• Ben Smith (INRIA Saclay) – Another look at genus 2 curves

RESUME : After the success of elliptic curves in Discrete Logarithm- and Pairing-based cryptography, researchers have turned towards hyperelliptic curves as an immediate and convenient generalization, motivated by improved efficiency. While higher-genus hyperelliptic curves have been shown to be compromised from a security point of view, curves of genus 2 remain a subject of active research. From the point of view of algebraic geometry, curves of genus 2 and their Jacobians are essentially more complicated than elliptic curves: algorithmically, this presents us with both opportunities and obstacles. In this talk, we will investigate some parallels and differences in cryptosystems based on elliptic curves and curves of genus 2. In particular, we will show how to use explicit Real Multiplication structures to increase cryptosystem efficiency and accelerate point counting algorithms.

(pas de transparents, exposé fait un tableau)

• Caroline Fontaine (CNRS-LabSTICC/Telecom Bretagne) – Codes de Tardös et Fingerprinting

RESUME : Lorsqu’un document multimedia est distribué, par exemple dans un système de vidéo à la demande, il peut être intéressant pour le distributeur de tracer les copies distribuées aux utilisateurs. Ainsi, s’il s’avère que le document distribué a été utilisé de manière non légitime par un ou plusieurs utilisateurs, le distributeur souhaite pouvoir identifier au moins un de ces utilisateurs malhonnêtes. Pour cela, il insère dans les documents distribués des identifiants, différents pour chaque utilisateur, voire chaque transaction. Ces identifiants sont les mots d’un code, dit code traçant, et cette insertion s’effectue par tatouage, de manière imperceptible et robuste. Le problème se corse lorsque une coallition d’utilisateurs se forme pour forger un nouveau document, mêlant alors les identifiants, voire en créant de nouveaux par exemple en moyennant pixel à pixel les images de plusieurs vidéos pour générer une vidéo piratée. Pour que le distributeur ait une chance de tracer au moins un des utilisateurs pirates, il faut que les identifiants insérés présentent une certaine structure, permettant de remonter à eux malgré des mélanges ; il faut par ailleurs également que la technique d’insertion soit en adéquation avec le type de code traçant choisi. De nombreuses recherches ont exploré l’utilisation de codes correcteurs comme codes traçants, mais ceux-ci se sont avérés très lourds à utiliser dans la pratique, car pour être efficaces ils devaient être très longs, et définis sur de gros alphabets. En 2003 G. Tardos, statisticien, a proposé une famille de codes qui a révolutionné le domaine. Ses codes sont en effet optimaux en terme de longueur, très faciles à implémenter et efficaces pour tracer les pirates. Nous commencerons dans cet exposé par présenter la problématique et rappeler l’historique des études menées sur les codes traçants, avant d’en arriver aux codes de Tardos. Après une présentation détaillée de ces codes, nous ferons le point sur la compréhension et la maîtrise que la communauté en a aujourd’hui, et présenterons les résultats que nous avons récemment obtenus quant à leur amélioration, sans oublier les perspectives et problèmes ouverts.

Caroline.Fontaine-02-04-2010 (format pdf)

Une démonstration a été faite, et Caroline Fontaine propose ce lien pédagogique.

• Maximilien Gadouleau (Université de Reims)– Codage réseau linéaire et affine

RESUME : Le codage réseau est un nouveau protocole de transmission de données à travers un réseau qui permet aux noeuds intermédiaires de combiner les paquets qu’ils reçoivent. En particulier, le codage réseau linéaire, où des combinaisons linéaires sont effectuées, offre un plus haut débit et une plus forte robustesse aux variations de topologie que le routage traditionnel. Le codage réseau linéaire peut être modélisé comme la transmission de sous-espaces vectoriels, permettant ainsi une correction non-cohérente de pertes ou d’injections de paquets. Dans cet exposé, nous montrons que le codage réseau en général peut s’exprimer comme la transmission de flats de matroïdes. Grâce à cette généralisation, nous proposons ensuite un nouveau protocole, appelé codage réseau affine, où des sous-espaces affines sont transmis. Nous montrons alors que le codage réseau affine a un plus haut rendement que le codage réseau linéaire. Nous donnons enfin une classe de codes correcteurs d’erreurs quasi-optimaux pour le codage réseau affine, démontrant ainsi que les avantages de ce protocole sont préservés lorsque les paquets sont protégés.

Maximilien.Gadouleau-02-04-2010 (format pdf)

• Christophe Chabot (Université de Rennes 1) – Codes quasi-cycliques et polynômes à coefficients matriciels

RESUME : Nous nous intéressons ici à la généralisation de résultats connus sur les suites récurrentes linéaires classiques aux suites récurrentes linéaires ayant un polynôme caractéristique à coefficients matriciels. Nous montrerons qu’il est possible de construire des codes quasi-cycliques à partir de telles suites (par analogie avec la construction de codes cycliques à partir de suites récurrentes linéaires classiques). Nous obtiendrons alors la notion de code quasi-cyclique annulé par un polynôme à coefficients matriciels. Finalement nous construirons des codes quasi-cycliques auto-duaux Euclidiens et Hermitiens qui dans la plupart des cas atteignent les bornes connues pour les distances minimales.

(exposé annulé et reporté au 18 juin)

• Christine Bachoc (Université de Bordeaux) – Codes binaires, distances multivariées et programmation semidéfinie positive.

RESUME : C’est un problème classique en théorie des codes de déterminer le nombre maximum de mots qu’un code binaire ayant une distance minimale donnée peut avoir. La meilleure borne supérieure connue pour ce nombre est obtenue par la valeur optimale d’un programme linéaire, et est due à Philippe Delsarte (1973). Un certain nombre de généralisations de la distance de Hamming sous la forme de fonctions de $k\geq 3$ mots binaires ont été étudiées en théorie des codes, notamment en >relation avec la notion de décodage en liste. Nous présenterons un certain nombre de ces fonctions, et montrerons comment la programmation semidéfinie positive combinée avec de l’analyse harmonique du groupe des symétries de l’espace de Hamming peut permettre de donner des bornes analogues à celle de Delsarte, en exploitant des idées issues de l’optimisation combinatoire.

Christine.Bachoc-08-01-2010 (format pdf)

• Anne Canteaut (INRIA Paris-Rocquencourt) – Modes opératoires pour les fonctions de hachage itératives

RESUME : Dans une fonction de hachage itérative, le choix du mode opératoire est essentiel car il influence à la fois sa sécurité et ses performances. La notion d’indifférentiabilité, introduite par Maurer, Renner et Holenstein en 2004, est particulièrement adaptée au cas des fonctions de hachage. Elle a par exemple été appliquée à certaines variantes de la construction de Merkle-Damgard et à la construction éponge, ce qui permet de déterminer le nombre de requêtes à la fonction de compression nécessaires pour différentier la fonction de hachage d’un oracle aléatoire. Nous verrons comment ces preuves peuvent tre généralisées et adaptées par exemple au nouveau mode opératoire utilisé dans Shabal, notre candidat à la compétition SHA-3. Dans ce cas, l’indifférentiabilité est mme préservée (dans une certaine limite) si la famille de permutations paramétrées utilisée ne se comporte pas comme un chiffrement par blocs idéal, mais possède certains distingueurs.
L’intérêt majeur de ce mode est donc qu’il permet d’atteindre de meilleures performances que les constructions classiques, notamment parce qu’il autorise l’utilisation de permutations paramétrées plus rapides que celles employées habituellement.
Ceci résulte d’un travail commun avec les membres de l’équipe de Shabal : http://www.shabal.com

Anne.Canteaut-08-01-2010 (format pdf)

• Alain Couvreur (INRIA Saclay) – Codes géométriques sur les surfaces et leurs duaux, difficultés et points forts

RESUME : Si la théorie des codes sur les courbes a été étudiée de façon approfondie par une communauté aussi large qu’éclectique de mathématiciens, le cas des variétés de dimension supérieure n’a pas bénéficié du même succès. Une des explications de l’intérêt moindre porté sur ces codes est que leur étude est nettement plus complexe. En effet, certains problèmes tels que l’approximation des paramètres ou la description du code dual se résolvent très simplement pour les codes sur les courbes et deviennent extrêmement difficiles lorsque l’on travaille sur des variétés de dimension supérieure.
Dans cet exposé, nous présenterons une nouvelle construction de codes correcteurs d’erreurs à partir de $2$-formes différentielles sur des surfaces algébriques. Cette construction, bien que théoriquement et techniquement plus complexe, s’avère être une extension naturelle aux surfaces de la construction des codes géométriques « $C_{\Omega}$ » de Goppa bien connus dans le cas des courbes. De façon surprenante l’orthogonalité entre codes fonctionnels et différentiels – toujours vraie dans le cas des courbes – ne s’étend pas aux cas des surfaces. En général, le dual d’un code fonctionnel sur une surface ne se réalise pas comme code fonctionnel ou différentiel sur cette même surface. Cette dernière observation fait de la théorie des codes sur les surfaces une théorie en un sens plus riche que la théorie analogue sur les courbes puisque pour une surface donnée on peut construire « deux fois plus de codes », les codes fonctionnels et leurs duaux étant de type différent.
Nous terminerons cet exposé en présentant un procédé d’estimation de la distance minimale de l’orthogonal $C_L^{\bot}$ d’un code fonctionnel sur une surface. Cette méthode de minoration mêle théorèmes de Bertini et théorie de l’intersection.

Alain.Couvreur-08-01-2010 (format pdf)

• Nicolas Gama (Université de Caen) – Réduction de réseau, la boîte à outils du cryptanalyste

RESUME : Depuis 1982, la réduction de réseau est un des principaux outils en cryptanalyse, et plus récemment, en cryptographie. Plus particulièrement, l’algorithme LLL et ses variantes par bloc permettent d’approcher des problèmes NP-durs tels le plus court vecteur (SVP) ou le plus proche vecteur (CVP) dans des réseaux euclidiens. La sécutité de certains cryptosystèmes se traduit naturellement en des problèmes de réseaux (Merkle Hellman, NTRU, LWE, GPV). De par la richesse de l’echelle de complexité des approximations du SVP, certains de ces cryptosystèmes sont totalement cassés, alors que d’autres possèdent au contraire une preuve de sécurité reposant sur une difficulté dans le pire cas.
Les réseaux permettent ont aussi des applications indirectes sur la factorisation de polynomes à coefficients rationnels (inconditionnellement en temps polynomial, il s’agit de la toute première application de LLL), et aussi sur la factorisation entière lorsque l’on connaît une information supplémentaire concernant un de ses diviseurs: comme par exemple un nombre s’exprimant comme un « petit » rationnel modulo un diviseurs. Ce principe, basé sur une variante de la methode de Coppersmith, a permis par le passé de factoriser en temps polynomial des nombres de la forme pq^r avec r grand, il a eu cette année de très lourdes conséquences sur toutes les instances du cryptosystème Nice, et pourrait aussi avoir de légères répercussions sur NTRU.

Nicolas.Gama-08-01-2010 (format pdf)