Attaques alg´ebriques “univari´ees” - Mathématiques discrètes appliquées à la cryptographie sym

Etant donné que les critères cryptographiques sur la fonction de filtrage ne sont pas préservés par la transformation X 7→ Xk, il est tout naturel de se demander quel est l’impact de cette équivalence non-linéaire sur les attaques classiques des générateurs filtrés, notamment les attaques algébriques et les attaques par corrélation rapides. Les résultats obtenus avec Anne Canteaut sont décrits dans la suite de ce chapitre et ont été publiés à Fast Software Encryption en 2016 [CR16].

4.5 Attaques alg´ebriques “univari´ees”

Déterminer les propriétés cryptographiques d’une fonction booléenne en considérant tous les changements possibles de racine primitive du corps fini F₂n semble a priori difficile, puisque les critères de non-linéarité et d’immunité algébrique ne sont pas invariants par cette transformation [RC10, Appendix A].

Pour ce qui est du degré et de l’immunité algébrique, les travaux de Massey et Serconek [MS94], puis plus récemment ceux de Gong, Helleseth et Rønjom [RGH07, RH07, Gon11, HR11] ont montré que la représentation univariée est bien plus pertinente que la représentation multivariée pour évaluer correctement la sécurité des registres filtrés. Pour le cas des attaques algébriques, c’est cette représentation univariée qui donne exactement la valeur de la complexité linéaire de la suite produite, ce qui détermine précisément la sécurité de ce type de générateur. En effet, l’action de l’équivalence monomiale sur la fonction de filtrage est bien plus simple à décrire lorsque l’on choisit la représentation univariée que la représentation multivariée.

Soit F une fonction booléenne donnée sous sa forme univariée, i.e. F (X) = 2n−2 X i=0 AiXi,

alors l’ensemble des fonctions booléennes dans la classe d’équivalence de F est défini par les fonctions G dont la représentation univariée

G(X) =

2n−2

i=0

BiXⁱ

est obtenue en décimant la représentation univariée de F par un entier k premier avec (2n− 1), i.e.,

Bi= Aik mod (2n−1).

4.5.1 Complexit´e lin´eaire

Comme nous l’avons décrit à la section 4.3, l’attaque algébrique la plus simple consiste à collecter des équations (multivariées) liant l’état initial et la suite chiffrante. Dans ces conditions, la complexité de l’attaque dépend du degré de la fonction de filtrage. Or, plutôt que de linéariser le système, nous pouvons adopter une stratégie complètement différente et beaucoup plus performante : nous pouvons considérer la sortie du générateur filtré comme la sortie d’un unique LFSR (de taille bien plus grande). La taille de ce LFSR est la complexité linéaire Λ de la suite chiffrante (définition 4.5). Cette valeur détermine exactement la complexité de résolution du plus petit système linéaire qui lie les bits de la suite chiffrante et l’état initial. Pour le cas particulier de la combinaison de registres, nous savons que la complexité linéaire croit suffisamment vite avec le degré de la fonction [Key76, Rue86]. En revanche, dans le cas des générateurs filtrés, le théorème de Blahut [Bla83, MS94] implique que la valeur de la complexité linéaire Λ est entièrement déterminée par le nombre de coefficients non nuls dans la représentation univariée de la fonction de filtrage. Plus précisément, soit Ai ∈ F₂n pour 0 ≤ i ≤ 2n− 2 les coefficients de la représentation univariée de F , alors la complexité linéaire de la suite sortante d’un LFSR de polynôme caractéristique primitif et filtré par F est donnée par

Λ = #{0 ≤ i ≤ 2ⁿ− 2 : Ai6= 0} .

L’équivalence monomiale correspond à la décimation par un certain entier k premier avec (2n− 1) des coefficients dans la représentation univariée. La valeur des coefficients reste donc inchangée par cette transformation, ce qui nous permet d’assurer la proposition suivante.

Proposition 4.11(Invariance de la complexité linéaire). La complexité linéaire d’une suite engendrée par un LFSR filtré est un invariant pour l’équivalence monomiale.

Une observation importante faite par Rønjom et Helleseth dans [RH07] est que la complexité linéaire est toujours plus petite que le nombre de monômes présents dans l’attaque algébrique classique. En effet, pour l’attaque algébrique classique, le système linéarisé admet approximativement

deg f X i=1 n i

inconnues. Or, on sait que le degré de la fonction monomiale Tr(λxk) est égal au poids de Hamming de k, c’est-à-dire le nombre de 1 dans sa représentation binaire. Ainsi, si l’on a une fonction booléenne de degré d, on sait que tous les coefficients Ak dans la représentation univariée où wH(k) > deg f doivent nécessairement être nuls. Ainsi, la complexité linéaire Λ du générateur, i.e., le nombre de coefficients non nuls dans la représentation univariée, est au plus le nombre d’entiers k tels que wH(k) ≤ deg(f ), ce qui correspond au nombre d’inconnues dans le système multivarié linéarisé. Dans ces conditions, pour n’importe quel générateur filtré obtenu par équivalence monomiale, la meilleure attaque algébrique a une complexité en données de O(Λ). La connaissance de Λ bits de suite chiffrante permet de déterminer l’état initial du registre en un temps de calcul linéaire en Λ. Cependant, la phase de précalcul consiste à calculer la complexité linéaire engendrée par le générateur, ainsi que le polynôme minimal de la suite chiffrante. Ceci peut être réalisé en appliquant l’algorithme de Berlekamp-Massey (algorithme 2, page 69) au générateur filtré, initialisé par une valeur arbitraire avec un coût quadratique en la complexité linéaire, i.e.en O(Λ2). Cette complexité peut être améliorée en utilisant des techniques similaires à celles employées dans les attaques algébriques rapides afin d’obtenir une complexité de l’ordre de O(Λ log²Λ) comme expliqué dans [RH07]. Comme ces attaques exploitent le spectre de Fourier de la fonction de filtrage, il est clair que l’équivalence monomiale n’affecte en rien la complexité de ces attaques.

4.5.2 Attaques alg´ebriques

D’après les observations précédentes, Rønjom et Cid ont défini dans leur article l’immunité algébrique généralisée [RC10, Définition 6], c’est-à-dire la plus petite immunité algébrique pour toutes les fonctions booléennes dans la classe d’équivalence induite par le changement de racine primitive dans le corps fini F2n. Comme expliqué au chapitre 2 mais aussi à la section 4.3, les attaques algébriques permettent à l’attaquant.e de diminuer le degré des équations liant l’état initial et les bits de la suite chiffrante en utilisant l’existence d’un annulateur de petit degré de la fonction de filtrage [CM03]. La même idée peut être utilisée afin d’améliorer les attaques algébriques utilisant la représentation univariée de la fonction. En d’autres termes, si le polynôme représentant la fonction de filtrage n’est pas creux mais que la fonction admet un annulateur creux, alors l’attaque peut être réalisée sur cet annulateur plutôt que sur la fonction elle-même (comme pour les attaques algébriques classiques). Ainsi, la complexité de la meilleure

attaque est déterminée par la plus petite complexité linéaire d’un annulateur de la fonction de filtrage. Cette quantité est définie comme l’immunité spectrale de la suite sortante [GRHH11, Définition 1].

Définition 4.12(Immunité Spectrale). Soit s une suite binaire de période N , alors l’immunité spectraleSI(s) est définie par

SI(s) = min

b∈FN 2

{Λ(b)|s · b = 0 ou (s + 1) · b = 0, b 6= 0}

Exemple 3. C’est cette propriété particulière qui a permis à Sondre Rønjom [Røn15] de casser la famille de chiffrements à flot Welch-Gong [NG05] dont les suites chiffrantes ont une faible immunité spectrale.

En utilisant la correspondance entre suites et fonctions booléennes [GG04], cette définition s’étend tout naturellement aux fonctions booléennes en considérant le nombre de coefficients non nuls dans la représentation univariée. Ainsi, nous pourrons parler de complexité linéaire d’une fonction booléenne comme la com-plexité linéaire d’une suite engendrée par un générateur filtré par cette fonction. Nous discuterons de ce nouveau critère cryptographique en prenant un peu de recul à la conclusion. Or, pour tout annulateur G de F , nous avons toujours l’inégalité Λ(G) ≤ deg G X i=0 n i ,

impliquant directement que l’attaque exploitant la repr´esentation univari´ee est toujours plus performante que l’attaque classique.

Il nous reste à montrer que l’équivalence monomiale n’affecte pas non plus l’immunité spectrale de F .

Soit k un entier premier avec (2n− 1) et soit F0(x) = F (xk). Soit G0 un annulateur non-nul de F0. Par d´efinition G0 est un annulateur non-nul de F0

si et seulement si G(x) = G0(xr) est un annulateur non-nul de F , avec rk ≡ 1 mod (2n− 1). La complexité linéaire de G0est donc égale à la complexité linéaire de G, annulateur de F . Dans ces conditions, une attaque algébrique sur le générateur filtré par F a exactement le même coût que sur le générateur filtré par F0. Plus généralement, l’immunité spectrale des fonctions booléennes est invariante par l’équivalence monomiale.

Proposition 4.13. L’équivalence monomiale n’affecte pas la complexité des meilleures attaques algébriques sur les générateurs filtrés.

Dans le document Mathématiques discrètes appliquées à la cryptographie symétrique (Page 94-97)