Description
Date depot: 1 janvier 1900
Titre: analyse de sécurité des chiffrements par bloc
Directrice de thèse:
Anne CANTEAUT (Inria-Paris (ED-130))
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini
Resumé:
La cryptographie est une partie essentielle de la sécurité informatique. Malgré le développement de protocoles cryptographiques complexes et de constructions théoriques dont on peut prouver la sécurité sous diverses hypothèses, la situation actuelle paraît relativement fragile car la sécurité des primitives existant est encore souvent remise en question par les progrès de la cryptanalyse. C'est tout particulièrement vrai pour les algorithmes dits symétriques, qui assurent la confidentialité des données dans la plupart des produits commerciaux.
Le standard actuel, AES, qui date du début des années 2000, repose sur une construction élégante dont la plupart des composants sont optimaux au regard de leur résistance aux grandes familles d'attaques. Toutefois, un certain nombre de problèmes liés à une meilleure évaluation de sa sécurité ont été mis en évidence au cours des dernières années. La plupart de ces questions sont liées à la manière dont les paramètres secrets, les sous-clefs, sont dérivés de la clef maître, et à la manière dont ils sont insérés dans le chiffrement.
Impact du cadencement de clef
-
Dans les nombreux chiffrements à bas coût proposés récemment (PRESENT, mCRYPTON, SMS4,...), l'algorithme de cadencement de clef semble choisi essentiellement pour des considérations liés à sa mise en oeuvre et non pour son impact sur la sécurité de l'algorithme.
En effet, il apparaît clairement qu'un cadencement de clef faible peut être à l'origine d'attaques dans des modèles à clefs ouvertes (clefs liées, clef connue,...). Toutefois, la pertinence de ces modèles d'attaques doit encore être établie, et elles peuvent sembler sans importance dans des contextes utilisant des chiffrements à bas coût. Il n'en reste pas moins que le cadencement de clefs peut avoir une grande influence sur la sécurité du chiffrement dans un modèle classique à clef unique. Quelques méthodes de cryptanalyse, comme les attaques par décalage, mettent en avant certaines propriétés du cadencement de clef susceptibles d'être exploitées par un attaquant, mais les travaux sur ce sujet restent très peu nombreux. Une voie à explorer est alors de déterminer comment certaines structures algébriques ou symétries fortes du cadencement de clef peuvent être une source de faiblesses. Le fait que l'apparition d'attaques à clefs reliées soit généralement suivie rapidement d'attaques dans le modèle classique semble en effet signifier que le cadencement de clefs joue un rôle important. Ainsi, l'attaque sur le chiffrement standard russe GOST suit de deux ans seulement les premiers résultats de Fleischmann et al. dans le modèle à clefs liées.
Un deuxième problème est de déterminer des critères de conception précis pour le cadencement de clefs, sujet qui n'a jusqu'ici presque pas été abordé par la communauté. En particulier, la question de savoir si un algorithme de cadencement de clef doit nécessairement être non-linéaire est toujours ouverte. Si la grande majorité des algorithmes récents emploie des opérations non-linéaires, la solidité de l'ancien standard DES et les travaux récents dans le contexte à clefs liées ne semble pas imposer une telle condition.
Des questions similaires se posent sur la manière dont les sous-clefs obtenues par le cadencement de clefs sont combinées à l'état interne du chiffrement à chaque itération. La plupart des algorithmes reposent sur la construction dite key-alternating, qui emploie une simple opération d'addition bit-à-bit. L'intérêt de ce choix semble corroboré par des résultats récents mais qui ne peuvent donner des preuves que pour deux itérations du chiffrement. Une alternative est l'approche de chiffrement markovien due à Lai et Massey qui choisit une insertion liée aux opérations effectuées à chaque itération pour garantir la résistance à la cryptanalyse différentielle.
Existence de clefs faibles
-
L'opération d'insertion des sous-clefs a également une influence importante sur la résistance de l'algorithme aux attaques classiques. La complexité des attaques usuelles (attaques différentielles, attaques linéaires...) est généralement évaluée en moyenne sur toutes les clefs possibles. Toutefois, une estimation moyenne ne garantit pas l'absence de clefs faibles, c'est-à-dire d'une famille de clefs pour laquelle le chiffrement devient très faible. Cette problématique a été soulevée au cours des deux dernières années, notamment par Leander. Déterminer le comportement de certains distingueurs quand la clef varie reste un problème ouvert difficile. Dans le cas de la cryptanalyse différentielle et de la cryptanalyse linéaire, une modélisation par une distribution classique a été proposée par Daemen et Rijmen, mais celle-ci ne semble pas valide dans tous les cas, en particulier quand la fonction de tour du chiffrement est très structurée algébriquement. Une première étape dans cette étude est d'étudier les propriétés de la super boîte-S, afin de décrire le comportement de deux tours d'un ch
Doctorant.e: Roue Joelle