# Exercices : Cryptographie √† Cl√© Publique

**Objectifs** :
- Attaquer RSA textbook
- Exploiter les faiblesses de DH
- Comprendre les vuln√©rabilit√©s d'ECDSA
- Impl√©menter un chiffrement hybride

In [None]:
from cryptography.hazmat.primitives.asymmetric import rsa, dh, ec, padding
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
from cryptography.hazmat.primitives import hashes, serialization
from cryptography.hazmat.backends import default_backend
import secrets
import hashlib

## Exercice 1 : Attaque sur RSA avec Petits Premiers

**Contexte** : Un syst√®me RSA mal impl√©ment√© utilise de petits nombres premiers.

**T√¢che** : Factorisez $n$ et r√©cup√©rez la cl√© priv√©e.

In [None]:
def small_primes_attack():
    """
    Attaque sur RSA avec petits premiers (√©ducatif).
    """
    print("=" * 70)
    print("ATTAQUE : RSA avec Petits Premiers")
    print("=" * 70)
    
    # RSA vuln√©rable avec petits premiers
    p = 65537  # Premier trop petit !
    q = 65539  # Autre premier trop petit !
    
    n = p * q
    phi_n = (p - 1) * (q - 1)
    e = 65537
    d = pow(e, -1, phi_n)
    
    print(f"\nüîê RSA vuln√©rable :")
    print(f"   p = {p}")
    print(f"   q = {q}")
    print(f"   n = {n} ({n.bit_length()} bits)")
    print(f"   e = {e}")
    
    # Message chiffr√©
    message = 12345
    ciphertext = pow(message, e, n)
    
    print(f"\nüìù Message : {message}")
    print(f"   Chiffr√© : {ciphertext}")
    
    # Attaque : Factorisation par force brute
    print(f"\nüí• Attaque : Factorisation de n = {n}")
    print(f"   Recherche de facteurs...")
    
    # M√©thode simple : essayer tous les diviseurs
    def factorize(n):
        for i in range(2, int(n**0.5) + 1):
            if n % i == 0:
                return i, n // i
        return None, None
    
    p_found, q_found = factorize(n)
    
    if p_found and q_found:
        print(f"\n‚úÖ Facteurs trouv√©s :")
        print(f"   p = {p_found}")
        print(f"   q = {q_found}")
        
        # R√©cup√©rer cl√© priv√©e
        phi_n_recovered = (p_found - 1) * (q_found - 1)
        d_recovered = pow(e, -1, phi_n_recovered)
        
        print(f"\nüîì Cl√© priv√©e r√©cup√©r√©e :")
        print(f"   d = {d_recovered}")
        print(f"   Correspondance : {d_recovered == d} ‚úÖ")
        
        # D√©chiffrement
        decrypted = pow(ciphertext, d_recovered, n)
        print(f"\nüìñ Message d√©chiffr√© : {decrypted}")
        print(f"   Correct : {decrypted == message} ‚úÖ")
    
    print(f"\n‚ö†Ô∏è  LE√áON : TOUJOURS utiliser de grands premiers")
    print(f"   Minimum : 1024 bits par premier (RSA-2048 total)")
    print(f"   Recommand√© : 1536 bits par premier (RSA-3072 total)")

small_primes_attack()

## Exercice 2 : Common Modulus Attack (RSA)

**Contexte** : Deux utilisateurs partagent le m√™me modulus $n$ mais ont des exposants $e_1, e_2$ diff√©rents.

**T√¢che** : Si le m√™me message est chiffr√© pour les deux, r√©cup√©rez-le sans les cl√©s priv√©es !

In [None]:
def common_modulus_attack():
    """
    Attaque Common Modulus sur RSA.
    """
    print("\n" + "=" * 70)
    print("ATTAQUE : Common Modulus (RSA)")
    print("=" * 70)
    
    # Setup vuln√©rable : m√™me n, diff√©rents e
    p = 61
    q = 53
    n = p * q
    phi_n = (p - 1) * (q - 1)
    
    # Deux utilisateurs
    e1 = 17
    e2 = 23
    d1 = pow(e1, -1, phi_n)
    d2 = pow(e2, -1, phi_n)
    
    print(f"\nüîê Setup vuln√©rable :")
    print(f"   n commun : {n}")
    print(f"   Utilisateur 1 : e1 = {e1}, d1 = {d1}")
    print(f"   Utilisateur 2 : e2 = {e2}, d2 = {d2}")
    
    # Message envoy√© aux deux
    message = 42
    c1 = pow(message, e1, n)
    c2 = pow(message, e2, n)
    
    print(f"\nüìù M√™me message chiffr√© pour les deux :")
    print(f"   m = {message}")
    print(f"   c1 = m^e1 mod n = {c1}")
    print(f"   c2 = m^e2 mod n = {c2}")
    
    # Attaque : Utiliser Bezout (e1¬∑a + e2¬∑b = gcd(e1, e2) = 1)
    print(f"\nüí• Attaque (sans cl√©s priv√©es) :")
    
    # Algorithme d'Euclide √©tendu
    def extended_gcd(a, b):
        if b == 0:
            return a, 1, 0
        gcd, x1, y1 = extended_gcd(b, a % b)
        x = y1
        y = x1 - (a // b) * y1
        return gcd, x, y
    
    gcd, a, b = extended_gcd(e1, e2)
    
    print(f"   gcd({e1}, {e2}) = {gcd}")
    print(f"   Identit√© de Bezout : {e1}¬∑{a} + {e2}¬∑{b} = {gcd}")
    
    if gcd == 1:
        # m = (c1^a ¬∑ c2^b) mod n
        # Car c1^a ¬∑ c2^b = m^(e1¬∑a) ¬∑ m^(e2¬∑b) = m^(e1¬∑a + e2¬∑b) = m^1 = m
        
        if a < 0:
            c1_inv = pow(c1, -1, n)
            m_recovered = (pow(c1_inv, -a, n) * pow(c2, b, n)) % n
        elif b < 0:
            c2_inv = pow(c2, -1, n)
            m_recovered = (pow(c1, a, n) * pow(c2_inv, -b, n)) % n
        else:
            m_recovered = (pow(c1, a, n) * pow(c2, b, n)) % n
        
        print(f"\n‚úÖ Message r√©cup√©r√© : {m_recovered}")
        print(f"   Message original : {message}")
        print(f"   Correspondance : {m_recovered == message} ‚úÖ")
    
    print(f"\n‚ö†Ô∏è  LE√áON : NE JAMAIS partager n entre utilisateurs !")
    print(f"   Chaque utilisateur doit avoir son propre (p, q, n)")

common_modulus_attack()

## Exercice 3 : MITM sur Diffie-Hellman Non Authentifi√©

**Contexte** : DH sans authentification est vuln√©rable √† Man-in-the-Middle.

**T√¢che** : Impl√©mentez l'attaque MITM compl√®te.

In [None]:
def mitm_dh_full_attack():
    """
    Attaque MITM compl√®te sur DH.
    """
    print("\n" + "=" * 70)
    print("ATTAQUE MITM : Diffie-Hellman Non Authentifi√©")
    print("=" * 70)
    
    # Param√®tres DH
    parameters = dh.generate_parameters(generator=2, key_size=512, backend=default_backend())
    
    # Alice et Bob
    print("\nüë© Alice g√©n√®re sa paire DH")
    alice_private = parameters.generate_private_key()
    alice_public = alice_private.public_key()
    
    print("üë® Bob g√©n√®re sa paire DH")
    bob_private = parameters.generate_private_key()
    bob_public = bob_private.public_key()
    
    # Eve (attaquante MITM)
    print("\nüíÄ Eve se positionne en Man-in-the-Middle")
    eve_private_for_alice = parameters.generate_private_key()
    eve_public_for_alice = eve_private_for_alice.public_key()
    
    eve_private_for_bob = parameters.generate_private_key()
    eve_public_for_bob = eve_private_for_bob.public_key()
    
    # √âchanges intercept√©s
    print("\nüì° √âchanges (tous intercept√©s par Eve) :")
    print("   1. Alice ‚Üí Eve (pense : Alice ‚Üí Bob) : A_pub")
    print("   2. Eve ‚Üí Bob (pr√©tend √™tre Alice) : E1_pub")
    print("   3. Bob ‚Üí Eve (pense : Bob ‚Üí Alice) : B_pub")
    print("   4. Eve ‚Üí Alice (pr√©tend √™tre Bob) : E2_pub")
    
    # Secrets partag√©s
    alice_shared_with_eve = alice_private.exchange(eve_public_for_alice)
    eve_shared_with_alice = eve_private_for_alice.exchange(alice_public)
    
    bob_shared_with_eve = bob_private.exchange(eve_public_for_bob)
    eve_shared_with_bob = eve_private_for_bob.exchange(bob_public)
    
    print(f"\nüîë Secrets partag√©s :")
    print(f"   Alice ‚Üî Eve : {alice_shared_with_eve.hex()[:32]}...")
    print(f"   Bob ‚Üî Eve   : {bob_shared_with_eve.hex()[:32]}...")
    print(f"   Alice et Bob n'ont PAS le m√™me secret !")
    
    # Simulation : Alice envoie un message √† Bob
    print(f"\nüì® Alice chiffre un message pour 'Bob' :")
    message_alice = b"Secret: Meet at noon"
    
    # Alice chiffre avec son secret (partag√© avec Eve)
    key_alice = hashlib.sha256(alice_shared_with_eve).digest()[:16]
    aesgcm_alice = AESGCM(key_alice)
    nonce_alice = secrets.token_bytes(12)
    ciphertext_alice = aesgcm_alice.encrypt(nonce_alice, message_alice, None)
    
    print(f"   Message : {message_alice}")
    print(f"   Chiffr√© : {ciphertext_alice.hex()[:32]}...")
    
    # Eve intercepte et d√©chiffre
    print(f"\nüíÄ Eve intercepte et d√©chiffre :")
    key_eve_alice = hashlib.sha256(eve_shared_with_alice).digest()[:16]
    aesgcm_eve_alice = AESGCM(key_eve_alice)
    message_intercepted = aesgcm_eve_alice.decrypt(nonce_alice, ciphertext_alice, None)
    
    print(f"   Message d√©chiffr√© : {message_intercepted} ‚úÖ")
    print(f"   Eve peut LIRE tous les messages !")
    
    # Eve rechiffre pour Bob
    print(f"\nüì§ Eve rechiffre pour Bob :")
    message_modified = b"Secret: Meet at MIDNIGHT"  # Eve modifie !
    
    key_eve_bob = hashlib.sha256(eve_shared_with_bob).digest()[:16]
    aesgcm_eve_bob = AESGCM(key_eve_bob)
    nonce_eve = secrets.token_bytes(12)
    ciphertext_for_bob = aesgcm_eve_bob.encrypt(nonce_eve, message_modified, None)
    
    print(f"   Message modifi√© : {message_modified}")
    
    # Bob d√©chiffre
    print(f"\nüë® Bob d√©chiffre :")
    key_bob = hashlib.sha256(bob_shared_with_eve).digest()[:16]
    aesgcm_bob = AESGCM(key_bob)
    message_bob_receives = aesgcm_bob.decrypt(nonce_eve, ciphertext_for_bob, None)
    
    print(f"   Message re√ßu : {message_bob_receives}")
    print(f"   Bob pense que √ßa vient d'Alice ‚ùå")
    
    print(f"\nüí• CATASTROPHE :")
    print(f"   - Eve peut LIRE tous les messages")
    print(f"   - Eve peut MODIFIER tous les messages")
    print(f"   - Alice et Bob ne d√©tectent RIEN")
    
    print(f"\n‚úÖ SOLUTION : Authenticated DH")
    print(f"   - Utiliser certificats (TLS)")
    print(f"   - Signer les cl√©s publiques DH")
    print(f"   - Utiliser pre-shared keys")

mitm_dh_full_attack()

## Exercice 4 : Chiffrement Hybride Complet

**Contexte** : Impl√©mentez un syst√®me de chiffrement hybride RSA + AES-GCM.

**T√¢che** : Cr√©ez les fonctions d'encryption et de d√©cryption.

In [None]:
class HybridCrypto:
    """
    Syst√®me de chiffrement hybride RSA-OAEP + AES-GCM.
    """
    
    def __init__(self):
        # G√©n√©rer paire RSA
        self.private_key = rsa.generate_private_key(
            public_exponent=65537,
            key_size=2048,
            backend=default_backend()
        )
        self.public_key = self.private_key.public_key()
    
    def encrypt(self, plaintext: bytes, recipient_public_key) -> dict:
        """
        Chiffre un message avec chiffrement hybride.
        
        Args:
            plaintext: Message √† chiffrer
            recipient_public_key: Cl√© publique RSA du destinataire
        
        Returns:
            dict avec 'encrypted_key', 'nonce', 'ciphertext', 'tag'
        """
        # 1. G√©n√©rer cl√© AES al√©atoire
        aes_key = AESGCM.generate_key(bit_length=256)
        
        # 2. Chiffrer message avec AES-GCM
        aesgcm = AESGCM(aes_key)
        nonce = secrets.token_bytes(12)
        ciphertext = aesgcm.encrypt(nonce, plaintext, None)
        
        # 3. Chiffrer cl√© AES avec RSA-OAEP
        encrypted_key = recipient_public_key.encrypt(
            aes_key,
            padding.OAEP(
                mgf=padding.MGF1(algorithm=hashes.SHA256()),
                algorithm=hashes.SHA256(),
                label=None
            )
        )
        
        return {
            'encrypted_key': encrypted_key,
            'nonce': nonce,
            'ciphertext': ciphertext
        }
    
    def decrypt(self, encrypted_data: dict, recipient_private_key) -> bytes:
        """
        D√©chiffre un message avec chiffrement hybride.
        
        Args:
            encrypted_data: Dictionnaire retourn√© par encrypt()
            recipient_private_key: Cl√© priv√©e RSA du destinataire
        
        Returns:
            Message d√©chiffr√©
        """
        # 1. D√©chiffrer cl√© AES avec RSA-OAEP
        aes_key = recipient_private_key.decrypt(
            encrypted_data['encrypted_key'],
            padding.OAEP(
                mgf=padding.MGF1(algorithm=hashes.SHA256()),
                algorithm=hashes.SHA256(),
                label=None
            )
        )
        
        # 2. D√©chiffrer message avec AES-GCM
        aesgcm = AESGCM(aes_key)
        plaintext = aesgcm.decrypt(
            encrypted_data['nonce'],
            encrypted_data['ciphertext'],
            None
        )
        
        return plaintext

def hybrid_crypto_demo():
    """
    D√©monstration compl√®te du chiffrement hybride.
    """
    print("\n" + "=" * 70)
    print("CHIFFREMENT HYBRIDE : RSA-OAEP + AES-GCM")
    print("=" * 70)
    
    # Alice et Bob ont leurs paires de cl√©s
    alice = HybridCrypto()
    bob = HybridCrypto()
    
    print("\nüë© Alice et üë® Bob ont g√©n√©r√© leurs cl√©s RSA")
    
    # Alice envoie un message √† Bob
    message = b"This is a very long confidential message that would be inefficient to encrypt with RSA alone. " * 5
    
    print(f"\nüìù Message d'Alice √† Bob :")
    print(f"   Taille : {len(message)} bytes")
    
    # Chiffrement
    print(f"\nüîê Alice chiffre avec la cl√© publique de Bob :")
    encrypted = alice.encrypt(message, bob.public_key)
    
    print(f"   Cl√© AES chiffr√©e : {len(encrypted['encrypted_key'])} bytes")
    print(f"   Nonce : {encrypted['nonce'].hex()}")
    print(f"   Ciphertext : {len(encrypted['ciphertext'])} bytes")
    
    total_size = len(encrypted['encrypted_key']) + len(encrypted['nonce']) + len(encrypted['ciphertext'])
    print(f"   Total transmis : {total_size} bytes")
    
    # D√©chiffrement
    print(f"\nüîì Bob d√©chiffre avec sa cl√© priv√©e :")
    decrypted = bob.decrypt(encrypted, bob.private_key)
    
    print(f"   Taille d√©chiffr√©e : {len(decrypted)} bytes")
    print(f"   Correct : {decrypted == message} ‚úÖ")
    
    # Test : Mauvaise cl√© priv√©e
    print(f"\nüîç Test : Eve essaie de d√©chiffrer avec sa propre cl√© :")
    eve = HybridCrypto()
    
    try:
        eve.decrypt(encrypted, eve.private_key)
        print(f"   ‚ùå ERREUR : Eve a pu d√©chiffrer !")
    except Exception:
        print(f"   ‚úÖ D√©chiffrement √©chou√© (attendu)")
        print(f"   ‚Üí Seul Bob peut d√©chiffrer")
    
    # Comparaison tailles
    print(f"\nüìä Comparaison avec RSA pur :")
    rsa_only_blocks = (len(message) + 190) // 190  # ~190 bytes par bloc RSA-OAEP
    rsa_only_size = rsa_only_blocks * 256
    
    print(f"   RSA-OAEP seul : ~{rsa_only_size} bytes ({rsa_only_blocks} blocs)")
    print(f"   Hybride : {total_size} bytes")
    print(f"   √âconomie : {rsa_only_size - total_size} bytes ({(1 - total_size/rsa_only_size)*100:.1f}%)")

hybrid_crypto_demo()

## Exercice 5 : R√©cup√©ration de Cl√© ECDSA (Nonce Leak)

**Contexte** : Simulation de l'attaque PlayStation 3 (nonce constant).

**T√¢che** : √Ä partir de deux signatures avec le m√™me nonce, r√©cup√©rez la cl√© priv√©e.

In [None]:
def ecdsa_nonce_reuse_recovery_theory():
    """
    Explication th√©orique de la r√©cup√©ration de cl√© ECDSA.
    
    Note : L'impl√©mentation compl√®te n√©cessiterait d'acc√©der aux
    valeurs (r, s) brutes, ce qui n'est pas direct avec cryptography.
    """
    print("\n" + "=" * 70)
    print("ATTAQUE : R√©cup√©ration de Cl√© ECDSA (Nonce Reuse)")
    print("=" * 70)
    
    print(f"\nüìú Contexte Historique : PlayStation 3 (2010)")
    print(f"   Sony a utilis√© un k CONSTANT pour signer tous les jeux")
    print(f"   ‚Üí Hackers ont r√©cup√©r√© la cl√© priv√©e")
    print(f"   ‚Üí Jeux pirat√©s sign√©s comme l√©gitimes")
    
    print(f"\nüîç Rappel ECDSA :")
    print(f"   Signature : (r, s) o√π")
    print(f"   r = x-coordinate of kG")
    print(f"   s = k‚Åª¬π(H(m) + dr) mod n")
    
    print(f"\nüí• Attaque (k r√©utilis√©) :")
    print(f"\n   Deux signatures avec M√äME k :")
    print(f"   (r‚ÇÅ, s‚ÇÅ) pour m‚ÇÅ : s‚ÇÅ = k‚Åª¬π(H(m‚ÇÅ) + dr‚ÇÅ)")
    print(f"   (r‚ÇÇ, s‚ÇÇ) pour m‚ÇÇ : s‚ÇÇ = k‚Åª¬π(H(m‚ÇÇ) + dr‚ÇÇ)")
    print(f"   Avec r‚ÇÅ = r‚ÇÇ = r (m√™me k ‚Üí m√™me r)")
    
    print(f"\n   √âtape 1 : R√©cup√©rer k")
    print(f"   s‚ÇÅ - s‚ÇÇ = k‚Åª¬π(H(m‚ÇÅ) - H(m‚ÇÇ))")
    print(f"   k = (H(m‚ÇÅ) - H(m‚ÇÇ)) / (s‚ÇÅ - s‚ÇÇ) mod n")
    
    print(f"\n   √âtape 2 : R√©cup√©rer d (cl√© priv√©e)")
    print(f"   s‚ÇÅ = k‚Åª¬π(H(m‚ÇÅ) + dr)")
    print(f"   d = (s‚ÇÅ¬∑k - H(m‚ÇÅ)) / r mod n")
    
    print(f"\n   CL√â PRIV√âE COMPROMISE ! üíÄ")
    
    print(f"\nüìä Exemple Num√©rique Simplifi√© :")
    
    # Param√®tres jouets
    n = 23  # Ordre du groupe (jouet !)
    d = 7   # Cl√© priv√©e
    k = 5   # Nonce (r√©utilis√©, fatal !)
    r = 13  # r (d√©pend de k, donc identique)
    
    m1 = 10
    m2 = 15
    h1 = m1  # Hash simplifi√©
    h2 = m2
    
    # Signatures
    k_inv = pow(k, -1, n)
    s1 = (k_inv * (h1 + d * r)) % n
    s2 = (k_inv * (h2 + d * r)) % n
    
    print(f"\n   Param√®tres :")
    print(f"   n = {n}, d = {d} (secret), k = {k} (r√©utilis√©), r = {r}")
    print(f"   m‚ÇÅ = {m1}, m‚ÇÇ = {m2}")
    print(f"   s‚ÇÅ = {s1}, s‚ÇÇ = {s2}")
    
    # Attaque
    k_recovered = ((h1 - h2) * pow(s1 - s2, -1, n)) % n
    d_recovered = ((s1 * k_recovered - h1) * pow(r, -1, n)) % n
    
    print(f"\n   R√©cup√©ration :")
    print(f"   k r√©cup√©r√© : {k_recovered} (original : {k}) ‚úÖ")
    print(f"   d r√©cup√©r√© : {d_recovered} (original : {d}) ‚úÖ")
    
    print(f"\n‚úÖ PROTECTIONS :")
    print(f"   1. k DOIT √™tre al√©atoire et unique")
    print(f"   2. Utiliser RFC 6979 (k d√©terministe mais unique)")
    print(f"   3. Utiliser Ed25519 (k = H(secret || m))")
    print(f"   4. Audits de code cryptographique")

ecdsa_nonce_reuse_recovery_theory()

## Conclusion

**Points cl√©s v√©rifi√©s** :
- ‚ùå RSA textbook : Vuln√©rable (homomorphisme, d√©terministe)
- ‚ùå Petits premiers RSA : Factorisable rapidement
- ‚ùå Common modulus RSA : Permet r√©cup√©ration de messages
- ‚ùå DH non authentifi√© : Vuln√©rable √† MITM
- ‚ùå ECDSA nonce reuse : R√©cup√©ration de cl√© priv√©e
- ‚úÖ Chiffrement hybride : Efficace et s√©curis√©

**Retenir** :
- Toujours utiliser RSA-OAEP (jamais textbook)
- Toujours authentifier Diffie-Hellman
- Nonce ECDSA doit √™tre al√©atoire et unique
- Pr√©f√©rer Ed25519 √† ECDSA (moins de risques)
- Chiffrement hybride pour messages longs
- Utiliser biblioth√®ques audit√©es (cryptography, OpenSSL)