 swap(S [i ], S [j ])
identit e
Longueur de cl e: de 5 octets (40 bits) ` a 256 (= 2048 bits !)
28/53
Stream
Chirement RC4
Wi Conclusion
Introduction (4/4)
S ecurit e
CHIFFREMENT RC4
G en eration de ux pseudo-al eatoire Keystream generation i := 0 j := 0 while g en eration do i := i + 1 mod 256 j := j + S [i ] mod 256 swap(S [i ], S [j ]) output S [S [i ] + S [j ] mod 256]
29/53
Stream
Chirement RC4
Wi Conclusion
Introduction
S ecurit e de RC4
CHIFFREMENT RC4
S ecurit e de RC4
30/53
Stream
Chirement RC4
Wi Conclusion
Introduction
S ecurit e de RC4 (1/3)
DE RC4: LE FLUX SECURIT E
Il existe des biais sur le ux pseudo-al eatoire g en er e: Fluhrer et McGrew (2000) d ecrivent un distingueur entre le ux et un al ea pur. . .
moyennant la donn ee dun giga-octets de ux
Mantin et Shamir (2001) d ecouvrent un biais important dans le second octet du ux

valeur 0 avec probabilit e 1/128 au lieu de 1/256 sous certaines conditions (cl es faibles)
31/53
Stream
Chirement RC4
Wi Conclusion
Introduction
DE RC4: LINIT SECURIT E

Il existe des faiblesses dans linitialisation: Fluhrer, Mantin et Shamir (2001) montrent un biais dans certains cas (resolved cases)
certains motifs de la cl e se r epercutent dans l etat interne et sont d etectables dans le ux pseudo-al eatoire de sortie do` u un distingueur (par rapport ` a un al ea vrai)
Or certaines applications (dont WEP) utilisent une simple concat enation de lIV avec la cl e pour eectuer les initialisations donc les motifs de lIV sont directement concern es or lattaquant conna t lIV. . .(voire il peut le choisir !) Attaque r ealiste Avec 6 millions de chir es (intercept es via une attaque passive), on retrouve lint egralit e de la cl e secr` ete
Stream
Chirement RC4
Wi Conclusion
Introduction
DE RC4: LETAT SECURIT E
Le nombre de permutation de 256 valeurs est enorme: 256! 21684 donc un etat interne de 1700 bits environ (avec i et j )
Mais cela nexclue pas les faiblesses statistiques certains etats (216 0, 015%) sont inaccessibles certaines cl es sont faibles et r eduisent lespace des etats qui seront atteints
33/53
Stream RC4
S ecurit e du Wi-
Conclusion
DU WI-FI I.3. SECURIT E
Organisation de la section DU WI-FI SECURIT E

Introduction Attaque sur le WEP Wi Protected Access (WPA)
34/53
Stream RC4 Introduction
S ecurit e du Wi- WEP WPA
Conclusion
DU WI-FI SECURIT E
Introduction
35/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (1/3)
WEP WPA
LA CRYPTO DANS LE WIFI
Le Wi intervient dans la couche data entre couche physique et couche r eseau protocole normalis e IEEE 802.11 en 1997 objectif: condentialit e et int egrit e ( !)
Attaques successives Les versions ant erieures ` a 802.11i (nalis ee en 2004) doivent etre consid er ees comme cass ees
36/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (2/3)
WEP WPA
LE WEP
WEP = Wired Equivalent Privacy Utilise RC4 pour la condentialit e: WEP 40 = 24 bits pour lIV et 40 bits de cl e (lois U.S.) WEP 104 = 24 bits pour lIV et 104 bits de cl e (104 bits = 26 caract` eres hexa) WEP 232 (256 au total): parfois propos e CRC32 pour lint egrit e
37/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction (3/3)
WEP WPA
AUTHENTIFICATION WEP
Open System / Shared Key Authentication Open system authentication: association au bon r eseau (ID) authentication via possession de la cl e Shared key authentication: le client envoie une requ ete dauthentication le serveur (access point ) envoie un clair le client doit renvoyer le chir e Semble plus s ur. . .mais est plus dangereux (clairs connus)
38/53
S ecurit e du Wi-
Conclusion WPA
Attaque sur le WEP
DU WI-FI SECURIT E
Attaque sur le WEP
39/53
S ecurit e du Wi-
Conclusion WPA
Attaque sur le WEP (1/7)
CHIFFREMENT WEP AVEC RC4
Comment sont chir es les paquets ?
Une m eme cl e K pour tous les paquets: on d erive la cl e k = IV K pour chaque paquet, on calcule un CRC32 ou ICV (Integrity Check Value ) on chire Ci = RC 4k (Mi ICVi ) LIV est transmis dans len-t ete du paquet Lattaquant conna t une partie de la cl e!
40/53
S ecurit e du Wi-
Conclusion WPA
IV DANS LE WEP
Comment est initialis e / utilis e lIV ? Le WEP ne sp ecie pas comment est initialis e lIV certaines cartes PC linitialisent ` a 0 et incr ementent de 1 ` a chaque message. . . certaines cartes ne chirent pas du tout (le WEP est optionnel) IV visible = attaque passive Lespace des IV est beaucoup trop petit: 24 bits = collision en 212 = 4096 forte probabilit e de r eutiliser un IV, m eme si attaque passive
S ecurit e du Wi-
Conclusion WPA
` CHIFFREMENT WEP: PROBLEMES

2001 : mise en evidence des faiblesses li ees ` a lICV: lICV prot` ege contre les erreurs accidentelles, mais pas malicieuses les IV peuvent etre r e-inject es intentionnellement (rejeu) Par ailleurs, les faiblesses identi ees dans RC4 sont exploitables dans le cas du WEP: classes dIV faibles une partie du clair est souvent connue
42/53
S ecurit e du Wi-
Conclusion WPA
LES ATTAQUES SUR WEP

Authentication: 1. envoi dun clair par le AP (Access Point ) 2. le client r epond par le chir e (144 octets) = attaque ` a chir e choisi ! La connaissance des en-t etes et lexploitation de la fragmentation des trames 802.11 permet dam eliorer la technique On peut donc injecter sur le r eseau WEP des paquets arbitraires coh erents avec les paquets l egitimes
43/53
S ecurit e du Wi-
Conclusion WPA
SUITE DE LATTAQUE
Comment remonter ` a la cl e?
La cl e ne change pas, il y a 224 IV possibles: donc seulement 224 keystreams possibles En injectant des trames judicieusement choisies, on r ecup` ere des keystreams connus ( 25 Go, env. 20h)
44/53
S ecurit e du Wi-
Conclusion WPA
DU CRC LINEARIT E
Si C = RC 4k (M CRC ) alors on peut calculer le chir e de M = M : C = RC 4k (M CRC ) = RC 4k (M CRC (M )) = RC 4k (M CRC (M )) ( CRC ( )) = C ( CRC ( ))
On peut donc produire de nombreux chir es coh erents ` a partir dun seul
45/53
S ecurit e du Wi-
Conclusion WPA
OBTENTION DE LA CLE
En combinnant les deux probl` emes: 1. exploitation du biais lorsque lIV (et donc la cl e RC4) est faible 2. connaissance dune partie du clair (en-t ete) on peut reconstituer la cl eK ` a partir de 1 ou 2 millions de paquets (quelques heures) Lattaque ayant et e etendue ` a tous les IV, on passe ` a quelques secondes ` a peine pour 40 bits, et un quart dheure pour 104 bits
46/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
Wi Protected Access (WPA)
DU WI-FI SECURIT E
Wi Protected Access (WPA)
47/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
Wi Protected Access (WPA) (1/4)
` REMEDES AU WEP
Que faire face ` a ces attaques ?
utiliser WEP2 (IV 128 bits et cl e 128 bits) utiliser WEP+ (non standard, evite les IV faibles) utiliser Dynamic WEP (changement dynamique de cl e) utiliser WPA ou mieux, WPA2 (` a base dAES) utiliser des protocoles tunnels (SSH, IPSEC)
Seuls les deux derniers ont et e standardis es
Bluetooth: ce nest pas un protocole 802.11 (port ee et d ebit inf erieurs)
48/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
` WPA DE WEP A
2001: les premi` eres attaques eectives sur le WEP sont publi es, faisant suite ` a de nombreuses recherches sur RC4 2003: la Wi-Fi Alliance annonce au WPA (Wireless Protected Access ) 2004: le WEP-40 et le WEP-104 sont ociellement obsol` etes ; le nouveau standard est le WPA2 ou IEEE 802.11i
49/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
LE WPA: PROTOCOLE TKIP

Le TKIP (Temporal Key Integrity Protocol ) est propos e en 2002 sous le nom de WPA 4 modications principales: 1. un compteur (incr emental) sur 48 bits pour les IV 2. la g en eration p eriodique dune nouvelle cl e d eriv ee temporaire 3. une cl e pour chaque paquet, longue de 128 bits et d eriv ee de la cl e temporaire, de lIV et du compteur 4. un vrai m ecanisme dint egrit e (MAC)
50/53
Stream RC4
S ecurit e du Wi-
Conclusion
Introduction WEP
LE WPA2: AMELIORATIONS
Pour compatibilit e, le WPA utilise RC4 comme algorithme de chirement. Bien que plus s ur que WEP, le WPA utilise un algo faible IEEE adopte le WPA en 2004 apr` es quelques modications: support de lAES pour le chirement mode condentialit e-authenticit e: CCMP (Counter mode, CBC-MAC, Protocol ) inclut une gestion de cl e plus soign ee (liens ad-hoc. . .) IEEE 802.11i = WPA2 = TKIP-AES
Stream RC4 Wi
Conclusion
CONCLUSION
Les chirements par ot sont tr` es utilis es: applications temps r eel donn ees multim edia
Leur s ecurit e est tr` es hasardeuse construction souvent ad-hoc absence dune vraie th eorie sur le sujet de nombreuses propositions ont et e cass ees
52/53
Merci
Questions ?

Chiffrement Par Flux Ou Flot

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Chiffrement Par Flux Ou Flot

Transféré par

Droits d'auteur :

Formats disponibles

CRYPTOGRAPHIE

CHIFFREMENT PAR FLOT

Chirement par ot Chirement RC4 S ecurit e du Wi-

I. CHIFFREMENT PAR FLOT

I.1. CHIFFREMENT PAR FLOT

Organisation de la section CHIFFREMENT PAR FLOT

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction

GPA Pratique Algorithmes

CHIFFREMENT PAR FLOT

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction (1/5)

RC4 Wi Conclusion GPA Pratique Algorithmes

La cl e de chirement est la m eme que la cl e de d echirement

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction (2/5)

RC4 Wi Conclusion GPA Pratique Algorithmes

2 grandes familles: blocs et ots

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction (3/5)

RC4 Wi Conclusion GPA Pratique Algorithmes

CHIFFREMENT PAR FLOT (STREAM CIPHER)

Chirement par ot Introduction (4/5)

RC4 Wi Conclusion GPA Pratique Algorithmes

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction (5/5)

RC4 Wi Conclusion GPA Pratique Algorithmes

Chirement par ot Introduction

RC4 Wi Conclusion Pratique Algorithmes

G en erateurs pseudo-al eatoires

CHIFFREMENT PAR FLOT

G en erateurs pseudo-al eatoires

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction

RC4 Wi Conclusion Pratique Algorithmes

G en erateurs pseudo-al eatoires (1/4)

ERATEUR GEN PSEUDO-ALEATOIRE

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction

RC4 Wi Conclusion Pratique Algorithmes

G en erateurs pseudo-al eatoires (2/4)

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction

RC4 Wi Conclusion Pratique Algorithmes

G en erateurs pseudo-al eatoires (3/4)

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction

RC4 Wi Conclusion Pratique Algorithmes

G en erateurs pseudo-al eatoires (4/4)

Chirement par ot Introduction GPA

RC4 Wi Conclusion Pratique Algorithmes

CHIFFREMENT PAR FLOT

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction GPA

RC4 Wi Conclusion Pratique (1/4) Algorithmes

Solution On utilise une entr ee auxiliaire IV (vecteur dinitialisation)

M1 option Cryptologie E. Bresson CHIFFREMENT PAR FLOT

Chirement par ot Introduction GPA

RC4 Wi Conclusion Pratique (2/4) Algorithmes

Chirement par ot Introduction GPA

RC4 Wi Conclusion Pratique (3/4) Algorithmes

FABRICATION DUN GPA

Chirement par ot Introduction GPA

RC4 Wi Conclusion Pratique (4/4) Algorithmes