historique

Avec le temps, et les progrs de l'informatique, les 256 cls possibles du DES n'ont plus
reprsent une barrire infranchissable. Il est dsormais possible, mme avec des moyens modestes, de percer les messages chiffrs par DES en un temps raisonnable. En janvier 1997, le NIST (National Institute of Standards and Technologies) des Etats-Unis lance un appel d'offres pour laborer l'AES, Advanced Encryption System. Le cahier des charges comportait les points suivants :

videmment, une grande scurit. une large portabibilit : l'algorithme devant remplacer le DES, il est destin servir aussi bien dans les cartes puces, aux processeurs 8 bits peu puissants, que dans des processeurs spcialiss pour chiffrer des miliers de tlcommunications la vole. la rapidit. une lecture facile de l'algorithme, puisqu'il est destin tre rendu public. techniquement, le chiffrement doit se faire par blocs de 128 bits, les cls comportant 128,192 ou 256 bits.

Le 2 octobre 2000, le NIST donne sa rponse : c'est le Rijndael qui est choisi,un algorithme mis au point par 2 belges, Joan Daemen et Vincent Rijmen. AES(Advanced Encryption Standard) Nouveau standard amricain (NIST, 2000), un standard de cryptage symtrique remplaant du DES. FIPS 197 Taille de bloc de 128 bits Tailles de cl de 128, 192 et 256 bits

AES AES est un algorithme de chiffrement par blocs, les donnes sont traites par blocs de 128 Bits pour le texte clair et le chiffr. La clef secrte a une longueur de 128 bits, do le nom de Version : AES 128 (il existe deux autres variantes dont la clef fait respectivement 192 et 256 Bits).

Le Rijndael procde par blocs de 128 bits, avec une cl de 128 bit galement. Chaque bloc
subit une squence de 5 transformations rptes 10 fois : 1. Addition de la cl secrte (par un ou exclusif). 2. Transformation non linaire d'octets : les 128 bits sont rpartis en 16 blocs de 8 bits (8 bits=un octet), eux-mmes dispatchs dans un tableau 44. Chaque octet est transform par une fonction non linaire S. Le tableau est rempli colonnes par colonnes.

3. Dcalage de lignes : les 3 dernires lignes sont dcales cycliquement vers la gauche : la 2me ligne est dcale d'une colonne, la 3me ligne de 2 colonnes, et la 4me ligne de 3 colonnes. 4. Brouillage des colonnes : Chaque colonne est transforme par combinaisons linaires des diffrents lments de la colonne (ce qui revient multiplier la matrice 44 par une autre matrice 44). Les calculs sur les octets de 8 bits sont raliss dans le corps 28 lments. 5. Addition de la cl de tour : A chque tour, une cl de tour est gnre partir de la cl secrte par un sous-algorithme (dit de cadencement). Cette cl de tour est ajoute par un ou exclusif au dernier bloc obtenu.

l'AES est un standard, donc libre d'utilisation, sans restriction d'usage ni brevet. c'est un algorithme de type symtrique (comme le DES) c'est un algorithme de chiffrement par blocs (comme le DES) il supporte diffrentes combinaisons [longueur de cl]-[longueur de bloc] : 128-128, 192128 et 256-128 bits

Les donnes sont stockes dans un carr de 4 x 4 = 16 cases

Chaque case contient 1 octet(8 x 16 = 128 bits dtat interne)

Fonction de tour
Le nombre de tours Suivant la version (la taille de la cl), ce nombre de tours not nr est diffrent. Le nombre nr est donn dans le tableau suivant. Pour AES-128 (cl de taille 128 bits) t = 10 tours Pour AES-192 t = 12 tours Pour AES-256 t = 14 tours

La cl de tour partir de la cl initiale K , le systme cre nr+ 1 cls de tour ayant chacune (tk= 16 , tk= 24 ou tk= 32octets) k0, k1, , kt k1. Ces octets sont aussi classs dans un tableau de 4 lignes et Nk colonnes (Nk= 4, Nk= 6 ou Nk= 8).

Nous verrons ultrierement comment sont calcules ces cls en fonc-tion de la cl K du systme

Addition de la sous-cl

Substitution par Octet

S est une fonction fixe de 8 bits vers 8 bits

Dfinie comme un tableau 2^8= 256 entres

Ncessite donc 256 octets de mmoire Base sur une opration algbrique : S(X) = Affine(Inverse(X)) o linverse est pris dans GF(2^8) La bote S

Dcalage par ligne

Dcalage circulaire (vers la gauche) de i cases pour la ligne numro i, 0 i 3

Mlange par colonne

MixColumn() est applique chaque colonne

Corps finis : GF(2^8)

Cet objet mathmatique est utilis pour dfinir la bote S et dans MixColumn() Unique corps fini 256 lments Addition = XOR Multiplication = ?

definition

Un polynme irrductible veut dire quil nest pas divisible par aucun autre polynme de degr infeieur.Elle ne peuvent pas tre dcompos en produits de polynmes a degr inferieur. Exemple

representation

Prsentation du systme AES Le systme de chiffrement cl secrte AES est un systme bas sur le systme Rijdndael construit par Joan Daemen et Vincent Rijmen. Pour AES les blocs de donnes en entre et en sortie sont des blocs de128 bits, cest dire de 16 octets.Les cls secrtes ont au choix suivant la version du systme : 128 bits(16 octets), 192 bits (24 octets) ou 256 bits (32 octets). Le systme AES effectue plusieurs tours dune mme composition de transformations.

2.3 Vue globale du fonctionnement

La procdure suivante dcrit le fonctionnement global du systme AES. Elle prend en entre un tableau de donnes St (texte clair) qui est mo-difi par la procdure et renvoy en sortie (texte chiffr).

Les procdures appeles Round et F inalRound sont elles-mmes composes

Caractristiques et points forts de l'AES

Le choix de cet algorithme rpond de nombreux critres plus gnraux dont nous pouvons citer les suivants :

securit ou l'effort requis pour une ventuelle cryptanalyse. facilit de calcul : cela entraine une grande rapidit de traitement besoins en ressources et mmoire trs faibles flexibilit d'implmentation: cela inclut une grande varit de platformes et d'applications ainsi que des tailles de cls et de blocs supplmentaires (c.f. ci-dessus). hardware et software : il est possible d'implmenter l'AES aussi bien sous forme logicielle que matrielle (cabl) simplicit : le design de l'AES est relativement simple

Si l'on se rfre ces critres, on voit que l'AES est galement un candidat particulirement appropri pour les implmentations embarques qui suivent des rgles beaucoup plus strictes en matire de ressources, puissance de calcul, taille mmoire, etc... C'est sans doute cela qui a pouss le monde de la 3G (3me gnration de mobiles) adopter l'algorithme pour son schma d'authentification "Millenage".

Dtails techniques
L'AES opre sur des blocs de 128 bits (plaintext P) qu'il transforme en blocs crypts de 128 bits (C) par une squence de Nr oprations ou "rounds", partir d'une cl de 128, 192 ou 256 bits. Suivant la taille de celle-ci, le nombre de rounds diffre : respectivement 10, 12 et 14 rounds. Le schma suivant dcrit succintement le droulement du chiffrement :

BYTE_SUB (Byte Substitution) est une fonction non-linaire oprant indpendament sur chaque bloc partir d'un table dite de substitution. SHIFT_ROW est une fonction oprant des dcalages (typiquement elle prend l'entre en 4 morceaux de 4 octets et opre des dcalages vers la gauche de 0, 1, 2 et 3 octets pour les morceaux 1, 2, 3 et 4 respectivement). MIX_COL est une fonction qui transforme chaque octet d'entre en une combinaison linaire d'octets d'entre et qui peut tre exprime mathmatiquement par un produit marticiel sur le corps de Galois (28). le + entour d'un cercle dsigne l'opration de OU exclusif (XOR). Ki est la ime sous-cl calcule par un algorithme partir de la cl principale K.

Le dchiffrement consiste appliquer les oprations inverses, dans l'ordre inverse et avec des sous-cls galement dans l'ordre inverse.

Les attaques
LAES resiste aux attaques les plus courants tel que : Attaques par dictionnaires Attaques par cryptanalyse diffrentielle (DC) Attaques par cryptanalyse linaire (LC)

La faille de AES
Les chercheurs de Microsoft, de luniversit belge de Leuven et de lENS de Paris ont dcouvert une faille dans lalgorithme de chiffrement AES.

Les travaux des chercheurs Dmitry Khovratovich de Microsoft Research, de Andrey Bogdanov de lUniversit de Leuven et de Christian Rechberge de lEcole Nationale Supprieure de Paris ont t faits dans le cadre dun projet de "cryptanalyse". Les chercheurs ont publi une mthode dattaque permettant de rcuprer la cl secrte utilise pour un chiffrement AES et ce de manire cinq fois plus rapide que dans les estimations des experts en raccourcissant lalgorithme AES de deux bits. Lattaque serait applicable toutes les versions du chiffrement AES. Cependant, malgr la rapidit de la mthode, elle reste trs complexe et difficilement ralisable en utilisant les technologies actuelles. Avec un trillion de machines, chacune pouvant tester un milliard de cls par seconde, cela prendrait plus de deux milliards d'annes pour rcuprer une cl AES 128 bits , expliquent les chercheurs. Lattaque naurait donc pas, pour linstant, d'implication pratique sur la scurit des donnes des utilisateurs. Mais elle met fin au mythe du chiffrement AES, considr auparavant comme incassable. Les crateurs de lalgorithme AES auraient par ailleurs reconnu la validit de cette attaque