# **Examen 2019-2020**

In [1]:
import sys
import os
from pathlib import Path
current_dir = Path(os.getcwd())
parent_dir = current_dir.parent
sys.path.append(str(parent_dir))

from algorithm import AES, CESAR, DIFFIE_HELLMANN, ECC, ELGAMAL, RSA, VIGENERE
from compute import BASIC_COMPUTE

## **Questions de cours**

1. *En quoi consiste l’attaque par le milieu d’un chiffrement à clé publique (par exemple lorsque cette dernière est non certifiée) ?*  
   L’attaque par le milieu (ou "man-in-the-middle attack") dans un chiffrement à clé publique se produit lorsqu'un attaquant intercepte et modifie les communications entre deux parties. Si la clé publique n'est pas certifiée, l'attaquant peut remplacer la clé publique d'une des parties par la sienne, déchiffrer les messages, les modifier, et les renvoyer sans que les parties s’en aperçoivent.

2. *Quelles sont les deux propriétés (taille minimale, propriété arithmétique additionnelle) que doit vérifier le nombre premier p pour que le problème du logarithme discret modulo p soit complexe ?*  
   Le nombre premier \( p \) doit être suffisamment grand, généralement au moins 2048 bits pour les standards actuels, pour assurer la complexité. De plus, \( p - 1 \) doit comporter un grand facteur premier, afin d’éviter que des algorithmes comme ceux utilisant la structure des sous-groupes de moindre ordre puissent être efficaces.

3. *Qu’est-ce qu’une attaque en distingueur left-right sur un schéma de chiffrement ?*  
   Une attaque en distingueur left-right sur un schéma de chiffrement consiste à ce que l'attaquant choisisse deux textes clairs et reçoive en retour un texte chiffré correspondant à l'un des deux. L'objectif de l'attaquant est de deviner lequel des deux textes a été chiffré. Si l'attaquant ne peut pas faire mieux qu'une simple supposition aléatoire, le schéma est considéré comme sécurisé contre ce type d'attaque.

4. *Quel est l’apport des courbes elliptiques dans le problème du logarithme discret ?*  
   Les courbes elliptiques permettent de réduire la taille des clés tout en conservant un haut niveau de sécurité. Une clé elliptique de 256 bits offre la même sécurité qu'une clé RSA de 3072 bits, ce qui améliore l'efficacité en termes de calcul et de stockage pour les applications cryptographiques.

5. *Quels services une signature apporte-t-elle ?*  
   Une signature apporte principalement trois services : l’authenticité, en prouvant l’identité du signataire ; l’intégrité, en garantissant que le message n’a pas été modifié ; et la non-répudiation, empêchant le signataire de nier qu'il a signé le message.

6. *Comment le paradoxe des anniversaires s’applique-t-il aux fonctions de hachage ?*  
   Le paradoxe des anniversaires montre qu’il suffit de \( 2^{n/2} \) essais pour trouver une collision dans une fonction de hachage de \( n \) bits, au lieu de \( 2^n \). Cela signifie qu’avec un nombre surprenamment petit de valeurs hachées, la probabilité de trouver deux valeurs produisant le même hash devient significative.

7. *Quelles sont les tailles de clés possibles pour la primitive bloc AES ? Pour chaque valeur, quel est le nombre de tours correspondant ?*  
   AES supporte trois tailles de clés : 128 bits (10 tours), 192 bits (12 tours), et 256 bits (14 tours). Le nombre de tours correspond à la complexité du processus de chiffrement, avec plus de tours augmentant la sécurité.

8. *Pourquoi un chiffrement ne peut-il pas être une fonction linéaire ?*  
   Un chiffrement ne peut pas être une fonction linéaire, car une telle fonction serait facilement réversible et vulnérable aux attaques. La linéarité permettrait à un attaquant de combiner des messages chiffrés pour obtenir des informations utiles sur le texte clair, violant ainsi la sécurité du chiffrement.

9. *Qu’appelle-t-on “diffusion” dans un algorithme de chiffrement ?*  
   La diffusion est une propriété par laquelle le chiffrement fait en sorte que chaque bit du texte clair influence de nombreux bits du texte chiffré. Cela rend la relation entre le texte clair et le texte chiffré aussi complexe que possible, rendant plus difficile pour un attaquant de déduire le texte clair à partir du texte chiffré.

10. *Sur quelle propriété indésirable s’appuie l’attaque linéaire d’une primitive bloc ?*  
    L’attaque linéaire s’appuie sur la propriété de *linéarité approximative* d’une primitive bloc. Cette propriété est indésirable parce qu'elle signifie que des combinaisons linéaires de bits du texte clair et du texte chiffré sont corrélées d'une manière prévisible, même si la relation n’est pas parfaite. Une attaque linéaire exploite ces corrélations statistiques pour deviner les sous-clés utilisées dans le chiffrement, réduisant ainsi considérablement l'effort nécessaire pour casser la primitive par rapport à une attaque par force brute. En d'autres termes, cette faiblesse compromet la sécurité en rendant l'algorithme plus vulnérable aux analyses que si les relations entre le texte clair et le texte chiffré étaient complètement aléatoires.


## **Exercice 1**

On considère le groupe multiplicatif (Z/101Z)*.  
1. Montrer que 2 est un élément générateur. On énoncera les égalités numériques à vérifier, mais pour des raisons de temps on s’autorisera à ne pas effectuer tous les calculs.

In [2]:
compute = BASIC_COMPUTE()
r = compute.is_generator(101-1, 2)


2 est un générateur de l'ensemble multiplicatif modulo 101 ?
Le groupe a un ordre de 100. Nous devons vérifier si les puissances de 2 couvrent tous les entiers de 1 à 100 modulo 101
	1: 2^1 mod 101 = 2
	2: 2^2 mod 101 = 4
	3: 2^3 mod 101 = 8
	4: 2^4 mod 101 = 16
	5: 2^5 mod 101 = 32
	6: 2^6 mod 101 = 64
	7: 2^7 mod 101 = 27
	8: 2^8 mod 101 = 54
	9: 2^9 mod 101 = 7
	10: 2^10 mod 101 = 14
	11: 2^11 mod 101 = 28
	12: 2^12 mod 101 = 56
	13: 2^13 mod 101 = 11
	14: 2^14 mod 101 = 22
	15: 2^15 mod 101 = 44
	16: 2^16 mod 101 = 88
	17: 2^17 mod 101 = 75
	18: 2^18 mod 101 = 49
	19: 2^19 mod 101 = 98
	20: 2^20 mod 101 = 95
	21: 2^21 mod 101 = 89
	22: 2^22 mod 101 = 77
	23: 2^23 mod 101 = 53
	24: 2^24 mod 101 = 5
	25: 2^25 mod 101 = 10
	26: 2^26 mod 101 = 20
	27: 2^27 mod 101 = 40
	28: 2^28 mod 101 = 80
	29: 2^29 mod 101 = 59
	30: 2^30 mod 101 = 17
	31: 2^31 mod 101 = 34
	32: 2^32 mod 101 = 68
	33: 2^33 mod 101 = 35
	34: 2^34 mod 101 = 70
	35: 2^35 mod 101 = 39
	36: 2^36 mod 101 = 78
	37: 2^37 mo

**2. Calculer le logarithme discret de 59 en base 2 modulo 101 – c’est-à-dire l’unique entier x ∈ {0, . . . , 99} tel que 2^x = 59 mod 101 – par la méthode pas de bébé-pas de géant.**

In [3]:
r = compute.discrete_logarithm(2, 59, 101)


Calcul du logarithme discret de 59 en base 2 modulo 101 :

Étape 1: 
	m = ⌊√101⌋ + 1 = 11

Étape 2: Calculer les étapes "baby" : a^j mod n
	Baby step: a^0 mod 101 = 1
	Baby step: a^1 mod 101 = 2
	Baby step: a^2 mod 101 = 4
	Baby step: a^3 mod 101 = 8
	Baby step: a^4 mod 101 = 16
	Baby step: a^5 mod 101 = 32
	Baby step: a^6 mod 101 = 64
	Baby step: a^7 mod 101 = 27
	Baby step: a^8 mod 101 = 54
	Baby step: a^9 mod 101 = 7
	Baby step: a^10 mod 101 = 14

Étape 3 : Calculer a^(-m) mod n

Euclide étendu: a * 2 = 1 mod 101

PGCD(2, 101):
	2 = 0 * 101 + 2
	101 = 50 * 2 + 1
	2 = 2 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 101 - 50 * 2
	1 = -50 * 2 + 1 * 101

=> 1 = -50 * 2 + 1 * 101 (mod 101) donc a = 51

Modular Exponentiation: 51 ^ 11 mod 101
	1: (1 * 51) % 101 = 51
	2: (51 * 51) % 101 = 76
	3: (76 * 51) % 101 = 38
	4: (38 * 51) % 101 = 19
	5: (19 * 51) % 101 = 60
	6: (60 * 51) % 101 = 30
	7: (30 * 51) % 101 = 15
	8: (15 * 51) % 101 = 58
	9: (58 * 51) % 101 = 29
	1

## **Exercice 2**

On veut factoriser le nombre entier 13483 par la méthode du crible quadratique (exercice 50 de la feuille d’exercices, dont on utilisera les notations). On choisit comme base de lissité l’ensemble {−1, 2, 3, 7, 17}. La phase de collecte des équations a donné  

(1) 125^2 = 2 · 3^2 · 7 · 17 mod 13483  
(2) 127^2 = 2 · 3^3 · 7^2 mod 13483  
(3) 91^2 = (−1) · 2 · 3^2 · 17^2 mod 13483  
(4) 113^2 = (−1) · 2 · 3 · 7 · 17 mod 13483  
(5) 167^2 = 2 · 3 · 7^4 mod 13483

**1. Que valent les vecteurs d’exposants e1, . . . , e5 et v1, . . . , v5 ?**

Pour utiliser la méthode du crible quadratique, nous devons d'abord former les vecteurs d'exposants e1, ..., e5 et les vecteurs binaires correspondants v1, ..., v5. Ces vecteurs sont obtenus en représentant chaque équation de la phase de collecte en termes d'exposants de la base de lissité {-1, 2, 3, 7, 17}.

<u> Récapitulons les équations données et calculons les exposants pour chaque terme de la base de lissité </u>

Nous avons les équations suivantes :
1. 125^2 ≡ 2 * 3^2 * 7 * 17 mod 13483
2. 127^2 ≡ 2 * 3^3 * 7^2 mod 13483
3. 91^2 ≡ (-1) * 2 * 3^2 * 17^2 mod 13483
4. 113^2 ≡ (-1) * 2 * 3 * 7 * 17 mod 13483
5. 167^2 ≡ 2 * 3 * 7^4 mod 13483

<u> Décomposons chaque équation en termes d'exposants pour la base de lissité </u>

Pour chaque équation, nous écrivons un vecteur d'exposants en utilisant la base {-1, 2, 3, 7, 17}.

1. **Pour 125^2 ≡ 2 * 3^2 * 7 * 17 :**
   - Exposant de (-1) : 0
   - Exposant de 2 : 1
   - Exposant de 3 : 2
   - Exposant de 7 : 1
   - Exposant de 17 : 1  
   **Vecteur d'exposants** : (0, 1, 2, 1, 1)

2. **Pour 127^2 ≡ 2 * 3^3 * 7^2 :**
   - Exposant de (-1) : 0
   - Exposant de 2 : 1
   - Exposant de 3 : 3
   - Exposant de 7 : 2
   - Exposant de 17 : 0  
   **Vecteur d'exposants** : (0, 1, 3, 2, 0)

3. **Pour 91^2 ≡ (-1) * 2 * 3^2 * 17^2 :**
   - Exposant de (-1) : 1
   - Exposant de 2 : 1
   - Exposant de 3 : 2
   - Exposant de 7 : 0
   - Exposant de 17 : 2  
   **Vecteur d'exposants** : (1, 1, 2, 0, 2)

4. **Pour 113^2 ≡ (-1) * 2 * 3 * 7 * 17 :**
   - Exposant de (-1) : 1
   - Exposant de 2 : 1
   - Exposant de 3 : 1
   - Exposant de 7 : 1
   - Exposant de 17 : 1  
   **Vecteur d'exposants** : (1, 1, 1, 1, 1)

5. **Pour 167^2 ≡ 2 * 3 * 7^4 :**
   - Exposant de (-1) : 0
   - Exposant de 2 : 1
   - Exposant de 3 : 1
   - Exposant de 7 : 4
   - Exposant de 17 : 0  
   **Vecteur d'exposants** : (0, 1, 1, 4, 0)

<u> Calcul des vecteurs binaires v1, ..., v5 </u>

Pour obtenir les vecteurs binaires vi, on réduit chaque élément des vecteurs d'exposants modulo 2.

1. **Pour (0, 1, 2, 1, 1) :**
   - 0 mod 2 = 0
   - 1 mod 2 = 1
   - 2 mod 2 = 0
   - 1 mod 2 = 1
   - 1 mod 2 = 1  
   **Vecteur binaire** : (0, 1, 0, 1, 1)

2. **Pour (0, 1, 3, 2, 0) :**
   - 0 mod 2 = 0
   - 1 mod 2 = 1
   - 3 mod 2 = 1
   - 2 mod 2 = 0
   - 0 mod 2 = 0  
   **Vecteur binaire** : (0, 1, 1, 0, 0)

3. **Pour (1, 1, 2, 0, 2) :**
   - 1 mod 2 = 1
   - 1 mod 2 = 1
   - 2 mod 2 = 0
   - 0 mod 2 = 0
   - 2 mod 2 = 0  
   **Vecteur binaire** : (1, 1, 0, 0, 0)

4. **Pour (1, 1, 1, 1, 1) :**
   - 1 mod 2 = 1
   - 1 mod 2 = 1
   - 1 mod 2 = 1
   - 1 mod 2 = 1
   - 1 mod 2 = 1  
   **Vecteur binaire** : (1, 1, 1, 1, 1)

5. **Pour (0, 1, 1, 4, 0) :**
   - 0 mod 2 = 0
   - 1 mod 2 = 1
   - 1 mod 2 = 1
   - 4 mod 2 = 0
   - 0 mod 2 = 0  
   **Vecteur binaire** : (0, 1, 1, 0, 0)

<u> Résumé des vecteurs </u>

1. e1 = (0, 1, 2, 1, 1), v1 = (0, 1, 0, 1, 1)
2. e2 = (0, 1, 3, 2, 0), v2 = (0, 1, 1, 0, 0)
3. e3 = (1, 1, 2, 0, 2), v3 = (1, 1, 0, 0, 0)
4. e4 = (1, 1, 1, 1, 1), v4 = (1, 1, 1, 1, 1)
5. e5 = (0, 1, 1, 4, 0), v5 = (0, 1, 1, 0, 0)

**2. En observant que v1 + v3 + v4 + v5 = 0, écrire une relation du type X^2 = Y^2 mod 13483, avec X et Y que l’on spécifiera.**

Pour établir une relation de la forme X^2 ≡ Y^2 mod 13483, nous avons observé que la somme des vecteurs binaires v1, v3, v4 et v5 est nulle, ce qui signifie que nous pouvons combiner les équations correspondantes pour obtenir une égalité.

<u> Les vecteurs binaires sont : </u>

1. v1 = (0, 1, 0, 1, 1)
2. v3 = (1, 1, 0, 0, 0)
3. v4 = (1, 1, 1, 1, 1)
4. v5 = (0, 1, 1, 0, 0)

En additionnant v1, v3, v4 et v5, nous avons :

v1 + v3 + v4 + v5 = (0, 1, 0, 1, 1) + (1, 1, 0, 0, 0) + (1, 1, 1, 1, 1) + (0, 1, 1, 0, 0) = (0, 0, 0, 0, 0)

Cela indique que les exposants sont tous pairs, ce qui nous permet de formuler une relation entre les carrés des nombres associés aux vecteurs d'exposants.

<u> Équations associées aux vecteurs binaires : </u>

1. Pour v1 : 125^2 ≡ 2 * 3^2 * 7 * 17 mod 13483
2. Pour v3 : 91^2 ≡ (-1) * 2 * 3^2 * 17^2 mod 13483
3. Pour v4 : 113^2 ≡ (-1) * 2 * 3 * 7 * 17 mod 13483
4. Pour v5 : 167^2 ≡ 2 * 3 * 7^4 mod 13483

<u>Construction de X et Y </u>

Nous multiplions les côtés gauches et les côtés droits des équations correspondantes :

- X = 125 * 91 * 113 * 167
- Y = √((2 * 3^2 * 7 * 17) * ((-1) * 2 * 3^2 * 17^2) * ((-1) * 2 * 3 * 7 * 17) * (2 * 3 * 7^4))

<u> Calcul de X </u>

X = 125 * 91 * 113 * 167

<u> Calcul de Y </u>

Pour Y, nous combinons les termes de la base de lissité :

- Terme en (-1) : (-1) * (-1) = 1
- Terme en 2 : 2 * 2 * 2 * 2 = 2^4
- Terme en 3 : 3^2 * 3^2 * 3 * 3 = 3^6
- Terme en 7 : 7 * 7^4 * 7 = 7^6
- Terme en 17 : 17 * 17^2 * 17 = 17^4

Y = 2^4 * 3^6 * 7^6 * 17^4

<u> Réduction de X modulo 13483 </u>

Après calcul, nous trouvons que :

X ≡ 8265 mod 13483

<u> Relation finale </u>

Nous obtenons ainsi la relation :

8265^2 ≡ 10705716 mod 13483

avec X = 8265 et Y = 10705716.


**3. En déduire la factorisation de 13483.**

## **Exercice 3**

En s’inspirant de l’exercice 22 (attaque en distingueur left-right du mode CBC), élaborer une attaque similaire du mode CTR. NB On rappelle que, dans l’exercice 22, la notation ⊥ni désigne l’écriture de l’entier i en binaire sur exactement n bits. par exemple, ⊥827 = 00011011.

In [None]:
# PDF TD daté de 2021/2022 référence non valide