Objectif

où, pour la dernière inégalité, on a supposéεsuffisamment petit et|M| suffisamment

grand. En utilisant (1.7), on obtient finalement

Adv

^cca_Fn

(q)≥ ⁿ

(1 +δ)

n−1

(1 +δ

0

)(1 +δ

00

)^(Adv

ncpa F

)

ⁿ⁻¹

.

Puisqu’il est possible de rendreδ,δ

⁰

, etδ

⁰⁰

aussi petits que l’on veut, ceci montre que,

essentiellement, le meilleur majorant que l’on puisse espérer dans le corollaire 2 est

nε

n−1

. Réduire l’écart entre la borne prouvée 2

n−1

ε

n−1

et nε

n−1

reste un problème

ouvert intéressant.

1.6 Illustration 2 : la construction EDM

1.6.1 Objectif

Dans la section précédente, nous avons utilisé le problème de l’amplification de

sécurité pour la composition d’algorithmes de chiffrement par blocs pour illustrer

1.6. Illustration 2 : la construction EDM

l’utilisation du lemme 1. Dans cette section, nous allons utiliser un problème différent

pour expliciter l’utilisation de l’ensemble des mauvaises transcriptions : l’étude de la

sécurité de la construction EDM.

Commençons par présenter ce nouveau problème. Les algorithmes de chiffrement

par blocs sont omniprésents en cryptographie. Comme nous l’avons vu, le prérequis

standard de sécurité pour un algorithme de chiffrement par blocs est qu’il soit

indis-tinguable d’une permutation aléatoire [GGM86], ce qui signifie qu’aucun adversaire

avec un accès en boîte noire à une permutation et avec des ressources limitées ne

devrait être capable de distinguer avec un avantage non-négligeable s’il interagit

avec l’algorithme de chiffrement par blocs équipé d’une clé choisie uniformément

aléatoirement ou avec une permutation choisie uniformément aléatoirement.

La bijectivité peut sembler être un prérequis basique lorsque l’on utilise un

algorithme de chiffrement par blocs pour chiffrer des données. Toutefois, cette

intuition peut s’avérer fausse pour de nombreux modes d’opération. Par exemple,

considérons le chiffrement en utilisant le mode compteur [BDJR97] appliqué à un

algorithme de chiffrement par blocs d’espace de messages{0,1}

n

: le message à chiffrer

est découpé en blocs de message den bitsm

_i

qui sont chiffrés en y

_i

=m

_i

⊕E

_k

(c

_i

),

oùc

_i

est un compteur qui ne se répète pas. On sait que ce mode d’opération n’est

sûr que tant que moins de 2

n/2

blocs sont chiffrés à l’aide de la même clé. Dans

ce cas, les chiffrés peuvent être distingués d’un message aléatoire par l’adversaire ;

en effet, pour des y

_i

choisis uniformément aléatoirement, à cause du paradoxe des

anniversaires, l’adversaire s’attend à trouver des collisions parmi les valeursy

_i

⊕m

_i

,

alors que ceci n’arrive jamais pour la sortie d’un oracle de chiffrement réel puisque

y

_i

⊕m

_i

=E

_k

(c

_i

), où les valeurs c

_i

sont toutes deux à deux distinctes. Ce problème

disparaît si, au lieu d’utiliser un algorithme de chiffrement par blocs, on utilise

une fonction pseudo-aléatoire. Tout comme un algorithme de chiffrement par blocs,

une fonction pseudo-aléatoire F prend en entrée une clé k ∈ K et un texte clair

x∈ X, et retourne un texte « chiffré » y dans un ensemble de sortie Y, qui peut

éventuellement être différent de l’espace X des messages clairs. Le prérequis de

sécurité est maintenant qu’aucun adversaire ayant un accès en boîte noire à une

fonction de X vers Y ne devrait pouvoir distinguer s’il interagit avec F

_k

=F(k,·)

pour une clé k choisie aléatoirement ou avec une fonction uniformément aléatoire

de X vers Y (au lieu d’une permutation aléatoire de X dans le cas d’un algorithme

de chiffrement par blocs). On peut facilement constater qu’utiliser une fonction

pseudo-aléatoire en mode compteur (c’est-à-dire chiffrer des blocs de message comme

y

_i

= m

_i

⊕F

_k

(c

_i

)) donne un mode de chiffrement qui préserve la sécurité de la fonction

pseudo-aléatoire sous-jacente, dans le sens où l’avantage de tout adversaire contre le

mode d’opération est majoré par son avantage contre la fonction pseudo-aléatoire

elle-même, le mode en lui-même n’entraîne aucune dégradation de la sécurité (ce qui

n’est pas le cas en utilisant un algorithme de chiffrement par blocs).

Un autre exemple d’application que l’on peut citer est celui des constructions

MAC de Wegman-Carter [WC81], qui reposent sur une fonction pseudo-aléatoire

F et une famille H de fonctions de hachage ε-AXU, une notion sur laquelle nous

reviendrons dans le chapitre suivant, pour construire un code d’authentification de

message qui utilise un nonce défini par :

WC[F, H](ν, m) =F

_k

(ν)⊕H

_k0

(m),

où ν est le nonce (une valeur qui ne devrait jamais être répétée) et m le message

à authentifier. La construction de Wegman-Carter jouit d’une excellente borne de

sécurité lorsqu’elle est utilisée avec une bonne fonction pseudo-aléatoire et une

bonne famille de fonctions de hachage : pour des codes authentificateurs de n

bits, la probabilité qu’a un adversaire de forger peut être proche de q

_f

/2

n

, où q

_f

est le nombre de tentatives de forge de l’adversaire, ce à quoi il faut ajouter un

terme reliée à la sécurité de F. Cependant, si F est remplacée par un algorithme

de chiffrement par blocs, la sécurité prouvée retombe au niveau de la borne des

anniversaires [Sho96, Ber05].

Ces deux exemples montrent que la bijectivité peut nuire à la sécurité pour

de nombreuses constructions fondées sur des algorithmes de chiffrement par blocs.

Malheureusement, les cryptologues se sont concentrés sur la conception de bons

algorithmes de chiffrement par blocs, et les fonctions pseudo-aléatoires sûres et

efficaces ne sont pas courantes. Ainsi, une question naturelle se pose : est-il possible

de convertir un algorithme de chiffrement par blocs E en une fonction

pseudo-aléatoire F[E] aussi efficacement que possible et en préservant la sécurité de E

(c’est-à-dire que l’avantage d’un adversaireD pour distinguer F[E] d’une fonction

aléatoire devrait être proche de l’avantage d’un adversaireD

0

lié àD et disposant de

ressources similaires pour distinguerE d’une permutation aléatoire, sans dégradation

supplémentaire de la sécurité) ? Remarquons que tout algorithme de chiffrement par

blocsE est une fonction pseudo-aléatoire sûre, toutefois sa sécurité est limitée à ce

que l’on appelle la borne des anniversaires, c’est-à-dire jusqu’à environ 2

^n/2

requêtes

de l’adversaire, même siE est sûre, en tant que permutation pseudo-aléatoire, face

à un nombre bien plus élevé de requêtes. En effet, pour un tel nombre de requêtes,

l’adversaire s’attend à observer, avec une probabilité élevée, des collisions entre les

sorties d’une fonction aléatoire, alors que cela n’arrive jamais dans le cas d’une

permutation. Ce résultat est souvent appelé le lemme d’échange PRP/PRF (pour

pseudorandom function et pseudorandom permutation) [BR06b]. Ainsi, une méthode

qui convertit un algorithme de chiffrement par blocs en fonction pseudo-aléatoire

doit, au minimum, dépasser la borne des anniversaires pour présenter un intérêt.

Le problème réciproque, qui est de construire une fonction pseudo-aléatoire en

algorithme de chiffrement par blocs a été résolu il y a environ 30 ans dans un article

célèbre par Luby et Rackoff [LR88] en utilisant un schéma de Feistel à 3 tours. Si l’on

souhaite un algorithme de chiffrement par blocs sûr face à des adversaires effectuant

des requêtes bidirectionnelles, 4 tours sont nécessaires [LR88, Pat90]). Pour cette

raison, le problème de la conversion de fonctions pseudo-aléatoires en algorithme de

chiffrement par blocs est parfois appelé « Luby-Rackoff à l’envers » [BKR98].

Un nombre significatif de constructions ont été suggérées pour résoudre de

problème. Une des plus simple est peut-être la troncature : on ignorembits de la sortie

de l’algorithme de chiffrement par blocs et on n’utilise que, par exemple, les n−m

bits les plus significatifs de la sortie deE

k

pour la sortie deF[E]

k

. Cette construction

a été analysée par Hall et al.[HWKS98], qui ont montré qu’elle est sûre tant que le

1.6. Illustration 2 : la construction EDM

nombre de requêtes de l’adversaire est petit devant min{2

^(n+m)/2

,2

^2(n−m)/3

} (cette

borne a ensuite été améliorée par Bellare et Impagliazzo [BI99]). Dans le même

article [HWKS98], Hallet al. ont également étudié une construction inefficace mais

qui préserve la sécurité fondée sur le classement des sorties E

_k

(1kx), . . . , E

_k

(dkx).

Notons que ces constructions ne préservent pas l’ensemble image (ni l’ensemble de

définition, dans le cas de la dernière construction) de la permutation originale.

Une autre option suggérée par Bellare, Krovetz, et Rogaway [BKR98] est de

modifier la clé de l’algorithme de chiffrement par blocs selon les données. Dans le cas

simple où l’espace de clésKde l’algorithme de chiffrement par blocs est identique à son

espace de messagesX, cette construction est définie parF(k, x) =E(E(k, x), x). Elle

offre également de fortes garanties de sécurité, au-delà de la borne des anniversaires,

mais uniquement en modélisantE comme un algorithme de chiffrement par blocs

choisi uniformément aléatoirement. Dans le modèle standard, la borne de sécurité

retombe au niveau de la borne des anniversaires.

Une autre méthode simple, que nous appelons la construction XOR, consiste

simplement à ajouter les sorties der ≥2 chiffrements indépendants de l’entrée. Plus

précisément, en supposant que l’espace de messages de E est {0,1}

n

,

F

_(k1,...,kr)

(x) = E

_k1

(x)⊕E

_k2

(x)⊕ · · · ⊕E

_kr

(x),

où k

₁

, . . . , k

_r

sont des clés indépendantes. Cette construction a d’abord été analysée

par Lucks [Luc00] qui a prouvé qu’elle était sûre tant que le nombre de requêtes de

l’adversaire reste petit devant 2

rn/(r+1)

. Simultanément, Bellare et Impagliazzo [BI99]

ont indépendamment démontré que, pourr = 2, l’avantage d’un adversaire est majoré

parO(n)(q/2

ⁿ

)

^3/2

; en d’autres termes, la sécurité est garantie tant que le nombre

de requêtes de l’adversaire reste petit devant 2

n

/n

2/3

. Patarin [Pat08a, Pat13] a

prouvé, en utilisant deux variantes différentes de la technique des coefficients H, que

la construction pour r = 2 est déjà « optimale », c’est à dire qu’elle est sûre tant

que le nombre de requêtes de l’adversaire est petit devant 2

n

. Le casr >2 a été peu

étudié depuis [Luc00]. En effet, l’utilisation d’un nombre plus élevé de permutations

ne peut qu’augmenter la sécurité qui est déjà optimale pourr = 2. Cependant, si la

sécurité dans ce cas est optimale en terme de requêtes de l’adversaire, il est possible

qu’utiliser un nombre plus élevé de permutations entraîne un gain géométrique en

terme d’ordre de grandeur de l’avantage maximal que peut avoir un adversaire pour

distinguer cette construction d’une fonction aléatoire. Rodolphe Lampe, Jacques

Patarin et moi avons fait un premier pas dans ce sens lorsque l’attaquant est limité à

un « petit » nombre de requêtes [CLP14]. La construction XOR peut être légèrement

modifiée pour n’utiliser qu’une seule clé avec une perte négligeable de sécurité en

définissant ce que Lucks appelle la construction TWIN [Luc00], définie par

F

_k

(x) =E

_k

(0kx)⊕E

_k

(1kx)⊕E

_k

(r−1kx).

Cette construction réduit cependant légèrement l’ensemble de définition de la fonction

pseudo-aléatoire de dlog

₂

(r)ebits.

Une autre idée naturelle pour convertir un algorithme de chiffrement par blocs

E en fonction pseudo-aléatoire est de définir F

k

(x) = E

k

(x)⊕x. Quand F est

vue comme une fonction de compression de 2n bits vers n bits, elle est appelée la

construction de Davies-Meyer (DM). Nous utiliserons également cette terminologie

ici, bien que nous nous concentrions sur les fonctions pseudo-aléatoires et non les

fonctions de hachage. Si la construction supprime bel et bien la bijectivité deE

_k

, il est

facile de voir que cette construction n’est pas plus sûre queE. En effet, l’adversaire

peut simplement calculer F

_k

(x)⊕x=E

_k

(x) et ainsi appliquer l’attaque standard de

recherche de collision. L’idée la plus simple pour pallier ce défaut, et que nous allons

considérer ici, est de chiffrer à nouveau la sortie de la construction DM (sous une clé

indépendante) : cette nouvelle construction sera appelée la construction de

Davies-Meyer chiffrée et notée EDM (pour Encrypted Davies-Meyer). Plus précisément,

soient E et F deux algorithmes de chiffrement par blocs d’espaces de clés respectifs

K

_E

et K

_F

et d’espace de messages {0,1}

n

. La construction EDM est définie, pour

tout (k, k

⁰

, x)∈ K

_E

× K

_F

× {0,1}

n

, par

EDM[E, F]

_k,k0

(x) =F

_k0

(E

_k

(x)⊕x).

Nous noterons EDM[P, P

⁰

] la construction EDM utilisée avec deux permutations

uniformément aléatoires et indépendantes P et P

⁰

.

1.6.2 Notations et description des transcriptions

Fixons pour le reste de cette section un entier naturel n et deux algorithmes de

chiffrement par blocs E et F d’espaces de clés respectifs K

_E

et K

_F

et d’ensemble

de messages {0,1}

n

. Soit N = 2

n

. On noteraFunc(n) l’ensemble des fonctions de

{0,1}

n

vers {0,1}

n

et Perm(n) l’ensemble des permutations de {0,1}

n

.

Nous avons déjà présenté la notion d’indistinguabilité appliquée aux algorithmes

de chiffrement par blocs. Ici, nous n’étudions pas la capacité d’un adversaire à

distinguer une construction d’une permutation uniformément aléatoire, mais plutôt

d’une fonction uniformément aléatoire. Nous allons donc devoir modifier légèrement

notre modélisation de la situation : les adversaires ne seront autorisés qu’à effectuer

des requêtes directes à leur oracle. Les classes d’attaques ncca et cca vont donc

disparaître et nous allons considérer la résistance de la construction EDM face aux

distingueurs cpa.

Formellement, un adversaire D qui essaye de distinguer EDM[E, F] utilisé avec

des clés choisies uniformément aléatoirement, d’une fonction uniformément aléatoire

R ←

_$

Func(n) est vu comme un algorithme déterministe ayant une puissance de

calcul non-bornée et disposant d’un oracle noté F de façon générique. Cet oracle

simule soitR dans le monde idéal, soitEDM[E, F] dans le monde réel. Le distingueur

D choisit x∈ {0,1}

n

, puis F lui donne sa réponse F(x)∈ {0,1}

n

. Après exactement

q requêtes,D répond D

F

∈ {0,1}. Afin de mesurer la nature pseudo-aléatoire de la

construction EDM, il faut évaluer l’avantageAdv

_EDM[E,F]

(D) de l’adversaire D qui

est définie, comme précédemment, par

Adv

_EDM[E,F]

(D) =|P r[D

EDM[E,F]

= 1]−P r[D

R

= 1]|.

Nous écrirons, comme d’habitude, Adv

^cpa_EDM[E,F]

pour l’avantage maximal qu’un

adversaire cpa peut obtenir lorsqu’il souhaite distinguer la constructionEDM[E, F]

d’une fonction aléatoire.

1.6. Illustration 2 : la construction EDM

Comme dans la section précédente, la transcription τ de l’interaction entre le

distingueur et son oracle F consiste simplement en une liste de paires (x, y) telles

que, si (x, y) ∈ τ, alors le distingueur a effectué la requête directe x ∈ {0,1}

n

et

reçu en guise de réponseF(x) =y. Une transcription est dite atteignable s’il existe

une fonction R∈Func(n) telle que l’interaction de D avec R donne la transcription

τ. On note Θ l’ensemble des transcriptions atteignables. On note également T

_re

,

respectivementT

_id

, la loi de probabilité de la transcriptionτ induite par le monde

réel, respectivement le monde idéal.

Dans le document Le schéma d'Even-Mansour paramétrable : preuves de sécurité à l'aide de la technique des coefficients H (Page 39-44)