Une construction à 3 tours

4.3.1 Description de la construction

Les constructions à 1 et 2 tours pouvant être distinguées d’une permutation

paramétrable idéale, nous allons maintenant considérer la constructionTEM à trois

tours munie des fonctions de dérivation de clé triviales : nous fixonsK=T ={0,1}

n

et, pour tout i = 0, . . . ,3 et tout (k, t) ∈ {0,1}

n

× {0,1}

n

, on a f

i

(k, t) = k ⊕t.

Étant donné trois permutationsP

₁

, P

₂

, P

₃

de {0,1}

n

, on noteTEM

^P1,P2,P3

[n,3,f]

le schéma

d’Even-Mansour paramétrable TEMmuni du quadruplet de fonctions de dérivation

de clés triviales qui, à une clék ∈ {0,1}

n

, un tweak t ∈ {0,1}

n

et à un texte clair

x∈ {0,1}

n

associe le chiffré défini par

TEM

^P1,P2,P3

k

(t, x) =k⊕t⊕P

3

(k⊕t⊕P

2

(k⊕t⊕P

1

(k⊕t⊕x))).

On prouve le résultat suivant [CS15b], qui a été découvert indépendamment par

Farshim et Procter [FP15].

Théorème 9. Soient q

_e

, q

_p

deux entiers naturels. On a

Adv

^cca_TEM[n,3,f]

(q

_c

, q

_p

)≤ ^6q

^c

^q

^p

N ⁺

4q

2 c

N ^.

Démonstration. La preuve découle du lemme 1 combiné aux lemmes 23 et 24

démon-trés ci-dessous.

4.3.2 Description des mauvaises transcriptions

Définition 10. Soit τ = (Q

_C

,Q

_P1

,Q

_P2

,Q

_P3

, k) une transcription atteignable. On

dit que τ est mauvaise si

k ∈BadK=

^[

1≤i≤2

BadK

_i

où :

4.3. Une construction à 3 tours

k∈BadK

₂

⇔ il existe (t, x, y)∈ Q

_C

et (u

₃

, v

₃

)∈ Q

_P3

tels que k⊕t=y⊕v

₃

.

Dans le cas contraire, τ est une bonne transcription. Notons Θ

_bad

l’ensemble des

mauvaises transcriptions, et Θ

_good

= Θ\Θ

_bad

l’ensemble des bonnes transcriptions.

En premier lieu, majorons la probabilité d’obtenir une mauvaise transcription

dans le monde idéal.

Lemme 23. On a

Pr[T

_id

∈Θ

_bad

]≤ ^2q

^c

^q

^p

N ^.

Démonstration. Puisque nous sommes dans le monde idéal, la clé k est tirée

unifor-mément aléatoirement après la dernière requête, indépendamment de la

transcrip-tion des requêtes. Ainsi, nous devons simplement majorer le nombre de mauvaises

valeurs possibles pour k pour toutes les transcriptions atteignable des requêtes

(Q

_C

,Q

_P1

,Q

_P2

,Q

_P3

). Pour ce faire, fixons une quelconque transcription atteignable

des requêtes (Q

C

,Q

P1

,Q

P2

,Q

P3

). Alors, pour toute requête (t, x, y)∈ Q

C

et toute

requête (u

₁

, v

₁

) ∈ Q

_P1

, il existe une unique clé k telle que k = x⊕t⊕u

₁

. Ainsi,

|BadK

₁

| ≤q

_c

q

_p

. De même,|BadK

₂

| ≤q

_c

q

_p

. Ainsi, pour i= 1,2,

Pr [k ←

_$

{0,1}

ⁿ

:k ∈BadK

i

]≤ ^q

^c

^q

^p

N ^.

On en déduit le résultat par l’inégalité de Boole.

4.3.3 Étude des bonnes transcriptions

Lemme 24. Pour toute bonne transcription τ ∈Θ

_good

, on a

Pr [T

_re

=τ]

Pr [T

_id

=τ] ≥1− ^4q

^c

^q

^p

N −^4q

2 c

N ^.

Démonstration. Si Θ

_good

= ∅, il n’y a rien à prouver. Sinon, fixons une bonne

transcription τ = (Q

_C

,Q

_P1

,Q

_P2

,Q

_P3

, k). Soit m le nombre de différents tweaks t

qui apparaissent dans Q

_C

et q

_i

le nombre de requêtes utilisant le i-ème tweak (en

ordonnant les tweaks de façon arbitraire). Notons queq

_c

=

^Pm_i=1

q

_i

. Dans le monde

idéal, on a simplement

Pr[T

_id

=τ] = Pr[k

⁰

←

_$

{0,1}

n

:k

⁰

=k]×Pr[P

_i

←

_$

Perm(n) :P

_i

` Q

_Pi

, i= 1,2,3]

×Pr[E ←

_$

TBC(n, n) : (E, k)` Q

C

]

= ¹

N · ¹

((N)

_qp

)

3

·

_Qm

¹

i=1

(N)

_qi

^{. (4.7)}

Nous devons simplement minorer la probabilité suivante :

Pr [T

_re

=τ] =

1

Soient

U

₁

={u

₁

∈ {0,1}

ⁿ

: (u

₁

, v

₁

)∈ Q

_P1

}, V

₁

={v

₁

∈ {0,1}

ⁿ

: (u

₁

, v

₁

)∈ Q

_P1

},

U

₂

={u

₂

∈ {0,1}

n

: (u

₂

, v

₂

)∈ Q

_P2

}, V

₂

={v

₂

∈ {0,1}

n

: (u

₂

, v

₂

)∈ Q

_P2

},

U

₃

={u

₃

∈ {0,1}

n

: (u

₃

, v

₃

)∈ Q

_P3

}, V

₃

={v

₃

∈ {0,1}

n

: (u

₃

, v

₃

)∈ Q

_P3

}

les ensembles de définition et image de Q

_P1

, Q

_P2

, et Q

_P3

respectivement. Pour

u

⁰₁

∈ {0,1}

n

, soient X(u

⁰₁

) = {(t, x, y) ∈ Q

C

: x⊕k ⊕t = u

⁰₁

}, et U

₁⁰

= {u

⁰₁

∈

{0,1}

n

:X(u

⁰₁

)6= ∅}. De même, pourv

⁰₃

∈ {0,1}

n

, soient Y(v

₃⁰

) = {(t, x, y)∈ Q

_C

:

y⊕k⊕t =v

⁰₃

}, etV

₃⁰

= {v

₃⁰

∈ {0,1}

n

:Y(v

⁰₃

)6= ∅}. Notons que, par définition d’une

bonne transcription, on aU

1

∩U

₁⁰

=∅ etV

3

∩V

₃⁰

=∅. Soient également α =|U

₁⁰

| et

β=|V

₃⁰

|. Par souci de clarté, on note

U

₁⁰

={u

⁰_1,1

, . . . , u

⁰_1,α

}

V

₃⁰

={v

⁰_3,1

, . . . , v

⁰_3,β

}

en ordonnant les éléments de façon arbitraire. Notons que

q

_e

=

α X i=1

|X(u

⁰_1,i

)|=

β X i=1

|Y(v

⁰_3,i

)|. (4.8)

Il est alors suffisant pour prouver notre résultat de minorer le nombre d’uplets

de valeurs possibles pour (v

_1,1⁰

, . . . , v

_1,α⁰

) et (u

⁰_3,1

, . . . , u

⁰_3,β

) tels que, en imposant

P

₁

(u

⁰_1,i

) = v

_1,i⁰

pour 1 ≤ i ≤ α et P

₃

(u

⁰_3,j

) = v

_3,j⁰

pour 1 ≤ j ≤ β, l’évènement

E

^P1,P2,P3

k

` Q

_C

est équivalent àq

_c

«nouvelles» équations surP

₂

(c’est-à-dire, distinctes

des équations imposées parP

2

` Q

P2

). Plus précisément, soit N

1

le nombre d’uplets

de valeurs deux à deux distinctes (v

_1,1⁰

, . . . , v

_1,α⁰

) tels que, pour tout i= 1, . . . , α :

(i) v

⁰_1,i

6=v

₁

pour toutv

₁

∈V

₁

,

(ii) v

⁰_1,i

6=k⊕t⊕u

₂

pour tout (t, x, y)∈X(u

⁰_1,i

) et tout u

₂

∈U

₂

,

(iii) v

⁰_1,i

6= t⊕v

_1,j⁰

⊕t

⁰

pour tout (t, x, y)∈X(u

⁰_1,i

), 1≤j ≤i−1, (t

⁰

, x

⁰

, y

⁰

)∈X(u

⁰_1,j

).

Alors

N

₁

≥

α Y i=1  

N −q

p

−i+ 1− |X(u

⁰_1,i

)|(q

p

+

i−1 X j=1

|X(u

⁰_1,j

)|)

 

≥

α Y i=1

N −q

_p

−q

_e

− |X(u

⁰_1,i

)|(q

_p

+q

_e

)

par (4.8).

De même, soit N

3

le nombre d’uplets de valeurs deux à deux distinctes pour

(u

⁰_3,1

, . . . , u

⁰_3,β

) tels que, pour tout i= 1, . . . , β :

(i’) u

⁰_3,i

6=u

₃

pour tout u

₃

∈U

₃

,

(ii’) u

⁰_3,i

6=k⊕t⊕v

₂

pour tout (t, x, y)∈Y(v

⁰_3,i

),v

₂

∈V

₂

,

4.3. Une construction à 3 tours

Alors

N

₃

≥

β Y i=1  

N −q

_p

−i+ 1− |Y(v

⁰_3,i

)|(q

_p

+

i−1 X j=1

|Y(v

_3,j⁰

)|)

 

≥

β Y i=1

N −q

p

−q

e

− |Y(v

_3,i⁰

)|(q

p

+q

e

)

par (4.8).

Pour chaque choix possible de (v

_1,1⁰

, . . . , v

⁰_1,α

) et (u

⁰_3,1

, . . . , u

⁰_3,β

) satisfaisant ces

condi-tions,P

₁

sera fixé sur exactement q

_p

+α points,P

₂

surq

_p

+q

_c

points etP

₃

surq

_p

+β

points. Plus précisément, supposonsN

₁

·N

₃

>0 et fixons deux uplets quelconques

de valeurs (v

_1,1⁰

, . . . , v

_1,α⁰

) et (u

⁰_3,1

, . . . , u

⁰_3,β

) satisfaisant ces conditions, et soit Ev

₁

l’évènement P

₁

(u

⁰_1,i

) = v

⁰_1,i

pour 1 ≤i ≤α et Ev

₃

l’évènement P

₃

(u

⁰_3,j

) = v

⁰_3,j

pour

1≤j ≤β. Alors, d’après les conditions (i) et (i’) on a

Pr [Ev

₁

∧(P

₁

` Q

_P1

)] = ¹

(N)

_qp+α

Pr [Ev

₃

∧(P

₃

` Q

_P3

)] = ¹

(N)

_qp+β

^.

Fixons maintenantP

₁

etP

₃

satisfaisantEv

₁

etEv

₃

. Pour chaque (t, x, y)∈ Q

_C

, soient

respectivementu

⁰₂

et v

₂⁰

les entrées et sorties de P

₂

pour cette requête, c’est-à-dire

que u

⁰₂

=v

_1,i⁰

⊕k⊕t pour i tel que x⊕k⊕t = u

⁰_1,i

, et v

₂⁰

= u

⁰_3,j

⊕k⊕t for j tel

que y⊕k ⊕t = v

_3,j⁰

. Alors, les q

_c

valeurs u

⁰₂

n’appartiennent pas à U

₂

d’après la

condition (ii), et sont deux à deux distinctes d’après la condition (iii). De même

lesq

_c

valeurs v

⁰₂

ne sont pas dans V

₂

d’après la condition (ii’), et sont deux à deux

distinctes d’après la condition (iii’). Il suit que

Pr

^h

(TEM

^P1,P2,P3

, k)` Q

_C

∧(P

₂

` Q

_P2

)

Ev

₁

∧(P

₁

` Q

_P1

)∧Ev

₃

∧(P

₃

` Q

_P3

)

ⁱ

= ¹

(N)

_qp+qc

^.

Ainsi, en sommant sur les (au moins) N

₁

·N

₃

paires possibles d’uplets, on obtient

Pr [T

_re

=τ]≥ ^N

¹

^·N

³

N ·(N)

_qp+α

·(N)

_qp+qe

·(N)

_qp+β

^{. (4.9)}

Cette dernière inégalité est également vraie dans le cas oùN

₁

·N

₃

= 0. En utilisant

(4.7) et (4.9), on a

Pr [T

_re

=τ]

Pr [T

_id

=τ] ≥ ^N

¹

^·N

³

^{·N ·(N)}

3 qp Qm i=1

(N)

_qi

N·(N)

qp+α

·(N)

qp+qc

·(N)

qp+β

≥ ^N

¹

^·N

³

^·

Qm i=1

(N)

_qi

(N −q

_p

)

_α

·(N −q

_p

)

_qc

·(N −q

_p

)

_β

≥ ^N

¹

^·N

³

^·(N)

^qc

(N −q

_p

)

_α

·(N −q

_p

)

_qc

·(N −q

_p

)

_β

≥^N

¹

^·N

³

N

α+β

.

Finalement, on a, puisqueα ≤q

_c

,

N

₁

N

α

=

Qα i=1

N −q

_p

−q

_c

− |X(u

⁰_1,i

)|(q

_p

+q

_c

)

N

α

≥1−

α X i=1

q

_p

+q

_c

+|X(u

⁰_1,i

)|(q

_p

+q

_c

)

N

≥1− ^q

^c

^q

^p

N − ^q

2 c

N −(q

p

+q

c

)

α X i=1

|X(u

⁰_1,i

)|

N

≥1− ^2q

^c

^q

^p

N −^2q

2 c

N ^{par (4.8).}

La même borne inférieure peut être prouvée pour

^N3

Nβ

. Ainsi

Pr [T

_re

=τ]

Pr [T

_id

=τ] ≥ 1−^2q

^c

^q

^p

N − ^2q

2 c

N

!2

≥1− ^4q

^c

^q

^p

N − ^4q

2 c

N ^.

4.3.4 De l’exactitude de notre borne

Remarquons que notre construction est en fait un cas particulier de construction

générique d’un algorithme de chiffrement par blocs paramétrable à partir d’un

algorithme de chiffrement par blocs standard. En effet, si E est un algorithme

de chiffrement par blocs, on peut définir un algorithme de chiffrement par blocs

paramétrable E

e

, qui, pour toute clék, tout tweak t, associe à tout message clairx le

chiffré

e

E

_k

(t, x) = E

_k⊕t

(x).

Lorsque l’on remplace l’algorithmeE par le schéma d’Even-Mansour à trois tours et

utilisant des clés de tours identiques, on obtient le schéma précédent. Or il existe

une attaque contre cette construction générique qui retrouve la clé en environ 2

n/2

requêtes. L’attaque fonctionne de la façon suivante : l’adversaire effectue simplement

des requêtes à l’oracle de construction sur les entrées (t

_i

,0) pourq

_c

valeurst

_i

distinctes,

et calculeE

_kj

(0) pour q

_p

valeurs distinctes k

_j

, ce qui se transpose, dans le modèle

de la permutation aléatoire, en q

p

requêtes à chaque permutation interne. Si les t

i

et lesk

_j

sont choisis tels que l’ensemble des valeurs t

_i

⊕k

_j

recouvre{0,1}

n

, alors il

existera une paire (i, j) telle que (dans le monde réel) k

^∗

⊕t

_i

=k

_j

, où k

^∗

est la clé

réellement utilisée dans l’oracle de construction. Ceci peut être détecté en recherchant

une collision entre les deux listes (P

e

(t

_i

,0))

₁≤i≤qe

et (E

_kj

(0))

₁≤j≤qp

, qui suggère un

candidat pour la clé réellek

^∗

. Ceci entraîne en particulier que, avec une clé de n bits,

la borne de sécurité ne peut pas être améliorée en augmentant le nombre de tours de

notre construction.

Dans le document Le schéma d'Even-Mansour paramétrable : preuves de sécurité à l'aide de la technique des coefficients H (Page 97-102)