Salle Jacques-Louis Lions, INRIA Paris, 2 rue Simone Iff, Paris 12ème, Métro Dugommier (ligne 6)
- 10h00, Léo Perrin, Université du Luxembourg : Rétro-ingénierie de boîtes S
Résumé : Les boîtes-S sont des composants cruciaux de bien des systèmes de chiffrements symmétriques modernes, notamment l’AES. Leur conception doit obéir à des contraintes aussi bien d’ordre cryptographique, comme la non-linéarité, que d’ordre technique, comme la possibilité d’une implémentation efficace.
Les critères voire la structure utilisés ne sont parfois pas décrits dans la spécification d’un nouvel algorithme. Par exemple, ni la NSA ni le FSB (son homologue russe) ne justifient leurs choix de boîte-S.
Cette présentation traite des différentes méthodes de rétro-ingénierie que nous avons développées pour retrouver la structure ou les critères utilisés pour construire une boîte-S dont on ne connaît que la table des valeurs. En particulier, ces méthodes nous ont permis de retrouver des informations non-publiées sur la boite-S utilisée par le chiffrement par blocs Skipjack (conçu par la NSA) et celle utilisée à la fois par la fonction de hachage Stribog et le chiffrement par blocs Kuznechik (conçus par le FSB).D’une façon plus surprenante, nous avons pu appliquer les mêmes méthodes à la décomposition de la seule permutation APN connue opérant sur un nombre pair de bits, à savoir celle trouvée par Dillon et al. - 11h15, Benoît Gérard, DGA MI et IRISA Université de Rennes 1 : Canaux auxiliaires et cryptographie symétrique : deux attaques de l’espace
Résumé : Trop souvent on entend qu’une attaque par canaux auxiliaires sur une primitive symétrique est impossible dès lors que l’on n’a que peu de mesures à disposition. On entend aussi que si toute variable intermédiaire fuitée dépend d’une grosse partie du secret l’attaque demande une puissance de calcul trop grande. Le but de cette présentation est de montrer que bien que les attaques soient alors plus compliquées, on est parfois en mesure d’attaquer dans ces conditions et qu’il est donc important d’avoir une analyse de sécurité plus poussée.
Dans un premier temps on présentera le principe des attaques par canaux auxiliaires classiques sur les primitives symétriques. Celles-ci sont basées sur une stratégie de type diviser pour mieux régner ainsi que sur l’utilisation d’outils statistiques appliqués à un grand nombre de mesures.
On montrera ensuite que dans le cas d’implantations très sérialisées il est possible d’utiliser un petit nombre de courbes (voire une seule). On détaillera l’exemple des SASCA où l’attaque s’apparente à un décodage de code LDPC.
Enfin, on montrera que des attaques peuvent toujours être menées même quand la stratégie diviser pour mieux régner n’est pas applicable (en tout cas pas directement). On présentera alors les attaques sur la multiplication dans GF(2^n) qui se réduisent à la résolution d’un problème LPN.
- 14h15, André Chailloux, INRIA Paris : Cryptographie Relativiste
Résumé : La cryptographie relativiste est un nouvel axe de recherche, dont l’objectif est d’utiliser un principe de physique relativiste qui implique que l’information ne peut pas être transmise à une vitesse plus grande que celle de la lumière. En utilisant des contraintes de temps et de lieu, on peut utiliser ce principe pour prouver la sécurité de certaines tâches cryptographiques.
L’avantage de la cryptographie relativiste est la garantie d’une sécurité à long terme, indépendante des avancées des logiciels ou du matériel informatique (y compris l’arrivée des ordinateurs quantiques) et s’inscrit donc dans le contexte de la cryptographie post-quantique, et plus généralement dans celui de la sécurité à très long terme.
Je me focaliserons sur certaines primitives utilisées dans calcul multipartite sécurisé, avec des applications comme les systèmes de vote en ligne ou les enchères secrètes. Je présenterai quelques constructions de ces primitives et discuterai des possibilités ainsi que des difficultés de leur implémentation. - 15h30, Xavier Caruso, IRMAR, Université de Rennes 1 : Multiplication rapide des polynômes tordus sur les corps finis
Résumé : Les polynômes tordus, appelés également parfois polynômes de Ore, sont une version non commutative des polynômes usuels. Ils interviennent dans plusieurs domaines des mathématiques et de l’informatique et, en particulier, en théorie des codes où ils servent de support aux codes
de Gabidulin. Dans cet exposé, je présenterai des algorithmes rapides pour la multiplication des polynômes tordus, basés sur une stratégie de type évaluation-interpolation. Les applications à la théorie des codes
seront également discutées.
