ce qui conclue la preuve. ♦
4.4.2 Performances
Les tables 4.1 et 4.2 page 70 permettent de voir que le cryptosyst`eme hybride pr´esente l’avantage, par rapport aux cryptosyst`emes de McEliece et de Niederreiter, d’accroˆıtre de fa¸con significative le taux de transmission. La r´eduction de s´ecurit´e pr´ec´edente nous montre que dans le cas d’un codage en mots d’erreurs de poids constant bijectif, l’utilisation du cryptosyst`eme hybride ne diminue pas la s´ecurit´e du cryptosyst`eme. il est alors possible d’utiliser des clefs de mˆeme taille que celles utilis´ees pour le cryptosyst`eme de McEliece. Le sch´ema hybride pr´esentera donc essentiellement les mˆemes performances que le cryptosyst`eme de McEliece tout en offrant un meilleur taux de transmission.
Cependant, le codage de l’information en mots d’erreurs de poids constant bijectif peut ralentir de fa¸con significative le chiffrement. Dans ce cas, un codage surjectif peut ˆetre utilis´e ; la s´ecurit´e du sch´ema est alors l´eg`erement d´egrad´ee. Le choix de la fonction de codage surjective est donc un point cl´e de la solidit´e de la construction.
4.5 Bilan
Nous avons ´etabli au cours de ce chapitre le niveau de s´ecurit´e de trois sch´emas de chiffrement utilisant les codes de Goppa. Nous avons montr´e explicitement le lien entre leur s´ecurit´e OW-CPA et deux propri´et´es sp´ecifiques `a cette famille de codes : la forte ressemblance entre un code de Goppa et un code al´eatoire de mˆeme taille, et la difficult´e du d´ecodage dans ce dernier.
Notre analyse nous conduit `a introduire une nouvelle cat´egorie de probl`emes de d´ecodage, plus proche de ceux ´etudi´es en pratique : les probl`emes de d´ecodages restreints aux seules instances admettant une solution.
Ces trois sch´emas r´esultent de diff´erents compromis. Le chiffrement de McEliece pr´esente un meilleur taux de transmission que le sch´ema de Niederreiter, mais n´ecessite des clefs publiques plus imposantes et des blocs chiffr´es de plus grande taille. Le sch´ema de Sendrier & Biswas am´eliore pour sa part sensiblement le taux de transmission, mais les blocs de message clairs sont de taille l´eg`erement sup´erieurs `a ceux utilis´es dans le sch´ema de McEliece pour une mˆeme taille
4.5. Bilan 69 de clefs. De plus, il peut ˆetre n´ecessaire d’affaiblir (raisonnablement) la s´ecurit´e du syst`eme pour conserver une vitesse de chiffrement int´eressante.
Ces trois sch´emas partagent ´egalement un mˆeme inconv´enient : la grande taille des clefs qu’ils utilisent. Avant d’envisager une r´eelle utilisation pratique, il reste donc un probl`eme `a r´esoudre : trouver une famille de codes admettant une repr´esentation plus compacte pour remplacer de fa¸con sˆure les codes de Goppa, et admettant si possible une preuve de s´ecurit´e r´eductionniste.
Nous examinons dans le chapitre suivant diff´erentes tentatives dans ce sens.
McEliece Niederreiter Hybride S´ecurit´e 286,8 2128,5 286,8 2128,5 286,8 2128,5 Param`etres (m, t) (11,32) (12,41) (11,32) (12,41) (11,32) (12,41)
matrice publique
424 Ko 1802 Ko 88 Ko 246 Ko 424 Ko 1802 Ko (clef publique)
messages 1696 bits 3604 bits 233 bits 327 bits 1929 bits 3931 bits chiffr´es 2048 bits 4096 bits 352 bits 492 bits 2048 bits 4096 bits taux de transmission
0,83 0,88 0,66 0,66 0.94 0.96
(arrondi `a 10−2)
Table 4.1 – Taille des clefs et taux de transmission des principaux cryptosyst`emes fond´es sur les codes correcteurs d’erreurs pour des mˆemes codes de Goppa de Gm,t.
McEliece Niederreiter Hybride
matrice publique
k×n (n−k)×n k×n
(clef publique)
messages kbits blog2 nt
c bits k+blog2 nt c bits
chiffr´es n bits n−k bits nbits
taux de transmission nk blog2(nt)c
n−k
n+blog2(nt)c
n−k
chiffrement
n(k+ 1)
kt n(k+ 1)
(en nombre d’op´erations + codage en mots + codage en mots
binaires) de poids constant de poids constant
d´echiffrement
n2+k2+t2(log2n)3 n2+ (n−k)2+t2(log2n)3 n2+k2+t2(log2n)3 (en nombre d’op´erations
binaires)
Table 4.2 – Comparaison entre les principaux cryptosyst`emes fond´es sur les codes correcteurs d’erreurs pour un mˆeme code de Goppa de taille n= 2m et de dimension k= 2m−mt.
Chapitre 5
Cryptanalyses de variantes de McEliece
Ce chapitre a fait l’objet des publications [OTD08a] et [OTD08b], en collaboration avecA.
OtmanietJ.P. Tillich. Sommaire
5.1 R´eduction de la taille des clefs . . . . 72 5.2 Notations et d´efinitions . . . . 72 5.2.1 Matrices circulantes . . . . 73 5.2.2 Codes cycliques et quasi-cycliques . . . . 74 5.2.3 Codes BCH . . . . 75 5.2.4 Codes LDPC . . . . 76 5.3 Variante du cryptosyst`eme de McEliece utilisant des sous-codes
d’un code BCH . . . . 76 5.3.1 Description . . . . 76 5.3.2 Cryptanalyse . . . . 77 5.4 Variante utilisant des codes quasi-cycliques LDPC . . . . 78 5.4.1 Description . . . . 78 5.4.2 Quelques remarques sur le choix des param`etres . . . . 79 5.4.3 Cryptanalyse . . . . 80 5.5 Bilan . . . . 84
71
5.1 R´ eduction de la taille des clefs
Nous avons vu au chapitre pr´ec´edent que les cryptosyst`emes fond´es sur la th´eorie des codes correcteurs d’erreurs n´ecessitait des clefs de grande taille, de l’ordre de plusieurs centaines de Ko.
Cette situation est un frein majeur `a l’utilisation pratique de ces cryptosyst`emes. La recherche de nouvelles familles de codes permettant d’instancier le cryptosyst`eme de McEliece de fa¸con sˆure est un domaine actif.
Pour cela, deux contraintes doivent ˆetre respect´ees par la famille de codes choisie : tout d’abord, il faut que la famille consid´er´ee admette un algorithme de d´ecodage pour des param`etres correspondant `a un code al´eatoire dont le d´ecodage est difficile ; ensuite, il est n´ecessaire que la structure du code priv´e puisse ˆetre efficacement masqu´ee dans la matrice publique. Si le premier crit`ere est facile `a satisfaire, le second en revanche n’est pas toujours ´evident. Par exemple, V. Sidelnikov et S. Shestakov ont montr´e en 1992 [SS92] qu’il ´etait possible de retrouver efficacement la structure de codes de Reed-Solomon g´en´eralis´es, ce qui invalidait la proposition de H. Niederreiter d’utiliser ceux-ci pour instancier sa variante ;N. Sendrier a prouv´e qu’une permutation masquant la structure d’un code concat´en´e peut ˆetre extrait d’une clef publique ainsi form´ee [Sen98] et L. Minder et A. Shokrollahi [MS07] ont montr´e qu’il existait une attaque structurelle contre un cryptosyst`eme utilisant des codes de Reed-Muller [Sid94].
En 2000, C. Monico, J. Rosenthal et A. Shokrollahi, ont ´etudi´e la possibilit´e de remplacer l’utilisation des codes de Goppa par des codes LDPC [MRS00]. Ces derniers sont d´efinis par une matrice de parit´e tr`es creuse (c’est-`a-dire dont l’essentiel des positions sont
`
a 0) et admettent donc une repr´esentation compacte. Malheureusement, ils mettent en avant les faiblesses du sch´ema ainsi obtenu. En 2005, P. Gaborit a propos´e l’utilisation de codes quasi-cycliques [Gab05], c’est-`a-dire d´efinis par une matrice g´en´eratrice dont les lignes sont obtenues par une permutation simple de la premi`ere ligne. Ces codes admettent donc ´egalement une repr´esentation courte. En 2007,M. Baldi etG. Chiaraluce propos`erent de combiner les deux id´ees en utilisant des codes LDPC quasi-cycliques [BC07]. Nous pr´esentons dans ce chapitre une cryptanalyse de chacun de ces deux derniers cryptosyst`emes. Celles-ci ont ´et´e r´ealis´ees en collaboration avecA. OtmanietJ.P. Tillich; elles ont fait l’objet des publications [OTD08a]
et [OTD08b].