Aller au contenu

Produire de l’aléa utilisable en cryptographie

Montrer pourquoi l’aléa est une dépendance critique et comment le consommer sans affaiblir clés, nonces, sels, challenges et tokens.

Chapitre 5 Débutant · Intermédiaire · Expert 26 pages

Objectif du chapitre

Montrer pourquoi l’aléa est une dépendance critique et comment le consommer sans affaiblir clés, nonces, sels, challenges et tokens.

Notions à couvrir

Distribution, biais, indépendance et imprévisibilité
Entropie et collecte système
RNG, PRNG et CSPRNG
Fortuna et concept de pools d’entropie
Interfaces système Linux et Windows
RNG matériel, Intel Secure Key et confiance matérielle
Démarrage à faible entropie et bugs d’échantillonnage

Sous-sections

Aléatoire ne veut pas dire visuellement désordonné [Débutant]

Distribution de probabilités
Biais
Indépendance
Prévisibilité

Entropie et sources [Intermédiaire]

Événements système
Matériel
Démarrage
Estimation prudente
Pool et reseeding

CSPRNG dans les systèmes [Intermédiaire]

API modernes
Blocage et non-blocage
Tokens
Clés
Nonces aléatoires ou déterministes

Tests statistiques et sécurité [Expert]

Ce que les tests détectent
Ce qu’ils ne prouvent pas
Exemples de générateurs statistiquement propres mais prévisibles
Bugs de tirage modulo

Exemples et ateliers

Générer une clé et un nonce avec l’API du langage
Montrer un biais modulo sur un tirage borné
Comparer un PRNG généraliste et un CSPRNG
Documenter les dépendances d’entropie d’un service

Pièges classiques

Initialiser une graine avec l’heure
Utiliser un PRNG de simulation
Réutiliser un nonce tiré au hasard après crash
Considérer un RNG matériel comme preuve suffisante
Confondre test statistique et sécurité cryptographique

À ne pas confondre

Hasard physique et CSPRNG
Entropie et longueur de sortie
Nonce aléatoire et nonce compteur
Uniformité statistique et imprévisibilité

Points à vérifier

à vérifier : API recommandées exactes selon les langages et systèmes ciblés par TortueTech.