Le chiffrement FLIP - Mathématiques discrètes appliquées à la cryptographie symétrique

5.2.1 “Filter Permutator”

Par analogie aux générateurs filtrés dont nous avons réalisé l’étude au cha-pitre 4, les auteurs de FLIP ont appelé la structure générique de leur chiffrement filter permutator. Le schéma générique de FLIP, décrit à la figure 5.2, combine trois composantes cryptographiques :

— un registre de taille N (jamais mis à jour) dans lequel est stockée la clef secrète ;

— un algorithme, initialisé uniquement par l’IV, qui engendre de manière publique des permutations de {1, . . . , N } n’ayant pas de propriétés distin-guantes ;

— une fonction bool´eenne de filtrage not´ee F ∈ BN.

Ces trois composantes sont combinées de la manière suivante : une fois que l’algorithme de génération de permutations est initialisé par le vecteur d’initialisation, la clef secrète est stockée dans le registre. À chaque instant t, le générateur de permutations engendre une permutation Pt de l’ensemble {1, . . . , N }, qui mélange les bits de la clef, avant d’appliquer la fonction de filtrage F qui produit un bit zt, générant ainsi la suite chiffrante z. Suivant le principe des chiffrements à flot additifs, le texte chiffré est ensuite obtenu en XORant bit à bit le message clair et la suite chiffrante.

Le générateur pseudo-aléatoire utilisé est basé sur AES-128, cependant, notre attaque n’exploite pas la génération de permutations, mais uniquement la fonction de filtrage utilisée. Nous supposons donc que le PRNG utilisé est suffisamment bon, et qu’aucune faiblesse n’est exploitable sur cette partie du chiffrement.

5.2.2 La fonction de filtrage

Naturellement, la fonction de filtrage ne peut pas être choisie n’importe comment : celle-ci doit avoir de bonnes propriétés cryptographiques afin d’éviter les attaques connues sur les chiffrements à flot comme les attaques algébriques ou les attaques par corrélation. Ainsi, les auteurs de FLIP ont choisi une fonction

F K PRNG ^P^t IV N L zt mt ct

Figure 5.2 –Le chiffrement FLIP.

booléenne qui suit une construction particulière, afin d’assurer une certaine sécurité au regard des attaques classiques.

La fonction de filtrage F est construite à l’aide de la somme de 3 fonctions f1, f2 et f3 dont les variables sont indépendantes. Ces fonctions sont définies selon les trois familles spécifiques qui suivent, pour lesquelles nous reprenons les notations des auteurs de FLIP.

Définition 5.2 (Fonctions de type L). Pour n ∈ N∗, la n-ième fonction booléenne de typeL, notée Ln, est la première fonction symétrique élémentaire à n variables, c’est-à-dire la somme de tous les monômes de degré1 :

Ln(x0, . . . , xn−1) = n−1 X i=0 xi. Par exemple, L4(x0, x1, x2, x3) = x0+ x1+ x2+ x3.

Définition 5.3(Fonctions de type Q). Pour n ∈ N∗, lan-ième fonction de type Q, notée Qn, est une fonction booléenne quadratique à2n variables définie par

Qn(x0, . . . , x2n−1) = n−1 X i=0 x2ix2i+1. Par exemple, Q3(x0, x1, x2, x3, x4, x5) = x0x1+ x2x3+ x4x5.

Définition 5.4(Fonctions de type T ). Pour n ∈ N^∗, lan-ième fonction de type T (fonction dite “triangulaire”) est la fonction booléenne de degré k à ^k(k+1)₂ variables définie par

Tk(x0, . . . , xk(k+1) 2 −1) = k X i=1 i−1 Y j=0 x_j+Pi−1 `=0`. Par exemple, T3(x0, x1, x2, x3, x4, x5) = x0+ x1x2+ x3x4x5.

L’intérêt de ces trois types de fonctions booléennes est que chacune d’elle possède une propriété cryptographique particulière : les fonctions de type L ap-portent une bonne résilience, les fonctions de type Q ont une bonne non-linéarité, alors que les fonction triangulaires possèdent une bonne immunité algébrique. L’idée des auteurs de FLIP pour choisir la fonction de filtrage est d’utiliser une somme de ces trois familles, dont les variables sont prises indépendamment, afin que la fonction de filtrage globale hérite des trois propriétés cryptographiques classiques.

Plus précisément, soit trois entiers n1, n2pair et n3de la forme ^k(k+1)₂ . On définit f1, f2 et f3 trois fonctions booléennes à n1 (respectivement n2 et n3

variables) telles que

— f1(x0, . . . . , xn1−1) = Ln1 ; — f2(xn1, . . . , xn1+n2−1) = Qn2/2;

— f3(xn1+n2, . . . , xn1+n2+n3−1) = Tk où n3=^k(k+1)₂ . Alors la fonction de filtrage utilisée dans FLIP est définie par

F (x0, . . . , xn1+n2+n3−1) = Ln1+ Qn2/2+ Tk

où n1+ n2+ n3= N . En utilisant cette construction particulière, les auteurs de FLIP ont alors pu déterminer exactement la valeur de la non-linéarité, de l’immu-nité algébrique et de la résilience de F . Cependant, l’analyse cryptographique de ce permutateur filtré [MJSC16] a été réalisée par les auteurs en transposant les arguments classiques, notamment les arguments utilisés pour analyser la sécurité des registres filtrés. Or, étant donné le caractère très particulier de la construction de FLIP, ces arguments ne peuvent plus être utilisés, puisque le poids de Hamming en entrée de la fonction de filtrage est constant. Comme les critères de non-linéarité et d’immunité algébrique sont étudiés sur tout l’espace Fⁿ₂, il convient d’affiner ces critères. Nous avons communiqué ces remarques aux auteurs de FLIP, ce qui nous a conduit à une collaboration avec Pierrick Méaux et Claude Carlet, où nous justifions rigoureusement le choix de conception de FLIP. Ces travaux seront décrits dans le chapitre 6 et ont été publiés dans un article aux IACR Transactions on Symmetric Cryptology [CMR17a].

Afin d’éviter l’existence de clefs faibles, et d’assurer un espace des clefs plus grand que 280 ou 2128, les auteurs de FLIP ont suggéré que la clef soit choisie avec un poids de Hamming de ^N₂. Toujours au chapitre 6 nous verrons pourquoi il est important d’avoir une clef équilibrée. Au regard de leur analyse initiale, les

auteurs de FLIP ont à l’origine proposé les paramètres décrits dans la table 5.1, en prétendant une sécurité de 80 bits (respectivement 128 bits) pour une taille de clef de 192 bits (respectivement 400 bits).

FLIP(n1, n2, n3) Taille de clef (N ) S´ecurit´e (en bits) FLIP(47,40,105) 192 80 FLIP(87,82,231) 400 128

Table 5.1 – Paramètres des premières versions de FLIP et le niveau de sécurité revendiquée par les auteurs.

5.2.3 Caractéristiques générales de FLIP

Rappelons tout d’abord les principales caractéristiques de FLIP que nous allons exploiter pour mettre à mal sa sécurité.

— Le registre dans lequel la clef est stock´ee initialement n’est jamais mis `a jour ;

— la clef est de poids de Hamming ^N₂ afin d’´eviter les clefs faibles ;

— une permutation aléatoire est engendrée à chaque instant (notée Pt pour t ≥ 0), impliquant que les équations décrivant la suite chiffrante sont toutes de la forme

zt= F (KP_t(0), KP_t(1), . . . , KP_t(N −1)) où Ki pour 0 ≤ i ≤ N − 1 désigne le i-ième bit de la clef K ;

— F est une fonction booléenne ayant de bonnes propriétés cryptographiques.

Dans le document Mathématiques discrètes appliquées à la cryptographie symétrique (Page 115-118)