Grands nombres

Probabilité de mourir foudroyé 1/9 milliards (233)

La cryptographie symétrique Probabilité de gagner au lotto américain 1/4000000 (222)
Temps d’ici à ce que le soleil explose 109 (230) années
Age de la terre 109 (230) années
Age de l’univers 1010 (234) années
Nombre d’atomes constituant la terre 1051 (2170)
Nombre d’atomes constituant la galaxie 1067 (2223)
Nombre d’atomes constituant l’univers 1077 (2265)
Durée de vie de l’univers 1011 (237) années

1 Chiffrement symétrique - DES - 2

 Réseaux S-P de Shannon

Chiffrement par blocs

Chiffrements par blocs

Réseaux de Shannon

3 Chiffrement symétrique - DES - 4

L'idée générale du chiffrement par blocs est la suivante: Chiffrement par substitution
Remplacer les caractères par un code binaire Les substitutions consistent à remplacer des symboles ou des groupes de
Découper cette chaîne en blocs de longueur donnée symboles par d'autres symboles ou groupes de symboles dans le but de
créer de la confusion.
Chiffrer un bloc en l'"additionnant" bit par bit à une clef.
Chiffrement par transposition
Déplacer certains bits du bloc.
Les transpositions consistent à mélanger les symboles ou les groupes de
Recommencer éventuellement un certain nombre de fois l'opération 3. On symboles d'un message clair suivant des règles prédéfinies pour créer de
appelle cela une ronde. la diffusion. Ces règles sont déterminées par la clé de chiffrement. Une
Passer au bloc suivant et retourner au point 3 jusqu'à ce que tout le suite de transpositions forment une permutation.
message soit chiffré.
 Réseaux S-P de Shannon Effet d’avalanche

Chiffrement symétrique - DES - 5 Chiffrement symétrique - DES - 6

Chiffrement par produit : la combinaison des deux Effet d’avalanche :

Le chiffrement par substitution ou par transposition ne fournit pas un haut Propriété des chiffrements par blocs composés de couches (layers) ou
niveau de sécurité, mais en combinant ces deux transformations, on peut "rounds" avec un petit changement à l'entrée.
obtenir un chiffrement robuste. La plupart des algorithmes de cryptage par Le changement d'un simple bit d'entrée produit généralement de multiples
clés symétriques utilisent le chiffrement par produit. changements de bits après un round, plusieurs autres changements de bits
Un « round » est complété lorsque les deux transformations ont été faites après un autre round jusqu'au changement éventuel de la moitié du bloc.
une fois (substitution et transposition).
 Feistel - principe
„ Le texte est chiffré à partir de la même
Structures de Feistel transformation sur le texte clair dans chaque
round.

7 Chiffrement symétrique - DES - 8

•Structure décrite en 1973 (Feistel – IBM) Description du schéma :

•Adapte la structure de Shannon afin de rendre la structure inversible ce qui Dans une construction de Feistel, le bloc d'entrée d'un round est séparé en deux
permet de réutiliser le matériel de chiffrement pour déchiffrer un message. La parties.
seule modification s’effectue sur la manière dont la clé est utilisée •La fonction de chiffrement est appliquée sur la première partie du bloc
•Une couche de S-Box et de P-Box est utilisée par Round •et l'opération binaire OU-Exclusif est appliquée sur la partie sortante de la
fonction et la deuxième partie.
•Ensuite les deux parties sont permutées et le prochain round commence.
Feistel déchiffrement Feistel – Choix des paramètres
„ L'avantage est que la fonction de chiffrement et la „ La réalisation d’un tel réseau dépend des choix
fonction de déchiffrement sont identiques. Ainsi la effectués pour les paramètres suivants :
fonction n'a pas à être inversible, c’est la structure ‰ Taille du bloc :
qui l’est „ % taille → % sécurité
‰ Taille de clé :
„ % taille → % sécurité
‰ Nombre de cycle :
„ % nombre → % sécurité
‰ Algorithme de génération des sous
- clés :
„ % complexité → % difficultés de cryptanalyse
‰ Vitesse de chiffrement/déchiffrement logiciel

Chiffrement symétrique - DES - 9 Chiffrement symétrique - DES - 10

 Chiffrement symétriques les plus fréquents

D.E.S. (Data Encryption Standard)

Présentation - objectifs

11 Chiffrement symétrique - DES - 12

Le D.E.S. (Data Encryption Standard, c’est-à-dire Standard de Chiffrement de

Données) est un standard mondial depuis plus de 15 ans. Bien qu’il soit un peu
vieillissant, il résiste toujours très bien à la cryptanalyse et reste un algorithme
très sûr.
Au début des années 70, le développement des communications entre
ordinateurs a nécessité la mise en place d’un standard de chiffrement de
données pour limiter la prolifération d’algorithmes différents ne pouvant pas
communiquer entre eux. Pour résoudre ce problème, L’Agence Nationale de
Sécurité américaine (N.S.A.) a lancé des appels d’offres. La société I.B.M. a
développé alors un algorithme nommé Lucifer, relativement complexe et
sophistiqué. Après quelques années de discussions et de modifications, cet
algorithme, devenu alors D.E.S., fut adopté au niveau fédéral le 23 novembre
1976.
DES – Cahier des charges Propriétés du DES
„ haut niveau de sécurité „ Aléatoire
„ complètement spécifié et facile à comprendre „ Propriété d’avalanche
„ sécurité indépendante de l'algorithme lui-même „ Propriété de complétude
‰ Chaque bit de sortie est une fonction complexe de tous
„ disponible à tous
les bits d’entrée
„ adaptable à diverses applications
„ Non-linéarité
„ possibilité d'implantation économique en matériel ‰ La fonction de chiffrement est non- affine pour toute
valeur de la clé
„ efficace d'utilisation, validable, et exportable
„ Immunité contre la corrélation

Chiffrement symétrique - DES - 13 Chiffrement symétrique - DES - 14

Transformation linéaire :
transformation qui respecte la condition :
T(X[m x 1]) = Y[n x 1] =A[n x m] * X[m x 1]
ou
T(X1 ⊕ X2) = T(X1) ⊕ T(x2)

La non-linéarité d'une fonction est la mesure du nombre de bits qui doivent

changer dans la table de vérité d'une fonction booléenne pour s'approcher
d'une « affine function »

Transformation affine
transformation qui respecte la condition :
T(X[m x 1]) = Y[n x 1] =A[n x m] * X[m x 1] ⊕ B[n x 1]
D.E.S. (Data Encryption Standard)

Algorithme

15 Chiffrement symétrique - DES - 16

Etapes de l’algorithme :
1. Diversification de la clé : fabrication de 16 sous-clés
2. Permutation initiale
3. Calcul médian (16 fois) : application d’un algorithme complexe appliqué
en fonction de la clé
4. Permutation finale
DES – principes généraux Permutation initiale (IP)
„ La clé „ Les 64 bits du bloc d’entrée subissent la
‰ Constituée de 64 bits dont 56 sont utilisés aléatoirement permutation
dans l’algorithme
‰ Les 8 autres peuvent être utilisés pour la détection
d’erreurs
‰ Chacun des 8 bits est utilisé comme bit de parité des 7
groupes de 8 bits.
‰ Nombre total de clés : 256

Chiffrement symétrique - DES - 17 Chiffrement symétrique - DES - 18

Le premier bit sera le bit 58, le second le bit 50, etc.

Calcul médian Calcul médian
„ 16 itérations identiques „ Itérations
„ Traite 2 blocs à la fois ‰ Tn = L nRn
‰ Bloc de 32 bits (données) „ Ln = t1…t32
‰ Bloc de 48 bits (clés) „ Rn = t33…t64
‰ Où
„ Résultat = bloc de 32 bits
„ Ln = Rn-1
„ 64 bits initiaux sont divisés en 2 bloc (L et R) „ Rn = Ln-1 ⊕ F(Rn-1, Kn)
‰ L 3 bits pairs, R 3 bits impairs „ Kn = G(K,n)

Chiffrement symétrique - DES - 19 Chiffrement symétrique - DES - 20

Calcul médian Expansion
„ Fonction F : „ Les 32 bits sont étendus à 48 bits grâce à une
table d’expansion → E(Rn-1)
1. Expansion

2. Ajout de la clé
32 1 2 3 4 5
3. Transformations 4 5 6 7 8 9
8 9 10 11 12 13
12 13 14 15 16 17
(S-Box, P-Box)
16 17 18 19 20 21
20 21 22 23 24 25
4. Assemblage 24 25 26 27 28 29
28 29 30 31 32 1

Chiffrement symétrique - DES - 21 Chiffrement symétrique - DES - 22

« effet d’avalanche »
Addition de la sous-clé Transformations – S-box
„ Le résultat de l’expansion est additionné (xor) à la „ Chaque bloc Bj constitue ensuite l’entrée de
sous-clé Kn correspondant à l’itération l’opération de substitution réalisée sur base des S-
B → S (B )
Box
j j j

E (Ri −1 ) ⊕ K i = B1 B2 ... B8 Bloc de Bloc de

6 bits 4 bits
B j bloc de 6 bits
48-Bit Input

B j = b1b2 b3 b4 b5 b6
S-Box 1 S-Box 2 S-Box 3 S-Box 4 S-Box 5 S-Box 6 S-Box 7 S-Box 8

32-Bit Output

Chiffrement symétrique - DES - 23 Chiffrement symétrique - DES - 24

Transformations – S-box Les 8 S-Boxes du DES
Row 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

¾ L'opération de substitution consiste pour chaque S- 0

1
2
14
0
4
4
15
1
13
7
14
1
4
8
2
14
13
15
2
6
11
13
2
8
1
11
3
10
15
10
6
12
6
12
9
12
11
7
5
9
3
9
5
10
0
3
5
7
8
0

box à calculer: 3
0
15
15
12
1 2
8 2
14
4
6
9
11
1
3
7
4
5
9
11
7
3
2
14
13
10
2
0
0
6
5
13
10
1 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5

• b1b6 = n° de ligne 2 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15

3 13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9

• b2b3b4b5 = n° de colonne 0
1
10
13
0
7
9
0
14
9
6
3
3
4
15
6
5
10
1
2
13
8
12
5
7
14
11
12
4
11
2
15
8
1
2 13 6 4 9 8 15 3 0 11 1 2 12 5 10 14 7
3 1 10 13 0 6 9 8 7 4 15 14 3 11 5 2 12
0 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15
1 13 8 11 5 6 15 0 3 4 7 2 12 1 10 14 9
N° de colonne 2
3
10
3
6
15
9
0
0
6
12
10
11
1
7
13
13
8
15
9
1
4
3
5
14
11
5
12
2
7
8
2
4
14
0 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 1
2
14
4
11
2
2
1
12
11
4
10
7
13
13
7
1
8
5
15
0
9
15
12
10
5
3
6
9
3
8
0
6
14
0 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 3 11 8 12 7 1 14 2 13 6 15 0 9 10 4 5 3
0 12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11
1 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 1 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8
2 9 14 15 5 2 8 12 3 7 0 4 10 1 13 1 6
2 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 3 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13
0 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1
1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6
2 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2
3 6 11 13 8 1 4 10 7 9 5 0 15 14 2 3 12

N° de ligne 0
1
13
1
2
15
8
13
4
8
6
10
15
3
11
7
1
4
10
12
9
5
3
6
14
11
5
0
0
14
122
9
7
2
2 7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8
3 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11

Chiffrement symétrique - DES - 25 Chiffrement symétrique - DES - 26

Transformations – P-Box Résultat du calcul médian pour une ronde
¾ L'opération de permutation est réalisée sur le
résultat de la substitution des S-box et est basée
sur la table suivante:
16 7 20 21
29 12 28 17
1 15 23 26
5 18 31 10
2 8 24 14
32 27 3 9
19 13 30 6
22 11 4 25

¾ Le résultat de cette dernière permutation est noté

F(Rn-1,Kn)

Chiffrement symétrique - DES - 27 Chiffrement symétrique - DES - 28

Permutation finale (IP-1) Calcul de la clé (G(K,n))
„ Permutation inverse de la permutation initiale „ Clé initiale de 64 bits
1. Réduction à 56 bits
‰ Les bits de parité sont enlevé
‰ Permutation de la clé
57 49 41 33 25 17 9
1 58 50 42 34 26 18
10 2 59 51 43 35 27
19 11 3 60 52 44 36
63 55 47 39 31 23 15
7 62 54 46 38 30 22
14 6 61 53 45 37 29
21 13 5 28 20 12 4

Chiffrement symétrique - DES - 29 Chiffrement symétrique - DES - 30

Calcul de la clé (G(K,n)) Calcul de la clé (G(K,n))
2. Division de la clé Iteration i
Number
of Left
5. Réduction
Shifts
1 1 „ La sous- clé résultante (56 bits)
„ Division en 2 sous
- clés de 28 bits 2 1 est réduite à une sous- clé de 48
3 2 14 17 11 24 1 5
4 2
bits sur base de la table ci-
3 28 15 6 21 10
3. Rotation de la clé 5 2 contre 23 19 12 4 26 8
6 2
7 2 16 7 27 20 13 2
„ A chaque tour, chaque sous- clé subit 8 2 6. Le résultat de cette réduction 41 52 31 37 47 55
9 1 30 40 51 45 33 48
une rotation d’un ou 2 bits vers la 10 2
est la sous-clé Kn additionnée
44 49 39 56 34 53
gauche 11 2 avec E(Rn-1) 46 42 50 36 29 32
12 2
13 2
14 2
4. Regroupement des 2 sous clés 15 22
16 1

Chiffrement symétrique - DES - 31 Chiffrement symétrique - DES - 32

Déchiffrement
„ Appliquer le même algorithme mais à l’inverse en
tenant bien compte que chaque itération du D.E.S. (Data Encryption Standard)
déchiffrement traite les mêmes paires de blocs
utilisés dans le chiffrement
„ Rn-1 = Ln
„ Ln-1 = Rn ⊕ f(Ln,Kn)
Faiblesses et améliorations

Chiffrement symétrique - DES - 33 34

DES – considérations sur la sécurité DES - Faiblesses des clés
„ Questions relatives à la conception de l'algorithme „ Problème des compléments
‰ caractère confidentiel de la conception ‰ si c = DES(p, k), alors !c = DES(!p, !k)
‰ présence de "trappes"? ‰ n'est pas un problème sérieux
‰ possibilité d'une faiblesse fondamentale?
„ Clefs "faibles"
„ Le nombre d'itérations (16) est il suffisant ? ‰ 0x0101….0101, 0xFEFE….FEFE, 0x1F1F….1F1F, 0xE0E0….E0E0

„ La taille de la clef (56 bits) est elle suffisante? „ Clefs "semi- faibles"
‰ originalement, Lucifer prévoyait 128 bits ‰ paires de clefs dont la deuxième peut décrypter un message
‰ possibilité d'une attaque « force brute » réussie? encrypté par la première; p.ex. 0x01FE…01FE et 0xFE01….FE01
‰ possibilité d'une attaque de type « parallèle » ‰ il existe six paires de ce genre
‰ possibilité de réussite d'une attaque de type "texte en clair choisi" „ Existence possible de paires de clés qui génèrent le même
„ Toutes ces questions ont reçu des réponses satisfaisantes texte encrypté à partir du même texte en clair ("clustering")

Chiffrement symétrique - DES - 35 Chiffrement symétrique - DES - 36

Clé complémentaires : 255 clés à tester

64 clés faibles en tout
Longueurs de clés sures pour 20 ans 6 attaques sur le DES
„ Recherche exhaustive
‰ Une clé après l'autre, on essaie de déchiffrer un bloc de
données, l'information recueillie sur le texte clair nous
permettant de reconnaître la bonne
‰ besoin, en moyenne, de 255 essais

„ Une machine dédiée

‰ Deep Crack, tel est le nom de cette machine
extraordinaire, a coûté moins de 210'000$.
‰ un temps de recherche moyen situé entre 4 et 5 jours.
(1998)

Chiffrement symétrique - DES - 37 Chiffrement symétrique - DES - 38

Recherche exhaustive
DES est un algorithme capable de chiffrer un bloc de données P de 64 bits à l'aide d'une clé
secrète K de 56 bits. Le résultat est un bloc de données chiffrées de 64 bits que nous noterons
C. L'opération de déchiffrement P=DK(C) est, grâce à la structure même de l'algorithme,
quasiment identique à l'opération de chiffrement C = EK(P), la seule différence étant une
légère modification de la préparation de la clé.
Imaginons que nous disposions d'un bloc de données chiffrées C' et que nous voulions trouver
la clé secrète correspondante. Si nous disposons d'un peu d'information sur la structure ou le
contenu des données en clair (texte ASCII, image JPEG, paquet de réseau ayant une
structure connue,...), la méthode la plus simple est une recherche exhaustive de la clé
correspondante parmi les 256 ' 7,2 * 1016 possibilités. Le principe, très simple, est le suivant:
une clé après l'autre, on essaye de déchiffrer le bloc de données, l'information sur le texte clair
nous permettant de reconnaître la bonne et donc d'interrompre la recherche. Nous aurons
besoin, en moyenne, de 255 essais avant de terminer notre attaque.
Une machine dédiée
La complexité, mesurée en terme de quantité de calcul, d'une recherche exhaustive est certes
énorme, mais à présent, grâce aux progrès de la technologie des microprocesseurs depuis
1977, elle est loin d'être inaccessible. DES est un algorithme orienté hardware qui a le gros
désavantage pour le cryptanalyste d'être très lent en software. Une plate-forme PC actuelle, à
savoir un processeur Intel Pentium III 666MHz, peut examiner environ 2 millions de clés par
seconde, ce qui implique un temps de recherche moyen de 600 années pour un seul PC.
Une solution matérielle a été proposée et réalisée par l'EFF (Electronic Frontier Fundation) en
1998, dans le seul but de prouver que DES n'est pas (ou plus) du tout un algorithme sûr. Deep
Crack, tel est le nom de cette machine extraordinaire, a coûté moins de 210'000$. Elle est
constituée de 1536 chips qui sont capables de décrypter un bloc en 16 cycles d'horloge, le tout
étant cadencé à 40 MHz. Ces caractéristiques lui donnent la possibilité d'examiner 92 milliards
de clés par seconde, ce qui donne un temps de recherche moyen situé entre 4 et 5 jours.
Vu le budget modeste de l'EFF, il n'est pas difficile de tirer des conclusions alarmistes sur la
sécurité de DES vis-à-vis d'organismes gouvernementaux (tel la NSA, organe américain
chargé de l'espionnage électronique) ou d'organisations criminelles.
 6 attaques sur le DES 6 attaques sur le DES
„ Un gigantesque cluster „ Cryptanalyse différentielle
‰ Regroupement d’ordinateur sur le net qui partagent leur ‰ possibilité de produire au moyen de textes clairs choisis
puissance de calcul les textes chiffrés correspondants avec cette clé
‰ Le 19 janvier 1999, RSA Labs, a cassé une clé en moins inconnue
de 23 heures. ‰ La meilleure attaque différentielle connue demande
actuellement 247 textes clairs choisis
„ Un compromis temps-mémoire
‰ Générer un dictionnaire de paire (K,C) „ Cryptanalyse linéaire
‰ besoin énorme de mémoire (1.5 milliard de Go), ainsi que ‰ l'attaque la plus efficace connue à ce jour contre DES
de beaucoup de temps pour construire cette table. ‰ dictionnaire de (M,C) → attaque à texte clair connu
‰ Cette attaque demande environ 1000 Go de capacité de ‰ statistiques sur un flot de 243 couples de données (soit la
stockage et 5 jours de calculs sur un simple PC bagatelle de deux fois 64 To).

Chiffrement symétrique - DES - 39 Chiffrement symétrique - DES - 40

Un gigantesque cluster Cryptanalyse différentielle

Il n'est même pas nécessaire de disposer de gros moyens financiers pour pouvoir casser En 1990, deux chercheurs israéliens du Weitzmann Institute, Biham et Shamir, ont présenté
DES. De la bonne volonté et quelques bénévoles sont suffisants. Le 19 janvier 1999, dans le une nouvelle attaque, la cryptanalyse différentielle. En utilisant cette méthode, les deux
cadre d'un concours sponsorisé par une des entreprises majeures en sécurité informatique, chercheurs ont proposé pour la première fois une façon de casser DES qui demande moins de
RSA Labs, a cassé une clé en moins de 23 heures. L'organisation distributed .net regroupe temps de travail qu'une recherche exhaustive.
des milliers d'ordinateurs (de la machine la plus simple aux serveurs multiprocesseurs les plus Imaginons que nous disposions d'un boîtier électronique capable de chiffrer des données avec
puissants) sur Internet qui fournissent gracieusement leur puissance de calcul à disposition une clé inconnue câblée dans le matériel; de plus, nous ne disposons pas du matériel
lorsqu'ils sont inactifs. Plus de 100'000 ordinateurs ont reçu un certain nombre de clés à nécessaire pour récupérer physiquement la clé dans le boîtier. Il nous est cependant possible
contrôler via le réseau, ce qui a permis un taux de traitement de 250 milliards de clés par de produire au moyen de textes clairs choisis les textes chiffrés correspondants avec cette clé
seconde. inconnue.
Un compromis temps-mémoire La meilleure attaque différentielle connue demande actuellement 247 textes clairs choisis. La
Nous avons déjà abordé l'idée de recherche exhaustive de clé: on a à disposition un couple phase d'analyse calcule la clé à l'aide de cet énorme amas de données. Une propriété
texte clair - texte chiffré et on essaye les 256 clés possibles. Cette méthode ne demande intéressante de cette attaque est qu'il est possible de la monter même si le nombre de
quasiment aucune mémoire, mais en contrepartie, on devra essayer en moyenne 255 clés données disponibles est petit; la probabilité de succès augmente linéairement avec ce
avant de tomber sur la bonne. D'un autre côté, il serait imaginable, pour un texte clair x donné, nombre.
de pré-calculer le texte chiffré y = EK(x) correspondant pour toutes les 256 clés K, et de stocker Cryptanalyse linéaire
les paires (yK, K) triées par leur première coordonnée.
Une autre attaque théorique importante est la cryptanalyse linéaire. Elle a été proposée par
Plus tard, lorsque l'on obtient un texte chiffré y à partir de x, il est possible, par une simple Matsui, de Mitsubishi Electronics, en 1993. Bien qu'elle ne soit que théoriquement utile dans le
recherche dans notre table, de retrouver la clé correspondante. Nous pouvons noter que cette monde réel, c'est l'attaque la plus efficace connue à ce jour contre DES.
recherche demande un temps constant; par contre, nous avons un besoin énorme de mémoire
(1.5 milliard de Go), ainsi que de beaucoup de temps pour construire cette table. De plus, le Imaginons le scénario suivant: nous disposons d'un grand nombre de couples texte clair -
bénéfice ne devient effectif que si l'on doit chercher plus d'une clé à partir du texte chiffré d'un texte chiffré avec une clé identique. Nous pouvons dans ce cas procéder à ce que l'on nomme
même message. une attaque à texte clair connu.

Un algorithme, dit de compromis temps-mémoire, a été proposé en 1980 par Hellman. Il Ainsi, il est possible d'exploiter une faiblesse d'une des briques composantes de DES en
combine à la fois une demande de mémoire moindre que celle de notre proposition, ainsi effectuant des statistiques sur un flot de 243 couples de données (soit la bagatelle de deux fois
qu'un temps de calcul inférieur à celui d'une recherche exhaustive. Cette attaque demande 64 To).
environ 1000 Go de capacité de stockage et 5 jours de calculs sur un simple PC.
DES – attaques sur le DES 2DES – 3DES
„ Cryptanalyse linéaire ou différentielle „ Double DES
‰ Attaque impraticable pour des chiffrements correctement ‰ Choisir deux clefs k1 et k2
conçus ‰ Encrypter deux fois: E(k2, E(k1, m))
‰ Outil parfait pour comparer la résistance de divers ‰ Il a été prouvé que 2DES était équivalent à un DES avec
chiffrements clé de 57 bits → seulement deux fois plus de travail pour
briser
‰ Résistance contre ces attaques ne signifie pas résistance
contre toutes les autres méthodes inconnues. „ Attaque sur le 2DES (meet-in-the-middle)
‰ Soit des paires (Mi,Ci)
‰ On calcule Xz = EKz(Mi) ∀ z et YW = DKw(Ci) ∀ w
‰ On cherche z = w
‰ Donc X=2n opérations, Y=2n opération ⇒ attaque = 2 n+1

Chiffrement symétrique - DES - 41 Chiffrement symétrique - DES - 42

Requiert 1017 bytes pour stocker ces blocs

2DES – 3DES Sources
„ Triple DES „ [stallings] – ch3

‰ 2 clefs, 3 opérations: „ [schneier] – ch 12

„ E(k1, D(k2, E(k1, m))) „ [natkin] – 2.2
‰ Équivalent à doubler la „ http://www.bibmath.net/crypto/moderne/indexmoderne.php3
taille effective de la clé „ http://www.ssh.fi/support/cryptography/algorithms/symmetric.html
(longueur sure)
„ http://home.ecn.ab.ca/~jsavard/crypto/comp04.htm
‰ Très robuste et effectif „ http://www.uqtr.ca/~delisle/Crypto/prives/
contre toutes les attaques
faisables connues

‰ Très lent car triple les

opérations

Chiffrement symétrique - DES - 43 Chiffrement symétrique - DES - 44

Questions
„ Expliquer :
‰ Réseaux de Shannon – Feistel
‰ Algorithme du DES
„ Permutation, calcul médian
„ Calcul de la clé
‰ Faiblesses et améliorations du DES

Chiffrement symétrique - DES - 45