Mode de fonctionnement du chiffrement par blocs

Article principal : Chiffrement authentifié

Le mode ECB peut également rendre les protocoles sans protection d’intégrité encore plus sensibles aux attaques par rejeu, puisque chaque bloc est décrypté exactement de la même manière.

Chaînage de blocs de chiffrement (CBC)Edit

CBC

Chaînage de blocs de chiffrement

Cryptage parallélisable

.

Non

Décryptage parallélisable

Oui

Accès aléatoire en lecture

Oui

Ehrsam, Meyer, Smith et Tuchman ont inventé le mode de fonctionnement par enchaînement de blocs de chiffrement (CBC) en 1976. En mode CBC, chaque bloc de texte en clair est soumis à un XOR avec le bloc de texte chiffré précédent avant d’être chiffré. De cette façon, chaque bloc de texte chiffré dépend de tous les blocs de texte en clair traités jusqu’à ce point. Pour que chaque message soit unique, un vecteur d’initialisation doit être utilisé dans le premier bloc.

Si le premier bloc a l’indice 1, la formule mathématique du chiffrement CBC est

C i = E K ( P i ⊕ C i – 1 ) , {\displaystyle C_{i}=E_{K}(P_{i}\oplus C_{i-1}),}

C 0 = I V , {\displaystyle C_{0}=IV,}

alors que la formule mathématique du décryptage CBC est

P i = D K ( C i ) ⊕ C i – 1 , {\displaystyle P_{i}=D_{K}(C_{i})\oplus C_{i-1},}

C 0 = I V . {\displaystyle C_{0}=IV.}

ExempleEdit

CBC a été le mode de fonctionnement le plus utilisé. Ses principaux inconvénients sont que le chiffrement est séquentiel (c’est-à-dire qu’il ne peut pas être parallélisé), et que le message doit être paddé à un multiple de la taille du bloc de chiffrement. L’un des moyens de résoudre ce dernier problème consiste à utiliser la méthode connue sous le nom de vol de texte chiffré. Notez qu’un changement d’un bit dans un texte en clair ou un vecteur d’initialisation (IV) affecte tous les blocs de texte chiffré suivants.

Le déchiffrement avec l’IV incorrect entraîne la corruption du premier bloc de texte en clair, mais les blocs de texte en clair suivants seront corrects. Cela est dû au fait que chaque bloc est soumis à un XOR avec le texte chiffré du bloc précédent, et non le texte en clair, de sorte que l’on n’a pas besoin de déchiffrer le bloc précédent avant de l’utiliser comme IV pour le déchiffrement du bloc actuel. Cela signifie qu’un bloc de texte en clair peut être récupéré à partir de deux blocs adjacents de texte chiffré. Par conséquent, le décryptage peut être parallélisé. Notez qu’une modification d’un bit du texte chiffré entraîne la corruption complète du bloc de texte en clair correspondant, et inverse le bit correspondant dans le bloc de texte en clair suivant, mais le reste des blocs reste intact. Cette particularité est exploitée dans différentes attaques par oracle de remplissage, comme POODLE.

Les vecteurs d’initialisation explicites tirent parti de cette propriété en faisant précéder le texte en clair d’un seul bloc aléatoire. Le chiffrement se fait normalement, sauf que l’IV n’a pas besoin d’être communiqué à la routine de déchiffrement. Quel que soit le IV utilisé par le décryptage, seul le bloc aléatoire est « corrompu ». Il peut être jeté en toute sécurité et le reste du décryptage est le texte en clair original.

Chaînage par blocs de chiffrement propageant (PCBC)Edit

PCBC

Chaînage par blocs de chiffrement propageant

Encryptage parallélisable

.

Non

Décryptage parallélisable

Non

Accès aléatoire en lecture

Non

Le mode de chaînage de blocs de chiffrement à propagation ou de chiffrement en texte clair-Le mode de chaînage de blocs a été conçu pour que de petites modifications du texte chiffré se propagent indéfiniment lors du déchiffrement, ainsi que lors du cryptage. En mode PCBC, chaque bloc de texte en clair est soumis à une opération XOR avec le bloc de texte en clair précédent et le bloc de texte chiffré précédent avant d’être chiffré. Comme pour le mode CBC, un vecteur d’initialisation est utilisé dans le premier bloc.

Les algorithmes de chiffrement et de déchiffrement sont les suivants :

C i = E K ( P i ⊕ P i – 1 ⊕ C i – 1 ) , P 0 ⊕ C 0 = I V , {\displaystyle C_{i}=E_{K}(P_{i}\oplus P_{i-1}\oplus C_{i-1}),P_{0}\oplus C_{0}=IV,}

P i = D K ( C i ) ⊕ P i – 1 ⊕ C i – 1 , P 0 ⊕ C 0 = I V . {\displaystyle P_{i}=D_{K}(C_{i})}\oplus P_{i-1}\oplus C_{i-1},P_{0}\oplus C_{0}=IV.}

PCBC est utilisé dans Kerberos v4 et WASTE, notamment, mais n’est pas courant autrement. Sur un message chiffré en mode PCBC, si deux blocs de texte chiffré adjacents sont échangés, cela n’affecte pas le déchiffrement des blocs suivants. Pour cette raison, le mode PCBC n’est pas utilisé dans Kerberos v5.

Retour de chiffrement (CFB)Edit

Full-bloc CFBEdit

CFB

Cipher feedback

Encryptage parallélisable

Non

.

Décryptage parallélisable

Oui

Accès aléatoire en lecture

Oui

Le mode rétroaction de chiffrement (CFB), dans sa forme la plus simple, consiste à utiliser la totalité de la sortie du chiffrement par blocs. Dans cette variation, il est très similaire au CBC, fait d’un chiffrement par blocs un chiffrement par flux auto-synchronisant. Le décryptage CFB dans cette variation est presque identique au cryptage CBC effectué en sens inverse :

C i = {IV , i = 0 E K ( C i – 1 ) ⊕ P i , sinon P i = E K ( C i – 1 ) ⊕ C i , {\displaystyle {\begin{aligned}C_{i}&={\begin{cases}{\text{IV}},&i=0\\E_{K}(C_{i-1})\oplus P_{i},&{\text{otherwise}}\end{cases}}\\P_{i}&=E_{K}(C_{i-1})\oplus C_{i},\end{aligned}}}

CFB-1, CFB-8, CFB-64, CFB-128, etc.Edit

NIST SP800-38A définit CFB avec une largeur de bit. Le mode CFB requiert également un paramètre entier, noté s, tel que 1 ≤ s ≤ b. Dans la spécification du mode CFB ci-dessous, chaque segment de texte en clair (Pj) et chaque segment de texte chiffré (Cj) est constitué de s bits. La valeur de s est parfois incorporée dans le nom du mode, par exemple, le mode CFB 1 bit, le mode CFB 8 bits, le mode CFB 64 bits ou le mode CFB 128 bits.

Ces modes tronqueront la sortie du chiffrement par blocs sous-jacent.

I 0 = IV . {\displaystyle I_{0}={\text{IV}}.}

I i = ( ( I i – 1 ≪ s ) + C i ) mod 2 b , {\displaystyle I_{i}={\big (}(I_{i-1}\ll s)+C_{i}{\big )}{\bmod {2}^{b},}

C i = MSB s ( E K ( I – 1 ) ) ) ⊕ P i , {\displaystyle C_{i}=\operatorname {MSB} _{s}{\big (}E_{K}(I_{i-1}){\big )}\oplus P_{i},}

P i = MSB s ( E K ( I i – 1 ) ) ⊕ C i , {\displaystyle P_{i}=\operatorname {MSB} _{s}{\big (}E_{K}(I_{i-1}){\big )}\oplus C_{i},}

CFB-1 est considéré comme auto-synchronisant et résilient à la perte de texte chiffré ; « Lorsque le mode CFB 1 bit est utilisé, alors la synchronisation est automatiquement restaurée b+1 positions après le bit inséré ou supprimé. Pour d’autres valeurs de s dans le mode CFB, et pour les autres modes de confidentialité de cette recommandation, la synchronisation doit être restaurée de manière externe. » (NIST SP800-38A). C’est-à-dire que la perte d’un bit dans un chiffrement par blocs de 128 bits de largeur comme AES rendra 129 bits invalides avant d’émettre des bits valides.

CFB peut également s’auto-synchroniser dans certains cas particuliers autres que ceux spécifiés. Par exemple, un changement d’un bit dans CFB-128 avec un chiffrement par bloc sous-jacent de 128 bits, se resynchronisera après deux blocs. (Cependant, CFB-128 etc ne gérera pas la perte de bits de manière gracieuse ; une perte d’un bit fera perdre au déchiffreur son alignement avec le chiffreur)

CFB comparé à d’autres modesEdit

Comme le mode CBC, les changements dans le texte en clair se propagent à jamais dans le texte chiffré, et le chiffrement ne peut pas être parallélisé. Toujours comme le mode CBC, le déchiffrement peut être parallélisé.

CFB, OFB et CTR partagent deux avantages par rapport au mode CBC : le chiffrement par blocs n’est jamais utilisé que dans le sens du chiffrement, et le message n’a pas besoin d’être capitonné à un multiple de la taille du bloc de chiffrement (bien que le vol de texte chiffré puisse également être utilisé pour le mode CBC afin de rendre le capitonnage inutile).

Rétroaction de sortie (OFB)Edit

OFB

Rétroaction de sortie

Encryptage parallélisable

Non

Décryptage. parallélisable

Non

Accès aléatoire en lecture

Non

Le mode de rétroaction de sortie (OFB) transforme un chiffrement par blocs en un chiffrement par flux synchrone. Il génère des blocs de flux de clés, qui sont ensuite soumis à un XOR avec les blocs de texte en clair pour obtenir le texte chiffré. Tout comme avec les autres chiffrages par flux, le fait de retourner un bit dans le texte chiffré produit un bit retourné dans le texte en clair au même endroit. Cette propriété permet à de nombreux codes correcteurs d’erreurs de fonctionner normalement même lorsqu’ils sont appliqués avant le chiffrement.

En raison de la symétrie de l’opération XOR, le chiffrement et le déchiffrement sont exactement les mêmes :

C j = P j ⊕ O j , {\displaystyle C_{j}=P_{j}\oplus O_{j},}

P j = C j ⊕ O j , {\displaystyle P_{j}=C_{j}\oplus O_{j},}

O j = E K ( I j ) , {\displaystyle O_{j}=E_{K}(I_{j}),}

I j = O j – 1 , {\displaystyle I_{j}=O_{j-1},}

I 0 = IV . {\displaystyle I_{0}={\text{IV}}.}

Chaque opération de chiffrement par blocs avec rétroaction en sortie dépend de toutes les précédentes, et ne peut donc pas être effectuée en parallèle. Cependant, comme le texte en clair ou le texte chiffré n’est utilisé que pour le XOR final, les opérations de chiffrement par blocs peuvent être effectuées à l’avance, ce qui permet d’effectuer l’étape finale en parallèle une fois que le texte en clair ou le texte chiffré est disponible.

Il est possible d’obtenir un flux de clés en mode OFB en utilisant le mode CBC avec une chaîne constante de zéros en entrée. Cela peut être utile, car cela permet d’utiliser des implémentations matérielles rapides du mode CBC pour le cryptage en mode OFB.

L’utilisation du mode OFB avec un bloc partiel comme rétroaction comme le mode CFB réduit la longueur moyenne du cycle par un facteur de 232 ou plus. Un modèle mathématique proposé par Davies et Parkin et corroboré par des résultats expérimentaux a montré que ce n’est qu’avec une rétroaction complète qu’il est possible d’obtenir une longueur moyenne de cycle proche du maximum pouvant être obtenu. Pour cette raison, le support de la rétroaction tronquée a été supprimé de la spécification de l’OFB.

Compteur (CTR)Edit

CTR

Compteur

Encryptage parallélisable

.

Oui

Décryptage parallélisable

Oui

Accès aléatoire en lecture

Oui

Note : Le mode CTR (CM) est également connu sous le nom de mode compteur d’entiers (ICM) et de mode compteur d’entiers segmenté (SIC).

Comme OFB, le mode compteur transforme un chiffrement par bloc en un chiffrement par flux. Il génère le bloc de flux de clés suivant en chiffrant les valeurs successives d’un « compteur ». Le compteur peut être n’importe quelle fonction qui produit une séquence qui est garantie de ne pas se répéter pendant une longue période, bien qu’un compteur réel d’incrémentation par un soit le plus simple et le plus populaire. L’utilisation d’une simple fonction d’entrée déterministe était autrefois controversée ; les critiques soutenaient que « l’exposition délibérée d’un cryptosystème à une entrée systématique connue représente un risque inutile ». Cependant, aujourd’hui, le mode CTR est largement accepté et tout problème est considéré comme une faiblesse du chiffrement par blocs sous-jacent, qui est censé être sûr indépendamment du biais systémique de son entrée. Avec le CBC, le mode CTR est l’un des deux modes de chiffrement par blocs recommandés par Niels Ferguson et Bruce Schneier.

Le mode CTR a été introduit par Whitfield Diffie et Martin Hellman en 1979.

Le mode CTR a des caractéristiques similaires à l’OFB, mais permet également une propriété d’accès aléatoire pendant le déchiffrement. Le mode CTR est bien adapté pour fonctionner sur une machine multiprocesseur où les blocs peuvent être chiffrés en parallèle. De plus, il ne souffre pas du problème de cycle court qui peut affecter l’OFB.

Si l’IV/nonce est aléatoire, alors ils peuvent être combinés avec le compteur en utilisant n’importe quelle opération inversible (concaténation, addition, ou XOR) pour produire le bloc de compteur unique réel pour le cryptage. Dans le cas d’un nonce non aléatoire (comme un compteur de paquets), le nonce et le compteur doivent être concaténés (par exemple, en stockant le nonce dans les 64 bits supérieurs et le compteur dans les 64 bits inférieurs d’un bloc de compteur de 128 bits). Le simple fait d’ajouter ou de soumettre à un test XOR le nonce et le compteur en une seule valeur compromettrait la sécurité dans le cas d’une attaque par texte choisi dans de nombreux cas, car l’attaquant pourrait être en mesure de manipuler l’ensemble de la paire IV-compteur pour provoquer une collision. Une fois qu’un attaquant contrôle la paire IV-compteur et le texte en clair, le XOR du texte chiffré avec le texte en clair connu donnerait une valeur qui, lorsqu’elle est XORée avec le texte chiffré de l’autre bloc partageant la même paire IV-compteur, décrypterait ce bloc.

Notez que le nonce dans ce diagramme est équivalent au vecteur d’initialisation (IV) dans les autres diagrammes. Cependant, si les informations de décalage/localisation sont corrompues, il sera impossible de récupérer partiellement ces données en raison de la dépendance au décalage d’octet.

.