Chiffrement par bloc en mode compteur - Protection du contenu des mémoires externes dans les sy

Le mode compteur est initialisé par un Nounce (nombre aléatoire, noté N ) et incrémenté pour chaque bloc en clair. Les équations suivantes définissent les opérations de chiffrement du mode compteur : σi = EK(N + i) ∀i ∈ [1, m] (1.31) Ci = σi⊕ Pi ∀i ∈ [1, m] (1.32) et pour le déchiffrement : σi = EK(N + i) ∀i ∈ [1, m] (1.33) Pi = σi⊕ Ci ∀i ∈ [1, m] (1.34)

La figure 1.10 présente les deux schémas de chiffrement et de déchiffrement du mode compteur.

Le mode compteur possède deux atouts principaux d’un point de vue des performances : — le chiffrement ou le déchiffrement de deux blocs peuvent être parallélisés,

— la partie la plus longue de l’opération de chiffrement ou de déchiffrement (calcul de Ek(N = i)) ne dépend pas du bloc en clair ou du bloc chiffré et peut donc être réalisé

1.2.1.3 Conclusion

Comme il sera présenté dans la section 1.3, les algorithmes de chiffrement par bloc peuvent être utilisés comme bases pour construire d’autres algorithmes afin remplir d’autres objectifs de sécurité que la confidentialité, comme par exemple assurer l’intégrité et d’authentification de données.

Les algorithmes de chiffrement symétriques posent le problème du partage de secret (ici la clé). En effet, si deux entités veulent s’échanger des messages chiffrés, ces deux entités doivent disposer du même secret. Elles doivent donc s’être mises d’accord sur ce secret et se l’être échangé sur un canal sécurisé en amont de la communication. De plus le nombre de clés à gérer augmente de façon quadratique avec le nombre d’entités avec lesquelles on souhaite communiquer. Les algorithmes de chiffrement asymétriques permettent de palier ces deux problèmes.

1.2.2 Chiffrement asymétrique

Contrairement aux algorithmes de chiffrement symétriques, les algorithmes de chiffrement asymétrique utilisent deux clés différentes : la clé de chiffrement Ke, appelée clé publique car

elle peut être transmise sur un canal non sécurisé et ne nécessite pas d’être gardée secrète, et la clé de déchiffrement Kd, appelée clé privée puisque qu’elle permet le déchiffrement et donc ne

doit être connue que du destinataire du message chiffré (figure 1.2).

La notion du chiffrement asymétrique (ou cryptosystème à clé publique) a été introduite par Wilfred Diffie et Martin Hellman en 1976 [14]. Ces algorithmes sont basés sur la difficulté à résoudre certains problèmes mathématiques complexes et en particulier sur des fonctions à sens unique à trappe. Une fonction f (x) = y est considérée comme une fonction à sens unique si pour tout x appartenant à l’ensemble de définition de la fonction, il est simple de calculer f (x), alors qu’en pratique, connaissant y, il est difficile de trouver x tel que y = f (x) sans connaître une information supplémentaire : la trappe (secret).

Un exemple de problème mathématique complexe utilisé est la factorisation de grands nombres : il est facile de calculer la multiplication de deux grands nombres, mais la fonction in- verse, la factorisation est très difficile. L’algorithme à clé publique le plus célèbre est RSA [15] (pour Rivest Shamir Adleman, les noms de ses inventeurs). Il est basée sur ce problème de factorisation.

Le principal avantage du chiffrement asymétrique par rapport au chiffrement symétrique est le fait qu’il n’a pas besoin de partager un secret avant d’établir la communication, la clé de chiffrement pouvant être publique. Néanmoins, il est nécessaire d’assurer l’authenticité de cette clé de chiffrement sinon une attaque de l’homme du milieu (man-in-the-middle) est réalisable. Dans une telle attaque, un adversaire qui surveille un canal non sécurisé, intercepte un message (M ) et éventuellement certaines données (X) utiles à des fins de sécurité, les analyse et les échange par des données choisies (M0, X0).

Par exemple, Alice et Bob veulent échanger des données chiffrées sur un canal non sécurisé qui est écouté par Ève, l’adversaire. Bob envoie tout d’abord sa clé publique à Alice via ce

canal. Ève peut alors intercepter cette clé et la remplacer à la volée par sa propre clé publique. Alice chiffre alors ses messages avec ce qu’elle pense être la clé publique de Bob mais qui est en réalité la clé publique d’Ève. Cette dernière peut donc déchiffrer tous les messages (à l’aide de sa clé privée correspondante) et éventuellement les rechiffrer avec la vraie clé publique de Bob pour que ce dernier ne s’aperçoive de rien.

Ce problème peut être atténué à l’aide d’une infrastructure de gestion de clés (Public Key Infrastructure, PKI) qui émet des certificats pour valider l’authenticité de clés. Néanmoins, elle ne fait que déplacer le problème au niveau de l’authenticité de la clé ayant signé les certificats.

En outre, les algorithmes de chiffrement asymétrique sont très lents, car ils sont basés sur des problèmes mathématiques complexes. Par exemple, dans le déchiffrement matériel de RSA prend jusqu’à 260.000 cycles avec une fréquence de 100 MHz et une taille de clé de 1024 bits [16].

1.2.3 Sécurité des techniques de chiffrement

Les attaques menées contre un système de chiffrement peuvent avoir deux objectifs : la récupération de clé ou du message en clair.

L’objectif de la première attaque est de récupérer la clé secrète ou la clé privée utilisée respectivement dans un algorithme de chiffrement symétrique ou dans un chiffrement asymé- trique. L’attaque la plus pratique est l’attaque par force brute. Elle consiste à essayer toutes les clés possibles jusqu’à trouver la bonne clé permettant de récupérer le texte en clair à partir de n’importe quel texte chiffré. Par conséquent, plus la taille de la clé est longue, plus la complexité de cette attaque est grande.

Le but des attaques de récupération de message est d’obtenir des informations sur les textes clairs en observant les textes chiffrés. Un cryptosystème est à l’abri contre la récupération du message s’il est sémantiquement sécurisé, ce qui signifie qu’un adversaire n’est pas en mesure de savoir si un texte chiffré donné est le chiffrement d’un texte clair ou d’un autre.

Les objectifs de l’adversaire, définis plus haut, sont pratiquement basés sur les attaques passives qui pourraient être classées en considérant les informations dont l’adversaire dispose. Les définitions suivantes sont issues de [4] :

1. Attaque par texte chiffré seul (ciphertext-only attack) : l’attaquant ne dispose que de messages chiffrés.

2. Attaque par texte clair connu (known-plaintext attack) : l’attaquant dispose d’une série de messages clairs et des chiffrés correspondants.

3. Attaque par texte clair choisi (chosen-plaintext attack) : l’attaquant peut obtenir les chiffrés des messages en clair qu’il veut.

4. Attaque par texte clair choisi adaptative (adaptative chosen-plaintext attack) : identique à une attaque par texte clair choisi sauf que le choix des textes clairs par l’attaquant peut dépendre des textes chiffrés reçus précédemment.

5. Attaque par texte chiffré choisi (chosen-ciphertext attack) : l’attaquant a accès à une machine de déchiffrement. Il peut obtenir les messages en clair correspondants aux messages chiffrés qu’il veut (excepté le message qu’il essaie de déchiffrer).

6. Attaque par texte chiffré choisi adaptative (adaptative chosen-ciphertext attack) : identique à une attaque par texte chiffré choisi sauf que le choix des messages chiffrés soumis à l’oracle de déchiffrement par l’attaquant peut dépendre des messages en clair qu’il a reçus précédemment.

La robustesse d’un système de chiffrement est évaluée en respectant le premier et le deuxième principe de Kerckhoffs qui indiquent qu’un algorithme doit être incassable en pratique (sinon en théorie est incassable) et qu’il doit être connu du public.

Bien utilisé, le chiffrement permet de garantir la confidentialité d’informations contre des attaques passives. Néanmoins, le chiffrement seul ne peut pas garantir l’intégrité et l’authentification des données. Il est donc insuffisant dès que l’adversaire est en mesure d’altérer les messages, notamment via des attaques actives.

1.3 Techniques de vérification d’intégrité

Les techniques de vérification d’intégrité permettent de détecter des altérations, volontaires ou non, sur des données. Pour assurer l’intégrité des données, il faut avoir la capacité de détec- ter toute manipulation (insertion, suppression ou modification) des données par des tiers non autorisés.

Les mécanismes de vérification d’intégrité utilisent des algorithmes principalement basés sur des fonctions de hachage. Par la suite nous présenterons ces fonctions et leurs caractéris- tiques.

1.3.1 Fonctions de hachage

Une fonction de hachage h, également appelée une fonction de hachage à sens unique (one- way hash function), est une fonction qui possède au moins de deux propriétés :

— Compression (compression) : h calcule un condensé cryptographique (appelé hash) de longueur fixe à partir d’un message d’entrée de longueur arbitraire x.

— Facilité de calcul (ease of computation) : étant données h et une entrée x, il est facile de calculer h(x).

Les fonctions de hachage sont caractérisées par leur résistance à trois propriétés de sécu- rité [4] :

— Résistance à la préimage : étant donné un condensé cryptographique y, il est difficile de forger un message x tel que y = h(x).

— Résistance à la seconde préimage : étant donné un message x et son condensé cryptographique y = h(x), il est difficile de trouver un autre message x0 6= x tel que

Fonction de hash

Condensé (longueur fixe) Bloc

Padding Message d’entrée (longueur arbitraire)

Dans le document Protection du contenu des mémoires externes dans les systèmes embarqués, aspect matériel (Page 31-35)