Cryptanalyses statistiques des algorithmes de chiffrement à clef secrète.

Gérard, Benoît

09 December 2010

Les travaux exposés dans ce document portent essentiellement sur l'étude des cryptanalyses statistiques des chiffrements par blocs. Certains des résultats présentés sont cependant suffisamment généraux pour pouvoir être utilisés dans d'autres contextes comme les chiffrements à flot, les attaques par canaux cachés, ... Après avoir donné quelques notions de base nécessaires à la compréhension du document, l'on s'intéresse aux deux grandes familles de cryptanalyses statistiques : les cryptanalyses linéaires et cryptanalyses différentielles. Un état de l'art est effectué afin de pouvoir appréhender les différentes problématiques liées à ces cryptanalyses. Dans un second temps, le document présente les travaux effectués durant ces trois années de thèse. Ceux-ci portent en majorité sur l'analyse de la complexité en données et de la probabilité de succès des cryptanalyses statistiques. Est aussi présenté un algorithme de décodage des codes linéaires qui peut être utilisé pour retrouver la clef lors d'une cryptanalyse linéaire. Notons que deux attaques sont proposées sur des schémas de chiffrement reconnus. Une cryptanalyse linéaire multiple sur la totalité du DES et une cryptanalyse différentielle multiple sur 18 tours du chiffrement PRESENT. Ces deux attaques sont, à ce jour, les meilleures attaques connues de leur catégorie sur ces chiffrements. Enfin, un appendice contient tous les détails techniques et preuves calculatoires permettant d'obtenir les résultats importants de ce document.

[INFO:INFO_OH] Computer Science/Other

cryptographie symétrique

cryptanalyses statistiques

cryptanalyse linéaire

cryptanalyse différentielle

complexité en données

théorie de l'information

Analyse de primitives symétriques / Analysis of symmetric primitives

Karpman, Pierre

18 November 2016

Cette thèse a pour objet d'étude les algorithmes de chiffrement par blocet les fonctions de hachage cryptograpiques, qui sont deux primitives essentielles de la cryptographie dite «symétrique».Dans une première partie, nous étudions des éléments utiles pour la conception de chiffres par bloc: tout d'abord des matrices de diffusion de grande dimension issues de codes correcteurs géométriques, puis une boîte de substitution offrant une bonne diffusion. Dans le second cas, nous montrons aussi comment utiliser cet élément pour construire un chiffre compact et efficace sur petits processeurs.Dans une seconde partie, nous nous intéressons à des attaques en collision à initialisation libre sur la fonction de hachage SHA-1. Nous montrons comment les attaques classiques sur cette fonction peuvent être rendues plus efficaces en exploitant la liberté supplémentaire offerte par ce modèle. Ceci nous permet en particulier de calculer explicitement des collisions pour la fonction de compression de SHA-1 non réduite. / This thesis is about block ciphers and cryptographic hash functions, which are two essential primitives of symmetric-key cryptography. In the first part of this manuscript, we study useful building blocks for block cipher design. We first consider large diffusion matrices builtfrom algebraic-geometry codes, and then construct a small S-box with good diffusion. In the second case, we show how the S-box can be used to define a compact and efficient block cipher targetting small processors. In the second part, we focus on the SHA-1 hash function, for which we develop a free start collision attack. We show how classical collision attacks can be made more efficient by exploiting the additional freedom provided by the model. This allows us in particular to compute explicit collisions for the full compression function of SHA-1.

Cryptographie symétrique

Chiffres par bloc

Fonctions de hachage

Symmetric cryptography

Block cipher

Hash function

Cryptanalyse des algorithmes de chiffrement symétrique / Cryptanalysis of symmetric encryption algorithms

Chaigneau, Colin

28 November 2018

La sécurité des transmissions et du stockage des données est devenue un enjeu majeur de ces dernières années et la cryptologie, qui traite de la protection algorithmique de l'information, est un sujet de recherche extrêmement actif. Elle englobe la conception d'algorithmes cryptographiques, appelée cryptographie, et l'analyse de leur sécurité, appelée cryptanalyse.Dans cette thèse, nous nous concentrons uniquement sur la cryptanalyse, et en particulier celle des algorithmes de chiffrement symétrique, qui reposent sur le partage d'un même secret entre l'entité qui chiffre l'information et celle qui la déchiffre. Dans ce manuscrit, trois attaques contre des algorithmes de chiffrement symétriques sont présentées. Les deux premières portent sur deux candidats de l'actuelle compétition cryptographique CAESAR, les algorithmes AEZ et NORX, tandis que la dernière porte sur l'algorithme Kravatte, une instance de la construction Farfalle qui utilise la permutation de la fonction de hachage décrite dans le standard SHA-3. Les trois algorithmes étudiés présentent une stratégie de conception similaire, qui consiste à intégrer dans une construction nouvelle une primitive, i.e. une fonction cryptographique élémentaire, déjà existante ou directement inspirée de travaux précédents.La compétition CAESAR, qui a débuté en 2015, a pour but de définir un portefeuille d'algorithmes recommandés pour le chiffrement authentifié. Les deux candidats étudiés, AEZ et NORX, sont deux algorithmes qui ont atteint le troisième tour de cette compétition. Les deux attaques présentées ici ont contribué à l'effort de cryptanalyse nécessaire dans une telle compétition. Cet effort n'a, en l'occurrence, pas permis d'établir une confiance suffisante pour justifier la présence des algorithmes AEZ et NORX parmi les finalistes.AEZ est une construction reposant sur la primitive AES, dont l'un des principaux objectifs est d'offrir une résistance optimale à des scénarios d'attaque plus permissifs que ceux généralement considérés pour les algorithmes de chiffrement authentifié. Nous montrons ici que dans de tels scénarios il est possible, avec une probabilité anormalement élevée, de retrouver l'ensemble des secrets utilisés dans l'algorithme.NORX est un algorithme de chiffrement authentifié qui repose sur une variante de la construction dite en éponge employée par exemple dans la fonction de hachage Keccak. Sa permutation interne est inspirée de celles utilisées dans BLAKE et ChaCha. Nous montrons qu'il est possible d'exploiter une propriété structurelle de cette permutation afin de récupérer la clé secrète utilisée. Pour cela, nous tirons parti du choix des concepteurs de réduire les marges de sécurité dans le dimensionnement de la construction en éponge.Enfin, la dernière cryptanalyse remet en cause la robustesse de l'algorithme Kravatte, une fonction pseudo-aléatoire qui autorise des entrées et sorties de taille variable. Dérivée de la permutation Keccak-p de SHA-3 au moyen de la construction Farfalle, Kravatte est efficace et parallélisable. Ici, nous exploitons le faible degré algébrique de la permutation interne pour mettre au jour trois attaques par recouvrement de clé : une attaque différentielle d'ordre supérieur, une attaque algébrique "par le milieu" et une attaque inspirée de la cryptanalyse de certains algorithmes de chiffrement à flot. / Nowadays, cryptology is heavily used to protect stored and transmitted data against malicious attacks, by means of security algorithms. Cryptology comprises cryptography, the design of these algorithms, and cryptanalysis, the analysis of their security.In this thesis, we focus on the cryptanalysis of symmetric encryption algorithms, that is cryptographic algorithms that rely on a secret value shared beforehand between two parties to ensure both encryption and decryption. We present three attacks against symmetric encryption algorithms. The first two cryptanalyses target two high profile candidates of the CAESAR cryptographic competition, the AEZ and NORX algorithms, while the last one targets the Kravatte algorithm, an instance of the Farfalle construction based on the Keccak permutation. Farfalle is multipurpose a pseudo-random function (PRF) developed by the same designers' team as the permutation Keccak used in the SHA-3 hash function.The CAESAR competition, that began in 2015, aims at selecting a portfolio of algorithms recommended for authenticated encryption. The two candidates analysed, AEZ and NORX, reached the third round of the CAESAR competition but were not selected to be part of the finalists. These two results contributed to the cryptanalysis effort required in such a competition. This effort did not establish enough confidence to justify that AEZ and NORX accede to the final round of the competition.AEZ is a construction based on the AES primitive, that aims at offering an optimal resistance against more permissive attack scenarios than those usually considered for authenticated encryption algorithms. We show here that one can recover all the secret material used in AEZ with an abnormal success probability.NORX is an authenticated encryption algorithm based on a variant of the so-called sponge construction used for instance in the SHA-3 hash function. The internal permutation is inspired from the one of BLAKE and ChaCha. We show that one can leverage a strong structural property of this permutation to recover the secret key, thanks to the designers' non-conservative choice of reducing the security margin in the sponge construction.Finally, the last cryptanalysis reconsiders the robustness of the Kravatte algorithm. Kravatte is an efficient and parallelizable PRF with input and output of variable length. In this analysis, we exploit the low algebraic degree of the permutation Keccak used in Kravatte to mount three key-recovery attacks targeting different parts of the construction: a higher order differential attack, an algebraic meet-in-the-middle attack and an attack based on a linear recurrence distinguisher.

Cryptographie symétrique

Cryptanalyse

Chiffrement par bloc

Chiffrement à flot

Chiffrement authentifié

Symmetric cryptography

Cryptanalysis

Block ciphers

Stream ciphers

Authenticated encryption

005.82

La cryptanalyse différentielle et ses généralisations

Blondeau, Céline

07 November 2011

Le travail de recherche présenté dans cette thèse se place en cryptographie symétrique. En particulier, nous nous intéressons à l'analyse et à la conception des systèmes de chiffrement par blocs. Les années 90 ont vu l'avènement de nombreuses attaques statistiques sur ces systèmes de chiffrement. Durant cette thèse, je me suis intéressée aux généralisations de la cryptanalyse différentielle. La première partie de ce manuscrit est dédiée à la présentation d'un certain nombre d'attaques statistiques sur les systèmes de chiffrement par blocs. Dans cette thèse nous donnons une méthode générale qui permet de calculer la complexité en donnée et la probabilité de succès des attaques statistiques simples. En en utilisant plusieurs différentielles nous généralisons la cryptanalyse différentielle et la cryptanalyse différentielle tronquée et nous étudions les complexités de cette attaque différentielle multiple. La seconde partie de cette thèse est dédiée à l'étude des critères sur les boîtes-S des systèmes de chiffrement par blocs qui permettent de prémunir ces systèmes de chiffrement contre les attaques différentielles. À la suite d'une étude approfondie de la résistance des boîtes-S, nous avons introduit un nouveau critère, plus précis que l'uniformité différentielle, nous permettant de mesurer la vulnérabilité des boîtes-S aux attaques différentielles. Dans cet manuscrit, nous introduisons la notion de spectre différentiel et étudions le spectre différentiel de différentes classes de fonctions puissances.

cryptographie symétrique

attaque statistique

cryptanalyse différentielle

complexité

uniformité différentielle

spectre différentiel

fonctions puissances

Analyse de fonctions de hachage cryptographiques

Boura, Christina

07 December 2012

En 2008, l'Institut National des Standards et de la Technologie américain (NIST) a initié une compétition publique, nommée SHA-3, afin de sélectionner une nouvelle norme pour les fonctions de hachage. Nous étudions ici des propriétés algébriques de certaines des fonctions candidates à ce concours. Parmi les fonctions étudiées se trouve l'algorithme Keccak, qui est depuis peu la fonction qui a remporté la compétition et qui est devenue le nouveau standard SHA-3. Dans un premier temps nous avons étudié et analysé un nouveau type de distingueur introduit en 2009 et appelé distingueur par partition en sommes nulles. Nous l'avons appliqué sur plusieurs candidats du concours SHA-3. Nous nous sommes ensuite intéressés au degré algébrique des permutations itérées. Nous avons établi une première borne qui exploite la structure des fonctions non-linéaires usuellement employées dans les constructions de type SPN. Après, nous avons étudié le rôle de la permutation inverse dans les constructions itérées et nous avons prouvé une deuxième borne, plus générale, sur le degré. Nous présentons également une étude sur une nouvelle notion concernant les boîtes-S, qui exprime le fait que certaines composantes d'une boîte-S peuvent s'exprimer comme des fonctions affines sur un sous-espace bien choisi et sur tous ses translatés. L'analyse de ce type de propriétés a mené à l'amélioration d'une cryptanalyse de la fonction de hachage Hamsi. Enfin, nous avons étudié la résistance contre les attaques par canaux cachés de deux candidats au concours SHA-3 et nous avons proposé des contre-mesures au niveau logiciel.

cryptographie symétrique

fonctions de hachage

propriétés algébriques

fonctions Booléennes

attaques par canaux cachés

Analyse de la résistance des chiffrements par blocs aux attaques linéaires et différentielles / On the resistance of block ciphers to differential and linear cryptanalyses

Roué, Joëlle

14 October 2015

L'objet de cette thèse est de raffiner les critères classiques de résistance des réseaux de substitution-permutation aux attaques linéaires et différentielles. Nous présentons une nouvelle borne sur le MEDP2 et le MELP2, qui ne dépend que de la boîte-S et du branch number de la fonction de diffusion, lorsque celle-ci est linéaire sur l'alphabet de la boîte-S. De plus, pour toute boîte-S, nous montrons qu'il existe toujours au moins une permutation linéaire de branch number maximal pour laquelle le MEDP2 (resp. MELP2) dépasse une certaine quantité. Ainsi, sous certaines conditions sur la boîte-S S et le branch number d, il est impossible de trouver une meilleure borne ne dépendant que de S et de d. Par ailleurs, nous introduisons une nouvelle propriété des boîtes-S qui simplifie le calcul de la borne. Si S et son inverse la vérifient, nous prouvons que la borne inférieure précédente est satisfaite pour toute fonction de diffusion de branch number maximal. En particulier, si S est l'inversion dans le corps à 2^m éléments, la valeur exacte de MEDP2 (et de MELP2) est toujours la plus grande possible parmi les boîtes-S de la même classe d'équivalence et la composition avec une permutation affine permet en général de diminuer ces valeurs. D'autre part, pour de nombreux chiffrements, le MEDP2 est atteint par une différentielle ayant le minimum de boîtes-S actives. Nous montrons que ceci est toujours vrai pour certaines familles de boîtes-S. Cependant, nous présentons aussi des SPN pour lesquels le MEDP2 est atteint par une différentielle dont le nombre de boîtes-S actives est supérieur au branch number de M. / In this work, we refine the classical criteria for the resistance of substitution-permutation networks against differential and linear cryptanalyses. We provide a new upper bound on the MEDP2 and MELP2 when the diffusion layer is linear over the finite field defined by the Sbox alphabet. This bound only depends on the Sbox and on the branch number of the linear layer. We also provide a lower bound on these quantities and we show that, under some condition, it is optimal in the sense that there exists a diffusion layer for which the bound is tight. Moreover, we introduce a particular class of Sboxes, for which the bounds are easier to compute. If S and its inverse are in this class, then the lower bound is tight for any MDS linear layer. Furthermore, we prove that the inversion in the field with 2^m elements is the mapping in its equivalence class which has the highest MEDP2 and MELP2, independently of the choice of the linear diffusion layer. This situation mainly originates from the fact that it is an involution. We also focus on the differentials that reach the MEDP2. Though it appears to be the case for most known examples, there is a priori no reason to believe that these differentials correspond to a differential with the lowest number of active Sboxes. We detail some situations for which we prove that the MEDP2 is achieved by a differential with the smallest number of active Sboxes, for instance when the Sbox is carefully chosen. However, this phenomenon is not general as we exhibit the first examples of SPNs where the MEDP2 is achieved by a differential in which the number of active Sboxes exceeds the branch number.

Cryptographie symétrique

Cryptanalyse linéaire

Cryptanalyse différentielle

Réseaux de substitution-Permutation

Aes

Chiffrements par blocs

Linear and differential cryptanalyses

Substitution-permutation networks

004

Cryptanalyse de chiffrements symétriques / Cryptanalysis of symmetric ciphers

Lallemand, Virginie

05 October 2016

Les travaux réalisés dans cette thèse ont pour objet l'analyse de la sécurité de chiffrements à clef secrète. Plus précisément, nous y décrivons la cryptanalyse de plusieurs chiffrements par blocs et à flot ayant pour point commun d'avoir été conçus récemment pour répondre aux nouveaux enjeux de la cryptographie symétrique. Nous mettons en avant des attaques des versions complètes de cinq chiffrements, prouvant ainsi que ces primitives cryptographiques n'apportent pas la sécurité annoncée par leurs concepteurs.La première partie de cette thèse est dédiée à l'analyse de chiffrements par blocs avec des techniques de cryptanalyse différentielle. Nous montrons comment mener une attaque par différentielles tronquées sur la famille de chiffrements à bas coût KLEIN en exploitant la faible diffusions de sa fonction de tour. Ensuite, nous nous intéressons à Zorro et à Picaro, deux chiffrements conçus de sorte à être faciles à protéger contre les attaques par canaux auxiliaires, et montrons que les choix de conception guidés par cette contrainte ont engendré des faiblesses dans leurs propriétés différentielles, pouvant ensuite être exploitées dans des attaques.La seconde partie du manuscrit porte sur la cryptanalyse de chiffrements à flot. Nous y étudions Sprout et Flip, deux chiffrements aux structures innovantes visant respectivement à limiter la taille du circuit matériel nécessaire à l'implémentation et une bonne adaptation dans un schéma de FHE. / The main subject of this thesis is the security analysis of symmetric key ciphers. Specifically, we study several recently proposed block and stream ciphers and prove that the level of security stated by their designers is overestimated. The ciphers we study were all designed in order to meet the needs of one of the new applications of symmetric cryptography, which include symmetric ciphers for very constrained environments.The first part of the thesis is dedicated to the analysis of block ciphers with techniques based on differential cryptanalysis. We start with the description of a truncated differential attack on the family of lightweight ciphers KLEIN. Next, we analyse two ciphers that were designed in such a way that they could be easily and effectively protected against side-channel attacks: Zorro and Picaro. We show that the design choices made by their designers lead to weak diffusion properties. We exploit these imperfections to devise a differential cryptanalysis of Zorro and a related key attack on Picaro.The second part of this thesis deals with stream ciphers and gives an analysis of two innovative designs: Sprout and Flip. Sprout was designed in order to limit its hardware area size and to suit very constrained environments, while Flip reaches efficient performances when used in FHE schemes. In both cases, we find flaws that lead to attacks of the particular set of parameters proposed for these ciphers.

Cryptographie symétrique

Cryptanalyse

Cryptographie à bas coût

Chiffrements par blocs

Chiffrements à  flot

Cryptanalyse différentielle

Symmetric-key cryptography

Cryptanalysis

Ciphers

005.8

Quelques résultats en cryptographie symétrique, pour les modèles de confiance dans les réseaux ambiants et la sécurité dans les réseaux de capteurs sans fil

Minier, Marine

31 May 2012

Quelques résultats en cryptographie symétrique, pour les modèles de confiance dans les réseaux ambiants et la sécurité dans les réseaux de capteurs sans fil

cryptographie symétrique

modèles de confiance

sécurité

réseaux de capteurs sans fils

Codes additifs et matrices MDS pour la cryptographie / Additive codes and MDS matrices for the cryptographic applications

El Amrani, Nora

24 February 2016

Cette thèse porte sur les liens entre les codes correcteurs d'erreurs et les matrices de diffusion linéaires utilisées en cryptographie symétrique. L'objectif est d'étudier les constructions possibles de codes MDS additifs définis sur le groupe (Fm2, +) des m-uplets binaires et de minimiser le coût de l'implémentation matérielle ou logicielles de ces matrices de diffusion. Cette thèse commence par l'étude des codes définis sur un anneau de polynômes du type F[x]/f(x), qui généralisent les codes quasi-cycliques. Elle se poursuit par l'étude des codes additifs systématiques définis sur (Fm2, +) et leur lien avec la diffusion linéaire en cryptographie symétrique. Un point important de la thèse est l'introduction de codes à coefficient dans l'anneau des endomorphismes de Fm2. Le lien entre les codes qui sont des sous-modules à gauche et les codes additifs est mis en évidence. La dernière partie porte sur l'étude et la construction de matrices de diffusion MDS ayant de bonnes propriétés pour la cryptographie, à savoir les matrices circulantes, les matrices dyadiques, ainsi que les matrices ayant des représentations creuses minimisant leur implémentation. / This PhD focuses on the links between error correcting codes and diffusion matrices used in cryptography symmetric. The goal is to study the possible construction of additives MDS codes defined over the group (Fm2, +) of binary m-tuples and minimize cost of hardware or software implementation of these diffusion matrices. This thesis begins with the study of codes defined over the polynomial ring F[x]/f(x), these codes are a generalization of quasi-cyclic codes, and continues with the study of additive systematic codes over (Fm2, +) and there relation with linear diffusion on symmetric cryptography. An important point of this thesis is the introduction of codes with coefficients in the ring of endomorphisms of Fm2. The link between codes which are a left-submodules and additive codes have been identified. The last part focuses on the study and construction of efficient diffusion MDS matrices for the cryptographic applications, namely the circulantes matrices, dyadic matrices, and matrices with hollow representation, in ordre to minimize their implementations.

Codes additifs

Codes MDS

Matrices de diffusion

Cryptographie symétrique

Chiffrement par bloc

Codes sur des anneaux

Additive codes

MDS codes

Diffusion matrices

Symmetric cryptography

Block cipher

Codes over rings

005.82

Mathématiques discrètes appliquées à la cryptographie symétrique / Mathématiques discrètes appliquées à la cryptographie symétrique

Rotella, Yann

19 September 2018

Dans cette thèse, nous étudions la sécurité de primitives cryptographiques. Ces systèmes sont fondés sur des transformations utilisant des objets mathématiques représentés de multiples manières. Nous utilisons alors certaines structures inhérentes à leurs composantes, et jusqu'alors non prises en compte, pour mettre en évidence de nouvelles vulnérabilités. Par l'exploitation de diverses représentations, nous avons ainsi cryptanalysé des chiffrements authentifiés de la compétition CAESAR, des chiffrements à flot spécifiques et des constructions génériques. Nous avons donné des critères de conception en vue de la standardisation par le NIST de chiffrements à bas coût. Dans le cas des chiffrements à flot, nous avons défini de nouveaux critères cryptographiques plus pertinents que les critères usuels. Plus précisément, nous analysons la sécurité des chiffrements par bloc légers au regard des récentes attaques par invariant, et nous montrons comment les éviter par un choix approprié de la couche linéaire de diffusion et des constantes de tour. Nous proposons une nouvelle cryptanalyse des registres filtrés, grâce à la décomposition des éléments dans les sous-groupes multiplicatifs du corps fini à 2^n éléments. L'analyse du chiffrement FLIP, mais aussi du générateur pseudo-aléatoire de Goldreich a mis en évidence des faiblesses exploitables dans des attaques de type ``supposer et déterminer'', qui nécessitent la prise en compte de nouveaux critères sur les fonctions booléennes utilisées dans ce contexte. Enfin, nous cryptanalysons une version simplifiée du chiffrement authentifié Ketje en utilisant plusieurs techniques, permettant ainsi d'affiner l'évaluation de sa sécurité. / In this thesis, we study the security of symmetric cryptographic primitives. These systems are based on transformations relying on mathematical objects that can be represented in multiple ways. We then exploit different induced structures to highlight new vulnerabilities. By exploiting various representations, we cryptanalyzed some schemes submitted to the CAESAR competition, and also some dedicated and generic stream ciphers. We exhibited design criteria for lightweight block ciphers in view of the NIST standardization process and in the case of stream ciphers we defined new cryptographic criteria more relevant than the usual ones. More precisely, we study the security of lightweight block ciphers with respect to the recent invariant attacks, and we show how to avoid them with an appropriate choice of the linear layer and the round constants. We propose a new cryptanalysis of the filtered registers, by decomposing elements in the multiplicative subgroups of the finite field with 2^n elements. The analysis of the FLIP cipher, but also of the Goldreich pseudo-random generator, revealed weaknesses that are exploitable in ``guess and determine'' attacks. This leads to new criteria on the Boolean functions used in this context. Finally, we cryptanalyze a weaker version of the authenticated encryption scheme Ketje using several techniques, in order to refine the security evaluation of this cipher.

Cryptographie symétrique

Cryptanalyse

Fonctions booléennes

Corps finis

Chiffrements à flot

Chiffrements par bloc

Symmetric cryptography

Cryptanalysis

Boolean functions

Finited fields

Stream cipher

Block cipher

650