Quelques outils math´ematiques - Analyse de la perturbation d’un module DSA

Chapitre 6 Analyse de la perturbation d’un module DSA

6.2 Quelques outils math´ematiques

ronées suivant le modèle et ce, jusqu’à ce le plus petit multiple commun des rj soit suffisamment

grand (i.e.Q rj >q). La clé privée pourra alors être entièrement reconstruite grâce au théorème

des restes chinois.

Si l’on se réfère au principe général de cette attaque, on peut remarquer que toutes les signatures erronées ne sont pas exploitables. En effet, pour pouvoir retrouver des résidus de clés par résolution de logarithme discret, il faut d’abord que l’attaquant puisse trouver un entier t divisant à la fois ˆp et ˆq, mais encore que ϕ(t)_{| ˆq. Condition à laquelle il faut ajouter que l’ordre} multiplicatif de guˆ _{dans (Z/tZ)}∗ _{soit divisible par un entier r}

j suffisamment petit pour qu’une

résolution de logarithme discret soit possible. Toutes ces conditions influencent largement les performances de l’attaque, notamment en termes du nombre de perturbation à réaliser pour obtenir des signatures exploitables. À partir de leur étude statistique, les auteurs ont estimé que la recherche de clé privées DSA de 160 bits nécessite de réaliser plus de 200 millions de perturbations. Cependant ces estimations sont relativement pessimistes en comparaison des résultats obtenus expérimentalement : dans les mêmes conditions d’attaque, 40 millions de perturbations pourraient suffire. Malgré la réelle praticabilité du modèle de perturbation choisi, le nombre de perturbation nécessaire est conséquent ce qui relativise sa faisabilité pratique.

D’un point de vue de l’exploitation, cette attaque semble s’inspirer de celle proposée par Brier et al. contre les éléments publics de RSA [BCMCC06]. Néanmoins, le nombre de fautes à réaliser pour attaquer les implantations de signature RSA est bien moins important que celui proposé pour analyser des signatures DSA erronées26_{. Comme conclu par les auteurs de l’attaque, ces}

résultats laissent croire que la perturbation des éléments publics est moins efficace dans le cas des implantations d’algorithmes de signatures type El Gamal que pour les implantations de signatures RSA. Suite à cette conjecture, nous avons essayer d’attaquer les implantations de DSA sous les mêmes hypothèses de perturbation que celles choisies pour exploiter les perturbations d’éléments publics de RSA. Le résultat de cette étude est détaillé dans les sections suivantes.

6.2 Quelques outils math´ematiques

Avant de commencer à présenter l’attaque par perturbation des éléments publics que nous avons étendue aux implantations de DSA, nous allons décrire les deux algorithmes que nous avons utilisés pour retrouver la clé privée DSA. La seconde partie de notre analyse repose sur les attaques réseaux précédemment décrites contre le DSA par N.A. Howgrave-Graham et N.P. Smart [HGS01] et plus récemment par P.Q. Nguyen et I.E. Shparlinski [NS02].

Dans un premier temps, nous présenterons l’algorithme LLL [Ajt98] permettant de transformer une base quelconque d’un réseau euclidien en une base réduite, et même LLL-réduite. Alors que les premières applications de ce type d’algorithme consistaient en la production d’un algorithme de factorisation des polynômes à coefficients rationnels en produits de polynômes irréductibles, nous utiliserons cet algorithme dans le but d’obtenir des bases adaptées à l’utilisation du second algorithme.

Justement, le second algorithme que nous présenterons est l’algorithme de Babai [Bab86]. Cet algorithme permet de trouver, en temps polynomial, le vecteur d’un réseau le plus proche d’un vecteur n’appartenant pas au réseau, à un facteur d’approximation près. En d’autre termes, cet algorithme permet de résoudre des instances approximatives du problème du vecteur le plus proche, réputé difficile. L’efficacité de cette algorithme dépend de la qualité de la réduction

26. 60000 fautes dans le cas du RSA [BCMCC06] contre près de 40 millions en considérant des tailles de clé similaire et un modèle de faute équivalent

Chapitre 6. Analyse de la perturbation d’un module DSA op´er´ee par l’algorithme LLL.

Comme nous le verrons dans la Section 6.3.2, l’utilisation combin´ee de ces deux algorithmes permettra d’exploiter directement les informations recueillies par le biais des perturbations.

6.2.1 Algorithme de r´eduction de r´eseau

Le principe de la réduction de réseau consiste à trouver une base engendrant le réseau de telle sorte que les vecteurs aient des normes assez petites et soient en même temps presque orthogonaux les uns aux autres. L’un des problèmes algorithmiques majeurs liés aux réseaux est la recherche du vecteur le plus court. Bien que ce problème soit prouvé NP-difficile [Ajt98], la notion de réduction introduite par A.K. Lenstra, H.W. Lenstra & L. Lovász [LLL86] apporte, en pratique, une réponse satisfaisante au problème de la recherche de vecteurs courts dans un réseau. Notonsh., .i, le produit scalaire, (bi∗)16i6n les orthogonalisés de Gram-Schmidt correspondant à

une base (bi)16i6n et µi,j =hbi, bj∗i/k bj∗ k2. La notion de LLL-r´eduction est rappel´ee dans la

d´efinition suivante.

Définition 6.2.1.1. (Base LLL-réduite) Une base (bi)16i6n d’un réseauL est LLL-réduite avec

un facteur δ _{∈]1/4, 1] si les deux propriétés suivantes sont vérifiées :} 1. _{| µ}i,j |6 1₂ pour 1 6 j < i 6 n

2. _{k b}i∗+ µi,i−1b∗i−1k2 ≥ δk b∗i−1k2 pour 1 < i≤ n

La première condition est appelé condition de réduction. Elle permet de s’assurer qu’à chaque étape i, le vecteur bi est bien réduit par rapport aux orthogonalisés précédents bj∗. La deuxième

condition est la condition de Lov´asz qui garantit que la taille des vecteurs orthogonalis´es bi∗ ne

croissent pas trop vite. En général, on fixe le paramètre δ égale à 3/4. `

A partir de cette définition de la LLL-réduction d’une base d’un réseau, on peut décliner l’algorithme de réduction de base, où algorithme LLL, permettant de transformer une base quelconque en une base LLL-réduite. Comme décrit dans [Bau08], cet algorithme repose sur l’utilisation des deux fonctions RED et SWAP suivantes :

1. RED(i, j). Cette fonction commence par v´erifier la condition de r´eduction : _{| µ}i,j |6 1₂.

Ensuite, si le vecteur bi est déjà réduit par rapport à bj, cette fonction ne fait rien. Sinon,

bi est remplacé par bi ← bi− ⌊µi,j⌉bj , où⌊·⌉ dénote l’entier le plus proche.

2. SWAP(i, δ). Cette fonction, quand à elle vérifie la condition de Lovász :_{k b}i∗+ µi,i−1b∗i−1k2 ≥

δ_{k b}∗

i−1k2. Lorsque la condition est réalisée, la fonction ne fait rien. Sinon, elle échange les

vecteurs bi et bi−1

A partir de ces deux fonctions, le principe de la réduction de base LLL peut être décrit en pseudo-langage comme dans l’algorithme 8. La figure 6.1 illustre une réduction de base LLL appliquée à une base d’un réseau à deux dimensions.

L’avantage de cet algorithme est qu’il permet de trouver une base réduite en un temps polynomial. D’autres méthodes de réduction permettent de trouver des bases de meilleure qualité. Par exemple la réduction de Hermite-Korkine-Zolotarev garantit que le premier vecteur de base atteint le premier minimum du réseau. Cependant, les réductions fournissant des bases de grande qualité sont très difficiles à obtenir en pratique puisque les calculer est un problème au minimum NP-difficile pour les réductions randomisées. Une description plus complète de l’algorithme LLL peut être trouvée dans [Coh93] avec de nombreuses variantes. Dans le cadre de l’implantation de notre attaque par perturbation contre les éléments publics de DSA, nous avons choisi d’utiliser la méthode Block Korkine-Zolotarev (BKZ) disponible dans la librairie NTL de V. Shoup [Sho].

6.2. Quelques outils mathématiques Algorithme 8 Algorithme LLL de réduction de réseau

ENTR´EES : Une base (bi)16i6n d’un r´eseau L et δ∈ (1₄, 1)

SORTIE : une base LLL-r´eduite (bi)16i6n

1: i← 2

2: Tant que i 6 n faire

3: RED(i, i− 1)

4: SWAP(i, δ)

5: Si Condition de Lovász vérifiée alors

6: RED(i, i− 2), . . . ,RED(i, 1)

7: i← i + 1

8: sinon

9: i← max(2, i − 1) 10: Fin Si

11: Fin Tant que

12: Retourner A

(a) Exemple de r´eseau de 2 dimensions

b∗0

b∗1

(b) Base r´eduite retourn´ee par l’algorithme LLL

Figure6.1 – Illustration de l’application de l’algorithme LLL

6.2.2 Probl`eme du vecteur le plus proche (CVP)

L’algorithme de Babai, aussi connu sous le nom de ”Nearest Plane Algorithm”, est un algorithme développé par L. Babai en 1986 pour résoudre des approximations d’instances du problème du vecteur le plus proche [Bab86]. Plus précisément, le but de l’algorithme est de trouver, étant donné un réseau _{L engendré par une base (b}i)16i6n et un vecteur u /∈ L, le vecteur

v∈ L le plus proche possible de u. C’est `a dire que :

∀w ∈ L, k v − w k< γ k u − w k (6.3)

où, γ > 1 est appelé le facteur d’approximation. Lorsque γ = 1 alors on retrouve une solution exacte pour CVP. L’algorithme de Babai permet de résoudre, en un temps polynomial, une approximation d’instance CVP pour un facteur d’approximation γ = 2 2√

3 n

où n dénote la dimension du réseau. Dans la suite, nous présenterons la version de l’algorithme permettant de résoudre les approximations d’instances de CVP pour γ = 2n2. L’autre facteur d’approximation peut être atteint en réalisant quelques modifications.

On suppose que la base en entrée de l’algorithme est une base réduite (e.g. par l’algorithme LLL avec un facteur δ = 3/4). Ensuite, le principe de l’algorithme de Babai peut se décomposer

Chapitre 6. Analyse de la perturbation d’un module DSA

en deux grandes étapes. La première consiste à orthogonaliser la base réduite par la méthode d’orthogonalisation de Gramm-Schmidt. Très brièvement, la seconde phase consiste à chercher itérativement les différents hyperplans les plus proches du vecteur u, projeté dans la base réduite. Ce principe est décrit dans l’algorithme 9 et le résultat de la recherche du vecteur le plus proche est illustré par la figure 6.2. Nous laisserons le lecteur intéressé se référer à [Bab86] pour plus de détails sur l’algorithme.

Pour l’implantation de notre attaque, nous avons de choisi d’utiliser la routine NearVector Algorithme 9 Algorithme de Babai

ENTRÉES : Une base (bi)16i6n LLL-réduite d’un réseau L et un vecteur u /∈ L.

SORTIE : v_{∈ L tel que ∀w ∈ L k v − w k< 2}n2 k u − w k

1: {Orthogonalisation de Gramm-Schmidt de la base} 2: (b1∗, . . . , bn∗)← GS Orthogonalisation(b1, . . . bn, 3/4) 3: b_{← u} 4: Pour i = n `a 1 faire 5: ci ← hb, bi∗i/k bi∗ k2 6: b_{← b − ⌊c}i⌉bi 7: Fin Pour 8: Retourner v = u_{− b}

fournie par la librairie NTL de V. Shoup [Sho]. Par ce biais, nous avons été en mesure de retrouver, dans la majorité des cas, les clés privées DSA utilisées pour réaliser les signatures perturbées.

b∗0

b∗1

(a) Exemple de vecteur n’appartenant pas à un réseau à deux dimensions

b∗0

b∗1

CV(b)

(b) Vecteur le plus proche retourn´e par l’algorithme de Babai

Figure 6.2 – Illustration de l’application de l’algorithme de Babai

Dans le document Analyse cryptographique des altérations d'algorithmes (Page 96-99)