SlideShare une entreprise Scribd logo
Quelques définitions
La cryptologie
C'est l'étude scientifique de la cryptographie et de la cryptanalyse.
La cryptographie
C'est l'étude du chiffrement et du déchiffrement, ainsi que des procédés permettant
d'assurer l'intégrité, l'authentification et la signature.
La cryptanalyse
C'est l'étude des procédés de décryptage. Plus généralement, la cryptanalyse est la
science qui étudie la sécurité des procédés de la cryptographie.
La confidentialité
Assurer la confidentialité de données, c'est assurer que seules des personnes
autorisées auront accès à l'information. On utilise pour cela des outils de chiffrement.
Le chiffrement
C'est transformer une information pour assurer son secret.
Le déchiffrement
C'est l'action inverse du chiffrement, qui consiste à retrouver l'information initiale
contenue dans le message chiffré à l'aide de la clef secrète appropriée.
Le décryptage
C'est l'action qui consiste à "casser" le chiffrement d'une information sans avoir accès
à la clef secrète qui permet son déchiffrement normal.
L'intégrité
D'un point de vue cryptographique, assurer l'intégrité de données consiste à permettre
la détection des modifications volontaires de ces données.
L'authentification
C'est l'action qui consiste à prouver à un correspondant son identité.
La signature
C'est une donnée de taille faible qui, jointe à un message, prouve l'identité de
l'émetteur du message.
Introduction
La cryptologie existe depuis le commencement de l'histoire. Depuis l'invention de
l'écriture, le besoin de sécurité est motivée par les problèmes de confidentialité et
d'intégrité :
• on souhaite que l'information écrite ne soit accessible que par certaines
personnes;
• on souhaite que l'information écrite ne soit pas modifiée volontairement dans
un but de mystification.
Ainsi, la cryptologie progresse depuis son origine grâce à une lutte entre les
cryptographes, qui cherchent à protéger les données, et les cryptanalystes, qui
cherchent à déjouer les protections.
L'histoire fut plusieurs fois bouleversée par la sagacité des cryptanalystes, par des
indiscrétions diplomatiques ou militaires en période de tensions politiques. Le livre de
David Kahn (traduit en français) [4] raconte l'évolution de la cryptologie et ses
implications dans l'histoire jusqu'à une époque récente. L'enjeu et les conséquences
étaient tels que les recherches sont restées protégées par le secret militaire pendant
longtemps. Cela a sûrement empêché la cryptologie de progresser de manière
significative depuis le commencement de l'histoire jusqu'au vingtième siècle. La
sécurité reposait principalement sur le secret des procédés employés, et sur la
difficulté d'effectuer des essais répétitifs de manière systématique.
L'apparition de l'ordinateur a bouleversés les concepts fondamentaux de la
cryptologie. Il offrait une puissance de calcul aux cryptanalystes, leur permettant de
progresser de façon significative. Il rendait nécessaire, en télécommunication, la
standardisation des moyens cryptographiques, donc de lever le secret sur les
algorithmes utilisés. Il créait également des problèmes nouveaux comme celui du
contrôle d'accès.
Les besoins n'étaient plus uniquement diplomatiques ou militaires, ou des besoins
personnels isolés, mais devenaient des besoins publics dans la vie quotidienne. Ainsi,
la cryptologie moderne est maintenant une discipline de recherche publique de
l'informatique théorique qui traite avec des outils mathématiques sophistiqués. Les
spécialistes s'accordent en général pour affirmer que la naissance de la cryptologie
moderne fut marquée par la parution de l'article de Witfield Diffie et Martin E.
Hellman [3] en 1976.
Suivant : Etat de la cryptographie
Menu : La Cryptographie
Précédent : Bibliographie
Serge.Vaudenay@ens.fr
Quelques problèmes de cryptographie
Chiffrement
La confidentialité est historiquement le premier problème posé à la cryptographie. Il
se résout par la notion de chiffrement : un message clair est préalablement chiffré par
une fonction de chiffrement C à l'aide d'une clef chiffrante. Un déchiffrement
semblable s'opère au moyen d'une clef qui peut être différente et d'une fonction de
déchiffrement D (voir figure 1.1).
Les principales méthodes de chiffrement sont présentées dans le livre de Dorothy
Denning [chapitre 2 et 3]Den82.
Chiffrement symétrique
Dans la cryptographie conventionnelle, les clefs sont identiques, et donc gardées
secrètes. Le procédé de chiffrement est dit symétrique. Une méthode démontrée sûre
pour effectuer du chiffrement symétrique existe, elle est d'ailleurs employée dans le
téléphone rouge : le chiffre de Gilbert Vernam [10], connu en anglais sous le nom de
one-time pad. Cette méthode est présentée en annexe A. Elle est malheureusement
très lourde d'emploi, donc trop coûteuse.
La méthode la plus employée pour réaliser un procédé de chiffrement symétrique
consiste à dessiner un circuit suffisamment compliqué et avec des portes de calculs
suffisamment irrégulières pour que son analyse soit difficile. Cette méthode
empirique, a priori arbitraire, est malheureusement la seule qui soit réellement
efficace, malgré les dangers qu'elle comporte. Ainsi, le gouvernement américain a
développé en 1977 la fonction DES (Data Encryption Standard) [6] qui résiste encore
à l'acharnement des cryptanalystes. Les inventeurs de cette fonction ont gardé
malheureusement secrets les études ayant conduit à cette fonction.
Une autre fonction répandue est la fonction IDEA (International Data Encryption
Algorithm) [8] développée par Xuejia Lai, James Massey et Sean Murphy. Une étude
complète de cette fonction est disponible dans la thèse de Xuejia Lai [7]. On y trouve
notamment des arguments qui justifient de la structure de IDEA.
Chiffrement asymétrique
Dans la cryptographie à clef publique, les clefs sont différentes. La clef chiffrante est
publique, et la clef déchiffrante secrète. Le procédé est asymétrique. La notion même
de cryptographie à clef publique fut un défit mathématique lancé par Witfield Diffie
et Martin E. Hellman [3]. Ronald Rivest, Adi Shamir et Leonard Adleman furent les
premiers à apporter une solution [9]. Leur méthode, appelée RSA et aujourd'hui très
largement utilisée, repose sur une propriété de certains calculs mathématiques : il y a
des calculs simples dont la démarche à contre-sens est difficile. Par exemple, il est
très simple de multiplier deux nombres, mais il est très difficile de factoriser le
résultat. La méthode RSA, discutée en annexe A, utilise un problème du même ordre,
qui, bien qu'il n'ait pas été démontré équivalent au problème de la factorisation, lui est
moralement équivalent d'après les experts.
Ceci a été le premier pas vers le développement de procédés cryptographiques
``moralement'' équivalents à la factorisation. Ces procédés présentent l'avantage d'être
implémentable et d'avoir une sécurité conditionnée à un problème sur lequel on a
maintenant une vaste expertise. Ils présentent aussi le défaut d'être coûteux
d'implémentation, bien que les progrès récents en intégration de circuits soient
considérables, et de reposer tous sur le même problème : si l'on découvre un procédé
de factorisation efficace, tout s'écroule!
Générateurs pseudo-aléatoires
Lorsqu'une personne choisit sa clef secrète, elle doit faire intervenir le hasard. De
même, certains protocoles cryptographiques nécessitent un facteur de hasard supposé
imprédictible par les opposants éventuels. Les différents procédés demandent donc
l'aptitude à fabriquer du hasard.
L'objet cryptographique en rapport à ce problème est le générateur pseudo-aléatoire.
Il se décrit comme un automate fini dont l'état initial est la graine (ou semence). Son
état évolue à chaque génération en produisant une quantité qualifiée d'aléatoire (voir
figure 1.2). On formalise ainsi le générateur pseudo-aléatoire comme une fonction
d'un ensemble fini (l'ensemble des états) dans un ensemble plus grand (l'ensemble des
couples formés d'un état et d'un aléa).
Plusieurs solutions en rapport avec la théorie des nombres ont été proposées. La
méthode la plus couramment utilisée est encore la méthode empirique de fabriquer un
circuit dédié assez compliqué, jusqu'à ce qu'il résiste à l'expertise du cryptanalyste.
Fonction de hachage
Le problème de l'intégrité des données intervient dans différentes situations :
1. lorsque l'on partage des ressources de mémoires sur des ordinateurs : si
l'on laisse des données sur une mémoire, on aimerait pouvoir être sûr qu'elles
n'ont pas été volontairement modifiées quand on y accède à nouveau;
2. lorsque l'on communique avec une autre personne au travers d'un canal
peu sûr : on aimerait que le destinataire soit convaincu que le message n'a pas
été altéré volontairement;
3. lorsque dans un protocole, on doit choisir une donnée sans la révéler et
s'engager à ne pas la modifier (par exemple, si plusieurs participants doivent
choisir simultanément une valeur sans que le choix des uns ne dépende de
celui des autres).
Une fonction de hachage est une fonction qui réduit une liste de données de taille
arbitraire en une donnée de tailles fixe. En cryptographie, on cherche de telles
fonctions qui résolvent ces problèmes. Dans le problème 1, on peut noter le résultat
haché des données en mémoire sur un support sécurisé (son propre agenda par
exemple). Dans le problème 2, si l'on dispose d'un canal sécurisé (mais plus coûteux)
en parallèle, on peut communiquer le résultat haché par l'intermédiaire de ce canal
(voir figure 1.3). Dans le problème 3, on met en gage résultat haché de la donnée
choisie.
Les fonctions de hachage ont été étudiée de manière exhaustive dans la thèse de Bart
Preneel [12]. Les fonctions les plus répandues sont les fonctions dédiées. Par
exemple, on trouvera en Annexe A une description sommaire de la fonction SHA
(Secure Hash Algorithm) proposée par le gouvernement américain comme standard
[11].
Signature électronique
Un vieux problème posé par l'écriture de documents est celui de l'authenticité. Il est
plus ou moins résolu par des procédés de signature, de sceaux ou autre empreinte
difficilement reproductible comme les dernières inventions de la banque de France
utilisées dans le billet Antoine de Saint-Exupéry. L'ordinateur étant capable de
reproduire aussi fidèlement que possible des données numériques, une notion de
signature électronique est nécessaire.
On note que le problème d'authenticité est le prolongement de celui de l'intégrité.
Dans les problèmes 1 et 2, si l'on ne dispose pas d'un canal sûr parallèle, le problème
de l'intégrité se pose également sur la valeur hachée. La cryptographie à clefs
publique apporte une solution sous l'hypothèse d'avoir disposé d'un canal sûr au moins
une fois dans le passé : si le message est traité comme un message chiffré, le
signataire donne comme signature le message déchiffré correspondant. A l'aide de la
clef de chiffrement (publique, et transmise au préalable par le canal sûr) du signataire,
on vérifie que cela signe bien le message. Au besoin, si le message est trop grand pour
être traité par la fonction de déchiffrement, on emploie au préalable une fonction de
hachage (voir figure 1.4).
La plupart des algorithmes de signature reposent sur des problèmes moralement
équivalents à la factorisation. Ainsi, on trouvera en annexe A une description de
l'algorithme de Claus Schnorr [16][15] qui repose sur le problème du logarithme
discret.
Identification 0-knowledge
L'authentification de message, effectué par la signature électronique, ne traite pas tout
les problèmes d'authenticité. L'authentification des personnes est également
nécessaire. Lorsque deux personnes (ou deux processus) communiquent au travers
d'un réseau, elles ont besoin d'être convaincues qu'elles parlent bien avec la personne
avec laquelle elles croient parler. Pour ce faire, chacune d'elles prouve, par un
protocole interactif, qu'elle connaît un secret en rapport avec son identité, et ce, sans
révéler la moindre information sur ce secret. De tels protocoles sont dits 0-knowledge.
Les premiers protocoles 0-knowledge construits reposent sur le problème de la
factorisation, mais on voit cependant apparaître d'autres protocoles qui reposent sur
des problèmes combinatoires. Ainsi, en annexe A, on trouve une description du
protocole de Adi Shamir qui repose sur le problème PKP (Permuted Kernel Problem)
[17].
Suivant : Notion de sécurité
Menu : Etat de la cryptographie
Précédent : Etat de la cryptographie
Serge.Vaudenay@ens.fr
Suivant : Conclusion
Menu : Etat de la cryptographie
Précédent : Quelques problèmes de cryptographie
Notion de sécurité
Chaque procédé cryptographique spécifie un problème supposé difficile contre lequel
il doit offrir une certaine sécurité. En général, on ne sait pas la minorer de manière
intéressante. Le rôle des cryptanalystes est de la majorer de manière aussi
spectaculaire que possible. La sécurité correspond à la complexité, c'est-à-dire le coût
en temps, en espace de travail ou en matériel de calcul, de la résolution de problèmes
contre lesquels on souhaite se protéger. Actuellement, on constate un saut entre les
procédés destinés à un usage pratique, dont on ne sait pas montrer la sécurité
autrement que par une expertise des cryptanalystes, et les procédés théoriques que l'on
traite en théorie de la complexité.
On souligne également l'existence d'une notion de sécurité parfaite. Cette sécurité est
liée à l'incapacité théorique de casser le problème (au sens de la théorie de
l'information). Les rares exemples de protocoles qui offrent une sécurité parfaite sont
hélas trop coûteux.
En général, un ``procédé théorique'' est une famille infinie de procédés associés à un
paramètre de taille. On arrive parfois à étudier le comportement asymptotique de la
complexité des problèmes sous-jacents en fonction du paramètre. Par exemple, on
dira qu'un procédé théorique est sûr si la complexité croît exponentiellement. Une
expertise a posteriori des cryptanalystes donne ensuite une idée du paramètre à
utiliser en pratique. Hélas, ce paramètre est souvent trop grand.
Un ``procédé pratique'' (ou une instance d'un procédé théorique pour un paramètre
donné) est sûr si la complexité de son problème sous-jacent est supérieure à un seuil.
Pour des applications militaires, on pourra fixer un seuil correspondant à l'exploitation
des ressources de calcul dans le monde entier pendant un siècle. Pour des applications
domestiques, on pourra fixer un seuil correspondant à l'utilisation de machines
coûteuses pendant un semaine.
Attaques des fonctions de chiffrement
Les fonctions de chiffrement sont supposées rendre impossible le décryptage, c'est-à-
dire la récupération d'un message clair sans la clef. A fortiori, elle doivent protéger le
secret des clefs. On distingue plusieurs types d'attaques :
• les attaques à texte chiffré connu, où l'on ne connaît que les textes chiffrés
pour essayer de retrouver la clef;
• les attaques à texte clair connu, où l'on connaît des couples clairs/chiffrés;
• les attaques à texte clair choisi, où l'on suppose que l'on a un contrôle sur le
texte clair (on dispose d'une boîte noire à chiffrer et l'on cherche la clef
enfermée à l'intérieur).
Attaques des générateurs pseudo-aléatoires
Les générateurs pseudo-aléatoires sont supposés être imprédictibles. Le modèle
d'attaque courant consiste à observer les aléa engendrés pendant un certain nombre de
générations pour deviner la suite, voire l'état du générateur.
Attaque des fonctions de hachage
Dans les problèmes d'intégrité, la structure de la fonction de hachage doit rendre
difficile la fabrication de deux données différentes qui se hachent en la même valeur.
On dit alors que la fonction de hachage est sans collisions. Dans le problème de mise
en gage, on demande de plus la difficulté d'obtenir des informations sur une donnée à
partir uniquement de son résultat haché. On dit alors que la fonction est à sens unique.
Ces deux critères sont en général les spécifications minimales des fonctions de
hachage, en cryptographie.
Suivant : Conclusion
Menu : Etat de la cryptographie
Précédent : Quelques problèmes de cryptographie
Serge.Vaudenay@ens.fr
Quelques algorithmes classiques
Menu : Etat de la cryptographie
Précédent : Notion de sécurité
Conclusion
Ce rapide survol de la cryptologie montre le besoin d'objets cryptographiques. On
distingue des objets ``primitifs'' comme les fonctions de chiffrement, les fonctions de
hachage à sens unique sans collisions, et les générateurs pseudo-aléatoires
imprédictibles, et des objets plus volumineux comme les protocoles de signature et
d'identification.
La théorie des nombres apporte des solutions à la plupart de ces besoins, avec ses
avantages et ses défauts. L'avantage réside principalement dans la possibilité de
ramener la preuve de sécurité à des problèmes dont on dispose d'une expertise très
étendue. Le principal défaut, outre le problème du coût d'implémentation qui tend à
devenir secondaire, est que la sécurité de toutes ces solutions repose sur des
problèmes moralement équivalents. Cela place la sécurité de leurs applications en
porte-à-faux sur des bases de plus en plus compromises.
Des solutions plus combinatoires, indépendantes, mais démontrées de même difficulté
commencent à apporter des solutions, mais pour les objets volumineux uniquement.
Dans le domaine des primitives cryptographiques, la seule méthode efficace consiste à
dessiner des circuits dédiés. La sécurité repose uniquement sur l'expertise.
On constate l'absence de liens entre les diverses expertises, ce qui conduit à des
cryptanalyses indépendantes de certaines fonctions. Ces attaques, à de rares
exceptions près, reposent exclusivement sur des astuces complétées par de la
puissance de calcul brutale.
Dans ce mémoire, on trouvera des exemples de telles attaques, sur des fonctions
primitives dédiées et sur des problèmes de théorie des nombres. On trouvera
également une proposition de constructions d'``objets volumineux'' à partir de
primitives. De plus, on verra une nouvelle approche d'étude systématique de la
sécurité d'une fonction dédiée par une double analyse des propriétés locales des portes
logiques utilisées et des propriétés globales du circuit.
Suivant : Quelques algorithmes classiques
Menu : Etat de la cryptographie
Précédent : Notion de sécurité
Serge.Vaudenay@ens.fr
Introduction
Menu : La Cryptographie
Précédent : Table des matières
Bibliographie
1
G. Brassard. Cryptologie contemporaine, Masson, 1992.
2
D.E. Robling-Denning. Cryptography and data security. Addison-Wesley,
1982.
3
W. Diffie, M. E. Hellman. New directions in cryptography. In IEEE
Transactions on Information Theory, vol. IT-22, pp. 644-654, 1976.
4
D. Kahn. The codebreakers, Macmillan, 1967. Traduction française : la guerre
des codes, InterEdition, 1980.
5
H. van Tilborg. An introduction to cryptology, Kluwer Academic Publishers,
1988.
6
U.S. National Bureau of Standards. Data Encryption Standard. Federal
Information Processing Standard Publication 46, 1977.
7
X. Lai. On the design and security of block ciphers, ETH Series in Information
Processing 1, Hartung-Gorre Verlag Konstanz, 1992.
8
X. Lai, J. Massey, S. Murphy. Markov ciphers and differential cryptanalysis.
In Advances in Cryptology EUROCRYPT'91, Brighton, Lectures Notes in
Computer Science 547, pp. 17-38, Springer-Verlag, 1991.
9
R.L. Rivest, A. Shamir, L.M. Adleman. A method for obtaining digital
signatures and public-key cryptosystem. In Communications of the ACM, vol.
21, pp. 120-126, 1978.
10
G.S. Vernam. Cipher printing telegraph systems for secret wire and radio
telegraphic communications. In Journal of the American Institute of Electrical
Engineers, vol. 45, pp. 109-115, 1926.
11
U.S. Department of Commerce, National Institute of Standards and
Technology. Secure Hash Standard. Federal Information Processing Standard
Publication 180, 1993.
12
B. Preneel. Ph.D. thesis analysis and design of cryptographic hash functions,
Katholieke Universiteit Leuven, Departement Elektrotechniek, 1993.
13
T. Baritaud, M. Campana, P. Chauvaud, H. Gilbert. On the Security of the
Permuted Kernel Identification Problem. In Advances in Cryptology
CRYPTO'92, Santa Barbara, Lectures Notes in Computer Science 740, pp.
305-311, Springer-Verlag, 1993.
14
P.J.N. de Rooij. On the security of the Schnorr scheme unsing preprocessing.
In Advances in Cryptology EUROCRYPT'91, Brighton, Lectures Notes in
Computer Science 547, pp. 71-80, Springer-Verlag, 1991.
15
C.P. Schnorr. Efficient identification and signature for smart cards. In
Advances in Cryptology CRYPTO'89, Santa Barbara, Lectures Notes in
Computer Science 435, pp. 239-252, Springer-Verlag, 1990.
16
C.P. Schnorr. Efficient signature generation by smart cards. In Journal of
Cryptology, vol. 4, pp. 161-174, 1991.
17
A. Shamir. An efficient identification scheme based on permuted kernels. In
Advances in Cryptology CRYPTO'89, Santa Barbara, Lectures Notes in
Computer Science 435, pp. 606-609, Springer-Verlag, 1990.
18
S. Vaudenay. Mémoire de Magistère de Mathématiques Fondamentales et
Appliquées et d'Informatique, Ecole Normale Supérieure, 1993.
19
M. R. Garey, D. S. Jonhson. Computers and intractability : a guide to the
theory of NP-completeness. W. H. Freeman and Company, 1979.
Suivant : Introduction
Menu : La Cryptographie
Précédent : Table des matières
Serge.Vaudenay@ens.fr
Table des matières
• Table des matières
• Bibliographie
• Introduction
• Etat de la cryptographie
o Quelques problèmes de cryptographie
Chiffrement
Chiffrement symétrique
Chiffrement asymétrique
Générateurs pseudo-aléatoires
Fonction de hachage
Signature électronique
Identification 0-knowledge
o Notion de sécurité
Attaques des fonctions de chiffrement
Attaques des générateurs pseudo-aléatoires
Attaque des fonctions de hachage
o Conclusion
• Quelques algorithmes classiques
o Le chiffre de Gilbert Vernam
o RSA
o SHA
La fonction de chiffrement
o Signature de Claus Schnorr
o Algorithme basé sur le problème PKP
• About this document ...
Suivant : Bibliographie
Menu : La Cryptographie
Précédent : La Cryptographie
Serge.Vaudenay@ens.fr

Contenu connexe

En vedette

Enquête Viure al Pais
Enquête Viure al PaisEnquête Viure al Pais
Enquête Viure al Pais
blogVAP
 
Histoire Pondichéry 2014
Histoire Pondichéry 2014Histoire Pondichéry 2014
Histoire Pondichéry 2014
salleherodote
 
Presentation documents d'accroche habiter le monde rural
Presentation documents d'accroche habiter le monde ruralPresentation documents d'accroche habiter le monde rural
Presentation documents d'accroche habiter le monde rural
salleherodote
 
Book adb mars 2014
Book adb mars 2014Book adb mars 2014
Book adb mars 2014
Patouillette
 
Jean luc boeuf - Séance 6 - Droit administratif et institutions locales - Eu...
Jean luc boeuf  - Séance 6 - Droit administratif et institutions locales - Eu...Jean luc boeuf  - Séance 6 - Droit administratif et institutions locales - Eu...
Jean luc boeuf - Séance 6 - Droit administratif et institutions locales - Eu...
Jean Luc Boeuf
 
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
CCI Entreprendre
 
Bière sante et astuces
Bière sante et astucesBière sante et astuces
Bière sante et astuces
PintCloner
 
Jean luc boeuf - Séance 1 - Introduction
Jean luc boeuf  - Séance 1 - IntroductionJean luc boeuf  - Séance 1 - Introduction
Jean luc boeuf - Séance 1 - Introduction
Jean Luc Boeuf
 
Choisir sa literie
Choisir sa literieChoisir sa literie
Choisir sa literie
Lematelas.fr
 
L'ABC du laboratoire de langues numérique
L'ABC du laboratoire de langues numériqueL'ABC du laboratoire de langues numérique
L'ABC du laboratoire de langues numérique
eriescar
 
Vers une approche de sécurisation des entrepôts de données en utilisant les r...
Vers une approche de sécurisation des entrepôts de données en utilisant les r...Vers une approche de sécurisation des entrepôts de données en utilisant les r...
Vers une approche de sécurisation des entrepôts de données en utilisant les r...
Salah Triki
 
Paper & Tactile Design par INK studio - Pixels Festival S01E01
Paper & Tactile Design par INK studio - Pixels Festival S01E01 Paper & Tactile Design par INK studio - Pixels Festival S01E01
Paper & Tactile Design par INK studio - Pixels Festival S01E01
Pixelsfestival
 
Jean luc boeuf - Séance 5 - Les niveaux d'administration locale
Jean luc boeuf - Séance 5 - Les niveaux d'administration localeJean luc boeuf - Séance 5 - Les niveaux d'administration locale
Jean luc boeuf - Séance 5 - Les niveaux d'administration locale
Jean Luc Boeuf
 
Dp b&c summit
Dp b&c summitDp b&c summit
Dp b&c summit
RAC-F
 
Surgir, moteur de recherche des universités de Grenoble
Surgir, moteur de recherche des universités de GrenobleSurgir, moteur de recherche des universités de Grenoble
Surgir, moteur de recherche des universités de Grenoble
Romain_V
 
Vie sexuelle et affective
Vie sexuelle et affectiveVie sexuelle et affective
Vie sexuelle et affective
MNH Mutuelle Nationale des Hospitaliers
 
Ressources instituionnelles
Ressources instituionnellesRessources instituionnelles
Ressources instituionnelles
Maud Vederine
 

En vedette (20)

Enquête Viure al Pais
Enquête Viure al PaisEnquête Viure al Pais
Enquête Viure al Pais
 
Histoire Pondichéry 2014
Histoire Pondichéry 2014Histoire Pondichéry 2014
Histoire Pondichéry 2014
 
Presentation documents d'accroche habiter le monde rural
Presentation documents d'accroche habiter le monde ruralPresentation documents d'accroche habiter le monde rural
Presentation documents d'accroche habiter le monde rural
 
Book adb mars 2014
Book adb mars 2014Book adb mars 2014
Book adb mars 2014
 
Jean luc boeuf - Séance 6 - Droit administratif et institutions locales - Eu...
Jean luc boeuf  - Séance 6 - Droit administratif et institutions locales - Eu...Jean luc boeuf  - Séance 6 - Droit administratif et institutions locales - Eu...
Jean luc boeuf - Séance 6 - Droit administratif et institutions locales - Eu...
 
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
Opinionway pour cci France - Grande consultation des entrepreneurs vague 1
 
Bière sante et astuces
Bière sante et astucesBière sante et astuces
Bière sante et astuces
 
(Règlement cnosf france_vf)
(Règlement cnosf france_vf)(Règlement cnosf france_vf)
(Règlement cnosf france_vf)
 
Jean luc boeuf - Séance 1 - Introduction
Jean luc boeuf  - Séance 1 - IntroductionJean luc boeuf  - Séance 1 - Introduction
Jean luc boeuf - Séance 1 - Introduction
 
Choisir sa literie
Choisir sa literieChoisir sa literie
Choisir sa literie
 
L'ABC du laboratoire de langues numérique
L'ABC du laboratoire de langues numériqueL'ABC du laboratoire de langues numérique
L'ABC du laboratoire de langues numérique
 
Par15
Par15Par15
Par15
 
Vers une approche de sécurisation des entrepôts de données en utilisant les r...
Vers une approche de sécurisation des entrepôts de données en utilisant les r...Vers une approche de sécurisation des entrepôts de données en utilisant les r...
Vers une approche de sécurisation des entrepôts de données en utilisant les r...
 
Paper & Tactile Design par INK studio - Pixels Festival S01E01
Paper & Tactile Design par INK studio - Pixels Festival S01E01 Paper & Tactile Design par INK studio - Pixels Festival S01E01
Paper & Tactile Design par INK studio - Pixels Festival S01E01
 
Jean luc boeuf - Séance 5 - Les niveaux d'administration locale
Jean luc boeuf - Séance 5 - Les niveaux d'administration localeJean luc boeuf - Séance 5 - Les niveaux d'administration locale
Jean luc boeuf - Séance 5 - Les niveaux d'administration locale
 
Digitaleo(1)
Digitaleo(1)Digitaleo(1)
Digitaleo(1)
 
Dp b&c summit
Dp b&c summitDp b&c summit
Dp b&c summit
 
Surgir, moteur de recherche des universités de Grenoble
Surgir, moteur de recherche des universités de GrenobleSurgir, moteur de recherche des universités de Grenoble
Surgir, moteur de recherche des universités de Grenoble
 
Vie sexuelle et affective
Vie sexuelle et affectiveVie sexuelle et affective
Vie sexuelle et affective
 
Ressources instituionnelles
Ressources instituionnellesRessources instituionnelles
Ressources instituionnelles
 

Similaire à Quelques

Données critiques et blockchain - sajida zouarhi - juillet 2016
Données critiques et blockchain  - sajida zouarhi - juillet 2016Données critiques et blockchain  - sajida zouarhi - juillet 2016
Données critiques et blockchain - sajida zouarhi - juillet 2016
Sajida ZOUARHI
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
ColloqueRISQ
 
CryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.pptCryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.ppt
SaraNamane
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf
daniel896285
 
SéCurité Fonctions Chaotiques
SéCurité Fonctions ChaotiquesSéCurité Fonctions Chaotiques
SéCurité Fonctions Chaotiques
Valentin Paquot
 
Le cryptage et le décryptage
Le cryptage et le décryptageLe cryptage et le décryptage
Le cryptage et le décryptage
SKYWARE COMPAGNY
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
ssuserbd922f
 
Quest-ce-que-le-chiffrement_importance.pptx
Quest-ce-que-le-chiffrement_importance.pptxQuest-ce-que-le-chiffrement_importance.pptx
Quest-ce-que-le-chiffrement_importance.pptx
evannguema150
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4
Raouf Jaziri
 
crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdf
kohay75604
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
ssuserdd27481
 
Web3 Culture
Web3 CultureWeb3 Culture
Web3 Culture
heaven
 
Degooglisons Internet - Framasoft
Degooglisons Internet - FramasoftDegooglisons Internet - Framasoft
Degooglisons Internet - Framasoft
Garlann Nizon
 
Inforum ProLibre 26 novembre 2003
Inforum ProLibre 26 novembre 2003Inforum ProLibre 26 novembre 2003
Inforum ProLibre 26 novembre 2003
robertpluss
 
Etude et implémentation de quelque algorithme de chiffrement et de signature
Etude et implémentation de quelque algorithme de chiffrement et de signatureEtude et implémentation de quelque algorithme de chiffrement et de signature
Etude et implémentation de quelque algorithme de chiffrement et de signature
Yassine Nasser
 
Signature électronique par SSL Europa
Signature électronique par SSL EuropaSignature électronique par SSL Europa
Signature électronique par SSL Europa
ssleuropa
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
Sylvain Maret
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
Kiwi Backup
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
ssuserc72852
 

Similaire à Quelques (20)

Données critiques et blockchain - sajida zouarhi - juillet 2016
Données critiques et blockchain  - sajida zouarhi - juillet 2016Données critiques et blockchain  - sajida zouarhi - juillet 2016
Données critiques et blockchain - sajida zouarhi - juillet 2016
 
Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!Travailler TOUS ensemble lors d’une cybercrise!
Travailler TOUS ensemble lors d’une cybercrise!
 
CryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.pptCryptoChapitre1-2-3.ppt
CryptoChapitre1-2-3.ppt
 
0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf0673-la-securite-des-reseaux-informatique.pdf
0673-la-securite-des-reseaux-informatique.pdf
 
SéCurité Fonctions Chaotiques
SéCurité Fonctions ChaotiquesSéCurité Fonctions Chaotiques
SéCurité Fonctions Chaotiques
 
Le cryptage et le décryptage
Le cryptage et le décryptageLe cryptage et le décryptage
Le cryptage et le décryptage
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
 
Quest-ce-que-le-chiffrement_importance.pptx
Quest-ce-que-le-chiffrement_importance.pptxQuest-ce-que-le-chiffrement_importance.pptx
Quest-ce-que-le-chiffrement_importance.pptx
 
Chapitre 4
Chapitre 4Chapitre 4
Chapitre 4
 
crypto1.pdf
crypto1.pdfcrypto1.pdf
crypto1.pdf
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Web3 Culture
Web3 CultureWeb3 Culture
Web3 Culture
 
Degooglisons Internet - Framasoft
Degooglisons Internet - FramasoftDegooglisons Internet - Framasoft
Degooglisons Internet - Framasoft
 
Inforum ProLibre 26 novembre 2003
Inforum ProLibre 26 novembre 2003Inforum ProLibre 26 novembre 2003
Inforum ProLibre 26 novembre 2003
 
Tp rsa1
Tp rsa1Tp rsa1
Tp rsa1
 
Etude et implémentation de quelque algorithme de chiffrement et de signature
Etude et implémentation de quelque algorithme de chiffrement et de signatureEtude et implémentation de quelque algorithme de chiffrement et de signature
Etude et implémentation de quelque algorithme de chiffrement et de signature
 
Signature électronique par SSL Europa
Signature électronique par SSL EuropaSignature électronique par SSL Europa
Signature électronique par SSL Europa
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendances
 
Comment se protéger de locky et petya
Comment se protéger de locky et petyaComment se protéger de locky et petya
Comment se protéger de locky et petya
 
sécurité informatique notion de securité
sécurité informatique notion de securitésécurité informatique notion de securité
sécurité informatique notion de securité
 

Quelques

  • 1. Quelques définitions La cryptologie C'est l'étude scientifique de la cryptographie et de la cryptanalyse. La cryptographie C'est l'étude du chiffrement et du déchiffrement, ainsi que des procédés permettant d'assurer l'intégrité, l'authentification et la signature. La cryptanalyse C'est l'étude des procédés de décryptage. Plus généralement, la cryptanalyse est la science qui étudie la sécurité des procédés de la cryptographie. La confidentialité Assurer la confidentialité de données, c'est assurer que seules des personnes autorisées auront accès à l'information. On utilise pour cela des outils de chiffrement. Le chiffrement C'est transformer une information pour assurer son secret. Le déchiffrement C'est l'action inverse du chiffrement, qui consiste à retrouver l'information initiale contenue dans le message chiffré à l'aide de la clef secrète appropriée. Le décryptage C'est l'action qui consiste à "casser" le chiffrement d'une information sans avoir accès à la clef secrète qui permet son déchiffrement normal. L'intégrité D'un point de vue cryptographique, assurer l'intégrité de données consiste à permettre la détection des modifications volontaires de ces données. L'authentification C'est l'action qui consiste à prouver à un correspondant son identité. La signature C'est une donnée de taille faible qui, jointe à un message, prouve l'identité de l'émetteur du message.
  • 2. Introduction La cryptologie existe depuis le commencement de l'histoire. Depuis l'invention de l'écriture, le besoin de sécurité est motivée par les problèmes de confidentialité et d'intégrité : • on souhaite que l'information écrite ne soit accessible que par certaines personnes; • on souhaite que l'information écrite ne soit pas modifiée volontairement dans un but de mystification. Ainsi, la cryptologie progresse depuis son origine grâce à une lutte entre les cryptographes, qui cherchent à protéger les données, et les cryptanalystes, qui cherchent à déjouer les protections. L'histoire fut plusieurs fois bouleversée par la sagacité des cryptanalystes, par des indiscrétions diplomatiques ou militaires en période de tensions politiques. Le livre de David Kahn (traduit en français) [4] raconte l'évolution de la cryptologie et ses implications dans l'histoire jusqu'à une époque récente. L'enjeu et les conséquences étaient tels que les recherches sont restées protégées par le secret militaire pendant longtemps. Cela a sûrement empêché la cryptologie de progresser de manière significative depuis le commencement de l'histoire jusqu'au vingtième siècle. La sécurité reposait principalement sur le secret des procédés employés, et sur la difficulté d'effectuer des essais répétitifs de manière systématique. L'apparition de l'ordinateur a bouleversés les concepts fondamentaux de la cryptologie. Il offrait une puissance de calcul aux cryptanalystes, leur permettant de progresser de façon significative. Il rendait nécessaire, en télécommunication, la standardisation des moyens cryptographiques, donc de lever le secret sur les algorithmes utilisés. Il créait également des problèmes nouveaux comme celui du contrôle d'accès. Les besoins n'étaient plus uniquement diplomatiques ou militaires, ou des besoins personnels isolés, mais devenaient des besoins publics dans la vie quotidienne. Ainsi, la cryptologie moderne est maintenant une discipline de recherche publique de l'informatique théorique qui traite avec des outils mathématiques sophistiqués. Les spécialistes s'accordent en général pour affirmer que la naissance de la cryptologie moderne fut marquée par la parution de l'article de Witfield Diffie et Martin E. Hellman [3] en 1976. Suivant : Etat de la cryptographie Menu : La Cryptographie Précédent : Bibliographie Serge.Vaudenay@ens.fr
  • 3. Quelques problèmes de cryptographie Chiffrement La confidentialité est historiquement le premier problème posé à la cryptographie. Il se résout par la notion de chiffrement : un message clair est préalablement chiffré par une fonction de chiffrement C à l'aide d'une clef chiffrante. Un déchiffrement semblable s'opère au moyen d'une clef qui peut être différente et d'une fonction de déchiffrement D (voir figure 1.1). Les principales méthodes de chiffrement sont présentées dans le livre de Dorothy Denning [chapitre 2 et 3]Den82. Chiffrement symétrique Dans la cryptographie conventionnelle, les clefs sont identiques, et donc gardées secrètes. Le procédé de chiffrement est dit symétrique. Une méthode démontrée sûre pour effectuer du chiffrement symétrique existe, elle est d'ailleurs employée dans le téléphone rouge : le chiffre de Gilbert Vernam [10], connu en anglais sous le nom de one-time pad. Cette méthode est présentée en annexe A. Elle est malheureusement très lourde d'emploi, donc trop coûteuse. La méthode la plus employée pour réaliser un procédé de chiffrement symétrique consiste à dessiner un circuit suffisamment compliqué et avec des portes de calculs suffisamment irrégulières pour que son analyse soit difficile. Cette méthode empirique, a priori arbitraire, est malheureusement la seule qui soit réellement efficace, malgré les dangers qu'elle comporte. Ainsi, le gouvernement américain a développé en 1977 la fonction DES (Data Encryption Standard) [6] qui résiste encore à l'acharnement des cryptanalystes. Les inventeurs de cette fonction ont gardé malheureusement secrets les études ayant conduit à cette fonction. Une autre fonction répandue est la fonction IDEA (International Data Encryption Algorithm) [8] développée par Xuejia Lai, James Massey et Sean Murphy. Une étude complète de cette fonction est disponible dans la thèse de Xuejia Lai [7]. On y trouve notamment des arguments qui justifient de la structure de IDEA.
  • 4. Chiffrement asymétrique Dans la cryptographie à clef publique, les clefs sont différentes. La clef chiffrante est publique, et la clef déchiffrante secrète. Le procédé est asymétrique. La notion même de cryptographie à clef publique fut un défit mathématique lancé par Witfield Diffie et Martin E. Hellman [3]. Ronald Rivest, Adi Shamir et Leonard Adleman furent les premiers à apporter une solution [9]. Leur méthode, appelée RSA et aujourd'hui très largement utilisée, repose sur une propriété de certains calculs mathématiques : il y a des calculs simples dont la démarche à contre-sens est difficile. Par exemple, il est très simple de multiplier deux nombres, mais il est très difficile de factoriser le résultat. La méthode RSA, discutée en annexe A, utilise un problème du même ordre, qui, bien qu'il n'ait pas été démontré équivalent au problème de la factorisation, lui est moralement équivalent d'après les experts. Ceci a été le premier pas vers le développement de procédés cryptographiques ``moralement'' équivalents à la factorisation. Ces procédés présentent l'avantage d'être implémentable et d'avoir une sécurité conditionnée à un problème sur lequel on a maintenant une vaste expertise. Ils présentent aussi le défaut d'être coûteux d'implémentation, bien que les progrès récents en intégration de circuits soient considérables, et de reposer tous sur le même problème : si l'on découvre un procédé de factorisation efficace, tout s'écroule! Générateurs pseudo-aléatoires Lorsqu'une personne choisit sa clef secrète, elle doit faire intervenir le hasard. De même, certains protocoles cryptographiques nécessitent un facteur de hasard supposé imprédictible par les opposants éventuels. Les différents procédés demandent donc l'aptitude à fabriquer du hasard. L'objet cryptographique en rapport à ce problème est le générateur pseudo-aléatoire. Il se décrit comme un automate fini dont l'état initial est la graine (ou semence). Son état évolue à chaque génération en produisant une quantité qualifiée d'aléatoire (voir figure 1.2). On formalise ainsi le générateur pseudo-aléatoire comme une fonction d'un ensemble fini (l'ensemble des états) dans un ensemble plus grand (l'ensemble des couples formés d'un état et d'un aléa). Plusieurs solutions en rapport avec la théorie des nombres ont été proposées. La méthode la plus couramment utilisée est encore la méthode empirique de fabriquer un circuit dédié assez compliqué, jusqu'à ce qu'il résiste à l'expertise du cryptanalyste.
  • 5. Fonction de hachage Le problème de l'intégrité des données intervient dans différentes situations : 1. lorsque l'on partage des ressources de mémoires sur des ordinateurs : si l'on laisse des données sur une mémoire, on aimerait pouvoir être sûr qu'elles n'ont pas été volontairement modifiées quand on y accède à nouveau; 2. lorsque l'on communique avec une autre personne au travers d'un canal peu sûr : on aimerait que le destinataire soit convaincu que le message n'a pas été altéré volontairement; 3. lorsque dans un protocole, on doit choisir une donnée sans la révéler et s'engager à ne pas la modifier (par exemple, si plusieurs participants doivent choisir simultanément une valeur sans que le choix des uns ne dépende de celui des autres). Une fonction de hachage est une fonction qui réduit une liste de données de taille arbitraire en une donnée de tailles fixe. En cryptographie, on cherche de telles fonctions qui résolvent ces problèmes. Dans le problème 1, on peut noter le résultat haché des données en mémoire sur un support sécurisé (son propre agenda par exemple). Dans le problème 2, si l'on dispose d'un canal sécurisé (mais plus coûteux) en parallèle, on peut communiquer le résultat haché par l'intermédiaire de ce canal (voir figure 1.3). Dans le problème 3, on met en gage résultat haché de la donnée choisie. Les fonctions de hachage ont été étudiée de manière exhaustive dans la thèse de Bart Preneel [12]. Les fonctions les plus répandues sont les fonctions dédiées. Par exemple, on trouvera en Annexe A une description sommaire de la fonction SHA (Secure Hash Algorithm) proposée par le gouvernement américain comme standard [11]. Signature électronique Un vieux problème posé par l'écriture de documents est celui de l'authenticité. Il est plus ou moins résolu par des procédés de signature, de sceaux ou autre empreinte
  • 6. difficilement reproductible comme les dernières inventions de la banque de France utilisées dans le billet Antoine de Saint-Exupéry. L'ordinateur étant capable de reproduire aussi fidèlement que possible des données numériques, une notion de signature électronique est nécessaire. On note que le problème d'authenticité est le prolongement de celui de l'intégrité. Dans les problèmes 1 et 2, si l'on ne dispose pas d'un canal sûr parallèle, le problème de l'intégrité se pose également sur la valeur hachée. La cryptographie à clefs publique apporte une solution sous l'hypothèse d'avoir disposé d'un canal sûr au moins une fois dans le passé : si le message est traité comme un message chiffré, le signataire donne comme signature le message déchiffré correspondant. A l'aide de la clef de chiffrement (publique, et transmise au préalable par le canal sûr) du signataire, on vérifie que cela signe bien le message. Au besoin, si le message est trop grand pour être traité par la fonction de déchiffrement, on emploie au préalable une fonction de hachage (voir figure 1.4). La plupart des algorithmes de signature reposent sur des problèmes moralement équivalents à la factorisation. Ainsi, on trouvera en annexe A une description de l'algorithme de Claus Schnorr [16][15] qui repose sur le problème du logarithme discret. Identification 0-knowledge L'authentification de message, effectué par la signature électronique, ne traite pas tout les problèmes d'authenticité. L'authentification des personnes est également nécessaire. Lorsque deux personnes (ou deux processus) communiquent au travers d'un réseau, elles ont besoin d'être convaincues qu'elles parlent bien avec la personne avec laquelle elles croient parler. Pour ce faire, chacune d'elles prouve, par un protocole interactif, qu'elle connaît un secret en rapport avec son identité, et ce, sans révéler la moindre information sur ce secret. De tels protocoles sont dits 0-knowledge. Les premiers protocoles 0-knowledge construits reposent sur le problème de la factorisation, mais on voit cependant apparaître d'autres protocoles qui reposent sur des problèmes combinatoires. Ainsi, en annexe A, on trouve une description du
  • 7. protocole de Adi Shamir qui repose sur le problème PKP (Permuted Kernel Problem) [17]. Suivant : Notion de sécurité Menu : Etat de la cryptographie Précédent : Etat de la cryptographie Serge.Vaudenay@ens.fr Suivant : Conclusion Menu : Etat de la cryptographie Précédent : Quelques problèmes de cryptographie Notion de sécurité Chaque procédé cryptographique spécifie un problème supposé difficile contre lequel il doit offrir une certaine sécurité. En général, on ne sait pas la minorer de manière intéressante. Le rôle des cryptanalystes est de la majorer de manière aussi spectaculaire que possible. La sécurité correspond à la complexité, c'est-à-dire le coût en temps, en espace de travail ou en matériel de calcul, de la résolution de problèmes contre lesquels on souhaite se protéger. Actuellement, on constate un saut entre les procédés destinés à un usage pratique, dont on ne sait pas montrer la sécurité autrement que par une expertise des cryptanalystes, et les procédés théoriques que l'on traite en théorie de la complexité. On souligne également l'existence d'une notion de sécurité parfaite. Cette sécurité est liée à l'incapacité théorique de casser le problème (au sens de la théorie de l'information). Les rares exemples de protocoles qui offrent une sécurité parfaite sont hélas trop coûteux. En général, un ``procédé théorique'' est une famille infinie de procédés associés à un paramètre de taille. On arrive parfois à étudier le comportement asymptotique de la complexité des problèmes sous-jacents en fonction du paramètre. Par exemple, on dira qu'un procédé théorique est sûr si la complexité croît exponentiellement. Une expertise a posteriori des cryptanalystes donne ensuite une idée du paramètre à utiliser en pratique. Hélas, ce paramètre est souvent trop grand. Un ``procédé pratique'' (ou une instance d'un procédé théorique pour un paramètre donné) est sûr si la complexité de son problème sous-jacent est supérieure à un seuil. Pour des applications militaires, on pourra fixer un seuil correspondant à l'exploitation des ressources de calcul dans le monde entier pendant un siècle. Pour des applications domestiques, on pourra fixer un seuil correspondant à l'utilisation de machines coûteuses pendant un semaine. Attaques des fonctions de chiffrement
  • 8. Les fonctions de chiffrement sont supposées rendre impossible le décryptage, c'est-à- dire la récupération d'un message clair sans la clef. A fortiori, elle doivent protéger le secret des clefs. On distingue plusieurs types d'attaques : • les attaques à texte chiffré connu, où l'on ne connaît que les textes chiffrés pour essayer de retrouver la clef; • les attaques à texte clair connu, où l'on connaît des couples clairs/chiffrés; • les attaques à texte clair choisi, où l'on suppose que l'on a un contrôle sur le texte clair (on dispose d'une boîte noire à chiffrer et l'on cherche la clef enfermée à l'intérieur). Attaques des générateurs pseudo-aléatoires Les générateurs pseudo-aléatoires sont supposés être imprédictibles. Le modèle d'attaque courant consiste à observer les aléa engendrés pendant un certain nombre de générations pour deviner la suite, voire l'état du générateur. Attaque des fonctions de hachage Dans les problèmes d'intégrité, la structure de la fonction de hachage doit rendre difficile la fabrication de deux données différentes qui se hachent en la même valeur. On dit alors que la fonction de hachage est sans collisions. Dans le problème de mise en gage, on demande de plus la difficulté d'obtenir des informations sur une donnée à partir uniquement de son résultat haché. On dit alors que la fonction est à sens unique. Ces deux critères sont en général les spécifications minimales des fonctions de hachage, en cryptographie. Suivant : Conclusion Menu : Etat de la cryptographie Précédent : Quelques problèmes de cryptographie Serge.Vaudenay@ens.fr Quelques algorithmes classiques Menu : Etat de la cryptographie Précédent : Notion de sécurité Conclusion Ce rapide survol de la cryptologie montre le besoin d'objets cryptographiques. On distingue des objets ``primitifs'' comme les fonctions de chiffrement, les fonctions de hachage à sens unique sans collisions, et les générateurs pseudo-aléatoires imprédictibles, et des objets plus volumineux comme les protocoles de signature et d'identification.
  • 9. La théorie des nombres apporte des solutions à la plupart de ces besoins, avec ses avantages et ses défauts. L'avantage réside principalement dans la possibilité de ramener la preuve de sécurité à des problèmes dont on dispose d'une expertise très étendue. Le principal défaut, outre le problème du coût d'implémentation qui tend à devenir secondaire, est que la sécurité de toutes ces solutions repose sur des problèmes moralement équivalents. Cela place la sécurité de leurs applications en porte-à-faux sur des bases de plus en plus compromises. Des solutions plus combinatoires, indépendantes, mais démontrées de même difficulté commencent à apporter des solutions, mais pour les objets volumineux uniquement. Dans le domaine des primitives cryptographiques, la seule méthode efficace consiste à dessiner des circuits dédiés. La sécurité repose uniquement sur l'expertise. On constate l'absence de liens entre les diverses expertises, ce qui conduit à des cryptanalyses indépendantes de certaines fonctions. Ces attaques, à de rares exceptions près, reposent exclusivement sur des astuces complétées par de la puissance de calcul brutale. Dans ce mémoire, on trouvera des exemples de telles attaques, sur des fonctions primitives dédiées et sur des problèmes de théorie des nombres. On trouvera également une proposition de constructions d'``objets volumineux'' à partir de primitives. De plus, on verra une nouvelle approche d'étude systématique de la sécurité d'une fonction dédiée par une double analyse des propriétés locales des portes logiques utilisées et des propriétés globales du circuit. Suivant : Quelques algorithmes classiques Menu : Etat de la cryptographie Précédent : Notion de sécurité Serge.Vaudenay@ens.fr Introduction Menu : La Cryptographie Précédent : Table des matières Bibliographie 1 G. Brassard. Cryptologie contemporaine, Masson, 1992. 2 D.E. Robling-Denning. Cryptography and data security. Addison-Wesley, 1982. 3 W. Diffie, M. E. Hellman. New directions in cryptography. In IEEE Transactions on Information Theory, vol. IT-22, pp. 644-654, 1976. 4
  • 10. D. Kahn. The codebreakers, Macmillan, 1967. Traduction française : la guerre des codes, InterEdition, 1980. 5 H. van Tilborg. An introduction to cryptology, Kluwer Academic Publishers, 1988. 6 U.S. National Bureau of Standards. Data Encryption Standard. Federal Information Processing Standard Publication 46, 1977. 7 X. Lai. On the design and security of block ciphers, ETH Series in Information Processing 1, Hartung-Gorre Verlag Konstanz, 1992. 8 X. Lai, J. Massey, S. Murphy. Markov ciphers and differential cryptanalysis. In Advances in Cryptology EUROCRYPT'91, Brighton, Lectures Notes in Computer Science 547, pp. 17-38, Springer-Verlag, 1991. 9 R.L. Rivest, A. Shamir, L.M. Adleman. A method for obtaining digital signatures and public-key cryptosystem. In Communications of the ACM, vol. 21, pp. 120-126, 1978. 10 G.S. Vernam. Cipher printing telegraph systems for secret wire and radio telegraphic communications. In Journal of the American Institute of Electrical Engineers, vol. 45, pp. 109-115, 1926. 11 U.S. Department of Commerce, National Institute of Standards and Technology. Secure Hash Standard. Federal Information Processing Standard Publication 180, 1993. 12 B. Preneel. Ph.D. thesis analysis and design of cryptographic hash functions, Katholieke Universiteit Leuven, Departement Elektrotechniek, 1993. 13 T. Baritaud, M. Campana, P. Chauvaud, H. Gilbert. On the Security of the Permuted Kernel Identification Problem. In Advances in Cryptology CRYPTO'92, Santa Barbara, Lectures Notes in Computer Science 740, pp. 305-311, Springer-Verlag, 1993. 14 P.J.N. de Rooij. On the security of the Schnorr scheme unsing preprocessing. In Advances in Cryptology EUROCRYPT'91, Brighton, Lectures Notes in Computer Science 547, pp. 71-80, Springer-Verlag, 1991. 15 C.P. Schnorr. Efficient identification and signature for smart cards. In Advances in Cryptology CRYPTO'89, Santa Barbara, Lectures Notes in Computer Science 435, pp. 239-252, Springer-Verlag, 1990. 16 C.P. Schnorr. Efficient signature generation by smart cards. In Journal of Cryptology, vol. 4, pp. 161-174, 1991. 17 A. Shamir. An efficient identification scheme based on permuted kernels. In Advances in Cryptology CRYPTO'89, Santa Barbara, Lectures Notes in Computer Science 435, pp. 606-609, Springer-Verlag, 1990.
  • 11. 18 S. Vaudenay. Mémoire de Magistère de Mathématiques Fondamentales et Appliquées et d'Informatique, Ecole Normale Supérieure, 1993. 19 M. R. Garey, D. S. Jonhson. Computers and intractability : a guide to the theory of NP-completeness. W. H. Freeman and Company, 1979. Suivant : Introduction Menu : La Cryptographie Précédent : Table des matières Serge.Vaudenay@ens.fr Table des matières • Table des matières • Bibliographie • Introduction • Etat de la cryptographie o Quelques problèmes de cryptographie Chiffrement Chiffrement symétrique Chiffrement asymétrique Générateurs pseudo-aléatoires Fonction de hachage Signature électronique Identification 0-knowledge o Notion de sécurité Attaques des fonctions de chiffrement Attaques des générateurs pseudo-aléatoires Attaque des fonctions de hachage o Conclusion • Quelques algorithmes classiques o Le chiffre de Gilbert Vernam o RSA o SHA La fonction de chiffrement o Signature de Claus Schnorr o Algorithme basé sur le problème PKP • About this document ... Suivant : Bibliographie Menu : La Cryptographie Précédent : La Cryptographie