Construction et optimisation de cryptosystèmes basés sur les codes correcteurs d’erreurs

(1)

Construction et optimisation de cryptosystèmes basés sur les codes correcteurs d’erreurs

Pierre-Louis Cayrel

encadré par Philippe Gaborit

Jeudi 2 octobre 2008

(2)

Plan

Motivations

Introduction aux codes correcteurs

Codes correcteurs en cryptographie Chiffrer avec des codes

Signer avec des codes

Mes travaux

Sécurisation du schéma de Stern contre les attaques DPA Schéma de signature basé sur l’identité

Schéma de signature de cercle à seuil

(3)

Motivations

Mes travaux

(4)

Motivations

I la plupart des cryptosystèmes à clé publique utilisés sont basés sur des problèmes de théorie des nombres ;

I important de connaître des systèmes alternatifs efficaces en pratique (réseaux, systèmes multivariés, codes correcteurs d’erreurs,. . .).

I avantages de la cryptographie basée sur les codes correcteurs d’erreurs :

I a priorisûreface à l’ordinateur quantique ;

I des problèmesNP-completsbien connus ;

I rapideetfacileà implémenter.

I désavantages de la cryptographie basée sur les codes correcteurs d’erreurs :

I grandetaillede clé publique (des centaines de milliers de bits. . . ).

I récemment, les systèmes basés sur les codes correcteurs d’erreurs ont été présentés avec de petites tailles de clés.

(5)

Motivations

Mes travaux

(6)

Les codes correcteurs

I rendent possible la correction d’erreurs quand la communication se fait dans un canal bruité.

I en ajoutant de laredondanceà l’information transmise.

bruit

↓e

c= m r −→ canal −→c⁰=c+e

I en corrigeant les erreurs quand le message reçu est corrompu.

On les utilise

I DVD, CD : réduisent les effets de la poussière (voire plus)...

I téléphone portable : améliorent la qualité de la communication.

I cryptographie ?

(7)

Les codes linéaires

I très utilisés en correction d’erreurs ;

I codes correcteurs pour lesquels la redondance dépend linéairement de l’information ;

I peuvent être définis par une matrice génératriceGde taillek×n:

I cest un mot du codeCsi et seulement si :

Figure:G: matrice génératricesous forme systématique

I ses lignes forment une base du codeC.

I le codeCest unsous-espace vectorieldedimensionket delongueurn défini parG;

(8)

Distance minimale

I poids de Hammingd’un motc : nombre de coordonnées non nulles.

I distance minimaledd’un code : minimum de la distance de Hamming entre deux mots du code :

d = min

x6=y∈CDist(x,y) où Dist(x,y)est le nombre deitels quexi6=yi.

I il s’agit aussi du plus petit poids d’un vecteur non-nul.

I on noteC[n,k,d]un code de longueurn,de dimensionket de distance minimaled.

(9)

La matrice de parité

I le produit scalaire habituelx.y=Pn

i=1xiyi,définit ledual d’un code : C^⊥={y∈Fⁿq|x.y=0,∀x∈ C.}

Lamatrice de paritéH:

I est orthogonale àG;

I une matrice(n−k)×n;

I lamatrice génératrice du dual;

I Cest le noyau deH;

I c∈ Csi et seulement siHc=0.

I s=Hc⁰=Hc+Heest lesyndrome de l’erreur.

(10)

Problème du décodage par syndrome

1. Données.

H : matrice de taille(n−k)×n i : vecteur deF^n−kq

w : entier 2. Problème.

Existe-t-ilsvecteur deFⁿqde poidswtel que :H ·s^T =i?

ProblèmeNP-complet

E.R. BERLEKAMP, R.J. MCELIECEet H.C. VANTILBORG.

On the inherent intractability of certain coding problems.IEEE Transactions on Information Theory, 24(3), mai 1978.

(11)

Motivations

Mes travaux

(12)

Cryptosystèmes basés sur des codes

I introduits au même moment que RSA par McEliece.

I intérêts

I plus rapides ;

I meilleures attaques sont exponentielles ;

I basés sur des problèmes difficiles (décodage par syndrome ...) ;

I non basés sur la théorie des nombres ;

I alternatifs ;

I ne demandent pas de crypto-processeur ;

I résisteraient à l’ordinateur quantique.

I inconvénient

I très grande taille des clés publiques (plusieurs centaines de milliers de bits).

(13)

Cryptosystème de McEliece : idée de base

A public-key cryptosystem based on algebraic coding theoryJPL DSN 1978.

I générer un code que l’on sait décoder et sa matrice génératriceG.

I ceci est laclé privée.

I transformerGpour obtenirG⁰qui semble aléatoire.

I ceci est laclé publique.

I chiffrer un messagemen calculant :

I c⁰=mG⁰+eaveceune erreur aléatoire.

(14)

Cryptosystème de McEliece

I Données privées.

I G: matrice génératrice d’un codeCque l’on sait décoder

I P: matrice de permutation de taillen×n

I Q: matrice inversible de taillek×k

I γ: algorithme de décodage jusqu’à ^d₂ erreurs

I Données publiques.

I G⁰^def=QGP

I t: entier<^d₂

(15)

McEliece

I Chiffrement

Soitmle message clair que l’on veut envoyer

I choisireune erreur aléatoire de poidst;

I calculerc⁰=mG⁰+e;

I c⁰est letexte chiffré.

I Déchiffrement

I calculerc⁰P⁻¹= (mQ)G ×PP⁻¹+eP⁻¹;

I eP⁻¹est de poidstet(mQ)Gest un mot du code ;

I à l’aide deγon décode et on retrouvemQ;

I calculer(mQ)Q⁻¹pour obtenirm.

(16)

McEliece : paramètres/complexité

n=2048;t=33;k=1685

I chiffrement :O(n²)

I déchiffrement :O(n²)

I taille de clé publique :k×nou(n−k)×n

→système très rapide mais taille de clé très importante.

(500 000 bits pour le système originel)

(17)

Cryptosystème de Niederreiter

Knapsack-type cryptosystems and algebraic coding theoryProb. Contr. Inform. Theory, 1986.

I variation de McEliece reposant sur leproblème de décodage par syndrome.

I consiste à mettre l’information dans l’erreur.

I envoyer un syndrome de cette erreur.

I Données privées.

I H: matrice de parité d’un codeC[n,k,d]surFq I P: matrice de permutation de taillen×n

I Q: matrice inversible de taille(n−k)×(n−k)

I γ: algorithme de décodage jusqu’à ^d₂ erreurs

I Données publiques.

I H⁰^def=QHP

I t: entier<^d₂

(18)

Niederreiter : Chiffrement/Déchiffrement

I Chiffrement

I convertir les données en erreurede longueurnet de poidst;

I calculerS=H⁰e(somme detcolonnes deH⁰) ;

I Sest letexte chiffré.

I Déchiffrement

I calculerQ⁻¹S=Q⁻¹QH(Pe) ;

I Peest de poidstet peut être décodé ;

I calculerP⁻¹(Pe)pour obtenire;

I reconvertireentexte clair.

(19)

McEliece / Niederreiter

1. Schémas de McEliece et de Niederreiter ont une sécurité équivalente.

2. Sécurité repose sur :

2.1 la difficulté de retrouverHà partir deH⁰. 2.2 problème dudécodage par syndrome.

(20)

Attaques

Deux types d’attaques :

I décodage direct

(on essaie directement de décoder)

I décodage par ensemble d’information

Lee et Brickell 87, Stern 89, Leon 89, Canteaut-Chabaud 98

I But :trouver unensemble d’information.

I soitC[n,k,2t+1]un code.

I probabilité de succès :

_n−k t

_n

t

à chaque essai.

I structurelles

(pour retrouver la matrice de permutation)

I algorithme de séparation des supports (Sendrier 97)

I permet de décider si deux codes sont équivalents ou non.

I complexité :O(2^dim(C∩C^⊥⁾).

I pour résister aux attaques structurelles :

I prendre une grande famille de codes (on ne connaît pas le code de départ).

I prendre un code avec un groshull(dimC ∩ C^⊥grande).

(21)

De cryptosystème à schéma de signature

I cryptosystème à clé publique→schéma de signature.

I RSA oui

I McEliece et Niederreiter pas directement

(22)

Signatures fondées sur les codes

I Problème :McEliece et Niederreiter non inversibles.

I si nous prenonsy∈Fⁿ₂aléatoire etC[n,k,d]dont nous sommes capables de décoderd/2 erreurs, la probabilité queysoit décodable est très faible.

I Solution :

I le haché doit être un mot décodable.

(23)

CFS : idée

N. COURTOIS, M. FINIASZ, N. SENDRIER.How to Achieve a McEliece-Based Digital Signature Scheme. ASIACRYPT 2001:157-174.

(24)

CFS : idée

N. COURTOIS, M. FINIASZ, N. SENDRIER.How to Achieve a McEliece-Based Digital Signature Scheme. ASIACRYPT 2001:157-174.

(25)

Schéma de signature CFS

I Mun message à signer

I hune fonction de hachage à valeurs dans{0,1}^n−k

I on cherches∈Fⁿ2de poidstdonné avech(M) =Hs^T

I soitγun algorithme de décodage

I Schéma de signature CFS : 1. i←0

2. tant queh(M|i)n’est pas décodable fairei←i+1 3. calculers=γ(h(M|i))

I signataire renvoie{s,j}tel queh(M|j) =Hs^T

I clé publique : 1 Mo

I signature : 80 bits

(26)

Schéma de signature CFS : choix des codes

I on a besoin d’une famille de codes denses :codes de Goppa

I code de Goppa binaire[2^m,2^m−tm,2t+1]

I tpetit

I la probabilité pour un élément aléatoire d’être décodable

(dans une boule de rayontcentrée sur les mots du code) est à peu près_t¹_!

I on prendn=2^m,m=16,t=9.

I on a une 1 chance sur 9! =362880 d’avoir un mot décodable.

(27)

Schéma d’authentification de Stern

J. STERN.A new identification scheme based on syndrome decoding.Crypto 93, Lecture Notes in Computer Science 773 (1993), Springer-Verlag, 13-21.

I système d’authentificationà divulgation nulle de connaissance;

I basé sur le problème du décodage par syndrome ;

I pour chaque tour : probabilité de triche de ²₃;

I pour une sécurité de ¹

2⁸⁰,il faut 10 tours.

I norme ISO/IEC-9798-5 préconise deux probabilités : 2⁻¹⁶et 2⁻³²;

I 28 et 56 tours.

I clé publique d’environ 200 000 bits ;

I on peut dériver un schéma de signature à l’aide du paradigme de Fiat-Shamir (chapitre 1).

(28)

Le protocole de Stern

I générer une matricealéatoireHde taille(n−k)×n.

I on choisit un entiertqui sera le poids.

I ceci est laclé publique(H,t).

I chaque utilisateur reçoitsdenbits et de poidst.

I ceci est laclé secrète.

I chaque utilisateur calcule :i=Hs^T.

I uneseulefois pourHfixé.

I iestpublic.

I Alice (notéeA) veut prouver à Bob (notéB) qu’elle connaît bien le secret mais sans le divulguer.

(29)

1. Achoisitydenbitsaléatoireet une permutationσde{1,2, . . . ,n}.

Aenvoie àB:c1,c2,c3tels que :

c1=h(σ|Hy^T) ;c2=h(σ(y)) ;c3=h(σ(y⊕s)) 2. Benvoie àAun aléab∈ {0,1,2}.

3. Trois possibilités :

3.1 sib=0:Arévèleyetσ 3.2 sib=1:Arévèle(y⊕s)etσ 3.3 sib=2:Arévèleσ(y)etσ(s) 4. Trois possibilités:

4.1 sib=0:Bvérifie quec1,c2sont valides.

I pourc1on peut remarquer que :

Hy^T=H(y⊕s)^T⊕i

4.3 sib=2:Bvérifie quec₂,c₃sont valides et queσ(s)est de poidst. Figure:Le protocole de Stern

(30)

Construction quasi-cyclique

À ISIT en 2007, P. Gaborit et M. Girault ont eu l’idée de remplacer la matrice aléatoireHpar la matrice de parité d’une famille de codes compacts :

les codes doublement circulants.

I Soit`un entier.

I Une matrice doublement circulante aléatoire`×2`Hest de la forme : H= (I|A) ,

oùAest unematrice circulante, c’est-à-dire une matrice de la forme :

A=







a1 a2 a3 · · · a`

a` a1 a2 · · · a`−1

... ... ... ... ... a2 a3 a4 · · · a1





 ,

où(a1,a2,a3,· · ·,a`)est un vecteur quelconque deF^`2.

(31)

Propriétés

I la distance minimale est lamêmeque celle des matrices aléatoires ;

I nous ne savons pas mieux décoder des codes quasi-cycliques aléatoires que des codes aléatoires ;

I le problème de décodage par syndrome quasi-cyclique reste NP-complet;

I lapetitetaille de clé publique (quelques centaines de bits) permet une implémentation dans un environnement à faibles ressources ;

I les opérations étantlinéaires, l’implémentation est simple.

(32)

Taille des paramètres

I Soitn=2`

I Données privées :le secretsdenbits.

I Données publiques :nbits (la première ligne deA, `bits,lbits pouri)

I au moins`=347ett=74pour une sécurité2⁸⁵

I une clé publique den=694bits

(33)

Motivations

Mes travaux

(34)

Sécurisation du schéma de Stern contre les attaques DPA

Travail effectué avec Philippe Gaborit et Emmanuel Prouff

CARDIS 2008

(35)

Sécurisation

I Nous traiterons le cas d’attaqueSPA ou DPA de premier ordre.

I Attaques par analyse de consommation de courant.

(36)

Stratégie de défense : masquage

Le moyen le plus simple de se protéger des attaques SPA et DPA :

I valeurs aléatoires (appeléesmasques) pour masquer le flux

d’information dévoilé par lesdonnées sensiblesqui sont manipulées ;

I toute donnée sensibleyn’est jamais manipulée directement et est représentée par 2 valeursey(ladonnée masquée) etM(lemasque) ;

I pour assurer la résistance aux attaques DPA, le masqueMdoit prendre des valeurs aléatoires. La donnée masquéeeydoit vérifier :

ey=y⊕M .

(37)

Opérateurs principaux

Les différentes étapes du protocole de Stern sont composées des 4 opérateurs principaux suivants :

I Produit matrice-vecteur :

la multiplication d’un vecteur par une matrice doublement circulante aléatoire ;

I Fonction de hachage :

l’action d’une fonction de hachage ;

I Permutation :

la génération et l’action d’une permutation aléatoire ;

I Générateur pseudo-aléatoire :

un générateur pseudo-aléatoire utilisé pour générer les permutations et les vecteurs aléatoires.

(38)

Sécurisation

I Produit matrice-vecteur :utilisation de masques ;

I Fonction de hachage :

I sécurisation contre les SCA querarementétudiée, car agissant sur des données non sensibles (publiques);

I McEvoyet al.présentent un moyen deprotéger une implémentation de SHA-256 contre les attaques DPA de premier ordre.

I Permutation :utilisation d’un schéma de Feistel avec des masques ;

I Générateur pseudo aléatoire :Standaertet al.présentent un PRNG à blocs sûr contre les DPA de premier ordre.

(39)

Résultats

Temps pour un tour Temps (ms)

PRNG (vecteury,fonctionsfetg) 16.7

Produit matrice-vecteur 22.0

Permutation 22.6

Fonction de hachage (SHA-256) 107.6

Total pour un tour 168.9

Authentification 5911.5

Table:Performances de l’implémentation

8051-architecture sans crypto-processeur cadencé à 8 MHz.

(40)

Commentaire des résultats

I authentification en6 secondes;

I signature en24 secondespour une sécurité de 2⁸⁵;

I coût de la communication :

I 40-kbitspour l’authentification ;

I 140-kbitspour la signature ;

I cette implémentation n’inclut pas decontremesure ;

I surcoût temps/mémoire attendu est de×3.

(41)

Conclusion

I le problème de lataille de la clé publiqueest résolu en utilisant des matrices quasi-cycliques ;

I cette implémentation ne nécessite pas decrypto-processeur;

I le schéma estplus facileà sécuriser (en utilisant seulement des masques) que les systèmes basés sur des problèmes de théorie des nombres ;

I les opérations étant linéaires : petit surcoût pour la sécurisation.

I applications potentielles :contexte dans lequel le coût de la communication n’est pas trop important (ex : Pay Tv) ;

I améliorations potentielles :hardware SHA-256au lieu d’une implémentation software et l’utilisation d’un coprocesseur d’algèbre linéaire.

(42)

Schéma de signature basé sur l’identité

Travail effectué avec Philippe Gaborit et Marc Girault

WCC 07

(43)

Schéma de signature basé sur l’identité

Identity-based cryptosystems and signature schemesAdvances in Cryptology-Crypto’84, 1984.

I problème en cryptographie à clé publique :gestiondesclés publiques.

I Shamir introduit la cryptographie à clé publique basée sur l’identité (IDentity-basedPublicKeyCryptography (ID-PKC)) pour simplifier la gestion de la clé publique.

I la clé publique estliée à son utilisateur(adresse mail, nom, ...).

(44)

(45)

Avantages / faiblesses

I avantages :

I pas de certificat;

I clé facilement mémorisable ;

I pas besoin d’annuaire de clés publiques.

I faiblesses :

I une entité toute puissante(connaît la clé) ;

I distribution des clés non triviale (nécessité d’un canal sûr).

(46)

Idée

I on utilise CFS pour avoir la notion de schéma basé sur l’identité

I à partir de l’identité on construit le syndrome ;

I on obtient notre clé privée.

I on utilise Stern comme un protocole d’authentification classique

I on réutilise la matriceHede la première étape ;

I on fait un protocole de Stern ’quasiment’ classique.

(47)

Description

Soit :

I Ccode linéaire binairet-correcteur de longueurnet de dimensionk;

I Hune matrice de parité deC(privée détenue par l’autorité) ;

I He=QHP(publique) avecQinversible etPmatrice de permutation ;

I hune fonction de hachage à valeurs dans{0,1}^n−k ;

I idAl’identité d’Alice (publique).

Alice leprouveurcherchera à s’authentifier auprès de Bob levérifieur.

Le protocole se déroule en deux étapes :

1. l’autoritédonne à Alice sa clé privée à partir de son identité (publique).

2. Alice s’authentifie auprès de Bob.

(48)

Première étape : obtention de la clé privée

I SupposonsidAl’identité d’Alice connue ;

I Soithune fonction de hachage à valeurs dans{0,1}^n−k ;

I On cherche un moyen de trouverstel queh(idA) =Hse ^T ; Problème :

h(idA)n’est pasa prioridans l’espace des éléments décodables deFⁿ2.

(49)

I Ce problème peut se résoudre par l’algorithme suivant (algorithme CFS) ;

Soitγun algorithme de décodage pour le code masqué : 1. i←0

2. tant queh(id_A|i)n’est pas décodable fairei←i+1 3. calculers=γ(h(idA|i))

Figure:obtention de la clé privée

On obtient en sortie un couple{s,j}tel queh(idA|j) =Hse ^T. Ce couple forme laclé privée(transmis par le canal sûr de l’autorité à Alice).

(50)

Deuxième étape : authentification auprès de Bob

I Alice a obtenu{s,j}vérifiant :h(idA|j) =Hse ^T ;

I Alice veut s’authentifier auprès de Bob ;

I la matriceHeest la même que celle utilisée dans la première étape ;

I on donne ici un schéma d’authentification mais on peut en dériver un schéma de signature.

(51)

1. Achoisitydenbitsaléatoireet une permutationσde{1,2, . . . ,n}.

Aenvoie àB:c1,c2,c3etjtels que :

c1=h(σ|Hye ^T) ;c2=h(σ(y)) ;c3=h(σ(y⊕s))

2. Benvoie àAun aléab∈ {0,1,2}.

3. Trois possibilités :

3.1 sib=0:Arévèleyetσ 3.2 sib=1:Arévèle(y⊕s)etσ 3.3 sib=2:Arévèleσ(y)etσ(s) 4. Trois possibilités:

I pourc1on peut remarquer que :

Hye ^T=H(ye ⊕s)^T⊕h(idA|j)

4.3 sib=2:Bvérifie quec₂,c₃sont valides et queσ(s)est de poidst. Figure:Le protocole de Stern-Niederreiter

(52)

Analyse de sécurité : paramètres et sécurité du schéma

I la sécurité réside dans lechoix des paramètres du schéma de CFS ;

I ce schéma doit respecter deux conditionsimpératives:

1. rendre le calcul de{s,j}difficile sans la connaissance de la description de He;

2. limiter le nombre d’essais pour déterminer lejcorrect dans le but de réduire le coût de calcul des.

(53)

Analyse de sécurité : valeurs pratiques

Contrairement au schéma de Stern de base le code utilisé dans CFS est très long, 2¹⁶au lieu de 2⁹,ce qui accroît le coût de la communication.

clé publique clé privée matrice communication

tm tm 2^mtm ≈2^m×#tours

144 144 1 Mo 500 Ko

Valeurs pratiques pour le schéma d’authentification :m=16,t=9 clé publique clé privée matrice taille signature

tm tm 2^mtm ≈2^m×#tours

144 144 1 Mo 1,5 Mo

Valeurs pratiques pour le schéma de signature :m=16,t=9.

(54)

Conclusion

I premier schéma (non générique) proposé n’utilisant pas de problème basé sur la théorie des nombres ;

I preuve de sécurité dans le modèle de l’oracle aléatoire ; (chapitre 5 page 101)

I problèmes :

I grande taille de la matrice utilisée ;

I coût de communication important pour le schéma d’authentification ;

I taille de la signature qui est très grande.

(55)

Schéma de signature de cercle à seuil

Travail effectué avec Carlos Aguilar Melchor et Philippe Gaborit PQ CRYPTO 2008

(56)

Signature de groupe

I Chaum et van Heyst 1991 ;

I but :permettre à des membres d’un groupe de signer des documents anonymement, au nom du groupe ;

I le groupe est composé de membres et d’un manager ;

I le manager du groupe donne les clés publiques et privées aux membres ;

I chaque membre du groupe peut signer au nom du groupe ;

I en cas de conflit, l’anonymat peut être levé par une personne de confiance.

(57)

Signature de cercle

I Rivest, Shamir et Tauman 2001 ;

I peut être vue comme une signature de groupe simplifiée sans manager ;

I pas d’enregistrement, chaque membre crée ses clefs ;

I on peut vérifier que la signature est due à un signataire appartenant à un ensemble de signataires potentiels ;

I les utilisateurs ne savent pas qui sont les autres signataires potentiels au moment de la création de leur clé publique ;

I partage de secret de manière totalement anonyme (non révocable).

(58)

Signature de cercle à seuil

I Bresson, Stern et Szydlo (2002) étendent la notion de signature de cercle en un schéma designature de cercle à seuil.

I Principe :

I cercle deNsignataires potentiels ;

I tmembres du cercle signent ;

I le vérifieur sera convaincu quetutilisateurs ont signé sans savoir lesquels.

(59)

Idée

Au delà de la combinaison dedeux protocoles de Stern, notre schéma repose sur les trois idées suivantes :

1. Hest laconcaténationde toutes les matrices publiquesHi. 2. l’indistingabilité est obtenue :

I un syndrome nulcommun ;

I siavec lemême poidsωpublic.

3. lacontrainte sur la permutationutilisée est ajoutée au schéma de Stern classique.

(60)

Déroulement

I un cercle deNmembres(A1,· · ·,AN) et parmi euxtutilisateursqui veulent prouver qu’ils ont coopéré pour produire une signature ;

I chaque utilisateurAi calcule unematrice publiqueHi de(n−k)×n bits ;

I Aichoisitsiun vecteur aléatoire de poidsω;

I génèrek−1 vecteurs aléatoires ;

I considère le codeC_iobtenu (dimensionk) ;

I on prend la matrice duale deCinotéeHi.

I clé publique du groupe un entierωetH:

H=







H1 0 0 · · · 0 0 H2 0 · · · 0 ... ... . .. ... ... ... ... ... . .. ... 0 0 0 · · · HN





 .

I clé secrètes: concaténation desside poidsω.

(61)

Déroulement

I Aicalculeune instance du schéma de SternavecHiet unsyndrome nul;

I Lcollecte les résultats et simule lesN−tautres membres du groupe (non signataires) ;

I Lprouve au vérifieurV qu’il connaît un mot de codesde poidstωavec une structure particulière :

I sa un syndrome nul pourH;

I une forme spéciale sur cesNblocs de taillen: chaque bloc de longueurn est de poids 0 ouω.

(62)

Conclusion

I généralisation naturelle du schéma d’authentification de Stern ;

I anonymat total ;

I très rapide ;

I complexité de la création de la signature enO(N) ;

I on peut avoir :t≈N/2.

(63)

Le schéma de signature de Kabatianskii Krouk et Smeets

On Kabatianskii-Krouk-Smeets Signatures

Travail effectué avec A. Otmani et D. Vergnaud WAIFI 2007

I notre étude montre les limites de ce schéma de signature ;

I l’utilisation de matrices doublement circulantes permet de réduire la taille des clés publiques ;

I choix des paramètres permet d’augmenter le nombre de signatures ;

I clé publique de 300 000 bits pour 19 signatures de 600 bits.

(64)

McEliece avec des codes alternants quasi-cycliques

Reducing Key Lengths with Quasi-cyclic Alternant Codes for Code-Based Cryptography

Travail effectué avec T. Berger, P. Gaborit et A. Otmani soumis

I utilisation de codes alternants quasi-cycliques et fortement poinçonnés ;

I clé publique :6500bits pour une sécurité de 2⁸⁰ou11 000bits pour 2¹⁰⁷;

I matrices quasi-cycliques : décodage par syndromeNP-complet;

I système trèsrapideen chiffrement.

(65)

Principales publications personnelles

[CGP08]

Secure Implementation of the Stern Authentication and Signature Schemes for Low-Resource Devices,CARDIS 2008.

P.-L. Cayrel, P. Gaborit et E. Prouff chapitre 3

[COV07]

On Kabatianskii-Krouk-Smeets Signatures,WAIFI 2007.

P.-L. Cayrel, A. Otmani et D. Vergnaud chapitre 4

[CGG07]

[CGG08]

Identity-based Identification and Signature Schemes using Error Correcting CodesWCC 2007.

chapitre du livre :Identity-based Cryptography.

P.-L. Cayrel, P. Gaborit et M. Girault chapitre 5

(66)

Principales publications personnelles (suite)

[ACG08]

A New Efficient Threshold Ring Signature Scheme Based on Coding Theory,PQ CRYPTO 2008.

C. Aguilar Melchor, P.-L. Cayrel et P. Gaborit chapitre 6

[BCGO08]

Reducing Key Lengths with Quasi-cyclic Alternant Codes for Code-Based Cryptography,soumis en 2008.

T. Berger, P.-L. Cayrel, P. Gaborit et A. Otmani chapitre 7

[ACGR07]

Improved Algorithm to Find Equations for Algebraic Attacks for Combiners With Memory,BFCA 2007.

F. Armknecht, P.-L. Cayrel, P. Gaborit et O. Ruatta annexe A