Sie sind auf Seite 1von 45

Scurit et Cryptographie

Matthieu Basseur

Introduction la cryptographie

Sommaire
Un premier exemple Scurit et crytpographie? Dfinitions/Gnralits La cryptographie classique

Exemple de message crypt


Dchiffer le message suivant :
CPOKPVS MF NPOEF

Indice n1 : les espaces restent des espaces Indice n2 : lalphabet a t dcal Cl : chaque lettre a t dcale dun rang
Message clair: BONJOUR LE MONDE

Un premier exemple

Deuxime exemple
Dchiffer le message suivant :
FH WHAWH HVW FKLIIUH SDU FHVDU

Indice n1 : les espaces restent des espaces Indice n2 : lalphabet a t dcal Cl : chaque lettre a t dcale de 3 rangs
Message clair: CE TEXTE EST CHIFFRE PAR CESAR

Un premier exemple

Sommaire
Un premier exemple Scurit et crytpographie? Dfinitions/Gnralits La cryptographie classique

Scurit?
Pourquoi de la scurit informatique ?
linformatique est omniprsente, dans des secteurs de plus en plus critiques certaines dimensions changent dans le monde virtuel : lespace, le temps ainsi que les ordres de grandeurs ; par consquent le danger des attaques aussi les menaces pour les liberts professionnelles et la scurit informatique individuelles sont relles devient primordiale

Scurit et cryptographie?

Vocabulaire
sret : protection contre les actions non intentionnelles scurit : protection contre les actions intentionnelles malveillantes menace : moyen potentiel par lequel un attaquant peut attaquer un systme risque : prise en compte la fois la probabilit d'une menace et de sa gravit si elle russit

Scurit et cryptographie?

Les objectifs thoriques


authentifier les utilisateurs, grer leurs autorisations assurer la confidentialit et lintgrit des donnes et des communications assurer la disponibilit des services

Scurit et cryptographie?

Difficults
historiques : Internet na pas t conu en tenant compte de contraintes de scurit lgislatives : retard du lgislatif sur la technologie, diversit des lgislations nationales conomiques :
la scurit informatique est coteuse et sans bnfices visibles directs les attaques informatiques sont de plus en plus motives par des gains financiers ( intelligence conomique , spam)

humaines et organisationnelles : formation, responsabilisation (cf. lingnierie sociale)


Scurit et cryptographie?
10

Difficults
volution permanente et soutenue (cf. attaques virales) systmes trs complexes, non squentiels et coupls le niveau de scurit d'un systme est caractris par le niveau de scurit du maillon le plus faible
Utilisation de systmes de cryptages srs (peu sensibles aux attaques extrieures)
11

Scurit et cryptographie?

Sommaire
Un premier exemple Scurit et crytpographie? Dfinitions/Gnralits La cryptographie classique

12

Introduction
Un systme cryptographique est un quintuplet S={P,C,K,E,D} avec:
P : ensemble fini de clairs (plain texts) C : ensemble fini de chiffrs (cipher texts) K : ensemble fini de cls (key space) E : ensemble fini de rgles de chiffrement (encryption rules) D : ensemble fini de rgles de dchiffrement (decryption rules)

k K , ek E tel que ek : P C , d k D tel que d k : C P et (1) d k o ek = id P


Dfinitions/Gnralits
13

Protocole
1.

Alice et Bob conviennent de S. Ils choissisent leur(s) cl(s). Alice chiffre le clair x = x1x2...xn, xiP en y = y1y2...yn, yiC avec yi = EK(xi) et lenvoie Bob. Bob calcule i, xi = DK(yi) cest dire x et retrouve ainsi le clair partir du chiffr.

2.

3.

4.

Remarque : x nappartient pas P, mais est un mot constitu dlments de lalphabet P (les xi ci-dessus).
Dfinitions/Gnralits
14

Sommaire
Un premier exemple Scurit et crytpographie? Dfinitions/Gnralits La cryptographie classique
Chiffrement par transposition Chiffrement par substitution

15

Transposition par blocs


Chaque bloc de n lettres est mlang dune certaine manire
Exemple: blocs de 3*3
DIEU EST LE POINT TANGENT ENTRE ZERO ET LINFINI DIE U E ST LE POI NT TAN GEN T E NTR E Z ERO ET LI NFI NI

On lit ensuite par colonne:


DUSI TEE LPNEOT I TGTAE NNENEET RRZO NELFTIIN I

Cheminement inverse pour reconstruire le message clair

La cryptographie classique

16

Transposition avec cl simple


Ex: k=FAUSTROLL (9 lettres 9 colonnes)
DIEU EST LE POINT TANGENT ENTRE ZERO ET L INFINI DIEU EST LE POINT TANGENT E NTRE ZERO ET LINFI NI

On lit par colonne, dans lordre dfini par la cl :


FAUSTROLL 219786534

(Ordre alphabtique)

On obtient :
IEATEIDLTN NTT RF EOI SNTEN EINZI UPGE OE L E NRT
17

Sommaire
Un premier exemple Scurit et crytpographie? Dfinitions/Gnralits La cryptographie classique
Chiffrement par transposition Chiffrement par substitution

18

Chiffrement par dcalage


Z Z P=C=K=Z/26Z kK, xP, ek(x)=x+k=y, dk(y)=y-k=x Vrifions (1): dk
0

ek(x)= dk(x+k)=x+k-k=x

Cas du chiffrement de Csar


k=3 La transposition des caractres est la suivante:

A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z,A,B,C

)
19

La cryptographie classique

Substitution affine
P=C=Z/26Z Z Z K=Z*/26Z.Z/26Z Z Z Z Z k=(a,b)K, xP, eK(x)=ax+b=y, dK(y)= a1(xb)= x vrifions (1) : dKoeK(x)= a1((ax+b)b)= x
Possible si pgcd(a,26)=1 !

Exemple: K=(3,12)
La transposition des caractres est la suivante:

A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z O,R,U,X,A,D,G,J,M,P,S,V,Y,B,E,H,K,N,Q,T,W,Z,C,F,I,L

)
20

La cryptographie classique

Substitution par permutation


P=C=Z/26Z Z Z K=(Z/26Z)26, |K|=26! (cl de 26 caractres) Z Z Soit une permutation:
Soit xP, eK(x)= (x)=y, dK(y)= 1(y)= x

vrifions (1) : dKoeK(x)= 1(x)= x Exemple:


(x)=

A,B,C,D,E,F,G,H,I,J,K,L,M,N,O,P,Q,R,S,T,U,V,W,X,Y,Z D,X,Y,W,V,H,N,A,I,B,T,U,G,S,C,R,O,J,Q,P,E,Z,K,F,M,L x= CE TEXTE EST CHIFFRE PAR SUBSTITUTION Y= YV PVFPV VQP YAIHHJV RDJ QEXQPIPEPICS

)
21

La cryptographie classique

Chiffrement de Vigenre (XVIme sicle)


P=C=(Z/26Z)m Z Z
m introduit la notion de chiffrement poly-alphabtique par bloc, le texte clair est dcoup en blocs de taille m

|K|=26m (cl=mot de taille m) k=(k1,k2,,km)K, x=(x1,x2,,xm)P, y=(y1,y2,,ym)C. ek(x)=(x1+k1,x2+k2,,xm+km)=y dk(y)=(y1-k1,y2-k2,,ym-km)=x (1) est vrifi aisment
La cryptographie classique
22

Chiffrement de Vigenre
Exemple:
K= CHIFFRE Message: CE TEXTE EST CHIFFRE PAR VIGENERE
(on simplifie par: CETEXTEESTCHIFFREPARVIGENERE )

Codage:
CHIFFRECHIFFRECHIFFRECHIFFRE + CETEXTEESTCHIFFREPARVIGENERE = FMCKDLJHACINAKIZNVGJALONTKJJ

La cryptographie classique

23

Cryptanalyse
Cryptanalyse des substitutions mono-alphabetique
Rappel : substitution mono-alphabetique : on remplace chaque lettre par une lettre diffrente (csar, affine). Nombre de possibilits (alphabet de 26 lettres) ?
chiffrement de A : 26 possibilits chiffrement de B : 25 possibilits ... 26! 4*1026 possibilits

Ordre de grandeur de comparaison : plier 50 fois sur elle-mme une feuille de papier (paisseur : 1 dixime de mm)
paisseur de la feuille : 250 diximes de millimtre 1,1 *108 kms (110 millions de km 300 fois distance Terre/Lune)

La cryptanalyse

24

Cryptanalyse
Cryptanalyse des substitutions mono-alphabtique
MAIS ne cache pas la fr quence d'apparition des symboles ! En francais, la lettre e apparat le plus souvent etc...

Exemple : cryptanalyse du texte suivant : HQYRBHU GX UHQIRUW DYHF GHV DUPHV


Rponse : envoyer du renfort avec des armes

Cryptanalyse propose par Al Kindi au IXe sicle.

La cryptanalyse

25

Cryptanalyse
Cryptanalyse des substitutions poly-alphabtique
ne cache pas non plus la frquence d'apparition des symboles !

On connat la longueur de la cl n
On rarrange le cryptogramme en n groupes de lettres On applique lanalyse statistique classique sur chaque groupe

On ne connat pas la longueur de la cl


On cherche la dcouvrir! On applique lanalyse statistique classique sur chaque groupe

La cryptanalyse

26

Cryptanalyse
Cryptanalyse des substitutions poly-alphabtique (ex: vigenre)
Considrons par exemple le message cod suivant :
CS AZZMEQM, CO XRWF, CS DZRM GFMJECV. X'IMOQJ JC LB NLFMK CC LBM WCCZBM KFIMSZJSZ CS URQIUOU. CS ZLPIE ECZ RMWWTV, SB KCCJ QMJ FCSOVJ GCI ZI ICCKS...

Ide : une squence se rpte! La distance entre 2 squences est probablement un multiple de la taille de la clef
Squence COX FCS ZRM FMJ CLB KCC WTV CCJ ICC MJI Position 11-140 16-99 20-83 24-162 37-46 44-92 87-133 93-126 110-155 136-163 Distance 129 83 63 138 9 48 46 33 45 27 Dcomposition 3.43 83 327 2.3.23 32 233 2.23 3.11 32.5 33 27

pgcd pour les triplets pertinents : 3

La cryptanalyse

Cryptanalyse
Cryptanalyse des transpositions
Mthode reprable grce aux frquences dapparition des lettres Problme : cl visible pour les messages courts Difficult de cration de cls complexe (sinon facile dchiffer en cherchant uniquement la taille des blocs) Attaques par inversion de matrices

La cryptanalyse

28

Notion de scurit inconditionnelle


Cryptanalyses prcdentes utilisent la rptition de la cl Dfinition (Scurit inconditionnelle) :

la connaissance du message chiffr n'apporte aucune information sur le message clair.


seule attaque possible : recherche exhaustive de cl secrte la cl secrte doit tre au moins aussi longue que le texte clair

Existe-t-il un syteme cryptographique inconditionnellement sr ?

Systme cryptographique sr

29

Systme cryptographique sr
Alice et Bob veulent schanger des donnes l'aide de la mthode du masque jetable (Vernam) appele aussi One Time Pad. One Time Pad : Xor entre une suite de bits alatoires et le texte chiffrer : chiffret := clairt aleat Pb : Alice et Bob doivent possder la mme suite de bits alatoires pour pouvoir dcoder : clairt := chiffret aleat

Systme cryptographique sr

30

Systmes cryptographiques pratiquement sr


Vernam : seul systme prouv inconditionnellement sr
MAIS problme du caractre alatoire et du stockage de K tous les autres systmes sont thoriquement cassables

Dfinition (chiffrement pratiquement sr) :


un message chiffr ne permet de retrouver ni la cl secrte ni le message clair en un temps humainement raisonnable

permet d'utiliser des cls plus petites (56, 128 bits...) Cryptographie classique : systme non sr
Cryptanalyse statistiques etc Toujours possible lorsquon acumule des messages crypts/clairs
Exemple : Enigma (3, puis 5 susbtitutions polyalphabtiques)
Systme cryptographique sr
31

Systmes cryptographiques pratiquement sr


1977 : standard de chiffrement DES (56 bits)
bas sur des oprations facilement applicables (par blocs) rsultat du chiffrement statistiquement plat utilis dans les cartes puces etc... problme : cl devenu trop petite
7.2 10 cassable en 8h avec 100 PCs : 8 jours 9 (2567.2*1016) 10 3600 24 100
16

depuis 2000 : nouveau standard A.E.S. (128, 192, 256 bits) Autres exemples de systmes de chiffrement cl secrte :
IDEA (1992) : blocs de 64 bits, cl de 128 bits ; Triple DES deux cls : blocs de 64 bits, cl de 112 bits :
C = EK1 (DK2 (EK1 (M))) M = DK1 (EK2 (DK1 (C)))

Chiffrement cl publique: RSA (1976)


Systme cryptographique sr
32

Mathmatiques pour la cryptographie


Euclide
PGCD Algorithme dEuclide tendu

Arithmtique modulaire
Congruence et modulo Classes dquivalence

Bezout Fermat
Restes chinois

Exponentation rapide modulaire


33

Cryptographie symtrique

Matthieu Basseur

Cryptographie symtrique
Cl Secrte Cl Secrte

Algo symtrique

Algo symtrique

Donnes en clair

Donnes chiffres

Donnes chiffres

Donnes en clair

Tout les systmes vus jusque maintenant!


Cryptographie symtrique
35

Cryptographie symtrique
Concept fondamental en cryptographie symtrique : la cl Principe de Kerckhoffs : l'algorithme doit pouvoir tre divulgu. De plus, la clef prend suffisamment de valeurs contre une attaque exhaustive.

Cryptographie symtrique

36

Masque jetable
Le masque jetable combine le message en clair avec une cl.
La cl doit tre une suite de caractres aussi longue que le message chiffrer. Les caractres composant la cl doivent tre choisis de facon totalement alatoire. Chaque cl, ou "masque", ne doit tre utilise qu'une seule fois (d'ou le nom de masque jetable).

Intert : scurit thorique absolue (C. Shannon 1949).

Cryptographie symtrique

37

Masque jetable (rappel)


Alice et Bob veulent schanger des donnes l'aide de la mthode du masque jetable (Vernam) appele aussi One Time Pad. One Time Pad : Xor entre une suite de bits alatoires et le texte chiffrer : chiffret := clairt aleat Pb : Alice et Bob doivent possder la mme suite de bits alatoires pour pouvoir dcoder : clairt := chiffret aleat

Cryptographie symtrique

38

Masque jetable

Comment gnrer lala?


Systme de chiffrement flot

Chiffrement flot : gnrateurs alatoires


Un candidat naturel (rapide) : registre dcalage. (LFSR: Linear Feedback Shift Register )

Cryptographie symtrique

39

Registre dcalage
LFSR de longueur L : L bits si+L-1,,si, et d'une fonction de rtroaction linaire. A chaque top d'horloge, le bit de poids faible si constitue la sortie du registre et les autres bits sont dcals vers la droite. Le nouveau bit si+L plac dans la cellule de poids fort du registre est donn par une fonction linaire des bits si,,si+L-1 :
si+L = c1si+L-1 + c2si+L-2 + + cLsi

o les coefficients de rtroaction (ci)1i L sont des lments de F2:


LFSR
40

Registre dcalage : exemple

LFSR

41

Registre dcalage : exemple

LFSR

42

Registre dcalage
En 1969, J. Massey a montr que l'algorithme propos par Berlekamp pour le dcodage des codes BCH (Bose, Ray-

Chaudhuri, Hocquenghem algorithme pour Code correcteur) pouvait tre adapt pour retrouver le
polynme de rtroaction d'un LFSR partir uniquement de 2L bits conscutifs de la suite produite s. Problme : facilement cassable via Berlekamp Massey Comment amliorer les registres dcalage ?
Ide : utiliser un systme bas sur des LFSRs mais plus complexe Registres combins, registres filtrs, registres avec mmoire

LFSR

43

Registre dcalage : exemples dutilisation


A5/1
Systme de chiffrement flot synchrone utilis par le GSM dans la plupart des pays europens. Suite chiffrante produite par 3 LFSRs de longueur 19, 22 et 23 bits et de polynmes de rtroaction : LFSR initialiss partir d'une cl secrte de 64 bits et d'une chane de 22 bits.

RC4
Systme de chiffrement flot d a Ron Rivest, couramment utilis dans les protocole SSL et WiFi. RC4 peut utiliser des cls de taille variables jusqu'a 2048 bits (!). La description de RC4 n'est officiellement pas publique

LFSR

44

Registre dcalage : exemples dutilisation


Chiffrement synchrone vs Chiffrement asynchrone
Synchrone : Le chiffrement est dit synchrone si les symboles produits par le GPA (Gnrateur Pseudo Alatoire) ne dpendent que de son tat interne et non du message chiffrer. Asynchrone : Le chiffrement est dit asynchrone ou autosynchronisant si les symboles produits par le GPA ne dpendent que de son tat interne et d'un nombre fix t de symboles du message chiffrer.

LFSR

45