- Charles Bouillaguet, Laboratoire Cristal, université de Lille 1 – Systèmes de chiffrement par bloc minimalistes, obfuscation et implémentations en boite blanche
La plupart du temps, la sécurité des systèmes de chiffrement est évaluée en supposant que les adversaires interagissent avec le dispositif à travers une « interface », mais qu’ils n’ont pas le système de chiffrement sous la main pour étudier les détails de son fonctionnement interne. En effet, le fonctionnement de tels systèmes repose largement sur le fait qu’ils contiennent des informations secrètes (comme des clefs de chiffrement). Cette hypothèse est réaliste dans certains cas, par exemple si on communique avec un serveur web qui contient un mécanisme de chiffrement.
Cependant, dans bon nombre de situations, on a sous la main une implémentation soit matérielle soit logicielle du dispositif cryptographique, dont on peut donc observer le fonctionnement… et tenter d’extraire les secrets. On s’intéresse ici à cette deuxième situation. Est-il possible de concevoir des mécanismes cryptographiques contenant des secrets, mais dont le code source serait publiquement distribuable ? C’est en principe l’objet de la cryptographie à clef publique, mais on s’intéresse ici plus particulièrement à des constructions à clef secrète.
Le problème qui consiste à dissimuler des secrets cryptographiques dans du code source est un cas particulier du problème de l’obfuscation de programme, qui consiste à rendre incompréhensible et impossible à analyser le code de programmes arbitraires. Nous survolerons cette problématique dans l’exposé. Nous présenterons ensuite plusieurs systèmes de chiffrement par blocs, susceptibles de telles implémentations en boite-blanche. Ce sont pour certains des héritiers du système « 2R » conçu par J. Patarin en 1997.
Cet exposé est dérivé de l’article « Cryptographic Schemes Based on the ASASA Structure: Black-box, White-box, and Public-key », disponible à l’adresse : http://eprint.iacr.org/2014/474.pdf
- Yannick Seurin, ANSSI – Analyse des algorithmes de chiffrement par bloc à clés alternées dans le modèle d’Even-Mansour
Les algorithmes de chiffrement par bloc dits « à clés alternées » (key-alternating ciphers) généralisent la classe des chiffrements SPN (Substitution-Permutation Network). Leur structure très simple consiste à appliquer répétitivement à l’état courant l’addition d’une clé de tour secrète et une permutation publique.
L’absence d’attaques génériques (i.e., indépendantes des permutations publiques utilisées) contre cette classe de chiffrements par bloc peut être analysée en modélisant les permutations publiques internes comme des permutations parfaitement aléatoires auxquelles l’attaquant n’a accès qu’en boîte noire. Ce modèle a été introduit par Even et Mansour (ASIACRYPT ’91) qui ont montré que pour un seul tour, le chiffrement par bloc résultant est sûr (plus précisément, pseudo-aléatoire) jusqu’à 2^{n/2} requêtes de l’adversaire à l’oracle de chiffrement et à la permutation interne, n étant la taille de bloc. Il a depuis été remis au goût du jour par un article de Bogdanov et al. (EUROCRYPT 2012) qui ont montré que pour deux tours, la borne de sécurité est repoussée à 2^{2n/3} requêtes de l’adversaire.
Dans cet exposé, nous présenterons un aperçu de travaux récents dans ce modèle qui ont permis non seulement d’améliorer la borne de sécurité en fonction du nombre de tours, mais également de montrer que la classe des chiffrements à clés alternées possède (pour un nombre suffisant de tours) de nombreuses propriétés plus fortes que le simple caractère pseudo-aléatoire, notamment la résistance aux attaques à clés reliées, à clés choisies, et l’indifférentiabilité par rapport à un chiffrement idéal.
- Olivier Blazy, XLIM, Université de Limoges – Protocoles d’échanges de clés
Les protocoles d’échanges de clés sont des primitives cryptographiques qui permettent à plusieurs utilisateurs de communiquer sur un canal non sécurisé via une clé de session sûre. Ce qui permet ainsi de créer des canaux virtuels sécurisés sur des réseaux non sécurisés. Un modèle général a été proposé par Bellare et Rogaway , mais dans le cas de l’authentification par mot de passe le problème s’avère plus ardu. (Du fait de leur petite taille, les méthodes d’attaque de type brute force se révèlent efficaces à cause du manque d’entropie).
Dans ce talk, nous nous intéresserons aux nouvelles techniques d’authentification par mot de passe, poignées de mains secrêtes, … et ceci au travers d’une méthodologie de preuves implicites. Pour celà, nous reviendrons sur des techniques existantes et montrerons leurs limitations, puis nous verrons des résultats récents permettant d’améliorer ces constructions pour les rendre plus sûres et plus efficaces.
- Florian Caullery, Université d’Aix-Marseille – Polynômes sur les corps finis pour la cryptographie
Les fonctions de F_q dans lui-même sont des objets étudiés dans de divers domaines tels que la cryptographie, la théorie des codes correcteurs d’erreurs, la géométrie finie ainsi que la géométrie algébrique. Les polynômes qui représentent ces fonctions peuvent présenter une multitude de propriétés ayant des applications intéressantes en mathématiques pures ou appliquées. Nous étudierons trois classes de polynômes particulières: les polynômes Presque Parfaitement Non linéaires (Almost Perfect Nonlinear (APN)), les polynômes planaires ou parfaitement non linéaire (PN) et les o-polynômes.
Les fonctions APN sont principalement étudiées pour leurs applications en cryptographie. En effet, ces fonctions sont celles qui offrent la meilleure résistance contre la cryptanalyse différentielle. Elles sont aussi particulièrement intéressantes en théorie des codes correcteurs d’erreurs car elles permettent de construire des codes 2-correcteurs.
Les polynômes PN et les o-polynômes sont eux liés à des problèmes de géométrie finie. Les premiers décrivent des plans projectifs et les seconds sont en correspondance directe avec les ovales et hyperovales de P^2(\F_q). Néanmoins, leur champ d’application a été récemment étendu à la cryptographie symétrique et à la théorie des codes correcteurs d’erreurs.
La classification complète des polynômes APN ou PN et des o-polynômes est un problème ouvert qui a attiré une multitude de mathématiciens depuis les années 50.
L’un des moyens utilisé pour compléter la classification est de considérer les polynômes présentant l’une des propriétés recherchées sur une infinité d’extensions de F_q. Ces fonctions sont appelées fonction APN (respectivement PN ou o-polynômes) exceptionnelles.
Nous étendrons la classification des polynômes APN et PN exceptionnels et nous donneront une description complète des o-polynômes exceptionnels. Les techniques employées sont basées principalement sur la borne de Lang-Weil et sur des méthodes élémentaires.