=< L'ENCRYPTION >= vue par Subhuman Punisher tsp@works.UUCP cryptology - the study of codes and ciphers cryptography - the act of inventing code or cipher systems cryptanalysis - the breaking of a code or cipher system without benefit of the normal deciphering mechanism(s) ======================================================================= Qu'est-ce que l'encryption? "Cryptography is the art and science of hiding data in plain sight." "It is also the art and science of stealing data hidden in plain sight." -Larry Loen étant petit, vous et vos amis vous êtes peut-être inventé des codes secrets pour vous transmettre des messages. Des codes du genre de remplacer toutes les lettres de l'alphabet par des chiffres, ou bien une charte avec des symboles particuliers pour chaque lettre? C'était une forme primaire d'encryption. L'encryption a commencée à se répandre dès la Première Guerre Mondiale. Des machines spéciales furent créées dans l'unique but d'encrypter et de décrypter des messages, afin que l'ennemi ne puisse lire les messages, s'il tombait par hasard sur un de ceux-ci. Pour faire une courte définition, l'encryption est le moyen par lequel des données (texte ou autre) sont transformées selon un schème précis, afin qu'elles soient illisibles à quelqu'un qui ne posséderait pas le code, ou clé. L'encryption peut être très utile pour prévenir l'écoute téléphonique: autant les conversations par voix que par données (FAX, modem, lignes optiques) peuvent être encryptées. Les ondes radio (CB) peuvent aussi être encryptées. Toutes les opérations inter-bancaires, les lignes data du gouvernement, les cartouches Nintendo, et beaucoup d'autres sont encryptées selon l'algorythme DES et/ou RSA (voir plus bas). Avec tous les formes de communications électroniques disponibles aujourd'hui, l'encryption est appellée à prendre une place de plus en plus importante. Si vous envoyez un message sur un BBS, comment pouvez-vous être sûr que personne n'a lu votre message, avant que le destinataire ne le reçoive? Sur la grande majorité des BBS usuels, les messages sont sauvés en ASCII, ce qui signifie que même le plus beigne des "policiers informatiques", (votre père, au pire aller) pourrait lire vos messages en faisant un "type EMAIL.DAT". Autre chose, le message que vous envoyez sur Internet passe en moyenne par deux serveurs différents du vôtre et de celui de votre destinataire, et souvent bien plus de deux... Si je sais toujours compter, ça donne un total de quatre mainframes, où n'importe quel sysadmin peut décider d'aller faire une virée dans votre "mail", et passer complètement inaperçu. C'est un crime d'ouvrir le courrier postal des gens sans leur consentement, mais aucune loi ne régularise le courrier électronique. Conclusion, il faut ENCRYPTER! La solution, Philip Zimmermann et ses complices l'ont programmée: PGP. Pretty Good Privacy. Le gouvernement états-unien dépense des millions de $ pour trouver une forme d'encryption complètement "incrackable" sauf par eux-mêmes -- nous y reviendrons, et Phil (on a été à l'école ensemble) nous donne aujourd'hui tout cela pour la modique somme de 0$, US$. Eh oui, PGP est FREEWARE. --=] Les standards de l'encryption [=-- DES: Data Encryption standard Le DES a fait son apparition en 1974. Le gouvernement des états-Unis a adopté DES comme le standard d'encryption de toutes les données contenues dans des systèmes informatiques fédéraux en 1977. Le DES s'est ensuite répandu, les sources ayant été rendues publiques, au système bancaire et aux machines FAX. Jusqu'en 1988, tous les cryptographes et mathématiciens croyaient aux vertus de DES. Une génération complète de mathématiciens d'IBM ont passé leur carrière à tenter, sans succès, de cracker DES. Plusieurs autres standards ont été crackés à tour de rôle par des mathématiciens acharnés. Mais le DES est demeuré pendant 11 ans invulnérable, invincible. Mais la technologie a permis l'apparition de CPU des milliers de fois plus rapides que les plus gros ordinateurs de 1977, et ce qui semblait impossible peut arriver d'un moment à l'autre, soutient le directeur de la National Security Agency (NSA) des états-Unis. Le gouvernement fédéral a reconnu la vulnérabilité du DES en 1988. Mais le DES était complètement implanté dans tous les organismes gouvernementaux et bancaires. Après quelques années d'effort, un nouveau standard a fait son apparition sur le marché, le RSA, mais le gourvernement américain est très réticent à adopter cette nouvelle technologie, parce qu'il est incapable de la cracker. Des rumeurs affirment que le gouvernement est capable de cracker DES. La technologie DES: Une clé DES est de 56 digits binaires. Dans le monde binaire des ordinateurs, chaque digit peut être un 1 ou un 0, ce qui fait que le nombre total de clés pouvant être utilisées avec le DES est de 2^56, soit 72 057 594 037 927 936 de façons différentes d'encrypter un message avec DES. Les cryptographes tentent de calculer le temps qui serait requis pour tenter ces 72 quadrillions de clés. Certains disent un mois, d'autres quelques heures sur un supercomputer. Une chose est certaine, c'est que DES est crackable, et qu'il devait être remplacé. RSA: Du nom de ses créateurs, Ronald L. Rivest, Adi Shamir et Leonard M. Adleman. Le standard de l'encryption depuis 1990 environ. La plupart des grosses business nord-américaines, européennes et australiennes l'ont adopté, après que le DES fut prouvé vulnérable. Seul le gouvernement des états-Unis et ses organismes affiliés continuent d'utiliser DES. Le Congrès des états-Unis tente présentement de rendre illégaux les logiciels utilisant la méthode RSA, car le gouvernement est incapable de cracker cette forme d'encryption. Un principe très intéressant amené par le RSA a été le système de private key / public key. Le principe private key existait déjà dans le DES, mais était vulnérable car la clé pouvait être interceptée lorsque qu'elle circulait d'un usager à l'autre. Maintenant, vous pouvez poster votre Public Key n'importe où, et lorsque quelqu'un veut vous envoyer un message, il encrypte son message suivant cette clé et seul le propriétaire de la Private Key peut décrypter le message. D'ailleurs, voici la Public Key de NPC: -----BEGIN PGP PUBLIC KEY BLOCK----- Version: 2.2 mQCNAiu1CqAAAAEEANg3oD3oA8lj6vEpX7zkav82kJbRKIygLHkD8HIVA9rDEWoV ZkXF+GDu5RRY6Ni9gM7AA9ac/76NvJugwbBigd2Tvkqn5u8BeS9OtMPyAtvnDMUR +XRNAlKkr/+gOPzJrcNohlnVhtHMXWdMvQOtTDKU4V9FL96SMABIE14p1onDAAUR tBFOb3J0aGVybiBQaHVuIENvLg== =tHcl -----END PGP PUBLIC KEY BLOCK----- La technologie RSA: ------------------- 1) TEXT ----> 20 05 24 20 Comme dans toutes les méthodes d'encryption informatique, les lettres et caractères ASCII sont d'abord transformés en nombres. Le mot TEXT donne donc 20 05 24 20. 2) 20 05 24 20 = (20 05 24 20 ^ 3488) ö (32453 x 26357) = Y Les nombres sont ensuites pris comme base à un exposant déterminé par la Private Key (3488), et sont ensuite divisés par le produit de deux nombres premiers choisis au hasard. Dans l'exemple ci-haut, 3488 est un nombre fictif et, 32453 & 26357 ne sont pas des nombres premiers, mais le principe est là... Ces nombres ne sont que des proportions, parce que rendu à ce stade-ci, Y = environ 150 digits. Vous suivez toujours? 3) "Y" est transmis au destinataire qui possède la Private Key par le réseau téléphonique, ou whatever. A ce stade-ci, 'Y' est complètement indéchiffrable, sauf pour le détenteur de la Private Key. 4) Le destinataire reçoit son message et le décrypte. Personne n'a pu voir le contenu du message durant le processus de transmission. --=] Certains types d'Encryption [=-- A. Algorythmes 'One-Way' Ces algorythmes mathématiques transforment d'abord tous les caractères à encrypter en chiffres, et en utilisant une équation exponentielle extrêmement complexe, transforment ces chiffre en nombres de 200+ chiffres. Comme le nom l'indique, ces équations ne peuvent être calculées dans le sens contraire, et sont donc absolument indécryptables. Ils sont utilisés pour comparer du texte, entre autres les routines de vérification de password. Le programme Crypt(), pour Unix, utilise ce principe. B. Encryption 'One-Time Pad' Une longue string de caractères ASCII est générée. Le texte à encrypter ne peut pas être plus long que la string, mais peut être plus petit. Le texte est encrypté en XOR'ant le texte selon la string originelle, byte par byte. La clé/string est donnée au destinataire qui peut maintenant décrypter le texte. Cette méthode était très utilisée sur Internet jusqu'à 1985 environ, date où sont apparues des méthodes plus sécures et plus simples. C'est une façon d'encrypter sécure à 98%. C. Encryption dite "Single-Key" C'est le type d'encryption utilisée par DES. Il existe une clé (Private Key), le message est encrypté selon cette clé. Quiconque possède la Private Key peut décrypter et lire le message que vous essayez de cacher. Des rumeurs affirment que le gouvernement américain est capable de cracker DES, ce qui ne serait pas du tout étonnant, vu qu'Il l'a créé... %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ----------------------------------------- D. Encryption Public Key/PGP ===================== This is gaining a large following during the time of this writing with such known programs as RIPEM, PGP, and the availability of RSAREF, a RSA Public Key algorithm libraray. RIPEM, and PGP (Pretty Good Privacy) are both examples of RSA Public Key systems. There are two distinct parts to a Public key system. The PUBLIC key and the PRIVATE key. o The PUBLIC key is given out to everyone you know who would want to send you an encrypted message. o The PRIVATE key you keep secret and do not disclose to anyone. What happens is User A (Iskra) wants to send a message to User B (John-Draper) so Iskra encrypts a message to John-Draper using John-Drapers public key that was given out at the last HoHoCon. No one except John-Draper has the private key to decrypt the message. So he takes his private key, the counterpart to his public key, and decrypts the message sent to him by Iskra. Viola. He now sees that the new Red Boxes are no longer working because AT&T has cinched up the timing checks. However, Veggie (User C) has intercepted the encrypted message and is trying to figure out what they are talking about. But because he doesn't have John-Draper's private key he cannot read it. A successful use of Public Key Encryption. Lectures Suggérées: ~~~~~~~~~~~~~~~~~~~ David Kahn, The Codebreakers, Macmillan, 1967 [histoire] H. F. Gaines, Cryptanalysis, Dover, 1956 Abraham Sinkov, Elementary Cryptanalysis, Math. Assoc. of Amer., 1966 D Denning, Cryptography and Data Security, Addison-Wesley, 1983 Alan G. Konheim, Cryptography: A Primer, Wiley-Interscience, 1981 Meyer and Matyas, Cryptography: A New Dimension in Computer Data Security, John Wiley & Sons, 1982. Cryptologia: a cryptology journal, 4 num./Année depuis Jan 1977. Cryptologia; Rose-Hulman Institute of Technology; Terre Haute Indiana 47803 Gordon Welchman, The Hut Six Story, McGraw-Hill, 1982 Deavours & Hruh, Machine Cryptography and Modern Cryptanalysis (origines...intéressant) Journal of the International Association for Cryptologic Research (4 num./ann/e depuis 1988). The RSA paper: The Comm. of the ACM, Fév. 1978, p. 120 Quelques Addresses: ~~~~~~~~~~~~~~~~~~~ Philip Zimmermann (Auteur de PGP) Boulder Software Engineering 3021 11th st. Boulder, Colorado 80804 (303)541-0140 prz@sage.cgd.ucar.edu Journal of Cryptology Springer-Verlag New York, Inc. Service Center Secaucus 44 Hartz Way Secaucus, New Jersey, 07094 (201)348-4033 Cryptosystems Journal Tony Patti, Editor and Publisher P. O. Box 188 Newtown, PA 18940-0188 (215)579-9888 tony_s_patti@cup.portal.com Forbidden Knowledge PO BOX 770813 Lakewood, Ohio 44107 The Cryptogram Journal of the American Cryptogram Association P. O. Box 6454 Silver Spring, MD 20906 The Cryptogram Computer Supplement Dan Veeneman P. O. Box 7 Burlington, Illinois 60109 The Public Key George H. Foot, Editor Waterfall, Uvedale Road Oxted, Surry RH8 0EW United Kingdom