Equivalence monomiale de registres filtr´es

A partir de maintenant, nous nous intéressons à un unique LFSR filtré, et nous décrivons une équivalence non-linéaire entre plusieurs registres filtrés. Cette équivalence que nous appellerons équivalence monomiale a été introduite par Sondre Rønjom et Carlos Cid à Fast Software Encryption en 2010 [RC10]. Comme nous venons de le rappeler, les registres filtrés sont vulnérables à plusieurs types d’attaques et, pour s’en prémunir, la fonction booléenne doit avoir une haute immunité algébrique et une haute non-linéarité. Dans cette partie, nous expliquons en quoi l’équivalence non-linéaire affecte également la sécurité des registres filtrés.

Définition 4.7 (Équivalence). On dira qu’un générateur pseudo-aléatoire E0

est équivalent à un autre système E si E0 peut produire la même suite que le systèmeE et réciproquement, et qu’il existe une bijection entre les états initiaux produisant les mêmes suites.

On considère un LFSR de taille n, de polynôme de caractéristique primitif P (pour assurer la période maximale), filtré par une fonction booléenne f que l’on

regarde comme une fonction `a n variables6. On note (ut)t≥0 la suite engendr´ee

6. même si en pratique, celle-ci prend un bien plus petit nombre de variables que la taille du registre, ce qui signifie que la sortie de la fonction ne dépend pas de toutes ses variables d’entrée, i.e. la fonction a des structures linéaires.

par ce LFSR. La suite sortante s est donc d´efinie par st= f (ut, ut+1, . . . , ut+n−1).

On note X0 l’état initial du LFSR. Ainsi, ce générateur filtré est défini par la donnée de P ∈ F2[X] et de f ∈ Bn. Le couple (P, f ) est appelé la représentation multivariéedu LFSR filtré.

4.4.1 Repr´esentation univari´ee

Comme nous l’avons expliqué à la section précédente, nous pouvons identifier l’état interne d’un LFSR de taille n à un élément du corps F2n au sens de la proposition 4.4. De la même manière, la fonction de filtrage est vue comme une fonction de F2n dans F2 (c’est-à-dire vue sous sa représentation univariée). Avec ces notations, on considère l’isomorphisme φ de Fn

2 dans le corps fini F2n, défini par la base appropriée {β0, . . . , βn−1}. Alors, l’état interne à l’instant t du LFSR (Xt∈ F2n) initialisé par X0= Φ(u0, . . . , un−1) correspond exactement à

Xt= α^tX0

où α est une racine (primitive) du polynôme caractéristique du LFSR. Dans ces conditions, la valeur de la suite chiffrante à l’instant t est donnée par la relation

st= f ◦ Φ⁻¹(X0α^t) .

Ainsi, tout registre filtré admet une représentation équivalente définie par une racine α ∈ F2n du polynˆome caractéristique du LFSR, et une fonction F de F2n

dans F2, F = f ◦ Φ−1.

Notation 4.8. On notera les fonctions booléennes en majuscule lorsqu’elles sont vues sous forme polynomiale univariée et minuscule lorsqu’elles sont vues sous forme algébrique normale (multivariée).

De cette représentation univariée définie par le couple (α, F ), il est possible de retrouver la représentation multivariée (P, f ) : comme P est irréductible, ce dernier correspond au polynôme minimal de α et f est égal à F ◦ Φ où Φ est l’isomorphisme de Fn

2 dans F2n associé à la base duale de {1, α, α2, . . . , αn−1}. En revanche, pour une représentation (P, f ) il existe plusieurs valeurs de α possibles : toutes les racines conjuguées de P , i.e. α, α2, . . . , α2n−1

. Il y a donc n fonctions de filtrage F possibles en représentation univariée associées à chaque choix de racine de P . Cependant, tous ces choix sont linéairement équivalents puisqu’ils diffèrent seulement par la composition avec l’application de Frobenius. Or, la composition de F par une application linéaire ne change pas les propriétés cryptographiques classiquement considérés, notamment l’immunité algébrique et la non-linéarité.

La représentation de F sous sa forme univariée, c’est-à-dire sous la forme d’un polynôme `a coefficients dans F2n peut être calculée à l’aide d’une transformée de Fourier discrète [MS77, Bla83, GG04].

Proposition 4.9 (Transform´ee de Fourier discr`ete d’une fonction). Soit F une fonction de F₂ndans F₂n. Alors, il existe un unique polynˆome dans F₂n[X]/(X2n

+ X) tel que F (X) = 2n−1 X i=0 AiXⁱ . De plus,A2n−1=P

x∈F_2nF (x) et les coefficients Ai,0 ≤ i ≤ 2n− 2 sont donnés par la transformée de Fourier discrète des valeurs deF prises sur les (2ⁿ− 1) ´

el´ements non-nuls de Fⁿ₂ : Ai=

2n−2

k=0

F (γ^k)γ^−ki,0 ≤ i ≤ 2ⁿ− 2 où γ est un élément primitif de F2n.

De manière évidente, la valeur de F (0) n’impacte en rien les propriétés cryptographiques : cette valeur apparaˆıt seulement lorsque l’état interne du registre s’annule, ce qui est évidemment à éviter, puisque la suite engendrée serait constante.

Cette représentation univariée des fonctions vectorielles (de F2n dans F2n) peut aussi être vue comme un polynôme interpolateur.

Dans le cas de notre étude, la fonction de filtrage est une fonction booléenne, c’est-à-dire que la fonction est à valeurs dans F2, ce qui implique les relations A2i= A²_i pour tout 0 ≤ i ≤ 2ⁿ− 2. En d’autres termes, cela signifie que l’on peut regrouper les coefficients en fonction des classes cyclotomiques modulo (2n− 1), afin de retrouver la représentation trace des fonctions booléennes (définition 2.12 du chapitre 2) :

F (X) =^X

i∈Γ

Trⁿi(AiXi) ,

où Γ est l’ensemble de tous les représentants des classes cyclotomiques modulo (2n− 1) et ni correspond à la taille de la classe cyclotomique de i et Ai∈ F₂ni.

4.4.2 Equivalence monomiale^´

En utilisant la représentation univariée, il est facile de remarquer que pour tout λ ∈ F2n non nul, la suite engendrée par le registre filtré de polynôme caractéristique P et de fonction de filtrage F , initialisé avec X0 ∈ F₂n est exactement la même que la suite obtenue par le même LFSR, mais filtré par la fonction booléenne G(x) = F (λx) pour tout x ∈ F2n et initialisé par l’état initial Y0= λ−1X0. Cependant, cette équivalence entre ces registres est une équivalence linéaire. Ainsi, son intérêt cryptographique est limité, puisque toutes les fonctions de la forme F (λx) possèdent les mêmes propriétés cryptographiques classiques que la fonction initiale F .

Cependant, Rønjom et Cid [RC10] ont exhibé une autre équivalence, non-linéaire, entre les registres filtrés. L’idée de cette équivalence est de modifier la

racine primitive (i.e. le polynôme caractéristique du LFSR) utilisée pour la mise `

a jour de l’´etat interne.

Equivalence non-linéaire. Soit α et β deux éléments primitifs du corps fini F₂n. Comme ce sont tous deux des éléments primitifs, cela signifie qu’il existe un entier k, premier avec (2n− 1), tel que β = αk. On note Pαet Pβ les polynômes minimaux respectifs de α et β. Alors, il est clair que pour tout t ≥ 0, l’état interne Xtdu LFSR de polynôme caractéristique Pα initialisé par un élément arbitraire non nul X0 et l’état interne Ytdu LFSR de polynôme caractéristique Pβ intialisé par l’état interne Y0= Xk

0 v´erifient la relation Yt= Y0β^t= X₀^kα^kt= (X0α^t)^k= X_t^k∀t ≥ 0 .

Finalement, en notant F la fonction de filtrage du LFSR de polynôme caractéristique Pα, la suite s produite par ce générateur filtré est donnée par la relation

st= F (X0αt) ∀t ≥ 0 .

Soit G la fonction booléenne à n variables définie par la relation G(X) = F (Xr), où r est défini comme l’inverse de k modulo (2n −1), i.e. kr ≡ 1 mod (2n− 1). Alors la suite sortante s0 du LFSR de polynôme caractéristique Pβ, filtré par la fonction G et initialisé par l’élément Y0= Xk

0 satisfait s⁰_t= G(X_t^k) = F ((X_t^k)^r) = F (Xt) = st∀t ≥ 0 .

Le générateur filtré défini par (α, F ) est donc équivalent (au sens de la définition 4.7) au générateur défini par (β = αk, F (Xr)) où r est l’inverse de k modulo (2n−1). Cette équivalence entre générateurs filtrés est appelée équivalence monomiale.

Sans faire d’hypothèse particulière sur la fonction de filtrage, cette équivalence monomiale donne

φ(2n− 1) n

différents générateurs filtrés équivalents, où φ est l’indicatrice d’Euler.

Il est à noter que seulement les permutations induisent une équivalence, i.e. k doit être premier avec (2n− 1).

Nous avons vu que les racines conjuguées impliquent une équivalence linéaire, ce qui permet de regrouper les générateurs équivalents en groupes de n générateurs, correspondant aux classes cyclotomiques de k. Comme pgcd(k, 2ⁿ−1) = 1, la taille des classes cyclotomiques est nécessairement n. Certains cas dégénérés de fonctions booléennes donnent moins de générateurs différents dans la classe d’équivalence : il se pourrait qu’il existe un entier k, pgcd(k, 2n− 1) = 1, tel que pour tout X ∈ F2n, F (Xk) = F (X).

Comme ces générateurs sont équivalents, une attaque par recouvrement de l’état initial du générateur induit par Pβ permet de retrouver l’état initial X0du

registre défini par Pα, en utilisant la relation X0= Y₀^r. Finalement, on déduit de ces observations la propriété suivante.

Proposition 4.10(Générateurs équivalents). Le niveau de sécurité d’un généra-teur filtré est le niveauminimal de sécurité de l’ensemble des générateurs dans sa classe d’équivalence.

Sondre Rønjom et Carlos Cid ont exhibé cette équivalence en se demandant s’il était possible d’attaquer un générateur équivalent dont le polynôme de rétroaction serait creux, afin d’améliorer les attaques par corrélation rapides, puisque ceci permettrait d’obtenir des équations de petit poids [RC10, page 12]. Cette question reste ouverte.

Exemple 2. Considérons une fonction booléenne monomiale à n variables, par exemple Tr(Xr), pour un certain r premier avec (2n− 1). Une telle fonction peut avoir une haute non-linéarité et une haute immunité algébrique. On pourrait donc penser qu’il pourrait d’agir d’une bonne fonction de filtrage (pour certains choix de r). Or, d’après ce qui précède, il est possible de considérer le générateur équivalent, induit par la permutation X 7→ Xk avec kr ≡ 1 mod (2n− 1). Dans ces conditions, le générateur initial filtré par Tr(Xr) est équivalent à un unique LFSR, dont l’état initial peut être retrouvé avec une complexité quadratique en la taille du registre (O(n2)) à l’aide de l’algorithme de Berlekamp-Massey.

Etant donné que les critères cryptographiques sur la fonction de filtrage ne sont pas préservés par la transformation X 7→ Xk, il est tout naturel de se demander quel est l’impact de cette équivalence non-linéaire sur les attaques classiques des générateurs filtrés, notamment les attaques algébriques et les attaques par corrélation rapides. Les résultats obtenus avec Anne Canteaut sont décrits dans la suite de ce chapitre et ont été publiés à Fast Software Encryption en 2016 [CR16].

Dans le document Mathématiques discrètes appliquées à la cryptographie symétrique (Page 90-94)

Equivalence monomiale de registres filtr´es

4.4.1 Repr´esentation univari´ee

4.4.2 Equivalence monomiale´

4.4.2 Equivalence monomiale^´