La cryptologie enjeux et perspectives Pari STIC Nancy

  • Slides: 42
Download presentation
La cryptologie: enjeux et perspectives Pari. STIC Nancy, 24 novembre 2006 Jacques Stern Professeur

La cryptologie: enjeux et perspectives Pari. STIC Nancy, 24 novembre 2006 Jacques Stern Professeur à l’Ecole normale supérieure Directeur du LIENS, Laboratoire d’informatique de l’ENS, CNRS/ENS

Résumé n n n Bref aperçu historique Qu’est-ce que la cryptologie? Quatre chantiers de

Résumé n n n Bref aperçu historique Qu’est-ce que la cryptologie? Quatre chantiers de la cryptologie L ’ubiquité de la cryptologie Etudes de cas

Un art ancien n papier cadrans et cylindres machines chiffrantes

Un art ancien n papier cadrans et cylindres machines chiffrantes

Une science ancienne n n n al-Kindi (850) Vigenere (1585) Schott (1665)

Une science ancienne n n n al-Kindi (850) Vigenere (1585) Schott (1665)

Une science longtemps duale : la guerre des codes n n Contre l’ENIGMA Gagnée

Une science longtemps duale : la guerre des codes n n Contre l’ENIGMA Gagnée par Alan Turing et les Britanniques

Une science intimement liée à l’informatique n 1944 : Colossus, machine informatique suggérée par

Une science intimement liée à l’informatique n 1944 : Colossus, machine informatique suggérée par Turing n 1976 : Invention de la cryptologie à clé publique pour une communication sûre entre machines ; anticipation d’Internet

Qu’est ce que la cryptologie n n La science des messages secrets La trilogie

Qu’est ce que la cryptologie n n La science des messages secrets La trilogie fondamentale : – Intégrité – Authenticité – Confidentialité n La seule (? ) science qui conceptualise l’ennemi

Confidentialité: le chiffrement n n Transmettre un message sur un canal non sécurisé de

Confidentialité: le chiffrement n n Transmettre un message sur un canal non sécurisé de façon qu’un tiers ne puisse Clair en prendre connaissance Une clé préalablement échangée sert au Chiffré chiffrement et au déchiffrement Clé secrète E Chiffré D Clair Clé secrète

Authenticité La capacité de chiffrer et déchiffrer garantit l’authenticité n. Cette authenticité n’est pas

Authenticité La capacité de chiffrer et déchiffrer garantit l’authenticité n. Cette authenticité n’est pas opposable aux tiers n Message chiffré aléatoire Copyright Cryptolog 1998 Message

Du DES à l’AES n n DES conçu en 1975 Chiffre avec des clefs

Du DES à l’AES n n DES conçu en 1975 Chiffre avec des clefs de 56 bits Cryptanalysé par recherche exhaustive en 1998 Remplacé par Triple DES et AES

1976 -78: la cryptologie asymétrique n n n Inventée par Whitfield Diffie et Martin

1976 -78: la cryptologie asymétrique n n n Inventée par Whitfield Diffie et Martin Hellman Elimine tout échange préalable Réalisée par Ron Rivest, Adi Shamir et Len Adleman Clé publique Clair E Chiffré D Clair Clé secrète

La cryptographie à clef publique mène aux signatures n En appliquant D au message

La cryptographie à clef publique mène aux signatures n En appliquant D au message m D pour créer la signature n La vérification ne nécessite que la clef publique n Rend opposable aux tiers l’authentification E

Le cryptosystème RSA n 1978: Rivest, Shamir Adleman n module n et exposant petit

Le cryptosystème RSA n 1978: Rivest, Shamir Adleman n module n et exposant petit e n n produit de p q premiers n Le chiffrement de x est y= xe mod n n Le déchiffrement de y est x=yd mod n n d calculé à partir de p, q (secrets)

Sécurité algorithmique n n Fondée sur la difficulté de trouver deux nombres premiers p

Sécurité algorithmique n n Fondée sur la difficulté de trouver deux nombres premiers p and q à partir de leur produit n Le record Précédent 173: 12/03; recommandé 1024 bits (328) ou 2048 Date: Mon, 9 May 2005 18: 05: 10 +0200 (CEST) From: "Thorsten Kleinjung" Subject: rsa 200 We have factored RSA 200 by GNFS. The factors are 3532461934402770121272604978 1984643686711974001976250236 4930346877612125367942320005 8547956528088349 and 7925869954478333033347085841 4800596877379758573642199607 3433034145576787281815213538 1409304740185467 More details will be given later. F. Bahr, M. Boehm, J. Franke, T. Kleinjung

4 chantiers de la cryptologie La défense : cryptographie n L ’attaque : cryptanalyse

4 chantiers de la cryptologie La défense : cryptographie n L ’attaque : cryptanalyse n La preuve n Les applications n

La défense : conception d’algorithmes cryptographiques n n 1992 : Algorithme d’authentification « zero

La défense : conception d’algorithmes cryptographiques n n 1992 : Algorithme d’authentification « zero knowledge » fondé sur les codes correcteurs 1998 : Algorithme d’authentification et de signature rapide « GPS » norme ISO

L’attaque : cryptanalyse n n 1987 : cryptanalyse d’un générateur d’aléas standard 1997 :

L’attaque : cryptanalyse n n 1987 : cryptanalyse d’un générateur d’aléas standard 1997 : cryptanalyse d’un algorithme à clé publique fondé sur la géométrie des nombres et présenté comme inviolable par les chercheurs d’IBM

La preuve n n 1990 -2000 : Méthode de « sécurité prouvée » développée

La preuve n n 1990 -2000 : Méthode de « sécurité prouvée » développée au sein du Laboratoire Appliquée notamment à OAEP (format de chiffrement RSA normalisé) prouvé en 1993 par une équipe US 2000 : la preuve est reconnue fausse! 2001: preuve correcte (collaboration du Labo avec une équipe japonaise)

Les applications : Nous portons sur nous deux processeurs cryptographiques n et utilisons des

Les applications : Nous portons sur nous deux processeurs cryptographiques n et utilisons des connexions sécurisées n Travaux au Laboratoire sur : n – le vote électronique – l’évaluation des algorithmes 3 G

Etude de cas: Les cartes bancaires 1967: cartes n 1971: cartes à piste magnétique

Etude de cas: Les cartes bancaires 1967: cartes n 1971: cartes à piste magnétique n 1990 -1992: vers la puce n 2004 - : vers EMV et le DDA n

Premier niveau de sécurité: piste ISO 1 ISO 2 Données (en clair) – PAN(numéro)

Premier niveau de sécurité: piste ISO 1 ISO 2 Données (en clair) – PAN(numéro) – date d’expiration – données de service n Données chiffrées : PIN CODE chiffré n

Menaces n La piste est copiable n Le CODE PIN visible

Menaces n La piste est copiable n Le CODE PIN visible

Second niveau de sécurité: puce n n n Authentification hors ligne CODE PIN Authentification

Second niveau de sécurité: puce n n n Authentification hors ligne CODE PIN Authentification des transactions par cryptogramme (Triple) DES

CODE PIN CODE OUI/NON NO FAIL Y Continuer

CODE PIN CODE OUI/NON NO FAIL Y Continuer

SDA: Static Data Authentication Emetteur RSA sign de PAN+data signature RSA Y Continuer RSA

SDA: Static Data Authentication Emetteur RSA sign de PAN+data signature RSA Y Continuer RSA sign OK NO FAIL

Vérification en ligne du cryptogramme Emetteur Clé secrète Triple DES Cryptogramme BANQUES Cryptogramme OK

Vérification en ligne du cryptogramme Emetteur Clé secrète Triple DES Cryptogramme BANQUES Cryptogramme OK Transaction Cryptogramme 3 -DES Y Continuer Cryptogramme OK NO FAIL

Menaces: « Yes cards » n n La signature statique RSA est copiable Et

Menaces: « Yes cards » n n La signature statique RSA est copiable Et des « clones » peuvent ainsi être utilisés et sont connus sous le nom de « yes-cards »

Une « yes card » Est-ce toi mère-grand? Es-tu une vraie carte d r

Une « yes card » Est-ce toi mère-grand? Es-tu une vraie carte d r uto b i r ist Ouii Oui

Troisième niveau de sécurité: DDA Emetteur Acquéreur Skcard + PK signée Public. KIssuer Défi

Troisième niveau de sécurité: DDA Emetteur Acquéreur Skcard + PK signée Public. KIssuer Défi aléatoire (défi)Skcard (Pkcard)SKIssuer Continuer Y Certificat OK signature du défi OK? NO FAIL

Etude de cas: les formats RSA Comment utiliser RSA « en pratique » en

Etude de cas: les formats RSA Comment utiliser RSA « en pratique » en prouvant qu ’il n ’y a aucune dégradation de sécurite vis à vis du « problème RSA » n Problème RSA (extraction de racines e-ièmes modulo n)? Résoudre l’équation en x y= xe mod n n

PKCS#1 v 1. 5 1993 00 02 Random pad Data block 00 Utilisé dans

PKCS#1 v 1. 5 1993 00 02 Random pad Data block 00 Utilisé dans SSL v 3. 0 00 00 Random pad 00 03 00 premastersecret 48 bytes

Attaque de Bleichenbacher 98 n n L’ennemi soumet des chiffrés aléatoires et apprend s’ils

Attaque de Bleichenbacher 98 n n L’ennemi soumet des chiffrés aléatoires et apprend s’ils sont corrects vis à vis du format PKCS#1 La réponse donne de l’information sur quelques bits de la clé privée Cette clé est recouvrée après quelques milliers d’appels plausible dans l’environnement SSL

OAEP Bellare-Rogaway 1994 M M = m||0… 0 r aléa r a G H

OAEP Bellare-Rogaway 1994 M M = m||0… 0 r aléa r a G H G et H fonctions aléatoires b E(m) : Calculer a, b puis retourner c=f (a||b) D(c) : Calculer a||b = g(c) inverser OAEP, et retourner m (si la redondance est satisfaite)

Preuves de sécurité n Tentative de “prouver” mathématiquement la sécurité d’un algorithme crypto, en

Preuves de sécurité n Tentative de “prouver” mathématiquement la sécurité d’un algorithme crypto, en utilisant la théorie de la complexité algorithmique Version extrême du 1 er principe de Kerchkoffs (1883): « Le système doit être matériellement sinon mathématiquement indéchiffrable »

Preuve par « réduction » n Utiliser un attaquant A qui parvient à son

Preuve par « réduction » n Utiliser un attaquant A qui parvient à son but utilisé pour résoudre P A P insoluble schéma sûr

Confidentialité forte n Sécurité sémantique Le chiffré ne révèle aucune autre information sur le

Confidentialité forte n Sécurité sémantique Le chiffré ne révèle aucune autre information sur le message clair à un adversaire polynomial capable de contrôler l ’espace des messages

Types d’attaques n n à clair choisi CPA; ne couvre pas l’attaque de Bleichenbacher)

Types d’attaques n n à clair choisi CPA; ne couvre pas l’attaque de Bleichenbacher) à chiffré choisi CCA: l’adversaire a accès au déchiffrement de chiffrés

Oracle aléatoire n n Aucun schéma basé sur RSA n’admet de preuve de sécurité

Oracle aléatoire n n Aucun schéma basé sur RSA n’admet de preuve de sécurité On identifie – pour obtenir une preuve certaines fonctions (G et H) à des fonctions aléatoires

OAEP (suite) n Dans le modèle de l’oracle aléatoire, OAEP conduit à un schéma

OAEP (suite) n Dans le modèle de l’oracle aléatoire, OAEP conduit à un schéma IND-CCA à partir de toute permutation à sensunique à trappe RSA-OAEP retenu par RSA PKCS, SET, IETF, IEEE, ISO, n preuve incorrecte (Shoup 2000) n

RSA-OAEP n n n FOPS 2001 OAEP conduit au niveau CCA à partir d’une

RSA-OAEP n n n FOPS 2001 OAEP conduit au niveau CCA à partir d’une permutation à sens-unique sur un domaine partiel, à trappe : – (f (a || b) --> a également difficile RSA-Partiel RSA IND-CCA 2 de RSA-OAEP RSA Utilise des méthodes de la géométrie des nombres Heureusement pour les applications!

La sécurité est holistique n De nombreuses techniques et compétences sont nécessaires normes IGC

La sécurité est holistique n De nombreuses techniques et compétences sont nécessaires normes IGC crypto securité usage HW recherche

Conclusion : l’ubiquité de la cryptologie au XXIème siècle

Conclusion : l’ubiquité de la cryptologie au XXIème siècle