Professional Documents
Culture Documents
Conclusion
Cryptologie
Science du secret
Cryptographie
Discipline visant la protection de donnes axe autour du concept de cl Cryptanalyse Discipline oppose la prcdente base sur le dchiffrement sans cl
6
Cryptographie
AES ECC
Symtrique
Asymtrique
Chiffrement / Dchiffrement
Chiffrement / Dchiffrement
Signature Numrique
Echange de cl
Chiffrer : action de transcrire un message en un langage secret Dchiffrer : Traduire en clair un message chiffr Attention aux anglicismes crypter et dcrypter bass sur le terme encryption .
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 8
Interprtation dun flux ou dun ensemble de donnes comme un flux de bits. Dcoupage en segments, appels blocs, dun nombre de bits dfinis. Permet donc de chiffrer localement , de faire abstraction de lensemble.
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 9
Cryptographie cl unique
10
Quelques exemples:
Rot13 DES
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 11
Alice
Bob
12
Exemple: ROT13
Dcalage de chaque lettre de lalphabet latin de 13 lettres
Phase chiffrage Phase dede dchiffrage
Message en clair
a b c
b a
m
t
n
e b o
a u
x y z
Cl de chiffrement
n o n o
a b
l m
Message en chiffr
13
14
capacits et efficacits matrielles sont meilleures. Matriel spcialis peut dterminer une cl DES 56 bits en seulement quelques heures.
1997: NIST lance la slection de lAdvanced Encryption Standard qui remplacera le DES
Slection des algorithmes sest faite par
Scurit prouv contre des classes dattaques Rapport cot-efficacit (matriel et logiciel) Architecture algorithmique Proprit intellectuelle
Deux tours de slection 21 candidats (grandes entreprises, universitaires, et individus) 5 finalistes (MARS, RC6, Rijndael, Serpent, Twofish) Ouverture la communaut par le biais de groupes de discussion et de confrences
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 16
Introduction du DES
15 candidats
Finale
Slection de Rijndael
FIPS
NSA Suite B
17
MARS propos par IBM RC6 propos par RSA Laboratories Rijndael propos par Joan Daeman et Vincent Rijmen Serpent propos par Ross Anderson, Eli Biham et Lars Knudsen Twofish propos par Bruce Schneier
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 18
Rijndael provides consistently high-end performance for encryption, decryption and key setup, although performance decreases for the 192- and 256-bit key sizes.
MARS 3 1 2
RC6 2 1 2
Rijndael 2 3 3
Serpent 3 3 1
Twofish 3 2 1
1
1 2
1
2 1
3
3 2
3
3 1
2
2 3
Source :
Caractristiques de larchitecture
Score total
10
16
14
13
19
Concepteurs belges:
Vincent Rijmen Joan Daeman
Publi en 1998 Chiffrage symtrique par blocs Driv de lalgorithme Square (des mmes concepteurs) Le Rijndael: blocs de 128, 160, 192, 224 ou 256 bits, cl de 128, 160, 192, 224 ou 256 bits, et un nombre de rondes allant de 10 14.
LAES est un sous-ensemble: blocs de 128bits, cls de 128, 192,
20
Taille cl (bits)
128
128 192 256 A E S
10 12 14
192
12 12 14
256
14 14 14
Tableau de nombre de rondes pour le Rijndael, dtermin en fonction de la taille des blocs et de la taille de la cl
21
DES Taille de cl Type de chiffre Taille de bloc Resistance la cryptanalyse 56 bits Chiffre bloc symtrique 64 bits Vulnrable la cryptanalyse linaire et diffrentielle; tables de substitution faibles Prouv comme inadquat 256 957 Pour une cl de 56 bits: 400 jours
AES 128, 192 ou 256 bits Chiffre bloc symtrique 128, 192 ou 256 bits Rsistant contre des attaques diffrentielles, linaires et par interpolation. Considr scuris 2128,2192 ou 2256 9516, 9524 ou 9532 Pour une cl de 128 bits: 5 x 1021 years
Scurit Cls possibles Cls possibles composes de caractres ASCII affichables* Recherche sur toutes les cls possibles 50 milliard de cls par seconde**
* - Il y a 95 caractres ASCII affichables ** - Temps affich pour une recherche sur 100% des cls. En thorie, une cl peut tre trouve aprs 50% de recherche. Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009
Source :
22
bloc dpart
AddRoundKey
Cl de chiffrage
ronde initiale
SubBytes ShiftRows
Cl de ronde 10
ronde finale
AddRoundKey
bloc arriv
0 ronde 1 10 9 7 4 3 2 8 6 5
23
d4 19 3d 27 e3 11 be ae
e0 a0 bf f4 98 e2 2b f1
b8 9a b4 c6 8d 5d 2a e5
e9 1e d4 41 f8 48 52 08 30 S-BOX
Substituer chaque lment du bloc de donnes par llment correspondant dans la table de substitution (note S-Box) telles que dfinie par Rijndael.
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 24
d4 27 11 ae
e0 bf 98 f1
b8 b4 5d e5
Dcalage de 2 octets
Dcalage de 3 octets
Effectuer un dcalage cyclique sur chaque ligne en partant de la gauche, de 0 lments pour la premire ligne, puis 1 lment pour la deuxime, en incrmentant le nombre dlment { chaque ligne.
25
d4
e0
b8 48
28 1e
04
bf
5d 30
b4 cb
52 19 9a ae
41 f8
d3 11 7a f1
06 27
98 26 e5 4c
66
81 e5
Multiplier chaque colonne du bloc par un polynme de degr 3 modulo un polynme de degr 4 (tous deux constants et inversibles, tels que dfinis par Rijndael), ce qui revient faire une multiplication matricielle pour chacune des colonnes.
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 26
04 a4
68 e0
6b 48
28 02
a0
88
23
2a
66 9c
81 7f e5 f2
cb 9f
19 35 2b 9a
5b f8
d3 ea 43 7a
06 6a
26 50 (XOR) 49 4c
fa
fe 17
54
2c b1
a3
39 39
6c
76 05
27
2b 7e 15
28 ae d2 a6
ab f7 15 88
09 cf 4f 3c
a0 fa fe 17
88 54 2c b1
23 a3 39 39
2a 6c 76 05
f2 c2
7a 96
23 a3
73 59
95 f2
b9 43
39 39
f6 7f
d0 14 f9 a8
c9 ee 25 89
e1 3f 0c c8
b6 63 0c a6
16
Cl de chiffrage 09 84 cf eb 4f 01 3c
Cl de ronde 1 88 a0 fa fe 17
Cl de ronde 2
Cl de ronde 10
= =
2c 01
Tableau de constantes de rondes 00
54
8a
Animation base sur une ralisation dEnrique Zabala.
b1
02 04 08
10
20 40 1b
80
36
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
00
00
00 00 00 00 00 00 00 00 00
28
documents confidentiels.
WEP et WPA)
Europenne
rduisant le nombre de rondes 7, 8, et 9 (en ajoutant une contrainte supplmentaire sur la cl) publies en 2000
communaut de la cryptologie
31
Publie par Nicolas Courtois et Josef Pieprzyk en 2002 sous-entend pouvoir casser AES.
Attaque porte sur larchitecture de chiffrage du Rijndael. Si possible, est une certificational weakness : requiert un nombre trop important de ressources, donc ne pose (actuellement) pas de problme la scurit relle dun systme. Dmontr en 2004 par Claus Diem comme ne pouvant pas casser lAES.
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 32
XSL attack is not an attack. It is a dream. Nicolas Courtois, auteur de la mthode XSL, rpond: "It will become your nightmare".
Sources :
33
Strength
- Recommand par la NIST - Performances fortes et indpendantes de la plateforme dutilisation - Mise en place accessible
Weaknesses
- Performances rduites avec des cls de 192 et 256 bits - Complexit algbrique relativement faible - Algorithme libre
Opportunities - Scurit indpendante du matriel utilis - Confidentialit pour cartes puce - Besoin sans cesse croissant de scurisation dinformations
Threats -Application dattaques { moyen terme (10 15 ans) encore thoriques aujourdhui
34
35
Martin Hellman
Ralph Merkle
But : Permettre les changes chiffrs sans entente pralable sur une cl commune
36
AA Alice
B Bob
37
Bas sur une paire de cls (publique et prive) Fonction mathmatique sens unique liant lune { lautre
Multiplication vs. Factorisation
Exponentiation vs. Logarithme
Plus dur est lopration inverse ( reverse ) par rapport { lopration de base ( forward ), plus lalgorithme peut tre qualifi de sr
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 38
39
3 utilisations :
Chiffrage / dchiffrage Signature numrique (Digital Signature) Echange de cl (Key Exchange)
Garantie :
Cl publique de Bob
Cl prive de Bob
Alice peut verrouiller un message avec le cadenas de Bob Seul Bob peut ouvrir le cadenas
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 41
Bob
OK !
Signature
43
BAD!
Eve
44
Permet la discussion sans accord pralable sur une cl commune Peut tre utilis pour communiquer une cl de chiffrage symtrique de faon confidentielle (algorithmes symtriques plus efficaces)
45
46
Ide dutiliser les courbes elliptiques pour la cryptographie ne en 1985 Libre, grand potentiel, mais trop lent Certicom
Victor Miller (IBM) Neal Koblitz (University of Washington)
N. Koblitz
Socit Canadienne cre en 1985 Nouvelles implmentations des algorithmes ECC Premier produit commercial bas sur ECC en 1997 Place prpondrante dans lexploitation de lECC En relation avec N. Koblitz
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 47
Normalis par IEEE, NESSIE, FIPS, ISO, ANSI X9F, Contrat de 25 million de dollars avec NSA en 2003
Licence dutilisation pour toutes les agences
48
Les courbes elliptiques sont dfinies sur tous les ensembles possibles (rels, complexes, entiers, ) Equation dune courbe Elliptique:
y = x + ax + b
49
Exemples de courbes :
Source :
50
Exemples de courbes :
Source :
51
Utilis sur des groupes finis en cryptographie Groupe mathmatique dot de la loi +
2P= R (Doublement)
P+Q=R (Addition)
Sur la courbe NIST 192 il est possible dobtenir kP en un nombre dopration quasi constant avec environ 38 additions et 192 doublements. Calculer kP itrativement ncessiterait en moyenne 3.1057 oprations
Chiffrage / dchiffrage
ECIES : Elliptic Curve Integrated Encryption Scheme
(El-Gamal )
-6P P
4P
kBPkA
x
Les valeurs utilises ici sont trs rduites afin de simplifier la comprhension et la lisibilit.
2P = PkA
5P A et B calculent le produit de leur cl prive et de la cl publique de lautre. Le rsultat est identique pour A etla B etsur sera comme cl pour lchange. A et A B et choisissent B saccordent A Aet etB B calculent au saccordent hasard sur puis courbe une schangent cl le utilis et prive point le domaine dorigine de leur x bits cl utilis de selon publique lchange. pour niveau Pk. lchange. de scurit. 6P = kBPkA = kAPkB
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 56
La difficult de casser lalgorithme est base sur le problme des logarithmes discrets (DLP) Pour lECC, rallonger la cl permet daugmenter le temps de cassage de tn En comparaison RSA (Factorisation), DSA (Petit Thorme de Fermat), Diffie-Hellman (DLP) le temps augmente de tn
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 58
192
256
7680
15360
384
521
Source :
59
Exercices
79-bit: Rsolu en dcembre 1997 89-bit: Rsolu fvrier 1998 97-bit: Rsolu septembre 1999 109-bit challenge Rsolu en 2002* 131-bit challenge
*10,000 ordinateurs 549 jours de calcul
Level 1
Level 2
163-bit challenge
Pollard-Rho (le plus efficace) Baby-step giant-step Pohlig Hellmans reduction Xedni Attaque exhaustive (Brute force)
61
dauthentification base sur DH et ECC) Propritaires de mthodes doptimisation des multiplications Grande quantit de courbes brevetes (les plus robustes) Au total plus de 130 brevets
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 65
Intrts serveurs
Faible consommation de ressource systme (plus
Motorola
Alcatel-Lucent :Certicom's technology enables operators to offer virtual private network (VPN) solutions to the growing base of DSL users RIM : large-scale deployment of Certicom's high-performance, highly efficient ECC within its secure wireless devices NSA
Ricardo BELIN et Mathieu ROMARY, EPITA spcialisation TCOM 2009 67
Le ECC/TLS Interoperability Forum a t cr en 2006 pour promouvoir lusage de lECC dans le cadre du protocole HTTPS. Les membres actuels sont des reprsentants de Apache/OpenSSL, Certicom, IBM, Microsoft, Mozila/Firefox, NSA, Red Hat, RSA, Sun et Verisign.
68
Strength
- Recommand par la NIST - Robuste - Cl rduites - Temps de calculs rduits
Weaknesses
- Majoritairement la proprit de la socit Certicom - Met en jeu des notions mathmatiques complexes
Opportunities - Le RSA devient trs lourd - Explosion du nombre et du primtre des priphriques mobiles
69
70
Fin de prsentation.
71