Clu Sir Cryptograph I e

Cryptographie
Mercredi 28 Fvrier 2007
Intervenants
Philippe Perret - MSI Groupe Arkoon
Serge Richard (CISSP) - IBM France
Agenda
Introduction la cryptographie
Histoire de la cryptographie
Concepts et mthodologies
Applications de la cryptographie
Attaques sur la cryptographie

Focus sur les courbes elliptiques
4
Introduction la cryptographie
Serge RICHARD - CISSP

5
Objectifs
La cryptographie est une des disciplines de la cryptologie

s'attachant protger des messages (assurant confidentialit et/ou
authenticit) en s'aidant souvent de secrets ou cls. Le mot
cryptographie dcoule des mot grecs "krypto" (je cache) et
"graphe" (le document)
La cryptologie, tymologiquement la science du secret, ne peut
tre vraiment considre comme une science que depuis peu de
temps. Cette science englobe la cryptographie, l'criture secrte et
la cryptanalyse, l'analyse de cette dernire. On peut dire que la
cryptologie est un art ancien et une science nouvelle
L'objectif fondamental de la cryptographie est de permettre
deux personnes de communiquer au travers d'un canal peu sr
(tlphone, rseau informatique ou autre) sans qu'un opposant
puisse comprendre ce qui est chang.
6
Postulats
Les postulats de scurit associs la cryptographie sont :

L'intgrit des donnes : Le contrle d'intgrit d'une donne consiste vrifier
que cette donne n'a pas t altre, frauduleusement ou accidentellement.
Le contrle d'accs : Il s'agit d'authentifier les utilisateurs de faon limiter
l'accs aux donnes, serveurs et ressources aux seules personnes autorises (un
mot de passe pour un disque dur, par exemple).
La confidentialit : Il s'agit de rendre l'information inintelligible tous les
opposants tant lors de sa conservation qu'au cours de son transfert par un canal
de communication.
L'identification: Le contrle d'identification consiste s'assurer que le
destinataire est bien celui qui prtant tre (authentification des partenaires) et
d'obtenir une garantie que lexpditeur a bien sign l'acte (authentification de
l'origine des informations).
La non rpudiation: Il s'agit de garantir l'authenticit de l'acte. Lexpditeur ne
peut nier le dpt d'information, le rceptionneur ne peut nier la remise
d'information, ni l'un ni l'autre ne peut nier le contenu de cette information.
7
Glossaire
Comme toute science, celle-ci possde son propre langage. tant donne
la relative jeunesse de cette science, et le fait qu'une trs grande partie
des publications dans ce domaine sont en langue anglaise, le problme de
la terminologie francophone se pose, parfois par manque de traduction
Le chiffrement est le procd grce auquel on peut rendre la comprhension d'un document
impossible toute personne qui n'a pas la cl de (d)chiffrement.
Une cl est un paramtre utilis en entre d'une opration cryptographique.
Dchiffrer consiste retrouver le texte original (aussi appel clair) d'un message chiffr dont
on possde la cl de (d)chiffrement.
Dcrypter consiste retrouver le texte original partir d'un message chiffr sans possder la
cl de (d)chiffrement.
Texte clair [Clear text ou Plain text] : Caractres ou bits sous une forme lisible par un humain
ou une machine.
Texte chiffr [Cipher text] : Rsultat de la manipulation de caractres ou de bits via des
substitutions, transpositions, ou les deux.
La diffrence entre un algorithme et un protocole est une question d'interactivit : pour un

algorithme, une seule personne est implique, celle qui fait les calculs ; pour un protocole,
plusieurs entits interviennent, il y a change dinformations.
Histoire de la cryptographie

9
Lorigine des codes secrets
De lantiquit la renaissance, lart de la cryptographie met en

uvre, pour cacher la substance dun texte, une combinaison
plus ou moins labore de substitutions et de permutations
Ds lorigine, la cryptographie a t utilise des fins
diplomatiques puis militaires
En Egypte, 2000 ans avant notre re un scribe avait grav des hiroglyphes
transforms sur le pierre tombale de Khumhotep II pour rendre inintelligible
la description de sa vie.
A la mme poque, un gnral Grec, Ene le tacticien, consacre un chapitre
de son ouvrage Commentaires sur la dfense des places fortes la
scurit des communications et donne quelques mthodes pour chiffrer
Jules Csar dans la Guerre des Gaules dcrit un procd de substitution
aujourdhui bien connu: Il consiste pour chiffrer dcaler dun nombre de
rangs convenu la lettre claire dans lalphabet usuel. Si la cl est 3, a est
remplac par d et b par e
10
A Sparte, au IV me sicle avant notre re, les

communications entre les chefs des armes et les
commandants taient chiffres laide dune Scytale,
un bton sur lequel on enroule une lanire en spires
jointives
11
En Crte, un disque de
Phastos, datant de 1700
avant notre re, comportant
un texte chiffr sur les deux
faces t retrouv. Ce texte
nest encore ce jour dcrypt
de manire sure.
12
Les sciences du secret

Q
Il existe plusieurs manire dassurer la confidentialit des

informations changes
La cryptographie consistant crypter le message transmis est sans doute la technologie
qui est et a t la plus utilise.
La stganographie est une autre technique consistant dissimuler le message dans un
contexte innocent. Impossible donc de trouver un message si on ignore jusqu son
existence.
La stganographie est une discipline trs ancienne qui date de

lantiquit mais dont la formalisation est rcente
Ainsi, en 440 avant notre re, Hrodote raconte comment, on rasa la tte dun esclave, puis
on y tatoua un message qui devint invisible aprs que les cheveux aient repousses
Cette mthode tait encore utilise par les espions allemands au dbut du XX sicle
Une ancienne technique chinoise de nature diffrente : un texte imprim sur de la soie tait
enferm dans une boulette de cire que le messager avalait
Lencre sympathique est la plus connue des mthodes de stganographie
La dissimulation dimages ou de texte lintrieur dautres images est devenu un processus
facile dont les programmes sont disponibles sur Internet
Lre numrique ouvre de nouvelles possibilits: La stganographie cl secrte permet
dextraire un message dun support numrique, le stgano-mdium
13
Un exemple clbre de dissimulation de message

La lettre de George Sand
Je suis trs mue de vous dire que jai
bien compris, lautre jour que vous avez
toujours une envie folle de me faire
danser. Je garde un souvenir de votre
baiser et je voudrais que ce soit
l une preuve que je puisse tre aime
par vous. Je suis prte vous montrer mon
affection toute dsintresse et sans calcul. Si vous voulez me voir ainsi
dvoiler, sans aucun artifice, mon me
toute nue, daignez donc me faire une visite.
14
Evolution des technologies cryptographiques

Le Moyen Age: Lobscurographie
Q
A une poque o les hauts personnages sont pour la plupart illettrs,

lcriture constitue par elle mme un moyen de chiffrement rserv aux
lettrs
Lglise prohibe lusage du chiffrement dans lequel est discerne une

action dmoniaque
Les dignitaires se rservent le chiffrement pour leur propre usage en

utilisant les techniques de lantiquit
Rdaction des voyelles par des points ou des signes convenus
Rdaction du texte laide dun alphabet tranger (Grec ou Hbreu)
Lettres ou certains mots remplacs par des signes et des dessins
Ecriture du texte de droite gauche
Utilisation de mthodes de stganographie utilises par les romains.
Livrer ses penses peut tre dangereux et conduire, selon

linterprtation de lglise, la renomme ou au bcher.
Les auteurs prennent leurs prcautions et chiffrent leur nom pour renier
ou revendiquer la paternit de leur crits.
Ainsi Rabelais signe Alcofribas Nasier
15

La renaissance: Lveil cryptographique
Avec linvention de limprimerie, vers 1450, lemploi du chiffre simpose et se

gnralise dans les relations diplomatiques et au plus haut niveau du commandement
militaire
La science du chiffre progresse
La transposition et la substitution sont reconnus comme tant des principes fondamentaux
Ils sont employs isolment ou en combinaison
Lart du dchiffrement progresse galement

Analyse des frquences dapparition des symboles.
La frquence dapparition dune lettre donne est caractristique dune langue.
Les chercheurs en cryptologie sont renomms

Alberti, le clbre architecte de Florence, labb Trithme, savant lettr consult par toute
lEurope, le physicien napolitain Porta, le mathmaticien Milanais Cardan
En 1586 le mathmaticien Franais Blaise de Vignre, secrtaire de Charles IX, fait la

synthse de tout ces travaux dans le Trait des secrtes manires dcrire
16

Q
Antoine Rossignol (1600-1682)

Grand spcialiste des codes et dcryptement, il rnove le chiffre
Franais sous Louis XIV. Il est lauteur des premiers grands
dictionnaires de chiffrement dsordonns tel que le Grand Chiffre
de Louis XIV qui rsistera plus de 200 ans au dcryptement
Le Grand Chiffre, tait un code
dsordonn, cest dire que des mots
successifs dans lalphabet ne sont pas
chiffrs par des nombres successifs
mais par des nombres pris au hasard.
Cela permet dviter quun dcrypteur
ne devine la premire lettre du mot la
vue du message chiffr
17

Le procd de Vigenre consiste
changer lalphabet de substitution
chaque chiffrement dune lettre, ce qui fait
que lon ne peut tenter de dcrypter le
message en utilisant la frquence des
lettres.
Pour cela, on construit un carr constitu
de tous les alphabets dcals dune lettre.
Le chiffrement part dun mot cl. Par
exemple TRIAGE. Pour coder la premire
lettre C du message en clair COULER, on
considre la ligne 10 commenant par T,
indiquant que le C doit tre chiffr par son
correspondant sur cette ligne, soit V. La
seconde lettre O doit tre chiffr en
prenant la ligne commenant par R et ainsi
de suite.
18

Le dclin: XVIII et dbut du XIX
Le chiffre Franais stiole pour deux raisons :

On soriente vers des actions despionnage et on dlaisse peu peu la cryptologie pure
Lactivit dsinvolte des Cabinets noirs conduit les ambassadeurs viter la poste
royale et systmatiser le recours la valise diplomatique, plus lente mais plus sure
La science cryptographique Franaise dcline :

Les Emigrs contre-rvolutionnaires, en 1796, communiquent avec leur partisans rests en
France avec un chiffre qui nest quune simple substitution de Jules Csar
Pendant la campagne dItalie, Bonaparte ne dispose que dun procd de Jules Csar
Sous lEmpire, Napolon dispose dun Grand Chiffre et dun Petit Chiffre dont on se sert fort
peu et fort mal. Lenvoie du mme message chiffr puis en clair nest pas rare.
Sous la Restauration, Louis Philippe et le second Empire, le dclin se poursuit :

Durant la guerre de 1870-1871, le marchal Bazaine de plaint de ne pas avoir de moyen de
chiffrement. Les services de Napolon III sont incapables de rpondre sa demande
19

De la fin du XIX sicle 1914 Le Rveil
Q
En 1844, la tlgraphie lectrique est adopte en remplacement du tlgraphe :

Le dveloppement du tlgraphe permet linterception aise des dpches diplomatiques
Une copie en est remise au Quai dOrsay et au ministre de la Dfense
Lactivit de dcryptement renat :

Entre 1887 en 1900, tous les pays dEurope se dotent de bureaux spcialiss
A partir de 1904, la poste envoie systmatiquement une copie des tlgramme crypts au
Service danalyse cryptographique de la Sret Gnrale
Ce service dcrypte le chiffre diplomatique du Japon, pendant la guerre Russo-Japonaise et
quantit dautres (Turquie, Espagne, Monaco, agents financiers Russes, serbes, roumains )
jusquen 1913, date laquelle il lui est interdit daccder aux dpches diplomatiques
Sur le plan militaire, le chemin de fer et le tlgraphe changent les conditions de

combat :
Le centre de commandement se transforme en centre de transmission
Le chiffrement revient lordre du jour, et on lenseigne dans les coles militaires
Lcole Franaise de cryptologie est la meilleure et compte de nombreux spcialistes
20

La grande guerre 1914 1918 Larme cryptographique
Q
Q
La France cre en 1912 la Section du chiffre de larme

En 1914, les Russes subissent la terrible dfaite de Tannenberg en raison dune absence
totale de scurit des communications.
Les premiers chiffrements restent assez simples et sont ainsi facilement dcrypts
Ltablissement du rgime Communiste de 1917 est ainsi facilit par le dcryptement des
communications militaires tsaristes
Ds le 1er Aot 1914, La section du chiffre est capable de dcrypter les communications
chiffres Allemandes
Le cryptologue le plus dou de lquipe est le lieutenant Painvain.
Il est lauteur dun vritable exploit en Juin 1918. Les Allemands ont adopts un nouveau
systme de chiffrement et esprent rompre les lignes franaise et atteindre Paris
Cinq axes dattaque sont possibles. Ou et comment disposer les dernires forces franaises
Par un travail acharn, Painvain reconstitue le nouveau code de lennemi le 2 Juin
Un message chiffr alors dcrypt se rvle dune importance capitale car il permet de
dterminer laxe dattaque.
Foch est averti et fait mettre en place les troupes de rserve. Lattaque allemande a lieue le 9
Juin. Elle est stoppe net et les forces franaises contre-attaquent.
La victoire des allis suivit quelques mois aprs.
21

Le Radiogramme de la Victoire
George Painvain
(1886 1980)
22

En janvier 1917, le service de dcryptement britannique , la Room

40, dcrypte une dpche du ministre allemand des affaires
trangres, Zimmermann :
Dans cette dpche, lAllemagne annonce son intention de lancer une guerre
sous-marine totale
Le gouvernement Allemand propose au Mexique une alliance militaire contre les
Etats- Unis avec reconqute pour le Mexique, du Texas, Nouveau Mexique et
Arizona
Les Britanniques remettent le clair du tlgramme aux autorits

Amricaines :
Livr la presse et publi le 1er Mars 1917, le tlgramme fait basculer
lopinion amricaines, encore rticente, accepter lentre en guerre
Le prsident Wilson, en se rfrant au tlgramme Zimmermann,

obtient laccord du congs. Les Etats-Unis entrent en guerre :
Jamais un dcryptement na eu une telle consquence.
23
De la mcanique lordinateur
La machine Enigma
Q
Lenseignement que les tats majors tirent de la guerre est quil faut
automatiser les oprations de chiffrement
Larme allemande squipe de machines Enigma ds 1926
Larme franaise squipe au milieu des annes 1930, de matriel sudois: La
machine C36 et la machine B211 qui resterons en service environ 20 ans
La machine Enigma possde 3 rotors,
chaque rotor contenant les 26 lettres de
lalphabet. Lordre de grandeur de la
combinatoire est donc de (26)3, cest
dire 17576 positions initiales des rotors.
La combinatoire est encore augmenter par
le fait que les rotors sont permutables
Vers la fin de 1938 les 3 rotors sont choisis
parmi 5, ce qui fait passer les possibilits
darrangement des rotors de 6 60.
24
La machine Enigma
Q
Aprs la premire guerre Mondiale, le bureau Chiffre de la Pologne sintresse de prs

aux communications Allemandes. Les Polonais connaissent bien Enigma
En Dcembre 1932, Enigma est entirement reconstitue et ds 1933 la fabrication des rpliques
dEnigma commenait
En Septembre 1938, Rejewski met au point une machine appele Bomba qui est constitue de
six rpliques dEnigma permettant dacclrer la recherche des cls. La recherche dune cl prend
environ 2 heures.
En 1939, les allemands modifient Enigma pour porter la combinatoire 159 1018 mettant les
dcryptement hors de porte. Devant limminence de linvasion les Polonais dcident dexposer
leurs travaux aux Franais et aux Anglais.
Deux jeunes mathmaticiens Anglais, Welchman et Turing, imaginent une machine universelle,
dite machine de Turing, qui travaillerai directement sur le contenu du message chiffr de
manire tre indpendante des procdures de chiffrement et de transmission
Le prototype est prt en mars 1940 et deux machines plus acheves sont ralises en Septembre
1940. le dcryptement dun message prend alors environ 2 jours.
A partir de Juin 1943, la mise en service dune nouvelle version dEnigma, oblige les Britanniques
et les Amricains amliorer les BOMBES. Ces dcryptements redonnrent lavantage aux allis
qui ont remport la Bataille de lAtlantique, un tournant dans la guerre.
25
Les BOMBES rapides
Les Bombes rapides pouvaient raliser 20 280 essais par seconde, ce

qui permettait en moyenne de dcrypter en 50 secondes les
messages de lEnigma 3 rotors et en 20 minutes les messages de
lEnigma M4 (4 rotors).
Les rotors de la BOMBE tournaient 1725 tours / minutes
26
Colossus
Geheimschreibers SZ 42
Linitialisation de la machine est
ralis par le positionnement initial
des roues dentes (10121 possibilits)
Colossus. Le premier Colossus voit le jour en Dcembre 1943 et

comprend 1500 tubes vide. La machine est amliore en
coopration avec les Amricains et comprend alors 2500 tubes vide
et lquivalent de 25 bits de mmoire centrale.
Il permet la programmation sur la base de ET et de OU. Colossus est
ainsi le premier ordinateur avant le clbre ENIAC
27
Le rle de la cryptanalyse dans la seconde guerre mondiale

Les allis ont gagns la guerre plus tt
La cryptologie a certainement permis de sauver de nombreuses vies humaines.
Selon les historiens, la cryptologie a permis dcourter la guerre dun an dans le
Pacifique et deux ans en Europe
Grce aux informations MAGIC, les amricains ont pu regagner leur supriorit
navale sur la flotte japonaise aprs Pearl Harbor et couper les lignes
dapprovisionnement du Japon
Grce aux dcryptements dEnigma, les Britanniques ont pu repousser les tentatives
dinvasion allemande lors de la bataille dAngleterre
Grce aux renseignements dULTRA, les Britanniques ont pu empcher
lapprovisionnement en carburant des forces de Rommel en coulant, 50 % du
tonnage qui leur tait destin
Grce encore aux dcryptements dEnigma, les Britanniques ont pu desserrer ltau
des sous-marins allemands sur les convois allis dans lAtlantique et gagner la
Bataille de lAtlantique
Enfin, le dbarquement et la bataille de Normandie ont t grandement facilits par
les informations fournies Eisenhower concernant les intentions et le potentiel
allemand.
28
La cryptographie moderne
Q
La cryptographie aujourdhui se fonde sur les mathmatiques,

llectronique et linformatique.
Le savoir faire est dsormais sur la place publique
Il est facile de concevoir des systmes de chiffrement trs robustes
On pourrait croire que lavantage est dsormais du cot du cryptologue et

que le dcrypteur dfinitivement perdu la partie
Soyons prudent. La scurit cryptologique ne se dmontre pas
Le cryptologue nest pas labri dune faille dans la mise en uvre du systme
de cryptographie ni dune perce technique inconnue (Lexemple du Colossus)
Ainsi des recherches en cours sur la mcanique quantique pourraient
rvolutionner le monde de linformatique et les techniques actuelles de
dcryptage.
Le premier embryon dordinateur quantique a effectu son premier calcul en
factorisant le nombre 15 en Dcembre 2001
Quelle confiance accorder aux solutions logicielles. Qui peut garantir labsence
de failles volontaires ou involontaires.
29
Concepts et mthodologies

30
La cryptographie moderne
ct de la fonction de chiffrement, qui permet de prserver le secret

des donnes lors dune transmission, et qui a t utilise depuis trs
longtemps, la cryptologie moderne a dvelopp de nouveaux buts
atteindre et quon peut numrer de manire non exhaustive :
confidentialit
intgrit des donnes
authentification des divers acteurs
non-rpudiation dun contrat numrique
signature numrique
certification
contrle daccs
gestion des cls
preuve de connaissance
31
Les techniques cryptographiques
Les techniques cryptographiques de base sont les techniques qui

permettent de rpondre aux fonctionnalits que nous avons dcrites
prcdemment. On peut citer essentiellement :
Les techniques de chiffrement
Les techniques de signature
Les techniques dauthentification
Ces techniques font appels des primitives cryptographiques qui

elles mmes sont bases sur des objets et problmes
mathmatiques.
32
Les objets et problmes mathmatiques
La cryptographie cl secrte fait plutt usage de :

Fonctions boolennes
Gnrateurs de suites pseudo-alatoires
Corps finis
Codes correcteurs derreurs
La cryptographie cl publique fait plutt usage de :

Problme de la factorisation des entiers
Problme du logarithme discret dans des groupes arithmtiques
Problmes lis la rsiduosit quadratique
Fractions continues, rseaux arithmtiques
Codes correcteurs derreurs
33
Algorithmes et Protocoles (1/2)

Q
Algorithmes de chiffrement faibles (facilement cassables)

Les premiers algorithmes utiliss pour le chiffrement d'une information taient assez
rudimentaires dans leur ensemble. Ils consistaient notamment au remplacement de
caractres par d'autres. La confidentialit de l'algorithme de chiffrement tait donc
la pierre angulaire de ce systme pour viter un dcryptage rapide. Exemples
d'algorithmes de chiffrement faibles :
ROT13 (rotation de 13 caractres, sans cl) ;

Chiffre de Csar (dcalage de trois lettres dans l'alphabet).
Algorithmes de cryptographie symtrique ( cl secrte)
Les algorithmes de chiffrement symtrique se fondent sur une mme cl pour

chiffrer et dchiffrer un message. Le problme de cette technique est que la cl, qui
doit rester totalement confidentielle, doit tre transmise au correspondant de faon
sre. En outre lorsqu'un grand nombre de personnes dsirent communiquer
ensemble, le nombre de cls augmente de faon importante (une pour chaque
couple de communicants). Ceci pose des problmes de gestions des cls.
Chiffre de Vernam
DES / 3DES
AES
RC4 / RC5
34
Algorithmes et Protocoles (2/2)

Q
Algorithmes de cryptographie asymtrique ( cl publique et prive)
Pour rsoudre en partie le problme de la gestion des cls, la cryptographie asymtrique a t

mise au point dans les annes 1970. Elle se base sur le principe de deux cls :
Comme son nom l'indique, la cl publique est mise la disposition de quiconque dsire chiffrer
un message. Ce dernier ne pourra tre dchiffr qu'avec la cl priv, qui doit tre confidentielle.
Quelques algorithmes de cryptographie asymtrique trs utiliss :
une publique, permettant le chiffrement ;

une prive, permettant le dchiffrement.
RSA ;
DSA ;
Protocole d'change de cls Diffie-Hellman ;
Fonctions de hachage
Une fonction de hachage est une fonction qui convertit un grand ensemble en un plus petit
ensemble, l'empreinte. Il est impossible de la dchiffrer pour revenir l'ensemble d'origine, ce
n'est donc pas une technique de chiffrement.
Quelques fonctions de hachage trs utilises :
MD5 ;
SHA-1 ;
35
Cryptographie symtrique
Q
La cryptographie symtrique, galement dite cl secrte est la plus ancienne forme de

chiffrement
L'un des concepts fondamentaux de la cryptographie symtrique est la cl, qui est une
information devant permettre de chiffrer et de dchiffrer un message et sur laquelle peut
reposer toute la scurit de la communication.
Jusqu'aux communications numriques, les systmes utilisaient l'alphabet et
combinaient les substitutions les symboles sont changs mais restent leur place
et les transpositions les symboles ne sont pas modifis mais changent de place.
Lorsque la substitution applique dpend de la place de la lettre dans le texte, on parle
de substitution polyalphabtique.
Depuis l'avnement du numrique, les paradigmes du chiffrement symtrique ont bien
chang. D'une part, la discipline s'est formalise, mme si la conception de systme de
chiffrement garde invitablement un aspect artisanal. En effet dans ce domaine, la seule
chose que l'on sache prouver est la rsistance face des types d'attaques connues, pour
les autres... D'autre part, la forme du texte chiffre ayant chang, les mthodes ont suivi.
Les algorithmes modernes chiffrent des suites de bits
On distingue deux types d'algorithmes, les algorithmes en blocs, qui prennent n bits en
entre et en ressortent n, et les algorithmes flots, qui chiffrent bit par bit sur le modle
du chiffre de Vernam
36
Chiffrement par bloc
Q
Le chiffrement par bloc (block cipher) est une des deux grandes catgories de
chiffrements modernes en cryptographie symtrique
Le principe consiste un dcoupage des donnes en blocs de taille gnralement fixe
(souvent une puissance de deux comprise entre 32 et 512 bits). Les blocs sont ensuite
chiffrs les uns aprs les autres. Il est possible de transformer un chiffrement de bloc en
un chiffrement par flot en utilisant un mode d'opration comme ECB (chaque bloc chiffr
indpendamment des autres) ou CFB (on chane le chiffrement en effectuant un XOR
entre les rsultats successifs).
Une liste non-exhaustive :
DES, l'anctre
AES, le remplaant de DES
Blowfish et Twofish, des alternatives AES
37
Standard de chiffrement avanc (AES)
Q
Fonctionnement
L'algorithme prend en entre un bloc de 128 bits (16 octets), la cl fait 128, 192 ou 256 bits. Les 16 octets en
entre sont permuts selon une table dfinie au pralable. Ces octets sont ensuite placs dans une matrice de
4x4 lments et ses lignes subissent une rotation vers la droite. L'incrment pour la rotation varie selon le
numro de la ligne. Une transformation linaire est ensuite applique sur la matrice, elle consiste en la
multiplication binaire de chaque lment de la matrice avec des polynmes issus d'une matrice auxiliaire, cette
multiplication est soumise des rgles spciales selon GF(28) (groupe de Galois ou corps fini). La
transformation linaire garantit une meilleure diffusion (propagation des bits dans la structure) sur plusieurs
tours. Finalement, un XOR entre la matrice et une autre matrice permet d'obtenir une matrice intermdiaire. Ces
diffrentes oprations sont rptes plusieurs fois et dfinissent un tour . Pour une cl de 128, 192 ou 256,
AES ncessite respectivement 10, 12 ou 14 tours.
Attaques sur des versions simplifies

Des attaques existent sur des versions simplifies d'AES. En 2000 une attaque sur une version
7 tours de l'AES 128 bits a t dmontre.
Une attaque similaire casse un AES de 192 ou 256 bits contenant 8 tours.
Un AES de 256 bits peut tre cass s'il est rduit 9 tours avec une contrainte supplmentaire.
En effet, cette dernire attaque repose sur le principe des related-keys (cls apparentes).
Dans une telle attaque, la cl demeure secrte mais l'attaquant peut spcifier des
transformations sur la cl et chiffrer des textes sa guise. Il peut donc lgrement modifier la
cl et regarder comment la sortie de l'AES se comporte.
38
Chiffrement de flux
Q
Le chiffrement de flux ou chiffrement par flot (stream cipher) est une des deux grandes
catgories de chiffrements modernes en cryptographie symtrique. Un chiffrement par flot arrive
traiter les donnes de longueur quelconque et n'a pas besoin de les dcouper.
Une liste non-exhaustive de chiffrements par flot :
A5, utilis dans les tlphones mobiles de type GSM pour chiffrer la communication par radio entre le mobile et l'antenne-relais la plus
proche,
RC4, le plus rpandu, conu par Ronald Rivest, utilis notamment par le protocole WEP du WiFi
Py, un algorithme rcent de Eli Biham
E0 utilis par le protocole Bluetooth
Un chiffrement par flot se prsente souvent sous la forme d'un gnrateur de nombres pseudoalatoires avec lequel on opre un XOR entre un bit la sortie du gnrateur et un bit provenant des
donnes. Toutefois, le XOR n'est pas la seule opration possible. L'opration d'addition dans un
groupe est galement envisageable (par exemple, addition entre deux octets, modulo 256). Un
chiffrement par bloc peut tre converti en un chiffrement par flot grce un mode opratoire qui
permet de chaner plusieurs blocs et traiter des donnes de taille quelconque.
Chiffrement/dchiffrement avec XOR
Soit
l'opration boolenne XOR :
Chiffrement du message M avec la cl K :
Dchiffrement du message C avec la cl K :
39
RC4
Q
RC4 est un algorithme de chiffrement flot conu en 1987 par Ronald Rivest,
l'un des inventeurs du RSA, pour les Laboratoires RSA. Il est support par
diffrentes normes, par exemple dans SSL ou encore WEP.
Principe
RC4 fonctionne de la faon suivante : la clef RC4 permet dinitialiser un tableau de
256 octets en rptant la clef autant de fois que ncessaire pour remplir le tableau.
Par la suite, des oprations trs simples sont effectues : les octets sont dplacs
dans le tableau, des additions sont effectues, etc. Le but est de mlanger autant
que possible le tableau. Au final on obtient une suite de bits qui parait tout fait
alatoire. Par la suite on peut extraire des bits par consquent pseudo-alatoires.
Crypto systmes bass sur RC4

WEP
WPA
40
Cryptographie asymtrique
Q
La cryptographie asymtrique, ou cryptographie cl publique est fonde sur

l'existence de fonctions sens unique, c'est--dire qu'il est simple d'appliquer cette
fonction un message, mais extrmement difficile de retrouver ce message partir du
moment o on l'a transform.
F est sens unique <--> Quelque soit x , y = f(x) est calculable rapidement.
X = f-1(y) se calcule en un temps trs long
En ralit, on utilise en cryptographie asymtrique des fonctions sens unique et

brche secrte. Une telle fonction est difficile inverser, moins de possder une
information particulire, tenue secrte, nomme cl prive.
Une fonction est dite trappe ou brche secrte si elle est sens unique sauf pour toute personne connaissant
un secret ou une brche, permettent de calculer un algorithme d'inversion rapide.
On appelle exponentiation modulaire de la variable a la fonction ap mod n (p fixe). Si lexistence d'un

algorithme permettant de calculer des racines p-imes modulo n est dmontr, on ne connat nanmoins pas cet
algorithme. Par contre, si on connat la factorisation de n (la brche ), on peut trs facilement inverser
l'exponentiation modulaire.
Une cl est utilise pour coder le message et une autre pour dcoder le message crypt.
Dans un systme cl publique , chaque personne dispose de deux cls: une publique et
une prive. Les messages chiffres avec l'une des cls peuvent seulement tre dchiffrs
par l'autre cl de la paire.
41
Le protocole de Diffie-Hellman
Q
La distribution dune cl secrte est le problme crucial de la cryptographie

Ainsi un chiffrement symtrique sr est fragilis dans la pratique par le problme de la
distribution des cls. La multiplication des contacts ncessaires et la prolifration des
rseaux rendent cette problmatique de plus en plus coteuse et hasardeuse
La solution est apparue en 1976 lorsque W Diffie et M Hellman proposrent une

solution au problme de lchange des cls secrtes
Cette mthode utilise une fonction sens unique pour tout le monde except pour son
crateur qui peut linverser grce la connaissance dune information particulire
Cette fonction se base sur larithmtique modulaire. Lide de base consiste calculer des
valeurs du type xa modulo p. Lopration inverse est trs difficile.
Mme si lon connat les nombres x, p et xa modulo p il est impossible en pratique de
retrouver le nombre a
La scurit de ce protocole est calculatoire

Elle se fonde sur lhypothse quavec une puissance de calcul et un temps limit, un
adversaire ne peut inverser la fonction exponentielle modulaire et donc retrouver le secret
a partir des lments changs.
a est la cl secrte xa modulo p est une information publique
42
Lalgorithme RSA
Q
RSA est le premier systme de chiffrement cl publique

Il a t concu en 1977 par Rivest, Shamir et Aldeman du MIT.
Rapidement devenu un standard international, la technique RSA a t commercialise par plus
de 400 entreprises et lon estime que plus de 400 millions de logiciels lutilisent
Le systme RSA est fond sur la difficult de factoriser des grands nombres et la
fonction sens unique utilise est une fonction puissance
Soit p et q deux grands nombres premiers. Il est trs difficile de retrouver ces 2 nombres en
connaissant leur produit n= p*p
Pour le calcul des cls publique et prive, il faut choisir deux grands nombres premiers p et q.
On calcul le produit n = pq. On choisi un grand nombre e premier avec (p-1)(q-1).
On calcul ensuite un nombre d tel que ed = 1 mod (p-1)(q-1)
Le couple (n, e) est la cl publique, d est cl prive
Le message chiffr sobtient en calculant

y = xe modulo n
Pour dchiffrer le message il suffit de calculer

z = yd modulo n qui vaut x puisque yd = xed = x modulo n
43
Fonction de hachage
Q
Une fonction de hash (anglicisme) ou fonction de hachage est une fonction qui associe un
grand ensemble de donnes un ensemble beaucoup plus petit (de l'ordre de quelques
centaines de bits) qui est caractristique de l'ensemble de dpart
Le rsultat de cette fonction est par ailleurs aussi appel somme de contrle, empreinte,
rsum de message, condens ou encore empreinte cryptographique lorsque l'on
utilise une fonction de hachage cryptographique
Une fonction de hachage cryptographique est utilise entre autres pour la signature
lectronique, et rend galement possibles des mcanismes d'authentification par mot de
passe sans stockage de ce dernier. Elle doit tre rsistante aux collisions, cest--dire que
deux messages distincts doivent avoir trs peu de chances de produire la mme signature.
De par sa nature, tout algorithme de hachage possde des collisions mais on considre le
hachage comme cryptographique si les conditions suivantes sont remplies :
il est trs difficile de trouver le contenu du message partir de la signature (attaque sur la premire
pr image)
partir d'un message donn et de sa signature, il est trs difficile de gnrer un autre message qui
donne la mme signature (attaque sur la seconde pr image)
il est trs difficile de trouver deux messages alatoires qui donnent la mme signature (rsistance aux
collisions)
Liste non exhaustive :
SHA-1 / SHA-256 / SHA-512
MD5
44
Fonction de hachage
MD5
Q
MD5 (Message Digest 5) est une fonction de hachage cryptographique qui permet
d'obtenir pour chaque message une empreinte numrique (en l'occurrence une
squence de 128 bits ou 32 caractres en notation hexadcimale) avec une
probabilit trs forte que, pour deux messages diffrents, leurs empreintes soient
diffrentes.
MD5 travaille avec un message de taille variable et produit une empreinte de 128
bits. Le message est divis en blocs de 512 bits, on applique un remplissage de
manire avoir un message dont la longueur est un multiple de 512. Le
remplissage se prsente comme suit :
on ajoute un '1' la fin du message
on ajoute une squence de '0' (le nombre de zros dpend de la longueur du
remplissage ncessaire)
on crit la taille du message, un entier cod sur 64 bits
Ce remplissage est toujours appliqu, mme si la longueur du message peut tre
divise par 512. Cette mthode de padding est semblable celle utilise dans la plupart
des algorithmes de Message Digest des familles MD
45
Applications de la cryptographie

46
Applications avec une cryptographie symtrique

Q
Chiffrement de donnes
47
Applications avec une cryptographie asymtrique

Q
Transmission scurise pour une cryptographie

symtrique
Mcanismes dauthentification
Certificats numriques
Infrastructure cl publique (IGC)
Signatures numriques
48
Applications avec une cryptographie de hachage

Q
Une fonction de hachage cryptographique est utilise

entre autres pour la signature lectronique.
Une fonction de hachage rend galement possibles
des mcanismes d'authentification par mot de passe
sans stockage de ce dernier.
Intgrit des donnes
49
Cryptographie et la longueur des cls
50
Attaques sur la cryptographie

51
Cryptographie et Cryptanalyse
Q
Lanalyse cryptographique ou Cryptanalyse a pour objet de percer lcran logique

derrire lequel sont cachs les informations chiffres
Le chiffrement place linformation dans un coffre fort virtuel dont les personnes non
autorise ignorent la combinaison
Ceux qui souhaitent accder aux informations tentent de forcer le coffre
soit en recherchant la combinaison,
soit en essayant de dcouvrir une faiblesse insouponne du coffre ou de la serrure
Et ce idalement sans laisser de trace
La cryptologie est donc un jeu deux joueurs

Le cryptologue-concepteur conoit des moyens de chiffrement offrant la meilleur
protection possible
Le cryptologue-dcrypteur utilise tous les moyens imaginables pour percer jour les
messages chiffrs intercepts.
La question est de savoir si il existe un systme de chiffrement thoriquement

indcryptable
Il en existe un dont le mathmaticien Claude Shannon dmontr lhermticit absolue.
Cest le systme dit A cl une fois alatoire utilis pour les communications au
plus haut niveau entre chefs dtats (Tlphone Rouge)
52
Classification des attaques

Q
Une attaque est souvent caractrise par les donnes qu'elle ncessite :
attaque sur texte chiffr seul (ciphertext-only) : le cryptanalyste possde des
exemplaires chiffrs des messages, il peut faire des hypothses sur les
messages originaux qu'il ne possde pas. La cryptanalyse est plus ardue de
par le manque d'informations disposition.
attaque texte clair connu (known-plaintext attack) : le cryptanalyste
possde des messages ou des parties de messages en clair ainsi que les
versions chiffres. La cryptanalyse linaire fait partie de cette catgorie.
attaque texte clair choisi (chosen-plaintext attack) : le cryptanalyste
possde des messages en clair, il peut gnrer les versions chiffres de ces
messages avec l'algorithme que l'on peut ds lors considrer comme une
bote noire. La cryptanalyse diffrentielle est un exemple d'attaque texte
clair choisi.
attaque texte chiffr choisi (chosen-ciphertext attack) : le cryptanalyste
possde des messages chiffrs et demande la version en clair de certains de
ces messages pour mener l'attaque.
53
Familles d'attaques cryptanalytiques

Q
Il existe plusieurs familles d'attaques cryptanalytiques, les plus connues tant l'analyse
frquentielle, la cryptanalyse diffrentielle et la cryptanalyse linaire.
L'analyse frquentielle : L'analyse frquentielle examine les rptitions des lettres du message chiffr
afin de trouver la cl. Elle est inefficace contre les chiffrements modernes tels que DES, RSA. Elle est
principalement utilise contre les chiffrements mono-alphabtiques qui substituent chaque lettre par
une autre et qui prsentent un biais statistique.
L'indice de concidence : L'indice de concidence permet de calculer la probabilit de rptitions des

lettres du message chiffr. Il est souvent coupl avec l'analyse frquentielle. Cela permet de savoir le
type de chiffrement d'un message (chiffrement mono-alphabtique ou poly-alphabtique) ainsi que la
longueur probable de la cl.
L'attaque par mot probable : L'attaque par mot probable consiste supposer l'existence d'un mot
probable dans le message chiffr. Il est donc possible d'en dduire la cl du message si le mot choisi
est correct. Ce type d'attaque a t mene contre la machine Enigma durant la Seconde Guerre
mondiale.
L'attaque par dictionnaire : L'attaque par dictionnaire consiste tester tous les mots d'une liste comme
mot cl. Elle est souvent couple l'attaque par force brute.
L'attaque par force brute : L'attaque par force brute consiste tester toutes les solutions possibles de
mots de passe ou de cls. C'est le seul moyen de rcuprer la cl dans les algorithmes les plus
modernes et encore inviols comme AES.
Attaque par paradoxe des anniversaires : Le paradoxe des anniversaires est un rsultat probabiliste
qui est utilis dans les attaques contre les fonctions de hachage. Ce paradoxe permet de donner une
borne suprieure de rsistance aux collisions d'une telle fonction. Cette limite est de l'ordre de la
racine de la taille de la sortie, ce qui signifie que, pour un algorithme comme MD5 (empreinte sur 128
bits), trouver une collision quelconque avec 50% de chance ncessite 264 hachages d'entres
distinctes.
54
Les stratgies dattaque

Les attaques des cryptanalystes
Aujourdhui deux techniques standards de cryptanalyse contre les schmas

cryptographiques cl secrte
La cryptanalyse linaire invente par le japonais Mitsuru Matsui
Lide est de trouver des approximations linaires entre les bits de sortie, les bits
dentre et les bits de la cl
Si certaines de ces approximations apparaissent avec une probabilit suffisante, on a
alors dmontr que la correspondance entre entre et sortie nest pas purement alatoire
Le nombre de cls a envisager pour dchiffrer le message est restreint
La cryptanalyse diffrentielle dcouverte par deux cryptologies israliens: Bihan et Shamir
Elle consiste comparer les sorties de lalgorithme quand on lui met en entre deux
messages ayant une diffrence fixe.
On tudie comme varient les sorties si les deux messages ne diffrent que par un seul bit
Si en dplaant ce bit lintrieur des messages, certains bits des sorties restent
inchangs, on a alors trouv une faille dans lalgorithme et celui-ci est attaquable
Ces deux mthodes permettent de casser trs rapidement la plupart des schmas
proposs par des non spcialistes
55
Peut-on casser les cls

Q
Les cls cryptographiques sont la base des systmes de chiffrement. Leur

longueur et la manire dont elles sont cres assurent la scurit des
systmes cryptographiques bien conus.
Un exemple marquant:
Durant lt 1998, Serge Humpich rvlait quil avait cass la cl secrte de 320
bits assurant la scurit des transactions effectues avec une carte puce
bancaire
Dbut 2000, la publication sur Internet de la cl casse faisait la une des journaux
IL existe deux types de cl

Les cls utilises dans les algorithmes de chiffrement symtriques (128 bits en
gnral)
Les cls utilises dans les algorithmes de chiffrements asymtrique (512, 1024,
2048 bits)
56

La cl est la cl
Q
Le principe de Kerckhoffs
La scurit dun systme de chiffrement nest pas fonde sur le secret de la procdure mais
uniquement sur un paramtre utilis lors de sa mise en uvre: La cl
Q
Q
La cl est donc la pierre angulaire dun systme de chiffrement

La recherche exhaustive dune cl de chiffrement revient chercher un grain de sable
sur une plage
Une plage de quelques Km de long qui contient 1016 grains de sable correspond eu prs
lespace des cls de 56 bits.
Toutefois, la recherche exhaustive par des pirates peut tre considrablement facilit, si lon
rduit lespace des cls, par exemple en dlimitant la zone de recherche sur la plage
57

Des trappes dans les cls
Une trappe, est un procd dlibr qui diminue la scurit dun systme
cryptographique.
Une cl avec une trappe est dangereuse, car elle parat incassable, alors quen
ralit ses concepteurs savent comment la casser rapidement.
Exemple
Lattaque ADK (Additional Decryption Key) contre le logiciel PGP qui autorisait un
attaquant accoler sa propre cl publique une autre, lui permettant de
dchiffr tous les messages destins au titulaire de la cl attaque.
Cette faille a t corrige en 2000, aprs sa rvlation
Fabriquer une cl dun systme symtrique revient choisir de manire

alatoire chacun des bits qui la compose
Dans la pratique on a recourt un gnrateur informatique de bits alatoires
Hors un gnrateur informatique ne peut engendrer un hasard total.
Si le gnrateur nest pas alatoire mais gnre certains type de squence avec
une plus forte probabilit, alors la cl gnre comporte des faiblesses
58

Des trappes dans les cls des systmes symtriques
On peut rduire lentropie dun gnrateur de cl symtriques

Avec un gnrateur produisant beaucoup plus souvent des 1 que des 0. Un
attaquant pourra envisager une recherche exhaustive en privilgiant les cls
comportant le plus de 1
Une autre technique consiste fixer arbitrairement la valeur dun certains
nombres de bit de la cl.
On peut gnrer des cls en utilisant une combinaison linaire de cls connues.
Il reste alors trouver les coefficients utiliss.
59

Des trappes dans les cls des systmes asymtriques
Lintroduction de trappes dans les cls des systmes asymtriques semble plus
difficile puisque ce type de cl possde dj une structure mathmatique
La gnration de telles cl seffectue sur la base de 2 grands nombres premiers.
Le hasard est ici dans le choix des grands nombres premiers utiliss
SI le gnrateur alatoire qui engendre ces nombres est biais, ce biais facilitera la
recherche des nombres premiers ayant servi llaboration de la cl
Exemple dattaque du systme RSA

On peut choisir un petit nombre et un grand nombre premier. Ainsi leur produit est plus
facilement factorisable.
En 1990, Michael Wiener met en vidence lexistence de paires de cls publiques/prive RSA
faibles . Une paire de cl RSA est faible lorsque la seule connaissance de la partie
publique permet de retrouver la partie prive en un temps raisonnable (polynomial)
Si la partie prive dune cl RSA a un nombre de chiffre 4 fois infrieur celui de la partie
publique de la cl, il existe une mthode rapide de calcul de la partie prive
Il existe actuellement des gnrateurs trappes utilisant le principe de Wiener produisant
des cls apparemment anodines mais qui sont en ralit faibles
60
Les stratgies dattaque du systme RSA

Le problme mathmatique
Q
La gnration des cls RSA sappuie sur lutilisation dun grand nombre n produit de
deux grands nombres premiers p et q : n=pq et e premier avec (p-1)(q-1)
(n, e) forment la cl publique, et d linverse de e modulo (p-1)(q-1), la cl prive
La premire faon dattaquer lalgorithme RSA est de factoriser n et de retrouver p et q
En 1999, un nombre de 512 bits a t factoris avec une puissance de calcul de 104 Mips/an
(Soit 1010 instructions/s pendant un an)
En prenant la loi de Moore comme rfrence (La puissance double tous les 18 mois) on peut
estimer que les cls de 1024 bits pourront tre casses vers lan 2010 et que les cls de 2048
bits pourront ltre vers 2030
Dautres attaques sont possibles a condition de faire des hypothses sur lexposant
secret d inverse de e modulo (p-1)(q-1)
Il est facilement possible de retrouver d partir de n et e par lattaque de Wiener lorsque d
est infrieur n1/4
Dautres attaques sont possibles si lon suppose que certains bits de la cl d sont connus
Si d a une taille de k bits, la connaissance les k/4 bits de poids faibles (les moins
significatifs) est suffisant de reconstituer compltement la cl
61

Les attaques de protocole
Mme si RSA est solide, la faon dont on lutilise nest pas neutre. Exemple
Si on envoie le mme message 3 personnes diffrentes, chiffrs avec 3 cls
RSA de ces personnes, on peut facilement retrouver les message en clair
partir des 3 messages chiffrs en utilisant la proprit de multiplicativit de la
fonction RSA:
f(X*y) = f(x) * f(y)
Il est galement risqu de chiffrer plusieurs messages lis au moyen de la
mme cl publique RSA
62

Les attaques physiques
Q
Il sagit dans ce cas dattaques se basant sur des proprits physiques de lappareil
en charge de limplmentation du protocole RSA
Attaques sur le temps de calcul
Attaques sur la consommation lectrique
Attaques par injection de fautes
Toutes ces attaques physique concernent essentiellement les cartes puce pour
lesquelles, avec un dispositif adquat, il est facile dobtenir des donnes
Attaques sur le temps de calcul

Lalgorithme de calcul de la fonction RSA est toujours le mme.
En particulier il fait intervenir une boucle pour le calcul de yd mod n (ou d est la cl
secrte). d=d1d2d3dn. Chaque bit di est gal 0 ou 1. Or dans la boucle de calcul, on
trouve une instruction du type si di = 1 alors faire tel calcul sinon ne pas le faire
En mesurant les temps de calcul pour de nombreuses valeurs initiales de y (message
crypt), on peut dduire si le calcul qui est fait lorsque di = 1 a t rellement effectu et
de la retrouver la cl secrte d bit par bit.
On peut contourner ce type dattaque en masquant les diffrences de temps de calcul
63

Les attaques physiques
Q
Attaque sur la consommation lectrique

Le mme type dattaque peut-tre effectu avec la consommation lectrique
Pour chacun des calculs, on mesure la courbe de consommation lectrique du composant
qui fait le calcul.
En analysant la statistique de la consommation lectrique chaque tape du calcul, on
dduit de proche en proche la valeur de la cl secrte d.
Des mthodes existent pour fausser le consommation lectrique et rendre cette
information inutilisable
Attaques par injection de fautes

Cette attaque a t conue en 1996 et prsente comme un nouveau modle dattaque
physique sur les cartes puce : Cryptanalyse en prsence derreurs de calcul dans les
processeurs
Elle se base sur lutilisation dune signature RSA errone puis de la signature correcte
Les nombreuses attaques prsentes montrent que

Lutilisation de RSA rclame un soin particulier, que ce soit dans le choix de la taille des
paramtres, dans celui du protocole de chiffrement ou de signature, ou mme dans la
manire dont le calcul est programm.
64
Focus sur les courbes elliptiques
Philippe Perret
65
Complexit
Temps de calcul :
1 : Temps constant
N : Linaire
Nx: polynomial
xN : exponentiel
Exemple :
Recherche dans une liste : N linaire
Tri bulle : N2 polynomial
Quick sort : N log(N)
Calcul AES : 1 (quasi constant quelle que soit la taille de la cl)
Attaque en force brute sur lAES : xN exponentiel
Calcul RSA : N2 polynomial
Attaque en force brute sur le RSA : xN exponentiel
28/02/2007
Cryptographie courbes elliptiques
66
Pour la cryptographie
Le saint Graal :
Constant pour lutilisation
Exponentiel pour lattaquant
Jamais vrai en thorie car :

Les utilisations ne sont jamais constantes
Des attaques intelligentes font que ce nest pas purement
exponentiel
En algorithmes symtriques, le Saint-Graal nest jamais trs

loin
En algorithmes asymtriques, le Saint-Graal est loin.
28/02/2007
67
Petit thorme de Fermat
a aa
m
m 1
Si :
m est premier
a nest pas multiple de m
Exemple :
2013 mod 13 = 13
Car 2013= 81920000000000000
Et 81920000000000000 mod 13 = 7 (=20-13)
28/02/2007
68
Problme de la factorisation
m = np
Q
Il nexiste pas de mthode rapide (i.e. polynomiale) pour

factoriser le produit de deux nombres premiers.
Impossible de retrouver n et p connaissant m
28/02/2007
69
Algorithme RSA
m = pq
e .d 1 mod( p 1)( q 1) d = e 1 mod(( p 1)( q 1))
c = x e mod m
x = c d mod m
Avec :
p et q sont deux nombres premiers

m est le modulo
e est lexposant public (gnralement 2x+1)
d est lexposant priv
x est la donne en clair
c est la donne chiffre
28/02/2007
70
Problme des logarithmes discrets
log b
a =b x =
log a
x
Il nexiste pas de mthode rapide (i.e. polynomiale) pour

calculer des logarithmes sur des entiers
Il est impossible de retrouver x connaissant a et b
NB : si a=1, limplication est fausse
28/02/2007
71
Algorithme Diffie-Hellman
X = g x mod n
Y = g y mod n
k = Y x mod n
k'= X
mod n
k = k ' = g xy mod n
Q
Avec :
g et n sont des donnes publiques
x et y sont les donnes prives
k est la cl change
Permet lchange de cls
28/02/2007
72
Courbes elliptiques
y + a 1 xy + a 3 y = x + a 2 x + a 4 x + a 5
2
Equation dune courbe elliptique sous la forme de

Weierstrass
Ne pas confondre avec des ellipses.
a et b permettent de dfinir la courbe elliptique
28/02/2007
73
Courbes elliptiques classiques
y = x + ax + b
2
4 a + 27 b 0
3
Utilisation de nombres rels dans un plan
28/02/2007
74
Addition de points
L= J +K
28/02/2007
75
Addition de points
xl = s x j x k
2
yl = s ( x j xl ) y j
Q
s=
y j yk
x j xk
Cas particuliers :
K=-J L=0 (point linfini)
K=J L=2J=2K (doublement du point)
Lopration est commutative (J+K=K+J)
28/02/2007
76
Doublement dun point
L = 2J
28/02/2007
77
Doublement dun point
xl = s 2 x j
yl = s ( x j xl ) y j
Q
3x j + a
2
s=
2yj
Cas particulier:
yJ = 0 2J=0 (point linfini)
28/02/2007
78
Multiplication dun point
P ( x p , y p ), Q ( x q , y q )
Q = kP
Q
Q
k est un entier.
La multiplication est une suite daddition et de
doublements
Exemple :
23 = 10111 en binaire
Q = 23P Q = 16P+4P+2P+P Q=2(2(2(2P)+P)+P+P
28/02/2007
79
Mise en uvre
Les principes ont t dicts en utilisant des nombres

rels :
Arrondis de calcul
Nombres avec des dcimales nombreuses (voire infinies)
Les courbes elliptiques peuvent sappliquer dautres

types de nombres (corps de Gallois)
En pratique :
Modulo un nombre premier
Polynmes binaires
Bases normales
28/02/2007
80
Calculs modulaires
y mod p = ( x + ax + b ) mod p
2
( 4 a + 27 b ) mod p 0
3
Q
Q
Tous les calculs se font modulo un nombre premier (p)

Laspect gomtrique prcdent est caduque mais les
quations restent valables
x et y forment un nuage de points
28/02/2007
81
Polynmes binaires
y 2 + xy = x 3 + ax + b
p =
n 1
i=0
Q
Q
ci x i
b 0
c i = 0 ou 1
Les valeurs sont en fait les coefficients de polynmes

binaires (toujours 0 ou 1)
Limplmentation est simple (shift et XOR)
Les calculs se font modulo un polynme irrductible (qui
nest pas le produit de deux polynmes)
28/02/2007
82
Bases normales
y 2 + xy = x 3 + ax + b
e=
m 1
ei
i=0
2i
avec
avec
b0
i
a
x
i
i=0
Trs mathmatique
Implmentation performante (xor, and, shift)
Calcul modulo une valeur premire
28/02/2007
83
Utilisation en cryptographie
Les courbes elliptiques sont une nouvelle mthode

dutilisation dalgorithmes existants :
DH ECDH
RSA ECRSA
DSA ECDSA

28/02/2007
84
Logarithmes discrets
y = x + ax + b
2
a et b dfinissent la courbe elliptique
Un point gnrateur G(xg,yg) est choisi sur la courbe
La cl publique est un point de la courbe P(xp,yp)
La cl prive k est un nombre alatoire
La cl publique est obtenue en multipliant le point G par la cl

prive : P = kG
Il est impossible de retrouver k connaissant P et G (problme
de logarithmes discrets)
28/02/2007
85
ECDH
X = xG
Y = yG
K = xY
K ' = yX
K = K ' = xyG
Q
Le point K ne peut tre dduite de linterception de X et

Y
La valeur de la cl est classiquement xk
28/02/2007
86
ECRSA
m = pq
e.d 1mod(( p + 1)(q + 1)) d = e1 mod(( p + 1)(q + 1))
c = e.x
x = d .c
Q
Q
p et q sont deux nombres premiers.

x est un point sur la courbe qui correspond
linformation protge.
e est une information publique.
d est une information prive.
28/02/2007
87
Comparaison des tailles de cls
Algorithme
symtrique
RSA ou DH
ECRSA ou ECDH
80
1024
160
112
2048
224
128
3072
256
192
7680
384
256
15360
521
Source : NIST
28/02/2007
88
NSA Suite B
La suite B correspond aux algorithmes standards pour

un usage gnral :
Chiffrement symtrique : AES 128 et 256
Empreinte: SHA-256 et 384
Echange de cls :
ECMQV (Menezes-Qu-Vanstone) bas sur DH
ECDH (Diffie-Hellman)
Signature : ECDSA
La Suite A correspond aux algorithmes non publis pour

systmes trs sensibles.
28/02/2007
89
Mthode et solution informatique
Socit de service et diteur de logiciels spcialis dans la scurit logique

et les rseaux
Produits : Gamme Security BOX
Actionnaire : ARKOON (100%)
Adresse :
Philippe PERRET
Directeur technique
philippe.perret@msi-sa.fr
28/02/2007
3 place Renaudel
69003 LYON
Tl : 04 78 14 04 10
Fax : 04 78 14 04 11
Web : http://www.securitybox.net
90
Conclusion
Rfrences
Q
Portail de la cryptologie :
http://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Portail_Cryptologie
91

Clu Sir Cryptograph I e

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Clu Sir Cryptograph I e

Încărcat de

Drepturi de autor:

Formate disponibile

Cryptographie

Mercredi 28 Fvrier 2007

Philippe Perret - MSI Groupe Arkoon

Serge Richard (CISSP) - IBM France

Attaques sur la cryptographie

Serge RICHARD - CISSP

La cryptographie est une des disciplines de la cryptologie

Les postulats de scurit associs la cryptographie sont :

La diffrence entre un algorithme et un protocole est une question d'interactivit : pour un

Serge RICHARD - CISSP

Lorigine des codes secrets

De lantiquit la renaissance, lart de la cryptographie met en

Lorigine des codes secrets

A Sparte, au IV me sicle avant notre re, les

Lorigine des codes secrets

Les sciences du secret

Il existe plusieurs manire dassurer la confidentialit des

La stganographie est une discipline trs ancienne qui date de

Un exemple clbre de dissimulation de message

Evolution des technologies cryptographiques

A une poque o les hauts personnages sont pour la plupart illettrs,

Lglise prohibe lusage du chiffrement dans lequel est discerne une

Les dignitaires se rservent le chiffrement pour leur propre usage en

Livrer ses penses peut tre dangereux et conduire, selon

Evolution des technologies cryptographiques

Avec linvention de limprimerie, vers 1450, lemploi du chiffre simpose et se

Lart du dchiffrement progresse galement

Les chercheurs en cryptologie sont renomms

En 1586 le mathmaticien Franais Blaise de Vignre, secrtaire de Charles IX, fait la

Evolution des technologies cryptographiques

Antoine Rossignol (1600-1682)

Evolution des technologies cryptographiques

Evolution des technologies cryptographiques

Le chiffre Franais stiole pour deux raisons :

La science cryptographique Franaise dcline :

Sous la Restauration, Louis Philippe et le second Empire, le dclin se poursuit :

Evolution des technologies cryptographiques

En 1844, la tlgraphie lectrique est adopte en remplacement du tlgraphe :

Lactivit de dcryptement renat :

Sur le plan militaire, le chemin de fer et le tlgraphe changent les conditions de

Evolution des technologies cryptographiques

La France cre en 1912 la Section du chiffre de larme

Evolution des technologies cryptographiques

Evolution des technologies cryptographiques

En janvier 1917, le service de dcryptement britannique , la Room

Les Britanniques remettent le clair du tlgramme aux autorits

Le prsident Wilson, en se rfrant au tlgramme Zimmermann,

Aprs la premire guerre Mondiale, le bureau Chiffre de la Pologne sintresse de prs

Les Bombes rapides pouvaient raliser 20 280 essais par seconde, ce

Colossus. Le premier Colossus voit le jour en Dcembre 1943 et

Le rle de la cryptanalyse dans la seconde guerre mondiale

La cryptographie aujourdhui se fonde sur les mathmatiques,

On pourrait croire que lavantage est dsormais du cot du cryptologue et

Serge RICHARD - CISSP

ct de la fonction de chiffrement, qui permet de prserver le secret

Les techniques cryptographiques

Les techniques cryptographiques de base sont les techniques qui

Ces techniques font appels des primitives cryptographiques qui

Les objets et problmes mathmatiques

La cryptographie cl secrte fait plutt usage de :

La cryptographie cl publique fait plutt usage de :

Algorithmes et Protocoles (1/2)

Algorithmes de chiffrement faibles (facilement cassables)