Sunteți pe pagina 1din 2

TD Algorithmes cryptographiques : corrig

Arthur Hecker, Nouha Oualha, Cline Chevalier et Jean Leneutre Exercice 1. 1. Avec la technologie actuelle, il est recommand dutiliser un algorithme de chirement symtrique avec une cl de taille minimale de 64 bits. Puisque DES utilise une cl secrte dont 56 bits sont eectifs, il nest pas recommand de chirer avec une seule application de DES. En pratique, on utilise 3DES (not aussi TDES) avec 2 ou 3 cls direntes : 3DES = DESk1 oDES1 oDESk3 . Il a t prouv que 3DES augmente la complexit de crypk2 tanalyse par rapport DES dun facteur de 2 (c..d. 3DES est quivalent DES avec une cl de 112 bits). 2. 2DES = DESk1 oDESk2 a- 2DES est plus rapide que 3DES mais plus lent que DES et a priori il est plus robuste que DES. Navement, on peut estimer la force cryptographique ajoute par 2DES un facteur de 2 puisque on applique deux fois DES avec deux cls direntes. b- Analyse de scurit de 2DES : i) Avec DES, on chire un bloc de 64 bits avec une cl de 56 bits. Avec 2DES, on chire un bloc de 64 bits avec une cl de 112 bits (56 + 56 bits). Si on considre un message m de 64 bits, le message chir c avec 2DES correspondant (c = 2DES(k, m)) est aussi de 64 bits. Pour un message m donn, il y a 264 valeurs possibles pour le message chir c. Puisquil y a 2112 valeurs possibles pour la cl, en moyenne il y a donc 2112 /264 = 248 valeurs de cls possibles qui donnent le mme message c. ii) Meet in the middle attack : attaque permettant de faire un compromis entre le temps de calcul et lespace de stockage utilis pour la cryptanalyse (Die et Hellman 1977). Lattaquant construit deux listes L1 et L2 telles que : L1 = {DES(k, m), k} etL2 = DES 1(k, c), k Il retrouve ainsi deux listes de textes chirs intermdiaires. Parmi ces textes intermdiaires, il y a en moyenne 248 chirs que lon retrouve dans les deux listes. Lattaquant retrouve ainsi en moyenne 248 cls possibles (meet in the middle). Si lattaquant connat une deuxime paire de texte clair/chir, il peut refaire les mmes oprations en utilisant cette fois les cls obtenues partir de la premire paire et ainsi augmenter la probabilit de retrouver la cl secrte. ii) Le nombre de cls possibles en moyenne se rduit 248 /264 = 216 . La probabilit que lattaquant retrouve la cl secrte est donc gale 1 216 . Il faut savoir que la cryptanalyse de DES requiert un eort de lordre de 255 oprations du fait de la proprit de complmentarit de DES. Donc, lattaquant de 2DES eectue en tout 255 oprations de chirement et 255 oprations de dchirement pour la premire paire de textes clair/chir et 248 oprations de chirement et 248 oprations de dchirement pour la deuxime paire : un eort de lordre de 2 (255 + 248 ) < 257 oprations. La cryptanalyse de 2DES ncessite donc un eort de lordre dune attaque de recherche exhaustive dune cl de 57 bits. Exercice 2. 1. Cherchons un entier k 1, 196 tel que 89 k 1 mod 197, cest--dire deux entiers 2 (k, l) 1, 196 tels que 89k = 1 + 197l. Utilisons pour cela lalgorithme dEuclide appliqu 197 et 89 : 197 = 89 2 + 19 89 = 19 4 + 13 19 = 13 1 + 6 13 = 6 2 + 1 On en dduit, en remplaant successivement chaque reste de cette suite dgalits : 1 = 13 6 2 = 13 (19 13 1) 2 = 19 (2) + 13 3 = 19 (2) + (89 19 4) 3 = 89 3 + 19 (14) = 89 3 + (197 89 2) (14) = 197 (14) + 89 31 Linverse de 89 modulo 197 est donc 31. 2. Pour utiliser le chirement RSA, on procde de la faon suivante : Gnration des clefs : on choisit au hasard deux grands nombres premiers p et q distincts et on forme leur produit N = pq. On choisit au hasard un entier e premier avec = (p 1)(q 1). Le couple (N, e) est la clef publique. La clef secrte est alors lentier d inverse de e modulo .

Chirement : on convertit le message en un entier m 1, N 1 et on calcule le chir c me mod N . Dchirement : on calcule m cd mod N . Cet algorithme est correct : en eet, il existe un entier k tel que ed = 1 + k. Ainsi, m cd med m mk mod N Or, le petit thorme de Fermat assure que m 1 mod N , do le rsultat souhait m = m. Les lments qui doivent rester secrets sont p, q, et d. Rvler p permet dobtenir q = N/p, puis et donc d, de mme avec q. Rvler permet dobtenir d partir de e. Il reste voir comment d permet dobtenir le reste. Supposons donc e et d connus. Il existe un entier k tel que ed = 1 + k, donc k est une approximation de ed/n (puisque est de lordre de n). On sait que (ed 1)/k = = (p 1)(q 1), ce qui scrit (ed 1)/k 1 = N p q. On obtient donc le systme p + q = N (ed 1)/k + 1 pq =N Finalement, il sut dessayer de rsoudre ce systme pour des valeurs proches de k, par exemple celles de lintervalle ed/n 5, ed/n + 5 . Quand on obtient une solution (p, q), on a trouv k. 3. La factorisation de N donne p = 59 et q = 17 (ou linverse). Lentier vaut alors 58 16 = 928. En utilisant lalgorithme deuclide, nous obtenons : 928 = 3 309 + 1. Donc 1 = 928 + 3 (309) et linverse de e = 3 modulo est 619(= 928 309). Le chir c vaut 43 = 64. Il est facile connaissant cette valeur de retrouver m = 641/3 : en eet, il ny a pas de rduction modulaire puisque m < N 1/e . Pour viter ce problme, on utilise une technique de remplissage, appele padding, cest--dire quon ajoute au texte clair avant de le chirer une valeur structure et alatoire. Plusieurs mthodes sres sont connues, par exemple OAEP et PKCS#1 (nouvelle version). 4. On a 65 = 5 13, donc p = 5, q = 13 (ou linverse) et = (p 1) (q 1) = 4 12 = 48. Il faut choisir un couple de clefs publique/prive (e, d) tel que e soit premier avec (donc e nest divisible ni par 2 ni par 3) et ed 1 mod 48. En ignorant les couples symtriques, on obtient la table suivante : e 5 7 11 13 17 19 23 25 31 41 47 d 29 7 35 37 17 43 23 25 31 41 47 Il faut liminer tous les cas triviaux o e = d dans lesquels le dchirement est vident, pour conserver les couples (5, 29), (11, 35), (13, 37) et (19, 43) (et leurs symtriques). Le chir de m = 4 est c 45 mod 65. Or, 43 64 1 mod 65, donc c 16 49 mod 65. La clef prive associe e = 5 est d = 29. Pour faciliter le calcul, eectuons une exponentiation modulaire en remarquant que 29 = 24 + 23 + 22 + 1 : 492 (16)2 256 4 mod 65 494 (4)2 16 mod 65 498 162 4 mod 65 4916 (4)2 16 mod 65 29 On en dduit que c 4916 498 494 49 = 4 16 16 (16) (64) 4 4 mod 65. Exercice 3. 1. Les personnes collaborent donc elles peuvent se transmettre les couples (xj , yj ) quelles possdent. Ces couples sont au nombre de t donc daprs le rsultat rappel, il existe un unique polynme P de degr au plus t 1 tel que pour tout entier j, P (xj ) = yj . Cette unicit implique que ce polynme est celui choisi secrtement par lautorit de conance. Il ne reste qu calculer s = P (0). 2. Ces membres collaborent donc ont en leur possession couples (xj , yj ). Soit s un secret donn, il correspond au couple (0, s). tant donn ces + 1 couples, le rsultat admis donne alors lexistence de pt( +1) polynmes de degr au plus t 1 tels que P (xj ) = yj pour tout j et P (0) = s. Ceci tant vrai pour toute valeur de s, ces membres ne peuvent avoir aucune information sur ce secret.

S-ar putea să vă placă și