Projet de recherche doctoral numero :4696

Description

Date depot: 1 janvier 1900
Titre: Sécurité des modes opératoires
Directrice de thèse: Anne CANTEAUT (Inria-Paris (ED-130))
Encadrant : Gaëtan LEURENT (Inria-Paris (ED-130))
Domaine scientifique: Sciences et technologies de l'information et de la communication
Thématique CNRS : Non defini

Resumé: Cette thèse porte sur la cryptographie symétrique, et plus particulièrement sur l'étude des modes opératoires, i.e., des règles de chaînage décrivant comment chiffrer des messages de taille arbitraire à l'aide d'une transformation n'opérant que sur des blocs de taille fixe. Les modes standardisés et largement étudiés incluent des modes pour le chiffrement (CBC, CFB, OFB, CTR), l'authentification (CBC-MAC, PMAC) et le chiffrement authentifié (OCB, CCM, GCM). La thèse a deux objectifs principaux: -# D'une part l'étude des modes opératoires par le biais de la cryptanalyse et en particulier de l'impact concret des attaques - alors que l'approche traditionnelle est basée sur les preuves; -# D'autre part, la construction de modes opératoires adaptés à la cryptographie à bas coût, et notamment aux algorithmes de chiffrement opérant sur des blocs de petite taille. Nous avons identifié deux problématiques importantes pour l'étude des modes opératoires: l'analyse des modes existants, et la construction de modes adaptés à la cryptographie à bas coût. Cette thèse étudiera ces deux aspects: -# la cryptanalyse des modes opératoires existants, en se concentrant sur l'impact des différentes attaques, car des modes avec la même preuve de sécurité peuvent subir des attaques très différentes quand les ressources de l'attaquant dépassent les hypothèses de la preuve; -# la conception de modes opératoires adaptés aux chiffrements par blocs à bas coût, en particulier aux algorithmes opérant sur des blocs de petite taille. {{{Cryptanalyse de modes opératoires}}} Les modes opératoires sont principalement étudiés par le biais des preuves de sécurité: le mode atteint une certaine notion de sécurité en supposant que le chiffrement par bloc utilisé a un comportement idéal (selon un modèle donné). Cependant, cette approche ne permet pas de répondre à certaines questions cruciales. Par exemple, le fait qu'un mode soit prouvé sûr ne signifie pas que le mode fournit la même sécurité que le chiffrement par bloc initial. Au contraire, la plupart des modes opératoires perdent leur sécurité quand ils traitent environ 2^{n/2} blocs où n est le nombre de bits des blocs du chiffrement. Pour les algorithmes opérant sur des blocs de 64 bits, c'est un réel problème pratique, puisque cette limite correspond seulement à 32 Go, mais les preuves ne permettent pas de dire ce qui se passe au delà de cette limite. Les preuves de sécurité font aussi des hypothèses sur les capacités de l'attaquant, qui ne correspondent pas toujours à la réalité. Par ailleurs de nombreuses preuves de sécurité ont récemment été invalidées par des attaques, comme les preuves de EMD et EME, XCB, EAX', XLS, COBRA, et GCM. De manière complémentaire à l'approche traditionnelle basée sur les preuves de sécurité, il est donc essentiel d'étudier les modes opératoires en s'intéressant aux attaques génériques. Les attaques permettent en effet de trouver des bornes supérieures sur la sécurité, alors que les preuves donnent des bornes inférieures. En particulier, un des buts de cette thèse est de comprendre plus précisément la dégradation de la sécurité après 2^{n/2} blocs, et d'étudier si cela compromet l'authenticité, la confidentialité, ou même la sécurité de la clef. Ce travail pourra s'inspirer de résultats récents sur HMAC qui ont permis de mieux comprendre la perte de sécurité quand la preuve ne s'applique plus. {{{Modes opératoires pour la cryptographie à bas coût}}} Pour les implémentations matérielles, la quantité de mémoire utilisée par un algorithme est un facteur important dans le coût de l'implémentation. Pour cette raison, la majorité des chiffrements par blocs à bas coût opère sur une taille de bloc de n=64 bits, alors que les algorithmes classiques comme l'AES utilisent n=128 bits. Cela pose cependant un grave problème quand on construit un système de chiffrement complet avec un mode opératoire, afin de pouvoir chiffrer des messages de longueur quelconque. En effet, les modes opératoires classiques (modes compteur, CBC, CFB, OFB, GCM, OCB, ...) perdent leurs garanties de sécurité quand la quantité de données chiffrées atteint 2^{n/2} blocs (i.e. 32 Go avec n=64), à cause de la présence de collisions. Cette limite est facilement atteinte avec les réseaux modernes, mais des chiffrements opérant sur des blocs de 64 bits sont néanmoins utilisés pour la téléphonie 3G (KASUMI), dans OpenVPN (Blowfish), et dans TLS (3DES). Ces attaques sont réellement pratiques dans le cadre de communications HTTP chiffrées par TLS ou par OpenVPN, comme l'a récemment démontré. Ce problème est encore assez mal exploré: quelques constructions permettent de garantir la sécurité au delà de cette borne (beyond-birthday security), comme CENC (chiffrement), 3kf9 et PMAC_plus (authentification), CHM (chiffrement authentifié). Cela induit cependant un coût supplémentaire, et la sécurité obtenue atteint rarement plus de 2^{2n/3}. Toutefois, pour c



Doctorant.e: Sibleyras Ferdinand