Les données sont issues du circuit électronique réalisé par V. Telandro [Tel06]. L’objectif est d’obtenir au moins les mêmes scores que ceux de la simulation numérique précédente. L’ob-servation est un enregistrement de T = 2.10−3 (sec) disponible sur N = 13 960 321 points correspondant au signal créneauII.13. La fréquence d’échantillonnage est de Fe= 6, 98 (GHz). La figure 32 montre la représentation d’une portion de ce signal, dont les hauteurs de paliers sont 0 (V) où 1, 8 (V).
10- Expérimentations 53
FIG. 32 – Signal créneau observé sur 10−6(sec) ainsi que sa valeur moyenne.
Du signal sont recueillies Ns = 10044 valeurs, suivant un échantillonnage idéal, avec une fréquence F = 5, 02 (MHz)34. Ce choix expérimental est le fruit de discussions avec V. Telandro, il correspond à une situation réaliste et de plus compatible avec les performances du matériel à disposition35. Cette approche permet de construire la séquence {si}i=1...Ns à l’aide de l’oracle valeur moyenne : si un échantillon à une valeur supérieure à la valeur moyenne, alors il génère un 1, et inversement pour le 0. Cette suite d’environ 10000 points est alors soumise aux cinq tests statistiques présentés dans la section précédente.
– Pour X1, il y a N0 = 5065 zéros pour N1 = 4979 uns et ainsi, X1 = 0, 736.
– Concernant X2, le nombre d’occurrences est N00 = 2573, N01 = 2491, N10 = 2491 et N11 = 2488, soit X2 = 1, 234.
– Pour le test du Poker, Ms = 7, le flux est divisible en K3 = 1434 morceaux. Les occur-rences de chacun des 2Ms = 128 mots possibles, données figure33, et X3 = 138, 954.
34Qui n’a rien à voir avec Fe.
FIG. 33 – Représentation des occurrences de chaque mot binaire de pendant décimal 1 à 128 dans{si}i=1...Ns.
– Dans le cadre du test des trous et des blocs, la taille maximum de sous-suite est K4 = 9. Les proportions idéales, celles de trous et celles de blocs sont illustrées figure34, et X4 = 22, 855.
FIG. 34 – Représentation des occurrences théoriques (trait plein), de trous (ronds) et de blocs (carrés).
– Le test de l’autocorrélation est effectué sur 5022 points, le résultat est présenté figure 35, sauf exceptions ponctuelles, ses valeurs sont contenues dans l’intervalle de confiance [−3 ; 3].
11- Conclusion 55
FIG. 35 – Autocorrélation binaire de la suite {si}i=1...Ns pour des décalages positifs. L’ensemble des résultats est synthétisé dans le tableau16.
χ2 0,9 Score X1 2, 702 0, 736 X2 4, 607 1, 234 X3 147, 83 138, 954 X4 21, 057 20, 855
X5 99% des valeurs ∈ [−3 ; 3] oui TAB. 16 – Récapitulatif des 5 tests
Ici encore, la tendance observée à la section précédente se confirme, à savoir que les résultats sont positifs. Cependant le test X4 est proche de son seuil. Les scores sont tout de même plus qu’honorables, sachant qu’il faudrait au moins deux fois plus de bits pour que les tests soient complètement exhaustifs. De plus, là encore aucune technique a posteriori de redressement des données n’a été utilisée.
De ces résultats se dégage une tendance positive, qu’il faut confirmer par des simulations plus longues afin d’avoir à disposition une séquence de plus de 20000 bits36.
11 C
ONCLUSIONCe chapitre traite de l’étude et la caractérisation d’un système dynamique non-linéaire en régime chaotique, puis de son utilisation pour générer des nombres pseudo-aléatoires. Il est le fruit d’un travail commun avec V. Telandro dans le cadre de la sécurisation des Smart Cards pour ST Microelectronics, sa tâche étant d’implémenter sur silicium un circuit analogique basé sur un oscillateur chaotique lui aussi destiné à générer des séquences pseudo-aléatoires.
L’étude débute par la modélisation mathématique du problème, aboutissant au problème (Pa), composé d’une équation différentielle non-linéaire du troisième ordre, de paramètre de contrôle a, et d’un jeu de trois conditions initiales. Le problème est alors canoniquement ramené à un
36De leur côté également, les microélectroniciens ont besoin de moyens matériels conséquents pour obtenir une telle séquence.
système dynamique non-linéaire de dimension 3. L’existence et l’unicité du problème pour une condition initiale fixée est ensuite prouvée, légitimant la suite des travaux. Afin d’étudier numé-riquement le problème (Pa), le problème discret (Pah) est introduit. Ce dernier, stable, consistant, est convergeant vers le problème (Pa). Parmi les méthodes numériques disponibles dans la litté-rature pour étudier informatiquement (Ph
a), et donc (Pa), la méthode de Runge-Kutta, basée sur les différences finies, conjugue simplicité d’implémentation et précision puisque convergente en O(h4), ce qui explique un tel choix.
La caractérisation commence par l’étude du système dynamique linéarisé au voisinage de ses points d’équilibre, qui renseigne sur le comportement local des solutions du problème. Les va-leurs propres de la matrice Jacobienne sont calculées ainsi que les éléments propres en fonction du paramètre de contrôle a. Dans tous les cas, il y a une valeur propre réelle et deux valeurs propres complexes conjuguées auxquelles sont respectivement associés une droite et un plan propre. La compréhension de la dynamique locale aide grandement à la compréhension de la dynamique globale, et le regroupement de l’ensemble des résultats établis par le biais de simu-lations numériques permet de dégager les intervalles de valeurs de paramètre a correspondant aux comportements possibles des solutions de (Pa), à savoir convergentes vers un point ou vers un cycle limite, divergentes, ou chaotiques car décrivant un attracteur étrange : le Double Scroll. L’étude focalise sur cet intervalle et confirme notamment que le système est dans ce cas bien en évolution chaotique, grâce au théorème de Shil’nikov dont les hypothèses sont vérifiées, per-mettant d’établir rigoureusement la présence de chaos hétéroclinique. Il est alors intéressant d’analyser les indicateurs classique du chaos pour en faire ressortir les propriétés importantes pour la suite. Les exposants de Lyapunov sont calculés, retournant la signature (+ ; 0 ; −) syno-nyme de chaos. L’étude du diagramme de bifurcation associé à (Pa) permet d’avoir confirmation des valeurs de bifurcation du système, établies lors de l’étude de la dynamique locale. Il ressort que le système est chaotique si a ∈] − 0, 99 ; −0, 4[ Cet intervalle est différent de ceux trouvés par les microélectroniciens, cependant, la valeur a = −0, 7 correspond dans tous les cas à un système dynamique chaotique. Enfin, l’étude spectrale d’une solution de (Pa) montre que dans le cas d’un fonctionnement en mode chaotique, le spectre est bien large bande, présentant de nombreux pics correspondant aux périodes propres de la solution. Ce nombre élevé de périodes entraîne cet aspect désordonné des trajectoires qui empêche de prédire aisément les futures va-leurs de cette dernière.
C’est sur la base de cette constatation et de la propriété de S.C.I. que se poursuit l’étude. Si les électroniciens ne trouvent pas exactement les mêmes résultats que ceux issus des simulations numériques, c’est en particulier parce qu’il est presque sûrement impossible d’imposer au sys-tème exactement les mêmes conditions initiales. Ceci est dû aux bruits de différentes natures inhérents à tout circuit électronique.
Ainsi, il est possible de tirer profit du système en mode chaotique en prélevant des valeurs par-ticulières sur les trajectoires de ce dernier. Dans le cas de cette étude, ces valeurs correspondent aux instants de passage à travers la section de Poincarré x = 0, ainsi qu’aux intervalles de temps de ces passages. Les signaux créés à partir de ces données servent à générer un flux supposé pseudo-aléatoire.
La phase d’expérimentation consiste à caractériser ce flux. Cette caractérisation se fait à l’aide de 5 tests statistiques issus de la norme de sécurité FIPS 140 − 2. Le flux issu de simulations numériques aussi bien que celui issu du circuit de Telandro passe l’ensemble des tests avec un niveau de confiance de 90%. Il n’est donc pas nécessaire dans ce cas d’utiliser une quelconque technique de redressement du flux.
A travers le passage de ces 5 tests, une première étape à donc été remportée, la seconde consis-tant d’une part à travailler avec des échantillons beaucoup plus gros37, au moins 20000, et d’autre
11- Conclusion 57
part à prendre en compte beaucoup plus de tests parmi tous ceux existants [Fip01]. Ce volumi-neux travail reste à accomplir.
La méthode proposée dans ce chapitre permet donc d’avoir à disposition un générateur de nombre pseudo-aléatoire. La conception analogique de cette dernière ainsi que la caractérisation de ses performances ont permis de déposer un brevet avec l’équipe Smart Card de ST Microe-lectronics [ST06] .
Dans le cas où les générateurs ne satisfont pas les tests requis, il existe des techniques de redres-sement de flux [Erg06]. L’ajout d’une telle technique, bien qu’efficace, est d’un certain point de vue tendancieux vu que le concept d’aléatoire est basé sur l’absence d’intervention humaine lors de la réalisation d’un événement.
Le flux créé joue un rôle important dans le principe du masquage par décomposition des signaux du chapitre suivant puisque les bits générés, selon la technique basée sur l’oscillateur chaotique de ce chapitre, servent à réaliser des permutations pseudo-aléatoires des échantillons d’un signal, étape de sécurité qui s’avère être nécessaire.
CHAPITRE III
M
ASQUAGE PAR DÉCOMPOSITION DES
SIGNAUX
1 I
NTRODUCTIONLe but de ce chapitre est de développer sous plusieurs déclinaisons une technique de mas-quage de signaux de consommation de courant, appelée masmas-quage par décomposition des si-gnaux.
Une telle approche consiste en la substitution du signal à masquer par des coefficients, qui bien que dépendants du signal ont la propriété d’être statistiquement décorrélés à l’ordre 2. Le si-gnal masqué ainsi construit s’apparente à une suite blanche. Pour déterminer ces coefficients, le signal va être décomposé sur une base de fonctions, construite de sorte que la décorrélation à l’ordre 2 des coefficients de décomposition soit assurée.
Le contexte de sécurisation des noeuds d’alimentation des Smart Card ainsi que la physique du problème qui lui est lié impose le respect de certaines contraintes permettant la conception de techniques réalistes. Il faut en particulier que la puissance de l’observation soit identique à celle du signal masqué pour ne pas créer de sur- ou sous-consommation.
Hotelling a été le premier au début du XXèmesiècle à se pencher sur le problème consistant à dé-terminer une transformation qui associe à une observation des échantillons décorrélés à l’ordre 2 [Hot33]. Il a été rejoint quelque années plus tard par Karhunen [Kar46] et Loève [Lov55] qui indépendamment l’un de l’autre ont permis à travers les articles cités d’établir de façon formelle ce qui est communément appelé le développement de Karhunen-Loève, consistant à développer un processus aléatoire sur une base engendrée par des fonctions déterministes telles que les co-ordonnées du processus, exprimées dans cette base, sont des variables aléatoires statistiquement décorrélées.
La décomposition des signaux trouve ses fondements dans les travaux de Fourier et Dirichlet au XIXème siècle jusqu’a ceux de Hilbert au début du XXèmesiècle, aboutissant entre autre, par le biais du théorème de la projection orthogonale, à la notion de développement de fonctions de carré sommable sur une base de fonctions orthogonales.
Une telle volonté de décomposer des fonctions est née d’au moins deux motivations. D’une part, vu qu’il est possible de décomposer tout vecteur d’un espace Euclidien de dimension finie sur une base de vecteurs d’un espace Euclidien de dimension finie, une extension naturelle de cette démarche serait de faire de même, non plus avec des vecteurs mais avec des fonctions, consi-dérant alors qu’une fonction n’est rien d’autre qu’un vecteur de dimension infinie. D’autre part, dans certains domaines tels que l’étude des équations aux dérivées partielles de la physique, l’étude des équations intégrales, l’approche de Galerkine pour la méthode des éléments finis [Gar01], le traitement et la compression des données ou encore l’approximation des fonctions compliquées, le fait d’exprimer la solution lorsqu’elle existe sous la forme de son
ment permet d’ouvrir de nouveaux horizons relatifs à l’étude des équations qui lui sont associées en simplifiant grandement le problème. En fait, cette démarche vérifie l’adage universel consis-tant à dire que lorsque l’on ne sait pas faire quelque chose, on se ramène à ce que l’on sait faire. Remis dans le contexte, cela signifie que l’étude d’un signal compliqué peut se ramener par décomposition à l’étude d’une famille de signaux élémentaires, une base de fonctions, dont la somme pondérée par des coefficients de décomposition convergerait au sens d’une certaine norme vers le signal étudié.
Tout au long de ce chapitre, les signaux seront modélisés par des processus aléatoires de second moment fini dont toutes les réalisations sont de carré sommable.
Après avoir introduit les espaces fonctionnels de travail adéquat, le développement de Karhunen-Loève sera présenté ainsi que certaines de ses applications. Puis, dans le cadre de ce dévelop-pement, les fonctions de base seront vues comme étant les solutions d’une équation intégrale. Ainsi, afin d’établir l’existence de ces solutions et la classe à laquelle elles appartiennent, la voie choisie consiste à montrer que déterminer ces dernières est équivalent à rechercher les éléments propres d’un opérateur d’Hilbert-Schmidt. Le travail se ramènera alors à montrer que l’opérateur intégral considéré est de Hilbert-Schmidt puis de tirer partie des propriétés de ce dernier. Une fois ce cadre de travail construit, la technique de masquage dite par décomposition des signaux sera alors présentée, tout d’abord d’un point de vue général puis sous différentes déclinaisons correspondant à plusieurs cas de figure intervenant lors de la mise en oeuvre algorithmique de la méthode. Ainsi, afin de prendre en compte les contraintes de faisabilité électroniques une atten-tion sera portée sur les aspects de la quantité de calcul1et de la résistance aux attaques2. Chaque déclinaison présentée donne selon ses propres critères des résultats différents qui seront inter-prétés qualitativement, quantitativement en termes de décorrélation à l’ordre 2 et illustrés par le masquage de signaux expérimentaux. Enfin, l’utilisation des techniques de masquage proposées ainsi que des moyens mis en place pour évaluer leurs performances en terme de décorrélation à l’ordre 2 et de résistance aux attaques seront appliqués aux données réelles qui sont des mesures d’activité de consommation de courant réalisées par ST Microelectronics.