EMSE

Module Smartcard Security

Examen de la session de février 2018

Aucun document autorisé

 Consignes : Une seule réponse par question – Entourez la bonne réponse/celle qui vous semble être la meilleure
 Barême :
o réponse juste = points ajoutés, réponse fausse = point retranché, pas de réponse = status quo
o La somme des réponses par question est de moyenne nulle (e.g pour la question 1, la bonne réponse compte pour
0,75 et chaque mauvaise réponse compte pour 0,25)

1. Dans RSA, si je désigne par d l’exposant privé, que dois-je protéger contre les attaques side channel lors de
l’opération de signature Md mod N ?
a. Les paramètres publics
b. Les paramètres privés
c. Les deux
d. Ni les uns ni les autres
2. Dans RSA, si je désigne par e l’exposant public, que dois-je protéger contre les attaques par injection de fautes
lors de l’opération de vérification Me mod N ?
a. Les paramètres publics
b. Les paramètres privés
c. Les deux
d. Ni les uns ni les autres
3. Qu’est-ce qu’une attaque semi-invasive ?
a. Une attaque qui détruit le composant une fois sur deux
b. Une attaque qui endommage le packaging du composant sans altérer le composant lui même
c. Une attaque qui utilise les canaux cachés
4. Qu’est-ce qu’une attaque side channel ?
a. Une autre appellation pour ‘attaque invasive’
b. Une attaque qui exploite des grandeurs physiques émises par un composant
c. Une attaque qui se base sur le fait que l’on peut attaquer l’un côté ou l’autre du composant
5. Une attaque side-channel est
a. Uniquement applicable à des cartes à puces
b. Applicable uniquement à un composant électronique
c. Applicable à tout objet ayant une interaction physique avec le monde qui l’entoure
d. Une attaque théorique qui repose sur la complexité en O(n) de l’algorithme
6. Une attaque side-channel est
a. Active
b. Passive
7. Une attaque par injection de fautes est
a. Active
b. Passive
8. Quel est le but de la Timing Attack ?
a. Déduire de l’information du temps mis par le composant pour exécuter une opération
b. Utiliser le signal de consommation en courant pour déduire de l’information.
c. Injecter une faute de timing par le biais de l’horloge du composant
9. La Timing Attack peut être appliquée
a. Uniquement aux algorithmes à clef publique
b. Uniquement aux algorithmes à clef secrète
c. A tout algorithme manipulant un secret
10. Le but de l’attaque SPA est généralement
a. De trouver des bits de clef en injectant des fautes dans le composant
b. De trouver un lien entre l’activité électrique du composant et un secret
c. De chercher les corrélations entre l’activité électrique du composant et le temps d’exécution de
l’algorithme.
11. L’attaque SPA est
a. Est plus généralement appliquées aux algorithmes à clef secrète
b. Est plus généralement dédiée aux algorithmes à clef publiques
c. Est aussi efficace dans un cas que dans l’autre
12. L’attaque DPA a pour but
a. De calculer des corrélations entre les entrées et les sorties de l’algorithme
b. De calculer des corrélations entre la consommation du composant et une variable interne de l’algorithme.
c. De retrouver la clef en observant la consommation en courant au travers d’un oscilloscope
13. L’attaque DPA est
a. Est plus généralement dédiée aux algorithmes à clef secrète
b. Est plus généralement dédiée aux algorithmes à clef publiques
c. Est aussi efficace dans un cas que dans l’autre
14. L’attaque DPA nécessite de connaître l’algorithme attaqué
a. Oui c’est obligatoire
b. Non pas forcément
15. L’attaque DPA nécessite de connaître l’implémentation de l’algorithme attaqué
a. Oui c’est obligatoire
b. Non pas forcément
16. Quelle est la contre mesure algorithmique privilégiée contre la SPA sur RSA ?
a. L’utilisation de quantités aléatoires
b. La vérification du résultat avant communication
c. L’utilisation d’implémentation avec un flot de code régulier
d. L’utilisation de détecteurs matériels
17. Quelles est la contre mesure algorithmique privilégiée contre la DPA ?
a. L’utilisation de quantités aléatoires
b. La vérification du résultat avant communication
c. L’utilisation d’implémentation avec un flot régulier
d. L’utilisation de détecteurs matériels
18. Quel est l’utilisation des générateurs aléatoires dans les contre-mesures side channel attacks
a. Ils permettent d’avoir des représentations différentes des variables intermédiaires à chaque nouvelle
exécution de l’algorithme
b. Ils génèrent un bruit blanc difficilement filtrable
c. Ils génèrent un bruit de grenaille difficilement filtrable
d. Ils permettent de choisir aléatoirement et dynamiquement un algorithme à la place d’un autre lors de
l’exécution (DES à la place du RSA par exemple)
19. Lors de l’établissement de la matrice d’hypothèses dans une attaque CPA, la taille de la matrice est
a. Nombre d’hypothèses*Nombres de courbes acquises
b. Nombre d’hypothèses*Nombres de courbes acquises*2
c. Nombre d’hypothèses²
d. Nombres de courbes acquises²
20. En quoi consiste une attaque CPA ?
a. A confronter un modèle empirique appris et un modèle empirique du composant attaqué
b. A confronter un modèle empirique appris et un modèle théorique
21. Trier les attaques par difficulté
a. SPA> CPA
b. CPA> SPA
c. On ne peut pas établir de telle relation sans connaître le contexte
d. Elles sont toutes identiquement difficiles
22. L’attaque CPA
 a. Nécessite de connaître les messages d’entrée
b. Nécessite de connaître les messages de sortie
c. Les deux
d. L’un ou l’autre
23. L’attaque SPA
a. Nécessite de connaître les messages d’entrée
b. Nécessite de connaître les messages de sortie
c. Les deux
d. L’un ou l’autre
e. Ni l’un, ni l’autre
24. Quelle est la raison fondamentale pour laquelle les attaques de type CPA fonctionnent ?
a. Le transistor CMOS est asymétrique
b. Le composant cible a été mal conçu
c. On ne connaît pas la raison physique intrinsèque mais l’expérience montre que l’attaque marche
d. Le transistor CMOS est symétrique
25. Quelle affirmation est vraie ?
a. La transition de 1 vers 0 est identique à la transition de 0 vers 1 mais l’absence de transition (0 -> 0 par
exemple) montre une consommation différente d’une transition
b. La transition de 1 vers 0 est différente de la transition de 0 vers 1 ; de plus l’absence de transition (0 -> 0
par exemple) montre une consommation différente de chacune des transitions
c. L’absence de transition de 0->0 et la transition de 1->0 consomment de la même manière
d. L’absence de transition de 0->0 et la transition de 0->1 consomment de la même manière
26. Si je change la clef de mon algorithme tous les 100 chiffrements, suis-je sensible à une attaque de type DPA sur
AES ?
a. Oui
b. Non
c. Tout dépend du niveau de fuite de mon composant Tout dépend du niveau de fuite de mon composant
mais plus probablement oui
d. Tout dépend du niveau de fuite de mon composant mais plus probablement non
27. Si je change la clef de mon algorithme tous les 10000 chiffrements, suis-je sensible à une attaque de type DPA sur
AES ?
a. Oui
b. Non
c. Tout dépend du niveau de fuite de mon composant mais plus probablement oui
d. Tout dépend du niveau de fuite de mon composant mais plus probablement non
28. Un algorithme de hashage (type SHA-1) est sensible à :
a. SPA et DPA
b. SPA, DPA
c. Ni SPA, ni DPA
29. Un algorithme de hashage (type SHA-1) en mode HMAC est sensible à :
a. SPA et DPA
b. SPA, DPA
c. Ni SPA, ni DPA