1ère loi : Ce qui ne peut pas arriver, ne peut pas arriver. Ce qui peut arriver peut arriver.

Cette lapalissade n’est pas une paraphrase des lois de Murphy, dans le sens où elle ne se veut pas fataliste, mais signifie que la seule règle permettant de trancher si oui ou non quelque chose va arriver, consiste à déterminer si l’évènement est en accord avec les lois de l’univers. Autrement dit, si l’on veut être sûr que quelque chose n’arrive pas, il "suffit" de s’arranger pour que sa réalisation viole une quelconque loi (physique, mathématique, logique...) dans les limites des connaissances actuelles.

Ex, impossibilité actuelle de factoriser rapidement des produits de grands nombres premiers pour RSA.

 2e loi : Ce qui a moins de chances d’arriver, a moins de chances d’arriver.

En pratique, il est souvent difficile de rendre quelque chose formellement impossible à un coût raisonnable. Cependant, l’accumulation de mesures préventives, statistiquement, rend en pratique l’évènement assez improbable.

Par exemple, les centrales nucléaires n’explosent pas par cette méthode, grâce aux très nombreuses mesures redondantes permettant de prévenir les catastrophes. De même que les avions ne s’écrasent pas. Cf. règle n°1.

 3e loi : Une information qui n’existe pas doit être crée.

Une manière simple de rendre les évènements presque impossibles est d’utiliser une action irréversible.

Ex : détruisant l’information, en informatique un hash.

Celles-ci peuvent cependant être contournées, mais avec une probabilité donnée.

 Par exemple, comment empêcher une information d’être volée ?

• Un mot de passe pour simplifier (ou n’importe quelle donnée, car une information inconnue n’est pas très différente d’une séquence aléatoire de même longueur).
• Si le mot de passe est stocké sur un PC, la règle n°1 affirme, qu’il est impossible de voler ce mot de passe par un réseau (internet), si aucun réseau n’est branché au PC (air gap).
• Il reste cependant d’autres moyens hypothétiques de le voler (tempest, infiltration virale par clés usb...).
• La règle n°2 affirme qu’il sera plus dur de le voler avec des mesures complémentaires (ex : le mot de passe est sur un simple papier, difficilement piratable).
• La règle n°3 conclut finalement que la méthode ultime est de ne pas le noter...
  • On n’est cependant pas encore à l’abri d’un vol d’après les règles n°1 et 3 , car il reste encore la possibilité de le deviner (le créer), avec la probabilité de 1/nombre de combinaisons (Ex, 1/10 000 pour un code PIN au 1er essai).
  • Si on peut essayer toutes les combinaisons à la suite [1], alors malgré toutes les précautions, l’information sera "recrée" le temps d’essayer les combinaisons.
  • D’où les mots de passe longs (règle 2). Il faut donc empêcher les essais itératifs (ex. le code PIN où la proba de trouver sera environ de 3/10 000) (règle 2).