# **Examen 2017-2018**

In [7]:
import sys
import os
from pathlib import Path
current_dir = Path(os.getcwd())
parent_dir = current_dir.parent
sys.path.append(str(parent_dir))

from algorithm import AES, CESAR, DIFFIE_HELLMANN, ECC, ELGAMAL, RSA, VIGENERE
from compute import BASIC_COMPUTE, LFSR

## **Questions de cours**

1. *Qu’est-ce qu’un attaquant dont le contexte est à “clair choisi” ?*  
   Une attaque à texte clair choisi est un modèle d'attaque en cryptanalyse où l'attaquant possède à la fois le texte chiffré (cipher) et le texte clair.  

2. *Pourquoi parle-t-on de “sécurité calculatoire” ?*  
   On parle de "sécurité calculatoire" car la sécurité des systèmes cryptographiques repose sur des problèmes mathématiques complexes qui nécessitent un temps de calcul beaucoup trop long à l'échelle d'une vie humaine pour être résolus par un attaquant, rendant ainsi les attaques impraticables.

3. *Qu’est-ce qu’un MAC ? Comment le met-on en œuvre pour assurer l’intégrité ?*  
   Un code d'authentification de message, souvent désigné par son sigle anglais MAC (Message Authentication Code) est un code accompagnant des données dans le but d'assurer l'intégrité de ces dernières, en permettant de vérifier qu'elles n'ont subi aucune modification.

4. *Donner le modèle de sécurité pour une signature.*  
   Le modèle de sécurité pour une signature inclut : 
   - Authenticité : Seule la personne détentrice de la clé privée peut signer.
   - Intégrité : La signature garantit que le message n’a pas été modifié.
   - Non-répudiation : Le signataire ne peut pas nier avoir signé le message.

5. *L’utilisation de LFSR dans un GPA permet d’obtenir des suites de très grande période. Pourquoi n’est-ce pas suffisant pour assurer la sécurité d’un GPA ?*  
   Bien qu'un LFSR génère de longues séquences pseudo-aléatoires, sa prévisibilité et la structure linéaire de ses générateurs permettent aux attaquants de déduire des états internes, rendant le système vulnérable à des attaques par analyse de la séquence.

6. *Décrire l’attaque d’un chiffrement asymétrique lorsque la clé publique n’est pas certifiée.*  
   Si une clé publique n'est pas certifiée, un attaquant peut intercepter une clé publique et se faire passer pour un utilisateur légitime. En chiffrant des messages avec cette clé compromise, l'attaquant peut déchiffrer les réponses, usurpant ainsi l'identité de l'utilisateur.

7. *Décrire l’attaque par le milieu du protocole de Diffie-Hellman.*  
   Dans une attaque par le milieu, un attaquant intercepte les échanges de clés entre deux parties. Il peut se faire passer pour l'une ou l'autre partie, établissant deux connexions séparées et rendant possible l'interception de messages.

8. *Qu’est-ce qu’un nombre premier fort ? Dans quel problème mathématique intervient-il ?*  
   Un nombre premier fort est un nombre premier p tel que (p-1)/2 est également premier. Ils sont utilisés dans le problème de la factorisation de grands nombres, essentiel pour la cryptographie à clé publique.

9. *Énoncer le problème du logarithme discret sur courbe elliptique.*  
   Le problème du logarithme discret sur courbe elliptique consiste à trouver un entier k tel que P = kQ, où P et Q sont des points sur une courbe elliptique. Cela est difficile à résoudre, ce qui en fait la base de la sécurité de nombreux systèmes cryptographiques.

10. *Sur quel problème mathématique la sécurité du chiffrement El Gamal repose-t-il ?*  
    La sécurité du chiffrement El Gamal repose sur la difficulté du problème du logarithme discret dans un groupe multiplicatif d'un corps fini.  

11. *Quel est le principe de l’attaque linéaire d’un algorithme de chiffrement par blocs ?*  
    L'attaque linéaire utilise des approximations sur le comportement d'un algorithme de chiffrement pour établir des relations entre des bits d'entrée et de sortie. Elle implique la construction d'une équation linéaire à partir de plusieurs paires de textes clairs et chiffrés.

12. *En décrivant l’attaque, justifier pourquoi un chiffrement déterministe est distinguable left-right avec peu de requêtes.*  
    Un chiffrement déterministe produit toujours le même texte chiffré pour un texte clair donné. Cela permet à un attaquant de distinguer facilement deux textes clairs en comparant les textes chiffrés, rendant ainsi le système vulnérable avec peu de requêtes.

13. *Quel est le nombre de tours de l’AES pour une clé de 192 bits ?*  
    L’AES utilise 12 tours pour une clé de 192 bits.

14. *Expliquer ce qu’est la collision-résistance pour une fonction de hachage. Quelle est la complexité générique d’obtention d’une collision ?*  
    La collision-résistance signifie qu'il est difficile de trouver deux entrées distinctes qui produisent le même hachage. La complexité générique d'obtention d'une collision est de l'ordre de \(2^{n/2}\), où n est la taille de la sortie du hachage en bits.

15. *Qu’est-ce que la “diffusion” dans un algorithme de chiffrement ?*  
    La diffusion est un principe cryptographique qui garantit qu’un petit changement dans le texte clair (par exemple, un bit) provoque un changement significatif dans le texte chiffré, rendant ainsi le chiffrement plus résistant aux attaques.

## **Exercice 1**

On considère le groupe multiplicatif (Z/59Z)*.  

**1. Montrer que 2 est un élément générateur. On énoncera les égalités numériques à vérifier, mais pour des raisons de temps on s’autorisera à ne pas effectuer tous les calculs.**

In [8]:
compute = BASIC_COMPUTE()
r = compute.is_generator(59-1, 2)


2 est un générateur de l'ensemble multiplicatif modulo 59 ?
Le groupe a un ordre de 58. Nous devons vérifier si les puissances de 2 couvrent tous les entiers de 1 à 58 modulo 59
	1: 2^1 mod 59 = 2
	2: 2^2 mod 59 = 4
	3: 2^3 mod 59 = 8
	4: 2^4 mod 59 = 16
	5: 2^5 mod 59 = 32
	6: 2^6 mod 59 = 5
	7: 2^7 mod 59 = 10
	8: 2^8 mod 59 = 20
	9: 2^9 mod 59 = 40
	10: 2^10 mod 59 = 21
	11: 2^11 mod 59 = 42
	12: 2^12 mod 59 = 25
	13: 2^13 mod 59 = 50
	14: 2^14 mod 59 = 41
	15: 2^15 mod 59 = 23
	16: 2^16 mod 59 = 46
	17: 2^17 mod 59 = 33
	18: 2^18 mod 59 = 7
	19: 2^19 mod 59 = 14
	20: 2^20 mod 59 = 28
	21: 2^21 mod 59 = 56
	22: 2^22 mod 59 = 53
	23: 2^23 mod 59 = 47
	24: 2^24 mod 59 = 35
	25: 2^25 mod 59 = 11
	26: 2^26 mod 59 = 22
	27: 2^27 mod 59 = 44
	28: 2^28 mod 59 = 29
	29: 2^29 mod 59 = 58
	30: 2^30 mod 59 = 57
	31: 2^31 mod 59 = 55
	32: 2^32 mod 59 = 51
	33: 2^33 mod 59 = 43
	34: 2^34 mod 59 = 27
	35: 2^35 mod 59 = 54
	36: 2^36 mod 59 = 49
	37: 2^37 mod 59 = 39
	38: 2^38 mod 59 = 19
	39: 2^3

**2. Décrire numériquement le protocole de Diffie-Hellmann (notations du transparent 164) avec p = 59, g = 2, a = 5, b = 21. En particulier, quelle est la valeur numérique du secret commun établi ?**

In [9]:
my_diffie_hellmann = DIFFIE_HELLMANN(p=59, g=2)
_ = my_diffie_hellmann.key_exchange(5, 21)


Initialisation de l'échange de clés Diffie-Hellman avec:
	Nombre premier p = 59
	Générateur g = 2
	Secrets choisis a = 5, b = 21

Calcul des valeurs publiques A = (g^a mod p) et B = (g^b mod p):
Modular Exponentiation: 2 ^ 5 mod 59
	1: (1 * 2) % 59 = 2
	2: (2 * 2) % 59 = 4
	3: (4 * 2) % 59 = 8
	4: (8 * 2) % 59 = 16
	5: (16 * 2) % 59 = 32

	=> 2 ^ 5 mod 59 = 32
	=> A = (g^a mod p) = 32

Modular Exponentiation: 2 ^ 21 mod 59
	1: (1 * 2) % 59 = 2
	2: (2 * 2) % 59 = 4
	3: (4 * 2) % 59 = 8
	4: (8 * 2) % 59 = 16
	5: (16 * 2) % 59 = 32
	6: (32 * 2) % 59 = 5
	7: (5 * 2) % 59 = 10
	8: (10 * 2) % 59 = 20
	9: (20 * 2) % 59 = 40
	10: (40 * 2) % 59 = 21
	11: (21 * 2) % 59 = 42
	12: (42 * 2) % 59 = 25
	13: (25 * 2) % 59 = 50
	14: (50 * 2) % 59 = 41
	15: (41 * 2) % 59 = 23
	16: (23 * 2) % 59 = 46
	17: (46 * 2) % 59 = 33
	18: (33 * 2) % 59 = 7
	19: (7 * 2) % 59 = 14
	20: (14 * 2) % 59 = 28
	21: (28 * 2) % 59 = 56

	=> 2 ^ 21 mod 59 = 56
	=> B = (g^b mod p) = 56

Échange des valeurs publiques:
	Alice 

## **Exercice 2**

Factoriser l’entier 3 917 299 par la m´ethode de Fermat.

In [10]:
p, q = compute.fermat_factorization(3917299)


Factorisation de 3917299 par la méthode de Fermat:
	On commence avec a = ⌈√3917299⌉ = 1980
	Initialement, b² = 1980² - 3917299 = 3101

	0: b² = 3101 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 1981
	   On recalcule b² : 1981² - 3917299 = 3924361 - 3917299 = 7062

	1: b² = 7062 n'est pas un carré parfait.
	   On incrémente a pour obtenir a = 1982
	   On recalcule b² : 1982² - 3917299 = 3928324 - 3917299 = 11025

	Trouvé !!! b² = 11025 qui est un carré parfait, donc b = √11025 = 105
		   On calcule les facteurs :
		   p = a - b = 1982 - 105 = 1877
		   q = a + b = 1982 + 105 = 2087
		   Vérification : p * q = 1877 * 2087 = 3917299

	=> Les facteurs de 3917299 sont 1877 et 2087 (car 1877 * 2087 = 3917299)


## **Exercice 3**

Calculer le logarithme discret de 11 en base 2 modulo 59 par la méthode pas de bébé-pas de géant.

In [11]:
r = compute.discrete_logarithm(2, 11, 59, 58)


Calcul du logarithme discret de 11 en base 2 modulo 59 :

Étape 1: 
	m = ⌊√58⌋ = 8

Étape 2: Calculer les étapes "baby" : a^j mod n
	Baby step: a^0 mod 59 = 1
	Baby step: a^1 mod 59 = 2
	Baby step: a^2 mod 59 = 4
	Baby step: a^3 mod 59 = 8
	Baby step: a^4 mod 59 = 16
	Baby step: a^5 mod 59 = 32
	Baby step: a^6 mod 59 = 5
	Baby step: a^7 mod 59 = 10
	=> [(1, 0), (2, 1), (4, 2), (5, 6), (8, 3), (10, 7), (16, 4), (32, 5)]

Étape 3 : Calculer a^(-m) mod n

Euclide étendu: a * 2 = 1 mod 59

PGCD(2, 59):
	2 = 0 * 59 + 2
	59 = 29 * 2 + 1
	2 = 2 * 1 + 0

	=> PGCD = 1

Remontée avec Euclide étendu:
	On part de 1 = 59 - 29 * 2
	1 = -29 * 2 + 1 * 59

=> 1 = -29 * 2 + 1 * 59 (mod 59) donc a = 30

Modular Exponentiation: 30 ^ 8 mod 59
	1: (1 * 30) % 59 = 30
	2: (30 * 30) % 59 = 15
	3: (15 * 30) % 59 = 37
	4: (37 * 30) % 59 = 48
	5: (48 * 30) % 59 = 24
	6: (24 * 30) % 59 = 12
	7: (12 * 30) % 59 = 6
	8: (6 * 30) % 59 = 3

	=> 30 ^ 8 mod 59 = 3
	=> a^(-m) mod 59 = 3

Étape 4 : Calculer les étapes "gi