Cryptographie

le cryptographe de Wheatstone
(alphabet clair l'extrieur, cryptographique l'intrieur)

1- INTRODUCTION
La cryptographie est aussi vieille que l'criture. Le mot cryptographie vient du grec kriptos cacher et graphein crire . L'objectif de la
cryptographie est de permettre deux personnes, appeles traditionnellement Alice et Bob, de communiquer, par l'intermdiaire d'un canal de
communication public, sans que ce qu'elles se disent soit comprhensible par une tierce personne, Oscar. Alice utilise une mthode de
chiffrement, ainsi qu'une cl, pour coder son message et Bob connat ( l'inverse d'Oscar) la mthode de dchiffrement approprie pour
dcoder le message.
On appelle cryptanalyse l'art de dcoder des textes sans connatre la cl ni la mthode de chiffrement. C'est--dire l'attaque, ou le cassage, de
la mthode de chiffrement. Il y a plusieurs types d'attaque :

attaque texte chiffr seulement (cipher text-only attack) : on ne dispose que de textes chiffrs, on cherche trouver le texte clair, et
mieux encore la mthode de chiffrement,
attaque texte clair connu (known-plaintext attack) : on dispose du texte chiffr de plusieurs messages ainsi que de textes clairs
correspondants. Ce n'est pas si rare, par exemple on sait que le message est toujours sign de l'expditeur, ou commence toujours par
mon colonel, ou ...
attaque texte clair choisi (chosen-plaintext attack) : on peut choisir les textes clairs dont on a le texte chiffr correspondant,
attaque texte chiffr choisi (adaptative-plaintext attack) : on peut choisir diffrents textes chiffrs dchiffrer qui sont alors fournis.

La branche des mathmatiques qui traite de la cryptographie et de la cryptanalyse s'appelle la cryptologie.

Il ne faut pas confondre la cryptographie avec la stganographie qui est l'art de dissimuler une criture. Plutt que de crypter, ce qui attire les
espions, on cache, ce qui passe inaperu.
Les grecs rasaient un esclave, crivaient leur texte, attendaient que les cheveux repoussent, puis envoyaient l'esclave confier son message
(bien sr il ne fallait pas tre press...). De nos jours, on peut crire avec une encre sympathique (jus de citron, lait, produit chimique...)
invisible l'oeil nu mais qui apparat sous une flamme ou par une raction chimique. Il existe galement des pomes innocents qui le sont
beaucoup moins lorsqu'on ne lit qu'un vers sur deux, ou que la premire lettre de chaque vers (un tel pome s'appelle un acrostiche). On peut
galement cacher un texte dans une image en changeant juste le dernier bit significatif de chaque point, ou mme cacher une image dans une
autre image (cf www.bitmath.net/crypto/stegano/cacheimage.php3).
A l'origine, la cryptographie tait plutt d'ordre militaire et diplomatique. Mais avec les nouvelles technologies de communication (Internet), elle
est devenue civile et principalement commerciale. On a besoin de cryptage dans les banques, le commerce lectronique, le cryptage des mots
de passe, la tlvision crypte, pour conserver un secret commercial ou industriel, etc. Avec Internet se pose le problme de la scurit et de la
confidentialit, il faut dsormais viter les piratages de toutes sortes. Se posent galement des problmes d'authentification de messages. Il
faut dfinir de nouveaux protocoles de cryptage.
Attention, la cryptographie n'est pas lgale dans tous les pays. Ceci principalement parce que les militaires ne veulent pas que les civils
puissent avoir accs des moyens cryptographiques pouvant servir aux militaires. Dans certains pays, seuls certains procds sont autoriss.

2 - Cryptographie ancienne
2.1 Code par substitution
2.1.1 Code de Csar
Csar dcalait chaque lettre de 3 crans dans l'alphabet. Le A devient D, le B devient E, le X devient A, le Y devient B, le Z devient C.

emple :
la phrase RENDEZ VOUS AU COLYSEE devient : UHQGHC YRXV DX FROBVHH.
Pour dcoder, il suffit d'appliquer -3 crans dans l'alphabet chaque lettre.
Cliquez ici pour voir l'exemple anim.

Lorsque la phrase crypte garde les mmes espaces que la phrase d'origine, la cryptanalyse est grandement facilite. On peut deviner les mots
courts, comme les mots d'une lettre par exemple (A, L, D, C ou S). Pour cela, on crira toujours une phrase crypte soit d'un seul bloc, soit
coupe arbitrairement en blocs de x lettres.
Par extension, on appelle code de Csar tout dcalage d'un nombre quelconque de lettres dans l'aphabet. Remarque : si on dcale de 13 crans,
la mthode est la mme pour coder et pour dcoder. Ce codage est connu sur internet sous le nom de Rot13, il ne sert pas vritablement
cacher un secret mais prolonger le suspens d' une devinette, la chute d'une blague, l'intrigue d'un film, etc.
La cryptanalyse de telles mthodes est vidente. On peut passer en revue toutes les solutions possibles, il n'y en a que 25. Mais il y a une
manire plus efficace : tenir compte de la frquence des lettres. En franais, comme dans beaucoup d'autres langues, la lettre la plus frquente
est le E (17%). Viennent ensuite le S, le A et le I (autour de 8%), puis le T, R, N (autour de 7%), enfin le U, L et O ( 6%). Ainsi, la lettre qui
apparat le plus souvent dans le texte chiffr a de grandes chances d'tre un E, ce qui permet immdiatement de calculer le dcalage choisi.
Mais attention on peut tomber sur des textes avec peu de E. Voir par exemple le livre de Georges Perec La disparition , crit sans un seul E.

2.1.2 Atbash
Les anciens hbreux utilisaient 3 chiffrements : atbash, albam et atbah.

Ramens notre alphabet cela donne :

atbash : tout simplement l'alphabet invers. A donne Z, B=Y, C=X, , Z=A
albam : le Rot13, c'est--dire
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
n o p q r s t u v w x y z a b c d e f g h i j k l m
atbah :

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
i h g f n d c b a r q p o e m l k j z y x w v u t s

On peut remarquer que ces trois codes, lorsqu'ils sont appliqus deux fois, redonnent le texte d'origine.
Ils sont rversibles. Le chiffrement et le dchiffrement se font de la mme manire.
En gnral, les hbreux utilisaient un surchiffrement, c'est--dire plusieurs codes la suite, par exemple albam(atbash(atbah(texte)))

2.1.3 Gnralisation
Tout texte dans lequel on remplace une lettre par un symbole, le mme tout le long du texte, est appel mthode par substitution. On peut par
exemple dcider de remplacer les A par des F, les B par des Z, et... sans aucune logique. Ou mme les A par des toiles, les B par des carrs,
etc. Le morse peut tre considr comme un chiffrement par substitution.
Lorsque l'on remplace les lettres par des lettres, les frquences des seules lettres ne suffisent plus dcrypter le texte. On prend alors en
compte aussi les frquences des digrammes et trigrammes.
Les digrammes les plus frquents sont (dans l'ordre) : ES, EN, LE, DE, ON, RE et NT. Un digramme intressant est le QU, form d'une lettre
trs peu frquente et d'une lettre frquente. Les digrammes doubles les plus frquents sont (dans l'ordre) : SS et LL, puis NN, MM, EE et PP.
Les trigrammes les plus frquents sont (dans l'ordre) : ENT, LES, ION, QUE

2.2 Code par substitution simple cl

Pour se souvenir de l'alphabet de substitution utilis, on utilise souvent une cl.

emple :
La cl LIBERTE: L'ordre alphabtique de succession des lettres est : 5,4, 1, 2, 6, 7, et 3. On rcrit alors l'alphabet en le rangeant dans
cet ordre :
5 4 1 2 6 7 3
e d a b f
l k h i

s r o p t
z y v w

g c

m n j
u q
x

Puis il suffit de recopier ligne par ligne pour obtenir l'alphabet de substitution :

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
e d a b f g c l k h i m n j s r o p t u q z y v w x

Cliquez ici pour voir l'exemple anim.

2.3 Code par substitution double cl

L'ide est de changer d'alphabet de substitution chaque lettre. Ainsi, l'attaque par frquence ne sera plus possible.
2.3.1 Systme de Porta

AB a b c d e f g h i j k l m
nopqrstuvwxyz
CD a b c d e f g h i j k l m
znopqrstuvwxy
EF a b c d e f g h i j k l m
yznopqrstuvwx
GH a b c d e f g h i j k l m
xyznopqrstuvw
IL a b c d e f g h i j k l m
wxyznopqrstuv
MN a b c d e f g h i j k l m
tuvwxyznopqrs
OP a b c d e f g h i j k l m
stuvwxyznopqr
QR a b c d e f g h i j k l m
rstuvwxyznopq
ST a b c d e f g h i j k l m
qrstuvwxyznop
VX a b c d e f g h i j k l m
pqrstvxyznopq
YZ a b c d e f g h i j k l m
opqrstvxyznop
Porta dfinit un systme de 11 alphabets : alphabets AB, CD, EF, etc ou encore alphabet A qui est le mme que l'alphabet B, alphabet C qui est
le mme que l'alphabet D, etc.
On se donne un mot cl, par exemple SECRET et on chiffre la premire lettre du texte par l'alphabet S, la deuxime par l'alphabet E, la

troisime par l'alphabet C, etc, la sixime par l'alphabet T, et l'on recommence : la septime par l'alphabet S, etc... (Le U et le V sont confondus,
de mme que le I et le J).
Le problme est qu'il y a un petit nombre d'alphabet et que deux lettres peuvent correspondre au mme. Par exemple la cl BAIL de longueur 4
ne donne que deux alphabets.

emple :
soit la phrase RENDEZ VOUS A MIDI PLACE DE LA LIBERTE et le mot cl SECRET.
La phrase devient :
BPBSP HEDIB YPNOV MVQSP PXVQO TNXGD V

2.3.2 Systme de Vigenre (1523-1596)

Vigenre utilise un alphabet mis en nombre carr afin d'avoir autant d'alphabets que de lettres.

Ensuite, cela marche comme le systme de Porta avec une cl.

Pour chiffrer :

Pour dchiffrer :

2.3.3 Systme de St Cyr

C'est en fait une forme dguise du systme de Vigenre, qui date de 1880. L'instrument est juste plus facile refaire que le long tableau carr
de Vigenre. Il s'agit d'un alphabet fixe sous lequel glisse un double alphabet mobile :
...........a b c d e . x y z
A B C D E F .Z A B C D . Z

emple :
Si l'on a la cl BAC par exemple, on place le B sous le a et on regarde ce que devient la premire lettre du texte chiffrer. Puis on met le
A sous le a et on regarde pour la deuxime lettre. Puis le C sous le a et on regarde pour la troisime lettre. Et on recommence avec le B,
ainsi de suite.
Ds 1953, Porta a imagin le mme instrument mais sous forme de deux cercles l'un dans l'autre, le grand cercle pouvant tourner autour
du petit.

2.3.4 Systme de Beaufort

C'est un tableau qui date de 1857 :

Soit par exemple la cl BAC et la lettre e coder : on cherche le e sur la 1re ligne, le B dans la colonne, et on tombe sur une ligne qui a un x
ses deux extrmits. La lettre crypte est donc x.
En fait c'est exactement le systme de Vigenre/St Cyr dans lequel on aurait retourn l'alphabet.

2.3.5 Systme de Gronsfeld

Ce systme date de 1876. C'est la mme chose que le systme de Vigenre, sauf que l'on peut se passer du tableau et faire le travail de tte.
La cl est cette fois un nombre et non plus un mot. Pour trouver la lettre crypte, on calcule la lettre coder plus la distance dans l'alphabet du
chiffre crit sous la lettre.

emple :
soit coder RENDEZ VOUS PLACE DE LA LIBERTE A MIDI avec le nombre 63071. Le R plus 6 donne X. Le E plus 3 : H. Le N plus 0 :
N. Le D plus 7 : K. Le E plus 1 : F. Le Z plus 6 : F etc. Finalement on obtient : XHNKFF YOBTVO AJFJHE SJHHEY UKDMPE O.
Le seul problme est qu'on ne peut faire que des dcalages de moins de 10 crans au lieu d'aller jusqu' des dcalages de 25.

2.3.6 Cryptanalyse des systmes de substitution double cl

Il y a deux inconnues trouver : le nombre d'alphabet (la longueur de la cl) et la substitution. Pour la longueur de la cl, dans toute phrase
crypte, on retrouve des groupes de lettres semblables (des polygrammes). Le nombre de lettres compris dans l'intervalle de deux
polygrammes est un multiple de la longueur de la cl. Il faut donc chercher le facteur commun contenu dans ces nombres, c'est--dire
dcomposer chaque nombre en facteurs premiers.

emple :
RMUUWQPMQGXHWBGGKKKNITMUXWWTMGGXHEPH
Plusieurs polygrammes se trouvent rpts : MU, GXH, GG, TM. L'intervalle sparant deux MU est de 21 lettres. Deux GHX : 21 lettres.
Deux GG : 15 lettres. Deux TM : 6 lettres.
21=3*7, 15=3*5, 6=3*2. Le facteur commun est 3, on va donc partir sur une cl de longueur 3.
Le texte devient :
RMU
UWQ
PMQ
GXH
WBG
GKK
KNI
TMU
XWW

TMG
gxh
EPH

Chaque colonne est crypte avec le mme alphabet par une substitution simple. On cherche la lettre de plus grande frquence dans
chaque colonne et on suppose que c'est un E. Cela donne le G pour la premire colonne, le M pour la 2 ime et le H pour la 3 ime. C'est-dire un dcalage de -2 pour la premire colonne (de G E), -8 pour la deuxime et -3 pour la dernire. On applique ce dcalage pour
chaque lettre et on obtient :
PER
SON
NEN
EPE
UTD
ECH
IFF
RER
VOT
RED
EPE
CHE

c'est--dire : PERSONNE NE PEUT DECHIFFRER VOTRE DEPECHE.

Parfois bien sr on ttonne car il y a plusieurs longueurs de cl possibles, ou encore la substitution simple n'a pas E comme lettre la plus
frquente, etc

2.4 Systme de substitution clef variable

Si la longueur de la cl varie, il est impossible de la deviner et de passer de la simple substitution. Dans cette mthode, on va donc changer arbitrairement
la cl, linterrompre de temps autres.

emple :
soit la cl INGENIEUX et la phrase RENDEZ VOUS A MIDI. On choisit une lettre de la cl, par exemple la quatrime, le E et on rajoute ce
E chaque fois que lon a envie de couper la cl :
R E N D

E Z V

O U S A M I

I N G E E I N G E I

D I

N G E N I E I N

Puis lon applique le systme de Vigenre, ce qui donne :

ZRTHEMMBEWHYEZQELV
Mais il y a des E qui apparaissent (un seul ici) qu'il ne faut pas confondre avec les E de sparation.
On remplace ces E par le rang de la lettre dans la cl, ici 4 :
ZRTHEMMBEWHY4ZQELV
En plus, pour viter au cryptanalyste de faire des essais sur le dbut de la phrase, on rajoute souvent des lettres quelconques au dbut de la
phrase. Ce systme et trs dur dcrypter sans la cl.

2.5 Code par transposition

On choisit une cl, par exemple PERMUTATION et on crit l'ordre alphabtique de succession des lettres, ce qui nous donne une permutation :
7, 2, 8, 4, 10, 9, 1, 3, 6, 5.
2.5.1 Transposition dans le bloc
Soit le texte RENDEZ VOUS A MIDI PLACE DE LA LIBERTE, on le coupe en blocs de 10 lettres : RENDEZVOUS AMIDIPLACE DELALIBERT
E et l'intrieur des blocs, on rorganise les lettres en suivant l'ordre donn par la permutation, ce qui donne ici :
VEODSURNZE LMADECAIPI BEEATRDLIL E.
2.5.2 Transposition en colonnes
On crit le texte sous la cl :

7 2 8 4 10 9 1 3 6 5
RE NDE ZV OUS
AMI DI PL A CE
DE L AL I B E RT
EX Z AE BGDZ F
Il faut complter la grille avec des lettres quelconques. Le texte crypt est alors compos de la colonne numro 1, suivi de la colonne numro 2,
etc... On obtient ici :
VLBGEMEXOAEDDDAASETFUCRZRADENILZZPIBEILE

2.6 Le bton de Plutarque

Entre le XXime et le VIIime sicle avant JC, les assyriens utilisaient un scytale, ou bton de Plutarque. Le texte est sur un papier que l'on
enroule autour d'un bton d'un diamtre connu par l'metteur et le rcepteur. Lorsque le papier est droul, on ne comprend pas la suite de
lettres, lorsqu'il est enroul autour du bton, on peut lire le message longitudinalement. Sur le dessin, le texte clair est COMMENT CA
MARCHE.

2.7 La grille de Fleissner

Cryptographie utilise par le colonel Fleissner (1881). Il s'agit d'une grille 6 par 6 avec 9 trous, rpartis de la manire suivante :

On crit les lettres du texte crypter dans les trous, de gauche droite et de haut en bas. Lorsque 9 lettres sont crites, on tourne la grille d'un
quart de tour sur la droite, puis on crit les 9 lettres suivantes. Ainsi de suite jusqu' crire 36 lettres. Si le texte crypter est plus court, on

complte avec des lettres quelconques, s'il est plus grand, on refait une grille. Les lettres sont ensuite crites les unes la suite des autres en
lisant la grille de haut en bas et de gauche droite.

emple :
Exemple : soit le texte : RENDEZ VOUS A MIDI PLACE DE LA LIBERTE. Cela devient :
E
E
Z
I
J
L

R
T
D
Z
A
L

C
S
E
W
I
I

E
E
M
L
P
U

R
D
E
Y
P
B

N
A
Q
D
O

Donc : ERCERNETSEDAZDEMEQIZWLYDJAIPPOLLIUBA
Cliquez ici pour voir l'exemple anim.

2.8 Le carr de Polybe

Polybe est un grec qui a vcu de 200 125 avant JC. Son ide est de remplacer les lettres par un couple de chiffres. Il utilise un tableau (dans
lequel il confond I et J) et code les lettres par les coordonnes dans le tableau :

Son ide est de transmettre les messages de loin en loin par des torches, dans la main gauche et dans la main droite, entre une et cinq.

2.9 Le chiffrement de Delastelle

Delastelle (1840-1902) reprend le carr de Polybe avec un alphabet mlang l'intrieur (sans le W) :
1

1 B V D G Z
2 J

S F

3 L

A R K X

4 C O I

U P

V E

5 Q N M H T

Pour crypter un texte, il faut

regrouper les lettres 5 par 5 en compltant si besoin par des lettres inutiles
sous chaque lettre on note les 2 coordonnes verticalement
puis on lit les coordonnes horizontalement par groupe de 5 (en haut puis en bas) pour chiffrer

emple :
RENDEZ VOUS A MIDI devient :
RENDE ZVOUS AMI DI
3 4 5 1 4 1 4 4 2 2 3 5 41 4
3 5 2 3 5 5 4 2 4 2 2 3 33 3

qui donne les coordonnes : 3 4, 5 1, 4 3, 5 2 et 3 5. Puis 1 4, 4 2, 2 5, 4 2 et 4 2 etc...

et finalement le texte crypt : KQINX GOPOO XCORR

2.10 Le chiffrement ADFGX

C'est un chiffrement invent par le colonel Fritz Nebel en 1918. Il est inspir du carr de Polybe, mais les coordonnes sont des lettres et non

pas des chiffres. Ces lettres sont choisies pour tre diffrentes en morse, de faon viter les erreurs de transmission : A, D, F, G et X. George
Jean Painvin cassa ce systme en mai 1918. Ds juin, les allemands rajoutrent une lettre (le V) leur permettant de coder 36 symboles, les
lettres et les 10 chiffres. Le tableau utilis est :

A D

F G

o f

w j

a 2

0 q

u l

g z

Mais ce n'est pas tout. Aprs avoir t chiffr de cette manire (avoir not les coordonnes), on surchiffre avec une transposition par colonnes.
G.J. Painvin cassa aussi rapidement ce code ADFGVX, mais le colonel Nebel ne le sut qu'en 1967.

2.11 Le cylindre de Jefferson

Thomas Jefferson, futur prsident des Etats-Unis (1743-1826), utilisait un cylindre consistant en 26 roues qui pouvaient tourner autour d'un axe.
Les 26 lettres de l'alphabet sont inscrites sur la tranche de chaque roue dans un ordre alatoire. En tournant ces roues, on peut crire un
message chiffrer. Puis on regarde une autre ligne quelconque du cylindre et c'est le texte chiffr. Pour dchiffrer, on cherche une ligne sur
laquelle le texte a un sens.
Le commandant franais Etienne Bazeries rinventa en 1891 un appareil analogue, de mme que le colonel italien Ducros en 1900. Le marquis
de Vianis proposa en 1893 une mthode pour cryptanalyser les messages chiffrs par l'appareil de Bazeries.

2.12 Le chiffrement 3 carrs

On chiffre les digrammes par des trigrammes en s'aidant de trois grilles, par exemple les trois grilles suivantes (les grilles ont pu tre obtenues
par transposition partir d'un mot cl) :

Si l'on veut par exemple chiffrer le digramme CH :

on regarde le C dans la grille en bas gauche, on prend n'importe quelle lettre de la colonne de C, par exemple S
on prend la lettre dans la grille du bas droite au croisement de C (grille bas gauche) avec le H (grille du haut) : on trouve Y
on regarde le H dans la grille du haut et on prend n'importe quelle lettre dans sa ligne, par exemple le T

Alors on obtient le trigramme SYT.

Bien sr, puisque l'on code les digrammes, il faudra complter le texte chiffrer par une lettre quelconque si sa longueur n'est pas paire.
Dans les grilles 5 par 5, les franais ne mettent pas le W (ils le confondent avec le V) alors que les anglais prfrent confondre le I et le J.

2.13 Le chiffre de Hill

Systme utilis par Lester Hill partir de 1929.
L'ide est de coder par groupes de m lettres et non plus lettre par lettre.
Prenons m=2.

remplacer les lettres par des chiffres : A devient 0, B devient 1, C devient 3, Z devient 25
grouper les nombres obtenus par 2

pour chaque groupe de nombre

coder, calculer

o a,b,c,d, forment une matrice

, cl de la mthode

calculer le reste de la division des

par 26 :
reconvertir en lettres : 0 devient A, 1 devient B, 25 devient Z

emple :

cl A=
Soit le mot CODE SECRET
On groupe par groupe de 2 lettres : CO DE SE CR ET, ce qui donne les couples de nombres 2,14 3,4 17,4 2,16 et 4,18
On calcule les combinaisons linaires :

donc

donc

c'est--dire lettres Y E

c'est--dire lettres DL

et ainsi de suite, on obtient finalement : YEDLTZIIOO

Gnralisation : la cl est une matrice carre de taille m quelconque. On ne rentrera pas plus dans les dtails ici, voir les livres pour ceux
que a intresse.

Dchiffrement : pour dchiffrer on a besoin de la cl inverse. Les mathmatiques nous disent que, si l'inverse existe, il vaut
o
est la comatrice de A. On ne rentrera pas plus dans les dtails. Retenons seulement que la cl de
dchiffrement se calcule aisment en fonction de la cl de chiffrement.

3 - La machine de chiffrement Enigma

Au dbut du XXime sicle, on voit apparatre des machines lectromagntiques. La machine Enigma est la plus clbre d'entre elles.

Cette machine automatise le chiffrement pas substitution avec une cl gigantesque.

Elle comprend un clavier pour taper le message chiffrer ou dchiffrer, des rotors (roues) pour le codage et un tableau lumineux pour voir le
rsultat

emple :
Avec un rotor :
si on tape un b, le A s'allume

Pour compliquer les choses, le rotor tourne d'un cran chaque fois que l'on tape une lettre :

Maintenant, si on retape un b, c'est le C qui s'allume.

Il y a en fait 3 rotors, placs dans l'ordre que l'on veut. Lorsque le premier a fait un tour complet (26 crans), le deuxime tourne d'un cran.
Lorsque le deuxime a fait un tour complet, c'est au tour du troisime de tourner d'un cran.
Il y a galement un tableau de connexion qui mlange les lettres de l'alphabet.
Et enfin, il y a un rflecteur pour faire repasser le courant dans l'autre sens dans les 3 rotors. Ce rflecteur permet de rendre le systme
rversible. C'est--dire que l'on dchiffre comme l'on chiffre. Si le mot MACHINE est traduit par BABCEA, alors le mot BABCEA sera
traduit par le mot MACHINE.

La puissance de cette machine vient du gigantisme de la cl. La cl est l'ordre des rotors (6 possibilits), la position possible de dpart

des rotors (

possibilits), les branchements possibles dans le tableau de connexion (

total de l'ordre de

possibilits), ce qui donne au

cls possibles.

La cl est change chaque jour. Ainsi, possder la machine (l'algorithme de chiffrement) ne permet pas de casser le chiffrement, c'est la
cl qui compte.

Une version primaire d'Enigma fut prsente un congrs en 1923, mais tait beaucoup trop chre. La marine allemande reprit le projet en
1925 et dveloppa sa propre machine. Le modle Enigma M3 fut adopt par l'arme allemande en janvier 1937. En fait, lorsque la seconde
guerre mondiale clata, les allis savaient dj dcrypter les messages d'Enigma. En Angleterre 12000 scientifiques travaillaient au cassage
d'Enigma, dont Alan Turing, que l'on peut considrer comme l'inventeur de l'ordinateur. Les allis avaient rcupr une machine dans un sousmarin. Surtout, les allemands utilisaient souvent les mmes mots dans leurs enttes ou signatures de messages, ce qui a considrablement
aid les allis casser la cl.
En fvrier 42, les allemands rajoutrent un rotor Enigma. Pendant 11 mois, les allis ne russirent plus dcrypter les messages. Puis de
nouveau ils cassrent le chiffrement.

4 - Cryptographie moderne: Le chiffrement symtrique

Le chiffrement moderne utilise la puissance des ordinateurs. Comme les donnes traites par les ordinateurs sont des bits (des 0 ou des 1), on
parlera dsormais de bits ou doctet (8 bits).

4.1 Chiffrement itr par blocs

Dans un chiffrement par blocs, le texte est crypt par petits blocs dune certaine taille
fonction de base (fonction dtage) est rpte
tage). On part de ltat
fonction dtage avec la cl

fois sur chaque bloc. De la cl

(taille de blocs). On applique sur le bloc un chiffrement itr. Une

, on tire

cls qui sont utilises chaque itration (chaque

= x (le bloc en clair chiffrer), on lui applique la fonction dtage avec la cl

sur

et on obtient le texte

. Et ainsi de suite jusqu obtenir

, ce qui donne un texte

le texte crypt.

Afin que le dcryptage soit possible, la fonction dtage doit tre injective.

4.2 Rseau de substitution-permutation

Les SPN, rseaux de substitution-permutation (substitution permutation networks), sont des exemples de systme de chiffrement itr.
On dfinit une substitution

de {0,1}

On dfinit galement une permutation

{0,1}

que lon appelle aussi S-boite.

de {1,2, ,

{1,2,,

.On applique la

emple :
soit

et la S-boite :
1000
1001
1010
1011
1100
1101
1110
1111

0000
0001
0010
0011
0100
0101
0110
0111

1110
0100
1101
0001
0010
1111
1011
1000

Soit

et la permutation de taille

0011
1010
0110
1100
0101
1001
0000
0111

10

11

12

13

14

15

16

13

10

14

11

15

12

16

Dfinition : le ou exclusif est une opration bit bit note

et
Remarque : le

est commutatif :

emple :
11010

01100 = 10110

Fonction dtage :
A chaque tage i, sauf le dernier on effectue :
- un ou exclusif avec la cl
-

substitutions laide de la S-boite

- une permutation en utilisant

Au dernier tage, on ne fait pas la permutation finale, mais un ou exclusif avec la cl

emple :
Exemple : Avec

et

Soit la cl de 32 bits

donnes prcdemment, et
0011 1010 1001 0100 1101 0110 0011 1111

Les cls de chaque tage sont dfinies par lalgorithme suivant :

est les 16 bits conscutifs partir du

ime de

On a donc les cls :

= 0011 1010 1001 0100
=1010 1001 0100 1101
=1001 0100 1101 0110
=0100 1101 0110 0011
=1101 0110 0011 1111

Soit le texte crypter :

0010 0110 1011 0111

Au premier tage :
Aprs le ou exclusif on obtient : 0001 1100 0010 0011
Aprs les 4 substitutions : 1001 1000 0110 1101
Aprs la permutation : 1101 0011 0010 1001

Au troisime tage :
Aprs le ou exclusif : 1010 1010 1110 0000
Aprs les 4 substitutions : 0100 0101 1110 0000
Aprs la permutation : 0010 1110 0010 1100

Au deuxime tage :
Aprs le ou exclusif : 0111 1010 0110 0100
Aprs les 4 substitutions : 0100 0101 1111 1010
Aprs la permutation : 0011 1110 0011 0110

Au quatrime tage :
Aprs le ou exclusif : 0110 0011 0100 1111
Aprs les 4 substitutions : 1111 1101 1010 0001
Aprs le ou exclusif : 0010 1011 1001 1110

Le texte crypt est donc

0010 1011 1001 1110

Ce SPN nest bien sr quun exemple. Un SPN raliste doit avoir des cls plus longues, des S-boites plus grandes et doit comporter plus dtages.
Pour crypter un texte de longueur quelconque, on le dcoupe en blocs de taille

mode ECB : electronic codebook mode

mode CBC : cipher block chaining mode
mode CFB : cipher feedback mode

. Il y a alors plusieurs modes opratoires possibles :

mode OFB : output feedback mode

Dans le mode ECB, chaque bloc est crypt avec la mme cl

Dans le mode CBC, chaque bloc

est combin avec le bloc

. Les blocs en clair

produisent les blocs crypts

avant dtre crypt : on effectue

, puis lon crypte

qui donne le

bloc chiffr

Dans les deux derniers modes, chaque bloc, on utilise, non pas la cl, mais le chiffrement de la cl prcdente.

4.3 Le DES (Data Encryption Standard)

Jusque dans les annes 1970, seuls les militaires possdaient des algorithmes cl secrte fiables. Mais les civils avaient aussi besoin de tels systmes,
comme par exemple les banques pour la scurit de leurs transactions. Alors en mai 73, le NBS (National Bureau of Standards, cens dfinir la norme aux
tats-unis, mais dont linfluence dpasse les frontires du pays) lana un appel doffre pour la cration dun systme cryptographique rapide, bas sur une
cl prive servant la fois au chiffrement et au dchiffrement, ayant un haut niveau de sret uniquement li la cl. Les efforts conjoints dIBM et de la
NSA (National Security Agency) aboutirent DES.
Le DES est le standard de chiffrement de donnes depuis 1975. Cest le plus utilis actuellement dans le monde. Il est rvalu tous les 5 ans. En 2001 un
nouveau chiffrement a t pris comme standard : AES (Advanced Encryption Standard).
La longueur de blocs du DES est de 64 bits. Aprs une permutation initiale, chaque texte clair
et

. A chaque tage on applique une fonction dtage qui utilise

de 64 bits est divis en deux moitis de longueur gale,

, des S-boites et des ou exclusifs. La cl est de 64 bits dont 8 sont utiliss pour

la dtection derreurs. Chacune de ces 8 bits est utilis comme bit de parit (il vaut 1 sil y a un nombre impair de 1 dans les 7 bits sa gauche, 0 sinon).
Les sous-cls de 48 bits sont des slections permutes de la cl. Il y a 16 tages. La fonction dtage consiste en une extension de
exclusif avec

48 bits, un ou

, des substitutions (8 S-boites) sur les 8 sous-chanes de 6 bits composants le rsultat, suivies dune permutation.

Les S-boites ont t conues de manire prvenir certains types dattaque.

Aprs le 16 ime tage, les parties gauche et droite sont rassembles et une permutation finale (linverse de la permutation initiale) termine lalgorithme.
Pour dchiffrer, on utilise le mme algorithme que pour chiffrer. La seule diffrence est que les cls doivent tre utilises dans lordre inverse.
La critique principale de DES porte sur la petite taille de la cl et donc le petit nombre de cls possibles (
En 1977, on montra que lon pouvait construire une puce capable de tester

).

clefs par seconde. Ainsi, une machine avec

de ces puces aurait

explor toutes les clefs possibles en 1 journe seulement. Mais le cot dune telle machine est estim 20 000 000 euros !
En 1993, on parla dune autre puce qui pouvait tester

cls par seconde et aurait cot 10 euros. En 3,5 heures, pour 1 000 000 euros, on pouvait

trouver la cl. Toutes ces machines taient thoriques.

Une machine de 250 000 euros a t construite, baptise DES Cracker , qui contient 1536 puces et peut chercher 88 milliards de clefs par seconde. Elle

a gagn le concours des laboratoires RSA, le DES Challenge II-2, en trouvant une clef DES en 56 heures en juillet 98. En janvier 99, ce mme DES
Cracker , aid par un rseau mondial de 100 000 ordinateurs, a permis de trouver une cl DES en 22h15.
Une premire ide a t dappliquer DES plusieurs fois : 2DES, puis 3DES. Mais, logiquement, 3DES est trois fois plus lent que le simple DES.
Il existe galement des cls faibles. Cela est d la construction des sous-cls partir de la cl initiale. Si tous les bits de chaque moiti sont des 0, ou tous
des 1, alors la cl utilise est la mme quelque soit ltage. De plus, il existe des cls qui chiffrent un texte en clair en un mme texte chiffr. Il y a aussi des
cls qui nengendrent que 4 sous-cls diffrentes, utilises chacune 4 fois. Au total, on compte 64 cls faibles. Cest peu en comparaison du nombre de cls
totales possibles : 72.10

. Si on choisit une cl alatoire, les chances de tomber sur une cl faible sont donc ngligeables.

4.4 LAES (Advanced Encryption Standard)

En septembre 1997, le NIST (National Institute of Standards and Technology, remplaant du NBS) lance un appel doffre pour remplacer le DES. Ce
nouveau standard devra possder une longueur de blocs de 128 bits et accepter des cls de 128, 192 et 256 bits. Les propositions devaient tre rendues le
15 juin 98. 21 propositions ont t faites. Ces propositions ont t exposes dans des congrs et toute la communaut scientifique pouvait discuter des
avantages et inconvnients des uns et des autres. Le 2 octobre 2000, le Rijndael, invent par 2 belges Daemen et Rijmen, fut choisi comme standard
avanc de chiffrement (Advanced Encryption Standard, AES). Ses caractristiques en terme de scurit, performances, efficacit, facilit dimplantation et
flexibilit ont t juges comme tant suprieures aux autres. AES fut adopt comme standard le 26 novembre 2001.

AES comporte 10, 12 ou 14 tages suivant la longueur de la cl (128, 192 ou 256 bits). La longueur de blocs est de 128 bits. La fonction dtage consiste en

une addition de la cl secrte par un ou exclusif

une transformation non linaire doctets : les 128 bits sont rpartis en 16 blocs de 8 bits, eux mme dispatchs dans un tableau 4x4. Chaque octet
(8bits) est transform par une S-boite.
Un dcalage des lignes : les 3 dernires lignes sont dcales cycliquement vers la gauche, la deuxime ligne est dcale dune colonne, la
troisime de deux colonnes et la quatrime de trois colonnes.
Un brouillage des colonnes : chaque colonne est transforme par combinaison linaires des diffrents lments de la colonne (ce qui revient
multiplier la matrice 4x4 par une autre matrice).
Une addition de la cl de tour : chaque tour, une cl de tour est gnre partir de la cl prive par un sous algorithme (comprenant une
permutation cyclique et une S-boite). Cette cl de tour est ajoute par un ou exclusif au dernier bloc obtenu.

AES rsiste tous les types connus dattaque.

5 - Cryptographie moderne: Le chiffrement asymtrique

5.1 Le chiffrement asymtrique
En 1976, Whitfield Diffie et Martin Hellman expliquent le principe de cl publique, que lon appelle aussi cryptographie asymtrique. Cest une vritable
rvolution. Cependant, ils ne peuvent donner dexemple de tel systme. En 1978 le premier exemple pratique est donn par Ronald Rivest, Adi Samir et
Leonard Addeman (le RSA). Il existe galement des travaux en parallle de James Ellis et CC Cocks en 73 ou encore Williamson en 74, mais rendus
publics en 97.
Ce quon a vu jusquici tait de la cryptographie cl prive, ou symtrique : la cl de chiffrement est la mme que celle de dchiffrement (ou se calcule
trs facilement en fonction de la cl de chiffrement). Alice et Bob doivent se mettre daccord avant sur une cl utiliser, cette cl devant absolument rester
secrte (prive). Si la cl est dvoile, Oscar peut traduire les messages dAlice et Bob.
Il existe des problmes :

comment schanger la cl dans le plus grand secret

si une cl prive diffrente est utilise pour chaque couple de personnes voulant schanger des messages alors le nombre total de cls
ncessaires est gigantesque

Maintenant on parle de cryptographie cl publique, ou asymtrique : la cl de dchiffrement na rien voir avec la cl de chiffrement. La cl de
chiffrement peut tre rendue publique, ce nest pas elle lessentiel. Elle peut tre change sans secrets, se trouver mme dans une bibliothque publique.
La cl de dchiffrement par contre doit rester prive. Bob doit possder sa propre cl de dchiffrement des messages dAlice. Alice ne la connat mme pas,
donc mme Alice ne pourrait dchiffrer son propre message !
Linconvnient des systmes cl publique est quils sont plus lents que les systmes cl prive.
Le chiffrement asymtrique utilise une fonction sens unique trappe (trapdoor one-way function). Cest une fonction facile calculer, mais difficile
inverser, et qui possde une trappe, c'est--dire quavec une information supplmentaire elle devient facile inverser. Pour le RSA, il sagit de la fonction

5.2 Le chiffrement RSA

5.2.1 Arithmtique modulo m
On appelle

l ensemble {0,1,2,,

}, muni des oprations daddition et de multiplication. On dfinit alors larithmtique modulo

laddition et la multiplication fonctionnent comme laddition et la multiplication usuelles sauf que les rsultats sont rduits modulo
.
garde le reste de la division entire par

dans

, c'est--dire que lon

emple :
11*13 dans

? Dans les entiers ordinaires 11*13=143. 143 modulo 16 ? On fait une division entire : 143=16*8+15. Donc 143 mod

16=15, do 11*13=15 dans

5.2.2 Le chiffrement RSA

Le chiffrement RSA utilise larithmtique de

1. Choisir

et

2. Calculer

est le produit de deux entiers premiers (donc impairs) distincts

et

deux grands entiers premiers

et

3. Choisir un entier b alatoire

premier avec

4. Calculer
5. La cl publique, que lon peut donner tout le monde, est (n,b). La cl prive est (p,q,a)
6. Pour chiffrer un message

) on calcule

7. Pour dchiffrer un message y on calcule

emple :
Bob choisit

101 et

. On a donc

et

. Supposons que Bob choisisse

lon a bien pgcd (3533,11200)=1, c'est--dire que les nombres sont premiers entre eux). On calcule

(on peut vrifier que

=6597. Ce calcul se fait

grce lalgorithme dEuclide tendu, que lon va tudier dans la section suivante. Donc la cl secrte de Bob est 6597. Bob publie

et

dans un rpertoire public.

Si Alice souhaite chiffrer le message 9726 pour lenvoyer Bob, elle calcule
reoit 5761 il calcule

RSA fonctionne bien car il repose sur la fonction

et envoie 5761 Bob. Lorsque Bob

. Il retrouve bien le message en clair envoy par Alice.

qui est difficile inverser. La trappe que Bob cache est la factorisation

(et surtout

). Pour lui, il est facile de calculer lexposant de dchiffrement a en utilisant lalgorithme tendu dEuclide. Une attaque vidente consiste chercher

cette factorisation
. Cela est impossible si p et q sont suffisamment grands, c'est--dire sils comportent plus de 512 bits chacun. Factoriser un
nombre au-del de 1024 bits est au-del des capacits des meilleurs algorithmes de factorisation actuellement connus.

5.2.3 Algorithme dEuclide tendu

Lalgorithme dEuclide permet de calculer le pgcd (plus grand commun diviseur) de deux entiers a et b, et de dire ainsi sils sont premiers entre eux (ils sont
premiers entre eux si leur pgcd vaut 1).
Il calcule la suite de divisions
initialis a,

On a : pgcd(a,b)=pgcd(

initialis b

)=pgcd(

)==pgcd(

)=

On en dduit lalgorithme dEuclide pour calculer le pgcd :

tant que

faire
(division entire)

fin tant
que
retourner

// le pgcd(a,b)

emple :
pgcd(16,12) ?
s

Premier tant que :

=16 div 12 = 1,

Deuxime tant que :

=16-12=4, m=2

=12 div 4=3,

=12-3*4=0, m=3

Fin tant que

M=2, retour de 4. Donc pgcd(16,12)=4

Un entier

est inversible si et seulement si pgcd(b,m)=1. Lalgorithme dEuclide permet de dire si b est inversible, mais ne permet pas de calculer

cet inverse. Pour cela, on a besoin de lalgorithme dEuclide tendu.

Lalgorithme dEuclide tendu prend a et b en entre et calcule en sortie r, s et t tels que r=pgcd(a,b) et sa+tb=r

faire

tant que

div

si

fin si
fin tant que

alors

retourner

mportant :
Thorme :
si pgcd(a,b)=1, alors

Si pgcd(a,b)=1, alors linverse de b dans

est le

retourn par lalgorithme dEuclide tendu.

emple :
calculer linverse de 28 dans

(c'est--dire

a =75 et b=28
i
0
1
2
3
4
5

Donc

75
28
19
9
1
0

2
1
2
9

1
0
1
-1
3

0
1
-2
3
-8

=-8 mod 75=67

5.2.4 Mthode dexponentiation rapide

Lorsque les entiers sont grands, les mthodes classiques de calcul de

ne sont plus efficaces. Pour calculer

en temps O(

),

o l est le nombre de bits de c et k celui de n, on utilise lalgorithme suivant. Cet algorithme utilise la dcomposition binaire de c :

pour i variant de l-1 0 par pas de -1 faire

alors

si

fin si
fin pour
retourner z

emple :
Soit n=193 et b=47. Si Alice veut chiffrer 12, elle doit calculer
On a x=12, b=47=101111=c, n=193.
i

Le texte chiffr est donc 177

5.2.5 Test de primalit

La premire tape du RSA consiste choisir deux grands entiers premiers. En pratique on prend deux grands entiers, puis on teste sils sont premiers.
Lalgorithme dEuclide nest pas assez rapide pour vrifier que deux grands nombres sont premiers. On prfre utiliser des algorithmes probabilistes de
Monte Carlo, comme lalgorithme de Solovay-Strasser, ou celui de Miller-Rabin. Probabiliste signifie que le hasard intervient dans lalgorithme, et de
Monte Carlo signifie que le rsultat nest pas sr 100%. Mais il lest avec une probabilit suffisamment pertinente. Nous ne donnons ici que lalgorithme
de Miller-Rabin :
// cherche si n est premier
crire

o m est impair

choisir un entier alatoire

calculer
si b=1 mod m alors retourner n est premier
sinon
pour i variant de 0 k-1 faire
si b=-1mod n alors
retourner n est premier
sinon
fin si
sinon pour
fin si
retourner n nest pas premier

5.3 Attaques de RSA

Comme on la dj dit, pour attaquer RSA, on a besoin dun algorithme de factorisation de grands entiers. Il en existe plusieurs. Les plus efficaces sont le
crible quadratique, lalgorithme de factorisation utilisant les courbes elliptiques, et le crible algbrique. Cependant aucun nest assez puissant pour trouver la
factorisation de grands entiers de plus de 100 chiffres.
Il existe des nombres (RSA100, RSA101, RSA500) qui sont publis et proposs comme dfis. RSAx signifie que cest un nombre de longueur x, produit
de deux nombres premiers de mme taille. RSA129 fut factoris en avril 1994. Cette factorisation ncessita 5000 MIPS-anne de calcul, collectes auprs
de 600 chercheurs dans le monde. Une MIPS-anne reprsente le nombre dinstructions effectues en une anne une cadence dun million dinstructions
par seconde. RSA130 fut factoris en 96, RSA140 en fvrier 99 et RSA 155 en aot 99. Ces trois factorisations ont t ralises en utilisant le crible
algbrique. RSA155 a demand 8400 MIPS-annes de calcul, rpartis sur 300 stations de travail. Le module de RSA155 correspond 512 bits. Ceci montre
que de nombreuses applications commerciales qui utilisaient communment un module de 512 bits ne peuvent plus tre considres comme sres.
Par extrapolation, on estime quun module de 768 bits pourra tre factoris en 2010 et un module de 1024 bits en 2018.

5.4 Systmes hybrides

Linconvnient des algorithmes cl publique, cest quils sont trs lents, de lordre de 1000 fois plus lents que les algorithmes cl prive. On a alors
recours des systmes hybrides. On change les cls dun chiffrement cl prive grce un systme cl publique, ce qui permet de scuriser la
communication de la cl. On utilise ensuite un systme cl prive.

5.5 Signature et authentification lectroniques

Le RSA fonctionne aussi dans lautre sens, c'est--dire que lon peut crypter avec a et dcrypter avec b (crypter avec la cl prive et dcrypter avec la cl
publique). Do la possibilit de rsoudre des problmes de signatures et dauthentification.
On a souvent besoin dtre sr de lexpditeur (problme de signature). Pour cela, les systmes cl publique sont bien utiles. Si Alice veut envoyer un
message Bob, et Bob veut tre sr quil vient bien dAlice, il suffit que :
1. Alice crypte le message avec sa cl prive (elle seule peut le faire), puis crypte le tout avec la cl publique de Bob (donc seul Bob maintenant
pourra comprendre le message) et envoie le tout Bob
2. Bob dcrypte avec sa cl prive, puis dcrypte avec la cl publique dAlice. Si a marche, cest que le message provient bien dAlice, car seule Alice
connaissait sa cl prive pour crypter.
Un autre problme pour lequel les systmes cl publiques sont bien utiles, cest le problme du certificat lectronique : il sagit cette fois dtre sr du
destinataire. Si on commande des CD sur Internet, on veut envoyer notre code de carte bleue au marchand et pas un pirate.
Alice, qui veut certifier sa cl publique, envoie sa cl un organisme de certification, ainsi que diverses informations la concernant (nom, email, ). Cet
organisme vrifie les informations et ajoute au certificat son nom, une date limite de validit et surtout une signature numrique. Cette signature est calcule
de la faon suivante : partir des informations du certificat, lorganisme calcule un rsum en appliquant une fonction de hachage. Puis il signe ce rsum
en appliquant sa cl secrte.
Lorsque Bob veut envoyer un message Alice, il tlcharge le certificat, calcule le rsum puis applique la cl publique de lorganisme auteur du certificat
la signature lectronique. Si cette valeur est gale au rsum, il est sr quil a affaire Alice.

8 - Cryptologie du futur: Cryptographie quantique

Le systme cryptographique inviolable existe : le masque jetable (one time pad), invent en 1917 par Gilbert Vernam. Il sagit dutiliser une mthode cl
prive telle que la cl soit alatoire, aussi longue que le message et utilise une et une seule fois (il faut la jeter ensuite). Cela a t utilis pour les
communications entre le Kremlin et la Maison Blanche (le tlphone rouge), la cl transitant dans la valise diplomatique. Pour utiliser cette mthode, le
problme est la transmission de la cl secrte de manire absolument sre. Ce problme, la cryptographie quantique permettrait de le traiter.
La cryptographie quantique repose sur le principe dincertitude dHeisenberg selon lequel la mesure dun systme quantique perturbe ce systme. Une
oreille indiscrte sur un canal de transmission quantique engendre des perturbations invitables qui alertent les utilisateurs lgitimes.
Plus prcisment, on sintresse la polarisation des photons (les grains de lumire). Lobservation de cette polarisation entrane une modification de
lorientation et serait immdiatement repre. Il serait alors possible de transmettre une cl prive en demeurant certain que sa transmission na pas t
espionne.
En fvrier 2002 un message a t transmis sur un canal scuris entre deux villes suisses distantes de 67km. Le message a t envoy par des photons.
La cl est constitue au fur et mesure. Il faut davance convenir que le 0 correspond une certaine polarisation (par exemple la polarisation horizontale et
circulaire droite) et le 1 une autre (la polarisation verticale et circulaire gauche).
Il faut ensuite se dbrouiller pour envoyer les photons un un. Pour cela un faisceau laser envoie des impulsions (des paquets de photons) sur une plaque
de verre qui les absorbe presque tous. A la sortie du verre les physiciens rcuprent des impulsions 0,1 photons, cela signifie quen moyenne 10% des
impulsions correspondent un unique photon, tandis que les 90% restants seront vides. La polarisation est choisie alatoirement parmi les lments des
bases rectilinaire et circulaire. Lexpditeur sait quelle polarisation il envoie. Les photons ainsi produits sont envoys dans une fibre optique.
Les dtecteurs lautre bout doivent tre le plus fiable possible. Ils sont refroidis -50C afin dcarter les parasites. Ces dtecteurs dterminent la
polarisation du photon qui fait de lui un bit 1 ou 0. Le destinataire dcide au hasard de mesurer la polarisation selon la base rectilinaire ou circulaire.
A la fin, les deux correspondants communiquent par un canal classique. Le destinataire annonce chaque base choisie pour chaque photon (mais pas
chaque rsultat 1 ou 0, puisquils sont sur un canal non scuris !). Les deux rejettent alors tous les cas o le destinataire na pas fait le bon choix de la
base. Puis les deux correspondants comparent un petit chantillon de leurs donnes (0 ou 1). Si elles sont identiques alors ils peuvent tre srs quaucun
adversaire nest intervenu (mais ces bits compars sont ignors car compars sur un canal peu sr).
Pour le moment le systme marche mais il nest pas trs performant. Rien quavec les imperfections de la fibre optique, au bout de 40km il ne reste plus que
10% des photons de dpart. Au final, seulement un photon mis sur 1000 sert vraiment donner la cl. Mais les physiciens progressent.