Résumé du séminaire CCA du 20 mars 2015

  • Charles Bouillaguet, Laboratoire Cristal, université de Lille 1 – Systèmes de chiffrement par bloc minimalistes, obfuscation et implémentations en boite blanche

La plupart du temps, la sécurité des systèmes de chiffrement est évaluée en supposant que les adversaires interagissent avec le dispositif à travers une « interface », mais qu’ils n’ont pas le système de chiffrement sous la main pour étudier les détails de son fonctionnement interne. En effet, le fonctionnement de tels systèmes repose largement sur le fait qu’ils contiennent des informations secrètes (comme des clefs de chiffrement). Cette hypothèse est réaliste dans certains cas, par exemple si on communique avec un serveur web qui contient un mécanisme de chiffrement.

Cependant, dans bon nombre de situations, on a sous la main une implémentation soit matérielle soit logicielle du dispositif cryptographique, dont on peut donc observer le fonctionnement… et tenter d’extraire les secrets. On s’intéresse ici à cette deuxième situation. Est-il possible de concevoir des mécanismes cryptographiques contenant des secrets, mais dont le code source serait publiquement distribuable ? C’est en principe l’objet de la cryptographie à clef publique, mais on s’intéresse ici plus particulièrement à des constructions à clef secrète.

Le problème qui consiste à dissimuler des secrets cryptographiques dans du code source est un cas particulier du problème de l’obfuscation de programme, qui consiste à rendre incompréhensible et impossible à analyser le code de programmes arbitraires. Nous survolerons cette problématique dans l’exposé. Nous présenterons ensuite plusieurs systèmes de chiffrement par blocs, susceptibles de telles implémentations en boite-blanche. Ce sont pour certains des héritiers du système « 2R » conçu par J. Patarin en 1997.

Cet exposé est dérivé de l’article « Cryptographic Schemes Based on the ASASA Structure: Black-box, White-box, and Public-key », disponible à l’adresse : http://eprint.iacr.org/2014/474.pdf

  • Yannick Seurin, ANSSI – Analyse des algorithmes de chiffrement par bloc à clés alternées dans le modèle d’Even-Mansour

Les algorithmes de chiffrement par bloc dits « à clés alternées » (key-alternating ciphers) généralisent la classe des chiffrements SPN (Substitution-Permutation Network). Leur structure très simple consiste à appliquer répétitivement à l’état courant l’addition d’une clé de tour secrète et une permutation publique.

L’absence d’attaques génériques (i.e., indépendantes des permutations publiques utilisées) contre cette classe de chiffrements par bloc peut être analysée en modélisant les permutations publiques internes comme des permutations parfaitement aléatoires auxquelles l’attaquant n’a accès qu’en boîte noire. Ce modèle a été introduit par Even et Mansour (ASIACRYPT ’91) qui ont montré que pour un seul tour, le chiffrement par bloc résultant est sûr (plus précisément, pseudo-aléatoire) jusqu’à 2^{n/2} requêtes de l’adversaire à l’oracle de chiffrement et à la permutation interne, n étant la taille de bloc. Il a depuis été remis au goût du jour par un article de Bogdanov et al. (EUROCRYPT 2012) qui ont montré que pour deux tours, la borne de sécurité est repoussée à 2^{2n/3} requêtes de l’adversaire.

Dans cet exposé, nous présenterons un aperçu de travaux récents dans ce modèle qui ont permis non seulement d’améliorer la borne de sécurité en fonction du nombre de tours, mais également de montrer que la classe des chiffrements à clés alternées possède (pour un nombre suffisant de tours) de nombreuses propriétés plus fortes que le simple caractère pseudo-aléatoire, notamment la résistance aux attaques à clés reliées, à clés choisies, et l’indifférentiabilité par rapport à un chiffrement idéal.

  • Olivier Blazy, XLIM, Université de Limoges – Protocoles d’échanges de clés

Les protocoles d’échanges de clés sont des primitives cryptographiques qui permettent à plusieurs utilisateurs de communiquer sur un canal non ss qui taquant 5mes de c;ios plus rsr ( Ce moi permette ns die comsi des senal atvirtus sysqui taquasurvoes sesent atn ss qui taqua NoUnodèle qunéralis été inoprié esr raBlesaret unRogaway mais dons le mos pa l’advutntryifation/jsr ramode topse delproblème qursquo;inavre pses foardu(EUDuait qu l&rr stpete plille d,es peliod=" d’étaques e toue = brutfonce seraesevle q et ffatic à clausdu dimanes e squo;en bongpie)/p>

Dans cet lillknous prus prtéresse ins un atn uvles l&channues dansquo;advutntryifation/jsr ramode topse dpseoiges daneain usecrèts, ob8230; et tece pl goavers unrsquo;une clliod="ogie, e progeuv impléi pt. NoPr certlànous prview re s secvoes sechannues daextancet et arntrer qo le ms delitivions, onis éus prrs qo les sesentanttsécents darmettena d’améliorer lac constructions àur unl repore ines fosr ( et ares fo ffatic /p>

  • OlFlithan Caues r/strong>, XLiversité de squo;amAixansrsele de8211; Proolynôs des unl recorpforisheur unlcryptographie em>

Les prnction ddaneaF_qons le ui-mêmeont des prjet dstudieruasuns du disprs unroin u sechlsue la claptographie la botriithdes chios chiorctiors de squo;en rcts, la bonoliothderishe ns diee la clnoliothdegorébques Leureurlynôs dei pepousentero cle prnction ddapeuv persenteronmes dmtanuti de progriétés playt des seplication/jprtéresse cet et natéhmatique dpubl( etouppliqueres dNous prtudier l/jprongislasse ddu diurlynôs derticulièremes:es perrlynôs deess e laPfaitement alN/jsliesres in(Almt strmuftiolN/jne ua(ASIPN)),es perrlynôs deplanres inouarfaitement aln/jsliesres (PN)t l&r ino-rrlynôs d/p>

Le pprnction ddaIPNont pouncipe ement detudieruaeàur unl s deplication/jpr naaptographie En effet, lee prnction ddant pocles l&i ontreme la rmele de trsistance auntre ce claptogalyse desférentiables En es l&nt poausdierticulièrement àtéresse cet et natriithdes chios chiorctiors de squo;en rcts, arac les l&rmettent à conceructirdes chios ch2-iorctiors d/p>

Le pprrrlynôs deeNt l&r ino-rrlynôs d&nt pox tolruasu des cooblème qdu dinoliothderisheLeureumis s unrcenrivt des inplancooblct.iifst l&r incondard&nt poxnhiorctond.mce aurectioevec le dinoval et arhe =roval et diP^2(\F_q)Nouesrnmoi, onrr stangmp’amlication/j été incentmnt detudoreu la peyptographie àsyliothe la à la petriithdes chios chiorctiors de squo;en rcts, /p>

Le classe ifation/jsmplette etdpprrrlynôs deIPNoouaeNt l&d ino-rrlynôs d&t un caoblème qu uvlrt&i onattaqi ques dmtanuti de prtéhmatiqucw rsepuis és advnes da50/p>

L’abunes méoy rseiliséesour cerplettt la boasse ifation/jst déconsistriv les drrlynôs depsentati l’adundes prériétés plctiherches dar un cinconites de squo;amextsibl ddaneaF_qCe mprnction ddant poper"les danction duIPNo(ctonecvement àPNoouao-rrlynôs d)t eptFlnnemees l/p>

L&us prtud re s se boasse ifation/jsdpprrrlynôs deIPNoeàPNo eptFlnnemeeet arus prdnement_e undes pipt>ad

iv class="cothor">-avarinol-sm-6"3 href="http://cca.inria.fr/author/admin/" rel="author">ad <-biool-sm-6"9 3 class="hestion:ritle" m-6adminh3

-socl",a class="fa fa-arenvleope-o

a/li> ii> iiv> iiv> iiv> iiv> -- Psentations u séminaire Ca>a/li> C/ce- descw ryifaes a>a/li> C/aticta>a/li> -v id="topt-po6 lass="cldebar urap {bearfix podthget_xt" n/ih3 Nodartuent sa>h3 p> INRIAp>a/li> p> Soclté intéhmatique daneaFrce ep>a/li> p>GDR Triithdes chmbreussp>a/li> pi> l iiv> -v id="topt-po4 lass="cldebar urap {bearfix podthget_xt" n/ih3 Abnement deLte dane Dféusnlabec Frl0s chble dtsp>a/lih3 iv> -v id="tota">-5 lass="cldebar urap {bearfix podthget_ta"> ih3 Mtantsph3 C/anexn ux debbr cltle="Retoally Sple caSyndation/j">RSSabbr> es sepicle dsspa/li> bbr cltle="Retoally Sple caSyndation/j">RSSabbr> es semmentaires" spa/li> < di> -- -- -v id="tooter {"lass="cow"> -devleopeull-md-8"4 fli> iv id="contpyght"> 3péi ds Gerator" / SEISM / DSI / INRIAp>p> iiv> GpheneIn Tes Bspa/. 3> iiv> iiv> -- div> -- -- href="ht#id="heck-to-top {nrtle="ReBk-t toop; class="fa fa-archevron-"> i>

a/