# Exercices : Chiffrement Sym√©trique

**Objectifs** :
- V√©rifier la compr√©hension des modes AES
- Attaquer des impl√©mentations faibles
- Tester la s√©curit√© CPA
- Comprendre l'importance des IV/nonces

In [None]:
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import padding
import secrets
import numpy as np
from collections import Counter
import matplotlib.pyplot as plt

## Exercice 1 : D√©tection de mode ECB

**Contexte** : Un serveur chiffre des donn√©es avec AES mais vous ne savez pas quel mode est utilis√©.

**T√¢che** : √âcrivez une fonction qui d√©tecte si le mode est ECB en analysant les ciphertexts.

In [None]:
class BlackBoxCipher:
    """
    Oracle de chiffrement dont le mode est inconnu.
    """
    def __init__(self, mode='ecb'):
        self.key = secrets.token_bytes(16)
        self.mode = mode  # 'ecb' ou 'cbc' (secret)
    
    def encrypt(self, plaintext: bytes) -> bytes:
        """
        Chiffre le plaintext avec un mode inconnu.
        """
        # Padding
        padder = padding.PKCS7(128).padder()
        padded = padder.update(plaintext) + padder.finalize()
        
        if self.mode == 'ecb':
            cipher = Cipher(algorithms.AES(self.key), modes.ECB(), backend=default_backend())
        else:  # cbc
            iv = secrets.token_bytes(16)
            cipher = Cipher(algorithms.AES(self.key), modes.CBC(iv), backend=default_backend())
        
        encryptor = cipher.encryptor()
        return encryptor.update(padded) + encryptor.finalize()

def detect_ecb_mode(oracle) -> bool:
    """
    D√©tecte si l'oracle utilise le mode ECB.
    
    Indice : Envoyez un message avec des blocs r√©p√©titifs.
    
    Returns:
        True si ECB d√©tect√©, False sinon
    """
    # √Ä COMPL√âTER
    # Strat√©gie : Envoyer un message avec blocs identiques
    # Si ECB : blocs ciphertext identiques
    # Si CBC : blocs ciphertext diff√©rents (IV al√©atoire)
    
    message = b'A' * 64  # 4 blocs identiques
    ciphertext = oracle.encrypt(message)
    
    # D√©couper en blocs de 16 bytes
    blocks = [ciphertext[i:i+16] for i in range(0, len(ciphertext), 16)]
    
    # V√©rifier doublons
    return len(blocks) != len(set(blocks))

# Test
print("=" * 60)
print("TEST : D√©tection de mode ECB")
print("=" * 60)

oracle_ecb = BlackBoxCipher(mode='ecb')
oracle_cbc = BlackBoxCipher(mode='cbc')

is_ecb_1 = detect_ecb_mode(oracle_ecb)
is_ecb_2 = detect_ecb_mode(oracle_cbc)

print(f"\nOracle 1 (ECB) d√©tect√© comme ECB : {is_ecb_1} {'‚úÖ' if is_ecb_1 else '‚ùå'}")
print(f"Oracle 2 (CBC) d√©tect√© comme ECB : {is_ecb_2} {'‚ùå (correct)' if not is_ecb_2 else '‚úÖ (erreur)'}")

## Exercice 2 : Attaque sur IV pr√©visible (CBC)

**Contexte** : Un serveur utilise CBC avec un IV pr√©visible : $IV_i = E_k(i)$ o√π $i$ est un compteur.

**T√¢che** : D√©montrez que ce syst√®me n'est pas CPA-s√©curis√©.

In [None]:
class PredictableIVOracle:
    """
    Oracle CBC avec IV pr√©visible (VULN√âRABLE).
    """
    def __init__(self):
        self.key = secrets.token_bytes(16)
        self.counter = 0
    
    def _get_next_iv(self) -> bytes:
        """
        G√©n√®re IV pr√©visible : IV = AES_k(counter).
        """
        cipher = Cipher(algorithms.AES(self.key), modes.ECB(), backend=default_backend())
        encryptor = cipher.encryptor()
        iv = encryptor.update(self.counter.to_bytes(16, 'big')) + encryptor.finalize()
        self.counter += 1
        return iv
    
    def encrypt(self, plaintext: bytes) -> tuple[bytes, bytes]:
        """
        Chiffre avec CBC et IV pr√©visible.
        
        Returns:
            (IV, ciphertext)
        """
        iv = self._get_next_iv()
        
        # Padding
        padder = padding.PKCS7(128).padder()
        padded = padder.update(plaintext) + padder.finalize()
        
        cipher = Cipher(algorithms.AES(self.key), modes.CBC(iv), backend=default_backend())
        encryptor = cipher.encryptor()
        ciphertext = encryptor.update(padded) + encryptor.finalize()
        
        return iv, ciphertext
    
    def peek_next_iv(self) -> bytes:
        """
        Permet √† l'attaquant de pr√©dire le prochain IV.
        """
        cipher = Cipher(algorithms.AES(self.key), modes.ECB(), backend=default_backend())
        encryptor = cipher.encryptor()
        return encryptor.update(self.counter.to_bytes(16, 'big')) + encryptor.finalize()

def cpa_attack_predictable_iv():
    """
    Attaque CPA sur CBC avec IV pr√©visible.
    
    Strat√©gie :
    1. Choisir deux messages m0, m1
    2. Pr√©dire IV prochain : IV*
    3. Envoyer m0' = m0 ‚äï IV* et m1' = m1 ‚äï IV*
    4. Observer premier bloc de ciphertext
    5. Distinguer car c[0] = E_k(m_b' ‚äï IV*) = E_k(m_b)
    """
    oracle = PredictableIVOracle()
    
    print("=" * 60)
    print("ATTAQUE CPA : CBC avec IV pr√©visible")
    print("=" * 60)
    
    # Messages challenge
    m0 = b'A' * 16
    m1 = b'B' * 16
    
    print(f"\nMessages challenge :")
    print(f"  m0 : {m0}")
    print(f"  m1 : {m1}")
    
    # Pr√©dire le prochain IV
    predicted_iv = oracle.peek_next_iv()
    print(f"\nüîÆ IV pr√©dit : {predicted_iv.hex()[:32]}...")
    
    # Cr√©er messages modifi√©s : m' = m ‚äï IV_predicted ‚äï 0
    # Pour que E_k(m' ‚äï IV_predicted) = E_k(m ‚äï 0) = E_k(m)
    m0_modified = bytes(a ^ b for a, b in zip(m0, predicted_iv))
    m1_modified = bytes(a ^ b for a, b in zip(m1, predicted_iv))
    
    # L'oracle choisit m_b (on simule b=0)
    b = 0  # Secret choisi par l'oracle
    mb = m0 if b == 0 else m1
    mb_modified = m0_modified if b == 0 else m1_modified
    
    # Chiffrement
    iv_actual, ciphertext = oracle.encrypt(mb_modified)
    
    print(f"\nüì§ Message chiffr√© (m{b}')")
    print(f"  IV utilis√©  : {iv_actual.hex()[:32]}...")
    print(f"  IV pr√©dit ? : {iv_actual == predicted_iv} ‚úÖ")
    
    # Comparer avec chiffrements directs
    # On chiffre m0 et m1 avec IV=0 pour obtenir r√©f√©rences
    cipher_ref = Cipher(algorithms.AES(oracle.key), modes.ECB(), backend=default_backend())
    encryptor_ref = cipher_ref.encryptor()
    
    c0_expected = encryptor_ref.update(m0)
    c1_expected = encryptor_ref.update(m1)
    
    first_block = ciphertext[:16]
    
    print(f"\nüîç Analyse du premier bloc :")
    print(f"  Bloc re√ßu     : {first_block.hex()}")
    print(f"  E_k(m0) attendu : {c0_expected.hex()}")
    print(f"  E_k(m1) attendu : {c1_expected.hex()}")
    
    # Distinguer
    guess = 0 if first_block == c0_expected else 1
    
    print(f"\nüéØ Attaquant devine : b = {guess}")
    print(f"   Valeur r√©elle     : b = {b}")
    print(f"   {'‚úÖ SUCC√àS' if guess == b else '‚ùå √âCHEC'}")
    
    print(f"\n‚ö†Ô∏è  CBC avec IV pr√©visible n'est PAS CPA-s√©curis√© !")
    print(f"‚úÖ Solution : Utiliser IV al√©atoire et impr√©visible")

cpa_attack_predictable_iv()

## Exercice 3 : Nonce Reuse en CTR

**Contexte** : Deux messages ont √©t√© chiffr√©s avec AES-CTR et le m√™me nonce.

**T√¢che** : Retrouvez les messages √† partir des ciphertexts.

In [None]:
def ctr_nonce_reuse_attack():
    """
    D√©monstration de l'attaque par r√©utilisation de nonce en CTR.
    """
    print("=" * 60)
    print("ATTAQUE : R√©utilisation de nonce en CTR")
    print("=" * 60)
    
    key = secrets.token_bytes(16)
    nonce = secrets.token_bytes(16)  # Nonce r√©utilis√© !
    
    # Deux messages secrets
    m1 = b"Attack at dawn tomorrow"
    m2 = b"Retreat immediately now"
    
    print(f"\nüîí Messages secrets (inconnus de l'attaquant) :")
    print(f"  m1 : {m1}")
    print(f"  m2 : {m2}")
    
    # Chiffrement CTR avec M√äME nonce
    cipher = Cipher(algorithms.AES(key), modes.CTR(nonce), backend=default_backend())
    encryptor1 = cipher.encryptor()
    c1 = encryptor1.update(m1) + encryptor1.finalize()
    
    cipher = Cipher(algorithms.AES(key), modes.CTR(nonce), backend=default_backend())
    encryptor2 = cipher.encryptor()
    c2 = encryptor2.update(m2) + encryptor2.finalize()
    
    print(f"\nüì° Ciphertexts intercept√©s :")
    print(f"  c1 : {c1.hex()}")
    print(f"  c2 : {c2.hex()}")
    
    # Attaque : c1 ‚äï c2 = m1 ‚äï m2 (le keystream s'annule !)
    xor_result = bytes(a ^ b for a, b in zip(c1, c2))
    
    print(f"\nüí• c1 ‚äï c2 = m1 ‚äï m2 :")
    print(f"  {xor_result.hex()}")
    print(f"  (ASCII) : {xor_result}")
    
    # Si l'attaquant conna√Æt m1 (ou peut le deviner), il r√©cup√®re m2 !
    print(f"\nüîì Si l'attaquant devine/conna√Æt m1 :")
    m2_recovered = bytes(a ^ b for a, b in zip(xor_result, m1))
    print(f"  m2 r√©cup√©r√© : {m2_recovered}")
    print(f"  m2 original : {m2}")
    print(f"  {'‚úÖ IDENTIQUE !' if m2_recovered == m2 else '‚ùå'}")
    
    print(f"\n‚ö†Ô∏è  CATASTROPHE : Nonce reuse en CTR = Two-Time Pad !")
    print(f"‚úÖ Solution : TOUJOURS utiliser un nonce unique par message")

ctr_nonce_reuse_attack()

## Exercice 4 : Test de distribution PRG

**Contexte** : V√©rifier qu'un g√©n√©rateur produit une sortie indistinguable du random.

**T√¢che** : Impl√©mentez des tests statistiques (fr√©quence, runs test).

In [None]:
def frequency_test(bits: str, alpha=0.01) -> bool:
    """
    Test de fr√©quence (nombre de 0 vs 1).
    
    H0 : La s√©quence est al√©atoire
    
    Args:
        bits: Cha√Æne de bits ('010101...')
        alpha: Seuil de significativit√©
    
    Returns:
        True si le test passe (semble al√©atoire)
    """
    n = len(bits)
    ones = bits.count('1')
    
    # Statistique de test
    s = abs(ones - n/2) / np.sqrt(n/4)
    
    # Valeur critique pour alpha=0.01 (distribution normale)
    critical = 2.576  # pour alpha=0.01 bilat√©ral
    
    return s < critical

def runs_test(bits: str, alpha=0.01) -> bool:
    """
    Test des runs (longueurs de s√©quences de bits identiques).
    
    Un "run" est une s√©quence de bits identiques (ex: '111' ou '00').
    
    Args:
        bits: Cha√Æne de bits
        alpha: Seuil de significativit√©
    
    Returns:
        True si le test passe
    """
    n = len(bits)
    ones = bits.count('1')
    pi = ones / n
    
    # Pr√©-test : fr√©quence de 1 doit √™tre proche de 0.5
    if abs(pi - 0.5) >= 2/np.sqrt(n):
        return False
    
    # Compter les runs
    runs = 1
    for i in range(1, n):
        if bits[i] != bits[i-1]:
            runs += 1
    
    # Statistique de test
    expected_runs = 2 * n * pi * (1 - pi)
    variance_runs = 2 * n * pi * (1 - pi) * (2 * n * pi * (1 - pi) - 1)
    
    if variance_runs <= 0:
        return False
    
    z = (runs - expected_runs) / np.sqrt(variance_runs)
    
    critical = 2.576
    return abs(z) < critical

# Test sur vrai random vs PRG
print("=" * 60)
print("TESTS STATISTIQUES : Random vs PRG")
print("=" * 60)

# Vrai random
true_random_bytes = secrets.token_bytes(1000)
true_random_bits = ''.join(format(b, '08b') for b in true_random_bytes)

# PRG (ChaCha20)
key = secrets.token_bytes(32)
nonce = secrets.token_bytes(16)
cipher = Cipher(algorithms.ChaCha20(key, nonce), mode=None, backend=default_backend())
encryptor = cipher.encryptor()
prg_bytes = encryptor.update(b'\x00' * 1000)  # Chiffrer des z√©ros
prg_bits = ''.join(format(b, '08b') for b in prg_bytes)

# Faux random (pattern)
fake_bits = '01' * 4000  # Pattern √©vident

print(f"\nTaille des s√©quences : {len(true_random_bits)} bits\n")

# Test vrai random
freq_pass = frequency_test(true_random_bits)
runs_pass = runs_test(true_random_bits)
print(f"Vrai Random (secrets.token_bytes) :")
print(f"  Frequency test : {'‚úÖ PASS' if freq_pass else '‚ùå FAIL'}")
print(f"  Runs test      : {'‚úÖ PASS' if runs_pass else '‚ùå FAIL'}")

# Test PRG
freq_pass = frequency_test(prg_bits)
runs_pass = runs_test(prg_bits)
print(f"\nPRG (ChaCha20) :")
print(f"  Frequency test : {'‚úÖ PASS' if freq_pass else '‚ùå FAIL'}")
print(f"  Runs test      : {'‚úÖ PASS' if runs_pass else '‚ùå FAIL'}")

# Test faux random
freq_pass = frequency_test(fake_bits)
runs_pass = runs_test(fake_bits)
print(f"\nFaux Random (pattern '01010101...') :")
print(f"  Frequency test : {'‚úÖ PASS' if freq_pass else '‚ùå FAIL'}")
print(f"  Runs test      : {'‚úÖ PASS' if runs_pass else '‚ùå FAIL'}")

print(f"\nüí° Un bon PRG doit passer les tests statistiques standard")
print(f"   (mais passer les tests ne garantit PAS la s√©curit√© cryptographique !)")

## Exercice 5 : Padding Oracle Preliminaire

**Contexte** : Introduction au probl√®me du padding (sera d√©taill√© au Chapitre 3).

**T√¢che** : Impl√©mentez et testez le padding PKCS#7.

In [None]:
def pkcs7_pad(data: bytes, block_size: int = 16) -> bytes:
    """
    Applique le padding PKCS#7.
    
    R√®gle : Ajouter N bytes de valeur N, o√π N = block_size - (len(data) % block_size)
    Si len(data) est multiple de block_size, ajouter un bloc complet de padding.
    
    Exemples (block_size=16) :
    - "ABC" (3 bytes) ‚Üí "ABC\x0d\x0d..\x0d" (13 fois \x0d)
    - "ABCDEFGHIJKLMNOP" (16 bytes) ‚Üí "ABCDEFGHIJKLMNOP\x10\x10..\x10" (16 fois \x10)
    """
    padding_length = block_size - (len(data) % block_size)
    padding = bytes([padding_length] * padding_length)
    return data + padding

def pkcs7_unpad(padded_data: bytes, block_size: int = 16) -> bytes:
    """
    Retire le padding PKCS#7.
    
    Raises:
        ValueError: Si le padding est invalide
    """
    if len(padded_data) == 0 or len(padded_data) % block_size != 0:
        raise ValueError("Invalid padded data length")
    
    padding_length = padded_data[-1]
    
    if padding_length == 0 or padding_length > block_size:
        raise ValueError("Invalid padding length")
    
    # V√©rifier que tous les bytes de padding sont corrects
    for i in range(padding_length):
        if padded_data[-(i+1)] != padding_length:
            raise ValueError("Invalid padding bytes")
    
    return padded_data[:-padding_length]

# Tests
print("=" * 60)
print("PADDING PKCS#7")
print("=" * 60)

test_cases = [
    b"ABC",
    b"ABCDEFGHIJKLMNO",   # 15 bytes
    b"ABCDEFGHIJKLMNOP",  # 16 bytes (multiple)
    b"Hello, World!",
    b"",  # Cas vide
]

for data in test_cases:
    padded = pkcs7_pad(data, 16)
    unpadded = pkcs7_unpad(padded, 16)
    
    print(f"\nDonn√©es originales : {data} ({len(data)} bytes)")
    print(f"Apr√®s padding      : {padded.hex()} ({len(padded)} bytes)")
    print(f"Apr√®s unpadding    : {unpadded}")
    print(f"V√©rification       : {'‚úÖ' if unpadded == data else '‚ùå'}")

# Test padding invalide
print("\n" + "=" * 60)
print("TEST : Padding invalide")
print("=" * 60)

invalid_paddings = [
    b"ABC\x05\x05\x05\x05",  # Bon
    b"ABC\x05\x05\x05\x04",  # Mauvais (dernier byte diff√©rent)
    b"ABC\x00\x00\x00\x00",  # Padding de 0 (invalide)
    b"ABC\x11\x11\x11\x11",  # Padding > block_size
]

for padded in invalid_paddings:
    try:
        result = pkcs7_unpad(padded, 16)
        print(f"\nPadding : {padded.hex()}")
        print(f"R√©sultat : {result} ‚úÖ")
    except ValueError as e:
        print(f"\nPadding : {padded.hex()}")
        print(f"Erreur  : {e} ‚ùå (attendu)")

print(f"\nüí° Le padding oracle attack exploite ces erreurs de validation !")
print(f"   (D√©tails au Chapitre 3)")

## Conclusion

**Points cl√©s v√©rifi√©s** :
- ‚ùå ECB est d√©tectable par analyse de r√©p√©titions
- ‚ùå IV pr√©visible en CBC casse la s√©curit√© CPA
- ‚ùå Nonce reuse en CTR = catastrophe (Two-Time Pad)
- ‚úÖ PRG cryptographiques passent tests statistiques standard
- ‚úÖ Padding PKCS#7 doit √™tre valid√© correctement

**Retenir** :
- Toujours utiliser IV/nonce al√©atoires et uniques
- Ne JAMAIS utiliser ECB
- Privil√©gier CTR ou modes AEAD (Chapitre 3)
- Valider soigneusement le padding