Nous avons vu, tout au long de cette premi`ere partie de la th`ese, les aspects th´eoriques relatifs `a la cryptographique sur les courbes elliptiques utilisant le mod`ele alternatif de courbes binaires d’Edwards. De plus, dans ce chapitre, nous avons pu analyser, les faiblesses et les forces d’une telle cryptographie face aux attaques par canaux auxiliaires et par injections de fautes.
Il est important de noter que nous avons de nombreuses protections intrins`eques `a cette cryptographie comme pr´esent´e dans le tableau 3.1. Ces protections sont essentiellement rendues possibles grˆace `a l’association de plusieurs propri´et´es inh´erentes aux BEC, `a leurs impl´ementations ou aux protocoles cryptographiques dans lesquels cette cryptographie sera employ´ee. Ainsi, d’un point de vue th´eorique, les seules contremesures `a ajouter `a une impl´ementation des BEC seraient : la validation de la coh´erence des points et l’ajout d’al´ea au sein de la repr´esentation projective des points.
Cette analyse de la protection des BEC et de leur impl´ementation est purement th´eo- rique et devra faire l’objet d’une v´erification minutieuse de chaque propri´et´e de s´ecurit´e. Nous effectuerons une partie de ces v´erifications au chapitre 5 et nous d´evelopperons plus en profondeur les attaques par profilage au chapitre 6. Nous verrons alors qu’une mise `a jour du tableau th´eorique 3.1 devra ˆetre faite.
G´en´eration d’un ensemble de
Courbes Binaires d’Edwards pour
la cryptographie
Les math´ematiques sont les ennemies acharn´ees de la m´emoire, excellente par ailleurs, mais n´efaste, arithm´etiquement parlant ! Eug`ene Ionesco, Th´eatre complet
Sommaire
4.1 Niveau de s´ecurit´e . . . 87 4.2 Crit`eres de s´ecurit´e . . . 88 4.2.1 Crit`eres principaux de s´ecurit´es . . . 88 4.2.2 Crit`eres secondaires de s´ecurit´e . . . 89 4.3 Algorithme de g´en´eration de Courbes Elliptiques pour
la cryptographie . . . 89 4.3.1 Optimisation de l’arithm´etique F2m . . . 90
4.3.2 Optimisation du param`etre de la Courbe Binaire d’Edwards 92 4.3.3 Optimisation du point g´en´erateur . . . 94 4.4 Un nouvel ensemble de Courbes Binaires d’Edwards . . 95 4.5 Int´egration du mod`ele de Courbes Binaires d’Edwards
dans les protocoles standards . . . 95 4.5.1 Coordonn´ees diff´erentielles pour l’´echange de clef . . . 96 4.5.2 Coordonn´ees diff´erentielles pour la signature . . . 96 4.6 Impl´ementation et performances . . . 106 4.7 Conclusion . . . 111
Dans ce chapitre, nous construisons un nouvel ensemble de courbes binaires d’Edwards. En effet, il existe peu de BEC construites pour tirer avantage des propri´et´es math´ema- tiques propres `a ce mod`ele. Le seul travail connu est celui de Bernstein [Ber09] qui a propos´e des param`etres de courbes binaires d’Edwards. Cependant, le seul niveau de s´ecu- rit´e adress´e est celui des 128 bits de s´ecurit´e ´equivalents `a la courbe du NIST P256 ou la Curve25519 pour le mod`ele d’Edwards en large caract´eristique d´evelopp´ee par Bernstein et al. [BDL+11b].
Nous proposerons diff´erents param`etres de BEC afin d’adresser diff´erents niveaux de s´ecurit´e. Ainsi, un utilisateur pourra adapter le niveau de s´ecurit´e en fonction de la sen- sibilit´e de l’information `a prot´eger et des contraintes de performance. Cette approche est notamment adopt´ee par la norme du NIST [Gal13].
Nous verrons que nous pouvons optimiser les param`etres de ces nouvelles courbes `a diff´erents niveaux. Cependant, une courbe elliptique prise au hasard ne peut ˆetre utilis´ee pour des applications cryptographiques. En effet, l’analyse de l’ECDLP a amen´e `a l’´ela- boration d’un ensemble de crit`eres de s´ecurit´e que doit v´erifier une courbe elliptique pour des applications cryptographiques. Nous exposerons ces crit`eres dans ce chapitre.
Le mod`ele de courbes binaires d’Edwards n´ecessite une ´etude particuli`ere pour les int´egrer au sein des protocoles standards d’´echange de clefs et de signatures. Nous abor- derons cette question dans ce chapitre. Ainsi, nous ´etudierons leur mis en œuvre pour des applications cryptographiques.
Nous conclurons ce chapitre par l’expos´e des performances de notre impl´ementation de ces nouvelles courbes elliptiques.
4.1
Niveau de s´ecurit´e
Dans le chapitre 1, nous avons abord´e la notion de niveau de s´ecurit´e. De plus, la section 2.5.3 expose comment ce niveau de s´ecurit´e peut ˆetre d´eduit de la taille des param`etres de la courbe elliptique consid´er´ee.
Il nous faut alors d´efinir les diff´erents niveaux de s´ecurit´e que nous consid´ererons par la suite dans notre g´en´eration et s´election de nouvelles courbes elliptiques. Il est important d’avoir une ´echelle de s´ecurit´e progressive afin de pouvoir adapter au mieux la s´ecurit´e et les performances en fonction de la sensibilit´e de l’information `a prot´eger et des contraintes de l’environnement IoT. De plus, proposer diff´erents niveaux de s´ecurit´e, nous permet aussi de faire ´evoluer la s´ecurit´e de la cryptographie bas´ee sur ces nouvelles courbes en fonction de l’´evolution des recommandations de diff´erents organismes, cf. tableau 1.1.
Le tableau 4.1 pr´esente les diff´erents niveaux de s´ecurit´e que nous consid´erons par la suite. Cependant, les contraintes impos´ees `a la s´ecurit´e des BEC et les optimisations propos´ees ne permettent pas d’ˆetre au plus proche de ces niveaux de s´ecurit´e. Certaines des
Niveaux de s´ecurit´e Tailles des ECC
112 224
128 256
192 384
224 448
256 512
Table 4.1 – Niveaux de s´ecurit´e consid´er´es et l’ordre de grandeur de la taille des param`etres des BEC et de la clef priv´ee. Ces niveaux de s´ecurit´e et ces tailles sont donn´es en bits.
courbes que nous proposerons auront un niveau de s´ecurit´e r´eel bien sup´erieur au niveau de s´ecurit´e qu’il lui sera associ´e.
Notons que nous avons ajout´e le niveau de s´ecurit´e de 112 bits qui est inf´erieur au niveau de s´ecurit´e actuellement recommand´e, cf. tableau 1.1. Nous avons fait le choix de proposer une BEC en de¸c`a du niveau de s´ecurit´e recommand´e afin d’offrir la possibi- lit´e aux applications IoT tr`es contraintes en termes de performances d’avoir une solution performante avec un niveau de s´ecurit´e l´eg`erement inf´erieur aux recommandations.