[PDF] Analyse cryptographique des altérations dalgorithmes





Previous PDF Next PDF



Algorithmique Cours 5 : Cryptographie et cryptosystème RSA ROB3

Algorithmes de chiffrement. Deux classes d'algorithmes de chiffrement : ?. Cryptographie symétrique (ou à clé privé). Les clés de cryptage et de décryptage 



Cryptosystème RSA

Cryptosystème RSA. Anca Nitulescu anca.nitulescu@ens.fr Algorithme d'Euclide étendu ... L'algorithme d'Euclid étendu calcule des coeficients (uv).



La cryptographie asymétrique avec RSA

Aug 12 2019 Ce que l'on appelle RSA est un algorithme de chiffrement et déchiffrement. ... l'Union Européenne



Sur lalgorithme RSA

Enfin on va calculer la valeur de ? en un produit de deux nombres premiers distincts. Ceci nous servira en effet dans l'algorithme RSA. Lemme 1.1 Soient p et q 



La sécurité informatique

Cryptologie - Clé publique - A08. 12. Premier algorithme à clé publique – RSA. ? Cet algorithme a été proposé en 1977 par Rivest Shamir et.



La cryptographie RSA

Le cryptage RSA du nom de ses concepteurs



Grands nombres premiers Cryptographie RSA

L'algorithme procède par élimination : il s'agit de supprimer de la table complète de tous les entiers allant de 2 jusqu'à n tous les entiers qui sont 



CRYPTANALYSE DE RSA

Jan 2 2015 Algorithme 2 : Fabrication des clés. Entrée : Deux nombres premiers p et q. Sortie : Une clé privée d et une clé publique e. 1: Calculer ?(N)=(p ...



Analyse cryptographique des altérations dalgorithmes

Aug 12 2011 Algorithme de signature numérique standardisé par le NIST aux États-. Unis



TP : RSA 1 Algorithmes de RSA avec bc

Comprendre les algorithmes mis en jeu dans le système RSA. 2. Utiliser OpenSSL pour chiffrer/déchiffrer des clés avec RSA. Outils : bc calulateur de précision 



[PDF] Cryptosystème RSA - DI ENS

Il existe u et v tels que xu + nv = pgcd(xn) = 1 Trouver l'inverse d'un élément revient à calculer u L'algorithme d'Euclid étendu calcule des coeficients 



[PDF] Algorithmique Cours 5 : Cryptographie et cryptosystème RSA ROB3

Algorithmes de chiffrement Deux classes d'algorithmes de chiffrement : ? Cryptographie symétrique (ou à clé privé) Les clés de cryptage et de décryptage 



[PDF] Sur lalgorithme RSA

Le RSA a été inventé par Rivest Shamir et Adleman en 1978 C'est l'exemple le plus courant de cryptographie asymétrique toujours considéré comme sûr



[PDF] La cryptographie RSA

Le cryptage RSA du nom de ses concepteurs Ron Rivest Adi Shamir et Leonard Adleman est le premier algorithme de chiffrement asymétrique Il a été découvert 



[PDF] Grands nombres premiers Cryptographie RSA

Grands nombres premiers Cryptographie RSA François DE MARÇAY Département de Mathématiques d'Orsay Université Paris-Sud France 1 Limitations physiques



[PDF] La cryptographie asymétrique avec RSA - Zeste de Savoir

12 août 2019 · 1 Un peu d'histoire et beaucoup de mathématiques Ce que l'on appelle RSA est un algorithme de chiffrement et déchiffrement



[PDF] [RSA : Rivest Shamir Adleman] - Zenk - Security

Présentation du RSA Comment génère t'on les clés publique privé ? Algorithme de Bézout Pseudo-code RSA Présentation pratique en JAVA Etude de la sécurité 



[PDF] CRYPTANALYSE DE RSA - Abderrahmane Nitaj

Algorithme 1 : Fabrication du module Entrée : Une taille t pour le module du cryptosyt`eme RSA Sortie : Un module RSA N de taille t



[PDF] Cryptographie RSA - Laure Gonnord

Rivest Shamir Adleman ou RSA est un algorithme asymétrique de cryptographie à clé publique très utilisé dans le commerce électronique et plus généralement 



[PDF] La cryptographie RSA vingt ans après - Apprendre-en-lignenet

L'algorithme RSA est moins rapide que les algorithmes classiques à une seule clef ce qui est un handicap lorsque l'on doit coder des messages volumineux Aussi 

  • Comment fonctionne l'algorithme RSA ?

    Le cryptage RSA fonctionne en utilisant une paire de clés - clés publiques et privées - pour crypter et décrypter les données. La clé publique est utilisée pour chiffrer les données, tandis que la clé privée est utilisée pour déchiffrer les données.

  • Comment coder en RSA ?

    Protocole RSA pour le codage
    e × d + m × (p – 1)(q – 1) = 1 Pour ce faire, elle peut utiliser un algorithme de calcul très connu depuis l'Antiquité (vers 300 ans avant Jésus-Christ) appelé algorithme d'Euclide. Elle calcule également n = p × q.

  • Quels sont les deux outils mathématiques indispensables du chiffrement RSA ?

    RSA a besoin d'une clé publique (constituée de 2 nombres (n,e) ) et d'une clé privée (1 seul nombre d ). Avec ces nombres, le couple (n,e) est appelée la clé publique et le nombre d est la clé privée.

  • Algorithmes de cryptographie symétrique (à clé secrète)

    Chiffre de Vernam (le seul offrant une sécurité théorique absolue, à condition que la clé ait au moins la même longueur que le message à chiffrer, qu'elle ne soit utilisée qu'une seule fois et qu'elle soit totalement aléatoire)DES.3DES.AES.RC4.RC5.MISTY1.
Analyse cryptographique des altérations dalgorithmes Universit´e de Versailles Saint-Quentin Laboratoire de Recherche en Informatique

Analyse cryptographique des

alt´erations d"algorithmes TH `ESE pr´esent´ee et soutenue publiquement le 29 Septembre 2010 pour l"obtention du Doctorat de l"Universit´e de Versailles Saint-Quentin-en-Yvelines (sp´ecialit´e informatique) par

Alexandre Berzati

Composition du jury

Rapporteurs :Jean-Claude Bajard Professeur `a l"Universit´e Paris VIJean-Jacques Quisquater Professeur `a l"Universit´e catholique de Louvain

Examinateurs :C´ecile DumasEncadrante, Ing´enieur au CEA-Leti Minatec Louis GoubinDirecteur de Th`ese, Professeur `a l"Universit´e de

Versailles St-Quentin-en-Yvelines

Marc Joye Ing´enieur `a Technicolor

Christof Paar Professeur `a la Ruhr-Universit¨at Bochum

Pascal Paillier Ing´enieur `a CryptoExperts

Fr´ed´eric Valette Ing´enieur `a la DGA

CEA-Leti Minatec - Centre d"Evaluation de la S´ecurit´e des Technologies de l"Information (CESTI)

Mis en page avec la classe thloria.

Remerciements

En premier lieu, je souhaite remercierC´ecile DumasetLouis Goubinde m"avoir donner

l"opportunit´e de r´ealiser cette th`ese au CEA Grenoble. En particulier, je souhaite remercierC´e-

cilepour son accompagnement au quotidien, sa gentillesse et qui a toujours sume conseiller

pour que je puisse donner le meilleur de moi-mˆeme dans mes diff´erents travaux. Je tiens aussi

`a remercierLouisd"avoir accept´e de diriger cette th`ese et qui, malgr´e la distance, m"a toujours

soutenu dans mes travaux et m"a fait profiter de sa grande exp´eriencepour ´etudier la s´ecurit´e

des syst`emes embarqu´es. J"aimerais ensuite remercierJean-Claude BajardetJean-Jacques Quisquaterd"avoir accept´e la lourde tˆache de rapporteur. Un grand merci `aChristof Paar,Marc Joye,Pas-

cal PaillieretFr´ed´eric Valetted"avoir accept´e de faire partie de mon jury de th`ese. J"en

profite pour ´egalement remercier tous mes coauteurs qui ont contribu´e `a faire de cette th`ese

ce qu"elle est. Je remercie donc chaleureusementGuilhem Castagnos,Blandine Debraize, C ´ecile Dumas,Jean-Guillaume Dumas,Louis Goubin,Aline Gouget,Pascal Pail- lieretSt´ephanie Salgadopour leur fructueuse collaboration.

Alors que je ne me destinais pas `a faire une th`ese `a la sortie d"´ecole d"ing´enieur, certaines

personnes m"ont convaincu de me lancer dans cette grande et belle aventure. Je pense notam- ment `aJulien Bringer,Herv´e ChabanneetHerv´e Pelletierqui, d`es mon stage de fin

d"´etude `a SAGEM S´ecurit´e, m"ont donn´e le goˆut de la recherche. Je pense ´egalement `aFran¸cois

VACHERANDqui, lors de notre premi`ere entrevue au LETI, a fini de me convaincre.

Mais, il serait r´educteur de r´esumer cette th`ese `a un projet professionnel. En effet, celle-ci

a aussi ´et´e une aventure humaine extrˆemement enrichissante. J"ai particuli`erement appr´eci´e la

bonne humeur qui a r´egn´e au sein de mon laboratoire de "rattachement" ainsi que dans mon laboratoire "d"adoption". Je tiens `a remercier les membres du CESTI pour leur accueil ainsi que

pour tous les moments r´ecr´eatifs qu"ils m"ont offert (poissons d"avril, canulars t´el´ephoniques,

discussions footballistiques ou automobilistiques, semaines du goˆut, blagues en tous genres, etc ...). Merci donc `aSt´ephanie,Marielle,Didier,Elizabeth,Jean-Yves,Jean-Pierre, Karine,Olivier,Mathildesans oublierPhilippe"un" etPhilippe"de(ux)". Un merci tout particulier va `aJessy Cl´edi`eredont la contribution `a cette th`ese va au-del`a de la par-

tie r´ecr´eative. Un grand merci va `a mes autres coll`egues du BOC, avec qui j"ai pris un grand

plaisir `a travailler. Il s"agit de mes deux "co-bureau"ChristineetLionel, mon acolyte doctor- antPierre-Henri(accessoirement co-fondateur et chef du Projet "Jeudi-P"tit D`ej") ainsi que R ´emi,ManueletFlorian. Je remercie ´egalement tous ceux qui ont partag´e mon quotidien

au CEA (ou en conf´erences) ces trois derni`eres ann´ees et qui ont particip´e, de pr`es ou de loin,

au bon d´eroulement de cette th`ese. J"aimerais consacrer cette derni`ere partie `a remercier les personnes qui comptent le plus pour moi et sans qui je ne serais certainement pas l`a aujourd"hui, `a savoir ma famille et mes amis. Je

souhaite remercier sinc`erement ma m`ere pour l"´education qu"elle m"a donn´ee et pour le d´evoue-

ment dont elle a toujours fait preuve pour la r´eussite de ses enfants, parfois dans des situations

difficiles. C"est pourquoi je souhaite inscrire ici, noir sur blanc,toute mon admiration pour elle

et mon immense reconnaissance. Merci aussi `a mon petit fr`ereBizavec qui j"ai sˆurement pass´e

les meilleurs moments de ma vie. Une pens´ee particuli`ere va `ames grands-parents, mes oncles et mes cousins pour leur soutien permanent. Je tiens `a remercier´egalement mes deux amis d"en- i

fanceVincentetMaxpour toutes ces soir´ees PES ou FIFA et pour la sinc´erit´e de leur amiti´e.

Un clin d"oeil va ´egalement `a mon"poto"Tomato(le "n´eo-frelon" rouge) pour m"avoir incit´e `a

faire le Master Crypto et m"avoir accord´e son amiti´e. Enfin, mon dernier remerciement, et sans doute le plus important, va `a ma fianc´eeS´egol`ene,

qui a le m´erite de me supporter (et ce n"est pas une mince affaire ...) depuis quelques ann´ees

d´ej`a. Je la remercie pour tout son amour et tout le bonheur que nous partageons dans notre

vie quotidienne. J"esp`ere qu"elle embrassera la r´eussite qu"elle m´erite dans les travaux de th`ese

qu"elle s"apprˆete `a entreprendre, et je ferai tout mon possiblepour la combler dans notre vie future. ii

Je d´edie cette th`ese `a

ma maman, mon fr`ere et mes grands-parents iii iv

Avant-Propos

La cryptographie classique s"efforce de construire des sch´emas en fournissant, dans la mesure

du possible, des preuves relatives de s´ecurit´e bas´ees sur ladifficult´e de certains probl`emes math-

´ematiques au sens de la th´eorie de la complexit´e. Dans un mod`ele de s´ecurit´e plus ´etendu, on

consid`ere ´egalement, depuis quelques ann´ees, des attaques quiprennent en compte la nature

physique des calculs. Ces nouvelles attaques sont particuli`erement mena¸cantes pour les syst`emes

embarqu´es tels que les cartes `a microprocesseur, contre lesquels un adversaire peut mobiliser des

moyens d"analyse de plus en plus sophistiqu´es. Parmi ces attaques, les techniques d"injection de

fautes sont apparues `a la fin des ann´ees 90, et n"ont cess´e d"´evoluerdepuis. La popularit´e de

cette classe d"attaque physique r´eside sur la possibilit´e de retrouver efficacement, et `a moindre

coˆut, les donn´ees secr`etes pour certaines implantations d"algorithmes cryptographiques.

Cette th`ese est le fruit des recherches que j"ai effectu´ees ausein du laboratoire d"´evaluation

du CEA-LETI : le CESTI

1. Bien que le sujet principal de cette th`ese concerne la conception et

l"implantation d"attaques par perturbations, mes recherches m"ont amen´e sur des th´ematiques

vari´ees allant de la th´eorie des nombres aux algorithmes de r´eduction de r´eseaux. Cette vaste

exploration m"a permis d"acqu´erir une connaissance g´en´erale desconcepts li´es `a la cryptographie

moderne. Cette connaissance a ´et´e compl´et´ee par l"´etude, plus particuli`ere, des attaques par per-

turbation qui m"a apport´e une vision plus pragmatique des probl´ematiques li´ees `a l"implantation

de fonctions cryptographiques.

Parmi les diff´erentes attaques que nous avons imagin´ees, j"ai essay´e de mettre en avant l"´etude

que nous avons men´ee sur les effets relatifs `a la perturbation de cl´es publiques. Cette ´etude a

repr´esent´e le fil rouge de la r´eflexion que j"ai men´ee durant cette th`ese. Cette r´eflexion autour des

attaques par perturbation a ´et´e compl´et´ee par l"´etude des implantations de RSA-CRT ou d"al-

gorithmes de chiffrement `a flot. Ces diff´erentes attaques nous ont permis d"identifier les parties

critiques des implantations ´etudi´ees et, tr`es souvent, a abouti `a la proposition de contre-mesures.

Ce m´emoire est divis´e en quatre parties. Nous commencerons par introduire les diff´erents

th`emes abord´es `a savoir, principalement, la cryptographie et les attaques par injection de fautes.

Ensuite, nous pr´esenterons les attaques que nous avons imagin´ees pour exploiter les perturbations

d"´el´ements publics. La troisi`eme partie adressera les applications des attaques par perturbations

contre les implantations d"algorithmes de chiffrement `a flot ´emergents. Enfin, avant de conclure

sur les attaques par perturbation, nous mettrons en ´evidence toute la difficult´e d"´elaborer des

contre-mesures efficaces avec l"exemple du RSA-CRT.

1. Centre d"´Evaluation de la S´ecurit´e des Technologies de l"Information.

v

Avant-Propos

vi

Glossaire

A5/1 Algorithme de chiffrement `a flot utilis´e dans le cadre des communications GSM.

CPUCentralProcessorUnit

Unit´e centrale de traitement de l"information qui constitue le coeur calcu- latoire d"un microprocesseur.

CRTChineseRemainderTheorem

Th´eor`eme d"arithm´etique modulaire traitant de r´esolution de syst`emes de congruences. Ce th´eor`eme est notamment utilis´e pour rendre le calcul d"une signature RSA, en th´eorie, quatre fois plus rapide.

DFADifferentialFaultAnalysis

Technique d"attaque physique consistant `a extraire de l"information `a partir des diff´erences observ´ees entre un chiffr´e de r´ef´erence et un chiffr´e obtenu en perturbant le composant cryptographique.

DPADifferentialPowerAnalysis

Technique d"attaque physique consistant `a mettre en ´evidenceune dif- f´erence de consommation moyenne, en fonction de la valeur d"un bit d"une donn´ee manipul´ee.

DSADigitalSignatureAlgorithm

Algorithme de signature num´erique standardis´e par le NIST aux

´Etats-

Unis, du temps o`u le RSA ´etait encore brevet´e. Cet algorithme faitpartie de la sp´ecificationDSSpourDigital Signature Standardadopt´ee en 1993.

GSMGlobalSystem forMobile Communications

Norme num´erique de deuxi`eme g´en´eration pour la t´el´ephonie mobile.

LFSRLinearFeedbackShiftRegister

Registre `a d´ecalage avec r´etroaction lin´eaire. Les LFSR sont souventutilis´es dans les algorithmes de chiffrement `a flot ou dans les g´en´erateurs denombres pseudo-al´eatoires.

LLLLenstraLenstraLov´asz

LLL est un algorithme de r´eduction de r´eseau notamment utilis´e pour crypt- analyser des sch´emas de chiffrement asym´etrique. vii

Glossaire

LSBLeastSignificantBit

En fran¸cais, bit de poids faible. Bit ayant la plus petite valeur dans la repr´esentation binaire. C"est le bit de droite dans la repr´esentation binaire habituelle.

MSBMostSignificantBit

En fran¸cais, bit de poids fort. Bit ayant la plus grande valeur dans la repr´esentation binaire. C"est le bit de gauche dans la repr´esentation binaire habituelle.

NISTNationalInstitute ofStandards andTechnology

Agence du D´epartement de Commerce des

´Etats-Unis rempla¸cant l"organ-

isme de normalisation anciennement appel´e NBS.

NSANationalSecurityAgency

Organisme gouvernemental des

´Etats-Unis, responsable de la collecte et de

l"analyse de toutes formes de communications, aussi bien militaires,gou- vernementales, commerciales ou mˆeme personnelles, par radiodiffusion, par

Internet ou par tout autre mode de transmission.

NVMNon-VolatileMemory

En fran¸cais, m´emoire non-volatile. Type de m´emoire qui conservantles donn´ees qu"elle contient en l"absence d"alimentation ´electrique. La ROM est un exemple de m´emoire de ce type.

OAEPOptimalAsymmetricEncryptionPadding

Cet algorithme fut introduit en 1994 par M. Bellare et P. Rogaway [Mui06]. Utilis´e pour le RSA, RSA-OAEP est prouv´e sˆur dans le mod`ele de l"oracle al´eatoire.

PSSProbalisticSignatureScheme

M´ethode pour cr´eer des signatures RSA propos´ee par M. Bellare et P. Rogaway [BR96] et prouv´ee sˆure dans le mod`ele de l"oracle al´eatoire.

RAMRandomAccessMemory

M´emoire rapide et volatile dans laquelle un ordinateur place les donn´ees lors de leur traitement.

RC4RivestCipher 4

Algorithme de chiffrement `a flot con¸cu en 1987 par R. Rivest. Il est support´e par diff´erentes normes, par exemple dans SSL.

RSARivestShamirAdleman

Du nom de ses inventeurs, le RSA est un crypto-syst`eme `a cl´e publique dont la s´ecurit´e repose sur la difficult´e suppos´ee dz la factorisation de grands entiers. viii

ROMRead-OnlyMemory

M´emoire qui ne s"efface pas lorsque l"appareil qui la contient n"estplus aliment´e en ´electricit´e. Une fois programm´ees, les donn´ees stock´ees en ROM ne sont plus modifiables.

SPASimplePowerAnalysis

Technique d"attaque physique consistant `a extraire de l"information secr`ete `a partir de la mesure et de l"analyse du courant consomm´e lors de l"ex´ecution d"un calcul cryptographique.

SSLSecureSocketLayer

Protocole de s´ecurisation des ´echanges sur Internet, d´evelopp´e `a l"origine par Netscape. Ce protocole fournit les fonctions d"authentification, d"in- t´egrit´e et de confidentialit´e. OpenSSL est une implantation libre du proto- cole SSL.

Wi-Fi Contraction deWirelessFidelity

Technologie permettant de relier sans fil plusieurs appareils informatiques au sein d"un r´eseau informatique. Cette technologie, r´egie par le groupe de normes IEEE 802.11, est devenue moyen d"acc`es haut d´ebit `a Internet. ix

Glossaire

x

Table des mati`eres

Avant-Proposv

Glossairevii

Table des figuresxvii

Liste des tableauxxix

Partie I La cryptographie appliqu´ee

Chapitre 1 Pr´esentation g´en´erale3

1.1 Introduction `a la cryptologie . . . . . . . . . . . . . . . . . . . . . . . . . .. 3

1.2 La cryptographie sym´etrique . . . . . . . . . . . . . . . . . . . . . . . . . . .4

1.2.1 Pr´esentation de RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2.2 Pr´esentation deRabbit. . . . . . . . . . . . . . . . . . . . . . . . . 7

1.2.3 Pr´esentation deGrain-128. . . . . . . . . . . . . . . . . . . . . . . 11

1.3 La cryptographie asym´etrique . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.3.1 Pr´esentation de RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

1.3.2 Pr´esentation d"El Gamal . . . . . . . . . . . . . . . . . . . . . . . . . 16

1.3.3 Pr´esentation de DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 17

1.3.4 M´ethodes d"exponentiation modulaire . . . . . . . . . . . . . . . . . .18

xi

Table des mati`eres

Chapitre 2 Les attaques par perturbation23

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

2.2 Les perturbations en pratique . . . . . . . . . . . . . . . . . . . . . . . . . . .24

2.2.1 Attaques par impulsions ´electriques . . . . . . . . . . . . . . . . . .. 24

2.2.2 Attaques par illumination . . . . . . . . . . . . . . . . . . . . . . . . . 25

2.2.3 Attaques par impulsions magn´etiques . . . . . . . . . . . . . . . . . . 25

2.3 Les mod`eles de perturbation . . . . . . . . . . . . . . . . . . . . . . . . . . .26

2.3.1 Types de perturbation . . . . . . . . . . . . . . . . . . . . . . . . . . 26

2.3.2 Mod´elisation des effets de perturbations . . . . . . . . . . . . . . . .. 26

2.4 Attaques classiques et contre-mesures . . . . . . . . . . . . . . . . . .. . . . 28

2.4.1 Application au chiffrement sym´etrique : Exemple de RC4 . . . . .. . 28

2.4.2 Application au chiffrement asym´etrique : Exemple de RSA . . . . .. 31

Chapitre 3 Contributions et R´esultats33

Partie II Attaques par perturbation des ´el´ements publics Chapitre 4 Analyse de la perturbation d"un module RSA 37 4.1

´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.1.1 Attaque du m´ecanisme de signature RSA . . . . . . . . . . . . . . . . 384.1.2 Attaque de Brieret al.. . . . . . . . . . . . . . . . . . . . . . . . . . 39

4.1.3 Conclusion & Motivations . . . . . . . . . . . . . . . . . . . . . . . . 40

4.2 Attaque des implantations type "Right-To-Left" . . . . . . . . . . . . . .. . 41

4.2.1 Perturbation d"un module public RSA . . . . . . . . . . . . . . . . . . 41

4.2.2 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 42

4.2.3 Extension du mod`ele de faute . . . . . . . . . . . . . . . . . . . . . . 46

4.3 Attaque des implantations type "Left-To-Right" . . . . . . . . . . . . . .. . 48

4.3.1 Limitation de l"analyse R2L . . . . . . . . . . . . . . . . . . . . . . . 48

4.3.2 Probl`eme des racines carr´ees modulaires . . . . . . . . . . . . . . .. 49

4.3.3 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 54

xii Chapitre 5 Extension de l"analyse `a un RSA avec exposant masqu´e59 5.1

´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595.1.1 Algorithme de masquage d"exposant . . . . . . . . . . . . . . . . . . . 595.1.2 Premi`eres attaques physiques . . . . . . . . . . . . . . . . . . . . . . .60

5.2 Perturbation du module public d"un RSA masqu´e . . . . . . . . . . . .. . . 61

5.2.1 Analyse binaire d"un exposant masqu´e . . . . . . . . . . . . . . . . . 61

5.2.2 Exemple d"ex´ecution perturb´ee . . . . . . . . . . . . . . . . . . . .. . 62

5.2.3 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 63

5.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

Chapitre 6 Analyse de la perturbation d"un module DSA 71 6.1

´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.1.1 Attaque de C.H. Kimet al.. . . . . . . . . . . . . . . . . . . . . . . . 72

6.2 Quelques outils math´ematiques . . . . . . . . . . . . . . . . . . . . . . . .. . 73

6.2.1 Algorithme de r´eduction de r´eseau . . . . . . . . . . . . . . . . . . . . 74

6.2.2 Probl`eme du vecteur le plus proche (CVP) . . . . . . . . . . . . . . .75

6.3 Attaque DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

6.3.1 Perturbation d"un module public de DSA . . . . . . . . . . . . . . . . 76

6.3.2 Analyse des perturbations . . . . . . . . . . . . . . . . . . . . . . . . 78

6.3.3 Extensions de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . 84

6.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86

Chapitre 7 Conclusion89

Partie III Perturbations d"algorithmes de chiffrement `a flot Chapitre 8´Etude des algorithmes de chiffrement `a flot 93 8.1

´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938.1.1 Algorithmes `a structure interne lin´eaire . . . . . . . . . . . . . .. . . 93

8.1.2 Nouvelles tendances, nouvelles attaques . . . . . . . . . . . . . . . . . 94

8.2 Nouveaux enjeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

xiii

Table des mati`eres

Chapitre 9 Application `a l"algorithmeRabbit97

9.1 Pr´eliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97

9.1.1 Motivations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97

9.1.2 Quelques propri´et´es des retenues . . . . . . . . . . . . . . . . . .. . . 98

9.2 Description de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99

9.2.1 Perturbation transitoire d"une op´eration . . . . . . . . . . . . . . . . 99

9.2.2 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 101

9.2.3 Algorithme d"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

9.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Chapitre 10 Application `a l"algorithmeGrain-128111

10.1 Description de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111

10.1.1 Basculement d"un bit de l"´etat interne . . . . . . . . . . . . . . . .. . 111

10.1.2 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 112

10.2 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Partie IV Analyse de contre-mesures DFA

Chapitre 11 Cas du RSA-CRT123

11.1 Pr´esentation de RSA-CRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

11.1.1 Description g´en´erale . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123

11.1.2 Signature en mode CRT . . . . . . . . . . . . . . . . . . . . . . . . . 124

11.2 Contre-mesures DFA : cas du RSA-CRT . . . . . . . . . . . . . . . . . . . . . 124

11.2.1 Attaque de Bellcore et am´elioration . . . . . . . . . . . . . . . . . . . 124

11.2.2 Contre-mesures par extension al´eatoire du module . . . . . . . . . .. 125

11.2.3 Perturbation sur la recombinaison CRT . . . . . . . . . . . . . . . . . 126

11.2.4 Contre-mesures combin´ees SPA et DFA . . . . . . . . . . . . . . . . . 129

11.3 Perturbation d"une implantation prot´eg´ee de RSA-CRT . . . . . . . .. . . . 131

11.3.1 Contexte de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

11.3.2 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 132

11.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

xiv

Partie V Conclusion & Perspectives

Index145

Bibliographie147

xv

Table des mati`eres

xvi

Table des figures

1.1 Sch´ema de cryptographie sym´etrique . . . . . . . . . . . . . . . . . . .. . . . . . 5

1.2 Sch´ema de mise `a jour de l"´etat interne de RC4 . . . . . . . . . . .. . . . . . . . 7

1.3 Sch´ema de la mise `a jour de l"´etat interne (tir´e de [BVP

+03]) . . . . . . . . . . . 10

1.4 Sch´ema de mise `a jour de l"´etat interne deGrain-128. . . . . . . . . . . . . . . 12

1.5 Sch´ema de cryptographie asym´etrique . . . . . . . . . . . . . . . . . . .. . . . . 14

1.6 Sch´ema de signature ´electronique . . . . . . . . . . . . . . . . . . . . .. . . . . . 14

2.1 Illustration de la perturbation deS[1] dans RC4 . . . . . . . . . . . . . . . . . . 29

2.2 Perturbation "impossible" de RC4 . . . . . . . . . . . . . . . . . . . . . . .. . . . 30

4.1 Perturbation d"un octet al´eatoire d"un module public RSA . . . .. . . . . . . . . 41

4.2 Distribution exp´erimentale du nombre de premiers parmi des nombres de 1024

bits de nature diff´erente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . 53

5.1 Analyse binaire d"un masquage d"exposant . . . . . . . . . . . . . . . . . . . . .. 61

6.1 Illustration de l"application de l"algorithme LLL . . . . . . . . . . . . . . .. . . . 75

6.2 Illustration de l"application de l"algorithme de Babai . . . . . . . . . . .. . . . . 76

6.3 Taux de r´eussite de l"attaque r´eseau en fonction de la taille de fenˆetrewet du

nombre de fautesη. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

9.1 Perturbation du calcul dex1,i+1pendant la mise `a jour deRabbit. . . . . . . . 101

9.2 Propagation de la perturbation dans la suite chiffrante deRabbit. . . . . . . . 102

11.1 Perturbation d"un octet al´eatoire du r´esultat de l"exponentiation modulop?. . . 131

11.2 Distribution des bits d"erreur dans le d´enominateur de ˆγ. . . . . . . . . . . . . . 134

11.3 Distribution des bits de ˆγpour un d´ecalagel >8i. . . . . . . . . . . . . . . . . 134

11.4 Distribution des bits de ˆγpour un d´ecalagel <8ietl < κ. . . . . . . . . . . . . 135

xvii

Table des figures

xviii

Liste des tableaux

4.1 Estimation empirique du nombre de premiers dansN. . . . . . . . . . . . . . . . 53

6.1 Temps moyen d"extraction dewbits d"al´ea pour un DSA de 160 bits . . . . . . . 83

10.1 Fautes n´ecessaires pour retrouver l"´etat du LFSR deGrain-128. . . . . . . . . 115

10.2 Nombre d"´equations lin´eaires en les bits du NFSR suivant le position de la faute

dans le LFSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

10.3 Fautes cons´ecutives pour retrouver le NFSR deGrain-128. . . . . . . . . . . . 118

10.4 Nombres d"´equations pour des fautes non cons´ecutives surGrain-128. . . . . . 118

11.1 R´ecapitulatif des m´ethodes de protection des signatures RSA-CRT contre les per-

turbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 xix

Liste des tableaux

xx

Premi`ere partie

La cryptographie appliqu´ee

1

Chapitre 1

Pr´esentation g´en´erale

Sommaire

1.1 Introduction `a la cryptologie . . . . . . . . . . . . . . . . . . . . .3

1.2 La cryptographie sym´etrique . . . . . . . . . . . . . . . . . . . . . 4

1.2.1 Pr´esentation de RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2.1.1 Initialisation . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2.1.2 G´en´eration de la suite chiffrante . . . . . . . . . . . . . . . 6

quotesdbs_dbs30.pdfusesText_36
[PDF] algorithme rsa exercice corrigé

[PDF] cryptage rsa exemple

[PDF] cryptographie asymétrique algorithme

[PDF] chiffrement asymétrique et symétrique

[PDF] chiffrement asymétrique exemple

[PDF] cryptographie exercices corrigés pdf

[PDF] les nombres en lettres pdf

[PDF] les nombres en lettres de 0 ? 1000

[PDF] ap seconde chiffres significatifs

[PDF] chiffres significatifs excel

[PDF] les chiffres significatifs cours

[PDF] chiffres significatifs sinus

[PDF] precision d une mesure et chiffres significatifs

[PDF] chiffres significatifs exacts

[PDF] chiffres significatifs exos