# **Examen 2022-2023**

In [3]:
import sys
import os
from pathlib import Path
current_dir = Path(os.getcwd())
parent_dir = current_dir.parent
sys.path.append(str(parent_dir))

from algorithm import AES, CESAR, DIFFIE_HELLMANN, ECC, ELGAMAL, RSA, VIGENERE
from compute import BASIC_COMPUTE, LFSR

## **Questions de cours**

1. *Quels sont les quatre contextes d’attaques pour un algorithme de chiffrement ?*  
   Les quatre contextes d'attaques pour un algorithme de chiffrement sont :  
   - **Attaque par texte clair choisi** : L'attaquant peut choisir le texte clair à chiffrer et observe le texte chiffré résultant.
   - **Attaque par texte chiffré choisi** : L'attaquant a accès à des textes chiffrés et essaie de déterminer le texte clair correspondant.
   - **Attaque par texte clair et chiffré connus** : L'attaquant dispose de plusieurs paires de textes clairs et chiffrés pour analyser la relation.
   - **Attaque par oracle** : L'attaquant interroge un oracle (un système capable de donner des réponses) pour obtenir des signatures ou des déchiffrements, exploitant les réponses pour casser la sécurité.

2. *Que signifie l’adjectif “calculatoire” lorsque l’on parle de “sécurité calculatoire” ?*  
   L’adjectif “calculatoire” se réfère à la dépendance de la sécurité des systèmes cryptographiques vis-à-vis de la difficulté de résoudre certains problèmes mathématiques en un temps raisonnable. Cela signifie que la sécurité est assurée tant que les ressources nécessaires pour réaliser une attaque restent prohibitivement élevées, même si l’attaquant a des capacités de calcul considérables.

3. *Quelles sont les quatre propriétés fondamentales d’une fonction de hachage cryptographique ?*  
   Les quatre propriétés fondamentales d’une fonction de hachage cryptographique sont :  
   - **Pré-image résistance** : Il doit être difficile de retrouver le texte clair à partir de son hash.
   - **Résistance à la seconde pré-image** : Il doit être difficile de trouver un deuxième texte clair qui produit le même hash qu’un texte clair donné.
   - **Résistance aux collisions** : Il doit être difficile de trouver deux textes clairs différents ayant le même hash.
   - **Diffusion** : Un petit changement dans le texte d’entrée doit produire un changement significatif et imprévisible dans le hash.

4. *Donner la complexité générique de l’obtention d’une collision pour une fonction de hachage.*  
   La complexité générique de l’obtention d’une collision pour une fonction de hachage de taille \( n \) bits est de \( 2^{n/2} \) opérations, selon le paradoxe des anniversaires. Cela signifie qu’il suffit de \( 2^{n/2} \) essais pour avoir une probabilité significative de trouver deux entrées différentes qui produisent le même hash.

5. *Quelle est la période maximale d’un LFSR ?*  
   La période maximale d'un registre à décalage à rétroaction linéaire (LFSR) de longueur \( n \) est de \( 2^n - 1 \). Cela se produit lorsque le LFSR est alimenté avec un polynôme générateur primitif.

6. *Dans le problème du logarithme discret sur courbes elliptiques, quelle taille doit avoir le nombre premier pour un niveau de sécurité de 2256 ? Quelle est la taille du modulus RSA qui donnerait le même niveau de sécurité ?*  
   Pour un niveau de sécurité de 2256 bits dans le problème du logarithme discret sur courbes elliptiques, le nombre premier doit avoir une taille d'environ 256 bits. Pour obtenir un niveau de sécurité équivalent avec RSA, la taille du modulus RSA devrait être d'environ 3072 bits.

7. *Décrire le principe du jeu IND-CPA pour l’évaluation de la sécurité d’un algorithme de chiffrement. En particulier, donner la définition de l’avantage et expliquer comment il permet de statuer sur la sécurité de l’algorithme.*  
   Le jeu IND-CPA (Indistinguishability under Chosen Plaintext Attack) évalue la sécurité d'un algorithme de chiffrement en opposant un adversaire à un oracle de chiffrement. L'adversaire choisit deux textes clairs de même longueur, l'oracle renvoie le texte chiffré d'un de ces deux messages, et l'attaquant doit deviner lequel a été chiffré. L’avantage est défini comme la probabilité que l’attaquant réussisse à distinguer les deux textes choisis, supérieure à 0.5. Si cet avantage est significativement supérieur à 0.5, cela indique que l'algorithme est vulnérable aux attaques par texte clair choisi.

8. *Donner deux exemples de modes d’opérations de chiffrement par blocs.*  
   Deux exemples de modes d’opérations de chiffrement par blocs sont :  
   - **Mode ECB (Electronic Codebook)** : Chaque bloc de texte clair est chiffré indépendamment.
   - **Mode CBC (Cipher Block Chaining)** : Chaque bloc de texte clair est combiné avec le bloc chiffré précédent avant d'être chiffré, introduisant ainsi une dépendance entre les blocs.

9. *Quelles sont les tailles de clé possibles pour la primitive bloc AES ? Pour chacune des tailles, donner le nombre de tours.*  
   AES supporte trois tailles de clés :  
   - **128 bits** : 10 tours  
   - **192 bits** : 12 tours  
   - **256 bits** : 14 tours  

10. *Qu’est-ce que le protocole de Diffie-Hellman ? On ne demande pas de décrire mathématiquement le protocole mais d’en expliquer sommairement l’objectif et le principe.*  
    Le protocole de Diffie-Hellman est un moyen d'établir une clé secrète partagée entre deux parties qui souhaitent communiquer de manière sécurisée. Son objectif est de permettre à ces parties de générer une clé commune sans avoir à échanger directement cette clé sur le réseau. Le principe repose sur l'utilisation de la difficulté du logarithme discret : chacune des parties choisit un nombre secret et les combine avec une valeur publique (généralement une base et un module), permettant ainsi de générer une clé commune qui est difficile à dériver par un tiers.

11. *À quelle attaque s’expose-t-on si l’on utilise des clés publiques non certifiées dans un algorithme de chiffrement à clé publique ?*  
    Si l'on utilise des clés publiques non certifiées, on s'expose à une attaque de type "man-in-the-middle". Un attaquant pourrait intercepter et remplacer les clés publiques échangées, ce qui lui permettrait de déchiffrer, modifier et ré-encrypter les messages entre les deux parties sans qu'elles ne s'en aperçoivent.

12. *En quoi le mode d’opérations CTR fait-il penser au chiffrement par flot ?*  
    Le mode d'opérations CTR (Counter Mode) fonctionne en générant un flux de clés de chiffrement à partir d'un compteur qui est incrémenté. Cela permet de chiffrer chaque bloc de texte clair avec un flux de clés qui se comporte de manière similaire au chiffrement par flot, où chaque bit ou bloc de texte clair est mélangé avec un bit ou bloc de clé, permettant ainsi de traiter les blocs de manière parallèle et d'atteindre une efficacité accrue.

13. *Quel sera(it) l’impact de l’ordinateur quantique sur les algorithmes de chiffrement à clé secrète ? Pourquoi ?*  
    L'ordinateur quantique pourrait théoriquement réduire le temps nécessaire pour casser des algorithmes de chiffrement à clé secrète, mais son impact serait moins significatif que sur les algorithmes de clé publique. En utilisant des algorithmes quantiques comme Grover, un ordinateur quantique pourrait réduire l'efficacité de recherche de clé de \( 2^n \) à \( 2^{n/2} \), ce qui rendrait les clés plus courtes en théorie vulnérables, mais cela nécessiterait toujours une taille de clé beaucoup plus grande pour rester sécurisé contre ces attaques.

14. *En quoi consiste un protocole d’authentification par challenge-réponse ?*  
    Un protocole d'authentification par challenge-réponse consiste à ce qu'une partie (le challengeur) envoie un défi (challenge) à une autre partie (le répondant), qui doit répondre avec une réponse prouvant son identité. Le défi est souvent un nonce (un nombre utilisé une seule fois) ou un identifiant, et la réponse est généralement un hash ou un code qui utilise un secret partagé, permettant au challengeur de vérifier l'authenticité du répondant sans qu'il ait besoin d'envoyer son mot de passe ou clé secrète.

15. *Quelle construction faut-il adjoindre à la primitive RSA pour en faire un chiffrement randomisé ?*  
    Pour transformer la primitive RSA en un chiffrement randomisé, on utilise un mécanisme d'ajout de bruit aléatoire lors du chiffrement. Cela se fait typiquement en ajoutant un nombre aléatoire \( r \) à chaque message avant le chiffrement, ce qui assure que le même message chiffré plusieurs fois produira des résultats différents. Cette construction est souvent réalisée à l'aide de l'algorithme de OAEP (Optimal Asymmetric Encryption Padding), qui combine le message avec un padding aléatoire pour renforcer la sécurité contre les attaques par analyse de texte chiffré.

## **Exercice 1**

Sur feuille

In [4]:
feedback_poly = [1, 1, 0, 0]  # T^4 + T^1 + 1
initial_state = [1, 0, 1, 0]

my_lfsr = LFSR(feedback_poly, initial_state)
# my_lfsr.detect_period()
my_lfsr.k_period(5)

Polynôme de rétroaction: 1 + T^1 + T^4 (coefficients: [1, 1, 0, 0])
État initial: [1, 0, 1, 0]
t:1  state: [0, 1, 0, 1]  output bit: 1
t:2  state: [1, 0, 1, 1]  output bit: 0
t:3  state: [0, 1, 1, 1]  output bit: 1
t:4  state: [1, 1, 1, 1]  output bit: 0
t:5  state: [1, 1, 1, 0]  output bit: 1

Periode maximale theorique: 2^(dim_init) - 1 = 2^4 - 1
	=> 15


## **Exercice 2**

Au cours du calcul d’un chiffrement AES, la valeur du tableau à l’entrée du tour est :  

a0 7e 00 5b  
5a b5 89 20  
4f 05 a1 8f  
98 65 0f 03  

**1. Calculer la valeur du tableau après SubBytes...**

In [5]:
import ctypes

state = (ctypes.c_uint8 * 16)(
    0xa0, 0x7e, 0x00, 0x5b, 
    0x5a, 0xb5, 0x89, 0x20, 
    0x4f, 0x05, 0xa1, 0x8f, 
    0x98, 0x65, 0x0f, 0x03
)

my_aes = AES()
my_aes.sub_bytes(state)

State after SubBytes (4x4):
e0 f3 63 39 
be d5 a7 b7 
84 6b 32 73 
46 4d 76 7b 



**2. Puis après ShiftRows...**

In [6]:
state_after_sub_bytes = (ctypes.c_uint8 * 16)(
    0xe0, 0xf3, 0x63, 0x39, 
    0xbe, 0xd5, 0xa7, 0xb7, 
    0x84, 0x6b, 0x32, 0x73, 
    0x46, 0x4d, 0x76, 0x7b
)

my_aes.shift_rows(state_after_sub_bytes)

State after ShiftRows (4x4):
e0 f3 63 39 
d5 a7 b7 be 
32 73 84 6b 
7b 46 4d 76 



**2. Puis après MixColumns.**

In [7]:
state_after_shift_rows = (ctypes.c_uint8 * 16)(
    0xe0, 0xf3, 0x63, 0x39, 
    0xd5, 0xa7, 0xb7, 0xbe, 
    0x32, 0x73, 0x84, 0x6b, 
    0x7b, 0x46, 0x4d, 0x76
)

my_aes.mix_columns(state_after_shift_rows)

State after MixColumns (4x4):
f6 3a cd b6 
7c 75 cc 95 
dc 78 10 cb 
2a 56 0c 72 



## **Exercice 3**

On considère un chiffrement RSA avec le module n = 4331, et l’exposant public e = 59.  

**1. Calculer le chiffré c1 du message clair m1 = 3158.**

In [8]:
my_rsa = RSA(n=4331, e=59)
c1 = my_rsa.encrypt(m=3158)


c = m^e mod n

Square and Multiply: 3158 ^ 59 mod 4331
	bin(59) = 111011
	0: Square: (1 * 1) % 4331 = 1
	   Multiply: (1 * 3158) % 4331 = 3158
	1: Square: (3158 * 3158) % 4331 = 3002
	   Multiply: (3002 * 3158) % 4331 = 4088
	2: Square: (4088 * 4088) % 4331 = 2746
	   Multiply: (2746 * 3158) % 4331 = 1206
	3: Square: (1206 * 1206) % 4331 = 3551
	   Pas de multiplication bit = 0
	4: Square: (3551 * 3551) % 4331 = 2060
	   Multiply: (2060 * 3158) % 4331 = 318
	5: Square: (318 * 318) % 4331 = 1511
	   Multiply: (1511 * 3158) % 4331 = 3307

	=> 3158 ^ 59 mod 4331 = 3307


**2. Vérifier que p = 61 est un facteur de n. En déduire la valeur de ϕ(n).**

In [9]:
my_rsa.check_factor_p(61)
my_rsa.found_phi_n()


61 est un facteur de 4331 car n % p == 0
q = n / p = 71

ϕ(n) = (p - 1) * (q - 1)
Calcul de ϕ(n) : (p-1) * (q-1) = (61-1) * (71-1) = 4200
ϕ(n) = 4200


**3. Calculer la valeur de l’exposant de d´echiffrement d.**

In [10]:
my_rsa.found_d()


Début du calcul de d (appelé "a" par la suite) tel que d * e ≡ 1 (mod ϕ(n)) :

Euclide étendu: a * 59 = 1 mod 4200

PGCD(59, 4200):
	59 = 0 * 4200 + 59
	4200 = 71 * 59 + 11
	59 = 5 * 11 + 4
	11 = 2 * 4 + 3
	4 = 1 * 3 + 1
	3 = 3 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 4 - 1 * 3
	1 = 1139 * 59 + -783 * 4200

=> 1 = 1139 * 59 + -783 * 4200 (mod 4200) donc a = 1139


**4. Calculer le message clair m2 correspondant au chiffrée c2 = 167.**

In [11]:
my_rsa = RSA(n=4331, e=59, d=1139, p=61, q=71)
c = my_rsa.decrypt(167)
c = my_rsa.decrypt(3307) # Pour vérifier


m = c^d mod n

Square and Multiply: 167 ^ 1139 mod 4331
	bin(1139) = 10001110011
	0: Square: (1 * 1) % 4331 = 1
	   Multiply: (1 * 167) % 4331 = 167
	1: Square: (167 * 167) % 4331 = 1903
	   Pas de multiplication bit = 0
	2: Square: (1903 * 1903) % 4331 = 693
	   Pas de multiplication bit = 0
	3: Square: (693 * 693) % 4331 = 3839
	   Pas de multiplication bit = 0
	4: Square: (3839 * 3839) % 4331 = 3859
	   Multiply: (3859 * 167) % 4331 = 3465
	5: Square: (3465 * 3465) % 4331 = 693
	   Multiply: (693 * 167) % 4331 = 3125
	6: Square: (3125 * 3125) % 4331 = 3551
	   Multiply: (3551 * 167) % 4331 = 4001
	7: Square: (4001 * 4001) % 4331 = 625
	   Pas de multiplication bit = 0
	8: Square: (625 * 625) % 4331 = 835
	   Pas de multiplication bit = 0
	9: Square: (835 * 835) % 4331 = 4265
	   Multiply: (4265 * 167) % 4331 = 1971
	10: Square: (1971 * 1971) % 4331 = 4265
	   Multiply: (4265 * 167) % 4331 = 1971

	=> 167 ^ 1139 mod 4331 = 1971

m = c^d mod n

Square and Multiply: 3307 ^ 1139 mod 43

## **Exercice 4**

On se place dans le groupe multiplicatif (Z/101Z)∗ = {1, 2, . . . , 100} des entiers non nuls modulo 101.  

**1. On admet que 7 est un g´en´erateur. Que cela signifie-t-il ?**

In [12]:
compute = BASIC_COMPUTE()
r = compute.is_generator(101-1, 7)


7 est un générateur de l'ensemble multiplicatif modulo 101 ?
Le groupe a un ordre de 100. Nous devons vérifier si les puissances de 7 couvrent tous les entiers de 1 à 100 modulo 101
	1: 7^1 mod 101 = 7
	2: 7^2 mod 101 = 49
	3: 7^3 mod 101 = 40
	4: 7^4 mod 101 = 78
	5: 7^5 mod 101 = 41
	6: 7^6 mod 101 = 85
	7: 7^7 mod 101 = 90
	8: 7^8 mod 101 = 24
	9: 7^9 mod 101 = 67
	10: 7^10 mod 101 = 65
	11: 7^11 mod 101 = 51
	12: 7^12 mod 101 = 54
	13: 7^13 mod 101 = 75
	14: 7^14 mod 101 = 20
	15: 7^15 mod 101 = 39
	16: 7^16 mod 101 = 71
	17: 7^17 mod 101 = 93
	18: 7^18 mod 101 = 45
	19: 7^19 mod 101 = 12
	20: 7^20 mod 101 = 84
	21: 7^21 mod 101 = 83
	22: 7^22 mod 101 = 76
	23: 7^23 mod 101 = 27
	24: 7^24 mod 101 = 88
	25: 7^25 mod 101 = 10
	26: 7^26 mod 101 = 70
	27: 7^27 mod 101 = 86
	28: 7^28 mod 101 = 97
	29: 7^29 mod 101 = 73
	30: 7^30 mod 101 = 6
	31: 7^31 mod 101 = 42
	32: 7^32 mod 101 = 92
	33: 7^33 mod 101 = 38
	34: 7^34 mod 101 = 64
	35: 7^35 mod 101 = 44
	36: 7^36 mod 101 = 5
	37: 7^37 

**2. Calculer le logarithme discret de 23 en base 7 modulo 101 par la méthode pas de bébé-pas de géant.**

In [14]:
r = compute.discrete_logarithm(7, 23, 101, 100)


Calcul du logarithme discret de 23 en base 7 modulo 101 :

Étape 1: 
	m = ⌊√100⌋ = 10

Étape 2: Calculer les étapes "baby" : a^j mod n
	Baby step: a^0 mod 101 = 1
	Baby step: a^1 mod 101 = 7
	Baby step: a^2 mod 101 = 49
	Baby step: a^3 mod 101 = 40
	Baby step: a^4 mod 101 = 78
	Baby step: a^5 mod 101 = 41
	Baby step: a^6 mod 101 = 85
	Baby step: a^7 mod 101 = 90
	Baby step: a^8 mod 101 = 24
	Baby step: a^9 mod 101 = 67
	=> [(1, 0), (7, 1), (24, 8), (40, 3), (41, 5), (49, 2), (67, 9), (78, 4), (85, 6), (90, 7)]

Étape 3 : Calculer a^(-m) mod n

Euclide étendu: a * 7 = 1 mod 101

PGCD(7, 101):
	7 = 0 * 101 + 7
	101 = 14 * 7 + 3
	7 = 2 * 3 + 1
	3 = 3 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 7 - 2 * 3
	1 = 29 * 7 + -14 * 101

=> 1 = 29 * 7 + -14 * 101 (mod 101) donc a = 29

Modular Exponentiation: 29 ^ 10 mod 101
	1: (1 * 29) % 101 = 29
	2: (29 * 29) % 101 = 33
	3: (33 * 29) % 101 = 48
	4: (48 * 29) % 101 = 79
	5: (79 * 29) % 101 = 69
	6: (69 * 29) % 101 = 82
	