• p. 48 (Exercice 2.7) – Dans la question 3, nous avons L_i^R = K^R ⋘ a _i et L_i^L = K^L ⋘ a _i (de même avec ^R et ^L et il faut remplacer K _i par K dans la suite de la correction). Il faut également changer la conclusion en : Nous en déduisons (K^R ⋘ j) = ^R et (K^R ⋘ j) = ^R pour tout nombre impair j.
• p. 60 Le polynôme a(X) de A est défini par a(X) = {03}X³ + {01}X² + {01}X + {02} (le coefficient de degré 2 est {01} au lieu de {02}). Le système linéaire de la page 61 doit être modifié de la même façon (mais le résultat est correct).
• p. 63 Rcon_i ne fait qu’un octet, donc dans la définition de w_4i, le “ou exclusif” se fait avec Rcon_i seulement pour le premier octet.
• p. 67 (Exercice 2.18) Dans la question 2, il faut considérer m = n (comme dans la question 3).
• p. 72 La valeur hexadécimale de 1101 est D (et non pas E) ! La valeur de S₁(011011) est donc 0101 puisque la valeur 5 = 0101 est à l’intersection de la ligne 1 et de la colonne D.
• p. 97(Exercice 3.10) Il ne faut pas considérer F la fonction de tour de DES avec échange des parties droite et gauche car il ne s’agit pas d’une involution. L’argument est correct si on remplace F_K1 par une fonction F₁ qui est la fonction de tour avec la clé K₁ sans cet échange et la fonction F_K2 par une fonction F₂ qui est à la fonction de tour avec la clé K₂ précédée et suivie de l’échange des parties droite et gauche (dans ce cas F₁ et F₂ sont bien des involutions).
• p. 129 (Exercice 4.10) – Il faut prendre ℓ = ℓ₁ + ℓ₂ + ℓ₃
• p. 104 (Exercice 3.13) – Les valeurs numériques sont fausses : la valeur de p_64,2⁵⁶ est proche de exp(-2⁷)∕exp(-2^-57) ≃ 2^-184 (au lieu de 2^-92) et il y a 2⁵⁶ clés possibles pour chaque tour (et non pas 2⁴⁸). Le coût de l’attaque de la question 3 est donc de 2³⁶ ⋅ 2⁵⁶ chiffrements DES pour la clé du dernier tour et, 2⁵⁷ pour celle du troisième tour et 2⁵⁶ pour les deux autres, soit un coût total de 1∕4⋅(2⁹² +2⁵⁷ +2⋅2⁵⁶) ≃ 2⁹⁰ chiffrements complets Ladder-DES.
• p. 150 (Exercice 5.4) – Il faut prendre γ₁ = h (et non pas g)
• p. 159-160 (Problème 5.7) – Il faut supposer que q est un nombre premier. La matrice à considérer pour la question 6 est la matrice à k + 1 colonnes et k lignes :
• p. 166 (Exercice 5.9) – N’importe quoi ! Dans l’analyse heuristique, il faut lire N et s de l’ordre de (au lieu de N et T) et les logarithmes discrets de x_i et y_j sont donc dans un intervalle de longueur O(T). Par conséquent, si l’on précalcule, les élements g_F(x) comme indiqué dans l’Algorithme 5.8, la complexité en mémoire n’est pas constante. On peut donc soit les recalculer à chaque fois ce qui donne une complexité en temps en O( log(T)) (et O(1) en mémoire), soit considérer une fonction F : 𝔾-→{1,…,s} qui ne prend qu’un nombre constant de valeurs différentes α₁, . . ., α_c dans {1,…,s} (de moyenne s∕2) et seules les élements g^α₁, . . ., g^α_c sont précalculés.
• p. 191 (Exercice 6.7) – Dans la question 1, il faut montrer que n est premier si et seulement si n divise les coefficients binomiaux indiqués.
• p. 198 Dans le nombre d’opérations de la méthode de Fermat, il faut remplacer (-α)² ∕2c par ( - α)² ∕2α.
• p. 225 (Exercice 7.1) – Dans l’algorithme 7.1, après y ← y², il faut remplacer k ← k +1 par ℓ ← ℓ + 1. Dans la conclusion, c’est la probabilité que x^(ed-1)∕2k ± 1 qui est supérieure à 1∕2 pour x uniformément aléatoire dans ℤ_N^*.
• p. 227 (Problème 7.3) – La question 4 n’est pas énoncée . . .elle est identique à la question 3 en remplaçant δ par γ (i.e. Montrer comment transformer tout algorithme polynomial calculant γ(z) pour tout z ℤ_N^* en un algorithme polynomial qui inverse la fonction RSA).
• p. 242 (Exercice 7.13) – Il faut prendre g = g₁^{(p-1)∕q₁e₁}…g _ℓ^{(p-1)∕q_ℓe_ℓ}.
• p. 244 (Description du chiffrement d’ElGamal) – Il est écrit “le signataire” mais il s’agit de l’utilisateur.
• p. 265 (Exercice 8.8) – Précision : après la question (4a), la condition (ii’) remplace évidemment la condition (ii) et puisqu’on suppose qu’il est impossible de calculer un multiple de r, la condition (iv) n’est plus supposée.