Propriétés générales - Prouver l’absence d’invariants sur des SPN

3.3 Prouver l’absence d’invariants sur des SPN

3.3.1 Propriétés générales

Dans tout ce qui suit, on considère des chiffrements par bloc con¸cus comme des réseaux de substitution-permutation (figure 3.3). Habituellement, les techniques utilisées pour les attaques par invariant consistent à chercher des sous-ensembles qui sont invariants à la fois par la couche de substitution et par la couche linéaire, c’est-à-dire par chaque composante du chiffrement séparément. L’algorithme décrit par Leander et al. dans [LMR15] permet de chercher des espaces invariants sur toute la fonction de tour, mais il ne fonctionne que sur des sous-espaces vectoriels de grande dimension relativement à la taille de bloc. Dans ces conditions, nous nous intéressons à des sous-ensembles invariants dont la structure et la taille

sont arbitraires, mais qui sont invariants à la fois par la couche linéaire composée avec l’addition de la clef de tour (Addki◦ L) et par la couche de substitution (S).

Cependant, nous avons montr´e qu’imposer l’invariance par la couche lin´eaire `

a chacun des tours implique l’existence de structures fortes sur ces invariants. Proposition 3.13 (Condition sur les invariants par Addki ◦ L). Soit L une permutation de Fⁿ₂ et soit g ∈ Bn un invariant à la fois pourAddki◦ L et pour Addkj ◦ L avec ki etkj deux clefs de tours différentes. AlorsLS(g) est un espace linéaire invariant par L qui contient ki+ kj.

D´emonstration. Par d´efinition de g, il existe a et b dans F2 tels que pour tout x ∈ Fn

g(x) = g(L(x) + ki) + a et g(x) = g(L(x) + kj) + b . Cela implique que, pour tout x ∈ Fn

g(L(x) + ki) + g(L(x) + kj) = a + b , Comme L est inversible, on a de mani`ere ´equivalente :

g(y + ki+ kj) + g(y) = a + b, ∀y ∈ Fⁿ₂

ce qui signifie que (ki+ kj) ∈ LS(g). Il reste `a montrer que l’espace des structures lin´eaires de g est invariant par L.

Soit s ∈ LS(g), alors il existe une constante c ∈ F2telle que g(x) = g(x+s)+c. Comme g est un invariant pour Addki◦ L, on a

g(L(x) + ki) + a = g(x) = g(x + s) + c = g(L(x) + L(s) + ki) + (a + c) . Par le changement de variable y := L(x) + ki, on obtient que

g(y) = g(y + L(s)) + c, ∀y ∈ Fⁿ₂ , (3.3) ce qui signifie que L(s) ∈ LS(g).

Cette proposition nous donne une première condition nécessaire sur l’existence d’un invariant à la fois pour L et S. Cette propriété a été observée pour la première fois dans [Ava17] mais dans le contexte particulier de l’attaque par sous-espace invariant. Ainsi, l’attaquant.e doit trouver un invariant pour la couche de substitution dont l’espace linéaire est invariant par L et contient l’ensemble des différences entre les clefs de tour. Ces différences entre les clefs de tour sont a priori dépendantes de la clef maˆıtre, et donc secrètes. Cependant, dans la plupart des chiffrements à bas coût (Noekeon [DPAR00], Midori [BBI+15], Rectangle [ZBL+14] pour n’en citer que quelques uns), le cadencement de clef consiste uniquement en l’addition d’une constante de tour (RCi) à la clef maˆıtre :

∀1 ≤ i ≤ t, ki= RCi+ k .

Dans ce cas particulier, les différences entre les clefs de tour sont égales aux différences entre les constantes de tour qui sont des quantités publiques. Notre

condition nécessaire sur les invariants g de la couche de substitution devient donc indépendante de la clef de chiffrement. Plus précisément, LS(g) est un espace vectoriel qui doit être invariant par l’application de L et qui doit contenir les différences (RCi+ RCj) pour toute paire de constantes de tour.

Comme LS(g) est un espace vectoriel, nous nous intéressons au plus petit espace vectoriel qui contient les différences entre les constantes de tour. Définition 3.14(Espace WL(c)). Soit L une permutation linéaire sur Fn

2. Pour toutc ∈ Fn

2, le plus petit sous-espace de Fⁿ₂ invariant parL qui contient c, not´e WL(c) est

hLⁱ(c), i ≥ 0i .

D´emonstration. Tout d’abord, il est clair, par construction, que l’espace hLi(c), i ≥ 0i est inclus dans WL(c) puisque WL(c) est un sous-espace vectoriel de Fn

2 in-variant par L par d´efinition. De plus, pour tout λ1, λ2 ∈ F2 et toute paire (i, j),

L(λ1Lⁱ(c) + λ2L^j(c)) = λ1Lⁱ⁺¹(c) + λ2L^j+1(c)

et donc appartient `a l’espace vectoriel d´efini par hLi(c), i ≥ 0i. On peut donc conclure que ce sous-espace de Fⁿ₂ est le plus petit espace invariant par L et qui contient c.

On peut naturellement généraliser cette définition à plusieurs éléments. Soit D un sous-ensemble de Fn

2, on d´efinit WL(D) ⊆ Fn

2 comme ´etant le plus petit sous-espace vectoriel invariant par L contenant D :

WL(D) :=^X

c∈D

hLi(c), i ≥ 0i =^X

c∈D

WL(D) .

Dans notre contexte, D sera le sous-ensemble défini par les différences entre les clefs de tour (i.e. entre les constantes de tour). Pour que l’attaque par invariant puisse fonctionner, il faut donc trouver un invariant g pour la couche de substitution tel que WL(D) ⊆ LS(g). Intuitivement, le concepteur du chiffrement devra donc faire en sorte pour que la dimension de WL(D) soit la plus grande possible : plus celle-ci est élevée, moins nous avons de degrés de liberté pour choisir g.

3.3.1.1 Quelques exemples

Afin de comprendre plus en détail ce qui se passe, nous regardons plusieurs algorithmes de chiffrement par bloc ayant les spécificités décrites ci-dessus, c’est-à-dire des clefs de tour qui sont égales à la clef maˆıtre à l’addition d’une constante de tour près.

Skinny. Skinny est une famille de chiffrement adaptable5proposée par Christof Beierle, Jérémy Jean, Stefan Kölbl, Gregor Leander, Amir Moradi, Thomas

Peyrin, Yu Sasaki, Pascal Sasdrich et Siang Meng Sim dans [BJK⁺16] dans le but d’être le plus “léger” possible, sans pour autant sacrifier de la sécurité. Les boˆıtes-S de Skinny sont de taille 4 (respectivement 8) pour la version à 64 bits (respectivement 128 bits). L’opération ShiftRows est identique à celle de l’AES à l’exception de la direction de la rotation et la matrice correspondant à MixColumns est la suivante :

    1 0 1 1 1 0 0 0 0 1 1 0 1 0 1 0    

et a la particularité d’être binaire (à la différence de celle de l’AES). En composant cette matrice par ShiftRows, on se retrouve avec un étage linéaire que l’on peut représenter par une matrice carrée binaire de taille 16 qui opère sur les 16 quartets (respectivement octets) de l’état de 64 (respectivement 128) bits.

Skinny-64. Pour la version sans “tweak” de Skinny-64-64, les mêmes clefs de tour sont réutilisées tous les 16 tours à une constante près. Donc les différences entre les sous-clefs (ki+ ki+16) pour tout i sont indépendantes de la clef maˆıtre. En définissant le sous-ensemble D suivant :

D := {RC1+ RC17, RC2+ RC18, RC3+ RC19, RC4+ RC20, RC5+ RC21} on obtient que WL(D) = F64

2 .

Skinny-128. Pour Skinny-128, les constantes de tour sont toutes de la forme suivante : _    c0 0 0 0 c1 0 0 0 c2 0 0 0 0 0 0 0    

où c0 est à valeurs dans l’ensemble {0x00, . . . , 0x0f}, c1 est à valeurs dans {0x00, . . . , 0x03} et c2= 0x02. Ainsi, les 4 premiers bits de chaque octet de l’état ne sont pas affectés par les constantes de tour. Comme la matrice représentant la couche linéaire est binaire, on en déduit que WL(D) est un sous-espace de F128

de dimension au plus 64.

Prince. Prince est un SPN dont le but est d’avoir une faible latence. Il a été con¸cu par Julia Borghoff, Anne Canteaut, Tim Guneysu, Elif Bilge Kavun, Miroslav Knezevic, Lars R. Knudsen, Gregor Leander, Ventzislav Nikov, Chris-tof Paar, Christian Rechberger, Peter Rombouts, Søren S. Thomsen et Tolga Yalcın [BCG+12]. Prince utilise 10 clefs de tours différentes (ki)1≤i≤10, de la forme ki= k + RCi. De plus, une propriéte particulière au chiffrement (appelée α-réflection) impose la condition suivante : pour tout 1 ≤ i ≤ 10, ki+ k11−i = α où α est une constante fixée (dérivée de π). L’intérêt de cette propriété est de

permettre d’utiliser le même algorithme pour déchiffrer que pour chiffrer, en utilisant simplement k + α au lieu de k. Ainsi, nous devons considérer l’ensemble suivant :

D := {α, RC1+ RC2, RC1+ RC3, RC1+ RC4, RC1+ RC5} On obtient finalement que dim WL(D) = 56.

Mantis. Cet algorithme de chiffrement par bloc a été proposé dans le même article que Skinny, mais ressemble assez à Prince, et a le même but : avoir une faible latence. Tout comme pour Prince, les clefs de tours de Mantis7suivent aussi la propriété d’α-réflection. Ainsi, on considère de la même manière l’ensemble suivant :

D := {α, RC1+ RC2, RC1+ RC3, RC1+ RC4, RC1+ RC5, RC1+ RC6, RC1+ RC7} et on obtient que dim WL(D) = 42.

Midori-64. Cet algorithme de chiffrement par bloc a été proposé par Subhadeep Banik, Andrey Bogdanov, Takanori Isobe, Kyoji Shibutani, Harunaga Hiwatari, Toru Akishita et Francesco Regazzoni [BBI+15] et est con¸cu dans un souci de réduction de consommation d’énergie. C’est aussi un SPN, et la couche linéaire qui est la composition de ShuffleCell et de MixColumn donne une application linéaire qui se représente par une matrice carrée binaire de taille 16 qui interagit mal avec les constantes de tour : la dimension de WL(D) est beaucoup plus petite. En effet, les constantes de tour sont ajoutées seulement au bit de poids faible de chaque moitié d’octet, ce qui implique que WL(D) = {0000, 0001}16.

Dans le document Mathématiques discrètes appliquées à la cryptographie symétrique (Page 43-47)