Quelques attaques exploitant un degr´ e alg´ ebrique faible

La construction des chiffrements par blocs, ainsi que celle des fonctions de hachage mod-ernes, suit les principes annonc´es par Claude Shannon en 1949. Plus pr´ecis´ement, chaque primitive sym´etrique est constitu´ee de deux parties diff´erentes ; une partie non-lin´eaire assur-ant la confusion et une partie lin´eaire garassur-antissassur-ant la diffusion. Certaines attaques d´evelopp´ees contre les cryptosyst`emes sym´etriques exploitent des faiblesses de ces deux parties distinctes.

Certaines attaques s’appliquent aux primitives ayant un degr´e alg´ebrique faible ou une faible non-lin´earit´e tandis que d’autres exploitent une diffusion lente.

La plupart des attaques et des distingueurs que nous avons appliqu´es contre diverses primitives sym´etriques tirent profit de ces deux faiblesses distinctes. Ces attaques seront pr´esent´ees dans les quatre chapitres qui suivent. Dans cette partie du m´emoire nous allons montrer l’importance d’un degr´e alg´ebrique ´elev´e ainsi que d’une bonne diffusion pour la

2.2. QUELQUES ATTAQUES EXPLOITANT UN DEGR ´E ALG ´EBRIQUE FAIBLE 37 s´ecurit´e d’une primitive cryptographique. Nous allons faire cela en pr´esentant bri`evement quelques attaques classiqueset leurs variantes.

Parmi ces attaques nous allons ´enum´erer les plus importantes. Nous allons commencer par des attaques qui exploitent des faiblesses dans la partie non-lin´eaire (cryptanalyse alg´ebrique, cryptanalyse diff´erentielle d’ordre sup´erieur, attaques cube) et nous verrons ensuite le principe de la cryptanalyse int´egrale qui exploite `a la fois une mauvaise diffusion et un degr´e faible.

Il faudra noter qu’il n’est pas facile de distinguer clairement ces diff´erentes attaques `a cause des multiples intersections qui existent entre les m´ethodes.

2.2.1 Attaques alg´ebriques

Le premier type d’attaques contre les cryptosyst`emes sym´etriques pouvant exploiter un degr´e alg´ebrique faible est l’attaque alg´ebrique.

Les attaques alg´ebriques sur les chiffrements par blocs font partie de la famille des attaques

`a clair connu. Le principe consiste `a exploiter des relations alg´ebriques entre les bits du message clair, les bits du message chiffr´e et les bits de la cl´e secr`ete. Un attaquant peut

´ecrire des ´equations dont les inconnues sont les bits de la cl´e et essayer de retrouver ceux-ci en r´esolvant le syst`eme. La r´esolution des syst`emes alg´ebriques de ce type est en g´en´eral un probl`eme tr`es difficile. Sa r´eussite d´epend de plusieurs param`etres, comme le degr´e alg´ebrique des ´equations, la taille du syst`eme ou la pr´esence d’une structure particuli`ere.

Dans son article novateur de 1949 [Sha49], Claude Shannon mentionne que ^≪casser un

“bon” chiffrement, doit demander autant de travail que la r´esolution d’un syst`eme complexe d’´equations en un grand nombre de variables.<sup>≫1</sup> Pour valider cela il propose une attaque simple, la premi`ere de ce genre, qui consiste `a exprimer tous les bits du texte chiffr´e en fonction de bits du texte clair et les bits de la cl´e. Afin de r´esoudre un syst`eme de ce type, une technique connue sous le nom delin´earisation, peut ˆetre utilis´ee.

D´efinition 2.22. La technique de la lin´earisationconsiste `a remplacer tout monˆome de degr´e strictement sup´erieur `a 1 par une nouvelle variable ind´ependante de degr´e1.

Apr`es la phase de lin´earisation, le syst`eme peut ˆetre invers´e, en utilisant par exemple une

´elimination de Gauss. Malgr´e la simplicit´e de sa description cette attaque ´el´ementaire ne peut pas ˆetre appliqu´ee en pratique sur les chiffrements actuels `a cause de la grande taille et de la complexit´e des syst`emes g´en´er´es.

Il existe aujourd’hui des algorithmes plus efficaces pour traiter ce type de probl`emes. Un exemple de telles m´ethodes sont les algorithmes de calcul de bases de Gr¨obner. Les algorithmes F4 et F5 de Jean-Charles Faug`ere [Fau99,Fau02] sont beaucoup utilis´es en cryptographie.

En 2002, Nicolas Courtois et Joseph Pieprzyk ont propos´e l’id´ee d’une cryptanalyse alg´ebrique d’AES [CP02] qui exploiterait le fait que l’inversion dans le corps F²⁵⁶₂ employ´e dans l’AES conduit `a des relations quadratiques entre les entr´ees et les sorties de chaque tour de l’algorithme. L’article d’origine pr´etendait conduire `a une cryptanalyse de l’AES plus rapide que la recherche exhaustive. Mais, plusieurs chercheurs ont montr´e que cette m´ethode n’aboutissait pas [Cop02,CL05].

1. Breaking a “good” cipher should require as much work as solving a system of simultaneous equations in a large number of unknowns of a complex type.

Attaques alg´ebriques sur les fonctions de hachage Pour l’analyse des fonctions de hachage, l’approche alg´ebrique en termes de r´esolution d’un syst`eme d’´equations a ´et´e rela-tivement peu utilis´ee. On doit pourtant noter, le travail M. Sugita, M. Kawazoe, L. Perret et H. Imai [SKPI07] qui proposent une mod´elisation alg´ebrique de l’attaque en collisions par Wang et. al [WY05] sur la fonction de hachage SHA-1. Cette attaque am´eliore la technique de modification de messageutilis´ee dans [WY05] en utilisant des moyens alg´ebriques et con-duit `a une meilleure complexit´e de l’attaque sur la fonction SHA-1 r´eduite `a 58 tours. Plus r´ecemment, des travaux alg´ebriques bas´es sur des impl´ementations des algorithmes de SAT (“SAT solvers” en anglais) ont ouvert la piste de la recherche d’ant´ec´edents sur les fonctions de hachage en utilisant des moyens alg´ebriques. De telles attaques ont ´et´e appliqu´ees `a la fonction de hachage Keccakpar Morawiecki et Srebrny [MS10] et par Morawiecki [Mor11].

Plus pr´ecisement, une pr´eimage pour trois tours de la fonction donnant des empreintes de 1024 bits et absorbant de blocs de messages de 40 bits est pr´esent´ee dans [MS10]. Cette pr´eimage a ´et´e trouv´ee en 1852 secondes. De plus, des pr´eimages pour un ou deux tours sont donn´ees dans [Mor11] pour des variantes ayant une capacit´e dec= 160 bits.

2.2.2 Attaques diff´erentielles d’ordre sup´erieur Le principe de la cryptanalyse diff´erentielle

Une attaque tr`es puissante contre les chiffrements par blocs, connue sous le nom de crypt-analyse diff´erentiellea ´et´e introduite par Shamir et Biham en 1991 [BS91]. Cette m´ethode a

´et´e utilis´ee pour cryptanalyser un grand nombre de chiffrements par blocs et de fonctions de hachage. Elle a ´et´e appliqu´ee entre autres `a l’ancien standard de chiffrement par blocs, DES, et a ´et´e la premi`ere attaque sur cet algorithme plus rapide que la recherche exhaustive [BS93].

Pour une fonction vectorielleF nous introduisons la notion de la d´eriv´ee deF.

D´efinition 2.23. Soit F une fonction vectorielle de Fⁿ₂ dans F^m₂ . Pour tout a ∈ Fⁿ₂, la d´eriv´ee deF relativement au vecteur a est la fonction d´efinie pour tout x∈Fⁿ₂ par

DaF(x) =F(x+a) +F(x).

Dans le concept classique de la cryptanalyse diff´erentielle, l’attaquant cherche une d´eriv´ee D_aF du chiffrement, dont la distribution est ´eloign´ee de la distribution uniforme. Plus pr´ecise-ment, l’attaquant essaie de trouver un vecteura∈Fⁿ₂, que nous appelonsdiff´erence en entr´ee, tel queDaF prend une valeurb∈Fⁿ₂, appel´ee diff´erence en sortie, avec une probabilit´e plus

´elev´ee que celle attendue avec une permutation al´eatoire.

D´efinition 2.24. Une diff´erentielle au touri d’un chiffrement it´eratif de la fonction de tour F param´etr´ee par la cl´e de tourk_i, est un couple(a, b), a6= 0, tel qu’il existe un x∈Fⁿ₂ pour lequel

D_a(F_ki◦ · · · ◦F_k1)(x) =b.

La probabilit´e de la diff´erentielle (a, b) au touriest d´efinie par Dp⁽ⁱ⁾(a, b) = Pr_X[D_a(F_ki◦ · · · ◦F_k1)(X) =b].

Suivant les contextes, cette probabilit´e est calcul´ee `a cl´e fix´ee, en moyenne sur les cl´es ...

Une diff´erentielle pour une fonction vectorielle F peut ˆetre visualis´ee `a la Figure 2.1.