UE MHT 633

UE MHT 633

Cryptologie

Feuille d’exercices n ^◦ 5.

Cryptographie asym´ etrique

1 Nous d´ecrivons un chiffrement `a cl´e publique par les donn´ees suivantes:

• Gest un groupe ab´elien not´e multiplicativement,H etK sont des sous-groupes deGtels que H ∩K = {1} et G = HK. Tout ´el´ement g ∈ G s’´ecrit alors g = hk avec h ∈ H, k ∈ K, de fa¸con unique. On note π : G → H l’homomorphisme surjectif d´efini par π(g) =h si g =hk.

• L’espace des messages est un groupeH₀isomorphe `aH. On fixe un isomorphismef :H → H₀ et on suppose connue une application injective i :H₀ →G telle que f ◦π◦i(x) =x pour tout x∈H₀.

• La cl´e publique est (G, k) o`u k ∈K est un ´el´ement g´en´erateur de K (ou au moins d’un

“gros” sous-groupe de K).

• La cl´e priv´ee est la surjection π :G→H.

• Le chiffrement est e(x) =i(x)k^r o`ur est un entier choisi al´eatoirement.

• Le d´echiffrement estd(y) = f◦π(y).

1. V´erifiez que ces donn´ees d´efinissent bien un syst`eme de chiffrement `a cl´e publique. Quel est l’avantage de l’utilisation du nombre al´eatoire r ?

2. On consid`ere l’instanciation suivante: n =pq est un produit de deux “grands” nombres premiers distincts et G= (Z/nZ)^∗. Rappelez pourquoi G'(Z/pZ)^∗×(Z/qZ)^∗.

3. On note H et K les sous-groupes de G canoniquement isomorphes `a respectivement (Z/pZ)<sup>∗</sup> et (Z/qZ)<sup>∗</sup>. Pr´ecisez les donn´ees du syst`eme dans ce cas.

4. Montrez que, pour que le syst`eme soit cryptographiquement sˆur il est n´ecessaire que n soit suffisamment grand pour qu’il soit calculatoirement impossible de le factoriser.

5. Montrez quek = 1 mod p et en d´eduire que p= (k−1, n).

6. Expliquez pourquoi ce syst`eme n’est pas cryptographiquement sˆur!

2 L’algorithme rho de Pollard pour le log discret.

SoitG un groupe multiplicatif etα ∈G un ´el´ement fix´e d’ordren. Soitβ ∈ hαiun ´el´ement dont on veut calculer le log discret de base α. L’id´ee de base de l’algorithme est de calculer une suite x₁, x₂, . . . , x_i, . . . d’´el´ements de G, de sorte qu’une collision x_i = x_j pour i < j permette de calculer c = log_α(β). La suite des x_i est calcul´ee en it´erant une certaine fonction f. Plus pr´ecis´ement chaque ´el´ement x de la suite fait partie d’un triplet (x, a, b) v´erifiant x = α^aβ^b. Les triplets (x_i, a_i, b_i) d´efinissent une “marche al´eatoire” dans un certain ensemble fini.

1. Montrez que, si (x, a, b) v´erifie x = α^aβ^b, alors les triplets (βx, a, b+ 1), (x²,2a,2b) et (αx, a+ 1, b) v´erifient la mˆeme relation.

Description de l’algorithme: On partitionne G en trois ensembles de mˆeme taille G=S1∪S2∪S3 et on d´efinit l’applicationf :hαi ×Z/nZ×Z/nZ→ hαi ×Z/nZ×Z/nZ par:

f((x, a, b)) =







(βx, a, b+ 1) si x∈S₁ (x²,2a,2b) si x∈S2

(αx, a+ 1, b) si x∈S₃

L’algorithme initialise le triplet (x₀, a₀, b₀) `a (1,0,0) puis it`ere (x_i, a_i, b_i) =f((xi−1, ai−1, bi−1)).

Pour chaqueila conditionx_2i =x_iest test´ee; si cette ´egalit´e est vraie et si (b_2i−b_i, n) = 1, alors c= log_α(β) est calcul´e par la formule: c= (a_i−a_2i)(b_2i−b_i)⁻¹ mod n.

2. D´eduire de la question 1 que pour tout i, (x_i, a_i, b_i) v´erifie x_i =α^aiβ^bi.

3. Montrez que, si pour i < j, xj = xi, et si (bj −bi, n) = 1, alors c = (ai−aj)(bj −bi)⁻¹ mod n.

4. Montrez que, si pouri < j, x_j =x_i, alors il existe s tel que x_s =x_2s avec s < j.

5. SoitG= (Z/pZ)^∗ avec pun nombre premier. On propose de prendre pour S₁, S₂,S₃, les trois classes de congruence modulo 3. Expliquez pourquoi on ne doit pas avoir 1 ∈S₂. 6. On prend p = 47 et α = 2. Montrez que α est d’ordre 23. On cherche le log de 37 en

base α. Expliquez pourquoi le choix

S₁ ={x∈[0. . .(p−1)] : x= 1 mod 3}

S2 ={x∈[0. . .(p−1)] : x= 0 mod 3}

S₃ ={x∈[0. . .(p−1)] : x= 2 mod 3}

n’est pas satisfaisant en essayant de faire marcher l’algorithme. Faites-le ensuite fonction- ner pour

S₁ ={x∈[0. . .(p−1)] :x= 2 mod 3}

S₂ ={x∈[0. . .(p−1)] :x= 0 mod 3}

S₃ ={x∈[0. . .(p−1)] :x= 1 mod 3}.

3 Le calcul d’index pour le log discret.

Soit p = 227. L’´el´ement α = 2 est primitif dans (Z/pZ)^∗. La notation log d´esigne le log discret de base α dans (Z/pZ)^∗.

1. Calculezα³²,α⁴⁰,α⁵⁹etα¹⁵⁶modulopet factorisez-les sur la base de facteurs{2,3,5,7,11}.

2. En d´eduire le calcul de log 3, log 5, log 7, log 11.

3. On veut calculer log 173. Multipliez 173 par le nombre “al´eatoire” 2¹⁷⁷ mod p. Factorisez le r´esultat sur la base de facteurs puis calculez log 173 en utilisant les calculs pr´eliminaires des questions pr´ec´edentes.