Ces dernières années, plusieurs thèmes de recherche mêlant le domaine de la théorie de codes correcteurs d'erreurs et celui des réseaux de communications ont émergé. Les exemples les plus connus sont les codes à effacement (erasure code), qui permettent de compenser les pertes de paquets de données dans les réseaux, et le codage réseau (network coding), qui permet notamment d'améliorer le débit global dans certains types de réseaux. Dans cet exposé, nous rappellerons tout d'abord ces différents concepts. Pour chacun des points abordés, nous tenterons de mettre en évidence les problèmes ouverts, tant au niveau du codage que des réseaux. Nous illustrerons cette présentation avec certaines de nos contributions sur les codes à effacement (codes MDS, Reed-Muller, protection inégale...), sur le codage réseau ainsi que sur des approches multi-couches.
Dans cet exposé un modèle algébrique pour la caractérisation des codes correcteurs systématiques est présenté. L'intérêt pour cette famille dérive de la volonté de généraliser les codes linéaires afin de rechercher des codes qui soient optimaux du point de vue de la distance. En fait, il est possible démontrer que tout code linéaire est équivalent à un code systématique, mais il existe des codes systématiques non-linéaires à distance plus grande de tout linéaire qui partage les même paramètres n (longueur) k (dimension). A la base de cette approche, le fait que tout code systématique est en correspondance avec la base de Groebner réduite de son idéal d'annulation. Grâce à cette correspondance, nous décrivons un algorithme qui, étant donnés n,k,d entiers, fournit la caractérisations des codes systématiques avec paramètres n,k et distance au moins d. Le point central de l'algorithme est le calcul de la base de Groebner d'un certain idéal B(n,k,t) qui est invariant sous l'action d'un groupe de permutations et présente de propriétés d'inclusions dans d'autres idéaux du même type (par ex. dans B(n+1,k,t+1) et B(n+1,k+1,t)).
Avec des techniques similaires, il est possible aussi de formuler un algorithme pour le calcul de la distribution des distances d'un code systématique et une nouvelle borne pour la distance de ces codes.
En 2008 et 2009, Gaudry et Diem ont proposé une méthode de calcul d'indice pour la résolution du DLP sur des courbes définies sur des corps finis non premiers. On présentera dans cet exposé une variante de cette méthode permettant d'améliorer la complexité asymptotique du DLP sur $E(F_q^n)$ lorsque $\log q \leq c n^3$. En particulier, il devient possible avec notre approche d'obtenir rapidement des relations sur $E(F_q^5)$, ce qui n'est pas le cas avec la méthode initiale de Gaudry et Diem sur ce type de courbes.
On donnera également un exemple pratique d'application de ce calcul d'indice : on montrera comment résoudre le problème static Diffie-Hellman à l'aide d'un oracle sur courbe elliptique définie sur corps fini non premier de 130 bits plus rapidement que par les attaques classiques.
The other variant uses quasi-cyclic low density parity-check codes. This scheme was devised to be immune against general attacks working for McEliece type cryptosystems based on low density parity-check codes by choosing in the McEliece scheme more general one-to-one mappings than permutation matrices. We suggest here a structural attack exploiting the quasi-cyclic structure of the code and a certain weakness in the choice of the linear transformations that hide the generator matrix of the code. This cryptanalysis adopts a polynomial-oriented approach and basically consists in searching for two polynomials of low weight such that their product is a public polynomial. Our analysis shows that with high probability a parity-check matrix of a punctured version of the secret code can be recovered with time complexity $O\left( n3 \right)$ where $n$ is the length of the considered code. The complete reconstruction of the secret parity-check matrix of the quasi-cyclic low density parity-check codes requires the search of codewords of low weight which can be done with about $2^{37}$ operations for the specific parameters proposed.
Dans cet exposé, nous analysons la sécurité d'une proposition récente de fonction de hachage de Charles, Goren et Lauter. Le calcul de cette fonction est obtenu par un produit de matrices $2 times 2$ à coefficients dans un corps fini. Ce schéma présente l'attrait que sa sécurité est reliée à un problème notoirement difficile, qui est celui de trouver des factorisations courtes et non triviales de l'identité dans un groupe non commutatif au moyen d'un ensemble fixe de générateurs. Néanmoins, nous montrons que ce problème peut être résolu pour le choix particulier de générateurs effectué par Charles, Goren et Lauter. Cela nous permet de trouver des collisions pour cette fonction de hachage en temps (quasi) polynomial. Enfin, une réparation possible sera proposée.
In this talk, we explain why the intended goal is not reached. Following the privacy model introduced by Vaudenay at Asiacrypt'07, we reconsider the analysis of these schemes. In particular, we describe a framework which enables to transform some generic ZK scheme into private scheme. As a relevant example we then apply, and improve it further, this framework to the GPS scheme. This leads to efficient implementations of zero-knowledge identification schemes which respect privacy.
Joint work with Hervé Chabanne (Sagem Sécurité, TELECOM Paristech) and Thomas Icart (Sagem Sécurité, Université du Luxembourg), to appear at ASIACCS'09.
La consommation des circuits électroniques CMOS dépend directement de leur activité. Cette propriété est bien connue dans le domaine de la conception de circuits basse consommation, où toutes opérations superflues sont bannies. Il y a dix ans, une autre exploitation de ce phénomène a été utilisée pour attaquer des circuits cryptographiques. Par exemple, une simple analyse de consommation permet de suivre au fil de son exécution les branchements pris lors d'un calcul d'exponentiation (comme RSA) : comme ceux-ci sont conditionnels à la clé secrète, un attaquant peut directement lire la clé sur une seule trace de consommation acquise par un oscilloscope. Des attaques différentielles, nommées DPA, permettent de tester des valeurs de registres, même lorsque le flot de contrôle de l'algorithme ne fuit aucune information sur les secrets, comme dans le cas de DES ou AES.
Dans ce séminaire, j'illustrerai sur des cas concrets comment réaliser,
mais aussi comment entraver, les attaques de type DPA. Je présenterai aussi
quelques applications récentes à ces techniques, aussi variées que :
- la rétro-conception de logiques inconnues et
- le test en ligne de composants ou de cartes.
En conclusion, je donnerai quelques éléments au sujet des points innovants
qui motivent la création de la spin-off http://www.Secure-IC.com/.
L'introduction récente des courbes d'Edwards a considérablement réduit le coût de l'addition sur les courbes elliptiques. Durant cette présentation, on donnera des nouvelles formules pour le calcul des couplages sur les courbes d'Edwards. Notre methode donne des performances similaires à celles de l'algorithme de Miller en coordonnées Jacobiennes, ce qui est très intéressant pour les protocoles utilisant des couplages sur les courbes elliptiques. Le nouvel algorithme permet à l'implementation d'un tel protocol d'être entierement faite en coordonées d'Edwards, ce qui est très important pour les dispositifs sur lesquels le calcul des inversions dans un corps fini est très cher (typiquement sur les cartes à puce). Notre méthode est plus rapide que celle proposée récemment par Das et Sarkar pour le calcul des couplages en coordonnées d'Edwards pour des courbes supersingulières.
However, the existence of an efficient and provably secure algebraically homomorphic scheme, i.e., one that supports both addition and multiplication operations, is a long stated open problem. All proposals so far are either insecure or not provable secure, inefficient, or allow only for one multiplication (and arbitrary additions). As only very limited progress has been made on the existing approaches in the recent years, the question arises whether new methods can lead to more satisfactory solutions.
In this talk we give an introduction to and an overview of the field of (algebraically) homomorphic encryptions. Then, we present a novel approach for constructing a provably secure algebraically homomorphic scheme which is based on coding theory. It allows for arbitrary many additions and for a fixed, but arbitrary number of multiplications and works over arbitrary finite fields. Besides, it possesses some useful properties, like adaptive plaintext space expandability, support of infinite fields, and inherent error-correcting. We discuss the advantages and limitations of the proposed scheme and sketch some possible further work.
The appropriate paper can be found on http://eprint.iacr.org/2008/422.Les schémas de Feistel ont été conçus pour construire des permutations de [1,2^(2n)], à partir d'applications (fonctions internes) de [1,2^n]. On s'intéresse ici aux attaques génériques sur les schémas de Feistel, dans le cas où les fonctions internes sont des permutations, au lieu de fonctions. Les attaques sont génériques dans le sens où les permutations internes sont supposées aléatoires. Malgré l'utilisation de tels schémas dans la conception d'algorithmes à clé secrète (ex : Twofish, Camelia, DEAL), ils n'ont pas été le sujet de nombreuses études. Nous allons voir que leur comportement est souvent différent de celui des schémas de Feistel classiques (avec fonctions internes). Plus précisément, nous allons voir que les attaques sont souvent moins efficaces, par exemple sur 3, 6 ou 9 tours de schémas de Feistel. Pour une taille d'entrée de 2n bits, les attaques trouvées nécessitent strictement moins de 2^(2n) messages quand le nombre de tours est inférieur ou égal à 5. Pour un nombre de tours plus grand, des attaques permettant de distinguer un générateur de permutations de Feistel (avec permutations internes) d'un générateur de permutations aléatoires seront également exposées.
Dans cet exposé, je vais présenter une première analyse de la fonction de hashage RadioGatun. Cette fonction a été proposée par Bertoni, Daemen, Peeters et Van Assche en 2006, lors du second NIST Hash Workshop. RadioGatun est le dernier-né d'une famille de fonctions conçues par Joan Daemen entre autre, qui diffère radicalement de la famille SHA/MD qui a été standardisée et qui est largement utilisée. RadioGatun possède un gros état interne de 58 mots, dont la taille constitue un paramètre : avec des mots de 1 bit, on a une version jouet facile à analyser, tandis qu'avec des mots de 64 bits, on obtient la véritable fonction.
Nous nous sommes particulièrement intéressé à la version à 1 bit, pour laquelle il est possible de trouver des chemins différentiels par force brute. En exploitant la structure algébrique particulièrement simple de la fonction de ronde (sur le corps à 2 élements), il est possible de produire des collisions qui suivent un chemin donné plus vite que par recherche exhaustive. Pour cela, on calcule l'image réciproque d'une variété affine par la fonction de ronde en utilisant des bases de Gröbner pour un ordre d'élimination. Cette technique permet également de produire des pseudo-collisions en trouvant un point dans une variété affine, ou bien de tester si un chemin différentiel est possible, en testant si une variété est vide.
J'expliquerai pourquoi cette attaque fonctionne, c'est-à-dire que je montrerai dans la structure de RadioGatun ce qui permet le calcul rapide des bases de Gröbner d'une part. D'autre part, je justifierai que la recherche de collisions sur des fonctions de hashage dotées d'une structure algébrique simple offre un contexte favorable aux attaques algébriques.
Références :As new applications of the method we present an improved Hastad attack on RSA in the case of several RSA encryptions of the same underlying message, and an algorithm for factoring N=pq given 70% of the bits of p in any positions.
Dans cet exposé, je vais vous présenter le travail que j'ai réalisé sur des schémas de signature (TRMS) et de hachage basés sur des systèmes polynomiaux multivariés. Ces systèmes ont la particularité d'être sous-déterminés, et nous avons tenté de trouver un compromis pour une approche hybride résolution par base de Gröbner/spécialisation de variables.