# M1 Cryptographie - Cryptographie asymétrique

La cryptographie classique (symétrique) permet à deux utilisateurs A (Alice) et B (Bob) de communiquer confidentiellement
en partageant une clef secrète $K$. Ainsi, Eve (eavesdropper) qui intercepte la communication ne peut pas la déchiffrer.

Le problème qui s'est immédiatement posé avec l'apparition des réseaux informatiques est celui de la distribution des clefs.
Avec un réseau de $N$ noeuds, tous susceptibles de communiquer entre eux ou d'intercepter le traffic, chaque utilisateur
devrait posséder $\frac{N(N-1)}{2}$ clefs, une pour chaque lien bidirectionnel, ce qui est évidemment impossible.

En 1976, dans un [article historique](new_directions_in_cryptography.pdf), Diffie et Hellman ont proposé (sans savoir à l'époque comment la réaliser), l'idée de *cryptographie à clef publique*, avec laquelle chaque utilisateur du réseau posséderait deux clefs,
une *publique* $K_P$, accessible à tous les autres, et une *secrète* $K_S$, connue de lui seul.

On devrait pouvoir chiffrer un message destiné à un utilisateur en connaissant seulement sa clef publique, mais ne pouvoir déchiffrer le cryptogramme  qu'en connaissant en plus sa clef secrète.

Plusieurs systèmes ont alors été proposés pour satisfaire ces contraintes, apparemment inconciliables. L'idée générale est d'utiliser des problèmes algorithmiquement difficiles, mais dont certaines instances sont faciles.

## Le système de Merkle-Hellman

Le [premier système proposé](https://fr.wikipedia.org/wiki/Cryptosyst%C3%A8me_de_Merkle-Hellman), dû à Merkle et Hellman, reposait sur le problème du sac-à-dos : il est généralement difficile de savoir si un grand nombre $N$ peut s'écrire comme somme d'une 
sous-liste d'une liste  de nombres donnée, mais le problème est trivial si la liste en question est par exemple 
$1,2,4,8,\ldots,2^m$ : cela revient à écrire $N$ en binaire. Il existe d'autres instances faciles, les suites super-croissantes,
c'est à dire, dans lesquelles chaque terme est strictement supérieur à la somme des précédents..
On en choisit une qu'on garde secrète, $A=[a_0,a_1,\ldots,a_{n-1}]$ et on publie $B=[b_0,b_1,\ldots,b_{n-1}$ où $b_i=ka_i\mod M$ où
$M$ est un grand nombre $>a_0+a_1+\cdots+a_n$, et $k$ un entier inversible modulo $M$. On pose $d=k^{-1}\mod M$.

La clef publique est $B$, la clef secrète est $(A,k,M)$. Les messages sont des blocs de $n$ bits. 

Le cryptogramme de
$$m = (m_0,\ldots,m_{n-1})\in \{0,1\}^n$$ 
est 
$$c = \sum_{i=0}^{n-1}m_i b_i$$
Pour déchiffrer, le destinataire calcule
$$ s = lc\mod M = \sum_{i=0}^{n-1}m_ia_i$$
et retrouve les $m_i$ en résolvant le problème facile.

Ce système a été rapidement [craqué](crack_merkle_hellman.pdf), et par conséquent abandonné.



## RSA

Le premier système à résister sérieusement a été RSA, initiales de Rivest-Shamir-Adelman. Il est encore le plus utilisé.
Il repose sur la difficulté de la factorisation des grands entiers. Si on multiplie deux grands nombres premiers $p$ et $q$,
il est impossible en pratique de retrouver $p$ et $q$ à partir de $n=pq$.

Pour construire une clef RSA, on tire au hasard deux nombres premiers $p<q$ de $N$ bits, et on calcule $n=pq$ (le *module*).
On calcule aussi $\varphi(n)=(p-1)(q-1)$ (indicatrice d'Euler).

On choisit ensuite un *exposant public* $2\lt e\lt n-1$, qui doit être inversible modulo $\varphi(n)$, et on calcule son inverse
$d = e^{-1}\mod \varphi(n)$ (l'*exposant privé*). On a donc $ed=1+k\varphi(n)$ pour un certain $k$.

Dans la description originale, $d$ est choisi au hasard et $e$ calculé ensuite,
mais pour des raisons pratiques on utilise souvent les valeurs $e=3,17,257$ ou $65537$.

La clef publique est $(n,e)$, la clef secrète est $(p,q,d)$.

Les messages à chiffrer sont des blocs de $2N$ bits, interprétés comme des entiers modulo $n$. Pour chiffrer un tel message $m$,
on calcule
$$ c= m^e \mod n.$$
Pour déchiffrer $c$, le destinataire calcule
$$ c^d \mod n = m^{ed} \mod n = m^{1+k\varphi(n)} \mod n = m^1 (m^{\varphi(n)})^k \mod n = m$$
au moins si $m$ est premier avec $\varphi(n)$ d'après le théorème d'Euler, et en fait dans tous les cas, à cause
de la forme spéciale de $n$.

On a 
$$c^d = m(m^{k(q-1)})^{p-1}\equiv m \mod p$$
$$c^d = m(m^{k(p-1)})^{q-1}\equiv m \mod q$$
d'après le théorème de Fermat, et on peut donc retrouver $m$ à partir de $m_p = c^d\mod p$ et $m_q=c^d\mod q$ en appliquant le théorème des reste chinois.

En pratique, on complète la clef secrète avec
$$d_p = d\mod (p-1)$$
$$d_q = d\mod (q-1)$$
$$q_{inv} = q^{-1}\mod p$$
et le déchiffrement est obtenu en calculant
$$m_1 = c^{d_p}\mod p$$
$$m_2 = c^{d_q}\mod q$$
$$h = (m_1-m_2)q_{inv} \mod p$$
$$ m = m_2+hq.$$

In [1]:
# Construisons une clef RSA de 512 bits
from random import randrange
from ent3 import *

In [2]:
a = randrange(2*255,2**256-1)
if not a%2: a+=1
a

26500187408045894646773779047611999515297724476034815358742346965632430907347

In [3]:
while not miller_rabin(a):a+=2

In [4]:
p=a

In [5]:
b = randrange(p,2**256-1)
if not b%2: b+=1
while not miller_rabin(b):b+=2

In [6]:
q=b 

In [7]:
print ('%x' % p)
print ('%x' % q)

3a969315486e392c3dfbeb9046d7a25e2cefd3ed32fb68dd5f26ac5564e8204f
d0c3fdec83717e5c79b926bb62a3dc585a5930cb147ba0f9aac225809073f587


In [8]:
n = p*q
print (n)

2502342741777978305394161689835161800308635593678070233706745739850497379826016189955751135672383376951956116000952438972760111920886781584882452875289769


In [9]:
phi_n = (p-1)*(q-1)
e = 257
d = inversemod(e,phi_n)
print (d)

1129462093565157523057286988408088594691835520881930533501877454562870412684061674861262502135092940232711653086400913818719717504109788414970713354381073


In [10]:
d1, d2, q_inv  = d % (p-1), d % (q-1), inversemod(q,p)

In [11]:
print (d1)
print (d2)
print (q_inv)

20519600366541373675906544865660653321183841131248748079337459323583088523683
734843270047991781736235626626299541236651911309911826448204008511863643661
16059359551391899448053333558918060785093890179516929488208050776761986861230


In [12]:
from codecs import encode, decode
def text2int(t):
    assert len(t) <= 64 # 64*8 = 512 bits
    if isinstance(t,str):
        return int(encode(t.encode(),'hex'), 16) # t.encode() nécessaire en Python 3 pour avoir des bytes
    elif isinstance(t,bytes):
        return int(encode(t,'hex'), 16)
    

def int2text(m):
    s = '%x' % m
    if len(s)%2: s = '0'+s
    return decode(s, 'hex')

In [13]:
msg = "L'arithmétique, c'est bien difficile !"
m = text2int(msg)
print (m)

2482049485033484295509148869034669333161266776700492625573073315249287942938347748044373827617


In [14]:
msg.encode() # l'encodage par défaut est celui du système 

b"L'arithm\xc3\xa9tique, c'est bien difficile !"

In [15]:
msg.encode('utf8')

b"L'arithm\xc3\xa9tique, c'est bien difficile !"

In [16]:
# Chiffrement
c = pow(m,e,n)
print (c)

1424921898341682605762331838499604971017849285555226544151583141753235703470686191844906762174964147363721712002777200150575835094876121346964116166603823


In [17]:
# Déchiffrement
test = pow(c,d,n)
print (test)
int2text(test)

2482049485033484295509148869034669333161266776700492625573073315249287942938347748044373827617


b"L'arithm\xc3\xa9tique, c'est bien difficile !"

In [18]:
print(_.decode('utf8'))

L'arithmétique, c'est bien difficile !


In [19]:
# Déchiffrement accéléré avec les paramètres précalculés
m1, m2 = pow(c,d1,p), pow(c,d2,q)
h = (m1-m2)*q_inv % p
test2 = m2 + h*q
print (test2)
print (int2text(test2).decode('utf8'))

2482049485033484295509148869034669333161266776700492625573073315249287942938347748044373827617
L'arithmétique, c'est bien difficile !


In [20]:
print (encode(msg.encode(),'hex'))
print ('%x'%n)

b'4c2761726974686dc3a974697175652c206327657374206269656e20646966666963696c652021'
2fc732504450614349ff94bc8282afec9a4bd4d96ecaf31e0e32634c0e37f62fbd0a487f2196ac8df264720fe7b61e6be22857cf82cc9498960b138d50d1a4a9


Notre message était sensiblement plus court que la clef. 
En pratique, pour éviter de chiffrer des blocs de zéros, qui risqueraient de révéler des indications sur la clef secrère, et pour éviter
que deux messages identiques soient chiffrés de la même manière, on remplace les octets nuls par un bourrage aléatoire, respectant
une norme telle que [PKCS #1](https://tools.ietf.org/html/rfc2313). 

Par exemple, avec un module de $k$ octets, on transmettra des entiers $D$ de moins de $k-11$ octets, sous forme de blocs
de $k$ octets ayant la structure

```00 02 ||bourrage||00||D```

où le bourrage est consitué d'octets aléatoires non nuls.


In [21]:
def pad(D,k,random=True):
    assert len(D)<k-11
    m = k-3-len(D)
    s = open('/dev/urandom','rb').read(m).replace(b'\x00',b'\xff')
    res = b'\x00\x02'+s+b'\x00'+D
    return res

D = msg.encode()

P = pad(D,64); P

b"\x00\x02\xab\xd2\xf7P\xdf\t\x9eM\xa5\xf0\xba\xd6\xf8\xc7\xb4\xe9k\xec\xdbF\xcf\\\x00L'arithm\xc3\xa9tique, c'est bien difficile !"

In [22]:
len(D)

39

In [23]:
m = text2int(P)
m

546490073573023782919833310723505366415935528325926911697419548819970651491447084662782218655660251683607633278569570342040339125483138841796956987425

In [24]:
c = pow(m,e,n)
c

2295163261149511403305503728933624368514007681287606939863821243050574765579241828142902110121753137764180975920166834008405867299008418437194186758123539

In [25]:
test3 = pow(c,d,n)
int2text(test3)

b"\x02\xab\xd2\xf7P\xdf\t\x9eM\xa5\xf0\xba\xd6\xf8\xc7\xb4\xe9k\xec\xdbF\xcf\\\x00L'arithm\xc3\xa9tique, c'est bien difficile !"

## RSA en pratique

Le premier endroit où observer des clefs RSA sur un système Unix est le répertoire `.ssh` d'un utilisateur.

Avant un première utilisation, on crée les clefs par la commande

```
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/jyt/.ssh/id_rsa): ./.ssh/id_rsa
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ./.ssh/id_rsa.
Your public key has been saved in ./.ssh/id_rsa.pub.
The key fingerprint is:
56:1d:12:06:7d:4d:96:52:1d:83:d5:de:c6:3b:39:f7 jyt@scriabine
The key's randomart image is:
+--[ RSA 2048]----+
|        .o+..+**o|
|         ..oo+o +|
|          .... o.|
|         .      =|
|        S      .o|
|       .       =.|
|                =|
|                E|
|                 |
+-----------------+
$ ls .ssh
id_rsa  id_rsa.pub
```

On n'a pas précisé de paramètres, la commande a donc crée par défaut une clef RSA de 2048 bits.
La clef secrète est dans `id_rsa`, la clef publique dans `id_rsa.pub`.

Examinons ces fichiers.

In [27]:
!cat .ssh/id_rsa.pub

ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQC/rbeMXySUYh1A728Vocv9oaijeVOUF9sKzqUBVfAR6PNXtaMYqY49gFM/YvlYSDKwmurF1sVMts9DWS1ofAbu1TqqOScGex2bbVrCfhxWyEcT5PlYnPYBlaJ7/1USbeHWgeFHIArfOzeknEvjsecwoxjOgzRDCRD9q9Pa35PX9IDgGF5z2ojAG5p84sYtJaLvHiSDUxfjZ/0d2aNJ6vKQ7jJhNJxqGmFpwQ+XKSIZ/oS1OffCMvn/cQGXjc14Litl1hdQf8pky6r6TPdUYS62o1qjDsFs1BB9xFnRGDH9BkWaHdychICHsUy3nmBsYgxqMwAfg1olwYNs5Vrqca7x jyt@elzet


In [28]:
!cat .ssh/id_rsa

-----BEGIN RSA PRIVATE KEY-----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Ils sont manifestement encodés en base64. Essayons de déchiffrer leur contenu, en commençant par la clef publique qui est plus simple.

In [29]:
p = open('.ssh/id_rsa.pub','rb').read()

In [30]:
kp = decode(p[p.index(b'A'):p.index(b'jyt')], 'base64') # on découpe le morceau intéressant
kp

b'\x00\x00\x00\x07ssh-rsa\x00\x00\x00\x03\x01\x00\x01\x00\x00\x01\x01\x00\xbf\xad\xb7\x8c_$\x94b\x1d@\xefo\x15\xa1\xcb\xfd\xa1\xa8\xa3yS\x94\x17\xdb\n\xce\xa5\x01U\xf0\x11\xe8\xf3W\xb5\xa3\x18\xa9\x8e=\x80S?b\xf9XH2\xb0\x9a\xea\xc5\xd6\xc5L\xb6\xcfCY-h|\x06\xee\xd5:\xaa9\'\x06{\x1d\x9bmZ\xc2~\x1cV\xc8G\x13\xe4\xf9X\x9c\xf6\x01\x95\xa2{\xffU\x12m\xe1\xd6\x81\xe1G \n\xdf;7\xa4\x9cK\xe3\xb1\xe70\xa3\x18\xce\x834C\t\x10\xfd\xab\xd3\xda\xdf\x93\xd7\xf4\x80\xe0\x18^s\xda\x88\xc0\x1b\x9a|\xe2\xc6-%\xa2\xef\x1e$\x83S\x17\xe3g\xfd\x1d\xd9\xa3I\xea\xf2\x90\xee2a4\x9cj\x1aai\xc1\x0f\x97)"\x19\xfe\x84\xb59\xf7\xc22\xf9\xffq\x01\x97\x8d\xcdx.+e\xd6\x17P\x7f\xcad\xcb\xaa\xfaL\xf7Ta.\xb6\xa3Z\xa3\x0e\xc1l\xd4\x10}\xc4Y\xd1\x181\xfd\x06E\x9a\x1d\xdc\x9c\x84\x80\x87\xb1L\xb7\x9e`lb\x0cj3\x00\x1f\x83Z%\xc1\x83l\xe5Z\xeaq\xae\xf1'

On voit que la structure décodée se compose des 4 octets 0,0,0,7, de la chaîne « ssh-rsa ». Il y a ensuite un entier sur 32 bits en big-endian donnant la longueur de l'exposant public e (en octets, ici 3) , suivi de sa valeur, puis de la longueur de n (même système) et de sa valeur. On peut décoder avec le module struct sans trop de difficulté :

In [31]:
import struct
ll = struct.unpack('!4B7sI3BI257c',kp)
print (ll)

(0, 0, 0, 7, b'ssh-rsa', 3, 1, 0, 1, 257, b'\x00', b'\xbf', b'\xad', b'\xb7', b'\x8c', b'_', b'$', b'\x94', b'b', b'\x1d', b'@', b'\xef', b'o', b'\x15', b'\xa1', b'\xcb', b'\xfd', b'\xa1', b'\xa8', b'\xa3', b'y', b'S', b'\x94', b'\x17', b'\xdb', b'\n', b'\xce', b'\xa5', b'\x01', b'U', b'\xf0', b'\x11', b'\xe8', b'\xf3', b'W', b'\xb5', b'\xa3', b'\x18', b'\xa9', b'\x8e', b'=', b'\x80', b'S', b'?', b'b', b'\xf9', b'X', b'H', b'2', b'\xb0', b'\x9a', b'\xea', b'\xc5', b'\xd6', b'\xc5', b'L', b'\xb6', b'\xcf', b'C', b'Y', b'-', b'h', b'|', b'\x06', b'\xee', b'\xd5', b':', b'\xaa', b'9', b"'", b'\x06', b'{', b'\x1d', b'\x9b', b'm', b'Z', b'\xc2', b'~', b'\x1c', b'V', b'\xc8', b'G', b'\x13', b'\xe4', b'\xf9', b'X', b'\x9c', b'\xf6', b'\x01', b'\x95', b'\xa2', b'{', b'\xff', b'U', b'\x12', b'm', b'\xe1', b'\xd6', b'\x81', b'\xe1', b'G', b' ', b'\n', b'\xdf', b';', b'7', b'\xa4', b'\x9c', b'K', b'\xe3', b'\xb1', b'\xe7', b'0', b'\xa3', b'\x18', b'\xce', b'\x83', b'4', b'C', b'\t', b'\x10', b'\x

L'exposant public est 0x010001 = 65537, et le module $n$ est obtenu à partir des 257 octets suivant la longueur 257 :

In [32]:
nn=ll[10:]
N = int(''.join(map(lambda x: "%02X"%x, map(ord,nn))),16)
print (N)

24197179286847076751267479433531096843909808556802245716741850737709306610630209095849920785452573764685331100203869311911185589435045631598880460398180094783356081371040731411086573360175212809003571417615130967550083085172889965589447863323037820202564159411800029468070675092209232569824831755420473655291845994055252634351126006832264373276055321558278890539694434772450398306253177305863877630248829723619454994737708243342606106336309152591177066470311180531219923044630357544050235563465629102942455163945967779489025449096558359347845799748312800495268065956440209963378476890619202259560003463746530818764529


 C'est donc $N$ qu'il faut factoriser si on veut craquer la clef.

Le décodage de la clef privée est plus complexe. Elle est encodée avec le système [DER](http://www.itu.int/ITU-T/studygroups/com17/languages/X.690-0207.pdf) de l'Union Internationale des Télécommunications. Il existe un module Python, 
[pyasn1](http://snmplabs.com/pyasn1/index.html), qui peut décoder et réencoder.

Structure de la clef privée :

<pre>
-----BEGIN RSA PRIVATE KEY-----
base64data
-----END RSA PRIVATE KEY-----

base64data DER structure:

RSAPrivateKey ::= SEQUENCE {
version Version,
modulus INTEGER, -- n
publicExponent INTEGER, -- e
privateExponent INTEGER, -- d
prime1 INTEGER, -- p
prime2 INTEGER, -- q
exponent1 INTEGER, -- d mod (p - 1)
exponent2 INTEGER, -- d mod (q - 1)
coefficient INTEGER -- q^-1 mod p
}
</pre>

In [33]:
s = open('.ssh/id_rsa').read()
s

'-----BEGIN RSA PRIVATE KEY-----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\nLMe9MOrVBT1YfFboQGuYGdO9qZRL4wH1oBe+9tbP3p

In [34]:
s = s[s.index('\n')+1:]
s = s.replace('\n','')
s = s[:s.index('-')]
s=  decode(s.encode(), 'base64')
s

b'0\x82\x04\xa3\x02\x01\x00\x02\x82\x01\x01\x00\xbf\xad\xb7\x8c_$\x94b\x1d@\xefo\x15\xa1\xcb\xfd\xa1\xa8\xa3yS\x94\x17\xdb\n\xce\xa5\x01U\xf0\x11\xe8\xf3W\xb5\xa3\x18\xa9\x8e=\x80S?b\xf9XH2\xb0\x9a\xea\xc5\xd6\xc5L\xb6\xcfCY-h|\x06\xee\xd5:\xaa9\'\x06{\x1d\x9bmZ\xc2~\x1cV\xc8G\x13\xe4\xf9X\x9c\xf6\x01\x95\xa2{\xffU\x12m\xe1\xd6\x81\xe1G \n\xdf;7\xa4\x9cK\xe3\xb1\xe70\xa3\x18\xce\x834C\t\x10\xfd\xab\xd3\xda\xdf\x93\xd7\xf4\x80\xe0\x18^s\xda\x88\xc0\x1b\x9a|\xe2\xc6-%\xa2\xef\x1e$\x83S\x17\xe3g\xfd\x1d\xd9\xa3I\xea\xf2\x90\xee2a4\x9cj\x1aai\xc1\x0f\x97)"\x19\xfe\x84\xb59\xf7\xc22\xf9\xffq\x01\x97\x8d\xcdx.+e\xd6\x17P\x7f\xcad\xcb\xaa\xfaL\xf7Ta.\xb6\xa3Z\xa3\x0e\xc1l\xd4\x10}\xc4Y\xd1\x181\xfd\x06E\x9a\x1d\xdc\x9c\x84\x80\x87\xb1L\xb7\x9e`lb\x0cj3\x00\x1f\x83Z%\xc1\x83l\xe5Z\xeaq\xae\xf1\x02\x03\x01\x00\x01\x02\x82\x01\x00x1/"WZ\xb1\xac\xe0Y"\x8a\x8e\x8e\xf9B\x1e\x87\x87\x92\x81\xa5 \\Z\xe7\x7f2Z8\x02\x93\x07\\\x1dj\x9b\x01_O\x13S\xa00\xa8\xd8\x01\xd5\xbfF5\'?hR\x95c\\\x00\xe4g[6a\xb6\xd

C'est à ce stade qu'il vaut mieux faire appel au décodeur de pyasn1 :

In [36]:
from pyasn1.codec.der import decoder
der=decoder.decode(s)
der

(<SequenceOf value object, tagSet=<TagSet object, tags 0:32:16>, subtypeSpec=<ConstraintsIntersection object>, componentType=None, sizeSpec=<ConstraintsIntersection object>, payload [<Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [0]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [2419717928684707...3746530818764529]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [65537]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [1517285018833606...3859940738022033]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [1556595946552543...8997631767465957]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [1554493273635817...9837865199303197]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [6405041868056585...7513910247238269]>, <Integer value object, tagSet <TagSet object, tags 0:0:2>, payload [1339098101170082...5539413120708321]>, <Integer value object, ta

In [37]:
(version, n, e, d, p, q, e1, e2, c) = (int(x) for x in der[0])

In [38]:
print ("e = %d" % e)
print (hex(e))
print ("d = ",d)
print ("e*d mod (p-1)*(q-1) = ", e*d % ((p-1)*(q-1)))
print ("p*q-n = ", p*q-n)
print ("N-n = ",  N-n)


e = 65537
0x10001
d =  15172850188336063888999146548071477559248570771347304388810997696967574883864815948150701049455628406239890162242367050261534275261809363116346377161957535363565896576634860572479709663799080983047770990538074783884991140656116592701807527705879720176760824130306883302414886139346299227260195934952841369977350597441906754021159518664780005306118805594715343080488084374604059401335521866192949329558171222548434007661718013724887136902271039720597793760620351506991948830109271399986139475607937692536493513291795644092189491020024173088845020436085238851119034143510539946782308823105168030061480903859940738022033
e*d mod (p-1)*(q-1) =  1
p*q-n =  0
N-n =  0


Il existe un module [rsa](https://stuvel.eu/rsa) pour Python qui permet toutes ces manipulations de clefs.

In [42]:
import rsa

In [43]:
help(rsa)

Help on package rsa:

NAME
    rsa - RSA module

DESCRIPTION
    Module for calculating large primes, and RSA encryption, decryption, signing
    and verification. Includes generating public and private keys.
    
    prevent repetitions, or other common security improvements. Use with care.

PACKAGE CONTENTS
    _compat
    asn1
    cli
    common
    core
    key
    parallel
    pem
    pkcs1
    pkcs1_v2
    prime
    randnum
    transform
    util

CLASSES
    rsa.key.AbstractKey(builtins.object)
        rsa.key.PrivateKey
        rsa.key.PublicKey
    rsa.pkcs1.CryptoError(builtins.Exception)
        rsa.pkcs1.DecryptionError
        rsa.pkcs1.VerificationError
    
    class DecryptionError(CryptoError)
     |  Raised when decryption fails.
     |  
     |  Method resolution order:
     |      DecryptionError
     |      CryptoError
     |      builtins.Exception
     |      builtins.BaseException
     |      builtins.object
     |  
     |  Data descriptors inherited from Crypt

## Signature numérique RSA  (DSA, Digital Signature Algorithm)

La cryptographie à clef publique permet de signer numériquement un document. Le principe est le suivant.
On calcule un hachage $h= H(x)$ du document $x$, et on le chiffre avec sa clef privée.
La signature est $(h,s) = E(h,K_S))$
Alors, tout le monde peut déchiffrer $s$ avec la clef publique, recalculer le hachage et comparer les résultats.

Bien entendu, il y a des précautions à prendre dans le choix des paramètres, du bourrage, etc. Les protocoles
autorisés sont décrits dans
[ce document](fips_186-3.pdf).

Le module `rsa` gère les signatures de façon transparente.

In [44]:
(KP,KS) = rsa.newkeys(512)
print (KP)
print (KS)
message = 'La clef du coffre est dans le pot de fleurs'
signature = rsa.sign(message.encode(), KS, 'SHA-1')
print (message)
signature

PublicKey(7496487422217807100249186541091547368226043268417179401207860425209820899065605033306276356511577186576905015081319687471223001768735907148792531143439169, 65537)
PrivateKey(7496487422217807100249186541091547368226043268417179401207860425209820899065605033306276356511577186576905015081319687471223001768735907148792531143439169, 65537, 1950159666469191346142612285259773732103785826071448061571216448561915199123581901544222566884669543219217288075688163657958376550213443970968184088130561, 6053569893261905312732947326825457214986020551747364100541460524984696150250963553, 1238358118333114706137872610429255662109475762980378879288541106062056673)
La clef du coffre est dans le pot de fleurs


b'PI^\xa5\x97\x92?\xb3c\xa9\xdfg\x1d\xd5\x13$]\xf9g\xea\xcb\xacC\xe2\x1b\xa1\x84\xec\x02q\xc3*"j\xb6\xab\xe1\x04\xdb&\xcd#\xba\x96D\x15\\(\xd3\xfa\xbef\xd4\xc3\x84\xcf~@\x84\xa3\x14\xb6\t#'

In [45]:
rsa.verify(message.encode(), signature, KP)

'SHA-1'

In [46]:
help(rsa.verify)

Help on function verify in module rsa.pkcs1:

verify(message: bytes, signature: bytes, pub_key: rsa.key.PublicKey) -> str
    Verifies that the signature matches the message.
    
    The hash method is detected automatically from the signature.
    
    :param message: the signed message. Can be an 8-bit string or a file-like
        object. If ``message`` has a ``read()`` method, it is assumed to be a
        file-like object.
    :param signature: the signature block, as created with :py:func:`rsa.sign`.
    :param pub_key: the :py:class:`rsa.PublicKey` of the person signing the message.
    :raise VerificationError: when the signature doesn't match the message.
    :returns: the name of the used hash.



## Attaques contre le RSA

En pratique, la mise en oeuvre du RSA nécessite certaines précautions, décrites dans les RFC et autres standards officiels.

L'attaque la plus évidente est la factorisation du module. Ce qui est impossible aujourd'hui sera peut-être possible demain, avec
la découverte de nouveaux algorithmes et l'augmentation de la puissance des machines. 

### Factorisation du module

Ce risque est bien illustré par l'affaire des cartes bancaires.
Jusqu'à une date récente, un paiement par carte bancaire se déroulait ainsi. 
La mémoire de la carte est divisée en deux zones, une accessible avec n'importe quel lecteur, 
et une autre (zone secrète) qui n'est accessible qu'au processeur de la carte, 
et illisible autrement. 
La zone publique contient une valeur d'authentification, qui est obtenue en chiffrant des données publiques 
(comme le numéro de la carte et sa date d'expiration) 
avec une clé RSA secrète. 
Les terminaux de paiement et les distributeurs de billets connaissent la clé publique, 
et l'utilisent pour vérifier la valeur d'authentification, qui est précisément une signature numérique RSA, sans hachage
vu le petit nombre de données.

Si la signature est correcte, la carte est considérée comme authentique, et le code est demandé au client. 
Le terminal envoie le code à la carte qui le compare avec celui contenu dans sa zone secrète, 
et répond « oui » ou «non ». Si la réponse est « oui », le paiement est accepté.

Seulement voilà. Les cartes émises vers 1998 utilisaient la clé publique

$$e=3, \quad n = 2135987035920910082395022704999628797051095341826417406442524165008583957746445088405009430865999$$

Cette clé était trop courte, les algorithmes ayant progressé, 
elle a pu être factorisée. A partir de ce moment, il devenait possible de fabriquer de fausses cartes, 
en chiffrant des données d'authentification fantaisistes sur une carte programmable, et en programmant la carte pour 
qu'elle réponde « oui » (les deux octets 0x90, 0x00 dans son langage) 
quelle que soit la question posée (les fameuses yescards).


L'histoire était racontée sur [ce site](http://www.parodie.com/humpich/home.htm/)
(qui n'existe plus, mais [archive.org](https://web.archive.org/web/20080220223708/http://www.parodie.com/humpich/home.htm/) peut nous le retrouver).

Le programme [msieve](https://sourceforge.net/projects/msieve/)
répond en [18 secondes](http://www-igm.univ-mlv.fr/~jyt/Crypto/4/msieve.log) sur une station de travail moyennement récente. 


### Les clefs faibles

S'il est en général impossible de retrouver $p$ et $q$ à partir de $n = pq$ pour deux grands nombres premiers $p$ et $q$, on connaît de nombreux cas particuliers dans lesquels il est possible de craquer la clé RSA. On trouvera [ici](http://www-igm.univ-mlv.fr/~jyt/Crypto/4/slides_iAWACS09_Erra-Grenier_How-to-compute-RSA-keys.pdf) un exposé récent de l'état de l'art dans ce domaine. Une première chose à réaliser, c'est que si on connaît $\varphi(n)$, alors on peut factoriser $n$. En effet, 
$\varphi(n) = (p-1)(q-1)$, donc $p$ et $q$ sont les deux racines de l'équation du second degré $x^2-(n-\varphi(n)+1)x+n = 0$.

Bien sûr, $\varphi(n)$ n'est pas public, mais dans certaines circonstances, on peut le retrouver. 
C'est le cas si 
$3d<n^{1/4}$, $q<p<2q$
([attaque de Wiener](http://www-igm.univ-mlv.fr/~jyt/Crypto/4/10.1.1.92.5261.pdf)). 
Il existe de nombreuses variantes de cette attaque, et d'autres types de clés faibles. 
Le programme [wiener.py](http://www-igm.univ-mlv.fr/~jyt/Crypto/4/wiener.py) 
montre comment la mettre en oeuvre. Il utilise quelques fonctions de ent.py, une petite collection d'exemples écrite par W. Stein (maître d'oeuvre du projet SAGE) pour illustrer son cours de cryptographie. Ce fichier sera donné au prochain TD.



### Les erreurs de protocole

Même si la clé est résistante, un mauvais usage du système peut être catastrophique.

Par exemple, supposons que $B$ et $B'$ aient le même module $n$ et des exposants publics $e$ et $e'$, avec $pgcd(e,e')=1$.

A envoie un même message $x$ aux deux, donc $y=x^e \mod n$ à $B$ et $y' = x^{e'} \mod n$ à $B'$. Si O intercepte $y$ et $y'$, il peut retrouver x sans factoriser la clé. (Problème du module commun).

Si $B$, $B'$ et $B''$ ont pour modules $n$, $n'$, et $n''$ (deux à deux premiers entre eux) et un même exposant public $e$ (c'est fréquent, beaucoup de systèmes utilisent $e=3$ par exemple), A envoie $x^3 \mod n, n'$ et $n''$ aux trois. O intercepte la communication et peut retrouver x sans factoriser la clé.

### Autres attaques

Il y en a beaucoup, voir [ici](boneh.pdf) pour plus d'information.
