3.3 Applications
3.3.4 Syst` emes Katsura
Afin d’illustrer l’approche pr´esent´ee en section 3.2.3, on applique notre algorithme de calcul de
bases de Gr¨obner aux syst`emes Katsura11 et Katsura12 [KFI
+87], sur deux corps premiers de taille
16 et 32 bits. L’id´ee consiste alors `a lancer le pr´ecalcul sur un corps de petite taille avant d’ex´ecuter
F4Remake sur un corps de taille plus grande. Les temps obtenus pour les deux syst`emes montrent
que le temps de pr´ecalcul est largement compens´e par le gain de rapidit´e apport´e parF4Remakesur
le corps de taille 32 bits ; ce n’est par contre pas le cas pour le corps de taille 16 bits.
8 bits 16 bits 32 bits
Pr´ecalcul F4Remake F4 F4 Magma F4Remake F4 F4 Magma
Katsura11 27.83 9.050 31.83 19.00 15.50 60.93 84.1
Katsura12 202.5 52.66 215.4 143.3 111.4 578.8 >5h
Table 3.4 – R´esultats exp´erimentaux sur Katsura11 et Katsura12
`
A titre de remarque, on observe que de fa¸con surprenante, les matrices cr´e´ees par F4 sont
beaucoup plus petites dans notre version que dans celle de Magma (par exemple, `a l’´etape 12 de
Katsura12, on obtient une matrice de taille 15393×19368 contre 20162×24137 pour l’implantation
de Magma) ; bien entendu, on trouve avec les deux versions les mˆemes nouveaux polynˆomes `a
chaque ´etape. Ce ph´enom`ene avait d´ej`a ´et´e remarqu´e sur les syst`emes pr´ec´edents, mais jamais dans
une telle proportion. Ceci semble indiquer que notre implantation de la fonctionSimplifyest bien
plus efficace.
´
Etape degr´e tailles matrices dans F4Remake tailles matrices dans F4 rapport de taille
9 10 14846×18928 18913×20124 1.4
10 11 15141×19235 17469×19923 1.2
11 12 8249×12344 16044×19556 3.1
12 13 2225×6320 15393×19368 21.2
13 14 − 15229×19313 −
( `A la treizi`eme ´etape, F4 ne trouve pas de nouveau g´en´erateur, donc cette ´etape est ´elimin´ee dans
F4Remake)
Probl`eme du logarithme discret sur
courbes alg´ebriques d´efinies sur des
La probl´ematique du logarithme
discret
Le d´eveloppement de la cryptographie `a clef publique, qui a d´ebut´e assez tard dans l’histoire de
la cryptologie, repose principalement sur le concept defonction `a sens unique. De fa¸con informelle,
une fonction de ce type correspond `a une op´eration facilement calculable, mais tr`es difficile `a
inverser connaissant son r´esultat. Les deux exemples fondamentaux sur lesquels s’appuie l’essentiel
de la cryptographie moderne sont bas´es sur le probl`eme de la factorisation d’entiers et le calcul
de logarithmes discrets. Le premier de ces probl`emes – n’importe quel calculateur est capable de
trouver deux grands nombres premiers et de calculer leur produit, tandis que factoriser un grand
nombre semi-premier est beaucoup plus difficile – a ´et´e fortement popularis´e par le cryptosyst`eme
RSA [RSA78], qui reste le plus important sch´ema de chiffrement `a clef publique. Ainsi, le probl`eme
de la factorisation a ´et´e largement ´etudi´e durant les derni`eres d´ecennies et les algorithmes de
r´esolution du probl`eme ont enregistr´e des progr`es significatifs, notamment avec l’introduction du
crible alg´ebrique [LL93]. En particulier, les tailles de clefs recommand´ees pour ces cryptosyst`emes
sont importantes : comme on sait factoriser des entiers de taille jusqu’`a 768 bits [KAF
+10], il est
actuellement conseill´e d’utiliser des clefs d’au moins 2048 bits.
Le probl`eme du logarithme discret, dans sa formulation initiale sur les groupes multiplicatifs des
corps finis, a connu le mˆeme sort que son homologue (les mˆemes algorithmes de crible s’appliquant
dans ce contexte). N´eanmoins, et contrairement au probl`eme de la factorisation, cette primitive
pr´esente l’´enorme avantage de pouvoir ˆetre d´efinie sur n’importe quel type de groupe fini. Des
r´esultats th´eoriques [Sho97] laissent mˆeme `a penser qu’il existe des groupes pour lesquels on ne
peut pas trouver d’algorithmes performants pour attaquer le logarithme discret. Jusqu’`a pr´esent,
les groupes associ´es aux courbes elliptiques et hyperelliptiques, propos´es pour la premi`ere fois
par Koblitz et Miller [Kob87, Mil86a], sont ceux sur lesquels le logarithme discret est le plus
r´esistant et seront les principaux objets d’´etude de la deuxi`eme partie de cette th`ese. `A titre de
comparaison, on donne en table 4.1 les diff´erentes tailles de clefs `a niveau de s´ecurit´e ´equivalent
pour les cryptosyst`emes bas´es sur la factorisation et le logarithme discret, ainsi que pour le standard
AES de chiffrement sym´etrique, tels que pr´esent´es dans le rapport [Sma10].
Dans ce chapitre introductif, on commence par pr´esenter les principaux protocoles
cryptogra-phiques bas´es sur la difficult´e du probl`eme du logarithme discret. On rappelle ensuite les attaques
g´en´eriques, applicables sur n’importe quel groupe, et qui serviront de point de comparaison pour
toutes les autres attaques propos´ees par la suite. La section suivante d´etaille le cadre g´en´eral du
calcul d’indices ; cette m´ethode est `a la base des algorithmes de cribles alg´ebriques qui sont
ac-Sym´etrique (AES) Factorisation (RSA) Log. discret sur courbes elliptiques
80 1 248 160
96 1 776 192
112 2 432 224
128 3 248 256
256 15 424 512
Table4.1 – Comparaison des tailles de clefs par niveau de s´ecurit´e.
tuellement les plus performants sur les corps finis. On verra dans les chapitres suivants qu’elle
s’applique aussi aux jacobiennes de courbes de grand genre [ADH94], de petit degr´e [Die06], ou
d´efinies sur des extensions de corps. Enfin, on pr´esente quelques probl`emes ditsnon-standardsqui
sont des variations sur le probl`eme du logarithme discret, intervenant naturellement dans certains
protocoles ou types d’attaques.
4.1 Importance du logarithme discret en cryptographie
Dans le document
Attaques algébriques du problème du logarithme discret sur courbes elliptiques
(Page 83-87)