📑 Table of Contents

Le chiffrement authentifié (AE, pour "authenticated encryption") est une construction de chiffrement qui assure simultanément la confidentialité des données (le message est inintelligible sans posséder la clé[1] ) et leur authenticité (il est impossible de modifier un message existant ou d'en créer un nouveau sans posséder la clé). Cette dernière propriété est obtenue en ajoutant au message un code de contrôle, dépendant du contenu du message, et calculable uniquement avec la clé[2] .

Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.
Si ce bandeau n'est plus pertinent, retirez-le. Cliquez ici pour en savoir plus.

La mise en forme de cet article est à améliorer (mai 2025).

Des exemples de modes de chiffrement offrant un chiffrement authentifié sont GCM et CCM . [1]

De nombreuses construction de chiffrement authentifié (mais pas toutes) permettent au message de contenir des « données associées » (AD) qui ne seront pas couvertes par le chiffrement, mais uniquement par l'authentification (c'est-à-dire qu'elles seront intelligibles sans la clé, mais que leur modification invalidera le message entier). Une utilisation typique est la protection d'un paquet réseau dont la destination est contenue dans l'en-tête. Pour acheminer correctement le paquet, tous les nœuds intermédiaires sur le chemin du message doivent pouvoir lire l'adresse du destinataire, mais il n'est pas souhaitable que cette adresse puisse être modifiée.[3]

On nomme de telles constructions chiffrement authentifié avec données associées, ou AEAD . [3]

Interface de programmation

modifier

L'interface de programmation d'un chiffrement authentifé offrira typiquement les fonctions suivantes:

  • Chiffrement
    • Entrée : texte clair, clé et éventuellement un en-tête (également appelé données authentifiées supplémentaires, AAD, ou données associées, AD ). Le texte clair sera chiffré et authentifié; les données associées ne seront pas chiffrées, mais seront authentifiées.
    • Sortie : texte chiffré et code d'authentification du message (aussi appelé MAC).
  • Déchiffrement
    • Entrée : texte chiffré, clé, code d'authentification et éventuellement un en-tête (si utilisé pendant le chiffrement).
    • Sortie : texte en clair, avec une garantie que le texte en clair ainsi que l'en-tête sont authentiques, ou une erreur si le code d'authentification n'est pas valable.

Histoire

modifier

L'idée d'un chiffrement authentifié est née de l'observation selon laquelle il est en apparence aisé d'assembler un algorithme de chiffrement et un algorithme d'authentification, et de produire une construction vulnérable même quand les algorithmes sous-jacents ne le sont pas individuellement[4],[5]. Cela a été confirmé par l'existence d'un certain nombre d’attaques pratiques sur des protocoles ou des applications déployées en production[6].

Autour des années 2000, un certain nombre d’efforts ont été fournis en direction d'une standardisation de modes garantissant une mise en œuvre correcte. En particulier, un vif intérêt pour les modes sécurisés a été suscité par la publication des variantes CBC authentifiables et parallélisables (IAPM)[7] de Charanjit Jutla (voir OCB et chronologie[8] ).

Six modes de chiffrement authentifié différents ont été définis par la norme ISO/IEC 19772:2009, à savoir les mode OCB (Offset Code Book), Key Wrap, CCM (Counter with CBC-MAC), EAX, EtM (Encrypt-then-MAC), et GCM (Galois/Counter Mode) ont été normalisés dans la norme ISO/IEC 19772:2009[9]. Des méthodes de chiffrement authentifié supplémentaires ont été développées en réponse à la demande du NIST[10]. Les fonctions éponges peuvent être utilisées en mode duplex pour fournir un chiffrement authentifié[11].

Bellare et Namprempre (2000) ont analysé trois méthodes d'assemblage de chiffrement et de MAC, et ont démontré que le chiffrement d'un message suivi de l'application d'un MAC au texte chiffré (l'approche Encrypt-then-MAC) fournit la résistance à une attaque interactive à texte chiffré choisi, à condition que les deux fonctions sous-jacentes répondent à certains de prérequis. Katz et Yung ont étudié cette notion sous le nom de « chiffrement infalsifiable » et ont prouvé qu'elle impliquait une sécurité contre les attaques à texte chiffré choisi[12].

En 2013, le concours CAESAR a été ouvert pour encourager la conception de nouveaux modes de chiffrement authentifié[13].

En 2015, ChaCha20-Poly1305 est ajouté, comme alternative au mode GCM, dans la liste des constructions recommandées l'IETF.

Variantes

modifier

Chiffrement authentifié avec données associées

modifier

Le chiffrement authentifié avec données associées (Authenticated Encryption with Associated Data, ou AEAD) est une variante de chiffrement authentifié qui permet d'ajouter au message confidentiel des « données associées » non confidentielles mais dont l'authenticité est importante. Le destinataire peut simultanément vérifier l’intégrité du message confidentiel et de ses données associées. l'AEAD est utile, par exemple, dans les paquets réseau, dont l'en-tête doit être en accessible en clair pour le routage, mais le contenu doit être confidentiel, les deux nécessitant intégrité et authenticité . La notion d'AEAD a été formalisée par Rogaway (2002). [3]

AEAD avec engagement sur clé

modifier

Le mode AE a été conçu à l'origine principalement pour assurer l'intégrité du texte chiffré : la validation réussie d'un code d'authentification par Alice à l'aide de sa clé symétrique K A indique que le message n'a pas été falsifié par un adversaire Mallory qui ne possède pas la K A. Les schémas AE ne fournissent généralement pas l' engagement envers une clé, une garantie que le déchiffrement échouerait pour toute autre clé. [14] En 2021, la plupart des schémas AE existants (y compris le très populaire GCM) permettent l'authentification sans erreur d'un message généré avec une clé K A (correcte) lorsqu'il est déchiffré avec une deuxième clé K M (erronée), c'est-à-dire que le contenu du texte clair déchiffré sera incorrect, mais le code d'authentification sera considéré valable[15]. Étant donné que l’élaboration d’un message avec une telle propriété nécessite que Mallory possède déjà les clés K A et K M, la question pourrait sembler être d’un intérêt purement académique. [16] Toutefois, dans des circonstances particulières, cette propriété débouche sur des attaques pratiques. Par exemple, si un protocole d'authentification d'identité utilise comme preuve d'identité la génération d'un message chiffré avec une clé dérivée d'un mot de passe, la capacité de créer un message passant la vérification d'authenticité pour un grand nombre de clés différentes permet d'accélérer considérablement une attaque en ligne, dans le cas ou le système d'authentification est utilisable comme un oracle . Naturellement, cette attaque est irréalisable en pratique si les clés sont générées aléatoirement (au lieu d'être dérivées d'un mot de passe)[17].

L'engagement sur clé a été initialement étudié dans les années 2010 par Abdalla et al. [18] et Farshim et al. [19], sous le nom de « chiffrement robuste ». [16],[20]

Pour neutraliser l'attaque décrite ci-dessus lorsqu'il n'est pas possible d'éliminer l'oracle, il est possible d'utiliser un chiffrement AEAD à engagement sur clé qui interdit l'existence de tels messages (passant la vérification d'intégrité avec succès pour plusieurs clés différentes). AEGIS est un exemple de construction AEAD rapide (si le jeu d'instructions AES est présent) et offrant l'engagement envers une clé[21]. Il est possible d'ajouter l'engagement sur clé à un schéma AEAD existant[22].

Assemblage d'un chiffrement authentifié

modifier

Chiffrement-puis-MAC (Encrypt-then-MAC, ou EtM)

modifier
 
Approche EtM

Le texte en clair est d’abord chiffré, puis un MAC est calculé sur le texte chiffré résultant. Le texte chiffré et son MAC sont transmis conjointement. EtM est la méthode d'assemblage standard recommandée par la norme ISO/IEC 19772:2009[9]. C'est la seule méthode qui peut atteindre la définition de sécurité la plus élevée pour le chiffrement authentifié, mais cela ne peut être réalisé que lorsque le MAC utilisé est « fortement infalsifiable » (c'est-à-dire qu'il est impossible, étant donné un message et un code d'authentification correct, de calculer un autre code d'authentification également correct pour le même message)[23].

IPSec a adopté un fonctionnement de type EtM en 2005[24].

En novembre 2014, TLS et DTLS ont reçu des extensions pour EtM avec la RFC 7366[25]. Il existe également diverses suites de chiffrement EtM pour SSHv2 (par exemple, hmac-sha1-etm@openssh.com ).


Chiffrement-et-MAC (Encrypt-and-MAC, E&M)

modifier
 
Approche E&M

Un MAC est calculé sur le texte en clair, et le texte en clair est chiffré indépendamment du MAC. Le MAC du texte en clair et le texte chiffré sont envoyés ensemble. Ce mode est utilisé par exemple dans SSH[26]. Même si l'approche E&M n'a pas été prouvée comme étant intrinsèquement fortement infalsifiable[23] il est possible d'appliquer quelques modifications mineures à SSH pour obtenir l'infalsifiabilité forte dans ce cas particulier[27].


MAC-puis-Chiffrement (Mac-then-Encrypt, MtE)

modifier
 
Approche MtE

Un MAC est calculé sur le texte en clair, puis le texte en clair et le MAC sont concaténés et le résultat est chiffré. Le texte chiffré (contenant le MAC) est transmis. Jusqu'à TLS 1.2, toutes les suites de chiffrement SSL/TLS disponibles utilisaient une construction de type MtE[28].

La construction MtE n'offre pas intrinsèquement l'infalsifiabilité forte[23]. Dans le cas particulier de SSL/TLS, Krawczyk a établi une preuve que SSL/TLS offrait l'infalsifiabilité forte, en raison du codage particulier utilisé avec le mécanisme MtE[29]. Cependant, la preuve de Krawczyk dépendait du caractère aléatoire du vecteur d’initialisation (IV). L'attaque BEAST de 2011 exploitait le caractère prévisible des IVs dans une chaîne de messages, ce qui compromettait tous les algorithmes CBC présents dans TLS 1.0 et inférieurs[30].

De plus, une analyse plus approfondie de SSL/TLS précise que le modèle utilisé est MAC-puis-rembourrage-puis-chiffrement, c'est-à-dire que le texte en clair est d'abord agrandi pour s'aligner sur la taille du bloc de la fonction de chiffrement, selon un schéma de rembourrage précis. Lorsque l'utilisation d'un rembourrage incorrect déclenche une erreur, si l'attaquant est capable de distinguer une erreur de rembourrage d'un MAC erroné, il obtient alors un oracle de rembourrage utilisable pour attaquer le chiffrement. Un exemple d'une telle attaque est Lucky Thirteen .


Notes et références

modifier
(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Authenticated encryption » (voir la liste des auteurs).
  1. a et b Black 2005, p. 1.
  2. Katz et Lindell 2020, p. 116.
  3. a b et c Black 2005, p. 2.
  4. M. Bellare, P. Rogaway et D. Wagner, « A Conventional Authenticated-Encryption Mode », NIST (consulté le 12 mars 2013) : « people had been doing rather poorly when they tried to glue together a traditional (privacy-only) encryption scheme and a message authentication code (MAC) »
  5. T. Kohno, J. Viega et D. Whiting, « The CWC Authenticated Encryption (Associated Data) Mode », NIST (consulté le 12 mars 2013) : « it is very easy to accidentally combine secure encryption schemes with secure MACs and still get insecure authenticated encryption schemes »
  6. « Failures of secret-key cryptography » [archive du 18 avril 2013], Daniel J. Bernstein (consulté le 12 mars 2013)
  7. Jutl, « Encryption Modes with Almost Free Message Integrity », Cryptology ePrint Archive: Report 2000/039, IACR, 1er août 2000 (consulté le 16 mars 2013)
  8. T. Krovetz et P. Rogaway, « The Software Performance of Authenticated-Encryption Modes », Fast Software Encryption 2011 (FSE 2011), IACR,‎ 1er mars 2011 (lire en ligne)
  9. a et b « Information technology -- Security techniques -- Authenticated encryption », 19772:2009, ISO/IEC (consulté le 12 mars 2013)
  10. « Encryption modes development », NIST (consulté le 17 avril 2013)
  11. The Keccak Team, « Duplexing The Sponge »
  12. J. Katz et M. Yung, Fast Software Encryption (FSE): 2000 Proceedings, vol. 1978, coll. « Lecture Notes in Computer Science », 2001, 284–299 p. (ISBN 978-3-540-41728-6, DOI 10.1007/3-540-44706-7_20), « Unforgeable Encryption and Chosen Ciphertext Secure Modes of Operation »
  13. « CAESAR: Competition for Authenticated Encryption: Security, Applicability, and Robustness » (consulté le 12 mars 2013)
  14. Albertini et al. 2020, p. 1-2.
  15. (en-US) « Invisible Salamanders Are Not What You Think », Dhole Moments, 10 septembre 2024 (consulté le 21 février 2025)
  16. a et b Albertini et al. 2020, p. 2.
  17. (en) Julia Len et Paul Grubbs « Partitioning Oracle Attacks » (2021) (lire en ligne)
    USENET '21
  18. Abdalla, Bellare et Neven 2010, p. 480–497.
  19. Farshim et al. 2013, p. 352–368.
  20. Bellare et Hoang 2022, p. 5.
  21. (en) Denis, « The AEGIS Family of Authenticated Encryption Algorithms », cfrg.github.io
  22. Gueron, « Key Committing AEADs », 2020
  23. a b et c « Authenticated Encryption: Relations among notions and analysis of the generic composition paradigm » [archive du 23 janvier 2018], M. Bellare and C. Namprempre (consulté le 13 avril 2013)
  24. Kent, « Separate Confidentiality and Integrity Algorithms », RFC 4303 - IP Encapsulating Security Payload (ESP), Internet Engineering Task Force (IETF),‎ décembre 2005 (lire en ligne, consulté le 12 septembre 2018)
  25. (en) Request for comments no 7366
  26. Lonvick et Ylonen, « Data Integrity », RFC 4253, Internet Engineering Task Force (IETF),‎ janvier 2006 (lire en ligne, consulté le 12 septembre 2018)
  27. Bellare, Kohno et Namprempre, « Breaking and Provably Repairing the SSH Authenticated Encryption Scheme: A Case Study of the Encode-then-Encrypt-and-MAC Paradigm », ACM Transactions on Information and System Security (consulté le 30 août 2021)
  28. Rescorla et Dierks, « Record Payload Protection », RFC 5246, Internet Engineering Task Force (IETF),‎ août 2008 (lire en ligne, consulté le 12 septembre 2018)
  29. « The Order of Encryption and Authentication for Protecting Communications (Or: How Secure is SSL?) », H. Krawczyk (consulté le 13 avril 2013)
  30. Duong et Rizzo, « Here Come The ⊕ Ninjas », 13 mai 2011– BEAST attack whitepaper

Voir aussi

modifier

Bibliographie

modifier

Articles connexes

modifier

📚 Artikel Terkait di Wikipedia

Resonance FM

l'industrie radiophonique britannique. (en) Community Radio licence: Key Commitments (en) The Wire On Air Never mind the xollob, The Guardian, 15/01/2003

Mustang Sally

reprise par Wilson Pickett en 1966. Andrew Strong (pour le film Les Commitments), Buddy Guy et The Young Rascals ont également repris cette chanson.

Le Symbole perdu

Symbol), anciennement connu sous le titre La Clef de Solomon (The Solomon Key) est le troisième livre composant l’hexalogie Robert Langdon, écrite par

Barron Trump

consulté le 24 février 2026) Eleanor Steafel, « Why Barron Trump could be key to Donald winning back the White House », The Daily Telegraph,‎ 7 octobre

Protocole de Minsk

engagements) », sur osce.org, 31 octobre 2014 (en-GB) « Ukraine crisis: Key peace talks in Minsk called off », BBC News,‎ 26 décembre 2014 (lire en ligne

Laure Waridel

Rimouski et la même année Earth Day Canada lui a décerné le « Outstanding Commitment to the Environment Award ». En 2013, elle a été nommée fellow au Centre

Rae Burrell

sur ESPN (consulté le 15 janvier 2025) (en) Dan Fleser, « Lady Vols get commitment from Rae Burrell, a 6-foot-1 wing », sur knoxnews.com, 7 novembre 2017

Tournoi de tennis de Rome (WTA 2025)

mondial) et la lauréate de la dernière édition de l'Open d'Australie, Madison Keys (n°6 mondial). A l'issue du tournoi et après son élimination précoce au 3e