Algorithmique Cours 5 : Cryptographie et cryptosystème RSA ROB3
Algorithmes de chiffrement. Deux classes d'algorithmes de chiffrement : ?. Cryptographie symétrique (ou à clé privé). Les clés de cryptage et de décryptage
Cryptosystème RSA
Cryptosystème RSA. Anca Nitulescu anca.nitulescu@ens.fr Algorithme d'Euclide étendu ... L'algorithme d'Euclid étendu calcule des coeficients (uv).
La cryptographie asymétrique avec RSA
Aug 12 2019 Ce que l'on appelle RSA est un algorithme de chiffrement et déchiffrement. ... l'Union Européenne
Sur lalgorithme RSA
Enfin on va calculer la valeur de ? en un produit de deux nombres premiers distincts. Ceci nous servira en effet dans l'algorithme RSA. Lemme 1.1 Soient p et q
La sécurité informatique
Cryptologie - Clé publique - A08. 12. Premier algorithme à clé publique – RSA. ? Cet algorithme a été proposé en 1977 par Rivest Shamir et.
La cryptographie RSA
Le cryptage RSA du nom de ses concepteurs
Grands nombres premiers Cryptographie RSA
L'algorithme procède par élimination : il s'agit de supprimer de la table complète de tous les entiers allant de 2 jusqu'à n tous les entiers qui sont
CRYPTANALYSE DE RSA
Jan 2 2015 Algorithme 2 : Fabrication des clés. Entrée : Deux nombres premiers p et q. Sortie : Une clé privée d et une clé publique e. 1: Calculer ?(N)=(p ...
Analyse cryptographique des altérations dalgorithmes
Aug 12 2011 Algorithme de signature numérique standardisé par le NIST aux États-. Unis
TP : RSA 1 Algorithmes de RSA avec bc
Comprendre les algorithmes mis en jeu dans le système RSA. 2. Utiliser OpenSSL pour chiffrer/déchiffrer des clés avec RSA. Outils : bc calulateur de précision
[PDF] Cryptosystème RSA - DI ENS
Il existe u et v tels que xu + nv = pgcd(xn) = 1 Trouver l'inverse d'un élément revient à calculer u L'algorithme d'Euclid étendu calcule des coeficients
[PDF] Algorithmique Cours 5 : Cryptographie et cryptosystème RSA ROB3
Algorithmes de chiffrement Deux classes d'algorithmes de chiffrement : ? Cryptographie symétrique (ou à clé privé) Les clés de cryptage et de décryptage
[PDF] Sur lalgorithme RSA
Le RSA a été inventé par Rivest Shamir et Adleman en 1978 C'est l'exemple le plus courant de cryptographie asymétrique toujours considéré comme sûr
[PDF] La cryptographie RSA
Le cryptage RSA du nom de ses concepteurs Ron Rivest Adi Shamir et Leonard Adleman est le premier algorithme de chiffrement asymétrique Il a été découvert
[PDF] Grands nombres premiers Cryptographie RSA
Grands nombres premiers Cryptographie RSA François DE MARÇAY Département de Mathématiques d'Orsay Université Paris-Sud France 1 Limitations physiques
[PDF] La cryptographie asymétrique avec RSA - Zeste de Savoir
12 août 2019 · 1 Un peu d'histoire et beaucoup de mathématiques Ce que l'on appelle RSA est un algorithme de chiffrement et déchiffrement
[PDF] [RSA : Rivest Shamir Adleman] - Zenk - Security
Présentation du RSA Comment génère t'on les clés publique privé ? Algorithme de Bézout Pseudo-code RSA Présentation pratique en JAVA Etude de la sécurité
[PDF] CRYPTANALYSE DE RSA - Abderrahmane Nitaj
Algorithme 1 : Fabrication du module Entrée : Une taille t pour le module du cryptosyt`eme RSA Sortie : Un module RSA N de taille t
[PDF] Cryptographie RSA - Laure Gonnord
Rivest Shamir Adleman ou RSA est un algorithme asymétrique de cryptographie à clé publique très utilisé dans le commerce électronique et plus généralement
[PDF] La cryptographie RSA vingt ans après - Apprendre-en-lignenet
L'algorithme RSA est moins rapide que les algorithmes classiques à une seule clef ce qui est un handicap lorsque l'on doit coder des messages volumineux Aussi
Comment fonctionne l'algorithme RSA ?
Le cryptage RSA fonctionne en utilisant une paire de clés - clés publiques et privées - pour crypter et décrypter les données. La clé publique est utilisée pour chiffrer les données, tandis que la clé privée est utilisée pour déchiffrer les données.Comment coder en RSA ?
Protocole RSA pour le codage
e × d + m × (p – 1)(q – 1) = 1 Pour ce faire, elle peut utiliser un algorithme de calcul très connu depuis l'Antiquité (vers 300 ans avant Jésus-Christ) appelé algorithme d'Euclide. Elle calcule également n = p × q.Quels sont les deux outils mathématiques indispensables du chiffrement RSA ?
RSA a besoin d'une clé publique (constituée de 2 nombres (n,e) ) et d'une clé privée (1 seul nombre d ). Avec ces nombres, le couple (n,e) est appelée la clé publique et le nombre d est la clé privée.Algorithmes de cryptographie symétrique (à clé secrète)
Chiffre de Vernam (le seul offrant une sécurité théorique absolue, à condition que la clé ait au moins la même longueur que le message à chiffrer, qu'elle ne soit utilisée qu'une seule fois et qu'elle soit totalement aléatoire)DES.3DES.AES.RC4.RC5.MISTY1.
![Analyse cryptographique des altérations dalgorithmes Analyse cryptographique des altérations dalgorithmes](https://pdfprof.com/Listes/17/30153-17document.pdf.jpg)
Analyse cryptographique des
alt´erations d"algorithmes TH `ESE pr´esent´ee et soutenue publiquement le 29 Septembre 2010 pour l"obtention du Doctorat de l"Universit´e de Versailles Saint-Quentin-en-Yvelines (sp´ecialit´e informatique) parAlexandre Berzati
Composition du jury
Rapporteurs :Jean-Claude Bajard Professeur `a l"Universit´e Paris VIJean-Jacques Quisquater Professeur `a l"Universit´e catholique de Louvain
Examinateurs :C´ecile DumasEncadrante, Ing´enieur au CEA-Leti Minatec Louis GoubinDirecteur de Th`ese, Professeur `a l"Universit´e deVersailles St-Quentin-en-Yvelines
Marc Joye Ing´enieur `a Technicolor
Christof Paar Professeur `a la Ruhr-Universit¨at BochumPascal Paillier Ing´enieur `a CryptoExperts
Fr´ed´eric Valette Ing´enieur `a la DGA
CEA-Leti Minatec - Centre d"Evaluation de la S´ecurit´e des Technologies de l"Information (CESTI)
Mis en page avec la classe thloria.
Remerciements
En premier lieu, je souhaite remercierC´ecile DumasetLouis Goubinde m"avoir donnerl"opportunit´e de r´ealiser cette th`ese au CEA Grenoble. En particulier, je souhaite remercierC´e-
cilepour son accompagnement au quotidien, sa gentillesse et qui a toujours sume conseillerpour que je puisse donner le meilleur de moi-mˆeme dans mes diff´erents travaux. Je tiens aussi
`a remercierLouisd"avoir accept´e de diriger cette th`ese et qui, malgr´e la distance, m"a toujours
soutenu dans mes travaux et m"a fait profiter de sa grande exp´eriencepour ´etudier la s´ecurit´e
des syst`emes embarqu´es. J"aimerais ensuite remercierJean-Claude BajardetJean-Jacques Quisquaterd"avoir accept´e la lourde tˆache de rapporteur. Un grand merci `aChristof Paar,Marc Joye,Pas-cal PaillieretFr´ed´eric Valetted"avoir accept´e de faire partie de mon jury de th`ese. J"en
profite pour ´egalement remercier tous mes coauteurs qui ont contribu´e `a faire de cette th`ese
ce qu"elle est. Je remercie donc chaleureusementGuilhem Castagnos,Blandine Debraize, C ´ecile Dumas,Jean-Guillaume Dumas,Louis Goubin,Aline Gouget,Pascal Pail- lieretSt´ephanie Salgadopour leur fructueuse collaboration.Alors que je ne me destinais pas `a faire une th`ese `a la sortie d"´ecole d"ing´enieur, certaines
personnes m"ont convaincu de me lancer dans cette grande et belle aventure. Je pense notam- ment `aJulien Bringer,Herv´e ChabanneetHerv´e Pelletierqui, d`es mon stage de find"´etude `a SAGEM S´ecurit´e, m"ont donn´e le goˆut de la recherche. Je pense ´egalement `aFran¸cois
VACHERANDqui, lors de notre premi`ere entrevue au LETI, a fini de me convaincre.Mais, il serait r´educteur de r´esumer cette th`ese `a un projet professionnel. En effet, celle-ci
a aussi ´et´e une aventure humaine extrˆemement enrichissante. J"ai particuli`erement appr´eci´e la
bonne humeur qui a r´egn´e au sein de mon laboratoire de "rattachement" ainsi que dans mon laboratoire "d"adoption". Je tiens `a remercier les membres du CESTI pour leur accueil ainsi quepour tous les moments r´ecr´eatifs qu"ils m"ont offert (poissons d"avril, canulars t´el´ephoniques,
discussions footballistiques ou automobilistiques, semaines du goˆut, blagues en tous genres, etc ...). Merci donc `aSt´ephanie,Marielle,Didier,Elizabeth,Jean-Yves,Jean-Pierre, Karine,Olivier,Mathildesans oublierPhilippe"un" etPhilippe"de(ux)". Un merci tout particulier va `aJessy Cl´edi`eredont la contribution `a cette th`ese va au-del`a de la par-tie r´ecr´eative. Un grand merci va `a mes autres coll`egues du BOC, avec qui j"ai pris un grand
plaisir `a travailler. Il s"agit de mes deux "co-bureau"ChristineetLionel, mon acolyte doctor- antPierre-Henri(accessoirement co-fondateur et chef du Projet "Jeudi-P"tit D`ej") ainsi que R ´emi,ManueletFlorian. Je remercie ´egalement tous ceux qui ont partag´e mon quotidienau CEA (ou en conf´erences) ces trois derni`eres ann´ees et qui ont particip´e, de pr`es ou de loin,
au bon d´eroulement de cette th`ese. J"aimerais consacrer cette derni`ere partie `a remercier les personnes qui comptent le plus pour moi et sans qui je ne serais certainement pas l`a aujourd"hui, `a savoir ma famille et mes amis. Jesouhaite remercier sinc`erement ma m`ere pour l"´education qu"elle m"a donn´ee et pour le d´evoue-
ment dont elle a toujours fait preuve pour la r´eussite de ses enfants, parfois dans des situations
difficiles. C"est pourquoi je souhaite inscrire ici, noir sur blanc,toute mon admiration pour elleet mon immense reconnaissance. Merci aussi `a mon petit fr`ereBizavec qui j"ai sˆurement pass´e
les meilleurs moments de ma vie. Une pens´ee particuli`ere va `ames grands-parents, mes oncles et mes cousins pour leur soutien permanent. Je tiens `a remercier´egalement mes deux amis d"en- ifanceVincentetMaxpour toutes ces soir´ees PES ou FIFA et pour la sinc´erit´e de leur amiti´e.
Un clin d"oeil va ´egalement `a mon"poto"Tomato(le "n´eo-frelon" rouge) pour m"avoir incit´e `a
faire le Master Crypto et m"avoir accord´e son amiti´e. Enfin, mon dernier remerciement, et sans doute le plus important, va `a ma fianc´eeS´egol`ene,qui a le m´erite de me supporter (et ce n"est pas une mince affaire ...) depuis quelques ann´ees
d´ej`a. Je la remercie pour tout son amour et tout le bonheur que nous partageons dans notrevie quotidienne. J"esp`ere qu"elle embrassera la r´eussite qu"elle m´erite dans les travaux de th`ese
qu"elle s"apprˆete `a entreprendre, et je ferai tout mon possiblepour la combler dans notre vie future. iiJe d´edie cette th`ese `a
ma maman, mon fr`ere et mes grands-parents iii ivAvant-Propos
La cryptographie classique s"efforce de construire des sch´emas en fournissant, dans la mesuredu possible, des preuves relatives de s´ecurit´e bas´ees sur ladifficult´e de certains probl`emes math-
´ematiques au sens de la th´eorie de la complexit´e. Dans un mod`ele de s´ecurit´e plus ´etendu, on
consid`ere ´egalement, depuis quelques ann´ees, des attaques quiprennent en compte la naturephysique des calculs. Ces nouvelles attaques sont particuli`erement mena¸cantes pour les syst`emes
embarqu´es tels que les cartes `a microprocesseur, contre lesquels un adversaire peut mobiliser des
moyens d"analyse de plus en plus sophistiqu´es. Parmi ces attaques, les techniques d"injection defautes sont apparues `a la fin des ann´ees 90, et n"ont cess´e d"´evoluerdepuis. La popularit´e de
cette classe d"attaque physique r´eside sur la possibilit´e de retrouver efficacement, et `a moindre
coˆut, les donn´ees secr`etes pour certaines implantations d"algorithmes cryptographiques.Cette th`ese est le fruit des recherches que j"ai effectu´ees ausein du laboratoire d"´evaluation
du CEA-LETI : le CESTI1. Bien que le sujet principal de cette th`ese concerne la conception et
l"implantation d"attaques par perturbations, mes recherches m"ont amen´e sur des th´ematiquesvari´ees allant de la th´eorie des nombres aux algorithmes de r´eduction de r´eseaux. Cette vaste
exploration m"a permis d"acqu´erir une connaissance g´en´erale desconcepts li´es `a la cryptographie
moderne. Cette connaissance a ´et´e compl´et´ee par l"´etude, plus particuli`ere, des attaques par per-
turbation qui m"a apport´e une vision plus pragmatique des probl´ematiques li´ees `a l"implantation
de fonctions cryptographiques.Parmi les diff´erentes attaques que nous avons imagin´ees, j"ai essay´e de mettre en avant l"´etude
que nous avons men´ee sur les effets relatifs `a la perturbation de cl´es publiques. Cette ´etude a
repr´esent´e le fil rouge de la r´eflexion que j"ai men´ee durant cette th`ese. Cette r´eflexion autour des
attaques par perturbation a ´et´e compl´et´ee par l"´etude des implantations de RSA-CRT ou d"al-
gorithmes de chiffrement `a flot. Ces diff´erentes attaques nous ont permis d"identifier les parties
critiques des implantations ´etudi´ees et, tr`es souvent, a abouti `a la proposition de contre-mesures.
Ce m´emoire est divis´e en quatre parties. Nous commencerons par introduire les diff´erentsth`emes abord´es `a savoir, principalement, la cryptographie et les attaques par injection de fautes.
Ensuite, nous pr´esenterons les attaques que nous avons imagin´ees pour exploiter les perturbations
d"´el´ements publics. La troisi`eme partie adressera les applications des attaques par perturbations
contre les implantations d"algorithmes de chiffrement `a flot ´emergents. Enfin, avant de conclure
sur les attaques par perturbation, nous mettrons en ´evidence toute la difficult´e d"´elaborer des
contre-mesures efficaces avec l"exemple du RSA-CRT.1. Centre d"´Evaluation de la S´ecurit´e des Technologies de l"Information.
vAvant-Propos
viGlossaire
A5/1 Algorithme de chiffrement `a flot utilis´e dans le cadre des communications GSM.CPUCentralProcessorUnit
Unit´e centrale de traitement de l"information qui constitue le coeur calcu- latoire d"un microprocesseur.CRTChineseRemainderTheorem
Th´eor`eme d"arithm´etique modulaire traitant de r´esolution de syst`emes de congruences. Ce th´eor`eme est notamment utilis´e pour rendre le calcul d"une signature RSA, en th´eorie, quatre fois plus rapide.DFADifferentialFaultAnalysis
Technique d"attaque physique consistant `a extraire de l"information `a partir des diff´erences observ´ees entre un chiffr´e de r´ef´erence et un chiffr´e obtenu en perturbant le composant cryptographique.DPADifferentialPowerAnalysis
Technique d"attaque physique consistant `a mettre en ´evidenceune dif- f´erence de consommation moyenne, en fonction de la valeur d"un bit d"une donn´ee manipul´ee.DSADigitalSignatureAlgorithm
Algorithme de signature num´erique standardis´e par le NIST aux´Etats-
Unis, du temps o`u le RSA ´etait encore brevet´e. Cet algorithme faitpartie de la sp´ecificationDSSpourDigital Signature Standardadopt´ee en 1993.GSMGlobalSystem forMobile Communications
Norme num´erique de deuxi`eme g´en´eration pour la t´el´ephonie mobile.LFSRLinearFeedbackShiftRegister
Registre `a d´ecalage avec r´etroaction lin´eaire. Les LFSR sont souventutilis´es dans les algorithmes de chiffrement `a flot ou dans les g´en´erateurs denombres pseudo-al´eatoires.LLLLenstraLenstraLov´asz
LLL est un algorithme de r´eduction de r´eseau notamment utilis´e pour crypt- analyser des sch´emas de chiffrement asym´etrique. viiGlossaire
LSBLeastSignificantBit
En fran¸cais, bit de poids faible. Bit ayant la plus petite valeur dans la repr´esentation binaire. C"est le bit de droite dans la repr´esentation binaire habituelle.MSBMostSignificantBit
En fran¸cais, bit de poids fort. Bit ayant la plus grande valeur dans la repr´esentation binaire. C"est le bit de gauche dans la repr´esentation binaire habituelle.NISTNationalInstitute ofStandards andTechnology
Agence du D´epartement de Commerce des
´Etats-Unis rempla¸cant l"organ-
isme de normalisation anciennement appel´e NBS.NSANationalSecurityAgency
Organisme gouvernemental des
´Etats-Unis, responsable de la collecte et de
l"analyse de toutes formes de communications, aussi bien militaires,gou- vernementales, commerciales ou mˆeme personnelles, par radiodiffusion, parInternet ou par tout autre mode de transmission.
NVMNon-VolatileMemory
En fran¸cais, m´emoire non-volatile. Type de m´emoire qui conservantles donn´ees qu"elle contient en l"absence d"alimentation ´electrique. La ROM est un exemple de m´emoire de ce type.OAEPOptimalAsymmetricEncryptionPadding
Cet algorithme fut introduit en 1994 par M. Bellare et P. Rogaway [Mui06]. Utilis´e pour le RSA, RSA-OAEP est prouv´e sˆur dans le mod`ele de l"oracle al´eatoire.PSSProbalisticSignatureScheme
M´ethode pour cr´eer des signatures RSA propos´ee par M. Bellare et P. Rogaway [BR96] et prouv´ee sˆure dans le mod`ele de l"oracle al´eatoire.RAMRandomAccessMemory
M´emoire rapide et volatile dans laquelle un ordinateur place les donn´ees lors de leur traitement.RC4RivestCipher 4
Algorithme de chiffrement `a flot con¸cu en 1987 par R. Rivest. Il est support´e par diff´erentes normes, par exemple dans SSL.RSARivestShamirAdleman
Du nom de ses inventeurs, le RSA est un crypto-syst`eme `a cl´e publique dont la s´ecurit´e repose sur la difficult´e suppos´ee dz la factorisation de grands entiers. viiiROMRead-OnlyMemory
M´emoire qui ne s"efface pas lorsque l"appareil qui la contient n"estplus aliment´e en ´electricit´e. Une fois programm´ees, les donn´ees stock´ees en ROM ne sont plus modifiables.SPASimplePowerAnalysis
Technique d"attaque physique consistant `a extraire de l"information secr`ete `a partir de la mesure et de l"analyse du courant consomm´e lors de l"ex´ecution d"un calcul cryptographique.SSLSecureSocketLayer
Protocole de s´ecurisation des ´echanges sur Internet, d´evelopp´e `a l"origine par Netscape. Ce protocole fournit les fonctions d"authentification, d"in- t´egrit´e et de confidentialit´e. OpenSSL est une implantation libre du proto- cole SSL.Wi-Fi Contraction deWirelessFidelity
Technologie permettant de relier sans fil plusieurs appareils informatiques au sein d"un r´eseau informatique. Cette technologie, r´egie par le groupe de normes IEEE 802.11, est devenue moyen d"acc`es haut d´ebit `a Internet. ixGlossaire
xTable des mati`eres
Avant-Proposv
Glossairevii
Table des figuresxvii
Liste des tableauxxix
Partie I La cryptographie appliqu´ee
Chapitre 1 Pr´esentation g´en´erale3
1.1 Introduction `a la cryptologie . . . . . . . . . . . . . . . . . . . . . . . . . .. 3
1.2 La cryptographie sym´etrique . . . . . . . . . . . . . . . . . . . . . . . . . . .4
1.2.1 Pr´esentation de RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2.2 Pr´esentation deRabbit. . . . . . . . . . . . . . . . . . . . . . . . . 7
1.2.3 Pr´esentation deGrain-128. . . . . . . . . . . . . . . . . . . . . . . 11
1.3 La cryptographie asym´etrique . . . . . . . . . . . . . . . . . . . . . . . . . . 13
1.3.1 Pr´esentation de RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
1.3.2 Pr´esentation d"El Gamal . . . . . . . . . . . . . . . . . . . . . . . . . 16
1.3.3 Pr´esentation de DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
1.3.4 M´ethodes d"exponentiation modulaire . . . . . . . . . . . . . . . . . .18
xiTable des mati`eres
Chapitre 2 Les attaques par perturbation23
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2 Les perturbations en pratique . . . . . . . . . . . . . . . . . . . . . . . . . . .24
2.2.1 Attaques par impulsions ´electriques . . . . . . . . . . . . . . . . . .. 24
2.2.2 Attaques par illumination . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.2.3 Attaques par impulsions magn´etiques . . . . . . . . . . . . . . . . . . 25
2.3 Les mod`eles de perturbation . . . . . . . . . . . . . . . . . . . . . . . . . . .26
2.3.1 Types de perturbation . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.3.2 Mod´elisation des effets de perturbations . . . . . . . . . . . . . . . .. 26
2.4 Attaques classiques et contre-mesures . . . . . . . . . . . . . . . . . .. . . . 28
2.4.1 Application au chiffrement sym´etrique : Exemple de RC4 . . . . .. . 28
2.4.2 Application au chiffrement asym´etrique : Exemple de RSA . . . . .. 31
Chapitre 3 Contributions et R´esultats33
Partie II Attaques par perturbation des ´el´ements publics Chapitre 4 Analyse de la perturbation d"un module RSA 37 4.1´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374.1.1 Attaque du m´ecanisme de signature RSA . . . . . . . . . . . . . . . . 384.1.2 Attaque de Brieret al.. . . . . . . . . . . . . . . . . . . . . . . . . . 39
4.1.3 Conclusion & Motivations . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2 Attaque des implantations type "Right-To-Left" . . . . . . . . . . . . . .. . 41
4.2.1 Perturbation d"un module public RSA . . . . . . . . . . . . . . . . . . 41
4.2.2 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 42
4.2.3 Extension du mod`ele de faute . . . . . . . . . . . . . . . . . . . . . . 46
4.3 Attaque des implantations type "Left-To-Right" . . . . . . . . . . . . . .. . 48
4.3.1 Limitation de l"analyse R2L . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.2 Probl`eme des racines carr´ees modulaires . . . . . . . . . . . . . . .. 49
4.3.3 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 54
xii Chapitre 5 Extension de l"analyse `a un RSA avec exposant masqu´e59 5.1´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595.1.1 Algorithme de masquage d"exposant . . . . . . . . . . . . . . . . . . . 595.1.2 Premi`eres attaques physiques . . . . . . . . . . . . . . . . . . . . . . .60
5.2 Perturbation du module public d"un RSA masqu´e . . . . . . . . . . . .. . . 61
5.2.1 Analyse binaire d"un exposant masqu´e . . . . . . . . . . . . . . . . . 61
5.2.2 Exemple d"ex´ecution perturb´ee . . . . . . . . . . . . . . . . . . . .. . 62
5.2.3 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 63
5.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
Chapitre 6 Analyse de la perturbation d"un module DSA 71 6.1´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716.1.1 Attaque de C.H. Kimet al.. . . . . . . . . . . . . . . . . . . . . . . . 72
6.2 Quelques outils math´ematiques . . . . . . . . . . . . . . . . . . . . . . . .. . 73
6.2.1 Algorithme de r´eduction de r´eseau . . . . . . . . . . . . . . . . . . . . 74
6.2.2 Probl`eme du vecteur le plus proche (CVP) . . . . . . . . . . . . . . .75
6.3 Attaque DSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
6.3.1 Perturbation d"un module public de DSA . . . . . . . . . . . . . . . . 76
6.3.2 Analyse des perturbations . . . . . . . . . . . . . . . . . . . . . . . . 78
6.3.3 Extensions de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . 84
6.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Chapitre 7 Conclusion89
Partie III Perturbations d"algorithmes de chiffrement `a flot Chapitre 8´Etude des algorithmes de chiffrement `a flot 93 8.1´Etat de l"art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938.1.1 Algorithmes `a structure interne lin´eaire . . . . . . . . . . . . . .. . . 93
8.1.2 Nouvelles tendances, nouvelles attaques . . . . . . . . . . . . . . . . . 94
8.2 Nouveaux enjeux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
xiiiTable des mati`eres
Chapitre 9 Application `a l"algorithmeRabbit97
9.1 Pr´eliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .97
9.1.1 Motivations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
9.1.2 Quelques propri´et´es des retenues . . . . . . . . . . . . . . . . . .. . . 98
9.2 Description de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .99
9.2.1 Perturbation transitoire d"une op´eration . . . . . . . . . . . . . . . . 99
9.2.2 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 101
9.2.3 Algorithme d"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . 107
9.3 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Chapitre 10 Application `a l"algorithmeGrain-12811110.1 Description de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .111
10.1.1 Basculement d"un bit de l"´etat interne . . . . . . . . . . . . . . . .. . 111
10.1.2 Analyse diff´erentielle des perturbations . . . . . . . . . . . . . . .. . 112
10.2 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
Partie IV Analyse de contre-mesures DFA
Chapitre 11 Cas du RSA-CRT123
11.1 Pr´esentation de RSA-CRT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
11.1.1 Description g´en´erale . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
11.1.2 Signature en mode CRT . . . . . . . . . . . . . . . . . . . . . . . . . 124
11.2 Contre-mesures DFA : cas du RSA-CRT . . . . . . . . . . . . . . . . . . . . . 124
11.2.1 Attaque de Bellcore et am´elioration . . . . . . . . . . . . . . . . . . . 124
11.2.2 Contre-mesures par extension al´eatoire du module . . . . . . . . . .. 125
11.2.3 Perturbation sur la recombinaison CRT . . . . . . . . . . . . . . . . . 126
11.2.4 Contre-mesures combin´ees SPA et DFA . . . . . . . . . . . . . . . . . 129
11.3 Perturbation d"une implantation prot´eg´ee de RSA-CRT . . . . . . . .. . . . 131
11.3.1 Contexte de l"attaque . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
11.3.2 Analyse diff´erentielle de la perturbation . . . . . . . . . . . . . . .. . 132
11.4 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
xivPartie V Conclusion & Perspectives
Index145
Bibliographie147
xvTable des mati`eres
xviTable des figures
1.1 Sch´ema de cryptographie sym´etrique . . . . . . . . . . . . . . . . . . .. . . . . . 5
1.2 Sch´ema de mise `a jour de l"´etat interne de RC4 . . . . . . . . . . .. . . . . . . . 7
1.3 Sch´ema de la mise `a jour de l"´etat interne (tir´e de [BVP
+03]) . . . . . . . . . . . 101.4 Sch´ema de mise `a jour de l"´etat interne deGrain-128. . . . . . . . . . . . . . . 12
1.5 Sch´ema de cryptographie asym´etrique . . . . . . . . . . . . . . . . . . .. . . . . 14
1.6 Sch´ema de signature ´electronique . . . . . . . . . . . . . . . . . . . . .. . . . . . 14
2.1 Illustration de la perturbation deS[1] dans RC4 . . . . . . . . . . . . . . . . . . 29
2.2 Perturbation "impossible" de RC4 . . . . . . . . . . . . . . . . . . . . . . .. . . . 30
4.1 Perturbation d"un octet al´eatoire d"un module public RSA . . . .. . . . . . . . . 41
4.2 Distribution exp´erimentale du nombre de premiers parmi des nombres de 1024
bits de nature diff´erente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. . 535.1 Analyse binaire d"un masquage d"exposant . . . . . . . . . . . . . . . . . . . . .. 61
6.1 Illustration de l"application de l"algorithme LLL . . . . . . . . . . . . . . .. . . . 75
6.2 Illustration de l"application de l"algorithme de Babai . . . . . . . . . . .. . . . . 76
6.3 Taux de r´eussite de l"attaque r´eseau en fonction de la taille de fenˆetrewet du
nombre de fautesη. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849.1 Perturbation du calcul dex1,i+1pendant la mise `a jour deRabbit. . . . . . . . 101
9.2 Propagation de la perturbation dans la suite chiffrante deRabbit. . . . . . . . 102
11.1 Perturbation d"un octet al´eatoire du r´esultat de l"exponentiation modulop?. . . 131
11.2 Distribution des bits d"erreur dans le d´enominateur de ˆγ. . . . . . . . . . . . . . 134
11.3 Distribution des bits de ˆγpour un d´ecalagel >8i. . . . . . . . . . . . . . . . . 134
11.4 Distribution des bits de ˆγpour un d´ecalagel <8ietl < κ. . . . . . . . . . . . . 135
xviiTable des figures
xviiiListe des tableaux
4.1 Estimation empirique du nombre de premiers dansN. . . . . . . . . . . . . . . . 53
6.1 Temps moyen d"extraction dewbits d"al´ea pour un DSA de 160 bits . . . . . . . 83
10.1 Fautes n´ecessaires pour retrouver l"´etat du LFSR deGrain-128. . . . . . . . . 115
10.2 Nombre d"´equations lin´eaires en les bits du NFSR suivant le position de la faute
dans le LFSR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11710.3 Fautes cons´ecutives pour retrouver le NFSR deGrain-128. . . . . . . . . . . . 118
10.4 Nombres d"´equations pour des fautes non cons´ecutives surGrain-128. . . . . . 118
11.1 R´ecapitulatif des m´ethodes de protection des signatures RSA-CRT contre les per-
turbations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 xixListe des tableaux
xxPremi`ere partie
La cryptographie appliqu´ee
1Chapitre 1
Pr´esentation g´en´erale
Sommaire
1.1 Introduction `a la cryptologie . . . . . . . . . . . . . . . . . . . . .3
1.2 La cryptographie sym´etrique . . . . . . . . . . . . . . . . . . . . . 4
1.2.1 Pr´esentation de RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2.1.1 Initialisation . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.2.1.2 G´en´eration de la suite chiffrante . . . . . . . . . . . . . . . 6
quotesdbs_dbs30.pdfusesText_36[PDF] cryptage rsa exemple
[PDF] cryptographie asymétrique algorithme
[PDF] chiffrement asymétrique et symétrique
[PDF] chiffrement asymétrique exemple
[PDF] cryptographie exercices corrigés pdf
[PDF] les nombres en lettres pdf
[PDF] les nombres en lettres de 0 ? 1000
[PDF] ap seconde chiffres significatifs
[PDF] chiffres significatifs excel
[PDF] les chiffres significatifs cours
[PDF] chiffres significatifs sinus
[PDF] precision d une mesure et chiffres significatifs
[PDF] chiffres significatifs exacts
[PDF] chiffres significatifs exos