Cette représentation est en lien avec la notion de diffusion et permet une classification des
schémas de Feistel généralisés en fonction du nombre de fonctions internes qu’ils possèdent
et de leur délai de diffusion (nombre de tours pour que tous les blocs en sortie dépendent de
tous les blocs en entrée). La notion de délai de diffusion est aussi raffinée pour prendre en
compte le nombre de fonctions traversées. Puis, cette représentation est utilisée pour étendre
la notion de schéma de Feistel généralisé en proposant les schémas de Feistel généralisés
étendus (EGFN) en séparant les fonctions internes selon leur rôle : confusion ou diffusion.
Ces schémas permettent de diminuer le délai de diffusion sans pour autant trop augmenter le
coût de l’implémentation. Une famille particulière d’EGFN avec un bon délai de diffusion fait
l’objet d’une étude poussée. On y évalue leur indistinguabilité ainsi que leur résistance aux
attaques les plus classiques. On constate que certaines attaques dites structurelles comme
les attaques intégrales ou les différentielles impossibles dépendent directement du délai de
diffusion. Cependant d’autres attaques comme les attaques différentielles et linéaires ne sont
– dans le meilleur des cas – pas affectées par un délai de diffusion faible. Dans le pire des cas,
on constate une dégradation significative de la résistance de cette famille d’EGFN face à ces
attaques. Dans les deux cas (meilleur et pire), le nombre minimal de S-box actives que l’on
a trouvé est très proche de ceux qu’avaient trouvé Suzaki et Minematsu [SM10] lorsqu’ils
avaient fourni un premier pas vers la généralisation des schémas de Feistel généralisés
de type-2. Parmi la famille d’EGFN étudiée, nous avons ensuite choisi l’un des meilleurs
schémas vis-à-vis des attaques différentielles et linéaires pour proposer un nouvel algorithme
de chiffrement léger par bloc appeléLilliput. Cet algorithme se base aussi sur des schémas
de Feistel généralisés pour son cadencement de clé afin de pouvoir facilement réaliser le
déchiffrement. Enfin, un dernier travail en rapport avec les schémas de Feistel généralisés a
été effectué portant sur le lien entre la diffusion et les attaques différentielles en fautes sur
les schémas de Feistel généralisés. Le but est alors de trouver, de manière générique, où se
situe le meilleur endroit pour injecter une faute sur un schéma de Feistel généralisé.
Au terme de ces années de doctorat et malgré les réponses apportées, de nombreuses
questions restent encore ouvertes. En ce qui concerne les FCSR, l’attaque de Perrin et
Khovratovich [PK15,PK14] surgluon-64 met en évidence que les F-FCSR ne se comportent
pas comme une fonction aléatoire. Dans le cadre de la construction éponge, cet effet pourrait
être mitigé si le taux de l’éponge était plus élevé. Cependant cela n’explique pas pourquoi
les versions gluon-80 et gluon-112 n’exhibent pas ce comportement. En ce qui concerne
les schémas de Feistel généralisés et les schémas de Feistel généralisés étendus, le lien entre
la représentation matricielle d’un tel schéma et sa résistance aux attaques différentielles et
linéaires est loin d’être clair : le nombre de S-box actives peut varier presque du simple
au double pour une même famille simplement en changeant la permutation des blocs et
en gardant un même délai de diffusion. De manière plus générale, les questions que je me
pose à l’issue d’une réflexion plus globale sur la cryptographie symétrique sont multiples.
Une première concernerait le cadencement de clé, qui n’a que très brièvement été évoqué
dans ce manuscrit et pour cause. En effet, on a aujourd’hui une idée assez claire de ce que
peut contenir le chemin de donnée d’un chiffrement par bloc, il y a en revanche encore
beaucoup de flou sur ce qu’est un “bon” cadencement de clé. Une seconde question porterait
sur les interactions qui existent entre le monde de la cryptanalyse classique et celui de
la cryptanalyse physique. En effet, à travers mon étude des injections de fautes dans les
schémas de Feistel généralisés, je me suis rendu compte que ce sont exactement les éléments
qui rendaient le chiffrement résistant à la cryptanalyse classique qui le rendaient vulnérable
aux injections de fautes. On pourrait alors se demander s’il ne serait pas possible, dans le
cas d’un algorithme léger, de relacher un peu les exigences de la cryptanalyse classique afin
de contrer plus efficacement les attaques par injections de fautes, comme c’est déjà le cas
pour les implémentations à seuil dans le cas de certaines attaques par canaux auxilliaires.
Bibliographie
Bibliographie
[AB05a] François Arnault et Thierry P. Berger : Design and Properties of a New
Pseudorandom Generator Based on a Filtered FCSR Automaton.IEEE Trans.
Computers, 54(11):1374–1383, 2005. 52
[AB05b] FrançoisArnault et Thierry P. Berger: F-FCSR : Design of a New Class
of Stream Ciphers. In Fast Software Encryption, FSE 2005, volume 3557 de
LNCS, pages 83–97. Springer, 2005. 52
[ABK] RossAnderson, EliBihamet LarsKnudsen: Serpent : A Proposal for the
Advanced Encryption Standard. 11
[ABL
+09] FrançoisArnault, Thierry P.Berger, CédricLauradoux, MarineMinier
et Benjamin Pousse : A New Approach for FCSRs. In SAC 2009, volume
5867 de LNCS, pages 433–448. Springer, 2009. 48,51, 54, 56, 57,69
[ABM08] François Arnault, Thierry P. Berger et Marine Minier : Some Results
on FCSR Automata With Applications to the Security of FCSR-Based
Pseudorandom Generators. IEEE Transactions on Information Theory, 54(2):
836–840, 2008. 53
[ABMP11] F.Arnault, T. P.Berger, M.Minieret B.Pousse: Revisiting LFSRs for
Cryptographic Applications. IEEE Trans. on Info. Theory, 57(12):8095–8113,
2011. 45, 121, 125
[ADMS09] Jean-Philippe Aumasson, Itai Dinur, Willi Meier et Adi Shamir : Cube
Testers and Key Recovery Attacks on Reduced-Round MD6 and Trivium. In
FSE 2009, volume 5665 deLNCS, pages 1–22. Springer, 2009. 77
[AG99] C.Adamset J.Gilchrist: The CAST-256 Encryption Algorithm. Network
Working Group, RFC 2612, june 1999. http ://tools.ietf.org/html/rfc2612. 87
[AHMNP10] Jean-Philippe Aumasson, Luca Henzen, Willi Meier et María
Naya-Plasencia : Quark : A Lightweight Hash. In CHES 2010, volume 6225
deLNCS, pages 1–15. Springer, 2010. 69, 71
[AIK
+00] K.Aoki, T.Ichikawa, M.Kanda, M.Matsui, S. Moriai, J.Nakajimaet
T.Tokita: Camellia : A 128-Bit Block Cipher Suitable for Multiple Platforms
- Design and Analysis. In Selected Areas in Cryptography - SAC 2000, volume
2012 de LNCS, pages 39–56. Springer, 2000. 12, 15, 22
[BBS99] E.Biham, A.Biryukov et A. Shamir : Cryptanalysis of Skipjack Reduced
to 31 Rounds Using Impossible Differentials. In Advances in Cryptology
-EUROCRYPT ’99, volume 1592 de LNCS, pages 12–23. Springer, 1999. 32
[BCD
+99] C. Burwick, D. Coppersmith, E. D’Avignon, R. Gennaro, S. Halevi,
C. Jutla, S. M. Matyas Jr, L. O’Connor, M. Peyravian, D. Stafford
et N.Zunic: MARS - a candidate cipher for AES. NIST AES Proposal, 1999.
86
[BDM
+12] Thierry P.Berger, Joffrey D’Hayer, Kevin Marquet, Marine Minier et
Gaël Thomas : The GLUON Family : A Lightweight Hash Function Family
Based on FCSRs. In Progress in Cryptology - AFRICACRYPT 2012, volume
7374 de LNCS, pages 306–323. Springer, 2012. 1, 69
[BDPA08] Guido Bertoni, Joan Daemen, Michael Peeters et Gilles Van Assche :
On the Indifferentiability of the Sponge Construction.In EUROCRYPT 2008,
volume 4965 deLNCS, pages 181–197, 2008. 13, 79, 147
[BDPA11] G. Bertoni, J. Daemen, M. Peeters et G. Van Assche : The Keccak
reference, January 2011. http://keccak.noekeon.org/. 13
[Bih93] E. Biham : New Types of Cryptoanalytic Attacks Using related Keys
(Extended Abstract). In Advances in Cryptology - EUROCRYPT ’93, volume
765 deLNCS, pages 398–409. Springer, 1993. 128
[BKL
+07] A. Bogdanov, L. R. Knudsen, G. Leander, C. Paar, A. Poschmann,
M. J. B. Robshaw, Y. Seurin et C. Vikkelsoe : Present : An
ultra-lightweight block cipher. In Cryptographic Hardware and Embedded Systems
- CHES 2007, volume 4727 de LNCS, pages 450–466. Springer, 2007. 18, 125,
129
[BMP87] E. Brickell, J. Moore et M. Purtill : Structure in the S-Boxes of the
DES. In Advances in Cryptology-CRYPTO’86, pages 3–8. Springer, 1987. 21
[BMP09] T. P. Berger, M. Minier et B. Pousse : Software Oriented Stream
Ciphers Based upon FCSRs in Diversified Mode. In Progress in Cryptology
- INDOCRYPT 2009, volume 5922 de LNCS, pages 119–135. Springer, 2009.
51, 69, 71,121, 125
[BMT13] T.P. Berger, M. Minier et G. Thomas : Extended Generalized Feistel
Networks using Matrix Representation. In Selected Areas in Cryptography
-SAC 2013, volume 8282 deLNCS. Springer, 2013. 2, 93, 103, 119, 122
[BNS14] ChristinaBoura, MaríaNaya-Plasencia et ValentinSuder : Scrutinizing
and Improving Impossible Differential Attacks : Applications to CLEFIA,
Camellia, LBlock and Simon.In Advances in Cryptology - ASIACRYPT 2014,
volume 8873 deLNCS, pages 179–199. Springer, 2014. 130
[BS90] E. Biham et A. Shamir : Differential Cryptanalysis of DES-like
Cryptosystems. In Advances in Cryptology - CRYPTO ’90, volume 537 de
LNCS, pages 2–21. Springer, 1990. 31, 112
[BS91] E. Biham et A. Shamir : Differential Cryptanalysis of DES-like
Cryptosystems. Journal of CRYPTOLOGY, 4(1):3–72, 1991. 2
[BS97] E. Biham et A. Shamir : Differential Fault Analysis of Secret Key
Cryptosystems. In Advances in Cryptology - CRYPTO ’97, volume 1294 de
LNCS, pages 513–525. Springer, 1997. 141
[BS01] A.Biryukovet A.Shamir: Structural Cryptanalysis of SASAS.In Advances
in Cryptology - EUROCRYPT ’01, volume 2045 de LNCS, pages 394–405.
Springer, 2001. 111
[BS13] Andrey Bogdanov et Kyoji Shibutani : Generalized Feistel networks
revisited. Des. Codes Cryptography, 66(1-3):75–97, 2013. 85
[BSS
+13] R. Beaulieu, D. Shors, J. Smith, S. Treatman-Clark, B. Weeks et
L.Wingers: The SIMON and SPECK Families of Lightweight Block Ciphers.
Cryptology ePrint Archive, Report 2013/404, 2013. 24, 25,125,134
Bibliographie
Dans le document
Design et Analyse de sécurité pour les constructions en cryptographie symétrique
(Page 160-164)