Attaque de Wiener

Modèle:À sourcer

L’attaque de Wiener, du nom du cryptologue Michael J. WienerModèle:Sfn, est une attaque cryptographique contre le chiffrement RSA, utilisable lorsque l'exposant privé d est petitModèle:Sfn.

Le système RSA est un système de chiffrement à clé publique. Alice et Bob sont deux personnes voulant communiquer de façon sécurisée. Plus précisément, Alice veut envoyer à Bob un message qu'il sera le seul à pouvoir déchiffrer. Tout d'abord Bob choisit deux nombres premiers p et q, puis il calcule le module n = pq. Il calcule ensuite ${\displaystyle \phi (n)=(p-1)(q-1)}$ où ${\displaystyle \phi }$ est la fonction indicatrice d'Euler. Bob choisit ensuite un entier e inférieur et premier à ${\displaystyle \phi (n)}$ qui sera appelé exposant de chiffrement, puis calcule son inverse modulo n, c'est-à-dire que ${\displaystyle ed\equiv 1(\mathrm{mod}\phi (n))}$.

Le théorème RSA stipule qu'on a alors ${\displaystyle M\equiv M^{ed}(\mathrm{mod}n)}$. Bob envoie alors le couple (n,e) appelé clé publique et garde pour lui le couple (n,d) appelé clé privée. Pour chiffrer le message M, Alice fait l'opération ${\displaystyle C\equiv M^e(\mathrm{mod}n)}$ et elle transmet le message chiffré C à Bob. Pour déchiffrer, Bob calcule ${\displaystyle C^d\equiv (M^e{)}^d\equiv M^{ed}\equiv M(\mathrm{mod}n)}$ et retrouve ainsi le message d'origine.

Si on connaît la factorisation de n, on peut facilement récupérer la clé secrète d en utilisant l'algorithme d'Euclide; et en connaissant la clé secrète d, on peut facilement retrouver la factorisation de n.

L'attaque de Wiener consiste à retrouver d à partir de la clé publique (n,e).

Le théorème de Wiener dit que lorsque les conditions ${\displaystyle d<\frac{1}{3}{n}^{\frac{1}{4}}}$ (d trop petit) et ${\displaystyle q<p<2q}$ (qui signifie que p et q ont le même nombre de chiffres en binaire, ce n'est pas une hyptohèse restrictive pour utiliser RSA) sont remplies, il est facile de retrouver d.

Ce résultat peut être amélioré en remarquant (dans la démonstration qui suit) que ${\displaystyle p<q<2p}$ entraîne ${\displaystyle p+q-1<(2\sqrt{2})\sqrt{n}}$ (pour cela on multiplie simplement par ${\displaystyle q}$ l'inégalité de droite). Cela permet d'imposer une condition moins restrictive : ${\displaystyle d<\frac{1}{2\cdot 2^{\frac{1}{4}}}{n}^{\frac{1}{4}}\approx \frac{1}{2.38}{n}^{\frac{1}{4}}}$.

Comme ${\displaystyle ed\equiv 1(\mathrm{mod}\phi (n))}$, il existe un entier k vérifiant ${\displaystyle ed=k\phi (n)+1}$.

Alors on a ${\displaystyle |ed-k\phi (n)|=1}$ et ${\displaystyle |\frac{e}{\phi (n)}-\frac{k}{d}|=\frac{1}{d\phi (n)}}$.

L'attaquant va alors utiliser ${\displaystyle n}$ comme approximation de ${\displaystyle \phi (n)}$ car ${\displaystyle \phi (n)=(p-1)(q-1)=n-p-q+1}$ et donc ${\displaystyle n-\phi (n)=p+q-1<3\sqrt{n}}$ du fait que ${\displaystyle q<p<2q}$.

On obtient alors : ${\displaystyle |\frac{e}{n}-\frac{k}{d}|=|\frac{ed-kn}{nd}|=|\frac{ed-kn-k\phi (n)+k\phi (n)}{nd}|=|\frac{1-k(n-\phi (n))}{nd}|=|\frac{k(n-\phi (n))-1}{nd}|=|\frac{k(p+q-1)-1}{nd}|<|\frac{3k\sqrt{n}}{nd}|}$

Or, ${\displaystyle ke<k\phi (n)=de-1<de}$ donc ${\displaystyle k<d<\frac{1}{3}{n}^{\frac{1}{4}}}$.

D'où : ${\displaystyle |\frac{e}{n}-\frac{k}{d}|<\frac{3}{d\sqrt{(}n)}\times \frac{n^{\frac{1}{4}}}{3}<\frac{1}{d{n}^{\frac{1}{4}}}<\frac{1}{2d^2}}$.

Le nombre de fractions ${\displaystyle \frac{k}{d}}$ (avec d<n) qui approchent ${\displaystyle \frac{e}{n}}$ de si près est borné par log₂(n). En fait, tous les nombres rationnels qui satisfont cette inégalité sont des réduites du développement en fraction continue de ${\displaystyle \frac{e}{n}}$, d'après un résultat classique sur les fractions continues^[1]Modèle:,^[2]. L'attaquant n'a plus qu'à calculer les log(n) premières réduites du développement en fraction continue de ${\displaystyle \frac{e}{n}}$, l'un d'eux sera égal à ${\displaystyle \frac{k}{d}}$ (qui est une fraction irréductible car comme ${\displaystyle ed-k\phi (n)=1}$, on a ${\displaystyle pgcd(k,d)=1}$).

Un algorithme en temps linéaire suffit alors pour retrouver la clé secrète d.

Modèle:… Modèle:Références

• Modèle:Article
• Modèle:Ouvrage.
• Modèle:Article

Modèle:Sources à lier

• Nicolas Douziech et Thomas Jannaud, Attaque de clés RSA par la méthode de Wiener
• Modèle:En Dan Boneh, Twenty years of attacks on the RSA cryptosystem
• Forum sur la cryptographie

• Chiffrement RSA
• Cryptanalyse

Modèle:Portail