Cryptographie à clé publique : Constructions et preuves de sécurité

(1)

Universit´e Paris VII – Denis Diderot Ecole Normale Sup´´ erieure, Paris

UFR Algorithmique Equipe de cryptographie´

Cryptographie ` a cl´ e publique :

Constructions et preuves de s´ ecurit´ e

TH` ESE

présentée et soutenue publiquement le 16 Novembre 2006, à l’ École normale supérieure, Paris pour l’obtention du

Doctorat de l’Universit´ e Paris VII – Denis Diderot

(Sp´ecialit´e informatique)

par

Benoˆıt Chevallier-Mames

Composition du jury:

Directeur : Dr. David Pointcheval ( École normale supérieure & CNRS) Rapporteurs : Dr. Marc Girault (France Télécom R&D)

Prof. David Naccache (Université de Paris II — Panthéon - Assas) Examinateurs : Prof. Arnaud Durand (Université de Paris VII — Denis Diderot)

Dr. Marc Joye (Thomson R&D)

Prof. Adi Shamir (Weizmann Institute of Science, Israël) Prof. Jacques Stern ( École normale supérieure)

Th`ese effectu´ee au sein du Security Technology Department, Gemplus/Gemalto, La Ciotat

(2)

(3)

Remerciements

Trois ans. Cela fait bientôt trois ans que j’ai commencé cette thèse, et pratiquement depuis le début, j’ai eu envie d’en écrire la partieRemerciements. Pas seulement parce que c’est la partie finale, la dernière touche que quelqu’un apporte à une thèse, mais plutôt pour remercier comme il se doit les gens qui m’ont aidé, soutenu et encouragé durant tout ce temps, et sans qui je ne serais pas là aujourd’hui. Voila enfin venu le temps de pouvoir leur dire publiquement merci.

Durant cette thèse, je considère que j’ai eu la chance d’avoir trois Pygmalion : mon directeur de thèse, David Pointcheval; mon “correspondant scientifique”, c’est-à-dire mon encadrant à Gemplus/Gemalto,Marc Joye; et enfin, mon collègue Pascal Paillier. En plus d’être deve- nus, je le crois, des amis,David,MarcetPascalont toujours été pour moi d’intarissables sources d’idées et des exemples à suivre. Ils m’ont donné des directions de recherche et appris à rédiger les articles. Enfin, tâche ô combien importante et difficile, ils ont relu, annoté et corrigé cette thèse. Bref, ils ont participé à faire de moi le chercheur que je suis aujourd’hui. Ici, je leur dis encore une foismerci pour tout.

J’ai eu la chance d’effectuer ma thèse dans le laboratoire de l’ École normale supérieure, tout en travaillant à Gemplus/Gemalto. Merci David d’avoir accepté d’être mon directeur de thèse dans ces conditions, en me laissant une grande liberté dans mon organisation et dans mes travaux. Je voudrais également remercier ici tous les membres de l’équipe Cryptographie de l’ École normale supérieure de m’avoir si bien accueilli.

Je voudrais aussi remercier chaleureusement toutes les personnes de Gemplus/Gemalto qui m’ont permis de faire cette thèse. Ceci s’adresse particulièrement à ceux qui ont été mes chefs d’équipe durant ces années : Nathalie Feyt, Jean-Fran¸cois Dhem, Mathieu Ciet,Philippe Proust et David Naccache. J’adresse des remerciements spéciaux à ce dernier, pour avoir en- couragé durant sa carrière à Gemplus, la recherche dans l’entreprise, et le démarrage de thèses d’un grand nombre de personnes de son groupe, dont moi-même.

J’adresse également mes remerciements aux membres passés et présents de l’équipe Sécurité de Gemplus/Gemalto avec qui j’ai eu le plaisir de travailler. Je ne pourrais tous les citer, mais toutes les personnes de ce groupe m’ont apporté quelque chose, et je les en remercie. Merci enfin à l’entreprise Gemplus/Gemalto, qui m’a permis d’aller durant mes années de thèse à de nombreuses conférences (Ches ’03, Ct-rsa ’04, Crypto ’05, Eurocrypt ’05, Acns ’05, Pkc ’06etEurocrypt ’06).

Je voudrais ´egalement remercier Arnaud Durand, Marc Girault, Marc Joye, David Nac- cache, Adi Shamir et Jacques Stern pour m’avoir fait l’honneur d’ˆetre membres du jury.

C’est un privilège d’avoir de telles personnalités comme examinateurs. Un remerciement tout particulier va vers mes rapporteurs, Marc Girault etDavid Naccache, qui ont eu la patience de relire cette thèse et de la corriger.

Un des plaisirs de la recherche est de travailler à plusieurs. J’ai eu moi-même la chance de co-écrire certains papiers. Je remercie ici mes co-auteurs pour ce qu’ils m’ont apporté et appris, et pour avoir accepté ces collaborations :Nuttapong Attrapadung,Éric Brier,Mathieu Ciet,Christophe Clavier,Jun Furukawa,Takeshi Gomi,Goichiro Hanaoka,Hideki Imai, Marc Joye,David Naccache,Pascal Paillier,Duong Hieu Phan,David PointchevaletRui Zhang.

Durant ma thèse, j’ai également eu la chance d’être membre du comité de programme de grandes conférences : merci à Marc Joye de m’avoir permis d’être membre du comité de

(4)

Ish ’05 et enfin merci à David Pointcheval qui m’a donné l’opportunité d’être membre du comité deCt-rsa ’06. Être membre de ces comités m’a permis d’avoir une autre vision de la recherche, et m’a beaucoup apporté. J’en profite d’ailleurs pour remercier les nombreux relecteurs qui m’ont aidé dans ces tâches.

Durant ma thèse, j’ai pu participé à certains projets européens ou fran¸cais. Ils m’ont permis de rencontrer d’autres chercheurs et de financer certains déplacements. Je remercie donc le réseau européen d’excellence Ecrypt, le projet fran¸cais Crypto⁺⁺ et le projet fran¸cais Saphir.

Enfin, je r´eserve ici une place pour ceux que je n’ai pu mettre dans une autre cat´egorie : merci

`

a Denis Roegel pour sa classe LÂTEX ; merci àDamien Vergnaud de m’avoir invité à faire une présentation au séminaire de Cryptographie de l’Université de Caen ; merci à Jean-Sébastien Coron pour les conseils et l’aide qu’il m’a apportés ; merci à l’ École des Mines de Gardanne de m’avoir permis de donner des cours de Cryptographie ; merci aux membres de Dream Theater pour la musique qu’ils font et que j’adore.

Je ne saurais finir cette partie sans remercier également mes amis et ma famille. Merci à ma sœurGaëlle, mon frère Thibault, merci à mes parentsFran¸cois etChristinede m’avoir permis de faire des études et encouragé à travailler à l’école. Toutes mes pensées à ceux et celles qui ont jalonné ma vie, aux élèves du Lycée Victor Hugo, de la prépa Camille Guérin, à mes amis de promotion de Supélec, et notamment au fabuleux d3.

Enfin, je voudrais terminer cette partie par un remerciement général à tous ceux qui ont été mes professeurs depuis mon plus jeune âge, et ont ainsi été participants de la thèse que je vais présenter ici.

(5)

— `A ceux que j’aime.

(6)

(7)

Sganarelle : Mais encore faut-il croire quelque chose dans le monde : qu’est ce donc que vous croyez ?

Dom Juan: Ce que je crois ? Sganarelle : Oui.

Dom Juan : Je crois que deux et deux font quatre, Sganarelle, et que quatre et quatre font huit.

— Dom Juan ou le festin de pierre, Moli`ere

(8)

(9)

Table des mati` eres

Notations xv

Partie I. Introduction g´en´erale

Chapitre 1.

Introduction `a la cryptologie

1.1 La cryptologie en quelques mots . . . 3

1.1.1 Science du secret. . . 3

1.1.2 Cryptographie, cryptanalyse . . . 4

1.1.3 Cryptographie sym´etrique et cryptographie asym´etrique. . . 4

1.2 Buts de la cryptologie . . . 4

1.2.1 Confidentialit´e . . . 4

1.2.2 Int´egrit´e . . . 4

1.2.3 Identification . . . 5

1.2.4 Authentification . . . 5

1.3 Fonctions de base en cryptologie . . . 5

1.3.1 Fonction `a sens unique . . . 5

1.3.2 Fonction de hachage . . . 5

1.3.3 Fonction pseudo-al´eatoire . . . 5

1.3.4 Permutation `a sens unique . . . 6

1.3.5 Fonction bilin´eaire admissible . . . 6

1.3.6 Famille de fonctions . . . 6

1.3.7 Fonction de padding . . . 6

1.4 Notions de complexit´e . . . 7

1.4.1 Algorithme . . . 7

1.4.2 Algorithme polynomial ou sous-exponentiel . . . 7

1.4.3 Complexit´e d’un algorithme . . . 7

(10)

1.4.4 Réduction d’un problème à un autre. . . 7

1.5 Conclusion . . . 8

Chapitre 2. Sécurité prouvée et cryptologie 2.1 Réduction de sécurité et sécurité prouvée . . . 9

2.1.1 Réduction de sécurité et sécurité prouvée . . . 9

2.1.2 Finesses des réductions de sécurité . . . 10

2.1.3 Modèle de sécurité . . . 10

2.1.4 Modèle standard, modèle de l’oracle aléatoire . . . 10

2.2 Probl`emes cryptographiques difficiles . . . 11

2.2.1 Probl`emes cryptographiques difficiles bas´es sur la factorisation . . . . 11

2.2.2 Problèmes cryptographiques difficiles basés sur le logarithme discret . 12 2.2.3 Problèmes cryptographiques difficiles avec fonction bilinéaire . . . 13

Chapitre 3. Résumé de nos travaux Partie II. Schéma de signature à sécurité prouvée Chapitre 4. Introduction aux schémas de signature 4.1 Introduction . . . 25

4.1.1 Sch´emas de signature . . . 26

4.1.2 Protocole d’identification `a divulgation nulle de connaissance . . . 27

4.2 Σ-protocole. . . 28

4.2.1 Heuristique de Fiat-Shamir . . . 29

4.2.2 Signatures `a coupons . . . 30

4.3 Sécurité des schémas de signature . . . 30

4.3.1 Notions de sécurité pour les schémas de signature . . . 30

4.3.2 Σ-protocoles et lemme de bifurcation . . . 32

4.3.3 Exemple de la s´ecurit´e de la primitiveRSA . . . 32

4.4 Sch´emas de signature classiques avec oracles al´eatoires. . . 33

4.4.1 Signature RSA . . . 33

4.4.2 Signature Schnorr . . . 34

(11)

4.4.3 Signature GQ. . . 35

4.4.4 Signature GPS . . . 35

4.4.5 Signature PS . . . 36

4.5 Preuves classiques de sch´emas de signature . . . 37

4.5.1 Preuve de RSA-FDHdans le mod`ele de l’oracle al´eatoire. . . 37

4.5.2 Preuve de Schnorrdans le mod`ele de l’oracle al´eatoire . . . 38

4.6 Nos travaux sur les sch´emas de signature . . . 40

Chapitre 5. Une heuristique pour dériver des schémas de signature à réduction fine 5.1 Méthode générique proposée . . . 42

5.1.1 Notre construction. . . 42

5.1.2 S´ecurit´e de cette construction . . . 44

5.2 Un exemple concret d’application de notre heuristique . . . 46

5.2.1 Un schéma de signature à coupon, basé sur leRSAet à réduction fine 46 5.2.2 Sécurité de notre exemple. . . 46

5.2.3 Comparaison de notre sch´ema avecRSA-PSS . . . 48

5.2.4 Extensions `a d’autres probl`emes cryptographiques . . . 50

Chapitre 6. Un schéma de signature efficace basé sur le CDH 6.1 Le schéma de signatureEDL . . . 52

6.1.1 Pr´esentation du sch´ema . . . 52

6.1.2 Sécurité du schémaEDL . . . 52

6.1.3 Caract´eristiques du sch´ema de signatureEDL . . . 54

6.2 Les sch´emas de signature de Katz-Wang . . . 54

6.2.1 Pr´esentation du sch´ema KW-CDH . . . 55

6.2.2 Sécurité du schémaKW-CDH . . . 55

6.2.3 Pr´esentation du sch´ema KW-DDH . . . 57

6.2.4 Sécurité du schémaKW-DDH . . . 58

6.3 Un nouveau sch´ema de signature . . . 59

6.3.1 Une ´etape de notre construction . . . 60

6.3.2 Description de notre sch´ema . . . 61

6.3.3 Preuve de sécurité de notre schéma . . . 61

6.3.4 Utilisation de coupons dans notre sch´ema . . . 63

6.3.5 Taille des param`etres . . . 64

(12)

6.3.6 Comparaison de notre sch´ema avecEDL,KW-CDH et autres sch´emas 65

6.3.7 Derniers raffinements . . . 66

6.3.8 A propos du test d’appartenance de` z `a G . . . 66

Chapitre 7. Un schéma de signature dans le modèle standard 7.1 Schéma de signature dans le modèle standard . . . 70

7.1.1 Introduction . . . 70

7.1.2 Sécurité prouvée et modèle standard. . . 70

7.2 Survol des sch´emas de signature bas´es sur FlexibleRSA . . . 71

7.2.1 Sch´ema de signature Gennaro-Halevi-Rabin. . . 71

7.2.2 Sch´ema des signatures jumelles GHR. . . 72

7.2.3 Sch´ema de signature Cramer-Shoup . . . 73

7.2.4 Sch´ema de signature Camenisch-Lysyanskaya . . . 73

7.2.5 Sch´ema de signature Fischlin . . . 74

7.3 Un nouveau sch´ema de signature dans le mod`ele standard . . . 74

7.3.1 Description . . . 74

7.3.2 Analyse de s´ecurit´e . . . 75

7.3.3 Comparaison avec les autres sch´emas . . . 77

7.3.4 Version en-ligne/hors-ligne . . . 79

Partie III. Schéma de chiffrement à sécurité prouvée Chapitre 8. Introduction aux schémas de chiffrement 8.1 Chiffrement à clé publique . . . 85

8.1.1 D´efinition. . . 85

8.1.2 Notions de sécurité pour le chiffrement à clé publique . . . 86

8.2 Quelques cryptosyst`emes classiques . . . 88

8.2.1 Cryptosyst`emeRSA . . . 88

8.2.2 Cryptosyst`emeElGamal . . . 89

8.2.3 Cryptosyst`emePaillier . . . 89

8.3 Chiffrement bas´e sur l’identit´e . . . 90

8.3.1 D´efinition. . . 90

(13)

8.3.2 Notions de sécurité pour le chiffrement basé sur l’identité . . . 91

8.3.3 Cryptosyst`eme Boneh-Franklin . . . 91

8.4 Nos travaux sur les sch´emas de chiffrement . . . 92

Chapitre 9. Chiffrement ElGamal sans encodage dans le mod`ele standard 9.1 Le cryptosyst`eme ElGamal. . . 94

9.1.1 Description du cryptosyst`eme ElGamal . . . 94

9.1.2 Le cryptosyst`emeElGamal avec fonction de hachage . . . 95

9.2 ChiffrementElGamalsans encodage dans le mod`ele standard . . . 95

9.2.1 La fonction Classe . . . 96

9.2.2 Probl`emes de classe Diffie-Hellman. . . 97

9.2.3 Chiffrement additif sans encodage . . . 99

9.2.4 Chiffrement multiplicatif sans encodage . . . 99

9.2.5 Propriétés de nos schémas de chiffrement . . . 100

9.3 Preuve de sécurité de nos schémas . . . 100

9.4 Généralisation à Zp^k . . . 102

9.5 Conclusion et probl`emes ouverts . . . 102

Chapitre 10. Cryptographie basée sur l’identité avec réduction fine 10.1 Deux schémas classiques de chiffrement basés sur l’identité . . . 105

10.1.1 Sch´ema de Boneh-Franklin . . . 106

10.1.2 Sch´ema de Katz-Wang . . . 106

10.2 Preuve fine pour un schéma basé sur l’identité . . . 108

10.2.1 Description du sch´ema . . . 108

10.2.2 Étude de la sécurité de ce schéma . . . 109

10.2.3 R´eduction aux probl`emes classiquesDBDH etGBDH . . . 113

10.3 Comparaison des sch´emas . . . 114

Chapitre 11. Padding universel optimal 11.1 Notions pr´eliminaires . . . 118

11.1.1 Redondance et entropie . . . 118

11.1.2 Fonction de padding universel . . . 118

11.1.3 Signature et chiffrement. . . 119

(14)

11.1.4 Permutations sans griffe. . . 119

11.2 Fonction de padding bas´ee sur une permutation : OPbP . . . 119

11.2.1 Description . . . 119

11.2.3 Taille des param`etres et optimalit´e. . . 121

11.3 Construction bas´ee surOAEP3 . . . 122

11.3.1 Description . . . 122

11.3.3 Taille des param`etres . . . 123

Partie IV. Résistance aux attaques à canaux cachés Chapitre 12. L’atomicité : une solution générique et peu coûteuse contre la SPA 12.1 Introduction . . . 129

12.2 Atomicité face aux attaques à canaux cachés . . . 130

12.2.1 Blocs atomiques . . . 130

12.2.2 Illustration . . . 130

12.2.3 Méthodologie générale. . . 132

12.3 Atomicit´e et exponentiations . . . 133

12.3.1 Hypoth`eses de nos constructions . . . 133

12.3.2 Algorithmes génériques d’exponentiation à fenêtre glissante . . . 133

12.3.3 Algorithmes simplifi´es . . . 134

12.4 Atomicit´e et courbes elliptiques . . . 135

12.4.1 Courbes elliptiques d´efinies sur un corps premier . . . 135

12.4.2 Courbes elliptiques d´efinies sur un corps binaire . . . 136

12.5 Version atomique de l’exponentiation MIST . . . 138

Chapitre 13. Exponentiation intrinsèquement protégée contre la DPA 13.1 Exponentiation intrinsèquement aléatoire . . . 143

13.1.1 Algorithmes classiques d’exponentiation . . . 143

13.1.2 Principe g´en´eral . . . 143

13.2 Algorithmes basiques . . . 144

(15)

13.2.1 Premier algorithme . . . 144

13.2.2 Second algorithme . . . 146

13.3 Algorithmes avanc´es . . . 147

13.3.1 Atomicité face aux attaques simples à canaux cachés . . . 147

13.3.2 R´eversibilit´e . . . 148

13.3.3 Optimisations suppl´ementaires . . . 150

13.3.4 Temps moyen . . . 151

Conclusion g´en´erale

Bibliographie 157

Index 169

(16)

(17)

Notations

p,q Des nombres premiers

n Un nombre composite (et typiquement un module RSA)

N^∗ L’ensemble des entiers strictement positifs QR_n L’ensemble des r´esidus quadratiques modulon

G,Gp Des groupes

hgi Le groupe engendr´e parg

Fp Un corps premier

Zn L’anneau des entiers modulon

Z^∗n Le groupe multiplicatif de l’anneau des entiers modulon kGk Le nombre d’´el´ements d’un ensemble finiG

LF,LG,LH Des listes

x←_RX L’élémentx est tiré aléatoirement dans l’ensemble X

S Un sch´ema de signature

Z Un protocole d’identification

E Un sch´ema de chiffrement

IBE Un schéma de chiffrement basé sur l’identité

Schéma Le nom d’un schéma, le plus souvent d’après le nom de ses inventeurs

sk Une cl´e priv´ee

pk Une cl´e publique

params Des param`etres d’un syst`eme

ID Une identit´e

O f(x) =O(g(x)) si∃(k, x₀),∀x > x₀,f(x)6k g(x) e:G1×G2 →GT Une fonction bilin´eaire admissible

F,G,H Des fonctions de hachage

Ψ,ς Une fonction pseudo-al´eatoireΨ utilisant une cl´e ς [[·]], [[·]]_k Des fonctions Classe

DLg(y) Le logarithme de y en baseg

⊕ L’op´erateur ou-exclusif

hx, yi Le nombre retrouvé par la combinaison par théorème des restes chinois de x ety

φ La fonction indicatrice d’Euler

λ La fonction de Carmichael

Φpk,ψsk Une permutation `a sens unique `a trappe Φpk, dont l’inverse estψsk

(18)

Succ Le succès d’un attaquant, d’une réduction Adv L’avantage d’un attaquant, d’une réduction

UBK,UF,EUF,sEUF Des notions de sécurité pour les schémas de signature KOA,KMA,CMA Des ressources pour les attaquants des schémas de signature UBK,OW,IND,NM Des notions de sécurité pour les schémas de chiffrement CPA,CCA Des ressources pour les attaquants des schémas de chiffrement q_s Le nombre de requêtes autorisées à un oracle de signature qh,qF,qG,qH Le nombre de requêtes autorisées à un oracle de hachage q_d Le nombre de requêtes autorisées à un oracle de déchiffrement q_e Le nombre de requêtes autorisées à un oracle d’extraction de clé P1⇐P2 P1 se réduit à P2, c’est-à-dire que résoudreP2 permet de résoudreP1

P₁⇔P₂ P₁ etP₂ sont ´equivalents

poly(`) Un polynˆome en `

DL Le probl`eme du logarithme discret

DLx Le problème du logarithme discret dans un groupe d’ordre secret DLn Le problème du logarithme discret modulo un module RSAn CDH Le problème calculatoire Diffie-Hellman

DDH Le probl`eme d´ecisionnel Diffie-Hellman

CCDH Le problème calculatoire de la Classe Diffie-Hellman DCDH Le problème décisionnel de la Classe Diffie-Hellman CBDH,BDH Le problème calculatoire Diffie-Hellman bilinéaire GBDH Le problème échelon Diffie-Hellman bilinéaire DBDH Le problème décisionnel Diffie-Hellman bilinéaire

LBDH Le problème calculatoire Diffie-Hellman bilinéaire par liste RSA Le problème de la racine e-ième

FlexibleRSA Le probl`eme souple de la racine e-i`eme

FACT Le probl`eme de la factorisation de moduleRSA

Div Le probl`eme de casser l’indivisibilit´e d’une fonction de hachage Personne Le nom d’une personne

SPA Une attaque simple par canaux cach´es

DPA Une attaque diff´erentielle par canaux cach´es

(19)

Premi` ere partie

Introduction g´ en´ erale

(20)

(21)

Chapitre 1

Introduction ` a la cryptologie

Sommaire

1.1 La cryptologie en quelques mots. . . . 3

1.1.1 Science du secret . . . . 3

1.1.2 Cryptographie, cryptanalyse . . . . 4

1.1.3 Cryptographie sym´etrique et cryptographie asym´etrique . . . . 4

1.2 Buts de la cryptologie . . . . 4

1.2.1 Confidentialit´e . . . . 4

1.2.2 Int´egrit´e . . . . 4

1.2.3 Identification . . . . 5

1.2.4 Authentification. . . . 5

1.3 Fonctions de base en cryptologie . . . . 5

1.3.1 Fonction `a sens unique . . . . 5

1.3.2 Fonction de hachage . . . . 5

1.3.3 Fonction pseudo-al´eatoire . . . . 5

1.3.4 Permutation `a sens unique . . . . 6

1.3.5 Fonction bilin´eaire admissible . . . . 6

1.3.6 Famille de fonctions . . . . 6

1.3.7 Fonction de padding . . . . 6

1.4 Notions de complexit´e . . . . 7

1.4.1 Algorithme . . . . 7

1.4.2 Algorithme polynomial ou sous-exponentiel . . . . 7

1.4.3 Complexit´e d’un algorithme . . . . 7

1.4.4 Réduction d’un problème à un autre . . . . 7

1.5 Conclusion . . . . 8

Ce chapitre constitue une très courte introduction à la cryptologie. Il n’est pas un cours sur le sujet, mais doit plutôt être vu comme un rapide survol de la cryptologie, et comme le moyen de poser certaines notations utilisées dans le reste de cette thèse.

1.1 La cryptologie en quelques mots

1.1.1 Science du secret

La cryptologie est étymologiquement lascience du secret. Ceci regroupe en fait de nombreuses notions. Historiquement, la cryptologie a servi à sécuriser certaines transmissions militaires, c’est-à-dire à chiffrer des messages. Plus récemment, et notamment depuis l’avènement de l’ère

(22)

num´erique, la cryptologie a connu d’autres usages, comme celui de la signature num´erique ou de l’identification des personnes.

De fa¸con la plus simplifiée possible, la cryptologie consiste en la manipulation de données variables, lesmessages et lesidentités, par des données constantes — secrètes ou publiques —, les clés, au travers d’algorithmes, lesschémas cryptographiques.

1.1.2 Cryptographie, cryptanalyse

La cryptologie regroupe deux sciences duales et étroitement liées : la cryptographie, qui est la science de la construction de schémas cryptographiques, et lacryptanalyse, qui est la science de l’étude des attaques sur ces schémas. Comme nous pouvons l’imaginer, ces deux sciences ne vont pas l’une sans l’autre, et parfois, la frontière entre elles est ténue. Ainsi, par exemple, concevoir un schéma résistant à tel ou tel type d’attaque, est-ce faire de la cryptographie ou de la cryptanalyse ?

1.1.3 Cryptographie sym´etrique et cryptographie asym´etrique

Les schémas cryptographiques sont de nos jours de deux types. Le premier type est celui qui existe depuis le début de la cryptographie, dès les temps antiques. Dans cette famille de schémas, deux entités partagent une même clé, secrète pour les autres utilisateurs, et peuvent ainsi opérer des opérations symétriques chacune de leur coté, d’où le nom decryptographie à clé secrète ou cryptographie symétrique.

Le second type de schémas cryptographiques est très récent, et a inauguré ce qui est parfois appelé l’ère moderne de la cryptographie. Cette forme de cryptographie a été introduite par Whitfield DiffieetMartin Hellman, dans le célèbre “New directions in cryptography” [DH76].

Dans cette famille de schémas, deux clés coexistent, l’une privée, c’est-à-dire réservée à un utilisateur, et l’autre publique, c’est-à-dire connue de tous. Ce type de schéma est tel que, pour certaines opérations, comme le chiffrement, seule la clé publique est nécessaire, et que pour certaines autres opérations, comme le déchiffrement, la clé privée est indispensable. Ceci explique le nom decryptographie à clé publique ou decryptographie asymétrique.

1.2 Buts de la cryptologie

Dans cette section, nous listons quelques-uns des principaux buts de la cryptologie, c’est-à- dire les services que la cryptologie délivre. Nous donnons également la ou les primitives usuel- lement utilisées pour atteindre chacun des buts cités.

1.2.1 Confidentialit´e

Comme évoqué dans la section précédente, le but premier de la cryptologie a été la confi- dentialité, c’est-à-dire l’échange entre entités de messages chiffrés, qui, sans clé de déchiffrement, sont inintelligibles. La confidentialité est obtenue principalement au travers deschémas de chiffrement, qu’ils soient à clé secrète ou à clé publique.

1.2.2 Int´egrit´e

Un autre but de la cryptologie est l’intégrité. Ceci désigne le fait qu’une personne veuille s’assurer que le message re¸cu n’a pas été modifié par une tierce personne. L’intégrité est gérée

(23)

1.3. Fonctions de base en cryptologie au travers defonctions de hachage à clé secrète (en anglais,message authentication code, MAC), ou à l’aide deschémas de signature à clé publique.

1.2.3 Identification

L’identification est la partie de la cryptologie permettant de reconnaˆıtre une personne, au travers d’un secret qu’elle seule possède. Pour cela, la primitive cryptographique principale est le protocole d’identification. Un sous-type, appelé protocole d’identification à divulgation nulle de connaissance, est d’un intérêt plus particulier : dans ce type de protocole, le prouveur montre qu’il connaˆıt un secret associé à une donnée publique, sans rien dévoiler de plus sur ce secret.

1.2.4 Authentification

Un dernier but de la cryptologie est l’authentification. Il s’agit là pour une personne de prouver qu’un message a bien été envoyé par elle. Cette notion est très proche de l’identification, dans laquelle, en plus, un message interviendrait. L’authentification se gère en cryptographie principalement au travers deschémas de signature à clé publique. L’usage de schémas de signature à clé publique plutôt que de fonctions de hachage à clé secrète permet lanon-répudiation, c’est-à-dire qu’une signature valide d’un message donné ne puisse être contestée par le signataire.

1.3 Fonctions de base en cryptologie

Dans cette section, nous allons donner une d´efinition informelle des fonctions les plus impor- tantes en cryptographie.

1.3.1 Fonction `a sens unique

Une fonction f est à sens unique s’il est facile de calculer f(x) à partir de x, mais s’il est difficile, étant donné g =f(x) pour un élément x aléatoire, de trouver un x tel que f(x) = g.

Les fonctions `a sens unique sont la base de nombreuses primitives, aussi bien en cryptographie

`

a clé secrète qu’en cryptographie à clé publique.

Une fonction à sens uniquef est diteà trappe si, à l’aide d’un secret, appelée latrappe, il est possible de calculer aisément un antécédent (appelé pré-image) de tout élément dans l’image de f.

1.3.2 Fonction de hachage

Une fonction de hachage est une fonction créant une empreinte — appelée le haché — de taille fixe (typiquement, 128, 160 ou 256 bits) d’un message de taille arbitraire. Intuitivement, les fonctions de hachage doivent résister aux collisions, c’est-à-dire qu’il doit être difficile pour un algorithme de créer deux messages différents ayant le même haché. De même, les fonctions de hachage doivent être à sens unique, c’est-à-dire qu’étant donné un haché, il doit être difficile d’en trouver une pré-image.

1.3.3 Fonction pseudo-al´eatoire

Une fonction est ditepseudo-aléatoire s’il est difficile de distinguer une sortie de cette fonction d’une valeur aléatoire. Plus précisément, si un adversaire a accès à un oracle lui retournant soit

(24)

un aléa, soit le résultat de la fonction pseudo-aléatoire, son avantage à deviner la nature de l’oracle doit être négligeable.

1.3.4 Permutation `a sens unique

Une fonction à sens unique f est une permutation à sens unique si elle est bijective d’un ensemble fini sur lui-même.

Une permutation `a sens unique est dite`a trappesi la fonctionf⁻¹ est efficacement calculable avec un secret, ladite trappe. C’est notamment le cas de la fonctionRSA(voir Section4.4.1).

1.3.5 Fonction bilin´eaire admissible

Unefonction bilin´eaire admissible^‡ est une applicatione:G1×G2→GT, o`uG1,G2 etGT

sont trois groupes d’ordreq (notés multiplicativement), telle que la fonctionesoit : 1. bilinéaire : pour tout (u, v)∈G1×G2 et pour touta, b∈Zq,e(uâ, v^b) =e(u, v)âb; 2. non-dégénérée : il existe un (u, v)∈G1×G2, tel quee(u, v)6= 1 ;

3. calculable : il existe un algorithme efficace pour calculere(u, v) pour tous (u, v)∈G1×G2. Souvent, dans les constructions cryptographiques, les groupes G1 et G2 sont égaux. Notons enfin que les fonctions bilinéaires sont aussi appelées descouplages.

1.3.6 Famille de fonctions

En cryptographie, comme l’usage de clés est primordial, des familles de fonctions sont uti- lisées, plutôt que des fonctions fixes. L’indice de la fonction choisie dans cette famille constitue alors la clé. Ainsi apparaissent les familles de fonctions de hachage, les familles de fonctions pseudo-aléatoires, les familles de permutations à sens unique à trappe, etc.

1.3.7 Fonction de padding

Pour certaines constructions, comme nous le verrons dans la suite, il est parfois nécessaire d’utiliser des fonctions de padding ^††. Ces fonctions assurent, comme les fonctions de hachage, une résistance à la malléabilité, mais sont, contrairement à ces dernières, inversibles.

De fa¸con générique, soient un ensemble de messages M, un ensemble d’aléas R, et un ensemble d’arrivéeT. Une fonction de padding est une fonction injective µ :M × R → T, telle qu’il existe une fonction µ⁻¹ :T → M ∪ {⊥}qui soit publiquement calculable et qui retourne µ⁻¹(t) =m si t=µ(m, r) et ⊥si aucun antécédent n’existe.

Une fonction de padding est ditedéterministesi l’ensemble des aléasRest vide ou réduit à un

´

elément. Elle est dite probabiliste dans le cas contraire. Les fonctions de paddings probabilistes classiques µ sont souvent telles qu’il existe une fonction inverse complète µ⁻¹, telle que µ⁻¹ : T →(M × R)∪ {⊥}soit publiquement calculable et qui retourneµ⁻¹(t) = (m, r) si t=µ(m, r) et⊥si aucun antécédent n’existe

‡La mention “admissible” sera sous-entendue dans le reste de ce document.

††Exceptionnellement, nous préférerons dans cette thèse la dénomination anglaise plutôt que sa terminologie fran¸caise : fonction de bourrage voire fonction de remplissage.

(25)

1.4. Notions de complexit´e

1.4 Notions de complexit´ e

Enfin, cette dernière partie contient certaines notions primordiales de la théorie de la com- plexité.

1.4.1 Algorithme

Unalgorithme est un ensemble d’instructions qui permettent le calcul d’une valeur de sortie, pour des données d’entrée dans un certain ensemble. C’est une notion très générique, et pour s’en donner une autre idée, il est possible de considérer qu’un algorithme est une sorte deprogramme informatique, permettant l’exécution d’une tâche — le calcul d’une certaine valeur de sortie — définie par des paramètres d’entrée.

Chaque algorithme est caractérisé par untemps d’exécution, calculé comme le nombre d’éta- pes élémentaires dont il a besoin pour calculer la sortie. Comme ce temps peut dépendre des données d’entrée et d’aléas internes, le temps d’exécutionmoyenet le temps d’exécutionmaximal sont distingués.

Certains algorithmes retournent, pour une même entrée, toujours la même sortie : ils sont ditsdéterministes. Au contraire, un algorithme ne retournant pas toujours la même valeur, pour une entrée inchangée, est ditprobabiliste.

1.4.2 Algorithme polynomial ou sous-exponentiel

Un algorithme est dit polynomial si son temps d’ex´ecution τ(`), pour des entr´ees de taille

`, est majoré par un polynômeP en `, c’est-à-dire τ(`)6P(`). Ceci est noté τ =poly(`). Les algorithmes polynomiaux sont les algorithmes qui sont considérés efficaces, que ce soit en cryptologie ou en mathématique en général. Deux algorithmes polynomiaux peuvent être comparés, et l’un dit plus efficace que l’autre, en comparant les degrés et les coefficients des polynômes.

Un algorithme non-polynomial est dit sous-exponentiel si, pour des entrées de taille `, son temps d’exécutionτ(`) peut être majoré par exp(f(`)), oùf(`) est une fonction telle quef(`) = o(`).

1.4.3 Complexit´e d’un algorithme

Certains algorithmes ne retournent pas toujours la/une valeur valide. Nous définissons alors la probabilité de succès. Par extension, un algorithme retournant toujours une valeur correcte est dit avoir une probabilité de succès de 1.

Ainsi, pour mesurer l’efficacité d’un algorithme probabiliste, il faut envisager à la fois son temps d’exécution et sa probabilité de succès. La notion decomplexitéest alors utilisée : exprimée en bits, elle correspond au logarithme, en base 2, du temps d’exécution moyen divisé par la probabilité de succès. La complexité correspond au temps moyen nécessaire pour obtenir une réponse valide.

Par conséquent, pour un niveau de sécurité désiré κ, il est dit qu’un schéma est κ-sûr s’il n’existe pas d’algorithme de complexité inférieure ou égale àκqui attaque une de ses propriétés de sécurité.

1.4.4 Réduction d’un problème à un autre

En théorie de la complexité, il est dit qu’un problèmeP1 seréduit à un problème P2, s’il est possible de résoudre, en temps polynomial, P1 à l’aide d’un oracle résolvant P2. Ceci est noté

(26)

P1 ⇐P2.

De même, il est dit que deux problèmesP₁ et P₂ sontéquivalents si P₁ se réduit à P₂ etP₂ se réduit à P₁. Ceci est noté P₁ ⇔P₂.

1.5 Conclusion

Nous terminons ce chapitre en rappelant que, dans celui-ci, seules certaines notions élémen- taires ont été abordées. Nous encourageons le lecteur à se tourner vers des ouvrages généraux de cryptologie pour plus d’informations sur les bases de la cryptographie [MOV97, Sti95], et passons, chapitre suivant, à la notion desécurité prouvée, avant d’entrer dans les Parties II,III ou IVdans le détail de nos recherches.

(27)

Chapitre 2

S´ ecurit´ e prouv´ ee et cryptologie

Sommaire

2.1 Réduction de sécurité et sécurité prouvée . . . . 9 2.1.1 Réduction de sécurité et sécurité prouvée. . . . 9 2.1.2 Finesses des réductions de sécurité . . . . 10 2.1.3 Modèle de sécurité . . . . 10 2.1.4 Modèle standard, modèle de l’oracle aléatoire . . . . 10 2.2 Problèmes cryptographiques difficiles. . . . 11 2.2.1 Problèmes cryptographiques difficiles basés sur la factorisation. . . . 11 2.2.2 Problèmes cryptographiques difficiles basés sur le logarithme discret . . . 12 2.2.3 Problèmes cryptographiques difficiles avec fonction bilinéaire. . . . 13 2.3 Conclusion . . . . 14

Dans ce chapitre, nous introduisons les bases de la sécurité prouvée appliquée à la cryptologie.

Nous ne serons pas exhaustifs sur ce sujet, et renvoyons ainsi le lecteur à des ouvrages plus complets pour une vue plus détaillée de ce large sujet.

2.1 R´ eduction de s´ ecurit´ e et s´ ecurit´ e prouv´ ee

2.1.1 Réduction de sécurité et sécurité prouvée

De fa¸con informelle, la sécurité des schémas cryptographiques est prouvée en montrant que si un adversaire peut violer une propriété de sécurité, alors il peut être utilisé pour résoudre un problème algorithmique difficile — la nature même de ces problèmes étant détaillée dans la Section2.2. Pour cela, un algorithme (la réduction) est construit ; il simule l’environnement de l’attaquant, et à l’aide d’un ou plusieurs appels à l’attaquant, retrouve la solution au problème.

Comme les problèmes sont choisis difficiles (ou plus précisément sont supposés difficiles, dans l’état actuel des connaissances), il est possible d’en déduire par contraposée qu’un tel adversaire n’existe pas.

Cette méthodologie pour s’assurer de la sécurité d’un schéma est appelée lasécurité prouvée.

Certains, commeNeal Koblitz et Alfred Menezes dans [KM04], préfèrent parler de sécurité par réduction, pour bien mettre en avant que la sécurité n’est pas absolue, mais n’est valide que si l’hypothèse de difficulté du problème sous-jacent est vérifiée.

(28)

2.1.2 Finesses des réductions de sécurité

La “qualité” d’une réduction de sécurité est mesurée en comparant la complexité de la réduc- tion et la complexité de l’attaque contre le schéma cryptographique prouvé par la réduction. Une réduction de sécurité est ainsi ditefine (en anglais,tight) quand le rapport entre ces complexités est proche de 1. Au contraire, la réduction est ditelâche (en anglais,loose) lorsque la complexité de la réduction est bien supérieure à la complexité de l’attaque. La finesse d’une réduction est souvent relative : nous parlons alors de réduction plus fine qu’une autre.

Cette notion de finesse permet de distinguer la sécurité asymptotique et la sécurité exacte : la première permettant de dire qu’un schéma est sûr “pour des clés assez grandes”, alors que la seconde permet de donner des tailles de clés effectives pour lesquelles le schéma estκ-sûr, pour un niveau de sécuritéκ fixé.

2.1.3 Modèle de sécurité

Comme défini dans la section précédente, une réduction doit utiliser un adversaire violant une propriété de sécurité du schéma considéré. Une réduction est donc dépendante des attaquants considérés. Aussi, une partie de la sécurité prouvée consiste à définir un modèle de sécurité (encore appeléscénario d’attaque) : ce modèle comprend tout d’abord la définition des propriétés de sécurité désirées du schéma — et ainsi, des buts d’un éventuel attaquant contre ces propriétés ; ensuite, le modèle comprend la définition de l’environnement de l’attaquant, c’est-à-dire les ressources auxquelles ce dernier aura droit.

Ces modèles dépendent du type de schéma considéré (schéma de signature ou de chiffrement par exemple), et seront donc détaillés dans les parties spécifiques II et III, pour les primitives de signature et de chiffrement, respectivement.

2.1.4 Modèle standard, modèle de l’oracle aléatoire

Une étape importante dans l’avancée de la sécurité prouvée en cryptographie est due àMihir Bellare et Phillip Rogaway [BR93], avec la formalisation du modèle de l’oracle aléatoire.

Notons que les prémices de ce modèle étaient apparus dans la publication [FS86] d’Amos Fiat et d’Adi Shamir.

Dans le modèle de l’oracle aléatoire, les fonctions de hachage sont supposés parfaites, c’est-à- dire qu’il est considéré que l’attaquant ne peut faire des calculs de hachés qu’à travers des appels

`

a un oracle de hachage. Tout l’intérêt de ce modèle consiste alors à profiter de ces oracles dans la construction de la réduction. En les définissant d’une certaine fa¸con (qui doit malgré tout rester indistinguable d’une fonction parfaitement aléatoire), la réduction peut plus aisément soit simuler l’environnement de l’attaquant, soit déduire de l’attaque de l’adversaire la solution à son problème.

Nous ne rentrerons pas plus dans les détails de la définition du modèle de l’oracle aléatoire, mais renvoyons le lecteur à certaines parties (par exemple la Section4.5ou les Chapitres5,6,10 ou 11) de cette thèse pour en voir tout l’intérêt.

Le modèle de l’oracle aléatoire est si puissant qu’il fut longtemps la seule fa¸con de prouver la sécurité de schémas efficaces^‡. Pourtant, assez récemment (voir Chapitre7pour les schémas de signature, ou le schéma de chiffrement [CS98]), de nouveaux schémas ont été proposés, avec une preuve ne nécessitant pas l’idéalisation des fonctions de hachage. Dans ce cas, l’appellation de modèle standard est utilisée, bien que le qualificatif “sans oracles aléatoires” soit parfois préféré.

‡Nous précisons ici que des schémas basés sur les arbres furent prouvés sûrs sans ce modèle dès 1988 [GMR88, DN94,CD96,CG05]. Malheureusement, ils souffrent d’une certaine inefficacité.

(29)

2.2. Problèmes cryptographiques difficiles Lors de la comparaison de schémas à sécurité prouvée, il faut bien avoir à l’esprit que le modèle de l’oracle aléatoire est un modèle idéalisé, dans lequel les fonctions de hachage sont parfaites. Avoir une preuve sans oracles aléatoires est un meilleur gage de sécurité, même si aucun schéma non-pathologique^‡prouvé dans le modèle de l’oracle aléatoire n’a été cassé jusqu’ici. Un avantage néanmoins du modèle de l’oracle aléatoire est qu’il permet des preuves relativement simples (et donc aisément vérifiables) de schémas très pratiques, alors que la sécurité de schémas dans le modèle standard est établie parfois au dépens de la simplicité.

2.2 Probl` emes cryptographiques difficiles

Comme nous l’avons précédemment évoqué, la cryptographie à clé publique est basée sur la notion de problème supposé difficile.

Par définition, un problème sera dit difficile s’il n’existe pas d’algorithme connu polynomial pour le résoudre. Ainsi, comme nous pouvons le voir, un problème est dit difficile ou non suivant les connaissances scientifiques, à un moment donné. Autrement dit, l’évolution des savoirs pourrait éventuellement changer la nature de certains problèmes.

Dans cette section, nous rappelons quelques-uns des principaux problèmes difficiles utilisés en cryptographie et que nous appelleronsproblèmes cryptographiques.

2.2.1 Probl`emes cryptographiques difficiles bas´es sur la factorisation

La première famille de problèmes cryptographiques est celle des problèmes basés sur la factorisation des entiers. Factoriser un nombre consiste à l’écrire sous forme d’un produit de nombres premiers. C’est un des problèmes calculatoires qui ont été étudiés depuis le plus longtemps, mais,

`

a ce jour, aucun algorithme polynomial pour le r´esoudre n’est connu.

Cette famille a été utilisée de fa¸con révolutionnaire dans [RSA78] par Ronald Rivest,Adi Shamir et Leonard Adleman pour donner naissance aux premiers schémas de signature et de chiffrement à clé publique (voir Sections 4.4.1 et 8.2.1). Définissons tout d’abord ce qu’est un module RSA, ainsi qu’un sous-type de ces modules, les modules RSA forts (en anglais, safe modulus).

D´efinition 1 (Module RSA). Un module RSA de taille `_n est un entier n = pq de `_n bits, pour deux premiers distinctsp et q.

Avant de d´efinir ce qu’est un moduleRSAfort, rappelons qu’un premier pest fort si ^p−1₂ est

´egalement premier.

D´efinition 2 (Module RSA fort). Un module RSA fort de taille `_n est un entier n=pq de

`n bits, pour deux premiers forts distinctsp et q.

Nous considérons maintenant le problème de la factorisation appliqué aux modules RSA.

Définition 3 (Factorisation – FACT). Soient n un module RSA. Le problème de la factorisation (sous-entendu, des modules RSA) est de décomposer n en un produit de deux facteurs premiers.

Le problèmeRSA, sur lequel sont basés de nombreux schémas de chiffrement ou de signature, se définit alors comme suit [RSA78].

‡C’est-à-dire qui n’a pas été créé de fa¸con artificielle pour montrer une faiblesse du modèle de l’oracle aléatoire.

(30)

Définition 4 (Racine e-ième – RSA). Soient n un module RSA, y ∈Z^∗n, et e>3 un entier premier avecφ(n). Le problème de la racinee-ième est de trouverx∈Z^∗n, tel que y=xê modn.

Enfin, un troisième problème de cette famille a été introduit [BP97,FO97].

Définition 5 (Problème souple RSA – FlexibleRSA). Etant donn´´ e un module RSA fort net un élément y∈Z^∗_n, le problème FlexibleRSAest de trouver un x∈Z^∗_n et un entier e >1tels que y=xêmodn.

De fa¸con claire, nous avons de simples r´eductions entre ces probl`emes : FlexibleRSA⇐RSA⇐FACT .

Chacun de ces problèmes est supposé difficile, pour des moduleséquilibrés, c’est-à-dire pour lesquels les tailles de p et deq sont à peu près équivalentes. Plus précisément, il est conjecturé qu’il n’existe pas d’attaquant qui puisse résoudre un de ces problèmes avec une probabilité non négligeable, en un temps polynomial. Ces hypothèses sont appelées respectivement l’hypothèse de difficulté de la factorisation, l’hypothèse RSAet l’hypothèse RSAforte^‡.

2.2.2 Problèmes cryptographiques difficiles basés sur le logarithme discret La seconde famille de problèmes cryptographiques est celle des problèmes basés sur le logarithme discret. C’est la famille qui a servi aux premières constructions cryptographiques à clé publique, puisque c’est sur cette base queWhitfield Diffie etMartin Hellmanont construit l’échange de clé Diffie-Hellman[DH76].

Dans cette section, les groupes sont considérés cycliques et leur loi est notée multiplicativement.

Définition 6 (Logarithme discret - DL). Soient g un générateur d’un groupe G d’ordre q, et y un élément du groupe G. Le problème du logarithme discret dans G est de trouver x ∈Zq, tel que g^x=y.

La valeurxainsi obtenue est appel´ee lelogarithme discret deyen baseget est not´eeDLg(y).

Un sous-problème fut introduit plus tard, grâce à l’invention par Taher ElGamal [ElG85] du premier cryptosystème basé sur le logarithme discret (voir Section8.2.2).

Définition 7 (Problème calculatoire Diffie-Hellman - CDH). Soit g un générateur d’un groupe Gd’ordre q. Le problème calculatoire Diffie-Hellman dans G est de calculer gâb à partir de (g, gâ, g^b), pour des aléasa et b tirés dansZq.

La version décisionnelle de ce problème est définie ci-dessous.

Définition 8 (Problème décisionnel Diffie-Hellman - DDH). Soit g un générateur d’un groupe Gd’ordre q. Le problème décisionnel Diffie-Hellman dansG est de distinguer les distributions (g, gâ, g^b, gâb) et (g, gâ, g^b, g^c), pour des aléas a, b et c tirés dans Zq.

‡L’hypothèseRSAforte stipule que le problèmeFlexibleRSA est difficile. Cette dénomination sera préférée à

“hypothèseFlexibleRSA”, pour bien préciser que ce qui est conjecturé est plus fort.

(31)

2.2. Probl`emes cryptographiques difficiles

Nous avons de simples r´eductions entre ces probl`emes : DDH⇐CDH⇐DL .

Chacun de ces problèmes est supposé difficile, pour des groupes Gbien choisis, tels que les sous-groupes deZ^∗p d’ordreq, pour un grand premier p et un grand premier q divisant (p−1), ou encore les points d’une courbe elliptique [Mil85,Kob87]. Il est ainsi conjecturé qu’il n’existe pas d’attaquant qui puisse résoudre un de ces problèmes avec une probabilité non négligeable, en un temps polynomial. Ces hypothèses sont appelées respectivement l’hypothèse de difficulté du logarithme discret, l’hypothèse Diffie-Hellman et l’hypothèse décisionnelle Diffie-Hellman.

Un dernier problème, à la frontière entre les problèmes basés sur le logarithme discret et les problèmes basés sur la factorisation, est apparu, depuis son utilisation par Marc Girault dans [Gir90].

Définition 9 (Logarithme discret dans un groupe d’ordre secret - DLx). Soient g un générateur d’un groupe d’ordre secretGety un élément deG. Le problème du logarithme discret dans le groupe d’ordre secretG est de trouverx, tel queg^x=y.

Tout particulièrement, les groupes d’ordre secret peuvent être les sous-groupes deZ^∗n, pour un moduleRSAn. Nous notons le problème correspondantDL_n. Nous avons alors une réduction supplémentaire :

FACT⇐DL_n .

En effet, si un algorithmeApeut résoudreDL_npour un modulen, il est possible de l’utiliser pour factoriser un module RSA n de `n bits. Pour cela, il suffit de prendre g ∈ Z^∗_n et r ∈ {0,1}^`ⁿ⁺⁸⁰, puis de calculery=g^r modn. En donnant (g, y, n) à l’algorithmeA, celui-ci retourne r⁰ tel quey=g^r⁰ modn. Or, dansy, seule l’informationrmodulo l’ordre degpeut être accessible

`

a l’attaquant, et donc, sauf une probabilité plus petite que 2⁻⁸⁰,r⁰ 6=r. Dans ce cas,r−r⁰ est un multiple non-nul de l’ordre deg. En renouvelant cette procédure plusieurs fois, et en utilisant l’algorithme deGarry Miller [Mil76], la factorisation de nest alors déduite.

2.2.3 Probl`emes cryptographiques difficiles avec fonction bilin´eaire

La troisième et dernière famille de problèmes cryptographiques dont nous parlerons dans cette thèse est celle des problèmes basés sur l’utilisation de fonctions bilinéaires (voir Section 1.3.5).

C’est la famille de problèmes qui a permis l’invention des premiers cryptosystèmes basés sur l’identité [BF01,BF03] parDan Boneh etMatthew Franklin(voir Section 8.3.3).

Dans cette section encore, les groupes sont considérés cycliques et leur loi est notée multiplicativement. Les problèmes les plus immédiats, lorsque les fonctions bilinéaires sont considérées, sont les suivants [Jou00,BF01].

Définition 10 (Problème calculatoire Diffie-Hellman bilinéaire - CBDH). SoientG1 et GT deux groupes d’ordre q, une application bilinéaire e : G1×G1 → GT et un générateur g de G1. Le problème calculatoire Diffie-Hellman bilinéaire est de calculer e(g, g)âbc à partir de (g, gâ, g^b, g^c), pour des aléasa, b etc tirés dansZq.

La version décisionnelle de ce problème est définie ci-dessous.

(32)

Définition 11 (Problème décisionnel Diffie-Hellman bilinéaire - DBDH). Soient G1 et GT deux groupes d’ordre q, une application bilinéaire e : G1 ×G1 → GT et un générateur g de G1. Le problème décisionnel Diffie-Hellman bilinéaire est de distinguer les distributions (g, gâ, g^b, g^c, e(g, g)âbc) et (g, gâ, g^b, g^c, e(g, g)^d), pour des aléasa, b, c etd tirés dans Zq.

Il existe également un problème échelon entre les versions décisionnelles et calculatoires (en anglais, un problème gap [OP01b]).

Définition 12 (Problème échelon Diffie-Hellman bilinéaire - GBDH). Soient G1 et GT

deux groupes d’ordre q, une application bilinéaire e:G1×G1 →GT et un générateur g de G1. Le problème échelon Diffie-Hellman bilinéaire est de calculer e(g, g)âbc, à partir de(g, gâ, g^b, g^c) et d’un accès à un oracle résolvant le problème DBDH, pour des aléasa, b etc tirés dansZq.

Nous avons de simples r´eductions entre ces probl`emes :

DBDH⇐CBDH⇐DL_G₁ et GBDH⇐CBDH⇐DL_G₁ .

Enfin, nous définissons ci-dessous un problème qui simplifiera certaines de nos preuves dans la suite de cette thèse.

Définition 13 (Problème calculatoire Diffie-Hellman bilinéaire par liste - LBDH).

Soient G1 et GT deux groupes d’ordre q, une application bilinéaire e : G1 ×G1 → GT et un générateur g de G1. Le problème calculatoire Diffie-Hellman bilinéaire par liste de taille ` est de calculer, à partir de (g, gâ, g^b, g^c), une liste L, telle qu’un des éléments de cette liste soit e(g, g)âbc, pour des aléasa, b et ctirés dansZq.

Ce dernier problème est équivalent aux problèmesDBDHetGBDH, comme nous le montre- rons Section 10.2.3.

2.3 Conclusion

Dans cette partie, nous avons rappelé certaines notions de base de la sécurité prouvée. Nous avons insisté notamment sur les notions de réduction, de modèle de sécurité, de modèle de l’oracle aléatoire et de modèle standard. Nous avons également listé quelques-uns des problèmes cryptographiques les plus importants.

(33)

Chapitre 3

R´ esum´ e de nos travaux

Dans ce chapitre, nous énumérons l’ensemble de nos travaux de thèse, dans l’ordre chrono- logique de leur publication. Nous détaillons d’avantage les publications que nous n’avons pas incluses dans ce mémoire, par souci d’unité de sujet.

Multiplication double-taille `a base de multiplieurs Euclidiens

Les dispositifs cryptographiques (comme les cartes à puce) possèdent parfois, pour accélérer les algorithmes à clé publique, des coprocesseurs cryptographiques. Ceux-ci permettent — entre autres — d’effectuer des opérations modulaires sur des nombres denbits. Malheureusement, la taille des clés utilisées augmente souvent plus vite que la taille de ces coprocesseurshardware.

Aussi, le développeur se retrouve face au problème d’émuler une multiplication modulaire de 2n-bits, à l’aide de multiplications modulaires n-bits. Ce problème s’appelle le doublement de taille (en anglais,size-doubling).

Une nouvelle technique de doublement de taille fut introduite àChes ’02par Wieland Fi- scheret Jean-Pierre Seifert. Leur technique utilise ce qui est appelé un multiplieur Eucli- dien, qui calcule le quotient et le reste d’une multiplication modulaire, c’est-à-dire qui retourne, pour une entrée (x, y, z), à la fois bxy/zc et xymodz. Pour être le plus générique possible, Wieland FischeretJean-Pierre Seifert montrent comment simuler une multiplication Eu- clidienne à l’aide de deux multiplications modulaires simples.

Dans une publication deChes ’03[CJP03], avecMarc JoyeetPascal Paillier, nous amé- liorons les algorithmes deWieland Fischer et Jean-Pierre Seifert, en proposant des stra- tégies plus avancées qui minimisent le nombre d’appels aux opérations élémentaires, offrant ainsi un gain en vitesse pouvant aller jusqu’à 57%. De plus, dans le cas où les multiplications Euclidiennes sont elles-mêmes émulées au moyen de multiplications modulaires simples, nous proposons de nouveaux algorithmes qui améliorent les solutions originales deWieland Fischer etJean-Pierre Seifertd’un facteur pouvant atteindre 71%.

Exponentiation intrinsèquement protégée contre la DPA — Chapitre 13 En 1999,Paul Kocher,Joshua JaffeetBenjamin Jun ont introduit les attaques différen- tielles par analyse de signaux cachés (comme la consommation de courant ou les rayonnements

électromagnétiques), attaques notéesDPApour l’acronyme anglaisDifferential Power Analysis.

Heureusement, il est possible de se protéger de ce type d’attaque, grâce à la construction de hardware sécurisé ou grâce à la sécurisation software des algorithmes cryptographiques. Bien souvent, c’est l’utilisation conjointe de ces deux méthodes qui est la plus efficace.

Une règle générale pour prévenir les attaques différentielles est de rendre les valeurs internes de l’algorithme le plus aléatoire possible.

(34)

Dans le cas du sch´ema RSA, il y a ainsi deux fa¸cons de rendre al´eatoire le calcul de y = x^dmodn. Il est possible :

1. de rendre al´eatoires les entr´ees avant l’algorithme d’exponentiation ; par exemple, en utilisant

(a) ˆx←x+r₁n pour un al´ear₁ de k bits (b) ˆd←d+r₂φ(n) pour un al´ea r₂ de kbits

et en évaluant alorsy comme y= ˆymodn, avec ˆy= ˆx^d^ˆmod 2^kn; 2. de rendre aléatoire l’algorithme d’exponentiation lui-même.

La première approche présente l’avantage d’être indépendante de la méthode d’exponentiation. Malheureusement, un tel masquage de l’exposant dest limité aux mises en œuvre duRSA basées sur le théorème des restes chinois (CRT), comme l’ordre du groupeφ(n) est habituellement inconnu lors d’une exponentiation privée en mode standard (c’est-à-dire sansCRT).

Le meilleur exemple de la seconde approche est sans doute l’algorithme MIST, proposé par Colin Walter.MIST a été con¸cu pour générer aléatoirement une chaˆıne de division correspondant à l’exposant d, de fa¸con à calculer x^dmodn de fa¸con aléatoire. Un autre exemple est une version améliorée de l’algorithme à fenêtre glissante due à Kouichi Itoh, Jun Yajima,Masa- hiko Takenaka etNaoya Torii. La seconde approche permet de rendre aléatoire l’algorithme d’exponentiation sans la connaissance deφ(n), mais nécessite, pour nos exemples, un algorithme de division sûr contre les attaques à canaux cachés ou un algorithme d’exponentiation plus complexe.

Dans une publication de Ct-rsa ’04 [Che04] nous introduisons une nouvelle méthode pour rendre aléatoire une exponentiation, dans le but de se prémunir des attaques différentielles, com- binant les avantages des deux approches. Comme dans la première approche, notre méthode ne requiert pas une méthode d’exponentiation particulière. Comme dans la seconde approche, c’est l’algorithme lui-même qui est la source de l’exécution aléatoire (en particulier, notre méthode ne nécessite pas la connaissance préalable de l’ordre du groupe φ(n)).

L’atomicité : une solution générique et peu coûteuse contre laSPA— Cha- pitre 12

En 1996, Paul Kocher décrivit les attaques par mesure de temps et leur généralisation, les attaques simples par analyse de signaux cachés (comme la consommation de courant ou les rayonnements électromagnétiques), notéesSPApour l’acronyme anglaisSimple Power Analysis.

Une fa¸con de se prot´eger de ce type d’attaques a fait l’objet d’une publication dans le journal IEEE Transactions on Computers, 53 [CCJ04], co-´ecrite avecMathieu CietetMarc Joye.

Dans ce papier, nous introduisons de nouvelles méthodes, efficaces et simples, pour transformer un algorithme cryptographique en un algorithme équivalent résistant aux attaques simples par canaux cachés. Contrairement aux solutions précédemment connues, la technique proposée ne se fait pas au détriment du temps d’exécution. De plus, notre technique est générique, et peut ainsi s’appliquer à toutes sortes d’algorithmes.

En guise d’application, nous proposons plusieurs nouvelles routines d’exponentiation : un algorithme binaire d’exponentiation gauche-droite, son équivalent droite-gauche, et plusieurs algorithmes à fenêtre glissante. Nous illustrons également notre méthodologie dans le cadre de la multiplication scalaire de points sur les courbes elliptiques. Tous les algorithmes présentés ont en commun d’avoir une complexité approximativement égale à leur mise en œuvre non sécurisée.

(35)

Comment externaliser un programme ?

Dans une publication de Ches ’04 [CNPP04], avec David Naccache, Pascal Paillier et David Pointcheval, nous présentons un nouveau type d’objet sécurisé, appelé le micropro- cesseur externalisé (XµP). Le XµP se différencie des cartes à puces ou des autres dispositifs cryptographiques en ne contenant aucune mémoire ROM (en anglais,read-only memory). Ainsi, le code que leXµPexécute lui est donné par l’extérieur (un ordinateur appelé leterminal), qui, potentiellement, est malveillant ou corrompu.

Bien qu’exporter tout le code exécutable d’un objet sécurisé dans un terminal pose de vastes problèmes de sécurité, les avantages d’un produit sans ROM sont nombreux : le temps de masquage des puces^‡disparaˆıt, la correction des erreurssoftware(lesbugs) est ramenée à une simple modification des codes stockés dans les terminaux, et ne nécessite donc plus de coûteux retraits de produits sur le terrain. Encore mieux, la taille de code cesse d’être un facteur limitant. Ceci est particulièrement significatif, étant donné la tendance actuelle des systèmes d’exploitation à se complexifier.

Nous introduisons une architecture pour leXµP, basée sur un système à clé publique de type RSA. Le surplus de communication — entre le terminal et la carte — dû à la sécurisation du protocole est assez faible. Nous proposons deux protocoles permettant l’exécution et l’authentification dynamique des programmes, exposons un modèle de sécurité pour ces protocoles et prouvons leur sécurité sous des hypothèses appropriées.

Une heuristique pour dériver des schémas de signature à réduction fine

— Chapitre 5

Les schémas basés sur le logarithme discret sont très appréciés, notamment car ils permettent l’utilisation de coupons. Il est possible de prouver la sécurité de la plupart d’entre eux, dans le modèle de l’oracle aléatoire, en utilisant le lemme de bifurcation de David Pointcheval et Jacques Stern. Malheureusement, la réduction de sécurité est alors lâche. Au contraire, des schémas basés sur la factorisation, tels que RSA-PSS, permettent une réduction de sécurité fine, toujours dans le modèle de l’oracle aléatoire. Cependant, dans ces schémas, il n’existe pas de moyen d’utiliser des coupons.

Dans une publication à la conférence Acns ’05 [Che05b], nous proposons une heuristique utilisant un protocole d’identification à trois passes à divulgation nulle de connaissance et un schéma de signature vérifiant certaines propriétés de sécurité. Avec ces composantes, notre trans- formation permet d’obtenir un schéma de signature à coupons, avec une réduction de sécurité fine, dans le modèle de l’oracle aléatoire. Plus précisément, si ses deux composantes sont sûres, notre schéma de signature l’est aussi.

En application, nous proposons un schéma de signature à coupons avec une réduction fine au problèmeRSA. Notre schéma se compare très bien àRSA-PSS, comme il possède une réduction aussi fine tout en apportant en plus l’usage de coupons pour de meilleures performances en-ligne.

Padding universel optimal — Chapitre 11

Lorsque la sécurité des schémas de chiffrement est considérée, l’indistinguabilité lors d’attaques à chiffrés choisis est la notion requise. De même, pour la sécurité des schémas de signature, la résistance aux falsifications existentielles sous attaques à messages choisis est indispensable.

Pourtant, la sécurité n’est pas la seule notion importante pour les schémas cryptographiques : toute bonne primitive se devrait d’être rapide, avec une bande passante efficace, compacte en code et simple d’utilisation.

‡Le masquage est une étape assez longue et assez coûteuse de la fabrication des cartes à puces.