# D√©monstration : RSA Encryption & Signatures

**Objectifs** :
- Impl√©menter RSA (g√©n√©ration de cl√©s, chiffrement, signatures)
- Comprendre le probl√®me de factorisation
- D√©montrer les attaques sur RSA textbook
- Utiliser RSA-OAEP (standard s√©curis√©)

In [None]:
from cryptography.hazmat.primitives.asymmetric import rsa, padding
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.backends import default_backend
import secrets
import time

## 1. RSA : Vue d'ensemble

**Bas√© sur** : Difficult√© de factorisation des grands entiers

**G√©n√©ration de cl√©s** :
1. Choisir deux grands premiers $p, q$ (1024 bits chacun)
2. Calculer $n = p \cdot q$ (modulus, 2048 bits)
3. Calculer $\phi(n) = (p-1)(q-1)$
4. Choisir $e$ tel que $\gcd(e, \phi(n)) = 1$ (souvent $e = 65537$)
5. Calculer $d = e^{-1} \mod \phi(n)$
6. Cl√© publique : $(n, e)$
7. Cl√© priv√©e : $(n, d)$ (ou $(p, q, d)$ avec CRT)

**Chiffrement** : $c = m^e \mod n$

**D√©chiffrement** : $m = c^d \mod n$

**Pourquoi √ßa marche** : $m^{ed} \equiv m \pmod{n}$ (Th√©or√®me d'Euler)

## 2. G√©n√©ration de Cl√©s RSA

In [None]:
def generate_rsa_keypair():
    """
    G√©n√®re une paire de cl√©s RSA-2048.
    """
    print("=" * 70)
    print("G√âN√âRATION DE CL√âS RSA-2048")
    print("=" * 70)
    
    print("\n‚è≥ G√©n√©ration en cours (recherche de nombres premiers)...")
    start = time.perf_counter()
    
    # G√©n√©ration de cl√© RSA-2048
    private_key = rsa.generate_private_key(
        public_exponent=65537,  # e = 65537 (standard)
        key_size=2048,
        backend=default_backend()
    )
    
    elapsed = time.perf_counter() - start
    print(f"‚úÖ G√©n√©ration termin√©e en {elapsed:.2f}s")
    
    # Extraction des param√®tres
    public_key = private_key.public_key()
    
    private_numbers = private_key.private_numbers()
    public_numbers = private_key.public_key().public_numbers()
    
    p = private_numbers.p
    q = private_numbers.q
    n = public_numbers.n
    e = public_numbers.e
    d = private_numbers.d
    
    print(f"\nüìã Param√®tres RSA :")
    print(f"   p (premier 1) : {p.bit_length()} bits")
    print(f"   q (premier 2) : {q.bit_length()} bits")
    print(f"   n = p √ó q     : {n.bit_length()} bits")
    print(f"   e (exposant public) : {e}")
    print(f"   d (exposant priv√©)  : {d.bit_length()} bits")
    
    # V√©rifications
    phi_n = (p - 1) * (q - 1)
    print(f"\nüîç V√©rifications :")
    print(f"   p √ó q = n ? {p * q == n} ‚úÖ")
    print(f"   e √ó d ‚â° 1 (mod œÜ(n)) ? {(e * d) % phi_n == 1} ‚úÖ")
    
    return private_key, public_key

private_key, public_key = generate_rsa_keypair()

## 3. RSA Textbook (INS√âCURIS√â !)

**D√©finition** : $c = m^e \mod n$ (chiffrement direct)

**Probl√®mes** :
- ‚ùå D√©terministe (pas CPA-s√©curis√©)
- ‚ùå Homomorphe multiplicatif (mall√©able)
- ‚ùå Vuln√©rable aux petits messages

**D√©monstration** :

In [None]:
def rsa_textbook_demo():
    """
    D√©monstration RSA textbook (√©ducatif uniquement).
    
    ‚ö†Ô∏è NE JAMAIS utiliser en production !
    """
    print("\n" + "=" * 70)
    print("RSA TEXTBOOK (INS√âCURIS√â - d√©mo seulement)")
    print("=" * 70)
    
    # Extraction param√®tres
    n = public_key.public_numbers().n
    e = public_key.public_numbers().e
    d = private_key.private_numbers().d
    
    # Message
    message = b"Hello, RSA!"
    message_int = int.from_bytes(message, 'big')
    
    print(f"\nüìù Message :")
    print(f"   Texte  : {message}")
    print(f"   Entier : {message_int}")
    
    # Chiffrement : c = m^e mod n
    ciphertext_int = pow(message_int, e, n)
    
    print(f"\nüîê Chiffrement (c = m^e mod n) :")
    print(f"   Ciphertext : {ciphertext_int}")
    print(f"   Bits       : {ciphertext_int.bit_length()}")
    
    # D√©chiffrement : m = c^d mod n
    decrypted_int = pow(ciphertext_int, d, n)
    byte_length = (decrypted_int.bit_length() + 7) // 8
    decrypted = decrypted_int.to_bytes(byte_length, 'big')
    
    print(f"\nüîì D√©chiffrement (m = c^d mod n) :")
    print(f"   Message : {decrypted}")
    print(f"   Correct : {decrypted == message} ‚úÖ")
    
    # Probl√®me 1 : D√©terministe
    print(f"\n‚ùå Probl√®me 1 : D√©terministe (pas CPA-s√©curis√©)")
    ciphertext_int_2 = pow(message_int, e, n)
    print(f"   M√™me message ‚Üí m√™me ciphertext : {ciphertext_int == ciphertext_int_2}")
    print(f"   ‚Üí Attaquant peut d√©tecter messages r√©p√©t√©s !")
    
    # Probl√®me 2 : Homomorphisme
    print(f"\n‚ùå Probl√®me 2 : Homomorphisme multiplicatif")
    m1 = 100
    m2 = 5
    c1 = pow(m1, e, n)
    c2 = pow(m2, e, n)
    c_prod = (c1 * c2) % n
    m_prod = pow(c_prod, d, n)
    print(f"   E({m1}) √ó E({m2}) = E({m1 * m2})")
    print(f"   V√©rifi√© : {m_prod == (m1 * m2) % n} ‚úÖ")
    print(f"   ‚Üí Mall√©abilit√© : Eve peut modifier les ciphertexts !")
    
    print(f"\n‚ö†Ô∏è  RSA TEXTBOOK EST DANGEUREUX !")
    print(f"‚úÖ Solution : Utiliser RSA-OAEP (avec padding al√©atoire)")

rsa_textbook_demo()

## 4. RSA-OAEP (Standard S√©curis√©)

**OAEP** : Optimal Asymmetric Encryption Padding

**Principe** :
1. Ajouter un padding al√©atoire au message
2. Appliquer transformations avec fonctions de hachage
3. Chiffrer avec RSA textbook

**R√©sultat** :
- ‚úÖ CPA-s√©curis√© (randomis√©)
- ‚úÖ R√©sistant aux attaques (chosen-ciphertext)
- ‚úÖ Standard recommand√© (PKCS#1 v2.0)

In [None]:
def rsa_oaep_demo():
    """
    D√©monstration RSA-OAEP (standard s√©curis√©).
    """
    print("\n" + "=" * 70)
    print("RSA-OAEP (Standard S√©curis√©)")
    print("=" * 70)
    
    message = b"Confidential message encrypted with RSA-OAEP"
    
    print(f"\nüìù Message : {message}")
    print(f"   Taille : {len(message)} bytes")
    
    # Chiffrement RSA-OAEP
    print(f"\nüîê Chiffrement avec RSA-OAEP (SHA-256) :")
    ciphertext = public_key.encrypt(
        message,
        padding.OAEP(
            mgf=padding.MGF1(algorithm=hashes.SHA256()),
            algorithm=hashes.SHA256(),
            label=None
        )
    )
    
    print(f"   Ciphertext (hex) : {ciphertext.hex()[:64]}...")
    print(f"   Taille           : {len(ciphertext)} bytes")
    
    # D√©chiffrement
    print(f"\nüîì D√©chiffrement :")
    plaintext = private_key.decrypt(
        ciphertext,
        padding.OAEP(
            mgf=padding.MGF1(algorithm=hashes.SHA256()),
            algorithm=hashes.SHA256(),
            label=None
        )
    )
    
    print(f"   Message d√©chiffr√© : {plaintext}")
    print(f"   Correct : {plaintext == message} ‚úÖ")
    
    # Test : Randomisation
    print(f"\n‚úÖ V√©rification : Randomisation (CPA-s√©curis√©)")
    ciphertext2 = public_key.encrypt(
        message,
        padding.OAEP(
            mgf=padding.MGF1(algorithm=hashes.SHA256()),
            algorithm=hashes.SHA256(),
            label=None
        )
    )
    
    print(f"   M√™me message, 2 chiffrements :")
    print(f"   CT1 : {ciphertext.hex()[:32]}...")
    print(f"   CT2 : {ciphertext2.hex()[:32]}...")
    print(f"   Diff√©rents : {ciphertext != ciphertext2} ‚úÖ")
    print(f"   ‚Üí Impossible de d√©tecter messages identiques")
    
    # Limitation de taille
    print(f"\nüìè Limitation : Taille maximale du message")
    max_size = (2048 // 8) - 2 * (256 // 8) - 2  # (key_size - 2*hash_size - 2)
    print(f"   RSA-2048 avec SHA-256 : {max_size} bytes max")
    print(f"   Pour messages plus longs : Chiffrement hybride (RSA + AES)")

rsa_oaep_demo()

## 5. RSA Signatures

**Principe** : "D√©chiffrer" avec la cl√© priv√©e pour prouver l'identit√©

**Signature** : $s = H(m)^d \mod n$

**V√©rification** : $s^e \stackrel{?}{=} H(m) \pmod{n}$

**Standard** : RSA-PSS (Probabilistic Signature Scheme)

In [None]:
def rsa_signature_demo():
    """
    D√©monstration de signatures RSA-PSS.
    """
    print("\n" + "=" * 70)
    print("SIGNATURES RSA-PSS")
    print("=" * 70)
    
    message = b"I, Alice, transfer $1000 to Bob."
    
    print(f"\nüìù Message √† signer : {message}")
    
    # Signature (Alice)
    print(f"\n‚úçÔ∏è  Alice signe avec sa cl√© priv√©e :")
    signature = private_key.sign(
        message,
        padding.PSS(
            mgf=padding.MGF1(hashes.SHA256()),
            salt_length=padding.PSS.MAX_LENGTH
        ),
        hashes.SHA256()
    )
    
    print(f"   Signature (hex) : {signature.hex()[:64]}...")
    print(f"   Taille          : {len(signature)} bytes")
    
    # V√©rification (Bob)
    print(f"\n‚úÖ Bob v√©rifie avec la cl√© publique d'Alice :")
    try:
        public_key.verify(
            signature,
            message,
            padding.PSS(
                mgf=padding.MGF1(hashes.SHA256()),
                salt_length=padding.PSS.MAX_LENGTH
            ),
            hashes.SHA256()
        )
        print(f"   Signature VALIDE ‚úÖ")
        print(f"   ‚Üí Message authentifi√© (vient bien d'Alice)")
        print(f"   ‚Üí Message int√®gre (pas modifi√©)")
    except Exception as e:
        print(f"   Signature INVALIDE ‚ùå")
        print(f"   Erreur : {e}")
    
    # Test : Modification du message
    print(f"\nüîç Test : Modification du message")
    modified_message = b"I, Alice, transfer $9999 to Eve."
    
    print(f"   Message modifi√© : {modified_message}")
    
    try:
        public_key.verify(
            signature,
            modified_message,
            padding.PSS(
                mgf=padding.MGF1(hashes.SHA256()),
                salt_length=padding.PSS.MAX_LENGTH
            ),
            hashes.SHA256()
        )
        print(f"   ‚ùå ERREUR : Signature valide sur message modifi√© !")
    except Exception:
        print(f"   Signature INVALIDE ‚úÖ")
        print(f"   ‚Üí Modification D√âTECT√âE et REJET√âE")
    
    # Test : Modification de la signature
    print(f"\nüîç Test : Modification de la signature")
    corrupted_signature = bytearray(signature)
    corrupted_signature[0] ^= 0xFF
    
    try:
        public_key.verify(
            bytes(corrupted_signature),
            message,
            padding.PSS(
                mgf=padding.MGF1(hashes.SHA256()),
                salt_length=padding.PSS.MAX_LENGTH
            ),
            hashes.SHA256()
        )
        print(f"   ‚ùå ERREUR : Signature corrompue accept√©e !")
    except Exception:
        print(f"   Signature INVALIDE ‚úÖ")
        print(f"   ‚Üí Corruption D√âTECT√âE et REJET√âE")

rsa_signature_demo()

## 6. Attaque : Petits Exposants

**Contexte** : Si $e$ est petit (ex: $e = 3$) et message court.

**Attaque** : $c = m^3 < n$ ‚Üí calculer simplement $m = \sqrt[3]{c}$ (racine cubique r√©elle) !

In [None]:
def small_exponent_attack_demo():
    """
    D√©monstration d'attaque sur petit exposant.
    """
    print("\n" + "=" * 70)
    print("ATTAQUE : Petit Exposant (e = 3)")
    print("=" * 70)
    
    print(f"\n‚ö†Ô∏è  Sc√©nario vuln√©rable :")
    print(f"   - Exposant public e = 3 (petit)")
    print(f"   - Message court : m < n^(1/3)")
    print(f"   - Pas de padding (RSA textbook)")
    
    print(f"\nüí° Si m^3 < n, alors c = m^3 (sans modulo !)")
    print(f"   ‚Üí Attaquant peut calculer m = ‚àõc (racine cubique r√©elle)")
    
    print(f"\n‚úÖ PROTECTIONS :")
    print(f"   1. Utiliser e = 65537 (standard)")
    print(f"   2. Toujours utiliser padding (OAEP)")
    print(f"   3. Messages > n^(1/e) gr√¢ce au padding")
    
    print(f"\nüìä Exemple avec RSA-2048 :")
    n_bits = 2048
    e = 65537
    safe_message_bits = n_bits // e
    print(f"   n : {n_bits} bits")
    print(f"   e : {e}")
    print(f"   Message s√ªr : < {safe_message_bits} bits (sans padding)")
    print(f"   Avec OAEP : padding force m > n^(1/e) ‚Üí S√©curis√© ‚úÖ")

small_exponent_attack_demo()

## 7. Performance : RSA vs ElGamal vs ECC

In [None]:
def benchmark_public_key():
    """
    Compare les performances de RSA.
    """
    print("\n" + "=" * 70)
    print("BENCHMARK : Op√©rations RSA")
    print("=" * 70)
    
    message = b"Test message for benchmarking"
    iterations = 100
    
    print(f"\nIt√©rations : {iterations}\n")
    
    # Chiffrement RSA-OAEP
    start = time.perf_counter()
    for _ in range(iterations):
        ciphertext = public_key.encrypt(
            message,
            padding.OAEP(
                mgf=padding.MGF1(algorithm=hashes.SHA256()),
                algorithm=hashes.SHA256(),
                label=None
            )
        )
    time_encrypt = time.perf_counter() - start
    
    # D√©chiffrement RSA-OAEP
    start = time.perf_counter()
    for _ in range(iterations):
        plaintext = private_key.decrypt(
            ciphertext,
            padding.OAEP(
                mgf=padding.MGF1(algorithm=hashes.SHA256()),
                algorithm=hashes.SHA256(),
                label=None
            )
        )
    time_decrypt = time.perf_counter() - start
    
    # Signature RSA-PSS
    start = time.perf_counter()
    for _ in range(iterations):
        signature = private_key.sign(
            message,
            padding.PSS(
                mgf=padding.MGF1(hashes.SHA256()),
                salt_length=padding.PSS.MAX_LENGTH
            ),
            hashes.SHA256()
        )
    time_sign = time.perf_counter() - start
    
    # V√©rification signature
    start = time.perf_counter()
    for _ in range(iterations):
        try:
            public_key.verify(
                signature,
                message,
                padding.PSS(
                    mgf=padding.MGF1(hashes.SHA256()),
                    salt_length=padding.PSS.MAX_LENGTH
                ),
                hashes.SHA256()
            )
        except:
            pass
    time_verify = time.perf_counter() - start
    
    print(f"Op√©ration          | Temps total | Par op√©ration")
    print(f"-" * 60)
    print(f"Chiffrement (pub)  | {time_encrypt:>8.3f}s   | {time_encrypt/iterations*1000:>6.2f} ms")
    print(f"D√©chiffrement (priv)| {time_decrypt:>8.3f}s   | {time_decrypt/iterations*1000:>6.2f} ms")
    print(f"Signature (priv)   | {time_sign:>8.3f}s   | {time_sign/iterations*1000:>6.2f} ms")
    print(f"V√©rification (pub) | {time_verify:>8.3f}s   | {time_verify/iterations*1000:>6.2f} ms")
    
    print(f"\nüìä Observations :")
    print(f"   Op√©rations avec cl√© publique (chiffrement, v√©rif) : Rapides")
    print(f"   Op√©rations avec cl√© priv√©e (d√©chiffrement, sign) : Lentes")
    print(f"   ‚Üí Ratio d√©chiffrement/chiffrement : ~{time_decrypt/time_encrypt:.0f}x")
    
    print(f"\nüí° Optimisation : Chinese Remainder Theorem (CRT)")
    print(f"   Acc√©l√®re d√©chiffrement et signature (~4x plus rapide)")

benchmark_public_key()

## 8. Chiffrement Hybride (RSA + AES)

**Probl√®me** : RSA lent et limite la taille des messages.

**Solution** : Chiffrement hybride
1. G√©n√©rer cl√© AES al√©atoire $k$
2. Chiffrer message avec AES-GCM : $c_m = \text{AES-GCM}_k(m)$
3. Chiffrer cl√© AES avec RSA-OAEP : $c_k = \text{RSA-OAEP}(k)$
4. Envoyer : $(c_k, c_m)$

**Avantages** :
- ‚úÖ Rapide (AES pour donn√©es)
- ‚úÖ S√©curis√© (RSA pour cl√©)
- ‚úÖ Pas de limite de taille

**Utilis√© dans** : TLS, PGP, S/MIME

In [None]:
from cryptography.hazmat.primitives.ciphers.aead import AESGCM

def hybrid_encryption_demo():
    """
    D√©monstration de chiffrement hybride RSA + AES-GCM.
    """
    print("\n" + "=" * 70)
    print("CHIFFREMENT HYBRIDE : RSA + AES-GCM")
    print("=" * 70)
    
    # Message long
    message = b"This is a very long message that would be inefficient to encrypt directly with RSA. " * 10
    
    print(f"\nüìù Message : {len(message)} bytes")
    
    # √âtape 1 : G√©n√©rer cl√© AES
    aes_key = AESGCM.generate_key(bit_length=256)
    aesgcm = AESGCM(aes_key)
    
    print(f"\n1Ô∏è‚É£ G√©n√©ration cl√© AES-256 : {aes_key.hex()[:32]}...")
    
    # √âtape 2 : Chiffrer message avec AES-GCM
    nonce = secrets.token_bytes(12)
    ciphertext_aes = aesgcm.encrypt(nonce, message, None)
    
    print(f"\n2Ô∏è‚É£ Chiffrement message avec AES-GCM :")
    print(f"   Taille ciphertext : {len(ciphertext_aes)} bytes")
    
    # √âtape 3 : Chiffrer cl√© AES avec RSA-OAEP
    ciphertext_rsa = public_key.encrypt(
        aes_key,
        padding.OAEP(
            mgf=padding.MGF1(algorithm=hashes.SHA256()),
            algorithm=hashes.SHA256(),
            label=None
        )
    )
    
    print(f"\n3Ô∏è‚É£ Chiffrement cl√© AES avec RSA-OAEP :")
    print(f"   Taille ciphertext : {len(ciphertext_rsa)} bytes")
    
    print(f"\nüì§ Transmission : (c_rsa, nonce, c_aes)")
    print(f"   Total : {len(ciphertext_rsa) + len(nonce) + len(ciphertext_aes)} bytes")
    
    # D√©chiffrement
    print(f"\nüîì D√©chiffrement :")
    
    # √âtape 1 : D√©chiffrer cl√© AES avec RSA
    aes_key_decrypted = private_key.decrypt(
        ciphertext_rsa,
        padding.OAEP(
            mgf=padding.MGF1(algorithm=hashes.SHA256()),
            algorithm=hashes.SHA256(),
            label=None
        )
    )
    
    print(f"   1Ô∏è‚É£ Cl√© AES d√©chiffr√©e avec RSA")
    
    # √âtape 2 : D√©chiffrer message avec AES-GCM
    aesgcm_decrypt = AESGCM(aes_key_decrypted)
    plaintext = aesgcm_decrypt.decrypt(nonce, ciphertext_aes, None)
    
    print(f"   2Ô∏è‚É£ Message d√©chiffr√© avec AES-GCM")
    print(f"\n   Correct : {plaintext == message} ‚úÖ")
    
    print(f"\nüìä Avantages du chiffrement hybride :")
    print(f"   ‚úÖ Rapide : AES pour gros messages")
    print(f"   ‚úÖ S√©curis√© : RSA pour protection de cl√©")
    print(f"   ‚úÖ Pas de limite de taille")
    print(f"   ‚úÖ Utilis√© dans : TLS 1.2, PGP, S/MIME")

hybrid_encryption_demo()

## Conclusion

**Points cl√©s** :
- RSA bas√© sur difficult√© de factorisation ($n = p \cdot q$)
- ‚ùå RSA textbook : D√©terministe, homomorphe, vuln√©rable
- ‚úÖ RSA-OAEP : Standard s√©curis√© pour chiffrement
- ‚úÖ RSA-PSS : Standard s√©curis√© pour signatures
- ‚úÖ Chiffrement hybride : RSA + AES pour messages longs

**S√©curit√©** :
- RSA-2048 : S√©curit√© ~112 bits (recommand√© minimum)
- RSA-3072 : S√©curit√© ~128 bits (recommand√©)
- RSA-4096 : S√©curit√© ~152 bits (tr√®s s√©curis√©, mais lent)

**Performance** :
- Chiffrement (cl√© publique) : Rapide
- D√©chiffrement/Signature (cl√© priv√©e) : ~10-100x plus lent
- Solution : Chiffrement hybride ou utiliser ECC

**En pratique** :
- TLS 1.3 : Pr√©f√®re ECDHE + ECDSA (plus rapide)
- PGP/GPG : RSA + AES (hybride)
- SSH : RSA ou Ed25519 pour authentification