# **Examen 2023-2024**

In [1]:
import sys
import os
from pathlib import Path
current_dir = Path(os.getcwd())
parent_dir = current_dir.parent
sys.path.append(str(parent_dir))

from algorithm import AES, CESAR, DIFFIE_HELLMANN, ECC, ELGAMAL, RSA, VIGENERE
from compute import BASIC_COMPUTE

## **Questions de cours**

1. *Décrire le principe du chiffrement par flot.*  
   Le chiffrement par flot consiste à générer un flux de bits pseudo-aléatoire (le flux de clés) qui est ensuite combiné, généralement via une opération XOR, avec le texte clair bit par bit ou bloc par bloc. Ce flux de clés est généré par un générateur de clés pseudo-aléatoire initialisé avec une clé secrète. Le chiffrement par flot est rapide et bien adapté pour les flux de données en continu, comme dans les communications en temps réel.

2. *Pour la primitive de chiffrement AES, donner la taille du clair, les tailles possibles de la clé, et le nombre de tours.*  
   - **Taille du texte clair** : 128 bits  
   - **Tailles possibles de la clé** : 128 bits, 192 bits, 256 bits  
   - **Nombre de tours** :  
     - 10 tours pour une clé de 128 bits  
     - 12 tours pour une clé de 192 bits  
     - 14 tours pour une clé de 256 bits  

3. *Sur quel problème mathématique se fonde la sécurité du chiffrement RSA ?*  
   La sécurité du chiffrement RSA se fonde sur la difficulté de la factorisation des grands nombres entiers, qui sont produits en multipliant deux nombres premiers de grande taille. Briser la sécurité de RSA nécessiterait de résoudre ce problème de factorisation de manière efficace, ce qui est considéré comme impraticable avec les ressources de calcul actuelles.

4. *Quels sont les trois services de sécurité offerts par un algorithme de signature ? Un tel algorithme est-il symétrique ou asymétrique ? Expliquer.*  
   - **Authenticité** : Garantit que le message provient bien de l’expéditeur légitime.  
   - **Intégrité** : Assure que le message n’a pas été modifié depuis sa signature.  
   - **Non-répudiation** : Empêche l’émetteur de nier ultérieurement avoir signé le message.  
   Un algorithme de signature est **asymétrique**. Il utilise une paire de clés : une clé privée pour signer le message et une clé publique pour vérifier la signature. Ce modèle est nécessaire pour garantir les propriétés de non-répudiation et d’authenticité.

5. *Expliquer le principe général d’un algorithme de MAC. Quel service de sécurité assure-t-il ?*  
   Un algorithme de MAC (Message Authentication Code) prend un message et une clé secrète pour produire un code d’authentification. Ce code est utilisé pour vérifier à la fois l’intégrité et l’authenticité du message. Si le message ou le MAC est modifié, la vérification échoue, garantissant que le message provient de l’émetteur légitime et qu'il n’a pas été altéré.

6. *Décrire le principe du jeu IND-CPA pour l’évaluation de la sécurité d’un algorithme de chiffrement. En particulier, donner la définition de l’avantage et expliquer comment il permet de statuer sur la sécurité de l’algorithme.*  
   Le jeu IND-CPA (Indistinguishability under Chosen Plaintext Attack) évalue la sécurité en permettant à un attaquant de choisir deux textes clairs, puis un oracle chiffre l'un des deux textes choisis de manière aléatoire. L’attaquant doit deviner quel texte a été chiffré. L'**avantage** est la différence entre la probabilité de succès de l'attaquant et 0.5 (la probabilité de deviner aléatoirement). Si l’avantage est négligeable, l'algorithme est considéré sécurisé contre les attaques par texte clair choisi.

7. *À quelle attaque s’expose-t-on si l’on utilise des clés publiques non certifiées dans un algorithme de chiffrement à clé publique ? Expliquer brièvement le scénario sans entrer dans les détails.*  
   On s’expose à une **attaque de type "man-in-the-middle"**. Dans ce scénario, un attaquant intercepte les clés publiques échangées et les remplace par ses propres clés. Ainsi, il peut déchiffrer, modifier, puis ré-encrypter les messages, interférant avec la communication sans que les parties ne s’en aperçoivent.

8. *En quoi le mode d’opérations CTR fait-il penser au chiffrement par flot ?*  
   Le mode CTR (Counter Mode) fonctionne en générant un flux de clés pseudo-aléatoire basé sur un compteur qui s'incrémente. Ce flux est ensuite utilisé pour chiffrer les blocs de texte clair via une opération XOR, tout comme un chiffrement par flot traite les données de manière continue. Cela permet un traitement parallèle et un chiffrement efficace, similaire au chiffrement par flot.

9. *Quelle est la période maximale d’un LFSR en fonction de sa taille ?*  
   La période maximale d’un registre à décalage à rétroaction linéaire (LFSR) de longueur \( n \) est \( 2^n - 1 \). Cette période maximale est atteinte lorsque l'LFSR est configuré avec un polynôme de rétroaction primitif.

10. *Quelles sont les quatre propriétés fondamentales d’une fonction de hachage cryptographique ? Donner les complexités génériques de résolution de chacun des problèmes caractérisant le “sens inverse difficile”.*  
    - **Pré-image résistance** : Difficile de trouver un texte clair donné un hash. Complexité générique : \( 2^n \) pour une fonction de hachage de \( n \) bits.
    - **Résistance à la seconde pré-image** : Difficile de trouver un autre texte clair qui donne le même hash qu'un texte clair donné. Complexité générique : \( 2^n \) pour une fonction de hachage de \( n \) bits.
    - **Résistance aux collisions** : Difficile de trouver deux textes clairs distincts qui ont le même hash. Complexité générique : \( 2^{n/2} \) en utilisant le paradoxe des anniversaires.
    - **Diffusion** : Un changement mineur dans le texte clair doit produire un hash complètement différent de manière imprévisible.

## **Exercice 1**

Sur feuille

## **Exercice 2**

Au cours du calcul d’un chiffrement AES, la valeur du tableau à l’entrée du tour est :  

12 00 c6 82  
cf a4 4e ec  
21 f4 a9 6b  
de 05 78 60  

**1. Calculer la valeur du tableau après SubBytes...**

In [2]:
import ctypes

state = (ctypes.c_uint8 * 16)(
    0x12, 0x00, 0xc6, 0x82, 
    0xcf, 0xa4, 0x4e, 0xec, 
    0x21, 0xf4, 0xa9, 0x6b, 
    0xde, 0x05, 0x78, 0x60
)

my_aes = AES()
my_aes.sub_bytes(state)

State after SubBytes (4x4):
c9 63 b4 13 
8a 49 2f ce 
fd bf d3 7f 
1d 6b bc d0 



**2. Puis après ShiftRows...**

In [3]:
state_after_sub_bytes = (ctypes.c_uint8 * 16)(
    0xc9, 0x63, 0xb4, 0x13, 
    0x8a, 0x49, 0x2f, 0xce, 
    0xfd, 0xbf, 0xd3, 0x7f, 
    0x1d, 0x6d, 0xbc, 0xd0
)

my_aes.shift_rows(state_after_sub_bytes)

State after ShiftRows (4x4):
c9 63 b4 13 
49 2f ce 8a 
d3 7f fd bf 
d0 1d 6d bc 



**2. Puis après MixColumns.**

In [4]:
state_after_shift_rows = (ctypes.c_uint8 * 16)(
    0xc9, 0x63, 0xb4, 0x13, 
    0x49, 0x2f, 0xce, 0x8a, 
    0xd3, 0x7f, 0xfd, 0xbf, 
    0xd0, 0x1d, 0x6d, 0xbc
)

my_aes.mix_columns(state_after_shift_rows)

State after MixColumns (4x4):
51 d5 aa a0 
e5 a1 42 7a 
56 95 2c 23 
61 cf 2e 63 



## **Exercice 3**

On considère un chiffrement RSA avec le module n = 493, et l’exposant public e = 33.  

**1. Calculer le chiffré c1 du message clair m1 = 110.**

In [5]:
my_rsa = RSA(n=493, e=33)
c1 = my_rsa.encrypt(m=110)


Square and Multiply: 110 ^ 33 mod 493
	bin(33) = 100001
	0: Square: (1 * 1) % 493 = 1
	   Multiply: (1 * 110) % 493 = 110
	1: Square: (110 * 110) % 493 = 268
	   Pas de multiplication bit = 0
	2: Square: (268 * 268) % 493 = 339
	   Pas de multiplication bit = 0
	3: Square: (339 * 339) % 493 = 52
	   Pas de multiplication bit = 0
	4: Square: (52 * 52) % 493 = 239
	   Pas de multiplication bit = 0
	5: Square: (239 * 239) % 493 = 426
	   Multiply: (426 * 110) % 493 = 25

	=> 110 ^ 33 mod 493 = 25


**2. Vérifier que p = 17 est un facteur de n. En déduire la valeur de ϕ(n).**

In [6]:
my_rsa.check_factor_p(17)
my_rsa.found_phi_n()

17 est un facteur de 493 car n % p == 0
q = n / p = 29
Calcul de ϕ(n) : (p-1) * (q-1) = (17-1) * (29-1) = 448
ϕ(n) = 448


**3. Calculer la valeur de l’exposant de déchiffrement d. On pourra procéder par recherche exhaustive ou par recherche d’une identité de Bezout à l’aide de l’algorithme d’Euclide étendu.**

In [7]:
my_rsa.found_d()

Début du calcul de d (appelé a par la suite) tel que d * e ≡ 1 (mod ϕ(n)) :

Euclide étendu: a * 33 = 1 mod 448

PGCD(33, 448):
	33 = 0 * 448 + 33
	448 = 13 * 33 + 19
	33 = 1 * 19 + 14
	19 = 1 * 14 + 5
	14 = 2 * 5 + 4
	5 = 1 * 4 + 1
	4 = 4 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 5 - 1 * 4
	1 = -95 * 33 + 68 * 448

=> 1 = -95 * 33 + 68 * 448 (mod 448) donc a = 353


**4. Calculer le message clair m2 correspondant au chiffrée c2 = 335.**

In [8]:
my_rsa = RSA(n=493, e=33, d=353, p=17, q=29)
c = my_rsa.decrypt(335)
c = my_rsa.decrypt(25) # Pour vérifier


Square and Multiply: 335 ^ 353 mod 493
	bin(353) = 101100001
	0: Square: (1 * 1) % 493 = 1
	   Multiply: (1 * 335) % 493 = 335
	1: Square: (335 * 335) % 493 = 314
	   Pas de multiplication bit = 0
	2: Square: (314 * 314) % 493 = 489
	   Multiply: (489 * 335) % 493 = 139
	3: Square: (139 * 139) % 493 = 94
	   Multiply: (94 * 335) % 493 = 431
	4: Square: (431 * 431) % 493 = 393
	   Pas de multiplication bit = 0
	5: Square: (393 * 393) % 493 = 140
	   Pas de multiplication bit = 0
	6: Square: (140 * 140) % 493 = 373
	   Pas de multiplication bit = 0
	7: Square: (373 * 373) % 493 = 103
	   Pas de multiplication bit = 0
	8: Square: (103 * 103) % 493 = 256
	   Multiply: (256 * 335) % 493 = 471

	=> 335 ^ 353 mod 493 = 471

Square and Multiply: 25 ^ 353 mod 493
	bin(353) = 101100001
	0: Square: (1 * 1) % 493 = 1
	   Multiply: (1 * 25) % 493 = 25
	1: Square: (25 * 25) % 493 = 132
	   Pas de multiplication bit = 0
	2: Square: (132 * 132) % 493 = 169
	   Multiply: (169 * 25) % 493 = 281
	3: Squ

## **Exercice 4**

On se place dans le groupe multiplicatif (Z/101Z)∗ = {1, 2, . . . , 100} des entiers non nuls modulo 101.  

**1. On admet que 7 est un générateur. Que cela signifie-t-il ?**

In [9]:
compute = BASIC_COMPUTE()
r = compute.is_generator(101-1, 7)


7 est un générateur de l'ensemble multiplicatif modulo 101 ?
Le groupe a un ordre de 100. Nous devons vérifier si les puissances de 7 couvrent tous les entiers de 1 à 100 modulo 101
	1: 7^1 mod 101 = 7
	2: 7^2 mod 101 = 49
	3: 7^3 mod 101 = 40
	4: 7^4 mod 101 = 78
	5: 7^5 mod 101 = 41
	6: 7^6 mod 101 = 85
	7: 7^7 mod 101 = 90
	8: 7^8 mod 101 = 24
	9: 7^9 mod 101 = 67
	10: 7^10 mod 101 = 65
	11: 7^11 mod 101 = 51
	12: 7^12 mod 101 = 54
	13: 7^13 mod 101 = 75
	14: 7^14 mod 101 = 20
	15: 7^15 mod 101 = 39
	16: 7^16 mod 101 = 71
	17: 7^17 mod 101 = 93
	18: 7^18 mod 101 = 45
	19: 7^19 mod 101 = 12
	20: 7^20 mod 101 = 84
	21: 7^21 mod 101 = 83
	22: 7^22 mod 101 = 76
	23: 7^23 mod 101 = 27
	24: 7^24 mod 101 = 88
	25: 7^25 mod 101 = 10
	26: 7^26 mod 101 = 70
	27: 7^27 mod 101 = 86
	28: 7^28 mod 101 = 97
	29: 7^29 mod 101 = 73
	30: 7^30 mod 101 = 6
	31: 7^31 mod 101 = 42
	32: 7^32 mod 101 = 92
	33: 7^33 mod 101 = 38
	34: 7^34 mod 101 = 64
	35: 7^35 mod 101 = 44
	36: 7^36 mod 101 = 5
	37: 7^37 

**2. On considère un chiffrement Elgamal avec comme clé publique (101, 7, 44). Calculer le chiffré du message 89 avec comme variable auxiliaire aléatoire 15.**

In [10]:
my_elgamal = ELGAMAL(p=101, g=7, h=44)
c1, c2 = my_elgamal.encrypt(m=89, k=15)


Modular Exponentiation: 7 ^ 15 mod 101
	1: (1 * 7) % 101 = 7
	2: (7 * 7) % 101 = 49
	3: (49 * 7) % 101 = 40
	4: (40 * 7) % 101 = 78
	5: (78 * 7) % 101 = 41
	6: (41 * 7) % 101 = 85
	7: (85 * 7) % 101 = 90
	8: (90 * 7) % 101 = 24
	9: (24 * 7) % 101 = 67
	10: (67 * 7) % 101 = 65
	11: (65 * 7) % 101 = 51
	12: (51 * 7) % 101 = 54
	13: (54 * 7) % 101 = 75
	14: (75 * 7) % 101 = 20
	15: (20 * 7) % 101 = 39

	=> 7 ^ 15 mod 101 = 39

Modular Exponentiation: 44 ^ 15 mod 101
	1: (1 * 44) % 101 = 44
	2: (44 * 44) % 101 = 17
	3: (17 * 44) % 101 = 41
	4: (41 * 44) % 101 = 87
	5: (87 * 44) % 101 = 91
	6: (91 * 44) % 101 = 65
	7: (65 * 44) % 101 = 32
	8: (32 * 44) % 101 = 95
	9: (95 * 44) % 101 = 39
	10: (39 * 44) % 101 = 100
	11: (100 * 44) % 101 = 57
	12: (57 * 44) % 101 = 84
	13: (84 * 44) % 101 = 60
	14: (60 * 44) % 101 = 14
	15: (14 * 44) % 101 = 10

	=> 44 ^ 15 mod 101 = 10

Chiffrement : c1 = 7^15 mod 101
		= 39
Chiffrement : c2 = 89 * 44^15 mod 101
		= 82


**3. Vérifier que 35 est la clé privée correspondant à la clé publique ci-dessus.**

In [11]:
my_elgamal.verify_private_key(x=35)

35 est la clé privée car 7^35 mod 101 = 44


**4. Déchiffrer le texte chiffré obtenu à la question 2 et retrouver le texte clair**

In [12]:
m = my_elgamal.decrypt(c1, c2)


Modular Exponentiation: 39 ^ 35 mod 101
	1: (1 * 39) % 101 = 39
	2: (39 * 39) % 101 = 6
	3: (6 * 39) % 101 = 32
	4: (32 * 39) % 101 = 36
	5: (36 * 39) % 101 = 91
	6: (91 * 39) % 101 = 14
	7: (14 * 39) % 101 = 41
	8: (41 * 39) % 101 = 84
	9: (84 * 39) % 101 = 44
	10: (44 * 39) % 101 = 100
	11: (100 * 39) % 101 = 62
	12: (62 * 39) % 101 = 95
	13: (95 * 39) % 101 = 69
	14: (69 * 39) % 101 = 65
	15: (65 * 39) % 101 = 10
	16: (10 * 39) % 101 = 87
	17: (87 * 39) % 101 = 60
	18: (60 * 39) % 101 = 17
	19: (17 * 39) % 101 = 57
	20: (57 * 39) % 101 = 1
	21: (1 * 39) % 101 = 39
	22: (39 * 39) % 101 = 6
	23: (6 * 39) % 101 = 32
	24: (32 * 39) % 101 = 36
	25: (36 * 39) % 101 = 91
	26: (91 * 39) % 101 = 14
	27: (14 * 39) % 101 = 41
	28: (41 * 39) % 101 = 84
	29: (84 * 39) % 101 = 44
	30: (44 * 39) % 101 = 100
	31: (100 * 39) % 101 = 62
	32: (62 * 39) % 101 = 95
	33: (95 * 39) % 101 = 69
	34: (69 * 39) % 101 = 65
	35: (65 * 39) % 101 = 10

	=> 39 ^ 35 mod 101 = 10

Modular Exponentiation: 10 ^ -1 mo

## **Exercice 5**

On considère la courbe elliptique définie sur le corps F11 = Z/11Z par l’équation y^2 = x^3 − x + 1

**1. Vérifier que les points P1 = (0, 1) et P2 = (5, 0) sont sur la courbe.**

In [13]:
my_ecc = ECC(a=-1, b=1, GF=11) # curve => y^2 = x^3 + a*x + b
my_ecc.compute_points()


Calcul des points de la courbe E : y^2 = x^3 + -1*x + 1 sur le corps fini GF(11)
Nous devons tester 121 combinaisons de points (x, y)
Vérification : (0,0) sur E ? 0^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,1) sur E ? 1^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Vrai, ce point appartient à la courbe
Vérification : (0,2) sur E ? 2^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,3) sur E ? 3^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,4) sur E ? 4^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,5) sur E ? 5^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,6) sur E ? 6^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : (0,7) sur E ? 7^2 = 0^3 + -1*0 + 1 (mod 11)
	=> Faux, ce point n'appartient pas à la courbe
Vérification : 

**2. Calculer P3 = P1 + P2.**

In [14]:
_ = my_ecc.add_two_point(P=(0, 1), Q=(5, 0))


Addition de deux points P et Q :
	λ (lambda) = (0 - 1) * (inverse de 5 - 0) mod 11 = 2
	xr = (λ^2 - Px - Qx) mod GF
	yr = (λ^2 * (Px - xr) - Py) mod GF
	=> Point résultant : (10, 1)



**3. Donner un encadrement du nombre de points de la courbe en utilisant la borne de Weil.**

In [15]:
my_ecc.hasse_weil_borne()


Borne de Hasse-Weil : [6, 18]
Calculée comme [11 + 1 - 2*sqrt(11), 11 + 1 + 2*sqrt(11)]



**4. Calculer la liste des carrés des éléments de F11.**

In [16]:
compute = BASIC_COMPUTE()