(1)Université de Bordeaux Master CSI Collège Sciences et Technologies Cryptologie Année 2017-2018 Corrigé du devoir surveillé du 28 Février 2018 Exercice 1– On a Pr(M = 0|C= 0

Université de Bordeaux Master CSI

Collège Sciences et Technologies Cryptologie

Année 2017-2018

Corrigé du devoir surveillé du 28 Février 2018

Exercice 1– On a Pr(M = 0|C= 0) = 1, et sic6= 0Pr(M = 0|C=c) = 0. Mais Pr(M = 0) = 1/26ⁿ.

Exercice 2 –

1)Soient m∈ Metc∈ C. Pour fixer les idées, prenonsm=aetc= 1. Alors Pr(M =a|C= 1) = Pr(M =a, C= 1)

Pr(C = 1)

= Pr(M =a, K = i) Pr(C= 1)

= Pr(M =a)Pr(K = i) Pr(C= 1)

= 1/3×1/6 3/18

= 1/3

= Pr(M =a)

Les autres cas sont similaires par permutation. Le système est donc à confidentialité parfaite.

2)Un attaquant envoie par exemple 1. Ce message sera accepté si la clé est i, v ou vi. Dans les autres cas, on a toujours trois clés sur six compatibles. La probabilité d’imposture est donc de 3/6 = 1/2.

Cette fois-ci, il intercepte un chiffré et cherche à lui substituer un autre chiffré. Admettons qu’il intercepte par exemple 1. La clé utilisée est donc i, v ou vi. Il lui substitue un chiffré 6= 1qui a le plus de chance d’être accepté. Facilement on voit que c’est 2 ou 6 car parmi ces trois clés, deux font que le chiffré 2 ou 6 sera accepté, à savoir les clés i et vi pour 2, les clés v et vi pour 6. Pour 3 et 5 une seule clé convient (i et v respectivement). Pour 4, aucune. Les autres cas se traitent de la même façon. La probabilité de substitution est donc de 2/3.

Exercice 3 – La fonction inverse de Fi est Gi : AkB 7→ B +fi(A)kA et le déchiffrement correspond à G₁◦G₂◦G₃. Si on note F la fonction de chiffrement et Gcelle de déchiffrement, on a

F :AkB 7→B⊕f₂(A⊕f₁(B))kA⊕f₁(B)⊕f₃(B⊕f₂(A⊕f₁(B))), G:AkB 7→B⊕f₃(A)⊕f₁(A⊕f₂(B⊕f₃(A)))kA⊕f₂(B⊕f₃(A)).

Si on déchiffre 0k0 on obtient

X^LkX^R=f₃(0)⊕f₁(f₂(f₃(0)))kf₂(f₃(0)).

Remarquons que

X^L=f₃(0)⊕f₁(X^R).

On chiffre0kX^R et on obtient

Y^LkY^R=X^R⊕f2(f1(X^R))kf₁(X^R)⊕f3(X^R⊕f2(f1(X^R))).

On a alors

X^L⊕Y^R=f3(0)⊕f3(X^R⊕f2(f1(X^R))).

Déchiffrons Y^LkX^L⊕Y^R. Le bloc de droite est

Z^R=Y^L⊕f₂(X^L⊕Y^R⊕f₃(Y^L)).

Or

f₃(Y^L) =f₃(X^R⊕f₂(f₁(X^R))) =Y^R⊕f₁(X^R).

On a donc

Z^R=Y^L⊕f₂(X^L⊕f₁(X^R)) =Y^L⊕f₂(f₃(0)) =Y^L⊕X^R. Exercice 4 –

1)L’algorithme de déchiffrement est

(1) m1 =DK(c1)⊕c0 =DK(c1)⊕IV ; (2) I1 = (0,0, . . . ,0)∈F^k₂;

(3) Pour 26i6n,Ii =Ii−1⊕ci−1 etmi=D_K(ci)⊕Ii.

2) Sii >0 et si ci est altéré, mi =DK(ci)⊕Ii (oùIi est correct) sera faux. De plus, Ii+1 sera faux, et doncm_i+1 aussi. De mêmeI_i+2 sera faux etm_i+2 aussi. On voit en fait que tous les m_j obtenus pour j>iseront erronés.

Si c’estc₀qui est faux,m₁ sera erroné mais lesm_j avecj >1seront exacts (c₀ n’intervient qu’en (1)).

Exercice 5 –

1) Les premiers termes de la suite u sont 1011011011. . .On voit que u_i+3 =u_i pour06i64 et pour i > 5 on procède par récurrence sur i en appliquant la relation de récurrence linéaire suivant le schéma ui+3=ui+2+ui−2 =ui−1+ui−5 =ui. La période de uvaut donc 3.

2)Si P(X) =X⁵+X⁴+ 1qui est le polynôme caractéristique de u est irréductible, la période de u (de vecteur initial non nul) est l’ordre de n’importe quelle racine de P(X) dans F^×₂5. Elle doit donc diviser 31. Absurde.

3) Les premiers termes de v sont 10010111001011. . . On voit que vi+7 = vi pour 0 6 i 6 4 et pour i > 5 on procède par récurrence sur i en appliquant la relation de récurrence linéaire suivant le schéma v_i+7 =v_i+6+v_i+2=vi−1+vi−5 =v_i. La période dev vaut donc7.

4)On utilise la périodicité de u etv.

U(X) = 1 +X²+ (1 +X²)X³+ (1 +X²)X⁶+· · ·

= (1 +X²)(1 +X³+X⁶+· · ·)

= 1 +X² 1 +X³. On obtient de même

V(X) = 1 +X³+X⁵+X⁶+ (1 +X³+X⁵+X⁶)X⁷+ (1 +X³+X⁵+X⁶)X¹⁴+· · ·

= (1 +X³+X⁵+X⁶)(1 +X⁷+X¹⁴+· · ·)

= 1 +X³+X⁵+X⁶ 1 +X⁷ .

5)On met les fractions précédentes sous forme irréductible. On obtient U(X) = (1 +X)²

(1 +X)(1 +X+X² = 1 +X 1 +X+X², V(X) = (1 +X)³(1 +X+X³)

(1 +X)(1 +X+X³)(1 +X²+X³) = (1 +X)² 1 +X²+X³. La complexité linéaire deu vaut 2, celle de v vaut 3.

6) Par la question précédente on connaît les polynômes de connexion minimaux de u et v, à savoir 1 +X+X² et1 +X²+X³. On en déduit que u etv vérifient

u_i+2=u_i+1+u_i et v_i+3=v_i+1+v_i pour tout i>0.

En outre ces relations sont les plus courtes vérifiées paru etv.

7) Les polynômesX²+X+ 1et X³+X²+ 1 sont premiers entre eux. La complexité linéaire de u+v vaut donc 2 + 3 = 5.

De plus on a évidemment (u+v)_i+21=u_i+21+v_i+21=u_i+v_i = (u+v)_i. La période de u+v divise donc21. Comme ce n’est ni 1, ni 3 (carvi+3=vi pour toutiest faux), ni 7 (carui+7 =ui

pour tout iest faux), la période deu+v est 21.