Cours

Initiation la cryptographie : thorie et pratique
Houda FERRADI
Universit Paris 13 Villetaneuse
7 janvier 2016
Houda FERRADI (Universit Paris 13 Villetaneuse) Initiation la cryptographie : thorie et pratique 7 janvier 2016 1 / 38
Chapitre 1 : But du cours
Comprendre les problmatiques de cryptographie lies aux systmes dinformations.

Comprendre les principaux systmes cryptographiques modernes utiliss pour la
transmission et le stockage scuris de donnes.
Comment analyser la scurit des systmes cryptographiques.
Introduction aux infrastructures pour les systmes cl publique et cl secrte.
Notion de scurit
La terminologie de la cryptographie
Cruptos : Cach.
Graphein : Ecrire
cryptologie==science du secret
La cryptologie : Mcanisme permettant de camoufler des messages i.e., de le rendre
incomprhensible pour quiconque nest pas autoris. Elle fait partie dune ensemble de
thories et de techniques lies la transmission de linformation (thorie des ondes
lectromagntiques, thorie du signal, thorie des codes correcteurs derreurs, thorie
de linformation, thorie de la complexit,...).
Cryptologie = Cryptographie + Cryptanalyse
La cryptographie : est lart de rendre inintelligible, de crypter, de coder, un message
pour ceux qui ne sont pas habilits en prendre connaissance.
La cryptanalyse : art de "casser" des cryptosystmes.
Protocole : description de lensemble des donnes ncessaires pour mettre en place le
mcanisme de cryptographie : ensemble des messages clairs, des messages crypts, des
cls possibles, des transformations.
Signature s : Chaine de caractres associes un message donn (et aussi
possiblement une entit) et le caractrisant.
Remarque
Cryptologie Scurit
La terminologie de la cryptographie
Le chiffrement, not Ek , est laction de chiffrer un message en clair, not M, en un

message chiffr, not C , et cela de faon ce quil soit impossible de retrouver le
message en clair partir du message chiffr sans la cl ;
cette cl sappelle la cl secrte et elle est unique ;
laction inverse du chiffrement est le dchiffrement. Cette action seffectue
uniquement en possession de la cl secrte ;
le dchiffrement dun message chiffr sans la cl secrte sappelle le dcryptage ;
un systme de chiffrement sappelle un cryptosystme ;
un cryptographe est une personne qui conoit des cryptosystmes ;
un cryptanaliste est une personne qui tente de casser les cryptosystmes.
Crypto : Bref Histoire de codes secrets
Les 3 ages de la crypto : jusquau 20e siecle (fin de la 1ere guerre mondiale)
Lage artisanal :
1 Hiroglyphes : Pour taler son savoir, pour cacher lemplacement des trsors.
2 Ancien Testament : Code atbash : a=z (taw), b=y (shin)> k=l (lamed) et ainsi de
suite, inversant lalphabet...
3 Transposition Sparte ou scytale (5me sicle av JC)
4 Substitution Csar (1er siecle av JC), Vigenere (XVI eme).
Cryptanalyse des codes mono et poly alphabtiques :
5 El Kindi (IX me sicle)
6 Babbage/Kasiski (XIXeme sicle).
Mcanisation de la cryptographie et de la cryptanalyse :
7 Enigma (1918)
8 Vers un chiffrement parfait : Vernam, thorie de linformation
9 Seconde guerre mondiale : Plusieurs livres marqus lencre invisible, dplacements
des navires japonais dans le Pacifique.
Crypto : Historique
Lage technique : Le 20e siecle (1919-1975) : Cryptosystmes symtriques

I.e. conventionnels ou cl secrte
Mme cl pour chiffrement / dchiffrement ; doit tre secrte
N personnes N (N-1)/2 cls
Cls courtes ; plus rapide
Lage scientifique partir de 1976 : W. Diffie et M. Hellman introduisent crypto
cl publique (ou asymtrique) :
Cl de chiffrement est publique (i.e., connue de tous)
Seul cl dchiffrement reste secrte
N personnes 2 N cls
1978 : Premier systme chiffrement cl publique (RSA) : RSA est un des seuls
rsister la cryptanalyse.
Lage artisanal
Une forme de transposition utilise le premier dispositif de cryptographie militaire connu, la
scytale spartiate, remontant au Ve sicle avant J.-C. La scytale consiste en un bton de
bois autour duquel est entoure une bande de cuir ou de parchemin, comme le montre la
figure ci-dessous. :
Aprs avoir enroul la ceinture sur la scytale, le message tait crit en plaant une lettre
sur chaque circonvolution (axe). Question : comment le destinataire dchiffrerait le
message sur le scytale ?
Lage technique
Alain Turing 2e guerre mondiale.
La technique utilise : Substitutions et permutations automatiques Le crypto joue un rle
important
Le chiffrement de csar
Le chiffrement par dcalage, aussi connu comme le chiffre de Csar ou le code de Csar
(voir les diffrents noms), est une mthode de chiffrement trs simple utilise par Jules
Csar dans ses correspondances secrtes (ce qui explique le nom chiffre de Csar ).
Le chiffrement aujourdhui
Jusquau milieu des anne 70, les seuls cryptosystmes connus taient symtriques (on
dit aussi conventionnels ou cl secrte) : la cl de chiffrement KC tait la mme
que la cl de dchiffrement KD (ou du moins, la connaissance de la cl de
chiffrement permettait den dduire la cl de dchiffrement) ce qui obligeait garder
secrte la cl KC elle aussi.
En 1976, W. Diffie et M. Hellman introduisirent le concept de cryptographie cl
publique (ou asymtrique). Dans ce type de systme, la cl de chiffrement est
publique, cest dire connue de tous. Seule la cl de dchiffrement reste secrte.
En 1978, le premier systme de chiffrement cl publique fut introduit par R. Rivest,
A. Shamir et L. Adleman : le systme RSA. Ce systme est un des seuls qui aient
rsist la cryptanalyse.
Thorie de linformation
la thorie de linformation est due Claude E. Shannon et exposee dans un article paru
apres-guerre : A Mathematical Theory of Communications, 1948 :
Cest une theorie mathmatique base sur les probabilites et visant decrire les
systemes de communication
elle a subi linfluence dautres theoriciens de linformatique : A. Turing, J. von
Neumann, N. Wiener et presente des convergences avec les travaux de R.A. Fisher
le probleme est celui de la communication entre une source et un recepteur : la source
emet un message que le recepteur lit : on voudrait quantifier linformation que
contient chaque message emis. il est clair que si lmetteur dit toujours la meme
chose, la quantit dinformation apporte par une rptition supplmentaire est nulle
lentropie existe en version combinatoire, en probabilites discrtes ou encore en
probabilites continues .
A noter que la quantite dinformation nest pas une propri t intrinseque dun certain
objet, mais une propriet de cet objet en relation avec un ensemble de possibilites
auquel il appartient. Dans le cas contraire, on a recours a la complexite de
Kolmogorov .
Les applications relles de la cryptologie
Communications scurise :
Web : SSL/TLS, ssh, gpg
Sans fil : GSM, Wifi, Bluetooth
Chiffrement des fichiers : EFS, TrueCrypt
Protection de donnes personnelles : cartes de crdit, cartes Navigo, passeports
lectroniques et bien plus encore !
La cryptologie moderne
Dans le dictionnaire dOxford (2006) dfinit la cryptographie comme "lart dcrire et de

rsoudre des codes".
Cette dfinition nest plus dactualit car elle ninclut pas la cryptologie moderne. Au 20e
sicle la cryptologie sintresse des domaines plus large que la scurit des
communications, notamment : Lauthentification des messages et les signatures, la
monnaie anonyme, partage de fichiers ...
Introduction la confidentialit des communications
Confidentialit : garantir le secret de linformation transmise ou archive.

Domaine militaire : transmission de documents "secret dfense", stratgies, plans
Domaine mdical : confidentialit des dossiers de patients
Domaine commercial : pour les achats sur Internet, transmission scurise du numro
de carte bancaire
Domaine industriel : transmission dinformations internes lentreprise labris du
regard des concurrents !
Confidentialit
Exemple
Un expditeur Alice veut envoyer un message un destinataire Bob en vitant les oreilles
indiscrte dEve (adversaire passif), et les attaques malveillantes de Martin(adversaire
actif).
Ou assurer un stockage scuris : localement ou dans un serveur distant.
Confidentiali
Dans un cryptosystme on distingue 5 choses :

Lespace des messages clairs M sur un alphabet A (qui peut tre lalphabet latin,
mais qui sera dans la pratique {0,1} car tout message sera cod en binaire pour
pouvoir tre trait par lordinateur).
Lespace des messages chiffrs C sur un alphabet B (en gnral gal A).
Lespace des cls K.
Un ensemble de transformations de chiffrement (chaque transformation tant indexe
par une cl) : Ek : M
C.
Un ensemble de transformations de dchiffrement (chaque transformation tant
indexe par une cl) : DK : C
M
Cryptographie conventionnelle
Figure: Cryptage et dcryptage conventionnels
Cryptographie cl publique (ou asymetrique)
Les systmes cl publiques ou asymtriques comme : RSA, El-Gamal, cryptosystme

elliptiques, Diffie-Hellman...
Figure: Cryptage et dcryptage cl publique
Cryptographie cl secrte (ou symetrique)
Les systmes cl secrtes ou symtriques comme : (DES, AES, IDEA,...)
Figure: Cryptage et dcryptage cl secrte
Chiffrement hybride (Key wrapping)
Comment garantir la confidentialit des changes tout en garantissant la confidentialit de

la cl secrte ks ?
Figure: Crypto symtrique + Crypto asymtrique
Exemple de chiffrement hybride (Key wrapping)
Dans la pratique (voir par exemple PGP, Pretty Good Privacy), moins quon ait
communiquer des messages de petite taille (de quelques k-octets), on agit comme suit :
Supposons quAlice veuille envoyer un message secret Bob :
Alice choisit un cryptosystme cl publique et utilise ce systme pour envoyer
secrtement Bob un mot binaire K , quon appelle cl de session ; pour ce faire, elle
chiffre K au moyen de la cl publique de Bob (une alternative possible est lutilisation
dun protocole dchange de cls tel que celui de Diffe-Hellman).
Bob rcupre K laide de sa cl secrte.
Alice et Bob dtiennent maintenant un mot secret K et Alice lutilise pour chiffrer son
message long dans un cryptosystme symtrique.
Bob peut dchiffrer le message laide de K .
Principe Kerckhoffs
Le premier avoir formalis ce principe est le hollandais Auguste Kerckhoffs, qui crit en
1883 dans le Journal des sciences militaires un article intitul La cryptographie militaire.
On peut rsumer ces conditions sous les lments suivant :
Il faut quil nexige pas le secret, et quil puisse sans inconvnient tomber entre les mains
de lennemi :
1 La cl doit pouvoir en tre communique et retenue sans le secours de notes crites,
et tre change ou modifie au gr des correspondants ;
2 Le systme doit tre matriellement, sinon mathmatiquement indchiffrable ;
3 Il faut quil nexige pas le secret, et quil puisse sans inconvnient tomber entre les
mains de lennemi ;
4 La cl doit pouvoir en tre communique et retenue sans le secours de notes crites,
et tre change ou modifie au gr des correspondants ;
5 Il faut quil soit applicable la correspondance tlgraphique ;
6 Il faut quil soit portatif, et que son maniement ou son fonctionnement nexige pas le
concours de plusieurs personnes ;
7 Enfin, il est ncessaire, vu les circonstances qui en commandent lapplication, que le
systme soit dun usage facile, ne demandant ni tension desprit, ni la connaissance
dune longue srie de rgles observer.
Principe de Kerckhoffs
Les points 1 et 3 sont les axiomes fondamentaux de la cryptographie moderne :

La scurit dun cryptosystme ne doit pas reposer sur le secret de lalgorithme de
codage mais quelle doit uniquement reposer sur la cl secrte du cryptosystme. Ce
principe repose sur les arguments suivants :
La transparence : Un cryptosystme sera dautant plus rsistant et sr quil aura t
conu, choisi et implment avec la plus grande transparence et soumis ainsi
lanalyse de lensemble de la communaut cryptographique.
La portativit : Si un algorithme est suppos tre secret, il se trouvera toujours
quelquun soit pour vendre lalgorithme, soit pour le percer jour, soit pour en
dcouvrir une faiblesse ignore de ses concepteurs. A ce moment l cest tout le
cryptosystme qui est changer et pas seulement la cl.
La crypto, pouruqoi faire ?
Les 4 buts de la cryptolographie afin dassurer les services de scurit :

Confidentialit : Protection de la divulgation dune information non-autorise.
Intgrit : Protection contre la modification non autorise de linformation.
Authentification dentits : (entity authentication) procd permettant une entit
dtre sure de lidentit dune seconde entit lappui dune vidence corroborante
(ex. : prsence physique, cryptographique, biomtrique, etc.). Le terme identification
est parfois utilis pour dsigner galement ce service.
Services de scurit
Non-rpudiation qui se dcompose en trois :
1 non-rpudiation dorigine lmetteur ne peut nier avoir crit le message et il peut

prouver quil ne la pas fait si cest effectivement le cas.
2 non-rpudiation de rception le receveur ne peut nier avoir reu le message et il peut
prouver quil ne la pas reutiliser si cest effectivement le cas.
3 non-rpudiation de transmission lmetteur du message ne peut nier avoir envoy le
message et il peut prouver quil ne la pas fait si cest effectivement le cas.
Lintegrit des messages
Comment sassurer de lintgrit des messages :
Le contenu de lenveloppe arrive til "intact" ?
Lauthenticit
Sassurer de la provenance des messages et de lauthenticit de lmetteur :
Authentification grce K Par ex le triple DES ( laide dun cryptosysteme symetrique)
La scurit prouve : mthode gnrale
Modle de scurit : Un cryptosystme nest jamais absolument parfait. Lessentiel est

dobtenir le niveau de scurit souhait.
En gnral, pour prouver la scurit dun schma cryptographique ou protocole, on aura
besoin de 3 tapes :
1 Prciser un modle de scurit formel : (ou notions de scurit) garantir (voir le
slide sur la cryptanalyse).
2 Prciser les hypothses algorithmiques : les hypothses calculatoires "acceptables"
ou problme difficile.
3 Prsenter une rduction du problme : Si quelquun arrive casser la notion de
scurit de 1) alors quelquun peut casser le problme sous-jacent i.e le problme
difficile) 2).
La scurit prouve : Notions de scurit
Essentiellement, on dispose de deux notions :

la scurit smantique : Il faut que ladversaire (avec une puissance calculatoire
limite) soit incapable dobtenir des informations significatives sur le message en clair
partir du texte chiffr et de la cl publique ==> Indistinguabilit,
Non-reconnaissance de chiffr.
la scurit calculatoire : (voir slide sur hypothses calculatoires).
En fonction des besoins, pour prouver la scurit on dfinit :
les objectifs de lattaquant
les moyens, soit les informations mises sa disposition.
Cryptanalyse - Types dattaques
On doit distinguer entre les moyens dattaques (ou types dattaques) dun adversaire et
les buts dattaques dun adversaire. Lattaquant connat tout les details de lalgorithme de
chiffrement/dchiffrement et quil ne lui manque que la clef spcifique pour le
chiffrement.(axiome fondamental de Kerckhoffs). Les 4 types dattaques :
Attaque texte crypt uniquement : Lattaquant ne dispose que dun ou plusieurs
messages chiffrs quil souhaite dchiffr. Cest le type dattaque le plus difficile.
Attaque texte chiffr connu : Le cryptanalyste a non seulement accs aux textes
chiffrs de plusieurs messages, mais aussi aux textes clairs correspondants. La tche
est de retrouver la ou les cls qui ont t utilises pour chiffrer ces messages ou un
algorithme qui permet de dchiffrer dautres messages chiffrs avec ces mmes cls.
Attaque texte clair choisi : (IND CPA) Lopposant a accs une machine
chiffrante : Le cryptanalyste a non seulement accs aux textes chiffrs et aux textes
clairs correspondants, mais de plus il peut choisir les textes en clair. Cette attaque est
plus efficace que lattaque texte clair connu, car le cryptanalyste peut choisir des
textes en clair spcifiques qui donneront plus dinformations sur la cl.
Attaque texte chiffr choisi : (IND CCA) : Lopposant a accs une machine
dchiffrable : Le cryptanalyste peut choisir diffrents textes chiffrs dchiffrer. Les
textes dchiffrs lui sont alors fournis. Par exemple, le cryptanalyste a un dispositif qui
ne peut tre dsassembl et qui fait du dchiffrement automatique. Sa tche est de
retrouver la cl.
Remarque
Hypothses calculatoires :
La scurit inconditionnelle qui ne prjuge pas de la puissance de calcul du

cryptanalyste qui peut tre illimite.
La scurit calculatoire qui repose sur limpossibilit de faire en un temps
raisonnable, compte tenu de la puissance de calcul disponible, les calculs ncessaires
pour dcrypter un message. Cette notion dpend de ltat de la technique un instant
donn.
Exemple
Mme avec des ordinateurs faisant 109 oprations lmentaires par seconde un calcul qui
ncessite 2100 oprations lmentaires est hors de porte actuellement car pour leffectuer il
faut environ 4.1013 annes !
La scurit prouve qui rduit la scurit du cryptosystme un problme bien

connu rput difficile, par exemple on pourrait prouver un thorme disant quun
systme cryptographique est sr si un entier donn n ne peut pas tre factoris.
La confidentialit parfaite qualit des codes pour lesquels un couple (message clair,
message chiffr) ne donne aucune information sur la cl.
Le modle de Dolev-Yao
On suppose que lattaquant dispose est trs intelligent et dispose de beaucoup de moyens
pour modifier les communications du rseau. On suppose que lattaquant :
peut obtenir tous les messages circulant sur le rseau ; est un utilisateur lgitime du
rseau ;
peut initier une communication avec tous les membres du rseau ;
peut envoyer un message tous les membres du rseau en se faisant passer pour un
autre personne. Cependant, lattaquant nest pas tout puissant. On suppose, entre
autres, que lattaquant :
ne peut pas deviner un entier choisi au hasard ;
ne peut deviner la cl prive correspondant une cl publique.
Evaluation dun algo
Echelle de succs :
Cassage complet : lattaquant dcouvre la cl.
Dduction globale : lattaquant dcouvre des fonctions quivalentes aux fonctions de
chiffrement et de dcriffrement sans pour autant connatre la cl.
Dduction locale : lattaquant peut dchiffrer un ou plusieurs nouveaux messages
chiffrs.
dduction dinformation : Lattaquant obtient de linformation sur la cl ou sur des
messages chiffrs.
Critres dvaluation :
Temps : le nombre doprations de bases ncessaires
Espace : la quantit de mmoire maximale ncessaire
Donnes : le nombre de messages clairs/chiffrs ncessaires
Echelle des cots en temps
Configurations :
Un ordinateur de bureau avec 4 coeurs 2,5 GHz : 236 FLOPS
Cluster du laboratoire de maths : 240 FLOPS
Supercomputer ( 133 million de dollars) : 250 FLOPS
exercice : La force brute
Le facteur de travail dun algorithme est le nombre dinstructions lmentaires ncessaire

son excution. La puissance dune machine est le nombre dinstructions quelle excute par
unit de temps. Nous allons approximer la puissance dun PC actuel environ 2000 Mips
(millions dinstructions par seconde). Le facteur de travail dun algorithme optimis pour
tester une cl de 128 bits de lalgorithme AES est denviron 1200 instructions lmentaires.
On dispose dun couple clair/chiffr connu et on dsire retrouver la cl utilise par force
brute, cest--dire en testant toutes les cls les unes aprs les autres. Une cl est constitue
dun mot de 128 bits. On suppose que toutes les cls sont quiprobables.
1 En combien de temps une machine de 2000 Mips teste-t-elle une cl ?
2 Combien y a-t-il de cls possibles ? Quel est le nombre moyen de cls a tester avant
de trouver la bonne ?
3 A quel temps moyen de calcul cela correspond-il si on suppose quun seul PC effectue
la recherche ? Si les 1 milliard de PC de lInternet sont mobiliss cette tche ?
Diffie Hellman : Echange de cl
Algorithme cl publique invent en 1976 Objectif :

Permet lchange dune cl secrte sur un domaine non scuris, sans disposer au
pralable de secret Utilisation :
entre autres, dans SSL/TLS (Netscape).
Repose sur :
connaissant g*a mod p et g*b mod p, il est trs difficile den dduire a et b.
Diffie Hellman
Priv : a pour Alice, b pour Bob Public :

p : nbre premier
G : appel gnrateur
cl publique dAlice , cl publique de Bob

Cours

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cours

Uploaded by

Copyright:

Available Formats

Initiation la cryptographie : thorie et pratique

Universit Paris 13 Villetaneuse

Comprendre les problmatiques de cryptographie lies aux systmes dinformations.

Le chiffrement, not Ek , est laction de chiffrer un message en clair, not M, en un

Lage technique : Le 20e siecle (1919-1975) : Cryptosystmes symtriques

Dans le dictionnaire dOxford (2006) dfinit la cryptographie comme "lart dcrire et de

Confidentialit : garantir le secret de linformation transmise ou archive.

Ou assurer un stockage scuris : localement ou dans un serveur distant.

Dans un cryptosystme on distingue 5 choses :

Figure: Cryptage et dcryptage conventionnels

Les systmes cl publiques ou asymtriques comme : RSA, El-Gamal, cryptosystme

Figure: Cryptage et dcryptage cl publique

Les systmes cl secrtes ou symtriques comme : (DES, AES, IDEA,...)

Figure: Cryptage et dcryptage cl secrte

Comment garantir la confidentialit des changes tout en garantissant la confidentialit de

Figure: Crypto symtrique + Crypto asymtrique

Les points 1 et 3 sont les axiomes fondamentaux de la cryptographie moderne :

Les 4 buts de la cryptolographie afin dassurer les services de scurit :

Non-rpudiation qui se dcompose en trois :

1 non-rpudiation dorigine lmetteur ne peut nier avoir crit le message et il peut

Comment sassurer de lintgrit des messages :

Le contenu de lenveloppe arrive til "intact" ?

Modle de scurit : Un cryptosystme nest jamais absolument parfait. Lessentiel est

Essentiellement, on dispose de deux notions :

La scurit inconditionnelle qui ne prjuge pas de la puissance de calcul du

La scurit prouve qui rduit la scurit du cryptosystme un problme bien

Le facteur de travail dun algorithme est le nombre dinstructions lmentaires ncessaire

Algorithme cl publique invent en 1976 Objectif :

Priv : a pour Alice, b pour Bob Public :

You might also like