# D√©monstration : Attaque CPA sur ECB Mode

**Objectifs** :
- Comprendre la s√©curit√© CPA (Chosen Plaintext Attack)
- D√©montrer qu'ECB n'est PAS CPA-s√©curis√©
- Construire un distinguisher efficace
- Comparer avec CBC et CTR

In [None]:
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives import padding
from cryptography.hazmat.backends import default_backend
import secrets

## 1. Rappel : D√©finition CPA-Security

**Jeu IND-CPA (Indistinguishability under Chosen Plaintext Attack)** :

1. **Setup** : Challenger g√©n√®re cl√© $k \xleftarrow{\$} \mathcal{K}$
2. **Phase 1** : Adversaire $\mathcal{A}$ interroge oracle $\textsf{Enc}_k(\cdot)$ sur messages $m_1, \ldots, m_q$ de son choix
3. **Challenge** : $\mathcal{A}$ envoie $(m_0^*, m_1^*)$ avec $|m_0^*| = |m_1^*|$
4. Challenger choisit $b \xleftarrow{\$} \{0,1\}$, renvoie $c^* = \textsf{Enc}_k(m_b^*)$
5. **Phase 2** : $\mathcal{A}$ continue √† interroger l'oracle (sauf sur $m_0^*, m_1^*$)
6. **Guess** : $\mathcal{A}$ retourne $b' \in \{0,1\}$

**Adversaire gagne si** : $b' = b$

**Avantage** : $\text{Adv}^{\text{CPA}}(\mathcal{A}) = |\Pr[b' = b] - 1/2|$

**S√©curit√© CPA** : $\text{Adv}^{\text{CPA}}(\mathcal{A}) \leq \epsilon$ n√©gligeable pour tout $\mathcal{A}$ efficace

## 2. Pourquoi ECB √©choue

**ECB Mode** : $c_i = E_k(m_i)$ (chaque bloc chiffr√© ind√©pendamment)

**Faiblesse** : Blocs identiques ‚Üí ciphertexts identiques !

**Cons√©quence** : Un adversaire peut **distinguer** facilement

## 3. Attaque CPA sur ECB : Construction du Distinguisher

**Strat√©gie de l'adversaire** :

1. **Challenge messages** :
   - $m_0 = $ `AAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAA` (deux blocs identiques)
   - $m_1 = $ `AAAAAAAAAAAAAAAA BBBBBBBBBBBBBBBB` (deux blocs diff√©rents)

2. **Observation** :
   - Si $c^*$ a deux blocs identiques ‚Üí guess $b' = 0$
   - Si $c^*$ a deux blocs diff√©rents ‚Üí guess $b' = 1$

3. **Succ√®s** : $\Pr[b' = b] = 1$ ‚Üí Avantage = 1/2 (maximal !)

In [None]:
# Oracle de chiffrement ECB
class ECBOracle:
    def __init__(self):
        self.key = secrets.token_bytes(16)  # AES-128
        self.query_count = 0
    
    def encrypt(self, plaintext: bytes) -> bytes:
        """
        Oracle de chiffrement AES-ECB.
        """
        self.query_count += 1
        
        # Padding PKCS7
        padder = padding.PKCS7(128).padder()
        padded = padder.update(plaintext) + padder.finalize()
        
        # ECB encryption
        cipher = Cipher(algorithms.AES(self.key), modes.ECB(), backend=default_backend())
        encryptor = cipher.encryptor()
        ciphertext = encryptor.update(padded) + encryptor.finalize()
        
        return ciphertext

In [None]:
def cpa_attack_ecb():
    """
    Adversaire CPA contre ECB mode.
    """
    print("=" * 70)
    print("ATTAQUE CPA sur AES-ECB")
    print("=" * 70)
    
    # Setup : Challenger cr√©e l'oracle
    oracle = ECBOracle()
    
    # Phase 1 : Adversaire peut interroger l'oracle (optionnel ici)
    print("\nüìã Phase 1 : Adversaire interroge l'oracle (skip ici)")
    
    # Challenge : Adversaire choisit m0 et m1
    print("\nüéØ Challenge : Adversaire choisit deux messages")
    
    # m0 : Deux blocs IDENTIQUES (16 bytes chacun)
    m0 = b"A" * 16 + b"A" * 16
    
    # m1 : Deux blocs DIFF√âRENTS
    m1 = b"A" * 16 + b"B" * 16
    
    print(f"   m0 = {m0.hex()}")
    print(f"      = {'A'*16} | {'A'*16} (blocs identiques)")
    print(f"\n   m1 = {m1.hex()}")
    print(f"      = {'A'*16} | {'B'*16} (blocs diff√©rents)")
    
    # Challenger choisit b al√©atoirement
    b = secrets.randbelow(2)
    mb = m0 if b == 0 else m1
    
    print(f"\nüé≤ Challenger choisit b = {b} (secret)")
    print(f"   Chiffre m{b}")
    
    # Challenge ciphertext
    c_star = oracle.encrypt(mb)
    
    print(f"\nüì¶ Challenge ciphertext c*:")
    print(f"   {c_star.hex()}")
    
    # Adversaire analyse c* : compare les deux premiers blocs
    block1 = c_star[:16]
    block2 = c_star[16:32]
    
    print(f"\nüîç Analyse du ciphertext :")
    print(f"   Bloc 1 : {block1.hex()}")
    print(f"   Bloc 2 : {block2.hex()}")
    
    # Distinguisher
    if block1 == block2:
        b_guess = 0
        print(f"\n   ‚Üí Blocs IDENTIQUES ‚úÖ")
        print(f"   ‚Üí Adversaire devine : b' = 0 (m0 √©tait chiffr√©)")
    else:
        b_guess = 1
        print(f"\n   ‚Üí Blocs DIFF√âRENTS ‚úÖ")
        print(f"   ‚Üí Adversaire devine : b' = 1 (m1 √©tait chiffr√©)")
    
    # V√©rification
    success = (b_guess == b)
    
    print(f"\n" + "=" * 70)
    print(f"R√âSULTAT")
    print("=" * 70)
    print(f"   Bit secret b     : {b}")
    print(f"   Guess b'         : {b_guess}")
    print(f"   Succ√®s           : {success} {'‚úÖ' if success else '‚ùå'}")
    print(f"   Requ√™tes oracle  : {oracle.query_count}")
    
    return success

# Ex√©cution
success = cpa_attack_ecb()

print(f"\nüí° Avec cette attaque, Pr[succ√®s] = 1 (d√©terministe !)")
print(f"   Avantage = |1 - 1/2| = 1/2 (maximal)")
print(f"\n‚ùå ECB n'est PAS CPA-s√©curis√© !")

## 4. R√©p√©ter l'exp√©rience

V√©rifions que l'attaque r√©ussit **toujours** (probabilit√© 100%)

In [None]:
# R√©p√©ter l'attaque 100 fois
num_trials = 100
successes = 0

print(f"Ex√©cution de l'attaque {num_trials} fois...\n")

for i in range(num_trials):
    oracle = ECBOracle()
    
    m0 = b"A" * 16 + b"A" * 16
    m1 = b"A" * 16 + b"B" * 16
    
    b = secrets.randbelow(2)
    mb = m0 if b == 0 else m1
    c_star = oracle.encrypt(mb)
    
    block1 = c_star[:16]
    block2 = c_star[16:32]
    
    b_guess = 0 if block1 == block2 else 1
    
    if b_guess == b:
        successes += 1

success_rate = successes / num_trials

print(f"üìä R√©sultats :")
print(f"   Succ√®s     : {successes}/{num_trials}")
print(f"   Taux       : {success_rate:.2%}")
print(f"   Avantage   : |{success_rate:.2f} - 0.5| = {abs(success_rate - 0.5):.2f}")
print(f"\n‚úÖ Attaque r√©ussit 100% du temps (d√©terministe) !")

## 5. Comparaison : CBC et CTR sont CPA-s√©curis√©s

**CBC avec IV al√©atoire** : Deux chiffrements du m√™me message donnent des ciphertexts diff√©rents

**CTR avec nonce unique** : Idem

In [None]:
def test_cbc_ctr():
    """
    V√©rifie que la m√™me attaque NE FONCTIONNE PAS sur CBC et CTR.
    """
    key = secrets.token_bytes(16)
    
    m0 = b"A" * 16 + b"A" * 16
    m1 = b"A" * 16 + b"B" * 16
    
    print("=" * 70)
    print("TEST : CBC et CTR r√©sistent √† l'attaque ECB")
    print("=" * 70)
    
    # CBC
    print("\n1Ô∏è‚É£ Mode CBC :")
    
    iv1 = secrets.token_bytes(16)
    iv2 = secrets.token_bytes(16)
    
    # Chiffrer m0 deux fois avec IV diff√©rents
    cipher_cbc1 = Cipher(algorithms.AES(key), modes.CBC(iv1), backend=default_backend())
    c1 = cipher_cbc1.encryptor().update(m0) + cipher_cbc1.encryptor().finalize()
    
    cipher_cbc2 = Cipher(algorithms.AES(key), modes.CBC(iv2), backend=default_backend())
    c2 = cipher_cbc2.encryptor().update(m0) + cipher_cbc2.encryptor().finalize()
    
    print(f"   M√™me message (m0) chiffr√© 2 fois :")
    print(f"   Ciphertext 1 : {c1[:32].hex()}")
    print(f"   Ciphertext 2 : {c2[:32].hex()}")
    print(f"   Identiques ? {c1 == c2} ‚ùå")
    print(f"   ‚úÖ CBC : ciphertexts diff√©rents (gr√¢ce aux IV diff√©rents)")
    
    # CTR
    print("\n2Ô∏è‚É£ Mode CTR :")
    
    nonce1 = secrets.token_bytes(16)
    nonce2 = secrets.token_bytes(16)
    
    cipher_ctr1 = Cipher(algorithms.AES(key), modes.CTR(nonce1), backend=default_backend())
    c1 = cipher_ctr1.encryptor().update(m0) + cipher_ctr1.encryptor().finalize()
    
    cipher_ctr2 = Cipher(algorithms.AES(key), modes.CTR(nonce2), backend=default_backend())
    c2 = cipher_ctr2.encryptor().update(m0) + cipher_ctr2.encryptor().finalize()
    
    print(f"   M√™me message (m0) chiffr√© 2 fois :")
    print(f"   Ciphertext 1 : {c1.hex()}")
    print(f"   Ciphertext 2 : {c2.hex()}")
    print(f"   Identiques ? {c1 == c2} ‚ùå")
    print(f"   ‚úÖ CTR : ciphertexts diff√©rents (gr√¢ce aux nonces diff√©rents)")
    
    print(f"\nüí° CBC et CTR sont **randomis√©s** ‚Üí CPA-s√©curis√©s")
    print(f"   L'attaque sur ECB NE FONCTIONNE PAS ici !")

test_cbc_ctr()

## 6. Autre attaque CPA : D√©tection de patterns

**Sc√©nario** : Un attaquant veut savoir si un utilisateur a recherch√© un mot sp√©cifique

**Strat√©gie** : Interroger l'oracle avec le mot suspect et comparer

In [None]:
def pattern_detection_attack():
    """
    Attaque par d√©tection de patterns sur ECB.
    """
    print("=" * 70)
    print("ATTAQUE : D√©tection de Patterns (ECB)")
    print("=" * 70)
    
    oracle = ECBOracle()
    
    # Message secret de la victime (inconnu de l'attaquant)
    secret_search = b"classified      "  # 16 bytes (padding inclus)
    
    # Victime chiffre sa recherche
    c_victim = oracle.encrypt(secret_search)
    
    print(f"\nüéØ Victime chiffre sa recherche (secret) :")
    print(f"   Ciphertext : {c_victim[:16].hex()}")
    
    # Attaquant interroge l'oracle avec des mots suspects
    suspects = [b"classified      ", b"confidential    ", b"secret          "]
    
    print(f"\nüîç Attaquant teste des mots suspects :")
    
    for word in suspects:
        c_test = oracle.encrypt(word)
        match = (c_test[:16] == c_victim[:16])
        
        status = "‚úÖ MATCH" if match else "‚ùå Diff√©rent"
        print(f"   {word.decode().strip():15} ‚Üí {status}")
        
        if match:
            print(f"\nüîì Attaquant a trouv√© : La victime a recherch√© '{word.decode().strip()}' !")
    
    print(f"\n‚ö†Ô∏è  ECB permet de d√©tecter des patterns ‚Üí perte de confidentialit√©")

pattern_detection_attack()

## Conclusion

**Points cl√©s** :
- **CPA (Chosen Plaintext Attack)** : Mod√®le r√©aliste o√π l'adversaire peut chiffrer des messages
- **ECB √©choue spectaculairement** : Avantage = 1/2 (maximal), attaque d√©terministe
- **Blocs identiques ‚Üí Ciphertexts identiques** : R√©v√®le la structure du message
- **CBC et CTR r√©sistent** : Randomisation via IV/nonce

**Le√ßons** :
- ‚ùå JAMAIS utiliser ECB en pratique
- ‚úÖ Utiliser CBC (avec IV al√©atoire) ou CTR (avec nonce unique)
- ‚úÖ En production : AEAD (AES-GCM, ChaCha20-Poly1305)

**Applications r√©elles** :
- Attaque c√©l√®bre : Chiffrement ECB d'images (contours visibles)
- D√©tection de cookies/tokens r√©utilis√©s
- Analyse de trafic chiffr√© (patterns)