Feuille d`exercices

publicité
Université Rennes 1
Année 2014-2015
Département de Mathématiques
M1, module Crypto
Feuille d'exercices
Cryptographie symétrique
(1) Modes opératoires des chirements par blocs.
Soit le message clair m = 101100010100101. On considère le chirement par blocs (de longueur
4) dénit par la permutation (qui fait alors à la fois oce de clé et de fonction de chirement).
π : b1 b2 b3 b4 7→ b2 b3 b4 b1 .
(a) Chirer m avec le mode ECB.
(b) Chirer m avec le mode CBC (on prendra 1010 comme vecteur d'initialisation).
(c) Chirer m avec le mode CFB (on prendra des blocs de longueur r = 3 et IV=1010 (on a
donc n = 4)).
(d) Même question avec le mode OFB (facultatif).
(2) DES.
On souhaite chirer avec le DES le bloc de message A0 00 00 00 00 00 00 00 (en notation
hexadecimale).
(a) On choisit la clé E0 E0 E0 E0 F1 F1 F1 F1. Vérier qu'elle est valide.
(b) En utilisant les tables de PC1 et PC2 (données à la n du TD), determiner les 3 premières
clés de ronde. Que constate t'on d'anormal ?
(c) Que vaut le message initial après un tour de ronde (les tables de la permutation initiale
(IP), de la fonction d'expansion E, de la permutation P et des S-Box sont données à la n
du TD) ?
(3) Clés faibles du DES.
On appelle clé faible, une clé telle que toutes les clés de ronde seront égales Soit g la fonction
déterminée par la table PC2 (g(1) = 14, g(2) = 17, ...)
(a) Montrer que si k est une clé faible alors Ek (Ek (m)) = m.
(b) En conservant les notations du cours, montrer que C16,i+1 (le i + 1-ème bit de C16 est égal
à C1,i (le i-ème bit de C1 ).
(c) Montrer que g est injective mais pas surjective.
(d) Soit i tel que i + 1 est dans l'image de g et supposons que K1 = K16 . Montrer que
C1,i = C1,i+1 .
(e) Montrer que C2,i−1 = C1,i et utiliser une argumentation similaire aux questions précédentes
pour nir de montrer que tous les bits de C1 sont égaux (Il en est trivialement de même
pour ceux de D1 ).
(f) En déduire qu'il existe 4 clés faibles pour le DES.
(g) Les déterminer.
2
(4) Le paradoxe des anniversaires.
Soit un ensemble ni E de cardinal n. On s'intéresse à la probabilité pn (k) que, parmi k éléments
de E , chaque élément étant tiré uniformément dans tout l'ensemble E , deux éléments au moins
soient identiques.
(a) Montrer que pn (k) vaut
1
1− 1−
n
2
k−1
n!
1−
··· 1 −
=1−
n
n
(n − k)!nk
(b) En utilisant le DL de e−x , montrer que
pn (k) > 1 − e
−k(k−1)
2n
est une bonne approximation de pn (k) lorsque k est petit devant n.
(c) Combien faut il tirer d'éléments aléatoirement parmi n pour que la probabilité de collision
soit supérieure à 50%.
(d) Quelle est la probabilité que deux élèves d'une classe de 30 élèves aient leur anniversaire
le même jour ?
(e) A partir de combien d'élèves cette probabilité est elle supérieure à 50% ?
(5) Attaque des chirement par blocs par collision.
On suppose que l'on chire une clé USB de 32Go de données en mode CBC (remarquez qu'on
a évité le mode ECB trop faible).
(a) On utilise un DES ou un triple-DES. Quel est le nombre de blocs cryptés et quelle est la
probabilité d'obtenir une collision entre 2 blocs chirés Yi et Yj .
(b) Comment peut on exploiter cette faille ?
(c) Qu'en est il avec l'AES ?
(6) Générateurs linéaires congruentiels.
Montrer que le générateur de graine z0 et dénit par zn = azn−1 mod m (ie b = 0) est de
période maximale (ϕ(m)) si et seulement si z0 est premier avec m et a est une racine primitive
modulo m.
(7) Exemple de LFSR.
On considère le LFSR de polynôme de rétroaction X 4 + X + 1 initialisé à (1, 0, 0, 1) (clé).
Décrire complètement le ux de clé sortant de ce LFSR.
3
Téléchargement
Explore flashcards