Boîtes Aléatoires
Boîtes Aléatoires
Roland Gillard1
(1) Institut Fourier Université Joseph FOURIER
Calculs pour la cryptologie,
Sécurité et sureté d’exploitation des systèmes informatiques ambients
19janvier 2006 Ens Telecom
Boîtes Aléatoires Introduction
Contexte
L’AES utilise une boîte de substitution sur un octet
c’est l’application d’inversion x →x−1dans le corps finiF à 256 éléments ;Fest en bijection naturelle avec
{0, ...,255}.
C’est la partienon linéairedu cryptosystème utilisée 160 fois.
Cette fonction bijective signalée par C. Carlet à K. Nyberg jouit de très bonnes propriétés , par exemple a une résistance différentielle de 4 et linéaire de 16.
Boîtes Aléatoires Introduction
Objectif
Cependant l’application d’inversion présente des
inconvénients provenant de lasimplicité algébriquede la formule. Il est donc intéressant de fabriquer d’autres boîtes moins exploitables de ce point de vue.
Le but d’un travail antérieur était d’étudier des bijections analogues mais définies à partir du groupe des points E(K)d’une courbe elliptique E sur un corps fini K .
Il est naturel de comparer avec une étude systématique de boîtes prises au hasard
Façon de distinguer « quelques »éléments dans le groupe symétrique S256dont l’ordre comporteplus de 500
chiffres :
Boîtes Aléatoires Introduction
256 !
256 !=
8578177753428426541190822716812326251577815202794 85619859655650377269452553147589377440291360451408 45037588534233658430615719683469369647532228928849 74260256796373325633687864426752076267945601879688 67971521143307702077526646451464709187326100832876 32570281898077367178145417025052301860849531906813 82574810702528175594594769870346657127381392862052 34756808218860701203611083152093501947437109101726 96826286160626366243502284094419140842461593600000 00000000000000000000000000000000000000000000000000 00000000
Boîtes Aléatoires Permutations aléatoires
Permutations aléatoires
Suggestion de Jean-Claude Asselborn
Idée de fabrication d’une substitution sur 256 éléments : on fabrique un tableau de 0 à 255
répéter pour i=0 à 254
échange de i et d’un nombre au hasard j,i<j <256 Résultats (sur 13 millions de graines) : On trouve des substitutions avec RD=8 mais RL semble plus gros En C la graine varie sur 32 bits, quelques mois de calculs...
sur une bande de 28 bits, on trouve des boites avec RD=8, RL= 30
sur une bande de 30 bits, onn’a pas trouvé de boites avec RD=6.
Boîtes Aléatoires Permutations aléatoires
Sorties aléatoires
graine RD RL RQ 89758 8 34 0 152500 8 38 0 162463 8 34 0 171805 8 36 0 217002 8 34 0 301516 8 36 0 320616 8 34 0 474973 8 34 0 547109 8 32 0 550616 8 34 0 558223 8 34 0 570507 8 32 0 577963 8 34 0 587892 8 36 0 603128 8 34 0 607639 8 38 0 658708 8 38 0 705779 8 34 0 712714 8 34 0 802272 8 34 0 858696 8 34 0 874832 8 32 0 978738 8 32 0
Boîtes Aléatoires Permutations aléatoires
Bilan
déjà de nombreuses bonnes boîtes elliptiques (plusieurs centaines)
explorer les boîtes alatoires sur une bande de 32 bits mieux avec un générateur aléatoire «fait maison»
certifier les résultats
poursuivre l’exploration au delà de 32 bits
Boîtes Aléatoires Permutations aléatoires
Recherche aléatoire
Le principe de base est le suivant :
Programme constitué d’une boucle répétée 2Nfois, avec N gros (si possible 32)
Chaque boucle correspond à une graine aléatoire et calcule une permutation p à partir de la graine
calcule la résistance différentielle de p à l’aide d’un tbleau local
incrémente dans le tableau de résultats le compteur associé à cette valeur.
Si la valeur est < 10 on garde p
On récupère les meilleures p et le tableau des résultats. Une vérification est que le nombre total est bien celui des graines.
Réf : programme palo.c
Boîtes Aléatoires Permutations aléatoires
Questions
Des questions ?
Boîtes Aléatoires Références :
Biblio
CV94 Chabaud, Vaudenay,Eurocrypt 94 CVO2 Canteaut Videau Eurocrypt 2002 ZZ Zheng Zhang Asiacrypt 2000
SM Sarka Maitra Eurocrypt 2000 CCZ Carlet Charpin Zinoviev
CC Cheon Chee Elliptic curves and resilient functions CCCF Canteaut, Carlet, Charpin, Fontaine Eurocrypt 2000 CCCS Camion, Carlet, Charpin, Sendrier Eurocrypt 1991 CP Courtois Pieprzyk IACR 2002/044,Asiacrypt 2002,p.267- FM Fuller Millan IACR 2002/111
MR Murphy Robshaw IACR 2002