Amélioration de la sécurité cryptographique

Nous avons soutenu que l’opération de décryptage fournit un taux d’erreur attendu d’environ 0.5 à la sortie de message chiffré quand une estimation incorrecte est effectuée sur les bits associés aux degrés de liberté. Ici nous discutons de résultats de simulation supplémentaires qui vérifient cet argument. Nous définissons explicitement ˆp = ˆp1_,ˆp2_{, . . . , ˆp}L

comme l’ensemble de mots de code poinçonnés obtenus par Eve, où ˆpi_{= ˆp}i

1, ˆpi2, . . . , ˆpin

, et ˆb =ˆb1, ˆb2, . . . , ˆbL 

l’ensemble des mots de code, où ˆbi

= ˆbi1, ˆbi2, . . . , ˆbin

. Enfin, on définit la structure de bloc implicite de la sortie du décodeur d’Eve comme étant ˆm = ˆm1, ˆm2, . . . , ˆmL
où ˆmi= ˆmi1, ˆmi2, . . . , ˆmik

. Chaque bit effacé ˆpi_{donne un degré} de liberté en ˆbi, et la récupération complète de ˆbi exige que D bits de ˆpi_{doivent être estimés correc-} tement. Si une hypothèse de décision est incorrecte, alors l’opération de décodage donnera un mot de code valide, et donc, il y aura au moins autant d’erreurs dans ˆbi que la distance minimale du code

LDPC, c’est-à-dire, la distance de Hamming dH minimale entre les mots de code. Le processus de décryptage dans (5.8) "amplifie" toute erreur de ˆbià un taux d’erreur sur les bits autour de 0.5 à ˆmi_. Par conséquent, étant donné que toutes les suppositions sont également susceptibles, une attaque par force brute sur les bits D doit être accomplie pour obtenir chaque ˆmi_[5].

Les simulations de transmission entre l’encodeur et le décodeur indiquent que le taux d’erreur binaire attendu de ˆMest de 0.5 pour une hypothèse incorrecte de décision de la part de Eve. Les simulations ont été réalisées en utilisant un code LDPC irrégulier ayant un taux de code 1/2, un poids de nœuds de variables selon la distribution λ (x) = 0.32660x + 0.11960x2_+0.18393x3_+0.36988x4_{et un poids de} nœuds de parité selon la distribution de degré ρ(x) = 0.78555x5_+0.21445x6_{avec n = 1000 et k = 500} [14]. Le modèle de poinçonnage utilisé est tel que |R| ≥ 498 bits. La matrice S a été formée de façon aléatoire en fixant à peu près la moitié des entrées k2_{égales à "1" jusqu’à ce qu’une telle matrice soit} inversible en utilisant la décomposition LU en GF(2) [14], [6].

Soit γ le nombre de bits dans l’observation d’Eve qui sont incorrects. Nous présentons des résultats de simulation pour γ = 1, 2, 3, 4, 5, 10, 15, 20, 25, 30, 40, 50, 60, 70, 80, 90, 100, 200, 300 et 400 à la figure5.15. La simulation se déroule selon l’approche de Monte Carlo avec un nombre d’expériences MC=300 pour chaque valeur de γ et pour le décodage, on utilise l’algorithme MP. Tous les tests ont produit des taux d’erreur entre 0.414 et 0.578 pour ˆM, tandis que la moyenne donne un taux de 0.5002 bit d’erreur. 100 101 102 103 0.4 0.42 0.44 0.46 0.48 0.5 0.52 0.54 0.56 0.58 0.6

Taux d’erreur dans M

δ

Propagation des erreurs d’estimationdes bits des messages

FIGURE5.15: Taux d’erreurs simulés dans M cryptogrammes décodés pour γ erreurs d’estimation des

valeurs de bits pour D degrés de liberté dans les mots de code reçus par Eve.

Ces résultats impliquent que si moins de degrés de liberté D sont correctement estimés pour chaque mot de code, Eve serait forcée d’attaquer la couche cryptographique de ce système avec un taux d’erreur binaire moyen de 0.5 dans ˆm. Nous pouvons certainement nous attendre à ce qu’une telle

attaque échoue pour des attaques par corrélation rapide sur les chiffrements par flux [5]. Cependant, l’idée que toute attaque sur un système de chiffrement pourrait absorber ces taux d’erreur et encore réussir est très improbable. Considérons une attaque qui ne nécessite qu’un seul bloc de message chiffré. Nous pouvons donc garantir l’échec de l’attaque seulement si chaque bloc dans ˆm est incorrect.

De même, une attaque peut échouer si un seul de L blocs de ˆM est incorrect. Ces deux extrêmes

fournissent des bornes pour l’amélioration de la sécurité fournie par la conception de codage en termes de degrés de liberté D.

5.9

Conclusion

Dans ce chapitre, nous avons présenté, analysé et validé un système de codage au niveau de la couche physique qui permet des améliorations de sécurité de chiffrement en utilisant des techniques de codage de canal avec canal de retour de type ARQ. Les exigences de conception sont plus élevées parce que le système fonctionne pour presque toute combinaison de paramètres dans le canal sous écoute d’effacement de paquets. L’analyse de la sécurité révèle que ce système de codage engendre des degrés de liberté pour l’attaquant Eve. L’attaquant n’ayant aucune information sur les bits associés à ces degrés de liberté, une attaque par force brute sur ces bits doit être effectuée. Le système propage les erreurs à un taux d’erreur binaire prévu d’environ 0.5 dans le texte chiffré, pour toutes les erreurs d’estimation, et donc, il en résulte une augmentation importante de la complexité calculatoire requise pour une attaque sur le système de cryptage. Le système de cryptage prévoit l’amélioration de la sécurité cryptographique, même lorsque l’espion a un avantage sur les récepteurs légitimes quant à la qualité de sa liaison. On a démontré que le système de décodage peut garantir encore la sécurité, lorsque le nombre de récepteurs légitimes ou lorsque le nombre d’attaquants collaborateurs augmente, ou lorsque des effacements à travers le canal principal et le canal d’écoute sont corrélées.

Chapitre 6

Analyse de la sécurité pour les canaux

gaussiens sous écoute

Dans ce chapitre, nous nous intéressons à l’étude de canaux sous écoute gaussiens. La capacité de secret est égale à la différence entre les capacités du canal légitime et de canal espion [4]. Ainsi, afin d’assurer la sécurité de la transmission, le canal légitime de Bob doit bénéficier d’un rapport signal sur bruit (SNR) plus élevé que celui du canal espion de Eve. Alternativement, un canal de retour entre Alice et Bob (également accessible à Eve) est nécessaire [43], mais ce cas n’est pas considéré dans le présent chapitre.

Avant d’entrer dans les détails sur les méthodes proposées, nous commençons par un bref rappel sur la notion de communication dans les canaux gaussiens.

6.1

Transmission via un canal gaussien

Rappelons que le décodage pour décision souple utilise l’information de canal dans un canal gaussien blan additif. Après l’opération de codage, le mot de code c est transmis comme un vecteur binaire à travers un canal gaussien. De sorte que, le vecteur c est réprésenté par un vecteur de signal d’émission t.

À titre d’illustration, on utilise une modulation binaire par changement de phase BPSK, où le signal a=√Ecreprésente le bit "1" et le signal −a représente le bit "0", l’énergie d’un bit de message Ebest lié à Ec: Ec= R· Eb, où Ecest l’énergie par bit codée transmis et R = k/n est le taux de codage où k est la dimension de code et n est la longueur de mot de code. Le vecteur de signal transmis t comporte des éléments tn= (2 ·cn− 1) · a. Ce vecteur de signal passe par un canal qui ajoute un vecteur de bruit gaussien v, où chaque élément de v est i.i.d. de moyenne nulle et de variance σ2_{= N}

0/2. Le vecteur de signal analogique reçu r = t + v aura une valeur autour de "-1" et "+1".

[6] : P(cn=1|rn) = p(rn|tn= a)· P(tn= a) P(rn) = p(rn|tn= a)· P(tn= a) p(rn|tn= a)· P(tn= a) + p(rn|tn=−a) · P(tn=−a) = p(rn|tn= a) p(rn|tn= a) + p(rn|tn=−a) (6.1)

où on suppose que les bits codés sont équiprobables P(cn=1) = P(cn=0) = 1₂. Dans (6.1), la no- tation P(•) indique une fonction de probabilité de masse et p(•) indique une fonction de densité de probabilité. Pour un canal gaussien on a :

p(rn|tn= a) = 1 √ 2πσe −_2σ21 (rn−tn)2 |tn=a = 1 √ 2πσe −_2σ21 (rn−a)2 (6.2)

Dans l’équation (6.1), en substituant p(rn|tn= a)par (6.2) on obtient : P(cn=1|rn) = 1 1 + e−  2arn σ2  (6.3)

Nous appellerons P(cn= x|rn) la probabilité a posteriori du canal et la désignerons par pn(x) pour alléger la notation.