X-Git-Url: http://git.euphorik.ch/?p=crypto_lab3.git;a=blobdiff_plain;f=rapport%2Fmain.tex;h=ef230e36225c3afececa86b00cb0439d72c3e927;hp=f02d7b6d6083ec5744e9c62a584948503798947e;hb=5b2785dd710151d81e6f6af4fd6ae48521068e41;hpb=22aac262156e81085b22bdfcd0cc38950768be9b

diff --git a/rapport/main.tex b/rapport/main.tex
index f02d7b6..ef230e3 100644
--- a/rapport/main.tex
+++ b/rapport/main.tex
@@ -28,6 +28,7 @@
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 \section{Introduction}
 
+Le but de ce laboratoire et de mettre en Åuvre l'attaque \emph{Boneh-DeMillo-Lipton} sur notre propre implÃ©mentation de \emph{RSA-CRT}~\footnote{\emph{Chinese remainder theorem}}. Puis de dÃ©crire et d'implÃ©menter le \flqq truc\frqq\ de \emph{Shamir} afin de prÃ©venir ce type d'attaque.
 
 
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
@@ -35,14 +36,14 @@
 
 \subsection{ImplÃ©mentation}
 
-L'implÃ©mentation utilise le langage \emph{C++11}, le compilateur \emph{GCC} 4.9.1, la \emph{library} \emph{GMP} 6.0.0 ainsi que la systÃ¨me de \emph{build} \emph{QBS}~\footnote{\url{http://qt-project.org/wiki/qbs}}.
+L'implÃ©mentation utilise le langage \emph{C++11}, le compilateur \emph{GCC} 4.9.1, la \emph{library} \emph{GMP} 6.0.0 ainsi que le systÃ¨me de \emph{build} \emph{QBS}~\footnote{\url{http://qt-project.org/wiki/qbs}}.
 
-Le fichier \emph{*.qbs} peut-Ãªtre ouvert Ã  l'aide de l'environnement de dÃ©veloppement \emph{Qt Creator}~\footnote{\url{http://qt-project.org/wiki/Category:Tools::QtCreator}}.
+Le fichier \emph{*.qbs} peut Ãªtre ouvert Ã  l'aide de l'environnement de dÃ©veloppement \emph{Qt Creator}~\footnote{\url{http://qt-project.org/wiki/Category:Tools::QtCreator}}.
 
 
 \subsubsection*{Question 1.1 : Comment s'assure-t-on que les routines implÃ©mentÃ©es fonctionnent correctement ?}
 
-Pour chaque version, standard et restes chinois, une paire de clefs est gÃ©nÃ©rÃ©e puis trois messages sont testÃ©s avec des valeurs diffÃ©rentes correspondantes Ã  $n$, $n-1$ et $n / 2$. Pour le premier cas la vÃ©rification de la signature ne doit pas fonctionner car le \emph{plaintext} est trop grand, dans les deux autres cas, on vÃ©rifie la signature ainsi qu'une signature altÃ©rÃ©e (incrÃ©mentÃ©e de 1).
+Pour chaque version, standard et restes chinois, une paire de clefs est gÃ©nÃ©rÃ©e puis trois messages sont testÃ©s avec des valeurs diffÃ©rentes correspondantes Ã  $n$, $n-1$ et $n / 2$. Pour le premier cas la vÃ©rification de la signature ne doit pas fonctionner car le \emph{plaintext} est trop grand. Dans les deux autres cas, on vÃ©rifie la signature ainsi qu'une signature altÃ©rÃ©e (incrÃ©mentÃ©e de 1).
 
 Les tests peuvent Ãªtre lancÃ©s avec la commande suivante :
 
@@ -66,19 +67,19 @@ qbs run release -- time-measures
    \item \emph{RSA CRT} : $4'466\, ms$ ($223, \mu s$ par signature).
 \end{itemize}
 
-La gÃ©nÃ©ration de signature avec \emph{RSA CRT} est en moyenne 3.25 fois plus rapide.
+La gÃ©nÃ©ration de signatures avec \emph{RSA CRT} est en moyenne 3.25 fois plus rapide.
 
 
-\subsubsection*{Question 1.3 : Quels sont les valeurs que l'on peut prÃ©-calculer est stocker hormis $n$ et $d$ afin d'amÃ©liorer la vitesse de calcul d'une signature avec \emph{RSA-CRT} ?}
+\subsubsection*{Question 1.3 : Quelles sont les valeurs que l'on peut prÃ©-calculer et stocker hormis $n$ et $d$ afin d'amÃ©liorer la vitesse de calcul d'une signature avec \emph{RSA-CRT} ?}
 
-Les valeurs de $p$, $q$, $d_p$, $d_q$ et $q_{inv}$ sont mÃ©morisÃ©es en tant que clef privÃ©e. Celles ci sont calculÃ©es comme suit.
+Les valeurs de $p$, $q$, $d_p$, $d_q$ et $q_{inv}$ sont mÃ©morisÃ©es en tant que clef privÃ©e. Celles-ci sont calculÃ©es comme suit.
 
-{\setlength{\abovedisplayskip}{-4pt}
+{\setlength{\abovedisplayskip}{0pt}
 \begin{flalign*}
    e &= 65537 \\
    \mathbf{p, q} &&\text{deux nombres premiers de 512 bits choisis de maniÃ¨re alÃ©atoire} \\
-   n &= p * q \\
-   \varphi(n) &= (p - 1) * (q - 1) \\
+   n &= p \cdot q \\
+   \varphi(n) &= (p - 1) \cdot (q - 1) \\
    d &= e^{-1} ~(mod ~\varphi(n)) \\
    \mathbf{d_p} &= d ~(mod ~p - 1) \\
    \mathbf{d_q} &= d ~(mod ~q - 1) \\
@@ -88,7 +89,7 @@ Les valeurs de $p$, $q$, $d_p$, $d_q$ et $q_{inv}$ sont mÃ©morisÃ©es en tant que
 
 La signature $sig$ du message $m$ peut Ãªtre ensuite calculÃ©e comme suit.
 
-{\setlength{\abovedisplayskip}{-4pt}
+{\setlength{\abovedisplayskip}{0pt}
 \begin{flalign*}
    s_p &= m^{d_p} ~(mod ~p) &\\
    s_q &= m^{d_q} ~(mod ~q) \\
@@ -101,24 +102,26 @@ La signature $sig$ du message $m$ peut Ãªtre ensuite calculÃ©e comme suit.
 
 \subsection{Fonctionnement}
 
-D'aprÃ¨s le document \cite{Boneh-DeMillo-Lipton-attack} :
+D'aprÃ¨s le document \flqq On the Importance of Eliminating Errors in Cryptographic Computations\frqq~\cite{Boneh-DeMillo-Lipton-attack} $q$ peut Ãªtre retrouvÃ© comme suit :
 
-{\setlength{\abovedisplayskip}{-4pt}
+{\setlength{\abovedisplayskip}{0pt}
 \begin{flalign*}
-   q &= gcd(m - sign'^e, n) &
+   q &= gcd(m - sig'^e, n) &
 \end{flalign*}
 
 OÃ¹ :
 
 \begin{itemize}
-   \item $m$ : le message signÃ© avec $sign'$
-   \item $sign'$ : la signature calculÃ©e avec un $p$ altÃ©rÃ©.
+   \item $m$ : le message signÃ© avec $sig'$.
+   \item $sig'$ : la signature calculÃ©e avec un $p$ altÃ©rÃ©.
+   \item $e$ : l'exposant public.
+   \item $n$ : le module public.
 \end{itemize}
 
 
 Nous pouvons alors facilement retrouver $p$:
 
-{\setlength{\abovedisplayskip}{-4pt}
+{\setlength{\abovedisplayskip}{0pt}
 \begin{flalign*}
    p &= n / q &
 \end{flalign*}
@@ -127,7 +130,7 @@ Il est alors trivial de reconstituer la clef privÃ©e Ã  partir de $p$ et $q$.
 
 \subsubsection*{Question 2.1 : En pratique, comment est-il possible d'introduire des fautes dans l'implÃ©mentation d'un algorithme cryptographique ?}
 
-Voici une liste de techniques issues du document \cite{Barenghi-Breveglieri-Koren-Naccache-fault-injection} :
+Voici une liste de techniques issues du document \flqq Fault Injection Attacks on Cryptographic Devices: Theory, Practice and Countermeasures\frqq~\cite{Barenghi-Breveglieri-Koren-Naccache-fault-injection} :
 
 \begin{itemize}
    \item Variation du niveau de voltage de l'alimentation Ã©lectrique ;
@@ -138,23 +141,23 @@ Voici une liste de techniques issues du document \cite{Barenghi-Breveglieri-Kore
    \item Exposition Ã  une lumiÃ¨re intense.
 \end{itemize}
 
-Il faut aussi ajoutÃ© qu'il est Ã©galement possible d'utiliser des failles logicielles afin d'introduire des anomalies.
+Il faut aussi ajouter qu'il est Ã©galement possible d'utiliser des failles logicielles afin d'introduire des anomalies dans les calculs.
 
 
 \subsubsection*{Question 2.2 : Est-ce que cette attaque fonctionne dans le cas d'un bourrage non dÃ©terministe ?}
 
-Oui, il est possible de rÃ©cupÃ©rer $p$ ou $q$ s'il l'on possÃ¨de une signature valide mais pas le message original :
+Oui, il est possible de rÃ©cupÃ©rer $p$ ou $q$ si l'on possÃ¨de une signature valide mais pas le message original :
 
-{\setlength{\abovedisplayskip}{-4pt}
+{\setlength{\abovedisplayskip}{0pt}
 \begin{flalign*}
-   q &= gcd(sign - sign'^e, n) &
+   q &= gcd(sig - sig'^e, n) &
 \end{flalign*}
 
 OÃ¹ :
 
 \begin{itemize}
-   \item $sign$ : la signature correctement calculÃ©e. 
-   \item $sign'$ : la signature calculÃ©e avec un $p$ altÃ©rÃ©.
+   \item $sig$ : la signature correctement calculÃ©e. 
+   \item $sig'$ : la signature calculÃ©e avec un $p$ altÃ©rÃ©.
 \end{itemize}
 
 
@@ -169,21 +172,57 @@ qbs run -- attack
 
 
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
-\section{Le \flqq truc \frqq de \emph{Shamir}}
+\section{Le \flqq truc\frqq\ de \emph{Shamir}}
 
 \subsection{Fonctionnement}
 
+Le principe consiste Ã  introduire un nombre gÃ©nÃ©rÃ© alÃ©atoirement $r$ dans le calcul de $s_p$ et $s_q$ puis de vÃ©rifier que ces deux parties congrues modulo $r$.
 
+Voici ce qui a Ã©tÃ© implÃ©mentÃ© :
 
+{\setlength{\abovedisplayskip}{0pt}
+\begin{flalign*}
+   \mathbf{r} &&\text{un nombre premier alÃ©atoire de 64 bits} \\
+   exp &= d ~mod ~\varphi(p \cdot \mathbf{r}) \\
+   s_{pr} &= m^{exp} ~mod ~p \cdot \mathbf{r} \\
+   s_{qr} &= m^{exp} ~mod ~q \cdot \mathbf{r}
+\end{flalign*}
 
+Il faut alors vÃ©rifier cette Ã©galitÃ© :
 
+{\setlength{\abovedisplayskip}{0pt}
+\begin{flalign*}
+   s_{pr} ~mod ~\mathbf{r} &= s_{qr} ~mod ~\mathbf{r} &
+\end{flalign*}
 
+Si celle ci est correcte alors on calcul $s_p$ et $s_q$ de la maniÃ¨re suivante, la signature est alors calculÃ©e de la mÃªme faÃ§on que montrÃ©e Ã  la question 1.3. Si l'Ã©galitÃ© n'est pas correct alors un message d'erreur est renvoyÃ©.
+
+{\setlength{\abovedisplayskip}{0pt}
+\begin{flalign*}
+   s_p &= s_{pr} ~mod ~p  \\
+   s_q &= s_{qr} ~mod ~q &
+\end{flalign*}
+
+Une explication complÃ¨te est fournit par le document \flqq Improved Shamir's CRT-RSA Algorithm: A Revisit with the Modulus Chaining Method\frqq~\cite{Lee-Choi-Koren-Dooho-improved-shamirs-crt-rsa}.
+
+
+\subsection{ImplÃ©mentation}
+
+Une tentative d'attaque sur un code utilisant le \flqq truc\frqq\ de \emph{Shamir} est illustrÃ©e dans la fonction \texttt{Tests::doAttackFixed()}. Pour tester cette attaque :
+
+\begin{verbatim}
+qbs run -- attack-fixed
+\end{verbatim}
 
 
 
 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
 \section{Conclusion}
 
+L'implÃ©mentation de RSA Ã  l'aide des restes chinois permet de gagner du temps \emph{CPU} lors de la signature. Un facteur 3.25 a Ã©tÃ© observÃ©. Cette implÃ©mentation Ã©tant vulnÃ©rable Ã  l'attaque \emph{Boneh-DeMillo-Lipton}, l'implÃ©mentation du \flqq truc\frqq\ de \emph{Shamir} a permis de prÃ©venir cette attaque tout en Ã©tant 2.46 fois plus rapide que l'implÃ©mentation standard de \emph{RSA}.
+
+Il faut bien garder Ã  l'esprit que l'implÃ©mentation rÃ©alisÃ©e ici est de type \emph{textbook} et ne doit pas Ãªtre utilisÃ©e telle quelle en pratique. Il manque notamment l'ajout de bourrage tel que \emph{OAEP}.
+
 
 \bibliographystyle{plain}
 \bibliography{main}