Nouveaux modes

Modes de chiffrement symtrique

1 Chiffrement symtrique Modes + AES - 2

Modes = mthodes pour utiliser les chiffrements par blocs : les modes
opratoires
Dans le cadre d'une implmentation pratique, l'algorithme 'pur' est combin une
srie d'oprations simples en vue d'amliorer la scurit sans pour autant
pnaliser l'efficacit de l'algorithme.
Cette combinaison est appele un mode cryptographique.

Critres :
Scurit:
Effacement des formats standards (ex. l'introduction d'un texte).
Protection contre la modification de C.
Chiffrement de plusieurs messages avec la mme cl.
Efficacit:
L'utilisation d'un mode cryptographique ne doit pas pnaliser l'efficacit du
cryptosystme.
Limitation de la propagation des erreurs qui apparaissent dans M ou C.

1 2
ECB Electronic Code Book CBC Cipher block chaining

Chiffrement symtrique Modes + AES - 3 Chiffrement symtrique Modes + AES - 4

3 4
CFB Cipher FeedBack OFB Output FeedBack

Chiffrement symtrique Modes + AES - 5 Chiffrement symtrique Modes + AES - 6

5 6
CTR Comparaison des modes
ECB CBC CFB OFB CTR

Scurit Faible Forte Forte Forte Forte

Vitesse de SECB SECB j/L*SECB j/L* SECB SECB

base
Paralllisme - E/D E E Aucun E/D
pipelining
Opration de E/D E E E E/D
chiffrement
Prprocessing Non Non Non Oui Oui

Accs R/W R only R only non R/W

alatoire

Chiffrement symtrique Modes + AES - 7 Chiffrement symtrique Modes + AES - 8

E : chiffrement
D : dchiffrement

7 8
 Algorithme de chiffrement conventionnels
ECB CBC CFB OFB CTR Algorithme Cl Bloc Ronde Applications

Scurit contre une attaque de type exhaustive key search DES 56 64 16 SET, Kerberos

Nbr min de bloc de C 1*M 1*M 1*M 2*M 2*M

3DES 168 64 48 Gestion cl financire,
ou M ncessaires 1*C 2*C 2*C 2*C 2*C PGP, S/MIME
(pour j=L) (pour j=L)
AES 128/192/256 128 10/12/14 Remplace DES
Propagation derreur dans le message dchiffr
Modification de j bits L bits L + j bits L + j bits j bits j bits IDEA 128 64 8 PGP

Suppression de j bits Courant Courant L bits Courant + Courant

+ suite + suite suite + suite Blowfish 448 64 16 Divers

Intgrit Non Non Non Non Oui

RC5 448 64 255 divers

Chiffrement symtrique Modes + AES - 9 Chiffrement symtrique Modes + AES - 10

M : texte clair "International Data Encryption Algorithm" (IDEA)

C : texte chiffr propos comme remplacement des DES
chiffre symtrique par bloc
blocs de 64 bits, clef de 128 bits
Utilis dans PGP
Blowfish
chiffre symtrique par bloc, trs rapide et conomique en mmoire,
mais scurit variable selon la taille de la clef
RC5
Utilisable en solution matrielle ou logicielle
Rapide et simple
Nombre de round variable
Longueur de cl variable
Ncessite peu de mmoire
Haute scurit
Rotation dpendantes des donnes

9 10
 A.E.S

Introduction

11 Chiffrement symtrique Modes + AES - 12

Le Triple DES demeure une norme accepte pour les documents Critres dvaluation au 2e tour :
gouvernementaux U.S.A. pour le futur prvisible La scurit gnrale
Pas de projet ou d'obligation de rencrypter les documents existants Le cot en terme de calculs
Simplicit de lalgorithme et facilit dimplmentation
Rsistance aux attaques connues
flexibilit

11 12
AES cahier des charges Rapport du NIST : scurit
Grande scurit rsistance toutes les attaques
connues
Large portabilit : carte puces, processeurs
ddis,
Rapidit
Lecture facile de lalgorithme
Blocs de 128 bits et cls de 128/192/256 bits
Dure de vie de 20 30 ans

Chiffrement symtrique Modes + AES - 13 Chiffrement symtrique Modes + AES - 14

13 14
 Efficacit logicielle Efficacit matrielle

Chiffrement symtrique Modes + AES - 15 Chiffrement symtrique Modes + AES - 16

Chiffrement/dchiffrement
forte variation des rsultats
Serpent est le moins bon pour la majorit des plate-formes
Configuration de la cl
Variation modre des rsultats
Rijndael et RC6 sont les meilleurs pour la majorit des plate-formes
Twofish et Serpent sont les pires

15 16
Votes Rijndael (Daemen, Rijmen)
Avantages Inconvnients

Le plus rapide en Marge de scurit

implantation matrielle

Proche des plus rapides

en implantation logicielle

Trs grande flexibilit

Chiffrement symtrique Modes + AES - 17 Chiffrement symtrique Modes + AES - 18

17 18
Serpent (Anderson, Biham, Knudsen) Twofish (Schneier, Wagner, )
Avantages Inconvnients Avantages Inconvnients

Large marge de scurit Lent en implantation Bonne marge de scurit Modrment rapide en
logicielle implantation matrielle
Construction conservatrice Rapide pour le
Flexibilit modre chiffrement/dchiffrement Configuration lente de la
Trs rapide en implantation en implantation logicielle cl en implantation
matrielle logicielle

Rputation cryptanalytique Amricain Flexibilit modre

de ses auteurs (Anderson,
Biham, Knudsen) Beaucoup de publicit

Chiffrement symtrique Modes + AES - 19 Chiffrement symtrique Modes + AES - 20

19 20
 Rijndael - principe
Plusieurs longueurs de clef et de bloc: 128, 192, ou 256 bits
Rijndael chiffre itratif par bloc
Nombre de cycles (ou "rondes) : de 10 14 selon la
longueur des blocs et des cls
Srie de transformations/permutations/slection
Beaucoup plus performant que DES
Adaptable des processeurs de 8 ou de 32 bits
Susceptible d'tre paralllis
Pour le dcryptage, les transformations sont apportes
dans l'ordre inverse

21 Chiffrement symtrique Modes + AES - 22

21 22
 Rijndael Chiffrement - dchiffrement

Chiffrement symtrique Modes + AES - 23 Chiffrement symtrique Modes + AES - 24

chaque ronde, quatre transformations sont appliques:

substitution d'octets
dcalage de ranges
dplacement de colonnes (sauf la dernire ronde)
addition d'une "clef de ronde" varie chaque ronde

23 24
Proprit des transformations Modification du dchiffrement

Chiffrement symtrique Modes + AES - 25 Chiffrement symtrique Modes + AES - 26

25 26
 Table dtat du texte Table dtat des cls

Chiffrement symtrique Modes + AES - 27 Chiffrement symtrique Modes + AES - 28

Une table d'tat est utilise

4 ranges par Nb colonnes avec Nb = Lbloc/32
La clef est aussi reprsente sous forme de tableau
4 ranges par Nk colonnes avec Nk = Lclef/32
L'input et l'output sont des squences linaires d'octets
longueurs possibles: 16, 24, ou 32 octets
l'appariement de octets des blocs et de la clef se fait le long des colonnes
des tableaux prcdents
donc une colonne du tableau correspond un mot de 32 bits

27 28
ByteSub ByteSub fonctionnement
Les bytes sont transforms en appliquant une
S-Box inversible
Une seule S-Box pour tous le chiffrement
Augmente la non-linarit

Chiffrement symtrique Modes + AES - 29 Chiffrement symtrique Modes + AES - 30

1 Calcul dun inverse multiplicatif

2 Transformation affine

29 30
Transformation affine ShiftRow
Transformation inverse

Chiffrement symtrique Modes + AES - 31 Chiffrement symtrique Modes + AES - 32

Dcale les bits des sous-blocs

Augmente la diffusion des donnes dans le round

31 32
 MixColumn InvMixColumn
Haute diffusion
Une diffrence sur 1 byte dentre se propage sur les 4
bytes de sortie
Une diffrence sur 2 bytes dentre se propage sur au
moins 3 bytes de sortie

Chiffrement symtrique Modes + AES - 33 Chiffrement symtrique Modes + AES - 34

Multiplication dune matrice aux sous-blocs de 16 bits.

Diffusion des donnes entre les rounds

33 34
 Add Round Key Nombre de ronde
Simple XOR des cls

Chiffrement symtrique Modes + AES - 35 Chiffrement symtrique Modes + AES - 36

Additions des sous-cls aux sous-blocs correspondant

35 36
Calcul de la cl Expansion de la cl (1)

Chiffrement symtrique Modes + AES - 37 Chiffrement symtrique Modes + AES - 38

37 38
Expansion de la cl (2)

Rijndael

Avantages et limites

Chiffrement symtrique Modes + AES - 39 40

39 40
Avantages et limites Avantages et limites
Principaux avantages Principaux avantages
performance trs leve possibilit de l'utiliser comme fonction de hachage
possibilit de ralisation en "Smart Card" avec peu de le nombre de rondes peut facilement tre augment si
code requis
possibilit de paralllisme
Pas de cls faibles
pas d'oprations arithmtiques: dcalages et XOR
seulement Rsistance la cryptanalyse diffrentielle et linaire
n'utilise pas de composants d'autres cryptosystmes Faible propagation de patrons d'activit
n'est pas fond sur d'obscures relations entres
oprations
peu de possibilits d'insertion de trappes

Chiffrement symtrique Modes + AES - 41 Chiffrement symtrique Modes + AES - 42

41 42
Avantages et limites
Limites
le dcryptage est plus difficile implanter en "Smart Chiffrements par flux
Card"
code et tables diffrents pour l'encryptage et le
dcryptage
dans une ralisation en matriel, il y a peu de rutilisation
des circuits d'encryptage pour effectuer le dcryptage

Chiffrement symtrique Modes + AES - 43 44

Il existe deux types de chiffrement cl symtrique:

Le chiffrement par blocs:
L'opration de chiffrement s'effectue sur des blocs de texte clair
(ex:le DES -blocs de 64 bits).

Le chiffrement par stream:

L'opration de chiffrement s'opre sur chaque lment du texte clair
(caractre, bits).
Chiffrement d'un bit/caractre la fois
La structure d'un chiffrement par stream repose sur un gnrateur
de cl qui produit une squence de cls k1, k2, , ki

43 44
 Chiffrement par flux typique
Le gnrateur de cl peut tre considr comme
une machine tats finis.
Un exemple de ce type de gnrateur est le FSR
(Feedback Shift Register)
Internal State

Next-State
Function

Output Function
KEY K

Ki

Chiffrement symtrique Modes + AES - 45 Chiffrement symtrique Modes + AES - 46

La scurit du chiffrement dpend de la qualit du gnrateur : Un FSR est constitu de

si ki=0 i, M=C m sections contenant chacune 1 bit (tat interne).
si la squence des cls ki est et compltement alatoire, on obtient un D'une fonction de retour (feedback).
One-Time-Pad. A chaque impulsion de l'horloge, les lments des sections sont dcals d'une
En pratique, on se situe entre les deux, c est--dire une squence pseudo position vers la droite.
alatoire. L'lment de la section 0 constitue l'output du FSR.
L'lment de la section M-1 est le rsultat de la fonction de retour.
Propagation des erreurs: Les coefficients ci ont pour valeur 0 ou 1 et dfinissent les sections qui
Une erreur dans Ci n'affecte qu'1 bit de Mi seront prises en compte par la fonction.
La perte ou l'ajout d'un bit de Ci affecte tous les bits suivants de M aprs Les valeurs des coefficients ainsi que la valeur initiale du registre est fixe
dchiffrement. par la cl K symtrique.
La qualit du gnrateur est dfinie par sa priode de retour, c'est dire la
priode aprs laquelle la mme srie d'output est gnre (=> gnrateur
c i = mi k i pseudo-alatoire).

mi = c i k i

45 46
 Questions
Dans la cas o la fonction de retour est linaire du Expliquer
type f ( x0 ,..., x m 1 ) = c0 x0 + c1 x1 + ... + c m 1 x m 1 Les modes du DES
m 1
= ci xi AES
i =0
Choix de lalgorithme
on parle de gnrateur LFSR (linear feedback shift Rijndael
register) Avantages et inconvnient du Rijndael
Feedback f(x0, x1,...xm-1)

Section Section ...

Section 0 ...
Output
m-1 m-2

Clock

Chiffrement symtrique Modes + AES - 47 Chiffrement symtrique Modes + AES - 48

47 48
Rfrences
[Stallings] ch 5
http://csrc.nist.gov/CryptoToolkit/aes/
http://www.rijndael.com/
http://www.uqtr.ca/~delisle/Crypto/prives/blocs_modes.php
http://home.ecn.ab.ca/~jsavard/crypto/co040401.htm

Chiffrement symtrique Modes + AES - 49

49