La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

II CRYPTOLOGIE « contemporaine » Sommaire 1.Les fondements p. 59 2.Les protocoles simples p. 77.

Présentations similaires


Présentation au sujet: "II CRYPTOLOGIE « contemporaine » Sommaire 1.Les fondements p. 59 2.Les protocoles simples p. 77."— Transcription de la présentation:

1

2 II CRYPTOLOGIE « contemporaine »

3 Sommaire 1.Les fondements p Les protocoles simples p. 77

4

5

6 II. 1 Les fondements

7 Sommaire 1.Transmission de clefs 2.Confidentialité calculatoire 3.RSA

8 1. Transmission de clefs 1.1Les « puzzles » de Ralph Merkle 1.2Le protocole de Diffie-Hellman 1.3Les clefs collectives

9 1.1Les « puzzles » de Ralph Merkle –première idée de transmission publique –rien nest caché à lobservateur + lespionnage est rendu difficile grâce à la complexité –Ralph C. Merkle étudiant en physique à luniversité de Berkeley (CA) en 1974 élève de Lance Hoffman en cryptologie devoir de fin dannée : communications privées par des canaux peu sûrs obtient une mauvaise note due à lincompréhension de Lance Hoffman Pionnier de la cryptographie à clef publique Ralph C. Merkle (1952)

10 Le protocole Le puzzle en clair –A–Alice envoie à Bob un million de puzzles tous différents, non ordonnés par leur numéro et cryptés chacun avec une clef différente de 20 bits non transmise –B–Bob cryptanalyse un puzzle pris au hasard puis envoie à Alice le numéro de ce puzzle en clair –L–La clef transmise est celle contenue dans ce puzzle Eve espionne le dialogue entre Alice et Bob ! 000…000n° du puzzleclef à transmettre« remplissage » 128 bits à zéro 20 bits

11 Cryptanalyse Méthode par recherche exhaustive de la clef de 20 bits la clef est trouvée quand on obtient les 128 zéros de tête du puzzle en clair il faut tester 2 20 ( 10 6 ) clefs possibles pour 100µs par clef 1 minute par puzzle –Bob cryptanalyse un seul puzzle … ce qui lui prend environ 1 minute –Eve doit cryptanalyser 10 6 puzzles … ce qui lui prend environ …1 an !

12 1.2 Le Protocole de Diffie-Hellman Principe 1976 –Alice et Bob se transmettent publiquement 2 nombres a et p tels que p est un nombre premier a est premier avec p –Alice choisit un nombre secret x puis transmet à Bob a x = a x mod p –Bob choisit un nombre secret y puis transmet à Alicea y = a y mod p –Alice calcule a y x mod p –Bob calcule a x y mod p la clef transmise est k = a y x mod p = a x y mod p Whitfield Diffie (1944) Martin Hellman (1946)

13 Alice Bob Alice r é seau publicBob x a, py a x mod pa y mod p a y mod p a x mod p (a y mod p) x mod p (a x mod p) y mod p = a yx mod p a xy mod p clef transmise Eve

14 Propriété (a y mod p) x mod p = (a y mod p) x mod p –la fonction z = a x mod p est difficilement inversible x = log a z mod p est appelée logarithme discret elle est difficilement calculable – Eve ne « voit » que a x mod p (et a y mod p) elle ne peut calculer ni x ni y elle ne peut calculer la clef

15 Attaque du « (wo)man in the middle » Alice Bob x w z y a x mod p a y mod p a w mod p a z mod p a xw mod p a yz mod p a wx mod p a zy mod p Eve

16 1.3Clefs collectives Sécuriser un accès par plusieurs clefs détenues par des personnes différentes Protocole de Adi Shamir1978 –kclef maîtresse ouvrant laccès * personne ne possède k –nnombre de personnes nécessaires pour obtenir laccès –construction dun polynôme de degré n-1 y = p(x) = a n-1 x n-1 + a n-2 x n-2 + … a 2 x 2 + a x + k –distribution de clefs partielles k i = (x i, y i ) y i = p(x i ) couples de points du graphe de y = p(x) Adi Shamir

17 Propriétés n points déterminent les n coefficients dun polynôme de degré n-1 –résolution dun système de n équations à n inconnues –n clefs partielles k i permettent de déterminer la clef maîtresse k raffinement du protocole –certaines personnes peuvent posséder plusieurs clefs partielles –hiérarchie de clefs hiérarchie de confiance

18 2.Confidentialité calculatoire 2.1Confidentialités parfaite et calculatoire 2.2Fonctions à sens unique 2.3Fonctions à sens unique avec brèche secrète

19 2.1Confidentialités parfaite et calculatoire Confidentialité parfaite –difficile à mettre en œuvre clef jetable contraintes sur la distribution probabiliste des clefs –en général pas indispensable Confidentialité calculatoire –la cryptanalyse est difficile au sens de la complexité algorithmique

20 2.2Fonctions à sens unique Définition –mathématiquement inversibles –mais la fonction inverse est difficile à calculer +cette difficulté est souvent une conjecture +cf. second principe de la thermodynamique –linversion devient facile par la connaissance dun secret (ou brèche) fonction à brèche secrète trapdoor function

21 Exemple 1 x a x mod p Exponentiation de a modulo p bijective p premiera primitif modulo p –Linverse est le logarithme discret mod n P NP x log a y mod p a x mod p y

22 Exemple 2p, q p x q Produit de deux nombres premiers p, q –Linverse est la factorisation dun nombre P NP p, q p x q n

23 Exemple 3x x a mod n – Elévation à la puissance a mod n ce nest pas lexponentiation ! –Linverse est la racine a ième modulo n P ? x a y mod n x a mod n y

24 2.3 Fonctions à sens unique avec brèche secrète Calcul dex = a y mod n o ù y = x a mod n x= y 1/a mod n = y a -1 mod n on pose b = a -1 x= y b mod n = (x a mod n) b mod n = x ab mod n Il faut trouver b tel que x ab mod n = x

25 Retour vers le passé … Le 18 Octobre 1640 Pierre Simon de Fermat écrit à son ami et confident Bernard Frénicle de Bessy : si p est premier alors a p - a est divisible par p donc(a p -a) mod p = 0 Mais … il ne donne aucune preuve ! +cette propriété était connue en Chine pour a = 2 +elle a été démontrée en 1683 par Leibniz si a est premier avec p a p-1 mod p = 1 N ou encore a Na p mod p = a mod p cette propriété est appelée « le petit théorème de Fermat » Pierre Simon de Fermat ( ) Gottfried Wilhelm Leibniz ( )

26 Un siècle plus tard … En 1740 Leonhard Euler (re)démontre le petit théorème de Fermat En 1760 il donne 2 généralisations soit Z n * = { x Z n | pgcd (x,n) = 1 } et (n) = |Z n *| + (n) est le nombre de nombres premiers avec n et < n + (n) est appelé totient ou indicatrice dEuler 1 ère généralisation k Z si a est premier avec n a k. (n) mod n = 1 2 ème généralisation k Z si n = p x q, p et q premiers et si 0 a < n a k (n) + 1 mod n = a Leonhard Euler ( )

27 Vers la brèche secrète … G1 : k Z, pgcd (a, n) = 1 a k. (n) mod n = 1nimpose pas a < n G2 : k Z, n = p x q, p et q premiers et 0 a < n a k. (n) + 1 mod n = a nimpose pas pgcd (a, n) = 1 G1 G2et G2 G1

28 Retour au présent Trouver b tel que x ab mod n = x Il suffit que ab soit multiple de (n) + 1 a.b = k. (n) + 1 a.b mod (n) = 1 b = a -1 mod (n) + (n) va servir de brèche secrète + (n) permet de calculer b en temps polynomial par lalgorithme dEuclide étendu + conjectures : + (n) nécessite de connaître la factorisation de n + la factorisation de n = p x q est difficile

29 La brèche de la fonction y a y mod n P NP x, a, n x = a y mod n x a mod n = y y, a, n = p x q P brèche secrète n

30 Cryptographie utilisant une fonction à brèche secrète P NP x y P + brèche secrète Propriétéstout est public sauf la brèche la brèche ne circule jamais sur le réseau contrairement à une clef privée

31 3.Cryptographie RSA Ronald Rivest, Adi Shamir, Leonard Adleman

32 3.1Principes 3.2Mise en œuvre 3.3Choix des facteurs premiers 3.4Tests de primalité 3.5Choix des clefs 3.6Cryptage & décryptage 3.7Cryptanalyse

33 3.1Principes Cryptage endomorpheC = P = {0, 1} n n = p x qp et q premiers x P y C e, d Z n E n,e : P Cy = x e mod n D n,d : C Px = y d mod n avec d.e mod (n) = 1 n et e sont publics et (n,e) est la clef publique p et q sont secrets (n) est la brèche secrète et d la clef secrète

34 3.2Mise en œuvre Détenteur du secret choisit 2 nombres premiers p et q de grande taille (au moins 300 bits) calcule n = p x qet (n) = (p-1) x (q-1) choisit e premier avec (n) calcule d = e -1 mod (n) publie n et e garde secret d (issu de (n)) + Rappel d ne circule jamais sur le réseau aucun passage de clef nest nécessaire

35 3.3Choix des facteurs premiers grands nombres premiers –Densité des nombres premiers inférieurs à n π (n) 1 / ln(n)exemple : π (2 500 ) 350 pour des nombres de 500 bits, environ 1/350 sont premiers –Choix au hasard puis test de primalité test de Fermat –choisir au hasard a –si a n-1 mod n = 1n est premier ou pseudo-premier – (n) densité des nombres pseudo-premiers inférieurs à n – (n) / π(n) 0 quand n théorème de Pomerance –Exemples de nombres pseudo- premiers : les nombres de Carmichael le test de Fermat nest pas assez sûr

36 3.4Tests de primalité test de Solovay-Strassen –choisir au hasard a –test positif ssi a (n-1)/2 mod n = J (a/n) J est le symbole de Jacobi –si n est composé la probabilité du test est < 1/2 répétition du test pour différentes valeurs de a test déterministe en temps polynomial Agrawal, Kayal et Saxenasept –Construction déterministe n = 1 + p p … p k k p i premiers i N \ {0} n premier ssi a Z n * a (n-1) mod n = 1 et p premier et p | (n-1) a (n-1)p mod n 1

37 3.5Choix des clefs Choix de e – premier avec (n) – test par lalgorithme dEuclide Calcul de d = e -1 mod (n) –Algorithme dEuclide étendupolynomial

38 3.6Cryptage & décryptage Emetteur du cryptogramme –Calcul de y = x e mod npolynomial Récepteur du cryptogramme –Calcul de x = y d mod nidem simplifications possibles en conservant p, q, d mod (p-1), d mod (q-1), q -1 mod p et en utilisant le théorème des restes chinois

39 3.7Cryptanalyse –Tous les niveaux sont équivalents possibilité dattaque par texte choisi –Conjectureséquivalentes les facteurs premiers de n ne peuvent être calculés en temps polynomial (n) ne peut être calculé en temps polynomial –Recherche de x connaissant y calcul de x = e y mod n conjecture : x ne peut être calculé quavec d –Recherche de d connaissant e calcul de d = e -1 mod (n) conjecture : d ne peut être calculé sans (n)

40


Télécharger ppt "II CRYPTOLOGIE « contemporaine » Sommaire 1.Les fondements p. 59 2.Les protocoles simples p. 77."

Présentations similaires


Annonces Google