# **Examen 2018-2019**

In [1]:
import sys
import os
from pathlib import Path
current_dir = Path(os.getcwd())
parent_dir = current_dir.parent
sys.path.append(str(parent_dir))

from algorithm import AES, CESAR, DIFFIE_HELLMANN, ECC, ELGAMAL, RSA, VIGENERE
from compute import BASIC_COMPUTE, LFSR

## **Questions de cours**

1. *Quel est le record de factorisation ?*  
   Le record de factorisation d’un entier est actuellement la factorisation d’un nombre RSA de 829 bits, soit 249 chiffres décimaux, réalisée en 2020. Cet exploit a nécessité l'utilisation de puissantes ressources de calcul sur une période prolongée.

2. *Qu’est-ce que la sécurité inconditionnelle ?*  
   L’attaquant ne peut r´esoudre le d´efi quelles que soient ses capacités. Exemple : à chiffré connu, l’attaquant ne peut récupérer aucune information sur le clair ni sur la clé.  

3. *Quelle est la complexité générique d’une collision pour une fonction de hachage ? À quel résultat probabiliste ceci est-il dû ?*  
   La complexité générique pour trouver une collision pour une fonction de hachage de taille \( n \) bits est de l’ordre de \( 2^{n/2} \) opérations, ce qui découle du paradoxe des anniversaires. Ce résultat probabiliste montre qu'avec suffisamment de valeurs hachées, la probabilité de trouver une collision augmente de manière significative bien avant d'avoir exploré toutes les possibilités.

4. *Quelle est la situation la plus favorable à l’attaquant en termes de contexte et de défi, pour l’attaque d’une signature ?*  
   La situation la plus favorable pour l'attaquant est celle où il a accès à un oracle de signature. Cela signifie qu'il peut demander des signatures sur des messages de son choix (attaque de signature avec texte clair choisi). Avec ce contexte, il peut exploiter les réponses de l'oracle pour tenter de forger une signature valide pour un autre message non signé.

5. *Quelle attaque une certification de clé permet-elle d’éviter ?*  
   Une certification de clé permet d’éviter les attaques de type "attaque de l’homme du milieu" (ou "man-in-the-middle"), où un attaquant intercepte et modifie les communications entre deux parties en se faisant passer pour chacune d'elles. La certification assure l'authenticité de la clé publique utilisée, en garantissant qu'elle appartient bien à l'entité revendiquée.

6. *En quoi consiste l’indistinguabilité pour un schéma de chiffrement ?*  
   L'indistinguabilité pour un schéma de chiffrement signifie qu’un attaquant ne peut pas distinguer deux textes chiffrés correspondant à deux textes clairs différents, même s'il choisit ces textes. Dans ce scénario d’attaque, on suppose que l’attaquant peut choisir deux textes clairs et recevoir les textes chiffrés correspondants. Le défi est alors de déterminer lequel des deux textes clairs a été chiffré, ce qui est impossible dans un schéma assurant l’indistinguabilité.

7. *Expliquer pourquoi la sécurité absolue (probabilité zéro d’être attaqué) n’a pas de sens en cryptographie courante.*  
   La sécurité absolue n’est pas réalisable en cryptographie courante parce que les attaques potentielles peuvent toujours évoluer, et des ressources suffisantes pourraient un jour briser la sécurité d’un système. En pratique, on parle de "sécurité calculatoire", qui repose sur la complexité des calculs nécessaires pour casser le système. Tant que le temps et les ressources nécessaires sont trop importants (par exemple, des milliards d'années), le système est considéré comme sécurisé.

8. *Comment faut-il choisir le nombre premier p pour que le problème du logarithme discret modulo p soit difficile en pratique (taille de p, propriété particulière, ... ) ?*  
   Pour assurer la difficulté du problème du logarithme discret modulo \( p \), le nombre premier \( p \) doit être suffisamment grand, typiquement de 2048 bits ou plus pour les standards modernes. De plus, \( p \) doit être choisi de manière à ce que \( p - 1 \) ait au moins un grand facteur premier, ce qui empêche les attaques utilisant la structure de sous-groupes de moindre ordre.

9. *Comment assurer la confidentialité et l’intégrité symétrique conjointes ?*  
   Pour assurer la confidentialité et l'intégrité des communications symétriques, on utilise des constructions telles que l’encryption authentifiée, comme GCM (Galois/Counter Mode) ou EAX. Ces schémas combinent le chiffrement et l’authentification des messages de manière à garantir que le texte chiffré ne peut pas être lu ou modifié sans que la violation soit détectée.

10. *Quel est l’apport des courbes elliptiques par rapport aux entiers modulaires pour le problème du logarithme discret ?*  
    Les courbes elliptiques offrent une sécurité équivalente au problème du logarithme discret avec des clés beaucoup plus courtes que celles nécessaires pour les entiers modulaires. Par exemple, une clé elliptique de 256 bits offre une sécurité comparable à une clé RSA de 3072 bits, ce qui réduit considérablement les besoins en stockage et les temps de calcul.

## **Exercice 1**

On consid`ere le groupe multiplicatif (Z/61Z)∗ = (Z/61Z) − {0}.  

**1. Montrer que 2 est un élément générateur. On énoncera les égalités numériques à vérifier, mais pour des raisons de temps on s’autorisera à ne pas effectuer tous les calculs.**

In [2]:
compute = BASIC_COMPUTE()
r = compute.is_generator(61-1, 2)


2 est un générateur de l'ensemble multiplicatif modulo 61 ?
Le groupe a un ordre de 60. Nous devons vérifier si les puissances de 2 couvrent tous les entiers de 1 à 60 modulo 61
	1: 2^1 mod 61 = 2
	2: 2^2 mod 61 = 4
	3: 2^3 mod 61 = 8
	4: 2^4 mod 61 = 16
	5: 2^5 mod 61 = 32
	6: 2^6 mod 61 = 3
	7: 2^7 mod 61 = 6
	8: 2^8 mod 61 = 12
	9: 2^9 mod 61 = 24
	10: 2^10 mod 61 = 48
	11: 2^11 mod 61 = 35
	12: 2^12 mod 61 = 9
	13: 2^13 mod 61 = 18
	14: 2^14 mod 61 = 36
	15: 2^15 mod 61 = 11
	16: 2^16 mod 61 = 22
	17: 2^17 mod 61 = 44
	18: 2^18 mod 61 = 27
	19: 2^19 mod 61 = 54
	20: 2^20 mod 61 = 47
	21: 2^21 mod 61 = 33
	22: 2^22 mod 61 = 5
	23: 2^23 mod 61 = 10
	24: 2^24 mod 61 = 20
	25: 2^25 mod 61 = 40
	26: 2^26 mod 61 = 19
	27: 2^27 mod 61 = 38
	28: 2^28 mod 61 = 15
	29: 2^29 mod 61 = 30
	30: 2^30 mod 61 = 60
	31: 2^31 mod 61 = 59
	32: 2^32 mod 61 = 57
	33: 2^33 mod 61 = 53
	34: 2^34 mod 61 = 45
	35: 2^35 mod 61 = 29
	36: 2^36 mod 61 = 58
	37: 2^37 mod 61 = 55
	38: 2^38 mod 61 = 49
	39: 2^39 

**2. Décrire numériquement le protocole de Diffie-Hellman avec p = 61, g = 2, a = 12, b = 37 (notations de la diapo 164). En particulier, quelle est la valeur numérique du secret commun établi ?**

In [3]:
my_diffie_hellmann = DIFFIE_HELLMANN(p=61, g=2)
_ = my_diffie_hellmann.key_exchange(12, 37)


Initialisation de l'échange de clés Diffie-Hellman avec:
	Nombre premier p = 61
	Générateur g = 2
	Secrets choisis a = 12, b = 37

Calcul des valeurs publiques A = (g^a mod p) et B = (g^b mod p):
Modular Exponentiation: 2 ^ 12 mod 61
	1: (1 * 2) % 61 = 2
	2: (2 * 2) % 61 = 4
	3: (4 * 2) % 61 = 8
	4: (8 * 2) % 61 = 16
	5: (16 * 2) % 61 = 32
	6: (32 * 2) % 61 = 3
	7: (3 * 2) % 61 = 6
	8: (6 * 2) % 61 = 12
	9: (12 * 2) % 61 = 24
	10: (24 * 2) % 61 = 48
	11: (48 * 2) % 61 = 35
	12: (35 * 2) % 61 = 9

	=> 2 ^ 12 mod 61 = 9
	=> A = (g^a mod p) = 9

Modular Exponentiation: 2 ^ 37 mod 61
	1: (1 * 2) % 61 = 2
	2: (2 * 2) % 61 = 4
	3: (4 * 2) % 61 = 8
	4: (8 * 2) % 61 = 16
	5: (16 * 2) % 61 = 32
	6: (32 * 2) % 61 = 3
	7: (3 * 2) % 61 = 6
	8: (6 * 2) % 61 = 12
	9: (12 * 2) % 61 = 24
	10: (24 * 2) % 61 = 48
	11: (48 * 2) % 61 = 35
	12: (35 * 2) % 61 = 9
	13: (9 * 2) % 61 = 18
	14: (18 * 2) % 61 = 36
	15: (36 * 2) % 61 = 11
	16: (11 * 2) % 61 = 22
	17: (22 * 2) % 61 = 44
	18: (44 * 2) % 61 = 27
	1

## **Exercice 2**

Calculer le logarithme discret de 49 en base 2 modulo 61 par la méthode pas de bébé-pas de géant.

In [4]:
r = compute.discrete_logarithm(2, 49, 61, 60)


Calcul du logarithme discret de 49 en base 2 modulo 61 :

Étape 1: 
	m = ⌊√60⌋ = 8

Étape 2: Calculer les étapes "baby" : a^j mod n
	Baby step: a^0 mod 61 = 1
	Baby step: a^1 mod 61 = 2
	Baby step: a^2 mod 61 = 4
	Baby step: a^3 mod 61 = 8
	Baby step: a^4 mod 61 = 16
	Baby step: a^5 mod 61 = 32
	Baby step: a^6 mod 61 = 3
	Baby step: a^7 mod 61 = 6
	=> [(1, 0), (2, 1), (3, 6), (4, 2), (6, 7), (8, 3), (16, 4), (32, 5)]

Étape 3 : Calculer a^(-m) mod n

Euclide étendu: a * 2 = 1 mod 61

PGCD(2, 61):
	2 = 0 * 61 + 2
	61 = 30 * 2 + 1
	2 = 2 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 61 - 30 * 2
	1 = -30 * 2 + 1 * 61

=> 1 = -30 * 2 + 1 * 61 (mod 61) donc a = 31

Modular Exponentiation: 31 ^ 8 mod 61
	1: (1 * 31) % 61 = 31
	2: (31 * 31) % 61 = 46
	3: (46 * 31) % 61 = 23
	4: (23 * 31) % 61 = 42
	5: (42 * 31) % 61 = 21
	6: (21 * 31) % 61 = 41
	7: (41 * 31) % 61 = 51
	8: (51 * 31) % 61 = 56

	=> 31 ^ 8 mod 61 = 56
	=> a^(-m) mod 61 = 56

Étape 4 : Calculer les étapes 

## **Exercice 3**

Factoriser l’entier 4 685 017 par la m´ethode de Fermat.

In [5]:
p, q = compute.fermat_factorization(4685017)


Factorisation de 4685017 par la méthode de Fermat:
	On commence avec a = ⌈√4685017⌉ = 2165
	Initialement, b² = 2165² - 4685017 = 2208

	0: b² = 2208 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2166
	   On recalcule b² : 2166² - 4685017 = 4691556 - 4685017 = 6539

	1: b² = 6539 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2167
	   On recalcule b² : 2167² - 4685017 = 4695889 - 4685017 = 10872

	2: b² = 10872 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2168
	   On recalcule b² : 2168² - 4685017 = 4700224 - 4685017 = 15207

	3: b² = 15207 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2169
	   On recalcule b² : 2169² - 4685017 = 4704561 - 4685017 = 19544

	4: b² = 19544 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2170
	   On recalcule b² : 2170² - 4685017 = 4708900 - 4685017 = 23883

	5: b² = 23883 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 2171
	   On recalcule b² : 

## **Exercice 4**

En vous inspirant de l’exercice 18, proposer un attaquant à clair choisi qui distingue le mode CFB left-right avec un avantage de O(q2/2n).

In [6]:
# PDF TD daté de 2021/2022 référence non valide