# Exercices : Int√©grit√© des Messages

**Objectifs** :
- Attaquer des MAC mal con√ßus
- Comprendre les collisions de hash
- Tester la s√©curit√© d'AEAD
- Simuler un padding oracle attack

In [None]:
import hashlib
import hmac
import secrets
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import padding
import numpy as np
from collections import Counter

## Exercice 1 : Attaque sur MAC = H(k || m)

**Contexte** : Un syst√®me utilise $\text{MAC}(m) = H(k \| m)$ (cl√© || message).

**T√¢che** : D√©montrez l'attaque par extension de longueur (length extension attack).

**Indice** : Pour SHA-256, conna√Ætre $H(k \| m)$ permet de calculer $H(k \| m \| m')$ sans conna√Ætre $k$ !

In [None]:
def weak_mac_concat(key: bytes, message: bytes) -> bytes:
    """
    MAC VULN√âRABLE : H(k || m)
    
    ‚ö†Ô∏è NE JAMAIS utiliser cette construction !
    """
    return hashlib.sha256(key + message).digest()

def length_extension_attack_demo():
    """
    D√©monstration de l'attaque par extension de longueur.
    
    Note : Cette attaque est conceptuelle. L'impl√©mentation compl√®te
    n√©cessite de manipuler l'√©tat interne du hash, ce qui est complexe.
    """
    print("=" * 70)
    print("ATTAQUE : Length Extension sur H(k || m)")
    print("=" * 70)
    
    # Syst√®me l√©gitime
    secret_key = secrets.token_bytes(16)  # Cl√© secr√®te inconnue d'Eve
    original_message = b"amount=100"
    
    # MAC original (connu d'Eve)
    original_mac = weak_mac_concat(secret_key, original_message)
    
    print(f"\n‚úÖ Syst√®me l√©gitime :")
    print(f"   Message : {original_message}")
    print(f"   MAC     : {original_mac.hex()[:32]}...")
    
    print(f"\nüíÄ Eve veut forger : m' = '{original_message.decode()}|amount=999'")
    print(f"\n‚ö†Ô∏è  VULN√âRABILIT√â :")
    print(f"   SHA-256 utilise Merkle-Damg√•rd construction")
    print(f"   H(k || m) r√©v√®le l'√©tat interne apr√®s traitement de k||m")
    print(f"   ‚Üí Eve peut calculer H(k || m || padding || m') sans conna√Ætre k !")
    
    print(f"\n‚úÖ SOLUTION : Utiliser HMAC au lieu de H(k || m)")
    print(f"   HMAC = H((k ‚äï opad) || H((k ‚äï ipad) || m))")
    print(f"   ‚Üí Double hachage emp√™che length extension")
    
    # Comparaison avec HMAC
    hmac_original = hmac.new(secret_key, original_message, hashlib.sha256).digest()
    
    print(f"\nüìä Comparaison :")
    print(f"   H(k||m)      : {original_mac.hex()[:32]}... ‚ùå VULN√âRABLE")
    print(f"   HMAC(k, m)   : {hmac_original.hex()[:32]}... ‚úÖ S√âCURIS√â")

length_extension_attack_demo()

## Exercice 2 : Collision Birthday Attack

**Contexte** : Un syst√®me utilise un hash tronqu√© √† 24 bits pour identifier des documents.

**T√¢che** : Trouvez deux documents diff√©rents avec le m√™me hash.

In [None]:
def birthday_collision_attack(output_bits=24):
    """
    Attaque birthday pour trouver une collision.
    
    Args:
        output_bits: Taille du hash tronqu√© (24 bits par d√©faut)
    
    Returns:
        (doc1, doc2, hash_value, attempts)
    """
    print("=" * 70)
    print(f"BIRTHDAY ATTACK : Collision sur hash {output_bits}-bits")
    print("=" * 70)
    
    hash_table = {}
    attempts = 0
    
    # Complexit√© attendue : ~‚àö(2^n) = 2^(n/2)
    expected = int(np.sqrt(2 ** output_bits) * 1.25)
    
    print(f"\nEspace de hash : 2^{output_bits} = {2**output_bits:,} valeurs")
    print(f"Essais attendus : ~{expected:,} (‚àö(2^{output_bits}))")
    print(f"\nüîç Recherche de collision...")
    
    while True:
        # G√©n√©rer document al√©atoire
        doc = secrets.token_bytes(32)
        
        # Hash tronqu√©
        h_full = hashlib.sha256(doc).digest()
        h_truncated = int.from_bytes(h_full, 'big') % (2 ** output_bits)
        
        attempts += 1
        
        if h_truncated in hash_table:
            # COLLISION TROUV√âE !
            doc1 = hash_table[h_truncated]
            doc2 = doc
            
            print(f"\n‚úÖ COLLISION TROUV√âE apr√®s {attempts:,} essais !")
            print(f"\nüìÑ Document 1 : {doc1.hex()[:32]}...")
            print(f"üìÑ Document 2 : {doc2.hex()[:32]}...")
            print(f"\nüîó Hash commun ({output_bits} bits) : {h_truncated:0{output_bits//4}x}")
            
            # V√©rifier hashes complets diff√©rents
            h1_full = hashlib.sha256(doc1).hexdigest()
            h2_full = hashlib.sha256(doc2).hexdigest()
            
            print(f"\nüîç Hashes SHA-256 complets (diff√©rents) :")
            print(f"   Doc1 : {h1_full[:32]}...")
            print(f"   Doc2 : {h2_full[:32]}...")
            
            print(f"\nüìä Rapport th√©orie/pratique :")
            print(f"   Attendu  : ~{expected:,} essais")
            print(f"   R√©el     : {attempts:,} essais")
            print(f"   Ratio    : {attempts/expected:.2f}x")
            
            return doc1, doc2, h_truncated, attempts
        
        hash_table[h_truncated] = doc
        
        # Progress (tous les 1000 essais)
        if attempts % 1000 == 0:
            print(f"   {attempts:,} essais...", end='\r')

# Test avec 20 bits (rapide)
doc1, doc2, h, attempts = birthday_collision_attack(output_bits=20)

print(f"\n‚ö†Ô∏è  LE√áON : Hash tronqu√© = VULN√âRABLE")
print(f"   20 bits : collision en ~{attempts:,} essais (faisable)")
print(f"   64 bits : collision en ~2^32 essais (faisable avec GPU)")
print(f"   128 bits : collision en ~2^64 essais (difficile)")
print(f"   256 bits : collision en ~2^128 essais (infaisable)")
print(f"\n‚úÖ C'est pourquoi SHA-256 utilise 256 bits (s√©curit√© de 128 bits) !")

## Exercice 3 : Padding Oracle Attack (Simplifi√©)

**Contexte** : Un serveur d√©chiffre des messages AES-CBC et r√©v√®le si le padding est valide.

**T√¢che** : Exploitez cet oracle pour d√©chiffrer un ciphertext sans conna√Ætre la cl√© !

**Note** : C'est une des attaques les plus c√©l√®bres en cryptographie (CVE-2014-0160, Heartbleed).

In [None]:
class PaddingOracle:
    """
    Oracle vuln√©rable qui r√©v√®le si le padding est valide.
    
    ‚ö†Ô∏è NE JAMAIS impl√©menter ce comportement en production !
    """
    def __init__(self):
        self.key = secrets.token_bytes(16)
        self.queries = 0
    
    def encrypt(self, plaintext: bytes) -> tuple[bytes, bytes]:
        """
        Chiffre un message avec AES-CBC.
        
        Returns:
            (IV, ciphertext)
        """
        iv = secrets.token_bytes(16)
        
        # Padding PKCS7
        padder = padding.PKCS7(128).padder()
        padded = padder.update(plaintext) + padder.finalize()
        
        # Chiffrement CBC
        cipher = Cipher(algorithms.AES(self.key), modes.CBC(iv), backend=default_backend())
        encryptor = cipher.encryptor()
        ciphertext = encryptor.update(padded) + encryptor.finalize()
        
        return iv, ciphertext
    
    def decrypt_and_check_padding(self, iv: bytes, ciphertext: bytes) -> bool:
        """
        D√©chiffre et v√©rifie le padding.
        
        ‚ö†Ô∏è VULN√âRABILIT√â : R√©v√®le si le padding est valide !
        
        Returns:
            True si padding valide, False sinon
        """
        self.queries += 1
        
        try:
            cipher = Cipher(algorithms.AES(self.key), modes.CBC(iv), backend=default_backend())
            decryptor = cipher.decryptor()
            padded = decryptor.update(ciphertext) + decryptor.finalize()
            
            # V√©rifier padding PKCS7
            unpadder = padding.PKCS7(128).unpadder()
            unpadder.update(padded) + unpadder.finalize()
            
            return True  # Padding valide
        except Exception:
            return False  # Padding invalide

def padding_oracle_attack_demo():
    """
    D√©monstration simplifi√©e du padding oracle attack.
    
    On d√©chiffre le dernier byte d'un bloc sans conna√Ætre la cl√© !
    """
    print("=" * 70)
    print("PADDING ORACLE ATTACK (simplifi√©)")
    print("=" * 70)
    
    oracle = PaddingOracle()
    
    # Message secret
    secret_message = b"Secret message!"  # 15 bytes ‚Üí padding \x01
    
    print(f"\nüîí Message secret : {secret_message}")
    
    # Chiffrement
    iv, ciphertext = oracle.encrypt(secret_message)
    
    print(f"\nüì° Ciphertext intercept√© :")
    print(f"   IV : {iv.hex()}")
    print(f"   CT : {ciphertext.hex()}")
    print(f"   Blocs : {len(ciphertext) // 16}")
    
    # Attaque sur le dernier byte du premier bloc
    print(f"\nüéØ Objectif : D√©chiffrer le dernier byte sans conna√Ætre la cl√©")
    print(f"\nüí° Strat√©gie :")
    print(f"   1. Modifier IV[15] pour tester diff√©rentes valeurs")
    print(f"   2. Chercher IV[15]' tel que le padding soit \\x01")
    print(f"   3. Si padding valide : P[15] = IV[15] ‚äï IV[15]' ‚äï 0x01")
    
    print(f"\nüîç Recherche par brute force (256 essais max) :")
    
    # Copier IV
    iv_modified = bytearray(iv)
    
    found = False
    for guess in range(256):
        # Modifier dernier byte de l'IV
        iv_modified[15] = guess
        
        # Tester avec l'oracle
        if oracle.decrypt_and_check_padding(bytes(iv_modified), ciphertext):
            # Padding valide !
            # Cela signifie que le dernier byte d√©chiffr√© est 0x01
            # P[15] = IV[15] ‚äï IV'[15] ‚äï 0x01
            
            plaintext_byte = iv[15] ^ guess ^ 0x01
            
            print(f"\n‚úÖ TROUV√â apr√®s {guess + 1} essais !")
            print(f"   IV'[15]        : 0x{guess:02x}")
            print(f"   P[15] r√©cup√©r√© : 0x{plaintext_byte:02x} = '{chr(plaintext_byte) if 32 <= plaintext_byte < 127 else "?"}'")
            
            # V√©rification
            actual_last_byte = secret_message[-1] if len(secret_message) % 16 == 15 else 0x01
            print(f"   P[15] r√©el     : 0x{actual_last_byte:02x}")
            
            found = True
            break
    
    if not found:
        print(f"\n‚ùå Aucune valeur trouv√©e (cas particulier)")
    
    print(f"\nüìä Statistiques :")
    print(f"   Requ√™tes oracle : {oracle.queries}")
    print(f"   Bytes d√©chiffr√©s : 1/{len(ciphertext)}")
    print(f"\nüí° En r√©p√©tant l'attaque, on d√©chiffre TOUT le message !")
    print(f"   Complexit√© : O(256 √ó longueur) requ√™tes")
    
    print(f"\n‚ö†Ô∏è  VULN√âRABILIT√â : R√©v√©ler des erreurs de padding")
    print(f"‚úÖ SOLUTION : Utiliser AEAD (AES-GCM) qui authentifie AVANT d√©chiffrement")

padding_oracle_attack_demo()

## Exercice 4 : AEAD Robustesse

**Contexte** : Tester la robustesse d'AES-GCM contre diverses modifications.

**T√¢che** : V√©rifiez qu'AES-GCM rejette toute modification du ciphertext, IV, ou associated data.

In [None]:
def aead_robustness_tests():
    """
    Tests de robustesse d'AES-GCM.
    """
    print("=" * 70)
    print("TESTS DE ROBUSTESSE : AES-GCM")
    print("=" * 70)
    
    key = AESGCM.generate_key(bit_length=256)
    aesgcm = AESGCM(key)
    
    message = b"Sensitive data that must remain authentic"
    associated_data = b"User: Alice, Action: Transfer"
    nonce = secrets.token_bytes(12)
    
    # Chiffrement l√©gitime
    ciphertext = aesgcm.encrypt(nonce, message, associated_data)
    
    print(f"\n‚úÖ Chiffrement l√©gitime :")
    print(f"   Message : {message}")
    print(f"   AD      : {associated_data}")
    print(f"   Nonce   : {nonce.hex()}")
    print(f"   CT      : {ciphertext.hex()[:32]}... ({len(ciphertext)} bytes)")
    
    # Test 1 : Modification d'un bit du ciphertext
    print(f"\n" + "=" * 70)
    print(f"TEST 1 : Modification d'un bit du ciphertext")
    print(f"=" * 70)
    
    modified_ct = bytearray(ciphertext)
    modified_ct[0] ^= 0x01  # Flipper 1 bit
    
    try:
        aesgcm.decrypt(nonce, bytes(modified_ct), associated_data)
        print(f"‚ùå √âCHEC : Modification non d√©tect√©e !")
    except Exception as e:
        print(f"‚úÖ SUCC√àS : Modification d√©tect√©e et rejet√©e")
        print(f"   Erreur : {type(e).__name__}")
    
    # Test 2 : Modification du nonce
    print(f"\n" + "=" * 70)
    print(f"TEST 2 : Modification du nonce")
    print(f"=" * 70)
    
    wrong_nonce = secrets.token_bytes(12)
    
    try:
        aesgcm.decrypt(wrong_nonce, ciphertext, associated_data)
        print(f"‚ùå √âCHEC : Modification nonce non d√©tect√©e !")
    except Exception as e:
        print(f"‚úÖ SUCC√àS : Modification nonce d√©tect√©e et rejet√©e")
        print(f"   Erreur : {type(e).__name__}")
    
    # Test 3 : Modification des associated data
    print(f"\n" + "=" * 70)
    print(f"TEST 3 : Modification des associated data")
    print(f"=" * 70)
    
    wrong_ad = b"User: Eve, Action: Transfer"  # Eve change le destinataire !
    
    try:
        aesgcm.decrypt(nonce, ciphertext, wrong_ad)
        print(f"‚ùå √âCHEC : Modification AD non d√©tect√©e !")
    except Exception as e:
        print(f"‚úÖ SUCC√àS : Modification AD d√©tect√©e et rejet√©e")
        print(f"   Erreur : {type(e).__name__}")
    
    # Test 4 : Troncature du ciphertext
    print(f"\n" + "=" * 70)
    print(f"TEST 4 : Troncature du ciphertext")
    print(f"=" * 70)
    
    truncated_ct = ciphertext[:-5]  # Supprimer 5 bytes
    
    try:
        aesgcm.decrypt(nonce, truncated_ct, associated_data)
        print(f"‚ùå √âCHEC : Troncature non d√©tect√©e !")
    except Exception as e:
        print(f"‚úÖ SUCC√àS : Troncature d√©tect√©e et rejet√©e")
        print(f"   Erreur : {type(e).__name__}")
    
    # Test 5 : Ajout de donn√©es
    print(f"\n" + "=" * 70)
    print(f"TEST 5 : Ajout de donn√©es au ciphertext")
    print(f"=" * 70)
    
    extended_ct = ciphertext + b"EXTRA"
    
    try:
        aesgcm.decrypt(nonce, extended_ct, associated_data)
        print(f"‚ùå √âCHEC : Ajout non d√©tect√© !")
    except Exception as e:
        print(f"‚úÖ SUCC√àS : Ajout d√©tect√© et rejet√©")
        print(f"   Erreur : {type(e).__name__}")
    
    # Test 6 : R√©utilisation (replay attack)
    print(f"\n" + "=" * 70)
    print(f"TEST 6 : R√©utilisation du m√™me message (replay attack)")
    print(f"=" * 70)
    
    try:
        # D√©chiffrement initial
        plaintext1 = aesgcm.decrypt(nonce, ciphertext, associated_data)
        # D√©chiffrement replay
        plaintext2 = aesgcm.decrypt(nonce, ciphertext, associated_data)
        
        print(f"‚ö†Ô∏è  AES-GCM ne prot√®ge PAS contre replay attacks !")
        print(f"   Message d√©chiffr√© 2 fois : {plaintext1 == plaintext2}")
        print(f"\nüí° Protection contre replay : Utiliser un compteur de nonces c√¥t√© serveur")
    except Exception as e:
        print(f"Erreur inattendue : {e}")
    
    print(f"\n" + "=" * 70)
    print(f"R√âSUM√â")
    print(f"=" * 70)
    print(f"\n‚úÖ AES-GCM d√©tecte :")
    print(f"   - Modifications du ciphertext")
    print(f"   - Modifications du nonce")
    print(f"   - Modifications des associated data")
    print(f"   - Troncature ou extension")
    print(f"\n‚ö†Ô∏è  AES-GCM NE d√©tecte PAS :")
    print(f"   - Replay attacks (n√©cessite gestion de nonces)")
    print(f"   - Attaques hors bande (timing, side-channels)")

aead_robustness_tests()

## Exercice 5 : Comparaison Encrypt-then-MAC vs MAC-then-Encrypt

**Contexte** : Il existe trois fa√ßons de combiner chiffrement et MAC.

**T√¢che** : Impl√©mentez et comparez les trois approches.

In [None]:
def encrypt_then_mac(message: bytes, key_enc: bytes, key_mac: bytes) -> tuple:
    """
    Encrypt-then-MAC (recommand√©).
    
    c = Enc(m), t = MAC(c)
    Envoyer : (c, t)
    """
    # Chiffrement AES-CTR
    nonce = secrets.token_bytes(16)
    cipher = Cipher(algorithms.AES(key_enc), modes.CTR(nonce), backend=default_backend())
    encryptor = cipher.encryptor()
    ciphertext = encryptor.update(message) + encryptor.finalize()
    
    # MAC du ciphertext
    tag = hmac.new(key_mac, nonce + ciphertext, hashlib.sha256).digest()
    
    return nonce, ciphertext, tag

def mac_then_encrypt(message: bytes, key_enc: bytes, key_mac: bytes) -> tuple:
    """
    MAC-then-Encrypt (vuln√©rable au padding oracle).
    
    t = MAC(m), c = Enc(m || t)
    Envoyer : c
    """
    # MAC du plaintext
    tag = hmac.new(key_mac, message, hashlib.sha256).digest()
    
    # Chiffrer message || tag
    nonce = secrets.token_bytes(16)
    cipher = Cipher(algorithms.AES(key_enc), modes.CTR(nonce), backend=default_backend())
    encryptor = cipher.encryptor()
    ciphertext = encryptor.update(message + tag) + encryptor.finalize()
    
    return nonce, ciphertext

def encrypt_and_mac(message: bytes, key_enc: bytes, key_mac: bytes) -> tuple:
    """
    Encrypt-and-MAC (utilis√© par SSH, probl√©matique).
    
    c = Enc(m), t = MAC(m)
    Envoyer : (c, t)
    """
    # Chiffrement
    nonce = secrets.token_bytes(16)
    cipher = Cipher(algorithms.AES(key_enc), modes.CTR(nonce), backend=default_backend())
    encryptor = cipher.encryptor()
    ciphertext = encryptor.update(message) + encryptor.finalize()
    
    # MAC du plaintext (probl√©matique !)
    tag = hmac.new(key_mac, message, hashlib.sha256).digest()
    
    return nonce, ciphertext, tag

# Comparaison
print("=" * 70)
print("COMPARAISON : Encrypt-then-MAC vs MAC-then-Encrypt vs Encrypt-and-MAC")
print("=" * 70)

key_enc = secrets.token_bytes(16)
key_mac = secrets.token_bytes(32)
message = b"Secret message to protect"

print(f"\nMessage : {message}\n")

# Encrypt-then-MAC
nonce1, ct1, tag1 = encrypt_then_mac(message, key_enc, key_mac)
print(f"1Ô∏è‚É£ Encrypt-then-MAC (TLS 1.3, IPsec) ‚úÖ RECOMMAND√â")
print(f"   Ordre : c = Enc(m), t = MAC(c)")
print(f"   CT    : {ct1.hex()[:32]}...")
print(f"   TAG   : {tag1.hex()[:32]}...")
print(f"   ‚úÖ V√©rifier MAC AVANT d√©chiffrement ‚Üí Pas de padding oracle")

# MAC-then-Encrypt
nonce2, ct2 = mac_then_encrypt(message, key_enc, key_mac)
print(f"\n2Ô∏è‚É£ MAC-then-Encrypt (TLS 1.0-1.2) ‚ö†Ô∏è  PROBL√âMATIQUE")
print(f"   Ordre : t = MAC(m), c = Enc(m || t)")
print(f"   CT    : {ct2.hex()[:32]}... (inclut le MAC)")
print(f"   ‚ö†Ô∏è  Vuln√©rable au padding oracle attack (Lucky13, BEAST, POODLE)")

# Encrypt-and-MAC
nonce3, ct3, tag3 = encrypt_and_mac(message, key_enc, key_mac)
print(f"\n3Ô∏è‚É£ Encrypt-and-MAC (SSH) ‚ö†Ô∏è  PROBL√âMATIQUE")
print(f"   Ordre : c = Enc(m), t = MAC(m)")
print(f"   CT    : {ct3.hex()[:32]}...")
print(f"   TAG   : {tag3.hex()[:32]}...")
print(f"   ‚ö†Ô∏è  MAC du plaintext peut r√©v√©ler des informations")

print(f"\n" + "=" * 70)
print(f"RECOMMANDATIONS")
print(f"=" * 70)
print(f"\n‚úÖ Meilleure approche : AEAD (AES-GCM, ChaCha20-Poly1305)")
print(f"   ‚Üí Chiffrement + authentification atomique")
print(f"   ‚Üí Pas de risque d'impl√©mentation incorrecte")
print(f"\n‚úÖ Si AEAD indisponible : Encrypt-then-MAC")
print(f"   ‚Üí V√©rifier MAC AVANT d√©chiffrement")
print(f"   ‚Üí Utiliser cl√©s diff√©rentes pour Enc et MAC")
print(f"\n‚ùå √âviter : MAC-then-Encrypt et Encrypt-and-MAC")

## Conclusion

**Points cl√©s v√©rifi√©s** :
- ‚ùå H(k || m) vuln√©rable √† length extension ‚Üí Utiliser HMAC
- ‚ùå Hash tronqu√© vuln√©rable √† birthday attacks ‚Üí Utiliser ‚â•256 bits
- ‚ùå Padding oracle permet de d√©chiffrer sans cl√© ‚Üí Utiliser AEAD
- ‚úÖ AES-GCM d√©tecte toutes modifications (sauf replay)
- ‚úÖ Encrypt-then-MAC est la bonne approche (ou AEAD)

**Retenir** :
- Toujours utiliser AEAD en production (AES-GCM, ChaCha20-Poly1305)
- Ne JAMAIS r√©v√©ler d'erreurs de padding/d√©chiffrement
- Utiliser comparaisons constant-time pour MAC
- G√©rer les nonces/compteurs pour √©viter replay attacks