dochistoire de la cryptologie - UFR 6
download 
Plainte Transcription
histoire de la cryptologie - UFR 6
M ATHEMATI Q UE S , INFOR MATI QU E , T ECHNOLO GI E S, SCIENC E S
DE L’INFOR M ATI ON ET DE LA
COMMU NI C ATI ON
HISTOIRE
DE LA CRYPTOLOGIE
Philippe Guillot
Septembre 2014
Master Mathématiques Fondamentales et Protection de l'Information
1/92
Remerciements
Ce document doit beaucoup à Marie-José Durand-Richard qui, dès 2006, a créé le premier
cours d'histoire de la cryptologie au sein du master de Mathématiques Appliquées au Codage
et à la Cryptologie de l'Université Paris 8.
C'est également elle qui a été à l'origine des journées d'études sur les enjeux de la cryptologie
qui se sont tenues à l'Université Paris 8 les 10 mai 2007 et 22 mai 2008. Ces journées ont
réuni de nombreux acteurs présents et passés de la cryptologie et de son histoire.
Qu'elle soit chaleureusement remerciée pour le considérable travail de pionnière d'historienne
de la cryptologie qu'elle a effectué.
2/92
Table des matières
1
2
3
4
5
Repérage des principaux aspects abordés .......................................................................................... 5
1.1
Introduction............................................................................................................................. 5
1.2
La démarche de l'historien des sciences ..................................................................................... 7
1.3
La nature de la cryptologie ....................................................................................................... 9
1.4
Les grandes étapes de l'histoire de la cryptologie. ......................................................................12
Les premiers procédés ....................................................................................................................15
2.1
Une tradition de l'écriture secrète .............................................................................................15
2.2
La scytale lacédémonienne ......................................................................................................15
2.3
Le mythe de la scytale .............................................................................................................17
2.4
Le chiffre de César..................................................................................................................17
2.5
Les premières cryptanalyses ....................................................................................................19
2.6
Transpositions ........................................................................................................................22
Le chiffre polyalphabétique .............................................................................................................27
3.1
La cryptographie occidentale avant la Renaissance....................................................................27
3.2
La cryptographie diplomatique à la Renaissance. ......................................................................28
3.3
La genèse de la cryptographie polyalphabétique. .......................................................................29
L'émergence d'une méthode analytique en cryptanalyse. ...................................................................37
4.1
Les origines ............................................................................................................................37
4.2
François Viète (1540 – 1603) ...................................................................................................37
4.3
Charles Babbage .....................................................................................................................39
4.4
Kasiski ...................................................................................................................................41
4.5
Le chiffre français de 1870 à la première guerre mondiale. ........................................................43
La mise en place des réseaux de communication et la mécanisation du chiffrement.............................45
5.1
Contexte.................................................................................................................................45
5.2
Sur le besoin de chiffrer: .........................................................................................................45
5.3
Le télégraphe de Chappe. ........................................................................................................46
5.4
Le télégraphe électrique...........................................................................................................47
5.5
Le téléphone ...........................................................................................................................48
5.6
La télégraphie sans fil (TSF)....................................................................................................48
5.7
Auguste Kerckhoffs (1835 – 1901)...........................................................................................49
5.8
Gaétan de Viaris......................................................................................................................50
5.9
Vernam (1890 – 1960) .............................................................................................................52
5.10
6
Les machines électromécaniques. .........................................................................................55
La rencontre avec les mathématiques ...............................................................................................58
6.1
William Friedman (1891 – 1969) .............................................................................................58
6.2
L'indice de coïncidence ...........................................................................................................59
6.3
Lester Hill (1891 – 1961) ........................................................................................................60
6.4
Reformulation des systèmes anciens.........................................................................................63
6.5
La cryptanalyse anglaise pendant la seconde guerre mondiale. ...................................................64
3/92
6.6
7
8
9
10
La cryptanalyse de la machine .................................................................................................65
Shannon et la théorie de l'information. .............................................................................................67
7.1
Le travail de Shannon pendant la deuxième guerre mondiale......................................................68
7.2
L'analogie entre système de communications et système de confidentialité. ................................69
7.3
Le langage comme un processus stochastique. ..........................................................................70
7.4
L'information et le sens du message. ........................................................................................72
7.5
Les « desiderata » des systèmes de chiffrement selon Shannon. ..................................................72
7.6
La mathématisation de l'ingénierie ...........................................................................................73
7.7
L'entropie ...............................................................................................................................74
7.8
La confusion et la diffusion. ....................................................................................................74
La cryptologie à l'âge de l'électronique et de l'informatique ...............................................................76
8.1
Le contexte de la guerre froide .................................................................................................76
8.2
Le développement de l'électronique et de l'informatique ............................................................76
8.3
Cryptographie institutionnelle et gouvernementale ....................................................................78
8.4
Le DES (Data Encryption Standard).........................................................................................79
La révolution des clés publiques. .....................................................................................................81
9.1
Contexte.................................................................................................................................81
9.2
Les points marquants de cette période ......................................................................................82
9.3
Les précurseurs.......................................................................................................................83
9.4
Les nouvelles orientations de la cryptographie ..........................................................................84
9.5
Le RSA..................................................................................................................................87
Les tendances actuelles de la recherche en cryptologie ..................................................................90
4/92
1
Repérage des principaux aspects abordés
1.1
Introduction
Outre le fait d'aborder ce domaine particulier de l'histoire des sciences et des techniques qu'est la
cryptologie, ce cours s'inscrit dans une démarche pour démocratiser la connaissance du mode de
fonctionnement de ce nouveau vecteur au-delà de son simple usage, afin d'en mesurer les enjeux. Il
a principalement pour objectif de :
-
donner les moyens aux futurs acteurs de la cryptologie, chargés de la définition et de la mise en
œuvre des systèmes, pour analyser l'impact de leur activité sur le monde ;
-
proposer aux futurs enseignants des outils pédagogiques dans ce domaine en pleine évolution.
1.1.1 Omniprésence de la cryptologie aujourd'hui
La cryptologie est aujourd'hui présente partout dans notre quotidien. « L’homme moderne porte sur
lui, sans forcément le savoir, un ou plusieurs processeurs cryptographiques » (Jacques Stern) :
Téléphone mobile, carte bancaire, passeport biométrique, carte d'assuré social, carte monéo, passe
navigo, carte de TV à péage, clé de démarrage de véhicule, badge d’accès Vigik, carte vitale.
Dans une automobile, le moteur est apparié à l'habitacle par une authentification cryptologique
destinée à lutter contre le trafic non contrôlé des pièces et des moteurs.
Les applications téléchargées sur les téléphones portables, les mises à jour en ligne des logiciels
sont signées numériquement.
Certaines communications sur internet sont protégées par la cryptologie : transactions du commerce
électronique, protection de la vie privée (Pretty Good Privacy).
Nous vivons aujourd'hui un âge d'or de la cryptologie. Il est possible de chiffrer une information
avec une garantie quasi absolue de rester hors de portée de tout procédé de décryptement, même si
cette affirmation est à considérer avec circonspection.
Le développement de la cryptologie accompagne celui des communications électroniques par
réseaux d'ordinateur. Un signe de ce développement est la loi 2000-230 du 13 mars 2000 qui donne
une valeur juridique à la signature électronique, et où il est stipulé dans l'article 1316-3 :
L'écrit sur support électronique a la même force probante que l'écrit sur support papier.
1.1.2 La cryptologie n'est pas une activité neutre
Enjeu de pouvoir et de domination
La cryptologie a longtemps été confinée aux cercles militaires et diplomatiques auxquels elle a
emprunté un vocabulaire guerrier. On y parle d'adversaire, d'attaque, d'ennemi, de pirate. Les
exemples de textes dans les traités de cryptologie citent souvent des batailles, des lieux de combats,
des agents en mission, des espions. Elle est présentée comme une lutte incessante entre codeurs et
briseurs de code.
En cachant une information réservée à un destinataire privilégié, elle est un moyen d'exclusion au
service du pouvoir politique, de la force armée ou de la police. Son histoire est jalonnée d’enjeux de
pouvoir, d'argent, de violence, de batailles, de mort.
Les activités consommatrice de cryptologie ne sont pas neutres :
- Industrie militaire, missile nucléaire, radiocommunications du champ de bataille ;
- Domaine bancaire, protection des transactions financières et des contrats commerciaux ;
- Industrie de la carte à puce : passeport biométrique, identification, contrôle social.
- Commerce électronique sur internet.
5/92
Instrument de protection de la vie privée
La cryptologie est aussi un moyen de défense et de protection de la vie privée. Elle peut rendre
inefficace les écoutes de la police ou des services secrets. Le mouvement Cypher Punk d'inspiration
anarchiste présente la cryptologie comme un moyen pour l'individu de préserver sa vie privée
contre l'emprise grandissante de l'État. C'est dans la mouvance de ce mouvement que Philip
Zimmermann a élaboré en 1991 le logiciel PGP (Pretty Good Privacy) pour la protection du
courrier électronique, qu'il présente comme un outil au service des droits humains (human right
tool).
Par ailleurs, la cryptologie est au cœur d'une opposition entre liberté individuelle et contrôle social,
dont les termes sont:
-
Une demande croissante dans la sphère publique pour sécuriser les échanges commerciaux ou
privés, voire pour créer de nouveaux services,
La souveraineté des états dans leur mission d'assurer la sécurité des populations et de lutter
contre le banditisme et les organisations mafieuses.
Cette tension n'a rien de nouveau dans son principe, mais devient une question cruciale qui s'est
manifestée très explicitement dans les années 1990 entre les tenants d'une cryptologie contrôlée par
les états, afin d'empêcher qu'elle ne protège les actions des organisations malveillantes, mafieuses
ou terroristes, et les partisans de sa libéralisation, poussés par le développement du commerce
électronique.
Certains mouvements politiques revendiquent encore avec force cette libéralisation dans les
endroits du globe où elle n'est toujours pas effective, comme en Chine ou en Iran.
Un usage aujourd'hui libre
Jusqu'en 1998, date des premières mesures de libéralisation de la cryptologie, l'usage de la
cryptographie était considéré par la loi de la plupart des pays développés, dont la France et les États
Unis d'Amérique, comme une arme de guerre, au même titre que les munitions et les explosifs.
Détenir illégalement un moyen de chiffrement était passible de condamnations pénales.
Afin de développer le commerce électronique, la « loi pour la confiance dans l'économie
numérique » du 21 juin 2004 affirme maintenant dans son article 30:
« L’usage des moyens de cryptologie est libre ».
Cette libéralisation ne s’est pas déroulée sans heurt. En 1991, il était stipulé dans la réglementation
française :
Si les nouvelles technologies de l'information et de la communication permettent des
gains considérables en efficacité et en productivité pour les personnes et les entreprises
honnêtes, elles profitent également aux organisations criminelles ou terroristes. Dans le
cadre de la protection des personnes et des biens, de la sécurité intérieure et de la
défense nationale, l'État doit mettre en place les mesures nécessaires pour éviter que ces
technologies ne facilitent, en toute impunité et en toute discrétion, le développement
d'actions ou de trafics illégaux (petite et grande délinquance, terrorisme, mafia,
pédophilie, blanchiments d'argent, fraudes financières, espionnage industriel,...).
Réglementation française en matière de cryptologie, SCSSI, 1991
Cette tension se manifeste encore aujourd'hui. Le rapport public d'orientation des travaux de
recherche et de développement en matière de sécurité des systèmes d'informations de 2008,
accessible sur www.ssi.gouv.fr/site_article41.html, témoigne encore de cette contradiction. D'une
part il y est affirmé la crainte que « ces mêmes dispositifs (cryptographiques) [puissent] également
être détournée de leur objectif pour restreindre les prérogatives de l'état en lui interdisant d'exercer
en totalité sa souveraineté », et d'autre part, dans le même document, il est reconnu que « le premier
enjeu lié au développement de la société de l'information est celui de la protection de la vie privée.
6/92
(…) C'est aussi celui qui restera le plus important pour assurer la confiance de notre société dans le
numérique. »
Les marqueurs RFID (Radio Frequency IDentification tag) 1 par leur capacité à lire des informations
à distance, sont présentés comme une contribution à l'accroissement de la productivité, mais, en
raison de leur présence dans les pièces d'identité et les cartes de payement, sont également perçus
comme une « menace sur la protection de l'identité numérique de chacun ».
On voit se dessiner de multiples réseaux dans la société. L'appartenance à ces réseaux définit
l'identité d'un individu. Au sein de ces réseaux, la frontière public/privé se déplace. La cryptologie
agit comme un moyen de confiner une information à l'intérieur d'un réseau particulier, tout comme
l'argot, le verlan, au sein de certaines corporations, agit à la fois comme un signe de reconnaissance
et d'exclusion. Citons par exemple, le largonji, né au bagne de Brest au 19° siècle et dont certains
termes sont cités dans les mémoires de Vidoq, ainsi que sa variante des bouchers le louchébem.
Les acteurs de la cryptologie doivent avoir conscience des enjeux de leur activité. Interroger
l'histoire permet de mettre en perspective les enjeux sociaux et sociétaux d'aujourd'hui.
1.2
La démarche de l'historien des sciences
Le rapprochement des mots histoire et science porte une certaine contradiction. La science est
souvent présentée en dehors du temps avec une prétention à l'universalité. A l'opposé, en histoire, le
temps, le contexte, les contingences et les circonstances sont des notions centrales. Le point
commun est une interrogation constante de la vérité, et comme pour les sciences, le récit historique
est construit.
Les différentes façons de faire de l'histoire.
Dans l'antiquité, l'histoire apologétique ou hagiographique, biographie des saints, des rois et des
empereurs, tels Thucydide – histoire de la guerre du Péloponnèse, et Suetone – la vie des douze
césars, raconte l'histoire du vainqueur. L'historien est au service du pouvoir, pour entretenir le
mythe du héros. C'est une histoire peu objective. En histoire des sciences, il existe des récits à la
gloire des « génies de la science » qui inventeraient ex nihilo leurs géniales découvertes.
L'histoire chronologique et événementielle est une description des faits dans le temps. En histoire
des sciences, elle est une description de la construction des idées scientifiques. Or un fait historique
n'existe pas en tant que tel. Il est construit parce qu'on l'a raconté. Un fait dont on ne parle pas, qui
n'est pas transmis, relayé, utilisé, pas ne marque pas l'histoire. L'histoire est construite par son récit
bien plus que par ses acteurs. De même, dans l'histoire des sciences, un texte n'existe que s'il est
connu. Il est alors lu, enseigné, utilisé, contredit. Son importance dépend de son impact.
L'histoire contextuelle met en avant le contexte dans l'élaboration et l'émergence de la nouveauté.
« Un fait ne prend sens que dans la lumière qui le baigne » (Pierre Lévy, dans La machine univers).
L'idée ne se développe pas pour elle-même. La création de nouveaux savoir n'a jamais eu lieu
autrement qu'à partir d'une connaissance antérieure, une connaissance des anciens sur laquelle le
scientifique s'appuie, même si c'est parfois pour la transgresser. Galilée par exemple a affirmé
publiquement l'idée de l'héliocentrisme en opposition avec l'institution, idée citée par Archimède
qu'il attribue à Aristarque de Samos, apparue probablement aux environs de 280 avant J.C.
Un exemple.
- L'additivité de l'aire sous l'hyperbole a été découvert au 16 e siècle par le jésuite belge, Grégoire
de Saint Vincent (1584-1667), connu également pour ses travaux sur la quadrature du cercle.
« Si les abscisses d'une hyperbole équilatère croissent en progression géométrique, les
1
Les RFID sont des petits objets qui peuvent être incorporés sur ou dans des objets ou des organismes vivant et qui
peuvent répondre à distance à des requêtes d'identification par radio -fréquence.
7/92
aires des surfaces découpées entre l'hyperbole et son asymptote par les lignes
ordonnées correspondantes croissent en progression arithmétique ».
-
L'écossais John Napier (1550-1617), connu en France sous le nom de Neper, a introduit le
logarithme comme des nombres artificiels qui permettent de transformer des multiplications en
additions pour simplifier les calculs de vitesse. Les logarithmes seront très utilisés par les
astronomes, mais aussi par les commerçants et les banquiers pour traiter le problème du loyer de
l'argent.
-
Le signe de l'intégrale et de la différentielle est dû à Gottfried Liebnitz (1646-1716).
𝑥 𝑑𝑥
En conclusion, la formule ∫1
𝑥
= log(𝑥) est une réalisation collective.
Le scientifique ne crée jamais seul, mais toujours dans un contexte social qui lui prépare le terrain.
Le récit de de la création du savoir scientifique s'efforce souvent de minorer environnement afin de
mettre en spectacle le miracle de figures humaines supérieures au génie inaccessible à tous.
Les approches internalistes et externalistes
La vision internaliste du développement scientifique tend à négliger l'importance du contexte dans
la construction de la science. Selon cette vision, l'idée se développe pour elle- même, donnant à la
science le pouvoir associé à une vérité universelle. Cette position tend par exemple à ignorer que le
calcul infinitésimal, c'est développé dans une logique du mouvement, après l'abandon du
géocentrisme, et le dépassement de l'idéal de contemplation né dans la Grèce antique.
A l'opposé, la vision externaliste donne une importance majeure aux facteurs externes, qu'ils soient
psychologiques, sociaux, culturels, institutionnels, politiques, économiques, organisationnels,
restreignant de ce fait l'autonomie du pouvoir scientifique.
Ce clivage doit être dépassé. Il y a des développements internes, mais aussi des changements de
paradigmes ou de représentation, de façon de penser, marqués, et même induits par le contexte
extérieur.
La résonance des faits historiques dans leur succession construit un récit qui donne une direction a
posteriori à l'histoire et à l'évolution des idées. Le résultat de cette évolution qu'est la situation
actuelle n'est pas pour autant un but. Il n'y a pas de main invisible, de maître du jeu historique qui
guide et manipule les acteurs.
Éviter le regard rétrospectif.
L'histoire récurrente, ou rétro histoire, consiste à développer une vision du passé avec le regard
d'aujourd'hui. Elle conduit à une explication des faits historiques à la lumière du futur, alors que
ceux-ci sont bien évidemment le résultat d'un contexte particulier et de leur passé.
Un regard par trop rétrospectif conduit à ignorer les conditions de production, ainsi que les idées et
les théories qui ont été développées dans un certain contexte, mais qui sont devenues obsolètes et
n'ont pas survécu, comme le phlogistique, fluide particulier porteur de la combustion. Cette théorie
développée à la fin du 17e siècle par Georg Ernst Sthal (1659-1734) a été abandonnée suite à
l'observation de l'implication de l'oxygène dans la combustion. Pourtant, sa remise en question a été
un élément essentiel du développement de la chimie organique et des phénomènes d'oxydoréduction.
L'exemple de Kerckhoffs. Auguste Kerckhoffs a écrit un article en 1883 « la cryptographie
militaire » dans lequel il a énoncé les desiderata des systèmes cryptographiques, connus aujourd'hui
sous le nom de principe de Kerckhoffs. Il a mis en avant une ligne de partage entre ce qui doit être
maintenu secret, et ce qui peut sans inconvénients être connu de l'ennemi. Cette ligne de parta ge a
ensuite été déplacée, tendant à augmenter la partie publique et réduire la partie secrète. La
révolution de la cryptologie à clé publique, présentée par Diffie et Hellman en 1976, a marqué le
déplacement extrême de cette ligne de partage. Ce n'est pas pour autant que Kerckhoffs doive être
8/92
présenté comme un précurseur des clés publiques, suivant l'élan d'une tendance à vouloir mythifier
les esprits géniaux et visionnaires. Ces principes ont été présentés dans le contexte de la
professionnalisation de la cryptographie et c'est ce contexte qui permet de comprendre le mieux ce
qui a régit leur élaboration. Kerckhoffs n'a pas développé de nouveauté mathématique, mais c'est le
premier à parler de système cryptographique. Cette notion a remplacé la question du message secret
entre deux acteurs particuliers, parce qu'à ce moment-là, le réseau télégraphique se développait,
imposant des nouvelles conditions d'exercice des transmissions. La cryptographie ne pouvait plus
être une activité personnelle. Elle se professionnalisait.
C'est le contexte qui intervient dans le l'émergence des idées nouvelles. Bien évidemment, le texte
de Kerckhoffs faisait partie de la culture de Diffie et Hellman, et il leur a bien-sûr servi lorsqu'ils
ont élaboré la cryptographie à clé publique au milieu des années 1970.
1.3
La nature de la cryptologie
Une activité sociale
La cryptologie s'est développée pour répondre à des besoins manifestes de la société. Elle existe
pour répondre à un besoin social de confidentialité des échanges. Tous les dispositifs rendent in fine
un service à des acteurs qui veulent protéger une information, ou pour donner confiance à ces
acteurs qui communiquent sur un espace public. Les relations de ces acteurs s'inscrivent dans la
sphère publique ou privée, au sein d'une organisation de la société, et cela bien sûr est du ressort des
sciences sociales.
La cryptologie est par définition une activité sociale, et peut ainsi être examinée d'un
point de vue sociologique. Elle est une communication secrète, et la communication est
sans doute l'activité humaine la plus variée et la plus complexe. Elle ne comprend pas
seulement les mots, mais les gestes, les expressions du visage, le ton de la voix, et même
le silence. Un regard peut exprimer une histoire avec plus de douceur qu'un vers.
Foncièrement, toutes les formes de communication sont des ensembles d'arrangements
entre certains sons, signes ou symboles et certaines choses. On doit être partie prenante
de ces règles préétablies si on veut communiquer.
Mais toutes les formes de communications ne sont pas toujours connues de tous. Ceux
qui arrivent à connaître un système que ceux autour d'eux ne connaissent pas, peuvent
l'utiliser pour communiquer secrètement. Les troupes irlandaises envoyées au Congo
sous mandat des Nations Unies en 1960 parlaient en Gaelic à la radio, et le
commandant de l'ONU, le général suédois Carl von Horn a appelé cela le meilleur code
du Congo. Il s'agit là de cryptographie par défaut, reposant sur une ignorance fortuite –
une cryptographie défective. La cryptographie effective établit des règles de
communications particulières qui dénie l'information à ceux qui, sinon, comprendraient
les messages.
La rétention d'information constitue l'élément essentiel de qu'on appelle le « secret ».
Toutes les manifestations du secret, le camouflage, le déguisement, les portes
verrouillées, ont en commun l'idée de base de ne pas communiquer des objets ou des
informations. Sa forme extrême est le silence (mis en défaut dans le cauchemar
orwellien dans la forme extrême d'espionnage – la détection et l'interprétation des
ondes cérébrales). Une investigation exhaustive du concept de secret, demanderait de
comprendre tous les aspects du comportement culturel, (...) parce que le secret est
l'antithèse de la communication, et la communication fait de l'homme un être social. La
cryptographie combine cette antithèse en une seule opération; on pourrait la définir en
un mot comme une « communication non communicante ».
[1] David Kahn, The Code Breakers, p. 752
9/92
Mathématiques et cryptologie
Si aujourd'hui, la cryptologie constitue indéniablement une branche importante des mathématiques
appliquées, il n'en a pas toujours été ainsi. Elle a été pratiquée comme manipulation du langage écrit
avant d'être investie par les mathématiciens. Longtemps, les seules techniques apparentées aux
mathématiques se limitaient au comptage pour le décryptement, introduit par les sciences arabes dès
le 9° siècle.
L'utilisation explicite des structures mathématiques, et en particulier algébriques en cryptologie
semble avoir débuté avec le chiffre de Lester Hill (1890 – 1961) en 1929, qui utilise des matrices
modulo 26, taille de l'alphabet latin, initiant un mouvement qui fait aujourd'hui de la cryptologie
une activité indéniablement mathématique.
Les mathématiques utilisées aujourd'hui en cryptologie sont l'algèbre linéaire, l'algèbre
commutative, les probabilités, les statistiques, la géométrie algébrique, la théorie des nombres. Ces
domaines ont principalement été développés au 19 e et surtout au 20e siècle.
Réciproquement, certains problèmes mathématiques, en particulier arithmétiques, ont connu un
immense regain d'intérêt avec la cryptologie, et des progrès considérables ont été faits sous son
impulsion. Les techniques de factorisation des grands entiers ont progressé avec le besoin d'avérer
la sécurité du système RSA qui repose sur l'hypothèse selon laquelle la factorisation des grands
entiers reste un problème difficile.
Autres implications scientifiques et technologiques
Les calculs cryptologiques sont réalisés dans des calculateurs ou des dispositifs spécialement
conçus pour cela, et bien sûr la cryptologie investit aussi beaucoup l'informatique tant théorique
qu'appliquée, avec l'algorithmique, la théorie de la complexité, la théorie des automates, les
systèmes embarqués comme la carte à puce, les réseaux.
L'évolution récente de la cryptologie fait largement appel aux sciences physiques. Un calcul ne peut
plus se détacher du dispositif qui l'exécute. Outre l'électronique numérique, qui intervient dans la
réalisation des calculateurs, de nouveaux modèles d'attaques reposent sur des mesures physiques de
consommation, de rayonnement ou de temps de calcul, voire sur l'injection volontaire de fautes.
Des développements récents impliquent également la physique quantique, avec la cryptologie
quantique, le calcul quantique pour la factorisation des entiers, et également l'optique pour les
liaisons à très haut débit.
La cryptologie ne s'est établie que récemment, au cours du dernier quart du vingtième siècle,
comme une discipline académique, au carrefour entre science, société et industrie.
Un art ou une science ?
Certains cryptologues comme Oded Goldreich, dont la contribution concerne principalement la
théorie cryptographique, revendiquent avec force le caractère scientifique de la cryptologie. Ceci
pose la question de la nature du savoir dans ce que serait cette scie nce cryptologique. S'agit- il de la
recherche d'une vérité cryptologique qui préexisterait à la construction du savoir, comme les étoiles
préexistent à leur classification et leur étude en astronomie, ou comme l'électricité préexiste à sa
découverte ?
Les récits modernes affirment également que la science participe à l'émancipation de l'humanité, par
la maîtrise de la nature et la libération des contraintes imposée par elle. Grâce à la science, les
hommes n'auront plus jamais faim. Ces récits sont largement mis en question aujourd'hui. Il suffit
par exemple de penser à l'écologie, courant destiné à lutter contre les effets destructeurs de
l'industrie sur la planète, et en sciences économiques, avec la mise en cause des modèles financ iers
qui ont conduit depuis 2008 à une crise économique et sociale majeure.
L'idée d'une vérité, non pas préexistante à sa découverte par les scientifiques, mais qui est le résultat
10/92
d'une construction sociale est largement partagée aujourd'hui (voir par exemple Jean-François
Lyotard, La condition postmoderne, 1979).
Ces récits modernes ne s'appliquent finalement pas à la cryptologie, art permettant de construire des
dispositifs performants et qui apporteront la confiance et des garanties aux acteurs sociaux. Le
service apporté par la cryptologie est ici davantage d'ordre juridique et symbolique. La question
n'est pas de savoir « pourquoi ce système cryptologique approche-t- il la vérité? », mais plutôt
« quels sont les arguments logiques et contradictoires qui permettront d'apporter une preuve de
l'authenticité d'un message ? D’assurer que les informations transmises n'ont pas été divulguées ? »
L'inversion narrative. Dans les études historiques, on note souvent un écart important entre
l'image qu'une nation ou un groupe a de son passé – le récit historique – et ce que montre
l'enregistrement des faits. Dans les cas extrêmes, il semble parfois que plus le récit est élo igné
de la réalité, plus il est répété de manière inflexible et sa validité affirmée. C'est l'inversion
narrative. (...)
L'inversion narrative en cryptologie. La cryptologie moderne peut être vue comme une
science appliquée à l'intersection entre les mathématiques et l'informatique. (...)
Une des raisons pour laquelle la cryptographie comporte un élément subjectif si fort est que la
spéculation en est un élément central. Quand on décide sur le type de cryptographie à utiliser
(...), lorsqu'on choisit le type de protocole pour une application donnée (...), on doit faire un
pari sur les développements futurs pour évaluer les problèmes fondamentaux de sécurité du
système. On doit se demander : quel type d'adversaire aurai-je des chances de rencontrer, et
quel sera probablement son meilleur angle d'attaque? Y aura -il des progrès pour réduire le
temps de résolution d'un problème qu'on suppose aujourd'hui insoluble ? Le calcul quantique
deviendra-il praticable ? Quelle nouvelle attaque par canaux cachée sera inventée ?
Peut-être est-ce à cause de ces éléments fortement contingents dans ce domaine que les
chercheurs ressentent de plus en plus le besoin de quitter leur domaine pour assurer au public
qu'elle [la cryptologie] est en train de devenir une science, que des garanties absolues de
sécurité peuvent être données (« sécurité prouvable »), et que les cryptographes suivent
fidèlement le modèle idéal [de recherche et de développement de la science].
(…) En réponse à des commentaires qui interrogent l'affirmation de « sécurité prouvable », et
qui suggèrent que la cryptographie est « plus un art qu'une science », Oded Goldreich
rétorque que
« la recherche cryptographique est effectivement une partie de la science »
Et dans la préface de leur ouvrage récent, Jonathan Katz et Yehuda Lindell insistent :
« ( ...) les constructions cryptographiques peuvent être prouvées sures à l'égard d'une
définition de la sécurité clairement énoncée, et relativement à une hypothèse cryptographique
bien définie. Ceci est l'essence de la cryptographie moderne, et qui a changé la cryptographie
d'art en science. L'importance de cette idée ne peut pas être sous-estimée. »
Comme dans d'autre cas d'inversion narrative, ces affirmations insistantes font inévitablement
penser à ce célèbre vers de Hamlet:
The lady doth protest too much, methinks.
(la dame proteste trop, il me semble)
[2] Ann Hibner Koblitz, Neal Koblitz, Alfred Menezes,
Courbes elliptiques, le parcours tortueux d'un changement de paradigme, 2008.
La revendication affirmée avec force par certains cryptologue comme Goldreich de l'appartenance
de la cryptologie au domaine scientifique apparaît en opposition avec ses développements observé
qui la font apparaître tout autant dans le domaine technique et social, et précisément de plus en plus
éloigné du récit moderne d'une science attachée à la recherche de la vérité ou à l'émancipation de
l'humanité.
Il est intéressant de rapprocher cette inversion narrative, que décrit Koblitz, de la pureté
revendiquée au dix- neuvième siècle par certains mathématiciens comme Cayley, fondateur de
11/92
l'école britannique moderne des mathématiques pures, à une époque où précisément les
mathématiques investissent de plus en plus les applications, et où les mathématiques appliquées
connaissaient un développement considérable. Celles-ci prenaient une part de plus en plus
importante dans la formation des ingénieurs. On retrouve la ligne de partage entre des
mathématiques dites pures, qui seraient l'œuvre d'esprits uniquement préoccupés de la construction
esthétique d'un savoir abstrait, et d'autres, différentes, qui seraient appliquées et destinées aux
ingénieurs chargés de faire fonctionner des machines. Dans ce sens, il est remarquable d'observer
que la théorie des nombres, présentée longtemps comme l'archétype des mathématiques les plus
pures, développées uniquement pour l'« honneur de l'esprit humain », investir la cryptologie, et être
utilisé pour protéger des ordres militaires ou des transactions financières.
Le développement des preuves de sécurité actuellement en cryptologie semble procéder de cette
inversion narrative. La confiance des acteurs sociaux dans le système d'échanges numériques reste
l'objectif essentiel. Les preuves de sécurité sont d'autant plus remise en cause que certains systèmes
vulnérables avaient été prouvés sûrs [3], faisant dire ironiquement à certains chercheurs en
cryptographie, comme James Massey et Lars Knudsen :
« A system which is provably secure is probably unsecure ».
(Cité par Bart Preenel dans http://homes.esat.kuleuven.be/~preneel/preneel_mmm10v1.pdf)
La recherche de la confiance en un système oscille entre preuve mathématique et résistance
objective aux cryptanalyses habiles construites par tâtonnements.
Une preuve mathématique repose sur un modèle, et la question de la pertinence de ce modèle se
pose naturellement avec acuité. Finalement, la question de la sécurité restera du ressort de
l'expertise, cette expertise reposant sur l'expérience, en s'appuyant, non seulement sur les aspects
mathématiques, mais aussi informatiques, physiques et sociaux. N'oublions pas que l'un des moyens
les plus sûrs d'obtenir une information secrète, reste de soudoyer une personne qui en a la
connaissance.
L'exemple qui suit montre que la sécurité d'un système ne peut p as se satisfaire de preuves
uniquement mathématiques.
Dès le début des années 1980, la cryptologie a été mise à contribution pour protéger le modèle
économique des opérateurs de TV à péage, comme Canal-Plus. Dans la décennie 1990 – 2000, les
cartes de TV à péage par satellite de tous les opérateurs ont été piratées à grande échelle. Ce
piratage a été le résultat de la conjonction de facteurs complexes:
-
La mise à disposition des codes source des cartes et des clés enfouies dans des cartes officielles,
obtenues à l'aide de méthodes physiques très coûteuses par une organisation puissante, dans le
but d'affaiblir un concurrent ou de jeter le discrédit sur une technologie, ici la technologie de la
carte à puce.
-
La découverte de bugs dans le logiciel de ces cartes, et la conception de cartes pirates par une
communauté motivée essentiellement par la gloire. Ces cartes ont ensuite été produites et
distribuées par des organisations mafieuses dont le but était clairement lucratif.
-
La trop grande confiance des concepteurs originaux des cartes de TV à péage dans la sécurité de
leur procédé. De tous temps, les concepteurs de procédés cryptographiques nouveaux ou non,
affirment fièrement « mon code est inviolable ». Dans le cas de la TV à péage, le code était sans
doute indécryptable, mais le dispositif dans lequel il était réalisé présentait des failles.
1.4
Les grandes étapes de l'histoire de la cryptologie.
La cryptologie a, jusqu'à une période très récente, été confinée à des cercles très restreints. Sa
diffusion était volontairement limitée. Les ouvrages de cryptologie étaient rares, et leur diffusion
était confidentielle. L'absence d'une large diffusion de la connaissance cryptologique rend plus
difficile l'élaboration de son histoire.
12/92
Pour cette raison et davantage que dans les autres sciences et techniques, des procédés ont été
redécouverts, parfois plusieurs siècles après leur première apparition, et dans d'autres circonstances.
Le système cryptographique de Vigenère (1585) a été redécouvert aux 18e par le belge Grondsfeld
et 19e siècle par l'amiral anglais Beaufort, le cylindre de Jefferson a été réinventé par le cryptologue
français Etienne Bazerie, etc.
On peut distinguer trois grandes périodes dans l'histoire de la cryptologie.
1.4.1 La cryptologie traditionnelle : le message secret.
La cryptologie a très longtemps consisté au traitement du langage, et plus particulièrement de
l'écriture. Elle a fonctionné avec des méthodes artisanales jusqu'au 19° siècle, avec un esprit
bricoleur et dilettante, œuvre d'artisans du chiffre dont elle a conservé le caractère inventif. À
l'origine, le secret résidait dans le procédé lui- même, qui suffisait à en faire un savoir-faire protégé.
Ces artisans s'auréolaient volontiers d'une certaine mystique du nombre, propre à la recherche du
sens caché.
Étymologiquement, lorsqu'on parle de « chiffre », on se réfère à l'anglais « cipher » qui provient du
mot arabe « sifr»صفر, désignant le zéro. Le zéro, comme tous les autres chiffres est d'abord un signe,
au sens technique du terme, c'est à dire un outil de désignation nécessaire à la numération de
position, avant d'être un nombre.
Les manipulations pratiquée sur la langue sont essentiellement la transposition (mélange des lettres)
et la substitution (remplacement d'une lettre par une autre, César). Elles sont pratiquées à l'aide
d'outils qui donne une certaine importance à la gestuelle (grille tournante, cadrant chiffrant d'Alberti,
cylindre de Jefferson, réglette de Saint-Cyr).
Cette période est l’âge d’or des nomenclateurs. Ceux-ci consistaient en des dictionnaires, codant
chaque mot par un nombre, à des fins à la fois de chiffrement, puisque les nombres étaient
maintenus secrets, et de compression, puisque les mots les plus courants étaient codés par des petits
nombres. Le plus fameux est celui de Rossignol, « grand chiffre du Roy » (Louis XIV). Les
nomenclateurs ont été utilisés en France à des fins de chiffrement jusqu'à la fin des années 1950.
La cryptanalyse a été introduite par les sciences arabes dès le 9e siècle par Al Kindi (801-873). Elle
reposait à cette époque sur l'analyse des fréquences et sur une analyse détaillée du sens, des mots
probables, et de l'analyse de la signification dans la langue du texte en clair. Les équipes de
cryptanalystes, jusqu'à la première guerre mondiale étaient constituées de mathématiciens, mais
aussi de linguistes, d'amateurs de mots croisés, d'anagrammes et autres manipulations de la langue
écrite.
La cryptologie a inspiré de nombreux auteurs en littérature (Edgar Poe, Jules Verne, Conan Doyle).
Le procédé sans conteste le plus abouti de cette période, est le chiffre polyalphabétique connu
aujourd'hui sous nom de chiffre de Vigenère, décrit dans son traité de chiffres, ou secrètes manière
d'écrire de 1596 [4]. Ce chiffre est le résultat d'une lente maturation où ont participé à Alberti,
Trithème, Belaso, et Porta qui en ont introduit successivement les bases.
Ce chiffre, sur lequel repose la machine Enigma utilisée par l'armée allemande pendant la deuxième
guerre mondiale, n'a été décrypté qu'à la fin du 19 e siècle, par Babbage, Kasiski, Bazerie et
Friedmann.
1.4.2 La cryptologie moderne : protéger le système de communications
Une première évolution majeure intervient avec la naissance des réseaux de communication au 19 e
siècle : le réseau ferroviaire, les canaux fluviaux, mais a ussi le télégraphe optique (Chappe) puis
électrique, contemporains de la révolution industrielle. Cela s'accompagne d'une
professionnalisation de la cryptologie (Kerckhoffs), et du développement de la mécanisa tion, tant
pour les procédés de chiffrement (Enigma) que pour la cryptanalyse (Les bombes, Colossus).
13/92
L'augmentation progressive de la puissance de calcul des machines profite à la sécurité du
chiffrement, et contribue à rendre les procédés cryptographiques de plus en plus sûrs. Cette période
voit apparaître un chiffre mathématiquement indécryptable. Cette période marque, en particulier
avec le développement de la théorie de l'information par Claude Shannon, la rupture du message
avec sa signification, non pas que le sens soit exclus, mais il a changé de nature. La question de la
signification d'une information échangée entre les deux protagonistes « n'est pas pertinente » dans
cette approche. L'importance est donnée à leur capacité à échanger ces informations de manière
fiable et non disséminée sur un réseau de communications. Un système inconditionnellement sûr, le
one time pad, ou masque jetable est le résultat de cette théorie.
La cryptologie ne se fait plus sans des moyens de calcul automatiques (ordinateurs,
microprocesseurs). Elle est de moins en moins une activité confidentielle, devient académique et
développe des standards (Data Encryption Standard, Advanced Encryption Standard)
1.4.3 La cryptologie contemporaine : le réseau mondial.
La révolution des clés publiques, est datée par l'article fondateur de Diffie et Hellmann « new
directions in cryptography » en 1976. Son émergence est née de la mise en réseau des ordinateurs à
grande échelle avec la création et le développement de l'internet. Elle est liée à la mondialisation
des échanges, à un changement d'échelle dans leur nombre, et à la généralisation des réseaux de
communication, qui fait que des acteurs économiques doivent traiter d'affaires, de transactions, sans
se connaître, ni avoir eu d'accointances préalable.
L'utilisation de fonctions à sens unique, dont la valeur pour un paramètre donné est calculable avec
un algorithme efficace, mais telle qu'il est en pratique impossible de trouver un antécédent, d'une
valeur donnée, permettent de localiser le secret là où il est strictement indispensable, c'est-à-dire au
déchiffrement.
Le paramètre pour chiffrer peut-être diffusé, connu de tous et publié dans un annuaire. C'est pour
cela qu'on parle de clé publique. Seul le paramètre utilisé pour le déchiffrement doit être maintenu
secret. Il est appelé clé privée.
Cette approche dispense les deux correspondants d'échanger un secret préalable. Elle est née du
besoin de communiquer confidentiellement avec des correspondants éloignés et avec lesquels il
s'agit du premier échange protégé.
Le chiffre n'est plus inconditionnellement sûr, mais repose sur des problèmes mathématiques
difficiles, comme la factorisation des entiers, qui est en pratique impossible lorsque le nombre à
factoriser devient trop grand. On ne parle plus que de sécurité calculatoire.
Des mathématiques, jusque- là présentées comme pures, comme la théorie des nombres ou la
géométrie algébrique, sont très largement utilisées pour mettre en œuvre ces mécanismes. La
cryptographie est devenue aujourd'hui un débouché très important dans le monde économique pour
légitimer l'activité de recherche des mathématiciens.
Des questions qu'on aurait qualifiées de théoriques et abstraites auparavant, comme la détermination
du cardinal des groupes de classe sont aujourd'hui des questions cruciales pour le développement de
l'économie numérique.
Une théorie calculatoire de la sécurité se développe, similaire à ce qu'a été la théorie de
l'information pour la sécurité inconditionnelle. Il s'agit d'enrayer la course illimité e entre le codeur
et le casseur de code pour, dès la conception d'un nouveau procédé, l'assortir d'arguments attestant
de sa sécurité qui assurera la confiance de ses utilisateurs.
14/92
2
Les premiers procédés
2.1
Une tradition de l'écriture secrète
On trouve des traces du changement volontaire des marques et des symboles dans un texte dès
l'apparition de l'écriture. Des hiéroglyphes inscrits sur la pierre tombale d u roi Khnoumhotep II2
(XII e dynastie, environ 1900 avant J.C.) ont été volontairement transformés. Il ne s'agissait
vraisemblablement pas de la volonté de rendre inintelligible la description de sa vie, mais plutôt
d'une variation sur le langage écrit. Le roi impose ses règles jusqu'au-delà de la mort.
Au cours de la haute antiquité, ces modifications de l'écriture n'étaient vraisemblablement pas
motivées par le secret. On a retrouvé dans la Mésopotamie antique des traces de messages très
sensibles, traitant d'espionnage, de préparation d'une invasion prochaine, et qui étaient exprimés en
langage clair, sans aucun moyen de chiffrement. Les premières transformations intentionnelles de
l'écriture n'étaient sans doute pas à des fins de confidentialité. L'écrit ure à cette époque était peu
répandue et constituait elle-même un moyen qui limitait l'accès à l'information.
Le camouflage de l'écriture fait partie de la culture et de l'éducation des classes aisées. Citons des
exemples empruntés à des sociétés très éloignées.
1. Le Kâma-sûtra est un recueil indien, attribué à l’écrivain indien médiéval Vâtsyâna, écrit entre
les 4e et 7e siècles destiné à la bonne éducation des hommes et des courtisanes. Il est surtout
connu pour l'érotisme dans ses descriptions des façons d'honorer les relations charnelles. Mais il
décrit également les 64 arts que doivent connaître les personnes cultivées. Le 45° est consacré
aux puzzles de langage et à l'écriture secrète :
« L’art de parler en changeant la forme des mots. Cela se fait de plusieurs façons.
Certains changent le début et la fin des mots, les autres ajoutent des lettres inutiles
entre chaque syllabe d’un mot, etc. »3
2. Charles Sorel (environ 1602 – 1674) est un romancier et écrivain érudit français du 17° siècle. Il
est l'auteur de plusieurs romans et écrits sur la poésie, la religion, l'histoire, le droit, parfois sous
des noms de plume différents. Il est en particulier l'auteur d'un ouvrage La Science Universelle,
écrit de 1644 à 1647, et qu'il considérait comme un cours d'éducation complet. Le chapitre 7 du
livre 4 [6] est intitulé « De L'écriture, de l'orthographe et des chiffres secrets, et des moyens de
les interpréter ». Il comprend une dizaine de pages consacrées aux manières secrètes d'écrire et
de communiquer qui montrent que Charles Sorel considère comme acquis que l'homme instruit
doit être familier avec cet exercice.
2.2
La scytale lacédémonienne
La première trace d'un procédé de dissimulation intentionnel du sens d'un message écrit pour le
rendre inintelligible lors d'une éventuelle interception, est la scytale de Sparte. Ce terme désigne le
bâton que se transmettent les coureurs lors d'une course de relai aux jeux olympiques.
La scytale est présente dans des textes très anciens : Archiloque (7° siècle avant notre ère), Pindare
(518 – 466 avant notre ère), Aristophane (455 – 385 avant notre ère), Tucydide (460 – 399 avant
notre ère) et alii. [7]. Elle est y est toujours présentée comme un support de message écrit.
Ils ne tergiversèrent plus, mais les éphores, lui ayant envoyé un héraut et une scytale,
lui dirent de ne pas quitter le héraut, sinon, les Spartiates le déclaraient ennemi public.
Thucydide, I, 131, 1
Son utilisation explicite comme moyen de chiffrement est rapportée par historiens antiques
Knoumhotep II était un Normarque, c’est-à-dire un fonctionnaire qui ad ministrait les normes (p rovinces) au nom du
Pharaon. En raison de l’affaiblissement du pouvoir central, cette fonction devenait souvent héréditaire.
3 Gutemberg eBook n° 27 287.
2
15/92
Plutarque (40 – 120), et Aulu-Gelle (115~120 – 180).
Quand un général part pour une expédition à terre ou en mer, les éphores 4 prennent
deux bâtons ronds, d'une longueur et d'une grandeur si parfaitement égale, qu'ils
s'appliquent l'un à l'autre sans laisser entre eux le moindre vide. Ils gardent l'un de ces
bâtons, et donnent l'autre au général; ils appellent ces bâtons des scytales. Lorsqu'ils
ont quelque secret important à faire passer au général, ils prennent une bande de
parchemin, longue et étroite comme une courroie, la roulent autour de la scytale qu'ils
ont gardée, sans y laisser le moindre intervalle, de sorte que la surface du bâton est
entièrement couverte. Ils écrivent ce qu'ils veulent sur cette bande ainsi roulée, après
quoi ils la déroulent, et l'envoient au général sans le bâton. Quand celui-ci la reçoit, il
ne peut rien lire, parce que les mots, tous séparés et épars, ne forment aucune suite. Il
prend donc la scytale qu'il a emportée, et roule autour la bande de parchemin, dont les
différents tours, se trouvant alors réunis, remettent les mots dans l'ordre où ils ont été
écrits, et présentent toute la suite de la lettre. On appelle cette lettre scytale, du nom
même du bâton, comme ce qui est mesuré prend le nom de ce qui lui sert de mesure.
[8] Plutarque, Vie de Lysandre XXIV
Le grammairien romain Aulu Gelle (Aulus Gellus, 115 à 120 – 180) parle également de la scytale :
Jadis, à Lacédémone, quand l'État adressait à ses généraux des dépêches secrètes qui
devaient rester inintelligibles à l'ennemi au cas où elles seraient interceptées, on
recourait à ce stratagème : on avait deux bâtons ronds, allongés, de même grosseur et
de même longueur, polis et préparés de la même manière ; l'un était remis au général à
son départ pour l'armée, l'autre restait confié aux magistrats, avec les tables de la loi et
le sceau public. Quand on avait à écrire au général quelque chose de secret, on roulait
sur ce cylindre une bande de faible largeur et de longueur suffisante, en manière de
spirale ; les anneaux de la bande, ainsi roulés, devaient être exactement appliqués et
unis l'un à l'autre. Puis on traçait les caractères transversalement, les lignes allant de
haut en bas. La bande, ainsi chargée d'écriture, était enlevée du cylindre et envoyée au
général au fait du stratagème ; après la séparation, elle n'offrait plus que des lettres
tronquées et mutilées, des corps et des têtes de lettres, divisés et épars : aussi la dépêche
pouvait tomber aux mains de l'ennemi sans qu'il lui fût possible d'en deviner le contenu.
Quand elle était arrivée à destination, le général, qui connaissait le procédé, roulait la
bande sur le cylindre identique qu'il possédait, depuis le commencement jusqu'à la fin.
Les caractères, que ramenait au même point l'égalité de volume du cylindre,
correspondaient de nouveau, et présentaient l'ensemble d'une lettre complète et facile à
lire. Les Lacédémoniens appelaient scytale (σκυταλη) cette espèce de lettre.
[9] Aulu Gelle, Nuits attiques, livre XVII, § IX
Ces deux récits rapportent que la scytale était utilisée à des fins militaires et stratégiques pour
assurer la confidentialité de messages sensibles. Ils diffèrent cependant sur la nature d u procédé
employé. Selon Plutarque, la scytale opère une transposition des lettres et des mots, c'est-à-dire un
changement de leur ordre, alors que selon Aulu Gelle, le graphisme des lettres est lui- même rompu,
celles-ci pouvant être inscrites sur des portions de lanières décalées.
La première publication d'une cryptanalyse de la scytale est due à l'écrivain américain Edgar Poe
dans un conte sur la cryptographie.
Dans aucun des traités de Cryptographie venus à notre connaissance, nous n'avons
rencontré, au sujet du chiffre de la scytale, aucune autre méthode de solution que celles
qui peuvent également s'appliquer à tous les chiffres en général. On nous parle, il est
4
Les éphores sont des magistrats lacédémoniens, au nombre de cinq, établis pour contrebalancer l'autorité des rois et du
sénat. Ils étaient élus par le peuple et renouvelés tous les ans.
16/92
vrai, de cas où les parchemins interceptés ont été réellement déchiffrés ; mais on a soin
de nous dire que ce fut toujours accidentellement. Voici cependant une solution d'une
certitude absolue. Une fois en possession de la bande de parchemin, on n'a qu'à faire
faire un cône relativement d'une grande longueur – soit de six pieds de long – et dont la
circonférence à la base soit au moins égale à la longueur de la bande. On enroulera
ensuite cette bande sur le cône près de la base, bord contre bord, comme nous l'avons
décrit plus haut ; puis, en ayant soin de maintenir toujours les bords contre les bords, et
le parchemin bien serré sur le cône, on le laissera glisser vers le sommet. Il est
impossible, qu'en suivant ce procédé, quelques-uns des mots, ou quelques-unes des
syllabes et des lettres, qui doivent se rejoindre, ne se rencontrent pas au point du cône
où son diamètre égale celui de la scytale sur laquelle le chiffre a été écrit. Et comme, en
faisant parcourir à la bande toute la longueur du cône, on traverse tous les diamètres
possibles, on ne peut manquer de réussir. Une fois que par ce moyen on a établi d'une
façon certaine la circonférence de la scytale, on en fait faire une sur cette mesure, et
l'on y applique le parchemin.
[10] Edgar Poe, extrait de « La cryptographie », Derniers contes, 1887
2.3
Le mythe de la scytale
L'utilisation de la scytale comme procédé de chiffrement a été remise en question par plusieurs
auteurs (Lilian H Jeffery, The local scripts of Archaic Greece, Oxford University Press, 1961 et
Kelly Thomas, the myth of the scytale, Cryptologia, juillet 1998, pp. 244-260), conduisant à ce qu'il
est convenu d'appeler le mythe de la scytale. Pour ces auteurs, la scytale n'est qu'un p rocédé pour le
transport des messages, Kelly Thomas se fondant sur la faiblesse du procédé en matière de
camouflage du message. Une étude historique complète de Brigitte Collard (Les langages secrets
dans l'antiquité gréco-romaine, thèse de l'Université Catholique de Louvain, 2004), se référant aux
écrits de 18 auteurs de l'antiquité, conclut au contraire que :
« Nous sommes convaincues que la, scytale a été utilisée de façon
cryptographique par les spartiates, mais nous pensons que cet emploi d'est doublé
d'autres usages qui ont pu endormir les esprits et brouiller les pistes. »
Texte accessible sur bcs.fltr.ucl.ac.be/FE/07/CRYPT/Crypto44-63.html
2.4
Le chiffre de César
Le chiffre de César est un exemple de substitution, c'est-à-dire le remplacement d'une lettre par une
autre, par décalage de l'alphabet. Il est mentionné par les historiens Dion Cassius, Suetone et Aulu
Gelle.
Il avait d'ailleurs l'habitude, quand il communiquait un secret par écrit, de remplacer
toujours la lettre qu'il aurait dû mettre la première par celle qui, dans l'ordre alphabétique,
vient la quatrième après elle, afin que ce qu'il écrivait ne pût être compris par le premier venu
Dion Cassius, Histoire romaine, livre XL, 9
On possède enfin de César des lettres à Cicéron, et sa correspondance avec ses amis sur ses
affaires domestiques. Il écrivait, pour les choses tout à fait secrètes, à travers des marques,
c'est-à-dire un ordre arrangé de lettres de sorte qu'aucun mot ne pût être reconnu. Si on veut
chercher et s'acharner jusqu'au bout, on change la quatrième lettre, c'est-à-dire un D à la
place d'un A et pareillement pour toutes les autres.
[11] Suetone, La vie des douze Césars
Suetone (Caius Suetonius Tranquillus, ~70 – ~140) est un érudit ro main qui vécut entre le 1er et le 2e siècle, sous le
règne de l'empereur Hadrien dont il fut le secrétaire. Il est connu pour avoir écrit les biographies des empereurs (la vie
des douze césars) et des écrivains (Des hommes illustres).
5
17/92
Aulu Gelle fait également référence au procédé de César :
Nous avons un recueil des lettres de C. César à C. Oppius et Balbus Cornélius, chargés
du soin de ses affaires en son absence. Dans ces lettres, on trouve, en certains endroits,
des fragments de syllabes sans liaison, caractères isolés, qu'on croirait jetés au hasard :
il est impossible de n’en former aucun mot. C'était un stratagème dont ils étaient
convenus entre eux : sur le papier une lettre prenait la place et le nom d'une autre ;
mais le lecteur restituait à chacune son nom et sa signification ; ils s'étaient entendus,
comme je viens de le dire, sur les substitutions à faire subir aux lettres, avant
d'employer cette manière mystérieuse de correspondre.
[9] Aulu Gelle, Nuits attiques, livre XVII, § IX
Ce procédé concerne, on le voit des correspondances privées, pour traiter « ses affaires » alors que
les textes décrivant la scytale placent clairement les messages échangés dans le contexte de
campagnes militaires.
César, lors d'une campagne, au cours du siège par les Nerviens (peuple de la Gaule belge) du
quartier d'hiver de Quintus Cicéron, frère cadet de l'orateur et légat de César, utilise une autre
technique qu'il décrit lui-même dans la guerre des Gaules:
Il persuade alors un cavalier gaulois, en lui promettant de grandes récompenses, de
porter une lettre à Cicéron. Il envoie celle-ci écrite en lettres grecques, afin que, si elle
est interceptée, nos desseins ne soient pas pénétrés par les ennemis.
César, Gaules, V, XLVIII, 3-4
Le procédé de César aurait encore été utilisé pendant la guerre de Sécession par des officiers
sudistes, et aussi par l'armée russe en 1915.
Il subsiste encore aujourd'hui sous le nom de ROT13. Il s'agit d'un décalage de 13 positions dans
l'alphabet, qui réalise un codage involutif (chiffrement identique au déchiffrement). Il sert à
brouiller le texte dans le réseau usenet (netnews), toujours utilisé pour l'échange d'articles au sein
d'une communauté. Il n'y aucun secret dans ce brouillage qui ressemble plutôt à un argot d'internet.
Aulu Gelle présente d'autres méthodes de transmission discrète de messages confidentiels. Ces
méthodes consistent à camoufler le message au lieu de le modifier.
J'ai encore lu, dans une vieille histoire de Carthage, qu'un personnage illustre de cette ville (je
ne me souviens pas s'il s'agit d'Hasdrubal ou d'un autre) recourut à l'expédient qui suit pour
dissimuler une correspondance sur des secrets importants : il prit des tablettes neuves, qui
n'étaient pas encore enduites de cire; il écrivit sur le bois, puis étendit la cire par -dessus selon
l'usage, et envoya les tablettes, où rien ne semblait écrit, à son correspondant, qui, prévenu,
gratta l'enduit, et lut aisément la lettre sur le bois.
On trouve encore dans l'histoire grecque un autre stratagème, vrai chef-d'œuvre de ruse, et
digne des barbares ; il fut imaginé par Histiée, né en Asie, d'une famille assez illustre. Darius y
régnait alors. Ce Histiée, établi chez Perses, à la cour de Darius voulait faire passer
secrètement à un certain Aristagoras des nouvelles importantes. Voici le curieux moyen de
correspondance, auquel il eut recours : un de ses, esclaves souffrait depuis longtemps des yeux ;
sous prétexte de le guérir, il lui rase toute la tête, et trace des caractères par des piqûres sur la
peau mise à nus ; il écrivit ainsi ce qu'il voulait- Il garda l'homme chez lui jusqu'à ce que sa
chevelure ait repoussé ; alors il l'envoie à Aristagoras :
- Quand tu seras arrivé, lui dit-il, recommande-lui bien, en mon nom, de te raser la tête, comme
je l'ai fait moi-même.
L'esclave obéit, se rend chez Aristagoras, et lui transmet la recommandation de son maître.
Celui-ci, persuadé qu'elle ne lui est pas faite sans motif, s'y soumet, c'est ainsi que la lettre
parvint à son adresse.
[9] Aulu Gelle, Nuits Attiques, livre XVII, § IX
18/92
Charles Sorel, dans la science universelle [6], parle également des encres invisibles faites d'eau
d'alun ou de jus d'oignon pour camoufler un texte écrit.
2.5
Les premières cryptanalyses
La première trace d'une cryptanalyse du chiffre de César serait due au grammairien Valérius Probus
de Berytus, l'actuel Beyrouth (fin du 1er siècle) qui a écrit un mémoire sur le chiffre de César et sa
manière de le décrypter. Ce texte ne nous est malheureusement pas parvenu. Il est cité par Aulu
Gelle6 :
Le grammairien Probus a même publié un commentaire assez curieux sur le sens caché
des lettres dans l’écriture de la correspondance de Caius César.
Aulu Gelle, Nuits attiques, livre XVII, § IX
2.5.1 La cryptanalyse arabe
Les premières traces de cryptanalyse nous viennent du monde arabe autour des 8° et 9° siècles. Ce
sont les Arabes qui ont utilisé pour la première fois une méthode qui exploite la fréquence et la
rareté des lettres.
Les facteurs qui ont contribué au développement de la cryptologie dans le monde arabe sont:
1. La réalisation d’un gros travail de traduction de l'héritage des civilisations antérieures. Selon les
scientifiques Arabes, la connaissance est un trésor de l'humanité toute entière et on doit accep ter
la connaissance d'où qu'elle vienne.
2. Les Arabes ont porté un intérêt dans leur propre langue. La langue arabe a été un facteur
d'unification un vaste empire qui s'étendait de l'Indus à l'Espagne. Ils ont effectué très tôt des
études phonétiques sur les voyelles (lettres sonores) et les consonnes (lettres non sonores),
étudié la fréquence des lettres dans les textes, leurs combinaisons possibles et impossibles. Ils
ont procédé à des études de syntaxes et de grammaires. Ils ont été parmi les premiers à produire
des dictionnaires.
3. La diffusion de la lecture et de l'écriture, aidées par la promotion de la technique de fabrication
du papier 7 . La diffusion du Coran a été un facteur d'alphabétisation de la population. Dans les
civilisations antérieures, le faible taux d'alphabétisation a été une des raisons du peu de
développement des techniques cryptographiques.
4. Le besoin d'une administration effective dans le monde arabo- musulman, une organisation de
l'administration et des correspondances associées au besoin pratique de protéger les affaires de
l'État.
Le premier cryptologue arabe connu est Al Khalil (718~719 – 786~791) qui a écrit un ouvrage
aujourd'hui perdu, le « livre du langage secret » (Kitab al mu'amma ) كتاب المع ّمى.
Il a élaboré une sorte de dictionnaire, qui donne les définitions de tous les mots obtenus par
permutation des lettres. Par exemple, avec le triplet ل, حet م, on peut constituer:
sel ملح
boutique محل
observer لمح
viande لحم
prendre حمل
rêver حلم
Dès cette époque, le monde arabe semble avoir utilisé des méthodes de chiffrement pour sa
politique et son administration.
6 Est
aedo Probi grammatici commentarius satis curiose factus de occulta litterarum significatione in epistularum Caius
Caesaris scriptura.
7 Les arabes ont acquis la technologie du papier suite à la bataille de Talas (Kirghizstan) en 751, qui marque à la fois la
limite o rientale de l'expansion arabe et la limite occidentale de l'expansion chinoise. Au cours de cette bataille, les
arabes capturèrent des artisans papetiers chinois, et la ville de Samarcande devint alors le premier centre de production
de papier du monde musulman.
19/92
Le premier traité de la cryptologie arabe qui nous soit parvenu est un ouvrage écrit par Al Kindi
(801 – 873), célèbre scientifique du Bait al Hikma (maison de la sagesse )بيت الحكمة, une sorte
d'Académie des sciences très fermée à Bagdad.
Dans le traité d'Al Kindi, figurent déjà les définitions des termes et des notions qui seront au cœur
des développements ultérieurs de la cryptologie :
-
Obscurcissement (at-ta'miya )التعمية. Ce terme désigne la conversion d'un message pour le
rendre incompréhensible à ceux qui ne sont pas dans le secret de la méthode, et accessible à
ceux qui y sont. L'arabe moderne utilise volontiers le mot at'tashfir ( ) التشفيرpour désigner le
chiffrement, qui est dérivé de l'anglais cipher qui a donné chiffre et qui provient de l'arabe sifr
( ) صفرqui signifie zéro.
-
traduction (at-targjma )اترجمة. Ce mot d'origine perse désigne parfois la cryptographie et ses
méthodes. Il peut être utilisé dans le sens de cryptanalyse.
-
science pour extraire l'obscur ('ilmu istikhraj al-mu'mma المعم ى
)علم استخراج. Cela désigne le
َّ
procédé par lequel un cryptogramme est converti en message clair par une personne qui est
ignorante du procédé, ou de la clé utilisée pour le chiffrement.
-
Il semblerait que les arabes aient très tôt établi la notion de clé (al-miftah )المفتاحqui est le
système convenu entre deux cryptographes, consistant en un ensemble de lettres, de nombres,
ou même de verset poétiques destinés à permettre au destinataire de lire le cryptogramme sans
difficulté.
Le chapitre sur la cryptanalyse (subul assinbati al mu'mma سبل اسينبأط المع ّم ئ, moyens pour extraire
l'obscur), les principes décrits sont ceux qui seront en œuvre pendant toute la période traditionne lle
de la cryptologie.
1. Les méthodes quantitatives (al kamiya ) الكميٮةconsistent à compter les occurrences des lettres
dans le texte, mais également des bigrammes (groupements de deux lettres) ou des trigrammes
(groupements de trois lettres).
2. Les méthodes qualitatives (al kaïfiya ) الكيفيةqui sont liées au savoir de la langue du texte, à la
connaissances des lettres qui s'associent et qui ne s'associent pas, à l'étude des combinaisons
possibles et impossibles de lettres, des idiomes de la langues. Les mots probables, les formules
convenues, les titres, permettent de deviner le sujet du texte. L'intuition est informée par le
travail et la recherche minutieuse, l'expérience et le bagage linguistique. La première phase est
la recherche des mots courts. Il s'agit, à cette étape, d'un travail sur la langue.
Beaucoup des textes de ces cryptanalystes arabes ont été perdus et oubliés, puis redécouverts en
Europe occidentale à partir du 16° siècle.
Les méthodes de nature statistique naissent dans le contexte d'une administration qui contrôle et
connaît la population administrée. Il s'agit d'un outil. Il n'y a pas de mathématiques dans ces
statistiques, seulement du comptage. L'analyse des fréquences est très clairement décrite dans le
traité d'Al Kindi. Il contient en particulier la première table de fréquences connue pour une langue à
alphabet.
273 ه
320 م
437 ل
600
ا
ر
221
ن
252 ي
262
و
112 ب
120
ت
122 ف
131
ع
155
63
ق
91
س
92
د
112 ک
32
ص
35
ذ
46
ج
57
ح
15
غ
15
ط
17
ش
20
خ
20/92
2.5.2 Une cryptanalyse dans le scarabée d'or
Les étapes de la cryptanalyse des substitutions simples sont à l'œuvre dans le décryptement du
cryptogramme qui figure dans la nouvelle le scarabée d'or (the golden bug) d'Edgar Poe [12]. Il
s'agit d'une nouvelle parue en 1843 dans le journal de Philadelphie Dollar newspaper. Cette
nouvelle a popularisé la cryptographie auprès du public et consacré les talents de cryptographe
d'Edgar Poe. Dans ce récit, une chasse au trésor repose sur un cryptogramme :
53ǂǂ+305))6*;4826)4.)4ǂ);806*;48+8¶60))85;1ǂ(;:ǂ
*8+83(88)5*+;46(;88*96*?;8)*ǂ(;485);5*+2:*ǂ(;4956*2(5*-4)
8¶8*;4069285);)6+8)4ǂǂ;1(ǂ9;48081;8:8ǂ1;48+85;4)485+
528806*81(ǂ9;48;(88;4(ǂ?34;48)4ǂ161;:188:ǂ?;
La nouvelle décrit le décryptement de ce cryptogramme en suivant les étapes présentées par Al
Kindi dans son ouvrage. En fait, le décryptement de l'énigme suit presque mot pour mot un article
de David A. Conradus, Cryptographia Denudata paru en 1842 dans le Gentleman's Magazine.
1. La première étape est le comptage des occurrences des lettres dans le message :
Le caractère
"
"
"
"
"
"
"
"
"
"
"
"
"
8
;
4
se trouve
"
"
ǂ et )
"
*
"
5
"
6
"
+ et 1
"
0
"
9 et 2
"
: et 3
"
?
"
¶
"
- et .
"
33 fois
26
"
19
"
16
"
13
"
12
"
11
"
8
"
6
"
5
"
4
"
3
"
2
"
1
"
2. L'étude des mots probables, des combinaisons possibles et impossibles, est l'objet d'un long
développement, illustré par le début du décryptement :
Donc 8 représentera e. Maintenant, de tous les mots de la langue, « the » est le plus
utilisé; conséquemment, il nous faut voir si nous ne trouverons pas répétée plusieurs
fois la même combinaison de trois caractères, ce 8 étant le dernier des trois. Si nous
trouvons des répétitions de ce genre, elles représenteront très probablement le mot
« the ».
La suite de la nouvelle poursuit la description détaillée du décryptement par l'analyse des mots et
des combinaisons les plus probables, en utilisant les particularités de la langue anglaise. Le message
clair est finalement :
A good glass in the bishop's hotel in the devil's seat forty-one degrees and thirteen
minutes north-east side shoot from the left eye of the death's-head a bee-line from the
tree through the shot fifty feet out.8
Dans la nouvelle, ce message secret décrit l'emplacement d'un trésor.
8 Un bon verre dans l'hôtel de l'évêque dans la chaise du diable quarante et un degrés et treize minutes nord -est quart de
nord principale t ige septième branche côté est lâchez de l'œil gauche de la tête de mort une ligne d'abeille de l'arbre à
travers la balle cinquante pieds au large.
21/92
2.5.3 Pour résister à l'analyse des fréquences
Une façon de résister à cette analyse des fréquences est de coder les lettres les plus fréquentes
comme le e ou le a, de plusieurs façons différentes en alternant aléatoirement le choix du codage.
En contrepartie, les lettres qui peuvent, sans inconvénient pour la compréhension, être remplacées
par une autre, comme le j par un i ou un v par un u, sont supprimées. Ce type de substitution à
représentation multiple est appelé.
Ce type de chiffrement s'est
développé entre 1500 et 1750. Un
exemple est le code de 1552,
utilisé par le connétable Duc de
Montmorency,
qui
comporte
quatre alphabets, chaque lettre
pouvant être indifféremment codée
de quatre façons différentes. Ce
code subtil comporte également
des symboles nuls afin de dérouter
le cryptanalyste.
Un procédé similaire a été utilisé
par l'armée mexicaine jusqu'à la
première
guerre
mondiale.
Chacune des 25 lettres les plus
courantes pouvait être codée de
quatre façons possibles en un
nombre entre 0 et 99.
2.6
Transpositions
Le chiffrement par transposition consiste à changer l'ordre des lettres du message clair.
« En un mot, les méthodes de transposition sont une salade des lettres du texte clair »
Étienne Bazerie
Le chiffrement Rail fence, utilisé pendant la guerre de sécession, repose sur une transposition qui
consiste à écrire un texte dans un tableau par colonnes, éventuellement en descendant et en montant
successivement. Le cryptogramme est constitué en écrivant le texte par lignes.
2.6.1 La grille tournante
La grille tournante ou grille de Fleissner doit son nom du colonel autrichien Edouard Fleissner von
Wostrovitz, qui l'a présenté en 1881 dans son ouvrage Hanbuch der Keyptrographie (manuel de
cryptographie). C'est ce procédé cryptographique qui est décrit dans le roman de Jules Verne
Mathias Sandorf. La grille tournante trouve son origine dans la grille de Cardan. Jérôme Cardan
(1501 – 1576) a en particulier contribué à la résolution de l'équation du 3° degré en introduisant un
nombre imaginaire dont le carré vaut −1. Cette subtilité allait avoir de nombreuses conséquences.
2.6.2 Parenthèse sur la stéganographie
Ce procédé n'est pas à proprement parler un procédé cryptologique. Le texte existe sous sa forme
claire, mais il est noyé avec d'autres informations. On parle alors de stéganographie.
22/92
On prend un texte imprimé, et la grille de
Cardan est placée sur le texte, laissant
apparaître des mots ou des lettres qui
dévoilent alors un sens différent.
Cette utilisation de la grille de Cardan est
rapportée par Porta dans De Furtivis
Literarum Notis :
- On dispose d'une grille avec des zones
découpées;
- On rédige le texte dans les trous de la
grille;
- La grille est ôtée, puis le texte est
rempli avec un texte qui peut être soit
aléatoire soit intelligible.
- Le destinataire applique la même
grille et retrouve le texte d'origine. La
grille de Cardan était très utilisée
dans
les
communications
diplomatiques aux 16e et 17e siècles.
La stéganographie a été utilisée par les
espions en temps de guerre, pour
camoufler des messages stratégiques
importants sous l'apparence de nouvelles
anodines. Le message suivant a été
transmis par un espion allemand pendant
le premier conflit mondial ([1] page 521).
President's embargo ruling should have immediate notice, grave situation affecting
international laws. Statement fore-shadows ruin of many neutral. Yellow journals
unifying national excitement immensely. 9
En prenant la première lettre de chaque mot, on retrouve le message caché 10 :
…..................................................................................................................................................
Un second message, confirmant le précédent porte en lui la même information cachée :
Apparently neutral's protest is thoroughly discounted and ignored. Ismam hard hit.
Blockade issue affects pretext for embargo on by-products, ejecting suets and vegetable
oils.11
9 La décision d'embargo du président devrait avoir effet immédiat. Situation sérieuse mettant en cause les lois
internationale. Cette déclarat ion présage la ruine de no mbreu x pays neutres. La presse à sensation unifie énormément le
sentiment national.
10 John Pershing est le général co mmandant le corps expéd itionnaire américain en Eu rope (A EF American
Expeditionnary Force) suite à l'entrée en guerre des États -Unis d'Amérique contre l'Emp ire Allemand de Gu illau me II
le 6 avril 1917. Il a en fait quitté New-York le 28 mai 1917.
11 Apparemment la protestation des pays neutres est totalement écartée et ignorée. Is man frappe fo rt. L'issue du blocus
donne le prétexte pour un embargo sur certains produits, sauf suifs et huiles végétales.
23/92
On trouve également de nombreux exemples de stéganographie en littérature. Un des plus fameux
est l'échange épistolaire entre George Sand et Alfred de Musset.
Cher ami,
Je suis toute émue de vous dire que j'ai
bien compris l'autre jour que vous aviez
toujours une envie folle de me faire
danser. Je garde le souvenir de votre
baiser et je voudrais bien que ce soit
une preuve que je puisse être aimée
par vous. Je suis prête à montrer mon
affection toute désintéressée et sans calcul, et si vous voulez me voir ainsi
vous dévoiler, sans artifice, mon âme
toute nue, daignez me faire visite,
nous causerons et en amis franchement
je vous prouverai que je suis la femme
sincère, capable de vous offrir l'affection
la plus profonde, comme la plus étroite
amitié, en un mot : la meilleure épouse
dont vous puissiez rêver. Puisque votre
âme est libre, pensez que l'abandon ou je
vis est bien long, bien dur et souvent bien
insupportable. Mon chagrin est trop
gros. Accourrez bien vite et venez me le
faire oublier. A vous je veux me soumettre entièrement.
Votre poupée
George Sand
Quand je mets à vos pieds un éternel hommage,
Voulez-vous qu'un instant je change de visage ?
Vous avez capturé les sentiments d'un cœur
Que pour vous adorer forma le créateur.
Je vous chéris, amour, et ma plume en délire
Couche sur le papier ce que je n'ose dire.
Avec soin de mes vers lisez les premiers mots,
Vous saurez quel remède apporter à mes maux.
Alfred de Musset
Cette insigne faveur que votre cœur réclame
Nuit à ma renommée et répugne à mon âme.
George Sand
La stéganographie est utilisée aujourd'hui pour introduire des informations cachées dans le contenu
multimédia et tenter de lutter contre la copie illégale.
24/92
Hergé, Le lotus bleu, 1934
2.6.3 La grille tournante dans Mathias Sandorf.
La grille tournante repose sur le même principe que la grille de Cardan. Mais en tournant la grille,
on fait apparaître la suite du message.
Dans le roman de Jules Verne Mathias Sandorf (1885) [13], c'est au moyen d'une grille, c'est-à-dire
d'un découpage en carton, troué à certains endroits, le comte Sandorf et ses partisans composaient
leurs messages. Les extraits ci-après, décrivent l'usage de la grille.
… Cette grille était un simple carré de carton, de six centimètres de longueur par côté, et
divisé en 36 carrés égaux mesurant chacun un centimètre environ. De ces 36 carrés,
disposés sur six lignes horizontales et verticales, comme ceux d'une table de Pythagore qui
aurait été établies sur six chiffres, 27 étaient pleins, et
neuf étaient vides – c'est à dire qu'à la place de ces neuf
carrés, la carte était découpée et ajourée en neuf endroits.
Ce qui importait à Sarcany d'avoir c'était :
1° la dimension exacte de la grille;
2° la disposition des neuf carrés vides.12
(…) Après avoir été découpés avec la pointe d'un canif, ils
furent ajourés, de manière à laisser paraître dans leur vide
les mots, lettres ou signe quelconque du billet sur lequel
cette grille serait appliquée.
(…) Voici quels étaient les dix-huit mots du billet qu'il
convient de remettre sous les yeux du lecteur :
I
H N A
Z
Z A
E M E N
R
I
O
P N
A R N U R O
T R
V R
E
M T Q
S
S
L
O D X H N
P
E
T
L
E V
E
E U A R
T
A E
E
E
I
L
E N N
I
O
N O U P
V G
S
E
S
D R
E R
S
U R
O
S
P
L
S
S
E
S
U
U
I
T
E
E E D G N C
T O E E D T
A R T U E E
(…) La grille fut appliquée sur cet ensemble de manière que le côté marqué d'une petite croix se
trouvât placé en haut. Et alors les neuf cases vides laissèrent apparaître les neuf lettres suivantes :
…...............................................................................................................................
12
C’est une grille identique qui illustre la description de ce procédé dans l’art icle de janvier 1883 d ’Auguste Kerckhoffs.
25/92
(…) Sarcany fit alors faire un quart de tour à la grille, de gauche à droite, de façon que le côté
supérieur devint cette fois le côté latéral droit. Dans cette seconde application, ce furent les lettres
suivantes qui apparurent à travers les vides.
…...............................................................................................................................
Dans la troisième application, les lettres visibles furent celles-ci, dont le relevé fut noté avec soin.
…...............................................................................................................................
La quatrième application de la grille donna le résultat suivant:
…...............................................................................................................................
Même résultat, même obscurité.
(…) « Après tout, ce n'est peut-être pas cette grille -là que les conspirateurs ont employée pour leur
correspondance ! »
Cette observation fit bondir Sarcany.
« Continuons ! S'écria-t-il.
– Continuons ! » Répondit Silas Toronthal.
Sarcany (…) recommença l'expérience sur les six mots formant la seconde colonne du billet. Quatre
fois, il ré-appliqua la grille sur ces mots en lui faisant faire un quart de tour.
…...............................................................................................................................
…...............................................................................................................................
(…) Sarcany regarda Silas Toronthal. Puis il se rassit, il reprit la grille et l'appliqua sur les six
derniers mots du billet, machinalement, n'ayant plus conscience de ce qu'il faisait. Voici les mots
que donnèrent ces quatre dernières applications de la grille:
…...............................................................................................................................
…...............................................................................................................................
« Du calme, lui dit-il.
– Eh ! s'écria Sarcany, qu'avons-nous à faire de cet indéchiffrable logogriphe !
– Écrivez donc tous ces mots les uns à la suite des autres ! Répondit simplement le banquier.
– et pour quoi faire ?
– Pour voir ! »
Sarcany obéit, et il obtint la succession des lettres suivantes :
…...............................................................................................................................
…...............................................................................................................................
…...............................................................................................................................
…...............................................................................................................................
– Eh ! Ne voyez-vous pas qu'avant de composer ces mots au moyen de la grille, les correspondants
du comte Sandorf avaient préalablement écrit à rebours la phrase qu'ils forment ! »
Sarcany pris le papier, et voilà ce qu'il lut, en allant de la dernière à la première lettre :
…......................................................................................................................................
…......................................................................................................................................
…......................................................................................................................................
…......................................................................................................................................
« Et ces cinq dernières lettres ? S'écria-t-il.
– Une signature convenue ! Répondit Silas Toronthal.
– Enfin, nous les tenons !... »
Jules Verne, extraits de Mathias Sandorf [13]
26/92
3
Le chiffre polyalphabétique
Le chiffre polyalphabétique est né au 15 e siècle. Il constitue une avancée considérable dans
l'évolution des procédés de chiffrement. Il a vu son apogée avec les machines électromécaniques à
rotor au 20e siècle. Son principe est encore en usage aujourd'hui pour les mécanismes les plus sûrs.
Il a été progressivement développé à partir de la renaissance italienne.
Pendant l'ère traditionnelle de la cryptographie, les nouvelles inventions sont souvent le fait
d'amateurs qui pratiquent la cryptographie à titre personnel, en dehors de leur activité
professionnelle. Les utilisateurs professionnels de la cryptographie que sont les diplomates, les
acteurs de la sphère du pouvoir politique et militaire ont surtout développé une expertise en
cryptanalyse. Ils sont surtout mobilisés à résoudre les problèmes terre à terre de mise en œuvre des
procédés qu'ils utilisent. Ceux-ci sont d'ailleurs souvent dépassés pour leur époque. Par exemple, les
substitutions simples seront en usage jusqu'au début du 20 e siècle. A l'opposé, les amateurs, « ne
sont pas prisonniers de la réalité et peuvent évoluer au firmament de la théorie » (David Kahn)
Les cinq acteurs principaux qui ont développé le chiffre polyalphabétique au 15 e siècle étaient
architecte (Alberti), moine intellectuel (Trithème), clerc proche pouvoir (Belaso), physicien
mathématicien naturaliste (Porta) et diplomate (Vigenère).
3.1
La cryptographie occidentale avant la Renaissance.
Les procédés de confidentialité dans l'occident médiéval étaient très rudimentaires. Il s'agissait le
plus souvent de substitutions simples avec des symboles autres que l'alphabet Latin, en espérant que
le mystère qui entoure ces symboles suffirait à préserver le caractère secret du message.
Un exemple est l'alphabet des Templiers. L'ordre du Temple est un ordre religieux et militaire issu
de la chevalerie chrétienne au moyen-âge. Ses membres étaient les Templiers. L'ordre a été créé le
22 janvier 1129 à partir d'une milice, les Pauvres chevaliers du Christ et du Temple de Salomé. Il a
œuvré pendant les 12° et 13° siècles pour la protection des pèlerins qui se rendaient à Jérusalem. Il a
constitué dans toute l'Europe un réseau de monastères appelés des commanderies, à la tê te d'une
fortune immense issue du dépôt des pèlerins et de la production agricole des commanderies. L'ordre
a été dissout par le pape Clément V le 13 mars 1312 après l'arrestation de tous ses membres par
Philippe le Bel et un procès en hérésie. Les templiers utilisaient un code pour protéger les lettres de
crédit qui circulaient entre les 9000 commanderies. L'utilisation de cet alphabet suffisait semble- il à
assurer la confiance sur l'origine des lettres de crédit (P. Hébrard [14]). L'alphabet est issu de la
croix des huit béatitudes qui était l'emblème de l'ordre.
Figure 1 : le code des Templiers (13e siècle)
27/92
Ce type de système a perduré pendant des siècles sous diverses formes. Celui présenté ci-après,
appelé parc à cochons, est décrit dès le 16° siècle par Porta dans [15]. Il était utilisé par les francsmaçons au 19e siècle, avant de devenir un procédé très utilisé par les écoliers.
Figure 2 : Le « parc à cochons », procédé bien connu des écoliers
Figure 3 : Chiffre d’Henri IV de 1604
3.2
La cryptographie diplomatique à la Renaissance.
La Renaissance voit naître le développement de l'usage de la cryptographie dans les échanges
diplomatiques entre les cours européennes. Pour ces échanges, on a utilisé très longtemps des
nomenclateurs. Il s'agissait de répertoires qui permettaient de coder des mots entiers, des noms de
28/92
personnages ou de lieux, ou encore des expressions courantes par des suites de chiffres. Les termes
non prévus dans le répertoire étaient chiffrés par une substitution simple.
L'ensemble constitué d'un nomenclateur, de mots nuls et d'un alphabet de substitution simple
constitue ce qu'on appelle un code. Le premier nomenclateur est du à Gabrieli di Lavinde, secrétaire
du pape Clément VII. Il fut élaboré en 1379, il était constitué d'une douzaine de termes.
Le chiffre d'Henri IV de 1604 utilise un alphabet constitué d’un ou deux chiffres, éventuellement
surligné ou surmonté d'un point. Il s'agit une substitution alphabétique homophonique avec 3 ou 4
homophones par lettre, combiné avec un répertoire pour certains mots courants.
Le grand chiffre du Roy (Louis XIV), élaboré par Antoine Rossignol, contenait 587 groupes. Un
petit chiffre de 265 groupes était destiné aux subalternes. Les derniers nomenclateurs étaient encore
en usage après la deuxième guerre mondiale jusque dans les années 1970. Les derniers étaient
constitués de plus de 50 000 entrées. Le développement des machines à chiffrer électroniques les a
définitivement rendus obsolètes.
Les nomenclateurs avaient autant un rôle de confidentialité que de compression des données,
puisque les termes courants pouvaient être codés avec un nombre réduit de chiffres.
3.3
La genèse de la cryptographie polyalphabétique.
Dans une substitution simple, une même lettre est toujours chiffrée de la même manière. L'analyse
des fréquences permet de repérer certaines lettres claires qui correspondent à un symbole donné du
cryptogramme. Un des moyens pour fausser ces fréquences et d'utiliser un alphabet homophone,
c'est-à-dire la possibilité de chiffrer les lettres les plus fréquentes par plusieurs symboles différents
dans le cryptogramme. Le premier alphabet homophone occidental connu date de 1401. Il fut utilisé
dans le duché italien de Mantoue pour correspondre avec Simeone de Crema ([1] page 107). Cette
pratique montre une connaissance de l'analyse des fréquences, probablement issue du contact avec
le monde arabe durant les croisades.
Le chiffre polyalphabétique est une autre solution pour résister à l'analyse des fréquences. Comme
son nom l'indique, il invoque plusieurs alphabets. Et comme les différents alphabets utilisent les
mêmes symboles, une même lettre du cryptogramme peut représenter plusieurs lettres claires, selon
l'alphabet qui est utilisé, ce qui contrarie le cryptanalyste.
Dans le chiffrement polyalphabétique, le choix de l'alphabet varie au cours du message, cassant la
fréquence des lettres dans le cryptogramme. Ce chiffre ment est d'une solidité considérable. Il sera
longtemps considéré comme indécryptable. Il faudra attendre le 19 e siècle pour qu'une cryptanalyse
apparaisse. Les procédés de chiffrement modernes sont issus de ces chiffres polyalphabatiques.
Il faudra pourtant attendre près de 400 ans pour qu'il soit généralisé à la cryptographie d’état, où
l'usage des nomenclateurs perdurera jusqu'aux années 1970. Son inconvénient rédhibitoire est la
difficulté de sa mise en œuvre par des procédés manuels. Un ancien ambassadeur de Louis XIV,
François de Callières, a écrit en 1716 dans un manuel devenu classique à l'usage des diplomates De
la manière de négocier avec les Souverains [16], à propos du chiffrement polyalphabétique :
On a inventé l'art d'écrire avec des chiffres ou avec des caractères inconnus pour
dérober la connaissance de ce qu'on écrit à ceux qui interceptent les lettres, mais
29/92
l'industrie des hommes, qui s'est raffiné par la nécessité et l'intérêt, a trouvé des règles
pour déchiffrer ces lettres et pour pénétrer par ce moyen dans les secrets d'Autruy.
On ne parle point de certains chiffres inventés par des régents de collège et faits sur des
règles d'algèbre ou d'arithmétique, qui sont impraticables à cause de leur trop grande
longueur et de leurs difficultés dans l'exécution, mais des chiffres communs dont se
servent tous les négociateurs et dont on peut écrire une dépêche presque aussi vite
qu'avec des lettres ordinaires.
3.3.1 Des acteurs férus d'occultisme.
Beaucoup d'auteurs du 16° siècle qui se sont intéressés à la cryptologie étaient aussi des fervents de
science occulte, d'alchimie 13 , de magie, fascinés par les secrets de la Kabbale (interprétation juive
de la Bible). Le chiffre était entouré de mystère dans la tradition mystique p ythagoricienne selon
laquelle « tout est arrangé selon le nombre ». La nature est pleine de secrets qu'il s'agit de déchiffrer.
Le langage est au cœur de cette recherche du sens caché.
Toutes les choses de ce monde ne sont qu'un vray chiffre.
Vigenère, Traité des chiffres.
L'écriture secrète est un usage assez courant à cette époque, et pas seulement pour l'usage politique
et diplomatique. Mais l'usage est réservé à une élite :
L'écriture est double : la commune dont on use ordinairement, et l'occulte secrète qu'on
déguise d'infinies sortes selon sa fantaisie pour ne la rendre intelligible qu'entre soi et
ses consachants. Les yeux de l'âme du commun peuple ne sauraient bonnement
supporter les lumineux étincellements de la divinité.
(…) Afin de les garantir et soustraire du profanement de la multitude, et en laisser la
connaissance aux gens dignes
(… ) à peu de gens divulguez artifices.
Vigenère, Traité des chiffres.
3.3.2 Alberti, l'invention du polyalphabetisme.
Né à Florence en 1404, Léon Battista Alberti représente, comme Léonard de Vinci l'idéal de
l'homme universel qui prévalait à la renaissance italienne. Il est le plus connu comme architecte,
mais il fut également peintre, compositeur, poète, p hilosophe, organiste. Il a été l'auteur d'une
approche scientifique de la perspective, d'un traité sur la mouche domestique.
Il a été introduit aux problèmes cryptologiques par Leonardo Dato, secrétaire pontifical, qui a
comparé le décryptement des secrets de la nature avec celui des lettres interceptées par les espions
du Pape.
Dans le premier essai de cryptanalyse en occident, De Componedis Cyphris, il expose en 1466 une
méthode de décryptement de textes en langue latine, reposant sur l'analyse des fréque nces, et en
particulier sur la recherche des voyelles et des consonnes. « sans voyelle, il n'y a pas de syllabe ». Il
utilise également les propriétés du latin « lorsqu'une consonne suit une voyelle à la fin d'un mot,
celle-ci ne peut être qu'un t, un s, un x ou encore un c ». Il est vraisemblable qu'il n'ait pas eu
connaissance des ouvrages arabes antérieurs sur ce sujet.
Après avoir expliqué comment ces chiffrements peuvent être résolus, il a proposé une solution pour
s'en prémunir qu'il a qualifiée d'incassable : son cadran chiffrant. L'utilisation de ce cadran permet
un décalage de César. Le décalage change de temps en temps, repéré par une majuscule dans le
cryptogramme.
13
Les alchimistes étaient à la recherche de la panacée, un remède universe, et de la pierre philosophale qui changeait le
plomb en or.
30/92
Je découpe deux disques dans une plaque en cuivre.
L'un, plus grand sera fixe, et l'autre plus petit,
mobile. Le diamètre du disque fixe est supérieur d'un
neuvième à celui du disque mobile. Je divise la
circonférence de chacun d'eux en 24 parties égales
appelées secteurs. Dans chaque secteur, du grand
disque, j'inscris en suivant l'ordre alphabétique
normal une lettre majuscule rouge : d'abord A,
ensuite B, puis C, etc. omettant H, K (et Y) qui ne
sont pas indispensables [17].
Cela donne 20 lettres, car J, U et W ne figurent pas dans cet
alphabet. Dans les quatre secteurs restant, il inscrit les chiffres
1, 2, 3 et 4. Dans chacun des 24 secteurs du disque mobile, il
place:
… une lettre minuscule en noir, non pas dans un ordre normal comme pour le disque
fixe, mais dans un ordre incohérent. (…) On place le petit disque sur le grand de façon
qu'une aiguille passée dans les deux centres serve d'axe commun autour duquel
tournera le disque mobile [17].
Les lettres du cadran fixe sont écrites en majuscule et représentent les lettres du message clair. Les
lettres du cadran mobile sont écrites en minuscule et représentent les lettres du cryptogramme. Les
deux correspondants doivent avoir un cadran identique. Ils se mettent d'accord sur un index repéré
par une lettre sur le disque mobile, par exemple la lettre k. Dans le cryptogramme, la première lettre
écrite en majuscule, par exemple B, indiquera qu'il faut placer le k en face de cette lettre.
A partir de de ce point de départ, chaque lettre du cryptogramme représentera la lettre
fixée au-dessus d'elle. Après avoir écrit trois ou quatre lettres, je peux changer la
position de l'indice de façon à ce que k soit par exemple sous le D. Donc dans mon
message, j'écrirai un D majuscule, et à partir de ce point, k ne signifiera plus B, mais D
et toutes les lettres du disque fixe auront de nouveaux équivalents [17].
Les suites de chiffres obtenues dans le message clair sont des entrées dans un répertoire pour
signifier des mots courants comme dans un nomenclateur. Ainsi, la suite 341 peut signifier Pape.
Cela sera chiffré d'une manière à un endroit du cryptogramme et d'une autre à un autre endroit.
Toute nouvelle position du disque conduit à un nouvel alphabet chiffrant, dans lequel le rapport
entre les lettres du clair et les lettres du cryptogramme a changé. Il y a autant d'alphabets que de
positions possibles du disque. Le premier chiffre polyalphabétique était inventé.
Toutefois, il était encore imparfait. Sur des petites portions de cryptogramme, le chiffre d'Alberti
reste monoalphabétique. Ainsi le cryptanalyste peut exploiter les lettres doubles de certains mots,
comme Papa (Pape), qui seront également des lettres doubles dans le cryptogramme.
EXERCICE : Déchiffrer avec le cadran d'Alberti le cryptogramme : BqxboGqvgiMteRkomcoyvXilya
3.3.3 Trithème et la Tabula Recta
La deuxième étape dans le développement du chiffre polyalphabétique est due à l'abbé allemand
Johannes Heidenbert, né en 1462 à Trittenheim, dit Jean Trithème, du surnom Tritemius, similaire à
sa ville d'origine, qu'il s'est donné pour se faire connaître lorsqu'il a fondé une société littéraire.
Il est connu en cryptographie pour être l'auteur en 1528 du premier ouvrage occidental connu en
cryptologie Polygraphiae Libri Sex [18], polygraphie en six livres.
Le livre 5 contient la contribution de Trithème au chiffrement polyalphabétique. C'est dans ce
volume qu'apparaît la Tabula Recta, qui est appelée aujourd'hui Table de Vigenère.
31/92
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
k
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
l
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
m
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
n
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
o
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
p
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
q
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
r
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
s
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
t
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
u
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
x
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
y
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
z
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
w
a
b
c
d
e
f
g
h
i
k
l
m
n
o
p
q
r
s
t
u
x
y
z
Le mode d'emploi de ce tableau selon Trithème est des plus simples. La première lettre est codée
avec le premier alphabet, la seconde lettre avec le second alphabet, etc. Ainsi, le message clair hunc
caveo virum sera-t-il codé par :
hxpf.....................
L'avantage sur le système d'Alberti est que l'alphabet change à chaque lettre. L'ensemble de tous les
alphabets possible est utilisé avant d'être réutilisé, ce qui brouille considérablement l'analyse des
fréquences. Par contre, c'est un procédé rigide et finalement assez pauvre. Une fois révélé, le
procédé n’a plus aucun secret.
Dans le premier livre, il traite également d'une stéganographie, qui consiste en l'écriture de litanie
reposant sur un alphabet de substitution où chaque mot représente une lettre. Ces alphabets sont
connus sous le nom d'ave Maria de Trithème.
A
Deus
A
Clemens
A Creans
A Coelos
B
Creator
B
Clementissimus
B
Regens
B
Coelestia
C
Conditor
C
Pius
C
Confevans
C
Supercoeliestia
D
Opiflex
D
Piusimus
D Moderans
D Mundum
E
Dominus
E
Magnus
E
Gubernans
E
Mundana
F
Dominator
F
Excelsus
F
Ordinans
F
Nomines
Ainsi, BAC devient Creator Clemens Confevans.
3.3.4 Belaso, et la clé.
Giovan Batista Belaso est assez peu connu. On sait que cet italien est né en 1505 d'une famille
noble de Brescia, et qu'il a servi dans l'entourage du Cardinal de Capri dont il était probablement le
chiffreur. Il est l'auteur en 1553 d'un petit livre La Cifra del Sig [19], qui va proposer une évolution
majeure. Il a l'idée de réaliser le chiffrement à l'aide d'un mot, facilement mémorisable et facilement
modifiable qu'il appelle le contresigne.
32/92
Ce contresigne peut consister en quelques mots d'Italien ou de Latin, ou de n'importe
quel autre langue, et les mots peuvent être en nombre réduit ou important comme on le
veut. Ensuite, nous prenons les mots que l'on désire écrire, on les place sur le papier en
ne les écrivant pas trop proches les uns des autres. Ensuite, au-dessus de chaque lettre,
on place notre contresigne. Supposons par exemple que notre contresigne est le petit
verset « virtuti omnia parent »14 . Supposons également que nous voulions écrire ces
mots « Lamarta Turchesca partira a cinque di Luglio » 15 . Nous allons le placer sur le
papier ainsi:
virtuti omnia parent virtuti omnia parent vi
lamarta turch escapa rtiraac inque dilugl io
Belaso, La Cifra del sig [19]
La lettre de la clé indique l'alphabet dans lequel chiffrer la lettre du clair. Ainsi la lettre l sera
chiffrée avec l'alphabet v, soit f, la lettre a sera chiffrée avec l'alphabet i, soit i, etc.
fi.........................................................................
Ce procédé a été popularisé par Vigenère et c'est lui qui porte aujourd'hui le nom de « Chiffre de
Vigenère ».
3.3.5 Porta.
Giovani Battista Porta (1535-1615) est né à Naples. Il est physicien, mathématicien, naturaliste. Peu
après avoir réalisé un tour d'Europe, il publie la Magia Naturalis qui traite des phénomènes naturels
et des phénomènes étranges. A la suite de cet ouvrage, il constitue la première société scie ntifique,
Accademia secretorum qui se préoccupe de magie et d'expérimentation sur ce sujet. Cette société
sera ensuite interdite suite à des accusations d'occultisme.
Il publie en 1563 l'ouvrage qui le fera connaître comme cryptologue : De furtivis literarum notis. Il
s'agit d'une œuvre de synthèse sur les chiffres anciens et modernes (Alberti, Trithème, Belaso), la
cryptanalyse et les caractéristiques linguistiques pour le décryptement, avec pour la première fois
l'utilisation des mots probables selon le type de lettre que l'on décrypte.
C'est lui également qui introduit la classification des mécanismes de chiffrement, encore en vigueur
aujourd'hui, en transposition (mélange des lettres du message clair) et substitution (remplacement
d'une lettre par une autre).
Il est également l'inventeur d'une substitution bigrammique, qui est une substitution simple sur les
couples de lettres, en utilisant un alphabet 400 symboles pour chiffrer tous les couples poss ibles de
20 lettres de l'alphabet latin. Sa contribution au polyalphabétisme a été de réaliser une synthèse
entre l'alphabet désordonné d'Alberti et le système polyalphabétique de Trithème et l'utilisation d'un
mot-clé de Belaso.
Les litterae clavis (lettres-clé) sont associées à des alphabets désordonnés pour coder les litterae
scripti (lettres écrites).
L'ordre des lettres (dans le tableau) … peut être arrangé arbitrairement, à condition
qu'aucune lettre ne soit omise [15].
Il conseille également l'utilisation de clés longues et de préférence dénuées de sens.
Plus elles seront éloignées de la connaissance commune, et plus grande sera la
sécurité qu'elles apporteront à l'écriture [15].
14
15
Tout cède à la vertu.
L’armée turque se mettra en marche le cinq juillet.
33/92
3.3.6 Cardan invente l'autoclave.
Girolamo Cardano, né à Naples en 1501 a été mathématicien, physicien, astrologue, médecin. Il est
connu en cryptologie pour sa grille, utilisé pour camoufler de l'information ( stéganographie), et
également pour avoir inventé le mécanisme autoclave (auto-clé), qui utilise une clé courte et le
message en clair lui-même comme clé de chiffrement.
Dans la présentation de Cardan, on utilise le message en clair comme clé pour chiffrer le message
lui-même. La clé commence par le premier mot du message en clair.
Soit à chiffrer le message sic ergo elementis avec la table de la page 32 :
Clé
Clair
Cryptogramme
s i c
s i c
l r e
s i c e
e r g o
y a i s
r g o e l e m e n
e l e m e n t i s
x r s q p r f n f
La présentation de Cardan est imparfaite: elle ne permet pas un déchiffrement unique. La lettre l du
cryptogramme peut être aussi bien un s chiffré avec la lettre s qu'un f chiffré avec la lettre f. Et pire,
le déchiffreur est exactement dans la même position que le cryptana lyste qui doit deviner quel est le
premier mot du cryptogramme. C'est finalement Vigenère qui corrigera la formulation de Cardan
pour conduire à un procédé réellement utilisable et d'une très grande sécurité.
Cardan a été aussi le premier à argumenter du nombre considérable de possibilités à explorer pour
apporter un argument de preuve à la sécurité des procédés de chiffrement. Il a par exemple énuméré
le nombre d'alphabets possible pour une substitution simple :
26 × 25 × … × 1 = 403291461126605635584000000
3.3.7 Vigenère, le chiffre indécryptable.
Blaise de Vigenère est né à Saint-Pourçain (France) en 1523. Il n'était pas noble, sa particule vient
de ce que sa famille est originaire de Viginaire. Il entre au service du Duc de Nevers en 1547 et y
restera jusqu'à sa mort. Il va à Rome pour une mission diplomatique de deux ans. Il y apprend la
cryptologie au contact de la curie papale. Il retourne à Rome comme secrétaire de Charles IX et
entre dans le secret des chiffreurs de la curie. Il y rencontre notamment Belaso.
Son apport en cryptologie est le Traité des chiffres et des secrètes manières d'écrire [4] qui est
publié en 1586, mais repose sur des travaux antérieurs. Ce traité contient une synthèse des
connaissances de l'époque. Il y expose en particulier qu'il est vain de surchiffrer avec une
substitution alphabétique.
Cependant ce n'était autre chose comme n'est aussi l'artifice duquel nous prét endons
parler, sinon qu'un même sujet couvert de plusieurs chiffres réitéré les uns sur les autres
(…)
Mais je dirai bien davantage, car non que de trois enveloppes tant seulement, ainsi de
cinquante, voire cent mille, et encore plus jusqu'en infini que ce la s'étend, que puissent
être réitérés ces surchiffrements, d'alphabet en alphabet les uns sur les autres, il
n'importe de rien auquel de tous vous vous preniez pour le déchiffrer, étant en cela tous
égaux, autant le dernier comme le premier ou second; parce que la disposition des
lettres dont est issu le sens qui en résulte, ores qu'elle s'altère de figure, comme pourrait
être un a pour un d, son ordre primitif ne se pervertit pas pour cela, que s'il y a deux
mêmes lettres toutes de suite, vous n'en trouviez deux aussi que s'entresuivront; si qu'il
demeure toujours arrangé selon son premier établissement, et composition, et sa forme
particulière renclose tacitement dedans soi, preste à s'en expliquer au dehors, tout ainsi
que l'espèce de quelque oiseau dans un œuf; et d'un végétal en ses pépins, noyaux,
greffes, ou semence, pour s'éclore, germer et poindre hors de leur puissance endormie,
en une réveillée action de leur consemblable.
Vigenère, Traité des chiffres. [4]
34/92
Le chiffre que Vigenère propose dans son traité repose sur le carré de Trithème (page 32) et sur le
principe d'autoclave de Cardan. Il demeurera non décrypté pendant près de 400 ans.
Son apport réside dans l'amélioration du système autoclave de Cardan par l'utilisation conjointe d'un
mot-clé et du message en clair lui- même pour constituer la clé de chiffrement. Il considérera le
mode autoclave sur le clair, qui utilise le message en clair comme clé, et également le mode
autoclave sur le cryptogramme, qui utilise le cryptogramme comme clé.
Soit à chiffrer le message « au nom de l'éternel », en utilisant la table de Trithème de la page 32, si
la clé initiale est constituée d'une seule lettre qui est d, on obtient les cryptogrammes suivants :
Autoclave sur le clair:
Clé
Clair
Cryptogramme
d a
a u
d u
u n o
n o m
h b a
m d
d e
p h
e
l
p
l e t e r n e
e t e r n e l
p z z x x r p
Il existe également un autoclave sur le cryptogramme. Celui-ci présente l'avantage de fournir une
clé incohérente, mais a l'inconvénient rédhibitoire de laisser la clé à la vue du cryptanalyste.
Autoclave sur le cryptogramme:
Clé
Clair
Cryptogramme
d d
a u
d z
z l w
n o m
l w l
l o
d e
o s
s
l
d
d h b f y k o
e t e r n e l
h b f y k o w
Le système autoclave sur le clair est très sûr, mais n'a pratiquement jamais été utilisé en raison de la
grande complexité du déchiffrement et surtout à sa grande sensibilité aux erreurs. Si une erreur
survient au déchiffrement, tout le reste du message de vient incompréhensible (voir le texte de
François de Callières, page 29).
Ce qui est connu aujourd'hui sous le nom de chiffre de Vigenère est en fait le chiffre de Belaso avec
une clé courte qui est répétée. Ce procédé n'a été résolu qu'au 19e siècle. Il existe des exemples de
décryptements réussis, mais seulement parce qu'on avait deviné la clé. Il faudra attendre la fin du
19e siècle pour voir une méthode systématique de décryptement, suite aux travaux de Babbage,
Kasiski et Bazerie. La méthode moderne de décryptement, sans mot probable, repose sur la notion
d'indice de coïncidence, inventé par Friedman au début du 20e siècle. Pourtant, ce chiffre était
toujours présenté comme indécryptable dans la revue Scientific American en 1917.
Outre que ce qui est connu comme le chiffre de Vigenère est en fait une version plus faible de celuici, cette méthode de chiffrement polyalphabétique a été régulièrement réinventée pendant les
siècles qui ont suivi, sans doute en raison de la faible diffusion des connaissances cryptologiques.
-
Chiffre de Grondsfeld. Le belge José de Bronkchorst, comte de Grondsfeld était un homme de
guerre et un diplomate. Vers 1734, il a cru mettre au point son propre système de chiffrement
qui consistait en une amélioration du chiffre de César. La clé consiste en un nombre qui désigne
le décalage à faire opérer successivement et cycliquement aux lettres du cryptogramme. Ainsi,
avec 1734 comme clé, la première lettre sera décalée d'un rang, la seconde de 7 rangs, la
troisième de 3 rangs, la quatrième de 4 rangs, la cinquième d'un rang, etc. Il s'agit finalement
d'une version limitée du chiffre de Vigenère. On trouve le chiffre de Grondsfeld dans le roman
de Jules Verne La Jangada. L'auteur y décrit le décryptement par mot probable, la clé est
retrouvée grâce à la signature de l'auteur du cryptogramme.
-
Chiffre de Beaufort. L'amiral anglais Sir Francis Beaufort (1774—1857) est connu pour son
échelle des vents. Le chiffre de Beaufort a été publié après sa mort par son frère. Il aurait en fait
été inventé par Jean Sestri vers 1710. Il s'agit d'une variante du chiffre de Vigenère. Le
chiffrement et le déchiffrement sont simplement inversés.
-
Variante à l'allemande. Cette variante date du début du 20° siècle. Le chiffre de Vigenère
pouvait alors être interprété comme l'addition modulo 26 de la lettre clé avec la lettre du texte.
35/92
La variante à l'allemande consiste à soustraire modulo 26 la clé du message en clair. Cette
variante a l'avantage de rendre la procédure de chiffrement identique à la procédure de
déchiffrement.
-
La réglette de Saint-Cyr. En raison de la difficulté et de la sensibilité aux erreurs, on a imaginé
des procédés mécaniques pour simplifier la tâche du chiffrement et du déchiffrement. La réglette
de Saint-Cyr est de ceux- là. Elle est constituée d'une réglette coulissante sur laquelle est écrit
l'alphabet. Elle doit son nom à l'académie militaire française qui porte ce nom, et où elle était en
usage entre 1880 et le début du 20e siècle.
-
Le cylindre de Jefferson. Le futur président des États Unis d'Amérique, Thomas Jefferson
(1743-1826), était un écrivain, agriculteur, architecte, diplomate et homme politique. Alors qu'il
était secrétaire d'état de George Washington, il mit au point un dispositif mécanique qu'il a
appelé le Wheel Cipher constitué de 26 disques sur la tranche desquels était imprimé un
alphabet désordonné. Pour chiffrer un message, on fait tourner les roues de manière à faire
apparaître le message. Le cryptogramme est constitué de l'une quelconque des séquences des
autres lettres. Pour déchiffrer, il suffit de disposer du même cylindre constitué des mêmes 26
disques, d'aligner le cryptogramme et de lire le seul texte qui semble avoir un sens parmi les
autres alignements. On peut changer de clé en changeant l'ordre des cylindres. Il s'agit d'un
chiffrement similaire au système de chiffrement proposé par Porta. Ce dispositif a lui- même été
réinventé par Étienne Bazerie en 1891 et par le colonel italien Durcos en 1900. Une variante de
ce cylindre, le cylindre M-94, amélioré par le colonel Joseph O. Mauborgne, a été utilisé par
l'armée américaine entre 1922 et 1942.
Figure 4. Le cylindre de Jefferson
36/92
4
L'émergence d'une méthode analytique en cryptanalyse.
L'évolution des méthodes de cryptanalyse des procédés traditionnels monoalphabétique, puis
polyalphabétiques montre l'utilisation progressive de méthodes analytiques, qui font appel au
raisonnement et conduisent à une procédure systématique. Ces méthodes utilisent la structure du
langage davantage que la signification particulière du message, elles s'opposent, sans être
exclusives, aux méthodes intuitives qui ont recours à la notion de mot probable, notion davantage
liée au contexte et au sens du message.
4.1
Les origines
Les Arabes, avec Al Kindi, ont jeté les bases de la cryptanalyse des substitutions simples. Ils
faisaient déjà appel à une méthode systématique reposant sur la structure de la langue, avec le
comptage des caractères et une approche linguistique reposant sur l'étude des combinaisons
possibles et impossibles des lettres.
Ces techniques apparaissent en occident avec Porta, qui va également innover en introduisant la
méthode du mot probable.
Le travail de la cryptanalyse est d'abord présenté comme une tâche difficile et laborieuse, faisant
davantage appel à l'habileté du cryptanalyste, son acharnement, voire sa chance, qu'à une
quelconque méthode déductive. Voici ce qu'écrit Vigenère sur la difficulté et vanité du
décryptement :
Baptiste Porte Napolitain en un juste volume à part, intitulé, De furtiuis literarum notis,
où toutefois ce à quoi il insiste le plus, est d'enseigner les moyens de déchiffrer sans
alphabet, exercice certes d'un inestimable rompement de cerveau, et en fait un travail
tout inglorieux, joint qu'avec toutes les règles et maximes qu'on en peut donner, dont il y
en a à la vérité qui y apportent beaucoup de lumière, il se trouvera à l'encontre assez de
manières de chiffres du tout inexpugnables et invincibles, à qui n'en aura le secret.
[4] Vigenère, Traité des Chiffres
L'étude de l'histoire de la cryptanalyse est délicate en raison du faible nombre de documents publiés
par les acteurs eux- mêmes. Il est en effet maladroit de rendre publique la connaissance du code de
l'adversaire, sous peine de voir celui-ci changer son procédé de chiffrement. Les méthodes de
décryptement sont bien plus sensibles que les méthodes de chiffreme nt elles-mêmes.
Les mathématiques n'investissent pas encore la cryptologie, qui reste très liée au langage écrit, mais
beaucoup de cryptanalystes sont également de grands mathématiciens (François Viète, John Wallis
(1616-1703) à qui on doit le symbole , Charles Babbage). Ils vont contribuer à apporter à la
cryptanalyse des règles de décryptement qui en font une méthode proche du raisonnement déductif
pratiqué en mathématiques.
4.2
François Viète (1540 – 1603)
De formation juridique, François Viète a été l'avocat des grandes familles protestantes, avant de
devenir conseiller au parlement de Rennes sous Charles IX, puis maître des requêtes ordinaires de
l'hôtel du roi sous Henri III. Il devient membre du conseil du roi Henri IV et son déchiffreur.
Fort de ses premiers succès de décryptement, il doit décrypter une quantité de plus en plus
importante de messages, jusqu'à plus d'une dizaine de liasses par mois. Ce nombre le conduit à se
faire aider par Charles de Lys, pour préparer la transcription.
Parallèlement à ces charges au service de l'état, il mène une carrière de mathématicien qui le fait
reconnaître comme un fondateur de l'algèbre symbolique. Il est l'un des premiers cryptologues à
proposer une méthode analytique et systématique pour révéler les messages chiffrés.
37/92
Il est sans doute l'auteur de nombreux codes utilisés à cette époque (code de Sully de 1599, code
d’Henri IV de 1604). Ces codes sont constitués de substitutions homophones, de lettres nulles et
d'un répertoire pour coder des mots entiers, des expressions, des noms propres.
Du fait de sa confession protestante, le roi Henri IV luttait contre la ligue catholique soutenue par le
roi d'Espagne Philippe II. Plusieurs lettres écrites par Jean de Moreo, officier de la Ligue à
Philippe II et à son ambassadeur en France ont été interceptées, et proposées à Viète pour
décryptement, ce qu'il réussit à faire. Ces lettres montraient que le Duc Charles de Mayenne
projetait de devenir roi à la place d’Henri IV. C'est sans doute à la demande d' Henri IV que Viète
publia leur contenu en 1590, ce qui permit à Henri IV d'obtenir un compromis lui permettant de
conserver le trône. L'avantage obtenu semblait visiblement plus fort que la révélation que le chiffre
du roi d'Espagne était compromis. Le dernier mémoire que Viète a publié en 1603, à la fin de sa vie,
traite de la cryptographie, et il y décrit en particulier sa méthode.
Je n'ai point caché la voie que j'ai tenue, mais j'en ai toujours ouvert la lumière à ceux
qui se sont adressés à moi de la part du Roy. Et si ce service a profité ou non, nul ne le
sait mieux que M. de Mayne auquel par le commandement de sa Majesté, plusieurs
paquet furent fait voir afin qu'il connût la conspiration que ses partisans mêmes
faisaient contre lui.
Le roi Philippe II a porté plainte auprès du Pape, accusant Viète d'utiliser la magie pour lire ses
lettres chiffrées. Cette accusation est restée sans suite. Le Pape disposait également de déchiffreurs
sachant lire les lettres du roi d'Espagne et savait que la magie n'y était pour rien. Philippe II n'a
pourtant pas changé son code.
L'apport essentiel de Viète à la cryptanalyse est de proposer une méthode analytique. Elle repose
sur l'assertion suivante qu'il appelle « la règle infaillible » :
REGLE INFAILLIBLE : Parmi trois lettres consécutives, on trouve toujours une ou plusieurs des cinq
voyelles A, E, I, O ou U. En d'autres termes, jamais trois consonnes ne se suivent.
Cette propriété est presque toujours satisfaite en espagnol. Même si elle l'est moins en français, sa
vraisemblance est suffisante pour mener un décryptement.
Le premier travail de Viète face à un cryptogramme sera de rechercher les voyelles. C'est sans
doute son expérience de cryptanalyste qui, dans son élaboration de l'algèbre symbolique, l'a conduit
à désigner les inconnues par des voyelles, convention qui sera plus tard remplacée par l'usage actuel,
introduit par Descartes, d'utiliser les lettres x, y, et z.
EXEMPLE16 :
t y e n lp ye n l q w q y f yk l m lq t y h g m j w n k k yj m fo g g w g x yk yw j
ylkqa fyzjnf wgqkuqyl y
On examine les triplets successifs qui n'ont pas de lettre en commun : tye nlp qwq hgm. On repère
ainsi 11 lettres. Tous les autres triplets contiennent au moins une de ces 11 lettres. On en déduit que
les 5 voyelles sont parmi ces 11 lettres.
Le premier triplet qui fait intervenir deux autres lettres que les 11 précédentes est fyk. Il contient
une voyelle qui n'est donc ni f, ni k. Cela conduit à conclure que y représente une voyelle.
Un raisonnement similaire permet d'identifier les 5 voyelles. Dans ce raisonnement, la signification
du texte n'a pas été prise en compte. Il s'agit d'une relation entre les symboles. Pour cette raison, on
peut qualifier la méthode de Viète d'algébrique.
Une fois ces voyelles déterminées, le bon sens, l'intuition et le rompement de cerveau interviennent
à nouveau, faisant appel au contexte et au sens du message.
16 Cet exemp le est extrait de l'art icle de Jean-Pau l Delahaye dans « Pour la Science » n°313 novembre 2003, Viète,
inventeur de la cryptanalyse mathématique.
38/92
EXERCICE :
1.
Quelles sont les autres lettres du cryptogramme qui représentent des voyelles ?
2.
Terminer le décryptement.
Viète n'abandonne pourtant pas complètement le recours à la signification. Dans son mémoire de
1603, il utilise le terme chiffres essentiels pour désigner les nombres qui ne sont pas chiffrés dans
un message, contrairement aux autres caractères. La connaissance de ces valeurs permet de
présumer du terme qui suit. Ainsi, dans un message militaire, 4 000 sera probablement suivi par le
mot fantassin, et 50 par le mot cavaliers alors que dans un message où il est question de commerce,
100 000 désignera plus vraisemblablement des ducas (unité monétaire). Autour d'un nombre proche
d'une année, on trouvera probablement le nom d'un mois, etc.
4.3
Charles Babbage
Charles Babbage (1791 – 1871) est honoré par les informaticiens comme auteur des plans de la
machine analytique, première machine de calcul mécanique conçue pour être programmable. Il est
surprenant d'observer la similarité avec l'architecture des ordinateurs actuels. Babbage est
également à l'origine de l'École Algébrique Anglaise. Il est politiquement proche des Whigs
(centriste libéraux), voire des radicaux et participe au vaste mouvement de réformes qui place la
science au cœur des institutions.
Le contexte économique et politique du travail de Babbage est celui de la révolution industrielle. Il
nait dans une Angleterre rurale, et à la fin de sa vie, l'Angleterre est devenue industrielle. Il a vécu
cette transformation violente et agitée, faite de crises sociales, d'émeutes, avec des projets
d'assassinat de ministres, des massacres d'ouvriers (Peterloo, 16 août 1819). Des villages comme
Manchester et Liverpool deviennent des villes.
Charles Babbage a eu une activité constante et reconnue en cryptographie de 1831 à 1870, en
particulier en cryptanalyse.
Le décryptement est l'un des arts les plus fascinants, et je crains d'y avoir dépensé plus
de temps qu'il ne le mérite.
Babbage, Extrait de The Life of a Philosopher, 1864.
Cette activité est une pratique courante dans les milieux proches du pouvoir. Elle est faite à la fois
de délassement, de secrets intimes et de diplomatie. En cette fin de 19 e siècle, la haute société
anglaise utilise des moyens rudimentaires de chiffrement pour communiquer par petites annonces
dans les Agony Columns du journal The Times, et également pour protéger leurs messages du regard
indiscret des employés du télégraphe.
On trouve les traces du projet de publication d'un ouvrage Philosophy of Deciphering, qui ne restera
qu'à l'état de manuscrit. Son objectif était de présenter les éléments d'une histoire conceptuelle du
déchiffrement, inventaire des méthodes des plus simples aux plus compliquées. Il présente des
indications sur l'histoire britannique de la cryptologie. Cet ouvrage a été préparé, mais non publié.
Babbage était un esprit actif et inventif, et ce caractère est peu compatible avec la publication qui
implique de figer l'état des connaissances et donc l'arrêt du processus de découverte, le temps du
travail de rédaction. De 1853 à 1856, l'Angleterre est impliquée dans la guerre de Crimée, Babbage
est un proche de l'amiral Beaufort, et cette raison a été suggérée pour expliquer la non p ublication
de l'ouvrage qui aurait livré des secrets sur les méthodes de chiffrement anglaises.
Activité cryptologique de Babbage.
1831 – 1833 : Il pratique des jeux de chiffrement en particulier de l'autoclave avec le géologue
William Henry Fitton (1780 – 1861) et sa sœur Mrs. Jane.
1835 : Il décrypte pour l'astronome Francis Baily une lettre datant de 1721 ou 1722, écrite par Sharp,
l'assistant de John Flamsteed qui était astronome royal. Baily devait établir l'exactitude des
39/92
observations de Flamsteed à l'observatoire de Greenwich. Or Flamsteed fait vaguement allusion à
une erreur de division dans un calcul d'arc. Il devenait nécessaire pour Baily de chercher d'autres
documentations afin de déterminer l'erreur avec précision. En cherchant les lettres originales
manuscrites de Sharp, il a trouvé une lettre du 27 janvier 1721 – 22 d'un certain Mr. Crosthwail qui
signale l'existence d'une telle erreur. Baily raconte :
Sharp avait comme à son habitude, écrit en sténo au dos de la lettre, et mon
travail était de déchiffrer cette réponse. J'ai fait appel à x gentlemen sans succès.
J'en ai parlé immédiatement à Babbage qui a réussi à obtenir la clé de l'alphabet,
ce qui a permis de connaître le point de vue de Sharp sur cet intéressant sujet.
La lettre déchiffrée a permis à Baily de découvrir que les erreurs provenaient de la table de
réfraction de Flamsteed, ce qui ne laissait aucune raison de croire que l'arc était mal divisé.
1846 : Décryptement du chiffre de Vigenère. Babbage avait une jeune sœur Mary Anne avec qui il a
été très lié toute sa vie. Pour amuser ses neveux, il les initie à la cryptologie. En retour, ils l'aident à
élaborer des dictionnaires de déchiffrements. Babbage éveille un intérêt qui se maintiendra quand
ils seront adultes. En février 1846, son neveu Henry Holliers le met au défi de résoudre un chiffre
de Vigenère fondé sur un alphabet conventionnel.
PYRI ULOFV
POVVMGN MK UO GOWR HW LQ PGFJHYQ
OJAV MSN WIJHEEHPR BRVGRUHEGK, EFF WJSR RVY
CPOY VSP, PX OKLN PI XXYSNLA SELF XG
FEEWTALV LJIU, WR MOI EGAP HMFL ML YINZ
TNGDDG YQIV UYEAP-BQL
WJQV PGYK STRITLMHFOFI
EWTAWK
TIEJC
Le cryptogramme est divisé en trois parties avec une clé différente sur chaque partie. Le
cryptogramme lui- même est une lettre banale. La solution que trouve Babbage se devine aux traces
sur les lettres manuscrites. On a de ce travail que des documents fragmentaires et des brouillons
désordonnées. Il a écrit les équations que le système doit résoudre:
Translation = Cypher – Key +1
Cypher = Key + Translation +1
Babbage écrit l'ensemble des équations satisfaites par le message, donnant pour la première fois une
formulation mathématique à ce chiffre, mais abandonne la résolution pour la raison que le nombre
d'inconnues dépasse le nombre d'équations.
Le fait qu'il numérote les lettres de 1 à 26 et non pas de 0 à 25 dans ses équations font douter de
l'utilisation des congruences de Gauss.
La méthode qui apparaît sur ses brouillons est faite d'analyse des mots, de recherche intuitive de
mots probables pour le message clair comme pour la clé, par un travail où la signif ication du
message est très présente. Il procède par exemple à plusieurs essais autour du mot composé
UYEAP - BQL. Il essaye sans succès water-dog, fools-up. Birth-day, wool-cap, money-bag, nightcap, small-pox, heavy-wet, death-bed, house-dog, under-cut. Il ne trouve pas tout de suite brain-box,
qui est le bon résultat. Puis, quittant le terrain des devinettes, il se tournera sur les trigrammes les
plus fréquents : tea, the, and, etc. La mention « cypher given me by the Duke of Somerset » sur le
manuscrit lui fait sans doute deviner un des mots-clés du message : SOMERSET. Cette clé convient
pour la fin du message, mais s'avèrera mauvaise pour la première partie du message. Il trouve
finalement les mots-clés MURRAY et CACOETES. Le décryptement est présenté comme achevé
dans une lettre datée du 19 mars 1846, soit après plus d'un mois de travail acharné.
40/92
1854 : Babbage intervient comme expert dans un procès avec soupçon d'espionnage, pour
réhabiliter une famille déshonorée, et où il y a besoin de décrypter une lettre chiffrée d'un fils à une
jeune femme chinoise. Il est invité par A. W. Kinglake, avocat, qui connait son intérêt pour la
cryptographie. Babbage révèle qu'il s'agit d'une simple substitution monoalphabétique, et il explique
en détail la méthode qui l'a conduit à reproduire le message clair : les lettres q et w interviennent
souvent à la fin des mots, sqj est une occurrence fréquente, mais Babbage a des difficultés à
déchiffrer en raison de la mauvaise orthographe, d'erreurs de chiffrement et de l'utilisation d'un
« little language », c'est-à-dire d'un langage amoureux plein de sous-entendus qui troublent la
compréhension.
1854 : Dans le Journal of the Society of Art, Mr. Twaite affirme avoir inventé un chiffre
indécryptable, fait de réglettes coulissantes. Mr. Twaite voudrait que cette société brevète son
invention comme originale. Il la présente utile pour maintenir le caractère privé des échanges
télégraphiques. Il s'agit en fait d'une réinvention du chiffre de Belaso-Vigenère. Babbage est appelé
comme expert en cryptographie et montre dans une réponse que le chiffre présenté par Mr Twaite,
d'une part est déjà connu, et d'autre part est facilement décryptable. Il s'en suit un échange dans le
journal où Mr Twaite lance un défi, qui est décrypté par Babbage. Il explicite les relations entre le
clair et le cryptogramme, mais ne dit pas comment il a trouvé la clé. Les manuscrits témoignent de
l'utilisation de l'analyse des fréquences.
1858 : Il correspond avec une historienne Mrs Green au sujet de lettres codées de Charles I ou
Charles II (?).
4.4
Kasiski
Friedrich Wilhelm Kasiski (1805 – 1881) était un officier d'infanterie prussien, né à Schlochau
(aujoud'hui Czuchow, Pologne). Il est surtout connu pour avoir publié la première fois une méthode
analytique pour le décryptement du chiffre polyalphabétique de Vigenère dans un petit ouvrage de
95 pages Die Geheimschriften und die Dechiffrierkunst (l'écriture secrète et l'art du déchiffrement).
Il n'était pas cryptologue professionnel. Il fait sa carrière dans l'armée et a pris sa retraite 1852 avec
le grade de major. Bien qu'il ait été par la suite commandant d'un bataillon de la garde nationale, il a
trouvé assez de temps libre pour s'intéresser à la cryptologie et publier son ouvrage en 1863.
Sa découverte a été peu reconnue au moment de sa p ublication, et Kasiski s'est ensuite intéressé à
l'archéologie, sans se rendre compte du caractère essentiel de son travail pour la cryptanalyse.
Le principe repose sur l'analyse des écarts entre les répétitions dans le cryptogramme pour
déterminer la longueur de la clé. La méthode est analytique et repose sur les trois propositions
suivantes :
1. Lorsque deux polygrammes identiques du clair sont semblablement placés par
rapport à la clef, ils donnent dans le cryptogramme des polygrammes identiques.
2. Réciproquement, dans la majorité des cas, deux polygrammes identiques du
cryptogramme proviendront de deux polygrammes identiques du clair semblablement
placés par rapport à la clé.
3. L'intervalle qui sépare deux polygrammes identiques du cryptogramme sera donc,
dans la majorité des cas, un multiple du nombre de lettres de la clef.
L'examen des intervalles qui séparent les différents polygrammes identiques du
cryptogramme permettra donc en général de préciser la longueur n de la clé, le
cryptogramme peut alors être disposé en un tableau de n colonnes. Toutes les lettres
d'une même colonne se trouveront avoir été chiffrées avec un même alphabet, par une
substitution simple à décalage constant de type Jules César. Il suffira alors d'identifier
une seule des lettres de cette colonne pour avoir du même coup la traduction de toutes
les lettres de cette même colonne. (…) les lettres les plus fréquentes dans chaque
41/92
colonne correspondent à peu près aux «esantirulo» du clair. (…) Un procédé pour
mener à bien cette recherche consiste à utiliser un jeu de réglettes verticales mobiles,
sur chacune desquelles figure, répété deux fois, l'alphabet normal. (…) Si par exemple,
on a relevé dans une colonne les fréquences
G
T
C
F
K
N
P
V
2
2
1
1
1
1
1
1
et que l'on dispose les réglette de manière à aligner sur une même horizontale les lettres
GTCFKNPV, on pourra voir immédiatement quelle est celles des lignes de l'appareil qui
contient le plus d' « esantirulo ». Elle correspondra en général au clair.
[20] Éléments de cryptographie – Capitaine Baudouin – Ed. A. Pedone 1939
Le terme « esantirulo » est un mot facile à retenir, sorte de mot magique des apprentis
cryptanalystes, constitué des lettres les plus fréquentes de la langue franç aise. Le e a une fréquence
d'environ 18% et les lettres s, a, n, t, i, r, u, l, et o ont chacune une fréquence de 5 à 8 %. Ces dix
lettres couvrent à elles seules près de 80 % des lettres l'un texte français.
Le décryptement s'opère donc en deux phases :
1.
Recherche de la longueur de la clé,
2.
Recherche des alphabets de la clé.
La détermination peut reposer sur l'analyse des fréquences, la lettre la plus fréquente ayant de forte
chances d'être un e.
EXEMPLE
asyna itjsy qnkgt zmoie tjwqy
eulkw euoeg tjdme kuthq dmsqt
ohmnk wgsul eyhjf qetih chqoi
etrcy btvut bpgeo hrifu oevtf
mqnmr ns
La table suivante donne les polygrammes répétés, les écarts de leurs positions et les diviseurs de cet
écart :
oiet
77–21=56
4, 7, 8, 14
uoe
97-34=63
3, 7, 9
sy
10-3=7
7
tj
37-22=15
3, 5
tj
22-8=14
7
tj
37-8=29
29
eu
32-27=5
5
ul
60-28=32
4, 8
gt
36-15=21
3, 7
dm
47-39=8
4, 8
ut
85-43=42
3, 6, 7, 14
oh
91-52=39
43, 13
Le diviseur 7 apparaît comme le plus fréquent. Il est raisonnable de faire l'hypothèse que le
cryptogramme a été chiffré avec une clé de longueur 7. Ce test sur les diviseurs des écarts des
répétitions pour déterminer la longueur de la clé s'appelle aujourd'hui le test de Kasiski.
Pour achever le décryptement, il faut alors placer le cryptogramme en lignes de 7 colonnes et
examiner les fréquences des lettres colonne par colonne. Cet examen permet de déterminer avec
plus ou moins de bonheur les lettres des alphabets, en tenant compte également des règles
classiques sur la position des voyelles et des consonnes.
42/92
4.5
Le chiffre français de 1870 à la première guerre mondiale.
Cette période voit la dernière application effective des procédés manuels, et la mise en place des
structures étatiques de la cryptologie qui perdureront jusqu'à sa libéralisation à la fin du 20 e siècle.
En 1870-1871, la France est défaite au cours d'une guerre franco-prussienne. Cela a pour
conséquence la fin de l'empire français et la fondation de la 3° république. L'insécurité des
communications et l'incapacité à intercepter les transmissions ennemies, ont été évoquées comme
des éléments d'explication de la défaite française. Auguste Kerckhoffs souligne « l'absence d'un
système sûr de communication secrète entre l'armée de Paris et les généraux de Province ».
Cette défaite a stimulé le développement d'une cryptologie militaire en France. L'année 1872 voit la
création de la commission de télégraphie militaire. En 1880, le général Lewal écrit « la
cryptographie est un auxiliaire puissant de l'art militaire ». En 1889, la commission de
cryptographie militaire est créée.
Il se crée en France à cette époque une véritable école française de cryptolo gie autour de l'école
polytechnique.
-
Paul- Louis Eugène Valério publie dix articles dans le journal des sciences militaires dans les
années 1890 ainsi qu’un ouvrage en deux volumes « De la cryptographie, essai sur les
méthodes de déchiffrement » en 1893-1896. Il intervient dans le procès Dreyfus à Rennes et
réussit le décryptement de la correspondance entre Henri IV et le Landgrave de Hesse
-
Félix Delastelle (1840-1902) est administrateur des tabacs à Marseille. On lui doit la
classification des modes de chiffrement dans le « Traité élémentaire de cryptographie » publié
en 1901.
-
Étienne Bazerie (1846 – 1931) a décrypté les dépêches de Louis XIV et de son secrétaire d’État
de la guerre, le marquis de Louvois. Il reconstitue le grand chiffre du Roy, mais aussi les
répertoires de François 1er, Mirabeau et Napoléon. Il a décrypté pour le ministère de l'intérieur
le chiffre des conspirateurs de 1892 pour le procès Ravachol.
-
George-Jean Painvin (1886-1980) décrypte le radiogramme de la victoire en 1918.
-
Marcel Givièrge (1871-1931) publie en 1925 un « Cours de cryptographie » qui servira de
manuel aux cryptologues français, puis aux cryptologues polonais qui ont décrypté Enigma.
Plusieurs éditions de son cours seront publiées outre atlantique et sera cité par Shannon.
-
Gaétan de Viaris (1847-1901) met en équation les procédés polyalphabétiques.
Pendant la première guerre mondiale, la section du chiffre française décrypte de nombreux
messages chiffrés allemands. Les succès de cette section sont vantés dans la presse, ce qui incite les
allemands à changer souvent de code, et une guerre des codes secrets a lieu parallèlement aux
combats. Un acteur principal de ces décryptements est le capitaine Georges-Jean Painvin (18861980). Il a décrypté en 1918 le message radio chiffré allemand adressé par le haut commandement
allemand vers une unité de située au nord de Compiègne :
« Munitioneirung beschleunigen punkt soweit nicht eingesehen auch bei tag »17
confirmant que l'offensive allemande allait se concentrer à cet endroit. Ce texte a été transmis au
général Pétain, puis au général Foch, chef d'état- major interallié, permettant de stopper l'offensive
allemande. Pour cette raison, ce message radio allemand a été appelé le « radiogramme de la
victoire ».
Le système ADFGX utilisé par les allemands a été créé par le colonel Fritz Nebel (1891-1977). Il
met en œuvre une substitution par bigrammes suivi d'une transposition avec deux clés changées
17 Hâter l'approvisionnement en munitions, le faire même de jour tant qu'on n'est pas vu.
43/92
régulièrement. Les lettres ADFGX servent d'indice dans un tableau à double entrée pour définir une
des 25 lettres de l'alphabet latin. Les codes Morse de ces lettres sont très différents les uns des
autres, ce qui limite les erreurs de transmissions par les opérateurs télégraphistes.
∙─
─∙∙
∙∙─∙
──∙
∙∙∙─
─∙∙─
A
D
F
G
V
X
A
D
F
G
C
A
o
m
j
f
a
D
n
k
g
b
p
F
l
h
c
q
t
G
i
d
r
u
x
X
e
s
v/w
y
z
C'est l'interception d'un grand nombre de messages émis le 1er avril 1918 avec des séquences
identiques de cryptogrammes qui a permis à Georges-Jean Painvin de reconstituer des bribes de
clair et progressivement de reconstituer les clés. Le 1 er juin, la lettre V est apparue dans les
messages transmis, indiquant un nouveau système de chiffrement, le système ADFGVX. Ce
système permet le codage des 26 lettres et des 10 chiffres. Il aura fallu 48 heures de travail acharné
et ininterrompu pour permettre à Georges-Jean Painvin de reconstituer le code utilisé. Le 1er juin
1918, les services d’écoute français ont intercepté le radiogramme suivant, émanant du haut
commandement allemand en direction d’une unité qui stationnait au nord de Compiègne :
FGAXA XAXFF FAFFA AVDFA GAXFX FAAAG DXGGX AGXFD XGAGX GAXGX
AGXVF VXXAG XFDAX GDAAF DGGAF FXGGX XDFAX GXAXV AGXGG DFAGD
GXVAX VFXGV FFGGA XDGAX ADVGG A
Ce message fut immédiatement transmis à la section du chiffre qui l’a décrypté dans la nuit du 2 au
3 juin par le Capitaine Georges-Jean Painvin. Il réussit à déterminer la clé de substitution et la clé
de transposition :
Clé de substitution :
A
D
F
G
V
X
A
c
m
n
5
p
e
D
o
k
w
s
l
q
F
8
3
l
i
v
7
G
x
a
0
y
b
t
V
f
z
j
h
6
2
X
4
9
d
u
r
g
15
X
G
X
A
X
V
9
G
X
A
G
X
V
Clé de transposition :
6
D
X
G
G
X
A
16
A
G
X
G
G
D
7
G
X
F
D
X
G
5
X
F
A
A
A
G
17
F
A
G
D
G
X
2
A
X
F
F
F
A
14
G
X
X
D
F
A
10
F
V
X
X
A
G
13
G
A
F
F
X
G
1
F
G
A
X
A
X
21
A
D
V
G
G
A
12
D
A
A
F
D
G
4
F
A
G
A
X
F
8
A
G
X
G
A
X
19
G
V
F
F
G
G
3
F
F
A
A
V
D
11
X
F
D
A
X
G
20
A
X
D
G
A
X
18
V
A
X
V
F
X
Après la première guerre mondiale, cette école de cryptologie française va décliner, sans doute du
fait de la victoire des alliés. Selon thèse de David Kahn, ce sont les défaites militaires qui
conduisent les gouvernements à développer l'activité cryptologique.
44/92
5
La mise en place des réseaux de communication et la mécanisation du
chiffrement.
5.1
Contexte
A la fin du 18° siècle et au 19° siècle, la révolution industrielle a multiplié les échanges. Des
réseaux de communication se mettent en place et se développent : le chemin de fer, les canaux de
navigation, mais aussi le réseau télégraphique.
Cette période voit la fin des cabinets noirs (services, qui œuvraient dans la plupart des pays
européens, chargés de l'interception postale et de la cryptographie sous l'ancien régime). La
cryptologie sort ses domaines traditionnels que sont la diplomatie des états et le bagage de l'homme
éduqué. Elle va devenir un problème d'ingénierie. On observe un changement d'échelle dans le
nombre de messages échangés avec le développement des techniques de communication que sont le
télégraphe optique, puis électrique, et le téléphone.
Le problème n'est plus l'échange de messages secrets entre deux individus, mais le bon
fonctionnement d'un système de communication dans lequel la confidentialité est un service devenu
nécessaire. Cela ouvre la voie à une professionnalisation de la cryptologie, et a de multiples
implications quant à la nature même du chiffrement.
5.2
Sur le besoin de chiffrer:
L'extension du télégraphe va conduire à de nouvelles exigences de confidentialité.
Des mesures devront être prises pour parer à une sérieuse objection que l'on soulève à
propos des communications privées par télégraphe – la violation du secret – car, dans
tous les cas, une demi-douzaine de personnes sont amenées à connaître chaque mot
adressé par une personne à une autre. Les employés de la Compagnie Anglaise du
Télégraphe s'engagent au secret sous serment, mais nous écrivons souvent des choses
que nous ne supporterions pas de voir lues par d'autres avant nous. C'est encore un
grave défaut du télégraphe, et il faut y remédier d'une manière ou d'une autre.
Quaterly Review18 , 1853
La taxation des messages au mot conduit à l'utilisation de codes compressifs de manière à réduire
la quantité d'information à transmettre. Un des premiers codes commerciaux pour cet usage est le
code Sittler de 1868. Les mots sont rangés par ordre alphabétique ainsi que les expressions
courantes. Ils sont numérotés de 0 à 99 sur chaque page. Une dépêche télégraphique est constituée
d'une suite de mots de 4 chiffres, indiquant le numéro de la page et l'index du mot dans la page
selon une convention admise par les deux correspondants. Le développement de ce genre de code
va se poursuivre jusqu'à la seconde guerre mondiale (P. Hébrard [14]).
La réglementation évolue pour suivre ce besoin. La loi du 13 juin 1866 accorde en France au
public la faculté de correspondre en chiffres sur le territoire français, la convention de SaintPetersbourg du 10 au 22 juillet 1875 permet l'emploi d'une communication chiffrée pour les
communications télégraphiques internationales.
En outre, le recours à la télégraphie a imposé de revoir les méthodes de chiffrement. L'emploi d'un
code alphabétique comme le code Morse interdit l'utilisation de symboles graphiques dont l'usage
était pourtant répandu dans la cryptographie traditionnelle. L'invention de systèmes compatibles
s'imposait.
Le renseignement par écoute va reprendre une dimension stratégique, notamment avec le
développement de la TSF. Le besoin de chiffrer les communications deviendra manifeste.
18 Revue
trimestrielle conservatrice fondée en 1809 par l'éditeur John Murray.
45/92
5.3
Le télégraphe de Chappe.
Claude Chappe (1763 – 1805) est l'inventeur du télégraphe optique qui porte son nom et qu'il
exploitera avec ses frères.
Il est constitué de trois bras articulés peints en noir, un bras central appelé régulateur, et deux bras
latéraux articulés appelés indicateurs qui peuvent former un angle obtus, droit ou aigu avec le
régulateur.
Chaque position des bras correspond à un code sur deux chiffres. Le directeur de la tour déchiffre le
message à l'aide d'un livre du code, maintenu secret.
En 1793, une démonstration de transmission rapide d'information sur 40 km. le fait adopter par la
convention. Il s'en suit un développement de l'invention. Une première ligne Paris – Lille permet de
transmettre un message en moins de 6 heures. Elle sera suivie par d'autres, pour former un réseau
qui couvrira la France métropolitaine, et également l'Algérie et la Tunisie. En 1844, le territoire
français compte 534 tours pour des liaisons de plus de 5000 km. entre les principales
agglomérations. Il est réservé aux communications gouvernementales jusqu'en 1851, date où il est
mis à la disposition du public.
La réalisation du télégraphe optique utilise une technique et des matériaux traditionnels. Il aurait pu
être construit bien avant. L'instrument le plus élaboré est la lunette optique pour l'observation
lointaine des bras articulés. Sa réalisation à la fin du 18e siècle correspond à un besoin particulier
qui n'apparaît qu'à ce moment dans le contexte de la révolution française et de la mise en place
d'une administration centralisée de l'état.
La position des bras articulés, qui porte l'information transmise est visible de tous, ce qui rend
nécessaire l'usage d'un code confidentiel.
L'organisation du télégraphe optique est très hiérarchique, avec une discipline quasi militaire. Au
sommet, on trouve l'administration centrale, composée à partir de 1823 de trois administrateurs, un
chef et deux adjoints pour quatre bureaux : dépêches, personnel, matériel et comptabilité.
On trouve ensuite les directeurs, qui sont à la tête d'une division et ont pour tâche de coder, décoder
et émettre les dépêches. Ils supervisent l'activité des inspecteurs qui sont attachés à une division et
responsable d'un tronçon de ligne d'une dizaine de stations. Les stationnaires représentent 90% du
personnel et sont deux par poste pour faire fonctionner le télégraphe. L'un est chargé de
l'observation à la lunette alors que l'autre manipule les commandes. Les stationnaires étaient peu
payés (1,25 F. par jour en 1826, contre 375 F. par mois pour un directeur). Ce travail était considéré
comme un travail d'appoint dans la plupart des stations qui étaient implantés en milieu rural.
Le message n'est compréhensible que par l'expéditeur et le destinataire. Il reste incompréhensible
pour tous les intermédiaires. Le code repose sur un répertoire de 92 pages. Sur chaque page figurent
92 lignes qui comportent chacune un mot ou un groupe de mot. Le code consiste en un
nomenclateur tenu secret de 92 × 92 = 8464 entrées.
Ce répertoire n'est détenu que par les directeurs des stations extrêmes.
46/92
5.4
Le télégraphe électrique.
Le télégraphe électrique se développe à partir de 1832 en Angleterre avec son inve ntion par Shilling,
puis ensuite en France, en Espagne et en Italie. En 1838, Charles Wheastone installe la première
ligne de télégraphe électrique en Angleterre entre Londres et Birmingham. Il s'agit d'une entreprise
privée.
En 1844, Samuel Morse crée le code qui porte son nom et réalise une liaison télégraphique entre
Baltimore et Washington. Ce code, initialement sensible aux erreurs de transmissions, sera amélioré
par l'allemand Gerke qui va lui donner en 1850 sa forme définitive.
En 1845, une première ligne de télégraphe électrique est installée en France entre Paris et Rouen,
initiant le déclin du télégraphe Chappe.
En 1851, un premier câble sous-marin est construit entre l'Angleterre et la France
En 1855, l'américain David E. Huges invente le téléscripteur, qui est un télégraphe imprimeur.
En 1866, le premier câble transatlantique est mis en service. Son installation aura nécessité environ
10 ans de travaux.
En 1874, le téléscripteur de Huges est amélioré par Émile Baudot (1845 – 1903), qui invente le
code qui porte son nom. Il s'agit d'un système constitué de 5 aiguilles aimantées, et permettant
l'accélération des transmissions par un procédé électromécanique, dépassant les capacités des
opérateurs humains. L'appareil de Baudot sera adopté par l'administration du télégraphe en 1875. En
47/92
hommage à Baudot, le baud est une unité de vitesse de transmission des signaux encore en usage
aujourd'hui.
En 1879, le ministère des Poste et Télégraphe est créé en France.
5.5
Le téléphone
Le principe du téléphone est posé dès 1854 par le Français Charles Bourseul, agent de
l'administration des Télégraphes. Il publie son article Transmission électrique de la parole Dans la
revue l'Illustration.
De nombreux inventeurs ont participé à l'invention et à l'amélioration du téléphone.
L'allemand Philipp Reiss a effectué une transmission de parole de bonne qualité, mais de faible
intensité en 1863.
L'italo-américain Antonio Meucci (1808 – 1889) aurait fabriqué plusieurs dispositifs téléphoniques
entre 1849 et 1870, et déposé un brevet en 1870.
Les américains Graham Bell (1847 – 1922) et Elisha Gray (1835 – 1901) déposent un brevet
similaire à 2 heures d'intervalle en 1876, provoquant une controverse sur la paternité de l'invention.
Les Bell Laboratories, institut de recherche privé, dans lesquels travaillera Claude Shannon, sont
fondés en 1925.
Le téléphone a commencé à être exploité de manière commerciale aux Etats Unis en 1877, et en
France en 1879.
5.6
La télégraphie sans fil (TSF)
La télégraphie sans fil voit son origine dans les travaux de Maxwell qui, dans son traité sur
l'électricité et le magnétisme (1873), établit que les champs magnétiques et électriques peuvent se
propager dans l'espace sous forme d'une onde électromagnétique transportant de l'énergie. Il édifie
le socle théorique sur lequel s'appuiera Hertz pour découvrir les ondes qui portent son nom. Hertz
pourra les produire à l'aide d'un oscillateur.
Edouard Branly s'intéressera aux travaux d’Hertz et constatera que la conductibilité d'une poudre
métallique varie sous l'influence du rayonnement électromagnétique et sera à l'origine du détecteur
à limaille, qui peut servir de récepteur à un oscillateur d’Hertz, ouvrant la voie à la transmission
d'informations.
Le russe Alexandre Popov (1858 – 1905) va réaliser les premières transmissions radioélectriques
devant la société russe de physique et chimie. En 1896, il réussit la première transmission d'ondes
entre divers bâtiments de l'université de Saint-Petersbourg, avec des antennes verticales pour
améliorer la réception et enregistrement du message sur appareil Morse.
D'autres noms sont associés au développement des radiocommunications : Guglielmo Marconi
(1874 – 1937) en Italie, Eugène Ducretet (1844 – 1915) et le Général Ferrié (1868 – 1932, diffusion
radio à partir de la tour Eiffel en 1904) en France, John Fleming (1849 – 1945, invention de la
lampe radio) en Angleterre. Les amateurs ont également joué un rôle important dans la découverte
des modes de propagation des ondes courtes, amorçant la généralisation de leur usage pour les
communications intercontinentales. Le 28 novembre 1923, a eu lieu la première liaison bilatérale
transatlantique en ondes moyennes (110m) entre le radioamateur américain Fred Schnell, 1MO, à
Hardford dans le Connecticut et le radioamateur français Léon Deloy, 8AB, à Nice. Cette
performance, qu'on croyait auparavant impossible en raison de la propagation rectiligne des ondes
électromagnétiques, a mis en évidence leur réflexion sur l’ionosphère, couche haute de l'atmosphère
terrestre.
Le développement de la T.S.F. n'a pu se faire que grâce à celui de l'électro nique qui va modeler
fortement les avancés scientifiques et techniques, et avoir un impact très fort sur la société avec le
48/92
développement de la radio, de la télévision, de l'informatique, des télécommunications etc.
En 1904 John Fleming (1849 – 1945) invente la diode à vide, dispositif permettant le passage du
courant dans un sens seulement. Cette invention est suivie en 1907 par celle de la triode, par Lee de
Forest (1873 – 1961) ouvrant la voie à la création et l'amplification des signaux électriques.
Dès 1901, un brevet est déposé aux USA par le physicien botaniste indien Jagadish Chandra Bose
(1858 – 1937) sur les propriétés semi-conductrices de la galène (sulfure de plomb). Un brevet
similaire sur le silicium est déposé dès 1906 pour un détecteur à cristal de silicium, par Geeleaf
Wittier Pickard (1877 – 1956), permettant la démodulation des ondes radio. Il faudra attendre
l'invention du transistor en 1947 pour voir apparaître un dispositif d'amplification à semi-conducteur.
5.7
Auguste Kerckhoffs (1835 – 1901)
Jean-Guillaume-Hubert-Victor-François-Alexandre-Auguste Kerckhoffs von Neuwerhof est né en
Hollande, originaire d'une grande famille d'un duché flamand. Il a vécu en Angleterre, a fait des
études religieuses au petit séminaire à Aix la Chapelle, a accompagné un jeune américain pendant
un an et demi comme secrétaire de voyage en Angleterre, en Allemagne et en France. Il a enseigné
les langues en France à Meaux et Melun pendant 10 ans. Il reprend des études en 1873 en
Allemagne à Bohn et Tubingen. Il revient en France comme précepteur, occupe un poste de
professeur d'Allemand à l'École des Hautes Études Commerciales de Paris (EHEC) et à l'École
Arago en 1881. Il est naturalisé Français en 1873 et c'est à ce moment- là qu'il écrit La
cryptographie militaire. Ses autres ouvrages sont des livres de grammaires anglaise, flamande, et
des manuels de verbes. Il participe à l'invention d'une langue nouvelle, le Volapük (langage du
monde), inventé en Allemagne en 1885 par un prêtre catholique allemand Johan Martin Schleyer
(1831 – 1912). Ce nouveau langage international connaît un succès important mais éphémère
pendant la décennie 1880. Kerchhoffs va être directeur de l'académie nationale de Volapük à
Munich en 1887. Il existe à cette période 180 manuels de Volapük et de nombreuses publications.
Un conflit entre Schleyer et Kerckhoffs sur le rôle et la fonction de cette langue va les séparer. Pour
Kerckhoffs, il doit s'agir d'une langue la plus simple et la plus pratique possible, utilisable pour le
commerce et la science. Ce conflit est à l'image des tensions sur les enjeux de la constitution des
nations en cette fin de 19° siècle et sur le mode d'organisation sociale pour ces nouveaux états.
Cette langue doit-elle atteindre la perfection littéraire ou bien s’agit-il d'une langue universelle ? Le
mouvement Volapük décroit à partir de 1890. De 210 000 membres en 1890, il n'en reste plus que
150 en 1902.
Les renseignements sont rares sur ce qui a conduit Auguste Kerckhoffs à s’intéresser à la
cryptographie. David Kahn nous apprend qu’il aurait eu des « difficultés politiques » après la
défaite française de 1870 contre la Prusse et rien n’indique dans sa biographie comment il a été
conduit à publier un article aussi important dans le « Journal des Sciences Militaires » en janvier
1883. Son article La cryptographie militaire s'impose rapidement comme un texte de référence. Il a
contribué fortement au renouveau des études cryptographiques en France. Il présente un inventaire
très complet des méthodes et des instruments de chiffrement. C’est en particulier à lui que l’on doit
l’usage qui perdurera après lui et qui consiste à regrouper les lettres d’un cryptogramme par groupe
de cinq lettres afin de casser la suite des mots qui peut donner des informations aux décrypteurs s ur
la structure de la phrase. Il examine surtout les conséquences organisationnelles, pour les services
du chiffre de l'armée de l'extension du télégraphe.
Il identifie les caractéristiques du télégraphe et l'organisation des communications dans l'armée qui
comprend plusieurs niveaux de responsabilités et fait participer de nombreux intervenants. Il
explicite les conditions à remplir pour rendre compatible cet usage collectif avec la confidentialité
des échanges à l'extérieur, comme à l'intérieur de ce réseau. Il expose dans son article ce qui est
connu aujourd'hui sous le nom de Principe de Kerckhoffs :
49/92
L'Administration doit absolument renoncer aux méthodes secrètes, et établir en principe
qu’elle n’acceptera qu’un procédé qui puisse être enseigné au grand jour dans nos
écoles militaires, que nos élèves seront libres de communiquer à qui leur plaira, et que
nos voisins pourront même copier et adopter, si cela leur convient. Je dirai plus : ce ne
sera que lorsque nos officiers auront étudié les principes de la cryptographie et appris
l’art de déchiffrer, qu’ils seront en état d’éviter les nombreuses bévues qui
compromettent la clef des meilleurs chiffres, et auxquelles sont nécessairement exposés
tous les profanes.
[21] Auguste Kerckhoffs, La cryptographie militaire, 1883
C'est bien l'aspect système de transmissions qui retient son attention. Les desiderata de la
cryptographie militaire guideront longtemps la conception des dispositifs de chiffrement
utilisés dans les armées :
Desiderata de la cryptographie militaire
Il faut bien distinguer entre un système d’écriture chiffrée, imaginé pour un échange
momentané de lettres entre quelques personnes isolées, et une méthode de
cryptographie destinée à régler pour un temps illimité la correspondance des différents
chefs d’armée entre eux. Ceux-ci, en effet, ne peuvent à leur gré et à un moment donné,
modifier leurs conventions ; de plus, ils ne doivent jamais garder sur eux aucun objet ou
écrit qui soit de nature à éclairer l’ennemi sur le sens des dépêches secrètes qui
pourraient tomber entre ses mains.
Un grand nombre de combinaisons ingénieuses peuvent répondre au but qu’on veut
atteindre dans le premier cas ; dans le second, il faut en système remplissant certaines
conditions exceptionnelles, conditions que je résumerai sous les six chefs suivants :
1. Le système doit être matériellement, sinon mathématiquement, indéchiffrable ;
2. Il faut qu’il n’exige pas le secret, et qu’il puisse sans inconvénient tomber entre les
mains de l’ennemi ;
3. La clef doit pouvoir en être communiquée et retenue sans le secours de notes écrites,
et être changée ou modifiée au gré des correspondants ;
4. Il faut qu’il soit applicable à la correspondance télégraphique,
5. Il faut qu’il soit portatif, et que son maniement ou son fonctionnement n’exige pas le
concours de plusieurs personnes ;
6. Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le
système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance
d’une longue série de règles à observer.
[21] Auguste Kerckhoffs, La cryptographie militaire, 1883
La deuxième condition n'implique pas que le système doive être connu. En raison de leur culture du
secret, les militaires maintiennent encore aujourd'hui confidentiels les systèmes qu'ils utilisent. Leur
sécurité ne repose bien sûr pas sur cette confidentialité. A l'opposé, un procédé public est parfois
présenté comme plus sûr en raison des nombreuses attaques auxquelles il est soumis par une
communauté ouverte de cryptanalystes et auxquelles il finit par résister.
5.8
Gaétan de Viaris
Le marquis Gaétan de Viaris (1847 – 1901) d'une famille d'origine italienne, est polytechnicien,
promotion 1866 et officier de marine. En 1888, dans les publications du journal « le Génie Civil »,
il publie une série d'articles consacrés à la cryptographie. Il se place dans la logique des travaux de
Kerckhoffs dont il reprend les desiderata. Il a en particulier décrit les procédés cryptographiques à
l’aide d’équations mathématiques.
Il s'inscrit dans le développement du télégraphe et en intègre les contraintes. L'efficacité des
transmissions devient un critère important.
50/92
Les communications télégraphiques étant les plus importantes, nous nous occuperons
seulement des modifications donnant des résultats transmissibles par télégraphe ; par
conséquent les lettres ou les mots ne pourront être représentés que par des lettres ou des
chiffres arabes. Enfin, si nous devons étudier des méthodes permettant de diminuer le
nombre des signes à transmettre, nous proscrirons par contre toutes celles qui auraient
pour conséquences d’augmenter notablement ce nombre. Telles étaient, dans ces
anciennes méthodes, celle de l’abbé Trithème, où chaque lettre de l’alphabet était
représentée par un mot : A par Jésus, B par misérables, C par la dilection 19 , etc. ; et
celle qui, pour dissimuler la valeur relative des mots, les noyait, pour ainsi dire, dans
un fatras d’autres mots sans valeur.
[22] Gaétan de Viaris, Cryptographie
Il énonce pour la première fois, de manière algébrique et unifiée, les équations des substitutions
polyalphabétiques de type Vigenère. Langage des congruences est clairement exploité ; il traite les
lettres comme des valeurs numériques afin d'établir ces équations. Cela reste pour l'instant au
niveau de la description des systèmes existants. Il faudra attendre Lester Hill pour que cette idée
soit exploitée pour définir de nouveaux procédés de chiffrement.
Donc, chaque fois que nous désignerons une lettre par sa valeur numérique, nous
entendrons parler de sa valeur minimum ou de celle-ci augmentée d’un multiple de 26.
c, χ, γ, qui désignaient respectivement les lettres du texte clair, du cryptogramme, de la
clef, désigneront également les valeurs numériques de ces lettres.
De l’équation cryptographique. – Les combinaisons que nous avons à étudier entre les
lettres du texte clair et celles de la clef, peuvent être ramenées aux combinaisons entre
les valeurs numériques de c et de χ. Or les plus simples de ces combinaisons sont celles
d’addition et de soustraction ± c ± γ. En observant que χ est une valeur forcément
positive, nous pouvons écrire les 4 équations :
(1)
c+γ=χ
(2)
26 + c – γ = χ
(3)
γ–c=χ
(4)
26 – (c + γ) = χ
En remplaçant dans le tableau des alphabets conventionnels les lettres par leurs valeurs
numériques, on reconnaîtra que l’équation (1) c + γ = χ représente le système Vigenère,
et l’équation (3) c + χ = γ le système Beaufort. Les équations (2) et (4) ne diffèrent de (1)
et (3) que par la substitution aux lettres γ de la clef, de leur valeur complémentaire 26 –
γ.
(…) L’intérêt de ces tableaux est purement théorique, nous avons seulement voulu
montrer que l’équation c + γ + χ = λ est en quelque sorte la synthèse des équations
primitives d’une application aussi simple, elle est plus générale, plus élastique. Elle
introduit dans l’équation c, γ, χ un nouvel élément λ qui par le fait est une nouvelle
inconnue. Étant donnés deux éléments fixes : un texte de dépêche, texte obligatoire, une
clef convenue d’avance, non modifiable, nous pouvons obtenir autant de textes chiffrés
que λ peut prendre de valeurs différentes. De plus, si on envisage la construction d’un
appareil cryptographique réversible, chiffrant et déchiffrant, on pourra choisir pour
principe de l’appareil cette équation, à cause de sa parfaite symétrie.
[22] Gaétan de Viaris, Cryptographie
19 Amour
pieux
51/92
Il trace les plans d'une machine à chiffrer doté d'un système d'impression à ruban de papier. La
mécanisation est en route en ce 19° siècle, y compris dans la cryptologie. On voit apparaître les
premiers appareils de chiffrement, comme retombée de la mécanisation industrielle de cette époque.
5.9
Vernam (1890 – 1960)
Gilbert Vernam est ingénieur en télécommunications. Il n’est ni linguiste, ni mathématicien. Il entre
chez AT&T (American Telephone & Telegraph) en 1915. Vernam est alors chargé de la sécurité des
téléscripteurs à la section Telegraph du département Development and Research. Sa préoccupation
est le secrecy for sale, le secret pour le commerce.
Le téléscripteur est un dispositif permettant d'imprimer un texte à l'aide d'un mécanisme de machine
à écrire. Le texte peut être mémorisé et transporté sous forme de ruban perforé. Les caractères sont
codés à l'aide du code Baudot, modifié par Murray en 1901 pour tenir compte de l'écriture sur
machine à écrire. Ces téléscripteurs ont été largement utilisés jusqu'en 1980 pour relayer des
nouvelles aux organismes de presse et aux journaux. Ils posent un nouveau problème de sécurité.
Chaque caractère de l'alphabet est codé par cinq unités qui vont se traduire par le passage du
courant électrique ou son absence, directement à partir de la frappe sur le clavier de l'opérateur
sténotypiste. Ce codage s'inscrit sur un ruban de papier perforé. Il est représenté par une marque, ou
une absence de marque sur 5 positions. Ces marques sont matérialisées par un trou dans le ruban de
papier. Par exemple :
A= o o - - I = - o o - W= o o - - o
Une organisation des marques peut représenter une lettre ou bien un chiffre. Un code spécial active
52/92
le mode chiffre et un autre active le mode lettre. Le code Baudot peut donc représenter 60
caractères : les lettres, les chiffres, des caractères de ponctuation, et d'autres actions d'impression
comme une sonnerie, le passage à la ligne, etc.
En 1960, le code ASCII20 7 bits, toujours en usage aujourd'hui, a remplacé le code Baudot.
Vernam va inventer une technique permettant d'utiliser directement l'équipement du téléscripteur
pour chiffrer ou déchiffrer les messages automatiquement. L'idée de Vernam va d'ailleurs jouer un
rôle important dans le développement du téléscripteur lui-même.
Cette invention se réfère aux systèmes de transmission par signaux, en particulier
télégraphiques. Son objet est d'assurer la sécurité des transmissions de messages,
et par suite, de fournir un système où les messages peuvent être transmis et reçus
en clair, ou codée de manière connue, mais où le les impulsions du signal sont si
altérée avant leur transmission sur la ligne qu'elles sont inintelligibles à quiconque
les intercepte.
Extrait du brevet de Vernam.
Il a breveté en 1917 un système qui repose sur l'utilisation d'un second ruban perforé en guise de clé.
Chaque marque du ruban de message est combinée avec la marque située à la même position dans
le ruban de clé. Il en résulte le code du caractère qui est transmis. La combinaison entre la marque
du texte et la marque de la clé est définie par la table suivante :
o + o = o + - = o
- + o = o
- + - = Cette opération, qui correspond à un ou exclusif, n'était pas explicitée ainsi dans le brevet de
Vernam, ni exprimée en terme de 0 ou de 1, mais décrits en marque et espace et interprétés en
termes de signaux électriques. L'explication de l'opération o + o = - est la suivante :
(…) Si les deux bobinages du relai sont connectés à la batterie (…) le relai restera
inactif, car les effets magnétiques des deux bobinages se neutraliseront l'un l'autre.
Extrait du brevet de Vernam.
Dans cette invention, l'opération de chiffrement est identique à l'opération de déchiffrement, avec le
même ruban. Il n'y a donc qu'une seule sorte de réalisation électromécanique à prévoir, puisqu'en
ajoutant la clé au cryptogramme, on va retrouver le clair.
La grande nouveauté de ce dispositif est que l'opération de chiffrement est effectuée par la machine.
Cela limite les erreurs et dispense du besoin d'un opérateur. L'intervention humaine se trouve
éliminée de la chaîne de communication. Le chiffrement est intégré dans le processus de
transmission.
Ce système de chiffrement sera rapidement adopté par AT&T, mais aussi dans le Signal Armed Corp
dès 1918, et dans la Navy par le biais de la Western Electric Company, entreprise fabricante
d'AT&T.
Ensuite Joseph O. Mauborgne, qui deviendra chef du Signal Corps, puis Major General de l'armée
américaine, établira que la seule clé sûre est une clé aléatoire comparable en longueur au message
lui- même. Il faudra attendre la théorie de l'information de Shannon pour établir la preuve de cette
assertion. En raison de sa sécurité, ce système sera adopté par les armées pour leurs transmissions
très sensibles.
Si ces bandes sont utilisées plus d'une fois, c'est toute la sécurité du système qui est
compromise. Cette contrainte est cependant difficile à respecter, souvent à cause
d'incidents se produisant lors de la préparation ou de la transmission des messages,
20
ASCII : American Standard Code for Information Interchange
53/92
mais aussi d'erreurs des opérateurs. L'anecdote suivante est révélatrice de ce genre de
difficultés. En 1968, A. Muller [André Muller était responsable du Service Technique
Central de Chiffres, STTCh, à partir de 1958, en charge de la réalisation des bandes
aléatoire, mais doté de très peu de moyens] décida de doubler le prix des bandes
aléatoires qu'il fabriquait pour les différents organismes gouvernementaux. Il les
vendait, jusqu'alors, à un prix dérisoire, très nettement en dessous de leur prix de
revient. Cependant un Général, responsable des transmissions d'une des Armées, refusa
de doubler le budget correspondant. Il semble bien qu'il soupçonnait le STCCh d'avoir
« inventé » la règle d'utilisation unique des bandes pour pouvoir en vendre plus ! Il
ordonna à son chef du bureau Chiffre de commander la moitié des bandes dont il avait
besoin, en lui donnant la consigne d'utiliser les bandes deux fois. Ce dernier expliqua,
en vain, qu'une telle procédure était très dangereuse. Et il fallut l'intervention des plus
hautes autorités du Chiffre pour faire revenir le Général sur sa décision.
[23] X. Amiel, J.-P. Vasseur et G. Ruggiu, Histoire de la machine Myosotis
Ce qui va faire obstacle au développement
de ce système, c'est l'énormité du nombre de
rubans perforés à transmettre comme clé.
Cela va être un frein à un usage universel de
ce type de chiffrement automatique. Il sera
rapidement réservé aux communications
présentant un haut degré de confidentialité.
Il sera effectivement utilisé pendant la
seconde guerre mondiale pour les
communications entre le président américain
Roosevelt et le premier ministre britannique
Churchill, et également pour le téléphone
rouge pendant la guerre froide.
On ne trouve pas de trace de notion
d'algorithme dans le brevet déposé par
Vernam. Mais plutôt d'une technique
inspirée du matériel sur lequel il travaille.
L'enjeu pour Vernam, n'est pas d'introduire
un calcul sur les 0 ou les 1, mais, comme
l'indique son brevet, l'automatisation du
chiffrement.
Ce qui est revendiqué est (…)
- La méthode de chiffrement du signal
qui consiste en la combinaison de
l'effet de la condition électrique qui
représente le caractère du message
avec l'effet de celle qui représente le
caractère chiffré, pour produire une
impulsion électrique qui représente un autre caractère, et le changement du caractère
chiffrant de temps en temps.
Extrait du brevet de Vernam
Les machines de Lorenz SZ40 et SZ42 sont des machines allemandes utilisées pendant la deuxième
guerre mondiale pour protéger les liaisons par téléscripteur. Elles utilisaient un principe similaire.
Au lieu d’une bande clé auxiliaire, elles calculaient à la volée des caractères chiffrants à partir d’une
clé par un procédé électromécanique de génération pseudo-aléatoire.
54/92
5.10 Les machines électromécaniques.
Ces machines portables réalisent automatiquement le chiffrement polyalphabétique. L'exemple
typique de ce type de machines l', célèbre par son utilisation par l'armée allemande et son
décryptement pendant la seconde guerre mondiale.
5.10.1 La machine
Presque simultanément, les machines électromécaniques ont été proposées par quatre inventeurs de
pays différents.
-
l'américain Edward Hugh Hebern (1869 – 1952) dépose un brevet en 1918 pour proposer sa
machine à l'armée américaine, mais, pour des raisons de vulnérabilité, il se voit refuser son offre.
Sa machine sera améliorée par William Friedman puis par son associé Franck Rowelt, pour
devenir la machine SIGABA, identique dans son principe à la machine de Hebern, mais dotée
de 15 rotors au lieu de 3. Cette machine sera utilisée par l'armée américaine pendant la seconde
guerre mondiale jusqu'en 1950.
-
Le hollandais Hugo Alexsander Koch dépose un brevet en 1919 qu’il cède à Scherbius en 1927.
-
Le suédois Arvid Damm a déposé des brevets qui seront exploités à partir de 1925 par la société
Aktiebolaget Cryptograph, fondée par l'industriel suédois Boris Hagelin (1892 – 1983). Cette
société deviendra la société suisse Crypto AG encore en activité aujourd'hui, et équipera de
nombreuses armées occidentales, dont l'armée française, en machines mécaniques et
électromécaniques.
-
L'allemand Arthur Scherbius a déposé son brevet pour la machine Enigma en 1918.
Scherbius fonde avec Richard Ritter, la société Chiffriermaschinen en 1923 pour commercialiser sa
machine qu'il propose d'abord aux milieux financiers et aux banques. Il fait des démonstrations
publiques de sa machine en 1923 à Bohn, puis en 1924 à Stockholm, lors du congrès postal
international.
La force de la machine de Scherbius est la qualité du chiffrement polyalphabétique et sa simplicité
d'utilisation. L'armée allemande, consciente de la faiblesse du procédé de chiffrement ADFGVX, se
tourne vers la machine Enigma. Elle est adoptée par la Reischmarine en 1926, puis la Reischwehr
en 1928, et enfin la Luftwaffe en 1935.
L'art de la guerre allemand pendant la seconde guerre mondiale, la Blitzkrieg, consiste en une
attaque rapide et coordonnée entre différentes forces : l'infanterie, les unités mécanisées et l'aviation.
Elle exige une coordination de toutes les armées, et l'Allemagne a dû se doter d'un vaste système de
communication entre chaque unité et leur quartier général. La Blitzkrieg donne une place très
importante aux communications radio, et donc au chiffrement de ces communications en raison de
la dispersion des ondes électromagnétiques qui les rendent par nature sensible à une interception par
l'ennemi. Un chiffrement portable sur le front, mécanique, dispensant l'opérateur d'efforts de
cryptage manuel est un élément déterminant le la stratégie de la Blitzkrieg.
Plus de de 200 000 machines ont été construites jusqu'en 1945, la production étant confiée à
plusieurs sociétés allemandes.
5.10.2 Principe de fonctionnement.
Le principe des machines électromagnétiques repose sur des cylindres rotatifs, les rotors, qui sont
bordés de 26 contacts, représentant chacun une lettre de l'alphabet. Ces rotors sont traversés par des
circuits électriques qui réalisent une permutation entre les contacts de chaque bord. Plusieurs rotors
sont mis en série pour composer les permutations.
55/92
Le réflecteur compose les substitutions avec les substitutions réciproques, rendant la transformation
alphabétique involutive. L'opération de chiffrement est alors identique à l'opération de
déchiffrement, ce qui évite d'avoir à inverser l'ordre des rotors pour déchiffrer. La clé de chiffrement
consiste en le choix des rotors ainsi que leur position initiale.
A chaque lettre du message, les rotors tournent à la manière d'un compteur, changeant ainsi la
substitution qui s'opère sur cet alphabet.
56/92
5.10.3 Les machines Hagelin
Les machines à chiffrer Hagelin équiperont l'armée Française pendant une grande partie du
20°siècle. Il en existe des versions électromécaniques (modèle B) et des versions purement
mécaniques (modèle C) qui dispensent d'une alimentation électrique.
La présente invention a pour objet principal de fournir un dispositif portable qui permet
la production d'un chiffre qu'il est pratiquement impossible de forcer.
(...)
Un autre objet de cette invention est de fournir une machine chiffrante, dotée d'un
mécanisme portatif, qui est d'une structure si simple, facile à manipuler et si compacte
qu'elle peut être mise dans la poche.
Extrait du brevet de Boris Hagelin.
57/92
6
La rencontre avec les mathématiques
Si aujourd'hui il ne fait aucun doute que les mathématiques jouent un rôle prépondérant en
cryptographie, il n'en a pas toujours été ainsi, même si de grands mathématic iens ont joué un rôle
essentiel tout au long de l'histoire de la cryptographie (Cardan, Viète, Wallis).
Les mathématiques ont tout d'abord joué un rôle important en cryptanalyse, avec l'analyse des
fréquences et le développement de méthodes analytiques. William Friedman (1891 – 1969)
introduira des tests statistiques avec une approche scientifique, amorçant la connexion de la
cryptologie avec les mathématiques (D. Kahn).
Même si Babbage et De Viaris avaient déjà posé les équations du chiffre de Vigenère, ce n'est qu'au
début du 20° siècle, avec Lester Hill, qu'apparaît une utilisation explicite d'une structure algébrique
pour définir un système de chiffrement. Cette approc he conduira à reconsidérer rétrospectivement
une modélisation mathématique des systèmes plus anciens.
6.1
William Friedman (1891 – 1969)
L'indice de coïncidence (The Index of Coincidence [24]) est salué par l'historien David Kahn
comme l'une des publications les plus significatives de l'histoire de la cryptologie (one of the most
significant publications in the history of cryptology). Il ne tarit pas d'éloges à son égard.
Ce travail d'une vie, aussi étendu qu'intensif confère à Wiliam Frederick Friedman
l'habit du plus grand cryptologue.
[1] David Kahn, The Code Breakers.
C'est à lui qu'on doit le terme cryptanalyse dans son ouvrage de 1920 Elements of Cryptanalysis, Il
utilise ce terme pour lever l'ambiguïté du mot anglais decipher qui signifie aussi bien le
déchiffrement, qui est l'opération qui reconstitue le message clair à partir du cryptogramme à l'aide
de la clé, que le décryptement qui est la reconstitution du clair sans la clé.
Wolfe Friedman est né en 1891 en Russie Son père était un Roumain parlant huit langues qui
travaillait comme interprète pour la poste russe. Sa famille a émigré aux États Unis en 1892, et il a
pris le prénom de William au moment de sa naturalisation américaine. Il a fait des études
scientifiques à l'université Cornell, l'une des universités de l'Ivy League où il s'intéresse à la
génétique. Il est embauché au laboratoire d'acoustique de Riverbank, qui est une institution privée
de recherche qui s'intéresse également à la chimie, à la génétique et à la cryptologie, en particulier
pour essayer de prouver que les pièces de Shakespeare ont été écrites par Francis Bacon, théorie née
de l'observation de différences typographiques dans l'édition originale des œuvres de Shakespeare,
faisant pensé au procédé de stéganograhie décrit par Francis Bacon. George Fabyan, fondateur et
directeur de l'institut de recherche Riverbank pense que la validation de cette théorie le couvrira de
gloire. Friedman a réalisé quelques études génétiques à Riverbank, mais a surtout aidé l'équipe des
cryptologues qui étudiaient la controverse Shakespeare/Bacon pour finalement l'invalider. Il s'est
finalement retrouvé à la tête du département de cryptologie. Son travail concerne surtout la
cryptanalyse. Il le mènera avec son épouse Elisebeth, également cryptologue à Riverbank à partir de
1916.
Lors de l'entrée en guerre des États Unis en 1917, le gouvernement charge Riverbank du
décryptement de certaines dépêches interceptées. Friedman dispense également des cours de
cryptographie destinés aux officiers de l'armée.
Friedman a publié plusieurs articles à Riverbank dont le plus important est sans conteste celui qui
porte le numéro 22 : The Index of Coincidence and its Applications in Cryptography. Il l'écrit en
1920 alors qu'il est âgé de 28 ans. Il ne sera publié qu'en 1922, imprimé en France pour économiser
sur les frais. Le Général français François Cartier, à la tête du service de cryptologie du ministère de
la défense, reconnaît aussitôt la valeur de cette publication et en ordonne la traduction immédiate.
La version française curieusement datée de 1921, laisse croire à une antériorité française.
58/92
La méthode statistique qu'il y décrit permet de décrypter les substitutions polyalphabétiques en
s'affranchissant de l'étape de tâtonnement intuitif liée à la recherche du mot probable. Elle s'avère
plus efficace que la méthode de Kasiski, qui nécessite d'observer trop grand nombre de bigrammes,
de trigrammes répétés, ce qui n'est pas toujours possible sur des textes courts. Il peaufinera les
techniques jusqu'à trouver en 1925 la solution d'une machine à rotor. Le même principe sera utilisé
pendant la seconde guerre mondiale pour le décryptement de la machine Enigma.
William et Elisebeth Friedman quittent Riverbank en 1920. En Janvier 1921, William Friedman
entre au Signal Corps pour y concevoir des systèmes cryptographiques. Après son contrat initial de
6 mois, il est intégré puis devient Chief Cryptanalyst au Signal Corps, où il mènera de nombreuses
études en particulier sur les machines à rotor.
C’est à ce moment que William Friedman s’attèle au décryptement du Manusrit de Voynich. Ce
document a été mentionné en 1639 dans une lettre d’un jésuite allemand nommé Athanasius Kircher,
orientaliste et graphologue. Il a été acquis en 1912 par un bibliophile polonais Wilfrid Voynich
(1865-1930). Le document est constitué de 234 pages de 1523 cm. sur papier Vélin contenant du
« texte » et des illustrations. Il aurait été écrit entre 1408 et 1436 avec un alphabet inconnu.
Friedman a essayé sans succès de vérifier s’il s’agissait d’un chiffrement polyalphabétique. Ce
document reste un mystère. Il a été étudié par de nombreux linguistes et mathématiciens qui ont
cherché à savoir s’il s’agissait d’un texte dans lequel les voyelles ont été supprimées, d’une langue
naturelle exotique comme le chinois, le tibétain ou le birman, d’un langage construit ou simplement
d’un canular.
Et finalement, le vaste établissement américain de cryptologie (la NSA, National
Security Agency) d'aujourd'hui, avec ses milliers d'employés, ses lointaines stations,
ses sièges tentaculaires – cette entreprise gigantesque, descend en ligne directe du
petit bureau du War Department que Friedman a initié tout seul.
[1] David Kanh, The Code Breakers
6.2
L'indice de coïncidence
Dans son article The Index of Coincidence and its Applications in Cryptanalysis [24], Friedman
propose le décryptement de deux systèmes polyalphabétiques complexes : le chiffrement Vogel, qui
utilise cinq disques concentriques, et le chiffrement Schneider. Ces systèmes reposent tous deux sur
une clé périodique. La méthode générale utilise le même principe que celle qu'a utilisé Kasiski
contre le chiffre de Vigenère :
1.
2.
3.
La détermination de la longueur de la période
La reconstruction de la clé numérique
La reconstruction des alphabets de chiffrement
(…) Cependant, la rareté des trigrammes et des polygrammes, et même des digrammes,
n'est pas un forcément un obstacle, car la répétition individuelle des lettres peut être
utilisée avec une grande précision pour le même objectif qui est la détermination de la
période. La méthode repose sur la construction de ce que nous avons appelé la « table
de coïncidence », qui nous montrera mathématiquement la longueur la plus probable
de la période.
[24] William Friedman, The index of Coincidence and its applications in Cryptanalysis
La table de coïncidence fait l'inventaire des répétitions de chaque lettre. Elle mesure la fréquence
empirique des collisions. Ces tables sont obtenues par des comptages fastidieux effectués par des
employés.
Le nombre de coïncidences dans chaque cas correspond au nombre de combinaisons
de deux objets qui peuvent être faites à partir d'un total de n objets.
[24] William Friedman, The index of Coincidence and its applications in Cryptanalysis
59/92
L'observation successive des lettres dans un texte s'assimile au tirage aléatoire d'une lettre parmi les
26 lettres. Dans un texte où toutes les lettres sont distribuées de manière uniforme, chaque lettre,
par exemple le A a une probabilité d'occurrence de 1/26. La probabilité d'observer deux fois la lettre
A vaut 1/26 × 1/26. La probabilité d'observer la répétition d'une même lettre quelconque est la
somme de ces probabilités, pour chacune des 26 lettres de l'alphabet. La probabilité de coïncidence
est donc (1/26 × 1/26) + (1/26 × 1/26) + ⋯ + (1/26 × 1/26) = 1/26 = 0,0385.
Dans un texte écrit en français, les fréquences d'apparition ne sont pas uniformes. Par exemple le 'a'
a une fréquence d'environ 7,68%. La probabilité de répétition d'un 'a' vaut donc 0,0768 × 0,0768,
soit environ 0,590%. Pour le e, la probabilité de répétition vaut 0,1776 × 0,1776. En faisant la
somme de ces probabilités, on trouve une probabilité de répétition de 0,0778. Cette valeur est
notablement différente de la valeur 0,0385 pour une distribution uniforme. On note 𝜅𝑎 = 0,0385(a
pour aléatoire) et 𝜅𝑐 = 0,0778(c pour clair).
Dans deux textes clairs en langue française, la table des coïncidences doit faire apparaître une
fréquence des collisions d'environ 0,0768, alors que dans deux suites aléatoires sa valeur est 0,0385.
La valeur de l'indice de coïncidence dépend de la langue d'écriture du texte ([20]):
Français
Anglais
Russe
Arabe
Espagnol
Allemand
0,0800
0,0667
0,0529
0,0758
0,0770
0,0762
Ainsi, en comptant les répétitions des lettres, on a un moyen de discerner une distribution aléatoire
d'une distribution qui est celle d'une langue naturelle. Friedman a donné à ce test le nom de test
kappa. Le test kappa est même une réponse simple et rapide à une question récurrente dans la
cryptanalyse : comment superposer deux cryptogrammes polyalphabatiques de telle sorte que deux
lettres d'une même colonne ont été chiffrées avec la même lettre clé ?
Si deux textes clairs sont superposés, le comptage des coïncidences fera apparaître une fréquence
empirique de de 7,68%. Il en est de même si ce sont deux cryptogrammes chiffrés par une
substitution monoalphabétique, mais aussi pour deux cryptogrammes polyalphabatiques avec la
même clé. Ceci résulte du fait qu'une coïncidence dans le clair se traduit par une coïncidence dans
le cryptogramme, puisque les deux lettres ont été chiffrées de la même manière.
A l'opposé, si deux cryptogrammes sont superposés de manière inappropriée, les coïncidences du
clair et du cryptogramme ne correspondent pas et les coïncidences du cryptogramme sont
accidentelles. Elles n’apparaîtront qu'avec une fréquence d'environ 3,85 %, qui est le taux de
coïncidences d'une distribution aléatoire.
L'importance de l'indice de coïncidence de Friedman sera conformé lorsque le mathématicien
hongrois Alfréd Rényi définira en 1961 une notion d'entropie reposant sur la probabilité de collision
d'une variable aléatoire pour en mesurer l'incertitude.
6.3
Lester Hill (1891 – 1961)
Lester Hill a publié en 1929, alors qu'il était professeur assistant au Hunter College à New York, un
article intitulé Cryptography in an Algebraic Alphabet [25] qui marque la première utilisation
systématique de l'algèbre en cryptographie. L'article commence ainsi.
Soit 𝑎0, 𝑎1, … , 𝑎25 n'importe quelle permutation des lettres de l'alphabet anglais;
associons la lettre 𝑎𝑖 à l'entier i. Nous définissons les opérations d'addition et de
multiplication modulaire (modulo 26) sur cet alphabet comme suit : 𝑎𝑖 + 𝑎𝑗 = 𝑎𝑟 ,
𝑎𝑖 𝑎𝑗 = 𝑎𝑡 , où r est le reste obtenu en divisant de l'entier𝑖 + 𝑗par l'entier 26 et t est le
reste obtenu en divisant 𝑖𝑗par 26.
Le système de chiffrement qu'il propose appartient à la famille des chiffrements polygrammiques,
c'est-à-dire qu'il procède au chiffrement simultané de plusieurs lettres du message clair pour
60/92
produire plusieurs lettres du cryptogramme.
L'exemple ci-après est extrait de l'ouvrage de David Kahn. Les lettres du message clair et celles du
cryptogramme sont tout d'abord converties en nombres de 0 à 25 à l'aide d'un codage arbitraire. Par
exemple:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
5 23 2 20 10 15 8 4 18 25 0 16 13 7 3 1 19 6 12 24 21 17 14 22 11 9
La méthode de chiffrement est exprimée à l'aide de formules qui permettent de trouver les lettres du
cryptogramme en fonction de lettres de la clé. Le codage de l'alphabet et l'ensemble des formules
constituent la clé de chiffrement. Ces formules doivent pouvoir s'inverser simplement. Il doit être
possible d'exprimer de même les lettres du clair en fonction de celles du cryptogramme.
Pour faire une démonstration de chiffre tétragrammique, c'est-à-dire traitant simultanément quatre
caractère, il a bâti ces équations linéaires, exprimant quatre caractères du cryptogramme 𝑦1 , 𝑦2 , 𝑦3
et 𝑦4 en fonction de quatre caractère du message 𝑥 1,𝑥 2 ,𝑥 3 et 𝑥 4 :
𝑦1 = 8𝑥 1 + 6x2 + 9𝑥 3 + 5𝑥 4
𝑦2 = 6x1 + 9𝑥 2 + 5𝑥 3 + 10𝑥 4
𝑦3 = 10𝑥 1 + 8𝑥 2 + 4𝑥 3 + 9𝑥 4
𝑦4 = 10𝑥1 + 6𝑥 2 + 11𝑥 3 + 4𝑥 4
Ainsi, pour chiffrer le texte « delay operations », la première opération est de convertir les lettres en
nombres. Les quatre premières lettres dela deviennent 𝑥 1 = 20, 𝑥 2 = 10, 𝑥 3 = 16 et 𝑥 4 = 5.
L'application des formules de chiffrement donnent :
𝑦1 = (8 × 20) + (6 × 10) + (9 × 6) + (5 × 5) = 25
𝑦2 = (6 × 20) + (9 × 10) + (5 × 6) + (10 × 5) = 2
𝑦3 = (10 × 20) + (8 × 10) + (4 × 6) + (9 × 5) = 3
𝑦4 = (10 × 20) + (6 × 10) + (11 × 6) + (4 × 5) = 14
La conversion en lettre en utilisant le même alphabet donne le cryptogramme jcow.
En procédant de même pour le reste du message clair, on trouve le cryptogramme complet :
jcow zlvb dvle qmxc
Le changement d'une seule lettre d'un groupe de quatre change complétement les quatre lettres du
cryptogramme. Si par exemple le message clair commence par demand , avec les deux premières
lettres identiques au message précédent, les quatre premiers symboles du cryptogramme sont cmzq,
ce qui apparaît complétement différent de jcow. Cette propriété préfigure la notion de diffusion qui
sera formalisée plus tard par Shannon.
Pour déchiffrer, un système de formules analogue s'obtient en inversant le système de chiffrement.
𝑥 1 = 23y1 + 20𝑦2 + 5𝑦3 + 𝑦4
𝑥 2 = 2y1 + 11𝑦2 + 18𝑦3 + 𝑦4
𝑥 3 = 2y1 + 20y2 + 6y3 + 25y4
𝑥 4 = 25𝑦1 + 2y2 + 22𝑦3 + 25𝑦4
Hill a éliminé le problème des formules séparées pour chiffrer et déchiffrer en construisant des
transformations involutives. Ces transformations réduisent la résistance à la cryptanalyse de
manière négligeable en regard de l'avantage obtenu par la facilité de réaliser ces opérations.
Dans un deuxième exemple, Hill proposé des formules matricielles pour augmenter le nombre de
lettres traitées simultanément tout en simplifiant le calcul. Soit le message Hold out. Supporting air
quadron en route à chiffrer. Les lettres sont rassemblées par groupe de 9 pour former une
matrice 3 × 3. Ainsi :
61/92
𝑝 𝑝 𝑜
ℎ 𝑜 𝑙
5
6 22
21 21
𝑟
𝑡
𝑖
𝑥 1 = (𝑑 𝑜 𝑢 ) = ( 2
𝑥2 = (
) = (23 12
6
7 ) et
𝑛 𝑔 𝑎
𝑡 𝑠 𝑢
12 19 7
24 16
Les formules de chiffrement que Hill propose sont des formules affines à coefficients
type :
6
17)
4
matriciels du
𝑦1 = 𝐴𝑥 1 + 𝐵𝑥 2 + 𝐶
,
𝑦2 = 𝐷𝑥 1 + 𝐸𝑥 2 + 𝐹
où les coefficients A, B, C, D, E et F sont également des matrices 3 × 3, choisies judicieusement21
pour obtenir des formules d'inversion afin de pouvoir déchiffrer.
Avec les valeurs suivantes:
3
6 22
2
6 14
18 6
6
𝐴 = (16 23 8 ) , 𝐵 = ( 8 24 4 ) , 𝐶 = (24 20 22) , 𝐷 =
2 16 13
14 16 20
2
2
6
15 16 20
2 16 14
𝐸 = ( 4 13 2 ) et 𝐹 = ( 8 12 4 )
20 8 11
18 8 20
le cryptogramme qui correspond au clair 𝑥1et 𝑥 2 ci-dessus est :
13 20 12
𝑌 𝐾 𝑇
13
𝑦1 = (22 16 23) = (𝐿 𝐺 𝑅 ) et 𝑦2 = (17
𝐺 𝑆 𝑅
16 19 23
20
Hill a proposé d'autres structures algébriques:
23
20
4
18 14
(20 4
22 20
12
𝑌 𝑅
15) = ( 𝐼 𝐾
20
𝐾 𝐴
22
10),
24
𝑇
𝑊)
𝐾
Il n’est bien sûr pas besoin de préciser que si on emploie des corps finis, les possibilités
du cryptographe se trouvent considérablement étendues ; il a alors à sa disposition une
algèbre parfaitement souple, et ses géométries associées.
(...) Mais le nombre d'éléments dans un corps fini est nécessairement soit un nombre
premier soit une puissance d’un nombre premier. Si notre alphabet doit être converti en
un corps fini, le mieux qui puisse être fait est d’omettre une lettre, disons j, pour obtenir
un corps de 25 éléments : ou d’adjoindre un symbole additionnel pour obtenir un corps
de 27 éléments.
[25] Lester Hill, Cryptography in an Algebraic Alphabet
Le chiffre de Hill résiste aux attaques des cryptanalystes du fait même du codage secret de
l'alphabet. Son caractère polygrammique le fait résister à l'analyse des fréquences. Cependant il
souffre d'un grave défaut. Si un cryptanalyste connait le code de l'alphabet et arrive à connaître un
message clair et son cryptogramme, il peut retrouver les équations de chiffrement. Cette faiblesse
est rédhibitoire selon les critères actuels de sécurité qui exigent une résistance, y compris lorsqu'un
couple clair – cryptogramme est connu.
Le réel obstacle à l'utilisation en pratique du système de Hill est sa grande lourdeur d'emploi qui le
rend inopérable en l'absence de moyens mécaniques de calcul pour éviter les erreurs.
Hill a breveté un appareil qui peut chiffrer jusqu'à des
hexagrammes (par blocs de 6 lettres). Il consiste en une
série de roues dentées connectées entre elles par une chaîne.
Ce dispositif n'aura été que très peu utilisé. Selo n David
21
•
•
•
•
Pour que le système soit inversible, les matrices A, B, C, D, E et F doivent satisfaire les conditions suivantes :
B et E commutent,
EA – BD est inversible,
A et D commutent,
DB-AE est inversible.
62/92
Kahn, il aurait quand même servi au gouvernement US pour chiffrer les trigrammes des indicatifs
radio. Ce n'est qu'après la mort de Lester Hill que le cette utilisation a été révélée. Mais il aura eu
un impact immense sur la cryptologie. Il aura engagé l'intérêt des mathématiciens pour la
cryptologie et marqué le début d'une nouvelle ère.
6.4
Reformulation des systèmes anciens
A la suite des travaux de Hill, les systèmes antérieurs ont été décrits en termes mathématiques,
mettant en évidence certaines faiblesses. La reformulation des mécanismes de chiffrement en
termes mathématique met à nu leur structure essentielle. Et cela peut permettre au cryptanalyste de
développer des techniques mathématiques qui n'étaient pas applicables auparavant.
EXEMPLE : le chiffre de Playfair. Ce qui est connu sous le nom de chiffre de Playfair est en fait une
invention datée du 26 mars 1854 de Charles Wheastone (1802-1875), physicien et inventeur anglais
à qui on doit le premier télégraphe électrique en 1838 entre Londres et Birmingham, le pont de
Wheastone pour mesurer les résistances, l’invention du microphone et les premiers essais sur la
mesure de la vitesse de l’électricité. Mais c'est Lord Lyon Playfair (1818 – 1898), chimiste et
politicien libéral écossai, promoteur de l'enseignement technique, qui a proposé ce procédé au
Foreign Office. Il ne sera pas adopté, car jugé trop complexe à utiliser pour les opérateurs. Il s'agit
d'un chiffrement bigrammique qui repose sur un carré-clé de 25 sur 25 rempli avec les lettres de
l'alphabet. Ce carré est rempli à l'aide d'une phrase simple à retenir sans répétition, puis en
complétant avec les lettres manquantes de l'alphabet dans l'ordre, sans le w (en français). Par
exemple la phrase « promenade cryptologique » conduit au carré suivant :
Deux lettres du clair sont transformées en deux lettres du cryptogramme selon leur disposition dans
ce carré :
63/92
-
Les lettres doubles du clair sont éliminées en insérant entre elles une lettre rare comme par
exemple le K.
- Si deux lettres sont sur une même ligne ou une même colonne, les lettres du cryptogramme sont
les suivantes sur la ligne ou sur la colonne en convenant d'un sens, par exemple de haut en bas et
de gauche à droite.
- Si les deux lettres forment les diagonales d'un rectangle, les lettres du cryptogramme sont les
extrémités de l'autre diagonale en convenant d'un sens de rotation, par exemple dans le sens des
aiguilles d'une montre.
Par exemple, pour chiffrer le message « L'attente est toujours longue », on commence arranger le
message ainsi pour empêcher les lettres doubles :
Le message : LA TK TE NT EK ES TK TO UJ OU RS LO NG UE
devient :
.............................................................................................................................................. .............................
EXERCICE : déchiffrer le message : OS OY CR TC CH CG
....................................................................................................................................................................
Le chiffre de Playfair a été utilisé par les forces britanniques pendant la guerre des Boers et pendant
la première guerre mondiale. Il a aussi été utilisé par les australiens pendant la seconde guerre
mondiale.
La nature même du chiffre de Playfair suggère une cryptanalyse de nature géométrique. Par
exemple, la lettre E étant la plus fréquente du clair, les lettres les plus fréquentes du cryptogramme
seront celles qui sont situées à l'équerre du E dans le carré-clé.
Prenons par exemple deux cryptogrammes Playfair qui sont chiffrés avec deux carrés-clé distincts,
mais qui chiffrent le même clair. Avec la cryptanalyse géométrique classique, cette information
n'aide pas à reconstituer les clés. Mais si les deux cryptogrammes sont mis en équation, alors le fait
de savoir qu'ils viennent du même clair permet d'éliminer des inconnues et peut grandement
simplifier leur résolution.
La cryptologie d'aujourd'hui est saturée d'opérations mathématiques, de méthodes
mathématiques, de façons de penser mathématiques. En pratique elle devient
virtuellement une branche des mathématiques appliquées. Sa sophistication, son
domaine d'applications et sa puissance ont eu une croissance bien au delà de ce que
pouvaient même imaginer les cryptologues des cabinets noirs, et dans cette évolution,
Lester Hill a été un pionnier.
[1] David Kahn, The Code Breakers.
Le mathématicien Adrian Albert (1905-1972), qui a été directeur de la division communication à
l'IDA (Institute for Defense Analysis) a été un des premier à saluer l'élégance et la puissance des
travaux de Lester Hill. C'est lui qui a nommé ce chiffre le Chiffrement de Hill.
Nous verrons que la cryptologie est bien plus qu'une matière qui admet une formulation
mathématique, et il ne sera pas exagéré d'affirmer que la cryptologie abstraite est
identique aux mathématiques abstraites.
Adrian Albert, le 22 novembre 1941 au congrès de l'AMS à Manhattan, Kansas.
Suivant les idées de Hill, Adrian Albert a donné une description algébrique simple de systèmes
traditionnels simples, comme le chiffre de Vigenère, l'autoclave et en a exprimé les équations. Il a
expliqué que les systèmes plus compliqués ne sont en fait que la composition de systèmes plus
simples.
6.5
La cryptanalyse anglaise pendant la seconde guerre mondiale.
Pendant la seconde guerre mondiale, l'Angleterre a a ttaché une grande importance au renseignement,
et en particulier au décryptement des messages ennemis. Les services cryptologiques du
gouvernement anglais étaient situés à Bletchley Park, lieu maintenu secret situé au nord de Londres.
64/92
Ce centre était peu important avant la seconde guerre mondiale, mais pendant celle-ci, il a employé
jusqu'à 10 000 personnes, surtout des femmes, les hommes étant mobilisés pour le Front.
Il était le cœur d'un réseau de stations d'interception radio, les « Y stations », réparties sur
l'ensemble du territoire anglais. Les messages en provenance des sous- marins allemands étaient
interceptés par des stations côtières. Puis, ils étaient acheminés à Bletchley Park par tous les
moyens, parfois même à bicyclette.
Les résultats des équipes de Bletchley Park sont essentiellement:
1. Le décryptement des messages chiffrés avec la machine Enigma à l'aide des Bombes qui sont
des machines électromécaniques, appelées ainsi en raison du tic – tac que faisaient les
commutations des relais pendant le fonctionnement.
2. La construction de Colossus, le premier calculateur électronique, qui comprenant 2500 tubes à
vide, destiné à décrypter les messages chiffrés avec la machine de Lorentz.
La machine Colossus constitue un progrès considérable par rapport aux bombes électro- mécaniques.
L'innovation essentielle réside dans l'utilisation pour la première fois de l'électronique, avec des
tubes à vide, qui réalisent des opérations bien plus rapidement que les relais des machines
électromagnétiques. Cette machine a été conçue par Tommy H. Flowers, qui était ingénieur des
téléphones. La technologie des tubes à vide était utilisée pour la conception des commutateurs
téléphoniques.
Les plans de Colossus ont été détruits après le conflit. Il a fallu attendre 1949 pour voir réapparaître
un ordinateur britannique 22 et 1952 pour que soit construit le premier ordinateur américain23 , sur
une base de conception datant de 1945.
La machine de Lorenz est un chiffrement à flot pour téléscripteurs, utilisant le principe du
chiffrement de Vernam, dans lequel la bande aléatoire est remplacé par un générateur de pseudoaléa électromécanique utilisant 12 roues codeuses. La cryptanalyse des messages chiffrés à l'aide de
cette machine a été rendue possible par une mauvaise utilisation :
- les messages étaient répétés en raison des interférences radio qui troublaient la réception
correcte du signal.
- Lors de la seconde émission, les roues étaient réinitialisées dans la même position que pour de
la première, avec pour conséquence l'utilisation d'une séquence pseudo-aléatoire identique.
- L'utilisation d'abréviations pour le second message faisait qu'il n'était pas identique au premier.
Certaines informations sur les messages clairs se trouvaient alors connues, sur lesquelles
pouvait s'appuyer la cryptanalyse.
Le mathématicien Alan Turing (1912 – 1954) est entré en 1939 à Bletchley Park et a apporté une
contribution majeure à la cryptanalyse des systèmes allemands. Il est aussi connu pour avoir résolu
en 1936 un des trois problèmes posé par Hibert en 1928 sur la question de la décision
(Entscheidung problem) en introduisant un modèle de calculabilité qui repose sur une machine
appelée aujourd'hui machine de Turing et qui reste un modèle théorique adapté aux ordinateurs
actuels.
6.6
La cryptanalyse de la machine
La machine Enigma réalise une substitution polyalphabétique. Elle est constituée de trois rotors et
d'un réflecteur. Les rotors réalisent une permutation sur les 26 lettres de l'alphabet. Ils tournent à
chaque lettre, ce qui change la permutation utilisée à chaque caractère. Le réflecteur assure que la
permutation est toujours involutive, ce qui qui simplifie l'exploitation en permettant d'utiliser la
22
L'EDSAC (Electronic Delay Storage Automatic Calculator) est considéré comme le premier ordinateur avec
programmes en mémoire interne. Sa construction est achevée en mai 1949 à Cambridge.
23
L'EDVA C (Electronic Discrete VAriable Computer), a été conçu par le mathémat icien d'origine hongroise John Von
Neumann.
65/92
même machine pour chiffrer et déchiffrer.
L'armée allemande utilisait une clé du jour, qui avait une durée d'utilisation de 24 heures. Elle était
la même pour tous et transmise aux unités chaque mois sous forme d'une instruction imprimée.
Une clé de message était transmise au début de chaque message sous forme de deux groupes de 3
lettres, la première étant la même que la quatrième, la deuxième la même que la cinquième, et la
troisième la même que la sixième, mais codées différemment.
Cette faiblesse a été utilisée par des mathématiciens polonais pour réaliser la première cryptanalyse.
Les trois mathématiciens qui ont contribué à cette première cryptanalyse sont Marian Rejewski
(1905 – 1980), Jezny Rozycki (1909 – 1942) et Henryck Zygalski (1907 – 1978).
Les six permutations réalisées par les rotors et le réflecteur se composent pour réaliser la
permutation courante, qui est de la forme suivante en raison de la structure de la machine:
𝑃 = 𝑃1 °𝑃2 °𝑃3 °𝑅°𝑃3−1 °𝑃2−1 °𝑃1−1
Ils ont utilisé la théorie des groupes pour décomposer ces permutations en cycles, et réduire la
recherche exhaustive pour tester des hypothèses ou des contradictions sur la base de mots probables.
La propriété utilisée est une propriété de similarité :
la permutation 𝑆 −1 °𝑃°𝑆 a la même structure cyclique que 𝑃
Ils n'ont pas pu poursuivre la cryptanalyse complète après les évolutions faites par les Allemands en
raison de la complexité de la recherche exhaustive.
Les informations sur la cryptanalyse d'Enigma ont été transmises en France lorsque la Pologne a été
envahie par l'Allemagne, puis transmises en Angleterre.
Les cryptanalystes anglais de Bletchley Park ont amélioré la méthode de recherche de Polonais,
l'ont adapté aux différentes évolutions de la machine Enigma faite par les Allemands, et l'ont
automatisé, pour rendre effectif le décryptement des messages interceptés.
Ces travaux montrent la grande dissymétrie entre le chiffrement réalisé par un opérateur avec une
machine portable, et la cryptanalyse, pouvant mettre en œuvre d'énormes moyens humains et
matériels pour mener à bien le décryptement des messages. Cette dissymétrie est restée longtemps
en faveur du cryptanalyste, avant de s'inverser autour des années 1970, avec l'augmentation de la
puissance de calcul disponible sur les ordinateurs24 .
24
Le calcul cryptographique a une complexité polynomiale en fonction de la taille des clés de chiffrement, alors que la
cryptanalyse, qui repose sur une recherche exhaustive a une complexité exponentielle. La dissymétrie entre les
complexités de calcu l et d'attaque augmente donc avec la pu issance de calcul. Contrairement à une idée reçue, des
mach ines plus puissantes favorisent la sécurité du chiffrement, et non pas de l'attaque, car elles permettent, à temps de
calcul donné, de traiter des données bien plus grandes, alors qu'un seul b it su pplémentaire sur une clé suffit pour
doubler l'effort que doit faire le cryptanalyste.
66/92
7
Shannon et la théorie de l'information.
Claude Elwood Shannon (1916 – 2001) est connu pour avoir fondé la théorie de l'information, qui a
eu un impact considérable pendant la deuxième moitié du 20 e siècle, et en a encore aujourd'hui. Les
technologies numériques, dont l'importance aujourd'hui est indéniable, doivent beaucoup à cette
théorie, et ont également largement contribué à participer au développement de cette théorie.
Les travaux de Shannon vont installer un rapprochement durable entre les aspects techniques de la
mise en place des systèmes matériels et l'expression mathématique des méthodes de chiffrement
comme de la mesure de l'information. Il a su élaborer systématiquement un langage commun pour
les ingénieurs et pour les mathématiciens alors qu’auparavant chacun s’exprime dans un langage
qui lui est propre, à l’image de Vernam et de Hill. Shannon va exceller dans la formulation
mathématique des différents domaines de sa recherche.
Pour faire cela (traiter des systèmes de communication) il est d'abord nécessaire de
représenter les différents éléments concernés comme des entités mathématiques
idéalisés convenablement à partir de leur homologue physique.
Shannon , A Mathematical Theory of Communication, 1948
Les titres de ses publications sont éloquents quant à sa préoccupation d'élaborer une théorie
mathématique sur des applications qui sont du ressort de l'ingénierie:
- Mathematical Theory of the Differential Analyser (1941).
- A Mathematical Theory of Communication (1948) [26].
- Communication Theory of Secrecy Systems (1949) [27].
Claude Shannon fait ses études à partir de 1932 à l'université du Michigan. Il obtient en 1936 une
licence de mathématiques et ingénierie électrique (Bachelor of Art) puis devient assistant-chercheur
au MIT, auprès de Vannevar Bush (1890 – 1974), qui est coordinateur du National Development
Research Comitee (NDRC) et inventeur en 1931 de l'analyseur différentiel Il s'agit d'une machine
analogique électrique destinée à résoudre des équations différentielles comportant jusqu'à 18
variables indépendantes.
Les premiers travaux de Shannon. En 1937, Claude Shannon soutient son mémoire de master,
sous la direction de F. L. Hitchcock, sur l'analyse symbolique des circuits de relais et de
commutateurs (A symbolic Analysis of Relay and Switching Circuits). Cette étude est élaborée à
partir de son travail visant à simplifier les circuits de l'analyseur différentiel de Bush. Il a utilisé la
logique symbolique et l'algèbre de Boole pour traiter ce problème. Il représente par 0 un circuit
fermé par 1 un circuit ouvert, par le signe + la circulation dans des circuits en série, par le signe * la
circulation dans des circuits en parallèle et il a recours à la logique mathématique, notamment à
l'algèbre de Boole, bien avant la conception et la mise au point des premiers ordinateurs et dans une
situation où il a à résoudre des problèmes techniques, posés par l'utilisation d'une machine existante :
l'analyseur différentiel.
C'est dans ce cadre qu'il fournit pour la première fois ce langage commun à l'ingénieur et au
mathématicien. Il y montre l'équivalence entre le calcul des propositions et ce qu'il appelle l'analyse
symbolique des relais (the Symbolic Relay Analysis).
Nous sommes maintenant en mesure de montrer l'équivalence de ce calcul avec
certaines parties élémentaires du calcul des propositions. L'algèbre de la logique initiée
par George Boole est une méthode symbolique pour étudier les relations logiques. Les
symboles de l'algèbre booléenne admettent deux interprétations logiques. Si elles sont
interprétées en termes de classes, les variables ne sont pas restreintes aux deux valeurs
possibles 0 et 1. Cette interprétation est connue sous le nom d'algèbre des classes. Si de
plus les termes représentent des propositions, nous avons le calcul des propositions,
dans lequel les variables sont limitées aux valeurs 0 et 1.
67/92
Analog Between the Calculus of Propositions
and the Symbolic Relay Analysis
Symbol
Interpretation in relay
circuits
Interpretation in the
Calculus of Propositions
X
0
1
X + Y
The circuit X.
The circuit is closed
The circuit is open
The series connection of
circuits X and Y
The proposition X
The proposition is false
The proposition is true
The proposition which
is true if either X and
Y is true
The proposition which
is true if both X and
Y are true
The contradictory of
propositipon X.
XY
The parallel connection
of circuits X and Y
X'
The circuit which is open
when X is closed, and
closed when X is open
The circuits open and
close simoultaneously
=
Each proposition
implies the other
On voit que l'interprétation des valeurs logique correspond à une gra ndeur physique qui est l'inverse
de l'impédance du circuit résultant. Il appelle cette quantité du néologisme hinderance, de hinder
qui signifie empêcher.
En 1940, il publie sa thèse de mathématiques « An Algebra for theoretical genetics », sous la
direction de Vannevar Bush, qui la lui propose en 1938 alors qu'il est président du Carnegie Institute
de Washington, dont dépendait l’Eugenics Record Office situé à Cold Spring Harbor dans l'état de
New York.
En 1941, il publie une théorie mathématique de l'analyseur différentiel (Mathematical Theory of the
Differential Analyser), qui analyse le type d'intégrateur et les équations que cette machine résout.
7.1
Le travail de Shannon pendant la deuxième guerre mondiale.
A partir de 1941 et jusqu'en 1956, Shannon travaille aux Bell Labs. Pendant la seconde guerre
mondiale, il est impliqué dans l'effort de guerre américain. Le NDRC est au cœur de l'organisation
institutionnelle de cet effort de guerre, qui implique les universités, les industries et l'armée. Il est
organisé en cinq divisions spécifiques. Shannon est affecté à la division D2, dirigée par Warren
Weaver (1894 – 1978), dont l'objet est la conduite de tir pour la défense anti-aérienne (DCA). Il
s'agit de prévoir les trajectoires des avions pour les abattre. Ces prédictions utilisent des tables de tir
numériques, et c'est pour construire ces tables que sont élaborés de grands calculateurs. Il
semblerait que pour la première fois, l'expression digital computer soit introduite pour les désigner
(J. Ségal).
Travaux ballistiques
Shannon, avec Bode et Blackman, participe à l'élaboration de la machine M9, qui utilise des
méthodes de prédiction et de lissage des courbes. Quatre-vingt-dix exemplaires de cette machine
sont envoyées en Angleterre, où elles permettront la destruction de ¾ des missiles allemands V1. Au
moment de la libération, ce sont 900 exemplaires de cette machine qui seront opérationnels.
Le projet X.
Entre 1943 et 1945, il travaille pour un projet ultra confidentiel de cryptologie, le projet X ([28]), et
la théorie de l'information sera élaborée à partir de ce travail. Cela lui donnera l'occasion de
rencontrer Turing, puis Friedman au Signal Corp.
Le projet X a été maintenu secret jusqu'en 1975. Il s'agissait de développer un système de
68/92
chiffrement de la parole de confidentialité absolue, pour les communications stratégiques entre
Roosevelt et Churchill. Ce projet est également connu sous le nom de code « Sigsaly » ou
« Ciphony 1 » (Ciphering Telephony).
Il a été le premier système de traitement numérique de la parole. Shannon a montré, dans le cadre de
ce projet, que la numérisation du signal, qui consiste à transmettre la valeur numérique du signal au
lieu du signal lui- même, est nécessaire pour que le chiffrement soit sûr. Il n'est pas possible
d'assurer une sécurité totale en adjoignant un bruit aléatoire à un signal analogique en raison des
corrélations résiduelles qui existent nécessairement entre le signal clair et le signal chiffré.
L'opération de réduction modulo 2, telle qu'elle appliquée dans le système de Vernam, vérifiant
1 + 1 = 0 est cruciale pour la sécurité. Une opération d'addition analogique, vérifiant 1+1=2, ne peut
pas masquer complètement l'information. Un signal chiffré d'intensité élevée correspond forcément
à un clair d'intensité élevée, et de même lorsque le signal chiffré a une faible intensité.
Le vocoder, qui est au cœur de la transformation de la voix en données numériques avait été défini
dans son principe dès 1936 par H.W. Dudley, ingénieur aux Bell Labs. La qualité sonore était
médiocre et convenait juste pour la compréhension du message. Un effort continu a été mené pour
l'améliorer.
Le premier prototype a été expérimenté en novembre 1941, lors d'une liaison transatlantique entre
l'Angleterre et les États-Unis. Il a été achevé en août 1942.
Le système a été produit en plusieurs exemplaires et déployé à partir d'avril 1943, à Washington,
Londres et en Afrique du nord. Il était constitué de 30 racks 7 pouces, fonctionnait avec tubes à vide
qui nécessitaient autour de 30 kilowatts d'énergie électrique, pour produire un signal utile de 1
milliwatt seulement. Il était capable de transmettre l'information à une vitesse de 1 500 bits par
secondes.
Un second système plus petit, le « Junior X », ou AN/GSQ3, constitué seulement (!) de six racks 5
pouces, a commencé à être développé, mais n'a jamais eu le temps d'être opérationnel. C'est
exactement ce type de procédé qui est mis en œuvre aujourd'hui dans la téléphonie mobile.
Le développement de ces systèmes a été le point de départ de ce qui sera appelé la revolution
numérique (The digital revolution).
Sa théorie mathématique de la communication est publiée en 1948, mais repose vraisemblablement
sur ses travaux au sein du projet X. Son article Communication Theory of Secrecy Systems [27] est
publié en 1949, à partir d'un rapport confidentiel datant de 1946.
7.2
L'analogie entre système de communications et système de confidentialité.
Shannon mène de front des recherches en télécommunication dans le domaine commercial, à partir
de problème de bande passante pour la transmission de la parole, et également des recherches
cryptologiques dans le domaine militaire. Il va établir un langage commun à ces deux domaines. Il
traitera de manière similaire, en utilisant les mêmes formulations mathématiques, le système
cryptographique de confidentialité et le système de communication bruité. Dans les deux cas, une
incertitude de même nature est introduite dans ces systèmes. L'une est le fait du bruit sur la ligne de
communication, l'autre est liée à l'ignorance par l'adversaire de la clé de chiffrement.
69/92
Figure 5 Schéma du système de communication dans l'article de 1948.
Figure 6 Schéma du système de confidentialité dans l'article de 1949.
L'analogie entre les deux systèmes est explicitée.
Du point de vue du cryptanalyste, un système de chiffrement est presque identique à un
système de communications bruité. Le message (signal transmis) est traité par un
élément statistique, le système de chiffrement, avec sa clé choisie statistiquement. Le
résultat de cette opération est le cryptogramme (analogue du signal perturbé) sur le
canal. Les principales différences sont d'abord que l'opération de chiffrement est
généralement d'une nature bien plus complexe que le bruit qui perturbe un canal, et
ensuite que la clé d'un système de confidentialité est souvent choisie dans un ensemble
fini, tandis que le bruit est introduit de manière continue, avec un effet choisi dans un
ensemble infini.
Shannon, Communication Theory of Secrecy Systems, 1949
7.3
Le langage comme un processus stochastique.
Une particularité des travaux de Shannon réside dans l'utilisation systématique de la théorie des
probabilités comme fondement pour élaborer une théorie de la communication.
Comme dans la théorie des communications, le langage est considéré comme étant
représenté par un processus stochastique qui produit une suite discrète de symboles,
selon un certain système de probabilités. Associé à un langage, figure un certain
paramètre D, que nous appelons la redondance du langage. D mesure en quelque sorte
70/92
combien la longueur d'un texte du langage peut être réduite sans perdre d'information.
Par exemple, dans les mots anglais, la lettre u suit toujours la lettre q, le u peut être
supprimé sans aucune perte. Des réductions considérables sont possibles en Anglais, en
raison de la structure statistique de la langue, de la fréquence élevée de certaines lettres
et de certains mots, etc. La redondance est d'une importance centrale dans l'étude des
systèmes de confidentialité.
C.E. Shannon, A Mathematical Theory of Communications, 1948
Le langage est modélisé comme une chaîne de Markov, dans lequel chaque symbole est généré avec
une loi de probabilité qui dépend d'un nombre fini d'états déterminés par les symboles précédents.
La notion de redondance sera également au cœur du travail commun entre l'étude des systèmes de
communications bruité et la cryptanalyse. La redondance signifie qu'il y a un plus grand nombre de
symboles effectivement transmis que ceux qui sont strictement nécessaires à la transmission de
l'information. Dans la langue naturelle, la syntaxe est une source de redo ndance. La règle infaillible
de Viète selon laquelle une voyelle est forcément présente parmi trois lettres successives d'un texte,
illustre également la redondance dans une langue naturelle.
La redondance permet de corriger les erreurs de transmissions. Par exemple si on reçoit le mot
« endépendance », on pourra deviner que le premier 'e' a été mal transmis. On comprendra
« indépendance ». C'est cette même redondance qui conduit le cryptanalyste à achever sa
cryptanalyse après avoir obtenu assez d'informations pour deviner le reste des mots.
Les deux extrêmes de la redondance dans la prose anglaise sont représentés par
l'anglais basique et par le roman Finnegan Wake de James Joyce. L'anglais basique a
un vocabulaire limité à 850 mots et la redondance est très élevée. Ceci est révélé par
l'expansion qui survient lorsqu'on traduit un texte en Anglais basique. Joyce d'un autre
côté développe le vocabulaire, obtenant ainsi une compression du contenu sémantique.
(Shannon, cité par Kahn)
On peut estimer que dans la langue naturelle, 75% des lettres ne sont pas utiles. Ceci est illustré par
Le poème suivant Death and Life de Charles Carrol Bombaugh, extrait de Gleanings for the
Curious from the Harvest - Fields of Literature, 1890. Il présente deux phrases qui ont 65% de
lettres en commun, mais des sens complétement opposés :
cur f w
d dis and p
A sed iend rought eath ease
bles fr b
br and
ag
-
ain
Un traître maudit a forgé la mort, la maladie et la souffrance.
Un ami béni a encore apporté souffle et aisance.
C'est cette même redondance qui donne l'appui au cryptanalyste. Dans la majorité des chiffreurs,
c'est uniquement la redondance qui assure l'unicité de la solution. Un texte peu redondant
nécessitera beaucoup plus de cryptogramme pour trouver la solution qu'un texte très redondant.
Shannon établira une expression de la quantité requise de cryptogramme pour que la solution soit
unique. Cette expression fait intervenir la redondance. Il appelle cette quantité la distance d'unicité.
Il distinguera la probabilité a priori qui est issue des statistiques de la langue naturelle, de la
probabilité a posteriori, qui correspond aux probabilités sur les messages ayant pu produire un
cryptogramme donné.
Dans un langage peu redondant, comme les numéros de téléphone, on répète pour ajouter de la
redondance et s'assurer que l'information a été reçue correctement. Le principe des codes
correcteurs d'erreur est, de façon similaire, d'ajouter une redondance aux symboles transmis pour
permettre une correction automatique des erreurs. C'est là la solution exposée par Shannon pour
lutter contre le bruit lors d'une transmission.
71/92
7.4
L'information et le sens du message.
La question de l'information transmise dans une communication électrique a été posée dès 1927 par
Ralf Hartley (1888 – 1970), qui était électronicien au Bell Labs 25 . Hartley exprime la quantité
d'information contenue dans une donnée comme le logarithme du nombre de valeurs que cette
donnée peut prendre. Hartley généralise la notion aux signaux analogiques :
Une courbe continue peut être pensée comme la limite approchée par une courbe faite
de pas successifs.
Ralf Hartley, Transmission of Information, 1927.
Cette expression logarithmique a été reprise par Shannon. Le logarithme y est décrit comme la
manière la plus « naturelle » d'exprimer cette information. Les arguments employés montrent le
contexte d'ingénierie électronique dans lequel évoluaient Hartley et Shannon.
Des paramètres important de l'ingénierie comme le temps la bande passante, le nombre
de relais, etc. tendent à varier linéairement en fonction du logarithme du nombre de
possibilités.
Shannon. Mathematical Theory of Communications, 1948
Chez Shannon, la mesure de la quantité d'information transmise lors d'une communication est en
relation directe avec la distribution de probabilité des symboles dans ce processus. Cette notion fait
abstraction du sens du message. Il serait faux d'affirmer que la notion de sens a disparu chez , il a
seulement changé de point de vue. Son problème d'ingénieur est la maîtrise du système de
communication, et non pas la communication entre des interlocuteurs particuliers pour qui
l'information a une signification dont le sens correspond à l'impact de cette information sur leur
action.
Le problème fondamental de la communication est celui de la reproduction, en un point,
soit exactement soit approximativement, d'un message choisi en un autre point. Souvent,
les messages ont une signification, en ce qu'ils se réfèrent ou sont corrélés selon un
système qui comprend certaines entités physiques ou conceptuelles. Ces aspects
sémantiques de la communication ne sont pas pertinents pour le problème d'ingénierie.
L'important est que le message réel est choisi dans un ensemble de messages possibles.
Le système doit être conçu pour fonctionner pour chaque choix possible, pas seulement
celui qui sera effectivement fait car il n'est pas connu au moment de la conception.
C.E. Shannon, A mathematical theory of Communication 1948
7.5
Les « desiderata » des systèmes de chiffrement selon Shannon.
Shannon énonce les qualités idéales que devraient avoir un système de chiffrement, pour conclure
qu'elles apparaissent contradictoires en pratique, le niveau de sécurité impliquant une utilisation
contraignante. Bien qu'il ait travaillé sur les données abstraites issues de la numérisation de la
parole, son objet d'étude reste encore l'ensemble des systèmes de chiffrement s alphabétiques,
monoalphabétiques ou polyalphabétiques, autoclave ou non de type Vigenère.
Il existe différents critères qui devraient être appliqués pour estimer la valeur d'un
système de chiffrement qu'on propose. Les plus importants sont:
1. La quantité de secret.
Certains systèmes sont parfaits – l'ennemi n'est pas plus avancé après avoir intercepté
n'importe quelle quantité de matériel qu'avant. D'autres systèmes lui apportent de
l'information, mais ne conduisent pas à une solution unique pour le cryptogramme
intercepté. Parmi les systèmes à solution unique, il existe de grandes variations quant à
la quantité de travail requis pour que la solution soit effective, et aussi dans la quantité
25 Transmission
of Information, Ralf Hartley, présenté au International Congress of Telegraphy and Telephony, au Lac
de Côme en Italie, en septembre 1927.
72/92
de matériel qu'il faut intercepter pour que la solution soit unique.
2. La taille de la clé.
(…) Il est souhaitable d'avoir une clé aussi petite que possible.
3. La complexité des opérations de chiffrement et de déchiffrement.
(…) si ces opérations sont faites manuellement, leur complexité conduit à une perte de
temps, des erreurs, etc. Si elles sont faite mécaniquement, la complexité conduit à des
machines coûteuse.
4. La propagation des erreurs.
Dans certains types de chiffreurs, une erreur sur une lettre au chiffrement ou lors de la
transmission conduit à un grand nombre d'erreurs dans le texte déchiffré. Les erreurs
étalées par l'opération de déchiffrement, causant une grande perte d'information, et le
besoin de nombreuses répétitions du cryptogramme. Il est bien sûr souhaitable de
minimiser la propagation des erreurs.
5. L'expansion du message.
Sans certains types de systèmes de chiffrement, la taille du message est augmentée par
le procédé de chiffrement. Cet effet indésirable s'observe dans les systèmes où on essaye
de noyer les statistiques sur le message en insérant de nombreuses lettres nulles. (…)
Shannon, Communication Theory of Secrecy Systems, 1949
Il étudie en particulier les systèmes parfaits. Un résultat de ses travaux est d'énoncer que le secret
parfait est réalisé par le système de Vernam.
Shannon éprouve le besoin de préciser dans une note en bas de page, que le terme ennemi provient
des applications militaires de la cryptographie et est communément employé dans ce type de
travaux pour désigner quiconque intercepte le cryptogramme. Cette justification lexicographique est
le signe de la position ambiguë vécue par Shannon, du scientifique ancré dans l'institution qu'il sert,
mais œuvrant pour un objectif de vérité scientifique qu'il estime supérieur.
7.6
La mathématisation de l'ingénierie
L'objectif de Shannon et bien de présenter une théorie mathématique de l'objet de son étude. Il
définit une algèbre sur les systèmes de chiffrement.
Un système de confidentialité peut être défini abstraitement comme un ensemble de
transformations d'un espace (l'ensemble des messages possibles) sur un second espace
(l'ensemble des cryptogrammes possibles). (…)
Il existe deux opérations de combinaison naturelle pour produire un troisième système à
partir de deux systèmes donnés. La première opération est appelé le produit et
correspond au chiffrement du message avec le premier système R, et chiffrer le
cryptogramme résultant avec le second système S, les clés pour R et S étant choisie de
manière indépendante. (…)
La seconde opération est « l'addition pondérée »
𝑇 = 𝑝𝑅 + 𝑞𝑄 𝑝 + 𝑞 = 1
Elle revient à faire un choix préalable sur la façon dont les systèmes R ou S seront
utilisés, respectivement avec les probabilités p et q. Une fois que ceci est fait, R ou S
sont utilisés comme ils ont été définis.
On montre que les systèmes de confidentialité, munis de ces deux opérations forment
une algèbre linéaire associative avec élément neutre, une variété algébrique qui a été
très étudiée par les mathématiciens.
Shannon , Communication Theory of Secrecy Systems, 1949
Cette algèbre est présentée comme un cadre théorique pour décrire les combinaisons de divers
procédés de chiffrement, transposition + substitution par exemple, et pour décrire leur cryptanalyse.
73/92
Il s'intéressera ensuite aux systèmes purs qui ne peuvent être décomposés. La composition de
systèmes simples pour conduire à des systèmes complexes correspond à une préoccupation très
ancienne. Elle est déjà décrite par Al Kindi qui distingue entre les systèmes simples et les systèmes
complexes, analysée par Vigenère, qui conclut à l'inutilité de composer deux substitutions simples.
Elle est présentée ici sous une forme abstraite avec une approche probabiliste. L'apport effectif de
ce formalisme n'est pas clair, mais cette présentation abstraite est le signe de la volonté permanente
de la part de Shannon, de donner une dimension mathématique aux problèmes d'ingénierie.
7.7
L'entropie
La notion d'entropie est au cœur de la théorie de l'information. Shannon définit l'entropie d'un
processus aléatoire comme la quantité d'information qu'il peut produire. Il définit cette notion de
manière axiomatique, avec une volonté de construction mathématique rigoureuse, tout en justifiant
les choix des axiomes avec le point de vue d'un ingénieur.
Supposons que nous ayons un ensemble d'événements possibles dont les probabilités
d'occurrence sont 𝑝1, 𝑝2, … , 𝑝𝑛 .Ces probabilités sont connues, mais c'est tout ce que
nous connaissons sur l'événement qui va survenir. Peut-on trouver une mesure sur
combien de « choix » est concerné dans la sélection de l'événement, ou sur l'incertitude
que nous avons sur son issue ?
S'il existe une telle mesure, disons 𝐻(𝑝1, 𝑝2, … , 𝑝𝑛 ) , il est raisonnable d'exiger les
propriétés suivantes :
1.
H doit être continue en les 𝑝𝑖.
1
2. Si tous les 𝑝𝑖sont égaux,𝑝𝑖 = , alors H doit être une fonction croissante de n.
𝑛
3. Si un choix est décomposé en deux choix successifs, le H original doit être la somme
pondérée des valeurs individuelles de H. (…).
Théorème 2 : Le seul H qui satisfait les trois hypothèses ci-dessus est de la forme
𝐻 = −𝐾∑𝑛𝑖 =1 𝑝𝑙 log𝑝𝑖
où K est une constante positive.
Shannon . Mathematical Theory of Communications, 1948
Le terme entropie pour désigner cette quantité, qui mesure en quelque sorte l'incertitude du résultat
d'une expérience aléatoire, vient d'une formule similaire que Ludwig Boltzmann a établi en 1872
dans sa théorie cinétique des gaz.
Plus tard, un autre choix d'axiomes conduira le mathématicien Afréd Rényi (1921 – 1970) à
construire une toute une famille de fonctions d'entropie, dont l'une d'entre elle définira l'incertitude
d'une expérience aléatoire avec la probabilité de collision, confirmant l'importance de cette notion
qu'avait déjà noté William Friedman avec son indice de coïncidence. L'entropie de Rényi est
aujourd'hui utilisée pour évaluer l'information résiduelle acquise par un adversaire qui observe les
cryptogrammes.
7.8
La confusion et la diffusion.
C'est à Shannon que l'on doit également les critères de diffusion et de confusion pour la conception
des fonctions de chiffrement. Ces notions sont encore aujourd'hui reprises pour évaluer la qualité
des fonctions de chiffrement.
Deux méthodes (autres que le recours à un système idéal) sont suggérées pour
contrarier une analyse statistique. Nous appellerons ces méthodes la diffusion et la
confusion. Dans la méthode de diffusion, la structure statistique de M qui conduit à sa
redondance est « dissipée » le long d'un grand domaine de statistique, c'est-à-dire dans
une structure statistique qui implique de longues combinaisons de lettres dans le
cryptogramme. L'effet ici est que l'ennemi doit intercepter une gigantesque quantité de
matériel pour piéger cette structure (…).
74/92
La méthode de confusion est de rendre la relation entre les statistiques simples de E et
la description simple de K très complexe et très intriquée. (…)
Pour être plus précis, supposons que l'espace des clés comporte certaines
« coordonnées naturelles » 𝑘1, 𝑘2, … , 𝑘𝑛 qu'il (l'ennemi) souhaite déterminer. Il mesure,
disons un ensemble de statistiques 𝑠1, 𝑠2, … , 𝑠𝑛 , et elles sont suffisantes pour déterminer
les 𝑘𝑖 . Cependant dans la méthode de confusion, les équations qui relient ces ensembles
de variables sont intriquées et complexes. Nous avons disons:
𝑓1 (𝑘1, 𝑘2, … , 𝑘𝑛 ) = 𝑠1
𝑓2 (𝑘1, 𝑘2, … , 𝑘𝑛 ) = 𝑠1
⋮
𝑓𝑚 (𝑘1, 𝑘2, … 𝑘𝑛 ) = 𝑠𝑚
et tous les 𝑓𝑖 impliquent tous les 𝑘𝑖 . Le cryptanalyste doit résoudre ce système
d'équations simultanées – un travail difficile. (…)
La confusion ici est qu'un bon système de chiffrement devrait être pris à la fois pour
diffuser ou rendre confuse la redondance (ou les deux).
Shannon , Communication Theory of Secrecy Systems, 1949
De façon assez grossière, dans une fonction de chiffrement constituée d'une transposition et d'une
substitution, comme l'est par exemple le chiffre allemand ADFGVX de la première mondiale, la
qualité de confusion est assurée par la substitution, et la qualité de diffusion est assurée par la
transposition.
Encore aujourd'hui, les justifications de résistance des fonctions de chiffrement reposent sur ces
notions. La confusion repose sur les boîtes de substitution (S-boxes) qui sont des transformations
non linéaires et la diffusion repose sur des transformations linéaires. La notion de fonction de
diffusion parfaite a été formalisée en 1993 sous le nom de multipermutation26 .
26 Claus-Peter
Shnorr, Serge Vaudenay, Parallel FFT Hashing, actes du congrès Fast Software Encryption, FSE 1993,
pages 149 – 156.
75/92
8
La cryptologie à l'âge de l'électronique et de l'informatique
Au cours de la seconde guerre mondiale, la cryptologie a joué un rôle majeur, par le nombre de
personnes impliquées, par les avancés scientifiques et techniques qu'elle a provoquées, et par la
structuration institutionnelle qui en a résulté.
Après le second conflit mondial, l'activité cryptologique va considérablement se développer, surtout
pour des raisons militaires, en raison à la fois du contexte historique et des avancées technologiques.
8.1
Le contexte de la guerre froide
Le théâtre d'opérations de la guerre froide entre les U.S.A et l'U.R.S.S. à partir de 1945, se déplace
du Vietnam, à Berlin, à Cuba, voire jusque dans l'espace avec la course à la conquête spatiale. Cette
mondialisation a imposé de gros moyens de communications, organisés en réseaux et protégés par
une cryptographie.
La N.S.A (National Security Agency), agence fédérale chargée de la sécurité des communications,
est créée le 4 novembre 1952, sous l'égide du président américain Harry Trumann, pour succéder à
une agence qui était placée sous le contrôle du département de la défense, l'A.F.S.A. (Armed Forces
Security Agency), qui avait été créé 20 mai 1945.
La N.S.A, avec environ 20 000 membres, est le plus important employeur mondial de
mathématiciens et de cryptologues. La mission déclarée de la NSA figure sur son site internet
http://www.nsa.gov/about/mission/index.shtml :
La National Security Agency/Central Security Agency (NSA/CSS) guide le
gouvernement en matière de cryptologie, ce qui englobe à la fois des produits et des
services concernant le renseignement de signaux (SIGINT Signal Intelligence) ainsi que
l'assurance d'informations (IA Information Assurance), et comprend les opérations sur
les réseaux d'ordinateurs (CNO Computer Network Operations), afin d'obtenir un
avantage ferme pour la Nation et nos alliés en toutes circonstances.
La création de cette agence, ainsi que de la C.I.A (Central Intelligence Agency), fondée en 1947,
montre l'attachement des autorités américaines à la question du renseignement.
8.2
Le développement de l'électronique et de l'informatique
Rappelons que Colossus, le premier gros calculateur électronique, a été
réalisé pour la cryptanalyse des machines de Lorenz, qui étaient utilisées
par l'armée allemande pour sécuriser ses communications d'infrastructure.
L'invention du transistor en 1947 par les américains John Bardeen (1908 1991), William Shockley (1910 - 1989) et Walter Brattain (1902 - 1987),
chercheurs aux Bell Labs, puis du circuit intégré en 1958 par Jack Kilby
(1923 - 2005), employé de l'entreprise Texas Instrument a conduit à un
développement considérable de l'électronique, puis de l'informatique.
L'informatique s'ouvre au grand public, avec l'invention en 1969 du microprocesseur par Marcian
Hoff et Frederico Faggin, de l'entreprise Intel, réalisé à l'aide de portes logiques dans la technologie
à base de silicium développé par l'entreprise Fairchild en 1968.
Le premier processeur commercialisé le fut en 1971. Il s'agit du 4004, un processeur 4 bits, réalisé
dans un circuit intégré de 2300 transistors.
Les progrès ont ensuite été très rapides:
-
1974
1976
1979
1979
8080
Zilog Z80
8088
Motorola 68000
6 000 transistors
8 500 transistors
29 000 transistors
68 000 transistors
76/92
2 MHz
4 Mhz
5 MHz
8 Mhz
6μ
3μ
L'apparition des premiers ordinateurs à usage personnel suit immédiatement:
- En 1980, l'entreprise anglaise Sinclair produit le microordinateur ZX80, équipé du processeur
Z80 cadencé à 4 MHz, et d'une mémoire vive de 1 ko.
- En 1981, IBM (International Business Machine) lance le Personal Computer (PC), équipé du
processeur 8088 cadencé à 4,77 MHz, et d'une mémoire vive de 16 ko.
- En 1984, la firme Apple lance le premier ordinateur personnel Macintosh, utilisant une souris et
une interface graphique. Il est équipé du processeur Motorola 68000 cadencé à 8 MHz, et de
128 ko de mémoire vive.
Une autre étape technologique va être franchie avec le dépôt le 15 mars 1974 par Roland Moreno
(1945-2012) d'un « objet portable à mémoire revendiquant des moyens inhibiteurs, un comparateur
avec compteur d'erreurs et des moyens de couplage avec le monde extérieur » qui deviendra la carte
à puce et aura un rôle essentiel dans la popularisation de la cryptologie. Deux ans plus tard, Michel
Ugon, ingénieur à la compagnie CII Honeywel Bull jette les bases de la carte à microprocesseur27
dont la première sera commercialisée dès 1979. Elle est adoptée par les banques françaises à partir
de 1984, faisant considérablement baisser le taux de paiement frauduleux par carte.
L'apparition et la généralisation des ordinateurs a eu une influence co nsidérable sur l'ensemble des
activités humaines. La cryptologie n'échappe pas à cette révolution technologique. Du traitement de
la langue écrite, la cryptologie devient un traitement d'informations qui peuvent être de nature
différente : son, images fixes ou en mouvement, etc. L'information traitée devient diverse et surtout
abstraite. Le 0 et le 1 remplacent les alphabets des langues naturelles.
(…) les messages que nous voulons traiter cryptographiquement ont tout d'abord été
traduits en une suite de chiffres binaires. Toute sorte d'information, que ce soient des
lettres, les sons musicaux ou le signal de télévision, peuvent être représentés par un
codage binaire.
[29] Horst Feistel, Cryptography and Computer Privacy, 1973.
En même temps que l'ordinateur prend en charge le traitement des informations, il crée de nouveaux
besoins de protection de la confidentialité des données traitées.
Du fait que les ordinateurs constituent, ou vont bientôt constituer une menace
dangereuse sur la vie privée constitue une préoccupation croissante. Comme de
nombreux ordinateurs contiennent des données personnelles et sont accessibles à
distance par des terminaux, ils sont vus comme un moyen sans pareil pour rassembler
un grand nombre d'informations sur un individu ou sur un groupe.
[29] Horst Feistel, Cryptography and Computer Privacy, Scientific American, 1973
L'invention de l'ordinateur installe par ailleurs un nouveau rapport de force en cryptologie entre
cryptographie et cryptanalyse. Depuis la cryptanalyse de la machine de Lorenz par l'ordinateur
Colossus, cette avancée technologique favorise considérablement le décryptement par rapport au
chiffrement. Le dispositif de chiffrement est petit, portable, pratique à utiliser sur un théâtre
d'opérations. A l'opposé les moyens de décryptement peuvent être lourds, coûteux, très performants,
et mobilisent de très grosses ressources techniques et humaines.
Cette situation va changer avec l'évolution de la taille des machines dans un format qui va tendre à
se réduire, jusqu'à la carte à puce, et qui va permettre de réaliser des opérations de chiffrement dans
un circuit intégré unique et permettre d'intégrer des algorithmes de plus en plus complexes. D'autre
part, l'évolution de la puissance des machines va tendre à favoriser le chiffrement, par
l'accroissement de différence entre le chiffrement, dont la complexité croît comme une puissance de
la taille des données traitées, et le décryptement dont la complexité peut être une exponentielle de
cette taille (voir note en bas de la page 66).
27
Composant SPOM Self Programmable On-chip Microprocesseur.
77/92
8.3
Cryptographie institutionnelle et gouvernementale
Le système de Vernam est adapté au contexte du chiffrement des flux binaires. Il a été prouvé sûr
par Shannon dans le cadre de la théorie de l'information. Il consiste à effectuer une addition modulo
2 entre le flux binaire du message clair et un flux binaire aléatoire, utilisé une seule fois, et partagé
par les deux correspondants. Il est appelé One time pad (masque jetable).
L'inconvénient fondamental du système de Vernam est que pour chaque bit
d'information transmise, le destinataire doit avoir en sa possession à l'avance un bit
d'information de clé. De plus, ces bits doivent être en une suite aléatoire qui ne peut pas
être utilisée une seconde fois. Pour un gros volume de trafic, il s'agit là d'une restriction
sévère. Pour cette raison, le système de Vernam est réservé aux messages top-secrets.
[29] Horst Feistel, Cryptography and Computer Privacy, 1973.
Le masque jetable sera utilisé notamment pour le chiffrement du téléphone rouge. Ce terme désigne
une liaison directe et chiffrée entre le les chefs d'état de l'URSS et des USA qui a été mis en place le
30 août 1963, après la crise des missiles de Cuba d'octobre 1962. Cette liaison était destinée à
désamorcer les situations conflictuelles et marque le début de la détente entre les deux super
puissances. Il s'agissait d'abord d'un téléscripteur chiffré avec des bandes aléatoires transportées par
valise diplomatique. Ces bandes étaient détruites après chaque utilisation.
La première liaison filaire utilisait le câble transatlantique TAT-1 suivant une piste Washington –
Londres – Copenhague – Stockholm – Helsinki – Moscou. Une liaison secondaire par radio
Washington – Tanger – Moscou existait également.
Cette liaison filaire par téléscripteur a été remplacée en 1978 par une communication téléphonique
par satellite, utilisant le satellite américain Intelsat et le satellite soviétique Molniya II.
L'armée française va conserver longtemps des moyens de production de bandes aléatoires, à l'aide
d'équipements appelés TAREC (Translation Automatique Régénératrice Et Chiffrante) réalisés par
l'entreprise Sagem.
Les milieux militaires et gouvernementaux vont développer des procédés de chiffrement qui
tenteront de se rapprocher le plus possible du système du masque jetable, qui comporte une preuve
de sécurité inconditionnelle. La clé aléatoire sera remplacée par une production pseudo-aléatoire de
chiffres binaires à partir de la clé, comme cela était fait dans la machine de Lorenz. La machine
Myosotis, développée en France à partir de 1956 par Jean-Pierre Vasseur à l'entreprise CSF
(Compagnie française de télégraphie Sans Fil), et présentée en 1961 à l'OTAN repose sur ce
principe.
Myosotis est la première machine à chiffrer entièrement électronique, à base de
transistors au germanium. Elle est restée en exploitation pendant plus de 20 ans.
Par sa conception, qui s'appuyait sur la meilleure approximation possible du secret
parfait, elle fut certainement la meilleure machine cryptographique de son époque (…).
[23] Xavier Ameil, Jean-Pierre Vasseur et Gilles Ruggiu,
Histoire de la machine Myosotis,
Actes du septième colloque sur l'Histoire de l'Informatique et des Transmissions.
La conception de la machine Myosotis montre sur quelle base théorique repose la conception des
systèmes de chiffrement destinés aux usages institutionnels, gouvernementaux et militaires en
France pendant toute la fin du 20° siècle.
Jean-Pierre Vasseur et ses collaborateurs vont s’appuyer sur la théorie de Shannon en
validant leurs choix par des campagnes approfondies de tests statistiques. Plusieurs
principes fondamentaux inspirés par Shannon les conduisent à créer partout où c’est
possible
- de la confusion et de la diffusion entre les informations,
- briser toute corrélation entre les données,
78/92
-
recourir à des circuits et des logiques non linéaires,
faire jouer aux éléments secrets variables internes des rôles symétriques et
équivalents,
rechercher au maximum l’équiprobabilité des variables,
garantir une période minimale suffisante de l’automate
André Cattieuw, journées « les enjeux de la cryptologie », Paris 8, 22 mai 2008
Sur le plan institutionnel, la cryptologie va rester une activité contrôlée par les états et la plupart des
pays occidentaux se dotent de structure pour la superviser : aux États Unis, la NSA (National
Security Agency) est créé en 1952 par le président Harry Truman; en France, le Service Technique
Central des Chiffres (STCCh), dépendant du premier ministre, est créé en 1951. La mission de ces
institutions était à la fois de développer et promouvoir une recherche cryptologique et d'en
empêcher la prolifération, cette dernière étant considérée comme une arme. Ces agences se
réservent la connaissance cryptologique pour des usages militaires et diplomatiques, et assure le
maintien d'une compétence en cryptanalyse effective, dotée de gros moyens de calc uls, afin de
résoudre les procédés cryptographiques étrangers, que ce soit à des fins militaires, ou commerciales
pour procurer un avantage compétitif aux entreprises nationales. 28
8.4
Le DES (Data Encryption Standard)
Le besoin de protéger les communications et les données personnelles mémorisées sur les
ordinateurs se fait de plus en plus pressant et pousse en 1973 le NBS (National Bureau of Standards)
à publier un appel à contributions pour définir un algorithme de chiffrement standard, qui serait
utilisable par les entreprises qui ont besoin de protéger les fichiers et les communications sensibles.
Cet appel d'offre a conduit à la standardisation en 1976 d'un algorithme de chiffrement pour l'usage
civil, le DES (Data Encryption Standard), et d'une publication en janvier 1977.
Cette première publication à grande échelle d'un algorithme de chiffrement marque l'entrée de la
cryptologie dans le domaine public et finalement la première réalisation effective du principe de
Kerckhoffs selon lequel le procédé de chiffrement peut sans inconvénients être connu de tous.
L'entreprise IBM (International Business Machines) disposait d'une famille d'algorithmes, appelé
Lucifer qu'il propose pour cet usage. Ces algorithmes ont été mis au point à partir du début des
années 197O par Horst Feistel (1915 – 1990), qui a fait une lecture différente des travaux de
Shannon, en privilégiant une autre famille de fonctions de chiffrement, qui convertit un message de
n chiffres binaires en un cryptogramme de n chiffres binaires. Ces fonctions de chiffrement appelées
block cipher (chiffrement par bloc) réalisent finalement une substitutio n simple, opérant sur des
mots binaires de n symboles binaires, soit un alphabet de taille 2𝑛 .
L'inspiration de la conception du système Lucifer trouve son origine dans les travaux de Shannon et
également dans la tradition de la conception des procédés de chiffrement, dont le chiffre allemand
ADFGVX, composé d'une transposition et d'une substitution est un exemple. Transcrit en termes de
chiffres binaires, les transpositions sont obtenues par câblage, elles sont appelées permutation.
Dans une section sur la conception pratique de chiffreurs, Shannon a introduit la notion
de mélange de transformation qui implique une façon particulière de composer des
transformations. (…)
La façon dont les principes de confusion et de diffusion interagissent pour conduire à la
force cryptologique peut être décrite comme suit. Nous avons vu qu'une substitution
générale ne peut pas être réalisée pour les grandes valeurs de n, disons n=128, et nous
28
Il existe des exemples avérés de contrats perdus du fait de l'interception de message commerciau x confidentiels,
comme la perte par l'entreprise française Thomson-CSF du marché brésilien de la surveillance radar des aéroports en
1994.
79/92
devons établir un schéma de substitution de taille pratique. Dans le système IBM appelé
Lucifer, nous avons choisi n=4. (…)
Nous avons également vu qu'une boîte de permutation linéaire est facile à construire,
même pour n=128.
Dans le système Lucifer, la donnée d'entrée passe à travers des couches alternées de
boites, étiquetées P et S. P est pour boite de permutation où n est un grand nombre (64
ou 128) et S pour boîte de substitution.
[29] Horst Feistel, Cryptography and Computer Privacy
La difficulté à surmonter dans la conception
de ce type de chiffrement est la réalisation
d'une transformation inversible qui opère sur
de grands blocs de données, n = 64 ou 128 bits,
et qui satisfait les propriétés de diffusion et de
confusion.
Les solutions proposées à cette époque
montrent que la cible technologique des
concepteurs est la logique câblée. L'algorithme
est destiné à être réalisé par un circuit
électronique spécifique, fait de portes logiques
convenablement agencées.
La définition du DES est bien adaptée à ce
mode de réalisation, mais elle s'avérera moins
efficace lorsqu'il s'agira de le réaliser par
programmation dans des ordinateurs ou des
calculateurs embarqués.
IBM mettra au point plusieurs versions de son
algorithme Lucifer, et l'un d'entre eux est
proposé pour concourir à l'appel d'offre du
NBS pour le DES. Il repose sur un procédé de
réaliser des transformations inversibles sur des
grands blocs de chiffres binaires. Ce système
est appelé aujourd'hui réseau de Feistel.
La NSA a imposé des modifications sur l'algorithme Lucifer d'IBM, en particulier en imposant une
taille de clé réduite à 56 bits au lieu des 112 bits initiaux, ce qui autorise la reche rche exhaustive des
256 clés par des institutions disposant de très puissants moyens de calculs, et permet le contrôle des
communications chiffrées. La NSA a également imposé une modification des boîtes de substitution
non linéaires, ce qui a pesé comme un soupçon. La NSA a-t-elle introduit une porte dérobée dans le
DES de manière à pouvoir être seule à pouvoir résoudre les cryptogrammes produits ? La
communauté cryptographique a recherché des attaques contre le DES et il s'est avéré que les boîtes
de substitution imposée par la NSA étaient conduisaient à une résistance plus importante du DES à
ces cryptanalyses, faisant du DES un algorithme très solide. Aujourd'hui encore, la meilleure
cryptanalyse contre le DES reste la recherche exhaustive de la clé.
L'URSS disposait de son côté d'un algorithme de chiffrement standard alternatif au DES, appelé
GHOST, conçu à partir de 1970 et maintenu secret jusqu'en 1990.
Le standard DES, a été remplacé en 2001 par l' AES (Advanced Encryption Standard), à la suite
d'un appel d'offre international lancé par le NIST (National Institute of Standards and Technology)
en janvier 1997, et à une évaluation publique qui a duré plus de 4 ans.
80/92
9
La révolution des clés publiques.
Les vraies mathématiques n'ont aucun effet sur la guerre. Personne n'a encore trouvé un
objectif militaire qui serait dépendant de la théorie des nombres.
G. H. Hardy, The mathematician's Apology, 1940
En 1976, Whitfield Diffie, et Martin Hellman, du Department of Electrical Engineering, à
l'université de Stanford en Californie, ont publié un article intitulé New Directions in Cryptography
[5], qui va bouleverser la cryptologie et dont l'introduction commence ainsi:
Nous sommes aujourd'hui à l'aube d'une révolution en cryptographie.
Cet article marque le point de départ d'une nouvelle ère dans la cryptographie, qualifiée de
paradoxale par Jacques Stern, médaille d'or CNRS en 2008 pour ses travaux en cryptographie. La
confidentialité repose sur des données publiques. Cette nouvelle cryptographie réduit au maximum
la part secrète, poussant jusqu'à son extrême le mouvement amorcé par Kerckhoffs qui énonçait que
le procédé de chiffrement devait pouvoir sans dommage tomber entre les mains de l'ennemi.
Maintenant, la clé de chiffrement elle-même devient une donnée qui peut être connue de tous.
Le secret est au cœur de la cryptographie. Pourtant, au début de la cryptographie, il y
avait un flou à propos de ce qui devait être gardé secret. Les crypto-systèmes tels que le
chiffre de César (où chaque lettre est remplacée par celle située trois places plus loin, A
devenant ainsi D, B devenant E, etc.) dépendaient, pour leur sécurité, du fait que tout le
processus de chiffrement soit gardé secret. Après l'invention du télégraphe, la
distinction entre un système général et une clé spécifique a permis que le système
général puisse être compromis, par exemple par le vol d'un appareil cryptographique,
sans que les futurs messages chiffrés avec de nouvelles clés ne le soient. Ce principe a
été codifié par Kerckhoffs, qui a écrit en 1883 que compromettre un système
cryptographique ne devrait entraîner aucun inconvénient pour les correspondants.
Autour des années 1960, des crypto-systèmes furent mis en service, et qui étaient
estimés assez solides pour résister à une attaque cryptanalytique à clair connu,
éliminant ainsi l'inconvénient de garder secrets les anciens messages. Chacun de ces
développements a fait décroître la portion du système qui devait être préservée de la
connaissance publique, en éliminant les expédients laborieux tels que la paraphrase des
dépêches diplomatiques avant qu’elles ne soient présentées. Les systèmes à clé publique
sont dans le prolongement naturel de ce courant vers la diminution de la sphère secrète.
[5] Diffie & Hellman, New Directions in Cryptogaphy, 1976
9.1
Contexte
Le 4 octobre 1957, l'Union Soviétique procède au lancement du premier satellite artificiel, le
Spoutnik. Cet événement d'une grande portée scientifique et technologique provoque un
traumatisme aux États Unis, qui craignent que l’URSS puisse envoyer un missile nucléaire sur le
leur territoire. Ils créent, en réaction dès 1958, l'Advanced Research Project Agency (ARPA) dont la
mission est de combler le retard américain dans le domaine de la conquête spatia le et de l’armement.
Une des missions de l'ARPA sera de développer à partir de 1962, le réseau ARPANET dont
l'objectif est de relier les ordinateurs du ministère de la défense américain entre :
-
le Pentagone, quartier général du département de la défense américain, situé en Virginie près de
la ville de Washington,
-
Cheyenne Mountain, siège du Crystal Palace, situé près des sources du Colorado, chargé de la
collecte des données provenant de la constellation des satellites américains, et
-
le quartier général de commande aérienne stratégique, le Strategic Air Command Headquarter
(SACHQ), qui est l'établissement qui contrôle les bombardiers stratégiques et des missiles
81/92
porteurs de l'arsenal nucléaire américain, situé à Washington.
Ce réseau constitue l'embryon de ce qui deviendra internet et pose de nouveaux problèmes quant à
la sécurisation des communications. Comment partager une clé avec une entité lointaine sans
accointance préalable ?
Jusqu'en 1973, Whitfield Diffie a travaillé à l'université de Sandford sous la direction de John
McCarty sur un projet financé sur le budget ARPA.
9.2
Les points marquants de cette période
Cette période est marquée par une utilisation généralisée de mathématiques de plus en plus
élaborées, en particulier de domaines de mathématiques dites pures, dont on croyait qu'elles
n'étaient développées que pour l'honneur de l'esprit humain, selon l'expression de Charles Gustave
Jacob Jacobi (1804 – 1851), reprise par Jean Dieudonné.
Fourier avait l'opinion que le but principal des mathématiques était l'utilité publique et
l'explication des phénomènes naturels; mais un philosophe comme lui aurait dû savoir
que le but unique de la science, c'est l'honneur de l'esprit humain, et qu'à ce titre, une
question de nombres vaut autant qu'une question de système du monde.
Lettre du 2 juillet 1830 de Jacobi à Legendre
Outre la théorie des nombres et la géométrie algébrique, cette nouvelle cryptologie fait un usage
intensif de l'informatique, des algorithmes algébriques sophistiqués et de la théor ie de la complexité.
Les mathématiciens sont mis à contribution. De nombreux problèmes anciens, comme la
factorisation des entiers, ou les tests de primalité, qu'avaient traité Fermat, Frénicle et Mersenne au
16° siècle, redeviennent d'actualité et de grands progrès sont réalisés pour leur résolution : les
algorithmes de factorisation des entiers, ou de calcul de logarithme dans des corps finis passent
d'une complexité exponentielle à une complexité sous-exponentielle ; le premier test de primalité
déterministe de complexité polynomiale voit le jour en 2002, découvert par les mathématiciens
indiens Manindra Agrawal, Neeraj Kayal et Nitin Saxena.
La cryptologie devient une application qui justifie l'activité des mathématiciens. Cette situation
s'inverse par rapport aux références aux théories mathématiques dont cherchait à s'auréoler Claude
Shannon pour appuyer son travail sur la cryptologie.
La cryptologie elle- même devient une matière publique. Les états perdent le mo nopole qu'ils
détenaient sur les formations et les compétences. Les premiers congrès publics en cryptologie sont
organisés à partir de 1981, par l'International Association for Cryptographical Research (IACR).
Les premières formations universitaires en cryptologie voient le jour en France : en 1985 à Limoges,
en 1988 à Grenoble, et bien d'autres encore, avant d'entrer à Paris 8 en 2005.
Des formations en cryptologie existaient auparavant, mais elles étaient organisées par les services
gouvernementaux du chiffre et étaient réservées au personnel, militaire ou civil, ayant à utiliser un
moyen de chiffrement dans le cadre de son activité professionnelle.
L'article de Diffie et Hellman se termine comme un appel :
Nous espérons que ceci inspirera d'autres travaux sur ce fascinant sujet où la
participation a été découragée dans le passé récent par un monopole gouver-nemental
presque total.
La cryptologie envahit beaucoup de domaines de la vie quotidienne. Elle est présente partout, et
souvent son utilisateur n'est pas conscient de son utilisation : téléphonie mobile, démarrage des
véhicules, connexion à certains sites internet, authentification des cartes bancaires, titres de
transport en commun, carte vitale, passeport biométrique. Elle a perdu la gestuelle qui existait dans
les méthodes traditionnelle et la présence imposée par les machines à chiffrer électromécaniques et
des premières machines électroniques. Elle se fait discrète, présente pour protéger un modèle
82/92
économique, comme la télévision à péage, ou pour donner confiance aux utilisateurs de l'économie
numérique.
Bien que ses fondateurs Diffie et Hellmann aient été motivés par la protection de la vie privée, elle
est principalement aujourd'hui au service des gouvernements, des entreprises et des institutions.
La cryptologie n'est plus confinée au problème de la confidentialité. Elle permet d'assurer d'autres
services de sécurité :
- authentification : signature numérique que tous peuvent vérifier, mais que seul le signataire
légitime peut produire,
- non répudiation : le signataire ne peut pas nier avoir signé,
- preuves de détention d'une information sans aucune divulgation sur cette information.
- signatures de groupes,
- chiffrement et signature avec l'identité, vérifiable avec le nom du signataire,
- partage de secret à seuil,
- signature anonyme et monnaie électronique,
- vote électronique,
- La mise en gage.
- Le chiffrement homomorphique qui autorise la manipulation de données chiffrées.
Ces nouveaux services posent des problèmes sociaux et présentent des risques technocratiques
nouveaux. Quel est le sens d'une procédure de vote électronique, fondement de la démocratie, et qui
ne serait pas compris, maitrisé et accepté par l'ensemble de tous les citoyens ?
9.3
Les pionniers
Les anglais du GCHQ. Le chiffrement à clé publique a été étudié sous couvert de confidentialité
en Angleterre à partir de 1969 au sein du groupe CESG (Communications Electronics Security
Group) du GCHQ (Government Communications Headquaters), qui est l'établissement en charge de
la cryptologie militaire en Grande Bretagne. Il s'agissait de résoudre le délicat problème de la
transmission des clés à distance pour assurer une liaison sécurisée.
A partir de considérations sur le bruit, James Ellis établit dès 1969 la possibilité de chiffrer sans
secret (Non secret encryption). Il envisage également la possibilité que le récepteur transmette la clé
de déchiffrement de manière chiffrée, pour être utilisée ainsi pour le chiffrement, mais que le
déchiffrement nécessite qu'elle soit en clair. Ces réflexions resteront à l'état de recherche sans
solution effective jusqu'en 1973.
Le 20 novembre 1973, une solution mathématique reposant sur la théorie des nombres a été
proposée par Clifford Cocks. Elle repose sur l'élévation à la puissance n modulo n :
Si n est le produit de deux grand facteurs premiers𝑝1 et𝑝2 , que𝑝1 ne divise pas 𝑝2 − 1et
𝑝2 ne divise pas 𝑝1 − 1, alors la fonction permute l'anneau ; la fonction est inversée par
83/92
la puissance x-ième, où x est le plus petit entier tel que𝜆(𝑛) = 𝑝𝑝𝑐𝑚(𝑝1 − 1, 𝑝2 − 1)
divise 𝑥𝑛 − 1.
Il s'agit d'une instance particulière du RSA, qui sera publié par Rivest, Shamir et Adelman en 1978.
Le 21 janvier 1974, pour chiffrer sans secret, Malcom Williamson propose un système de
chiffrement à double cadenas, reposant sur la commutativité de l'exponentielle sur un corps fini.
Pour transmettre un message m de A à B :
- A choisit secrètement un exposant a et transmet𝑚𝑎 , de façon imagée, il a enfermé le message
dans une boîte qu'il a fermée avec le cadenas a.
- B choisit son propre exposant secret b et transmet (𝑚𝑎 )𝑏, ce qui revient à ajouter le cadenas b à
la boite.
-
A transmet ((𝑚𝑎 )𝑏 )1 ⁄𝑎 = 𝑚𝑏 , ce qui revient à ôter son propre cadenas.
B peut finalement ôter son propre cadenas et avoir accès au message.
Le 10 août 1976, Malcom Williamson propose un système de mise à la clé utilisant les
exponentielles modulaires dans de grands groupes finis, découvrant ce qui sera publié par Diffie et
Hellman la même année.
Ces travaux ont été maintenus secrets en raison de la culture du secret qui prévaut dans les agences
gouvernementales de cryptologie qui donne un caractère confidentiel à ce type de recherche. Cette
antériorité ne sera dévoilée que le 18 décembre 1997, lors d'un congrès à Cirencester en Angleterre.
Les premie rs travaux de Merkle. La première trace écrite non classifiée de la distribution
publique des clés et de la cryptographie à clé publique date de l'automne 1974, sous la forme d'un
projet de travaux d'études, accompagnant le cours de sécurité informatique à l'université de
Berkeley, proposé par Ralf Merkle, à la suite de l'obtention de sa licence (Bachelor of Art). Cette
proposition d'étude n'a pas été retenue par son professeur Lance Hoffmann, mais Merkle a continué
à travailler sur ce sujet, et a apporté une contribution majeure à l'élaboration de la notion de
cryptographie à clé publique [30]. Le sujet qu'il propose d'étudier est le suivant :
Sujet : établir des communications sures entre deux sites sécurisés séparés, à travers
une ligne de communications non sécurisée.
Hypothèse : Aucun arrangement préalable n'a été fait entre les deux sites, et il est
supposé que toute information connue par chaque site est connue de l'ennemi. Les sites,
cependant, sont maintenant sécurisés, et toute nouvelle information ne sera pas
divulguée.
Merkle ne propose pas de solution dans cette proposition de travaux, mais expose le principe sur
lequel ce type de solution peut reposer, à savoir un avantage calculatoire des deux sites sur l'ennemi.
Si les deux sites veulent consacrer 10 fois l'effort, tout ennemi doit consacrer 100 fois
l'effort pour craquer le code. Il sera donc possible d'établir un lien en 100 secondes qui
restera sûr pendant environ 100 jours.
9.4
Les nouvelles orientations de la cryptographie
L'article New Directions in Cryptography de Whitfield Diffie et Martin E. Hellman [5] a été
transmis pour publication le 3 juin 1976. Des portions de ce travail ont été présentées au workshop
IEEE29 sur la théorie de l'information à Lenox dans le Massachusetts du 21 au 24 juin 1975, puis au
symposium IEEE sur la théorie de l'information qui s'est tenu à Ronneby en Suède du 21 au 24 juin
1976.
IEEE, prononcer « I-tro is-E », ou « I-triple-E » avec l’accent anglais, Institute of Electrical and Electronics Engineers,
né de la fusion le 1er janvier 1963 de l'American Institute of Electrical Engineers et de l'Institute of Radio Engineers.
Cet institut a une activité de publications de revues, d'organisation de conférences et d'établissement de normes.
29
84/92
W. Diffie et M. E. Hellman travaillaient alors au département d'ingénierie électrique de l'Université
de Stanford. Diffie a été employé de l'entreprise de défense The Mitre Corporation qui lui a valu
une exemption de son service militaire pour le Vietnam. Il a ensuite travaillé au MIT, où il a côtoyé
des pirates informatiques (hackers), le sensibilisant aux problèmes de protection des données
privées sur les ordinateurs. L'intérêt pour la cryptographie lui vient de son travail à Stanford pour
John McCarty. Il a ensuite été recruté comme programmeur de recherche dans l'équipe de Martin
Hellman.
L'article de Diffie et Hellman est très riche et visionnaire. Les parties en italique de ce paragraphe
sont des extraits de cet article. Il va alimenter la recherche en cryptologie pendant les décennies qui
vont suivre. Bien avant le développement généralisé de l'internet, au moment où commence juste à
se développer l'informatique personnelle, l'introduction annonce:
Le développement des réseaux de communication contrôlés par ordinateur permet
d'envisager des contacts faciles et peu coûteux entre des personnes ou des ordinateurs
situés d’un bout à l’autre de la planète, remplaçant de nombreux courriers et voyages
par des télécommunications. Dans de nombreux cas, il est indispensable de sécuriser
ces échanges à la fois contre des oreilles indiscrètes et contre l’injection malveillante de
faux messages. La résolution de ce problème de sécurité est aujourd’hui très en retard
par rapport à d'autres problèmes de technologie de la communication. La
cryptographie actuelle est incapable de satisfaire ces exigences en ce sens que sa mise
en œuvre impose de sérieux inconvénients aux utilisateurs du système, jusqu’à ruiner
bon nombre des bénéfices du télétraitement.
Le principe de la cryptographie à clé publique est introduit pour résoudre ce problème. Il est illustré
par l'image du cadenas que tout le monde peut fermer, mais qui nécessite une clé pour l'ouvrir.
Dans un cryptosystème à clé publique, le chiffrement et le déchiffrement sont gouvernés
par deux clés distinctes, E et D, telles que le calcul de D à partir de E soit
calculatoirement irréalisable (nécessitant par exemple 10100 instructions). La clé de
chiffrement E peut donc être publiquement divulguée sans compromettre la clé de
déchiffrement D. Chaque utilisateur du réseau peut donc placer sa clé de chiffrement
dans un répertoire public. (...) Une conversation privée peut ainsi avoir lieu entre deux
individus même s'ils n'ont jamais communiqué auparavant. Chacun envoie des
messages à l'autre, chiffré avec la clé de chiffrement publique du destinataire, et
déchiffre les messages qu'il reçoit avec sa propre clé de déchiffrement.
Le prix à payer est la perte de la sécurité inconditionnelle. Tout adversaire dispose des informations
qui lui permettent de calculer la clé de déchiffrement. Ce qui lui manque, c'est le temps pour
effectuer un tel calcul. La sécurité devient calculatoire.
Nous dirons qu'une tâche est calculatoirement irréalisable si son coût en temps de
calcul et en espace mémoire est fini mais trop grand pour être envisagé.
Pour cette raison, et sans doute également en raison de l'attachement à la culture du secret, les
milieux militaires ont exprimé des réticences à l'utilisation de la cryptographie à clé publique.
Diffie et Hellman proposent quelques pistes pour résoudre ce problème et introduisent ce qui est
connu aujourd'hui sous le nom d'échange de clé Diffie-Hellman. Il s'agit d'un mécanisme de
distribution publique des clés.
(…) deux utilisateurs qui souhaitent échanger une clé, communiquent mutuellement
jusqu'à ce qu'ils s'accordent sur une clé commune. Si l'oreille indiscrète d'une tierce
partie capte cet échange, il doit lui être calculatoirement irréalisable de calculer la clé
à partir des informations captées.
Le mécanisme qu'ils proposent repose sur la difficulté supposée de calculer le logarithme d'un
élément dans le corps des entiers modulo q. Ils le décrivent ainsi:
85/92
Un utilisateur produit un nombre aléatoire indépendant X i choisi uniformément dans
l'ensemble des entiers {1,2,....,q}, qu'il garde secret, mais place :
(7)
Yi = α Xi
mod q
dans un fichier public avec son nom et son adresse. Lorsque les utilisateurs i et j
veulent communiquer en privé, ils utilisent :
(8)
Kij = α Xi Xj mod q
comme clé
L'utilisateur i obtient K ij en se procurant Yj dans le répertoire public, et on a :
(9)
(10)
Kij = Yj Xi
mod q
Xj
Xi
= ( α ) mod q
(11)
= α XjXi mod q
L'utilisateur j obtient K ij de la même manière :
(12)
Kij = Yi Xj
mod q
Un autre utilisateur doit calculer K ij à partir de Yi et Yj , par exemple en calculant :
(13)
𝐾𝑖𝑗 = 𝑌𝑖 log𝛼 𝑌𝑗 mod q
Nous voyons ainsi que si les logarithmes modulo q sont faciles à calculer, alors le
système peut être cassé. Bien que nous n'ayons pas de preuve générale de la réciproque
(c-à-d. que le système soit sûr si les logarithmes modulo q sont difficiles à calculer),
nous ne voyons aucune manière de calculer K ij à partir de Yi et Yj sans obtenir d’abord
soit Xi soit Xj.
Ce qui est exploité pour définir la sécurité de ce mécanisme est la dissymétrie de complexité
algorithmique entre une élévation à la puissance et l'opération réciproque qui est le calcul du
logarithme. En 1976, les meilleurs algorithmes de calcul de logarithme discret dans le corps des
entiers modulo q avaient une complexité exponentielle en la taille du plus grand facteur premier de
l'entier q - 1 alors que l'élévation à puissance a une complexité cubique.
Lorsqu'un algorithme sous-exponentiel a été découvert pour le calcul du logarithme dans un corps
fini, Koblitz et Miller ont proposé en 1985, indépendamment d'un de l'autre, l'utilisation d'autres
opérations de groupes finis moins structurés, comme le groupe des points d'une courbe elliptique
sur un corps fini.
L'exponentiation constitue un exemple de fonction à sens unique.
Plus précisément une fonction f est une fonction à sens unique, si pour tout argument x
du domaine de f, il est facile de calculer la valeur correspondante f(x), alors que, pour
presque tous les y dans l'éventail des valeurs de f, il est calculatoirement impossible de
résoudre l'équation 𝑦 = 𝑓(𝑥)pour obtenir un argument x convenable.
La notion de fonction à sens unique est introduite pour résoudre le problème de l'authentification.
La cryptologie n'est plus limitée à sa fonction traditionnelle de confidentialité.
Un second problème, susceptible d'une solution cryptographique, est celui de
l'authentification. Il intervient lorsqu'on souhaite remplacer les communications
d'affaires actuelles par des systèmes de télécommunications. Dans les affaires en
général, la validité des contrats est garantie par des signatures. Un contrat signé sert
comme preuve légale d'un accord que son détenteur peut présenter devant un tribunal si
nécessaire. Mais l’utilisation de ces signatures suppose que ces contrats écrits soient
transmis et conservés. Pour remplacer ce document papier par une solution purement
digitale, chaque utilisateur doit pouvoir produire un message dont l'authenticité est
vérifiable par n'importe qui, mais qui ne peut avoir été produit par personne d'autre,
pas même le destinataire.
Ce type d'authentification est par nature asymétrique. Seul le signataire peut produire une signature
86/92
avec une clé privée qu'il est seul à connaître. Tout le monde peut vérifier la signature ainsi produite
avec une clé de vérification publique et connue de tous.
Ils n'arrivent pas à proposer de telle fonction dans leur article. Il faudra attendre 1978 et la
publication par R. L. Rivest, A. Shamir et L. Adleman, chercheurs au MIT, de leur article A Method
for Obtaining Digital Signatures and Public-Key Cryptosystems, décrivant ce qui allait devenir le
système RSA, pour voir la première description effective de fonction à sens unique avec porte
dérobée. Cette fonction est applicable pour réaliser des signatures électroniques. Pour présenter
simplement, disons que l'élévation au cube modulo un produit n de deux nombres premiers est une
fonction à sens unique lorsque la factorisation de n est inconnue, mais lorsque la factorisation de n
est connue, il est possible d'extraire les racines cubiques avec un algorithme efficace. La
connaissance de la factorisation de n constitue la porte dérobée.
La sécurité n'étant plus que calculatoire, la complexité des algorithmes est un élément crucial pour
déterminer la sécurité d'un système cryptographique à clé publique. L'article introduit les éléments
de théorie de la complexité qui a émergée dans la décennie précédente, en suggérant des pistes de
recherche pour définir des fonctions à sens unique.
On dit qu'une fonction appartient à la classe P (pour Polynomial) si elle peut être
calculée par une machine de Turing déterministe en un temps qui peut être majoré par
une certaine fonction polynomiale de la longueur de son entrée.
Beaucoup de problèmes se présentent en ingénierie, qui ne peuvent être résolus en
temps polynomial par aucun procédé connu, sauf à les exécuter sur un ordinateur doté
d'un degré illimité de parallélisme. Ces problèmes peuvent ou non appartenir à la
classe P, mais appartiennent à la classe NP (pour Nondeterministic Polynomial) (…). Il
est clair que la classe NP contient la classe P, et une des grandes questions ouvertes de
la théorie de la complexité est de savoir si la classe NP est strictement plus grande que
la classe P.
Parmi les problèmes NP certains, comme la satisfaisabilité des systèmes d'équations booléennes
(problème SAT), sont appelés NP-complets, car tous les problèmes NP peuvent s'y ramener par une
réduction dont la complexité reste polynomiale. Tout naturellement Diffie et Hellman suggèrent
d'utiliser ce type de problème prometteur pour la cryptographie.
La cryptographie peut se tirer directement de la théorie de la complexité NP, en
examinant la manière dont les problèmes NP complets peuvent être adaptés à un usage
cryptographique. En particulier, il existe un problème NP complet, appelé problème du
sac à dos, qui se prête bien à la construction de fonctions à sens unique.
Soit y = f(x) = a.x, où a est un vecteur connu de n entiers (a1 , a2 ,...,an ) et x un vecteur
binaire de dimension n. Le calcul de y est simple, il fait appel à une somme d'au plus n
entiers. Le problème de l'inversion de f est connu sous le nom de problème du sac à dos,
il nécessite de trouver un sous ensemble des {ai} dont la somme est y.
Dans la décennie qui a suivi la publication de cet article, une partie de la recherche en
cryptographie a consisté à définir un système à clé publique reposant sur le problème du sac à dos.
Il existe des instances faciles du problème du sac à dos, qui sont appelés des sacs à dos super
croissants. Une fonction à sens unique à porte dérobée est définie à partir d'un tel sac à dos super
croissant, en cherchant à camoufler sa structure super croissante par une transformation algébrique
avec des paramètres secrets qui constituent la porte dérobée. L'espoir est que l'instance camouflée
n'ait pas d'autre résolution que la résolution générale, qui est d'une grande complexité en raison de
la NP-complétude du problème général. Malgré les efforts des chercheurs, aucun de ces systèmes
ne s'est avéré présenter une sécurité suffisante.
9.5
Le RSA
Le RSA a été présenté la première fois au public en août 1977, dans la rubrique des jeux
87/92
mathématiques de la revue Scientific American, animée par Martin Gardner. L'article s'intitulait
A new Kind of cypher that would take Millions of years to Break . Il expliquait le principe de ce
nouveau mode de chiffrement.
Soit un entier N, égal à un produit de deux nombres premiers p et q distincts, et e un entier premier
avec p - 1 et q - 1. L'élévation d'un entier à la puissance e est réalisable avec la connaissance de N,
par contre, l'extraction des racines eème nécessite aujourd'hui encore la connaissance de la
factorisation de l'entier N.
Un défi était adressé aux lecteurs sous la forme d'un entier N de 129 chiffres décimaux, appelé , qui
constituait la clé publique du système. L'entier N, égal au produit de deux nombres premiers qui en
constituaient la clé privée était :
N = 114 381 625 757 888 867 669 235 779 976 146 612 010 218 296 721 242 362 562 561 842 935
706 935 245 733 897 830 597 123 563 958 705 058 989 075 147 599 290 026 879 543 541
Le détail de l'algorithme n'était pas précisé dans l'article par manque de place. Martin Gardner
proposait aux lecteurs intéressés de s'adresser au MIT qui leur enverrait un Technical Memo,
référence MIT/LCS/TM-82, en date du 4 avril 1977, précisant les détails du calcul. Les auteurs
furent surpris de recevoir plus de mille demandes. Beaucoup furent sans réponse. Une version
simplifiée de ce mémoire technique figurera dans l'article de 1978 A Method for Obtaining Digital
Signatures and Public-Key Cryptosystems [31].
Le système RSA a relancé l'intérêt des chercheurs pour les algorithmes de factorisation des entiers.
Des progrès considérables ont été obtenus à partir de cette période.
1644
1926
1971
1982
1988 – 1996
Fermat
Kraitchik
Fractions continues
Crible quadratique
Crible algébrique
exponentielle 𝑂(√ 𝑛)
exponentielle
sans doute exponentielle
sous-exponentielle 𝑂(√ ln𝑛lnln𝑛)
sous-exponentielle 𝑂(𝑘ln𝑛1/3 lnln𝑛2/3 )
avec 𝑘 = (64/9)1/3
L'entier de 129 chiffres qu'on aurait dû mettre des millions d'années à être factoriser l'a été le 24
avril 1994, soit seulement 17 ans plus tard, par une équipe dirigée par Lenstra qui a fait travailler
600 ordinateurs. Les facteurs de l'entier N de l'article de Martin Gardner sont:
p1 = 3 490 529 510 847 650 949 147 849 619 903 898 133 417 764 638 493 387 843 990 820 577
p2 = 32 769 132 993 266 709 549 961 988 190 834 461 413 177 642 967 992 942 539 798 288 533
Les raisons de cette surprenante rapidité à trouver une factorisation qu'on tenait pour impossible
quelques années auparavant tiennent :
-
certes aux progrès mathématiques effectués pour résoudre le problème de la factorisation, mais
surtout,
à l'étonnant progrès de la puissance de calcul des ordinateurs, qui suivait à cette époque une loi
empirique dite « loi de Moore », énoncée pour la première fois dans le numéro du 19 avril 1965
de la revue Electronics par Gordon E. Moore, alors directeur de la recherche et développement à
Fairchild. La version aujourd'hui admise de la loi de Moore est la suivante :
La puissance de calcul des processeurs suit une croissance exponentielle à raison d'un
doublement des performances tous les 18 mois.
Dans l'article original de 1965, Moore écrivait:
La complexité à coût minimal des composants a été environ multipliée chaque année
par un facteur deux. Sans doute, à court terme ce taux de croissance se maintiendra, si
toutefois il n'augmente pas. A long terme, le taux de croissance est un peu plus incertain,
mais il n’y a aucune raison de croire qu’il ne se maintiendra pas pendant au moins dix
88/92
ans. Cela signifie qu’en 1975 le nombre de composants par circuit intégré au moindre
coût sera de 65 000.
Rappelons, pour illustrer la véracité de cette prédiction, que le processeur 68 000, qui doit son nom
au nombre de transistors qu’il contient est apparu en 1979.
La finesse de gravure est par définition la largeur la plus fine d'une bande de silicium qu'il est
possible de graver sur un circuit intégré. Plus la gravure est fine, et plus il est possible de concentrer
un grand nombre de transistors, et donc de fonctions de calcul sur une surface de silicium donnée.
Le tableau suivant, extrait pour partie de [32] montre l'évolution de ce paramètre qui mesure les
progrès dans l'intégration des circuits :
1971
1980
1989
1998
2007
2010
(2014)
10 μ.
3 μ.
800 nm.
250 nm.
90 nm.
32 nm.
(15 nm.)
Jusqu'à 90nm (2007), une augmentation de la finesse s'accompagnait également d'une augmentation
de la fréquence de fonctionnement, jusqu'à environ 4 GHz, ce qui a un impact direct sur la
puissance de calcul.
L'industrie la plus consommatrice de puissance de calcul est celle des jeux vidéo. Ainsi, en 2009,
c'est grâce à un réseau de 200 consoles de jeu « Play Station 3 » de Sony, qu'un record de calcul de
logarithme discret a été obtenu par une équipe de cryptologues de l'école polytechnique de
Lausanne (Suisse). Cette équipe a pu calculer l'index d'un point dans une courbe elliptique définie
sur le corps ℤ/𝑝ℤ, avec 𝑝 = (2128 − 3)/(11 × 6949)en moins de 6 mois de calcul30 .
Depuis 2007, la fréquence des circuits n'augmente quasiment plus en raison de la limitation sur la
puissance électrique consommée qui fait chauffer le circuit. Les gains sur la finesse de gravure ne
permettent qu'une intégration plus grande, ouvrant la voie à des circuits qui comprennent 2 à 8
processeurs, pouvant massivement paralléliser des calculs. Les réalisations suivent d'assez près les
prévisions. Ainsi, en 2004, l’ITRS (Internationa l Technology Roadmap for Semiconductors)
prévoyait d'atteindre en 2010, une finesse de gravure de 45 nm. ([32]).
Il est vraisemblable que les capacités d'intégration de l'industrie de la microélectronique suivra une
croissance exponentielle pendant encore plusieurs années. Les limites physiques, la finesse de
gravure ne pouvant être inférieure à la taille d'un atome, ainsi que la complexité de la conception de
circuits pouvant intégrer plusieurs milliards de transistors rendent délicate la poursuite de cette
croissance à plus long terme.
30 Le
calcul a commencé le 13 janvier 2009, et s'est achevé le 8 juillet 2009, voir http://lacal.epfl.ch/112bit_prime .
89/92
10
Les tendances actuelles de la recherche en cryptologie
Des mathématiques de plus en plus sophistiquées .
La cryptologie contemporaine utilise des mathématiques avancées : géométrie algébrique, courbes
elliptiques et hyper elliptiques, appariement sur les courbes algébriques. Ces mathématiques
permettent de définir des fonctions de sécurité qu'il n'était pas possible de définir avec les primitives
classiques, comme par exemple le chiffrement avec l'identité, où la clé publique est tout simplement
le nom du destinataire.
Une procédure publique et ouverte pour la définition des nouveaux standards.
À l'instar du DES, un appel d'offre international a été lancé en 1998 pour aboutir en 2001 à
l'adoption de l'AES (Advanced Encryption Standard), au terme d'une compétition entre plusieurs
propositions d'algorithme, émanant de diverses institutions du monde entier. Le candidat retenu est
celui émanant de l'Université de Leuven (Belgique).
Des procédures similaires ont lieu aujourd'hui pour définir les nouvelles fonctions de hachage
utilisées dans les protocoles d'authentification et de signature.
La sécurité physique.
Ce n'est plus seulement l'aspect mathématique des fonctions cryptographique qui fait l'objet d'étude
de sécurité, mais également la sécurité physique du dispositif sur lequel sont calculées ces fonctions,
comme par exemple les cartes à puce ou les marqueurs radio- fréquence utilisés sur les passeports
électroniques ou les cartes navigo. La sécurité de vient matérielle. Les paramètres secrets que sont
les clés privées, ou les clés symétriques sont enfouies dans le silicium de composants électroniques
intégrés. Les attaques par canaux auxiliaires reposent sur l'observation de la consommation
électrique ou du rayonnement électromagnétique. Les attaques par fautes stressent le composant
pendant un calcul cryptographique et tentent de retrouver les secrets enfouis.
Un développement du monde virtuel.
La recherche dans le monde académique modélise les comportements sociaux dans le monde des
échanges numériques. Alors que le domaine d'application de la cryptographie est bien-sûr la
sécurisation du système de communications et non les messages particuliers échangés par des
individus, deux noms mythiques de la cryptographie ont vu le jour. Alice et Bob 31 sont des
personnages virtuels idéalisés, représentants typiques des acteurs du monde cryptographique. Les
acteurs de ce monde sont totalement impersonnels. Ils sont algorithmes, devant avoir un avantage
dans un jeu, qui définit les objectifs des joueurs : extraire une information d'un cryptogramme,
forger une fausse signature numérique, discerner un cryptogramme de données aléatoires, etc. Ici
encore, on observe un exemple d'inversion narrative.
Des preuves de sécurité.
Aucune nouvelle fonction cryptographique n'est plus désormais acceptée sans qu'elle ne soit
assortie d'une preuve de sécurité. La sécurité prouvable devient un domaine de recherche à part
entière. On dit qu'un mécanisme cryptographique est sûr si un adversaire contre ce système peut
être utilisé pour résoudre un problème réputé difficile comme la factorisation des entiers ou le
calcul du logarithme discret. L'adversaire, bien qu'appelé Ève 32 , est lui aussi impersonnel. Il n'est
plus qu'un algorithme contre le système cryptographique, et qu'on cherche à utiliser comme sousprogramme d'un algorithme de résolution de problème difficile afin d'apporter la preuve de sécurité.
31
Alice et Bob sont apparus, pour la première fois dans l'article de Rivest, Shamir et Adleman en 1978 [31]
32
De l'anglais to eavesdrop, espionner, et sans doute également en référence au personnage biblique.
90/92
Les mesures de sécurité effectivement mise en œuvre dans le monde réel des communications
humaines sont souvent très en retard sur l'état de la recherche. Des fonctions de sécurité présentant
des faiblesses avérées, comme par exemple la fonction de hachage MD5, font toujours partie des
standards et sont largement utilisées pour protéger des transactions sur internet.
Les applications de la physique quantique.
Dans l'effort de recherche fait pour factoriser les entiers, il a été découvert un modèle de calcul
reposant sur la physique quantique. Il ne s'agit pour l'instant que d'un modèle théorique. On n'a pu
réaliser que des dispositifs expérimentaux de laboratoire sans réel intérêt applicatif. Dans ce modèle,
la factorisation et le logarithme discret sont des problèmes qui ont une solution de complexité
polynomiale.
La solution repose sur le principe de superposition des états quantiques, qui énonce qu'une particule
se trouve, tant qu'elle n'est pas observée, potentiellement dans plusieurs états selon une loi de
probabilité. L'observation des particules projette ses états potentiels dans la direction qu'a donnée
l'observation. Si plusieurs particules sont intriquées, le nombre d'états superposés potentiels est une
fonction exponentielle du nombre de particules, permettant un parallélisme massif des calculs
possibles. Au cours d'un calcul quantique, c'est le nombre d'observation qui devient le critère de
complexité.
Si une telle machine venait à être réalisée, presque tous les mécanismes à clé publique deviendraient
caducs. Une partie de la recherche en cryptologie classique s'intéresse à trouver des mécanismes de
sécurité qui résisteraient à la fabrication d'un tel calculateur.
La physique quantique contribue elle- même à la définition de protocoles cryptographiques en
proposant une sécurité reposant sur les lois de la physique quantique, en particulier :
-
l'indivisibilité du photon,
l'impossibilité de mesurer un état quantique sans le perturber
l'impossibilité de cloner une particule.
La cryptologie quantique assure de nouveau la sécurité inconditionnelle. L'adversaire n'a aucune
information sur les échanges réalisés.
Des entreprises proposent déjà des équipements reposant sur le principe de la physique quantique.
Cependant les hypothèses qui permettent d'établir la sécurité inconditionnelle ne sont en réalité pas
rigoureusement satisfaites, et ces équipements sont vulnérables aux attaques de hackers quantiques.
91/92
Bibliographie
[1] : David Kahn, The Code Breakers, 1996, Scribner
[2] : A. H. Koblitz, N. Koblitz, and A. Menezes, Elliptic curve cryptography: The serpentine course
of a paradigm shift, 2008, eprint archive 2008/390
[3] : Phong Nguyen & Jacques Stern, Cryptanalysis of the Ajtai-Dwork Cryptosystem, 1998,
[4] : Blaise de Vigenère, Traité des chiffres ou secrètes manières d'écrire, 1585
[5] : W. Diffie, M. E. Hellman, New Directions in Cryptography, 1976,
[6] : Charles Sorel, La science universelle, tome 4, De l'usage des idées ou de l'origine des sciences
et des arts et de leur enchaînement, 1647,
[7] : Brigitte Collard, Les langages secrets dans l'antiquité gréco-romaine, 2002, Université
Catholique de Louvain, http://bcs.fltr.ucl.ac.be/FE/07/CRYPT/Intro.html
[8] : Plutarque, La vie des hommes illustres, Chapitre XXIII, La vie de Lysandre
[9] : Aulu Gelle, Nuits Attiques, Livre XVII, Chapitre IX
[10] : Edgar Poe, A few words on secret writing, 1841, Graham's magazine
[11] : Suetone, La vie des douze césars
[12] : Edgar Poe, Le scarabée d'or
[13] : Jules Verne, Mathias Sandorf
[14] : Patrick Hébrard, La cryptologie dans l'histoire, 2001, Édition privée interne ARCSI
[15] : Giovani Battista Porta, De furtivis literarum notis, 1563
[16] : François de Callières, De la manière de négocier avec les souverains, 1716
[17] : Leon Battista Alberti, De Componedis Cyphris, 1466
[18] : Ioannes Trithemius dit Trithème, Poligraphiae libri sex, 1508
[19] : Giovani Battista Belaso, La cifra del Sig, 1553
[20] : Capitaine Baudoin, Éléments de cryptographie, 1939, Ed. A. Pedone
[21] : Auguste Kerckhoffs, La cryptographie militaire, 1883,
[22] : Gaétan de Viaris, Cryptographie, 1888, Publications du journal "le Génie Civil"
[23] : Xavier Amiel, Jean-Pierre Vasseur, Gilles Riggiu, Histoire de la machine Myosotis, 2004,
Actes du septième colloque sur l'histoire de l'Informatique et des Transmissions
[24] : William Friedman, The Index of Coincidence and its Applications in Cryptanalysis, 1920,
[25] : Lester Hill, Cryptography in an Algebraic Alphabet, 1929,
[26] : Claude Shannon, A Mathematical Theory of Communications, 1948,
[27] : Claude Shannon, Communication Theory of Secrecy Systems, 1949,
[28] : Members of the Technical Staff, Bell Labs, A History of Engineering and Science in the Bell
System, 1978, M.D. Fagen Editor
[29] : Horst Feistel, Cryptography and Computer Privacy, 1973, Scientific American
[30] : Ralph Merlke, Secure Communications Over Insecure Channels, 1978, Communication of the
ACM
[31] : R.L Rivest, A. Shamir, L. Adleman, A Method for Obtaining Digital Signature and Public
Key Cryptosystems, 1978,
[32] : Philippe Matherat, Une histoire de la microélectronique, 2007,
92/92
