Cryptographie visuelle pour l’authentification de documents / Visual cryptography for documents authentification

Machizaud, Jacques

27 September 2012

La cryptographie visuelle consiste à partager entre plusieurs « Shadow Images » (SIs) un secret qui ne se révèlera à l'oeil de l'observateur qu'à leur superposition. Depuis les travaux de Naor et Shamir, ce procédé cryptographique a été étendu à Des schémas numériques variés, adaptés à diverses problématiques. En revanche, les travaux concernant son implémentation physique sont peu nombreux à ce jour. Cette thèse est consacrée à l'implémentation de la cryptographie visuelle sur des SIs imprimés en demi-tons en vue de l'authentification de documents. Le SI associé au document peut être imprimé sur support opaque ou transparent, les autres SIs étant imprimés sur films transparents. Nous avons résolu la difficulté de leur superposition par une méthode de Fourier permettant le recalage de la structure quasi-périodique d'un SI. La précision de cette méthode nous a permis de développer un système optique de superposition par projection. On verra que les phénomènes physiques responsables du rendu visuel de SIs superposés sont propices à une protection contre la copie illicite du SI associé à un document. La complexité de ces phénomènes et leur dépendance au type d'impression imposent une modélisation physique pour obtenir un rendu précis. Cette approche nous a conduit à considérer la problématique de la reproduction des couleurs et à développer des modèles spectraux adaptés à la superposition de supports imprimés non diffusants et/ou diffusants, en réflexion et en transmission. La précision de ces modèles prédictifs est tout à fait satisfaisante au regard de celle habituellement obtenue dans le domaine de la reproduction des couleurs. Cela nous a permis d'introduire une approche originale de la cryptographie visuelle par ajustement de couleur (color matching) : une même couleur, à une tolérance près basée sur la vision humaine, est générée par différents demi-tons imprimés sur les supports à superposer. La couleur du message peut ainsi constituer un secret partagé entre les SIs de la même façon que l'est le contenu du message. Chaque SI pris individuellement ne laisse fuir aucune information sur la couleur du message, qui ne sera révélée qu'à leur superposition. Cela peut permettre de prévenir une attaque par falsification du SI associé au document (cheating attack ). De plus, le rendu des couleurs étant très dépendant du système d'impression utilisé, une reproduction fidèle à partir d'un système d'impression différent est difficile. La difficulté peut être encore accrue par l'utilisation de caractéristiques d'impression non standard / In this thesis, we will focus on the physical implementation of visual cryptography, which consists in sharing a secret message between several unmeaning images, so-called shadow images, at least one of them being printed. By the principle of the method, no information leaks about the message until the images are properly stacked together. As the alignment of the shadow images hampers the deployment of the visual cryptography in practice, we develop a dedicated image registration method. In contrast with existing methods, ours is not intrusive. We make use of the particular shape of the elementary constituents of the shadow images, the shares, to extract in the Fourier domain the main parameters of the geometrical transformations occurring between the superposed images. We prove that this method allows subpixel accuracy in shadow images registration. We benefit from such ability by implementing visual cryptography in an image projection configuration : the digital shadow image is projected onto the printed one. In this way, the registration is performed automatically by using a digital camera (the resulting superposition being observable by the eye). For the purpose of authentication, one has to deal with specific attacks: the shadow image attached to a given document could be tampered with or copied. In order to prevent such attacks, we have increased the di_culty to reproduce the shadow image by considering color. This approach requires a complete management of colors. Thanks to recent advances in color reproduction, we are able to predict the reflectance and transmittance spectra of supports printed in color. In this thesis, we develop new spectral prediction models namely for piles of printed transparencies as well as for transparencies stacked onto papers, all printed in color. Thus, we are able to predict the color of each share in a shadow image to be printed and to achieve color matching i.e. we are able to reach a color by various combinations of superposed colors. Such a prediction allowed us to introduce a new approach in visual cryptography: color matching when revealing the secret message to be shared into two (or more) shadow images, in order to authenticate the shadow images provider. As the prediction models are sensitive to the calibration of the printing system (printer, inks, supports, halftoning and geometry measurement conditions), the use of special materials will increase the di_culty to generate visually acceptable fake pairs of shadow images

Cryptographie visuelle

Authentification

Rendu couleur

Percéption couleur

Recalage d'images

Visual cryptography

Authentication

Color matching

Color prediction

Images registration

Contribution au renforcement de la protection de la vie privée. : Application à l' édition collaborative et anonyme des documents.

Vallet, Laurent

18 September 2012

Ce travail de thèse a pour objectif de renforcer la protection de la vie privée dans l'édition collaborative de documents dématérialisés. Une première partie de notre travail a consisté en l'élaboration d'un modèle sécurisé d'éditeur collaboratif de documents. La confidentialité des documents est assurée grâce à un contrôle d'accès décentralisé. Une seconde partie a été de protéger l'identité des utilisateurs communicants en assurant leur anonymat lors de l'édition des documents. Notre concept d'éditeur collaboratif est fondé sur l'utilisation d'ensembles de modifications apportées à un document, que nous nommons deltas, lesquels définissent des versions du document. Les deltas permettent de conserver l'historique des modifications successives. Lorsqu'une nouvelle version d'un document apparait, seul le nouveau delta qui en découle doit être transmis et stocké : les documents sont ainsi distribués à travers un ensemble de sites de stockage. Cela permet, d'une part, d'alléger la charge du gestionnaire des versions des documents, et d'autre part, d'améliorer la sécurité générale. La récupération décentralisée d'une nouvelle version nécessite seulement celle des deltas manquants par rapport à une version précédente; elle est donc moins coûteuse que la récupération du document en entier. L'information du lien entre les deltas est enregistrée directement avec les deltas et non dans une table ou dans un objet de métadonnées ce qui améliore leur sécurité. La gestion des versions est faite afin de maintenir une cohérence entre les versions. / This thesis aims to strengthen the protection of privacy of authors in collaborative editing of electronic documents. The first part of our work consisted in the design a secured model for a collaborative document editor. Documents' confidentiality is ensured through a decentralized access control mechanism. A second part of the work was to protect the identity of communicating users by ensuring their anonymity during collaborative document editing. Our concept of collaborative editor is based on the use of sets of modifications for a document, which we call textit{deltas}. Thus, deltas define versions of the document and they can keep the history of subsequent modifications. When a new version of a document appears, only the new delta that results must be transmitted and stored : documents are thus distributed across a set of storage sites (servers). We show how this allows, first, to reduce the load of document version control system, and secondly, to improve overall security of the collaborative system. Decentralized recovery of a new version requires only recovery of appropriate deltas against a previous version and is therefore more efficient than recovering the entire document. The information of the link between deltas is stored directly with deltas and not in a table or a metadata object, that improves their security. The version control system maintains consistency between versions. Once a user has retrieved versions, she holds them in local, and the history can be accessed at any time without being necessary to connect to the central server. Deltas can be identified, indexed and maintained their integrity through the use of hash functions.

Protection de la vie privée

Édition collaborative de documents

Communications anonymes

Routage sécurisé

Cryptographie

Privacy

Collaborative editing

Anonymous communications

Secured routing

Cryptography

Calcul des couplages et arithmétique des courbes elliptiques pour la cryptographie / Pairing computation and arithmetic of elliptic curves for cryptography

Fouotsa, Emmanuel

02 December 2013

Alors qu'initialement utilisés pour résoudre le Problème du Logarithme Discret (DLP) dans le groupe de points d'une courbe elliptique, les couplages sont très à la mode en cryptographie ces années car ils permettent de construire de nouveaux protocoles cryptographiques. Cependant, le calcul efficace du couplage dépend de l'arithmétique du modèle de courbe elliptique choisi et du corps sur lequel cette courbe est définie. Dans cette thèse, nous calculons le couplage sur deux modèles de Jacobi de courbes elliptiques puis nous introduisons et étudions l'arithmétique d'un nouveau modèle d'Ewards de courbe elliptique défini en toutes caractéristiques. Plus précisément, Nous utilisons l'interprétation géométrique de la loi de groupe sur l'intersection des quadriques de Jacobi pour obtenir pour la première fois dans la littérature, les formules explicites de la fonction de Miller pour le calcul du couplage de Tate sur cette courbe. Pour un calcul de couplage avec un degré de plongement pair, nous définissons la tordue quadratique pour obtenir des étapes de doublement et d'addition efficaces dans l'algorithme de Miller. Ensuite nous utilisons un isomorphisme entre la quartique spéciale de Jacobi Ed: Y²=dX⁴+Z⁴ et le modèle de Weierstrass pour obtenir la fonction de Miller nécessaire au calcul du couplage de Tate. Pour un degré de plongement divisible par 4, nous définissons la tordue d'ordre 4 de cette courbe pour obtenir un résultat meilleur du calcul du couplage de Tate par rapport aux courbes elliptiques sous forme de Weierstrass. Notre résultat améliore en même temps les derniers résultats obtenus sur cette courbe. Ce résultat est donc le meilleur connu à ce jour, à notre connaissance, pour le calcul du couplage de Tate sur les courbes possédant des tordues d'ordre 4. En 2006, Hess et al. introduisent le couplage Ate, qui est une version améliorée du couplage de Tate. Nous calculons ce couplage et ses variantes sur la même quartique. Nous y obtenons encore des résultats meilleurs. Notre troisième contribution est l'introduction d'un nouveau modèle d'Edwards de courbe elliptique d'équation 1+x²+y²+x²y²=Xxy. Ce modèle est ordinaire sur les corps de caractéristique 2 et nous montrons qu'il est birationnellement équivalent au modèle original d'Edwards x²+y²=c²(1+x²y²) en caractéristique différente de 2. Pour ce faire, nous utilisons la théorie des fonctions thêta et un modèle intermédiaire que nous appelons modèle thêta de niveau 4. Nous utilisons les relations de Riemann des fonctions thêta pour étudier l'arithmétique de ces deux courbes. Nous obtenons d'une part une loi de groupe complète, unifiée et en particulier compétitive en caractéristique 2 et d'autre part nous présentons les meilleures formules d'addition différentielle sur le modèle thêta de niveau 4. / While first used to solve the Discrete Logarithm Problem (DLP) in the group of points of elliptic curves, bilinear pairings are now useful to construct many public key protocols. The efficiency of pairings computation depends on the arithmetic of the model chosen for the elliptic curve and of the base field where the curve is defined. In this thesis, we compute and implement pairings on elliptic curves of Jacobi forms and we study the arithmetic of a new Edwards model for elliptic curves defined over any finite field. More precisely, We use the geometric interpretation of the group law of Jacobi intersection curves to obtain the first explicit formulas for the Miller function in Tate pairing computation in this case. For pairing computation with even embedding degree, we define and use the quadratic twist of this curve to obtain efficient formulas in the doubling and addition stages in Miller's algorithm. Moreover, for pairing computation with embedding degree divisible by 4 on the special Jacobi quartic elliptic curve Ed :Y²=dX⁴+Z⁴, we define and use its quartic twist to obtain a best result with respect to Weierstrass curves. Our result is at the same time an improvement of a result recently obtained on this curve, and is therefore, to our knowledge, the best result to date on Tate pairing computation among all curves with quartic twists. In 2006, Hess et al. introduced the concept of Ate pairing which is an improving version of the Tate pairing. We extend the computation of this pairing and its variations to the curve E_d. Again our theoretical results show that this curve offers the best performances comparatively to other curves with quartic twists, especially Weiertrass curves. As a third contribution, we introduce a new Edwards model for elliptic curves with equation 1+x²+y²+x²y²=\lambda xy. This model is ordinary over binary fields and we show that it is birationally equivalent to the well known Edwards model x²+y²=c²(1+x²y²) over non-binary fields. For this, we use the theory of theta functions to obtain an intermediate model that we call the level 4 theta model. We study the arithmetic of these curves, using Riemann relations of theta functions. The group laws are complete, unified, efficient and are particularly competitive in characteristic 2. Our formulas for differential addition on the level four theta model over binary fields are the best to date among well known models of elliptic curves.

Courbes elliptiques

Cryptographie

Couplages

Modèle de Jacobi

Modèled'Edwards

Fonctions theta

Elliptic curves

Cryptography

Pairings

Jacobi model

Edwards model

Theta functions

Algorithmes d'authentification et de cryptographie efficaces pour les réseaux de capteurs sans fil / Efficient authentication and cryptography algorithms for wirless sensor nerworks

Faye, Youssou

18 September 2014

Un réseau de capteurs sans fil (RCSF) est constitué d’un grand nombre de nœuds capteurs autonomes qui collaborent ensemble pour la surveillance d’une zone, d’une machine, d’une personne etc.. Dans certaines applications,les données critiques doivent être protégées contre toute utilisation frauduleuse et être accessibles en temps réel. Le besoin d’apporter une solution de sécurité fiable et adaptée paraît donc essentiel. Les solutions de sécurité utilisées dans les réseaux traditionnels ne sont pas directement applicables dans les RCSFs, car développer des primitives de sécurité en utilisant de faibles ressources devient un véritable défi. Dans cette thèse, nous proposons des solutions nouvelles peu gourmandes en ressources qui tiennent compte des faibles capacités de défense d’un réseau autonome. Dans cette optique nous appliquons des mécanismes cryptographiques bas´es sur les fonctions de hachage et les courbes elliptiques. Un focus sur différents mécanismes de sécurité peu gourmands en ressources nous permet la mise en évidence des rapports de forces entre les RCSFs et leurs vulnérabilités. Notre première contribution vise `a améliorer la sécurité et les performances en termes d’´énergie sur des protocoles d’authentification existants tout en utilisant les mêmes mécanismes. Dans la deuxième contribution, on utilise le concept de probabilité de risque afin de déterminer la consommation énergétique dans différentes architectures de déploiement. Dans la troisième contribution nous présentons un nouveau mécanisme d’accélération de la multiplication scalaire sur les courbes elliptiques définies dans des corps finis premiers. Ce mécanisme bas´e sur l’opposé et l’ordre d’un point, réduit le nombre d’opérations de points dans un intervalle donné, et présente en plus l’avantage de pouvoir être combiné avec les techniques existantes. Enfin dans notre dernière contribution, nous nous sommes intéressés à l’accélération du calcul des points résultants du partitionnement du scalaire qui introduisent des coûts additionnels de calcul et de stockage mémoire. Nous comparons différentes formules de points existantes en mettant en évidence leur efficacité. / A Wireless Sensor Network (WSN) consists of a large number of sensor nodes which collaborate so as tomonitor environnement. For various WSNs’ applications, the collected data should be protected by preventingunauthorized users from gaining the information. The need to find a reliable and adaptive security solution isvery important. Most current standard security protocols designed for traditional networks cannot be applieddirectly in WSN. For this reason, providing a variety of security functions with limited resources is a realchallenge. Our research work seeks to find secure efficient solutions that take into account the rather weakdefense of an autonomous network. In this way, we apply lightweight cryptography mechanisms based on hashfunction and elliptic curves. A focus on different security mechanisms and lightweight security algorithms canhighlight the strength ratio between WSNs and their vulnerabilities. Our first contribution is on a secure energyefficient solution, it uses the same mechanism and aims to enhance the security weaknesses of existing solutions.The second contribution uses the concept of probability risk analysis to show to which level the proposedsolution justifies the better energy consumption for a given network architecture. In the third contribution, wepresent a new technique to accelerate scalar multiplication on elliptic curves cryptography over prime field forlight-weight embedded devices like sensor nodes. Our method reduces the computation of scalar multiplicationby an equivalent representation of points based on point order in a given interval and can also act as a supportfor most existing methods. Finally our last contribution presents a fast pre-computation algorithm in a parallelscalar multiplication to avoid the storage of pre-computation points which requires extra memory. We alsoprovide a comparison of different formulas so as to find out their efficiency.

Réseaux de Capteurs Sans Fil

Authentification

Wireless Sensor Network

Authentication

Elliptic Curves Cryptography

621.36

Strongly Private Communications in a Homogeneous Network / Communications anonymes dans un réseau homogène

Guellier, Antoine

22 May 2017

L’avènement de l’ère digitale a changé la façon dont les individus communiquent à travers le monde, et a amené de nouvelles problématiques en terme de vie privée. La notion d’anonymat la plus répandue pour les communications sur Internet consiste à empêcher tout acteur du réseau de connaître à la fois l’expéditeur d’un message et son destinataire. Bien que ce niveau de protection soit adéquat pour l’utilisateur d’Internet moyen, il est insuffisant lorsqu’un individu peut être condamné pour le simple envoi de documents à une tierce partie. C’est le cas en particulier des lanceurs d’alerte, prenant des risques personnels pour informer le public de pratiques illégales ou antidémocratiques menées par de grandes organisations. Dans cette thèse, nous envisageons un niveau d’anonymat plus fort, où l’objectif est de dissimuler le fait même qu’un utilisateur envoie ou reçoive des données. Pour cela, nous délaissons l’architecture client-serveur couramment utilisée dans les réseaux anonymes, en faveur d’une architecture entièrement distribuée et homogène, où chaque utilisateur remplit également le rôle de serveur relai, lui permettant de dissimuler son propre trafic dans celui qu’il relai pour les autres. Dans cette optique, nous proposons un nouveau protocole pour les communications pairs à pairs sur Internet. À l’aide de récents outils de preuves cryptographiques, nous prouvons que ce protocole réalise les propriétés d’anonymat désirées. De plus, nous montrons par une étude pratique que, bien que le protocole induise une grande latence dans les communications, il assure un fort anonymat, même pour des réseaux de petite taille. / With the development of online communications in the past decades, new privacy concerns have emerged. A lot of research effort have been focusing on concealing relationships in Internet communications. However, most works do not prevent particular network actors from learning the original sender or the intended receiver of a communication. While this level of privacy is satisfactory for the common citizen, it is insufficient in contexts where individuals can be convicted for the mere sending of documents to a third party. This is the case for so-called whistle-blowers, who take personal risks to alert the public of anti-democratic or illegal actions performed by large organisations. In this thesis, we consider a stronger notion of anonymity for peer-to-peer communications on the Internet, and aim at concealing the very fact that users take part in communications. To this end, we deviate from the traditional client-server architecture endorsed by most existing anonymous networks, in favor of a homogeneous, fully distributed architecture in which every user also acts as a relay server, allowing it to conceal its own traffic in the traffic it relays for others. In this setting, we design an Internet overlay inspired from previous works, that also proposes new privacy-enhancing mechanisms, such as the use of relationship pseudonyms for managing identities. We formally prove with state-of-the-art cryptographic proof frameworks that this protocol achieves our privacy goals. Furthermore, a practical study of the protocol shows that it introduces high latency in the delivery of messages, but ensures a high anonymity level even for networks of small size.

Vie privée

Anonymat

Internet

Pair à pair

Homogène

Cryptographie

Chiffrement homomorphe

Privacy

Anonymity

Internet

Peer-to-Peer

Homogeneous

Cryptography

Homomorphic Encryption

Cryptanalyse des algorithmes de chiffrement symétrique / Cryptanalysis of symmetric encryption algorithms

Chaigneau, Colin

28 November 2018

La sécurité des transmissions et du stockage des données est devenue un enjeu majeur de ces dernières années et la cryptologie, qui traite de la protection algorithmique de l'information, est un sujet de recherche extrêmement actif. Elle englobe la conception d'algorithmes cryptographiques, appelée cryptographie, et l'analyse de leur sécurité, appelée cryptanalyse.Dans cette thèse, nous nous concentrons uniquement sur la cryptanalyse, et en particulier celle des algorithmes de chiffrement symétrique, qui reposent sur le partage d'un même secret entre l'entité qui chiffre l'information et celle qui la déchiffre. Dans ce manuscrit, trois attaques contre des algorithmes de chiffrement symétriques sont présentées. Les deux premières portent sur deux candidats de l'actuelle compétition cryptographique CAESAR, les algorithmes AEZ et NORX, tandis que la dernière porte sur l'algorithme Kravatte, une instance de la construction Farfalle qui utilise la permutation de la fonction de hachage décrite dans le standard SHA-3. Les trois algorithmes étudiés présentent une stratégie de conception similaire, qui consiste à intégrer dans une construction nouvelle une primitive, i.e. une fonction cryptographique élémentaire, déjà existante ou directement inspirée de travaux précédents.La compétition CAESAR, qui a débuté en 2015, a pour but de définir un portefeuille d'algorithmes recommandés pour le chiffrement authentifié. Les deux candidats étudiés, AEZ et NORX, sont deux algorithmes qui ont atteint le troisième tour de cette compétition. Les deux attaques présentées ici ont contribué à l'effort de cryptanalyse nécessaire dans une telle compétition. Cet effort n'a, en l'occurrence, pas permis d'établir une confiance suffisante pour justifier la présence des algorithmes AEZ et NORX parmi les finalistes.AEZ est une construction reposant sur la primitive AES, dont l'un des principaux objectifs est d'offrir une résistance optimale à des scénarios d'attaque plus permissifs que ceux généralement considérés pour les algorithmes de chiffrement authentifié. Nous montrons ici que dans de tels scénarios il est possible, avec une probabilité anormalement élevée, de retrouver l'ensemble des secrets utilisés dans l'algorithme.NORX est un algorithme de chiffrement authentifié qui repose sur une variante de la construction dite en éponge employée par exemple dans la fonction de hachage Keccak. Sa permutation interne est inspirée de celles utilisées dans BLAKE et ChaCha. Nous montrons qu'il est possible d'exploiter une propriété structurelle de cette permutation afin de récupérer la clé secrète utilisée. Pour cela, nous tirons parti du choix des concepteurs de réduire les marges de sécurité dans le dimensionnement de la construction en éponge.Enfin, la dernière cryptanalyse remet en cause la robustesse de l'algorithme Kravatte, une fonction pseudo-aléatoire qui autorise des entrées et sorties de taille variable. Dérivée de la permutation Keccak-p de SHA-3 au moyen de la construction Farfalle, Kravatte est efficace et parallélisable. Ici, nous exploitons le faible degré algébrique de la permutation interne pour mettre au jour trois attaques par recouvrement de clé : une attaque différentielle d'ordre supérieur, une attaque algébrique "par le milieu" et une attaque inspirée de la cryptanalyse de certains algorithmes de chiffrement à flot. / Nowadays, cryptology is heavily used to protect stored and transmitted data against malicious attacks, by means of security algorithms. Cryptology comprises cryptography, the design of these algorithms, and cryptanalysis, the analysis of their security.In this thesis, we focus on the cryptanalysis of symmetric encryption algorithms, that is cryptographic algorithms that rely on a secret value shared beforehand between two parties to ensure both encryption and decryption. We present three attacks against symmetric encryption algorithms. The first two cryptanalyses target two high profile candidates of the CAESAR cryptographic competition, the AEZ and NORX algorithms, while the last one targets the Kravatte algorithm, an instance of the Farfalle construction based on the Keccak permutation. Farfalle is multipurpose a pseudo-random function (PRF) developed by the same designers' team as the permutation Keccak used in the SHA-3 hash function.The CAESAR competition, that began in 2015, aims at selecting a portfolio of algorithms recommended for authenticated encryption. The two candidates analysed, AEZ and NORX, reached the third round of the CAESAR competition but were not selected to be part of the finalists. These two results contributed to the cryptanalysis effort required in such a competition. This effort did not establish enough confidence to justify that AEZ and NORX accede to the final round of the competition.AEZ is a construction based on the AES primitive, that aims at offering an optimal resistance against more permissive attack scenarios than those usually considered for authenticated encryption algorithms. We show here that one can recover all the secret material used in AEZ with an abnormal success probability.NORX is an authenticated encryption algorithm based on a variant of the so-called sponge construction used for instance in the SHA-3 hash function. The internal permutation is inspired from the one of BLAKE and ChaCha. We show that one can leverage a strong structural property of this permutation to recover the secret key, thanks to the designers' non-conservative choice of reducing the security margin in the sponge construction.Finally, the last cryptanalysis reconsiders the robustness of the Kravatte algorithm. Kravatte is an efficient and parallelizable PRF with input and output of variable length. In this analysis, we exploit the low algebraic degree of the permutation Keccak used in Kravatte to mount three key-recovery attacks targeting different parts of the construction: a higher order differential attack, an algebraic meet-in-the-middle attack and an attack based on a linear recurrence distinguisher.

Cryptographie symétrique

Cryptanalyse

Chiffrement par bloc

Chiffrement à flot

Chiffrement authentifié

Symmetric cryptography

Cryptanalysis

Block ciphers

Stream ciphers

Authenticated encryption

005.82

Caractérisation sécuritaire de circuits basse-consommation face aux attaques par laser / Security evaluation of low-power devices against laser fault attacks

Lacruche, Marc

21 July 2016

La minimisation de la consommation d'énergie est primordiale lors de la conception de circuits. Cependant, il est nécessaire de s'assurer que cela ne compromette pas la sécurité des circuits. Et ce particulièrement face aux attaques physiques, les appareils mobiles étant des cibles idéales pour ces dernières.Ce travail vise à évaleur l'impact du body-biasing sur la résistance des circuits aux attaques laser. Ces techniques permettent d'ajuster dynamiquement le ratio consommation/performance d'un circuit en modifiant la tension de polarisation des caissons. Le manuscrit se découpe en quatre chapitres. Il commence par un état de l'art. Puis, le banc de test laser utilisé est présenté ainsi que le travail effectué pour permettre son automatisation et une première étude sur l'impact des impulsions laser de courte durée sur les mémoires SRAM. Le troisième chapitre rapporte les résultats d'une campagne d'injection de faute laser sur des mémoires soumises au body-biasing. Celle-ci permet de mettre en évidence une augmentation de la sensibilité au laser des circuits lorsque leur tension d'alimentation est réduite et que le Forward Body Biasing est utilisé. A partir de ces résultats, le dernier chapitre propose une méthode utilisant les capacités basse-consommation d'un microcontrôleur pour durcir un AES matériel. Ces travaux permettent ainsi de montrer que les techniques de réduction de la consommation peuvent constituer un risque sécuritaire potentiel si elle ne sont pas prises en compte correctement. Cependant, les capacités apportées au circuit dans ce cadre peuvent être détournées pour améliorer sa résistance aux attaques. / The increasing complexity of integrated circuits and the explosion of the number of mobile devices today makes power consumption minimisation a priority in circuit design. However, it is necessary to make sure that it does not compromise the security of sensitive circuits. In this regard, physical attacks are a particular concern, as mobile devices are ideal targets for these attacks.This work aims at evaluating the impact of body-biasing on circuit vulnerability to laser attacks. These methods allow to dynamically adjust the performance/consumption ratio of a circuit by modifying the bias voltage of the body. It is divided in four chapters. It begins by introducing cryptography, physical attacks and low power design methods. Then the test bench used during this thesis is described, as well as the developpement work done in order to allow its automation. Then an initial study of the impact of short duration laser pulses on SRAM memories is presented. The third chapter reports the results of a laser fault injection campaign on memories subjected to Forward Body-Biasing. The results show a sensitivy increase of the circuits when supply voltage is lowered and FBB is activated. Based on these results, the last chapter introduces a method using the body-biasing and voltage scaling capabilities of a microcontroller to harden a hardware AES embedded on the latter.In conclusion, this works shows that low-power design methods can induce additional security risks if they are not carefully taken into account. However the additional capabilities of the circuits intended for power consumption reduction can be used in a different way to enhance device resillience to attacks.

Injection de fautes

Body biasing

Laser

Cryptographie

Basse consommation

Sécurité

Fault attacks

Body biasing

Laser

Cryptography

Low power

Security

Conception et analyse formelle de protocoles de sécurité, une application au vote électronique et au paiement mobile / Design and formal analysis of security protocols, an application to electronic voting and mobile payment

Filipiak, Alicia

23 March 2018

Les “smart-devices” tels les smartphones, tablettes et même les montres ont été largement démocratisés au cours de la dernière décennie. Dans nos sociétés occidentales, on ne garde plus seulement son ordinateur personnel chez soi, on le transporte dans la poche arrière de son pantalon ou bien autour de son poignet. Ces outils ne sont d’ailleurs plus limités, en termes d’utilisation, à de la simple communication par SMS ou bien téléphone, on se fie à eux pour stocker nos photos et données personnelles, ces dernières parfois aussi critiques que des données de paiement bancaires, on gère nos contacts et finances, se connecte à notre boite mail ou un site marchand depuis eux. . . Des exemples récents nous fournissent d’ailleurs un aperçu des tâches de plus en plus complexes que l’on confie à ces outils : l’Estonie autorise l’utilisation de smartphones pour participer aux scrutins nationaux et en 2017, la société Transport for London a lancé sa propre application autorisant l’émulation d’une Oyster card et son rechargement pour emprunter son réseau de transports publics. Plus les services se complexifient, plus la confiance qui leur est accordée par les groupes industriels et les utilisateurs grandit. Nous nous intéressons ici aux protocoles cryptographiques qui définissent les échanges entre les outils et entités qui interviennent dans l’utilisation de tels services et aux garanties qu’ils proposent en termes de sécurité (authentification mutuelle des agent, intégrité des messages circulant, secret d’une valeur critique…). Moult exemples de la littérature et de la vie courante ont démontré que leur élaboration était hautement vulnérable à des erreurs de design. Heureusement, des années de recherches nous ont fournis des outils pour rendre cette tâche plus fiable, les méthodes formelles font partie de ceux-là. Il est possible de modeler un protocole cryptographique comme un processus abstrait qui manipule des données et primitives cryptographiques elles aussi modélisées comme des termes et fonctions abstraites. On met le protocole à l’épreuve face à un attaquant actif et on peut spécifier mathématiquement les propriétés de sécurité qu’il est censé garantir. Ces preuves de sécurité peuvent être automatisées grâce à des outils tels que ProVerif ou bien Tamarin. L’une des grandes difficultés lorsque l’on cherche à concevoir et prouver formellement la sécurité d’un protocole de niveau industriel réside dans le fait que ce genre de protocole est généralement très long et doit satisfaire des propriétés de sécurité plus complexes que certains protocoles universitaires. Au cours de cette thèse, nous avons souhaité étudier deux cas d’usage : le vote électronique et le paiement mobile. Dans les deux cas, nous avons conçu et prouvé la sécurité d’un protocole répondant aux problématiques spécifiques à chacun des cas d’usage. Dans le cadre du vote électronique, nous proposons le protocole Belenios VS, une variante de Belenios RF. Nous définissons l’écosystème dans lequel le protocole est exécuté et prouvons sa sécurité grâce à ProVerif. Belenios VS garantit la confidentialité du vote et le fait qu’un utilisateur puisse vérifier que son vote a bien fait parti du résultat final de l’élection, tout cela même si l’outil utilisé par le votant est sous le contrôle d’un attaquant. Dans le cadre du paiement, nous avons proposé la première spécification ouverte de bout en bout d’une application de paiement mobile. Sa conception a pris en compte le fait qu’elle devait pouvoir s’adapter à l’écosystème de paiement déjà existant pour être largement déployable et que les coûts de gestion, de développement et de maintenance de la sécurité devait être optimisés / The last decade has seen the massive democratization of smart devices such as phones, tablets, even watches. In the wealthiest societies of the world, not only do people have their personal computer at home, they now carry one in their pocket or around their wrist on a day to day basis. And those devices are no more used simply for communication through messaging or phone calls, they are now used to store personal photos or critical payment data, manage contacts and finances, connect to an e-mail box or a merchant website... Recent examples call for more complex tasks we ask to such devices: Estonia voting policy allows the use of smart ID cards and smartphones to participate to national elections. In 2017, Transport for London launched the TfL Oyster app to allow tube users to top up and manage their Oyster card from their smartphone. As services grow with more complexity, so do the trust users and businesses put in them. We focus our interest into cryptographic protocols which define the exchanges between devices and entities so that such interaction ensure some security guarantees such as authentication, integrity of messages, secrecy… Their design is known to be an error prone task. Thankfully, years of research gave us some tools to improve the design of security protocols, among them are the formal methods: we can model a cryptographic protocol as an abstract process that manipulates data and cryptographic function, also modeled as abstract terms and functions. The protocol is tested against an active adversary and the guarantees we would like a protocol to satisfy are modeled as security properties. The security of the protocol can then be mathematically proven. Such proofs can be automated with tools like ProVerif or Tamarin. One of the big challenge when it comes to designing and formally proving the security an “industrial- level” protocol lies in the fact that such protocols are usually heavier than academic protocols and that they aim at more complex security properties than the classical ones. With this thesis, we wanted to focus on two use cases: electronic voting and mobile payment. We designed two protocols, one for each respective use case and proved their security using automated prover tools. The first one, Belenios VS, is a variant of an existing voting scheme, Belenios RF. It specifies a voting ecosystem allowing a user to cast a ballot from a voting sheet by flashing a code. The protocol’s security has been proven using the ProVerif tool. It guarantees that the vote confidentiality cannot be broken and that the user is capable of verifying their vote is part of the final result by performing a simple task that requires no technical skills all of this even if the user’s device is compromised – by a malware for instance. The second protocol is a payment one that has been conceived in order to be fully scalable with the existing payment ecosystem while improving the security management and cost on the smartphone. Its security has been proven using the Tamarin prover and holds even if the user’s device is under an attacker’s control

Cryptographie

Sécurité

Méthodes formelles

Systèmes mobiles et embarqués

Vote

Paiement

Cryptography

Security

Formal methods

Mobile and embedded systems

Voting

Payment

005.8

Injections électromagnétiques : développement d’outils et méthodes pour la réalisation d’attaques matérielles. / EM injections into Secure Devices

Poucheret, François

23 November 2012

Les attaques en fautes consistent à perturber le fonctionnement d'un circuit intégré afin d'accéder à des informations confidentielles. Ce type d'attaque est critique pour la sécurité d'une application, en raison de la vaste gamme d'effets possibles : saut d'instructions, modifications de valeurs de registres … Les moyens mis en œuvre pour corrompre le fonctionnement d'un dispositif électronique sont divers et variés. Un circuit peut ainsi être utilisé en dehors de ses limites opérationnelles (en T°, V ou fréquence d'horloge), être soumis à de brusques variations de tension ou voir son signal d'horloge altéré. Ces attaques restent néanmoins globales, car elles perturbent le circuit dans son intégralité. De fait, elles sont facilement détectables par les nombreuses contremesures et capteurs intégrés de nos jours dans les circuits sécurisés. Des techniques plus élaborées ont ainsi vu le jour, notamment attaques dites LASER. Elles permettent de cibler une zone définie du circuit avec un effet très local, diminuant les risques d'être détectées par les capteurs ainsi que l'apparition de dysfonctionnements complets du système. Toutefois, ces attaques nécessitent une préparation physico-chimique du circuit, à la fois coûteuse et potentiellement destructrice pour l'échantillon ciblé. En raison de leur propriété de pénétration dans les matériaux, les injections électromagnétiques (Electromagnetic Injections) permettent, en théorie, de s'affranchir de toute étape de préparation. Leur capacité à transmettre de l'énergie sans contact direct, ainsi que la possibilité de les produire en possédant un matériel peu onéreux en font une technique de perturbation à fort potentiel. C'est dans ce contexte que cette thèse, intitulée « Injections électromagnétiques : développement d'outils et méthodes pour la réalisation d'attaques matérielles. » a été menée avec comme principaux objectifs la recherche de moyens de perturbation sans contact ne nécessitant pas d'étapes de préparation des échantillons, et produisant des effets localisés. Plus particulièrement, ces travaux de recherche ont donc d'abord été axés sur la réalisation d'une plateforme d'attaques basées sur la génération d'ondes EM harmoniques, en se focalisant sur les éléments clés que sont les sondes d'injection. Diverses expérimentations sur circuits intégrés en technologie récente, notamment sur une structure de générateur d‘horloge interne, ont permis de valider son efficacité. Enfin, des attaques sur générateurs de nombres aléatoires ont également été réalisées et ont démontré la possibilité de réduire l'aléa produit en sortie, en utilisant soit le phénomène de ‘locking' ou de manière plus surprenante, en provocant des fautes lors de l'échantillonnage des données par les éléments mémoires. / Attacks based on fault injection consist in disturbing a cryptographic computation in order to extract critical information on the manipulated data. Fault attacks constitute a serious threat against applications, due to the expected effects: bypassing control and protection, granting access to some restricted operations… Nevertheless, almost of classical ways (T°,V,F) and optical attacks are limited on the newest integrated circuits, which embed several countermeasures as active shield, glitch detectors, sensors… In this context, potentials of Electromagnetic active attacks must undoubtedly be taken into account, because of their benefits (penetrating characteristics, contactless energy transmission, low cost power production…). In this work, EM active attacks based on continuous mode are presented, with a particular attention to the development and optimization of injection probes, with a complete characterization of EM fields provided by each probe at the IC surface. Finally, some experiments are realized on internal clock generator or on true random numbers generators, then evaluated to prove the efficiency of these techniques. Keywords. Hardware Attacks, Faults Attacks, EM induced faults, CMOS Integrated Circuits.

Injections électromagnétiques

Sécurité matérielle

Attaques en fautes

Cryptographie appliquée

Circuits Intégrés

EM injections

Hardware Security

Fault Attacks

Applied Cryptography

Cmos ic

Authentification d'objets à distance / Remote object authentication protocols

Lancrenon, Jean

22 June 2011

Cette thèse est consacrée à la description et à l'étude de la sécurité de divers protocoles destinés à faire de l'authentification d'objets physiques à distance à base de comparaison de vecteurs binaires. L'objectif des protocoles proposés est de pouvoir réaliser une authentification en garantissant d'une part que les informations envoyées et reçues par le lecteur n'ont pas été manipulées par un adversaire extérieur et d'autre part sans révéler l'identité de l'objet testé à un tel adversaire, ou même, modulo certaines hypothèses raisonnables, aux composantes du système. Nous nous sommes fixés de plus comme objectif d'utiliser des méthodes de cryptographie sur courbe elliptique pour pouvoir profiter des bonnes propriétés de ces dernières, notamment une sécurité accrue par rapport à la taille des clefs utilisées. Nous présentons plusieurs protocoles atteignant l'objectif et établissons pour presque tous une preuve théorique de leur sécurité, grâce notamment à une nouvelle caractérisation d'une notion standard de sécurité. / This thesis is dedicated to the description of several bitrsitring comparison based remote object authentication protocols and the study of their theoretical security. The proposed protocols are designed to carry out the authentication of a given object while simultaneously guaranteeing that the information sent and received by the server cannot be tampered with by outside adversaries and that the identity of the tested object remains hidden from outside and (certain) inside adversaries. Finally it has been our objective to use elliptic curve cryptography, taking advantage of its useful properties, notably a better security level to key-size ratio. We present several protocols reaching these objectives, establishing for almost each protocol a theoretical proof of security using a new characterization of a standard security notion.

Courbe elliptique

Cryptographie

Authentification sécurisée

Morphométrie

Elliptic curve

Cryptography

Private information retrieval

Secure authentication

Morphometric

510