Méthode générale pour calculer la complexité en données d’une attaque statistique

Les probabilités de non-détection et de fausse alarme (voir définition 5.4) jouent un rôle important dans la complexité d’une cryptanalyse statistique.

– Pour une cryptanalyse, la taille ℓ de la liste L des clés gardées augmente si on diminue le seuil T puisque l’on accepte plus de candidats. La complexité en temps de l’attaque étant souvent reliée à la taille de la liste L, celle-ci varie sensiblement en fonction de β.

– De la même façon si on augmente la valeur du seuil, on accepte moins de candidats. On a alors un plus grand risque de passer à côté de la bonne clé (dans ce cas l’attaque échoue). La probabilité de non-détection α est alors directement reliée à la probabilité de succès de l’attaque.

D’où l’intérêt pour le cryptanalyste de fixer la probabilité de non-détection et de fausse alarme pour étudier les complexités d’une attaque donnée.

Étant données des probabilités d’erreurs fixées, cette section est dédiée au calcul du nombre d’échantillons nécessaire à la cryptanalyse. Le contexte dans lequel nous nous plaçons dans cette section est le suivant :

Contexte. Soit C_k (resp. C_k∗) une variable aléatoire qui suit une loi binomiale avec paramètres N et p (resp. p_∗). Dans le contexte du test d’hypothèses défini précédemment, les probabilités de non-détection et de fausse alarme, pour un seuil donné T , sont définies par P (C_k∗ < T ) et P (Ck ≥ T ).

Soit bnd et bfa⁴ deux nombres réels donnés (0 < bnd, bfa < 1). Le problème consiste à trouver un nombre d’échantillons N et un seuil T tels que les probabilités d’erreurs soient plus petites que les bornes données bnd et bfa. Ceci est équivalent à trouver une solution (N, T ) au système d’inéquations suivant :



P [Ck∗ < T ] ≤ bnd,

P [Ck≥ T ] ≤ bfa. (5.10)

En pratique, résoudre ce système d’inéquations est assez compliqué. La continuité, approximation de la loi binomiale

Les quantités regardées ne sont pas continues puisque la loi binomiale est discrète. Donc, nous avons besoin de trouver une approximation des probabilités d’erreurs qui prennent en entrée des paramètres N et τ où le seuil relatif τ est la quantité égale à T

N (nous avons 0 ≤ τ ≤ 1). Une bonne approximation des probabilités d’erreur peut être donnée par exemple par les formules du théorème 5.1. Comme il existe d’autres approximations

4. bndcorrespond à une borne pour la probabilité de non détection et bfaà une borne pour la probabilité de fausse alarme

80 5.3 Complexité en données de la loi binomiale, nous allons dans un cas général définir deux fonctions Gnd(N, τ ) et Gfa(N, τ ) qui sont des estimations des probabilités de non-détection et de fausse alarme. Dans le but de trouver une solution au système (5.10), on demande à ces estimations des probabilités de non-détection et de fausse alarme d’être des fonctions décroissantes en fonction des deux variables N et τ . De cette façon, le problème consistant à trouver le nombre d’échantillons nécessaires à la cryptanalyse pour des probabilités d’erreur fixées se résume à trouver N et τ tels que



Gnd(N, τ ) ≤ bnd,

Gfa(N, τ ) ≤ bfa. (5.11)

Description de l’algorithme

Pour un seuil relatif τ donné, nous définissons les quantités Nnd(τ ) et Nfa(τ ) comme les valeurs vérifiant les équations :

Gnd(Nnd(τ ), τ ) = bnd et Gfa(Nfa(τ ), τ ) = bfa. (5.12) Dans le cas où l’une des valeurs Nnd(τ ) ou Nfa(τ ) est plus grande que l’autre, nous devons changer la valeur du seuil relatif dans le but de rapprocher les quantités Nnd(τ ) et Nfa(τ ) l’une de l’autre. D’un autre côté, pour un nombre d’échantillons fixé, si on diminue la valeur du seuil relatif τ alors on accepte plus de candidats. Dans ce cas la probabilité de non-détection diminue alors que la probabilité de fausse alarme augmente. La méthode que nous avons utilisée pour calculer la complexité en données d’une attaque statistique est basée sur l’observation faite dans le lemme suivant.

Lemme 5.5. Soit Gnd(N, τ ) et Gfa(N, τ ) deux fonctions qui dépendent des paramètres N et τ, définies sur [0, +∞[ × [p, p∗], avec les propriétés suivantes :

– pour un seuil τ, ces deux fonctions sont décroissantes en N, – pour N fixé, Gnd(N, τ ) est croissante en τ ,

– pour N fixé, Gfa(N, τ ) est décroissante en τ , – lim N →0Gnd(N, τ )≥ 1 , lim N →0Gfa(N, τ )≥ 1, – lim N →∞Gnd(N, τ ) = lim N →∞Gfa(N, τ ) = 0.

Soient bnd et bfa les bornes sur les probabilités d’erreurs 0 ≤ bnd, bfa ≤ 1. Soit le seuil relatif τ compris entre p et p_∗. Soient les quantités Nnd(τ ) et Nfa(τ ) définies par (5.12) telles que

Gnd(Nnd(τ ), τ ) = bnd et Gfa(Nfa(τ ), τ ) = bfa.

Nous introduisons une nouvelle quantité N(τ) qui est égale au maximum de Nnd(τ ) et de Nfa(τ ) :

N (τ ) = max(Nnd(τ ), Nfa(τ )).

Cette quantité représente la valeur minimale de N telles que le couple (N, τ) soit solution de (5.11). Alors, pour p ≤ w ≤ p∗,

(i) si Nnd(w) > Nfa(w), alors, pour tout τ > w, N (τ ) > N (w), (ii) si N_nd(w) < Nfa(w), alors, pour tout τ < w, N (τ ) > N (w).

Preuve : Nous allons prouver la propriété (i). La propriété (ii) se montre de la même façon. Nous voulons prouver que si Nnd(w) > Nfa(w), alors, pour tout τ > w, N (τ ) > N (w). Puisque Nnd(w) > Nfa(w), nous avons Gnd(N (w), w) = bnd et Gfa(N (w), w) < bfa. En utilisant les propriétés de croissance et de décroissance des fonctions Gndet Gfa, nous pou-vons dire que pour τ > w, nous apou-vons Gnd(N (τ ), τ ) > bnd et Gfa(N (w), τ ) < bfa. Puisque les fonctions étudiées sont décroissantes en N, nous en déduisons que N(τ ) > N(w).

À partir de ces observations nous en déduisons l’algorithme 13, ci après, qui est basé sur une recherche dichotomique en τ .

Algorithme 13 : Calcul de la valeur exacte du nombre d’échantillons nécessaire à une cryptanalyse statistique simple et du seuil relatif correspondant.

Entrée : Des probabilités d’erreurs (bnd, bfa) et les probabilités (p_∗, p) relatives à notre attaque.

Sortie : N et τ : le nombre minimum d’échantillons et le seuil relatif

correspondant nécessaire pour atteindre des probabilités d’erreur plus petites ou égales à (bnd, bfa).

Initialiser τmin à p et τmax à p_∗; Faire

Changer la valeur de τ à ^{τmin+ τmax}

2 ; Calculer Nnd(τ ) vérifiant ∀N > Nnd(τ ), Gnd(N, τ )≤ bnd; Calculer Nfa(τ ) vérifiant ∀N > Nfa(τ ), Gfa(N, τ )≤ bfa; Si Nnd(τ ) > Nfa(τ ) alors τmax= τ ; Sinon τmin = τ ; tant que Nnd(τ )6= Nfa(τ ) ; Retourner N = Nnd(τ ) = Nfa(τ ) et τ Détail d’implémentation

Supposons que nous ayons choisi d’utiliser pour Gfa et Gnd les approximations définies dans le théorème 5.1. Un moyen simple de calculer les valeurs de Nfa(τ ) et Nnd(τ ) à chaque étape de l’algorithme 13 consiste à faire une recherche dichotomique sur N. Cette méthode peut être améliorée en fixant certaines quantités. En effet si on fixe la probabilité de non-détection à bnd, l’équation (5.7) peut se récrire :

N ∼ ¹ D (τ||p∗)^ln  p_∗√ 1− τ bnd(p_∗− τ)^√2πN τ  .

Nous pouvons utiliser une méthode du point fixe pour calculer N. Le détail des conditions d’utilisation de cette méthode est présenté dans la section 5.3.5. Cette méthode peut être

82 5.3 Complexité en données utilisée en commençant l’itération au point 1

D(τ ||p∗). La même méthode peut être utilisée pour le calcul de Nfa(τ ) en prenant la fonction (provenant de l’équation (5.7))

f (N ) = ¹ D (τ||p)^ln (1− p)^√τ bfa(τ − p)^p2πN (1− τ) ! et en partant du point 1 D(τ ||p).

Il est aussi possible de calculer N en partant de la loi binomiale directement ou d’une approximation assez fidèle de celle-ci. La loi binomiale n’étant pas continue, elle ne satisfait pas les conditions du lemme 5.5 et donc une solution peut ou ne peut pas exister. Donc si on utilise la loi binomiale elle même on autorise une certaine marge d’erreur sur les probabilités de non détection et de fausse alarme que l’on veut atteindre. L’autre problème soulevé par cette méthode est le temps mis par l’algorithme pour calculer les valeurs intermédiaires de N. Nous allons cependant voir comment calculer de manière efficace la fonction de répartition de la loi binomiale.

Calcul efficace des queues de la loi binomiale

Pour calculer efficacement les queues de la loi binomiale nous utilisons l’approximation de Stirling donnée dans le lemme 5.1. Si Ck∗ suit une loi binomiale avec paramètres N et p_∗, nous avons

P [Ck∗ = T − 1] = ^{1− p∗}

p_∗ · ^T

N − T + 1 ^{· P [Ck∗ = T ] .} Ce qui nous donne :

P [Ck∗ < T ] = P [Ck∗ = T ]·  (1− p∗)· T p_∗· (N − T + 1) ⁺ (1− p∗)2· T (T − 1) p2 ∗· (N − T + 1)(N − T + 2) ^{+· · ·}  = P [Ck∗ = T ]· T X i=1  1 − p∗ p_∗ i T ! (T − i)! (N − T )! (N − T + i)! = N T  p^T_∗(1− p∗)^{N −T} · T X i=1  1 − p∗ p_∗ i T ! (T − i)! (N − T )! (N − T + i)!^. En utilisant l’approximation de Stirling donnée dans le lemme 5.1 nous obtenons :

P [Ck∗ < T ]≃ ² −ND(T N||p∗) q 2π(1− T N)T · T X i=1  1 − p∗ p_∗ i T ! (T − i)! (N − T )! (N − T + i)!^{. (5.13)}

L’astuce nécessaire pour pouvoir calculer les queues de la loi binomiale consiste à remar-quer que le terme dominant est le dernier terme. En conséquence, nous commençons avec ce terme et nous ajoutons les suivants jusqu’à avoir atteint une certaine précision. Cette estimation est précise quand N et T sont assez grand. Quand T est petit5

nous pouvons utiliser la formule exacte de la loi binomiale. La même méthode peut être utilisée pour calculer l’erreur de fausse alarme.