rapport/main.tex

   1 \documentclass[a4paper,10pt]{article}
   2
   3 \usepackage[francais]{babel}
   4 \usepackage[utf8]{inputenc}
   5 \usepackage[T1]{fontenc}
   6 \usepackage{lmodern}
   7
   8 \usepackage{amssymb,amsmath,amsthm}
   9
  10 \usepackage{graphicx}
  11 \usepackage{listings}
  12 \usepackage{url}
  13 \usepackage{upquote}
  14 \usepackage{color}
  15 \usepackage[usenames,dvipsnames]{xcolor}
  16
  17 \title{ICR - Labo \#3 : \textit{Attaque par faute contre RSA-CRT}}
  18 \author{G.Burri}
  19
  20
  21 \begin{document}
  22
  23 \nocite{*}
  24
  25 \maketitle
  26
  27
  28 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  29 \section{Introduction}
  30
  31
  32
  33 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  34 \section{RSA-CRT}
  35
  36 \subsection{Implémentation}
  37
  38 L'implémentation utilise le langage \emph{C++11}, le compilateur \emph{GCC} 4.9.1, la \emph{library} \emph{GMP} 6.0.0 ainsi que la système de \emph{build} \emph{QBS}~\footnote{\url{http://qt-project.org/wiki/qbs}}.
  39
  40 Le fichier \emph{*.qbs} peut-être ouvert à l'aide de l'environnement de développement \emph{Qt Creator}~\footnote{\url{http://qt-project.org/wiki/Category:Tools::QtCreator}}.
  41
  42
  43 \subsubsection*{Question 1.1 : Comment s'assure-t-on que les routines implémentées fonctionnent correctement ?}
  44
  45 Pour chaque version, standard et restes chinois, une paire de clefs est générée puis trois messages sont testés avec des valeurs différentes correspondantes à $n$, $n-1$ et $n / 2$. Pour le premier cas la vérification de la signature ne doit pas fonctionner car le \emph{plaintext} est trop grand, dans les deux autres cas, on vérifie la signature ainsi qu'une signature altérée (incrémentée de 1).
  46
  47 Les tests peuvent être lancés avec la commande suivante :
  48
  49 \begin{verbatim}
  50 qbs run -- tests
  51 \end{verbatim}
  52
  53
  54 \subsubsection*{Question 1.2 : Quel est le gain en terme de temps d'exécution lors de la création d'une signature avec \emph{RSA-CRT} par rapport à la version standard ?}
  55
  56 Les mesures sont réalisées en générant $20'000$ signatures. Vingt paires de clefs différentes sont utilisées.
  57
  58 Les temps sont mesurés à l'aide de la commande suivante :
  59
  60 \begin{verbatim}
  61 qbs run release -- time-measures
  62 \end{verbatim}
  63
  64 \begin{itemize}
  65    \item \emph{RSA} standard : $14'800\, ms$ ($740\, \mu s$ par signature).
  66    \item \emph{RSA CRT} : $4'466\, ms$ ($223, \mu s$ par signature).
  67 \end{itemize}
  68
  69 La génération de signature avec \emph{RSA CRT} est en moyenne 3.25 fois plus rapide.
  70
  71
  72 \subsubsection*{Question 1.3 : Quels sont les valeurs que l'on peut pré-calculer est stocker hormis $n$ et $d$ afin d'améliorer la vitesse de calcul d'une signature avec \emph{RSA-CRT} ?}
  73
  74 Les valeurs de $p$, $q$, $d_p$, $d_q$ et $q_{inv}$ sont mémorisées en tant que clef privée. Celles ci sont calculées comme suit.
  75
  76 \begin{flalign*}
  77    e &= 65537 \\
  78    \mathbf{p, q} &&\text{deux nombres premiers de 512 bits choisis de manière aléatoire} \\
  79    n &= p * q \\
  80    \varphi(n) &= (p - 1) * (q - 1) \\
  81    d &= e^{-1} ~(mod ~\varphi(n)) \\
  82    \mathbf{d_p} &= d ~(mod ~p - 1) \\
  83    \mathbf{d_q} &= d ~(mod ~q - 1) \\
  84    \mathbf{q_{inv}} &= q^{-1} ~(mod p)
  85 \end{flalign*}
  86
  87
  88 La signature $sig$ du message $m$ peut être ensuite calculée comme suit.
  89
  90 \begin{flalign*}
  91    s_p &= m^{d_p} ~(mod ~p) &\\
  92    s_q &= m^{d_q} ~(mod ~q) \\
  93    \mathbf{sig} &= s_q + ((q_{inv} \cdot (s_p - s_q)) ~mod ~p) \cdot q
  94 \end{flalign*}
  95
  96
  97 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
  98 \section{L'attaque de \emph{Boneh-DeMillo-Lipton}}
  99
 100 \subsection{Fonctionnement}
 101
 102 D'après le document \cite{Boneh-DeMillo-Lipton-attack} :
 103
 104 \begin{flalign*}
 105    q &= gcd(m - sign'^e, n) &
 106 \end{flalign*}
 107
 108 Où :
 109
 110 \begin{itemize}
 111    \item $m$ : le message signé avec $sign'$
 112    \item $sign'$ : la signature calculé avec un $p$ altéré.
 113 \end{itemize}
 114
 115
 116 Nous pouvons alors facilement retrouver $p$:
 117
 118 \begin{flalign*}
 119    p &= n / q &
 120 \end{flalign*}
 121
 122 Il est alors trivial de reconstituer la clef privée à partir de $p$ et $q$.
 123
 124 \subsubsection*{Question 2.1 : En pratique, comment est-il possible d'introduire des fautes dans l'implémentation d'un algorithme cryptographique ?}
 125
 126 Voici une liste de techniques issues du document \cite{Barenghi-Breveglieri-Koren-Naccache-fault-injection} :
 127
 128 \begin{itemize}
 129    \item Variation du niveau de voltage de l'alimentation électrique ;
 130    \item Injection d’irrégularités dans le \emph{clock} de l'horloge ;
 131    \item Champs magnétique ;
 132    \item Émission de radiations ;
 133    \item Surchauffe de l'appareil ;
 134    \item Exposition à une lumière intense.
 135 \end{itemize}
 136
 137
 138 \subsubsection*{Est-ce que cette attaque fonctionne dans le cas d'un bourrage non déterministe ?}
 139
 140
 141
 142
 143 \subsection{Implémentation}
 144
 145 Cette attaque est illustrée dans la fonction \texttt{Tests::doAttack()}. Pour tester cette attaque :
 146
 147 \begin{verbatim}
 148 qbs run -- attack
 149 \end{verbatim}
 150
 151
 152 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 153 \section{Le \flqq truc \frqq de \emph{Shamir}}
 154
 155 \subsection{Fonctionnement}
 156
 157 (maths)
 158
 159 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 160 \section{Conclusion}
 161
 162
 163 %
 164 % Fault Injection Attacks on Cryptographic Devices: Theory, Practice and Countermeasures
 165
 166
 167 \bibliographystyle{plain}
 168 \bibliography{main}
 169
 170 \end{document}