INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

UN EXEMPLE D'ALGORITHME MIXTE : LE "DES"

(dernire version dfinie dans FIPS 1 46-3 de 1999)

Le "DES" ou Data Encryption Standard combine des transpositions et des substitutions pour former un "code produit" ("product cipher") nomm galement "algorithme mixte ". Transpositions et substitutions utilises seules se rvlent fragiles c'est--dire "facilement brisables". Associes au sein d'un algorithme, elles peuvent toutefois raliser un code relativement sr. Cest ce que dmontra R. SHANNON qui introduisit en 1949 cette ide de mixage de diffrents algorithmes symtriques.
"Le DES est le rsultat d'un travail d'amlioration d'algorithmes de codage conventionnels et en tant que tel s'inscrit directement dans une tradition historique" .
2

Les DES est galement connu sous le nom de DEA ou Data Encryption Algorithm norme de lANSI (ANSI X3.92) et sous le nom de DEA-1 pour la norme ISO .

Description
Le message chiffrer est transcrit en binaire grce un code convenu (code "ASCII" ou "EBCDIC", par exemple). Il est ensuite dcoup en blocs de 64 bits. Chacun de ces blocs subira le mme traitement qui consiste en un chiffrement utilisant une cl de 56 bits, algorithme dbouchant sur un bloc chiffr de 64 bits. texte en clair 64 bits 64 bits 64 bits 64 bits Algorithme de Chiffrement 64 bits texte chiffr Le DES finalement neffectue quune simple opration de transposition dans
64 lensemble des 2 messages possibles. Le nombre de permutations possibles slvent

64 bits

64 bits

64 bits

un cl de 56 bits 64 bits 64 bits 64 bits

64 bits

64 bits

64 bits

tout de mme (264) ! ...

1 FIPS : Federal Information Processing Standards 2 Introduction aux mthodes de la cryptologie , B. Beckett, Masson 1990. UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 1 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

La

premire

opration

de

ce

traitement

est

une

transposition,

dite

"transposition ou permutation initiale " connue sous le nom de IP ( Initial Permutation ), transposition qui mlange suivant une liste de transposition les 64 bits du bloc trait.

Permutation IP 58 60 62 64 57 59 61 63 50 52 54 56 49 51 53 55 42 44 46 48 41 43 45 47 34 36 38 40 33 35 37 39 26 28 30 32 25 27 29 31 18 20 22 24 17 19 21 23 10 12 14 16 9 11 13 15 2 4 6 8 1 3 5 7

Cette permutation initiale dplace le bit 58 la position 1, le bit 50 la position 2, , le bit 1 la position 40 La nouvelle disposition d es 64 bits est ensuite partage en deux parties, une partie gauche de 32 bits et une partie droite de 32 bits. Ces deux parties subiront une opration de chiffrement avec cl et ce, 16 fois de suite. Les 32 bits de gauche et les 32 bits de droite, refaisant une unit de 64 bits, subiront une transposition finale dite IP -1 , nouveau mlange de ces 64 bits, en suivant une liste de transposition "inverse" de la liste initiale. Permutation IP-1 40 39 38 37 36 35 34 33 8 7 6 5 4 3 2 1 48 47 46 45 44 43 42 41 16 15 14 13 12 11 10 9 56 55 54 53 52 51 50 49 24 23 22 21 20 19 18 17 64 63 62 61 60 59 58 57 32 31 30 29 28 27 26 25

Cette permutation finale dplace le bit 40 la position 1, , le bit 1 la position 58, le bit 2 la position 50...
"L'approche du DES est de combiner 'confusion' (substitution) et 'diffusion' (transposition) de faon rendre la complexit maximale".

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 2 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

16 itrations ("rounds")

+-----------------+ bloc de 64 bits en clair +-----------------+ +-----------------+ transposition <--- liste de transposition initiale initiale IP +-----------------+ ------------ | | +-----------------+ | sparation | Left Right +-----------------+ | | | +-----------------+ | chiffrement <--- cl Ki | +-----------------+ ------------ +-----------------+ transposition <--- liste de transposition finale finale IP-1 +-----------------+ +-----------------+ bloc de 64 bits chiffr +-----------------+

Les transpositions et les substitutions sont fixes et publiques. La scurit tout entire repose sur la cl . Comportant 56 bits, celle-ci peut prendre 256 valeurs possibles soit environ 7,2 10 16 valeurs diffrentes. Une fois choisie cette cl est utilise la fois au chiffrement et au dchiffrement. Le chiffrement central consistera en : - une fonction d'expansion "E " qui est une transposition avec expansion, - une fonction de slection "S " qui est une substitution non linaire, - et en une fonction de transposition "T".

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 3 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Voici rsum le processus de cette opration centrale de chiffrement :

Sparation Left Right

------------------------------- Li-1 Ri-1 E(xpansion) cl Ki , i = 1 16 S(lection) T(ransposition) 32 bits 32 bits Li Ri -------------------------------

Ce processus interne du DES fait de celui-ci un algorithme dit de "FEISTEL" ("feistel cipher") car il opre chaque itration sur la moiti du texte.

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 4 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

La Fonction d'Expansion, E , permutation expansive, utilise une liste de 48 valeurs et travaille sur un bloc de 32 bits. On obtient ainsi un bloc de 48 bits avec rptition de certains de ces bits (valeurs soulignes).

32 6 12 16 22 28
Exemple
3

1 7 13 17 23 29

2 8 12 18 24 28

3 9 13 19 25 29

4 8 14 20 24 30

5 9 15 21 25 31

4 10 16 20 26 32

5 11 17 21 27 1

Soit U, les 64 bits de donnes en clair aprs codage en binaire : 0101 1110 0111 0100 1111 1000 1010 0000 0111 1110 1100 0010 0001 1001 0011 0011 nous avons donc sur 32 bits, la partie droite : R0 = 0010 1100 1001 1110 0101 0101 1011 0001 Comme la liste associe la fonction d'expansion est : 32 6 12 16 22 28 1 7 13 17 23 29 2 8 12 18 24 28 3 9 13 19 25 29 4 8 14 20 24 30 5 9 15 21 25 31 4 10 16 20 26 32 5 11 17 21 27 1

nous obtenons sur 48 bits : X = 1001 0101 1001 0100 1111 1100 0010 1010 1011 1101 1010 0010

Calcul de la cl Ki
La cl de l'itration i est dduite de celle de l'itration i-1 par un certain nombre d'oprations. La "cl racine K'" est compose de 56 bits. En fait, elle est extraite d'un bloc de 64 bits en enlevant les bits 8, 16, 24, 32, 40, 48, 56 et 64 (fins d'"octet"). Ceuxci peuvent servir d'ailleurs de contrle de parit pour les bits restants. Ces 56 bits restants sont partags en 2 blocs, de 28 bits chacun et chaque bloc subit une permutation appele PC - 1 . En fait, on utilise une liste de permutation ne contenant pas les rangs 8, 16, 24, 32, 40, 48, 56 et 64. Une table de transposition mlange les 64 bits totaux et en supprime 8.

3 La scurit des rseaux, mthodes et techniques , J.-M. Lamre, Y. Leroux, Informatique, Paris 1987, de p. 266 p. 269.

J. Tourly, Dunod

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 5 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Exemple

Cl initiale, bloc de 64 bits : 0000 0000 0000 0000 0000 0000 0000 0010 0000 0000 1000 0000 0000 0000 1000 0000

On enlve les 8 derniers bits (caractres barrs) en effectuant une permutation, base sur deux listes de 28 nombres :

Permutation PC - 1 57 1 10 19 63 7 14 21
Exemple
5

49 58 2 11 55 62 6 13

41 50 59 3 47 54 61 5

33 42 51 60 39 46 53 28

25 34 43 52 31 38 45 20

17 26 35 44 23 30 37 12

9 18 27 36 15 22 29 4

On obtient alors une nouvelle cl sur 56 bits : 1100 0000 0000 0000 0000 0000 0000 0010 0000 0000 0000 0000 0000 0000

Une autre liste donne le nombre de dcalage circulaires gauche effectuer sur ces deux blocs de 28 bits pour chaque itration. On dcale de un bit pour les itrations de rang 1, 2, 9 ou 16 et de 2 bits pour les autres itrations. Cette liste donne le nombre de dcalage gauche pour les 16 itrations (LSi ) : 1 1
6

2 1

3 2

4 2

5 2

6 2

7 2

8 2

9 1

10 2

11 2

12 2

13 2

14 2

15 2

16 1

Exemple

Pour la premire itration, nous obtenons donc aprs 1 dcalage gauche de chacune des deux parties : 1000 0000 0000 0000 0000 0000 0001 0100 0000 0000 0000 0000 0000 0000

Une dernire permutation, dite PC - 2 , mlange et enlve 8 bits en fonction de la liste suivante :

4 idem, p. 266. 5 idem, p. 268. 6 idem, p. 268. UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 6 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

14 15 26 41 51 34

17 6 8 52 45 53

11 21 16 31 33 46

24 10 7 37 48 42

1 23 27 47 44 50

5 19 20 55 49 36

3 12 13 30 39 29

28 4 2 40 56 32

Exemple

Nous obtenons donc la cl K1 de 48 bits : 0000 1001 0000 0000 0000 0000 0000 0010 0000 0000 0000 0000 Cet algorithme est appliqu chaque itration. Pour calculer K 2, nous repartons de la valeur : 1000 0000 0000 0000 0000 0000 0001 0100 0000 0000 0000 0000 0000 0000

donc de la suite de 56 bits avant la permutation . C'est cette valeur que sera appliqu le dcalage circulaire suivant (itration 2 : dcalage de 1 gauche). Il en sera de mme chaque fois.

La cl est donc finalement compose de 48 bits.

7 idem, p. 269.. UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 7 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

K (64 bits) PC-1 C0 (28 bits) LS1 C1 (28 bits) LS2 . . . LS16 C16 (28 bits) D0 (28 bits) LS1 D1 (28 bits) LS2 . . . LS16 D16 (28 bits) PC-2 K16 (48 bits)
Il est bien sr possible de construire les 16 listes (une pour chaque itration) permettant dlaborer les 16 cls K i en fonction de la cl mre K partir des valeurs de PC -1, de PC -2 et des rgles de dcalage circulaire. La premire liste sera : 10, 51, 34, 60, 49, 17, 33, 57, 2, 9, 19, 42, 3, 35, 26, 25, 44, 58, 59, 1, 36, 27, 18, 41, 22, 28, 39, 54, 37, 4, 47, 30, 5, 53, 23, 29, 61, 21, 38, 63, 15, 20, 45, 14, 13, 62, 55 et 31. Exercice : suivre le dplacement du bit 1 de la cl K dans PC -1, LS1 et PC-2

La mme cl "K" servira pour l'opration "DES-1 ", rciproque de l'algorithme "DES" mais il faudra effectuer les tapes dcrites ci-contre dans l'ordre inverse.

PC-2

K1 (48 bits)

x x x

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 8 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

La Fonction de Slection "Si, i = 1 8 " dcomposera les 6 bits d'entre en 4 bits de positionnement "colonne", les bits 2 5 et en 2 bits de positionnement "ligne", les bits 1 et 6. Ces deux coordonnes permettront de cibler une valeur dans la matrice associe "S i, i = 1 8 ", valeur qui sera code en binaire sur 4 bits. Lanalyse des 8 matrices des fonctions Si permet dapprhender cette opration comme une permutation avec un choix parmi quatre permutations, choix dcid par les deux autres bits.
Exemple
8

En entre de S, nous avons : 100111 001001 010011 111100 001010 001011 110110 100010 rsultat du entre X et K1. 100111 : bloc d'entre de S 1 et S 1 : b1, b6 ---> Nl b2, b3, b4, b5 ---> Nc Nl = 3, Nc = 3 matrice de S1 (il existe 7 autres matrices analogues de S 2 S 8) :

0 0 14 0 4 3 15 4 15 1 12 13 7 14 8

3 1 4 8 2

15 2 14 13 4 15 11 8 3 10 6 12 5 . . . . . . . . . . . . . . . . . . . . . . . . bloc de sortie de S1 : 2 en binaire soit 0010 9 . . . . 0 . . 7 . . .

La Fonction de Permutation ou de Transposition, nomme P , est une fonction classique de mlange des bits grce une liste de 32 valeurs : 16 1 2 19 7 15 8 13 20 23 24 30 21 26 14 6 29 5 32 22 12 18 27 11 28 31 3 4 17 10 9 25

8 idem p. 269-270. UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 9 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Synthses sur les diverses longueurs... 1) Donnes

32 bits fonction "E" 48 bits Ki (48 bits) 48 bits -------------------------------------------------------------------------6 bits fonct. "S1" 4 bits 6 bits fonct. "S2" 4 bits 6 bits fonct. "S3" 4 bits 6 bits fonct. "S4" 4 bits 6 bits fonct. "S5" 4 bits 6 bits fonct. "S6" 4 bits 6 bits fonct. "S7" 4 bits 6 bits fonct. "S8" 4 bits

------------------------------------------------------------------------- 32 bits fonction "T" 32 bits

2) Cl(s)
cl sur 64 bits permutation avec enlvement des bits de fin d'octet cl sur 56 bits 28 bits 28 bits permutation - PC - 1- permutation 28 bits 28 bits dcalage circulaire gauche dcalage circulaire gauche 56 bits transposition avec suppression PC - 2 v 48 bits

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 10 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Fonction S1 14 0 4 15 4 15 1 12 13 7 14 8 1 4 8 2 2 14 13 4 15 2 6 9 11 13 2 1 8 1 11 7 3 10 15 5 10 6 12 11 6 12 9 3 12 11 7 14 5 9 8 10 9 5 10 0 0 3 5 6 7 8 0 13

Fonction S2 15 3 0 13 1 13 14 8 8 4 7 10 14 7 11 1 6 15 10 3 11 2 4 15 3 8 13 4 4 14 1 2 9 12 5 11 7 0 8 6 2 1 12 7 13 10 6 12 12 6 9 0 0 9 3 5 5 11 2 14 10 5 15 9

Fonction S3 10 13 13 1 0 7 6 10 9 0 4 13 14 9 9 0 6 3 8 6 3 4 15 9 15 6 3 8 5 10 0 7 1 2 11 4 13 8 1 15 12 5 2 14 7 14 12 3 11 12 5 11 4 12 10 5 2 15 14 2 8 1 7 12

Fonction S4 7 13 10 3 13 8 6 15 14 11 9 0 3 5 0 6 0 6 12 10 6 15 11 1 9 0 7 13 10 3 13 8 1 4 15 9 2 7 1 4 8 2 3 5 5 12 14 11 11 1 5 12 12 10 2 7 4 14 8 2 15 9 4 14

Fonction S5 2 14 4 11 12 11 2 8 4 2 1 12 1 12 11 7 7 4 10 1 10 7 13 14 11 13 7 2 6 1 8 13 8 5 15 6 5 0 9 15 3 15 12 0 15 10 5 9 13 3 6 10 0 9 3 4 14 8 0 5 9 6 14 3

Fonction S6 12 10 9 4 1 15 14 8 10 4 15 2 15 2 5 12 9 7 2 9 2 12 8 5 6 9 12 15 8 5 3 10 0 6 7 11 13 1 0 14 3 13 4 1 4 14 10 7 14 0 1 6 7 11 13 0 5 3 11 8 11 8 6 13

Fonction S7 4 13 1 6 11 0 4 11 2 11 11 13 14 7 13 8 15 4 12 1 0 9 3 4 8 1 7 10 13 10 14 7 3 14 10 9 12 3 15 5 9 5 6 0 7 12 8 15 5 2 0 14 10 15 5 2 6 8 9 3 1 6 2 12

Fonction S8 13 1 7 2 2 15 11 1 8 13 4 14 4 8 1 7 6 10 9 4 15 3 12 10 11 7 14 8 1 4 2 13 10 12 0 15 9 5 6 12 3 6 10 9 14 11 13 0 5 0 15 3 0 14 3 5 12 9 5 6 7 2 8 11

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 11 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Quelques rflexions...
La fonction de Slection est la seule fonction non-linaire du DES. Cest donc elle qui est le cur du systme puisque la cryptanalyse nous dmontre quil est plus facile de casser des chiffrements linaires que ceux qui ne le sont pas. Les critres de construction de cette fonction cest--dire ltablissement des 7 tables, ne semblent pas tous connus. Les tables originelles proposes par IBM ne furent pas retenues par l'administration amricaine. Certains affirmrent ainsi que la NSA ( National Security Agency ) pouvait briser les textes chiffrs grce des trappes caches dans cette fonction. Il est possible que la NSA redoutait de la part de IBM des trappes dans les fonctions "S"... Une autre critique du DES porte sur la taille trop petite du champ de la cl, 2 56 nombre gal tout de mme 72 057 594 037 927 936... Des machines actuelles, par une recherche systma tique, en disposant du texte en clair et du texte chiffr pourraient dcouvrir en quelques jours la valeur de la cl utilise. Une des particularit notable du DES est sa proprit de complmentation. Celle-ci peut se traduire par :

C = EK (T) C = EK (T )
Cette particularit peut tre une faiblesse dans le cadre dune attaque texte clair choisi (voir le chapitre consacr la cryptanalyse). Il faut noter galement lexistence de six cls faibles : "00 00 00 00 00 00 00 00", "01 01 01 01 01 01 01 01", "FE FE FE FE FE FE FE FE", "1F 1F 1F 1F 1F 1F 1F 1F", "E0 E0 E0 E0 E0 E0 E0 E0" et "FF FF FF FF FF FF FF FF". pour lesquelles le DES est une involution c'est--dire que le chiffrement et le dchiffrement sont dans ce cas l strictement quivalents, les cls K1 K16 tant identiques dans les deux processus autrement dit que : EK(EK(T)) = T . Ces cls sont galement nommes cls palindromes . Qui plus est, chacune de ces cls prsentent 232 points fixes, cest--dire des blocs de 64 bits tels que EK(Ti) = Ti (mis en vidence par COPPERSMITH en 1985). Il est galement possible disoler 6 paires de cls (les dual keys du NBS) qui seront dites semi-faibles qui prsentent, pour chaque couple, un ensemble de cls

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 12 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

drives identiques mais dordre inverse, autrement dit 6 paires (K,L) telles que EK(EL(T) = T. Ce sont les paires suivantes : 01 FE 01 FE 01 FE 01 FE et FE 01 FE 01 FE 01 FE 01, 1F E0 1F E0 1F E0 1F E0 01 E0 01 E0 01 E0 01 E0 et E0 01 E0 01 E0 01 E0 01, 1F FE 1F FE 1F FE 1F FE 01 1F 01 1F 01 1F 01 1F et 1F 01 1F 01 1F 01 1F 01, E0 FE E0 FE E0 FE E0 FE et FE E0 FE E0 FE E0 FE E0 et FE 1F FE 1F FE 1F FE 1F et E0 1F E0 1F E0 1F E0 1F

4 de ces 12 cls sont dites galement antipalindromes cest--dire prsentant des cls drives complmentaires les unes des autres, K1 de K16 , K2 de K15...
32 Ces 4 cls prsentent linconvnient davoir 2 points dits anti-fixes , cest--dire

des blocs de 64 bits dont le chiffrement est le complment binaire deux- mmes. Un article paru dans la revue Science en 1983 soulevait le danger dutiliser des cls prsentant des rgularits . L'auteur cite 48 cls dites potentiellement faibles. En 1992, DEC ( Digital Equipement Corporation ) annona au CRYPTO92 la fabrication dune puce capable de chiffrer un taux de 1 Go/s et ce pour un prix denviron 1 500 FF.

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 13 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Mise en uvre du DES

Il existe quatre modes principaux de mise en uvre du DES : le Electronic Code Book , ECB ou Mode du carnet de codage

lectronique le Cipher Block Chaining , CBC ou Mode de chiffrement avec chanage de blocs , le Output FeedBack mode, OFB ou Mode de rtroaction de et le Cipher FeedBack mode , CFB ou Chiffrement

sortie ,

rtroaction . Ces mises en uvre ne sont, en fait, pas propres au DES et peuvent tre utilises pour tout algorithme de chiffrement par blocs. Ils sont standards car dcrits dans US Department of Commerce Federal Information Processing Standard n 81 ou FIPS P 81 publi en 1980. Ces standards sont publis par NIST . L Electronic CodeBook mode ou mode dictionnaire Cest le mode le plus vident . Chaque bloc de 8 octets du message est chiffr avec la mme cl. Ce mode opratoire est celui que nous avons dcrit jusqu' prsent. Cest le mode natif ou naturel du DES. Cest un mode trs pratique pour chiffrer tout texte en clair structur en blocs de 64 bits. Nous avons :

C n = E K(Tn) et Tn = DK (C n). Toutefois, ce mode permet lattaquant de raliser un livre de codes ( code book ), contenant, sil dispose du texte en clair, les associations clair/chiffr dun certain nombre de blocs de 8 octets. Ce peut tre le cas dans lutilisation du mode ECB au sein dun rseau dont les protocoles normaliss prsentent des rptitions de valeurs constantes des positions fixes (blocs dit strotyps ). L e Cipher Block Chaining mode ( CBC ) ou mode chiffrs chanage de blocs

Le bloc chiffr dpend non seulement du bloc en clair mais galement de tous les blocs en clair qui prcdent ce dernier. Ce mode utilise une mthode de rtroaction. Dans ce mode, nous avons : C n = E K(Tn C n-1 ) et Tn = DK(C n) C n-1
UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 14 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

avec C 1 = E K(T1 IV) et T1 = DK(C 1) IV Il se pose, en effet, le problme du chiffrement du premier bloc et du dernier, si la longueur du texte nest pas un multiple de 8 octets. On utilise alors un vecteur dinitialisation ou IV ( Initialisation Vector ) dont le choix devra tre alatoire, vecteur transmis avant lopration de chiffrement, en mode ECB . Il devra tre chang pour chaque message diffrent en lui associant, par exemple, un numro de squence chaque mission. Ce mode de chiffrement est dit auto-rgulateur . En effet, une erreur de transmission, ou une malversation volontaire, sur un bit chiffr nentrane une erreur que sur 2 blocs conscutifs. La propagation des erreurs est donc finie. Une erreur de synchronisation , par contre, un bit de perdu ou dajout lors de la transmission par exemple, entrane une suite infinie derreur.

Tn-1 IV .. . + EK

Tn + EK

Cn-1

Cn

Dchiffrement en mode CBC

Cn-1

Cn

DK IV ...

DK

Tn-1

Tn

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 15 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Le Cipher FeedBack mode ( CFB ) ou mode rebouclage de texte chiffr Le mode prcdent convient bien pour des blocs sur 64 bits. Il est moins adapt pour des blocs de 8 bits. Ce mode, destin aux messages transmis octet par octet ou bit par bit, a pour expression symbolique : C 1 = T1 EK(IV) C n = Tn EK(C n-1 ) et Tn = C n EK(C n-1 ) Ce mode opratoire est de la famille des chiffres de VERNAM dont les cls chiffrantes, suites de nomb res alatoires pouvant tre priodiques, taient aussi longues que les messages chiffrs. Ce type de chiffre fut sans doute utilis pour protger la ligne Maison Blanche - Kremlin plus connue sous le nom de Tlphone Rouge . Ce mode est utilis pour protger les messages de type caractres existant, par exemple, au sein de transmissions asynchrones (tlimprimeurs, tlex, terminal asynchrone...). Il permet en effet de chiffrer chaque caractre sans attendre quun nombre suffisant de caractres (8) soit arriv.

Tn-1

Tn

IV

...

EK

EK

Cn-1

Cn

Dchiffrement en mode CFB

Cn-1

Cn

IV

...

EK

EK

Tn-1

Tn

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 16 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

L Output FeedBack mode ( OFB ) ou mode rebouclage sur la sortie Ce mode est galement utilis dans les transmissions asynchrones comme les entres au clavier par exemple. Nous avons : DESn = E K(DESn-1) et C n = Tn DESn Dans ce mode, le mcanisme de rtroaction est indpendant la fois des flots de texte en clair et des textes chiffrs.

Tn-1

Tn

IV

...

EK

EK

Cn-1

Cn

Ce mode utilise le DES comme gnrateur de nombre alatoire en bouclant sa sortie sur son entre et en effectuant un ou exclusif sur cette sortie et sur le texte en clair.

Il ny a pas de propagation de lerreur sur un bit du texte en clair. x x x Le standard bancaire de l'ANSI spcifie les modes ECB et CBC pour le chiffrement et les modes CBC et CFB n bits pour l'authentification.

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 17 / 18

INTRODUCTION AUX TECHNIQUES DE CHIFFREMENT ET DE SECURITE CNAM CYCLE C, 2003-2004

Le Triple DES
Le Triple DES appartient la famille des surchiffrements triples avec deux voire trois clefs.

Le Triple DES est un algorithme qui travaille sur des blocs de donnes de 64 bits en utilisant trois fois de suite lalgorithme du DES , soit dans son utilisation en chiffrement soit dans son utilisation en dchiffrement . On utilise soit deux soit trois cls de 56 bits ce qui peut scrire sous les diffrentes formes suivantes :

E K1 , D K2 , E ( K1 , T ) , E K1 , D K 2 , E ( K3 , T )

)] [

) ] et E [ K , E ( K , E( K , T ))]
1 2 1

Les deux premires formes sont parfois nommes mode chiffre-dchiffre-chiffre . Il semble raisonnable de croire, daprs un certain nombre dtudes, quil nexiste pas K3 telle que

E K 2 E K1 ( T ) = E K3 ( T ) .

UN EXEMPLE DALGORITHME MIXTE : LE DES - PHILIPPE JEULIN - 18 / 18