HISTOIRE DE LA CRYPTOLOGIE - UFR 6 -...
92
1/92 M ATHEMATIQUES , INFORMATIQUE, TECHNOLOGIES, SCIENCES DE L’INFORMATION ET DE LA COMMUNICATION HISTOIRE DE LA CRYPTOLOGIE Philippe Guillot Septembre 2014 Master Mathématiques Fondamentales et Protection de l'Information
Transcript of HISTOIRE DE LA CRYPTOLOGIE - UFR 6 -...
1/92
M ATHEMATIQ UE S , INFORMATIQU E, TECHNOLO GIE S, SCIENCE S DE L’INFORMATION ET DE LA COMMU NICATION
HISTOIRE
DE LA CRYPTOLOGIE
Philippe Guillot
Septembre 2014
Master Mathématiques Fondamentales et Protection de l'Information
2/92
Remerciements
Ce document doit beaucoup à Marie-José Durand-Richard qui, dès 2006, a créé le premier cours d'histoire de la cryptologie au sein du master de Mathématiques Appliquées au Codage et à la Cryptologie de l'Université Paris 8.
C'est également elle qui a été à l'origine des journées d'études sur les enjeux de la cryptologie qui se sont tenues à l'Université Paris 8 les 10 mai 2007 et 22 mai 2008. Ces journées ont réuni de nombreux acteurs présents et passés de la cryptologie et de son histoire.
Qu'elle soit chaleureusement remerciée pour le considérable travail de pionnière d'historienne de la cryptologie qu'elle a effectué.
3/92
Table des matières
1 Repérage des principaux aspects abordés .......................................................................................... 5
1.1 Introduction............................................................................................................................. 5
1.2 La démarche de l'historien des sciences ..................................................................................... 7
1.3 La nature de la cryptologie ....................................................................................................... 9
1.4 Les grandes étapes de l'histoire de la cryptologie. ......................................................................12
2 Les premiers procédés ....................................................................................................................15
2.1 Une tradition de l'écriture secrète .............................................................................................15
2.2 La scytale lacédémonienne ......................................................................................................15
2.3 Le mythe de la scytale .............................................................................................................17
2.4 Le chiffre de César..................................................................................................................17
2.5 Les premières cryptanalyses ....................................................................................................19
2.6 Transpositions ........................................................................................................................22
3 Le chiffre polyalphabétique .............................................................................................................27
3.1 La cryptographie occidentale avant la Renaissance....................................................................27
3.2 La cryptographie diplomatique à la Renaissance. ......................................................................28
3.3 La genèse de la cryptographie polyalphabétique. .......................................................................29
4 L'émergence d'une méthode analytique en cryptanalyse. ...................................................................37
4.1 Les origines ............................................................................................................................37
4.2 François Viète (1540 – 1603) ...................................................................................................37
4.3 Charles Babbage .....................................................................................................................39
4.4 Kasiski ...................................................................................................................................41
4.5 Le chiffre français de 1870 à la première guerre mondiale. ........................................................43
5 La mise en place des réseaux de communication et la mécanisation du chiffrement.............................45
5.1 Contexte.................................................................................................................................45
5.2 Sur le besoin de chiffrer: .........................................................................................................45
5.3 Le télégraphe de Chappe. ........................................................................................................46
5.4 Le télégraphe électrique...........................................................................................................47
5.5 Le téléphone ...........................................................................................................................48
5.6 La télégraphie sans fil (TSF)....................................................................................................48
5.7 Auguste Kerckhoffs (1835 – 1901)...........................................................................................49
5.8 Gaétan de Viaris......................................................................................................................50
5.9 Vernam (1890 – 1960) .............................................................................................................52
5.10 Les machines électromécaniques. .........................................................................................55
6 La rencontre avec les mathématiques ...............................................................................................58
6.1 William Friedman (1891 – 1969) .............................................................................................58
6.2 L'indice de coïncidence ...........................................................................................................59
6.3 Lester Hill (1891 – 1961) ........................................................................................................60
6.4 Reformulation des systèmes anciens.........................................................................................63
6.5 La cryptanalyse anglaise pendant la seconde guerre mondiale. ...................................................64
4/92
6.6 La cryptanalyse de la machine .................................................................................................65
7 Shannon et la théorie de l'information. .............................................................................................67
7.1 Le travail de Shannon pendant la deuxième guerre mondiale......................................................68
7.2 L'analogie entre système de communications et système de confidentialité. ................................69
7.3 Le langage comme un processus stochastique. ..........................................................................70
7.4 L'information et le sens du message. ........................................................................................72
7.5 Les « desiderata » des systèmes de chiffrement selon Shannon. ..................................................72
7.6 La mathématisation de l' ingénierie ...........................................................................................73
7.7 L'entropie ...............................................................................................................................74
7.8 La confusion et la diffusion. ....................................................................................................74
8 La cryptologie à l'âge de l'électronique et de l'informatique ...............................................................76
8.1 Le contexte de la guerre froide .................................................................................................76
8.2 Le développement de l'électronique et de l'informatique ............................................................76
8.3 Cryptographie institutionnelle et gouvernementale ....................................................................78
8.4 Le DES (Data Encryption Standard).........................................................................................79
9 La révolution des clés publiques. .....................................................................................................81
9.1 Contexte.................................................................................................................................81
9.2 Les points marquants de cette période ......................................................................................82
9.3 Les précurseurs .......................................................................................................................83
9.4 Les nouvelles orientations de la cryptographie ..........................................................................84
9.5 Le RSA ..................................................................................................................................87
10 Les tendances actuelles de la recherche en cryptologie ..................................................................90
5/92
1 Repérage des principaux aspects abordés
1.1 Introduction
Outre le fait d'aborder ce domaine particulier de l'histoire des sciences et des techniques qu'est la cryptologie, ce cours s'inscrit dans une démarche pour démocratiser la connaissance du mode de fonctionnement de ce nouveau vecteur au-delà de son simple usage, afin d'en mesurer les enjeux. Il
a principalement pour objectif de :
- donner les moyens aux futurs acteurs de la cryptologie, chargés de la définition et de la mise en
œuvre des systèmes, pour analyser l'impact de leur activité sur le monde ;
- proposer aux futurs enseignants des outils pédagogiques dans ce domaine en pleine évolution.
1.1.1 Omniprésence de la cryptologie aujourd'hui
La cryptologie est aujourd'hui présente partout dans notre quotidien. « L’homme moderne porte sur lui, sans forcément le savoir, un ou plusieurs processeurs cryptographiques » (Jacques Stern) :
Téléphone mobile, carte bancaire, passeport biométrique, carte d'assuré social, carte monéo, passe navigo, carte de TV à péage, clé de démarrage de véhicule, badge d’accès Vigik, carte vitale.
Dans une automobile, le moteur est apparié à l'habitacle par une authentification cryptologique destinée à lutter contre le trafic non contrôlé des pièces et des moteurs.
Les applications téléchargées sur les téléphones portables, les mises à jour en ligne des logiciels sont signées numériquement.
Certaines communications sur internet sont protégées par la cryptologie : transactions du commerce électronique, protection de la vie privée (Pretty Good Privacy).
Nous vivons aujourd'hui un âge d'or de la cryptologie. Il est possible de chiffrer une information avec une garantie quasi absolue de rester hors de portée de tout procédé de décryptement, même si cette affirmation est à considérer avec circonspection.
Le développement de la cryptologie accompagne celui des communications électroniques par réseaux d'ordinateur. Un signe de ce développement est la loi 2000-230 du 13 mars 2000 qui donne une valeur juridique à la signature électronique, et où il est stipulé dans l'article 1316-3 :
L'écrit sur support électronique a la même force probante que l'écrit sur support papier.
1.1.2 La cryptologie n'est pas une activité neutre
Enjeu de pouvoir et de domination
La cryptologie a longtemps été confinée aux cercles militaires et diplomatiques auxquels elle a emprunté un vocabulaire guerrier. On y parle d'adversaire, d'attaque, d'ennemi, de pirate. Les
exemples de textes dans les traités de cryptologie citent souvent des batailles, des lieux de combats, des agents en mission, des espions. Elle est présentée comme une lutte incessante entre codeurs et briseurs de code.
En cachant une information réservée à un destinataire privilégié, elle est un moyen d'exclusion au
service du pouvoir politique, de la force armée ou de la police. Son histoire est jalonnée d’enjeux de pouvoir, d'argent, de violence, de batailles, de mort.
Les activités consommatrice de cryptologie ne sont pas neutres :
- Industrie militaire, missile nucléaire, radiocommunications du champ de bataille ;
- Domaine bancaire, protection des transactions financières et des contrats commerciaux ;
- Industrie de la carte à puce : passeport biométrique, identification, contrôle social.
- Commerce électronique sur internet.
6/92
Instrument de protection de la vie privée
La cryptologie est aussi un moyen de défense et de protection de la vie privée. Elle peut rendre inefficace les écoutes de la police ou des services secrets. Le mouvement Cypher Punk d'inspiration
anarchiste présente la cryptologie comme un moyen pour l'individu de préserver sa vie privée contre l'emprise grandissante de l'État. C'est dans la mouvance de ce mouvement que Philip
Zimmermann a élaboré en 1991 le logiciel PGP (Pretty Good Privacy) pour la protection du courrier électronique, qu'il présente comme un outil au service des droits humains (human right tool).
Par ailleurs, la cryptologie est au cœur d'une opposition entre liberté individuelle et contrôle social, dont les termes sont:
- Une demande croissante dans la sphère publique pour sécuriser les échanges commerciaux ou privés, voire pour créer de nouveaux services,
- La souveraineté des états dans leur mission d'assurer la sécurité des populations et de lutter contre le banditisme et les organisations mafieuses.
Cette tension n'a rien de nouveau dans son principe, mais devient une question cruciale qui s'est manifestée très explicitement dans les années 1990 entre les tenants d'une cryptologie contrôlée par les états, afin d'empêcher qu'elle ne protège les actions des organisations malveillantes, mafieuses
ou terroristes, et les partisans de sa libéralisation, poussés par le développement du commerce électronique.
Certains mouvements politiques revendiquent encore avec force cette libéralisation dans les endroits du globe où elle n'est toujours pas effective, comme en Chine ou en Iran.
Un usage aujourd'hui libre
Jusqu'en 1998, date des premières mesures de libéralisation de la cryptologie, l'usage de la cryptographie était considéré par la loi de la plupart des pays développés, dont la France et les États Unis d'Amérique, comme une arme de guerre, au même titre que les munitions et les explosifs. Détenir illégalement un moyen de chiffrement était passible de condamnations pénales.
Afin de développer le commerce électronique, la « loi pour la confiance dans l'économie numérique » du 21 juin 2004 affirme maintenant dans son article 30:
« L’usage des moyens de cryptologie est libre ».
Cette libéralisation ne s’est pas déroulée sans heurt. En 1991, il était stipulé dans la réglementation française :
Si les nouvelles technologies de l'information et de la communication permettent des
gains considérables en efficacité et en productivité pour les personnes et les entreprises honnêtes, elles profitent également aux organisations criminelles ou terroristes. Dans le cadre de la protection des personnes et des biens, de la sécurité intérieure et de la
défense nationale, l'État doit mettre en place les mesures nécessaires pour éviter que ces technologies ne facilitent, en toute impunité et en toute discrétion, le développement
d'actions ou de trafics illégaux (petite et grande délinquance, terrorisme, mafia, pédophilie, blanchiments d'argent, fraudes financières, espionnage industriel,...).
Réglementation française en matière de cryptologie, SCSSI, 1991
Cette tension se manifeste encore aujourd'hui. Le rapport public d'orientation des travaux de recherche et de développement en matière de sécurité des systèmes d'informations de 2008,
accessible sur www.ssi.gouv.fr/site_article41.html, témoigne encore de cette contradiction. D'une part il y est affirmé la crainte que « ces mêmes dispositifs (cryptographiques) [puissent] également
être détournée de leur objectif pour restreindre les prérogatives de l'état en lui interdisant d'exercer en totalité sa souveraineté », et d'autre part, dans le même document, il est reconnu que « le premier enjeu lié au développement de la société de l'information est celui de la protection de la vie privée.
7/92
(…) C'est aussi celui qui restera le plus important pour assurer la confiance de notre société dans le numérique. »
Les marqueurs RFID (Radio Frequency IDentification tag)1 par leur capacité à lire des informations à distance, sont présentés comme une contribution à l'accroissement de la productivité, mais, en
raison de leur présence dans les pièces d'identité et les cartes de payement, sont également perçus comme une « menace sur la protection de l'identité numérique de chacun ».
On voit se dessiner de multiples réseaux dans la société. L'appartenance à ces réseaux définit l'identité d'un individu. Au sein de ces réseaux, la frontière public/privé se déplace. La cryptologie
agit comme un moyen de confiner une information à l'intérieur d'un réseau particulier, tout comme l'argot, le verlan, au sein de certaines corporations, agit à la fois comme un signe de reconnaissance
et d'exclusion. Citons par exemple, le largonji, né au bagne de Brest au 19° siècle et dont certains termes sont cités dans les mémoires de Vidoq, ainsi que sa variante des bouchers le louchébem.
Les acteurs de la cryptologie doivent avoir conscience des enjeux de leur activité. Interroger l'histoire permet de mettre en perspective les enjeux sociaux et sociétaux d'aujourd'hui.
1.2 La démarche de l'historien des sciences
Le rapprochement des mots histoire et science porte une certaine contradiction. La science est
souvent présentée en dehors du temps avec une prétention à l'universalité. A l'opposé, en histoire, le temps, le contexte, les contingences et les circonstances sont des notions centrales. Le point commun est une interrogation constante de la vérité, et comme pour les sciences, le récit historique
est construit.
Les différentes façons de faire de l'histoire.
Dans l'antiquité, l'histoire apologétique ou hagiographique, biographie des saints, des rois et des empereurs, tels Thucydide – histoire de la guerre du Péloponnèse, et Suetone – la vie des douze césars, raconte l'histoire du vainqueur. L'historien est au service du pouvoir, pour entretenir le
mythe du héros. C'est une histoire peu objective. En histoire des sciences, il existe des récits à la gloire des « génies de la science » qui inventeraient ex nihilo leurs géniales découvertes.
L'histoire chronologique et événementielle est une description des faits dans le temps. En histoire
des sciences, elle est une description de la construction des idées scientifiques. Or un fait historique n'existe pas en tant que tel. Il est construit parce qu'on l'a raconté. Un fait dont on ne parle pas, qui n'est pas transmis, relayé, utilisé, pas ne marque pas l'histoire. L'histoire est construite par son récit
bien plus que par ses acteurs. De même, dans l'histoire des sciences, un texte n'existe que s'il est connu. Il est alors lu, enseigné, utilisé, contredit. Son importance dépend de son impact.
L'histoire contextuelle met en avant le contexte dans l'élaboration et l'émergence de la nouveauté. « Un fait ne prend sens que dans la lumière qui le baigne » (Pierre Lévy, dans La machine univers).
L'idée ne se développe pas pour elle-même. La création de nouveaux savoir n'a jamais eu lieu autrement qu'à partir d'une connaissance antérieure, une connaissance des anciens sur laquelle le
scientifique s'appuie, même si c'est parfois pour la transgresser. Galilée par exemple a affirmé publiquement l'idée de l'héliocentrisme en opposition avec l'institution, idée citée par Archimède qu'il attribue à Aristarque de Samos, apparue probablement aux environs de 280 avant J.C.
Un exemple.
- L'additivité de l'aire sous l'hyperbole a été découvert au 16e siècle par le jésuite belge, Grégoire de Saint Vincent (1584-1667), connu également pour ses travaux sur la quadrature du cercle.
« Si les abscisses d'une hyperbole équilatère croissent en progression géométrique, les
1 Les RFID sont des petits objets qui peuvent être incorporés sur ou dans des objets ou des organismes vivant et qui
peuvent répondre à distance à des requêtes d'identification par radio-fréquence.
8/92
aires des surfaces découpées entre l'hyperbole et son asymptote par les lignes ordonnées correspondantes croissent en progression arithmétique ».
- L'écossais John Napier (1550-1617), connu en France sous le nom de Neper, a introduit le logarithme comme des nombres artificiels qui permettent de transformer des multiplications en
additions pour simplifier les calculs de vitesse. Les logarithmes seront très utilisés par les astronomes, mais aussi par les commerçants et les banquiers pour traiter le problème du loyer de l'argent.
- Le signe de l'intégrale et de la différentielle est dû à Gottfried Liebnitz (1646-1716).
En conclusion, la formule ∫𝑑𝑥
𝑥
𝑥
1= log(𝑥) est une réalisation collective.
Le scientifique ne crée jamais seul, mais toujours dans un contexte social qui lui prépare le terrain.
Le récit de de la création du savoir scientifique s'efforce souvent de minorer environnement afin de mettre en spectacle le miracle de figures humaines supérieures au génie inaccessible à tous.
Les approches internalistes et externalistes
La vision internaliste du développement scientifique tend à négliger l'importance du contexte dans la construction de la science. Selon cette vision, l'idée se développe pour elle-même, donnant à la
science le pouvoir associé à une vérité universelle. Cette position tend par exemple à ignorer que le calcul infinitésimal, c'est développé dans une logique du mouvement, après l'abandon du géocentrisme, et le dépassement de l'idéal de contemplation né dans la Grèce antique.
A l'opposé, la vision externaliste donne une importance majeure aux facteurs externes, qu'ils soient
psychologiques, sociaux, culturels, institutionnels, politiques, économiques, organisationnels, restreignant de ce fait l'autonomie du pouvoir scientifique.
Ce clivage doit être dépassé. Il y a des développements internes, mais aussi des changements de
paradigmes ou de représentation, de façon de penser, marqués, et même induits par le contexte extérieur.
La résonance des faits historiques dans leur succession construit un récit qui donne une direction a posteriori à l'histoire et à l'évolution des idées. Le résultat de cette évolution qu'est la situation
actuelle n'est pas pour autant un but. Il n'y a pas de main invisible, de maître du jeu historique qui guide et manipule les acteurs.
Éviter le regard rétrospectif.
L'histoire récurrente, ou rétro histoire, consiste à développer une vision du passé avec le regard d'aujourd'hui. Elle conduit à une explication des faits historiques à la lumière du futur, alors que ceux-ci sont bien évidemment le résultat d'un contexte particulier et de leur passé.
Un regard par trop rétrospectif conduit à ignorer les conditions de production, ainsi que les idées et les théories qui ont été développées dans un certain contexte, mais qui sont devenues obsolètes et n'ont pas survécu, comme le phlogistique, fluide particulier porteur de la combustion. Cette théorie
développée à la fin du 17e siècle par Georg Ernst Sthal (1659-1734) a été abandonnée suite à l'observation de l'implication de l'oxygène dans la combustion. Pourtant, sa remise en question a été
un élément essentiel du développement de la chimie organique et des phénomènes d'oxydo-réduction.
L'exemple de Kerckhoffs. Auguste Kerckhoffs a écrit un article en 1883 « la cryptographie militaire » dans lequel il a énoncé les desiderata des systèmes cryptographiques, connus aujourd'hui
sous le nom de principe de Kerckhoffs. Il a mis en avant une ligne de partage entre ce qui doit être maintenu secret, et ce qui peut sans inconvénients être connu de l'ennemi. Cette ligne de parta ge a
ensuite été déplacée, tendant à augmenter la partie publique et réduire la partie secrète. La révolution de la cryptologie à clé publique, présentée par Diffie et Hellman en 1976, a marqué le déplacement extrême de cette ligne de partage. Ce n'est pas pour autant que Kerckhoffs doive être
9/92
présenté comme un précurseur des clés publiques, suivant l'élan d'une tendance à vouloir mythifier les esprits géniaux et visionnaires. Ces principes ont été présentés dans le contexte de la professionnalisation de la cryptographie et c'est ce contexte qui permet de comprendre le mieux ce
qui a régit leur élaboration. Kerckhoffs n'a pas développé de nouveauté mathématique, mais c'est le premier à parler de système cryptographique. Cette notion a remplacé la question du message secret
entre deux acteurs particuliers, parce qu'à ce moment-là, le réseau télégraphique se développait, imposant des nouvelles conditions d'exercice des transmissions. La cryptographie ne pouvait plus être une activité personnelle. Elle se professionnalisait.
C'est le contexte qui intervient dans le l'émergence des idées nouvelles. Bien évidemment, le texte
de Kerckhoffs faisait partie de la culture de Diffie et Hellman, et il leur a bien-sûr servi lorsqu'ils ont élaboré la cryptographie à clé publique au milieu des années 1970.
1.3 La nature de la cryptologie
Une activité sociale
La cryptologie s'est développée pour répondre à des besoins manifestes de la société. Elle existe
pour répondre à un besoin social de confidentialité des échanges. Tous les dispositifs rendent in fine un service à des acteurs qui veulent protéger une information, ou pour donner confiance à ces
acteurs qui communiquent sur un espace public. Les relations de ces acteurs s'inscrivent dans la sphère publique ou privée, au sein d'une organisation de la société, et cela bien sûr est du ressort des sciences sociales.
La cryptologie est par définition une activité sociale, et peut ainsi être examinée d'un
point de vue sociologique. Elle est une communication secrète, et la communication est sans doute l'activité humaine la plus variée et la plus complexe. Elle ne comprend pas seulement les mots, mais les gestes, les expressions du visage, le ton de la voix, et même
le silence. Un regard peut exprimer une histoire avec plus de douceur qu'un vers. Foncièrement, toutes les formes de communication sont des ensembles d'arrangements
entre certains sons, signes ou symboles et certaines choses. On doit être partie prenante de ces règles préétablies si on veut communiquer.
Mais toutes les formes de communications ne sont pas toujours connues de tous. Ceux
qui arrivent à connaître un système que ceux autour d'eux ne connaissent pas, peuvent l'utiliser pour communiquer secrètement. Les troupes irlandaises envoyées au Congo
sous mandat des Nations Unies en 1960 parlaient en Gaelic à la radio, et le commandant de l'ONU, le général suédois Carl von Horn a appelé cela le meilleur code du Congo. Il s'agit là de cryptographie par défaut, reposant sur une ignorance fortuite –
une cryptographie défective. La cryptographie effective établit des règles de communications particulières qui dénie l'information à ceux qui, sinon, comprendraient
les messages.
La rétention d'information constitue l'élément essentiel de qu'on appelle le « secret ». Toutes les manifestations du secret, le camouflage, le déguisement, les portes
verrouillées, ont en commun l'idée de base de ne pas communiquer des objets ou des informations. Sa forme extrême est le silence (mis en défaut dans le cauchemar
orwellien dans la forme extrême d'espionnage – la détection et l'interprétation des ondes cérébrales). Une investigation exhaustive du concept de secret, demanderait de comprendre tous les aspects du comportement culturel, (...) parce que le secret est
l'antithèse de la communication, et la communication fait de l'homme un être social. La cryptographie combine cette antithèse en une seule opération; on pourrait la définir en
un mot comme une « communication non communicante ». [1] David Kahn, The Code Breakers, p. 752
10/92
Mathématiques et cryptologie
Si aujourd'hui, la cryptologie constitue indéniablement une branche importante des mathématiques appliquées, il n'en a pas toujours été ainsi. Elle a été pratiquée comme manipulation du langage écrit
avant d'être investie par les mathématiciens. Longtemps, les seules techniques apparentées aux mathématiques se limitaient au comptage pour le décryptement, introduit par les sciences arabes dès le 9° siècle.
L'utilisation explicite des structures mathématiques, et en particulier algébriques en cryptologie semble avoir débuté avec le chiffre de Lester Hill (1890 – 1961) en 1929, qui utilise des matrices modulo 26, taille de l'alphabet latin, initiant un mouvement qui fait aujourd'hui de la cryptologie une activité indéniablement mathématique.
Les mathématiques utilisées aujourd'hui en cryptologie sont l'algèbre linéaire, l'algèbre commutative, les probabilités, les statistiques, la géométrie algébrique, la théorie des nombres. Ces domaines ont principalement été développés au 19e et surtout au 20e siècle.
Réciproquement, certains problèmes mathématiques, en particulier arithmétiques, ont connu un
immense regain d'intérêt avec la cryptologie, et des progrès considérables ont été faits sous son impulsion. Les techniques de factorisation des grands entiers ont progressé avec le besoin d'avérer
la sécurité du système RSA qui repose sur l'hypothèse selon laquelle la factorisation des grands entiers reste un problème difficile.
Autres implications scientifiques et technologiques
Les calculs cryptologiques sont réalisés dans des calculateurs ou des dispositifs spécialement conçus pour cela, et bien sûr la cryptologie investit aussi beaucoup l'informatique tant théorique
qu'appliquée, avec l'algorithmique, la théorie de la complexité, la théorie des automates, les systèmes embarqués comme la carte à puce, les réseaux.
L'évolution récente de la cryptologie fait largement appel aux sciences physiques. Un calcul ne peut plus se détacher du dispositif qui l'exécute. Outre l'électronique numérique, qui intervient dans la
réalisation des calculateurs, de nouveaux modèles d'attaques reposent sur des mesures physiques de consommation, de rayonnement ou de temps de calcul, voire sur l'injection volontaire de fautes.
Des développements récents impliquent également la physique quantique, avec la cryptologie quantique, le calcul quantique pour la factorisation des entiers, et également l'optique pour les liaisons à très haut débit.
La cryptologie ne s'est établie que récemment, au cours du dernier quart du vingtième siècle, comme une discipline académique, au carrefour entre science, société et industrie.
Un art ou une science ?
Certains cryptologues comme Oded Goldreich, dont la contribution concerne principalement la théorie cryptographique, revendiquent avec force le caractère scientifique de la cryptologie. Ceci
pose la question de la nature du savoir dans ce que serait cette science cryptologique. S'agit- il de la recherche d'une vérité cryptologique qui préexisterait à la construction du savoir, comme les étoiles
préexistent à leur classification et leur étude en astronomie, ou comme l'électricité préexiste à sa découverte ?
Les récits modernes affirment également que la science participe à l'émancipation de l'humanité, par la maîtrise de la nature et la libération des contraintes imposée par elle. Grâce à la science, les
hommes n'auront plus jamais faim. Ces récits sont largement mis en question aujourd'hui. Il suffit par exemple de penser à l'écologie, courant destiné à lutter contre les effets destructeurs de l'industrie sur la planète, et en sciences économiques, avec la mise en cause des modèles financ iers qui ont conduit depuis 2008 à une crise économique et sociale majeure.
L'idée d'une vérité, non pas préexistante à sa découverte par les scientifiques, mais qui est le résultat
11/92
d'une construction sociale est largement partagée aujourd'hui (voir par exemple Jean-François Lyotard, La condition postmoderne, 1979).
Ces récits modernes ne s'appliquent finalement pas à la cryptologie, art permettant de construire des dispositifs performants et qui apporteront la confiance et des garanties aux acteurs sociaux. Le
service apporté par la cryptologie est ici davantage d'ordre juridique et symbolique. La question n'est pas de savoir « pourquoi ce système cryptologique approche-t- il la vérité? », mais plutôt
« quels sont les arguments logiques et contradictoires qui permettront d'apporter une preuve de l'authenticité d'un message ? D’assurer que les informations transmises n'ont pas été divulguées ? »
L'inversion narrative. Dans les études historiques, on note souvent un écart important entre l'image qu'une nation ou un groupe a de son passé – le récit historique – et ce que montre
l'enregistrement des faits. Dans les cas extrêmes, il semble parfois que plus le récit est élo igné de la réalité, plus il est répété de manière inflexible et sa validité affirmée. C'est l'inversion
narrative. (...)
L'inversion narrative en cryptologie. La cryptologie moderne peut être vue comme une
science appliquée à l'intersection entre les mathématiques et l'informatique. (...)
Une des raisons pour laquelle la cryptographie comporte un élément subjectif si fort est que la
spéculation en est un élément central. Quand on décide sur le type de cryptographie à utiliser (...), lorsqu'on choisit le type de protocole pour une application donnée (...), on doit faire un pari sur les développements futurs pour évaluer les problèmes fondamentaux de sécurité du
système. On doit se demander : quel type d'adversaire aurai-je des chances de rencontrer, et quel sera probablement son meilleur angle d'attaque? Y aura-il des progrès pour réduire le
temps de résolution d'un problème qu'on suppose aujourd'hui insoluble ? Le calcul quantique deviendra-il praticable ? Quelle nouvelle attaque par canaux cachée sera inventée ? Peut-être est-ce à cause de ces éléments fortement contingents dans ce domaine que les
chercheurs ressentent de plus en plus le besoin de quitter leur domaine pour assurer au public qu'elle [la cryptologie] est en train de devenir une science, que des garanties absolues de
sécurité peuvent être données (« sécurité prouvable »), et que les cryptographes suivent fidèlement le modèle idéal [de recherche et de développement de la science]. (…) En réponse à des commentaires qui interrogent l'affirmation de « sécurité prouvable », et
qui suggèrent que la cryptographie est « plus un art qu'une science », Oded Goldreich rétorque que
« la recherche cryptographique est effectivement une partie de la science » Et dans la préface de leur ouvrage récent, Jonathan Katz et Yehuda Lindell insistent : « ( ...) les constructions cryptographiques peuvent être prouvées sures à l'égard d'une
définition de la sécurité clairement énoncée, et relativement à une hypothèse cryptographique bien définie. Ceci est l'essence de la cryptographie moderne, et qui a changé la cryptographie
d'art en science. L'importance de cette idée ne peut pas être sous-estimée. » Comme dans d'autre cas d'inversion narrative, ces affirmations insistantes font inévitablement penser à ce célèbre vers de Hamlet:
The lady doth protest too much, methinks. (la dame proteste trop, il me semble)
[2] Ann Hibner Koblitz, Neal Koblitz, Alfred Menezes, Courbes elliptiques, le parcours tortueux d'un changement de paradigme, 2008.
La revendication affirmée avec force par certains cryptologue comme Goldreich de l'appartenance de la cryptologie au domaine scientifique apparaît en opposition avec ses développements observé
qui la font apparaître tout autant dans le domaine technique et social, et précisément de plus en plus éloigné du récit moderne d'une science attachée à la recherche de la vérité ou à l'émancipation de l'humanité.
Il est intéressant de rapprocher cette inversion narrative, que décrit Koblitz, de la pureté
revendiquée au dix-neuvième siècle par certains mathématiciens comme Cayley, fondateur de
12/92
l'école britannique moderne des mathématiques pures, à une époque où précisément les mathématiques investissent de plus en plus les applications, et où les mathématiques appliquées connaissaient un développement considérable. Celles-ci prenaient une part de plus en plus
importante dans la formation des ingénieurs. On retrouve la ligne de partage entre des mathématiques dites pures, qui seraient l'œuvre d'esprits uniquement préoccupés de la construction
esthétique d'un savoir abstrait, et d'autres, différentes, qui seraient appliquées et destinées aux ingénieurs chargés de faire fonctionner des machines. Dans ce sens, il est remarquable d'observer que la théorie des nombres, présentée longtemps comme l'archétype des mathématiques les plus
pures, développées uniquement pour l'« honneur de l'esprit humain », investir la cryptologie, et être utilisé pour protéger des ordres militaires ou des transactions financières.
Le développement des preuves de sécurité actuellement en cryptologie semble procéder de cette
inversion narrative. La confiance des acteurs sociaux dans le système d'échanges numériques reste l'objectif essentiel. Les preuves de sécurité sont d'autant plus remise en cause que certains systèmes vulnérables avaient été prouvés sûrs [3], faisant dire ironiquement à certains chercheurs en cryptographie, comme James Massey et Lars Knudsen :
« A system which is provably secure is probably unsecure ».
(Cité par Bart Preenel dans http://homes.esat.kuleuven.be/~preneel/preneel_mmm10v1.pdf)
La recherche de la confiance en un système oscille entre preuve mathématique et résistance objective aux cryptanalyses habiles construites par tâtonnements.
Une preuve mathématique repose sur un modèle, et la question de la pertinence de ce modèle se pose naturellement avec acuité. Finalement, la question de la sécurité restera du ressort de
l'expertise, cette expertise reposant sur l'expérience, en s'appuyant, non seulement sur les aspects mathématiques, mais aussi informatiques, physiques et sociaux. N'oublions pas que l'un des moyens les plus sûrs d'obtenir une information secrète, reste de soudoyer une personne qui en a la connaissance.
L'exemple qui suit montre que la sécurité d'un système ne peut p as se satisfaire de preuves uniquement mathématiques.
Dès le début des années 1980, la cryptologie a été mise à contribution pour protéger le modèle économique des opérateurs de TV à péage, comme Canal-Plus. Dans la décennie 1990 – 2000, les
cartes de TV à péage par satellite de tous les opérateurs ont été piratées à grande échelle. Ce piratage a été le résultat de la conjonction de facteurs complexes:
- La mise à disposition des codes source des cartes et des clés enfouies dans des cartes officielles,
obtenues à l'aide de méthodes physiques très coûteuses par une organisation puissante, dans le but d'affaiblir un concurrent ou de jeter le discrédit sur une technologie, ici la technologie de la carte à puce.
- La découverte de bugs dans le logiciel de ces cartes, et la conception de cartes pirates par une
communauté motivée essentiellement par la gloire. Ces cartes ont ensuite été produites et distribuées par des organisations mafieuses dont le but était clairement lucratif.
- La trop grande confiance des concepteurs originaux des cartes de TV à péage dans la sécurité de leur procédé. De tous temps, les concepteurs de procédés cryptographiques nouveaux ou non,
affirment fièrement « mon code est inviolable ». Dans le cas de la TV à péage, le code était sans doute indécryptable, mais le dispositif dans lequel il était réalisé présentait des failles.
1.4 Les grandes étapes de l'histoire de la cryptologie.
La cryptologie a, jusqu'à une période très récente, été confinée à des cercles très restreints. Sa
diffusion était volontairement limitée. Les ouvrages de cryptologie étaient rares, et leur diffusion était confidentielle. L'absence d'une large diffusion de la connaissance cryptologique rend plus difficile l'élaboration de son histoire.
13/92
Pour cette raison et davantage que dans les autres sciences et techniques, des procédés ont été redécouverts, parfois plusieurs siècles après leur première apparition, et dans d'autres circonstances. Le système cryptographique de Vigenère (1585) a été redécouvert aux 18e par le belge Grondsfeld
et 19e siècle par l'amiral anglais Beaufort, le cylindre de Jefferson a été réinventé par le cryptologue français Etienne Bazerie, etc.
On peut distinguer trois grandes périodes dans l'histoire de la cryptologie.
1.4.1 La cryptologie traditionnelle : le message secret.
La cryptologie a très longtemps consisté au traitement du langage, et plus particulièrement de l'écriture. Elle a fonctionné avec des méthodes artisanales jusqu'au 19° siècle, avec un esprit
bricoleur et dilettante, œuvre d'artisans du chiffre dont elle a conservé le caractère inventif. À l'origine, le secret résidait dans le procédé lui-même, qui suffisait à en faire un savoir-faire protégé.
Ces artisans s'auréolaient volontiers d'une certaine mystique du nombre, propre à la recherche du sens caché.
Étymologiquement, lorsqu'on parle de « chiffre », on se réfère à l'anglais « cipher » qui provient du mot arabe « sifrصفر», désignant le zéro. Le zéro, comme tous les autres chiffres est d'abord un signe,
au sens technique du terme, c'est à dire un outil de désignation nécessaire à la numération de position, avant d'être un nombre.
Les manipulations pratiquée sur la langue sont essentiellement la transposition (mélange des lettres) et la substitution (remplacement d'une lettre par une autre, César). Elles sont pratiquées à l'aide
d'outils qui donne une certaine importance à la gestuelle (grille tournante, cadrant chiffrant d'Alberti, cylindre de Jefferson, réglette de Saint-Cyr).
Cette période est l’âge d’or des nomenclateurs. Ceux-ci consistaient en des dictionnaires, codant chaque mot par un nombre, à des fins à la fois de chiffrement, puisque les nombres étaient
maintenus secrets, et de compression, puisque les mots les plus courants étaient codés par des petits nombres. Le plus fameux est celui de Rossignol, « grand chiffre du Roy » (Louis XIV). Les nomenclateurs ont été utilisés en France à des fins de chiffrement jusqu'à la fin des années 1950.
La cryptanalyse a été introduite par les sciences arabes dès le 9e siècle par Al Kindi (801-873). Elle reposait à cette époque sur l'analyse des fréquences et sur une analyse détaillée du sens, des mots probables, et de l'analyse de la signification dans la langue du texte en clair. Les équipes de
cryptanalystes, jusqu'à la première guerre mondiale étaient constituées de mathématiciens, mais aussi de linguistes, d'amateurs de mots croisés, d'anagrammes et autres manipulations de la langue écrite.
La cryptologie a inspiré de nombreux auteurs en littérature (Edgar Poe, Jules Verne, Conan Doyle).
Le procédé sans conteste le plus abouti de cette période, est le chiffre polyalphabétique connu
aujourd'hui sous nom de chiffre de Vigenère, décrit dans son traité de chiffres, ou secrètes manière d'écrire de 1596 [4]. Ce chiffre est le résultat d'une lente maturation où ont participé à Alberti, Trithème, Belaso, et Porta qui en ont introduit successivement les bases.
Ce chiffre, sur lequel repose la machine Enigma utilisée par l'armée allemande pendant la deuxième guerre mondiale, n'a été décrypté qu'à la fin du 19e siècle, par Babbage, Kasiski, Bazerie et Friedmann.
1.4.2 La cryptologie moderne : protéger le système de communications
Une première évolution majeure intervient avec la naissance des réseaux de communication au 19 e
siècle : le réseau ferroviaire, les canaux fluviaux, mais aussi le télégraphe optique (Chappe) puis électrique, contemporains de la révolution industrielle. Cela s'accompagne d'une professionnalisation de la cryptologie (Kerckhoffs), et du développement de la mécanisa tion, tant pour les procédés de chiffrement (Enigma) que pour la cryptanalyse (Les bombes, Colossus).
14/92
L'augmentation progressive de la puissance de calcul des machines profite à la sécurité du chiffrement, et contribue à rendre les procédés cryptographiques de plus en plus sûrs. Cette période voit apparaître un chiffre mathématiquement indécryptable. Cette période marque, en particulier
avec le développement de la théorie de l'information par Claude Shannon, la rupture du message avec sa signification, non pas que le sens soit exclus, mais il a changé de nature. La question de la
signification d'une information échangée entre les deux protagonistes « n'est pas pertinente » dans cette approche. L'importance est donnée à leur capacité à échanger ces informations de manière fiable et non disséminée sur un réseau de communications. Un système inconditionnellement sûr, le one time pad, ou masque jetable est le résultat de cette théorie.
La cryptologie ne se fait plus sans des moyens de calcul automatiques (ordinateurs, microprocesseurs). Elle est de moins en moins une activité confidentielle, devient académique et
développe des standards (Data Encryption Standard, Advanced Encryption Standard)
1.4.3 La cryptologie contemporaine : le réseau mondial.
La révolution des clés publiques, est datée par l'article fondateur de Diffie et Hellmann « new
directions in cryptography » en 1976. Son émergence est née de la mise en réseau des ordinateurs à grande échelle avec la création et le développement de l'internet. Elle est liée à la mondialisation
des échanges, à un changement d'échelle dans leur nombre, et à la généralisation des réseaux de communication, qui fait que des acteurs économiques doivent traiter d'affaires, de transactions, sans se connaître, ni avoir eu d'accointances préalable.
L'utilisation de fonctions à sens unique, dont la valeur pour un paramètre donné est calculable avec
un algorithme efficace, mais telle qu'il est en pratique impossible de trouver un antécédent, d'une valeur donnée, permettent de localiser le secret là où il est strictement indispensable, c'est-à-dire au déchiffrement.
Le paramètre pour chiffrer peut-être diffusé, connu de tous et publié dans un annuaire. C'est pour
cela qu'on parle de clé publique. Seul le paramètre utilisé pour le déchiffrement doit être maintenu secret. Il est appelé clé privée.
Cette approche dispense les deux correspondants d'échanger un secret préalable. Elle est née du besoin de communiquer confidentiellement avec des correspondants éloignés et avec lesquels il s'agit du premier échange protégé.
Le chiffre n'est plus inconditionnellement sûr, mais repose sur des problèmes mathématiques difficiles, comme la factorisation des entiers, qui est en pratique impossible lorsque le nombre à factoriser devient trop grand. On ne parle plus que de sécurité calculatoire.
Des mathématiques, jusque- là présentées comme pures, comme la théorie des nombres ou la géométrie algébrique, sont très largement utilisées pour mettre en œuvre ces mécanismes. La cryptographie est devenue aujourd'hui un débouché très important dans le monde économique pour légitimer l'activité de recherche des mathématiciens.
Des questions qu'on aurait qualifiées de théoriques et abstraites auparavant, comme la détermination du cardinal des groupes de classe sont aujourd'hui des questions cruciales pour le développement de l'économie numérique.
Une théorie calculatoire de la sécurité se développe, similaire à ce qu'a été la théorie de
l'information pour la sécurité inconditionnelle. Il s'agit d'enrayer la course illimité e entre le codeur et le casseur de code pour, dès la conception d'un nouveau procédé, l'assortir d'arguments attestant de sa sécurité qui assurera la confiance de ses utilisateurs.
15/92
2 Les premiers procédés
2.1 Une tradition de l'écriture secrète
On trouve des traces du changement volontaire des marques et des symboles dans un texte dès l'apparition de l'écriture. Des hiéroglyphes inscrits sur la pierre tombale d u roi Khnoumhotep II2 (XII e dynastie, environ 1900 avant J.C.) ont été volontairement transformés. Il ne s'agissait
vraisemblablement pas de la volonté de rendre inintelligible la description de sa vie, mais plutôt d'une variation sur le langage écrit. Le roi impose ses règles jusqu'au-delà de la mort.
Au cours de la haute antiquité, ces modifications de l'écriture n'étaient vraisemblablement pas motivées par le secret. On a retrouvé dans la Mésopotamie antique des traces de messages très
sensibles, traitant d'espionnage, de préparation d'une invasion prochaine, et qui étaient exprimés en langage clair, sans aucun moyen de chiffrement. Les premières transformations intentionnelles de
l'écriture n'étaient sans doute pas à des fins de confidentialité. L'écriture à cette époque était peu répandue et constituait elle-même un moyen qui limitait l'accès à l'information.
Le camouflage de l'écriture fait partie de la culture et de l'éducation des classes aisées. Citons des exemples empruntés à des sociétés très éloignées.
1. Le Kâma-sûtra est un recueil indien, attribué à l’écrivain indien médiéval Vâtsyâna, écrit entre
les 4e et 7e siècles destiné à la bonne éducation des hommes et des courtisanes. Il est surtout connu pour l'érotisme dans ses descriptions des façons d'honorer les relations charnelles. Mais il
décrit également les 64 arts que doivent connaître les personnes cultivées. Le 45° est consacré aux puzzles de langage et à l'écriture secrète :
« L’art de parler en changeant la forme des mots. Cela se fait de plusieurs façons. Certains changent le début et la fin des mots, les autres ajoutent des lettres inutiles
entre chaque syllabe d’un mot, etc. »3
2. Charles Sorel (environ 1602 – 1674) est un romancier et écrivain érudit français du 17° siècle. Il est l'auteur de plusieurs romans et écrits sur la poésie, la religion, l'histoire, le droit, parfois sous
des noms de plume différents. Il est en particulier l'auteur d'un ouvrage La Science Universelle, écrit de 1644 à 1647, et qu'il considérait comme un cours d'éducation complet. Le chapitre 7 du
livre 4 [6] est intitulé « De L'écriture, de l'orthographe et des chiffres secrets, et des moyens de les interpréter ». Il comprend une dizaine de pages consacrées aux manières secrètes d'écrire et de communiquer qui montrent que Charles Sorel considère comme acquis que l'homme instruit doit être familier avec cet exercice.
2.2 La scytale lacédémonienne
La première trace d'un procédé de dissimulation intentionnel du sens d'un message écrit pour le rendre inintelligible lors d'une éventuelle interception, est la scytale de Sparte. Ce terme désigne le bâton que se transmettent les coureurs lors d'une course de relai aux jeux olympiques.
La scytale est présente dans des textes très anciens : Archiloque (7° siècle avant notre ère), Pindare (518 – 466 avant notre ère), Aristophane (455 – 385 avant notre ère), Tucydide (460 – 399 avant
notre ère) et alii. [7]. Elle est y est toujours présentée comme un support de message écrit.
Ils ne tergiversèrent plus, mais les éphores, lui ayant envoyé un héraut et une scytale, lui dirent de ne pas quitter le héraut, sinon, les Spartiates le déclaraient ennemi public.
Thucydide, I, 131, 1
Son utilisation explicite comme moyen de chiffrement est rapportée par historiens antiques
2 Knoumhotep II était un Normarque, c’est-à-dire un fonctionnaire qui administrait les normes (p rovinces) au nom du
Pharaon. En raison de l’affaiblissement du pouvoir central, cette fonction devenait souvent héréditaire. 3 Gutemberg eBook n° 27 287.
16/92
Plutarque (40 – 120), et Aulu-Gelle (115~120 – 180).
Quand un général part pour une expédition à terre ou en mer, les éphores4 prennent deux bâtons ronds, d'une longueur et d'une grandeur si parfaitement égale, qu'ils
s'appliquent l'un à l'autre sans laisser entre eux le moindre vide. Ils gardent l'un de ces bâtons, et donnent l'autre au général; ils appellent ces bâtons des scytales. Lorsqu'ils
ont quelque secret important à faire passer au général, ils prennent une bande de parchemin, longue et étroite comme une courroie, la roulent autour de la scytale qu'ils ont gardée, sans y laisser le moindre intervalle, de sorte que la surface du bâton est
entièrement couverte. Ils écrivent ce qu'ils veulent sur cette bande ainsi roulée, après quoi ils la déroulent, et l'envoient au général sans le bâton. Quand celui-ci la reçoit, il
ne peut rien lire, parce que les mots, tous séparés et épars, ne forment aucune suite. Il prend donc la scytale qu'il a emportée, et roule autour la bande de parchemin, dont les différents tours, se trouvant alors réunis, remettent les mots dans l'ordre où ils ont été
écrits, et présentent toute la suite de la lettre. On appelle cette lettre scytale, du nom même du bâton, comme ce qui est mesuré prend le nom de ce qui lui sert de mesure.
[8] Plutarque, Vie de Lysandre XXIV
Le grammairien romain Aulu Gelle (Aulus Gellus, 115 à 120 – 180) parle également de la scytale :
Jadis, à Lacédémone, quand l'État adressait à ses généraux des dépêches secrètes qui devaient rester inintelligibles à l'ennemi au cas où elles seraient interceptées, on
recourait à ce stratagème : on avait deux bâtons ronds, allongés, de même grosseur et de même longueur, polis et préparés de la même manière ; l'un était remis au général à son départ pour l'armée, l'autre restait confié aux magistrats, avec les tables de la loi et
le sceau public. Quand on avait à écrire au général quelque chose de secret, on roulait sur ce cylindre une bande de faible largeur et de longueur suffisante, en manière de spirale ; les anneaux de la bande, ainsi roulés, devaient être exactement appliqués et
unis l'un à l'autre. Puis on traçait les caractères transversalement, les lignes allant de haut en bas. La bande, ainsi chargée d'écriture, était enlevée du cylindre et envoyée au
général au fait du stratagème ; après la séparation, elle n'offrait plus que des lettres tronquées et mutilées, des corps et des têtes de lettres, divisés et épars : aussi la dépêche pouvait tomber aux mains de l'ennemi sans qu'il lui fût possible d'en deviner le contenu.
Quand elle était arrivée à destination, le général, qui connaissait le procédé, roulait la bande sur le cylindre identique qu'il possédait, depuis le commencement jusqu'à la fin.
Les caractères, que ramenait au même point l'égalité de volume du cylindre, correspondaient de nouveau, et présentaient l'ensemble d'une lettre complète et facile à lire. Les Lacédémoniens appelaient scytale (σκυταλη) cette espèce de lettre.
[9] Aulu Gelle, Nuits attiques, livre XVII, § IX
Ces deux récits rapportent que la scytale était utilisée à des fins militaires et stratégiques pour
assurer la confidentialité de messages sensibles. Ils diffèrent cependant sur la nature d u procédé employé. Selon Plutarque, la scytale opère une transposition des lettres et des mots, c'est-à-dire un
changement de leur ordre, alors que selon Aulu Gelle, le graphisme des lettres est lui-même rompu, celles-ci pouvant être inscrites sur des portions de lanières décalées.
La première publication d'une cryptanalyse de la scytale est due à l'écrivain américain Edgar Poe dans un conte sur la cryptographie.
Dans aucun des traités de Cryptographie venus à notre connaissance, nous n'avons rencontré, au sujet du chiffre de la scytale, aucune autre méthode de solution que celles
qui peuvent également s'appliquer à tous les chiffres en général. On nous parle, il est
4 Les éphores sont des magistrats lacédémoniens, au nombre de cinq, établis pour contrebalancer l'autorité des rois et du
sénat. Ils étaient élus par le peuple et renouvelés tous les ans.
17/92
vrai, de cas où les parchemins interceptés ont été réellement déchiffrés ; mais on a soin de nous dire que ce fut toujours accidentellement. Voici cependant une solution d'une certitude absolue. Une fois en possession de la bande de parchemin, on n'a qu'à faire
faire un cône relativement d'une grande longueur – soit de six pieds de long – et dont la circonférence à la base soit au moins égale à la longueur de la bande. On enroulera
ensuite cette bande sur le cône près de la base, bord contre bord, comme nous l'avons décrit plus haut ; puis, en ayant soin de maintenir toujours les bords contre les bords, et le parchemin bien serré sur le cône, on le laissera glisser vers le sommet. Il est
impossible, qu'en suivant ce procédé, quelques-uns des mots, ou quelques-unes des syllabes et des lettres, qui doivent se rejoindre, ne se rencontrent pas au point du cône
où son diamètre égale celui de la scytale sur laquelle le chiffre a été écrit. Et comme, en faisant parcourir à la bande toute la longueur du cône, on traverse tous les diamètres possibles, on ne peut manquer de réussir. Une fois que par ce moyen on a établi d'une
façon certaine la circonférence de la scytale, on en fait faire une sur cette mesure, et l'on y applique le parchemin.
[10] Edgar Poe, extrait de « La cryptographie », Derniers contes, 1887
2.3 Le mythe de la scytale
L'utilisation de la scytale comme procédé de chiffrement a été remise en question par plusieurs auteurs (Lilian H Jeffery, The local scripts of Archaic Greece, Oxford University Press, 1961 et Kelly Thomas, the myth of the scytale, Cryptologia, juillet 1998, pp. 244-260), conduisant à ce qu'il
est convenu d'appeler le mythe de la scytale. Pour ces auteurs, la scytale n'est qu'un procédé pour le transport des messages, Kelly Thomas se fondant sur la faiblesse du procédé en matière de camouflage du message. Une étude historique complète de Brigitte Collard (Les langages secrets
dans l'antiquité gréco-romaine, thèse de l'Université Catholique de Louvain, 2004), se référant aux écrits de 18 auteurs de l'antiquité, conclut au contraire que :
« Nous sommes convaincues que la, scytale a été utilisée de façon cryptographique par les spartiates, mais nous pensons que cet emploi d'est doublé d'autres usages qui ont pu endormir les esprits et brouiller les pistes. »
Texte accessible sur bcs.fltr.ucl.ac.be/FE/07/CRYPT/Crypto44-63.html
2.4 Le chiffre de César
Le chiffre de César est un exemple de substitution, c'est-à-dire le remplacement d'une lettre par une autre, par décalage de l'alphabet. Il est mentionné par les historiens Dion Cassius, Suetone et Aulu
Gelle.
Il avait d'ailleurs l'habitude, quand il communiquait un secret par écrit, de remplacer toujours la lettre qu'il aurait dû mettre la première par celle qui, dans l'ordre alphabétique,
vient la quatrième après elle, afin que ce qu'il écrivait ne pût être compris par le premier venu Dion Cassius, Histoire romaine, livre XL, 9
On possède enfin de César des lettres à Cicéron, et sa correspondance avec ses amis sur ses affaires domestiques. Il écrivait, pour les choses tout à fait secrètes, à travers des marques, c'est-à-dire un ordre arrangé de lettres de sorte qu'aucun mot ne pût être reconnu. Si on veut
chercher et s'acharner jusqu'au bout, on change la quatrième lettre, c'est-à-dire un D à la place d'un A et pareillement pour toutes les autres.
[11] Suetone, La vie des douze Césars
5 Suetone (Caius Suetonius Tranquillus, ~70 – ~140) est un érudit romain qui vécut entre le 1er et le 2e siècle, sous le
règne de l'empereur Hadrien dont il fut le secrétaire. Il est connu pour avoir écrit les biographies des empereurs (la vie
des douze césars) et des écrivains (Des hommes illustres).
18/92
Aulu Gelle fait également référence au procédé de César :
Nous avons un recueil des lettres de C. César à C. Oppius et Balbus Cornélius, chargés
du soin de ses affaires en son absence. Dans ces lettres, on trouve, en certains endroits, des fragments de syllabes sans liaison, caractères isolés, qu'on croirait jetés au hasard : il est impossible de n’en former aucun mot. C'était un stratagème dont ils étaient
convenus entre eux : sur le papier une lettre prenait la place et le nom d'une autre ; mais le lecteur restituait à chacune son nom et sa signification ; ils s'étaient entendus,
comme je viens de le dire, sur les substitutions à faire subir aux lettres, avant d'employer cette manière mystérieuse de correspondre.
[9] Aulu Gelle, Nuits attiques, livre XVII, § IX
Ce procédé concerne, on le voit des correspondances privées, pour traiter « ses affaires » alors que les textes décrivant la scytale placent clairement les messages échangés dans le contexte de
campagnes militaires.
César, lors d'une campagne, au cours du siège par les Nerviens (peuple de la Gaule belge) du
quartier d'hiver de Quintus Cicéron, frère cadet de l'orateur et légat de César, utilise une autre technique qu'il décrit lui-même dans la guerre des Gaules:
Il persuade alors un cavalier gaulois, en lui promettant de grandes récompenses, de
porter une lettre à Cicéron. Il envoie celle-ci écrite en lettres grecques, afin que, si elle est interceptée, nos desseins ne soient pas pénétrés par les ennemis.
César, Gaules, V, XLVIII, 3-4
Le procédé de César aurait encore été utilisé pendant la guerre de Sécession par des officiers sudistes, et aussi par l'armée russe en 1915.
Il subsiste encore aujourd'hui sous le nom de ROT13. Il s'agit d'un décalage de 13 positions dans
l'alphabet, qui réalise un codage involutif (chiffrement identique au déchiffrement). Il sert à brouiller le texte dans le réseau usenet (netnews), toujours utilisé pour l'échange d'articles au sein d'une communauté. Il n'y aucun secret dans ce brouillage qui ressemble plutôt à un argot d'internet.
Aulu Gelle présente d'autres méthodes de transmission discrète de messages confidentiels. Ces méthodes consistent à camoufler le message au lieu de le modifier.
J'ai encore lu, dans une vieille histoire de Carthage, qu'un personnage illustre de cette ville (je ne me souviens pas s'il s'agit d'Hasdrubal ou d'un autre) recourut à l'expédient qui suit pour dissimuler une correspondance sur des secrets importants : il prit des tablettes neuves, qui
n'étaient pas encore enduites de cire; il écrivit sur le bois, puis étendit la cire par -dessus selon l'usage, et envoya les tablettes, où rien ne semblait écrit, à son correspondant, qui, prévenu, gratta l'enduit, et lut aisément la lettre sur le bois.
On trouve encore dans l'histoire grecque un autre stratagème, vrai chef-d'œuvre de ruse, et digne des barbares ; il fut imaginé par Histiée, né en Asie, d'une famille assez illustre. Darius y régnait alors. Ce Histiée, établi chez Perses, à la cour de Darius voulait faire passer
secrètement à un certain Aristagoras des nouvelles importantes. Voici le curieux moyen de correspondance, auquel il eut recours : un de ses, esclaves souffrait depuis longtemps des yeux ;
sous prétexte de le guérir, il lui rase toute la tête, et trace des caractères par des piqûres sur la peau mise à nus ; il écrivit ainsi ce qu'il voulait- Il garda l'homme chez lui jusqu'à ce que sa chevelure ait repoussé ; alors il l'envoie à Aristagoras :
- Quand tu seras arrivé, lui dit-il, recommande-lui bien, en mon nom, de te raser la tête, comme je l'ai fait moi-même.
L'esclave obéit, se rend chez Aristagoras, et lui transmet la recommandation de son maître. Celui-ci, persuadé qu'elle ne lui est pas faite sans motif, s'y soumet, c'est ainsi que la lettre
parvint à son adresse. [9] Aulu Gelle, Nuits Attiques, livre XVII, § IX
19/92
Charles Sorel, dans la science universelle [6], parle également des encres invisibles faites d'eau d'alun ou de jus d'oignon pour camoufler un texte écrit.
2.5 Les premières cryptanalyses
La première trace d'une cryptanalyse du chiffre de César serait due au grammairien Valérius Probus de Berytus, l'actuel Beyrouth (fin du 1er siècle) qui a écrit un mémoire sur le chiffre de César et sa manière de le décrypter. Ce texte ne nous est malheureusement pas parvenu. Il est cité par Aulu Gelle6 :
Le grammairien Probus a même publié un commentaire assez curieux sur le sens caché des lettres dans l’écriture de la correspondance de Caius César.
Aulu Gelle, Nuits attiques, livre XVII, § IX
2.5.1 La cryptanalyse arabe
Les premières traces de cryptanalyse nous viennent du monde arabe autour des 8° et 9° siècles. Ce
sont les Arabes qui ont utilisé pour la première fois une méthode qui exploite la fréquence et la rareté des lettres.
Les facteurs qui ont contribué au développement de la cryptologie dans le monde arabe sont:
1. La réalisation d’un gros travail de traduction de l'héritage des civilisations antérieures. Selon les
scientifiques Arabes, la connaissance est un trésor de l'humanité toute entière et on doit accep ter la connaissance d'où qu'elle vienne.
2. Les Arabes ont porté un intérêt dans leur propre langue. La langue arabe a été un facteur
d'unification un vaste empire qui s'étendait de l'Indus à l'Espagne. Ils ont effectué très tôt des études phonétiques sur les voyelles (lettres sonores) et les consonnes (lettres non sonores),
étudié la fréquence des lettres dans les textes, leurs combinaisons possibles et impossibles. Ils ont procédé à des études de syntaxes et de grammaires. Ils ont été parmi les premiers à produire des dictionnaires.
3. La diffusion de la lecture et de l'écriture, aidées par la promotion de la technique de fabrication du papier7. La diffusion du Coran a été un facteur d'alphabétisation de la population. Dans les civilisations antérieures, le faible taux d'alphabétisation a été une des raisons du peu de développement des techniques cryptographiques.
4. Le besoin d'une administration effective dans le monde arabo-musulman, une organisation de l'administration et des correspondances associées au besoin pratique de protéger les affaires de
l'État.
Le premier cryptologue arabe connu est Al Khalil (718~719 – 786~791) qui a écrit un ouvrage aujourd'hui perdu, le « livre du langage secret » (Kitab al mu'amma كتاب المعمى ).
Il a élaboré une sorte de dictionnaire, qui donne les définitions de tous les mots obtenus par permutation des lettres. Par exemple, avec le triplet ح , ل et م , on peut constituer:
sel ملح boutique محل observer لمح
viande لحم prendre حمل rêver حلم
Dès cette époque, le monde arabe semble avoir utilisé des méthodes de chiffrement pour sa politique et son administration.
6Est aedo Probi grammatici commentarius satis curiose factus de occulta litterarum significatione in epistularum Caius
Caesaris scriptura. 7 Les arabes ont acquis la technologie du papier suite à la bataille de Talas (Kirghizstan) en 751, qui marque à la fois la
limite o rientale de l'expansion arabe et la limite occidentale de l'expansion chinoise. Au cours de cette bataille , les
arabes capturèrent des artisans papetiers chinois, et la ville de Samarcande devint alors le premier centre de production
de papier du monde musulman.
20/92
Le premier traité de la cryptologie arabe qui nous soit parvenu est un ouvrage écrit par Al Kindi (801 – 873), célèbre scientifique du Bait al Hikma (maison de la sagesse بيت الحكمة), une sorte d'Académie des sciences très fermée à Bagdad.
Dans le traité d'Al Kindi, figurent déjà les définitions des termes et des notions qui seront au cœur des développements ultérieurs de la cryptologie :
- Obscurcissement (at-ta'miya التعمية). Ce terme désigne la conversion d'un message pour le rendre incompréhensible à ceux qui ne sont pas dans le secret de la méthode, et accessible à ceux qui y sont. L'arabe moderne utilise volontiers le mot at'tashfir ( التشفير ) pour désigner le
chiffrement, qui est dérivé de l'anglais cipher qui a donné chiffre et qui provient de l'arabe sifr .qui signifie zéro ( صفر )
- traduction (at-targjma ترجمةا ) . Ce mot d'origine perse désigne parfois la cryptographie et ses méthodes. Il peut être utilisé dans le sens de cryptanalyse.
- science pour extraire l'obscur ( 'ilmu istikhraj al-mu'mma ى Cela désigne le .(علم استخراج المعمprocédé par lequel un cryptogramme est converti en message clair par une personne qui est ignorante du procédé, ou de la clé utilisée pour le chiffrement.
- Il semblerait que les arabes aient très tôt établi la notion de clé (al-miftah المفتاح) qui est le
système convenu entre deux cryptographes, consistant en un ensemble de lettres, de nombres, ou même de verset poétiques destinés à permettre au destinataire de lire le cryptogramme sans difficulté.
Le chapitre sur la cryptanalyse (subul assinbati al mu'mma سبل اسينبأط المعمئ, moyens pour extraire
l'obscur), les principes décrits sont ceux qui seront en œuvre pendant toute la période traditionne lle de la cryptologie.
1. Les méthodes quantitatives (al kamiya الكميٮة ) consistent à compter les occurrences des lettres dans le texte, mais également des bigrammes (groupements de deux lettres) ou des trigrammes (groupements de trois lettres).
2. Les méthodes qualitatives (al kaïfiya الكيفية ) qui sont liées au savoir de la langue du texte, à la connaissances des lettres qui s'associent et qui ne s'associent pas, à l'étude des combinaisons
possibles et impossibles de lettres, des idiomes de la langues. Les mots probables, les formules convenues, les titres, permettent de deviner le sujet du texte. L'intuition est informée par le travail et la recherche minutieuse, l'expérience et le bagage linguistique. La première phase est la recherche des mots courts. Il s'agit, à cette étape, d'un travail sur la langue.
Beaucoup des textes de ces cryptanalystes arabes ont été perdus et oubliés, puis redécouverts en Europe occidentale à partir du 16° siècle.
Les méthodes de nature statistique naissent dans le contexte d'une administration qui contrôle et connaît la population administrée. Il s'agit d'un outil. Il n'y a pas de mathématiques dans ces
statistiques, seulement du comptage. L'analyse des fréquences est très clairement décrite dans le traité d'Al Kindi. Il contient en particulier la première table de fréquences connue pour une langue à alphabet.
ا 600 ل 437 م 320 ه 273
و 262 ي 252 ن 221 ر 155
ع 131 ف 122 ت 120 ب 112
ک 112 د 92 س 91 ق 63
ح 57 ج 46 ذ 35 ص 32
خ 20 ش 17 ط 15 غ 15
21/92
2.5.2 Une cryptanalyse dans le scarabée d'or
Les étapes de la cryptanalyse des substitutions simples sont à l'œuvre dans le décryptement du cryptogramme qui figure dans la nouvelle le scarabée d'or (the golden bug) d'Edgar Poe [12]. Il
s'agit d'une nouvelle parue en 1843 dans le journal de Philadelphie Dollar newspaper. Cette nouvelle a popularisé la cryptographie auprès du public et consacré les talents de cryptographe d'Edgar Poe. Dans ce récit, une chasse au trésor repose sur un cryptogramme :
53ǂǂ+305))6*;4826)4.)4ǂ);806*;48+8¶60))85;1ǂ(;:ǂ *8+83(88)5*+;46(;88*96*?;8)*ǂ(;485);5*+2:*ǂ(;4956*2(5*-4) 8¶8*;4069285);)6+8)4ǂǂ;1(ǂ9;48081;8:8ǂ1;48+85;4)485+ 528806*81(ǂ9;48;(88;4(ǂ?34;48)4ǂ161;:188:ǂ?;
La nouvelle décrit le décryptement de ce cryptogramme en suivant les étapes présentées par Al Kindi dans son ouvrage. En fait, le décryptement de l'énigme suit presque mot pour mot un article de David A. Conradus, Cryptographia Denudata paru en 1842 dans le Gentleman's Magazine.
1. La première étape est le comptage des occurrences des lettres dans le message :
Le caractère 8 se trouve 33 fois
" ; " 26 " " 4 " 19 " " ǂ et ) " 16 "
" * " 13 " " 5 " 12 "
" 6 " 11 " " + et 1 " 8 " " 0 " 6 "
" 9 et 2 " 5 " " : et 3 " 4 "
" ? " 3 " " ¶ " 2 "
" - et . " 1 "
2. L'étude des mots probables, des combinaisons possibles et impossibles, est l'objet d'un long développement, illustré par le début du décryptement :
Donc 8 représentera e. Maintenant, de tous les mots de la langue, « the » est le plus
utilisé; conséquemment, il nous faut voir si nous ne trouverons pas répétée plusieurs fois la même combinaison de trois caractères, ce 8 étant le dernier des trois. Si nous
trouvons des répétitions de ce genre, elles représenteront très probablement le mot « the ».
La suite de la nouvelle poursuit la description détaillée du décryptement par l'analyse des mots et
des combinaisons les plus probables, en utilisant les particularités de la langue anglaise. Le message clair est finalement :
A good glass in the bishop's hotel in the devil's seat forty-one degrees and thirteen minutes north-east side shoot from the left eye of the death's-head a bee-line from the tree through the shot fifty feet out.8
Dans la nouvelle, ce message secret décrit l'emplacement d'un trésor.
8 Un bon verre dans l'hôtel de l'évêque dans la chaise du diable quarante et un degrés et treize minutes nord-est quart de
nord principale t ige septième branche côté est lâchez de l'œil gauche de la tête de mort une ligne d'abeille de l'arbre à travers la balle cinquante pieds au large.
22/92
2.5.3 Pour résister à l'analyse des fréquences
Une façon de résister à cette analyse des fréquences est de coder les lettres les plus fréquentes comme le e ou le a, de plusieurs façons différentes en alternant aléatoirement le choix du codage.
En contrepartie, les lettres qui peuvent, sans inconvénient pour la compréhension, être remplacées par une autre, comme le j par un i ou un v par un u, sont supprimées. Ce type de substitution à
représentation multiple est appelé.
Ce type de chiffrement s'est développé entre 1500 et 1750. Un
exemple est le code de 1552, utilisé par le connétable Duc de
Montmorency, qui comporte quatre alphabets, chaque lettre pouvant être indifféremment codée
de quatre façons différentes. Ce code subtil comporte également
des symboles nuls afin de dérouter le cryptanalyste.
Un procédé similaire a été utilisé
par l'armée mexicaine jusqu'à la première guerre mondiale.
Chacune des 25 lettres les plus courantes pouvait être codée de quatre façons possibles en un
nombre entre 0 et 99.
2.6 Transpositions
Le chiffrement par transposition consiste à changer l'ordre des lettres du message clair.
« En un mot, les méthodes de transposition sont une salade des lettres du texte clair »
Étienne Bazerie
Le chiffrement Rail fence, utilisé pendant la guerre de sécession, repose sur une transposition qui
consiste à écrire un texte dans un tableau par colonnes, éventuellement en descendant et en montant successivement. Le cryptogramme est constitué en écrivant le texte par lignes.
2.6.1 La grille tournante
La grille tournante ou grille de Fleissner doit son nom du colonel autrichien Edouard Fleissner von Wostrovitz, qui l'a présenté en 1881 dans son ouvrage Hanbuch der Keyptrographie (manuel de cryptographie). C'est ce procédé cryptographique qui est décrit dans le roman de Jules Verne
Mathias Sandorf. La grille tournante trouve son origine dans la grille de Cardan. Jérôme Cardan (1501 – 1576) a en particulier contribué à la résolution de l'équation du 3° degré en introduisant un nombre imaginaire dont le carré vaut −1. Cette subtilité allait avoir de nombreuses conséquences.
2.6.2 Parenthèse sur la stéganographie
Ce procédé n'est pas à proprement parler un procédé cryptologique. Le texte existe sous sa forme claire, mais il est noyé avec d'autres informations. On parle alors de stéganographie.
23/92
On prend un texte imprimé, et la grille de Cardan est placée sur le texte, laissant apparaître des mots ou des lettres qui dévoilent alors un sens différent.
Cette utilisation de la grille de Cardan est rapportée par Porta dans De Furtivis Literarum Notis :
- On dispose d'une grille avec des zones
découpées;
- On rédige le texte dans les trous de la grille;
- La grille est ôtée, puis le texte est rempli avec un texte qui peut être soit aléatoire soit intelligible.
- Le destinataire applique la même grille et retrouve le texte d'origine. La grille de Cardan était très utilisée
dans les communications diplomatiques aux 16e et 17e siècles.
La stéganographie a été utilisée par les espions en temps de guerre, pour
camoufler des messages stratégiques importants sous l'apparence de nouvelles anodines. Le message suivant a été
transmis par un espion allemand pendant le premier conflit mondial ([1] page 521).
President's embargo ruling should have immediate notice, grave situation affecting
international laws. Statement fore-shadows ruin of many neutral. Yellow journals unifying national excitement immensely.9
En prenant la première lettre de chaque mot, on retrouve le message caché10 :
…..................................................................................................................................................
Un second message, confirmant le précédent porte en lui la même information cachée :
Apparently neutral's protest is thoroughly discounted and ignored. Ismam hard hit. Blockade issue affects pretext for embargo on by-products, ejecting suets and vegetable oils.11
9 La décision d'embargo du président devrait avoir effet immédiat. Situation sérieuse mettant en cause les lois
internationale. Cette déclarat ion présage la ruine de nombreux pays neutres. La presse à sensation unifie énormément le sentiment national.
10 John Pershing est le général commandant le corps expéd itionnaire américain en Europe (AEF American
Expeditionnary Force) suite à l'entrée en guerre des États -Unis d'Amérique contre l'Empire Allemand de Guillaume II le 6 avril 1917. Il a en fait quitté New-York le 28 mai 1917.
11 Apparemment la protestation des pays neutres est totalement écartée et ignorée. Is man frappe fo rt. L'issue du blocus
donne le prétexte pour un embargo sur certains produits, sauf suifs et huiles végétales.
24/92
On trouve également de nombreux exemples de stéganographie en littérature. Un des plus fameux est l'échange épistolaire entre George Sand et Alfred de Musset.
Cher ami,
Je suis toute émue de vous dire que j'ai bien compris l'autre jour que vous aviez toujours une envie folle de me faire
danser. Je garde le souvenir de votre baiser et je voudrais bien que ce soit
une preuve que je puisse être aimée par vous. Je suis prête à montrer mon affection toute désintéressée et sans cal-
cul, et si vous voulez me voir ainsi vous dévoiler, sans artifice, mon âme
toute nue, daignez me faire visite, nous causerons et en amis franchement je vous prouverai que je suis la femme
sincère, capable de vous offrir l'affection la plus profonde, comme la plus étroite
amitié, en un mot : la meilleure épouse dont vous puissiez rêver. Puisque votre âme est libre, pensez que l'abandon ou je
vis est bien long, bien dur et souvent bien insupportable. Mon chagrin est trop gros. Accourrez bien vite et venez me le
faire oublier. A vous je veux me sou- mettre entièrement.
Votre poupée
George Sand Quand je mets à vos pieds un éternel hommage,
Voulez-vous qu'un instant je change de visage ? Vous avez capturé les sentiments d'un cœur
Que pour vous adorer forma le créateur. Je vous chéris, amour, et ma plume en délire Couche sur le papier ce que je n'ose dire.
Avec soin de mes vers lisez les premiers mots, Vous saurez quel remède apporter à mes maux.
Alfred de Musset
Cette insigne faveur que votre cœur réclame Nuit à ma renommée et répugne à mon âme.
George Sand
La stéganographie est utilisée aujourd'hui pour introduire des informations cachées dans le contenu multimédia et tenter de lutter contre la copie illégale.
25/92
Hergé, Le lotus bleu, 1934
2.6.3 La grille tournante dans Mathias Sandorf.
La grille tournante repose sur le même principe que la grille de Cardan. Mais en tournant la grille, on fait apparaître la suite du message.
Dans le roman de Jules Verne Mathias Sandorf (1885) [13], c'est au moyen d'une grille, c'est-à-dire
d'un découpage en carton, troué à certains endroits, le comte Sandorf et ses partisans composaient leurs messages. Les extraits ci-après, décrivent l'usage de la grille.
… Cette grille était un simple carré de carton, de six centimètres de longueur par côté, et divisé en 36 carrés égaux mesurant chacun un centimètre environ. De ces 36 carrés, disposés sur six lignes horizontales et verticales, comme ceux d'une table de Pythagore qui
aurait été établies sur six chiffres, 27 étaient pleins, et
neuf étaient vides – c'est à dire qu'à la place de ces neuf carrés, la carte était découpée et ajourée en neuf endroits.
Ce qui importait à Sarcany d'avoir c'était : 1° la dimension exacte de la grille; 2° la disposition des neuf carrés vides.12
(…) Après avoir été découpés avec la pointe d'un canif, ils
furent ajourés, de manière à laisser paraître dans leur vide les mots, lettres ou signe quelconque du billet sur lequel cette grille serait appliquée.
(…) Voici quels étaient les dix-huit mots du billet qu'il convient de remettre sous les yeux du lecteur :
I H N A L Z Z A E M E N R U I O P N
A R N U R O T R V R E E M T Q S S L
O D X H N P E S T L E V E E U A R T
A E E E I L E N N I O S N O U P V G
S P E S D R E R S S U R O U I T S E
E E D G N C T O E E D T A R T U E E
(…) La grille fut appliquée sur cet ensemble de manière que le côté marqué d'une petite croix se trouvât placé en haut. Et alors les neuf cases vides laissèrent apparaître les neuf lettres suivantes :
…...............................................................................................................................
12 C’est une grille identique qui illustre la description de ce procédé dans l’art icle de janvier 1883 d’Auguste Kerckhoffs.
26/92
(…) Sarcany fit alors faire un quart de tour à la grille, de gauche à droite, de façon que le côté supérieur devint cette fois le côté latéral droit. Dans cette seconde application, ce furent les lettres suivantes qui apparurent à travers les vides.
…............................................................................................................................... Dans la troisième application, les lettres visibles furent celles-ci, dont le relevé fut noté avec soin.
…............................................................................................................................... La quatrième application de la grille donna le résultat suivant:
…............................................................................................................................... Même résultat, même obscurité.
(…) « Après tout, ce n'est peut-être pas cette grille -là que les conspirateurs ont employée pour leur correspondance ! » Cette observation fit bondir Sarcany.
« Continuons ! S'écria-t-il. – Continuons ! » Répondit Silas Toronthal.
Sarcany (…) recommença l'expérience sur les six mots formant la seconde colonne du billet. Quatre fois, il ré-appliqua la grille sur ces mots en lui faisant faire un quart de tour.
…...............................................................................................................................
…...............................................................................................................................
(…) Sarcany regarda Silas Toronthal. Puis il se rassit, il reprit la grille et l'appliqua sur les six
derniers mots du billet, machinalement, n'ayant plus conscience de ce qu'il faisait. Voici les mots que donnèrent ces quatre dernières applications de la grille:
…...............................................................................................................................
…...............................................................................................................................
« Du calme, lui dit-il.
– Eh ! s'écria Sarcany, qu'avons-nous à faire de cet indéchiffrable logogriphe !
– Écrivez donc tous ces mots les uns à la suite des autres ! Répondit simplement le banquier.
– et pour quoi faire ?
– Pour voir ! »
Sarcany obéit, et il obtint la succession des lettres suivantes :
…............................................................................................................................... …...............................................................................................................................
…............................................................................................................................... …...............................................................................................................................
– Eh ! Ne voyez-vous pas qu'avant de composer ces mots au moyen de la grille, les correspondants du comte Sandorf avaient préalablement écrit à rebours la phrase qu'ils forment ! »
Sarcany pris le papier, et voilà ce qu'il lut, en allant de la dernière à la première lettre :
…......................................................................................................................................
…...................................................................................................................................... …...................................................................................................................................... …......................................................................................................................................
« Et ces cinq dernières lettres ? S'écria-t-il.
– Une signature convenue ! Répondit Silas Toronthal.
– Enfin, nous les tenons !... »
Jules Verne, extraits de Mathias Sandorf [13]
27/92
3 Le chiffre polyalphabétique
Le chiffre polyalphabétique est né au 15e siècle. Il constitue une avancée considérable dans l'évolution des procédés de chiffrement. Il a vu son apogée avec les machines électromécaniques à
rotor au 20e siècle. Son principe est encore en usage aujourd'hui pour les mécanismes les plus sûrs. Il a été progressivement développé à partir de la renaissance italienne.
Pendant l'ère traditionnelle de la cryptographie, les nouvelles inventions sont souvent le fait d'amateurs qui pratiquent la cryptographie à titre personnel, en dehors de leur activité professionnelle. Les utilisateurs professionnels de la cryptographie que sont les diplomates, les
acteurs de la sphère du pouvoir politique et militaire ont surtout développé une expertise en cryptanalyse. Ils sont surtout mobilisés à résoudre les problèmes terre à terre de mise en œuvre des
procédés qu'ils utilisent. Ceux-ci sont d'ailleurs souvent dépassés pour leur époque. Par exemple, les substitutions simples seront en usage jusqu'au début du 20e siècle. A l'opposé, les amateurs, « ne sont pas prisonniers de la réalité et peuvent évoluer au firmament de la théorie » (David Kahn)
Les cinq acteurs principaux qui ont développé le chiffre polyalphabétique au 15e siècle étaient architecte (Alberti), moine intellectuel (Trithème), clerc proche pouvoir (Belaso), physicien mathématicien naturaliste (Porta) et diplomate (Vigenère).
3.1 La cryptographie occidentale avant la Renaissance.
Les procédés de confidentialité dans l'occident médiéval étaient très rudimentaires. Il s'agissait le
plus souvent de substitutions simples avec des symboles autres que l'alphabet Latin, en espérant que le mystère qui entoure ces symboles suffirait à préserver le caractère secret du message.
Un exemple est l'alphabet des Templiers. L'ordre du Temple est un ordre religieux et militaire issu
de la chevalerie chrétienne au moyen-âge. Ses membres étaient les Templiers. L'ordre a été créé le 22 janvier 1129 à partir d'une milice, les Pauvres chevaliers du Christ et du Temple de Salomé. Il a
œuvré pendant les 12° et 13° siècles pour la protection des pèlerins qui se rendaient à Jérusalem. Il a constitué dans toute l'Europe un réseau de monastères appelés des commanderies, à la tê te d'une fortune immense issue du dépôt des pèlerins et de la production agricole des commanderies. L'ordre
a été dissout par le pape Clément V le 13 mars 1312 après l'arrestation de tous ses membres par Philippe le Bel et un procès en hérésie. Les templiers utilisaient un code pour protéger les lettres de
crédit qui circulaient entre les 9000 commanderies. L'utilisation de cet alphabet suffisait semble- il à assurer la confiance sur l'origine des lettres de crédit (P. Hébrard [14]). L'alphabet est issu de la croix des huit béatitudes qui était l'emblème de l'ordre.
Figure 1 : le code des Templiers (13e siècle)
28/92
Ce type de système a perduré pendant des siècles sous diverses formes. Celui présenté ci-après, appelé parc à cochons, est décrit dès le 16° siècle par Porta dans [15]. Il était utilisé par les francs-maçons au 19e siècle, avant de devenir un procédé très utilisé par les écoliers.
3.2 La cryptographie diplomatique à la Renaissance.
La Renaissance voit naître le développement de l'usage de la cryptographie dans les échanges diplomatiques entre les cours européennes. Pour ces échanges, on a utilisé très longtemps des nomenclateurs. Il s'agissait de répertoires qui permettaient de coder des mots entiers, des noms de
Figure 3 : Chiffre d’Henri IV de 1604
Figure 2 : Le « parc à cochons », procédé bien connu des écoliers
29/92
personnages ou de lieux, ou encore des expressions courantes par des suites de chiffres. Les termes non prévus dans le répertoire étaient chiffrés par une substitution simple.
L'ensemble constitué d'un nomenclateur, de mots nuls et d'un alphabet de substitution simple
constitue ce qu'on appelle un code. Le premier nomenclateur est du à Gabrieli di Lavinde, secrétaire du pape Clément VII. Il fut élaboré en 1379, il était constitué d'une douzaine de termes.
Le chiffre d'Henri IV de 1604 utilise un alphabet constitué d’un ou deux chiffres, éventuellement surligné ou surmonté d'un point. Il s'agit une substitution alphabétique homophonique avec 3 ou 4 homophones par lettre, combiné avec un répertoire pour certains mots courants.
Le grand chiffre du Roy (Louis XIV), élaboré par Antoine Rossignol, contenait 587 groupes. Un petit chiffre de 265 groupes était destiné aux subalternes. Les derniers nomenclateurs étaient encore
en usage après la deuxième guerre mondiale jusque dans les années 1970. Les derniers étaient constitués de plus de 50 000 entrées. Le développement des machines à chiffrer électroniques les a définitivement rendus obsolètes.
Les nomenclateurs avaient autant un rôle de confidentialité que de compression des données, puisque les termes courants pouvaient être codés avec un nombre réduit de chiffres.
3.3 La genèse de la cryptographie polyalphabétique.
Dans une substitution simple, une même lettre est toujours chiffrée de la même manière. L'analyse des fréquences permet de repérer certaines lettres claires qui correspondent à un symbole donné du
cryptogramme. Un des moyens pour fausser ces fréquences et d'utiliser un alphabet homophone, c'est-à-dire la possibilité de chiffrer les lettres les plus fréquentes par plusieurs symboles différents
dans le cryptogramme. Le premier alphabet homophone occidental connu date de 1401. Il fut utilisé dans le duché italien de Mantoue pour correspondre avec Simeone de Crema ([1] page 107). Cette pratique montre une connaissance de l'analyse des fréquences, probablement issue du contact avec
le monde arabe durant les croisades.
Le chiffre polyalphabétique est une autre solution pour résister à l'analyse des fréquences. Comme
son nom l'indique, il invoque plusieurs alphabets. Et comme les différents alphabets utilisent les mêmes symboles, une même lettre du cryptogramme peut représenter plusieurs lettres claires, selon l'alphabet qui est utilisé, ce qui contrarie le cryptanalyste.
Dans le chiffrement polyalphabétique, le choix de l'alphabet varie au cours du message, cassant la fréquence des lettres dans le cryptogramme. Ce chiffrement est d'une solidité considérable. Il sera longtemps considéré comme indécryptable. Il faudra attendre le 19e siècle pour qu'une cryptanalyse
apparaisse. Les procédés de chiffrement modernes sont issus de ces chiffres polyalphabatiques.
Il faudra pourtant attendre près de 400 ans pour qu'il soit généralisé à la cryptographie d’état, où
l'usage des nomenclateurs perdurera jusqu'aux années 1970. Son inconvénient rédhibitoire est la difficulté de sa mise en œuvre par des procédés manuels. Un ancien ambassadeur de Louis XIV, François de Callières, a écrit en 1716 dans un manuel devenu classique à l'usage des diplomates De
la manière de négocier avec les Souverains [16], à propos du chiffrement polyalphabétique :
On a inventé l'art d'écrire avec des chiffres ou avec des caractères inconnus pour
dérober la connaissance de ce qu'on écrit à ceux qui interceptent les lettres, mais
30/92
l'industrie des hommes, qui s'est raffiné par la nécessité et l'intérêt, a trouvé des règles pour déchiffrer ces lettres et pour pénétrer par ce moyen dans les secrets d'Autruy.
On ne parle point de certains chiffres inventés par des régents de collège et faits sur des règles d'algèbre ou d'arithmétique, qui sont impraticables à cause de leur trop grande
longueur et de leurs difficultés dans l'exécution, mais des chiffres communs dont se servent tous les négociateurs et dont on peut écrire une dépêche presque aussi vite qu'avec des lettres ordinaires.
3.3.1 Des acteurs férus d'occultisme.
Beaucoup d'auteurs du 16° siècle qui se sont intéressés à la cryptologie étaient aussi des fervents de
science occulte, d'alchimie13, de magie, fascinés par les secrets de la Kabbale (interprétation juive de la Bible). Le chiffre était entouré de mystère dans la tradition mystique p ythagoricienne selon
laquelle « tout est arrangé selon le nombre ». La nature est pleine de secrets qu'il s'agit de déchiffrer. Le langage est au cœur de cette recherche du sens caché.
Toutes les choses de ce monde ne sont qu'un vray chiffre.
Vigenère, Traité des chiffres.
L'écriture secrète est un usage assez courant à cette époque, et pas seulement pour l'usage politique
et diplomatique. Mais l'usage est réservé à une élite :
L'écriture est double : la commune dont on use ordinairement, et l'occulte secrète qu'on déguise d'infinies sortes selon sa fantaisie pour ne la rendre intelligible qu'entre soi et
ses consachants. Les yeux de l'âme du commun peuple ne sauraient bonnement supporter les lumineux étincellements de la divinité.
(…) Afin de les garantir et soustraire du profanement de la multitude, et en laisser la connaissance aux gens dignes
(… ) à peu de gens divulguez artifices. Vigenère, Traité des chiffres.
3.3.2 Alberti, l'invention du polyalphabetisme.
Né à Florence en 1404, Léon Battista Alberti représente, comme Léonard de Vinci l'idéal de
l'homme universel qui prévalait à la renaissance italienne. Il est le plus connu comme architecte, mais il fut également peintre, compositeur, poète, philosophe, organiste. Il a été l'auteur d'une approche scientifique de la perspective, d'un traité sur la mouche domestique.
Il a été introduit aux problèmes cryptologiques par Leonardo Dato, secrétaire pontifical, qui a comparé le décryptement des secrets de la nature avec celui des lettres interceptées par les espions
du Pape.
Dans le premier essai de cryptanalyse en occident, De Componedis Cyphris, il expose en 1466 une méthode de décryptement de textes en langue latine, reposant sur l'analyse des fréque nces, et en
particulier sur la recherche des voyelles et des consonnes. « sans voyelle, il n'y a pas de syllabe ». Il utilise également les propriétés du latin « lorsqu'une consonne suit une voyelle à la fin d'un mot,
celle-ci ne peut être qu'un t, un s, un x ou encore un c ». Il est vraisemblable qu'il n'ait pas eu connaissance des ouvrages arabes antérieurs sur ce sujet.
Après avoir expliqué comment ces chiffrements peuvent être résolus, il a proposé une solution pour
s'en prémunir qu'il a qualifiée d'incassable : son cadran chiffrant. L'utilisation de ce cadran permet un décalage de César. Le décalage change de temps en temps, repéré par une majuscule dans le
cryptogramme.
13 Les alchimistes étaient à la recherche de la panacée, un remède universe, et de la pierre philosophale qui changeait le
plomb en or.
31/92
Je découpe deux disques dans une plaque en cuivre. L'un, plus grand sera fixe, et l'autre plus petit, mobile. Le diamètre du disque fixe est supérieur d'un
neuvième à celui du disque mobile. Je divise la circonférence de chacun d'eux en 24 parties égales
appelées secteurs. Dans chaque secteur, du grand disque, j'inscris en suivant l'ordre alphabétique normal une lettre majuscule rouge : d'abord A,
ensuite B, puis C, etc. omettant H, K (et Y) qui ne sont pas indispensables [17].
Cela donne 20 lettres, car J, U et W ne figurent pas dans cet alphabet. Dans les quatre secteurs restant, il inscrit les chiffres 1, 2, 3 et 4. Dans chacun des 24 secteurs du disque mobile, il
place:
… une lettre minuscule en noir, non pas dans un ordre normal comme pour le disque
fixe, mais dans un ordre incohérent. (…) On place le petit disque sur le grand de façon qu'une aiguille passée dans les deux centres serve d'axe commun autour duquel tournera le disque mobile [17].
Les lettres du cadran fixe sont écrites en majuscule et représentent les lettres du message clair. Les lettres du cadran mobile sont écrites en minuscule et représentent les lettres du cryptogramme. Les
deux correspondants doivent avoir un cadran identique. Ils se mettent d'accord sur un index repéré par une lettre sur le disque mobile, par exemple la lettre k. Dans le cryptogramme, la première lettre écrite en majuscule, par exemple B, indiquera qu'il faut placer le k en face de cette lettre.
A partir de de ce point de départ, chaque lettre du cryptogramme représentera la lettre fixée au-dessus d'elle. Après avoir écrit trois ou quatre lettres, je peux changer la position de l'indice de façon à ce que k soit par exemple sous le D. Donc dans mon
message, j'écrirai un D majuscule, et à partir de ce point, k ne signifiera plus B, mais D et toutes les lettres du disque fixe auront de nouveaux équivalents [17].
Les suites de chiffres obtenues dans le message clair sont des entrées dans un répertoire pour signifier des mots courants comme dans un nomenclateur. Ainsi, la suite 341 peut signifier Pape. Cela sera chiffré d'une manière à un endroit du cryptogramme et d'une autre à un autre endroit.
Toute nouvelle position du disque conduit à un nouvel alphabet chiffrant, dans lequel le rapport entre les lettres du clair et les lettres du cryptogramme a changé. Il y a autant d'alphabets que de
positions possibles du disque. Le premier chiffre polyalphabétique était inventé.
Toutefois, il était encore imparfait. Sur des petites portions de cryptogramme, le chiffre d'Alberti reste monoalphabétique. Ainsi le cryptanalyste peut exploiter les lettres doubles de certains mots,
comme Papa (Pape), qui seront également des lettres doubles dans le cryptogramme.
EXERCICE : Déchiffrer avec le cadran d'Alberti le cryptogramme : BqxboGqvgiMteRkomcoyvXilya
3.3.3 Trithème et la Tabula Recta
La deuxième étape dans le développement du chiffre polyalphabétique est due à l'abbé allemand Johannes Heidenbert, né en 1462 à Trittenheim, dit Jean Trithème, du surnom Tritemius, similaire à
sa ville d'origine, qu'il s'est donné pour se faire connaître lorsqu'il a fondé une société littéraire.
Il est connu en cryptographie pour être l'auteur en 1528 du premier ouvrage occidental connu en cryptologie Polygraphiae Libri Sex [18], polygraphie en six livres.
Le livre 5 contient la contribution de Trithème au chiffrement polyalphabétique. C'est dans ce
volume qu'apparaît la Tabula Recta, qui est appelée aujourd'hui Table de Vigenère.
32/92
a b c d e f g h i k l m n o p q r s t u x y z w
b c d e f g h i k l m n o p q r s t u x y z w a
c d e f g h i k l m n o p q r s t u x y z w a b
d e f g h i k l m n o p q r s t u x y z w a b c
e f g h i k l m n o p q r s t u x y z w a b c d
f g h i k l m n o p q r s t u x y z w a b c d e
g h i k l m n o p q r s t u x y z w a b c d e f
h i k l m n o p q r s t u x y z w a b c d e f g
i k l m n o p q r s t u x y z w a b c d e f g h
k l m n o p q r s t u x y z w a b c d e f g h i
l m n o p q r s t u x y z w a b c d e f g h i k
m n o p q r s t u x y z w a b c d e f g h i k l
n o p q r s t u x y z w a b c d e f g h i k l m
o p q r s t u x y z w a b c d e f g h i k l m n
p q r s t u x y z w a b c d e f g h i k l m n o
q r s t u x y z w a b c d e f g h i k l m n o p
r s t u x y z w a b c d e f g h i k l m n o p q
s t u x y z w a b c d e f g h i k l m n o p q r
t u x y z w a b c d e f g h i k l m n o p q r s
u x y z w a b c d e f g h i k l m n o p q r s t
x y z w a b c d e f g h i k l m n o p q r s t u
y z w a b c d e f g h i k l m n o p q r s t u x
z w a b c d e f g h i k l m n o p q r s t u x y
w a b c d e f g h i k l m n o p q r s t u x y z
Le mode d'emploi de ce tableau selon Trithème est des plus simples. La première lettre est codée
avec le premier alphabet, la seconde lettre avec le second alphabet, etc. Ainsi, le message clair hunc caveo virum sera-t-il codé par :
hxpf.....................
L'avantage sur le système d'Alberti est que l'alphabet change à chaque lettre. L'ensemble de tous les alphabets possible est utilisé avant d'être réutilisé, ce qui brouille considérablement l'analyse des
fréquences. Par contre, c'est un procédé rigide et finalement assez pauvre. Une fois révélé, le procédé n’a plus aucun secret.
Dans le premier livre, il traite également d'une stéganographie, qui consiste en l'écriture de litanie
reposant sur un alphabet de substitution où chaque mot représente une lettre. Ces alphabets sont connus sous le nom d'ave Maria de Trithème.
A Deus A Clemens A Creans A Coelos
B Creator B Clementissimus B Regens B Coelestia
C Conditor C Pius C Confevans C Supercoeliestia
D Opiflex D Piusimus D Moderans D Mundum
E Dominus E Magnus E Gubernans E Mundana
F Dominator F Excelsus F Ordinans F Nomines
Ainsi, BAC devient Creator Clemens Confevans.
3.3.4 Belaso, et la clé.
Giovan Batista Belaso est assez peu connu. On sait que cet italien est né en 1505 d'une famille
noble de Brescia, et qu'il a servi dans l'entourage du Cardinal de Capri dont il était probablement le chiffreur. Il est l'auteur en 1553 d'un petit livre La Cifra del Sig [19], qui va proposer une évolution
majeure. Il a l'idée de réaliser le chiffrement à l'aide d'un mot, facilement mémorisable et facilement modifiable qu'il appelle le contresigne.
33/92
Ce contresigne peut consister en quelques mots d'Italien ou de Latin, ou de n'importe quel autre langue, et les mots peuvent être en nombre réduit ou important comme on le veut. Ensuite, nous prenons les mots que l'on désire écrire, on les place sur le papier en
ne les écrivant pas trop proches les uns des autres. Ensuite, au-dessus de chaque lettre, on place notre contresigne. Supposons par exemple que notre contresigne est le petit
verset « virtuti omnia parent »14. Supposons également que nous voulions écrire ces mots « Lamarta Turchesca partira a cinque di Luglio »15. Nous allons le placer sur le papier ainsi:
virtuti omnia parent virtuti omnia parent vi lamarta turch escapa rtiraac inque dilugl io
Belaso, La Cifra del sig [19]
La lettre de la clé indique l'alphabet dans lequel chiffrer la lettre du clair. Ainsi la lettre l sera chiffrée avec l'alphabet v, soit f, la lettre a sera chiffrée avec l'alphabet i, soit i, etc.
fi.........................................................................
Ce procédé a été popularisé par Vigenère et c'est lui qui porte aujourd'hui le nom de « Chiffre de
Vigenère ».
3.3.5 Porta.
Giovani Battista Porta (1535-1615) est né à Naples. Il est physicien, mathématicien, naturaliste. Peu
après avoir réalisé un tour d'Europe, il publie la Magia Naturalis qui traite des phénomènes naturels et des phénomènes étranges. A la suite de cet ouvrage, il constitue la première société scie ntifique,
Accademia secretorum qui se préoccupe de magie et d'expérimentation sur ce sujet. Cette société sera ensuite interdite suite à des accusations d'occultisme.
Il publie en 1563 l'ouvrage qui le fera connaître comme cryptologue : De furtivis literarum notis. Il
s'agit d'une œuvre de synthèse sur les chiffres anciens et modernes (Alberti, Trithème, Belaso), la cryptanalyse et les caractéristiques linguistiques pour le décryptement, avec pour la première fois
l'utilisation des mots probables selon le type de lettre que l'on décrypte.
C'est lui également qui introduit la classification des mécanismes de chiffrement, encore en vigueur aujourd'hui, en transposition (mélange des lettres du message clair) et substitution (remplacement
d'une lettre par une autre).
Il est également l'inventeur d'une substitution bigrammique, qui est une substitution simple sur les
couples de lettres, en utilisant un alphabet 400 symboles pour chiffrer tous les couples poss ibles de 20 lettres de l'alphabet latin. Sa contribution au polyalphabétisme a été de réaliser une synthèse entre l'alphabet désordonné d'Alberti et le système polyalphabétique de Trithème et l'utilisation d'un
mot-clé de Belaso.
Les litterae clavis (lettres-clé) sont associées à des alphabets désordonnés pour coder les litterae
scripti (lettres écrites).
L'ordre des lettres (dans le tableau) … peut être arrangé arbitrairement, à condition qu'aucune lettre ne soit omise [15].
Il conseille également l'utilisation de clés longues et de préférence dénuées de sens.
Plus elles seront éloignées de la connaissance commune, et plus grande sera la
sécurité qu'elles apporteront à l'écriture [15].
14 Tout cède à la vertu. 15 L’armée turque se mettra en marche le cinq juillet.
34/92
3.3.6 Cardan invente l'autoclave.
Girolamo Cardano, né à Naples en 1501 a été mathématicien, physicien, astrologue, médecin. Il est connu en cryptologie pour sa grille, utilisé pour camoufler de l'information ( stéganographie), et
également pour avoir inventé le mécanisme autoclave (auto-clé), qui utilise une clé courte et le message en clair lui-même comme clé de chiffrement.
Dans la présentation de Cardan, on utilise le message en clair comme clé pour chiffrer le message lui-même. La clé commence par le premier mot du message en clair.
Soit à chiffrer le message sic ergo elementis avec la table de la page 32 :
Clé s i c s i c e r g o e l e m e n
Clair s i c e r g o e l e m e n t i s
Cryptogramme l r e y a i s x r s q p r f n f
La présentation de Cardan est imparfaite: elle ne permet pas un déchiffrement unique. La lettre l du
cryptogramme peut être aussi bien un s chiffré avec la lettre s qu'un f chiffré avec la lettre f. Et pire, le déchiffreur est exactement dans la même position que le cryptana lyste qui doit deviner quel est le
premier mot du cryptogramme. C'est finalement Vigenère qui corrigera la formulation de Cardan pour conduire à un procédé réellement utilisable et d'une très grande sécurité.
Cardan a été aussi le premier à argumenter du nombre considérable de possibilités à explorer pour
apporter un argument de preuve à la sécurité des procédés de chiffrement. Il a par exemple énuméré le nombre d'alphabets possible pour une substitution simple :
26 × 25 × … × 1 = 403291461126605635584000000
3.3.7 Vigenère, le chiffre indécryptable.
Blaise de Vigenère est né à Saint-Pourçain (France) en 1523. Il n'était pas noble, sa particule vient de ce que sa famille est originaire de Viginaire. Il entre au service du Duc de Nevers en 1547 et y
restera jusqu'à sa mort. Il va à Rome pour une mission diplomatique de deux ans. Il y apprend la cryptologie au contact de la curie papale. Il retourne à Rome comme secrétaire de Charles IX et entre dans le secret des chiffreurs de la curie. Il y rencontre notamment Belaso.
Son apport en cryptologie est le Traité des chiffres et des secrètes manières d'écrire [4] qui est publié en 1586, mais repose sur des travaux antérieurs. Ce traité contient une synthèse des
connaissances de l'époque. Il y expose en particulier qu'il est vain de surchiffrer avec une substitution alphabétique.
Cependant ce n'était autre chose comme n'est aussi l'artifice duquel nous prétendons
parler, sinon qu'un même sujet couvert de plusieurs chiffres réitéré les uns sur les autres (…)
Mais je dirai bien davantage, car non que de trois enveloppes tant seulement, ainsi de
cinquante, voire cent mille, et encore plus jusqu'en infini que ce la s'étend, que puissent être réitérés ces surchiffrements, d'alphabet en alphabet les uns sur les autres, il n'importe de rien auquel de tous vous vous preniez pour le déchiffrer, étant en cela tous
égaux, autant le dernier comme le premier ou second; parce que la disposition des lettres dont est issu le sens qui en résulte, ores qu'elle s'altère de figure, comme pourrait être un a pour un d, son ordre primitif ne se pervertit pas pour cela, que s'il y a deux
mêmes lettres toutes de suite, vous n'en trouviez deux aussi que s'entresuivront; si qu'il demeure toujours arrangé selon son premier établissement, et composition, et sa forme
particulière renclose tacitement dedans soi, preste à s'en expliquer au dehors, tout ainsi que l'espèce de quelque oiseau dans un œuf; et d'un végétal en ses pépins, noyaux, greffes, ou semence, pour s'éclore, germer et poindre hors de leur puissance endormie,
en une réveillée action de leur consemblable. Vigenère, Traité des chiffres. [4]
35/92
Le chiffre que Vigenère propose dans son traité repose sur le carré de Trithème (page 32) et sur le principe d'autoclave de Cardan. Il demeurera non décrypté pendant près de 400 ans.
Son apport réside dans l'amélioration du système autoclave de Cardan par l'utilisation conjointe d'un
mot-clé et du message en clair lui-même pour constituer la clé de chiffrement. Il considérera le mode autoclave sur le clair, qui utilise le message en clair comme clé, et également le mode
autoclave sur le cryptogramme, qui utilise le cryptogramme comme clé.
Soit à chiffrer le message « au nom de l'éternel », en utilisant la table de Trithème de la page 32, si la clé initiale est constituée d'une seule lettre qui est d, on obtient les cryptogrammes suivants :
Autoclave sur le clair:
Clé d a u n o m d e l e t e r n e
Clair a u n o m d e l e t e r n e l Cryptogramme d u h b a p h p p z z x x r p
Il existe également un autoclave sur le cryptogramme. Celui-ci présente l'avantage de fournir une
clé incohérente, mais a l'inconvénient rédhibitoire de laisser la clé à la vue du cryptanalyste.
Autoclave sur le cryptogramme:
Clé d d z l w l o s d h b f y k o
Clair a u n o m d e l e t e r n e l Cryptogramme d z l w l o s d h b f y k o w
Le système autoclave sur le clair est très sûr, mais n'a pratiquement jamais été utilisé en raison de la
grande complexité du déchiffrement et surtout à sa grande sensibilité aux erreurs. Si une erreur
survient au déchiffrement, tout le reste du message devient incompréhensible (voir le texte de François de Callières, page 29).
Ce qui est connu aujourd'hui sous le nom de chiffre de Vigenère est en fait le chiffre de Belaso avec
une clé courte qui est répétée. Ce procédé n'a été résolu qu'au 19e siècle. Il existe des exemples de décryptements réussis, mais seulement parce qu'on avait deviné la clé. Il faudra attendre la fin du
19e siècle pour voir une méthode systématique de décryptement, suite aux travaux de Babbage, Kasiski et Bazerie. La méthode moderne de décryptement, sans mot probable, repose sur la notion d'indice de coïncidence, inventé par Friedman au début du 20e siècle. Pourtant, ce chiffre était
toujours présenté comme indécryptable dans la revue Scientific American en 1917.
Outre que ce qui est connu comme le chiffre de Vigenère est en fait une version plus faible de celui-
ci, cette méthode de chiffrement polyalphabétique a été régulièrement réinventée pendant les siècles qui ont suivi, sans doute en raison de la faible diffusion des connaissances cryptologiques.
- Chiffre de Grondsfeld. Le belge José de Bronkchorst, comte de Grondsfeld était un homme de
guerre et un diplomate. Vers 1734, il a cru mettre au point son propre système de chiffrement qui consistait en une amélioration du chiffre de César. La clé consiste en un nombre qui désigne
le décalage à faire opérer successivement et cycliquement aux lettres du cryptogramme. Ainsi, avec 1734 comme clé, la première lettre sera décalée d'un rang, la seconde de 7 rangs, la troisième de 3 rangs, la quatrième de 4 rangs, la cinquième d'un rang, etc. Il s'agit finalement
d'une version limitée du chiffre de Vigenère. On trouve le chiffre de Grondsfeld dans le roman de Jules Verne La Jangada. L'auteur y décrit le décryptement par mot probable, la clé est
retrouvée grâce à la signature de l'auteur du cryptogramme.
- Chiffre de Beaufort. L'amiral anglais Sir Francis Beaufort (1774—1857) est connu pour son échelle des vents. Le chiffre de Beaufort a été publié après sa mort par son frère. Il aurait en fait
été inventé par Jean Sestri vers 1710. Il s'agit d'une variante du chiffre de Vigenère. Le chiffrement et le déchiffrement sont simplement inversés.
- Variante à l'allemande. Cette variante date du début du 20° siècle. Le chiffre de Vigenère pouvait alors être interprété comme l'addition modulo 26 de la lettre clé avec la lettre du texte.
36/92
La variante à l'allemande consiste à soustraire modulo 26 la clé du message en clair. Cette variante a l'avantage de rendre la procédure de chiffrement identique à la procédure de déchiffrement.
- La réglette de Saint-Cyr. En raison de la difficulté et de la sensibilité aux erreurs, on a imaginé des procédés mécaniques pour simplifier la tâche du chiffrement et du déchiffrement. La réglette
de Saint-Cyr est de ceux- là. Elle est constituée d'une réglette coulissante sur laquelle est écrit l'alphabet. Elle doit son nom à l'académie militaire française qui porte ce nom, et où elle était en usage entre 1880 et le début du 20e siècle.
- Le cylindre de Jefferson. Le futur président des États Unis d'Amérique, Thomas Jefferson (1743-1826), était un écrivain, agriculteur, architecte, diplomate et homme politique. Alors qu'il
était secrétaire d'état de George Washington, il mit au point un dispositif mécanique qu'il a appelé le Wheel Cipher constitué de 26 disques sur la tranche desquels était imprimé un alphabet désordonné. Pour chiffrer un message, on fait tourner les roues de manière à faire
apparaître le message. Le cryptogramme est constitué de l'une quelconque des séquences des autres lettres. Pour déchiffrer, il suffit de disposer du même cylindre constitué des mêmes 26
disques, d'aligner le cryptogramme et de lire le seul texte qui semble avoir un sens parmi les autres alignements. On peut changer de clé en changeant l'ordre des cylindres. Il s'agit d'un chiffrement similaire au système de chiffrement proposé par Porta. Ce dispositif a lui-même été
réinventé par Étienne Bazerie en 1891 et par le colonel italien Durcos en 1900. Une variante de ce cylindre, le cylindre M-94, amélioré par le colonel Joseph O. Mauborgne, a été utilisé par l'armée américaine entre 1922 et 1942.
Figure 4. Le cylindre de Jefferson
37/92
4 L'émergence d'une méthode analytique en cryptanalyse.
L'évolution des méthodes de cryptanalyse des procédés traditionnels monoalphabétique, puis
polyalphabétiques montre l'utilisation progressive de méthodes analytiques, qui font appel au raisonnement et conduisent à une procédure systématique. Ces méthodes utilisent la structure du langage davantage que la signification particulière du message, elles s'opposent, sans être
exclusives, aux méthodes intuitives qui ont recours à la notion de mot probable, notion davantage liée au contexte et au sens du message.
4.1 Les origines
Les Arabes, avec Al Kindi, ont jeté les bases de la cryptanalyse des substitutions simples. Ils faisaient déjà appel à une méthode systématique reposant sur la structure de la langue, avec le
comptage des caractères et une approche linguistique reposant sur l'étude des combinaisons possibles et impossibles des lettres.
Ces techniques apparaissent en occident avec Porta, qui va également innover en introduisant la
méthode du mot probable.
Le travail de la cryptanalyse est d'abord présenté comme une tâche difficile et laborieuse, faisant davantage appel à l'habileté du cryptanalyste, son acharnement, voire sa chance, qu'à une
quelconque méthode déductive. Voici ce qu'écrit Vigenère sur la difficulté et vanité du décryptement :
Baptiste Porte Napolitain en un juste volume à part, intitulé, De furtiuis literarum notis,
où toutefois ce à quoi il insiste le plus, est d'enseigner les moyens de déchiffrer sans alphabet, exercice certes d'un inestimable rompement de cerveau, et en fait un travail tout inglorieux, joint qu'avec toutes les règles et maximes qu'on en peut donner, dont il y
en a à la vérité qui y apportent beaucoup de lumière, il se trouvera à l'encontre assez de manières de chiffres du tout inexpugnables et invincibles, à qui n'en aura le secret.
[4] Vigenère, Traité des Chiffres
L'étude de l'histoire de la cryptanalyse est délicate en raison du faible nombre de documents publiés
par les acteurs eux-mêmes. Il est en effet maladroit de rendre publique la connaissance du code de l'adversaire, sous peine de voir celui-ci changer son procédé de chiffrement. Les méthodes de
décryptement sont bien plus sensibles que les méthodes de chiffrement elles-mêmes.
Les mathématiques n'investissent pas encore la cryptologie, qui reste très liée au langage écrit, mais beaucoup de cryptanalystes sont également de grands mathématiciens (François Viète, John Wallis
(1616-1703) à qui on doit le symbole , Charles Babbage). Ils vont contribuer à apporter à la cryptanalyse des règles de décryptement qui en font une méthode proche du raisonnement déductif
pratiqué en mathématiques.
4.2 François Viète (1540 – 1603)
De formation juridique, François Viète a été l'avocat des grandes familles protestantes, avant de devenir conseiller au parlement de Rennes sous Charles IX, puis maître des requêtes ordinaires de
l'hôtel du roi sous Henri III. Il devient membre du conseil du roi Henri IV et son déchiffreur.
Fort de ses premiers succès de décryptement, il doit décrypter une quantité de plus en plus importante de messages, jusqu'à plus d'une dizaine de liasses par mois. Ce nombre le conduit à se
faire aider par Charles de Lys, pour préparer la transcription.
Parallèlement à ces charges au service de l'état, il mène une carrière de mathématicien qui le fait
reconnaître comme un fondateur de l'algèbre symbolique. Il est l'un des premiers cryptologues à proposer une méthode analytique et systématique pour révéler les messages chiffrés.
38/92
Il est sans doute l'auteur de nombreux codes utilisés à cette époque (code de Sully de 1599, code d’Henri IV de 1604). Ces codes sont constitués de substitutions homophones, de lettres nulles et d'un répertoire pour coder des mots entiers, des expressions, des noms propres.
Du fait de sa confession protestante, le roi Henri IV luttait contre la ligue catholique soutenue par le roi d'Espagne Philippe II. Plusieurs lettres écrites par Jean de Moreo, officier de la Ligue à
Philippe II et à son ambassadeur en France ont été interceptées, et proposées à Viète pour décryptement, ce qu'il réussit à faire. Ces lettres montraient que le Duc Charles de Mayenne projetait de devenir roi à la place d’Henri IV. C'est sans doute à la demande d'Henri IV que Viète
publia leur contenu en 1590, ce qui permit à Henri IV d'obtenir un compromis lui permettant de conserver le trône. L'avantage obtenu semblait visiblement plus fort que la révélation que le chiffre
du roi d'Espagne était compromis. Le dernier mémoire que Viète a publié en 1603, à la fin de sa vie, traite de la cryptographie, et il y décrit en particulier sa méthode.
Je n'ai point caché la voie que j'ai tenue, mais j'en ai toujours ouvert la lumière à ceux qui se sont adressés à moi de la part du Roy. Et si ce service a profité ou non, nul ne le
sait mieux que M. de Mayne auquel par le commandement de sa Majesté, plusieurs paquet furent fait voir afin qu'il connût la conspiration que ses partisans mêmes
faisaient contre lui.
Le roi Philippe II a porté plainte auprès du Pape, accusant Viète d'utiliser la magie pour lire ses lettres chiffrées. Cette accusation est restée sans suite. Le Pape disposait également de déchiffreurs
sachant lire les lettres du roi d'Espagne et savait que la magie n'y était pour rien. Philippe II n'a pourtant pas changé son code.
L'apport essentiel de Viète à la cryptanalyse est de proposer une méthode analytique. Elle repose
sur l'assertion suivante qu'il appelle « la règle infaillible » :
REGLE INFAILLIBLE : Parmi trois lettres consécutives, on trouve toujours une ou plusieurs des cinq voyelles A, E, I, O ou U. En d'autres termes, jamais trois consonnes ne se suivent.
Cette propriété est presque toujours satisfaite en espagnol. Même si elle l'est moins en français, sa vraisemblance est suffisante pour mener un décryptement.
Le premier travail de Viète face à un cryptogramme sera de rechercher les voyelles. C'est sans
doute son expérience de cryptanalyste qui, dans son élaboration de l'algèbre symbolique, l'a conduit à désigner les inconnues par des voyelles, convention qui sera plus tard remplacée par l'usage actuel,
introduit par Descartes, d'utiliser les lettres x, y, et z.
EXEMPLE16 : t y e n l p y e n l q w q y f y k l m l q t y h g m j w n k k y j m f o g g w g x y k y w j y l k q a f y z j n f w g q k u q y l y
On examine les triplets successifs qui n'ont pas de lettre en commun : tye nlp qwq hgm. On repère ainsi 11 lettres. Tous les autres triplets contiennent au moins une de ces 11 lettres. On en déduit que
les 5 voyelles sont parmi ces 11 lettres.
Le premier triplet qui fait intervenir deux autres lettres que les 11 précédentes est fyk. Il contient une voyelle qui n'est donc ni f, ni k. Cela conduit à conclure que y représente une voyelle.
Un raisonnement similaire permet d'identifier les 5 voyelles. Dans ce raisonnement, la signification du texte n'a pas été prise en compte. Il s'agit d'une relation entre les symboles. Pour cette raison, on
peut qualifier la méthode de Viète d'algébrique.
Une fois ces voyelles déterminées, le bon sens, l'intuition et le rompement de cerveau interviennent à nouveau, faisant appel au contexte et au sens du message.
16 Cet exemple est extrait de l'art icle de Jean-Pau l Delahaye dans « Pour la Science » n°313 novembre 2003, Viète,
inventeur de la cryptanalyse mathématique.
39/92
EXERCICE :
1. Quelles sont les autres lettres du cryptogramme qui représentent des voyelles ?
2. Terminer le décryptement.
Viète n'abandonne pourtant pas complètement le recours à la signification. Dans son mémoire de 1603, il utilise le terme chiffres essentiels pour désigner les nombres qui ne sont pas chiffrés dans
un message, contrairement aux autres caractères. La connaissance de ces valeurs permet de présumer du terme qui suit. Ainsi, dans un message militaire, 4 000 sera probablement suivi par le
mot fantassin, et 50 par le mot cavaliers alors que dans un message où il est question de commerce, 100 000 désignera plus vraisemblablement des ducas (unité monétaire). Autour d'un nombre proche d'une année, on trouvera probablement le nom d'un mois, etc.
4.3 Charles Babbage
Charles Babbage (1791 – 1871) est honoré par les informaticiens comme auteur des plans de la
machine analytique, première machine de calcul mécanique conçue pour être programmable. Il est surprenant d'observer la similarité avec l'architecture des ordinateurs actuels. Babbage est
également à l'origine de l'École Algébrique Anglaise. Il est politiquement proche des Whigs (centriste libéraux), voire des radicaux et participe au vaste mouvement de réformes qui place la science au cœur des institutions.
Le contexte économique et politique du travail de Babbage est celui de la révolution industrielle. Il nait dans une Angleterre rurale, et à la fin de sa vie, l'Angleterre est devenue industrielle. Il a vécu
cette transformation violente et agitée, faite de crises sociales, d'émeutes, avec des projets d'assassinat de ministres, des massacres d'ouvriers (Peterloo, 16 août 1819). Des villages comme Manchester et Liverpool deviennent des villes.
Charles Babbage a eu une activité constante et reconnue en cryptographie de 1831 à 1870, en particulier en cryptanalyse.
Le décryptement est l'un des arts les plus fascinants, et je crains d'y avoir dépensé plus
de temps qu'il ne le mérite. Babbage, Extrait de The Life of a Philosopher, 1864.
Cette activité est une pratique courante dans les milieux proches du pouvoir. Elle est faite à la fois de délassement, de secrets intimes et de diplomatie. En cette fin de 19e siècle, la haute société anglaise utilise des moyens rudimentaires de chiffrement pour communiquer par petites annonces
dans les Agony Columns du journal The Times, et également pour protéger leurs messages du regard indiscret des employés du télégraphe.
On trouve les traces du projet de publication d'un ouvrage Philosophy of Deciphering, qui ne restera qu'à l'état de manuscrit. Son objectif était de présenter les éléments d'une histoire conceptuelle du déchiffrement, inventaire des méthodes des plus simples aux plus compliquées. Il présente des
indications sur l'histoire britannique de la cryptologie. Cet ouvrage a été préparé, mais non publié. Babbage était un esprit actif et inventif, et ce caractère est peu compatible avec la publication qui
implique de figer l'état des connaissances et donc l'arrêt du processus de découverte, le temps du travail de rédaction. De 1853 à 1856, l'Angleterre est impliquée dans la guerre de Crimée, Babbage est un proche de l'amiral Beaufort, et cette raison a été suggérée pour expliquer la non publication
de l'ouvrage qui aurait livré des secrets sur les méthodes de chiffrement anglaises.
Activité cryptologique de Babbage.
1831 – 1833 : Il pratique des jeux de chiffrement en particulier de l'autoclave avec le géologue William Henry Fitton (1780 – 1861) et sa sœur Mrs. Jane.
1835 : Il décrypte pour l'astronome Francis Baily une lettre datant de 1721 ou 1722, écrite par Sharp, l'assistant de John Flamsteed qui était astronome royal. Baily devait établir l'exactitude des
40/92
observations de Flamsteed à l'observatoire de Greenwich. Or Flamsteed fait vaguement allusion à une erreur de division dans un calcul d'arc. Il devenait nécessaire pour Baily de chercher d'autres documentations afin de déterminer l'erreur avec précision. En cherchant les lettres originales
manuscrites de Sharp, il a trouvé une lettre du 27 janvier 1721 – 22 d'un certain Mr. Crosthwail qui signale l'existence d'une telle erreur. Baily raconte :
Sharp avait comme à son habitude, écrit en sténo au dos de la lettre, et mon travail était de déchiffrer cette réponse. J'ai fait appel à x gentlemen sans succès. J'en ai parlé immédiatement à Babbage qui a réussi à obtenir la clé de l'alphabet,
ce qui a permis de connaître le point de vue de Sharp sur cet intéressant sujet.
La lettre déchiffrée a permis à Baily de découvrir que les erreurs provenaient de la table de
réfraction de Flamsteed, ce qui ne laissait aucune raison de croire que l'arc était mal divisé.
1846 : Décryptement du chiffre de Vigenère. Babbage avait une jeune sœur Mary Anne avec qui il a été très lié toute sa vie. Pour amuser ses neveux, il les initie à la cryptologie. En retour, ils l'aident à
élaborer des dictionnaires de déchiffrements. Babbage éveille un intérêt qui se maintiendra quand ils seront adultes. En février 1846, son neveu Henry Holliers le met au défi de résoudre un chiffre
de Vigenère fondé sur un alphabet conventionnel.
PYRI ULOFV
POVVMGN MK UO GOWR HW LQ PGFJHYQ
OJAV MSN WIJHEEHPR BRVGRUHEGK, EFF WJSR RVY
CPOY VSP, PX OKLN PI XXYSNLA SELF XG
FEEWTALV LJIU, WR MOI EGAP HMFL ML YINZ
TNGDDG YQIV UYEAP-BQL
WJQV PGYK STRITLMHFOFI
EWTAWK
TIEJC
Le cryptogramme est divisé en trois parties avec une clé différente sur chaque partie. Le
cryptogramme lui-même est une lettre banale. La solution que trouve Babbage se devine aux traces sur les lettres manuscrites. On a de ce travail que des documents fragmentaires et des brouillons
désordonnées. Il a écrit les équations que le système doit résoudre:
Translation = Cypher – Key +1
Cypher = Key + Translation +1
Babbage écrit l'ensemble des équations satisfaites par le message, donnant pour la première fois une
formulation mathématique à ce chiffre, mais abandonne la résolution pour la raison que le nombre d'inconnues dépasse le nombre d'équations.
Le fait qu'il numérote les lettres de 1 à 26 et non pas de 0 à 25 dans ses équations font douter de
l'utilisation des congruences de Gauss.
La méthode qui apparaît sur ses brouillons est faite d'analyse des mots, de recherche intuitive de
mots probables pour le message clair comme pour la clé, par un travail où la signif ication du message est très présente. Il procède par exemple à plusieurs essais autour du mot composé UYEAP - BQL. Il essaye sans succès water-dog, fools-up. Birth-day, wool-cap, money-bag, night-
cap, small-pox, heavy-wet, death-bed, house-dog, under-cut. Il ne trouve pas tout de suite brain-box, qui est le bon résultat. Puis, quittant le terrain des devinettes, il se tournera sur les trigrammes les
plus fréquents : tea, the, and, etc. La mention « cypher given me by the Duke of Somerset » sur le manuscrit lui fait sans doute deviner un des mots-clés du message : SOMERSET. Cette clé convient pour la fin du message, mais s'avèrera mauvaise pour la première partie du message. Il trouve
finalement les mots-clés MURRAY et CACOETES. Le décryptement est présenté comme achevé dans une lettre datée du 19 mars 1846, soit après plus d'un mois de travail acharné.
41/92
1854 : Babbage intervient comme expert dans un procès avec soupçon d'espionnage, pour réhabiliter une famille déshonorée, et où il y a besoin de décrypter une lettre chiffrée d'un fils à une jeune femme chinoise. Il est invité par A. W. Kinglake, avocat, qui connait son intérêt pour la
cryptographie. Babbage révèle qu'il s'agit d'une simple substitution monoalphabétique, et il explique en détail la méthode qui l'a conduit à reproduire le message clair : les lettres q et w interviennent
souvent à la fin des mots, sqj est une occurrence fréquente, mais Babbage a des difficultés à déchiffrer en raison de la mauvaise orthographe, d'erreurs de chiffrement et de l'utilisation d'un « little language », c'est-à-dire d'un langage amoureux plein de sous-entendus qui troublent la
compréhension.
1854 : Dans le Journal of the Society of Art, Mr. Twaite affirme avoir inventé un chiffre
indécryptable, fait de réglettes coulissantes. Mr. Twaite voudrait que cette société brevète son invention comme originale. Il la présente utile pour maintenir le caractère privé des échanges télégraphiques. Il s'agit en fait d'une réinvention du chiffre de Belaso-Vigenère. Babbage est appelé
comme expert en cryptographie et montre dans une réponse que le chiffre présenté par Mr Twaite, d'une part est déjà connu, et d'autre part est facilement décryptable. Il s'en suit un échange dans le
journal où Mr Twaite lance un défi, qui est décrypté par Babbage. Il explicite les relations entre le clair et le cryptogramme, mais ne dit pas comment il a trouvé la clé. Les manuscrits témoignent de l'utilisation de l'analyse des fréquences.
1858 : Il correspond avec une historienne Mrs Green au sujet de lettres codées de Charles I ou Charles II (?).
4.4 Kasiski
Friedrich Wilhelm Kasiski (1805 – 1881) était un officier d'infanterie prussien, né à Schlochau (aujoud'hui Czuchow, Pologne). Il est surtout connu pour avoir publié la première fois une méthode
analytique pour le décryptement du chiffre polyalphabétique de Vigenère dans un petit ouvrage de 95 pages Die Geheimschriften und die Dechiffrierkunst (l'écriture secrète et l'art du déchiffrement).
Il n'était pas cryptologue professionnel. Il fait sa carrière dans l'armée et a pris sa retraite 1852 avec le grade de major. Bien qu'il ait été par la suite commandant d'un bataillon de la garde nationale, il a trouvé assez de temps libre pour s'intéresser à la cryptologie et publier son ouvrage en 1863.
Sa découverte a été peu reconnue au moment de sa publication, et Kasiski s'est ensuite intéressé à l'archéologie, sans se rendre compte du caractère essentiel de son travail pour la cryptanalyse.
Le principe repose sur l'analyse des écarts entre les répétitions dans le cryptogramme pour déterminer la longueur de la clé. La méthode est analytique et repose sur les trois propositions suivantes :
1. Lorsque deux polygrammes identiques du clair sont semblablement placés par rapport à la clef, ils donnent dans le cryptogramme des polygrammes identiques.
2. Réciproquement, dans la majorité des cas, deux polygrammes identiques du cryptogramme proviendront de deux polygrammes identiques du clair semblablement placés par rapport à la clé.
3. L'intervalle qui sépare deux polygrammes identiques du cryptogramme sera donc, dans la majorité des cas, un multiple du nombre de lettres de la clef.
L'examen des intervalles qui séparent les différents polygrammes identiques du
cryptogramme permettra donc en général de préciser la longueur n de la clé, le cryptogramme peut alors être disposé en un tableau de n colonnes. Toutes les lettres d'une même colonne se trouveront avoir été chiffrées avec un même alphabet, par une
substitution simple à décalage constant de type Jules César. Il suffira alors d'identifier une seule des lettres de cette colonne pour avoir du même coup la traduction de toutes
les lettres de cette même colonne. (…) les lettres les plus fréquentes dans chaque
42/92
colonne correspondent à peu près aux «esantirulo» du clair. (…) Un procédé pour mener à bien cette recherche consiste à utiliser un jeu de réglettes verticales mobiles, sur chacune desquelles figure, répété deux fois, l'alphabet normal. (…) Si par exemple,
on a relevé dans une colonne les fréquences G T C F K N P V
2 2 1 1 1 1 1 1 et que l'on dispose les réglette de manière à aligner sur une même horizontale les lettres GTCFKNPV, on pourra voir immédiatement quelle est celles des lignes de l'appareil qui
contient le plus d' « esantirulo ». Elle correspondra en général au clair. [20] Éléments de cryptographie – Capitaine Baudouin – Ed. A. Pedone 1939
Le terme « esantirulo » est un mot facile à retenir, sorte de mot magique des apprentis
cryptanalystes, constitué des lettres les plus fréquentes de la langue franç aise. Le e a une fréquence d'environ 18% et les lettres s, a, n, t, i, r, u, l, et o ont chacune une fréquence de 5 à 8 %. Ces dix lettres couvrent à elles seules près de 80 % des lettres l'un texte français.
Le décryptement s'opère donc en deux phases :
1. Recherche de la longueur de la clé,
2. Recherche des alphabets de la clé.
La détermination peut reposer sur l'analyse des fréquences, la lettre la plus fréquente ayant de forte
chances d'être un e.
EXEMPLE
asyna itjsy qnkgt zmoie tjwqy
eulkw euoeg tjdme kuthq dmsqt
ohmnk wgsul eyhjf qetih chqoi
etrcy btvut bpgeo hrifu oevtf
mqnmr ns
La table suivante donne les polygrammes répétés, les écarts de leurs positions et les diviseurs de cet
écart :
oiet 77–21=56 4, 7, 8, 14 uoe 97-34=63 3, 7, 9
sy 10-3=7 7 tj 37-22=15 3, 5
tj 22-8=14 7 tj 37-8=29 29 eu 32-27=5 5
ul 60-28=32 4, 8 gt 36-15=21 3, 7
dm 47-39=8 4, 8 ut 85-43=42 3, 6, 7, 14 oh 91-52=39 43, 13
Le diviseur 7 apparaît comme le plus fréquent. Il est raisonnable de faire l'hypothèse que le
cryptogramme a été chiffré avec une clé de longueur 7. Ce test sur les diviseurs des écarts des répétitions pour déterminer la longueur de la clé s'appelle aujourd'hui le test de Kasiski.
Pour achever le décryptement, il faut alors placer le cryptogramme en lignes de 7 colonnes et
examiner les fréquences des lettres colonne par colonne. Cet examen permet de déterminer avec plus ou moins de bonheur les lettres des alphabets, en tenant compte également des règles classiques sur la position des voyelles et des consonnes.
43/92
4.5 Le chiffre français de 1870 à la première guerre mondiale.
Cette période voit la dernière application effective des procédés manuels, et la mise en place des structures étatiques de la cryptologie qui perdureront jusqu'à sa libéralisation à la fin du 20e siècle.
En 1870-1871, la France est défaite au cours d'une guerre franco-prussienne. Cela a pour conséquence la fin de l'empire français et la fondation de la 3° république. L'insécurité des
communications et l'incapacité à intercepter les transmissions ennemies, ont été évoquées comme des éléments d'explication de la défaite française. Auguste Kerckhoffs souligne « l'absence d'un système sûr de communication secrète entre l'armée de Paris et les généraux de Province ».
Cette défaite a stimulé le développement d'une cryptologie militaire en France. L'année 1872 voit la création de la commission de télégraphie militaire. En 1880, le général Lewal écrit « la
cryptographie est un auxiliaire puissant de l'art militaire ». En 1889, la commission de cryptographie militaire est créée.
Il se crée en France à cette époque une véritable école française de cryptolo gie autour de l'école
polytechnique.
- Paul-Louis Eugène Valério publie dix articles dans le journal des sciences militaires dans les
années 1890 ainsi qu’un ouvrage en deux volumes « De la cryptographie, essai sur les méthodes de déchiffrement » en 1893-1896. Il intervient dans le procès Dreyfus à Rennes et réussit le décryptement de la correspondance entre Henri IV et le Landgrave de Hesse
- Félix Delastelle (1840-1902) est administrateur des tabacs à Marseille. On lui doit la classification des modes de chiffrement dans le « Traité élémentaire de cryptographie » publié
en 1901.
- Étienne Bazerie (1846 – 1931) a décrypté les dépêches de Louis XIV et de son secrétaire d’État de la guerre, le marquis de Louvois. Il reconstitue le grand chiffre du Roy, mais aussi les
répertoires de François 1er, Mirabeau et Napoléon. Il a décrypté pour le ministère de l'intérieur le chiffre des conspirateurs de 1892 pour le procès Ravachol.
- George-Jean Painvin (1886-1980) décrypte le radiogramme de la victoire en 1918.
- Marcel Givièrge (1871-1931) publie en 1925 un « Cours de cryptographie » qui servira de manuel aux cryptologues français, puis aux cryptologues polonais qui ont décrypté Enigma.
Plusieurs éditions de son cours seront publiées outre atlantique et sera cité par Shannon.
- Gaétan de Viaris (1847-1901) met en équation les procédés polyalphabétiques.
Pendant la première guerre mondiale, la section du chiffre française décrypte de nombreux messages chiffrés allemands. Les succès de cette section sont vantés dans la presse, ce qui incite les allemands à changer souvent de code, et une guerre des codes secrets a lieu parallèlement aux
combats. Un acteur principal de ces décryptements est le capitaine Georges-Jean Painvin (1886-1980). Il a décrypté en 1918 le message radio chiffré allemand adressé par le haut commandement
allemand vers une unité de située au nord de Compiègne :
« Munitioneirung beschleunigen punkt soweit nicht eingesehen auch bei tag »17
confirmant que l'offensive allemande allait se concentrer à cet endroit. Ce texte a été transmis au
général Pétain, puis au général Foch, chef d'état-major interallié, permettant de stopper l'offensive allemande. Pour cette raison, ce message radio allemand a été appelé le « radiogramme de la
victoire ».
Le système ADFGX utilisé par les allemands a été créé par le colonel Fritz Nebel (1891-1977). Il met en œuvre une substitution par bigrammes suivi d'une transposition avec deux clés changées
17 Hâter l'approvisionnement en munitions, le faire même de jour tant qu'on n'est pas vu.
44/92
régulièrement. Les lettres ADFGX servent d'indice dans un tableau à double entrée pour définir une des 25 lettres de l'alphabet latin. Les codes Morse de ces lettres sont très différents les uns des autres, ce qui limite les erreurs de transmissions par les opérateurs télégraphistes.
A ∙ ─ A D F G X
D ─ ∙ ∙ A o n l i e
F ∙ ∙ ─ ∙ D m k h d s
G ─ ─ ∙ F j g c r v/w
V ∙ ∙ ∙ ─ G f b q u y
X ─ ∙ ∙ ─ C a p t x z
C'est l'interception d'un grand nombre de messages émis le 1er avril 1918 avec des séquences identiques de cryptogrammes qui a permis à Georges-Jean Painvin de reconstituer des bribes de clair et progressivement de reconstituer les clés. Le 1er juin, la lettre V est apparue dans les
messages transmis, indiquant un nouveau système de chiffrement, le système ADFGVX. Ce système permet le codage des 26 lettres et des 10 chiffres. Il aura fallu 48 heures de travail acharné
et ininterrompu pour permettre à Georges-Jean Painvin de reconstituer le code utilisé. Le 1er juin 1918, les services d’écoute français ont intercepté le radiogramme suivant, émanant du haut commandement allemand en direction d’une unité qui stationnait au nord de Compiègne :
FGAXA XAXFF FAFFA AVDFA GAXFX FAAAG DXGGX AGXFD XGAGX GAXGX
AGXVF VXXAG XFDAX GDAAF DGGAF FXGGX XDFAX GXAXV AGXGG DFAGD
GXVAX VFXGV FFGGA XDGAX ADVGG A
Ce message fut immédiatement transmis à la section du chiffre qui l’a décrypté dans la nuit du 2 au 3 juin par le Capitaine Georges-Jean Painvin. Il réussit à déterminer la clé de substitution et la clé de transposition :
Clé de substitution :
A D F G V X A c o 8 x f 4 D m k 3 a z 9 F n w l 0 j d G 5 s i y h u V p l v b 6 r X e q 7 t 2 g
Clé de transposition :
6 16 7 5 17 2 14 10 15 9 13 1 21 12 4 8 19 3 11 20 18
D A G X F A G F X G G F A D F A G F X A V X G X F A X X V G X A G D A A G V F F X A G X F A G F X X X A F A V A G X F A D D X G G D A D F D X A G F X G F A G F A A G V X G X A G F F A X X X A G D X A G V X A F A D G G X A A G V V G X A G F X G D G X X
Après la première guerre mondiale, cette école de cryptologie française va décliner, sans doute du fait de la victoire des alliés. Selon thèse de David Kahn, ce sont les défaites militaires qui
conduisent les gouvernements à développer l'activité cryptologique.
45/92
5 La mise en place des réseaux de communication et la mécanisation du chiffrement.
5.1 Contexte
A la fin du 18° siècle et au 19° siècle, la révolution industrielle a multiplié les échanges. Des
réseaux de communication se mettent en place et se développent : le chemin de fer, les canaux de navigation, mais aussi le réseau télégraphique.
Cette période voit la fin des cabinets noirs (services, qui œuvraient dans la plupart des pays européens, chargés de l'interception postale et de la cryptographie sous l'ancien régime). La cryptologie sort ses domaines traditionnels que sont la diplomatie des états et le bagage de l'homme
éduqué. Elle va devenir un problème d'ingénierie. On observe un changement d'échelle dans le nombre de messages échangés avec le développement des techniques de communication que sont le
télégraphe optique, puis électrique, et le téléphone.
Le problème n'est plus l'échange de messages secrets entre deux individus, mais le bon fonctionnement d'un système de communication dans lequel la confidentialité est un service devenu
nécessaire. Cela ouvre la voie à une professionnalisation de la cryptologie, et a de multiples implications quant à la nature même du chiffrement.
5.2 Sur le besoin de chiffrer:
L'extension du télégraphe va conduire à de nouvelles exigences de confidentialité.
Des mesures devront être prises pour parer à une sérieuse objection que l'on soulève à propos des communications privées par télégraphe – la violation du secret – car, dans
tous les cas, une demi-douzaine de personnes sont amenées à connaître chaque mot adressé par une personne à une autre. Les employés de la Compagnie Anglaise du Télégraphe s'engagent au secret sous serment, mais nous écrivons souvent des choses
que nous ne supporterions pas de voir lues par d'autres avant nous. C'est encore un grave défaut du télégraphe, et il faut y remédier d'une manière ou d'une autre.
Quaterly Review18, 1853
La taxation des messages au mot conduit à l'utilisation de codes compressifs de manière à réduire la quantité d'information à transmettre. Un des premiers codes commerciaux pour cet usage est le
code Sittler de 1868. Les mots sont rangés par ordre alphabétique ainsi que les expressions courantes. Ils sont numérotés de 0 à 99 sur chaque page. Une dépêche télégraphique est constituée
d'une suite de mots de 4 chiffres, indiquant le numéro de la page et l'index du mot dans la page selon une convention admise par les deux correspondants. Le développement de ce genre de code va se poursuivre jusqu'à la seconde guerre mondiale (P. Hébrard [14]).
La réglementation évolue pour suivre ce besoin. La loi du 13 juin 1866 accorde en France au public la faculté de correspondre en chiffres sur le territoire français, la convention de Saint-Petersbourg du 10 au 22 juillet 1875 permet l'emploi d'une communication chiffrée pour les
communications télégraphiques internationales.
En outre, le recours à la télégraphie a imposé de revoir les méthodes de chiffrement. L'emploi d'un
code alphabétique comme le code Morse interdit l'utilisation de symboles graphiques dont l'usage était pourtant répandu dans la cryptographie traditionnelle. L'invention de systèmes compatibles s'imposait.
Le renseignement par écoute va reprendre une dimension stratégique, notamment avec le développement de la TSF. Le besoin de chiffrer les communications deviendra manifeste.
18Revue trimestrielle conservatrice fondée en 1809 par l'éditeur John Murray.
46/92
5.3 Le télégraphe de Chappe.
Claude Chappe (1763 – 1805) est l'inventeur du télégraphe optique qui porte son nom et qu'il exploitera avec ses frères.
Il est constitué de trois bras articulés peints en noir, un bras central appelé régulateur, et deux bras latéraux articulés appelés indicateurs qui peuvent former un angle obtus, droit ou aigu avec le
régulateur.
Chaque position des bras correspond à un code sur deux chiffres. Le directeur de la tour déchiffre le message à l'aide d'un livre du code, maintenu secret.
En 1793, une démonstration de transmission rapide d'information sur 40 km. le fait adopter par la convention. Il s'en suit un développement de l'invention. Une première ligne Paris – Lille permet de
transmettre un message en moins de 6 heures. Elle sera suivie par d'autres, pour former un réseau qui couvrira la France métropolitaine, et également l'Algérie et la Tunisie. En 1844, le territoire français compte 534 tours pour des liaisons de plus de 5000 km. entre les principales
agglomérations. Il est réservé aux communications gouvernementales jusqu'en 1851, date où il est mis à la disposition du public.
La réalisation du télégraphe optique utilise une technique et des matériaux traditionnels. Il aurait pu être construit bien avant. L'instrument le plus élaboré est la lunette optique pour l'observation lointaine des bras articulés. Sa réalisation à la fin du 18e siècle correspond à un besoin particulier
qui n'apparaît qu'à ce moment dans le contexte de la révolution française et de la mise en place d'une administration centralisée de l'état.
La position des bras articulés, qui porte l'information transmise est visible de tous, ce qui rend nécessaire l'usage d'un code confidentiel.
L'organisation du télégraphe optique est très hiérarchique, avec une discipline quasi militaire. Au
sommet, on trouve l'administration centrale, composée à partir de 1823 de trois administrateurs, un chef et deux adjoints pour quatre bureaux : dépêches, personnel, matériel et comptabilité.
On trouve ensuite les directeurs, qui sont à la tête d'une division et ont pour tâche de coder, décoder et émettre les dépêches. Ils supervisent l'activité des inspecteurs qui sont attachés à une division et responsable d'un tronçon de ligne d'une dizaine de stations. Les stationnaires représentent 90% du
personnel et sont deux par poste pour faire fonctionner le télégraphe. L'un est chargé de l'observation à la lunette alors que l'autre manipule les commandes. Les stationnaires étaient peu
payés (1,25 F. par jour en 1826, contre 375 F. par mois pour un directeur). Ce travail était considéré comme un travail d'appoint dans la plupart des stations qui étaient implantés en milieu rural.
Le message n'est compréhensible que par l'expéditeur et le destinataire. Il reste incompréhensible
pour tous les intermédiaires. Le code repose sur un répertoire de 92 pages. Sur chaque page figurent 92 lignes qui comportent chacune un mot ou un groupe de mot. Le code consiste en un
nomenclateur tenu secret de 92 × 92 = 8464 entrées.
Ce répertoire n'est détenu que par les directeurs des stations extrêmes.
47/92
5.4 Le télégraphe électrique.
Le télégraphe électrique se développe à partir de 1832 en Angleterre avec son invention par Shilling,
puis ensuite en France, en Espagne et en Italie. En 1838, Charles Wheastone installe la première ligne de télégraphe électrique en Angleterre entre Londres et Birmingham. Il s'agit d'une entreprise
privée.
En 1844, Samuel Morse crée le code qui porte son nom et réalise une liaison télégraphique entre Baltimore et Washington. Ce code, initialement sensible aux erreurs de transmissions, sera amélioré
par l'allemand Gerke qui va lui donner en 1850 sa forme définitive.
En 1845, une première ligne de télégraphe électrique est installée en France entre Paris et Rouen,
initiant le déclin du télégraphe Chappe.
En 1851, un premier câble sous-marin est construit entre l'Angleterre et la France
En 1855, l'américain David E. Huges invente le téléscripteur, qui est un télégraphe imprimeur.
En 1866, le premier câble transatlantique est mis en service. Son installation aura nécessité environ 10 ans de travaux.
En 1874, le téléscripteur de Huges est amélioré par Émile Baudot (1845 – 1903), qui invente le code qui porte son nom. Il s'agit d'un système constitué de 5 aiguilles aimantées, et permettant l'accélération des transmissions par un procédé électromécanique, dépassant les capacités des
opérateurs humains. L'appareil de Baudot sera adopté par l'administration du télégraphe en 1875. En
48/92
hommage à Baudot, le baud est une unité de vitesse de transmission des signaux encore en usage aujourd'hui.
En 1879, le ministère des Poste et Télégraphe est créé en France.
5.5 Le téléphone
Le principe du téléphone est posé dès 1854 par le Français Charles Bourseul, agent de
l'administration des Télégraphes. Il publie son article Transmission électrique de la parole Dans la revue l'Illustration.
De nombreux inventeurs ont participé à l'invention et à l'amélioration du téléphone.
L'allemand Philipp Reiss a effectué une transmission de parole de bonne qualité, mais de faible intensité en 1863.
L'italo-américain Antonio Meucci (1808 – 1889) aurait fabriqué plusieurs dispositifs téléphoniques entre 1849 et 1870, et déposé un brevet en 1870.
Les américains Graham Bell (1847 – 1922) et Elisha Gray (1835 – 1901) déposent un brevet
similaire à 2 heures d'intervalle en 1876, provoquant une controverse sur la paternité de l'invention. Les Bell Laboratories, institut de recherche privé, dans lesquels travaillera Claude Shannon, sont
fondés en 1925.
Le téléphone a commencé à être exploité de manière commerciale aux Etats Unis en 1877, et en France en 1879.
5.6 La télégraphie sans fil (TSF)
La télégraphie sans fil voit son origine dans les travaux de Maxwell qui, dans son traité sur
l'électricité et le magnétisme (1873), établit que les champs magnétiques et électriques peuvent se propager dans l'espace sous forme d'une onde électromagnétique transportant de l'énergie. Il édifie le socle théorique sur lequel s'appuiera Hertz pour découvrir les ondes qui portent son nom. Hertz
pourra les produire à l'aide d'un oscillateur.
Edouard Branly s'intéressera aux travaux d’Hertz et constatera que la conductibilité d'une poudre
métallique varie sous l'influence du rayonnement électromagnétique et sera à l'origine du détecteur à limaille, qui peut servir de récepteur à un oscillateur d’Hertz, ouvrant la voie à la transmission d'informations.
Le russe Alexandre Popov (1858 – 1905) va réaliser les premières transmissions radioélectriques devant la société russe de physique et chimie. En 1896, il réussit la première transmission d'ondes
entre divers bâtiments de l'université de Saint-Petersbourg, avec des antennes verticales pour améliorer la réception et enregistrement du message sur appareil Morse.
D'autres noms sont associés au développement des radiocommunications : Guglielmo Marconi
(1874 – 1937) en Italie, Eugène Ducretet (1844 – 1915) et le Général Ferrié (1868 – 1932, diffusion radio à partir de la tour Eiffel en 1904) en France, John Fleming (1849 – 1945, invention de la
lampe radio) en Angleterre. Les amateurs ont également joué un rôle important dans la découverte des modes de propagation des ondes courtes, amorçant la généralisation de leur usage pour les communications intercontinentales. Le 28 novembre 1923, a eu lieu la première liaison bilatérale
transatlantique en ondes moyennes (110m) entre le radioamateur américain Fred Schnell, 1MO, à Hardford dans le Connecticut et le radioamateur français Léon Deloy, 8AB, à Nice. Cette
performance, qu'on croyait auparavant impossible en raison de la propagation rectiligne des ondes électromagnétiques, a mis en évidence leur réflexion sur l’ionosphère, couche haute de l'atmosphère terrestre.
Le développement de la T.S.F. n'a pu se faire que grâce à celui de l'électro nique qui va modeler fortement les avancés scientifiques et techniques, et avoir un impact très fort sur la société avec le
49/92
développement de la radio, de la télévision, de l'informatique, des télécommunications etc.
En 1904 John Fleming (1849 – 1945) invente la diode à vide, dispositif permettant le passage du courant dans un sens seulement. Cette invention est suivie en 1907 par celle de la triode, par Lee de
Forest (1873 – 1961) ouvrant la voie à la création et l'amplification des signaux électriques.
Dès 1901, un brevet est déposé aux USA par le physicien botaniste indien Jagadish Chandra Bose
(1858 – 1937) sur les propriétés semi-conductrices de la galène (sulfure de plomb). Un brevet similaire sur le silicium est déposé dès 1906 pour un détecteur à cristal de silicium, par Geeleaf Wittier Pickard (1877 – 1956), permettant la démodulation des ondes radio. Il faudra attendre
l'invention du transistor en 1947 pour voir apparaître un dispositif d'amplification à semi-conducteur.
5.7 Auguste Kerckhoffs (1835 – 1901)
Jean-Guillaume-Hubert-Victor-François-Alexandre-Auguste Kerckhoffs von Neuwerhof est né en Hollande, originaire d'une grande famille d'un duché flamand. Il a vécu en Angleterre, a fait des études religieuses au petit séminaire à Aix la Chapelle, a accompagné un jeune américain pendant
un an et demi comme secrétaire de voyage en Angleterre, en Allemagne et en France. Il a enseigné les langues en France à Meaux et Melun pendant 10 ans. Il reprend des études en 1873 en
Allemagne à Bohn et Tubingen. Il revient en France comme précepteur, occupe un poste de professeur d'Allemand à l'École des Hautes Études Commerciales de Paris (EHEC) et à l'École Arago en 1881. Il est naturalisé Français en 1873 et c'est à ce moment- là qu'il écrit La
cryptographie militaire. Ses autres ouvrages sont des livres de grammaires anglaise, flamande, et des manuels de verbes. Il participe à l'invention d'une langue nouvelle, le Volapük (langage du
monde), inventé en Allemagne en 1885 par un prêtre catholique allemand Johan Martin Schleyer (1831 – 1912). Ce nouveau langage international connaît un succès important mais éphémère pendant la décennie 1880. Kerchhoffs va être directeur de l'académie nationale de Volapük à
Munich en 1887. Il existe à cette période 180 manuels de Volapük et de nombreuses publications.
Un conflit entre Schleyer et Kerckhoffs sur le rôle et la fonction de cette langue va les séparer. Pour
Kerckhoffs, il doit s'agir d'une langue la plus simple et la plus pratique possible, utilisable pour le commerce et la science. Ce conflit est à l'image des tensions sur les enjeux de la constitution des nations en cette fin de 19° siècle et sur le mode d'organisation sociale pour ces nouveaux états.
Cette langue doit-elle atteindre la perfection littéraire ou bien s’agit-il d'une langue universelle ? Le mouvement Volapük décroit à partir de 1890. De 210 000 membres en 1890, il n'en reste plus que
150 en 1902.
Les renseignements sont rares sur ce qui a conduit Auguste Kerckhoffs à s’intéresser à la cryptographie. David Kahn nous apprend qu’il aurait eu des « difficultés politiques » après la
défaite française de 1870 contre la Prusse et rien n’indique dans sa biographie comment il a été conduit à publier un article aussi important dans le « Journal des Sciences Militaires » en janvier
1883. Son article La cryptographie militaire s'impose rapidement comme un texte de référence. Il a contribué fortement au renouveau des études cryptographiques en France. Il présente un inventaire très complet des méthodes et des instruments de chiffrement. C’est en particulier à lui que l’on doit
l’usage qui perdurera après lui et qui consiste à regrouper les lettres d’un cryptogramme par groupe de cinq lettres afin de casser la suite des mots qui peut donner des informations aux décrypteurs s ur
la structure de la phrase. Il examine surtout les conséquences organisationnelles, pour les services du chiffre de l'armée de l'extension du télégraphe.
Il identifie les caractéristiques du télégraphe et l'organisation des communications dans l'armée qui
comprend plusieurs niveaux de responsabilités et fait participer de nombreux intervenants. Il explicite les conditions à remplir pour rendre compatible cet usage collectif avec la confidentialité
des échanges à l'extérieur, comme à l'intérieur de ce réseau. Il expose dans son article ce qui est connu aujourd'hui sous le nom de Principe de Kerckhoffs :
50/92
L'Administration doit absolument renoncer aux méthodes secrètes, et établir en principe qu’elle n’acceptera qu’un procédé qui puisse être enseigné au grand jour dans nos écoles militaires, que nos élèves seront libres de communiquer à qui leur plaira, et que
nos voisins pourront même copier et adopter, si cela leur convient. Je dirai plus : ce ne sera que lorsque nos officiers auront étudié les principes de la cryptographie et appris
l’art de déchiffrer, qu’ils seront en état d’éviter les nombreuses bévues qui compromettent la clef des meilleurs chiffres, et auxquelles sont nécessairement exposés tous les profanes.
[21] Auguste Kerckhoffs, La cryptographie militaire, 1883
C'est bien l'aspect système de transmissions qui retient son attention. Les desiderata de la cryptographie militaire guideront longtemps la conception des dispositifs de chiffrement
utilisés dans les armées :
Desiderata de la cryptographie militaire
Il faut bien distinguer entre un système d’écriture chiffrée, imaginé pour un échange
momentané de lettres entre quelques personnes isolées, et une méthode de cryptographie destinée à régler pour un temps illimité la correspondance des différents
chefs d’armée entre eux. Ceux-ci, en effet, ne peuvent à leur gré et à un moment donné, modifier leurs conventions ; de plus, ils ne doivent jamais garder sur eux aucun objet ou écrit qui soit de nature à éclairer l’ennemi sur le sens des dépêches secrètes qui
pourraient tomber entre ses mains. Un grand nombre de combinaisons ingénieuses peuvent répondre au but qu’on veut
atteindre dans le premier cas ; dans le second, il faut en système remplissant certaines conditions exceptionnelles, conditions que je résumerai sous les six chefs suivants : 1. Le système doit être matériellement, sinon mathématiquement, indéchiffrable ;
2. Il faut qu’il n’exige pas le secret, et qu’il puisse sans inconvénient tomber entre les mains de l’ennemi ;
3. La clef doit pouvoir en être communiquée et retenue sans le secours de notes écrites, et être changée ou modifiée au gré des correspondants ;
4. Il faut qu’il soit applicable à la correspondance télégraphique,
5. Il faut qu’il soit portatif, et que son maniement ou son fonctionnement n’exige pas le concours de plusieurs personnes ;
6. Enfin, il est nécessaire, vu les circonstances qui en commandent l’application, que le système soit d’un usage facile, ne demandant ni tension d’esprit, ni la connaissance d’une longue série de règles à observer.
[21] Auguste Kerckhoffs, La cryptographie militaire, 1883
La deuxième condition n'implique pas que le système doive être connu. En raison de leur culture du secret, les militaires maintiennent encore aujourd'hui confidentiels les systèmes qu'ils utilisent. Leur
sécurité ne repose bien sûr pas sur cette confidentialité. A l'opposé, un procédé public est parfois présenté comme plus sûr en raison des nombreuses attaques auxquelles il est soumis par une communauté ouverte de cryptanalystes et auxquelles il finit par résister.
5.8 Gaétan de Viaris
Le marquis Gaétan de Viaris (1847 – 1901) d'une famille d'origine italienne, est polytechnicien,
promotion 1866 et officier de marine. En 1888, dans les publications du journal « le Génie Civil », il publie une série d'articles consacrés à la cryptographie. Il se place dans la logique des travaux de Kerckhoffs dont il reprend les desiderata. Il a en particulier décrit les procédés cryptographiques à
l’aide d’équations mathématiques.
Il s'inscrit dans le développement du télégraphe et en intègre les contraintes. L'efficacité des
transmissions devient un critère important.
51/92
Les communications télégraphiques étant les plus importantes, nous nous occuperons seulement des modifications donnant des résultats transmissibles par télégraphe ; par conséquent les lettres ou les mots ne pourront être représentés que par des lettres ou des
chiffres arabes. Enfin, si nous devons étudier des méthodes permettant de diminuer le nombre des signes à transmettre, nous proscrirons par contre toutes celles qui auraient
pour conséquences d’augmenter notablement ce nombre. Telles étaient, dans ces anciennes méthodes, celle de l’abbé Trithème, où chaque lettre de l’alphabet était représentée par un mot : A par Jésus, B par misérables, C par la dilection 19, etc. ; et
celle qui, pour dissimuler la valeur relative des mots, les noyait, pour ainsi dire, dans un fatras d’autres mots sans valeur.
[22] Gaétan de Viaris, Cryptographie
Il énonce pour la première fois, de manière algébrique et unifiée, les équations des substitutions polyalphabétiques de type Vigenère. Langage des congruences est clairement exploité ; il traite les
lettres comme des valeurs numériques afin d'établir ces équations. Cela reste pour l'instant au niveau de la description des systèmes existants. Il faudra attendre Lester Hill pour que cette idée
soit exploitée pour définir de nouveaux procédés de chiffrement.
Donc, chaque fois que nous désignerons une lettre par sa valeur numérique, nous entendrons parler de sa valeur minimum ou de celle-ci augmentée d’un multiple de 26.
c, χ, γ, qui désignaient respectivement les lettres du texte clair, du cryptogramme, de la clef, désigneront également les valeurs numériques de ces lettres.
De l’équation cryptographique. – Les combinaisons que nous avons à étudier entre les
lettres du texte clair et celles de la clef, peuvent être ramenées aux combinaisons entre les valeurs numériques de c et de χ. Or les plus simples de ces combinaisons sont celles d’addition et de soustraction ± c ± γ. En observant que χ est une valeur forcément
positive, nous pouvons écrire les 4 équations :
(1) c + γ = χ
(2) 26 + c – γ = χ
(3) γ – c = χ
(4) 26 – (c + γ) = χ
En remplaçant dans le tableau des alphabets conventionnels les lettres par leurs valeurs numériques, on reconnaîtra que l’équation (1) c + γ = χ représente le système Vigenère,
et l’équation (3) c + χ = γ le système Beaufort. Les équations (2) et (4) ne diffèrent de (1) et (3) que par la substitution aux lettres γ de la clef, de leur valeur complémentaire 26 – γ.
(…) L’intérêt de ces tableaux est purement théorique, nous avons seulement voulu
montrer que l’équation c + γ + χ = λ est en quelque sorte la synthèse des équations primitives d’une application aussi simple, elle est plus générale, plus élastique. Elle introduit dans l’équation c, γ, χ un nouvel élément λ qui par le fait est une nouvelle
inconnue. Étant donnés deux éléments fixes : un texte de dépêche, texte obligatoire, une clef convenue d’avance, non modifiable, nous pouvons obtenir autant de textes chiffrés
que λ peut prendre de valeurs différentes. De plus, si on envisage la construction d’un appareil cryptographique réversible, chiffrant et déchiffrant, on pourra choisir pour principe de l’appareil cette équation, à cause de sa parfaite symétrie.
[22] Gaétan de Viaris, Cryptographie
19Amour pieux
52/92
Il trace les plans d'une machine à chiffrer doté d'un système d'impression à ruban de papier. La mécanisation est en route en ce 19° siècle, y compris dans la cryptologie. On voit apparaître les premiers appareils de chiffrement, comme retombée de la mécanisation industrielle de cette époque.
5.9 Vernam (1890 – 1960)
Gilbert Vernam est ingénieur en télécommunications. Il n’est ni linguiste, ni mathématicien. Il entre
chez AT&T (American Telephone & Telegraph) en 1915. Vernam est alors chargé de la sécurité des téléscripteurs à la section Telegraph du département Development and Research. Sa préoccupation
est le secrecy for sale, le secret pour le commerce.
Le téléscripteur est un dispositif permettant d'imprimer un texte à l'aide d'un mécanisme de machine à écrire. Le texte peut être mémorisé et transporté sous forme de ruban perforé. Les caractères sont
codés à l'aide du code Baudot, modifié par Murray en 1901 pour tenir compte de l'écriture sur machine à écrire. Ces téléscripteurs ont été largement utilisés jusqu'en 1980 pour relayer des
nouvelles aux organismes de presse et aux journaux. Ils posent un nouveau problème de sécurité.
Chaque caractère de l'alphabet est codé par cinq unités qui vont se traduire par le passage du courant électrique ou son absence, directement à partir de la frappe sur le clavier de l'opérateur
sténotypiste. Ce codage s'inscrit sur un ruban de papier perforé. Il est représenté par une marque, ou une absence de marque sur 5 positions. Ces marques sont matérialisées par un trou dans le ruban de
papier. Par exemple :
A = o o - - -
I = - o o - -
W = o o - - o
Une organisation des marques peut représenter une lettre ou bien un chiffre. Un code spécial active
53/92
le mode chiffre et un autre active le mode lettre. Le code Baudot peut donc représenter 60 caractères : les lettres, les chiffres, des caractères de ponctuation, et d'autres actions d'impression comme une sonnerie, le passage à la ligne, etc.
En 1960, le code ASCII20 7 bits, toujours en usage aujourd'hui, a remplacé le code Baudot.
Vernam va inventer une technique permettant d'utiliser directement l'équipement du téléscripteur
pour chiffrer ou déchiffrer les messages automatiquement. L'idée de Vernam va d'ailleurs jouer un rôle important dans le développement du téléscripteur lui-même.
Cette invention se réfère aux systèmes de transmission par signaux, en particulier
télégraphiques. Son objet est d'assurer la sécurité des transmissions de messages, et par suite, de fournir un système où les messages peuvent être transmis et reçus
en clair, ou codée de manière connue, mais où le les impulsions du signal sont si altérée avant leur transmission sur la ligne qu'elles sont inintelligibles à quiconque les intercepte.
Extrait du brevet de Vernam.
Il a breveté en 1917 un système qui repose sur l'utilisation d'un second ruban perforé en guise de clé. Chaque marque du ruban de message est combinée avec la marque située à la même position dans le ruban de clé. Il en résulte le code du caractère qui est transmis. La combinaison entre la marque
du texte et la marque de la clé est définie par la table suivante :
o + o = - o + - = o - + o = o - + - = - Cette opération, qui correspond à un ou exclusif, n'était pas explicitée ainsi dans le brevet de Vernam, ni exprimée en terme de 0 ou de 1, mais décrits en marque et espace et interprétés en
termes de signaux électriques. L'explication de l'opération o + o = - est la suivante :
(…) Si les deux bobinages du relai sont connectés à la batterie (…) le relai restera inactif, car les effets magnétiques des deux bobinages se neutraliseront l'un l'autre.
Extrait du brevet de Vernam.
Dans cette invention, l'opération de chiffrement est identique à l'opération de déchiffrement, avec le
même ruban. Il n'y a donc qu'une seule sorte de réalisation électromécanique à prévoir, puisqu'en ajoutant la clé au cryptogramme, on va retrouver le clair.
La grande nouveauté de ce dispositif est que l'opération de chiffrement est effectuée par la machine.
Cela limite les erreurs et dispense du besoin d'un opérateur. L'intervention humaine se trouve éliminée de la chaîne de communication. Le chiffrement est intégré dans le processus de
transmission.
Ce système de chiffrement sera rapidement adopté par AT&T, mais aussi dans le Signal Armed Corp dès 1918, et dans la Navy par le biais de la Western Electric Company, entreprise fabricante
d'AT&T.
Ensuite Joseph O. Mauborgne, qui deviendra chef du Signal Corps, puis Major General de l'armée américaine, établira que la seule clé sûre est une clé aléatoire comparable en longueur au message
lui-même. Il faudra attendre la théorie de l'information de Shannon pour établir la preuve de cette assertion. En raison de sa sécurité, ce système sera adopté par les armées pour leurs transmissions
très sensibles.
Si ces bandes sont utilisées plus d'une fois, c'est toute la sécurité du système qui est compromise. Cette contrainte est cependant difficile à respecter, souvent à cause
d'incidents se produisant lors de la préparation ou de la transmission des messages,
20 ASCII : American Standard Code for Information Interchange
54/92
mais aussi d'erreurs des opérateurs. L'anecdote suivante est révélatrice de ce genre de difficultés. En 1968, A. Muller [André Muller était responsable du Service Technique Central de Chiffres, STTCh, à partir de 1958, en charge de la réalisation des bandes
aléatoire, mais doté de très peu de moyens] décida de doubler le prix des bandes aléatoires qu'il fabriquait pour les différents organismes gouvernementaux. Il les
vendait, jusqu'alors, à un prix dérisoire, très nettement en dessous de leur prix de revient. Cependant un Général, responsable des transmissions d'une des Armées, refusa de doubler le budget correspondant. Il semble bien qu'il soupçonnait le STCCh d'avoir
« inventé » la règle d'utilisation unique des bandes pour pouvoir en vendre plus ! Il ordonna à son chef du bureau Chiffre de commander la moitié des bandes dont il avait
besoin, en lui donnant la consigne d'utiliser les bandes deux fois. Ce dernier expliqua, en vain, qu'une telle procédure était très dangereuse. Et il fallut l'intervention des plus hautes autorités du Chiffre pour faire revenir le Général sur sa décision.
[23] X. Amiel, J.-P. Vasseur et G. Ruggiu, Histoire de la machine Myosotis
Ce qui va faire obstacle au développement de ce système, c'est l'énormité du nombre de rubans perforés à transmettre comme clé.
Cela va être un frein à un usage universel de ce type de chiffrement automatique. Il sera
rapidement réservé aux communications présentant un haut degré de confidentialité. Il sera effectivement utilisé pendant la
seconde guerre mondiale pour les communications entre le président américain Roosevelt et le premier ministre britannique
Churchill, et également pour le téléphone rouge pendant la guerre froide.
On ne trouve pas de trace de notion d'algorithme dans le brevet déposé par Vernam. Mais plutôt d'une technique
inspirée du matériel sur lequel il travaille. L'enjeu pour Vernam, n'est pas d'introduire
un calcul sur les 0 ou les 1, mais, comme l'indique son brevet, l'automatisation du chiffrement.
Ce qui est revendiqué est (…)
- La méthode de chiffrement du signal qui consiste en la combinaison de
l'effet de la condition électrique qui représente le caractère du message
avec l'effet de celle qui représente le caractère chiffré, pour produire une impulsion électrique qui représente un autre caractère, et le changement du caractère
chiffrant de temps en temps.
Extrait du brevet de Vernam
Les machines de Lorenz SZ40 et SZ42 sont des machines allemandes utilisées pendant la deuxième guerre mondiale pour protéger les liaisons par téléscripteur. Elles utilisaient un principe similaire.
Au lieu d’une bande clé auxiliaire, elles calculaient à la volée des caractères chiffrants à partir d’une clé par un procédé électromécanique de génération pseudo-aléatoire.
55/92
5.10 Les machines électromécaniques.
Ces machines portables réalisent automatiquement le chiffrement polyalphabétique. L'exemple typique de ce type de machines l', célèbre par son utilisation par l'armée allemande et son
décryptement pendant la seconde guerre mondiale.
5.10.1 La machine
Presque simultanément, les machines électromécaniques ont été proposées par quatre inventeurs de pays différents.
- l'américain Edward Hugh Hebern (1869 – 1952) dépose un brevet en 1918 pour proposer sa
machine à l'armée américaine, mais, pour des raisons de vulnérabilité, il se voit refuser son offre. Sa machine sera améliorée par William Friedman puis par son associé Franck Rowelt, pour
devenir la machine SIGABA, identique dans son principe à la machine de Hebern, mais dotée de 15 rotors au lieu de 3. Cette machine sera utilisée par l'armée américaine pendant la seconde guerre mondiale jusqu'en 1950.
- Le hollandais Hugo Alexsander Koch dépose un brevet en 1919 qu’il cède à Scherbius en 1927.
- Le suédois Arvid Damm a déposé des brevets qui seront exploités à partir de 1925 par la société
Aktiebolaget Cryptograph, fondée par l'industriel suédois Boris Hagelin (1892 – 1983). Cette société deviendra la société suisse Crypto AG encore en activité aujourd'hui, et équipera de nombreuses armées occidentales, dont l'armée française, en machines mécaniques et
électromécaniques.
- L'allemand Arthur Scherbius a déposé son brevet pour la machine Enigma en 1918.
Scherbius fonde avec Richard Ritter, la société Chiffriermaschinen en 1923 pour commercialiser sa machine qu'il propose d'abord aux milieux financiers et aux banques. Il fait des démonstrations publiques de sa machine en 1923 à Bohn, puis en 1924 à Stockholm, lors du congrès postal
international.
La force de la machine de Scherbius est la qualité du chiffrement polyalphabétique et sa simplicité
d'utilisation. L'armée allemande, consciente de la faiblesse du procédé de chiffrement ADFGVX, se tourne vers la machine Enigma. Elle est adoptée par la Reischmarine en 1926, puis la Reischwehr en 1928, et enfin la Luftwaffe en 1935.
L'art de la guerre allemand pendant la seconde guerre mondiale, la Blitzkrieg, consiste en une attaque rapide et coordonnée entre différentes forces : l'infanterie, les unités mécanisées et l'aviation.
Elle exige une coordination de toutes les armées, et l'Allemagne a dû se doter d'un vaste système de communication entre chaque unité et leur quartier général. La Blitzkrieg donne une place très importante aux communications radio, et donc au chiffrement de ces communications en raison de
la dispersion des ondes électromagnétiques qui les rendent par nature sensible à une interception par l'ennemi. Un chiffrement portable sur le front, mécanique, dispensant l'opérateur d'efforts de
cryptage manuel est un élément déterminant le la stratégie de la Blitzkrieg.
Plus de de 200 000 machines ont été construites jusqu'en 1945, la production étant confiée à plusieurs sociétés allemandes.
5.10.2 Principe de fonctionnement.
Le principe des machines électromagnétiques repose sur des cylindres rotatifs, les rotors, qui sont
bordés de 26 contacts, représentant chacun une lettre de l'alphabet. Ces rotors sont traversés par des circuits électriques qui réalisent une permutation entre les contacts de chaque bord. Plusieurs rotors sont mis en série pour composer les permutations.
56/92
Le réflecteur compose les substitutions avec les substitutions réciproques, rendant la transformation alphabétique involutive. L'opération de chiffrement est alors identique à l'opération de déchiffrement, ce qui évite d'avoir à inverser l'ordre des rotors pour déchiffrer. La clé de chiffrement
consiste en le choix des rotors ainsi que leur position initiale.
A chaque lettre du message, les rotors tournent à la manière d'un compteur, changeant ainsi la
substitution qui s'opère sur cet alphabet.
57/92
5.10.3 Les machines Hagelin
Les machines à chiffrer Hagelin équiperont l'armée Française pendant une grande partie du 20°siècle. Il en existe des versions électromécaniques (modèle B) et des versions purement
mécaniques (modèle C) qui dispensent d'une alimentation électrique.
La présente invention a pour objet principal de fournir un dispositif portable qui permet
la production d'un chiffre qu'il est pratiquement impossible de forcer. (...)
Un autre objet de cette invention est de fournir une machine chiffrante, dotée d'un
mécanisme portatif, qui est d'une structure si simple, facile à manipuler et si compacte qu'elle peut être mise dans la poche.
Extrait du brevet de Boris Hagelin.
58/92
6 La rencontre avec les mathématiques
Si aujourd'hui il ne fait aucun doute que les mathématiques jouent un rôle prépondérant en cryptographie, il n'en a pas toujours été ainsi, même si de grands mathématic iens ont joué un rôle
essentiel tout au long de l'histoire de la cryptographie (Cardan, Viète, Wallis).
Les mathématiques ont tout d'abord joué un rôle important en cryptanalyse, avec l'analyse des
fréquences et le développement de méthodes analytiques. William Friedman (1891 – 1969) introduira des tests statistiques avec une approche scientifique, amorçant la connexion de la cryptologie avec les mathématiques (D. Kahn).
Même si Babbage et De Viaris avaient déjà posé les équations du chiffre de Vigenère, ce n'est qu'au début du 20° siècle, avec Lester Hill, qu'apparaît une utilisation explicite d'une structure algébrique
pour définir un système de chiffrement. Cette approche conduira à reconsidérer rétrospectivement une modélisation mathématique des systèmes plus anciens.
6.1 William Friedman (1891 – 1969)
L'indice de coïncidence (The Index of Coincidence [24]) est salué par l'historien David Kahn comme l'une des publications les plus significatives de l'histoire de la cryptologie (one of the most
significant publications in the history of cryptology). Il ne tarit pas d'éloges à son égard.
Ce travail d'une vie, aussi étendu qu'intensif confère à Wiliam Frederick Friedman
l'habit du plus grand cryptologue. [1] David Kahn, The Code Breakers.
C'est à lui qu'on doit le terme cryptanalyse dans son ouvrage de 1920 Elements of Cryptanalysis, Il
utilise ce terme pour lever l'ambiguïté du mot anglais decipher qui signifie aussi bien le déchiffrement, qui est l'opération qui reconstitue le message clair à partir du cryptogramme à l'aide de la clé, que le décryptement qui est la reconstitution du clair sans la clé.
Wolfe Friedman est né en 1891 en Russie Son père était un Roumain parlant huit langues qui travaillait comme interprète pour la poste russe. Sa famille a émigré aux États Unis en 1892, et il a
pris le prénom de William au moment de sa naturalisation américaine. Il a fait des études scientifiques à l'université Cornell, l'une des universités de l'Ivy League où il s'intéresse à la génétique. Il est embauché au laboratoire d'acoustique de Riverbank, qui est une institution privée
de recherche qui s'intéresse également à la chimie, à la génétique et à la cryptologie, en particulier pour essayer de prouver que les pièces de Shakespeare ont été écrites par Francis Bacon, théorie née
de l'observation de différences typographiques dans l'édition originale des œuvres de Shakespeare, faisant pensé au procédé de stéganograhie décrit par Francis Bacon. George Fabyan, fondateur et directeur de l'institut de recherche Riverbank pense que la validation de cette théorie le couvrira de
gloire. Friedman a réalisé quelques études génétiques à Riverbank, mais a surtout aidé l'équipe des cryptologues qui étudiaient la controverse Shakespeare/Bacon pour finalement l'invalider. Il s'es t
finalement retrouvé à la tête du département de cryptologie. Son travail concerne surtout la cryptanalyse. Il le mènera avec son épouse Elisebeth, également cryptologue à Riverbank à partir de 1916.
Lors de l'entrée en guerre des États Unis en 1917, le gouvernement charge Riverbank du décryptement de certaines dépêches interceptées. Friedman dispense également des cours de
cryptographie destinés aux officiers de l'armée.
Friedman a publié plusieurs articles à Riverbank dont le plus important est sans conteste celui qui porte le numéro 22 : The Index of Coincidence and its Applications in Cryptography. Il l'écrit en
1920 alors qu'il est âgé de 28 ans. Il ne sera publié qu'en 1922, imprimé en France pour économiser sur les frais. Le Général français François Cartier, à la tête du service de cryptologie du ministère de
la défense, reconnaît aussitôt la valeur de cette publication et en ordonne la traduction immédiate. La version française curieusement datée de 1921, laisse croire à une antériorité française.
59/92
La méthode statistique qu'il y décrit permet de décrypter les substitutions polyalphabétiques en s'affranchissant de l'étape de tâtonnement intuitif liée à la recherche du mot probable. Elle s'avère plus efficace que la méthode de Kasiski, qui nécessite d'observer trop grand nombre de bigrammes,
de trigrammes répétés, ce qui n'est pas toujours possible sur des textes courts. Il peaufinera les techniques jusqu'à trouver en 1925 la solution d'une machine à rotor. Le même principe sera utilisé
pendant la seconde guerre mondiale pour le décryptement de la machine Enigma.
William et Elisebeth Friedman quittent Riverbank en 1920. En Janvier 1921, William Friedman entre au Signal Corps pour y concevoir des systèmes cryptographiques. Après son contrat initial de
6 mois, il est intégré puis devient Chief Cryptanalyst au Signal Corps, où il mènera de nombreuses études en particulier sur les machines à rotor.
C’est à ce moment que William Friedman s’attèle au décryptement du Manusrit de Voynich. Ce document a été mentionné en 1639 dans une lettre d’un jésuite allemand nommé Athanasius Kircher, orientaliste et graphologue. Il a été acquis en 1912 par un bibliophile polonais Wilfrid Voynich
(1865-1930). Le document est constitué de 234 pages de 1523 cm. sur papier Vélin contenant du « texte » et des illustrations. Il aurait été écrit entre 1408 et 1436 avec un alphabet inconnu.
Friedman a essayé sans succès de vérifier s’il s’agissait d’un chiffrement polyalphabétique. Ce document reste un mystère. Il a été étudié par de nombreux linguistes et mathématiciens qui ont
cherché à savoir s’il s’agissait d’un texte dans lequel les voyelles ont été supprimées, d’une langue naturelle exotique comme le chinois, le tibétain ou le birman, d’un langage construit ou simplement d’un canular.
Et finalement, le vaste établissement américain de cryptologie (la NSA, National Security Agency) d'aujourd'hui, avec ses milliers d'employés, ses lointaines stations,
ses sièges tentaculaires – cette entreprise gigantesque, descend en ligne directe du petit bureau du War Department que Friedman a initié tout seul.
[1] David Kanh, The Code Breakers
6.2 L'indice de coïncidence
Dans son article The Index of Coincidence and its Applications in Cryptanalysis [24], Friedman
propose le décryptement de deux systèmes polyalphabétiques complexes : le chiffrement Vogel, qui utilise cinq disques concentriques, et le chiffrement Schneider. Ces systèmes reposent tous deux sur une clé périodique. La méthode générale utilise le même principe que celle qu'a utilisé Kasiski
contre le chiffre de Vigenère :
1. La détermination de la longueur de la période
2. La reconstruction de la clé numérique
3. La reconstruction des alphabets de chiffrement
(…) Cependant, la rareté des trigrammes et des polygrammes, et même des digrammes,
n'est pas un forcément un obstacle, car la répétition individuelle des lettres peut être utilisée avec une grande précision pour le même objectif qui est la détermination de la période. La méthode repose sur la construction de ce que nous avons appelé la « table
de coïncidence », qui nous montrera mathématiquement la longueur la plus probable de la période.
[24] William Friedman, The index of Coincidence and its applications in Cryptanalysis
La table de coïncidence fait l'inventaire des répétitions de chaque lettre. Elle mesure la fréquence
empirique des collisions. Ces tables sont obtenues par des comptages fastidieux effectués par des employés.
Le nombre de coïncidences dans chaque cas correspond au nombre de combinaisons
de deux objets qui peuvent être faites à partir d'un total de n objets. [24] William Friedman, The index of Coincidence and its applications in Cryptanalysis
60/92
L'observation successive des lettres dans un texte s'assimile au tirage aléatoire d'une lettre parmi les 26 lettres. Dans un texte où toutes les lettres sont distribuées de manière uniforme, chaque lettre, par exemple le A a une probabilité d'occurrence de 1/26. La probabilité d'observer deux fois la lettre
A vaut 1/26 × 1/26. La probabilité d'observer la répétition d'une même lettre quelconque est la
somme de ces probabilités, pour chacune des 26 lettres de l'alphabet. La probabilité de coïncidence est donc (1/26 × 1/26) + (1/26 × 1/26) + ⋯ + (1/26 × 1/26) = 1/26 = 0,0385.
Dans un texte écrit en français, les fréquences d'apparition ne sont pas uniformes. Par exemple le 'a' a une fréquence d'environ 7,68%. La probabilité de répétition d'un 'a' vaut donc 0,0768 × 0,0768,
soit environ 0,590%. Pour le e, la probabilité de répétition vaut 0,1776 × 0,1776. En faisant la
somme de ces probabilités, on trouve une probabilité de répétition de 0,0778. Cette valeur est notablement différente de la valeur 0,0385 pour une distribution uniforme. On note 𝜅𝑎 = 0,0385(a
pour aléatoire) et 𝜅𝑐 = 0,0778(c pour clair).
Dans deux textes clairs en langue française, la table des coïncidences doit faire apparaître une
fréquence des collisions d'environ 0,0768, alors que dans deux suites aléatoires sa valeur est 0,0385.
La valeur de l'indice de coïncidence dépend de la langue d'écriture du texte ([20]):
Français Anglais Russe Arabe Espagnol Allemand
0,0800 0,0667 0,0529 0,0758 0,0770 0,0762
Ainsi, en comptant les répétitions des lettres, on a un moyen de discerner une distribution aléatoire d'une distribution qui est celle d'une langue naturelle. Friedman a donné à ce test le nom de test
kappa. Le test kappa est même une réponse simple et rapide à une question récurrente dans la cryptanalyse : comment superposer deux cryptogrammes polyalphabatiques de telle sorte que deux
lettres d'une même colonne ont été chiffrées avec la même lettre clé ?
Si deux textes clairs sont superposés, le comptage des coïncidences fera apparaître une fréquence empirique de de 7,68%. Il en est de même si ce sont deux cryptogrammes chiffrés par une
substitution monoalphabétique, mais aussi pour deux cryptogrammes polyalphabatiques avec la même clé. Ceci résulte du fait qu'une coïncidence dans le clair se traduit par une coïncidence dans le cryptogramme, puisque les deux lettres ont été chiffrées de la même manière.
A l'opposé, si deux cryptogrammes sont superposés de manière inappropriée, les coïncidences du clair et du cryptogramme ne correspondent pas et les coïncidences du cryptogramme sont
accidentelles. Elles n’apparaîtront qu'avec une fréquence d'environ 3,85 %, qui est le taux de coïncidences d'une distribution aléatoire.
L'importance de l'indice de coïncidence de Friedman sera conformé lorsque le mathématicien
hongrois Alfréd Rényi définira en 1961 une notion d'entropie reposant sur la probabilité de collision d'une variable aléatoire pour en mesurer l'incertitude.
6.3 Lester Hill (1891 – 1961)
Lester Hill a publié en 1929, alors qu'il était professeur assistant au Hunter College à New York, un article intitulé Cryptography in an Algebraic Alphabet [25] qui marque la première utilisation
systématique de l'algèbre en cryptographie. L'article commence ainsi.
Soit 𝑎0,𝑎1, … , 𝑎25 n'importe quelle permutation des lettres de l'alphabet anglais;
associons la lettre 𝑎𝑖 à l'entier i. Nous définissons les opérations d'addition et de
multiplication modulaire (modulo 26) sur cet alphabet comme suit : 𝑎𝑖 + 𝑎𝑗 = 𝑎𝑟 ,
𝑎𝑖𝑎𝑗 = 𝑎𝑡 , où r est le reste obtenu en divisant de l'entier𝑖 + 𝑗par l'entier 26 et t est le
reste obtenu en divisant 𝑖𝑗par 26.
Le système de chiffrement qu'il propose appartient à la famille des chiffrements polygrammiques, c'est-à-dire qu'il procède au chiffrement simultané de plusieurs lettres du message clair pour
61/92
produire plusieurs lettres du cryptogramme.
L'exemple ci-après est extrait de l'ouvrage de David Kahn. Les lettres du message clair et celles du cryptogramme sont tout d'abord converties en nombres de 0 à 25 à l'aide d'un codage arbitraire. Par
exemple:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
5 23 2 20 10 15 8 4 18 25 0 16 13 7 3 1 19 6 12 24 21 17 14 22 11 9
La méthode de chiffrement est exprimée à l'aide de formules qui permettent de trouver les lettres du cryptogramme en fonction de lettres de la clé. Le codage de l'alphabet et l'ensemble des formules
constituent la clé de chiffrement. Ces formules doivent pouvoir s'inverser simplement. Il doit être possible d'exprimer de même les lettres du clair en fonction de celles du cryptogramme.
Pour faire une démonstration de chiffre tétragrammique, c'est-à-dire traitant simultanément quatre
caractère, il a bâti ces équations linéaires, exprimant quatre caractères du cryptogramme 𝑦1, 𝑦2 , 𝑦3
et 𝑦4 en fonction de quatre caractère du message 𝑥1,𝑥2,𝑥3 et 𝑥4:
𝑦1 = 8𝑥1 + 6x2 + 9𝑥3 + 5𝑥4
𝑦2 = 6x1 + 9𝑥2 + 5𝑥3 + 10𝑥4
𝑦3 = 10𝑥1 + 8𝑥2 + 4𝑥3 + 9𝑥4
𝑦4 = 10𝑥1 + 6𝑥2 + 11𝑥3 + 4𝑥4
Ainsi, pour chiffrer le texte « delay operations », la première opération est de convertir les lettres en
nombres. Les quatre premières lettres dela deviennent 𝑥1 = 20, 𝑥2 = 10, 𝑥3 = 16 et 𝑥4 = 5.
L'application des formules de chiffrement donnent :
𝑦1 = (8 × 20) + (6 × 10) + (9 × 6) + (5 × 5) = 25𝑦2 = (6 × 20) + (9 × 10) + (5 × 6) + (10 × 5) = 2
𝑦3 = (10 × 20) + (8 × 10) + (4 × 6) + (9 × 5) = 3𝑦4 = (10 × 20) + (6 × 10) + (11 × 6) + (4 × 5) = 14
La conversion en lettre en utilisant le même alphabet donne le cryptogramme jcow.
En procédant de même pour le reste du message clair, on trouve le cryptogramme complet :
jcow zlvb dvle qmxc
Le changement d'une seule lettre d'un groupe de quatre change complétement les quatre lettres du
cryptogramme. Si par exemple le message clair commence par demand, avec les deux premières lettres identiques au message précédent, les quatre premiers symboles du cryptogramme sont cmzq, ce qui apparaît complétement différent de jcow. Cette propriété préfigure la notion de diffusion qui
sera formalisée plus tard par Shannon.
Pour déchiffrer, un système de formules analogue s'obtient en inversant le système de chiffrement.
𝑥1 = 23y1 + 20𝑦2 + 5𝑦3 + 𝑦4
𝑥2 = 2y1 + 11𝑦2 + 18𝑦3 + 𝑦4
𝑥3 = 2y1 + 20y2 + 6y3 + 25y4
𝑥4 = 25𝑦1 + 2y2 + 22𝑦3 + 25𝑦4
Hill a éliminé le problème des formules séparées pour chiffrer et déchiffrer en construisant des transformations involutives. Ces transformations réduisent la résistance à la cryptanalyse de
manière négligeable en regard de l'avantage obtenu par la facilité de réaliser ces opérations.
Dans un deuxième exemple, Hill proposé des formules matricielles pour augmenter le nombre de
lettres traitées simultanément tout en simplifiant le calcul. Soit le message Hold out. Supporting air quadron en route à chiffrer. Les lettres sont rassemblées par groupe de 9 pour former une matrice 3 × 3. Ainsi :
62/92
𝑥1 = (ℎ 𝑜 𝑙𝑑 𝑜 𝑢𝑡 𝑠 𝑢
) = (5 6 222 6 7
12 19 7) et 𝑥2 = (
𝑝 𝑝 𝑜𝑟 𝑡 𝑖𝑛 𝑔 𝑎
) = (21 21 623 12 1724 16 4
)
Les formules de chiffrement que Hill propose sont des formules affines à coefficients matriciels du type :
𝑦1 = 𝐴𝑥1 + 𝐵𝑥2 + 𝐶𝑦2 = 𝐷𝑥1 + 𝐸𝑥2 + 𝐹
,
où les coefficients A, B, C, D, E et F sont également des matrices 3 × 3, choisies judicieusement21
pour obtenir des formules d'inversion afin de pouvoir déchiffrer.
Avec les valeurs suivantes:
𝐴 = (3 6 22
16 23 82 16 13
) , 𝐵 = (2 6 148 24 4
14 16 20) , 𝐶 = (
18 6 624 20 222 2 6
) , 𝐷 = (18 14 2220 4 1022 20 24
),
𝐸 = (15 16 204 13 2
20 8 11
) et 𝐹 = (2 16 148 12 4
18 8 20
)
le cryptogramme qui correspond au clair 𝑥1et 𝑥2ci-dessus est :
𝑦1 = (13 20 1222 16 2316 19 23
) = (𝑌 𝐾 𝑇𝐿 𝐺 𝑅𝐺 𝑆 𝑅
) et 𝑦2 = (13 23 1217 20 1520 4 20
) = (𝑌 𝑅 𝑇𝐼 𝐾 𝑊𝐾 𝐴 𝐾
)
Hill a proposé d'autres structures algébriques:
Il n’est bien sûr pas besoin de préciser que si on emploie des corps finis, les possibilités du cryptographe se trouvent considérablement étendues ; il a alors à sa disposition une
algèbre parfaitement souple, et ses géométries associées.
(...) Mais le nombre d'éléments dans un corps fini est nécessairement soit un nombre premier soit une puissance d’un nombre premier. Si notre alphabet doit être converti en un corps fini, le mieux qui puisse être fait est d’omettre une lettre, disons j, pour obtenir
un corps de 25 éléments : ou d’adjoindre un symbole additionnel pour obtenir un corps de 27 éléments.
[25] Lester Hill, Cryptography in an Algebraic Alphabet
Le chiffre de Hill résiste aux attaques des cryptanalystes du fait même du codage secret de
l'alphabet. Son caractère polygrammique le fait résister à l'analyse des fréquences. Cependant il souffre d'un grave défaut. Si un cryptanalyste connait le code de l'alphabet et arrive à connaître un
message clair et son cryptogramme, il peut retrouver les équations de chiffrement. Cette faiblesse est rédhibitoire selon les critères actuels de sécurité qui exigent une résistance, y compris lorsqu'un couple clair – cryptogramme est connu.
Le réel obstacle à l'utilisation en pratique du système de Hill est sa grande lourdeur d'emploi qui le rend inopérable en l'absence de moyens mécaniques de calcul pour éviter les erreurs.
Hill a breveté un appareil qui peut chiffrer jusqu'à des
hexagrammes (par blocs de 6 lettres). Il consiste en une série de roues dentées connectées entre elles par une chaîne.
Ce dispositif n'aura été que très peu utilisé. Selon David
21 Pour que le système soit inversible, les matrices A, B, C, D, E et F doivent satisfaire les conditions suivantes :
• B et E commutent,
• EA – BD est inversible,
• A et D commutent,
• DB-AE est inversible.
63/92
Kahn, il aurait quand même servi au gouvernement US pour chiffrer les trigrammes des indicatifs radio. Ce n'est qu'après la mort de Lester Hill que le cette utilisation a été révélée. Mais il aura eu un impact immense sur la cryptologie. Il aura engagé l'intérêt des mathématiciens pour la
cryptologie et marqué le début d'une nouvelle ère.
6.4 Reformulation des systèmes anciens
A la suite des travaux de Hill, les systèmes antérieurs ont été décrits en termes mathématiques, mettant en évidence certaines faiblesses. La reformulation des mécanismes de chiffrement en
termes mathématique met à nu leur structure essentielle. Et cela peut permettre au cryptanalyste de développer des techniques mathématiques qui n'étaient pas applicables auparavant.
EXEMPLE : le chiffre de Playfair. Ce qui est connu sous le nom de chiffre de Playfair est en fait une
invention datée du 26 mars 1854 de Charles Wheastone (1802-1875), physicien et inventeur anglais à qui on doit le premier télégraphe électrique en 1838 entre Londres et Birmingham, le pont de
Wheastone pour mesurer les résistances, l’invention du microphone et les premiers essais sur la mesure de la vitesse de l’électricité. Mais c'est Lord Lyon Playfair (1818 – 1898), chimiste et politicien libéral écossai, promoteur de l'enseignement technique, qui a proposé ce procédé au
Foreign Office. Il ne sera pas adopté, car jugé trop complexe à utiliser pour les opérateurs. Il s'agit d'un chiffrement bigrammique qui repose sur un carré-clé de 25 sur 25 rempli avec les lettres de
l'alphabet. Ce carré est rempli à l'aide d'une phrase simple à retenir sans répétition, puis en complétant avec les lettres manquantes de l'alphabet dans l'ordre, sans le w (en français). Par exemple la phrase « promenade cryptologique » conduit au carré suivant :
Deux lettres du clair sont transformées en deux lettres du cryptogramme selon leur disposition dans ce carré :
64/92
- Les lettres doubles du clair sont éliminées en insérant entre elles une lettre rare comme par exemple le K.
- Si deux lettres sont sur une même ligne ou une même colonne, les lettres du cryptogramme sont
les suivantes sur la ligne ou sur la colonne en convenant d'un sens, par exemple de haut en bas et de gauche à droite.
- Si les deux lettres forment les diagonales d'un rectangle, les lettres du cryptogramme sont les extrémités de l'autre diagonale en convenant d'un sens de rotation, par exemple dans le sens des aiguilles d'une montre.
Par exemple, pour chiffrer le message « L'attente est toujours longue », on commence arranger le message ainsi pour empêcher les lettres doubles :
Le message : LA TK TE NT EK ES TK TO UJ OU RS LO NG UE devient : .............................................................................................................................................. .............................
EXERCICE : déchiffrer le message : OS OY CR TC CH CG
....................................................................................................................................................................
Le chiffre de Playfair a été utilisé par les forces britanniques pendant la guerre des Boers et pendant la première guerre mondiale. Il a aussi été utilisé par les australiens pendant la seconde guerre
mondiale.
La nature même du chiffre de Playfair suggère une cryptanalyse de nature géométrique. Par exemple, la lettre E étant la plus fréquente du clair, les lettres les plus fréquentes du cryptogramme
seront celles qui sont situées à l'équerre du E dans le carré-clé.
Prenons par exemple deux cryptogrammes Playfair qui sont chiffrés avec deux carrés-clé distincts, mais qui chiffrent le même clair. Avec la cryptanalyse géométrique classique, cette information
n'aide pas à reconstituer les clés. Mais si les deux cryptogrammes sont mis en équation, alors le fait de savoir qu'ils viennent du même clair permet d'éliminer des inconnues et peut grandement
simplifier leur résolution.
La cryptologie d'aujourd'hui est saturée d'opérations mathématiques, de méthodes mathématiques, de façons de penser mathématiques. En pratique elle devient
virtuellement une branche des mathématiques appliquées. Sa sophistication, son domaine d'applications et sa puissance ont eu une croissance bien au delà de ce que
pouvaient même imaginer les cryptologues des cabinets noirs, et dans cette évolution, Lester Hill a été un pionnier.
[1] David Kahn, The Code Breakers.
Le mathématicien Adrian Albert (1905-1972), qui a été directeur de la division communication à l'IDA (Institute for Defense Analysis) a été un des premier à saluer l'élégance et la puissance des
travaux de Lester Hill. C'est lui qui a nommé ce chiffre le Chiffrement de Hill.
Nous verrons que la cryptologie est bien plus qu'une matière qui admet une formulation
mathématique, et il ne sera pas exagéré d'affirmer que la cryptologie abstraite est identique aux mathématiques abstraites.
Adrian Albert, le 22 novembre 1941 au congrès de l'AMS à Manhattan, Kansas.
Suivant les idées de Hill, Adrian Albert a donné une description algébrique simple de systèmes
traditionnels simples, comme le chiffre de Vigenère, l'autoclave et en a exprimé les équations. Il a expliqué que les systèmes plus compliqués ne sont en fait que la composition de systèmes plus simples.
6.5 La cryptanalyse anglaise pendant la seconde guerre mondiale.
Pendant la seconde guerre mondiale, l'Angleterre a a ttaché une grande importance au renseignement,
et en particulier au décryptement des messages ennemis. Les services cryptologiques du gouvernement anglais étaient situés à Bletchley Park, lieu maintenu secret situé au nord de Londres.
65/92
Ce centre était peu important avant la seconde guerre mondiale, mais pendant celle-ci, il a employé jusqu'à 10 000 personnes, surtout des femmes, les hommes étant mobilisés pour le Front.
Il était le cœur d'un réseau de stations d'interception radio, les « Y stations », réparties sur
l'ensemble du territoire anglais. Les messages en provenance des sous-marins allemands étaient interceptés par des stations côtières. Puis, ils étaient acheminés à Bletchley Park par tous les
moyens, parfois même à bicyclette.
Les résultats des équipes de Bletchley Park sont essentiellement:
1. Le décryptement des messages chiffrés avec la machine Enigma à l'aide des Bombes qui sont des machines électromécaniques, appelées ainsi en raison du tic – tac que faisaient les commutations des relais pendant le fonctionnement.
2. La construction de Colossus, le premier calculateur électronique, qui comprenant 2500 tubes à vide, destiné à décrypter les messages chiffrés avec la machine de Lorentz.
La machine Colossus constitue un progrès considérable par rapport aux bombes électro-mécaniques. L'innovation essentielle réside dans l'utilisation pour la première fois de l'électronique, avec des tubes à vide, qui réalisent des opérations bien plus rapidement que les relais des machines
électromagnétiques. Cette machine a été conçue par Tommy H. Flowers, qui était ingénieur des téléphones. La technologie des tubes à vide était utilisée pour la conception des commutateurs
téléphoniques.
Les plans de Colossus ont été détruits après le conflit. Il a fallu attendre 1949 pour voir réapparaître un ordinateur britannique22 et 1952 pour que soit construit le premier ordinateur américain23, sur
une base de conception datant de 1945.
La machine de Lorenz est un chiffrement à flot pour téléscripteurs, utilisant le principe du
chiffrement de Vernam, dans lequel la bande aléatoire est remplacé par un générateur de pseudo-aléa électromécanique utilisant 12 roues codeuses. La cryptanalyse des messages chiffrés à l'aide de cette machine a été rendue possible par une mauvaise utilisation :
- les messages étaient répétés en raison des interférences radio qui troublaient la réception correcte du signal.
- Lors de la seconde émission, les roues étaient réinitialisées dans la même position que pour de la première, avec pour conséquence l'utilisation d'une séquence pseudo-aléatoire identique.
- L'utilisation d'abréviations pour le second message faisait qu'il n'était pas identique au premier. Certaines informations sur les messages clairs se trouvaient alors connues, sur lesquelles
pouvait s'appuyer la cryptanalyse.
Le mathématicien Alan Turing (1912 – 1954) est entré en 1939 à Bletchley Park et a apporté une
contribution majeure à la cryptanalyse des systèmes allemands. Il est aussi connu pour avoir résolu en 1936 un des trois problèmes posé par Hibert en 1928 sur la question de la décision (Entscheidung problem) en introduisant un modèle de calculabilité qui repose sur une machine
appelée aujourd'hui machine de Turing et qui reste un modèle théorique adapté aux ordinateurs actuels.
6.6 La cryptanalyse de la machine
La machine Enigma réalise une substitution polyalphabétique. Elle est constituée de trois rotors et d'un réflecteur. Les rotors réalisent une permutation sur les 26 lettres de l'alphabet. Ils tournent à
chaque lettre, ce qui change la permutation utilisée à chaque caractère. Le réflecteur assure que la permutation est toujours involutive, ce qui qui simplifie l'exploitation en permettant d'utiliser la
22 L'EDSAC (Electronic Delay Storage Automatic Calculator) est considéré comme le premier ordinateur avec
programmes en mémoire interne. Sa construction est achevée en mai 1949 à Cambridge. 23 L'EDVAC (Electronic Discrete VAriable Computer), a été conçu par le mathémat icien d'origine hongroise John Von
Neumann.
66/92
même machine pour chiffrer et déchiffrer.
L'armée allemande utilisait une clé du jour, qui avait une durée d'utilisation de 24 heures. Elle était la même pour tous et transmise aux unités chaque mois sous forme d'une instruction imprimée.
Une clé de message était transmise au début de chaque message sous forme de deux groupes de 3 lettres, la première étant la même que la quatrième, la deuxième la même que la cinquième, et la
troisième la même que la sixième, mais codées différemment.
Cette faiblesse a été utilisée par des mathématiciens polonais pour réaliser la première cryptanalyse. Les trois mathématiciens qui ont contribué à cette première cryptanalyse sont Marian Rejewski
(1905 – 1980), Jezny Rozycki (1909 – 1942) et Henryck Zygalski (1907 – 1978).
Les six permutations réalisées par les rotors et le réflecteur se composent pour réaliser la
permutation courante, qui est de la forme suivante en raison de la structure de la machine:
𝑃 = 𝑃1°𝑃2°𝑃3°𝑅°𝑃3−1°𝑃2
−1°𝑃1−1
Ils ont utilisé la théorie des groupes pour décomposer ces permutations en cycles, et réduire la recherche exhaustive pour tester des hypothèses ou des contradictions sur la base de mots probables.
La propriété utilisée est une propriété de similarité :
la permutation 𝑆−1°𝑃°𝑆 a la même structure cyclique que 𝑃
Ils n'ont pas pu poursuivre la cryptanalyse complète après les évolutions faites par les Allemands en
raison de la complexité de la recherche exhaustive.
Les informations sur la cryptanalyse d'Enigma ont été transmises en France lorsque la Pologne a été envahie par l'Allemagne, puis transmises en Angleterre.
Les cryptanalystes anglais de Bletchley Park ont amélioré la méthode de recherche de Polonais, l'ont adapté aux différentes évolutions de la machine Enigma faite par les Allemands, et l'ont
automatisé, pour rendre effectif le décryptement des messages interceptés.
Ces travaux montrent la grande dissymétrie entre le chiffrement réalisé par un opérateur avec une machine portable, et la cryptanalyse, pouvant mettre en œuvre d'énormes moyens humains et
matériels pour mener à bien le décryptement des messages. Cette dissymétrie est restée longtemps en faveur du cryptanalyste, avant de s'inverser autour des années 1970, avec l'augmentation de la puissance de calcul disponible sur les ordinateurs24.
24 Le calcul cryptographique a une complexité polynomiale en fonction de la taille des clés de chiffrement, alors que la
cryptanalyse, qui repose sur une recherche exhaustive a une complexité exponentielle. La dissymétrie entre les
complexités de calcu l et d'attaque augmente donc avec la pu issance de calcul. Contrairement à une idée reçue, des
machines plus puissantes favorisent la sécurité du chiffrement, et non pas de l'attaque, car elles permettent, à temps de
calcul donné, de traiter des données bien plus grandes, alors qu'un seul b it su pplémentaire sur une clé suffit pour
doubler l'effort que doit faire le cryptanalyste.
67/92
7 Shannon et la théorie de l'information.
Claude Elwood Shannon (1916 – 2001) est connu pour avoir fondé la théorie de l'information, qui a eu un impact considérable pendant la deuxième moitié du 20e siècle, et en a encore aujourd'hui. Les
technologies numériques, dont l'importance aujourd'hui est indéniable, doivent beaucoup à cette théorie, et ont également largement contribué à participer au développement de cette théorie.
Les travaux de Shannon vont installer un rapprochement durable entre les aspects techniques de la mise en place des systèmes matériels et l'expression mathématique des méthodes de chiffrement comme de la mesure de l'information. Il a su élaborer systématiquement un langage commun pour
les ingénieurs et pour les mathématiciens alors qu’auparavant chacun s’exprime dans un langage qui lui est propre, à l’image de Vernam et de Hill. Shannon va exceller dans la formulation mathématique des différents domaines de sa recherche.
Pour faire cela (traiter des systèmes de communication) il est d'abord nécessaire de représenter les différents éléments concernés comme des entités mathématiques idéalisés convenablement à partir de leur homologue physique.
Shannon , A Mathematical Theory of Communication, 1948
Les titres de ses publications sont éloquents quant à sa préoccupation d'élaborer une théorie mathématique sur des applications qui sont du ressort de l'ingénierie:
- Mathematical Theory of the Differential Analyser (1941). - A Mathematical Theory of Communication (1948) [26]. - Communication Theory of Secrecy Systems (1949) [27].
Claude Shannon fait ses études à partir de 1932 à l'université du Michigan. Il obtient en 1936 une
licence de mathématiques et ingénierie électrique (Bachelor of Art) puis devient assistant-chercheur au MIT, auprès de Vannevar Bush (1890 – 1974), qui est coordinateur du National Development Research Comitee (NDRC) et inventeur en 1931 de l'analyseur différentiel Il s'agit d'une machine
analogique électrique destinée à résoudre des équations différentielles comportant jusqu'à 18 variables indépendantes.
Les premiers travaux de Shannon. En 1937, Claude Shannon soutient son mémoire de master, sous la direction de F. L. Hitchcock, sur l'analyse symbolique des circuits de relais et de commutateurs (A symbolic Analysis of Relay and Switching Circuits). Cette étude est élaborée à
partir de son travail visant à simplifier les circuits de l'analyseur différentiel de Bush. Il a utilisé la logique symbolique et l'algèbre de Boole pour traiter ce problème. Il représente par 0 un circuit
fermé par 1 un circuit ouvert, par le signe + la circulation dans des circuits en série, par le signe * la circulation dans des circuits en parallèle et il a recours à la logique mathématique, notamment à l'algèbre de Boole, bien avant la conception et la mise au point des premiers ordinateurs et dans une
situation où il a à résoudre des problèmes techniques, posés par l'utilisation d'une machine existante : l'analyseur différentiel.
C'est dans ce cadre qu'il fournit pour la première fois ce langage commun à l'ingénieur et au mathématicien. Il y montre l'équivalence entre le calcul des propositions et ce qu'il appelle l'analyse symbolique des relais (the Symbolic Relay Analysis).
Nous sommes maintenant en mesure de montrer l'équivalence de ce calcul avec certaines parties élémentaires du calcul des propositions. L'algèbre de la logique initiée
par George Boole est une méthode symbolique pour étudier les relations logiques. Les symboles de l'algèbre booléenne admettent deux interprétations logiques. Si elles sont interprétées en termes de classes, les variables ne sont pas restreintes aux deux valeurs
possibles 0 et 1. Cette interprétation est connue sous le nom d'algèbre des classes. Si de plus les termes représentent des propositions, nous avons le calcul des propositions, dans lequel les variables sont limitées aux valeurs 0 et 1.
68/92
Analog Between the Calculus of Propositions
and the Symbolic Relay Analysis
Symbol Interpretation in relay Interpretation in the
circuits Calculus of Propositions
X The circuit X. The proposition X
0 The circuit is closed The proposition is false
1 The circuit is open The proposition is true
X + Y The series connection of The proposition which
circuits X and Y is true if either X and
Y is true
XY The parallel connection The proposition which
of circuits X and Y is true if both X and
Y are true
X' The circuit which is open The contradictory of
when X is closed, and propositipon X.
closed when X is open
= The circuits open and Each proposition
close simoultaneously implies the other
On voit que l'interprétation des valeurs logique correspond à une grandeur physique qui est l'inverse de l'impédance du circuit résultant. Il appelle cette quantité du néologisme hinderance, de hinder qui signifie empêcher.
En 1940, il publie sa thèse de mathématiques « An Algebra for theoretical genetics », sous la direction de Vannevar Bush, qui la lui propose en 1938 alors qu'il est président du Carnegie Institute
de Washington, dont dépendait l’Eugenics Record Office situé à Cold Spring Harbor dans l'état de New York.
En 1941, il publie une théorie mathématique de l'analyseur différentiel (Mathematical Theory of the
Differential Analyser), qui analyse le type d'intégrateur et les équations que cette machine résout.
7.1 Le travail de Shannon pendant la deuxième guerre mondiale.
A partir de 1941 et jusqu'en 1956, Shannon travaille aux Bell Labs. Pendant la seconde guerre mondiale, il est impliqué dans l'effort de guerre américain. Le NDRC est au cœur de l'organisation institutionnelle de cet effort de guerre, qui implique les universités, les industries et l'armée. Il est
organisé en cinq divisions spécifiques. Shannon est affecté à la division D2, dirigée par Warren Weaver (1894 – 1978), dont l'objet est la conduite de tir pour la défense anti-aérienne (DCA). Il
s'agit de prévoir les trajectoires des avions pour les abattre. Ces prédictions utilisent des tables de tir numériques, et c'est pour construire ces tables que sont élaborés de grands calculateurs. Il semblerait que pour la première fois, l'expression digital computer soit introduite pour les désigner
(J. Ségal).
Travaux ballistiques
Shannon, avec Bode et Blackman, participe à l'élaboration de la machine M9, qui utilise des méthodes de prédiction et de lissage des courbes. Quatre-vingt-dix exemplaires de cette machine sont envoyées en Angleterre, où elles permettront la destruction de ¾ des missiles allemands V1. Au
moment de la libération, ce sont 900 exemplaires de cette machine qui seront opérationnels.
Le projet X.
Entre 1943 et 1945, il travaille pour un projet ultra confidentiel de cryptologie, le projet X ([28]), et la théorie de l'information sera élaborée à partir de ce travail. Cela lui donnera l'occasion de rencontrer Turing, puis Friedman au Signal Corp.
Le projet X a été maintenu secret jusqu'en 1975. Il s'agissait de développer un système de
69/92
chiffrement de la parole de confidentialité absolue, pour les communications stratégiques entre Roosevelt et Churchill. Ce projet est également connu sous le nom de code « Sigsaly » ou « Ciphony 1 » (Ciphering Telephony).
Il a été le premier système de traitement numérique de la parole. Shannon a montré, dans le cadre de ce projet, que la numérisation du signal, qui consiste à transmettre la valeur numérique du signal au
lieu du signal lui-même, est nécessaire pour que le chiffrement soit sûr. Il n'est pas possible d'assurer une sécurité totale en adjoignant un bruit aléatoire à un signal analogique en raison des corrélations résiduelles qui existent nécessairement entre le signal clair et le signal chiffré.
L'opération de réduction modulo 2, telle qu'elle appliquée dans le système de Vernam, vérifiant 1 + 1 = 0 est cruciale pour la sécurité. Une opération d'addition analogique, vérifiant 1+1=2, ne peut
pas masquer complètement l'information. Un signal chiffré d'intensité élevée correspond forcément à un clair d'intensité élevée, et de même lorsque le signal chiffré a une faible intensité.
Le vocoder, qui est au cœur de la transformation de la voix en données numériques avait été défini
dans son principe dès 1936 par H.W. Dudley, ingénieur aux Bell Labs. La qualité sonore était médiocre et convenait juste pour la compréhension du message. Un effort continu a été mené pour
l'améliorer.
Le premier prototype a été expérimenté en novembre 1941, lors d'une liaison transatlantique entre l'Angleterre et les États-Unis. Il a été achevé en août 1942.
Le système a été produit en plusieurs exemplaires et déployé à partir d'avril 1943, à Washington, Londres et en Afrique du nord. Il était constitué de 30 racks 7 pouces, fonctionnait avec tubes à vide
qui nécessitaient autour de 30 kilowatts d'énergie électrique, pour produire un signal utile de 1 milliwatt seulement. Il était capable de transmettre l'information à une vitesse de 1 500 bits par secondes.
Un second système plus petit, le « Junior X », ou AN/GSQ3, constitué seulement (!) de six racks 5 pouces, a commencé à être développé, mais n'a jamais eu le temps d'être opérationnel. C'est
exactement ce type de procédé qui est mis en œuvre aujourd'hui dans la téléphonie mobile.
Le développement de ces systèmes a été le point de départ de ce qui sera appelé la revolution numérique (The digital revolution).
Sa théorie mathématique de la communication est publiée en 1948, mais repose vraisemblablement sur ses travaux au sein du projet X. Son article Communication Theory of Secrecy Systems [27] est
publié en 1949, à partir d'un rapport confidentiel datant de 1946.
7.2 L'analogie entre système de communications et système de confidentialité.
Shannon mène de front des recherches en télécommunication dans le domaine commercial, à partir
de problème de bande passante pour la transmission de la parole, et également des recherches cryptologiques dans le domaine militaire. Il va établir un langage commun à ces deux domaines. Il
traitera de manière similaire, en utilisant les mêmes formulations mathématiques, le système cryptographique de confidentialité et le système de communication bruité. Dans les deux cas, une incertitude de même nature est introduite dans ces systèmes. L'une est le fait du bruit sur la ligne de
communication, l'autre est liée à l'ignorance par l'adversaire de la clé de chiffrement.
70/92
L'analogie entre les deux systèmes est explicitée.
Du point de vue du cryptanalyste, un système de chiffrement est presque identique à un système de communications bruité. Le message (signal transmis) est traité par un élément statistique, le système de chiffrement, avec sa clé choisie statistiquement. Le
résultat de cette opération est le cryptogramme (analogue du signal perturbé) sur le canal. Les principales différences sont d'abord que l'opération de chiffrement est
généralement d'une nature bien plus complexe que le bruit qui perturbe un canal, et ensuite que la clé d'un système de confidentialité est souvent choisie dans un ensemble fini, tandis que le bruit est introduit de manière continue, avec un effet choisi dans un
ensemble infini.
Shannon, Communication Theory of Secrecy Systems, 1949
7.3 Le langage comme un processus stochastique.
Une particularité des travaux de Shannon réside dans l'utilisation systématique de la théorie des
probabilités comme fondement pour élaborer une théorie de la communication.
Comme dans la théorie des communications, le langage est considéré comme étant représenté par un processus stochastique qui produit une suite discrète de symboles,
selon un certain système de probabilités. Associé à un langage, figure un certain paramètre D, que nous appelons la redondance du langage. D mesure en quelque sorte
Figure 5 Schéma du système de communication dans l'article de 1948.
Figure 6 Schéma du système de confidentialité dans l'article de 1949.
71/92
combien la longueur d'un texte du langage peut être réduite sans perdre d'information. Par exemple, dans les mots anglais, la lettre u suit toujours la lettre q, le u peut être supprimé sans aucune perte. Des réductions considérables sont possibles en Anglais, en
raison de la structure statistique de la langue, de la fréquence élevée de certaines lettres et de certains mots, etc. La redondance est d'une importance centrale dans l'étude des
systèmes de confidentialité.
C.E. Shannon, A Mathematical Theory of Communications, 1948
Le langage est modélisé comme une chaîne de Markov, dans lequel chaque symbole est généré avec une loi de probabilité qui dépend d'un nombre fini d'états déterminés par les symboles précédents.
La notion de redondance sera également au cœur du travail commun entre l'étude des systèmes de communications bruité et la cryptanalyse. La redondance signifie qu'il y a un plus grand nombre de
symboles effectivement transmis que ceux qui sont strictement nécessaires à la transmission de l'information. Dans la langue naturelle, la syntaxe est une source de redo ndance. La règle infaillible de Viète selon laquelle une voyelle est forcément présente parmi trois lettres successives d'un texte, illustre également la redondance dans une langue naturelle.
La redondance permet de corriger les erreurs de transmissions. Par exemple si on reçoit le mot « endépendance », on pourra deviner que le premier 'e' a été mal transmis. On comprendra
« indépendance ». C'est cette même redondance qui conduit le cryptanalyste à achever sa cryptanalyse après avoir obtenu assez d'informations pour deviner le reste des mots.
Les deux extrêmes de la redondance dans la prose anglaise sont représentés par l'anglais basique et par le roman Finnegan Wake de James Joyce. L'anglais basique a
un vocabulaire limité à 850 mots et la redondance est très élevée. Ceci est révélé par l'expansion qui survient lorsqu'on traduit un texte en Anglais basique. Joyce d'un autre côté développe le vocabulaire, obtenant ainsi une compression du contenu sémantique. (Shannon, cité par Kahn)
On peut estimer que dans la langue naturelle, 75% des lettres ne sont pas utiles. Ceci est illustré par Le poème suivant Death and Life de Charles Carrol Bombaugh, extrait de Gleanings for the
Curious from the Harvest - Fields of Literature, 1890. Il présente deux phrases qui ont 65% de lettres en commun, mais des sens complétement opposés :
cur f w d dis and p A sed iend rought eath ease ain bles fr b br and ag
- Un traître maudit a forgé la mort, la maladie et la souffrance. - Un ami béni a encore apporté souffle et aisance.
C'est cette même redondance qui donne l'appui au cryptanalyste. Dans la majorité des chiffreurs,
c'est uniquement la redondance qui assure l'unicité de la solution. Un texte peu redondant nécessitera beaucoup plus de cryptogramme pour trouver la solution qu'un texte très redondant.
Shannon établira une expression de la quantité requise de cryptogramme pour que la solution soit unique. Cette expression fait intervenir la redondance. Il appelle cette quantité la distance d'unicité. Il distinguera la probabilité a priori qui est issue des statistiques de la langue naturelle, de la
probabilité a posteriori, qui correspond aux probabilités sur les messages ayant pu produire un cryptogramme donné.
Dans un langage peu redondant, comme les numéros de téléphone, on répète pour ajouter de la
redondance et s'assurer que l'information a été reçue correctement. Le principe des codes correcteurs d'erreur est, de façon similaire, d'ajouter une redondance aux symboles transmis pour permettre une correction automatique des erreurs. C'est là la solution exposée par Shannon pour
lutter contre le bruit lors d'une transmission.
72/92
7.4 L'information et le sens du message.
La question de l'information transmise dans une communication électrique a été posée dès 1927 par Ralf Hartley (1888 – 1970), qui était électronicien au Bell Labs 25 . Hartley exprime la quantité
d'information contenue dans une donnée comme le logarithme du nombre de valeurs que cette donnée peut prendre. Hartley généralise la notion aux signaux analogiques :
Une courbe continue peut être pensée comme la limite approchée par une courbe faite
de pas successifs. Ralf Hartley, Transmission of Information, 1927.
Cette expression logarithmique a été reprise par Shannon. Le logarithme y est décrit comme la manière la plus « naturelle » d'exprimer cette information. Les arguments employés montrent le contexte d'ingénierie électronique dans lequel évoluaient Hartley et Shannon.
Des paramètres important de l'ingénierie comme le temps la bande passante, le nombre de relais, etc. tendent à varier linéairement en fonction du logarithme du nombre de possibilités.
Shannon. Mathematical Theory of Communications, 1948
Chez Shannon, la mesure de la quantité d'information transmise lors d'une communication est en relation directe avec la distribution de probabilité des symboles dans ce processus. Cette notion fait
abstraction du sens du message. Il serait faux d'affirmer que la notion de sens a disparu chez , il a seulement changé de point de vue. Son problème d'ingénieur est la maîtrise du système de communication, et non pas la communication entre des interlocuteurs particuliers pour qui
l'information a une signification dont le sens correspond à l'impact de cette information sur leur action.
Le problème fondamental de la communication est celui de la reproduction, en un point,
soit exactement soit approximativement, d'un message choisi en un autre point. Souvent, les messages ont une signification, en ce qu'ils se réfèrent ou sont corrélés selon un
système qui comprend certaines entités physiques ou conceptuelles. Ces aspects sémantiques de la communication ne sont pas pertinents pour le problème d'ingénierie. L'important est que le message réel est choisi dans un ensemble de messages possibles.
Le système doit être conçu pour fonctionner pour chaque choix possible, pas seulement celui qui sera effectivement fait car il n'est pas connu au moment de la conception.
C.E. Shannon, A mathematical theory of Communication 1948
7.5 Les « desiderata » des systèmes de chiffrement selon Shannon.
Shannon énonce les qualités idéales que devraient avoir un système de chiffrement, pour conclure
qu'elles apparaissent contradictoires en pratique, le niveau de sécurité impliquant une utilisation contraignante. Bien qu'il ait travaillé sur les données abstraites issues de la numérisation de la
parole, son objet d'étude reste encore l'ensemble des systèmes de chiffrements alphabétiques, monoalphabétiques ou polyalphabétiques, autoclave ou non de type Vigenère.
Il existe différents critères qui devraient être appliqués pour estimer la valeur d'un système de chiffrement qu'on propose. Les plus importants sont:
1. La quantité de secret. Certains systèmes sont parfaits – l'ennemi n'est pas plus avancé après avoir intercepté
n'importe quelle quantité de matériel qu'avant. D'autres systèmes lui apportent de l'information, mais ne conduisent pas à une solution unique pour le cryptogramme intercepté. Parmi les systèmes à solution unique, il existe de grandes variations quant à
la quantité de travail requis pour que la solution soit effective, et aussi dans la quantité
25Transmission of Information, Ralf Hartley, présenté au International Congress of Telegraphy and Telephony , au Lac
de Côme en Italie, en septembre 1927.
73/92
de matériel qu'il faut intercepter pour que la solution soit unique. 2. La taille de la clé. (…) Il est souhaitable d'avoir une clé aussi petite que possible.
3. La complexité des opérations de chiffrement et de déchiffrement. (…) si ces opérations sont faites manuellement, leur complexité conduit à une perte de
temps, des erreurs, etc. Si elles sont faite mécaniquement, la complexité conduit à des machines coûteuse. 4. La propagation des erreurs.
Dans certains types de chiffreurs, une erreur sur une lettre au chiffrement ou lors de la transmission conduit à un grand nombre d'erreurs dans le texte déchiffré. Les erreurs
étalées par l'opération de déchiffrement, causant une grande perte d'information, et le besoin de nombreuses répétitions du cryptogramme. Il est bien sûr souhaitable de minimiser la propagation des erreurs.
5. L'expansion du message. Sans certains types de systèmes de chiffrement, la taille du message est augmentée par
le procédé de chiffrement. Cet effet indésirable s'observe dans les systèmes où on essaye de noyer les statistiques sur le message en insérant de nombreuses lettres nulles. (…)
Shannon, Communication Theory of Secrecy Systems, 1949
Il étudie en particulier les systèmes parfaits. Un résultat de ses travaux est d'énoncer que le secret parfait est réalisé par le système de Vernam.
Shannon éprouve le besoin de préciser dans une note en bas de page, que le terme ennemi provient
des applications militaires de la cryptographie et est communément employé dans ce type de travaux pour désigner quiconque intercepte le cryptogramme. Cette justification lexicographique est
le signe de la position ambiguë vécue par Shannon, du scientifique ancré dans l'institution qu'il sert, mais œuvrant pour un objectif de vérité scientifique qu'il estime supérieur.
7.6 La mathématisation de l'ingénierie
L'objectif de Shannon et bien de présenter une théorie mathématique de l'objet de son étude. Il définit une algèbre sur les systèmes de chiffrement.
Un système de confidentialité peut être défini abstraitement comme un ensemble de
transformations d'un espace (l'ensemble des messages possibles) sur un second espace (l'ensemble des cryptogrammes possibles). (…)
Il existe deux opérations de combinaison naturelle pour produire un troisième système à partir de deux systèmes donnés. La première opération est appelé le produit et
correspond au chiffrement du message avec le premier système R, et chiffrer le cryptogramme résultant avec le second système S, les clés pour R et S étant choisie de manière indépendante. (…)
La seconde opération est « l'addition pondérée »
𝑇 = 𝑝𝑅 + 𝑞𝑄 𝑝 + 𝑞 = 1
Elle revient à faire un choix préalable sur la façon dont les systèmes R ou S seront utilisés, respectivement avec les probabilités p et q. Une fois que ceci est fait, R ou S sont utilisés comme ils ont été définis.
On montre que les systèmes de confidentialité, munis de ces deux opérations forment
une algèbre linéaire associative avec élément neutre, une variété algébrique qui a été très étudiée par les mathématiciens.
Shannon , Communication Theory of Secrecy Systems, 1949
Cette algèbre est présentée comme un cadre théorique pour décrire les combinaisons de divers procédés de chiffrement, transposition + substitution par exemple, et pour décrire leur cryptanalyse.
74/92
Il s'intéressera ensuite aux systèmes purs qui ne peuvent être décomposés. La composition de systèmes simples pour conduire à des systèmes complexes correspond à une préoccupation très ancienne. Elle est déjà décrite par Al Kindi qui distingue entre les systèmes simples et les systèmes
complexes, analysée par Vigenère, qui conclut à l'inutilité de composer deux substitutions simples. Elle est présentée ici sous une forme abstraite avec une approche probabiliste. L'apport effectif de
ce formalisme n'est pas clair, mais cette présentation abstraite est le signe de la volonté permanente de la part de Shannon, de donner une dimension mathématique aux problèmes d'ingénierie.
7.7 L'entropie
La notion d'entropie est au cœur de la théorie de l'information. Shannon définit l'entropie d'un processus aléatoire comme la quantité d'information qu'il peut produire. Il définit cette notion de
manière axiomatique, avec une volonté de construction mathématique rigoureuse, tout en justifiant les choix des axiomes avec le point de vue d'un ingénieur.
Supposons que nous ayons un ensemble d'événements possibles dont les probabilités
d'occurrence sont 𝑝1,𝑝2, … , 𝑝𝑛 .Ces probabilités sont connues, mais c'est tout ce que
nous connaissons sur l'événement qui va survenir. Peut-on trouver une mesure sur combien de « choix » est concerné dans la sélection de l'événement, ou sur l'incertitude que nous avons sur son issue ?
S'il existe une telle mesure, disons 𝐻(𝑝1,𝑝2, … , 𝑝𝑛 ) , il est raisonnable d'exiger les
propriétés suivantes : 1. H doit être continue en les 𝑝𝑖.
2. Si tous les 𝑝𝑖sont égaux,𝑝𝑖 =1
𝑛, alors H doit être une fonction croissante de n.
3. Si un choix est décomposé en deux choix successifs, le H original doit être la somme pondérée des valeurs individuelles de H. (…).
Théorème 2 : Le seul H qui satisfait les trois hypothèses ci-dessus est de la forme
𝐻 = −𝐾∑𝑖=1𝑛 𝑝𝑙log𝑝𝑖
où K est une constante positive. Shannon . Mathematical Theory of Communications, 1948
Le terme entropie pour désigner cette quantité, qui mesure en quelque sorte l'incertitude du résultat
d'une expérience aléatoire, vient d'une formule similaire que Ludwig Boltzmann a établi en 1872 dans sa théorie cinétique des gaz.
Plus tard, un autre choix d'axiomes conduira le mathématicien Afréd Rényi (1921 – 1970) à construire une toute une famille de fonctions d'entropie, dont l'une d'entre elle définira l'incertitude
d'une expérience aléatoire avec la probabilité de collision, confirmant l'importance de cette notion qu'avait déjà noté William Friedman avec son indice de coïncidence. L'entropie de Rényi est
aujourd'hui utilisée pour évaluer l'information résiduelle acquise par un adversaire qui observe les cryptogrammes.
7.8 La confusion et la diffusion.
C'est à Shannon que l'on doit également les critères de diffusion et de confusion pour la conception des fonctions de chiffrement. Ces notions sont encore aujourd'hui reprises pour évaluer la qualité
des fonctions de chiffrement.
Deux méthodes (autres que le recours à un système idéal) sont suggérées pour contrarier une analyse statistique. Nous appellerons ces méthodes la diffusion et la
confusion. Dans la méthode de diffusion, la structure statistique de M qui conduit à sa redondance est « dissipée » le long d'un grand domaine de statistique, c'est-à-dire dans
une structure statistique qui implique de longues combinaisons de lettres dans le cryptogramme. L'effet ici est que l'ennemi doit intercepter une gigantesque quantité de matériel pour piéger cette structure (…).
75/92
La méthode de confusion est de rendre la relation entre les statistiques simples de E et la description simple de K très complexe et très intriquée. (…)
Pour être plus précis, supposons que l'espace des clés comporte certaines « coordonnées naturelles » 𝑘1, 𝑘2, … , 𝑘𝑛qu'il (l'ennemi) souhaite déterminer. Il mesure,
disons un ensemble de statistiques 𝑠1,𝑠2, … , 𝑠𝑛, et elles sont suffisantes pour déterminer
les 𝑘𝑖. Cependant dans la méthode de confusion, les équations qui relient ces ensembles
de variables sont intriquées et complexes. Nous avons disons: 𝑓1(𝑘1,𝑘2, … , 𝑘𝑛) = 𝑠1
𝑓2 (𝑘1,𝑘2, … , 𝑘𝑛) = 𝑠1
⋮𝑓𝑚(𝑘1,𝑘2, … 𝑘𝑛) = 𝑠𝑚
et tous les 𝑓𝑖 impliquent tous les 𝑘𝑖 . Le cryptanalyste doit résoudre ce système d'équations simultanées – un travail difficile. (…)
La confusion ici est qu'un bon système de chiffrement devrait être pris à la fois pour
diffuser ou rendre confuse la redondance (ou les deux). Shannon , Communication Theory of Secrecy Systems, 1949
De façon assez grossière, dans une fonction de chiffrement constituée d'une transposition et d'une substitution, comme l'est par exemple le chiffre allemand ADFGVX de la première mondiale, la
qualité de confusion est assurée par la substitution, et la qualité de diffusion est assurée par la transposition.
Encore aujourd'hui, les justifications de résistance des fonctions de chiffrement reposent sur ces notions. La confusion repose sur les boîtes de substitution (S-boxes) qui sont des transformations
non linéaires et la diffusion repose sur des transformations linéaires. La notion de fonction de diffusion parfaite a été formalisée en 1993 sous le nom de multipermutation26.
26Claus-Peter Shnorr, Serge Vaudenay, Parallel FFT Hashing, actes du congrès Fast Software Encryption, FSE 1993,
pages 149 – 156.
76/92
8 La cryptologie à l'âge de l'électronique et de l'informatique
Au cours de la seconde guerre mondiale, la cryptologie a joué un rôle majeur, par le nombre de personnes impliquées, par les avancés scientifiques et techniques qu'elle a provoquées, et par la
structuration institutionnelle qui en a résulté.
Après le second conflit mondial, l'activité cryptologique va considérablement se développer, surtout
pour des raisons militaires, en raison à la fois du contexte historique et des avancées technologiques.
8.1 Le contexte de la guerre froide
Le théâtre d'opérations de la guerre froide entre les U.S.A et l'U.R.S.S. à partir de 1945, se déplace du Vietnam, à Berlin, à Cuba, voire jusque dans l'espace avec la course à la conquête spatiale. Cette mondialisation a imposé de gros moyens de communications, organisés en réseaux et protégés par
une cryptographie.
La N.S.A (National Security Agency), agence fédérale chargée de la sécurité des communications,
est créée le 4 novembre 1952, sous l'égide du président américain Harry Trumann, pour succéder à une agence qui était placée sous le contrôle du département de la défense, l'A.F.S.A. (Armed Forces Security Agency), qui avait été créé 20 mai 1945.
La N.S.A, avec environ 20 000 membres, est le plus important employeur mondial de mathématiciens et de cryptologues. La mission déclarée de la NSA figure sur son site internet
http://www.nsa.gov/about/mission/index.shtml :
La National Security Agency/Central Security Agency (NSA/CSS) guide le gouvernement en matière de cryptologie, ce qui englobe à la fois des produits et des
services concernant le renseignement de signaux (SIGINT Signal Intelligence) ainsi que l'assurance d'informations (IA Information Assurance), et comprend les opérations sur les réseaux d'ordinateurs (CNO Computer Network Operations), afin d'obtenir un
avantage ferme pour la Nation et nos alliés en toutes circonstances.
La création de cette agence, ainsi que de la C.I.A (Central Intelligence Agency), fondée en 1947,
montre l'attachement des autorités américaines à la question du renseignement.
8.2 Le développement de l'électronique et de l'informatique
Rappelons que Colossus, le premier gros calculateur électronique, a été réalisé pour la cryptanalyse des machines de Lorenz, qui étaient utilisées par l'armée allemande pour sécuriser ses communications d'infrastructure.
L'invention du transistor en 1947 par les américains John Bardeen (1908 - 1991), William Shockley (1910 - 1989) et Walter Brattain (1902 - 1987),
chercheurs aux Bell Labs, puis du circuit intégré en 1958 par Jack Kilby (1923 - 2005), employé de l'entreprise Texas Instrument a conduit à un développement considérable de l'électronique, puis de l'informatique.
L'informatique s'ouvre au grand public, avec l'invention en 1969 du microprocesseur par Marcian
Hoff et Frederico Faggin, de l'entreprise Intel, réalisé à l'aide de portes logiques dans la technologie à base de silicium développé par l'entreprise Fairchild en 1968.
Le premier processeur commercialisé le fut en 1971. Il s'agit du 4004, un processeur 4 bits, réalisé dans un circuit intégré de 2300 transistors.
Les progrès ont ensuite été très rapides:
- 1974 8080 6 000 transistors 2 MHz 6μ
- 1976 Zilog Z80 8 500 transistors 4 Mhz - 1979 8088 29 000 transistors 5 MHz 3μ - 1979 Motorola 68000 68 000 transistors 8 Mhz
77/92
L'apparition des premiers ordinateurs à usage personnel suit immédiatement:
- En 1980, l'entreprise anglaise Sinclair produit le microordinateur ZX80, équipé du processeur Z80 cadencé à 4 MHz, et d'une mémoire vive de 1 ko.
- En 1981, IBM (International Business Machine) lance le Personal Computer (PC), équipé du processeur 8088 cadencé à 4,77 MHz, et d'une mémoire vive de 16 ko.
- En 1984, la firme Apple lance le premier ordinateur personnel Macintosh, utilisant une souris et
une interface graphique. Il est équipé du processeur Motorola 68000 cadencé à 8 MHz, et de 128 ko de mémoire vive.
Une autre étape technologique va être franchie avec le dépôt le 15 mars 1974 par Roland Moreno
(1945-2012) d'un « objet portable à mémoire revendiquant des moyens inhibiteurs, un comparateur avec compteur d'erreurs et des moyens de couplage avec le monde extérieur » qui deviendra la carte à puce et aura un rôle essentiel dans la popularisation de la cryptologie. Deux ans plus tard, Michel
Ugon, ingénieur à la compagnie CII Honeywel Bull jette les bases de la carte à microprocesseur27 dont la première sera commercialisée dès 1979. Elle est adoptée par les banques françaises à partir de 1984, faisant considérablement baisser le taux de paiement frauduleux par carte.
L'apparition et la généralisation des ordinateurs a eu une influence co nsidérable sur l'ensemble des
activités humaines. La cryptologie n'échappe pas à cette révolution technologique. Du traitement de la langue écrite, la cryptologie devient un traitement d'informations qui peuvent être de nature
différente : son, images fixes ou en mouvement, etc. L'information traitée devient diverse et surtout abstraite. Le 0 et le 1 remplacent les alphabets des langues naturelles.
(…) les messages que nous voulons traiter cryptographiquement ont tout d'abord été traduits en une suite de chiffres binaires. Toute sorte d'information, que ce soient des
lettres, les sons musicaux ou le signal de télévision, peuvent être représentés par un codage binaire.
[29] Horst Feistel, Cryptography and Computer Privacy, 1973.
En même temps que l'ordinateur prend en charge le traitement des informations, il crée de nouveaux besoins de protection de la confidentialité des données traitées.
Du fait que les ordinateurs constituent, ou vont bientôt constituer une menace dangereuse sur la vie privée constitue une préoccupation croissante. Comme de
nombreux ordinateurs contiennent des données personnelles et sont accessibles à distance par des terminaux, ils sont vus comme un moyen sans pareil pour rassembler un grand nombre d'informations sur un individu ou sur un groupe.
[29] Horst Feistel, Cryptography and Computer Privacy, Scientific American, 1973
L'invention de l'ordinateur installe par ailleurs un nouveau rapport de force en cryptologie entre cryptographie et cryptanalyse. Depuis la cryptanalyse de la machine de Lorenz par l'ordinateur
Colossus, cette avancée technologique favorise considérablement le décryptement par rapport au chiffrement. Le dispositif de chiffrement est petit, portable, pratique à utiliser sur un théâtre d'opérations. A l'opposé les moyens de décryptement peuvent être lourds, coûteux, très performants, et mobilisent de très grosses ressources techniques et humaines.
Cette situation va changer avec l'évolution de la taille des machines dans un format qui va tendre à se réduire, jusqu'à la carte à puce, et qui va permettre de réaliser des opérations de chiffrement dans un circuit intégré unique et permettre d'intégrer des algorithmes de plus en plus complexes. D'autre
part, l'évolution de la puissance des machines va tendre à favoriser le chiffrement, par l'accroissement de différence entre le chiffrement, dont la complexité croît comme une puissance de
la taille des données traitées, et le décryptement dont la complexité peut être une exponentielle de cette taille (voir note en bas de la page 66).
27 Composant SPOM Self Programmable On-chip Microprocesseur.
78/92
8.3 Cryptographie institutionnelle et gouvernementale
Le système de Vernam est adapté au contexte du chiffrement des flux binaires. Il a été prouvé sûr par Shannon dans le cadre de la théorie de l'information. Il consiste à effectuer une addition modulo
2 entre le flux binaire du message clair et un flux binaire aléatoire, utilisé une seule fois, et partagé par les deux correspondants. Il est appelé One time pad (masque jetable).
L'inconvénient fondamental du système de Vernam est que pour chaque bit
d'information transmise, le destinataire doit avoir en sa possession à l'avance un bit d'information de clé. De plus, ces bits doivent être en une suite aléatoire qui ne peut pas être utilisée une seconde fois. Pour un gros volume de trafic, il s'agit là d'une restriction
sévère. Pour cette raison, le système de Vernam est réservé aux messages top-secrets. [29] Horst Feistel, Cryptography and Computer Privacy, 1973.
Le masque jetable sera utilisé notamment pour le chiffrement du téléphone rouge. Ce terme désigne
une liaison directe et chiffrée entre le les chefs d'état de l'URSS et des USA qui a été mis en place le 30 août 1963, après la crise des missiles de Cuba d'octobre 1962. Cette liaison était destinée à désamorcer les situations conflictuelles et marque le début de la détente entre les deux super
puissances. Il s'agissait d'abord d'un téléscripteur chiffré avec des bandes aléatoires transportées par valise diplomatique. Ces bandes étaient détruites après chaque utilisation.
La première liaison filaire utilisait le câble transatlantique TAT-1 suivant une piste Washington – Londres – Copenhague – Stockholm – Helsinki – Moscou. Une liaison secondaire par radio Washington – Tanger – Moscou existait également.
Cette liaison filaire par téléscripteur a été remplacée en 1978 par une communication téléphonique par satellite, utilisant le satellite américain Intelsat et le satellite soviétique Molniya II.
L'armée française va conserver longtemps des moyens de production de bandes aléatoires, à l'aide d'équipements appelés TAREC (Translation Automatique Régénératrice Et Chiffrante) réalisés par l'entreprise Sagem.
Les milieux militaires et gouvernementaux vont développer des procédés de chiffrement qui tenteront de se rapprocher le plus possible du système du masque jetable, qui comporte une preuve
de sécurité inconditionnelle. La clé aléatoire sera remplacée par une production pseudo-aléatoire de chiffres binaires à partir de la clé, comme cela était fait dans la machine de Lorenz. La machine Myosotis, développée en France à partir de 1956 par Jean-Pierre Vasseur à l'entreprise CSF
(Compagnie française de télégraphie Sans Fil), et présentée en 1961 à l'OTAN repose sur ce principe.
Myosotis est la première machine à chiffrer entièrement électronique, à base de
transistors au germanium. Elle est restée en exploitation pendant plus de 20 ans. Par sa conception, qui s'appuyait sur la meilleure approximation possible du secret parfait, elle fut certainement la meilleure machine cryptographique de son époque (…).
[23] Xavier Ameil, Jean-Pierre Vasseur et Gilles Ruggiu, Histoire de la machine Myosotis,
Actes du septième colloque sur l'Histoire de l'Informatique et des Transmissions.
La conception de la machine Myosotis montre sur quelle base théorique repose la conception des
systèmes de chiffrement destinés aux usages institutionnels, gouvernementaux et militaires en France pendant toute la fin du 20° siècle.
Jean-Pierre Vasseur et ses collaborateurs vont s’appuyer sur la théorie de Shannon en
validant leurs choix par des campagnes approfondies de tests statistiques. Plusieurs principes fondamentaux inspirés par Shannon les conduisent à créer partout où c’est possible
- de la confusion et de la diffusion entre les informations, - briser toute corrélation entre les données,
79/92
- recourir à des circuits et des logiques non linéaires, - faire jouer aux éléments secrets variables internes des rôles symétriques et
équivalents,
- rechercher au maximum l’équiprobabilité des variables, - garantir une période minimale suffisante de l’automate
André Cattieuw, journées « les enjeux de la cryptologie », Paris 8, 22 mai 2008
Sur le plan institutionnel, la cryptologie va rester une activité contrôlée par les états et la plupart des
pays occidentaux se dotent de structure pour la superviser : aux États Unis, la NSA (National Security Agency) est créé en 1952 par le président Harry Truman; en France, le Service Technique
Central des Chiffres (STCCh), dépendant du premier ministre, est créé en 1951. La mission de ces institutions était à la fois de développer et promouvoir une recherche cryptologique et d'en empêcher la prolifération, cette dernière étant considérée comme une arme. Ces agences se
réservent la connaissance cryptologique pour des usages militaires et diplomatiques, et assure le maintien d'une compétence en cryptanalyse effective, dotée de gros moyens de calc uls, afin de
résoudre les procédés cryptographiques étrangers, que ce soit à des fins militaires, ou commerciales pour procurer un avantage compétitif aux entreprises nationales. 28
8.4 Le DES (Data Encryption Standard)
Le besoin de protéger les communications et les données personnelles mémorisées sur les ordinateurs se fait de plus en plus pressant et pousse en 1973 le NBS (National Bureau of Standards)
à publier un appel à contributions pour définir un algorithme de chiffrement standard, qui serait utilisable par les entreprises qui ont besoin de protéger les fichiers et les communications sensibles. Cet appel d'offre a conduit à la standardisation en 1976 d'un algorithme de chiffrement pour l'usage civil, le DES (Data Encryption Standard), et d'une publication en janvier 1977.
Cette première publication à grande échelle d'un algorithme de chiffrement marque l'entrée de la cryptologie dans le domaine public et finalement la première réalisation effective du principe de Kerckhoffs selon lequel le procédé de chiffrement peut sans inconvénients être connu de tous.
L'entreprise IBM (International Business Machines) disposait d'une famille d'algorithmes, appelé
Lucifer qu'il propose pour cet usage. Ces algorithmes ont été mis au point à partir du début des années 197O par Horst Feistel (1915 – 1990), qui a fait une lecture différente des travaux de
Shannon, en privilégiant une autre famille de fonctions de chiffrement, qui convertit un message de n chiffres binaires en un cryptogramme de n chiffres binaires. Ces fonctions de chiffrement appelées block cipher (chiffrement par bloc) réalisent finalement une substitution simple, opérant sur des
mots binaires de n symboles binaires, soit un alphabet de taille 2𝑛.
L'inspiration de la conception du système Lucifer trouve son origine dans les travaux de Shannon et
également dans la tradition de la conception des procédés de chiffrement, dont le chiffre allemand ADFGVX, composé d'une transposition et d'une substitution est un exemple. Transcrit en termes de chiffres binaires, les transpositions sont obtenues par câblage, elles sont appelées permutation.
Dans une section sur la conception pratique de chiffreurs, Shannon a introduit la notion
de mélange de transformation qui implique une façon particulière de composer des transformations. (…) La façon dont les principes de confusion et de diffusion interagissent pour conduire à la
force cryptologique peut être décrite comme suit. Nous avons vu qu'une substitution générale ne peut pas être réalisée pour les grandes valeurs de n, disons n=128, et nous
28 Il existe des exemples avérés de contrats perdus du fait de l'interception de message commerciaux confidentiels,
comme la perte par l'entreprise française Thomson-CSF du marché brésilien de la surveillance radar des aéroports en
1994.
80/92
devons établir un schéma de substitution de taille pratique. Dans le système IBM appelé Lucifer, nous avons choisi n=4. (…) Nous avons également vu qu'une boîte de permutation linéaire est facile à construire,
même pour n=128. Dans le système Lucifer, la donnée d'entrée passe à travers des couches alternées de
boites, étiquetées P et S. P est pour boite de permutation où n est un grand nombre (64 ou 128) et S pour boîte de substitution.
[29] Horst Feistel, Cryptography and Computer Privacy
La difficulté à surmonter dans la conception
de ce type de chiffrement est la réalisation d'une transformation inversible qui opère sur
de grands blocs de données, n = 64 ou 128 bits, et qui satisfait les propriétés de diffusion et de confusion.
Les solutions proposées à cette époque
montrent que la cible technologique des concepteurs est la logique câblée. L'algorithme est destiné à être réalisé par un circuit
électronique spécifique, fait de portes logiques convenablement agencées.
La définition du DES est bien adaptée à ce
mode de réalisation, mais elle s'avérera moins efficace lorsqu'il s'agira de le réaliser par programmation dans des ordinateurs ou des calculateurs embarqués.
IBM mettra au point plusieurs versions de son algorithme Lucifer, et l'un d'entre eux est proposé pour concourir à l'appel d'offre du
NBS pour le DES. Il repose sur un procédé de réaliser des transformations inversibles sur des
grands blocs de chiffres binaires. Ce système est appelé aujourd'hui réseau de Feistel.
La NSA a imposé des modifications sur l'algorithme Lucifer d'IBM, en particulier en imposant une taille de clé réduite à 56 bits au lieu des 112 bits initiaux, ce qui autorise la reche rche exhaustive des
256 clés par des institutions disposant de très puissants moyens de calculs, et permet le contrôle des communications chiffrées. La NSA a également imposé une modification des boîtes de substitution non linéaires, ce qui a pesé comme un soupçon. La NSA a-t-elle introduit une porte dérobée dans le
DES de manière à pouvoir être seule à pouvoir résoudre les cryptogrammes produits ? La communauté cryptographique a recherché des attaques contre le DES et il s'est avéré que les boîtes
de substitution imposée par la NSA étaient conduisaient à une résistance plus importante du DES à ces cryptanalyses, faisant du DES un algorithme très solide. Aujourd'hui encore, la meilleure cryptanalyse contre le DES reste la recherche exhaustive de la clé.
L'URSS disposait de son côté d'un algorithme de chiffrement standard alternatif au DES, appelé GHOST, conçu à partir de 1970 et maintenu secret jusqu'en 1990.
Le standard DES, a été remplacé en 2001 par l'AES (Advanced Encryption Standard), à la suite d'un appel d'offre international lancé par le NIST (National Institute of Standards and Technology) en janvier 1997, et à une évaluation publique qui a duré plus de 4 ans.
81/92
9 La révolution des clés publiques.
Les vraies mathématiques n'ont aucun effet sur la guerre. Personne n'a encore trouvé un objectif militaire qui serait dépendant de la théorie des nombres.
G. H. Hardy, The mathematician's Apology, 1940
En 1976, Whitfield Diffie, et Martin Hellman, du Department of Electrical Engineering, à
l'université de Stanford en Californie, ont publié un article intitulé New Directions in Cryptography [5], qui va bouleverser la cryptologie et dont l'introduction commence ainsi:
Nous sommes aujourd'hui à l'aube d'une révolution en cryptographie.
Cet article marque le point de départ d'une nouvelle ère dans la cryptographie, qualifiée de
paradoxale par Jacques Stern, médaille d'or CNRS en 2008 pour ses travaux en cryptographie. La confidentialité repose sur des données publiques. Cette nouvelle cryptographie réduit au maximum
la part secrète, poussant jusqu'à son extrême le mouvement amorcé par Kerckhoffs qui énonçait que le procédé de chiffrement devait pouvoir sans dommage tomber entre les mains de l'ennemi. Maintenant, la clé de chiffrement elle-même devient une donnée qui peut être connue de tous.
Le secret est au cœur de la cryptographie. Pourtant, au début de la cryptographie, il y
avait un flou à propos de ce qui devait être gardé secret. Les crypto-systèmes tels que le chiffre de César (où chaque lettre est remplacée par celle située trois places plus loin, A
devenant ainsi D, B devenant E, etc.) dépendaient, pour leur sécurité, du fait que tout le processus de chiffrement soit gardé secret. Après l'invention du télégraphe, la distinction entre un système général et une clé spécifique a permis que le système
général puisse être compromis, par exemple par le vol d'un appareil cryptographique, sans que les futurs messages chiffrés avec de nouvelles clés ne le soient. Ce principe a été codifié par Kerckhoffs, qui a écrit en 1883 que compromettre un système
cryptographique ne devrait entraîner aucun inconvénient pour les correspondants. Autour des années 1960, des crypto-systèmes furent mis en service, et qui étaient
estimés assez solides pour résister à une attaque cryptanalytique à clair connu, éliminant ainsi l'inconvénient de garder secrets les anciens messages. Chacun de ces développements a fait décroître la portion du système qui devait être préservée de la
connaissance publique, en éliminant les expédients laborieux tels que la paraphrase des dépêches diplomatiques avant qu’elles ne soient présentées. Les systèmes à clé publique sont dans le prolongement naturel de ce courant vers la diminution de la sphère secrète.
[5] Diffie & Hellman, New Directions in Cryptogaphy, 1976
9.1 Contexte
Le 4 octobre 1957, l'Union Soviétique procède au lancement du premier satellite artificiel, le
Spoutnik. Cet événement d'une grande portée scientifique et technologique provoque un traumatisme aux États Unis, qui craignent que l’URSS puisse envoyer un missile nucléaire sur le
leur territoire. Ils créent, en réaction dès 1958, l'Advanced Research Project Agency (ARPA) dont la mission est de combler le retard américain dans le domaine de la conquête spatia le et de l’armement.
Une des missions de l'ARPA sera de développer à partir de 1962, le réseau ARPANET dont l'objectif est de relier les ordinateurs du ministère de la défense américain entre :
- le Pentagone, quartier général du département de la défense américain, situé en Virginie près de la ville de Washington,
- Cheyenne Mountain, siège du Crystal Palace, situé près des sources du Colorado, chargé de la collecte des données provenant de la constellation des satellites américains, et
- le quartier général de commande aérienne stratégique, le Strategic Air Command Headquarter
(SACHQ), qui est l'établissement qui contrôle les bombardiers stratégiques et des missiles
82/92
porteurs de l'arsenal nucléaire américain, situé à Washington.
Ce réseau constitue l'embryon de ce qui deviendra internet et pose de nouveaux problèmes quant à la sécurisation des communications. Comment partager une clé avec une entité lointaine sans accointance préalable ?
Jusqu'en 1973, Whitfield Diffie a travaillé à l'université de Sandford sous la direction de John McCarty sur un projet financé sur le budget ARPA.
9.2 Les points marquants de cette période
Cette période est marquée par une utilisation généralisée de mathématiques de plus en plus élaborées, en particulier de domaines de mathématiques dites pures, dont on croyait qu'elles n'étaient développées que pour l'honneur de l'esprit humain, selon l'expression de Charles Gustave Jacob Jacobi (1804 – 1851), reprise par Jean Dieudonné.
Fourier avait l'opinion que le but principal des mathématiques était l'utilité publique et l'explication des phénomènes naturels; mais un philosophe comme lui aurait dû savoir que le but unique de la science, c'est l'honneur de l'esprit humain, et qu'à ce titre, une
question de nombres vaut autant qu'une question de système du monde. Lettre du 2 juillet 1830 de Jacobi à Legendre
Outre la théorie des nombres et la géométrie algébrique, cette nouvelle cryptologie fait un usage intensif de l'informatique, des algorithmes algébriques sophistiqués et de la théor ie de la complexité.
Les mathématiciens sont mis à contribution. De nombreux problèmes anciens, comme la factorisation des entiers, ou les tests de primalité, qu'avaient traité Fermat, Frénicle et Mersenne au 16° siècle, redeviennent d'actualité et de grands progrès sont réalisés pour leur résolution : les
algorithmes de factorisation des entiers, ou de calcul de logarithme dans des corps finis passent d'une complexité exponentielle à une complexité sous-exponentielle ; le premier test de primalité déterministe de complexité polynomiale voit le jour en 2002, découvert par les mathématiciens indiens Manindra Agrawal, Neeraj Kayal et Nitin Saxena.
La cryptologie devient une application qui justifie l'activité des mathématiciens. Cette situation s'inverse par rapport aux références aux théories mathématiques dont cherchait à s'auréoler Claude Shannon pour appuyer son travail sur la cryptologie.
La cryptologie elle-même devient une matière publique. Les états perdent le monopole qu'ils détenaient sur les formations et les compétences. Les premiers congrès publics en cryptologie sont organisés à partir de 1981, par l'International Association for Cryptographical Research (IACR).
Les premières formations universitaires en cryptologie voient le jour en France : en 1985 à Limoges, en 1988 à Grenoble, et bien d'autres encore, avant d'entrer à Paris 8 en 2005.
Des formations en cryptologie existaient auparavant, mais elles étaient organisées par les services gouvernementaux du chiffre et étaient réservées au personnel, militaire ou civil, ayant à utiliser un moyen de chiffrement dans le cadre de son activité professionnelle.
L'article de Diffie et Hellman se termine comme un appel :
Nous espérons que ceci inspirera d'autres travaux sur ce fascinant sujet où la participation a été découragée dans le passé récent par un monopole gouver-nemental presque total.
La cryptologie envahit beaucoup de domaines de la vie quotidienne. Elle est présente partout, et
souvent son utilisateur n'est pas conscient de son utilisation : téléphonie mobile, démarrage des véhicules, connexion à certains sites internet, authentification des cartes bancaires, titres de
transport en commun, carte vitale, passeport biométrique. Elle a perdu la gestuelle qui existait dans les méthodes traditionnelle et la présence imposée par les machines à chiffrer électromécaniques et des premières machines électroniques. Elle se fait discrète, présente pour protéger un modèle
83/92
économique, comme la télévision à péage, ou pour donner confiance aux utilisateurs de l'économie numérique.
Bien que ses fondateurs Diffie et Hellmann aient été motivés par la protection de la vie privée, elle est principalement aujourd'hui au service des gouvernements, des entreprises et des institutions.
La cryptologie n'est plus confinée au problème de la confidentialité. Elle permet d'assurer d'autres
services de sécurité : - authentification : signature numérique que tous peuvent vérifier, mais que seul le signataire
légitime peut produire,
- non répudiation : le signataire ne peut pas nier avoir signé, - preuves de détention d'une information sans aucune divulgation sur cette information.
- signatures de groupes, - chiffrement et signature avec l'identité, vérifiable avec le nom du signataire, - partage de secret à seuil,
- signature anonyme et monnaie électronique, - vote électronique,
- La mise en gage. - Le chiffrement homomorphique qui autorise la manipulation de données chiffrées.
Ces nouveaux services posent des problèmes sociaux et présentent des risques technocratiques nouveaux. Quel est le sens d'une procédure de vote électronique, fondement de la démocratie, et qui ne serait pas compris, maitrisé et accepté par l'ensemble de tous les citoyens ?
9.3 Les pionniers
Les anglais du GCHQ. Le chiffrement à clé publique a été étudié sous couvert de confidentialité
en Angleterre à partir de 1969 au sein du groupe CESG (Communications Electronics Security Group) du GCHQ (Government Communications Headquaters), qui est l'établissement en charge de la cryptologie militaire en Grande Bretagne. Il s'agissait de résoudre le délicat problème de la
transmission des clés à distance pour assurer une liaison sécurisée.
A partir de considérations sur le bruit, James Ellis établit dès 1969 la possibilité de chiffrer sans
secret (Non secret encryption). Il envisage également la possibilité que le récepteur transmette la clé de déchiffrement de manière chiffrée, pour être utilisée ainsi pour le chiffrement, mais que le déchiffrement nécessite qu'elle soit en clair. Ces réflexions resteront à l'état de recherche sans
solution effective jusqu'en 1973.
Le 20 novembre 1973, une solution mathématique reposant sur la théorie des nombres a été
proposée par Clifford Cocks. Elle repose sur l'élévation à la puissance n modulo n :
Si n est le produit de deux grand facteurs premiers𝑝1et𝑝2 , que𝑝1ne divise pas 𝑝2 − 1et
𝑝2 ne divise pas 𝑝1 − 1, alors la fonction permute l'anneau ; la fonction est inversée par
84/92
la puissance x-ième, où x est le plus petit entier tel que𝜆(𝑛) = 𝑝𝑝𝑐𝑚(𝑝1 − 1, 𝑝2 − 1) divise 𝑥𝑛 − 1.
Il s'agit d'une instance particulière du RSA, qui sera publié par Rivest, Shamir et Adelman en 1978.
Le 21 janvier 1974, pour chiffrer sans secret, Malcom Williamson propose un système de chiffrement à double cadenas, reposant sur la commutativité de l'exponentielle sur un corps fini.
Pour transmettre un message m de A à B :
- A choisit secrètement un exposant a et transmet𝑚𝑎 , de façon imagée, il a enfermé le message
dans une boîte qu'il a fermée avec le cadenas a.
- B choisit son propre exposant secret b et transmet (𝑚𝑎 )𝑏, ce qui revient à ajouter le cadenas b à la boite.
- A transmet ((𝑚𝑎)𝑏)1 𝑎⁄ = 𝑚𝑏 , ce qui revient à ôter son propre cadenas.
- B peut finalement ôter son propre cadenas et avoir accès au message.
Le 10 août 1976, Malcom Williamson propose un système de mise à la clé utilisant les exponentielles modulaires dans de grands groupes finis, découvrant ce qui sera publié par Diffie et Hellman la même année.
Ces travaux ont été maintenus secrets en raison de la culture du secret qui prévaut dans les agences gouvernementales de cryptologie qui donne un caractère confidentiel à ce type de recherche. Cette
antériorité ne sera dévoilée que le 18 décembre 1997, lors d'un congrès à Cirencester en Angleterre.
Les premiers travaux de Merkle. La première trace écrite non classifiée de la distribution publique des clés et de la cryptographie à clé publique date de l'automne 1974, sous la forme d'un
projet de travaux d'études, accompagnant le cours de sécurité informatique à l'université de Berkeley, proposé par Ralf Merkle, à la suite de l'obtention de sa licence (Bachelor of Art). Cette
proposition d'étude n'a pas été retenue par son professeur Lance Hoffmann, mais Merkle a continué à travailler sur ce sujet, et a apporté une contribution majeure à l'élaboration de la notion de cryptographie à clé publique [30]. Le sujet qu'il propose d'étudier est le suivant :
Sujet : établir des communications sures entre deux sites sécurisés séparés, à travers une ligne de communications non sécurisée.
Hypothèse : Aucun arrangement préalable n'a été fait entre les deux sites, et il est supposé que toute information connue par chaque site est connue de l'ennemi. Les sites, cependant, sont maintenant sécurisés, et toute nouvelle information ne sera pas
divulguée.
Merkle ne propose pas de solution dans cette proposition de travaux, mais expose le principe sur
lequel ce type de solution peut reposer, à savoir un avantage calculatoire des deux sites sur l'ennemi.
Si les deux sites veulent consacrer 10 fois l'effort, tout ennemi doit consacrer 100 fois l'effort pour craquer le code. Il sera donc possible d'établir un lien en 100 secondes qui
restera sûr pendant environ 100 jours.
9.4 Les nouvelles orientations de la cryptographie
L'article New Directions in Cryptography de Whitfield Diffie et Martin E. Hellman [5] a été transmis pour publication le 3 juin 1976. Des portions de ce travail ont été présentées au workshop IEEE29 sur la théorie de l'information à Lenox dans le Massachusetts du 21 au 24 juin 1975, puis au
symposium IEEE sur la théorie de l'information qui s'est tenu à Ronneby en Suède du 21 au 24 juin 1976.
29 IEEE, prononcer « I-tro is-E », ou « I-triple-E » avec l’accent anglais, Institute of Electrical and Electronics Engineers,
né de la fusion le 1er janvier 1963 de l'American Institute of Electrical Engineers et de l'Institute of Radio Engineers.
Cet institut a une activité de publications de revues, d'organisation de conférences et d'établissement de normes.
85/92
W. Diffie et M. E. Hellman travaillaient alors au département d'ingénierie électrique de l'Université de Stanford. Diffie a été employé de l'entreprise de défense The Mitre Corporation qui lui a valu une exemption de son service militaire pour le Vietnam. Il a ensuite travaillé au MIT, où il a côtoyé
des pirates informatiques (hackers), le sensibilisant aux problèmes de protection des données privées sur les ordinateurs. L'intérêt pour la cryptographie lui vient de son travail à Stanford pour
John McCarty. Il a ensuite été recruté comme programmeur de recherche dans l'équipe de Martin Hellman.
L'article de Diffie et Hellman est très riche et visionnaire. Les parties en italique de ce paragraphe
sont des extraits de cet article. Il va alimenter la recherche en cryptologie pendant les décennies qui vont suivre. Bien avant le développement généralisé de l'internet, au moment où commence juste à se développer l'informatique personnelle, l'introduction annonce:
Le développement des réseaux de communication contrôlés par ordinateur permet d'envisager des contacts faciles et peu coûteux entre des personnes ou des ordinateurs situés d’un bout à l’autre de la planète, remplaçant de nombreux courriers et voyages
par des télécommunications. Dans de nombreux cas, il est indispensable de sécuriser ces échanges à la fois contre des oreilles indiscrètes et contre l’injection malveillante de
faux messages. La résolution de ce problème de sécurité est aujourd’hui très en retard par rapport à d'autres problèmes de technologie de la communication. La cryptographie actuelle est incapable de satisfaire ces exigences en ce sens que sa mise
en œuvre impose de sérieux inconvénients aux utilisateurs du système, jusqu’à ruiner bon nombre des bénéfices du télétraitement.
Le principe de la cryptographie à clé publique est introduit pour résoudre ce problème. Il est illustré par l'image du cadenas que tout le monde peut fermer, mais qui nécessite une clé pour l'ouvrir.
Dans un cryptosystème à clé publique, le chiffrement et le déchiffrement sont gouvernés
par deux clés distinctes, E et D, telles que le calcul de D à partir de E soit calculatoirement irréalisable (nécessitant par exemple 10100 instructions). La clé de
chiffrement E peut donc être publiquement divulguée sans compromettre la clé de déchiffrement D. Chaque utilisateur du réseau peut donc placer sa clé de chiffrement dans un répertoire public. (...) Une conversation privée peut ainsi avoir lieu entre deux
individus même s'ils n'ont jamais communiqué auparavant. Chacun envoie des messages à l'autre, chiffré avec la clé de chiffrement publique du destinataire, et déchiffre les messages qu'il reçoit avec sa propre clé de déchiffrement.
Le prix à payer est la perte de la sécurité inconditionnelle. Tout adversaire dispose des informations
qui lui permettent de calculer la clé de déchiffrement. Ce qui lui manque, c'est le temps pour effectuer un tel calcul. La sécurité devient calculatoire.
Nous dirons qu'une tâche est calculatoirement irréalisable si son coût en temps de
calcul et en espace mémoire est fini mais trop grand pour être envisagé.
Pour cette raison, et sans doute également en raison de l'attachement à la culture du secret, les milieux militaires ont exprimé des réticences à l'utilisation de la cryptographie à clé publique.
Diffie et Hellman proposent quelques pistes pour résoudre ce problème et introduisent ce qui est
connu aujourd'hui sous le nom d'échange de clé Diffie-Hellman. Il s'agit d'un mécanisme de distribution publique des clés.
(…) deux utilisateurs qui souhaitent échanger une clé, communiquent mutuellement jusqu'à ce qu'ils s'accordent sur une clé commune. Si l'oreille indiscrète d'une tierce
partie capte cet échange, il doit lui être calculatoirement irréalisable de calculer la clé à partir des informations captées.
Le mécanisme qu'ils proposent repose sur la difficulté supposée de calculer le logarithme d'un
élément dans le corps des entiers modulo q. Ils le décrivent ainsi:
86/92
Un utilisateur produit un nombre aléatoire indépendant Xi choisi uniformément dans
l'ensemble des entiers {1,2,....,q}, qu'il garde secret, mais place :
(7) Yi = α Xi mod q
dans un fichier public avec son nom et son adresse. Lorsque les utilisateurs i et j veulent communiquer en privé, ils utilisent :
(8) Kij = α Xi Xj mod q comme clé
L'utilisateur i obtient Kij en se procurant Yj dans le répertoire public, et on a :
(9) Kij = Yj Xi mod q
(10) = ( α Xj) Xi mod q
(11) = α XjXi mod q
L'utilisateur j obtient Kij de la même manière :
(12) Kij = Yi Xj mod q
Un autre utilisateur doit calculer Kij à partir de Yi et Yj , par exemple en calculant :
(13) 𝐾𝑖𝑗 = 𝑌𝑖 log𝛼𝑌𝑗 mod q
Nous voyons ainsi que si les logarithmes modulo q sont faciles à calculer, alors le
système peut être cassé. Bien que nous n'ayons pas de preuve générale de la réciproque (c-à-d. que le système soit sûr si les logarithmes modulo q sont difficiles à calculer),
nous ne voyons aucune manière de calculer Kij à partir de Yi et Yj sans obtenir d’abord
soit Xi soit Xj.
Ce qui est exploité pour définir la sécurité de ce mécanisme est la dissymétrie de complexité algorithmique entre une élévation à la puissance et l'opération réciproque qui est le calcul du
logarithme. En 1976, les meilleurs algorithmes de calcul de logarithme discret dans le corps des entiers modulo q avaient une complexité exponentielle en la taille du plus grand facteur premier de l'entier q - 1 alors que l'élévation à puissance a une complexité cubique.
Lorsqu'un algorithme sous-exponentiel a été découvert pour le calcul du logarithme dans un corps
fini, Koblitz et Miller ont proposé en 1985, indépendamment d'un de l'autre, l'utilisation d'autres opérations de groupes finis moins structurés, comme le groupe des points d'une courbe elliptique sur un corps fini.
L'exponentiation constitue un exemple de fonction à sens unique.
Plus précisément une fonction f est une fonction à sens unique, si pour tout argument x
du domaine de f, il est facile de calculer la valeur correspondante f(x), alors que, pour presque tous les y dans l'éventail des valeurs de f, il est calculatoirement impossible de
résoudre l'équation 𝑦 = 𝑓(𝑥)pour obtenir un argument x convenable.
La notion de fonction à sens unique est introduite pour résoudre le problème de l'authentification. La cryptologie n'est plus limitée à sa fonction traditionnelle de confidentialité.
Un second problème, susceptible d'une solution cryptographique, est celui de
l'authentification. Il intervient lorsqu'on souhaite remplacer les communications d'affaires actuelles par des systèmes de télécommunications. Dans les affaires en
général, la validité des contrats est garantie par des signatures. Un contrat signé sert comme preuve légale d'un accord que son détenteur peut présenter devant un tribunal si nécessaire. Mais l’utilisation de ces signatures suppose que ces contrats écrits soient
transmis et conservés. Pour remplacer ce document papier par une solution purement digitale, chaque utilisateur doit pouvoir produire un message dont l'authenticité est
vérifiable par n'importe qui, mais qui ne peut avoir été produit par personne d'autre, pas même le destinataire.
Ce type d'authentification est par nature asymétrique. Seul le signataire peut produire une signature
87/92
avec une clé privée qu'il est seul à connaître. Tout le monde peut vérifier la signature ainsi produite avec une clé de vérification publique et connue de tous.
Ils n'arrivent pas à proposer de telle fonction dans leur article. Il faudra attendre 1978 et la publication par R. L. Rivest, A. Shamir et L. Adleman, chercheurs au MIT, de leur article A Method
for Obtaining Digital Signatures and Public-Key Cryptosystems, décrivant ce qui allait devenir le système RSA, pour voir la première description effective de fonction à sens unique avec porte
dérobée. Cette fonction est applicable pour réaliser des signatures électroniques. Pour présenter simplement, disons que l'élévation au cube modulo un produit n de deux nombres premiers est une fonction à sens unique lorsque la factorisation de n est inconnue, mais lorsque la factorisation de n
est connue, il est possible d'extraire les racines cubiques avec un algorithme efficace. La connaissance de la factorisation de n constitue la porte dérobée.
La sécurité n'étant plus que calculatoire, la complexité des algorithmes est un élément crucial pour déterminer la sécurité d'un système cryptographique à clé publique. L'article introduit les éléments
de théorie de la complexité qui a émergée dans la décennie précédente, en suggérant des pistes de recherche pour définir des fonctions à sens unique.
On dit qu'une fonction appartient à la classe P (pour Polynomial) si elle peut être
calculée par une machine de Turing déterministe en un temps qui peut être majoré par une certaine fonction polynomiale de la longueur de son entrée. Beaucoup de problèmes se présentent en ingénierie, qui ne peuvent être résolus en
temps polynomial par aucun procédé connu, sauf à les exécuter sur un ordinateur doté d'un degré illimité de parallélisme. Ces problèmes peuvent ou non appartenir à la
classe P, mais appartiennent à la classe NP (pour Nondeterministic Polynomial) (…). Il est clair que la classe NP contient la classe P, et une des grandes questions ouvertes de la théorie de la complexité est de savoir si la classe NP est strictement plus grande que la classe P.
Parmi les problèmes NP certains, comme la satisfaisabilité des systèmes d'équations booléennes (problème SAT), sont appelés NP-complets, car tous les problèmes NP peuvent s'y ramener par une réduction dont la complexité reste polynomiale. Tout naturellement Diffie et Hellman suggèrent d'utiliser ce type de problème prometteur pour la cryptographie.
La cryptographie peut se tirer directement de la théorie de la complexité NP, en examinant la manière dont les problèmes NP complets peuvent être adaptés à un usage
cryptographique. En particulier, il existe un problème NP complet, appelé problème du sac à dos, qui se prête bien à la construction de fonctions à sens unique. Soit y = f(x) = a.x, où a est un vecteur connu de n entiers (a1, a2,...,an) et x un vecteur
binaire de dimension n. Le calcul de y est simple, il fait appel à une somme d'au plus n entiers. Le problème de l'inversion de f est connu sous le nom de problème du sac à dos, il nécessite de trouver un sous ensemble des {ai} dont la somme est y.
Dans la décennie qui a suivi la publication de cet article, une partie de la recherche en cryptographie a consisté à définir un système à clé publique reposant sur le problème du sac à dos. Il existe des instances faciles du problème du sac à dos, qui sont appelés des sacs à dos super
croissants. Une fonction à sens unique à porte dérobée est définie à partir d'un tel sac à dos super croissant, en cherchant à camoufler sa structure super croissante par une transformation algébrique
avec des paramètres secrets qui constituent la porte dérobée. L'espoir est que l'instance camouflée n'ait pas d'autre résolution que la résolution générale, qui est d'une grande complexité en raison de la NP-complétude du problème général. Malgré les efforts des chercheurs, aucun de ces systèmes ne s'est avéré présenter une sécurité suffisante.
9.5 Le RSA
Le RSA a été présenté la première fois au public en août 1977, dans la rubrique des jeux
88/92
mathématiques de la revue Scientific American, animée par Martin Gardner. L'article s'intitulait A new Kind of cypher that would take Millions of years to Break . Il expliquait le principe de ce nouveau mode de chiffrement.
Soit un entier N, égal à un produit de deux nombres premiers p et q distincts, et e un entier premier avec p - 1 et q - 1. L'élévation d'un entier à la puissance e est réalisable avec la connaissance de N,
par contre, l'extraction des racines eème nécessite aujourd'hui encore la connaissance de la factorisation de l'entier N.
Un défi était adressé aux lecteurs sous la forme d'un entier N de 129 chiffres décimaux, appelé , qui
constituait la clé publique du système. L'entier N, égal au produit de deux nombres premiers qui en constituaient la clé privée était :
N = 114 381 625 757 888 867 669 235 779 976 146 612 010 218 296 721 242 362 562 561 842 935 706 935 245 733 897 830 597 123 563 958 705 058 989 075 147 599 290 026 879 543 541
Le détail de l'algorithme n'était pas précisé dans l'article par manque de place. Martin Gardner
proposait aux lecteurs intéressés de s'adresser au MIT qui leur enverrait un Technical Memo, référence MIT/LCS/TM-82, en date du 4 avril 1977, précisant les détails du calcul. Les auteurs
furent surpris de recevoir plus de mille demandes. Beaucoup furent sans réponse. Une version simplifiée de ce mémoire technique figurera dans l'article de 1978 A Method for Obtaining Digital Signatures and Public-Key Cryptosystems [31].
Le système RSA a relancé l'intérêt des chercheurs pour les algorithmes de factorisation des entiers. Des progrès considérables ont été obtenus à partir de cette période.
1644 Fermat exponentielle 𝑂(√𝑛)
1926 Kraitchik exponentielle 1971 Fractions continues sans doute exponentielle 1982 Crible quadratique sous-exponentielle 𝑂(√ln𝑛lnln𝑛)
1988 – 1996 Crible algébrique sous-exponentielle 𝑂(𝑘ln𝑛1/3lnln𝑛2/3 )
avec 𝑘 = (64/9)1/3
L'entier de 129 chiffres qu'on aurait dû mettre des millions d'années à être factoriser l'a été le 24 avril 1994, soit seulement 17 ans plus tard, par une équipe dirigée par Lenstra qui a fait travailler
600 ordinateurs. Les facteurs de l'entier N de l'article de Martin Gardner sont:
p1 = 3 490 529 510 847 650 949 147 849 619 903 898 133 417 764 638 493 387 843 990 820 577
p2 = 32 769 132 993 266 709 549 961 988 190 834 461 413 177 642 967 992 942 539 798 288 533
Les raisons de cette surprenante rapidité à trouver une factorisation qu'on tenait pour impossible quelques années auparavant tiennent :
- certes aux progrès mathématiques effectués pour résoudre le problème de la factorisation, mais surtout,
- à l'étonnant progrès de la puissance de calcul des ordinateurs, qui suivait à cette époque une loi empirique dite « loi de Moore », énoncée pour la première fois dans le numéro du 19 avril 1965 de la revue Electronics par Gordon E. Moore, alors directeur de la recherche et développement à
Fairchild. La version aujourd'hui admise de la loi de Moore est la suivante :
La puissance de calcul des processeurs suit une croissance exponentielle à raison d'un
doublement des performances tous les 18 mois.
Dans l'article original de 1965, Moore écrivait:
La complexité à coût minimal des composants a été environ multipliée chaque année
par un facteur deux. Sans doute, à court terme ce taux de croissance se maintiendra, si toutefois il n'augmente pas. A long terme, le taux de croissance est un peu plus incertain,
mais il n’y a aucune raison de croire qu’il ne se maintiendra pas pendant au moins dix
89/92
ans. Cela signifie qu’en 1975 le nombre de composants par circuit intégré au moindre coût sera de 65 000.
Rappelons, pour illustrer la véracité de cette prédiction, que le processeur 68 000, qui doit son nom au nombre de transistors qu’il contient est apparu en 1979.
La finesse de gravure est par définition la largeur la plus fine d'une bande de silicium qu'il est possible de graver sur un circuit intégré. Plus la gravure est fine, et plus il est possible de concentrer un grand nombre de transistors, et donc de fonctions de calcul sur une surface de silicium donnée.
Le tableau suivant, extrait pour partie de [32] montre l'évolution de ce paramètre qui mesure les progrès dans l'intégration des circuits :
1971 1980 1989 1998 2007 2010 (2014)
10 μ. 3 μ. 800 nm. 250 nm. 90 nm. 32 nm. (15 nm.)
Jusqu'à 90nm (2007), une augmentation de la finesse s'accompagnait également d'une augmentation
de la fréquence de fonctionnement, jusqu'à environ 4 GHz, ce qui a un impact direct sur la puissance de calcul.
L'industrie la plus consommatrice de puissance de calcul est celle des jeux vidéo. Ainsi, en 2009,
c'est grâce à un réseau de 200 consoles de jeu « Play Station 3 » de Sony, qu'un record de calcul de logarithme discret a été obtenu par une équipe de cryptologues de l'école polytechnique de Lausanne (Suisse). Cette équipe a pu calculer l'index d'un point dans une courbe elliptique définie
sur le corps ℤ/𝑝ℤ, avec 𝑝 = (2128 − 3)/(11 × 6949)en moins de 6 mois de calcul30.
Depuis 2007, la fréquence des circuits n'augmente quasiment plus en raison de la limitation sur la
puissance électrique consommée qui fait chauffer le circuit. Les gains sur la finesse de gravure ne permettent qu'une intégration plus grande, ouvrant la voie à des circuits qui comprennent 2 à 8 processeurs, pouvant massivement paralléliser des calculs. Les réalisations suivent d'assez près les
prévisions. Ainsi, en 2004, l’ITRS (Internationa l Technology Roadmap for Semiconductors) prévoyait d'atteindre en 2010, une finesse de gravure de 45 nm. ([32]).
Il est vraisemblable que les capacités d'intégration de l'industrie de la microélectronique suivra une croissance exponentielle pendant encore plusieurs années. Les limites physiques, la finesse de
gravure ne pouvant être inférieure à la taille d'un atome, ainsi que la complexité de la conception de circuits pouvant intégrer plusieurs milliards de transistors rendent délicate la poursuite de cette
croissance à plus long terme.
30Le calcul a commencé le 13 janvier 2009, et s'est achevé le 8 juillet 2009, voir http://lacal.epfl.ch/112bit_prime .
90/92
10 Les tendances actuelles de la recherche en cryptologie
Des mathématiques de plus en plus sophistiquées.
La cryptologie contemporaine utilise des mathématiques avancées : géométrie algébrique, courbes elliptiques et hyper elliptiques, appariement sur les courbes algébriques. Ces mathématiques permettent de définir des fonctions de sécurité qu'il n'était pas possible de définir avec les primitives
classiques, comme par exemple le chiffrement avec l'identité, où la clé publique est tout simplement le nom du destinataire.
Une procédure publique et ouverte pour la définition des nouveaux standards.
À l'instar du DES, un appel d'offre international a été lancé en 1998 pour aboutir en 2001 à l'adoption de l'AES (Advanced Encryption Standard), au terme d'une compétition entre plusieurs
propositions d'algorithme, émanant de diverses institutions du monde entier. Le candidat retenu est celui émanant de l'Université de Leuven (Belgique).
Des procédures similaires ont lieu aujourd'hui pour définir les nouvelles fonctions de hachage utilisées dans les protocoles d'authentification et de signature.
La sécurité physique.
Ce n'est plus seulement l'aspect mathématique des fonctions cryptographique qui fait l'objet d'étude de sécurité, mais également la sécurité physique du dispositif sur lequel sont calculées ces fonctions,
comme par exemple les cartes à puce ou les marqueurs radio-fréquence utilisés sur les passeports électroniques ou les cartes navigo. La sécurité devient matérielle. Les paramètres secrets que sont les clés privées, ou les clés symétriques sont enfouies dans le silicium de composants électroniques
intégrés. Les attaques par canaux auxiliaires reposent sur l'observation de la consommation électrique ou du rayonnement électromagnétique. Les attaques par fautes stressent le composant pendant un calcul cryptographique et tentent de retrouver les secrets enfouis.
Un développement du monde virtuel.
La recherche dans le monde académique modélise les comportements sociaux dans le monde des
échanges numériques. Alors que le domaine d'application de la cryptographie est bien-sûr la sécurisation du système de communications et non les messages particuliers échangés par des individus, deux noms mythiques de la cryptographie ont vu le jour. Alice et Bob 31 sont des
personnages virtuels idéalisés, représentants typiques des acteurs du monde cryptographique. Les acteurs de ce monde sont totalement impersonnels. Ils sont algorithmes, devant avoir un avantage
dans un jeu, qui définit les objectifs des joueurs : extraire une information d'un cryptogramme, forger une fausse signature numérique, discerner un cryptogramme de données aléatoires, etc. Ici encore, on observe un exemple d'inversion narrative.
Des preuves de sécurité.
Aucune nouvelle fonction cryptographique n'est plus désormais acceptée sans qu'elle ne soit
assortie d'une preuve de sécurité. La sécurité prouvable devient un domaine de recherche à part entière. On dit qu'un mécanisme cryptographique est sûr si un adversaire contre ce système peut être utilisé pour résoudre un problème réputé difficile comme la factorisation des entiers ou le
calcul du logarithme discret. L'adversaire, bien qu'appelé Ève32, est lui aussi impersonnel. Il n'est plus qu'un algorithme contre le système cryptographique, et qu'on cherche à utiliser comme sous-
programme d'un algorithme de résolution de problème difficile afin d'apporter la preuve de sécurité.
31 Alice et Bob sont apparus, pour la première fois dans l'article de Rivest, Shamir et Adleman en 1978 [31]
32 De l'anglais to eavesdrop, espionner, et sans doute également en référence au personnage biblique.
91/92
Les mesures de sécurité effectivement mise en œuvre dans le monde réel des communications humaines sont souvent très en retard sur l'état de la recherche. Des fonctions de sécurité présentant des faiblesses avérées, comme par exemple la fonction de hachage MD5, font toujours partie des
standards et sont largement utilisées pour protéger des transactions sur internet.
Les applications de la physique quantique.
Dans l'effort de recherche fait pour factoriser les entiers, il a été découvert un modèle de calcul reposant sur la physique quantique. Il ne s'agit pour l'instant que d'un modèle théorique. On n'a pu réaliser que des dispositifs expérimentaux de laboratoire sans réel intérêt applicatif. Dans ce modèle,
la factorisation et le logarithme discret sont des problèmes qui ont une solution de complexité polynomiale.
La solution repose sur le principe de superposition des états quantiques, qui énonce qu'une particule se trouve, tant qu'elle n'est pas observée, potentiellement dans plusieurs états selon une loi de probabilité. L'observation des particules projette ses états potentiels dans la direction qu'a donnée
l'observation. Si plusieurs particules sont intriquées, le nombre d'états superposés potentiels est une fonction exponentielle du nombre de particules, permettant un parallélisme massif des calculs
possibles. Au cours d'un calcul quantique, c'est le nombre d'observation qui devient le critère de complexité.
Si une telle machine venait à être réalisée, presque tous les mécanismes à clé publique deviendraient
caducs. Une partie de la recherche en cryptologie classique s'intéresse à trouver des mécanismes de sécurité qui résisteraient à la fabrication d'un tel calculateur.
La physique quantique contribue elle-même à la définition de protocoles cryptographiques en proposant une sécurité reposant sur les lois de la physique quantique, en particulier :
- l'indivisibilité du photon,
- l'impossibilité de mesurer un état quantique sans le perturber
- l'impossibilité de cloner une particule.
La cryptologie quantique assure de nouveau la sécurité inconditionnelle. L'adversaire n'a aucune
information sur les échanges réalisés. Des entreprises proposent déjà des équipements reposant sur le principe de la physique quantique.
Cependant les hypothèses qui permettent d'établir la sécurité inconditionnelle ne sont en réalité pas rigoureusement satisfaites, et ces équipements sont vulnérables aux attaques de hackers quantiques.
92/92
Bibliographie
[1] : David Kahn, The Code Breakers, 1996, Scribner
[2] : A. H. Koblitz, N. Koblitz, and A. Menezes, Elliptic curve cryptography: The serpentine course
of a paradigm shift, 2008, eprint archive 2008/390
[3] : Phong Nguyen & Jacques Stern, Cryptanalysis of the Ajtai-Dwork Cryptosystem, 1998,
[4] : Blaise de Vigenère, Traité des chiffres ou secrètes manières d'écrire, 1585
[5] : W. Diffie, M. E. Hellman, New Directions in Cryptography, 1976,
[6] : Charles Sorel, La science universelle, tome 4, De l'usage des idées ou de l'origine des sciences
et des arts et de leur enchaînement, 1647,
[7] : Brigitte Collard, Les langages secrets dans l'antiquité gréco-romaine, 2002, Université Catholique de Louvain, http://bcs.fltr.ucl.ac.be/FE/07/CRYPT/Intro.html
[8] : Plutarque, La vie des hommes illustres, Chapitre XXIII, La vie de Lysandre
[9] : Aulu Gelle, Nuits Attiques, Livre XVII, Chapitre IX
[10] : Edgar Poe, A few words on secret writing, 1841, Graham's magazine
[11] : Suetone, La vie des douze césars
[12] : Edgar Poe, Le scarabée d'or
[13] : Jules Verne, Mathias Sandorf
[14] : Patrick Hébrard, La cryptologie dans l'histoire, 2001, Édition privée interne ARCSI
[15] : Giovani Battista Porta, De furtivis literarum notis, 1563
[16] : François de Callières, De la manière de négocier avec les souverains, 1716
[17] : Leon Battista Alberti, De Componedis Cyphris, 1466
[18] : Ioannes Trithemius dit Trithème, Poligraphiae libri sex, 1508
[19] : Giovani Battista Belaso, La cifra del Sig, 1553
[20] : Capitaine Baudoin, Éléments de cryptographie, 1939, Ed. A. Pedone
[21] : Auguste Kerckhoffs, La cryptographie militaire, 1883,
[22] : Gaétan de Viaris, Cryptographie, 1888, Publications du journal "le Génie Civil"
[23] : Xavier Amiel, Jean-Pierre Vasseur, Gilles Riggiu, Histoire de la machine Myosotis, 2004, Actes du septième colloque sur l'histoire de l'Informatique et des Transmissions
[24] : William Friedman, The Index of Coincidence and its Applications in Cryptanalysis, 1920,
[25] : Lester Hill, Cryptography in an Algebraic Alphabet, 1929,
[26] : Claude Shannon, A Mathematical Theory of Communications, 1948,
[27] : Claude Shannon, Communication Theory of Secrecy Systems, 1949,
[28] : Members of the Technical Staff, Bell Labs, A History of Engineering and Science in the Bell System, 1978, M.D. Fagen Editor
[29] : Horst Feistel, Cryptography and Computer Privacy, 1973, Scientific American
[30] : Ralph Merlke, Secure Communications Over Insecure Channels, 1978, Communication of the
ACM
[31] : R.L Rivest, A. Shamir, L. Adleman, A Method for Obtaining Digital Signature and Public Key Cryptosystems, 1978,
[32] : Philippe Matherat, Une histoire de la microélectronique, 2007,
