Aes Ecc

Prsentation des algorithmes de cryptographie
Groupe 10 Prsentation du 05/04/2008
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009
Importance de la cryptographie aujourdhui.

Socit de plus en plus informatise. Loi de Moore: volution de linformatique et des technologies engendre une volution des mthodes de scurisation de celle-ci. Mention AES et ECC dans la norme Suite B de la NSA publie en fvrier 2005.
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 3
Concepts Cryptographie symtrique AES

Historique Algorithme AES Usages & considrations conomiques
Cryptographie asymtrique ECC
Conclusion
Historique Principe Usages & considrations conomiques
Concepts ncessaires la comprhension du sujet
Cryptologie
Science du secret
Cryptographie
Discipline visant la protection de donnes axe autour du concept de cl Cryptanalyse Discipline oppose la prcdente base sur le dchiffrement sans cl
6
Cryptographie
AES ECC
Symtrique
Asymtrique
Fonctions dAgrgation (Hash)
Chiffrement / Dchiffrement
Chiffrement / Dchiffrement
Signature Numrique
Echange de cl
Chiffrement sens unique
Chiffrer : action de transcrire un message en un langage secret Dchiffrer : Traduire en clair un message chiffr Attention aux anglicismes crypter et dcrypter bass sur le terme encryption .
Interprtation dun flux ou dun ensemble de donnes comme un flux de bits. Dcoupage en segments, appels blocs, dun nombre de bits dfinis. Permet donc de chiffrer localement , de faire abstraction de lensemble.
Cryptographie cl unique
10
Aussi dit cl secrte

But: assurer la confidentialit de donnes Permet { partir dune seul cl secrte de chiffrer et de dchiffrer des donnes Problme de distribution des cls
Quelques exemples:
Rot13 DES
Alice
Milieu non scuris

Utilisation de la mme cl de chiffrement par les deux interlocuteurs
Bob
12
Exemple: ROT13
Dcalage de chaque lettre de lalphabet latin de 13 lettres
Phase chiffrage Phase dede dchiffrage
Message en clair
a b c
b a
m
t
n
e b o
a u
x y z
Cl de chiffrement
n o n o
a b
l m
Message en chiffr
13
Lalgorithme Advanced Encryption Standard
14
DES pour Data Encryption Standard .

Introduit en 1977. Chiffrage symtrique par blocs Driv de lalgorithme Lucifer dIBM Fonctionne sur des blocs de 64 bits et des cls de 56 bits
Adapt aux besoins techniques de lpoque. Aujourdhui les
capacits et efficacits matrielles sont meilleures. Matriel spcialis peut dterminer une cl DES 56 bits en seulement quelques heures.
Besoin vident dun nouveau standard de chiffrement.

1997: NIST lance la slection de lAdvanced Encryption Standard qui remplacera le DES
Slection des algorithmes sest faite par

Scurit prouv contre des classes dattaques Rapport cot-efficacit (matriel et logiciel) Architecture algorithmique Proprit intellectuelle
Prsent sous forme de concours:

Deux tours de slection 21 candidats (grandes entreprises, universitaires, et individus) 5 finalistes (MARS, RC6, Rijndael, Serpent, Twofish) Ouverture la communaut par le biais de groupes de discussion et de confrences
Introduction du DES
Annonce dun nouveau standard: AES
15 candidats
Finale
Slection de Rijndael
FIPS
NSA Suite B
17
Prsent sous forme de concours de deux tours de slection

21 candidats pour le premier tour de slection 5 finalistes

MARS propos par IBM RC6 propos par RSA Laboratories Rijndael propos par Joan Daeman et Vincent Rijmen Serpent propos par Ross Anderson, Eli Biham et Lars Knudsen Twofish propos par Bruce Schneier
Rijndael provides consistently high-end performance for encryption, decryption and key setup, although performance decreases for the 192- and 256-bit key sizes.
Scores relatifs du deuxime tour de slection:

Scurit gnrale Implmentation de la scurit Performances logicielles Performances carte puce Performances matrielles
MARS 3 1 2
RC6 2 1 2
Rijndael 2 3 3
Serpent 3 3 1
Twofish 3 2 1
1 = mauvais 2 = moyen 3 = bon
1
1 2
1
2 1
3
3 2
3
3 1
2
2 3
Source :
Caractristiques de larchitecture
Score total
10
16
14
13
19
Joan Daeman et Vincent Rijmen
Concepteurs belges:
Vincent Rijmen Joan Daeman
Publi en 1998 Chiffrage symtrique par blocs Driv de lalgorithme Square (des mmes concepteurs) Le Rijndael: blocs de 128, 160, 192, 224 ou 256 bits, cl de 128, 160, 192, 224 ou 256 bits, et un nombre de rondes allant de 10 14.
LAES est un sous-ensemble: blocs de 128bits, cls de 128, 192,
256 bits, et 10, 12 ou 14 rondes.
20
Taille cl (bits)
Taille de bloc (bits)
128
128 192 256 A E S
10 12 14
192
12 12 14
256
14 14 14
Tableau de nombre de rondes pour le Rijndael, dtermin en fonction de la taille des blocs et de la taille de la cl
21
DES Taille de cl Type de chiffre Taille de bloc Resistance la cryptanalyse 56 bits Chiffre bloc symtrique 64 bits Vulnrable la cryptanalyse linaire et diffrentielle; tables de substitution faibles Prouv comme inadquat 256 957 Pour une cl de 56 bits: 400 jours
AES 128, 192 ou 256 bits Chiffre bloc symtrique 128, 192 ou 256 bits Rsistant contre des attaques diffrentielles, linaires et par interpolation. Considr scuris 2128,2192 ou 2256 9516, 9524 ou 9532 Pour une cl de 128 bits: 5 x 1021 years
Scurit Cls possibles Cls possibles composes de caractres ASCII affichables* Recherche sur toutes les cls possibles 50 milliard de cls par seconde**
* - Il y a 95 caractres ASCII affichables ** - Temps affich pour une recherche sur 100% des cls. En thorie, une cl peut tre trouve aprs 50% de recherche. Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009
Source :
22
bloc dpart
AddRoundKey
Cl de chiffrage
ronde initiale
SubBytes ShiftRows MixColumns AddRoundKey
Le chiffrement se fait sur 10 rondes composes de 4 tapes.

9 rondes
Cl de ronde n
SubBytes ShiftRows
Cl de ronde 10
ronde finale
AddRoundKey
bloc arriv
0 ronde 1 10 9 7 4 3 2 8 6 5
23
Animation base sur une ralisation dEnrique Zabala.
d4 19 3d 27 e3 11 be ae
e0 a0 bf f4 98 e2 2b f1
b8 9a b4 c6 8d 5d 2a e5
e9 1e d4 41 f8 48 52 08 30 S-BOX
Substituer chaque lment du bloc de donnes par llment correspondant dans la table de substitution (note S-Box) telles que dfinie par Rijndael.
d4 27 11 ae
e0 bf 98 f1
b8 b4 5d e5
1e 41 52 30 Dcalage dun octet
Dcalage de 2 octets
Dcalage de 3 octets
Effectuer un dcalage cyclique sur chaque ligne en partant de la gauche, de 0 lments pour la premire ligne, puis 1 lment pour la deuxime, en incrmentant le nombre dlment { chaque ligne.
25
d4
e0
b8 48
28 1e
04
bf
5d 30
b4 cb
52 19 9a ae
41 f8
d3 11 7a f1
06 27
98 26 e5 4c
66
81 e5
Multiplier chaque colonne du bloc par un polynme de degr 3 modulo un polynme de degr 4 (tous deux constants et inversibles, tels que dfinis par Rijndael), ce qui revient faire une multiplication matricielle pour chacune des colonnes.
04 a4
68 e0
6b 48
28 02
a0
88
23
2a
66 9c
81 7f e5 f2
cb 9f
19 35 2b 9a
5b f8
d3 ea 43 7a
06 6a
26 50 (XOR) 49 4c
fa
fe 17
54
2c b1
a3
39 39
6c
76 05
Cl de ronde Application dun XOR terme--terme avec la cl de ronde.
27
2b 7e 15
28 ae d2 a6
ab f7 15 88
09 cf 4f 3c
a0 fa fe 17
88 54 2c b1
23 a3 39 39
2a 6c 76 05
f2 c2
7a 96
23 a3
73 59
95 f2
b9 43
39 39
f6 7f
d0 14 f9 a8
c9 ee 25 89
e1 3f 0c c8
b6 63 0c a6
16
Cl de chiffrage 09 84 cf eb 4f 01 3c
Cl de ronde 1 88 a0 fa fe 17
Cl de ronde 2
Cl de ronde 10
= =
2c 01
Tableau de constantes de rondes 00
54
8a
b1
02 04 08
10
20 40 1b
80
36
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00
00
00 00 00 00 00 00 00 00 00
28
Chiffrement de documents confidentiels

Lalgorithme AES est utilis pour protger des
documents confidentiels.
Voix sur IP: Skype

Skype uses AES (Advanced Encryption Standard),
The Committee on National Security Systems
[] which is used by U.S. Government organizations to protect sensitive, information.
WiFi: pour le WPA2 (norme IEEE 802.11i)

Utilise lalgorithme AES plutt que RC4 (utilis par
WEP et WPA)
Compression de fichiers: WinRAR et WinZip

NESSIE (New European Schemes for Signatures, Integrity and Encryption)

Standard dfinit par lUnion
Europenne
CRYPTREC (Cryptography Research and Evaluation Committee)

Standard japonais
Recommandent tous deux lutilisation de lAES

Attaque exhaustive (brute force)

Attaques sur des versions simplifie
Certaines attaques effectues avec succs en
rduisant le nombre de rondes 7, 8, et 9 (en ajoutant une contrainte supplmentaire sur la cl) publies en 2000
Attaques sur la version complte

Mthode XSL a suscit un dbat au sein de la
communaut de la cryptologie
31
Publie par Nicolas Courtois et Josef Pieprzyk en 2002 sous-entend pouvoir casser AES.
Attaque porte sur larchitecture de chiffrage du Rijndael. Si possible, est une certificational weakness : requiert un nombre trop important de ressources, donc ne pose (actuellement) pas de problme la scurit relle dun systme. Dmontr en 2004 par Claus Diem comme ne pouvant pas casser lAES.
En 2004, lors de la confrence AES 4 Bonn

Vincent Rijmen, co-concepteur du Rijndael: "The
XSL attack is not an attack. It is a dream. Nicolas Courtois, auteur de la mthode XSL, rpond: "It will become your nightmare".
Sources :
33
Strength
- Recommand par la NIST - Performances fortes et indpendantes de la plateforme dutilisation - Mise en place accessible
Weaknesses
- Performances rduites avec des cls de 192 et 256 bits - Complexit algbrique relativement faible - Algorithme libre
Opportunities - Scurit indpendante du matriel utilis - Confidentialit pour cartes puce - Besoin sans cesse croissant de scurisation dinformations
Threats -Application dattaques { moyen terme (10 15 ans) encore thoriques aujourdhui
34
Cryptographie double cls.
35
Initi dans les annes 70

Whyfield Diffie
Martin Hellman
Ralph Merkle
But : Permettre les changes chiffrs sans entente pralable sur une cl commune
36
AA Alice
Milieu non scuris
B Bob
37
Bas sur une paire de cls (publique et prive) Fonction mathmatique sens unique liant lune { lautre
Multiplication vs. Factorisation
Exponentiation vs. Logarithme
Plus dur est lopration inverse ( reverse ) par rapport { lopration de base ( forward ), plus lalgorithme peut tre qualifi de sr
Exemple Multiplication vs. Division :

165*285 = 47025 47025 = x * y ?
Exemple Exponentiation vs. Logarithme :

17^13 = 9904578032905937 logx 9904578032905937 = y ?
39
3 utilisations :
Chiffrage / dchiffrage Signature numrique (Digital Signature) Echange de cl (Key Exchange)
Garantie :

Authentification Confidentialit Intgrit Non-rpudiation

Cl publique de Bob
Cl prive de Bob
Alice peut verrouiller un message avec le cadenas de Bob Seul Bob peut ouvrir le cadenas
Source : Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 42
Alice From:Alice Bonjour Bob
Bob
OK !
Signature
43
Alice Bob From:Alice Bob, tu es renvoy Signature Eve
BAD!
Eve
44
Permet la discussion sans accord pralable sur une cl commune Peut tre utilis pour communiquer une cl de chiffrage symtrique de faon confidentielle (algorithmes symtriques plus efficaces)
45
Elliptic Curve Cryptography
46
Ide dutiliser les courbes elliptiques pour la cryptographie ne en 1985 Libre, grand potentiel, mais trop lent Certicom
Victor Miller (IBM) Neal Koblitz (University of Washington)
N. Koblitz
Socit Canadienne cre en 1985 Nouvelles implmentations des algorithmes ECC Premier produit commercial bas sur ECC en 1997 Place prpondrante dans lexploitation de lECC En relation avec N. Koblitz
Normalis par IEEE, NESSIE, FIPS, ISO, ANSI X9F, Contrat de 25 million de dollars avec NSA en 2003
Licence dutilisation pour toutes les agences
gouvernementales Licence dutilisation pour les industries travaillant pour ltat
48
Les courbes elliptiques sont dfinies sur tous les ensembles possibles (rels, complexes, entiers, ) Equation dune courbe Elliptique:
y = x + ax + b
49
Exemples de courbes :
Source :
50
Exemples de courbes :
Source :
51
Utilis sur des groupes finis en cryptographie Groupe mathmatique dot de la loi +
2P= R (Doublement)
P+Q=R (Addition)
Ces oprations daddition permettent lutilisation de la multiplication

kP = 2P + P + P + + P
Mthode pas pas sans intrt

Opration reverse aussi rapide que forward
Raccourcis mathmatiques nettement plus directs

Proche temps constant pour un ensemble donn
Sur la courbe NIST 192 il est possible dobtenir kP en un nombre dopration quasi constant avec environ 38 additions et 192 doublements. Calculer kP itrativement ncessiterait en moyenne 3.1057 oprations
Chiffrage / dchiffrage
ECIES : Elliptic Curve Integrated Encryption Scheme
(El-Gamal )
Signature numrique (Digital Signature)

ECDSA : Elliptic Curve Digital Signature Algorithme ECPVS : Elliptic Curve Pintsov Vanstone Signature ECNR: Elliptic Curve Nyberg Rueppel
Echange de cl (Key Exchange)

ECDH : Elliptic Curve Diffie-Hellman ECMQV : Elliptic Curve Menezes-Qu-Vanstone
Alice E(a,b,K) P kA = 2 PkA kAPkB
-6P P
4P
Bob E(a,b,K) P kB = 3 PkB
Pirate E(a,b,K) P 3P = PkB PkA PkB Cl ???
kBPkA
x
Les valeurs utilises ici sont trs rduites afin de simplifier la comprhension et la lisibilit.
2P = PkA
5P A et B calculent le produit de leur cl prive et de la cl publique de lautre. Le rsultat est identique pour A etla B etsur sera comme cl pour lchange. A et A B et choisissent B saccordent A Aet etB B calculent au saccordent hasard sur puis courbe une schangent cl le utilis et prive point le domaine dorigine de leur x bits cl utilis de selon publique lchange. pour niveau Pk. lchange. de scurit. 6P = kBPkA = kAPkB
La difficult de casser lalgorithme est base sur le problme des logarithmes discrets (DLP) Pour lECC, rallonger la cl permet daugmenter le temps de cassage de tn En comparaison RSA (Factorisation), DSA (Petit Thorme de Fermat), Diffie-Hellman (DLP) le temps augmente de tn
Symmetric Key Size (bits) 80 112 128
RSA and DiffieHellman Key Size (bits) 1024 2048 3072
Elliptic Curve Key Size (bits) 160 224 256
192
256
7680
15360
384
521
Source :
59
Exercices
79-bit: Rsolu en dcembre 1997 89-bit: Rsolu fvrier 1998 97-bit: Rsolu septembre 1999 109-bit challenge Rsolu en 2002* 131-bit challenge
*10,000 ordinateurs 549 jours de calcul
Level 1
Level 2
163-bit challenge
191-bit challenge 239-bit challenge 359-bit challenge

Pollard-Rho (le plus efficace) Baby-step giant-step Pohlig Hellmans reduction Xedni Attaque exhaustive (Brute force)
61
Temps de traitement rduit de 25 85%
Sources : Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 62
De 30 270% de requtes gres en plus
ECC-224 plus rapide que RSA-1024
Majoritairement dtenu par Certicom

Brevet sur le protocole ECMQV (protocole
dauthentification base sur DH et ECC) Propritaires de mthodes doptimisation des multiplications Grande quantit de courbes brevetes (les plus robustes) Au total plus de 130 brevets
Parfait pour priphriques mobiles

Facile grer en hardware Cls rduites, rduit bande passante
Faible consommation (chaleur, batterie)
Intrts serveurs
Faible consommation de ressource systme (plus
de requtes satisfaites) Consommation lectrique rduite
Cryptographie conue pour durer

Motorola
Alcatel-Lucent :Certicom's technology enables operators to offer virtual private network (VPN) solutions to the growing base of DSL users RIM : large-scale deployment of Certicom's high-performance, highly efficient ECC within its secure wireless devices NSA
Le ECC/TLS Interoperability Forum a t cr en 2006 pour promouvoir lusage de lECC dans le cadre du protocole HTTPS. Les membres actuels sont des reprsentants de Apache/OpenSSL, Certicom, IBM, Microsoft, Mozila/Firefox, NSA, Red Hat, RSA, Sun et Verisign.
68
Strength
- Recommand par la NIST - Robuste - Cl rduites - Temps de calculs rduits
Weaknesses
- Majoritairement la proprit de la socit Certicom - Met en jeu des notions mathmatiques complexes
Opportunities - Le RSA devient trs lourd - Explosion du nombre et du primtre des priphriques mobiles
Threats - Scurit base sur un domaine des mathmatiques encore jeune
69
70
Fin de prsentation.
71

Aes Ecc

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Aes Ecc

Uploaded by

Copyright:

Available Formats

Prsentation des algorithmes de cryptographie

Groupe 10 Prsentation du 05/04/2008

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Importance de la cryptographie aujourdhui.

Concepts Cryptographie symtrique AES

Cryptographie asymtrique ECC

Historique Principe Usages & considrations conomiques

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Concepts ncessaires la comprhension du sujet

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Fonctions dAgrgation (Hash)

Chiffrement sens unique

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Aussi dit cl secrte

Milieu non scuris

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Lalgorithme Advanced Encryption Standard

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

DES pour Data Encryption Standard .

Besoin vident dun nouveau standard de chiffrement.

Prsent sous forme de concours:

Annonce dun nouveau standard: AES

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Prsent sous forme de concours de deux tours de slection

Scores relatifs du deuxime tour de slection:

1 = mauvais 2 = moyen 3 = bon

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Joan Daeman et Vincent Rijmen

256 bits, et 10, 12 ou 14 rondes.

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Taille de bloc (bits)

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

SubBytes ShiftRows MixColumns AddRoundKey

Le chiffrement se fait sur 10 rondes composes de 4 tapes.

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Animation base sur une ralisation dEnrique Zabala.

Animation base sur une ralisation dEnrique Zabala.

1e 41 52 30 Dcalage dun octet

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Animation base sur une ralisation dEnrique Zabala.

Animation base sur une ralisation dEnrique Zabala.

Cl de ronde Application dun XOR terme--terme avec la cl de ronde.

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Chiffrement de documents confidentiels

Voix sur IP: Skype

The Committee on National Security Systems

[] which is used by U.S. Government organizations to protect sensitive, information.

WiFi: pour le WPA2 (norme IEEE 802.11i)

Compression de fichiers: WinRAR et WinZip

NESSIE (New European Schemes for Signatures, Integrity and Encryption)

CRYPTREC (Cryptography Research and Evaluation Committee)

Recommandent tous deux lutilisation de lAES

Attaque exhaustive (brute force)

Attaques sur la version complte

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

En 2004, lors de la confrence AES 4 Bonn

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009

Cryptographie double cls.