Cours LB partie 1

Question 1

De quelles façons peut-on sécuriser une communication entre deux personnes qui ne se sont jamais rencontrées ?

Answer 1

• En utilisant un protocole d’échange de clés puis de la cryptographie symétrique
• En utilisant du chiffrement asymétrique

Question 2

Protocole d’échange de clés Diffie-Hellman

Answer 2

• A et B choisissent un groupe cyclique (G, ×) d’ordre q et un générateur du groupe G
• A calcule h_A = g^x pour 0 ≤ x < q - 1 aléatoire
• B calcule h_B = g^y pour 0 ≤ y < q - 1 aléatoire
• A et B s’échangent h_A et h_B publiquement
• A calcule h_B^x et B calcule h_A^y, et h_A^y = h_B^x

Question 3

Correction du protocole Diffie-Hellman (schéma de preuve)

Answer 3

h_A^y
= g^xy
= g^xy
= g^yx
= h_B^x

Question 4

Détail du calcul de complexité de Diffie-Hellman

Answer 4

• Choisir p premier → polynomial
• Choisir un générateur du groupe G = ({Z}/p{Z})* → polynomial
• Calculer g^x dans ({Z}/p{Z})* → polynomial
  Diffie-Hellman est donc polynomial

Question 5

Comment choisir un entier premier aléatoire ?

Answer 5

En faisant une boucle entre 2^b-1 et 2^b et en utilisant un test de primalité sur chaque élément avec
- test de Miller-Robin probabiliste polynomial
- test AKS déterministe polynomial
donc polynomial au total car la probabilité de tomber sur un entier premier est d’environ 1/logn

Question 6

Comment choisir un générateur pour un groupe ({Z}/p{Z})* ?

Answer 6

Si p = 2q + 1 avec q premier, il existe un algorithme polynomial

Question 7

Comment calculer g^x dans ({Z}/p{Z})* ?

Answer 7

• Mauvaise méthode :
  
  • Exponentiation classique
  • Complexité exponentielle en logp
• Bonne méthode :
  
  • Exponentiation rapide : x = x₀ + 2x₁ + … + 2^kx_k → g^x = g^x₀ × (g²)^x₁ × … × (g^2k)^x_k
  • O(k) multiplications pour calculer (g²ⁱ) et O(k) multiplications supplémentaires, avec chacune en O(logp²), donc logp^O(1) en tout

Question 8

Quels sont les problèmes auxquels on se rapporte pour évaluer la sécurité d’un protocole ?

Answer 8

• Problème du logarithme discret
• Problème de Diffie-Hellman calculatoire
• Problème de Diffie-Hellman décisionnel

Question 9

Problème du logarithme discret

Answer 9

• Entrée : G, q, g, h ∈ G
• Sortie : x tel que h = g^x

Question 10

Problème de Diffie-Hellman calculatoire

Answer 10

• Entrée : G, q, g, h₁, h₂ ∈ G
• Sortie : g^xy où h₁ = g^x, h₂ = g^y et 0 ≤ x, y ≤ q

Question 11

Problème de Diffie-Hellman décisionnel

Answer 11

• Entrée : G, q, g, h₁, h₂, h₃ ∈ G
• Sortie : Est-ce que h₃ = g^xy si h₁ = g^x, h₂ = g^y et 0 ≤ x, y ≤ q ?

Question 12

Comparaison de la complexité des trois problèmes LD, DHC et DHD

Answer 12

DHD ≤ DHC ≤ LD, puisqu’on peut résoudre DHC avec LD (et pas l’inverse) et DHD avec DHC (et pas l’inverse)

Question 13

Hypothèse du logarithme discret

Answer 13

Les trois problèmes LD, DHC et DHD sont difficiles

Question 14

Qu’est-ce qu’un protocole asymétrique ?

Answer 14

Un protocole dans lequel il y a
- une clé publique avec laquelle tout le monde peut encoder
- une clé privée avec laquelle seuls ceux qui l’ont peuvent déchiffrer

Question 15

Générées des clés dans le protocole de chiffrement asymétrique El-Gamal

Answer 15

• G un group cyclique d’ordre q avec g un générateur
• 0 ≤ x ≤ q aléatoire
• Clé publique pk = (G, q, g, h = g^x)
• Clé privée sk = x

Question 16

Chiffrement d’un message dans le protocole de chiffrement asymétrique El-Gamal

Answer 16

• m ∈ G un message
• 0 ≤ y ≤ q aléatoire
• Enc_pk(m) = (g^y, h^y × m) ∈ G²

Question 17

Déchiffrement d’un message dans le protocole de chiffrement asymétrique El-Gamal

Answer 17

Soit c = (c₁, c₂) ∈ G², alors Dec_sk(c) = c₂/c₁^x = c₂ × (c₁^-1)^x

Question 18

Correction du protocole de chiffrement asymétrique El-Gamal (schéma de preuve)

Answer 18

Dec(Enc(m))
= h^y × m / (g^y)^x
= (g^x)^y × m / (g^y)^x
= g^xy × m / g^xy
= m

Question 19

Calcul d’inverse dans ({Z}/p{Z})*

Answer 19

• Inverse de a : 1/a mod p tel que 0 < a < p ⇔ b tel que a × b = 1 mod p
• Algorithme d’Euclide étendu sur (a, p) → (r, s) tel que a × r + p × s = 1 ⇔ a × r = 1 - p × s = 1 mod p, donc b = r

Question 20

Que peut-on dire de l’attaque “Écoute des communications” sur le protocole d’échange de clés de Diffie-Hellman ? (schéma de preuve)

Answer 20

L’écoute des protocoles permet d’obtenir g^x et g^y, obtenir g^xy à partir de là revient à résoudre DHC, l’attaque est donc difficile

Question 21

Que peut-on dire de l’attaque “Tentative de déchiffrement d’un message” sur le protocole El-Gamal ? (schéma de preuve)

Answer 21

• Supposons que l’attaque est facile, alors algorithme A qui prend (pk, c₁, c₂) = (g^x, g^y, g^xy × m) et renvoie m = c₂/c₁^x
• Soit alors un algorithme R qui prend (g^x, g^y) et renvoie c₂/A(g^x, g^y, c₂) = c₂/m = (g^xy × m)/m = g^xy
• R permet de résoudre DHC avec A, donc A ne peut pas exister

Question 22

Quels sont les objectifs possibles d’une attaque ?

Answer 22

• Total break : retrouver la clé secrète
• One-way : déchiffrer un message
• Indistingabilité : retrouver un bit d’information du message

Question 23

Quels sont les moyens possibles pour une attaque ?

Answer 23

• Chosen plaintext : savoir chiffrer un message
• Chosen cyphertext : savoir déchiffrer un message

Question 24

Comment montrer qu’un protocole est insécuritaire ?

Answer 24

En construisant un algorithme en temps polynomial qui permet d’effectuer une attaque

Question 25

Qu’est-ce qu’un chiffrement malléable ?

Answer 25

Un chiffrement est dit malléable si étant donné un chiffré c d’un message inconnu m, alors on peut créer un chiffré c’ != c d’un message m’ lié à m
Ainsi, si Enc(m) = (c₁, c₂) = (g^y, h^ym avec h = g^x, on peut écrire (c’₁, c’₂) = (c₁, c₂g^u) = Enc(mg^u) = Enc(m’)

Question 26

Comment effectuer une attaque OW-CPA sur El-Gamal ?

Answer 26

• Récupérer c le chiffrement de m et encoder un message m’ = mg^u à partir de lui
• Utiliser un oracle de déchiffrement D que l’on ne peut pas appliquer sur Enc(m) = (c₁, c₂) mais qu’on va pouvoir utiliser sur Enc(m’) = (c’₁, c’₂) = (c₁, c₂g^u)
• Renvoyer m’ / g^u = m

Question 27

Difficulté de IND-CCA sur El-Gamal

Answer 27

Facile d’après la facilité de OW-CCA

Question 28

Difficulté de IND-CPA sur El-Gamal

Answer 28

Difficile sous hypothèse DHD

Question 29

Difficulté de OW-CCA sur El-Gamal

Answer 29

Facile d’après le cours

Question 30

Difficulté de OW-CPA sur El-Gamal

Answer 30

Difficile d’après le cours

Question 31

Difficulté de TB-CCA sur El-Gamal

Answer 31

?

Question 32

Difficulté de TB-CPA sur El-Gamal

Answer 32

Difficile sous hypothèse DHC ou LD

Question 33

Algorithme naïf pour le calcul du logarithme discret

Answer 33

• Entrée : G, q, g, h ∈ G
• Sortie : x tel que h = g^x
• Algorithme :
  
  • Pour x de 0 à q-1 :
    
    • Si h == g^x
      
      • Renvoyer x

Question 34

Complexité de l’algorithme naïf pour le calcul du logarithme discret

Answer 34

L’algorithme effectue O(q) produits dans G, donc il est exponentiel en log(q) la taille de l’entrée (h)

Question 35

Hypothèse nécessaire à l’algorithme de Pohlig-Hellman

Answer 35

On considère que l’ordre q n’est pas premier et que l’on connaît une factorisation q = Π_i=1..h q_i avec les q_i premiers entre eux et on cherche à réduire le logarithme discret sur G d’ordre q à h lorgarithmes discrets sur des petits groupes d’ordre q_i

Question 36

Idée de l’algorithme de Pohlig-Hellman

Answer 36

Plutôt qu’effectuer le clacul du logarithme discret en une seule fois sur le groupe G d’ordre q, on cherche à à le réduire sur des plus petits groupes d’ordre q_i

Question 37

Qu’est-ce que l’ordre d’un élément g d’un groupe G ?

Answer 37

ordre(g) = min{n ∈ G* | gⁿ = 1}

Question 38

Ordre de g_i = g^q/q_i (énoncé)

Answer 38

ordre(g_i) = q_i

Question 39

Ordre de g_i = g^q/q_i (schéma de preuve)

Answer 39

• Montrer que si G est fini, alors ∃ u > v tels que g^u = g^v, car g^o = g^u-v = 1 donc g^u × g^-v = 1
• Montrer que (g^q/q_i)^q_i = g^q = 1
• Montrer que q_i est le plus petit ordre de g_i possible car g_i^j != 1 pour j < q_i car (q_i × j)/q < q

Question 40

Sous-groupe G_{i de G d’ordre qi}

Answer 40

G_i = <g_i> = {g_i⁰, …, g_i^q-1}

Question 41

Congruence modulo ordre dans un groupe (énoncé)

Answer 41

Si G = <g> d'ordre q, alors g^x = g^y si et seulement si x = y mod q</g>

Question 42

Congruence modulo ordre dans un groupe (schéma de preuve)

Answer 42

⇐
x = y mod q, donc il existe k tel que x = y + kq et g^x = g^{y + kq} = g^yg^kq = g^y

⇒
g^x = g^y, alors g^x / g^y = 1 = g^x-y donc x - y = 1 mod q et x = y mod q

Question 43

Lien entre (x mod q) et (x mod q₁, …, x mod q_h) où (q₁, …, q_h) est une factorisation de q

Answer 43

Si on connaît (x mod q₁, …, x mod q_h) , on peut retrouver (x mod q) en utilisant le théorème des restes chinois

Question 44

Théorème des restes chinois (énoncé)

Answer 44

Il y a une bijection C entre (x mod q₁, …, x mod q_h) et (x mod q) sous l’hypothèse que q = Π_i=1..h q_i avec les q_i premiers entre eux

Question 45

Théorème des restes chinois (schéma de preuve)

Answer 45

• Les deux parties sont de la même taille, donc il suffit de montrer qu’il y a une injection pour conclure qu’une bijection existe
• Prendre x et x’ tels que C(x) = C(x’) et montrer que x = x’ mod q en sachant que x = x’ mod q_i pour i = 1..h, c’est-à-dire que q_i divise x - x’ pour i = 1..h donc le produit des q_i divise x - x’ si les q_i sont premiers entre eux, et on trouve bien que q divise x - x’ donc x = x’ mod q

Question 46

Lien entre la division euclidienne et les nombres premiers entre eux

Answer 46

Si a divise c, b divise c et a et b sont premiers entre eux, alors ab divise c

Question 47

Algorithme de Pohlig-Hellman pour le calcul du logarithme discret

Answer 47

• Entrée : G = <g> d'ordre q, q = Π_i=1..h q_i, h ∈ G</g>
• Sortie : x tel que h = g^x
• Algorithme :
  
  • Pour i de 1 à h :
    
    • g_i = g^q/q_i
    • h_i = h^q/q_i
    • x_i = LD(g_i, h_i)
  • Renvoyer x = ResteChinois(x₁, …, _h)

Question 48

Calcul de la complexité de l’algorithme de Pohlig-Hellman

Answer 48

• Calcul de g_i : logq multiplications dans G
• Calcul de h_i : logq multiplications dans G
• Calcul de x_i : LD(q_i)
• Total : LD(q) = Σ_i=1..h LD(q_i) + log(q)^O(1) = h × q^1/h + log(q)^O(1)

Question 49

Quelle est la forme optimale de q pour appliquer l’algorithme de Pohlig-Hellman ?

Answer 49

Pour appliquer l’algorithme de façon optimale, il faut prendre q = 2q’ tel que p = 2q’ + 1 et q’ premier, et travailler dans G’ = <g²>

Question 50

Principe de l’algorithme “pas de bébé pas de géant”

Answer 50

On voudrait pré-calculer tous les LD, mais cela a un coût trop élevé (O(q)), donc on pré-calcule seulement certains points appelés “pas de géants”

Question 51

Qu’est-ce que les pas de géants ?

Answer 51

Soit t = floor(sqrt(q)), on calcule
- g⁰ → 0
- g^t → t
- …
- g^{floor(q/t) × t} → floor(q/t) × t
C’est-à-dire qu’on calcule tous les h × t possibles

Question 52

Qu’est-ce que les pas de bébés ?

Answer 52

Soit h avec un exposant x inconnu tel que h × t ≤ x ≤ (h + 1) × t, on teste
- h
- h/g
- h/g²
- …
- h/g^t-1

Question 53

Quel lien faire entre les pas de géants et les pas de bébés ?

Answer 53

Si un pas de bébé correspond à un pas de géant, on parle de collision et on a alors h/g^{i = ght ⇔ h = ght + i}

Question 54

Correction de l’algorithme “pas de géants pas de bébés” (énoncé)

Answer 54

Il y a toujours une collision

Question 55

Correction de l’algorithme “pas de géants pas de bébés” (schéma de preuve)

Answer 55

On peut écrire x = x₁t + x₀, et on a x₁ ≤ x / t ≤ q / t, donc h = g^x = g^{x₁t + x₀} = g^x₁t × g^x₀ et h / g^x₀ = g^x₁t

Question 56

Complexité de l’algorithme “pas de géants pas de bébés”

Answer 56

• Calcul de g^t en O(log(q)) multiplications dans G puis calcul de chaque pas de géant en O(floor(q/t)) donc O(sqrt(q)) au total
• t = O(sqrt(q)) tests d’appartenance à la table en O(1) (avec des tables de hachage)
• Total : O(sqrt(q)) opérations et O(sqrt(q)) éléments de G en mémoire

Question 57

Bilan de complexité du calcul du logarithm discret

Answer 57

• Pour G un groupe générique, calcul exponentiel avec Pohlig-Bellman et “Pas de géants pas de bébés”
• Pour G = (ZZ/pZZ)*, calcul sous-exponentiel (mais pas polynomial !)

Question 58

Que représentent les niveaux de sécurité “112” et “128” ?

Answer 58

Il faut au moins 2¹¹² et 2¹¹⁸ calculs pour attaquer un protocole qui a un tel niveau de sécurité

Question 59

À partir de quelle taille de clé la norme de niveau de sécurité (128) est-elle respectée pour “Pas de bébés pas de géants” ?

Answer 59

Sur |G| = 2²⁵⁶ = q, une attaque en O(sqrt(q)) (pas de bébés pas de géants) prens bien O(2¹²⁸) étapes de calcul