Syst` emes Katsura

Afin d’illustrer l’approche pr´esent´ee en section 3.2.3, on applique notre algorithme de calcul de

bases de Gr¨obner aux syst`emes Katsura11 et Katsura12 [KFI

87], sur deux corps premiers de taille

16 et 32 bits. L’id´ee consiste alors `a lancer le pr´ecalcul sur un corps de petite taille avant d’ex´ecuter

F4Remake sur un corps de taille plus grande. Les temps obtenus pour les deux syst`emes montrent

que le temps de pr´ecalcul est largement compens´e par le gain de rapidit´e apport´e parF4Remakesur

le corps de taille 32 bits ; ce n’est par contre pas le cas pour le corps de taille 16 bits.

8 bits 16 bits 32 bits

Pr´ecalcul F4Remake F4 F4 Magma F4Remake F4 F4 Magma

Katsura11 27.83 9.050 31.83 19.00 15.50 60.93 84.1

Katsura12 202.5 52.66 215.4 143.3 111.4 578.8 >5h

Table 3.4 – R´esultats exp´erimentaux sur Katsura11 et Katsura12

`

A titre de remarque, on observe que de fa¸con surprenante, les matrices cr´e´ees par F4 sont

beaucoup plus petites dans notre version que dans celle de Magma (par exemple, `a l’´etape 12 de

Katsura12, on obtient une matrice de taille 15393×19368 contre 20162×24137 pour l’implantation

de Magma) ; bien entendu, on trouve avec les deux versions les mˆemes nouveaux polynˆomes `a

chaque ´etape. Ce ph´enom`ene avait d´ej`a ´et´e remarqu´e sur les syst`emes pr´ec´edents, mais jamais dans

une telle proportion. Ceci semble indiquer que notre implantation de la fonctionSimplifyest bien

plus efficace.

´

Etape degr´e tailles matrices dans F4Remake tailles matrices dans F4 rapport de taille

9 10 14846×18928 18913×20124 1.4

10 11 15141×19235 17469×19923 1.2

11 12 8249×12344 16044×19556 3.1

12 13 2225×6320 15393×19368 21.2

13 14 − 15229×19313 −

( `A la treizi`eme ´etape, F4 ne trouve pas de nouveau g´en´erateur, donc cette ´etape est ´elimin´ee dans

F4Remake)

Probl`eme du logarithme discret sur

courbes alg´ebriques d´efinies sur des

La probl´ematique du logarithme

discret

Le d´eveloppement de la cryptographie `a clef publique, qui a d´ebut´e assez tard dans l’histoire de

la cryptologie, repose principalement sur le concept defonction `a sens unique. De fa¸con informelle,

une fonction de ce type correspond `a une op´eration facilement calculable, mais tr`es difficile `a

inverser connaissant son r´esultat. Les deux exemples fondamentaux sur lesquels s’appuie l’essentiel

de la cryptographie moderne sont bas´es sur le probl`eme de la factorisation d’entiers et le calcul

de logarithmes discrets. Le premier de ces probl`emes – n’importe quel calculateur est capable de

trouver deux grands nombres premiers et de calculer leur produit, tandis que factoriser un grand

nombre semi-premier est beaucoup plus difficile – a ´et´e fortement popularis´e par le cryptosyst`eme

RSA [RSA78], qui reste le plus important sch´ema de chiffrement `a clef publique. Ainsi, le probl`eme

de la factorisation a ´et´e largement ´etudi´e durant les derni`eres d´ecennies et les algorithmes de

r´esolution du probl`eme ont enregistr´e des progr`es significatifs, notamment avec l’introduction du

crible alg´ebrique [LL93]. En particulier, les tailles de clefs recommand´ees pour ces cryptosyst`emes

sont importantes : comme on sait factoriser des entiers de taille jusqu’`a 768 bits [KAF

10], il est

actuellement conseill´e d’utiliser des clefs d’au moins 2048 bits.

Le probl`eme du logarithme discret, dans sa formulation initiale sur les groupes multiplicatifs des

corps finis, a connu le mˆeme sort que son homologue (les mˆemes algorithmes de crible s’appliquant

dans ce contexte). N´eanmoins, et contrairement au probl`eme de la factorisation, cette primitive

pr´esente l’´enorme avantage de pouvoir ˆetre d´efinie sur n’importe quel type de groupe fini. Des

r´esultats th´eoriques [Sho97] laissent mˆeme `a penser qu’il existe des groupes pour lesquels on ne

peut pas trouver d’algorithmes performants pour attaquer le logarithme discret. Jusqu’`a pr´esent,

les groupes associ´es aux courbes elliptiques et hyperelliptiques, propos´es pour la premi`ere fois

par Koblitz et Miller [Kob87, Mil86a], sont ceux sur lesquels le logarithme discret est le plus

r´esistant et seront les principaux objets d’´etude de la deuxi`eme partie de cette th`ese. `A titre de

comparaison, on donne en table 4.1 les diff´erentes tailles de clefs `a niveau de s´ecurit´e ´equivalent

pour les cryptosyst`emes bas´es sur la factorisation et le logarithme discret, ainsi que pour le standard

AES de chiffrement sym´etrique, tels que pr´esent´es dans le rapport [Sma10].

Dans ce chapitre introductif, on commence par pr´esenter les principaux protocoles

cryptogra-phiques bas´es sur la difficult´e du probl`eme du logarithme discret. On rappelle ensuite les attaques

g´en´eriques, applicables sur n’importe quel groupe, et qui serviront de point de comparaison pour

toutes les autres attaques propos´ees par la suite. La section suivante d´etaille le cadre g´en´eral du

calcul d’indices ; cette m´ethode est `a la base des algorithmes de cribles alg´ebriques qui sont

ac-Sym´etrique (AES) Factorisation (RSA) Log. discret sur courbes elliptiques

80 1 248 160

96 1 776 192

112 2 432 224

128 3 248 256

256 15 424 512

Table4.1 – Comparaison des tailles de clefs par niveau de s´ecurit´e.

tuellement les plus performants sur les corps finis. On verra dans les chapitres suivants qu’elle

s’applique aussi aux jacobiennes de courbes de grand genre [ADH94], de petit degr´e [Die06], ou

d´efinies sur des extensions de corps. Enfin, on pr´esente quelques probl`emes ditsnon-standardsqui

sont des variations sur le probl`eme du logarithme discret, intervenant naturellement dans certains

protocoles ou types d’attaques.

4.1 Importance du logarithme discret en cryptographie