Initiation la Cryptologie

Avril 2011

Cryptologie

Page 1 / 51

Table des matires

1 Vocabulaire....................................................3 2 Les enjeux.....................................................4
2.1 2.2 2.3 2.4 3.1 3.2 3.3 3.4 3.5 3.6 Le secret postal.................................................4 Cryptologie et droit franais................................4 La NSA............................................................5 chelon............................................................5 Chiffre de Csar................................................6 Chiffrement monoalphabtique............................6 Cryptanalyse par tude de frquence...................7 Attaque par mot probable...................................8 Chiffre de Vigenre............................................8 Attaque par indice de concidence........................9

8 Fonctions de hachage.....................................33
8.1 8.2 8.3 8.4

7.6 La certification appliqu aux logiciels..................32 Principe..........................................................33 MD5...............................................................33 SHA-1............................................................33 Retour sur les signatures lectroniques...............34

3 Algorithmes de chiffrement faibles.....................6

9 Application...................................................34 10 Cryptanalyse...............................................36

9.1 Les cartes bancaires.........................................34 9.2 PGP...............................................................35 10.1 Familles d'attaques cryptanalytiques................37 10.2 Cryptanalyse moderne....................................38 10.3 Attaques par canaux auxiliaires.......................38 11.1 Histoire........................................................40 11.2 Techniques rendues possibles par l'ordinateur. . .40 11.3 Usage...........................................................42 12.1 Aujourd'hui...................................................42 12.2 Demain : La cryptographie quantique...............43 12.3 Demain aussi : La cryptanalyse quantique.........45 13.1 Csar...........................................................46 13.2 Vigenre.......................................................46 13.3 RSA.............................................................47 14.1 14.2 14.3 14.4 14.5 Kama-sutra...................................................47 Georges Sand et Alfred de Musset ...................47 Le tlgramme de Zimmermann......................48 Le chiffre ADFGVX..........................................49 Olivier Levasseur...........................................50

4 Algorithmes de cryptographie symtrique.........11

4.1 Cl et scurit.................................................11 4.2 Chiffre de Vernam...........................................12

11 Stganographie...........................................40

5 L'arrive de l'informatique..............................14
5.1 5.2 5.3 5.4 6.1 6.2 6.3 6.4 7.1 7.2 7.3 7.4 7.5

6 La cryptographie moderne..............................21

La machine Enigma..........................................14 La cryptanalyse de la machine Enigma...............16 Lorenz Vs Colossus..........................................19 Conclusion......................................................20 Les chiffrements par blocs................................21 D.E.S (Data Encryption Standard)......................22 A.E.S (Advanced Encryption Standard)...............23 RC4...............................................................23 Principe..........................................................24 RSA...............................................................25 Signature lectronique : tre sr de l'expditeur..27 Certificat lectronique : tre sr du destinataire.. 28 SSL...............................................................29

12 Conclusion..................................................42

13 Exercices de cryptanalyse.............................46

7 Algorithmes de cryptographie asymtrique........24

14 Anecdotes en vrac.......................................47

Cryptologie

Page 2 / 51

Vocabulaire

Coder : Transformer un texte, une information en remplaant les mots dans une criture faite de signes prdfinis. Chiffrer : Transformer un texte, une information en remplaant les lettres dans une criture faite de signes prdfinis.1 Chiffrement : Transformation l'aide d'une cl de chiffrement d'un message en clair en un message incomprhensible si on ne dispose pas d'une cl de dchiffrement (en anglais encryption) Cryptogramme : Message chiffr Cl : Une cl est un paramtre utilis en entre d'une opration cryptographique (chiffrement, dchiffrement, ...) Dcrypter : Retrouver le message clair correspondant un message chiffr sans possder la cl de dchiffrement (terme que ne possdent pas les anglophones, qui eux cassent des codes secrets) Cryptographie : tymologiquement criture secrte , devenue par extension l'tude de cet art (donc aujourd'hui la science visant crer des cryptogrammes, c'est--dire chiffrer) Cryptanalyse : Science analysant les cryptogrammes en vue de les dcrypter ; Cryptologie : Science regroupant la cryptographie et la cryptanalyse. Alice, Bob & Mallory : Ce sont les personnages fictifs, des exemples de cryptographie. Alice veut crire Bob, et Mallory essaye d'intercepter le message (ou de le modifier, ou de se faire passer pour Alice ...) Vu le sens des mots chiffrer; dchiffrer et dcrypter, le terme crypter n'a pas de raison d'tre (l'Acadmie franaise prcise que le mot est bannir et celui-ci ne figure pas dans son dictionnaire), en tout cas pas dans le sens o on le trouve en gnral utilis. Pas plus que le terme dcoder 2.
1 2 Toute la diffrence entre coder et chiffrer : Le nombre de combinaisons possibles. Sauf si vous vous destinez une carrire d'installateur Canal+ Page 3 / 51

Cryptologie

Les enjeux

La cryptographie sert assurer la confidentialit d'un document (seuls les possesseurs de la cl peuvent le lire) mais aussi a assurer l'intgrit d'un document : Je suis sur que le document que je lit est celui qui a t mis. L'histoire de la cryptologie est trs t lie l'histoire de l'humanit. Surtout sur les plans militaires et informatique. Eh oui, le premier ordinateur a t invent pour cryptanaliser un message. Des batailles ont t gagn grce la cryptanalyse3 On considre que la seconde guerre mondiale a t raccourcie d'au moins un an grce la connaissance des communications allemandes par les allis. De tout temps l'usage mme de la cryptographie a t sensible

2.1

Le secret postal

Le cabinet noir a svi pendant des sicles dans la plupart des tats europens. Il s'est manifest depuis louverture des postes royales aux particuliers et linstitution du monopole. Le vritable mobile t de placer la circulation des correspondances sous le contrle royal, car elle a permis de mettre fin aux diverses postes particulires des grands seigneurs, des prlats et des universits. Les agents des postes royales pouvaient ainsi lire ces lettres et en transmettre alors au gouvernement les extraits les plus compromettants. Ceux-ci taient alors examins par le monarque en son cabinet noir , ce qui fut lorigine de nombreuses disgrces et condamnations. Cette pratique juge contraire la lgitimit monarchique, tait trs impopulaire et soulevait lhostilit de toutes les classes de la population. En France en 1789, de nombreux cahiers de dolances rclamrent son abolition. Cette revendication tait si universellement partage que, dans son rapport de synthse du 27 juillet 1789 devant les tats Gnraux, le comte de Clermont-Tonnerre avait mis l'inquisition postale sur le mme plan que les lettres de cachet, en ces termes :

La Nation franaise s'lve avec indignation contre les lettres de cachet, qui disposaient arbitrairement des personnes, et contre la violation du secret de la poste, l'une des plus absurdes et des plus infmes inventions du despotisme.
Mais linquisition postale nen fut pas moins rtablie par le Comit de salut public de la Convention, au nom de la patrie en danger, pour lutter contre les conspirateurs, puis maintenue par les gouvernants ultrieurs.

2.2

Cryptologie et droit franais

Longtemps les diffrents gouvernements, y compris le gouvernement franais, interdirent la cryptographie. Jusqu'en 1999, utiliser la cryptographie tait assimil l'usage d'une arme de guerre ! (Sauf si vous utilisiez des cl suffisamment faible pour que le gouvernement puisse les casser ...) Pour favoriser le dveloppement du commerce lectronique, le gouvernement a t contraint de libraliser son utilisation. La cryptographie tant le seul moyen de protger, de faon fiable, la circulation d'information sur l'internet (Protocole https). Mais les lois scuritaires du dbut du sicle (LSQ en 2001 puis LSI) considrent que l'utilisation d'outils de cryptographie serait dsormais considre comme une "circonstance aggravante", et que ses utilisateurs seraient passibles de deux ans de prison, et 30 000 euros d'amende 4, s'ils refusaient de dchiffrer les messages chiffrs changs. Pire encore : La loi autorise galement les juges recourir aux "moyens de l'tat soumis au secret de la Dfense nationale" pour dcrypter des informations chiffres. Les rapports d'expertise sont donc classifis et ne peuvent faire l'objet d'aucun recours; ce qui avait d'ailleurs t peru, dans les milieux du renseignement franais, comme un excellent moyen de pouvoir fabriquer des preuves sans possibilit, pour l'accuser, de les contester.
3 4 Ou perdues cause de ... c'est trs subjectif ! Port 3 ans et 45.000 par la loi LSI Page 4 / 51

Cryptologie

Tout utilisateur d'outils de cryptographie se retrouve donc, sinon potentiellement suspect, tout du moins plac sous une pe de Damocls dont il ne pourrait s'extirper si les autorits, pour quelque raison que ce soit, dcidaient de s'intresser lui. Les logiciels de cryptographie doivent tre approuv par le gouvernement avant de pouvoir tre utilis en France . C'est le cas de la plupart d'entre eux.

2.3

La NSA

Aujourd'hui, aux USA, une agence , a elle toute seule, un budget suprieur ceux de la CIA, du FBI et de la NASA runis : La NSA (National Security Agency). La NSA5 est un organisme gouvernemental des tatsUnis, responsables de la collecte et de l'analyse de toutes formes de communications, aussi bien militaires et gouvernementales que commerciales ou mme personnelles, par radiodiffusion, par Internet ou par tout autre mode de transmission. Les agences ont aussi pour mission d'assurer la scurit des communications (et donc des ordinateurs) du gouvernement amricain. En dpit du fait qu'elle soit le plus grand employeur de mathmaticiens, d'informaticiens et d'lectroniciens au monde, qu'elle possde un grand nombre d'ordinateurs, et un budget colossal (valu environ 4 milliards de dollars en 1997), l'agence a t remarquablement discrte jusqu' rcemment. Selon une estimation de 2002, le quartier gnral de la NSA 6 utilise lui seul assez d'lectricit pour alimenter quatre Earth Simulators (l'ordinateur le plus puissant de l'poque).. "In God we trust. All others we monitor". -- Devise NSA (Blague. Enfin, je crois)

2.4

chelon

Le principal outil de la NSA est le rseau chelon chelon est un nom de code utilis pendant de nombreuses annes par les services de renseignements des tats-Unis pour dsigner une base d'interception des satellites commerciaux. Par extension, le Rseau chelon dsigne le systme mondial d'interception des communications prives et publiques, labor par les tats-Unis, le Royaume-Uni, le Canada, lAustralie et la Nouvelle-Zlande. Cest un rseau global, appuy par des satellites, de vastes bases dcoutes situes aux tats-Unis, au Canada, au Royaume-Uni, en Allemagne, en Australie et en Nouvelle-Zlande, des petites stations d'interception dans les ambassades, et le sous-marin USS Jimmy Carter, entr en service en 2005 pour couter les cbles sous-marins de tlcommunications. Il intercepte les tlcopies, les communications tlphoniques, les courriels et, grce un puissant rseau dordinateurs, est capable de trier en fonction de certains termes les communications crites et, partir de lintonation de la voix, les communications orales. Ces rseaux peuvent tre utiliss pour des actions militaires, politiques ou commerciales. Il aurait t utilis pour faire gagner des contrats des compagnies amricaines, face ses concurrents, comme Boeing contre Airbus. Toutes les informations rcoltes par le rseau Echelon sont analyses au quartier gnral de la NSA Fort Meade.
5 6 No Such Agency (une telle agence nexiste pas) Never Say Anything (ne jamais rien dire) Page 5 / 51

Cryptologie

Algorithmes de chiffrement faibles

Les premiers algorithmes utiliss pour le chiffrement d'une information taient assez rudimentaires dans leur ensemble. Ils consistaient notamment au remplacement de caractres par d'autres. La confidentialit de l'algorithme de chiffrement tait donc la pierre angulaire de ce systme pour viter un dcryptage rapide.

3.1

Chiffre de Csar

le chiffre de Csar est une des plus simple mthodes d'encryptage connues. C'est une technique de codage par substitution, c'est--dire que chaque lettre du texte en clair est remplace par une autre lettre distance fixe dans l'alphabet. Par exemple, si l'on utilise un dcalage de 3, A serait remplac par D, B deviendrait E, et ainsi de suite. Cette mthode doit son nom Jules Csar, qui utilisait cette technique pour certaines de ses correspondances. 3.1.1 Exercice : QJAJE QF RFNS JY INYJX "UWJRNJW".

Cryptogramme Dchiffrez ! 3.1.2 ROT13

Le ROT13 ("rotate by 13 places") (une variante du chiffrier de Csar) est un algorithme trs simple de chiffrement de texte. Comme son nom l'indique, il s'agit d'un dcalage de 13 caractres de chaque lettre du texte chiffrer. L'avantage de ROT13, c'est le fait que le dcalage soit de 13 : Comme l'alphabet comporte 26 lettres le mme algorithme sert la fois pour chiffrer et pour dchiffrer. Il est encore utilis dans les logiciels de messagerie comme Outlook express ou, dans un forum, on souhaite cacher une rponse une question pos.

3.2

Chiffrement monoalphabtique

L'histoire n'a pas retenu le nom de l'inventeur de la premire mthode de chiffrement cl. Elle date probablement du dbut de notre re. L'intrt de cette mthode est que pour que le cryptogramme soit dchiffr, il suffit de faire parvenir une cl (qui peut tre un simple mot) son (ou ses) destinataires lgitimes. Comme il existe des millions de mots cl possible, il existe des millions de combinaisons possible. tape 1 : Choisir un mot cl. Ex : informatique tape 2 : Le "nettoyer" en enlevant tout les doubles et les accents : INFORMATQUE tape 3 : Reporter ce mot dans une grille :

Cryptologie

Page 6 / 51

A I

B N

C F

D O

E R

F M

G A

H T

I Q

J U

K E

tape 4 : Complter l'alphabet

A I B N

En prenant soin de ne pas utiliser 2 fois une lettre En partant de la dernire lettre crite
C F D O E R F M G A H T I Q J U K E L G M H N J O K P L Q P R S S V T W U X V Y W Z X B Y C Z D

tape 5 : On peut maintenant crypter un message par substitution Texte en clair : Texte prpar : Cryptogramme : 3.2.1 AYUOY Exercice JYAWA KAIKA EJYEA DKAIJ Aujourd'hui, j'ai mang des nouilles7 AUJOU IXUKX RDHUI SOTXQ JAIMA UIQHI NGEDE JAROR SNOUI VJKXQ LLES GGRV

Dchiffrez le cryptogramme monoalphabtique suivant, sachant que le cl est Il tait une fois :

3.3

Cryptanalyse par tude de frquence

Par sa simplicit et par sa force, la substitution monoalphabtique a domin la technique des critures secrtes pendant tout le premier millnaire. Il a rsist aux cryptanalystes jusqu' ce que le savant arabe Abu Yusuf Ya'qub ibn Is-haq ibn as-Sabbah Omran ibn Ismal al-Kindi mette au point, au IXme sicle, une technique appele analyse des frquences. Al-Kindi (801-873) rdige sa mthode dans un trait intitul Manuscrit sur le dchiffrement des messages cryptographiques . Il explique que la faon d'lucider un message crypt, si nous savons dans quelle langue il est crit, est de nous procurer un autre texte en clair dans la mme langue, de la longueur d'un feuillet environ, et de compter alors les apparitions de chaque lettre. Ensuite, nous nous reportons au texte chiffr que nous voulons claircir et relevons de mme ses symboles. Nous remplaons le symbole le plus frquent par la lettre premire (la plus frquente du texte clair), le suivant par la deuxime, le suivant par la troisime, et ainsi de suite jusqu' ce que nous soyons venus bout de tous les symboles du cryptogramme rsoudre . Cette technique ne fonctionne bien que si le cryptogramme est suffisamment long pour avoir des moyennes significatives. Voici, ci contre, les diagrammes de frquence des lettres du Franais. Il est amusant de constater que plusieurs nations ignoraient les travaux d'al-kindi et on utilis des messages chiffrs par cette mthode jusqu'au milieu du XVeme sicle.8 3.3.1 Casser un code

On considre qu'un code (ou un chiffre) a t cass si il existe une mthode qui permet de le cryptanaliser plus
7 8 Eh oui, la cryptographie sert dissimuler les plus grands secrets de l'univers ... Ne comptez pas sur moi pour vous donner le nom de ces nations. C'est pas mon genre de me moquer de l'Espagne et du Portugal... Page 7 / 51

Cryptologie

rapidement que par une attaque en force brute. Un attaque par force brute consiste essayer successivement toutes les combinaisons possibles.

3.4

Attaque par mot probable

Nous avons vu que nous pouvions dcrypter un chiffre monoalphabtique par une analyse des frquences. Une autre technique consiste deviner un mot qui doit, ou peut, apparatre dans le texte clair. Dans une substitution monoalphabtique, un mot chiffr a le mme aspect que le mot clair. Prenons par exemple le mot anglais "AMMUNITION"; dans le texte chiffr apparatra une squence de dix lettres avec les caractristiques suivantes:

Les 2me et 3me lettres sont les mmes Les 5me et 10me lettres sont les mmes (et diffrentes de la 2me lettre) Les 6me et 8me lettres sont les mmes (et diffrentes des 2me et 5me lettres) Toutes les autres lettres sont diffrentes.

Une fois que l'on a trouv toutes les correspondances possibles, on peut utiliser une statistique chi-carr pour dterminer laquelle est la plus probable.

3.5

Chiffre de Vigenre

Le Chiffre de Vigenre est un systme de chiffrement, labor par Blaise de Vigenre (1523-1596), diplomate franais du XVIe sicle. C'est un systme de substitution polyalphabtique. Cela signifie qu'il permet de remplacer une lettre par une autre qui n'est pas toujours la mme, contrairement aux chiffres vu prcdemment qui se contentaient d'utiliser la mme lettre de substitution. C'est donc un systme relativement plus solide . 3.5.1 La table de Vigenre

L'outil indispensable du chiffrement de Vigenre est : La table de Vigenre ou carr de Vigenre . On l'obtient en crivant 26 fois l'alphabet, et en dcalant chaque ligne d'une lettre. Pour la 1er ligne : ABCDE ... XYZ Pour la 2eme : BCDEF... YZA La 3eme : CDEFG...ZAB Etc 3.5.2 Chiffrement

Pour chaque lettre en clair, on slectionne la colonne correspondante et pour une lettre de la cl on slectionne la ligne adquate, puis au croisement de la ligne et de la colonne on trouve la lettre code. La lettre de la cl est prendre dans l'ordre dans laquelle elle se prsente et on rpte la cl en boucle autant que ncessaire.

Cryptologie

Page 8 / 51

3.5.3 Cl : Texte : Cl : Texte : Pour Pour Pour Pour Etc la la la la

Exemple Musique j'adore couter la radio toute la journe

On rpte la cl jusqu' ce qu'elle soit aussi longue que le texte chiffrer : MUSIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU JADORE ECOUTER LA RADIO TOUTE LA JOURNEE : On prend dans la table, la colonne de la cl (M) et la ligne de la lettre (J) : : On prend la colonne de la cl (U) et la ligne de la lettre (A) : : On prend la colonne de la cl (S) et la ligne de la lettre (D) : : On prend la colonne de la cl (I) et la ligne de la lettre (O) : V U V W

1ere lettre 2eme lettre 3eme lettre 4eme lettre

Le texte chiffr est alors : VUVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY. 3.5.4 Dchiffrement

Si on veut dchiffrer ce texte, on regarde pour chaque lettre de la cl rpte la ligne correspondante, et on y cherche la lettre code. La premire lettre de la colonne que l'on trouve ainsi est la lettre dcode. Texte cod Cl rpte : : VUVWHY IOIMBUL PM LSLYI XAOLM BU NAOJVUY MUSIQU EMUSIQU EM USIQU EMUSI QU EMUSIQU ^^^ |||Ligne I, on cherche W: on trouve la colonne O. ||Ligne S, on cherche V: on trouve la colonne D. |Ligne U, on cherche U: on trouve la colonne A. Ligne M, on cherche V: on trouve la colonne J.

3.5.5 Cl

Exercice HXUMY UUAMT UHLTG QTMAK : BTSIG

Texte cod : DHMZG

Dchiffrez ce cryptogramme.

3.6

Attaque par indice de concidence

La figure la plus tonnante de la cryptanalyse au XIX me sicle est celle de Charles Babbage (1792-1871). Babbage tait un touche tout de gnie : il fut le premier comprendre que dans un tronc d'arbre, la largeur d'un anneau dpend du temps qu'il a fait dans l'anne. Il s'intressa aux statistiques (premires tables de mortalit). Il proposa un prix unique pour l'affranchissement d'une lettre. Aprs s'tre rendu compte que les phmrides nautiques pour trouver la latitude et la longitude en mer contenaient plus de mille erreurs, il choua faute de financement construire une machine mcanique capable de faire des calculs avec un haut degr de prcision. Cette machine (aujourd'hui construite d'aprs les plans de l'poque) fonctionne parfaitement : C'est l'anctre des ordinateurs. Il apporta une contribution importante la cryptanalyse: il russit casser le chiffre de Vigenre, probablement en 1854 car sa
Cryptologie Page 9 / 51

dcouverte resta ignore en l'absence d'crit. Pendant ce temps, un officier prussien la retraite, Friedrich Wilhelm Kasiski (1805-1881), parvint au mme rsultat et publia en 1863 "Die Geheimschriftren und die Dechiffrir-kunst". 3.6.1 KQOWE KOYSS WUUNE WVBPN SKHFR DGMUC XKLNE JKNEE Cryptanalyse commente d'un chiffre de Vigenre FVJPU IWCTU JUUQE LGOYL SEIUE GOCRU IWCWO DCLDH JUUNU AXYOT APYME SKMTE VGOYC WGNMA DCCUL WTVBU KGLME APXPL KQHUI FVJJT WXIZA AFFVN WRIFT VGFBI KJINM WPNTC DUXFP WWMFM YGOSA SIUDE WGMUS JG WUXFQ GOJBG GUYTS WPNME ANYDO KQHCE WOVMA MKJBG FQHTD MTFFS MTMHR EOYJL UCPFC TNYBU WRLFN WXIZA HNUOC SPXFS WUNHA MPVSU HTCOC FGHUD YGFFN ZGMRU SKFFS MEBFE DGAVE WFYTN WUUMB SXCSE WEYTR TNUOC LXYVL MNYMA MGYTQ SVLPS YNCTS GKMEE ZGMDO WNOJN MVLFM MKBBN NCMUE SPNTU DCTVR EOYEE SIOFR AOYFN LGFBT KQCTE JNYTG ECFBD KCPJR WUCCE TQCUA WOJFT SWREE GWZGR JQCUS GPMUR SWKVI FVFJN WGNTE

Phase 1 : Trouver la longueur de la cl

tape 1 : Soulignez les rptitions de 3 caractres ou plus : KQOWE KOYSS WUUNE WVBPN SKHFR DGMUC XKLNE JKNEE FVJPU IWCTU JUUQE LGOYL SEIUE GOCRU IWCWO DCLDH JUUNU AXYOT APYME SKMTE VGOYC WGNMA DCCUL WTVBU KGLME APXPL KQHUI FVJJT WXIZA AFFVN WRIFT VGFBI KJINM WPNTC DUXFP WWMFM YGOSA SIUDE WGMUS JG WUXFQ GOJBG GUYTS WPNME ANYDO KQHCE WOVMA MKJBG FQHTD MTFFS MTMHR EOYJL UCPFC TNYBU WRLFN WXIZA HNUOC SPXFS WUNHA MPVSU HTCOC FGHUD YGFFN ZGMRU SKFFS MEBFE DGAVE WFYTN WUUMB SXCSE WEYTR TNUOC LXYVL MNYMA MGYTQ SVLPS YNCTS GKMEE ZGMDO WNOJN MVLFM MKBBN NCMUE SPNTU DCTVR EOYEE SIOFR AOYFN LGFBT KQCTE JNYTG ECFBD KCPJR WUCCE TQCUA WOJFT SWREE GWZGR JQCUS GPMUR SWKVI FVFJN WGNTE

tape 2 : Pour chaque rptition, mesurer la priode Squence rpte WUU EEK WXIZAYG NUOCZGM DOEOY GMU Distance 95 200 190 80 45 90

tape 3 : Pour chaque priode, dcomposer en facteurs premiers et regarder quel facteur est commun tous :
Longueurs de clef possibles Squence rpte WUU EEK WXIZAYG NUOCZGM DOEOY GMU Espace de rptition 95 200 190 80 45 90 x x x x x x 2 3 5 x x x x x x x 19 x

La cl est ici longue de 5 caractres.

Phase 2 : Trouver la 1er lettre du mot cl

tape 1 : Faire une analyse de frquence seulement sur les caractres 1, 6, 11, ...

Cryptologie

Page 10 / 51

On obtient ici :
En rouge, l'analyse de frquence modulo 5 En bleu le diagramme de frquence des lettres en franais. tape 2 : On dcale pour faire correspondre On dcale les diagrammes pour mettre le pic du W sur le E ... L'ensemble correspond peut prs : On la premire lettre de la cl.

Avec W = 23 et E = 5, c'est la (23 5 + 1= 19eme) soit S Phase 3, 4, 5 et 6 : On recommence pour avoir les 5 lettres du mot cl. Le mot cl est SCUBA On peut dchiffrer le cryptogramme : Soit : SOUVE QUISU INELE NTPIT GEURA SONBE BLEAU NTPOU IVENT SONTI EUSEM ILECO CAVEC PRINC RSAMU INDOL LSDEP ENTLE MMEIL UNBRU EDESN SERLE ENTSC OSESS URSGR ESTGA LEGUE UEESQ SHOMM OMPAG URLES ANDES UCHEE ULELA UIHAN ESDEQ NONSD PLANC AILES TVEUL UTREM TELAT UIPAG EVOYA HESQU BLANC ELUIN IMEEN EMPET EPREN GELEN ECESR HESCO AGUER BOITA EETSE NENTD AVIRE OISDE MMEDE ESIBE NTLIN RITDE ESALB GLISS LAZUR SAVIR AUQUI FIRME LARCH ATROS ANTSU MALAD ONSTR LESTC QUIVO ERBAU VASTE RLESG ROITS AINER OMIQU LAITL DELAI SOISE OUFFR ETHON ACOTE EETLA EPOET RE AUXDE ESAME TEUXL DEUXC IDLUN EESTS SMERS RSAPE AISSE EVOYA AGACE EMBLA

Soit encore :

Souvent pour s'amuser les hommes d'quipage prennent des albatros, vastes oiseaux des mers, qui suivent, indolents compagnons de voyage, le navire glissant sur les gouffres amers. A peine les ont-ils dposs sur les planches que ces rois de l'azur, maladroits et honteux, laissent piteusement leurs grandes ailes blanches, comme des avirons, traner ct d'eux. Ce voyageur ail, comme il est gauche et veule, lui nagure si beau, qu'il est comique et laid. L'un agace son bec avec un brle-gueule, l'autre mime en boitant l'infirme qui volait. Le pote est semblable au prince des nues, qui hante la tempte et se rit de l'archer. Charles Baudelaire
Au 19eme sicle, les cryptanalyses reprennent l'avantage.

Algorithmes de cryptographie symtrique

Les algorithmes de chiffrement symtrique se fondent sur une mme cl pour chiffrer et dchiffrer un message. Le problme de cette technique est que la cl, qui doit rester totalement confidentielle, doit tre transmise au correspondant de faon sre. Ces algorithmes sont dit aussi cl secrte Les trois algorithmes tudis prcdemment sont, bien sur des algorithmes cl secrte.

4.1

Cl et scurit

L'un des concepts fondamentaux de la cryptographie symtrique est la cl, qui est une information devant

Cryptologie

Page 11 / 51

permettre de chiffrer et de dchiffrer un message et sur laquelle peut reposer toute la scurit de la communication. Un algorithme comme le ROT13 par exemple n'a pas de cl, il suffit de savoir que cette mthode a t utilise pour chiffrer un message et on peut avoir accs au texte clair. En d'autres termes, ici, le secret rside dans la mthode utilise. Ce type de secret ne satisfait pas les utilisateurs de chiffrement, car la conception d'un bon algorithme est trs difficile, une fois dcouvert il n'offre plus de scurit, et tous les messages qui ont t chiffr par lui deviennent accessibles. 4.1.1 Scurit calculatoire

Auguste Kerckhoffs (La cryptographie militaire, 1883) est certainement l'un des premiers avoir pleinement compris cela : pour esprer tre sr, l'algorithme doit pouvoir tre divulgu. Dit autrement, la scurit ne doit reposer que que la connaissance de la cl : C'est ce que l'on appelle le principe de Kerckhoffs. Il faut ajouter que cette cl doit pouvoir prendre suffisamment de valeurs pour qu'une attaque en force brute essai systmatique de toutes les cls ne puisse tre mene bien car trop longue. On parle de scurit calculatoire. Cette scurit calculatoire est bien videmment dpendante du temps, les performances des moyens de calcul allant croissant, un systme de chiffrement est confront une adversit toujours plus forte, alors que le message chiffr ne change plus. L'illustration de ce problme est le DES, ce systme est devenu obsolte cause du trop petit nombre de cls qu'il peut utiliser (pourtant 256). On pense que, actuellement, 280 est un strict minimum. titre indicatif, le dernier standard choisi par les Amricains en dcembre 2001, l'AES, utilise des cls dont la taille est au moins de 128 bits, autrement dit il y en a 2 128. Pour donner un ordre de grandeur sur ce nombre, cela fait environ 3,4*10 38 cls possibles; l'ge de l'univers tant de 1010 annes, si on suppose qu'il est possible de tester 1 000 milliards de cls par seconde (soit 3.2*10 19 cls par an) il faudra encore plus d'un milliard de fois l'ge de l'univers pour les essayer toutes. Dans un tel cas on peut raisonnablement penser que notre algorithme est sr. Cependant, c'est faire une hypothse trs forte sur l'algorithme que de supposer que le seul moyen de le casser est de mener une attaque par force brute : nombreuses sont les failles que peuvent receler un algorithme et encore plus nombreuses sont les mauvaises utilisations d'un algorithme.

4.2

Chiffre de Vernam

Le chiffre de Vernam, galement appel masque jetable est un algorithme de cryptographie invent par Gilbert Vernam en 1917. Bien que simple, ce chiffrement est le seul qui soit thoriquement impossible casser, mme s'il prsente d'importantes difficults de mise en uvre pratique. 4.2.1 Principe

Le chiffrement par la mthode du masque jetable consiste combiner le message en clair avec une cl prsentant les caractristiques trs particulires suivantes :

La cl doit tre une suite de caractres aussi longue que le message chiffrer. Les caractres composant la cl doivent tre choisis de faon totalement alatoire. Chaque cl, ou masque , ne doit tre utilise qu'une seule fois (d'o le nom de masque jetable).

L'intrt considrable de cette mthode de chiffrement, c'est que si les trois rgles ci-dessus sont respectes strictement, le systme offre une scurit thorique absolue.

Cryptologie

Page 12 / 51

4.2.2

Chiffrement et dchiffrement la main

Le chiffrement la main par la mthode du masque jetable fut notamment utilise par Che Guevara 9 pour communiquer avec Fidel Castro. Exemple comment : On veut chiffrer le message HELLO . On choisit la cl : X M C K L Pour cela, on attribue un nombre chaque lettre, par exemple le rang dans l'alphabet, de 0 25. Ensuite on additionne la valeur de chaque lettre avec la valeur correspondante dans le masque; enfin si le rsultat est suprieur 25 on soustrait 26 (calcul dit "modulo 26") : 7 (H) + 23 (X) = 30 = 4 (E) 4 (E) 12 (M) 16 16 (Q) 11 (L) 2 (C) 13 13 (N) 11 (L) 10 (K) 21 21 (V) 14 (O) message 11 (L) masque 25 masque + message 25 (Z) masque + message modulo 26

Le texte reu par le destinataire est EQNVZ . Le dchiffrement s'effectue de manire similaire, sauf que l'on soustrait le masque au texte chiffr au lieu de l'additionner. Ici encore on ajoute ventuellement 26 au rsultat pour obtenir des nombres compris entre 0 et 25 : 4 (E) - 23 (X) = -19 = 7 (H) 16 (Q) 12 (M) 4 4 (E) 13 (N) 2 (C) 11 11 (L) 21 (V) 10 (K) 11 11 (L) 25 (Z) message chiffr 11 (L) masque 14 message chiffr masque 14 (O) message chiffr - masque modulo 26

On retrouve bien le message initial HELLO . 4.2.3 Problme de la transmission des cls

La seule mthode sre pour transmettre les cls au correspondant est le transport physique, typiquement dans une valise diplomatique. Aucune transmission sur un rseau n'est acceptable, une interception ne pouvant jamais tre totalement exclue. Le transport de la cl devient le point faible de Graal cryptographique qu'est un chiffre incassable. 4.2.4 Difficult de produire une cl parfaitement alatoire

Le fait que la cl soit constitue d'une suite de caractres (ou de bits) totalement alatoires est une condition essentielle de la scurit du chiffre de Vernam. Un dfaut du masque sur ce point peut suffire pour que le cryptanalyse retrouve le message en clair. Des cls parfaitement alatoires ne peuvent pas tre produites par un ordinateur : En effet ce dernier est une machine fondamentalement dterministe, dont le rsultat est totalement prvisible quand on connat les calculs programms et leurs donnes initiales. Pourtant de nombreux algorithmes ont t proposs dans ce but : On les appelle des gnrateurs de nombres pseudo-alatoires. Leur rsultat est utile dans beaucoup de situations, mais il ne rpond pas la condition du parfait ala, qui seul garantit la scurit absolue Dit autrement, il n'est pas possible de prdire quel sera le prochain nombre tir au sort par un ordinateur. Mais si vous me donnez un srie de 10.000 nombres, je trouve facilement le 10.001 eme

Oui, le clbre fabriquant de T-shirts. Page 13 / 51

Cryptologie

4.2.5

Problme de l'utilisation unique de chaque cl

Si le chiffre de Vernam est inviolable, c'est parce qu'une attaque en force brute la mme probabilit de trouver toute les combinaisons de n lettres. Dans notre exemple (HELLO, cod EQNVZ) La cryptanalyse donnerait la liste complte des mots de 5 lettres. Mais si le mme masque est utilis pour deux messages diffrents, la solution devient triviale. En pratique l'utilisation sre du masque jetable demande une organisation rigoureuse : Chaque cl doit tre prcisment identifie et soigneusement trace, d'autant qu'elle est toujours fournie en deux exemplaires, deux correspondants gographiquement distants. Imaginez qu'une chancellerie communique par cette mthode avec ses dizaines d'ambassades rparties dans des pays du monde, chacune d'elle envoyant et recevant plusieurs messages par jour, pouvant comporter un grand nombre de pages, et ceci pendant des annes : Il faut une logistique lourde pour garantir la scurit absolue. Mais cette mthode a t et est encore largement utilise par certains tats. Pour garantir l'utilisation unique des cls, les agents du KGB utilisaient souvent des masques qui taient imprims sur un papier spcial, celui-ci brlait presque instantanment et sans laisser de cendres. 4.2.6 Exercice E K U H U U E S Q I E O J P S K Y D K W Y E T B U Z U Q E K I P K H O U W V K C O K B O

Cryptogramme : Cl : Dchiffrez !

5
5.1

L'arrive de l'informatique
La machine Enigma

Aprs la dfaite de 1918, en bonne partie due des revers cryptologiques 10 l'Allemagne pense avoir trouv la parade avec la machine Enigma. L'histoire commence en 1919, quand un ingnieur hollandais, Hugo Alexander, dpose un brevet de machine chiffrer lectromcanique. Ses ides sont reprises par le Dr Arthur Scherbius, qui cre Berlin une socit destine fabriquer et commercialiser une machine crypter civile : l'Enigma. Cette socit fait un fiasco, mais la machine Enigma a attir l'attention des militaires. 5.1.1 Le fonctionnement

Le codage effectu par la machine Enigma est la fois simple et astucieux. Chaque lettre est remplace par une autre, l'astuce est que la substitution change d'une lettre l'autre. La machine Enigma est alimente par une pile lectrique. Quand on appuie sur une touche du clavier, une lampe s'allume qui indique quelle lettre code l'on substitue. Concrtement, le circuit lectrique est constitu de plusieurs lments en chane :

le tableau de connexions : il permet d'changer des paires de l'alphabet, deux deux, au moyen de fiches. Il y a 6 fiches qui permettent donc d'changer 12 lettres. Par exemple, dans le tableau suivant (avec simplement 6 lettres), on a chang A et C, D et F, tandis que B et D restent invariants. les rotors : un rotor est un cylindre qui fait correspondre, a chaque lettre en entre une autre lettre.

10 Voir chapitre 12.3 Le tlgraphe de Zimmerman et 12.4 le chiffre ADFGVX Cryptologie Page 14 / 51

Les rotors sont monts la suite les uns des autres. La machine Enigma disposera, au gr de ses volutions successives, de 3 6 rotors. On a le choix de les placer dans l'ordre que l'on souhaite (ce qui constituera une partie de la cl). Surtout, les rotors sont mobiles. Ainsi, chaque fois qu'on a tap une lettre, le premier rotor tourne d'un cran, et la permutation qu'il engendre est change. Sur la figure suivante : le rotor transforme initialement D en B. Lorsqu'il tourne d'un cran, cette liaison lectrique D--->B se retrouve remonte en C--->A. Chaque rotor possde donc 26 positions. A chaque fois qu'une lettre est tape, le premier rotor tourne d'un cran. Aprs 26 lettres, il est revenu sa position initiale, et le second rotor tourne alors d'un cran. On recommence tourner le premier rotor, et ainsi de suite... Quand le second rotor a retrouv sa position initiale, c'est le troisime rotor qui tourne d'un cran.

Le rflecteur : Au bout des 3 rotors se situe une dernire permutation qui permet de revenir en arrire. On permute une dernire fois les lettres 2 par 2, et on les fait retraverser les rotors, et le tableau de connexion.

Rsumons sur la machine simplifie suivante (6 lettres, 2 rotors) comment est code la lettre A :

On traverse le tableau de connexions : on obtient C. On traverse les 2 successivement A et F. rotors : on obtient

On traverse le rflecteur o on obtient E, puis on renvoie dans les rotors pour obtenir F, A et finalement C aprs le tableau de connexions.

Remarquons que si on avait tap C, le courant aurait circul dans l'autre sens et on aurait obtenu A. 5.1.2 Nombre de cls possibles Il y a trois lments connaitre pour pouvoir coder un message avec la machine Enigma. 1. la position des 6 fiches du tableau de connexion : (12 lettres parmi 26, 6 paires de lettres parmi 12) Soit 100.391.791.500 possibilits. 2. l'ordre des rotors : il y a autant d'ordre que de faons d'ordonner 3 lments : 3!=6. 3. la position initiale des rotors : chaque rotor ayant 26 lments, il y a 263=17.576 choix. On multiplie tout cela, et on obtient plus de 10 16 possibilits, ce qui est norme pour l'poque! Il est important de remarquer que les permutations employes dans les rotors et les rflecteurs ne peuvent pas tre considres comme faisant partie du secret. En effet, toutes les machines utilisent les mmes, et il suffit donc d'en avoir une disposition. Les Anglais, par exemple, en ont rcupr une pendant la guerre dans un sous-marin coul. Ceci est une illustration du principe de Kerckhoffs, qui veut que tout le secret doit rsider dans la cl secrte de chiffrement et de dchiffrement, et pas dans une quelconque confidentialit de l'algorithme (ici de la machine) qui ne peut tre raisonnablement garantie.

Cryptologie

Page 15 / 51

Les allemands ont une confiance totale en la machine Enigma, dont ils fabriqueront 100.000 exemplaires. Au su et au vu de tous, ils s'changeront des communications radios cryptes, persuads que jamais les Allis ne les comprendront.

5.2

La cryptanalyse de la machine Enigma

C'tait impossible. Tout le monde le savait. Jusqu'au jour ou est arriv un imbcile qui ne le savait pas ... et qui l'a fait ! Sir Winston Churchill
5.2.1 Point forts et faiblesses

L'une des failles de la machine Enigma est que jamais la lettre A ne sera code par un A. Cela limine un certain nombre de cas inspecter. Une des autres faiblesse dpend plutt du protocole utilis par les allemands : certains oprateurs (par exemple, ceux qui informaient de la mto) prenaient peu de prcautions et commenaient toujours leurs messages par les mmes mots (typiquement "Mon gnral..."). Les anglais connaissaient ainsi pour une partie du message la fois le texte clair et le texte cod, ce qui aide retrouver la cl. Et comme c'est la mme cl qui sert pour toutes les machines Enigma de l'arme allemande pour un jour donn, une erreur de protocole dans un message peut compromettre la scurit de tous les autres ! 5.2.2 Le travail des Polonais

Ds 1933 et jusqu'au dbut de la guerre, grce aux renseignements recueillis par un militaire franais (Gustave Bertrand) et au travail de trois mathmaticiens polonais (Marian Rejewski, Jerzy Rzicki et Henryk Zygalski), le "Polski Biuro Szyfrw" sait dcrypter les messages allemands, chiffrs avec la machine Enigma, exploitant une faille dans la procdure de dbut de transmission (Les oprateurs allemand saisissaient deux fois les trois premires lettres du message).

Marian Rejewski

Mme si ces trois lettres sont inconnues, le nombre de cblages qui peuvent transformer ces trois lettres en une squence particulire sont limits. Rejewski les appelle des chanes . 5.2.3 Trouver les bonnes chanes

Jerzy Rzicki

Henryk Zygalski

Le nombre de chanes possibles se monte 105 456 et, l'poque, en l'absence d'une puissance de calcul suffisante, la recherche est quasi-impossible. L'quipe de Rejewski dcouvre plusieurs techniques pour acclrer les calculs. L'une d'entre elles fait appel des feuilles transparentes, avec les schmas des rotors. Les feuilles sont superposes et les lettres composant une chane dite impossible sont rayes. la fin de l'opration, les trois lettres restantes donnent le code utilis pour l'en-tte. Malgr cette performance, la recherche manuelle n'en demeure pas moins trs pnible. Les Polonais construisent alors une bombe cryptologique , vritable calculateur lectromcanique qui date de 1938. Six exemplaires sont monts Varsovie dans le bureau du chiffre juste avant le dbut de la Seconde Guerre mondiale. Chacune contient l'quivalent de six machines Enigma alimentes lectriquement. Son volume est par contre considrable, l'quivalent d'un atelier pour 100 personnes, mais les gains sont significatifs : il suffit de deux heures pour obtenir la cl. Les Polonais seront ainsi capables de dchiffrer une bonne partie des transmissions de l'arme allemande ds 1933, durant la Guerre civile espagnole et ceci jusqu' l'aube de la Seconde Guerre mondiale.

Cryptologie

Page 16 / 51

5.2.4

L'invasion allemande

En 1939, les Allemands ont complexifi la structure de leur machine : Jusqu'alors, seuls trois rotors taient employs mais l'arme allemande introduit deux rotors supplmentaires. De plus, le dbut de la guerre marque l'arrt de la procdure de rptition du code au dbut des messages et tous les efforts des Polonais sont rduits nant puisque leur cryptanalyse repose sur cette redondance. Il est probable que le service cryptographique de l'arme allemande eut vent des progrs polonais ou tout au moins souponne ou mme dcouvre une faille dans leur procd de chiffrement. Les Polonais partagent alors le rsultat de leurs travaux avec la France et les Britanniques, devenus leurs allis. Durant l't 1939, ils fournissent la France et au Royaume-Uni des copies d'Enigma, la description prcise de l'attaque, la technique de la grille et les plans de la bombe cryptographique. En septembre 1939, l'invasion de la Pologne par les Nazis dbute. Les cryptologues polonais vacuent dans l'urgence. Ils atteignent la France. Peu avant l'invasion de la France en mai 1940, le mathmaticien britannique Alan Turing demeure quelques jours au PC Parisien o il sera briff par ses confrres polonais. Aprs l'armistice, les cryptologues se dplacent dans le sud de la France et en Algrie. Rejewski et Zygalski fuient travers l'Espagne o ils seront temporairement emprisonns, le Portugal et finalement Gibraltar d'o ils pourront gagner le Royaume-Uni. Rycki aura beaucoup moins de chance puisqu'il meurt noy lors d'un naufrage en 1942 au sud de la France, aprs un voyage en Algrie. 5.2.5 Bletchley Park La cryptanalyse d'Enigma tait devenue entre temps une affaire britannique et amricaine. C'est Alan Turing qui va s'occuper de l'analyse de l'Enigma. Turing est le chef de la huitime section Bletchley Park, un manoir proche de Londres o se sont retranchs tous les cryptologues et mathmaticiens. Les attaques Britanniques font appel l'analyse des mots probables. Les messages avaient de forte chance de contenir des termes comme Heil Hitler , Panzer , Fhrer , Stuka , etc. Les cryptologues pouvaient a posteriori deviner le contenu des messages en fonction de l'actualit et des assauts ennemis. En faisant quelques hypothses sur le contenu et sachant qu'une lettre est obligatoirement modifie lors du chiffrement, il n'tait pas impossible de retrouver une partie du texte chiffr en essayant tous les alignements possibles. Cette attaque ressemblait celle des Polonais qui tentaient de deviner l'en-tte des messages. Turing avait dcouvert des clicks , c'est--dire des paires de lettres qui apparaissaient plusieurs fois entre le message chiffr et sa version dchiffre (n'oublions pas qu'il avait des machines Enigma sa disposition pour tester). Comme Enigma est rversible, une correspondance A->J est quivalente J->A. Pour illustrer ce principe, prenons la phrase suivante que l'on suppose prsente dans le message original : INTEROSURPRISELASEMAINEPROCHAINE . On intercepte le message chiffr : YAOPWMKLTBFZLVCXKTRTOMMYFLOWERS . Effectuons une premire comparaison :

Cryptologie

Page 17 / 51

I N T E R O S U R P R I S E L A S E M A I N E P O C H A I N E Y A O P WM K L T B F Z L V C X K T R T O M M Y F L O W E R S
L'attaque de Turing se base sur la recherche de boucles entre le texte en clair et chiffr. La troisime lettre du message en clair T donne un O chiffr. La 6e lettre du message en clair est un O qui se transforme en M . La 19e lettre du message en clair est un M qui se transforme en R . Finalement, la 9e lettre du crible est un R , il se transforme en T et nous voil donc avec une boucle car elle commence et se termine avec la mme lettre.

I N T E R O S U R P R I S E L A S E M A I N E P O C H A I N E Y A O P WM K L T B F Z L V C X K T R T O M M Y F L O W E R S
La bombe testait en fait les configurations qui permettaient d'obtenir des boucles.

Une bombe de Turing11

Pour toutes les possibilits, on cherchait si le crible tait compatible avec la boucle observe. Si ce n'tait pas le cas, on continuait avec la configuration suivante. Le nombre de possibilits se montait 26*26*26*60 = 1.054.560, impossible la main mais pas impossible pour la bombe de Turing. Pour calculer ces combinaisons, on ne pouvait se contenter d'une machine. Les Britanniques vont introduire une paralllisation astucieuse de la machine Enigma. Un norme travail devait tre fait en amont pour trier les messages et retenir ceux qui taient intressants. Avec suffisamment de messages, il tait possible de dterminer les paramtres journaliers. D'autres oprateurs ajoutaient un en-tte constante selon le type de message, par exemple WET (de Wetter, temps / mto en allemand) s'il s'agissait d'un rapport mto. Plus tard dans la guerre, ces bulletins d'informations mtorologiques furent une pice matresse de la cryptanalyse : les mtorologues en mer rdigeaient les messages et les envoyaient en Allemagne l'aide d'un systme de chiffrement moins robuste qu'Enigma (la mto n'tant pas une information vritablement secrte). Une fois arrivs dans les quartiers gnraux, ces messages taient expdis quasiment sans modifications aux U-Boot, mais cette fois-ci en chiffrant avec Enigma. Les Allis disposaient de textes clairs qu'ils pouvaient ainsi mettre en rapport avec les textes chiffrs d'Enigma dans le but d'tablir des cribles.

11 La machine, pas la secrtaire ! Cryptologie Page 18 / 51

5.2.6

Alan Turing

Le travail d'Alan Turing pour dchiffrer les messages allemands a profondment chang le cours de la seconde guerre mondiale. L'homosexualit de Turing lui valut d'tre perscut et brisa sa carrire. En 1952, accus d'indcence manifeste et de perversion sexuelle il est inculp. Alors qu'il avait t consacr en 1951, en devenant membre de la Royal Society, partir de 1952 il sera cart des plus grands projets scientifiques. En 1954, il meurt d'empoisonnement en mangeant une pomme contenant du cyanure. Beaucoup de gens pensent que cette mort est intentionnelle et elle fut prsente comme telle ( Blanche-Neige de Walt Disney tait son film prfr). Parmi les nombreuses hypothses circulant sur l'origine du logo d'Apple, l'une d'elle est que la pomme serait celle mordue par Turing12 5.2.7 Prix Turing

Depuis 1966, le prix Turing (Turing Award en anglais) est annuellement dcern par l'Association for Computing Machinery des personnes ayant apport une contribution scientifique significative la science de l'informatique. Cette rcompense est souvent considre comme le prix Nobel de l'informatique. Le titulaire du prix 2007 est le Grenoblois Joseph Sifakis

5.3

Lorenz Vs Colossus

Une autre histoire, peut-tre encore plus impressionnante est celle des machines de Lorenz. 5.3.1 SZ40 et SZ42

Les machines de Lorenz SZ 40 et SZ 42 (Schlsselzusatz, signifiant pice jointe chiffre ) taient des machines allemandes de chiffrement utilises pendant la Seconde Guerre mondiale pour les envois par tlscripteur. Les cryptographes britanniques, qui se rfraient de faon gnrale au flux des messages chiffrs allemands envoys par tlscripteur sous l'appellation Fish (Poissons), ont nomm la machine et ses messages Tunny (Thons). Pendant que la renomme machine Enigma servait l'arme, la machine de Lorenz tait destine aux communications de haut niveau entre le quartier-gnral du Fhrer et les quartiersgnraux des groupes d'armes, qui pouvaient s'appuyer sur cet appareil lourd. Les cryptanalystes de Bletchley Park ont compris le fonctionnement de la machine ds janvier 1942 sans jamais en avoir vu un seul exemplaire. Cela fut possible cause d'une erreur commise par un oprateur allemand. Le 30 aot 1941, un message de 4 000 caractres fut transmis; cependant, le message n'ayant pas t reu correctement l'autre bout, celuici fut retransmis avec la mme cl (une pratique formellement interdite par la procdure). De plus, la seconde fois le message fut transmis avec quelques modifications, comme l'utilisation de certaines abrviations. partir de ces deux textes chiffrs, John Tiltman a t en mesure de reconstituer la fois le texte en clair et le chiffrement. D'aprs le chiffrement, toute la structure de la machine fut reconstruite par W. T. Tutte.

12 L'hommage prsum a toujours t dmenti par Apple (la pomme faisant rfrence Newton). Cryptologie Page 19 / 51

Plusieurs machines complexes furent labores par les Britanniques pour s'attaquer ce type de messages. La premire, de la famille connue sous le nom de Heath Robinsons, utilisait des bandes de papier circulant rapidement le long de circuits lectroniques logiques, pour dcrypter le flux chiffr. La suivante fut l'ordinateur Colossus, le premier ordinateur lectronique numrique du monde (cependant, comme ENIAC, il ne comportait aucun logiciel embarqu et tait programm par l'intermdiaire de cartes enfichables, de commutateurs et de panneaux de connexion). Il tait la fois plus rapide et plus fiable que les Heath Robinsons ; son utilisation permit aux Britanniques de lire une grande part des communications de type Tunny. 5.3.2 Le Colossus

Contrairement Enigma, qui a t vaincue par par force brute, Lorenz a t cass. Ainsi, le texte clair tait recalcul depuis le texte chiffr, sans rcuprer la cl. Colossus a t conu pour raliser cette opration. tant donn qu'il ne travaillait pas comme la machine Lorenz, tout le concept de Colossus tait diffrent de celui de la machine d'encodage-dcodage originale. 5.3.3 Reconstitution de la machine originale Les 10 machines Colossus originales furent dtruites aprs la guerre mondiale afin que leur fonctionnement reste secret. Sur la base d'une poigne de photographies et de quelques schmas lectriques, le britannique Tony Sale conduisit un projet de reconstruction d'un Colossus. Ce projet aboutit en novembre 2007, aprs 14 ans de travail.

5.4

Conclusion
Eh oui, le premier ordinateur au monde a t construit pour cryptanaliser un message Et il est rest secret pendant plus de 30 ans. Au fait, vous ne savez toujours pas le nom du gnie qui construit le Colossus ? <- C'est lui. Son nom est cach dans le paragraphe 5.2.5

Mr X (Inventeur du 1er ordinateur)

Les travaux d'Alan Turing ont t dterminant pour la mise au point des ordinateurs (Machines de Turing). On voit travers ces deux histoires combien l'informatique doit la cryptologie !

Cryptologie

Page 20 / 51

La cryptographie moderne

A partir de ce point, la cryptographie entre dans son re moderne avec l'utilisation intensive des ordinateurs, c'est--dire partir des annes septante. Dans la cryptographie moderne, les textes sont remplacs par des chiffres. Via l'utilisation de la table ASCII, par exemple. Les problmes sont de plus en plus mathmatiques.

6.1

Les chiffrements par blocs

Invent par Horst Feistel (1915 1990) et son chiffrement Lucifer 13. C'est un chiffre cl priv symtrique. C'est dire que non seulement on utilise la mme cl pour chiffrer et dchiffrer (Cl priv), mais on utilise le mme algorithme pour chiffrer et dchiffrer (Comme le ROT13) 6.1.1 Fonctionnement

Principe du schma de Feistel avec un texte de 8 bits, une cl de 4 bits et 4 tours ou rondes. Soit le texte en clair 0100 1001 Et la cl : 1010
Ronde N 1

tape 1 : On dcoupe le bloc chiffrer en deux parties. G0 et D0 (pour Gauche, ronde N0 et Droite N0) G0 : 0100 D0 : 1001 tape 2 : On calcul Z0 un ou exclusif entre la cl et D0 : 1001 1010 -----0011 tape 3 : On calcul D1 un ou exclusif entre Z0 et G0 : 0111 tape 4 : G1 vaut D0 : 1001 Et voila, la 1ere ronde est finie. Ronde N 2 On recommence les mmes manipulations, On obtient Z1 : 1101 G2 : 0111 D2 : 0100 Ronde N 3 Idem, On obtient Z2 : 1110 G3 : 0100 D3 : 1001 Ronde N 4 : attention, la dernire ronde utilise un schma diffrent : tape 1 : On calcul Z4 un ou exclusif entre la cl et D3 (a , ca na change pas) : 0011 tape 2 : On calcul G4 un ou exclusif entre Z4 et G3 : 0111 tape 3 : D4 vaut D3 : 1001
13 Le nom de Lucifer vient de Demon qui tait obtenu en tronquant Dmonstration . Le systme d'exploitation sur lequel travaillait Feistel ne pouvant pas supporter des noms aussi longs ... Cryptologie Page 21 / 51

Et voila. On le cryptogramme : 0111 1001

6.1.2 Exercice : Dchiffrez le cryptogramme suivant

Sur le principe du schma de Feistel avec un texte de 8 bits, une cl de 4 bits et 4 tours ou rondes. Soit le Cryptogramme 0111 1001 Et la cl : 1010

6.2
6.2.1

D.E.S (Data Encryption Standard)

L'histoire

En mai 1973, le National Bureau of Standards amricain demande la cration d'un chiffrement utilisable par les entreprises. cette poque, IBM dispose dj de Lucifer, l'algorithme d'Horst Feistel. En bonne logique, cet algorithme aurait d tre slectionn par le NBS. En pratique, ce fut presque le cas : la NSA demanda ce que Lucifer soit modifi, par ses soins. Ainsi fut cr le DES (Data Encryption Standart), qui fut adopt comme standard en novembre 1976. Cela suscita des rumeurs selon lesquelles la NSA aurait volontairement affaibli l'algorithme, dans le but de pouvoir le casser. (L'algorithme initialement conu par IBM utilisait une cl de 112 bits. L'intervention de la NSA a ramen la taille de cl 56 bits.)
6.2.2 Utilisation

DES a t l'algorithme officiel de l'administration amricaine jusqu'en 1999. C'est dire que tout les document confidentiel dfense et secret dfense taient crypte DES. Le systme Unix qui date de cette priode utilise encore le DES pour crypter les mots de passe.
6.2.3 La fin du DES

Le DES fait l'objet de trs nombreuses attaques. Mais c'est l'augmentation de la puissance des ordinateurs qui l'a rendu obsolte. Un chiffrage DES offre 2 54 possibilits de cls. Ce qui reprsente un nombre de combinaisons raliste pour une grosse puissance de calcul. En 1998. Deep Crack un ordinateur conu par IBM pour cet usage pouvait casser lune cl DES en moins d'une semaine. Plus tard, le calcul distribu sut Internet, en utilisant les ordinateurs des particuliers, a prouv son efficacit en cassant une cl en moins de 24 heures. De plus, des attaques permettent de rduire le nombre de combinaisons seulement 243. soit plusieurs milliards de fois moins que 254
6.2.4 Le triple DES

Le Triple DES (aussi appel 3DES) est un algorithme de chiffrement symtrique enchanant 3 applications successives de l'algorithme DES sur le mme bloc de donnes de 64 bits, avec 2 ou 3 cls DES diffrentes. Cette utilisation de trois chiffrements DES a t dveloppe par Walter Tuchman. Mme quand 3 cls de 56 bits diffrentes sont utilises, la force effective de l'algorithme n'est que de 112 bits et non 168 bits, cause d'une attaque type rencontre au milieu . Bien que normalis, bien connu, et assez simple implmenter, il est assez lent.

Cryptologie

Page 22 / 51

6.3

A.E.S (Advanced Encryption Standard)

AES est un algorithme de chiffrement symtrique, choisi en octobre 2000 par le NIST pour tre le nouveau standard de chiffrement pour les organisations du gouvernement des tats-Unis. 6.3.1 Origine

Il est issu d'un appel candidatures international lanc en janvier 1997 et ayant reu

15 propositions. Au bout de cette valuation, ce fut le candidat Rijndael (prononcer "Rayndal"), du nom de ses deux concepteurs Joan Daemen et Vincent Rijmen (tous les deux de nationalit belge) qui a t choisi. 6.3.2 Principe de fonctionnement

L'algorithme prend en entre un bloc de 128 bits (la cl fait 128, 192 ou 256 bits. Les 128 bits en entre sont mlangs selon une table dfinie au pralable. Ces octets sont ensuite placs dans une matrice de 4x4 lments et ses lignes subissent une rotation vers la droite. L'incrment pour la rotation varie selon le numro de la ligne. Une transformation est ensuite applique sur la matrice par un XOr avec une matrice cl. Finalement, un XOr entre la matrice et une autre matrice permet d'obtenir une matrice intermdiaire. Ces diffrentes oprations sont rptes plusieurs fois et dfinissent un tour. Pour une cl de 128, 192 ou 256, AES ncessite respectivement 10, 12 ou 14 tours. L'algorithme AES n'est pas cass la date d'aujourd'hui.

6.4
6.4.1

RC4
Histoire

RC4 a t conu par Ronald Rivest (Le 'R' de RSA) en 1987. Officiellement nomm Rivest Cipher 4, l'acronyme RC est aussi surnomm Ron's Code Il est utilis dans des protocoles comme WEP, WPA ainsi que TLS. Les raisons de son succs sont lies sa grande simplicit et sa vitesse de chiffrement. Les implmentations matrielles ou logicielles tant faciles mettre en uvre. 6.4.2 Principe

La clef RC4 permet dinitialiser un tableau de 256 octets en rptant la clef autant de fois que ncessaire pour remplir le tableau. Par la suite, des oprations trs simples sont effectues : les octets sont dplacs dans le tableau, des additions sont effectues, etc. Le but est de mlanger autant que possible le tableau. Au final on obtient une suite de bits pseudo-alatoires qui peuvent tre utiliss pour chiffrer le message via un XOR (Comme dans le cas d'un masque jetable). 6.4.3 Attaque de Fluhrer, Mantin et Shamir (attaque FMS)

En 2001, Scott Fluhrer, Itsik Mantin et Adi Shamir (Le 'S' de RSA, donc le collgue de Rivest) ont prsent une
Cryptologie Page 23 / 51

nouvelle attaque. Les premiers octets du flux utilis pour le chiffrement ne sont pas alatoires. Si l'on se contente de concatner la cl et le vecteur d'initialisation pour produire la nouvelle cl, alors il est possible de dcouvrir des informations en utilisant un grand nombre de messages chiffrs avec cette cl augmente. C'est ce type d'attaque qui a t utilise pour casser le WEP des rseaux sans fil, une action qui a abouti la mise en place d'une version amliore du chiffrement, savoir WPA. Dans le cas du WEP, un vecteur d'initialisation de 24 bits est utilis, ce qui permet de produire environ 16,8 millions cls supplmentaires partir d'une cl principale (celle du point d'accs). Ce nombre est insuffisant eu gard les possibilits de l'attaque FMS.

7
7.1

Algorithmes de cryptographie asymtrique

Principe

Dans les annes 1970, la cryptographie n'est plus seulement l'apanage des militaires. Les banques, pour la scurit de leurs transactions, sont devenues de grandes consommatrices de messages cods. Les chiffrements disponibles alors, comme le DES, sont sres, eu gard aux possibilits d'attaque contemporaines. Le problme essentiel est alors la distribution des cls, ce secret que l'envoyeur et le destinataire doivent partager pour pouvoir respectivement chiffrer et dchiffrer. Les armes et les tats ont recours aux valises diplomatiques pour ces changes, mais ceci n'est pas accessible aux civils... En 1976, Whitfield Diffie et Martin Hellman propose une nouvelle faon de chiffrer, qui contourne cet cueil. Commenons par expliquer leur procd de faon image.

Whitfield Diffie

Martin Hellman

Whitfield.diffie@sun.com14

Un ami doit vous faire parvenir un message trs important par la poste, mais vous n'avez pas confiance en votre facteur que vous souponnez d'ouvrir vos lettres.

Vous envoyez votre ami un cadenas sans sa cl, mais en position ouverte. Celui-ci glisse alors le message dans une boite qu'il ferme l'aide du cadenas, puis il vous envoie cette boite. Le facteur ne peut pas ouvrir cette boite et surtout, la cl n'a pas voyag !

La cryptographie cl publique repose exactement sur ce principe. On dispose d'une fonction P sur les entiers, qui possde un inverse S. On suppose qu'on peut fabriquer un tel couple (P,S), mais que connaissant uniquement P, il est impossible (ou au moins trs difficile) de retrouver S.

P est la cl publique, que vous pouvez rvler quiconque. Si Louis veut vous envoyer un message, il vous transmet P(message). S est la cl secrte, elle reste en votre seul possession. Vous dcodez le message en calculant S(P(message))=message. La connaissance de P par un tiers ne compromet pas la scurit de l'envoi des messages cods, puisqu'elle ne permet pas de retrouver S. Il est possible de donner librement P, qui mrite bien son nom de cl publique.

Bien sr, il reste une difficult : comment trouver de telles fonctions P et S. Diffie et Hellman n'ont pas euxmme propos de fonctions satisfaisantes, mais ds 1977, D.Rivest, A.Shamir et L.Adleman trouvent une solution possible, la meilleure et la plus utilise ce jour, la cryptographie RSA. Le RSA repose sur la dichotomie suivante :
14 On fait quand mme un boulot formidable : On peut communiquer avec les pionniers. Imaginez ce que donnerait un physicien pour avoir le mail de Newton Cryptologie Page 24 / 51

Il est facile de fabriquer de grands nombres premiers p et q (pour fixer les ides, 100 chiffres). tant donn un nombre entier n=pq produit de 2 grands nombres premiers, il est trs difficile de retrouver les facteurs p et q.

La donne de n est la cl publique : elle suffit pour chiffrer. Pour dcrypter, il faut connatre p et q, qui constituent la cl prive. Les algorithmes cl publique (on parle aussi de chiffrement asymtrique) ont pourtant un grave dfaut : ils sont lents, beaucoup plus lents que leurs homologues symtriques. Pour des applications o il faut changer de nombreuses donnes, ils sont inutilisables en pratique. On a alors recours des cryptosystmes hybrides. On change des cls pour un chiffrement symtrique grce la cryptographie cl publique, ce qui permet de scuriser la communication de la cl. On utilise ensuite un algorithme de chiffrement symtrique. Le clbre PGP, notamment utilis pour chiffrer le courrier lectronique, fonctionne sur ce principe.

7.2

RSA

La mthode de cryptographie RSA a t invente en 1977 par Ron Rivest, Adi Shamir et Len Adleman, la suite de la dcouverte de la cryptographie cl publique par Diffie et Hellman. Le RSA est encore le systme cryptographique cl publique le plus utilis de nos jours. Il est intressant de remarquer que son invention est fortuite : au dpart, Rivest, Shamir et Adleman voulaient prouver que tout systme cl publique possde une faille. 7.2.1 Fonctionnement

1. Cration des cls : Bob cre 5 nombres p,q,n,e et d : p et q sont deux grands nombres premiers distincts. Leur gnration se fait au hasard. n est un entier tel que n = pq. e est un entier premier et d un entier tel que ed=1 modulo [(p-1)(q-1)]. Autrement dit, ed-1 est un multiple de (p-1)(q-1). Exemple simplifi Deux petits nombres 1er : p = 5 et q = 7 n = 5 * 7 = 35 n' = (5 1) * (7 1) = 24 On cherche e et d tels que : e est premier et ed = 1 modulo 24 ed = 1 Non, trop petit ed = 25 Ok, mais e = d = 5 et alors Cl priv = cl publique => Faille de scurit. ed = 49 Pareil, e = d ed = 73 73 est 1er, rat ed = 97 97 est 1er ed = 121 11 au carr, encore rat ed = 165 165 = 5 * 33, et 5 est 1er : Ok On Cl publique = RSA(35, 5) et cl prive = RSA(35, 33). 2. Distribution des cls : Le couple (n,e) constitue la cl publique de Bob. Il la rend disponible par

Cryptologie Page 25 / 51

exemple en la mettant dans un annuaire. Le couple (n,d) constitue sa cl prive. Il la garde secrte. 3. Envoi du message cod : Alice veut envoyer un message cod Bob. Elle le reprsente sous la forme d'un ou plusieurs entiers M compris entre 0 et n-1. Alice possde la cl publique (n,e) de Bob. Elle calcule C=Me modulo n. C'est ce dernier nombre qu'elle envoie Bob. 4. Rception du message cod : Bob reoit C, et il calcule grce sa cl prive D=C d (modulo n) Il a donc reconstitu le message initial. 7.2.2 Exemple comment 1. Choix de la clef Alice choisit deux entiers premiers p et q (Ici on prend des nombres 7 bits soit infrieurs 2 7 (128)) et fait leur produit n = pq. Puis elle choisit un entier e premier avec (p-1)(q-1). Enfin, elle publie dans un annuaire, par exemple sur le web, sa clef publique: (RSA, n, e). p = 53 q=97
2. Chiffrement

donc n = 5141

e=7

et d = 4279

Bob veut donc envoyer un message Alice. Il cherche dans l'annuaire la clef de chiffrement qu'elle a publie. Il sait maintenant qu'il doit utiliser le systme RSA avec les deux entiers 5141 et 7. Il transforme en nombres son message en remplaant par exemple chaque lettre par son rang dans l'alphabet. "JEVOUSAIME" devient : "10 05 22 15 21 19 01 09 13 05". Puis il dcoupe son message chiffr en blocs de mme longueur (En partant de la droite) reprsentant chacun un nombre le plus grand possible tout en restant plus petit que n. Cette opration est essentielle, car si on ne faisait pas des blocs assez longs (par exemple si on laissait des blocs de 2 dans notre exemple), on retomberait sur un simple chiffre de substitution que l'on pourrait attaquer par l'analyse des frquences. Son message devient : "010 052 215 211 901 091 305" Un bloc B est chiffr par la formule C = Be mod n, o C est un bloc du message chiffr que Bob enverra Alice.

010 052 215 ...

3. Dchiffrement

(107) 5141 = 755 (52 ) 5141 = 1324

7

0755 (Sur 4 positions) 1324 2823

(2157) 5141 = 1324

Aprs avoir chiffr chaque bloc, le message chiffr s'crit : "0755 1324 2823 3550 3763 2237 2052". Alice calcule partir de p et q, qu'elle a gards secrets, la clef d de dchiffrage (c'est sa clef prive). Celleci doit satisfaire l'quation ed mod ((p-1)(q-1)) = 1. Ici, d=4279 Chacun des blocs C du message chiffr sera dchiffr par la formule B = Cd mod n.

0755 1324 2823 ...

(7554279) 5141 = 10 (13244279) 5141 = 52 (2823

4279

010 052 215

) 5141 = 215

Elle retrouve : "010 052 215 211 901 091 305" En regroupant les chiffres deux par deux et en remplaant les nombres ainsi obtenus par les lettres correspondantes, elle sait enfin que Bob l'aime secrtement, sans que personne d'autre ne puisse le savoir. 7.2.3 Exercice

Connaissant la cl publique (119, 5) de ce cryptogramme RSA 7 bits 1. Calculez (par tout les moyens votre disposition) p et q
Cryptologie Page 26 / 51

2. Calculez d 3. Dchiffrez le cryptogramme suivant : 090 086 036 067 032 001 003 031 059 031 7.2.4 Le RSA est-il sr?

La solidit du RAS repose uniquement sur la difficult de dcomposer le nombre n (public) en deux nombres premiers ! Dit autrement, il suffit de rsoudre l'quation n = pq Le record tabli en 1999, avec l'algorithme le plus performant et des moyens matriels considrables, est la factorisation d'un entier 155 chiffres (soit une cl de 512 bits, 2512 tant proche de 10155). Il faut donc, pour garantir une certaine scurit, choisir des cls plus grandes : les experts recommandent des cls de 768 bits pour un usage priv, et des cls de 1024, voire 2048 bits, pour un usage sensible. Si l'on admet que la puissance des ordinateurs double tous les 18 mois (loi de Moore), une cl de 2048 bits devrait tenir jusqu'en ... 2079. 7.2.5 Comparaison de la longueur des cls

Oui, mais dans ce cas, pourquoi a-tont besoin de cl si longue en crypto cl publique alors que 128 bits suffisent en crypto cl prive ? ... parce quen crypto cl prive, chaque combinaison de chiffres et de lettres forme une cl valide, alors qu'en RSA, on ne peut utiliser que les nombres premiers.

Cl prive 56 64 80 112 128

Cl publique 384 512 768 1792 2304

Longueur de cls (exprime en bits) pour un niveau quivalent de scurit.

7.3

Signature lectronique : tre sr de l'expditeur.

La cryptographie cl publique permet de s'affranchir du problme de l'change de la cl, facilitant le travail de l'expditeur. Mais comment s'assurer de l'authenticit de l'envoi? Comment tre sr que personne n'usurpe l'identit d'Alice pour vous envoyer un message? Comment tre sr qu'Alice ne va pas nier vous avoir envoy ce message? L encore, la cryptographie cl publique peut rsoudre ce problme. Alice veut donc envoyer un message crypt Bob, mais Bob veut s'assurer que ce message provient bien d'Alice. Ici on va appeler Pa la cl publique d'Alice, Sa sa cl prive. Pb et Sb pour Bob. Et M le message envoyer par Alice.

Cryptologie

Page 27 / 51

Phase d'envoi : Alice calcule SA(M), l'aide de sa cl secrte, puis P B(SA(M)), l'aide de la cl

publique de Bob. Phase de rception : A l'aide de sa cl prive, Bob calcule S B(PB(SA(M)))=SA(M). Seul lui peut effectuer ce calcul (=scurit de l'envoi). Puis il calcule P A(SA(M))=M. Il est alors sr que c'est Alice qui lui a envoy ce message, car elle-seule a pu calculer S A(M).

Contrairement certains utilisateurs, vous ne confondrez plus signature lectronique et image d'une signature ajoute en bas de page

Remarquons pour terminer qu'une signature numrique est plus sre qu'une signature papier, car elle est infalsifiable, inimitable : la signature change en effet chaque message!

7.4

Certificat lectronique : tre sr du destinataire.

On a vu, avec la signature lectronique, comment tre sur de l'metteur d'un message. Mais comment tre sur du destinataire ? En effet un pirate peut corrompre la cl publique prsente dans l'annuaire en la remplaant par sa cl publique. Ainsi, le pirate sera en mesure de dchiffrer tous les messages ayant t chiffrs avec la cl prsente dans l'annuaire. C'est le principe d'une attaque Man in the middle . Un certificat permet d'associer une cl publique une entit (une personne, une machine, ...) afin d'en assurer la validit. Le certificat est en quelque sorte la carte d'identit de la cl publique, dlivr par un organisme appel autorit de certification (Note CA pour Certification Authority). L'autorit de certification est charge de dlivrer les certificats, de leur assigner une date de validit (quivalent la date de premption des aliments), ainsi que de rvoquer ventuellement des certificats avant cette date en cas de compromission de la cl (ou du propritaire). 7.4.1 Structure d'un certificat

Les certificats sont des petits fichiers diviss en deux parties : La partie contenant les informations La partie contenant la signature de l'autorit de certification La structure des certificats est normalise par le standard X.509 de l'UIT, qui dfinit les informations contenues dans le certificat :

La version de X.509 laquelle le certificat correspond

Cryptologie

Page 28 / 51

Le numro de srie du certificat L'algorithme de chiffrement utilis pour signer le certificat Le nom (DN, pour Distinguished Name) de l'autorit de certification mettrice La date de dbut de validit du certificat La date de fin de validit du certificat L'objet de l'utilisation de la cl publique La cl publique du propritaire du certificat La signature de l'metteur du certificat

L'ensemble de ces informations (informations + cl publique du demandeur) est sign par l'autorit de certification, cela signifie qu'une fonction de hachage cre une empreinte de ces informations, puis ce condens est chiffr l'aide de la cl prive de l'autorit de certification; la cl publique ayant t pralablement largement diffuse afin de permettre aux utilisateurs de vrifier la signature avec la cl publique de l'autorit de certification. Lorsqu'un utilisateur dsire communiquer avec une autre personne, il lui suffit de se procurer le certificat du destinataire. Ce certificat contient le nom du destinataire, ainsi que sa cl publique et est sign par l'autorit de certification. Il est donc possible de vrifier la validit du message en appliquant d'une part la fonction de hachage aux informations contenues dans le certificat, en dchiffrant d'autre part la signature de l'autorit de certification avec la cl publique de cette dernire et en comparant ces deux rsultats.

7.5
7.5.1

SSL
Les certificats SSL

SSL (utilis par exemple dans le protocole HTTPS) permet de scuriser vos communications en chiffrant (encryptant) les donnes entre votre navigateur et le serveur sur lequel vous vous connectez. Pour tre certain que vous tes bien en train de "parler" au bon serveur, quand vous vous connectez un site en HTTPS, celui-ci vous envoie un certificat. C'est une sorte de "carte d'identit" du site. Comment vrifier l'authenticit de cette "carte d'identit" lectronique ? Elle est signe (cryptographiquement) par une autorit de certification. Par exemple si vous allez sur le site du Crdit Mutuel (banque franaise), on peut voir que leur certificat est sign par VeriSign:

Sur GMail (mail de google), on voit qu'il est sign par Thawte: Le rle des autorits de certification est de s'assurer de l'identit des personnes et organismes qui veulent faire
Cryptologie Page 29 / 51

signer leur certificat. Ainsi, je peux crer de toutes pices un certificat mentionnant "Crdit Mutuel" (c'est techniquement trs facile), mais les autorits de certification sont censes me refuser de le signer, car je ne pourrai pas leur prouver que je suis bien le Crdit Mutuel. 7.5.2 Dans votre navigateur

Votre navigateur contient une liste de certificats racines, c'est dire un ensemble de certificats appartenant justement ces autorits de certification (Thawte, VeriSign...). Vous pouvez le voir dans les paramtres scurit du navigateur.

Chaque fois que vous vous connectez sur un site, le navigateur reoit le certificat du site et vrifie qu'il est sign par une des autorits de certification qu'il a en mmoire. Si le certificat est bien sign par une de ces autorits, aucune alerte n'est affiche. Ainsi, mme si j'arrivais dtourner vos connexions rseau et vous prsenter un certificat SSL que j'ai bricol, votre navigateur verrait qu'il n'est pas sign et afficherait une alerte. Voici typiquement le genre d'alerte qu'affiche Firefox quand il reoit un certificat non sign par une des autorits: Donc tout va bien: La combinaison du systme de signature des certificats et du travail des autorits de certification me protge, ok ?

Cryptologie

Page 30 / 51

Malheureusement, non. Avoir le certificat d'une autorit de certification install dans votre navigateur signifie que vous faites implicitement confiance cette autorit de certification. Et, sans le savoir, vous faites implicitement confiance pas mal de monde: VeriSign, VISA, GoDaddy, Thawte, AOL Time-Warner, CertPlus, Dell, Deutsche Telecom, gouvernement Japonais, Microsoft, RSA Security, Swisscom... Mais les connaissez-vous toutes ? Savez-vous si elles sont bien leur travail de vrification ? Si elles n'ont pas t abuses ? Si elles sont honntes ? 7.5.3 Usurpations de certification

Il semble que certaines autorits de certification collaborent 15 (volontairement ou non) avec certains gouvernement, polices ou services de renseignement et acceptent de signer des certificats bidons, construits de toutes pices. Cela permet donc de dtourner votre trafic rseau tout en ne levant aucune alerte SSL, que ce soit le web (HTTPS), les emails mais aussi d'couter vos communications VOIP malgr le chiffrement. Ou mme - tiens ! - s'introduire sur les rseaux VPN pour espionner ou modifier le trafic rseau. Ajoutez cela que certains fabricants de firewall se targuent d'avoir du matriel 16 capable de faire la vole la substitution de certificats, il n'y a plus beaucoup de doutes avoir quant la faisabilit technique de la chose. Les auteurs d'une tude17 suggrent mme que la pratique existe depuis un bon moment. Ces autorits de certification sont de toute manire soumises aux lois des pays dans lesquels elles rsident, et se doivent donc d'obir aux injonctions judiciaires... ou aux menaces. Et il n'y a pas de raisons de penser qu'il n'y a que nos gentilles forces de l'ordre qui font pression sur les autorits de certification. (Tiens avez-vous remarqu que Firefox inclue maintenant le certificat racine de CNNIC. Vous ne savez pas qui est CNNIC ? C'est l'organisme qui gre internet en Chine (y compris les noms de domaine), sous la coupe du Ministre des Communications. Et vous leur faites donc confiance pour signer des certificats SSL. Le fait que le certificat de creditmutuel.fr soit du jour au lendemain sign par une autorit de certification chinoise ne lvera pas d'alerte dans votre navigateur.) Les certificats SSL ne suffisent plus. La confiance implicite que vous faite dans les autorits de certifications prsentes dans votre navigateur est problmatique. Mais les solutions de remplacement ne sont pas videntes. Les auteurs de l'tude proposent donc des crans de validation vous demandant si vous faites confiance certaines autorits de certification.
Si le certificat de bankofamerica.com est du jour au lendemain sign par une autorit de certification Russe, il y a des doutes avoir.

15 [en] http://www.eff.org/deeplinks/2010/03/researchers-reveal-likelihood-governments-fake-ssl 16 [en] http://www.wired.com/threatlevel/2010/03/packet-forensics/ 17 [en] http://files.cloudprivacy.net/ssl-mitm.pdf Cryptologie Page 31 / 51

7.6

La certification appliqu aux logiciels

Le concept est ici appliqu la signature des excutables: Sous Windows, les programmes (excutables) peuvent tre signs cryptographiquement (systme Microsoft Authenticode). Or il se trouve que des centaines de logiciels malveillants sont dsormais aussi signs 18. Les utilisateurs font ainsi d'emble plus confiance un programme qui n'affiche pas de gros warning scurit, et mme les vendeurs d'antivirus mettent leur priorit sur les excutables non signs, mettant donc plus de temps pour intgrer ces malwares signs dans leurs bases. Pire: Certains antivirus vitent carrment de scanner les excutables signs (supposant que les autorits de certification n'ont sign que des excutables de socits rputes et dont l'identit a t soigneusement vrifie). La faille vient en partie des autorits de certification et de Windows: Les autorits de certification acceptent de signer des entreprises du nom de "Browser plugin", "Verified Software" ou "Genuine Software Update Limited", mentions qui apparaissent alors dans les boites de dialogue Windows. Les utilisateurs n'y voient que du feu.

Un programme avec un certificat valide, que peut-il arriver de mal ? Comme indiqu dans la fentre de Windows, ce certificat garantie bien que le programme vient de la socit "Browser Plugin", et qu'il n'a pas t modifi depuis, mais rien de plus. Il ne dit rien sur la fiabilit et l'honntet de cette socit. En l'occurrence, il s'agit du malware Trojan-Dropper:W32/Agent.DJDO. On peut ainsi imaginer que des malwares pourraient remplacer des excutables Windows sans lever d'alerte ("excutable non sign"), mme pas dans les antivirus qui choisiront de ne pas scanner ces fichiers.

18 [en] http://www.f-secure.com/weblog/archives/00001973.html Cryptologie Page 32 / 51

8
8.1

Fonctions de hachage
Principe

Une fonction de hachage est une fonction qui fait subir une succession de traitements une donne quelconque fournie en entre pour en produire une empreinte servant identifier la donne initiale sans que l'opration inverse de dcryptage soit possible. Le terme hachage vite l'emploi de l'anglicisme hash. Le rsultat de cette fonction est par ailleurs aussi appel somme de contrle, empreinte, rsum de message, condens, condensat ou encore empreinte cryptographique. Les fonctions de hachage sont conues pour effectuer un traitement de donnes rapide : calculer l'empreinte d'une donne ne doit couter qu'un temps ngligeable. Une fonction de hachage doit aussi viter le plus possible les collisions (deux empreintes identiques alors que les donnes diffraient) Selon l'emploi de la fonction de hachage, il peut tre souhaitable qu'un infime changement de la donne en entre (un seul bit, par exemple) entraine une perturbation consquente de l'empreinte correspondante, rendant une recherche inverse par approximations successives impossible on parlera d'effet avalanche.

8.2

MD5

En 1991, Ronald Rivest amliore l'architecture de MD4 et cre MD5 (Message Digest 5). C'est une fonction de hachage cryptographique qui permet d'obtenir pour chaque message une chaine de 32 caractres (soit 128 bits) hexadcimaux avec une probabilit trs forte que, pour deux messages diffrents, leurs empreintes soient diffrentes. Ce quelle que soit la taille de l'information en entre (de 0 octets plusieurs gigas). Cette transformation est donc irrversible (Dans le sens ou on ne peut pas trouver l'information en entre partir d'une somme MD5). En 1996, une faille grave (possibilit de crer des collisions la demande) est dcouverte. En 2004, une quipe chinoise dcouvre des collisions compltes. MD5 n'est donc plus considr comme sr au sens cryptographique. MD5 reste encore utilis comme outil de vrification lors des tlchargements (par exemple, en FTP). Les sites affichent encore souvent la signature en MD5 de leurs fichiers. Le programme John the ripper permet de casser les MD5 triviaux par force brute. Des serveurs de "tables inverses" ( accs direct, et qui font parfois plusieurs gigaoctets) permettent de les craquer souvent en moins d'une seconde. Aujourd'hui, il est par exemple possible de crer des pages HTML aux contenus trs diffrents et ayant pourtant le mme MD5. La prsence de codes de "bourrage" placs en commentaires, visibles seulement dans la source de la page web, trahit toutefois les pages modifies pour usurper le MD5 d'une autre.

8.3

SHA-1

SHA-1 (Secure Hash Algorithm) est une fonction de hachage cryptographique conue par la NSA (1995), et publie par le gouvernement des tats-Unis comme un standard fdral de traitement de l'information. Elle produit un rsultat de 160 bits (40 caractres). Mme si on arrive gnrer des collisions avec SHA-1. Cest--dire que l'on peut trouver deux messages au contenu alatoire qui produisent la mme signature. On ne sait toujours pas, partir d'une signature donne,
Cryptologie Page 33 / 51

forger un second message qui gnre la mme valeur. Or, c'est ce type d'attaque qui pourrait mettre en pril les applications comme PGP et l'authenticit des donnes. Des versions offrant plus de scurit sont galement disponible : SHA-256, SHA-384 et SHA-512. Comme leur nom l'indique, ces versions fournissent des signatures de 256, 384 et 512 bits. Exemple : SHA-1(Les poules se sont chappes ds a187da360890f111566557aa6c197aa238dc533a SHA-1(Les poules se sont chappes 15166056114addee4bd717a1c45ae51389920a61 des qu'on con avait avait ouvert ouvert la la porte) porte) : :

Comme vous le constatez, les deux phrases n'ont rien voir entre elles ...

8.4

Retour sur les signatures lectroniques

Le protocole vu au chapitre 7.3, s'il est fiable, est lent puisque deux fois plus lent qu'un algorithme cl publique (lui-mme dj trs lent!). En outre, il ne garantit pas l'intgrit du message, c'est--dire que celui-ci n'est pas altr par des erreurs de transmission. L'utilisation des fonctions de hachage rsout ces problmes. L'utilisation d'une fonction de hachage permet un gain de temps (et de place) pour le mme effet :

Phase d'envoi : Alice calcule h(M) le rsum - et envoie Bob P B(M) (calcul l'aide de la cl publique de Bob) accompagn de SA(h(M)).

Phase de rception : Bob calcule SB(PB(M))=M'. Puis il calcule PA(SA(h(M))), qu'il compare h(M'). Si les quantits sont gales, il est sr que c'est bien Alice qui a envoy le message, et que celui-ci a t correctement transmis.

9
9.1

Application
Les cartes bancaires

Lorsqu'on introduit sa carte bleue dans un distributeur automatique, on imagine assez mal tout ce qui se passe. Chacun sait qu'il faut rentrer son code secret pour pouvoir dbloquer le paiement, mais ceci n'est que la face visible de la scurit des cartes bleues. 9.1.1 La carte puce

La puce est un petit processeur (peu puissant) qui permet d'effectuer des calculs, une mmoire dont une partie est accessible en criture (enregistrement de l'historique des transactions), une autre en lecture seule, et enfin une dernire en lecture cache. 9.1.2 Mcanisme de paiement par carte bleue

Lorsque l'on introduit sa carte dans un terminal, il se droule un processus en plusieurs tapes : 1. Authentification de la carte : elle se fait hors-ligne (sans appeler un centre de paiement de CB). Sur la carte sont inscrites certaines informations relatives au propritaire (nom, numro de carte, date de validit...), et une valeur de signature (VS). La VS est calcule une fois pour toute lors de la fabrication de la carte. On calcule d'abord Y, qui est une valeur numrique dduite des informations crites dans la
Cryptologie Page 34 / 51

carte (par une fonction de hachage). Notons Y=f(info). La VS est alors calcule en utilisant la cl secrte S du groupement des cartes bancaires 19 (le GIE carte bancaire) : VS=S(Y). Lorsque la carte est introduite dans le terminal, celui lit les informations portes par la carte, et la valeur de signature VS. Il calcule alors Y1=f(info), et Y2=P(VS)=P(S(Y)), P tant la cl publique du GIE. Puis il compare Y1 et Y2 : pour qu'une carte soit valide, il faut que Y1=Y2. 2. Code confidentiel : Le code secret est stock (sous forme chiffre) la fois dans la puce et sur la piste magntique de la carte. Dans la premier cas, c'est la puce de la carte qui elle-mme vrifie si le code entr est le bon, et transmet sa rponse au terminal. 3. Authentification en ligne (par le DES) : Cette tape n'est pas ralise pour toutes les transactions, mais seulement pour celles dpassant un certain montant (avec affichage de "Autorisation" su l'cran du terminal). Le terminal interroge un centre de contrle distance, qui envoie la carte une valeur alatoire x. La carte calcule y=f(x,K), o K est une cl secrte, inscrite dans la partie illisible de la carte, et f est la fonction de chiffrement du DES (ou du triple DES depuis 1999). La valeur y est retransmise au centre, qui lui-mme calcule f(x,K), et donne ou non l'autorisation. Remarquons que ceci ncessite que le centre connaisse la cl secrte de toutes les cartes. 9.1.3 L'affaire Humpich

En 1998, l'affaire Serge Humpich fait la une des journaux. Cet informaticien a montr qu'il tait possible de fabriquer de toute pice une fausse carte qui permettait de payer chez un commerant. Serge Humpich avait contourn deux systmes de scurit : 1. D'une part, il a fabriqu des "yes card", c'est--dire des cartes puce qui, quel que soit le code secret entr, renvoie "code bon". 2. D'autre part, il a contourn l'authentification hors-ligne RSA. La scurit de ce systme repose, rappelons-le, sur la difficult factoriser un "grand' entier. Or, en 1998, le n utilis par le GIE avait pour taille 320 bits (taille inchange depuis 1990). A cette poque, factoriser un tel entier n'tait plus impossible (le record se situait 512 bits), et Humpich, en utilisant simplement un logiciel japonais de factorisation, a russi factoriser le n du GIE, et dcouvrir la cl secrte S. La 3me fonction de scurit, elle, est toujours reste valide. Dans cet affaire, le GIE a pch d'abord par excs de confiance (les 320 bits taient suffisants en 1990, plus en 1998) et aussi par manque de communication. Depuis, le tir a t rectifi : le n a chang, et est dsormais long de 768 bits, l'authentification en ligne est passe du DES au 3DES. 9.1.4 Autres types de fraude

La fraude la plus rpandue avec les C.B. est beaucoup plus simple que la faille exploite par Humpich. Les 16 chiffres de votre C.B. suffisent pour commander sur Internet ou par correspondance. Ils ne sont pas choisis au hasard (tous les nombres 16 chiffres ne donnent pas un numro de CB valide). Avant 2001, les terminaux inscrivaient sur les facturettes les numros de CB. Voila pourquoi les voleurs raffolaient de ces petits tickets. Signalons que les risques de fraude en utilisant simplement le numro de carte bleue (sans code secret) sont normalement couverts par les banques : elles doivent rembourser le client qui conteste un prlvement de ce type. Signalons enfin qu'il existe des sites Internet o on explique comment calculer un numro de CB valable.

9.2

PGP

Le PGP (Pretty Good Privacy) est un algorithme de chiffrement destination des particuliers. Il est surtout utilis pour chiffrer des messages envoys par courrier lectronique, mme s'il peut aussi tre utilis pour chiffrer tous les fichiers. PGP a t mis au point en 1991 par Philip Zimmermann, et ceci lui valut divers problmes avec la justice.

19 Ces fonctions cl secrte et cl publique sont bases sur le RSA. Le modulo public franais est un nombre connu entre 768 et 1024 bits, produit de 2 premiers inconnus. L'exposant est e=3. Cryptologie Page 35 / 51

D'une part, le PGP utilise l'algorithme RSA, qui est brevet aux Etats-Unis. D'autre part, la NSA a tout fait pour tenter d'empcher la diffusion du PGP. La plainte de la NSA a t classe sans suite par le gouvernement dbut 1996 sous la pression des internautes qui se sont mobiliss pour dfendre Zimmermann.
If privacy is outlawed, only outlaws will have privacy, soit, en franais : Si l'intimit est mise hors la loi, seuls les hors-la-loi auront une intimit.
Philip Zimmermann20 PGP utilise le meilleur de la cryptographie symtrique (rapidit du chiffrement) et de la cryptographie asymtrique (scurit de l'change de cls). Il fonctionne suivant le principe suivant : 1. Compression : le texte envoyer est compress. Cette tape permet de rduire le temps de transmission des donnes, et amliore galement la scurit. En effet, la compression dtruit les modles du texte (frquences des lettres, mots rpts). Et on sait que ces modles sont souvent utiliss dans les analyses cryptographiques. Chiffrement du message : un mot de passe alatoire est gnre (On parle ici de cl de session), et le message est chiffr par un algorithme symtrique l'aide de cette cl de session. L'algorithme utilis a vari au cours du temps : il s'agissait au dbut de DES, puis de CAST. Chiffrement de la cl de session : la cl de session est chiffre en utilisant la cl publique du Destinataire (et l'algorithme RSA). Envoi et rception du message : l'expditeur envoie le couple message chiffr / cl de session chiffre au Destinataire. Celui rcupre d'abord la cl de session, en utilisant sa cl prive, puis il dchiffre le message grce la cl de session.

2.

3. 4.

Le PGP implmente aussi les fonctions de certificat et de signature lectroniques. Il n'y a pas d'autorit centrale de certification, mais un grand rle jou la proximit sociale : les amis de mes amis sont mes amis ! En 2006, Zimmermann a cr Zfone, un logiciel de chiffrement de communication de tlphonie sur Internet au standard ouvert SIP, fonctionnant en P2P.

10

Cryptanalyse

La cryptanalyse s'oppose, en quelque sorte, la cryptographie. En effet, si dchiffrer consiste retrouver le clair au moyen d'une cl, cryptanalyser c'est tenter de se passer de cette dernire. Mme si on dcrit les cryptanalyses comme des briseurs de codes, il convient de remarquer qu'un algorithme est considr comme cass lorsqu'une attaque permet de retrouver la cl en effectuant moins d'oprations que via une attaque par force brute. L'algorithme ainsi cass ne devient pas inutile pour autant, mais son degr de scurit, c'est--dire le nombre moyen d'oprations ncessaires pour le dchiffrer, s'affaiblit.
20 Lire (en Franais) Pourquoi j'ai crit PGP par Philip Zimmermann : http://biblioweb.samizdat.net/article.php3?id_article=4 Cryptologie Page 36 / 51

10.1
10.1.1

Familles d'attaques cryptanalytiques

L'attaque par force brute

L'attaque par force brute consiste tester toutes les solutions possibles de mots de passe ou de cls. Nombre de secondes dans un jour Nombre de secondes dans une anne 86 400 secondes (~ 105) 31 536 000 secondes (~ 108)

Nombre de secondes depuis la cration de l'univers (13,7 milliard 432 043 200 000 000 000 secondes d'annes) (~ 1017) Dure de vie d'un proton Masse du soleil Nombre d'atomes dans un gramme de matire Nombre d'atomes dans l'univers ~ 1030 annes ~ 1033 grammes ~ 1024 atomes ~ 1080 atomes

Le but de ces quelques nombres est de montrer l'inutilit des attaques type force brute. En effet, un cryptanalyste en herbe pourrait se dire "Ce message est chiffr avec l'algorithme AES-256, il y a 2 256 cls possibles (soient environ 1076 cls), testons les toutes pour dchiffrer le message". A raison de 100 milliards de tentatives par seconde (ce qui est norme), il faudrait 10 58 secondes pour tester toutes les cls. Soit beaucoup plus que l'ge de l'univers... 10.1.2 L'analyse frquentielle

Voir chapitre 3.3 10.1.3 L'indice de concidence

Voir chapitre 3.6 10.1.4 L'attaque par mot probable

Voir chapitre 3.4. 10.1.5 L'attaque par dictionnaire

L'attaque par dictionnaire consiste tester tous les mots d'une liste comme mot cl. Elle est souvent couple l'attaque par force brute. 10.1.6 Attaque par paradoxe des anniversaires

Le paradoxe des anniversaires est un rsultat probabiliste qui est utilis dans les attaques contre les fonctions de hachage. Ce paradoxe permet de donner une borne suprieure de rsistance aux collisions d'une telle fonction. Cette limite est de l'ordre de la racine de la taille de la sortie, ce qui signifie que, pour un algorithme comme MD5 (empreinte sur 128 bits), trouver une collision quelconque avec 50% de chance ncessite 264 hachages d'entres distinctes. Le paradoxe des anniversaires, est l'origine, une estimation probabiliste du nombre de personnes que l'on doit runir pour avoir une chance sur deux que deux personnes de ce groupe aient leur anniversaire le mme jour. Il se trouve que ce nombre est 23, ce qui choque un peu l'intuition. partir d'un groupe de 57 personnes, la probabilit est suprieure 99 %.
Cryptologie Page 37 / 51

Cependant, il ne s'agit pas d'un paradoxe dans le sens de contradiction logique ; c'est un paradoxe, dans le sens o c'est une vrit mathmatique qui contredit l'intuition : la plupart des gens estiment que cette probabilit est trs infrieure 50 %.

10.2

Cryptanalyse moderne

Ds les annes 70 apparaissent les mthodes de chiffrement modernes par blocs comme DES. Il sera passablement tudi et attaqu ce qui mnera des attaques majeures dans le monde de la cryptographie. Les mthodes prsentes ci-dessous ne sont pas vraiment gnriques et des modifications sont ncessaires pour attaquer un type de chiffrement donn. Souvent, on ne s'attaque pas une version complte de l'algorithme de chiffrement mais une variante avec moins de tours (dans le cas des schmas de type Feistel ou les fonctions de hachage). Cette analyse prliminaire, si elle permet de dceler des vulnrabilits, laisse entrevoir une attaque sur l'algorithme complet. 10.2.1

Familles d'attaques rpertories :

Cryptanalyse linaire Cryptanalyse diffrentielle Cryptanalyse diffrentielle tronque Cryptanalyse diffrentielle d'ordre suprieur Cryptanalyse par diffrentielles impossibles L'attaque boomerang L'attaque rectangle Cryptanalyse diffrentielle-linaire Cryptanalyse Cryptanalyse quadratique Cryptanalyse modulo n Compromis temps/mmoire Attaques sur les modes opratoires Attaque par rencontre au milieu Attaques sur les systmes asymtriques Attaques par canaux auxiliaires

10.3

Attaques par canaux auxiliaires

Revenons sur cette famille d'attaque, dans la quelle on range plein de protocoles qui s'apparentent parfois plus la bidouille qu'a la cryptanalyse 10.3.1 Un peu d'histoire : Cap'tain Crunch

Dans les annes 60, aux USA, une ligne longue distance inoccupe met en permanence une tonalit de 2600 Hz, indiquant un central tlphonique qu'elle est prte recevoir un appel. Or, un lectronicien, John Draper remarqu que le sifflet pour enfants que Quaker Oats offrait avec ses crales tait accord sur le la aigu et permettait de reproduire cette tonalit. Cette proprit dcouverte par hasard a t exploite par les phreakers 21 longue distance. Son surnom provenait des botes de crales Cap'n Crunch23.
22

pour passer gratuitement des appels

21 Phreaker : Hacker de tlphonne (phone + freak ) 22 Hacker : Littralement Bidouilleur Il n'y a aucune connotation ngative dans l'expression Hacker 23 Les crales, c'est dangereux : Cap'tain Crunch a t condamn deux mois de prison en 1976 Cryptologie Page 38 / 51

Bref, tout a pour montrer que parfois, l'attaque vient d'o on ne l'attend pas. 10.3.2 Attaque temporelle

Une attaque temporelle consiste estimer et analyser le temps mis pour effectuer certaines oprations cryptographiques dans le but de dcouvrir des informations secrtes. Certaines oprations peuvent prendre plus de temps que d'autres et l'tude de ces informations temporelles peut tre prcieuse pour le cryptanalyste. La mise en uvre de ce genre d'attaque est intimement lie au matriel ou au logiciel attaqu. Attaques sur la cryptographie asymtrique Les algorithmes d'exponentiation modulaire sont coteux, le temps d'excution dpend linairement du nombre de bits '1' dans la cl. Si connatre le nombre de '1' n'est pas une information toujours suffisante pour trouver la cl, le recoupement statistique entre plusieurs chiffrements avec cette cl peut offrir de nouvelles possibilits au cryptanalyste. Attaques sur un rseau En 2003, Boneh et Brumley ont dmontr une attaque pratique contre des serveurs SSL. Leur cryptanalyse est base sur des vulnrabilits dcouvertes dans les implmentations du thorme des restes chinois. L'attaque fut toutefois mene travers un rseau de taille limite mais elle montrait que ce type d'attaque tait srieuse et praticable en l'espace de quelques heures. Les implmentations furent amliores pour limiter les corrlations entre la cl et le temps de chiffrement. Attaque sur les chiffrements par bloc Les chiffrements par bloc sont en gnral moins sensibles aux attaques temporelles, la corrlation entre la cl et les oprations tant plus limites, mais celles-ci existent quand mme. La plupart reposent sur les temps mis pour accder aux diffrentes tables (par exemple les S-Boxes). En 2005, Daniel Bernstein a dmontr qu'une attaque contre une implmentation vulnrable d'AES tait possible partir du cache des processeurs modernes des PC (AMD ou Intel). Bernstein reproche au NIST d'avoir nglig ces problmes lors du concours AES, il ajoute que le NIST s'est tromp en partant du principe que le temps d'accs aux tables tait constant. 10.3.3 Attaque par sondage

Une attaque par sondage est ce que l'on qualifie d'attaque invasive, c'est--dire que la mise en uvre de celle-ci peut dtriorer, voire dtruire le circuit analyser. Le principe d'une attaque par sondage (appele probing attack) est d'espionner l'activit lectrique d'un composant lectronique du circuit en positionnant une sonde suffisamment proche dudit composant. En rcoltant des donnes de cette manire, l'attaquant peut tre en mesure de dduire tout ou une partie du secret du circuit cryptographique. Tout d'abord il faut prparer le circuit analyser. Il faut souvent le tremper dans l'actone, puis gratter sa surface (gnralement couverte d'un enduit chimique) pour mettre nu les couches suprieures de mtal. Pour cela il faut approcher trs prs de l'quipotentielle espionner une pointe mtallique (typiquement en tungstne) qui ragit au passage d'un bit sur celle-ci (en fait un changement ou non d'tat). Avec un oscilloscope suffisamment prcis et un chronomtrage trs rigoureux, on peut ainsi dterminer les bits transitant par le bus. 10.3.4 Analyse de consommation

En cryptanalyse de matriel cryptographique, l'analyse de consommation consiste tudier les courants et tensions entrants et sortants d'un circuit dans le but de dcouvrir des informations secrtes comme la cl de chiffrement. Certaines oprations, plus coteuses, augmentent la consommation lectrique du circuit, notamment par l'utilisation de plus de composants (analogiques ou logiques). Cette analyse des variations et des pics permet de tirer des informations prcieuses pour le cryptanalyste. Une attaque base sur les temps de rponse a t mene par Serge Vaudenay sur TLS/SSL, ce qui a forc les concepteurs du standard faire une mise jour critique. Les constructeurs de puces de chiffrement visent aplanir la courbe de consommation lectrique pour dissimuler les oprations sous-jacentes.
Cryptologie Page 39 / 51

10.3.5

Attaque par faute

les attaques par faute sont une famille de techniques qui consistent produire volontairement des erreurs dans le cryptosystme. Ces attaques peuvent porter sur des composants matriels (cryptoprocesseur) ou logiciels. Elles ont pour but de provoquer un comportement inhabituel des oprations cryptographiques dans le but d'en extraire des informations secrtes (comme une cl de chiffrement). Une attaque par faute peut tre couple d'autres mthodes comme l'analyse de la consommation ou une attaque temporelle. Les attaques sont possibles sous l'hypothse que l'attaquant peut affecter l'tat interne du systme en crivant des valeurs par exemple en mmoire ou sur un bus informatique. Un exemple classique d'attaque par faute concerne RSA et en particulier le produit des deux nombres premiers (p, q) qui composent en partie la cl (le secret, donc) du systme. Le principe est de faire en sorte qu'un de ces deux nombres soit modifi juste avant leur produit p * q. Il est en effet trs difficile de retrouver p ou q en fonction de p * q. Or, si on arrive transformer p en p' (non premier), on peut retrouver beaucoup plus facilement q en calculant le pgcd de p' * q.

11

Stganographie

Si la cryptographie est l'art du secret, la stganographie est l'art de la dissimulation : l'objet de la stganographie n'est pas de rendre un message inintelligible autre que qui de droit mais de le faire passer inaperu. Si on utilise le coffre-fort pour symboliser la cryptographie, la stganographie revient enterrer son argent dans son jardin. Bien sr, l'un n'empche pas l'autre, on peut enterrer son coffre dans son jardin.

11.1
11.1.1

Histoire
301

Dans son Enqute, l'historien grec Hrodote (484-445 av. J.-C.) rapporte ainsi une anecdote qui eut lieu au moment de la seconde guerre mdique. En 484 avant l're chrtienne, Xerxs, fils de Darius, roi des Perses, dcide de prparer une arme gigantesque pour envahir la Grce). Quatre ans plus tard, lorsqu'il lance l'offensive, les Grecs sont depuis longtemps au courant de ses intentions. C'est que Dmarate, ancien roi de Sparte rfugi auprs de Xerxs, a appris l'existence de ce projet et dcide de transmettre l'information Sparte : il prit une tablette double, en gratta la cire, puis crivit sur le bois mme les projets de Xerxs ; ensuite il recouvrit de cire son message : ainsi le porteur d'une tablette vierge ne risquait pas d'ennuis . Un autre passage de la mme uvre fait galement rfrence la stganographie : Histie incite son gendre Aristagoras, gouverneur de Milet, se rvolter contre son roi, Darius, et pour ce faire, il fit raser la tte de son esclave le plus fidle, lui tatoua son message sur le crne et attendit que les cheveux eussent repouss ; quand la chevelure fut redevenue normale, il fit partir l'esclave pour Milet . En Chine, on crivait le message sur de la soie, qui ensuite tait place dans une petite boule recouverte de cire. Le messager avalait ensuite cette boule. Ds le Ier sicle av. J.-C., Pline l'Ancien dcrit comment raliser de l'encre invisible (ou "encre sympathique"). Les enfants de tous les pays s'amusent le faire en crivant avec du lait ou du jus de citron : le passage de la feuille crite sous un fer repasser chaud rvle le message. Durant la Seconde Guerre mondiale, les agents allemands utilisaient la technique du micropoint de Zapp, qui consiste rduire la photo d'une page en un point d'un millimtre ou mme moins. Ce point est ensuite plac dans un texte normal. Le procd est voqu dans une aventure de Blake et Mortimer, SOS mtores.

11.2
11.2.1

Techniques rendues possibles par l'ordinateur

Usage des bits de poids faible d'une image

L'ide est de prendre un message et de le modifier de manire aussi discrte que possible afin d'y dissimuler l'information transmettre. Le message original est le plus souvent une image. La technique de base (dite LSB pour Least Significant Bit) consiste modifier le bit de poids faible des pixels codant l'image : une image numrique est une suite de points, que l'on appelle pixel, et dont on code la couleur l'aide d'un triplet d'octets
Cryptologie Page 40 / 51

par exemple pour une couleur RGB sur 24 bits. Chaque octet indique l'intensit de la couleur correspondante (rouge, vert ou bleu) par un niveau parmi 256. Passer d'un niveau n au niveau immdiatement suprieur (n+1) ou infrieur (n-1) ne modifie que peu la teinte du pixel, or c'est ce que l'on fait en modifiant le bit de poids faible de l'octet. Exemple Considrons l'image de 2 pixels : Chaque pixel d'une image est reprsent par 3 nombres cods sur 8 bits : R reprsente l'intensit du rouge (un entier entre 0 et 255), G celle du vert, B celle du bleu. Si l'on modifie les 2 bits de droite de R, on modifie trs peu sa valeur (au plus, de 3), et cela est imperceptible l'il humain. On remplace alors les 2 bits de droite de R par les 2 premiers bits du message. Puis on continue pour les composantes G,R, puis pour le 2me pixel,etc... Il est impossible, l'il, de distinguer l'image qui cache le message, et l'image initiale.
Image initiale Message Image qui cache le message R1=01001110 R2=01110011 101100011011 R1=01001110 R2=01110001 G1=01101111 G2=01110110 B1=11111100 B2=10101011 G1=01101111 G2=01110110 B1=11111111 B2=10101010

Cette technique de stganographie trs basique s'applique tout particulirement au format d'image BMP, format sans compression destructive, avec codage des pixels entrelac sur 3 octets comme nonc ci-dessus. Rciproquement, tout procd de compression-dcompression d'images avec pertes est susceptible de dtruire un message stganographique cod de cette faon. On parle alors de strilisation. Un pays totalitaire pourrait striliser tout hasard toute image BMP entrant ou sortant de son territoire, moyennant les ressources techniques ncessaires. 11.2.2 Manipulation de la palette de couleurs d'une image

Certains formats graphiques tel que GIF ou PNG permettent le stockage des couleurs de l'image par rfrence une palette de couleurs insre dans le mme fichier. Ainsi au lieu de stocker Bleu,Blanc,Rouge dans une image du drapeau franais, on trouve dans un format de fichier la description de l'objet la suite Couleur1,Couleur2,Couleur3 ainsi qu'une palette qui dfinit que Couleur1 est le Bleu, Couleur2 le Blanc et Couleur3 le Rouge. La mme image peut-tre stocke de la faon suivante: Couleur2,Couleur3,Couleur1 avec une palette qui dfinit que Couleur2 est le Bleu, Couleur3 est le Blanc et Couleur1 est le Rouge. Ces deux images sont visuellement identiques mais le stockage de celles-ci est diffrent. Pour une image contenant 256 couleurs uniques dans sa palette, on a factoriel de 256 faons de stocker cette image. En utilisant un code connu entre l'metteur et le rcepteur de l'image, on peut donc communiquer un message de petite taille cach dans la permutation des couleurs dans la palette de l'image. 11.2.3 Message cach dans les choix de compression d'une image

Tout semble indiquer que l'on ne peut cacher un message dans un format d'image utilisant une compression avec perte. En ralit la plupart des programmes de stganographie srieux s'attaquent justement au format JPEG qui utilise ce type de compression. L'ide n'est pas de cacher une information dans les couleurs ou dans la palette (puisqu'il n'y en a pas) mais dans les choix de compression. En effet, tout algorithme de compression ncessite une succession de choix. Avec des algorithmes de compression tel que Zip ou Gzip, on peut choisir la puissance de compression. En consommant plus de temps calcul et/ou plus de mmoire pour les oprations intermdiaires, on peut obtenir de meilleurs rsultats de compression. Ainsi deux fichiers compresss de tailles diffrentes peuvent tre dcompresss en deux fichiers identiques. La compression dans le format JPEG est double. La premire compression consiste dcouper l'image en bloc de 8 fois 8 pixel et de transformer ce carr sous une forme mathmatique simplifie. Cette compression introduit des pertes et la version mathmatique peut tre lgrement diffrente du carr original tout en tant visuellement trs semblable. Une fois tous les blocs compresss, il faut coder les formes mathmatiques en
Cryptologie Page 41 / 51

consommant le moins possible d'espace. Cette deuxime compression n'introduit pas de perte et est similaire dans les principes ce que l'on peut retrouver dans Zip ou Gzip. C'est en introduisant dans cette phase des bits d'informations que l'on arrive transporter un message cach. 11.2.4 Modulation fine d'un texte crit

Dcaler une lettre de quelque pixels ne pose aucun problme sur une imprimante lser et est pratiquement invisible l'il nu. En jouant sur les interlettrages d'un texte trs long et raison de deux valeurs d'espacement correspondant 1 et 0, il est possibe de transmettre un message sous forme papier, qui ne rvlera son vrai sens qu'ne fois analys par un scanner ayan une bonne prcision. Historiquement, le procd fut utilis ds les annes 70 en utilisant non pas des imprimantes laser, mais des imprimantes marguerite Diablo, qui permettaient de jouer sur l'espacement des caractres au 1/120e de pouce prs. 11.2.5 Marquage de caractres

Une technique similaire mais plus facilement dtectable consiste marquer certains caractres d'un document. Des points peuvent par exemple tre placs sous les lettres d'un texte afin de dissimuler un message. tales sur un texte de plusieurs pages, ces marques peuvent s'avrer relativement efficaces vis--vis d'un il non-averti. Un ordinateur n'est pas indispensable la mise en uvre de cette technique. En guise d'exemple, aviez-vous remarqu le message cach dans le chapitre 11.2.4 ? 11.2.6 Message transport dans un son

Dans les formats sonores, il existe peu prs les mmes possibilits de cacher des messages que dans les images. Dans un fichier sonore au format MIDI, il n'existe pas de palette de couleurs mais bien diffrentes pistes qui peuvent tre permutes. Dans un fichier sonore avec compression sans perte, on peut cacher de l'information dans des variations imperceptibles du son, les bits faiblement significatifs. Dans un fichier sonore avec compression avec perte, on peut cacher de l'information dans les choix de compression. 11.2.7 Autres possibilits

Il est aussi possible de cacher des informations dans bien d'autres types de fichiers couramment changs sur des rseaux tel la vido ou bien dans des textes (ce fut une des premires formes de la stganographie) ou encore dans des zones d'un disque dur inutilises par le systme de fichiers.

11.3

Usage

Aprs les vnements du 11 septembre 2001, on a prtendu qu'Oussama Ben Laden transmettait ses ordres en les cachant par des procds stganographiques dans des images transmises ou hberges sur internet (ces suppositions n'ont jamais t tayes par des lments concrets). Il faut noter que, si la cryptographie, qui permet de protger la vie prive et l'activit industrielle sans cacher cette protection, est souvent maltraite par les tats totalitaires et les socits dmocratiques tendance scuritaire, il n'en va pas ncessairement de mme pour la stganographie, qui est pourtant une technique beaucoup mieux adapte une activit criminelle ventuelle.

12
12.1

Conclusion
Aujourd'hui

On sait faire des chiffres inviolables : Vernam

Cryptologie Page 42 / 51

On sait faire des chiffres sans changes de cl : RSA Alors, c'est la fin de l'histoire ? Mme si le RSA 512 bits est aujourd'hui sur. Cette certitude repose sur une infaillibilit du systme. Quand on arrivera (si on arrive ?) gnrer des nombres premiers facilement, le RSA ne sera pas plus scuris qu'un chiffre de Vigenre ... Qui peut dire si aujourd'hui la NSA ne sait pas dj rsoudre l'quation n=pq ? A de nombreuse reprises, des puissances se sont effondres parce qu'elles pensaient avoir un systme cryptographique sur. L'histoire est un ternel recommencement ...

12.2

Demain : La cryptographie quantique

La prochaine gnration de chiffres est dj prte. Nous sommes aujourd'hui dans la situation de Diffie et Hellman en 1976 : Nous avons un outil parfait ... sur le papier : La cryptographie quantique. L'utilisation de la mcanique quantique va permettre une nouvelle avance : Cette fois, la scurit est garantie non par des thormes mathmatiques, mais par les lois fondamentales de la physique. Dans le transport de cl quantique , l'information est transporte par les photons. Chaque photon peut tre polaris, c'est--dire que l'on impose une direction son champ lectrique. La polarisation est mesure par un angle qui varie de 0 180. Dans le protocole que nous dcrivons, d aux canadiens CH.Bennett et G.Brassard, la polarisation peut prendre 4 valeurs : 0, 45, 90, 135. Il nous faut pouvoir dtecter la polarisation des photons. Pour cela, on utilise un filtre polarisant suivi d'un dtecteur de photons. Si un photon polaris 0 rencontre un filtre polarisant orient 0, il traverse ce filtre polarisant et est enregistr par le dtecteur plac juste aprs. Si un photon polaris 90 rencontre le mme filtre, il est immdiatement stopp, et le dtecteur n'enregistre rien. Maintenant, si le photon est polaris diagonalement (45 ou 135), une fois sur deux, il traverse le filtre, et une fois sur deux, il est stopp. C'est dans cette incertitude de 50% que rside la force de la cryptographie quantique. 12.2.1 Alice & Bob dans le futur ...

Dcrivons alors le protocole qu'Alice et Bob doivent respecter pour qu'Alice envoie Bob une cl secrte constitue de 0 et de 1; ils disposent de 2 canaux d'change : un canal quantique, o ils peuvent s'changer des photons polariss, et un canal non protg (radio, tlphone, ...), o ils peuvent discuter. Ils conviennent que les photons polariss 0 ou 45 reprsentent 0, et ceux polariss 90 ou 135 reprsentent 1. Alice met, sur le canal quantique, une suite de photons polariss au hasard parmi 0, 45, 90 et 135. A l'autre bout, Bob reoit les photons et mesure alatoirement ou leur polarisation rectiligne (filtre plac 0), ou leur polarisation diagonale (filtre plac 45). Si le photon traverse le filtre, Bob note 0, sinon il note 1. Bien sr, certaines mesures de Bob (en moyenne, une sur deux) n'ont pas d'intrt : il a pu essayer de mesurer la polarisation rectiligne d'un photon polaris 45, ce qui n'a pas de sens et donne un rsultat alatoire (par exemple, le photon a t bloqu par le filtre, Bob note donc 1 alors qu'Alice avait envoy 0).
Cryptologie Page 43 / 51

Pour liminer ces bits sans sens, il indique Alice, par le canal radio, quelle type de mesure (rectiligne ou diagonale) il a faite pour chaque photon. Par le mme canal radio, Alice lui indique quelles sont les mesures correctes (photon polaris 0 ou 90 avec filtre rectiligne, photon 45 ou 135 avec filtre diagonal), dans l'exemple ci-dessous la 1, la 3, la 4, et la 7. Les bits 1,3,4,7 sont dsormais connus la fois de Bob et d'Alice, et constituent leur cl secrte commune. Il faut encore vrifier que ce protocole est sr.

Si Mallory coute le canal quantique, elle peut faire la mme chose que Bob, c.a.d intercepter les photons en plaant un filtre polarisant tantt rectiligne, tantt diagonal. Pour que Bob ne se doute de rien, elle doit rmettre un photon polaris. (Car le fait de lire un photon le dtruit.) Elle va essayer d'envoyer le mme photon qu'Alice, mais comme elle a une chance sur deux d'avoir choisi le mauvais filtre, elle a une chance sur deux de se tromper. Quand Bob reoit le photon, s'il est mal polaris par Mallory, il a une chance sur deux d'avoir un rsultat diffrent d'avec le photon original, et finalement, pour chaque photon intercept par Mallory, il y a une chance sur 4 que Bob reoive une information errone. Alice et Bob dcident alors de "sacrifier" une partie de leur cl commune. Parmi tous les bits qu'ils ont en commun, ils en choisissent quelques-uns au hasard, et les compare publiquement par le canal radio : s'ils sont diffrents, ils ont une preuve qu'ils ont t couts, et ils oublient vite cette cl. En comparant suffisamment de bits, ils ont une garantie presque absolue de ne pas avoir cout.

Cryptologie

Page 44 / 51

Bien sr, il reste des problmes pratiques rsoudre : mettre des photons un par un, conserver la polarisation sur de grandes distances... mais les physiciens sont au travail !

12.3

Demain aussi : La cryptanalyse quantique

Chercheurs australiens dveloppant la nouvelle gnration d'ordinateur quantique

En 1982, le prix Nobel de physique Richard Feynman imagina un modle thorique illustrant comment un systme quantique pourrait tre utilis pour faire des calculs. Rapidement, en 1985, David Deutsch, montra que les ides de Feynman pouvaient mener un ordinateur quantique, un ordinateur qui effectuerait n'importe quelle tche, mais serait capable de tirer avantage des proprits quantiques de la matire, principalement du principe de superposition des tats. Cette recherche s'avra plus difficile que prvu, et il fallut attendre le milieu des annes 90 pour qu'un chercheur des laboratoires Bell, Peter Shor, invente des oprations mathmatiques lmentaires propres aux ordinateurs quantiques et les applique pour crer un algorithme quantique de factorisation. 12.3.1 L'ordinateur quantique

Nous savons qu'un ordinateur classique traite des informations lmentaires, des bits, qui ne peuvent prsenter qu'un tat parmi deux possibles : 0 ou 1. C'est le langage binaire. La rvolution que propose l'informatique quantique est q(u)bits en abrg, pouvant prendre un ensemble de quantique, avec son principe de superposition, permet qbit peut prendre les valeurs 0 ou 1, mais aussi un tat combinaison. Ceci signifie que quand on mesure la valeur du qbit, on a 10% de chances de trouver 0 et 90% de trouver 1. Un peu plus concrtement, avec 4 bits, un ordinateur classique peut traiter un tat parmi 24 soit 16 tats diffrents : 0000, 0001, 0010, 0011, etc. Dans un ordinateur quantique, les quatre qbits pourraient tre dans une superposition de tous ces tats. Dans cette situation, l'avantage de de remplacer ces bits par des bits quantiques, ou valeurs beaucoup plus large. En effet, la physique un tat d'tre un "mlange" d'autres tats. Ainsi, un constitue de 10% de 0 et 90% de 1, ou toute autre

Cryptologie

Page 45 / 51

l'ordinateur quantique est de pouvoir traiter simultanment les 16 tats. Des ordinateurs quantiques quips de processeurs de N qubits permettent donc de grer 2 N informations diffrentes simultanment ! Ils calculent donc N fois plus vite qu'un ordinateur classique puisqu'ils sont capables d'effectuer ces calculs en parallle ! Le nombre de qubits augmente donc de manire exponentielle la puissance du travail en parallle. Il est ainsi facile de calculer qu'un ordinateur quantique de 300 qbits pourraient grer environ 1090 informations, soit plus que le nombre d'atomes dans l'Univers observable ! Mais les ordinateurs quantiques n'en sont encore qu' leurs prmices, et leur record (automne 2001) est la factorisation de 15=35 avec 7 qbits. Pas de nouvelles depuis. Or, on vu que casser le RSA revenait factoriser n...

13
13.1

Exercices de cryptanalyse
Csar

Substitution polyalphabtique Source : "Bien que les champs, les fleuves et les lieux" de Pierre de Ronsard Difficults : 1/5 Cryptogramme : JQMVY ZMUMB MUWVX MIQTM IBMMV IQAYC CTMVU CMTMA QMVVM IZTMK KWCBC BZMUM IVLQT WVTQB KPIUX VBTWQ WVOML UQMZM AJZIA DWQBY XTMQV ATMAN VLMUI MAKQM AIJMT RMZMU CMKWV LMPWV TMCDM LWCKM CFYCQ TMQUI JZIAA BMVBR BMMBL AMBTM OCMZZ XZMAQ OMICA MMBZM MAWUU MXMCZ ATQMC QMZMI LIQBI MRWCZ BIBMA MQTTM FTMAU ABZMN UWVIZ LMUMA WVDIQ UWYCI WVBAT IBITL LMCZX GMCFB VXWZB VBUMA MAJWQ WCAMK ZMUQM WCBMA ZIQBM JZIAQ AYCMR WCTMU ZMKWV TMAVC VKMVB TAMVN IQTIQ WVUQM LCQBB QBAQU NWZUM CQBMB AAMAL CFYCM WCRWC XIBQM ABZWU UMDMQ MZZQM TYCML ZALCV VBLMP XMCZU TTMAM

13.2

Vigenre

Substitution polyalphabtique Source : Un extrait de la "La bte humaine". Difficults : 3/5 Cryptogramme : OSYDZ QOHGB SCTRD OELOY SSXAB YTCIE FSFND OEUCC MHORN ERNWD BEUMW UHZGE ZPMDH TDGLV VTNDH RZWYA OFTQS AMHPS WETQS HDICE YSSOY MOTTC TEQZP ZWEAM PNCSC KSCTD XABVT RHLTH DLDBE RJTNF TQCFB SWARC RDDCE WXEKS ATLER PPSNU NDDFI CYNZW ECOYS HNIME ZIOSH CTDDL MOTTR DQTOT NWDRN YETGP RGLNS ESDIW KOTRB LDDGE BEEQS SRSCU CFSKO SDHTL IPSAO ELAPN SNEKZ EKONH OWMDA IMOEI DSZQZ MXZUQ XAQEF RITVH DSDGP ZBERD PLZIY ZWEPZ LIRHZ NBOEB MOOCA OAAQW IRSOE HOERM TBCFP TZUKO ELONH FDABV USSDO OPNDA MHDOM DESEF RUCAM PUWZL KSPSP YTKSD HBPDD PMHBP MOETD ALHRP UPAMH IKRPS RPSKW MZQSI ITCNA WZUZN LARDG ETBPG BEINB JZRPS LSZUL BSYDZ RNDGW MSOEL XEMQL RGFRK DATLO QCDSD QUSDC DGGOX RDRFH WECGS AQFTV OYODI ISZPD SDVNW ETLRR TFMDS IRSAA ORETF ZJCEB KLZAP DSOUM GRDIY DPCAM PSCSC ZBOER YOHFP QZPTQ DESEF VLQTS RDJTC HCAHB EOSEI QSELS ELWDA FZUDG MNBEA OTNCS IZHEE

Cryptologie

Page 46 / 51

MRLIS GLMZQ SIMST LMOAE QQPVZ WEPZG NEKZP CHOCR DHPEZ IOEKO OUOCY TCSWE TFZPD WWLDB EEMRL ISGPU KSXEM HOELO YDDFW AUCTE ZZPGD FDCNI ASCSD IETWE SDCER GPSDB AEQGZ NMSBU DZTMO OEIDB NEFOR ND

13.3

RSA

Difficult : 4/5 RSA avec cl 11 bits Cl publique : RSA(1370477, 377) Cryptogramme : 1278281 1180729 1168560 1105842 1168560 0827986 0231383 0042925 0167338 0002372 1349403 0726411 0902962 0277609 0363080 0794055 0565269 0129271 0060967 0827986 1274266 0827986 0420867 0633528 1274266 0709512 0794799 0792163

14
14.1

Anecdotes en vrac
Kama-sutra

Le Kama-sutra est un texte crit au 5e sicle par le brahmane Vatsayayana, mais fond sur des manuscrits du 4e sicle avant J.-C. Le Kama-sutra recommande que les femmes apprennent 64 arts, entre autres cuisiner, s'habiller, masser et laborer des parfums. La liste comprend aussi des domaines moins vidents, comme la prestidigitation, les checs, la reliure et la tapisserie. Le numro 45 de la liste est le mlecchita-vikalpa, ou l'art de l'criture secrte, qui doit leur permettre de dissimuler leurs liaisons.

14.2

Georges Sand et Alfred de Musset

Voici la lettre envoye par Georges Sand Alfred de Musset :

Cher ami, Je suis toute mue de vous dire que j'ai bien compris l'autre jour que vous aviez toujours une envie folle de me faire danser. Je garde le souvenir de votre baiser et je voudrais bien que ce soit une preuve que je puisse tre aime par vous. Je suis prte montrer mon affection toute dsintresse et sans calcul, et si vous voulez me voir ainsi vous dvoiler, sans artifice, mon me toute nue, daignez me faire visite, nous causerons et en amis franchement je vous prouverai que je suis la femme sincre, capable de vous offrir l'affection la plus profonde, comme la plus troite amiti, en un mot : la meilleure pouse dont vous puissiez rver. Puisque votre me est libre, pensez que l'abandon ou je vis est bien long, bien dur et souvent bien insupportable. Mon chagrin est trop gros. Accourrez bien vite et venez me le faire oublier. A vous je veux me soumettre entirement. Votre poupe
Cryptologie Page 47 / 51

Classe non ? Et pourtant, si vous saviez lire entre les lignes ... La rponse d'Alfred de Musset n'est pas mal non plus :
Quand je mets vos pieds un ternel hommage, Voulez-vous qu'un instant je change de visage ? Vous avez captur les sentiments d'un coeur Que pour vous adorer forma le crateur. Je vous chris, amour, et ma plume en dlire Couche sur le papier ce que je n'ose dire. Avec soin de mes vers lisez les premiers mots, Vous saurez quel remde apporter mes maux.

Vous ne lirez plus jamais les auteurs classiques de la mme faon...

14.3

Le tlgramme de Zimmermann

Nous sommes en janvier 1917. La guerre entre l'Allemagne et les Allis fait rage. Le conflit s'enlise, les tranches ennemies se font face. De l'autre ct de l'Atlantique, les tats-Unis sont prudemment rests neutres. En 1916, le prsident Woodrow Wilson a d'ailleurs t rlu avec le slogan He kept us out of the war (il nous a prserv de la guerre). Il a mme dclar que ce serait un crime contre la civilisation de laisser entraner les tats-Unis dans la guerre. En janvier 1917, l'tat-major allemand s'impatiente. Il propose au Kaiser de dclencher une guerre sous-marine totale, afin de couper les approvisionnements de l'Angleterre. Le problme pour l'Allemagne est qu'en coulant de nombreux bateaux civils amricains, cette stratgie aurait pour probable consquence l'entre en guerre des tats-Unis. Arthur Zimmermann, alors ministre allemand des affaires trangres, a une ide afin de retarder l'envoi de renforts amricains : il faut occuper les troupes amricaines sur d'autres fronts, crs par le Mexique et le Japon. Ainsi, si le Mexique envahit le sud des tats-Unis (les 2 pays ont alors un contentieux autour de certains territoires), avec le soutien logistique, financier et militaire allemand, l'arme amricaine sera toute accapare par la dfense de son propre territoire, et ne pourra intervenir en Europe. Le 16 janvier 1917, Zimmermann envoie sa proposition dans un tlgramme cod destination de Bernstoff, ambassadeur d'Allemagne aux tats-Unis (Berlin n'a pas de liaisons directes avec le Mexique). A charge pour lui de le faire parvenir son homologue mexicain, qui lui-mme le transfrera au Prsident mexicain. Bernstoff dchiffre le message, et l'envoie au reprsentant allemand au Mexique, Johann Eckardt, avec un code commun entre lui et Eckardt. Ce dernier tlgramme est intercept par les services secrets britanniques, et immdiatement confi au prestigieux Bureau 40 qui se consacre au chiffrement. L'quipe, dirige par le rvrend Montgomery, parvient aprs un mois de labeur le 22 fvrier 1917 dcrypter ce message. Et voici ce qu'ils ont pu lire :
Nous avons l'intention de dclencher partir du 1er fvrier une guerre sous-marine totale. Malgr cela, nous tenterons de maintenir les tats-Unis dans la neutralit. Si nous n'y parvenons pas, nous proposerons au Mexique une alliance sur les bases suivantes : faire la guerre ensemble, faire la paix ensemble, large soutien financier et accort de notre part pour la reconqute par le Mexique des territoires perdus du Texas, du Nouveau Mexique, et de l'Arizona. Le rglement des dtails est laiss vos soins. Vous informerez secrtement le Prsident du Mexique ds que l'entre en guerre des tats-Unis sera certaine, et vous lui suggrerez que, sous sa propre initiative, il peut immdiatement solliciter la participation du Japon, et en mme temps servir de mdiateur entre le Japon et nous-mme. Prire d'attirer l'attention du Prsident sur le fait que l'emploi sans limites de nos sous-marins offre dsormais la possibilit d'obliger l'Angleterre faire la paix dans peu de mois.

Les Britanniques envoient immdiatement le rsultat de leurs travaux aux tats-Unis, et le 1er mars, toute la presse nord-amricaine rpand l'information. L'opinion publique, dsormais prvenue des intentions allemandes, change d'avis, et le Prsident Wilson fait voter par le Congrs, le 6 avril 1917, une dclaration officielle de guerre l'Allemagne. C'est sans doute la premire fois que la cryptanalyse d'un message cod a autant chang le cours de l'histoire.

Cryptologie

Page 48 / 51

14.4
14.4.1

Le chiffre ADFGVX
Le contexte

1918. Les armes allemandes et franaises sont exsangues. L'tat-major franais, dirig par le marchal Foch, redoute l'imminence d'une offensive massive de l'ennemi, qui enfoncerait les lignes de dfense jusque Paris. Cinq points d'offensive sont possibles, mais les forces franaises de rserve ne permettent de se concentrer que sur un seul. Il est vital, pour l'issue de la guerre, de ne pas se tromper. 14.4.2 Le code

Depuis mars 1918, l'arme allemande utilise un nouveau code pour communiquer, le chiffre ADFGVX, ou GEDEFU 18 (GEheimschrift DEr FUnker 18, chiffre des tlgraphistes 18). Ce chiffre est constitu d'une substitution de type carr de Polybe, suivie d'une transposition. Pour raliser la substitution, les 26 lettres de l'alphabet et les 10 chiffres sont rangs dans un tableau 66, aux extrmits desquelles on a ajout les lettres ADFGVX. A A D F G V Q Z F 3 P D Y C O I D F A R 4 T 6 G L X M G 2 V S H 8 U N X E 0 7 K V

X 1 5 J 9 W B Chaque lettre est cod par le couple de lettres qui correspond sa ligne et sa colonne. Ainsi, R est cod DF, et le message RENFORT COMPIEGNE 16H10 devient : DFAXV VFAFD DFGFD DFDFG VAGDA XGGVV AXXAV FDVXA DX On choisit ensuite, pour faire la transposition, une cl qui est un mot courant, par exemple DEMAIN. On crit le texte intermdiaire sous ce mot, puis on rordonne les colonnes par ordre alphabtique croissant : Il ne reste plus qu' relire le tableau de gauche droite, et de haut en bas : XDFVA VDFAD FFDGF FDGDV AAGXV GGAVX FXADV VXXAD Les lettres ADFGVX ont t choisies pour ce code car l'essentiel des tlcommunications est transmis par radio, et les lettres ADFGVX ont des codes morses trs diffrents. Les utiliser vite les confusions pendant la transmission. 14.4.3 Le travail des Franais

L'quipe franaise de cryptographie est particulirement talentueuse au cours de la Premire Guerre Mondiale. Ds le dbut des hostilits, la majorit des messages chiffrs allemands sont compris, mais malheureusement ces exploits sont gchs par des indiscrtions dans la presse. Avec l'apparition du chiffre ADFGVX, la situation se complique srieusement... Le cryptologue le plus dou de la Section du chiffre est le palontologue Georges Painvin, ancien major de l'cole Polytechnique. Aprs un travail acharn, il parvient le 2 juin 1918 dchiffrer les fameux messages allemands, dont un radiogramme destination d'une unit situe au nord de Compigne (voir ci-contre). Le marchal Foch est immdiatement averti des intentions de l'ennemi, et fait masser les troupes au lieu adquat. L'assaut allemand a lieu le 9 juin 1918. Il est stopp net. La

Cryptologie

Page 49 / 51

dynamique de la victoire s'enclenche. Pas tonnant que ce message chiffr ait reu le nom de Radiogramme de la Victoire. Allis 2 Allemagne 0

14.5

Olivier Levasseur

Olivier Levasseur plus connu sous le nom de "La Buse", surnomm ainsi en raison de sa rapidit fondre sur sa proie est un authentique pirate. La Buse, cuma l'ocan Indien au dbut du 18me sicle. Il aurait cach un trsor estim 4,5 milliards d'euros quelque part La Runion. Aujourd'hui encore, des chercheurs et des scientifiques se lancent la recherche de ce trsor prcieusement conserv depuis plus de 280 ans. 14.5.1 Son histoire :

Olivier Levasseur est n Calais la fin du XVII sicle. En 1721, La Buse est associ au pirate anglais Taylor. Ils se sont empar au mois d'avril du riche vaisseau portugais de 72 canon La Vierge du Cap qui avait cherch refuge contre les temptes dans le port de Saint-Denis (le Bourbon). A bord du vaisseau se trouvaient le comte Ericeira, vice-roi des Indes et l'archevque de Goa. La Buse fit main basse sur les objets d'inestimable valeur : rivires de diamants, bijoux, perles, barres d'or et d'argent, meubles, tissus, vases sacrs et cassettes de pierres prcieuses, et la crosse d'or de Goa constelle de rubis pesant une centaine de kilos, le tout valu 4,5 milliards d'euros. La Vierge du Cap, radoube et remise neuf, devint le vaisseau de La Buse et prit le nom de Le Victorieux. Mais l'anne d'aprs, Duguay-Trouin et le commodore anglais Matthews vinrent se chercher querelle dans les parages. La Buse et Taylor se sont mfis et ont prfr prendre "le large". Taylor s'enfuit aux Antilles et La Buse se retira l'le Sainte-Marie prs de la cte de Madagascar. Il est certain qu'il trsor...mais o ? a cach son

On a avanc le nom de 6 les : Maurice, La Runion, Frigate, Mah, Rodrigues, Sainte-Marie. Vers 1729, exerant le mtier de pilote dans la baie d'Antongil (Madagascar), il offrit des services au vaisseau La Mduse, de la Compagnie des Indes, qui voulait entrer dans le port. Le Capitaine d'Hermitte, commandant de bord, le reconnut, et se souvenant que le pirate avait maintes fois arraisonn des navires de sa compagnie, il l'arrta. Le 7 juillet 1730, La Buse tait condamn mort. Quand il monta sur l'chafaud pour expier ses crimes de pirate, Olivier Levasseur, dit La Buse, lana dans la foule un cryptogramme et s'cria : "Mes trsors qui saura comprendre !" Qu'est devenu le trsor? Nul ne saurait le dire, mais depuis plus de
Cryptologie Page 50 / 51

deux sicles, l'ocan Indien, des les Seychelles la pointe de Madagascar, est le centre de recherches incessantes et foisonne de documents cls, de rbus et de signes gravs qui tous, selon la tradition, se rapportent aux prodigieux trsors de La Buse. 14.5.2 Cryptanalyse

La Buse utilise le chiffre dit de Pig Pen (parc cochons) qui est un simple chiffre de substitution monoalphabtique Soit 14.5.3 Exercice

Trouvez le trsor et rapportez le au prof.

Cryptologie

Page 51 / 51