S´ ecurit´ e Prouv´ ee

Dans cette section, on pr´esente les diff´erentes m´ethodes qui conduisent `a une s´ecurit´e prouv´ee dans le domaine du chiffrement sym´etrique. Ces approches n’ont aucun lien logique apparent, mais seront rassembl´ees dans la th´eorie de la d´ecorr´elation de la section suivante.

3.2.1 Approche de Shannon

On ne peut parler de preuve de s´ecurit´e du chiffrement sym´etrique sans mentionner le th´eor`eme de Shannon qui caract´erise la notion de “s´ecurit´e parfaite”.¹⁷Celui-ci utilise la notion d’“entropie”. Pour une variable al´eatoire X, on d´efinit

H(X) = −^∑

x

Pr[X =x] log₂Pr[X =x]

avec la convention 0 log₂0 = 0. On d´efinit ´egalement l’entropie conditionnelle H(X/Y) = H(X, Y)−H(Y).

Suivant le formalisme de Shannon, on consid`ere qu’une fonction de chif-frement C est destin´ee `a ne chiffrer qu’un seul message X (que l’on peut consid´erer comme ´etant la concat´enation de tous les messages `a transmettre.

On note cependant que l’on n’a pas de fonction v´eritablement d´efinie sur chacun de ces “morceaux de message”).

On consid`ere donc une fonction de chiffrement al´eatoire de distribution donn´ee C (autrement dit, une fonction d´efinie par une clef al´eatoire suivant un proc´ed´e donn´e), un message clairX et un message chiffr´eY =C(X). On formalise ainsi la notion de s´ecurit´e parfaite.

D´efinition 3.7. Une fonction de chiffrement al´eatoire C assure une “confi-dentialit´e parfaite” sur un message al´eatoire X si l’on a

H(X/C(X)) =H(X).

Intuitivement, cela signifie que la donn´ee de l’information C(X) n’apporte aucune aide pour d´eterminer une quelconque information nouvelle surX. Le r´esultat de Shannon est le suivant.

Th´eor`eme 3.8 (Shannon 1949). Si une fonction de chiffrement al´eatoire C assure une confidentialit´e parfaite sur un message al´eatoire X, on a

H(C)≥H(X).

17Les r´esultats de cette section ont ´et´e publi´es en 1949 [150].

Cela signifie notamment que la clef qui d´efinit C doit ˆetre au moins aussi longue que X.

Par exemple, si l’on consid`ere une structure de groupe sur l’ensemble de messages M, pour une clef al´eatoire K de distribution uniforme sur M, la fonction

C(X) = X+K

assure une confidentialit´e parfaite de X. C’est l’id´ee du chiffrement de Ver-nam.¹⁸

3.2.2 Approche de Carter-Wegman

La notion de “fonction universelle” d’ordre 2 a ´et´e d´efinie par Carter et Weg-man et appliqu´ee `a la notion de code d’authentification de message (MAC).¹⁹ Suivant cette notion, une fonction al´eatoireC deM1 vers M2 est “-presque fortement universelle d’ordre 2” si pour deux ´el´ements distincts quelconques x₁ etx₂ de M1 et pour deux ´el´ements quelconques y₁ et y₂ de M2, on a

Pr[C(x1) = y1, C(x2) = y2]≤ 1

#M²2

+.

On suppose que l’on dispose qu’une fonction de hachage h_K0 d’un en-semble M vers un groupe G d´efinie par une clef secr`ete al´eatoire K₀, et d’une suite de clefs K₁, . . . , K_d al´eatoires de distribution uniforme dans le groupe G. On suppose en outre ces clefs ind´ependantes. Pour d messages m₁, . . . , m_d dans M, on d´efinit leurs codes d’authentification

c_i =K_i+h_K0(m_i).

Dans un mod`ele d’attaque, la suite des couples (m<sub>i</sub>, c<sub>i</sub>) est transmise au travers d’un canal de communication peu sˆur, et l’attaquant peut `a loisir modifier, supprimer, ´echanger des messages. Son objectif est que la suite (m⁰_i, c⁰_i) re¸cue par le destinataire soit diff´erente de la suite intercept´ee (et de mˆeme longueur d), et que la relation

c⁰_i =Ki+hK0(m⁰_i)

18Ce syst`eme publi´e en 1926 [181] ´etait consid´er´e comme sˆur. C’est en fait Shannon qui a su introduire le formalisme n´ecessaire pour le d´emontrer.

19Cette notion a ´et´e d´efinie dans le Journal of Computer and System Sciences en 1979 [34] et ´etendue `a la notion de MAC en 1981 [183].

soit v´erifi´ee. On a le r´esultat suivant.²⁰

Th´eor`eme 3.9 (Wegman-Carter 1981). Avec l’algorithme de MAC pr´ e-c´edent, si un attaquant ne dispose d’aucune information sur les clefs et si h<sub>K</sub> est-presque fortement universelle d’ordre 2, sa probabilit´e de succ`es sera inf´erieure `a quelle que soit sa strat´egie.

La notion de fonction universelle se g´en´eralise naturellement. On adoptera par la suite la notion de “d´ecorr´elation”.

3.2.3 Approche de Luby-Rackoff

Un autre r´esultat important, dˆu `a Luby et Rackoff, d´emontre que la construc-tion de Feistel n’introduit pas de faiblesse g´en´erique. Ils d´emontrent que si les fonctions d’´etage sont al´eatoires, on obtient alors (avec un minimum de trois ´etages) une fonction de chiffrement al´eatoire.

Il faut bien comprendre que l’objectif d’un proc´ed´e de chiffrement est de ressembler `a une transformation al´eatoire sur la distribution de la clef.

Comme les clefs ont en g´en´eral une longueur faible, le nombre de permu-tations engendr´ees a en g´en´eral une densit´e trop faible pour ˆetre al´eatoire.

D’un point de vue formel, on a ici un probl`eme de “d´erandomisation”.

Pour formaliser la notion de “ressemblance `a une fonction al´eatoire”, on s’int´eresse au mod`ele d’attaque par distingueur. On compare en fait la fonction de chiffrement r´eelle (pseudo-al´eatoire) `a une fonction de chiffrement id´eale (al´eatoire), et l’on cherche, par un jeu de questions et de r´eponses `a les distinguer. Pour montrer qu’elles se ressemblent, on majore en fait l’avantage obtenu par tout distingueur.

On pr´ecise quelques d´efinitions qui ont d´ej`a ´et´e motiv´ees dans la section 2.1.3.

D´efinition 3.10. Etant donn´es deux ensemblesM1 etM2, un “distingueur”

pour une fonction de M1 vers M2 est une machine de Turing probabiliste A qui dispose d’un oracle qui pour toute requˆete deM1 envoie une r´eponse dans M2 et qui, apr`es un certain nombre de calculs, fournit une r´eponse binaire :

“1” ou “0”. On caract´erise le distingueur par

20Ce r´esultat a ´et´e am´elior´e par Krawczyk qui a d´emontr´e qu’il suffisait que hK soit

“-presque ∆-uniforme”, soit que pour toutx6=y et touta, on a Pr[h_K(x)−h_K(y) =a]≤ 1

#G+

et non -presque fortement universelle d’ordre 2. Ce r´esultat a ´et´e pr´esent´e au colloque Crypto 94 [77].

• le nombre de requˆetes d `a l’oracle,

• le temps de calcul t,

• le fait qu’il pr´epare toutes ses requˆetes `a l’avance (le distingueur est

“non-adaptatif ”) ou qu’il effectue des requˆetes en fonction des r´eponses aux pr´ec´edentes (le distingueur est “adaptatif ”).

Etant donn´ee une fonction al´eatoire F de M1 vers M2, on d´efinit E(A^F) comme ´etant la probabilit´e que A fournisse la r´eponse “1” lorsque l’oracle impl´emente la fonction F. La probabilit´e porte sur la distribution de F et du comportement al´eatoire de A. Etant donn´ees deux fonctions al´eatoires F et G, l’avantage de A pour distinguer F et G est

Adv_A(F, G) = E(A^F)−E(A^G). Le th´eor`eme de Luby-Rackoff s’´enonce ainsi.²¹

Th´eor`eme 3.11 (Luby-Rackoff 1988). Pour un ensemble M={0,1}<sup>m</sup>, on consid`ere trois fonctions al´eatoires F₁, F₂ et F₃ ind´ependantes et de dis-tribution uniforme de{0,1}^m2 vers{0,1}^m2. On consid`ere ´egalement une per-mutation al´eatoireC<sup>∗</sup> surMde distribution uniforme. Pour tout distingueur A entre C<sup>∗</sup> et Ψ(F<sub>1</sub>, F<sub>2</sub>, F<sub>3</sub>) limit´e `a d requˆetes, on a

Adv_A(Ψ(F₁, F₂, F₃), C^∗)≤ d² 2^m2 .

En supposant que la clef procure aux fonctions d’´etage des distributions uniformes et ind´ependantes, on obtient donc une s´ecurit´e relative garantie tant que la fonction de chiffrement est utilis´ee un nombre de fois n´egligeable devant 2^m4.

3.2.4 Approche de Nyberg-Knudsen

Dans cette section, on s’int´eresse `a d´emontrer la s´ecurit´e face aux attaques diff´erentielles et lin´eaires. On d´efinit pour cela une nouvelle notation. Etant donn´ee une fonction de chiffrement C_K d´efinie par une clef al´eatoire K de distribution donn´ee, on note

EDP^C(a, b) = E

K

(

DP^CK(a, b)⁾ ELP^C(a, b) = E

K

(

LP^CK(a, b)⁾.

21Il fut publi´e dans le Journal on Computing [86]. De nombreuses g´en´eralisations ont

´et´e effectu´ees par la suite, notamment par Patarin [118, 119, 121] et Pieprzyk [122].

On consid`ere ainsi la valeur moyenne des coefficients DP et LP sur la distri-bution de la clef. On d´efinit de mˆeme

EDP^C_max = max

a6=0,bEDP^C(a, b) (3.3) ELP^C_max = max

b6=0,aELP^C(a, b). (3.4) Pour cela, on cherche `a rendre DP<sup>G</sup><sub>max</sub> et LP<sup>G</sup><sub>max</sub> minimal pour l’ensemble de la fonction de chiffrement G. La m´ethode de Nyberg et Knudsen consiste `a majorer les coefficients EDP^C_max et ELP^C_max par une construction d´edi´ee. Le th´eor`eme suivant a ´et´e d´emontr´e (dans une forme moins forte) par Nyberg et Knudsen, puis par Aoki et Ohta.²²

Th´eor`eme 3.12. On consid`ere des permutations f_i, i= 1, 2, 3, de {0,1}^m2 telles que DP^f_maxⁱ ≤p pour tout i. On pose

F_i(x) = f_i(x⊕K_i)

o`u K = (K₁, K₂, K₃) est une clef al´eatoire de distribution uniforme sur {0,1}^3m2 . On a EDP_max(Ψ(F₁, F₂, F₃))≤p². De mˆeme, si l’on a LP^f_maxⁱ ≤p pour tout i, on obtient ELP_max(Ψ(F₁, F₂, F₃))≤p².

Un tel r´esultat de borne sup´erieure sur EDP_max et ELP_max permet de prou-ver la s´ecurit´e face aux attaques diff´erentielles et lin´eaires. Contrairement aux approches heuristiques qui se contentent de majorer les coefficients DP et LP des caract´eristiques, on s’int´eresse ici `a l’effet cumul´e de toutes les caract´eristiques (obtenu par exemple dans l’´equation (2.6)) et sans approxi-mations.

A l’origine, Nyberg et Knudsen ont utilis´e ce r´esultat pour construire des fonctions de chiffrement dans lesquelles les f_i sont des fonctions presque courbes (AB). Les exemples utilis´es introduisent cependant d’autres fai-blesses. En fait, les fonctions AB utilis´ees ont pour degr´e alg´ebrique 2 ce qui permet d’envisager d’autres attaques (de type alg´ebrique).²³

22Il a ´et´e pour la premi`ere fois pr´esent´e `a Crypto 92, puis dans le Journal of Cryp-tology [114, 115]. Dans ces articles, Nyberg et Knudsen n’envisagent que les coefficients DP (la cryptanalyse lin´eaire n’´etait pas encore publi´ee) et obtiennent une borne de 2p². Nyberg [112] a ensuite consid´er´e les coefficients LP, et la borne a ensuite ´et´e am´elior´ee par Aoki et Ohta [18]. Dans l’article original de Nyberg et Knudsen, on d´emontre ´egalement que la borne 2p² reste valable avec quatre ´etages lorsque les fi ne sont pas des permuta-tions. On mentionne ´egalement les r´esultats de Matsui [92, 93] qui appliquent ce type de r´esultat `a des constructions voisines de celle du sch´ema de Feistel. Un r´ecent article de Nyberg [113] tente ´egalement de relancer la g´en´eralisation syst´ematique de ces r´esultats `a d’autres types de construction.

23Une attaque due `a Jakobsen et Knudsen contre l’un de ces exemples a ´et´e exhib´ee dans [67].

Le th´eor`eme 3.12 peut ´egalement ˆetre utilis´e de mani`ere r´ecursive pour construire une suite Cⁿ de sch´emas de Feistel sur des blocs de longueur 2ⁿ.m₀, tels que EDP_max(Cⁿ) ≤ p²ⁿ et ELP_max(Cⁿ) ≤ p²ⁿ. Cette id´ee est `a l’origine de la fonction de chiffrement MISTY.<sup>24</sup>Cette construction n’´elimine cependant pas le probl`eme du degr´e alg´ebrique faible.