En cryptographie et notamment pour le chiffrement symétrique, on utilise parfois un vecteur d’initialisation (IV). Parmi les affirmations suivantes concernant l’IV, laquelle est inexacte ?

[A] Pour une clé donnée, l’IV ne doit être utilisé qu’une seule fois

[B] L’IV doit rester confidentiel (tout comme la clé secrète de chiffrement)

[C] L’IV permet d’assurer la sécurité sémantique

[D] L’IV peut être utilisé dans un chiffrement par bloc (block cipher) comme dans un chiffrement par flot (stream cipher)


reponse linkedin

 

CBK3 Q07 LINK


Pour une clé donnée, l’IV ne doit être utilisé qu’une seule fois. Le non-respect de cette règle est à l’origine de nombreux problèmes de sécurité avec l’algorithme RC4. On peut citer par exemple les failles du WEP dans les réseaux Wi-Fi ou encore la fragilité du chiffrement dans les anciennes versions de Microsoft Office.

L’IV permet d’assurer la sécurité sémantique. La sécurité sémantique est une propriété selon laquelle le chiffrement d’une même donnée avec une même clé ne génère pas de motifs répétés afin qu’un attaquant ne puisse pas déduire de relations entre le texte en clair et le texte chiffré.

Un IV peut tout à fait être utilisé dans un chiffrement symétrique en mode bloc (comme par exemple avec AES) ou en mode flux (comme par exemple avec RC4).

L’IV n’est pas obligatoirement secret. D’ailleurs dans la plupart des implémentations il sera échangé en clair entre les parties.

L’affirmation inexacte (et donc la bonne réponse) est la proposition [B] L’IV doit rester confidentiel


Question et réponse rédigées par VERISAFE selon le programme officiel du CISSP (mai 2021)
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE