Méthodes de calculs sur les données chiffrées / Outsourcing computation on encrypted data

Paindavoine, Marie

27 January 2017

L'annonce de l'essor du chiffrement des données se heurte à celle de l'avènement du "big data". Il n'est maintenant plus suffisant d'envoyer et de recevoir des données, il faut pouvoir les analyser, les exploiter ou encore les partager à grande échelle. Or, les données à protéger sont de plus en plus nombreuses, notamment avec la prise de conscience de l'impact qu'ont les nouvelles technologies (smartphones, internet of things, cloud,...) sur la vie privée des utilisateurs. En rendant ces données inaccessibles, le chiffrement bloque a priori les fonctionnalités auxquelles les utilisateurs et les fournisseurs de service sont habitués. Pour rétablir ces fonctionnalités, il est nécessaire de savoir calculer des fonctions de données chiffrées, et cette thèse explore plusieurs pistes dans ce sens. Dans une première partie, nous nous intéressons au chiffrement totalement homomorphe qui permet de réaliser des calculs arbitraires sur les données chiffrées. Ce type de chiffrement est cependant particulièrement coûteux, notamment à cause de l'appel souvent nécessaire à une procédure très coûteuse : le réamorçage. Nous prouvons ici que minimiser le nombre de réamorçages est un problème NP-complet et donnons une méthode pratique pour approximer ce minimum. Dans une seconde partie, nous étudions des schémas dédiés à une fonctionnalité donnée. Le premier cas d'usage considéré est celui de la déduplication vérifiable de données chiffrées. Il s'agit pour un serveur de stockage externe d'être assuré qu'il ne conserve qu'un seul exemplaire de chaque fichier, même si ceux-ci sont chiffrés, ce qui lui permet d'optimiser l'usage de ses ressources mémoires. Ensuite, nous proposons un schéma de chiffrement cherchable permettant de détecter des intrusions dans un réseau de télécommunications chiffrés. En effet, le travail d'inspection du réseau par des moteurs d'analyse est actuellement entravé par la croissance du trafic chiffré. Les résultats obtenus permettent ainsi d'assurer la confidentialité des échanges tout en garantissant l'absence d'intrusions malveillantes dans le trafic / Nowadays, encryption and services issued of ``big data" are at odds. Indeed, encryption is about protecting users privacy, while big data is about analyzing users data. Being increasingly concerned about security, users tend to encrypt their sensitive data that are subject to be accessed by other parties, including service providers. This hinders the execution of services requiring some kind of computation on users data, which makes users under obligation to choose between these services or their private life. We address this challenge in this thesis by following two directions.In the first part of this thesis, we study fully homomorphic encryption that makes possible to perform arbitrary computation on encrypted data. However, this kind of encryption is still inefficient, and this is due in part to the frequent execution of a costly procedure throughout evaluation, namely the bootstrapping. Thus, efficiency is inversely proportional to the number of bootstrappings needed to evaluate functions on encrypted data. In this thesis, we prove that finding such a minimum is NP-complete. In addition, we design a new method that efficiently finds a good approximation of it. In the second part, we design schemes that allow a precise functionality. The first one is verifiable deduplication on encrypted data, which allows a server to be sure that it keeps only one copy of each file uploaded, even if the files are encrypted, resulting in an optimization of the storage resources. The second one is intrusion detection over encrypted traffic. Current encryption techniques blinds intrusion detection services, putting the final user at risks. Our results permit to reconcile users' right to privacy and their need of keeping their network clear of all intrusion

Cryptographie

Chiffrement homomorphe

Cryptography

Homomorphic encryption

004.21

La composition des protocoles de sécurité avec la méthode B événementielle / Security protocols composition using Event B

Benaïssa, Nazim

28 May 2010

De nos jours, la présence de réseaux à grande échelle dans notre société bouleverse nos habitudes avec l'apparition de nouveaux services distants avec des besoins en matière de sécurité de plus en plus important. Nous abordons dans cette thèse la problématique de la composition des protocoles de sécurité, nous nous focalisons notamment sur les protocoles cryptographiques ainsi que sur les politiques de contrôle d'accès. La première partie de la thèse est consacrée à la composition des protocoles cryptographiques ainsi que leurs intégration avec d'autres types de protocoles. Nous introduisons notamment la notion de mécanismes cryptographiques qui sont des protocoles cryptographiques simples qui peuvent être composés pour obtenir des protocoles plus complexes sous réserve de faire les preuves nécessaires. Nous proposons également une méthode pour la reconstitution d'éventuelles attaques. La seconde partie de la thèse est consacrée à l'implémentation des politiques de contrôle d'accès par le raffinement, l'idée consiste à partir de politiques de sécurité abstraites et de les raffiner afin d'obtenir des politiques plus concrètes. Nous proposons également de combiner la technique de raffinement avec la technique de composition pour rendre plus efficace la procédure d'implémentation des politiques de contrôle d'accès / The presence of big scale networks in our modern society is affecting our usual practice, which as a result is generating the need to introduce a more and more important level of remote security services. We address in this thesis the problem of security protocols composition, we focus in particular on cryptographic protocols as well as access control policies. The first part of the thesis is dedicated to the composition of cryptographic protocols and to their integration other classes of protocols. We introduce the notion of cryptographic mechanisms. Mechanisms are simple cryptographic protocols that can be composed to obtain more complex protocols if the necessary proof obligations are discharged. We also introduce a technique for a proof based attack reconstruction. The second part of the thesis is dedicated to the deployment of access control policies using refinement, the idea consists in refining abstract policies to obtain a more concrete access control policies. We also propose to combine the refinement technique with the composition technique to obtain a more efficient access control policies deployment techniques

Logiciels - Vérification

Cryptographie

Ordinateurs - Accès – Contrôle

Composition

Some Practical Aspects of Lattice-based Cryptography

Gerard, François

09 September 2020

Cette thèse a pour but d'illustrer et de faire avancer l'état des connaissances sur certaines problématiques liées à l'utilisation de la cryptographie résistante à un adversaire muni d'un ordinateur quantique. L'intérêt suscité par le développement d'algorithmes dit "post-quantiques" a pris une ampleur majeure dans les dernières années suite aux progrès techniques de l'informatique quantique et la décision du NIST (National Institute of Standards and Technology) d'organiser un projet de standardisation. En particulier, nous nous intéressons aux algorithmes basant leur sécurité sur la difficulté de résoudre certains problèmes liés a un object mathématique appelé emph{réseau euclidien}. Ce type de cryptographie ayant déjà été étudiée de manière soutenue en théorie, une partie la communauté scientifique s'est maintenant tournée vers les aspects pratiques. Nous présentons dans la thèse trois sujets majeurs relatifs à ces aspects pratiques, chacun discuté dans un chapitre soutenu par une publication scientifique. Le premier sujet est celui des implémentations efficaces. L'utilisation de la cryptographie dans la société moderne implique de programmer du matériel informatique sécurisant des données. Trouver la manière la plus efficace d'implémenter les fonctions mathématiques décrites dans les spécifications de l'algorithme n'est pas toujours simple. Dans le chapitre correspondant à ce premier sujet, nous allons présenter un papier établissant la façon la plus rapide connue actuellement d'implémenter certains algorithmes participant au projet du NIST. Le deuxième sujet est celui des attaques par canaux auxiliaires. Une fois l'algorithme implémenté, son utilisation dans le monde physique donne une surface d'attaque étendue à l'adversaire. Certaines techniques sont connues pour mitiger les nouvelles attaques pouvant survenir. Dans ce chapitre, nous étudierons l'application d'une technique appelée emph{masquage} qui a été appliquée à un algorithme de signature post-quantique, lui aussi candidat au projet du NIST. Finalement, le dernier chapitre de contributions s'intéresse à la possibilité de fusionner deux algorithmes afin de créer un outil spécialisé plus efficace que l'utilisation des deux algorithmes de base. Cette technique de fusion était déjà connue par le passé mais n'avait été beaucoup étudiée dans le cadre de la cryptographie post-quantique. Ce dernier aspect est donc légèrement plus orienté design que purement pratique, mais la possibilité de fusionner à moindre coup des fonctionnalités permet d'avoir un gain concret lors de l'utilisation. / Option Informatique du Doctorat en Sciences / info:eu-repo/semantics/nonPublished

Informatique mathématique

cryptographie post-quantique lattices

Cryptanalyse de Schémas Multivariés

Dubois, Vivien

27 September 2007

La cryptographie multivariée peut être définie comme la cryptographie à clé publique basée sur la difficulté de résoudre des systèmes polynomiaux à plusieurs variables. Bien que la recherche de tels schémas soit apparue dès le début des années 80, elle s'est surtout développée depuis une dizaine d'années, et a conduit à plusieurs propositions jugées promet-teuses, telles que le cryptosystème HFE et le schéma de signature SFLASH. Les shémas multivariés se posent ainsi en alternative possible aux schémas traditionnels basés sur des problèmes de théorie des nombres, et constituent des solutions efficaces pour l'implantation des fonctionnalités de la cryptographie à clé publique. Lors d'Eurocrypt 2005, Fouque, Granboulan et Stern ont proposé une nouvelle approche cryptanalytique pour les schémas multivariés basée sur l'étude d'invariants liés à la différentielle, et ont démontré la pertinence de cette approche par la cryptanalyse du schéma PMI proposé par Ding. Au cours de cette thèse, nous avons développé l'approche différentielle proposée par Fouque et al. dans deux directions. La première consiste en un traitement combinatoire des invariants dimensionnels de la différentielle. Ceci nous a permis de montrer qu'une clé publique HFE pouvait être distinguée d'un système quadratique aléatoire en temps quasipolynomial. Une seconde application de cette même approche nous a permis de cryptanalyser une variation de HFE proposée par Ding et Schmidt à PKC 2005. Le second développement de la thèse est la découverte d'invariants fonctionnels de la différentielle et nous a permis de montrer la faiblesse du schéma SFLASH.

cryptologie

cryptographie à clé publique

cryptographie multivariée

cryptanalyse

différentielle

HFE

SFLASH

Algorithmes de logarithmes discrets dans les corps finis

Barbulescu, Razvan

05 December 2013

Dans cette thèse nous examinons en détail le problème du logarithme discret dans les corps finis. Dans la première partie, nous nous intéressons à la notion de friabilité et à l'algorithme ECM, le plus rapide test de friabilité connu. Nous présentons une amélioration de l'algorithme en analysant les propriétés galoisiennes des polynômes de division. Nous continuons la présentation par une application d'ECM dans la dernière étape du crible algébrique (NFS). Dans la deuxième partie, nous présentons NFS et son algorithme correspondant utilisant les corps de fonctions (FFS). Parmi les améliorations examinées, nous montrons qu'on peut accélérer le calcul de logarithme discret au prix d'un pré-calcul commun pour une plage de premiers ayant le même nombre de bits. Nous nous concentrons ensuite sur la phase de sélection polynomiale de FFS et nous montrons comment comparer des polynômes quelconques à l'aide d'une unique fonction. Nous concluons la deuxième partie avec un algorithme issu des récentes améliorations du calcul de logarithme discret. Le fait marquant est la création d'une procédure de descente qui a un nombre quasi-polynomial de nœuds, chacun exigeant un temps polynomial. Cela a conduit à un algorithme quasi-polynomial pour les corps finis de petite caractéristique.

cryptographie

logarithme discret

corps finis

courbes elliptiques

Hardware Acceleration for Homomorphic Encryption / Accélération matérielle pour la cryptographie homomorphe

Cathebras, Joël

17 December 2018

Dans cette thèse, nous nous proposons de contribuer à la définition de systèmes de crypto-calculs pour la manipulation en aveugle de données confidentielles. L’objectif particulier de ce travail est l’amélioration des performances du chiffrement homomorphe. La problématique principale réside dans la définition d’une approche d’accélération qui reste adaptable aux différents cas applicatifs de ces chiffrements, et qui, de ce fait, est cohérente avec la grande variété des paramétrages. C’est dans cet objectif que cette thèse présente l’exploration d’une architecture hybride de calcul pour l’accélération du chiffrement de Fan et Vercauteren (FV).Cette proposition résulte d’une analyse de la complexité mémoire et calculatoire du crypto-calcul avec FV. Une partie des contributions rend plus efficace l’adéquation d’un système non-positionnel de représentation des nombres (RNS) avec la multiplication de polynôme par transformée de Fourier sur corps finis (NTT). Les opérations propres au RNS, facilement parallélisables, sont accélérées par une unité de calcul SIMD type GPU. Les opérations de NTT à la base des multiplications de polynôme sont implémentées sur matériel dédié de type FPGA. Des contributions spécifiques viennent en soutien de cette proposition en réduisant le coût mémoire et le coût des communications pour la gestion des facteurs de rotation des NTT.Cette thèse ouvre des perspectives pour la définition de micro-serveurs pour la manipulation de données confidentielles à base de chiffrement homomorphe. / In this thesis, we propose to contribute to the definition of encrypted-computing systems for the secure handling of private data. The particular objective of this work is to improve the performance of homomorphic encryption. The main problem lies in the definition of an acceleration approach that remains adaptable to the different application cases of these encryptions, and which is therefore consistent with the wide variety of parameters. It is for that objective that this thesis presents the exploration of a hybrid computing architecture for accelerating Fan and Vercauteren’s encryption scheme (FV).This proposal is the result of an analysis of the memory and computational complexity of crypto-calculation with FV. Some of the contributions make the adequacy of a non-positional number representation system (RNS) with polynomial multiplication Fourier transform over finite-fields (NTT) more effective. RNS-specific operations, inherently embedding parallelism, are accelerated on a SIMD computing unit such as GPU. NTT-based polynomial multiplications are implemented on dedicated hardware such as FPGA. Specific contributions support this proposal by reducing the storage and the communication costs for handling the NTTs’ twiddle factors.This thesis opens up perspectives for the definition of micro-servers for the manipulation of private data based on homomorphic encryption.

Protection des données

Cryptographie homomorphe

Accélération matérielle

Data privacy

Homomorphic Cryptographie

Hardware acceleration

Limiter le besoin de tiers de confiance en cryptographie

Abdalla, Michel

24 November 2011

Les tiers de confiance sont essentiels aux communications sécurisées. Par exemple, dans une infrastructure de gestion de clés, l'autorité de certification est la clé de voute de l'authentification en garantissant le lien entre une identité et une clé publique. Une carte à puce se doit, pour sa part, d'assurer la confidentialité et l'intégrité des données secrètes lorsqu'elle sert de stockage de données cryptographiques. En effet, si ces garanties sont mises en défaut dans l'une de ces situations, alors la sécurité globale du système peut en être affectée. Plusieurs approches permettent de réduire l'importance des tiers de confiance, telles qu'accroître la difficulté de recouvrer la clé secrète, en la distribuant parmi plusieurs entités, ou limiter l'impact d'une fuite d'information secrète, comme dans les cryptosystèmes "intrusion-resilient" ou "forward-secure". Dans cette thèse, nous considérons deux méthodes complémentaires. La première méthode consiste à utiliser des mots de passe, ou des clés secrètes de faible entropie, qui n'ont pas besoin d'être stockés dans un dispositif cryptographique sécurisé. Malgré la faible entropie du secret, de tels protocoles peuvent fournir un niveau d'assurance satisfaisant pour la plupart des applications. On considère en particulier la mise en accord de clés. La deuxième méthode limite le besoin de garantie de la part des tiers de confiance en utilisant un cryptosystème basé sur l'identité, dans lequel la clé publique d'un utilisateur peut être une chaîne de caractères arbitraire, telle qu'une adresse email. Comme ces systèmes fournissent une résistance aux collusions, ils peuvent aussi être utilisés pour réduire les dommages causés par l'exposition de clés secrètes en générant des secrets indépendants pour chaque période de temps ou pour chaque périphérique/entité. Par ailleurs, ces systèmes basés sur l'identité permettent aux utilisateurs d'avoir un contrôle plus fin sur les capacités de déchiffrement des tiers, en limitant les conséquences liées à un mauvais usage.

Sécurité prouvée

cryptographie basée sur l'identité

Analyse des protocoles cryptographiques: des modèles symboliques aux modèles calculatoires

Cortier, Véronique

18 November 2009

Les protocoles de sécurité sont des programmes informatiques qui définissent des règles d'échange entre les points d'un réseau et permettent de sécuriser les communications. Ils sont utilisés par exemple dans les distributeurs de billets, les abonnements aux chaînes de télévision payantes, la téléphonie mobile, le commerce électronique. Leur objectif est de garantir le secret d'une donnée, d'authentifier un des participants, de garantir l'anonymat ou la non-répudiation, etc. Ces programmes sont exécutés sur des réseaux ouverts facilement accessibles (comme internet). Aussi, pour démontrer qu'ils remplissent bien leurs objectifs, il est nécessaire de prendre en compte les attaques dont ils peuvent faire l'objet. L'objet de mon mémoire d'habilitation à diriger des recherches est de montrer que les méthodes formelles peuvent être utilisées avec succès pour entreprendre une analyse fine des protocoles cryptographiques, à travers une palette variée d'outils. Nous présentons des procédures pour déterminer de façon automatique si un protocole est sûr. Nous avons proposés différents algorithmes en fonction des propriétés de sécurité considérées ainsi que des primitives cryptographiques utilisées (chiffrement, signature, hachage, ou exclusif, etc.). D'autre part, nous caractérisons des conditions qui permettent de combiner les résultats précédents et de concevoir les protocoles de façon modulaire. Ces résultats se basent sur des modèles symboliques, très différents de ceux utilisés en cryptographie où la notion de sécurité est basée sur la théorie de la complexité. Cette notion de sécurité est mieux adaptée pour identifier toutes les attaques possibles dans la réalité mais, en contrepartie, les (lourdes) preuves de sécurité sont effectuées à la main et semblent difficilement automatisables. Nous avons identifié des hypothèses cryptographiques qui permettent de relier les approches cryptographiques et symboliques. Il est alors possible d'obtenir des preuves de sécurité à un niveau cryptographique, directement à partir des preuves établies (automatiquement) dans un cadre symbolique.

[INFO] Computer Science

Vérification

protocoles

cryptographie

réécriture

déduction automatique

sécurité

Questions de Sécurité et de Vie Privée autour des Protocoles d'Identification de Personnes et d'Objets

Kindarji, Bruno

04 June 2010

On parle d'identification lorsqu'une personne ou un objet communicant présente un élément qui permet sa reconnaissance automatique. Ce mode s'oppose traditionnellement à l'authentification, dans laquelle on prouve une identité annoncée. Nous nous intéressons ici à l'identification biométrique d'une part, et à l'identification d'objets communicants sans-fil d'autre part. Les questions de la sécurité et du respect de la vie privée sont posées. Il y a sécurité si on peut s'assurer de la certitude que l'identification produit le bon résultat, et la vie privée est respectée si une personne extérieure au système ne peut pas déduire d'information à partir d'éléments publics. Nous montrons que dans le cas biométrique, le maillon le plus sensible du système se situe au niveau du stockage des données, alors que dans le cas de communications sans-fil, c'est le contenu des messages qui doit être protégé. Nous proposons plusieurs protocoles d'identification biométrique qui respectent la vie privée des utilisateurs; ces protocoles utilisent un certain nombre de primitives cryptographiques. Nous montrons par ailleurs comment l'utilisation de codes d'identification permet de mettre en oeuvre des protocoles d'interrogation d'objets communicants.

[MATH] Mathematics

Biométrie

Cryptographie

Vie Privée

Protocoles

Codes

Identification

Applications des fonctions thêta à la cryptographie sur courbes hyperelliptiques / Applications of theta functions to hyperelliptic curves cryptography

Cosset, Romain

07 November 2011

Depuis le milieu des années 1980, les variétés abéliennes ont été abondamment utilisées en cryptographie à clé publique: le problème du logarithme discret et les protocoles qui s'appuient sur celles-ci permettent le chiffrement asymétrique, la signature, l'authentification. Dans cette perspective, les jacobiennes de courbes hyperelliptiques constituent l'un des exemples les plus intéressants de variétés abéliennes principalement polarisées. L'utilisation des fonctions thêta permet d'avoir des algorithmes efficaces sur ces variétés. En particulier nous proposons dans cette thèse une variante de l'algorithme ECM utilisant les jacobiennes de courbes de genre 2 décomposables. Par ailleurs, nous étudions les correspondances entre les coordonnées de Mumford et les fonctions thêta. Ce travail a permis la construction de lois d'additions complètes en genre 2. Finalement nous présentons un algorithme de calcul d'isogénies entre variétés abéliennes. La majorité des résultats de cette thèse sont valides pour des courbes hyperelliptiques de genre quelconque. Nous nous sommes cependant concentré sur le cas du genre 2, le plus intéressant en pratique. Ces résultats ont été implémentés dans un package Magma appelé AVIsogenies / Since the mid 1980's, abelian varieties have been widely used in cryptography: the discrete logarithm problem and the protocols that rely on it allow asymmetric encryption, signatures, authentification... For cryptographic applications, one of the most interesting examples of principally polarized abelian varieties is given by the Jacobians of hyperelliptic curves. The theory of theta functions provides efficient algorithms to compute with abelian varieties. In particular, using decomposable curves of genus 2, we present a generalization of the ECM algorithm. In this thesis, we also study the correspondences between Mumford coordinates and theta functions. This led to the construction of complete addition laws in genus 2. Finally we present an algorithm to compute isogenies between abelian varieties. Most of the results of this thesis are valid for hyperelliptic curves of arbitrary genus. More specifically we emphasize on genus 2 hyperelliptic curves, which is the most relevant case in cryptography. These results have been implemented in a Magma package called AVIsogenies

Cryptographie

Courbes hyperelliptiques

Variétés abéliennes

Fonctions thêta

Factorisation

Isogénies

005.82