Attaques horizontales

Le principal inconv´enient des attaques verticales est leur verticalit´e. En effet, plusieurs mesures avec la mˆeme clef sont n´ecessaires afin de pouvoir mener `a bien une attaque. Dans certains cas, il est impossible de mener `a bien de telles attaques : un protocole cryptographique utilisant des clefs ´eph´em`eres empˆeche d’effectuer plusieurs mesures avec la mˆeme clef, tels que les protocoles d’´echange de clefs ECDH ou celui de signatures ECDSA. De plus, les attaques verticales n´ecessitent de choisir le point de base lors d’une mesure or certains protocoles (ECDSA, EdDSA) n’offrent pas cette possibilit´e.

Ainsi, il est donc difficile de mener une attaque verticale sur le calcul de kP contre de nombreux protocoles cryptographiques `a clefs publiques. Il s’en suit le d´eveloppement d’attaques dites horizontales qui vont utiliser une seule et unique trace et vont effectuer une analyse statistique entre diff´erentes parties de cette trace. Ces attaques sont redoutables de par leur conception. Cependant, elles sont dif- ficiles `a mettre en œuvre. Leur succ`es peut directement d´ependre des choix d’impl´e- mentations faits pour calculer kP . Ainsi, leur complexit´e et leur efficacit´e th´eorique en font un domaine de recherche `a part enti`ere. Dans cette th`ese, nous n’effectue- rons pas d’attaques horizontales, laissant cet aspect des attaques physiques pour de nouvelles perspectives de recherche. Malgr´e tout, nous proposons d’effectuer un ´

etat de l’art de celles-ci car dans notre construction et notre impl´ementation d’une cryptographie nouvelle sur les courbes elliptiques, il nous faut avoir `a l’esprit les strat´egies utilis´ees par ce genre d’attaque afin de limiter leur impact d’un point de vue th´eorique. Toutes les hypoth`eses de s´ecurit´e que nous ´enoncerons pour la cryp-

tographie sur les BEC resterons tr`es sp´eculatives et n´ecessitent dans l’avenir une ´

etude compl`ete.

De par la sp´ecificit´e de ces attaques, certains chercheurs ont commenc´e `a adop- ter une approche syst´ematique afin d’´evaluer leur impact sur une impl´ementation cryptographique sur les courbes elliptiques, [PZS17, APS19].

Attaque Big Mac : Cette premi`ere attaque horizontale fut introduite par Walter [Wal01] sur une impl´ementation RSA. La strat´egie de cette attaque est d’identifier des multiplications modulaires ayant un op´erande commun au cours du calcul. Pour rep´erer des op´erandes identiques entre deux multiplications, Walter utilise la distance euclidienne. Si celle-ci est petite entre deux multiplications alors un des op´erandes est identique et `a l’inverse, si cette distance est grande alors les op´erandes sont diff´erents. Cette attaque sera am´elior´ee par Clavier et al. [CFG+_{12] par l’utilisation}

de la corr´elation de Pearson au lieu de la distance euclidienne.

Cette attaque fut adapt´ee par Bauer et al. [BJPW13] dans le cadre de la crypto- graphie sur les courbes elliptiques. La strat´egie adopt´ee est de rep´erer des op´erandes pouvant ˆetre communs entre deux calculs interm´ediaires de la multiplication scalaire. Si ces deux calculs poss`edent un op´erande commun en fonction du bit courant de la multiplication scalaire, nous pouvons retrouver ce bit sous l’hypoth`ese que nous pouvons distinguer des op´erandes communs entre deux multiplications scalaires.

Dans le cas des BEC, l’utilisation des coordonn´ees diff´erentielles mixtes avec la coordonn´ee Z commune est permise par l’algorithme 2.15. Ce syst`eme de coor- donn´ees est utilis´e avec l’algorithme 2.8 de l’´Echelle de Montgomery. Ainsi, aucune multiplication interm´ediaire ne comporte un op´erande commun avec une autre mul- tiplication qui d´ependrait du bit courant : a priori ce mod`ele de courbes elliptiques coupl´e avec le syst`eme de coordonn´ees de l’algorithme 2.15 ne serait pas sensible `a ce type d’attaque.

Attaque horizontale par corr´elation HCSCA : L’Horizontal Correlation Side Channel Attack a ´et´e introduite par Clavier et al. [CFG+_{10]. L’attaque n´ecessite une}

seule et unique trace de consommation ou rayonnement ´electronique du calcul de kP . Cependant, l’attaquant doit connaˆıtre le point de base utilis´e contrairement `a une attaque Big Mac.

L’objectif de cette attaque est de trouver r´ecursivement les bits de k via des hypoth`eses de clefs qui seront corr´el´ees avec la trace. Cette strat´egie est similaire `a celle de l’attaque verticale CSCA. Ainsi, un attaquant va calculer les valeurs inter- m´ediaires µi d’une multiplication entre plusieurs op´erandes suppos´es qui d´ependent

du bit courant. En connaissant le poids de Hamming des µi un attaquant peut les

corr´eler avec les traces correspondant au calcul de µi. L’attaquant pourra inf´erer le

bit de la clef en s´electionnant l’hypoth`ese ayant la plus forte corr´elation.

Cette attaque a ´et´e ´etendue `a plusieurs algorithmes de multiplication scalaire par Bauer et al. [BJPW13].

Nous avons vu que pour construire les hypoth`eses µiun attaquant doit connaˆıtre

le point de base. Ainsi, une contremesure d’ajout d’al´ea dans la repr´esentation pro- jective du point de base permet de se pr´emunir de cette attaque. De mˆeme, l’ajout d’al´eas dans les param`etres de la courbe `a l’aide d’isomorphisme permet de se pro- t´eger contre ce genre d’attaque.

Attaque horizontale par valeurs identiques HSVSCA : L’Horizontal Same Value Side Channel Attack est une extension de l’attaque Same Value Side Channel Attack publi´ee par Murdica [MGD+_12].

Tout comme l’attaque SVSCA, la strat´egie est d’utiliser un point de base sp´ecial qui va permettre d’avoir des valeurs interm´ediaires identiques en fonction des bits de la clef. Les auteurs utilisent le calcul de l’´el´evation du carr´e afin d’avoir des valeurs interm´ediaires identiques. Ces collisions peuvent apparaˆıtre soit `a la mˆeme ´etape du calcul de kP , soit `a l’´etape suivante du calcul.

Nous pouvons nous pr´emunir de cette attaque en ajoutant de l’al´ea dans le scalaire k. Malgr´e tout, un attaquant peut attaquer plusieurs bits de la clef `a la fois ce qui r´eduit l’efficacit´e de la contremesure.