# D√©monstration : Authenticated Encryption (AEAD)

**Objectifs** :
- Comprendre pourquoi le chiffrement seul ne suffit pas
- Impl√©menter AES-GCM (standard industriel)
- Comparer avec ChaCha20-Poly1305
- D√©montrer l'importance de l'authentification

In [None]:
from cryptography.hazmat.primitives.ciphers.aead import AESGCM, ChaCha20Poly1305
import secrets
import time

## 1. Probl√®me : Chiffrement sans int√©grit√©

Le chiffrement CTR seul permet la **mall√©abilit√©** : un attaquant peut modifier le ciphertext de mani√®re contr√¥l√©e !

In [None]:
# D√©monstration de mall√©abilit√© (CTR mode)
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.backends import default_backend

def demonstrate_malleability():
    """
    Montre qu'un attaquant peut modifier un montant dans un ciphertext CTR.
    """
    key = secrets.token_bytes(16)
    nonce = secrets.token_bytes(16)
    
    # Alice chiffre : "TRANSFER $1000"
    message = b"TRANSFER $1000"
    
    cipher = Cipher(algorithms.AES(key), modes.CTR(nonce), backend=default_backend())
    encryptor = cipher.encryptor()
    ciphertext = encryptor.update(message) + encryptor.finalize()
    
    print(f"Message original : {message}")
    print(f"Ciphertext (hex) : {ciphertext.hex()}")
    
    # Eve intercepte et modifie (sans conna√Ætre la cl√© !)
    # Elle veut changer "$1000" en "$9999"
    # Position du '1' dans "$1000" : index 10
    
    # XOR n√©cessaire : '1' XOR '9' = 0x31 XOR 0x39 = 0x08
    modified_ciphertext = bytearray(ciphertext)
    modified_ciphertext[10] ^= ord('1') ^ ord('9')  # 1‚Üí9
    modified_ciphertext[11] ^= ord('0') ^ ord('9')  # 0‚Üí9
    modified_ciphertext[12] ^= ord('0') ^ ord('9')  # 0‚Üí9
    modified_ciphertext[13] ^= ord('0') ^ ord('9')  # 0‚Üí9
    
    # Bob d√©chiffre (ne d√©tecte PAS la modification !)
    decryptor = cipher.decryptor()
    decrypted = decryptor.update(bytes(modified_ciphertext)) + decryptor.finalize()
    
    print(f"\nüîì Message d√©chiffr√© (modifi√©) : {decrypted}")
    print(f"\n‚ùå Bob ne peut PAS d√©tecter la modification !")
    print(f"‚ö†Ô∏è  C'est pourquoi on a BESOIN d'authentification !")

demonstrate_malleability()

## 2. Solution : AEAD (Authenticated Encryption with Associated Data)

**AEAD** combine :
- **Confidentialit√©** : Chiffrement du message
- **Int√©grit√©/Authenticit√©** : TAG qui d√©tecte toute modification
- **Associated Data** : Donn√©es non chiffr√©es mais authentifi√©es

## 3. AES-GCM (Galois/Counter Mode)

**Le standard industriel**
- Chiffrement : AES-CTR
- Authentification : GMAC (multiplication dans GF(2^128))
- Tr√®s rapide avec acc√©l√©ration mat√©rielle (AES-NI)
- Utilis√© dans TLS 1.3, IPsec, SSH

In [None]:
# Configuration AES-GCM
key_gcm = AESGCM.generate_key(bit_length=256)  # AES-256
aesgcm = AESGCM(key_gcm)

print(f"Cl√© AES-GCM (hex) : {key_gcm.hex()}")
print(f"Taille : {len(key_gcm)} bytes = {len(key_gcm)*8} bits")

In [None]:
def aes_gcm_demo():
    """
    D√©monstration compl√®te d'AES-GCM.
    """
    # Message et donn√©es associ√©es
    message = b"Secret payment: $1000"
    associated_data = b"To: Bob, From: Alice, Date: 2026-01-11"  # Non chiffr√© mais authentifi√©
    
    # Nonce (DOIT √™tre unique pour chaque message avec la m√™me cl√© !)
    nonce = secrets.token_bytes(12)  # 96 bits recommand√© pour GCM
    
    print("=" * 60)
    print("CHIFFREMENT AES-GCM")
    print("=" * 60)
    print(f"Message       : {message}")
    print(f"Assoc. Data   : {associated_data}")
    print(f"Nonce (hex)   : {nonce.hex()}")
    
    # Chiffrement + authentification
    ciphertext = aesgcm.encrypt(nonce, message, associated_data)
    
    print(f"\nCiphertext (hex) : {ciphertext.hex()}")
    print(f"Taille : {len(ciphertext)} bytes (message: {len(message)}, tag: 16)")
    
    # D√©chiffrement + v√©rification
    try:
        plaintext = aesgcm.decrypt(nonce, ciphertext, associated_data)
        print(f"\n‚úÖ D√©chiffrement r√©ussi : {plaintext}")
    except Exception as e:
        print(f"\n‚ùå Erreur de d√©chiffrement : {e}")
    
    # Test 1 : Modifier le ciphertext
    print("\n" + "=" * 60)
    print("TEST 1 : Modification du ciphertext")
    print("=" * 60)
    
    modified_ciphertext = bytearray(ciphertext)
    modified_ciphertext[0] ^= 0xFF  # Flipper des bits
    
    try:
        aesgcm.decrypt(nonce, bytes(modified_ciphertext), associated_data)
        print("‚ùå ERREUR : Modification non d√©tect√©e !")
    except Exception:
        print("‚úÖ Modification D√âTECT√âE : d√©chiffrement refus√©")
    
    # Test 2 : Modifier les associated data
    print("\n" + "=" * 60)
    print("TEST 2 : Modification des associated data")
    print("=" * 60)
    
    wrong_ad = b"To: Eve, From: Alice, Date: 2026-01-11"  # Eve change le destinataire !
    
    try:
        aesgcm.decrypt(nonce, ciphertext, wrong_ad)
        print("‚ùå ERREUR : Modification AD non d√©tect√©e !")
    except Exception:
        print("‚úÖ Modification AD D√âTECT√âE : d√©chiffrement refus√©")
    
    # Test 3 : R√©utilisation de nonce (CATASTROPHE)
    print("\n" + "=" * 60)
    print("TEST 3 : R√©utilisation de nonce (DANGER !)")
    print("=" * 60)
    
    message2 = b"Another secret message"
    ciphertext2 = aesgcm.encrypt(nonce, message2, associated_data)  # M√äME nonce !
    
    print("‚ö†Ô∏è  M√™me nonce r√©utilis√© pour deux messages diff√©rents")
    print("‚ö†Ô∏è  Ceci permet de retrouver la cl√© d'authentification !")
    print("‚ö†Ô∏è  JAMAIS r√©utiliser un nonce avec la m√™me cl√© en AES-GCM")

aes_gcm_demo()

## 4. ChaCha20-Poly1305

**Alternative moderne √† AES-GCM**
- Chiffrement : ChaCha20 (stream cipher)
- Authentification : Poly1305 (MAC)
- Plus rapide qu'AES-GCM sans acc√©l√©ration mat√©rielle
- R√©sistant aux timing attacks
- Utilis√© dans TLS 1.3, WireGuard VPN

In [None]:
# Configuration ChaCha20-Poly1305
key_chacha = ChaCha20Poly1305.generate_key()
chacha = ChaCha20Poly1305(key_chacha)

print(f"Cl√© ChaCha20-Poly1305 (hex) : {key_chacha.hex()}")
print(f"Taille : {len(key_chacha)} bytes = {len(key_chacha)*8} bits")

In [None]:
def chacha_poly1305_demo():
    """
    D√©monstration ChaCha20-Poly1305.
    """
    message = b"Top secret data encrypted with ChaCha20"
    associated_data = b"Metadata: timestamp, sender, etc."
    nonce = secrets.token_bytes(12)  # 96 bits
    
    print("=" * 60)
    print("CHIFFREMENT ChaCha20-Poly1305")
    print("=" * 60)
    print(f"Message     : {message}")
    print(f"Assoc. Data : {associated_data}")
    
    # Chiffrement
    ciphertext = chacha.encrypt(nonce, message, associated_data)
    print(f"\nCiphertext (hex) : {ciphertext.hex()}")
    
    # D√©chiffrement
    plaintext = chacha.decrypt(nonce, ciphertext, associated_data)
    print(f"\n‚úÖ D√©chiffrement r√©ussi : {plaintext}")
    
    # Test de modification
    print("\n" + "=" * 60)
    print("TEST : Modification du ciphertext")
    print("=" * 60)
    
    modified = bytearray(ciphertext)
    modified[0] ^= 0x01
    
    try:
        chacha.decrypt(nonce, bytes(modified), associated_data)
        print("‚ùå ERREUR : Modification non d√©tect√©e !")
    except Exception:
        print("‚úÖ Modification D√âTECT√âE et REJET√âE")

chacha_poly1305_demo()

## 5. Comparaison de performance

In [None]:
def benchmark_aead():
    """
    Compare les performances d'AES-GCM vs ChaCha20-Poly1305.
    """
    # Donn√©es de test
    sizes = [1024, 10240, 102400, 1024000]  # 1KB, 10KB, 100KB, 1MB
    iterations = 1000
    
    print("=" * 70)
    print("BENCHMARK : AES-GCM vs ChaCha20-Poly1305")
    print("=" * 70)
    print(f"It√©rations : {iterations} par taille\n")
    
    for size in sizes:
        data = secrets.token_bytes(size)
        ad = b"Associated data"
        
        # AES-GCM
        nonce_gcm = secrets.token_bytes(12)
        start = time.perf_counter()
        for _ in range(iterations):
            ct = aesgcm.encrypt(nonce_gcm, data, ad)
            aesgcm.decrypt(nonce_gcm, ct, ad)
        time_gcm = time.perf_counter() - start
        
        # ChaCha20-Poly1305
        nonce_chacha = secrets.token_bytes(12)
        start = time.perf_counter()
        for _ in range(iterations):
            ct = chacha.encrypt(nonce_chacha, data, ad)
            chacha.decrypt(nonce_chacha, ct, ad)
        time_chacha = time.perf_counter() - start
        
        throughput_gcm = (size * iterations * 2) / time_gcm / 1_000_000  # MB/s
        throughput_chacha = (size * iterations * 2) / time_chacha / 1_000_000
        
        print(f"Taille : {size:>7} bytes ({size//1024:>4} KB)")
        print(f"  AES-GCM          : {time_gcm:>6.3f}s ({throughput_gcm:>6.1f} MB/s)")
        print(f"  ChaCha20-Poly1305: {time_chacha:>6.3f}s ({throughput_chacha:>6.1f} MB/s)")
        print()
    
    print("Note : Les performances d√©pendent du CPU et de l'acc√©l√©ration mat√©rielle AES-NI")

benchmark_aead()

## 6. Bonnes pratiques AEAD

### ‚úÖ √Ä FAIRE

1. **Nonce unique et impr√©visible** pour chaque message
2. **Authentifier avant de d√©chiffrer** (AEAD le fait automatiquement)
3. **Utiliser associated data** pour m√©tadonn√©es importantes
4. **Rotation des cl√©s** r√©guli√®re
5. **Choisir AES-GCM** si acc√©l√©ration mat√©rielle disponible, **ChaCha20-Poly1305** sinon

### ‚ùå √Ä √âVITER

1. **JAMAIS r√©utiliser un nonce** avec la m√™me cl√©
2. **Ne pas d√©chiffrer** si la v√©rification du tag √©choue
3. **Ne pas utiliser** des nonces pr√©visibles/s√©quentiels sans compteur s√©curis√©
4. **Ne pas impl√©menter** sa propre AEAD (utiliser biblioth√®ques audit√©es)
5. **Ne pas ignorer** les erreurs de d√©chiffrement

### üîê Gestion des nonces

**Option 1** : Nonce al√©atoire (recommand√© si < 2^32 messages)
```python
nonce = secrets.token_bytes(12)  # 96 bits al√©atoires
```

**Option 2** : Compteur s√©curis√© (pour grand volume)
```python
# Compteur atomique, jamais r√©initialis√©
nonce = counter.to_bytes(12, 'big')
counter += 1
```

**Option 3** : Hybrid (timestamp + random)
```python
timestamp = int(time.time()).to_bytes(4, 'big')
random_part = secrets.token_bytes(8)
nonce = timestamp + random_part
```

## Conclusion

**Points cl√©s** :
- Le chiffrement seul NE PROT√àGE PAS contre les modifications
- AEAD garantit confidentialit√© + int√©grit√© + authenticit√©
- AES-GCM : standard industriel (TLS, IPsec, SSH)
- ChaCha20-Poly1305 : alternative moderne, plus rapide sans AES-NI
- Nonce management est CRITIQUE

**En pratique** : Toujours utiliser AEAD (jamais chiffrement seul) !