Présentation de l’équipe « Cryptologie et Sécurité de l’Information

Plus sur les mathématiques :

http://www.audentia-gestion.fr/MATHEMATIQUES/

ou juste avant la balise de fermeture -->

PR SM 1 Présentation de l’équipe « Cryptologie et Sécurité de l’Information » LouisGoubin,Professeur Coresponsable del’équipe Journée du1 er décembre 2008PR SM 2 Composition de l’équipe Permanents: – LouisGOUBIN,PR,coresponsable del’équipe – AntoineJOUX,PAST – JacquesPATARIN,PR,coresponsable del’équipe – MichaëlQUISQUATER,MC Nonpermanentschercheurs – GuilhemCASTAGNOS,Postdoc – CécileDELERABLEE,Ingénieurderecherche Doctorants – AlexandreBERZATI(CEALETI) – PascalDELAUNAY(Thales,bourseCIFRE) – JonathanETROG(FranceTélécom/OrangeLabs,bourseCIFRE) – Sorina IONICA(UVSQ,AMX) – AngeMARTINELLI(Thales,bourseCIFRE) – JeanMichelMASEREEL(UVSQ,bourserégionIledeFrance) – JeanRené REINHARD(DCSSI) – YannickSEURIN(FranceTélécom/OrangeLabs) – JoanaTREGER(UVSQ,bourseDGA) – VanessaVITSE(UVSQ,PRAG) – EmmanuelVOLTE(Université deCergyPontoise,PRAG)PR SM 3 Positionnement de la recherche Positionnementdelarecherchedel’équipepar rapportaudomaine – Preuvesdesécurité pourlesschémasdechiffrementà clé secrète – Cryptographiemultivariable – Cartesà microprocesseur – Courbeselliptiques – Algorithmesdechiffrementà flot – Fonctionsdehachage – Cryptographieetcalculintensif – Obfuscation decode – Sécurité destéléphonesmobilesPR SM 4 Quelques résultats obtenus (1) Equivalencedumodèledel’oraclealéatoireetdumodèleduchiffrement idéal(J.S.Coron,J.Patarin,Y.Seurin) – Lemodèlede« l’oraclealéatoire» (ROM:Random OracleModel)etde modèledelapermutationaléatoire(Ideal Cipher Model)sontdeuxmodèles théoriquestrèsclassiquespourobtenirdes« preuvesrelatives» desécurité encryptographie,c’estàdirepourprouverlasécurité decertains algorithmesenlesreliantà desobjetsmathématiquesidéaux.Or,malgré des annéesderecherche,ilavaitété impossiblejusqu’icideprouverqueses deuxmodèlesétaientéquivalents(pourunedéfinitiondel’équivalenceliéeà desréductionspolynomialesdecomplexité).J.S.Coron,J.PatarinetY. Seurin ontréussià prouverl’équivalence. – L’idéeclé danslapreuvedecerésultatfutd’utilisercequel’onnommedes« schémasdeFeistel ».Cesschémaspermettentdeconstruiredefaçontrès rapidesdesbijectionspseudoaléatoiresà partirdefonctionspseudo aléatoires.Ilsontété découvertsparHorstFeistel (19151990)un cryptologue américaind’origineallemande.Cesschémasontété rendus célèbresparleDES(DataEncryption Standard)quiaété l’algorithme cryptographiqueà clé secrèteleplusutilisé aumondeentre1981et1995 environ.Onmontrealorsque5toursdecesschémasnesuffisentpaspour prouverl’équivalenceentrelesmodèlesd’oraclealéatoireetdepermutations aléatoires,maisparcontre,que6tourssuffisent,cequiétaittoutà fait inattendu. J.S.Coron,J.Patarin,Y.Seurin :« TheRandomOracleModelandthe IdealCipherModelareequivalent» (CRYPTO2008,meilleur article)PR SM 5 Quelques résultats obtenus (2) Commentrendre rigoureuse l’attaque deBonehDurfee sur RSA avecune clé secrète petite(A.BaueretA.Joux) – Afin d’accélérer ledéchiffrement etlagénération designaturedans lecryptosystème RSA,onpeut utiliser une petiteclé secrète.En 1990,Wieneramontré que si cette clé est troppetite,plus précisément pluspetiteque N^(0.25),leschéma peut être facilement cassé.Neuf ans plustard,Boneh etDurfee ont amélioré cette borne à N^(0.292),ce quiconstitue jusqu’à maintenant lameilleure borne connue.Néanmoins,cette attaque est heuristique etreposesur une hypothèse bien connue concernant l’indépendance algébrique entre polynômes – AEurocrypt 2007,A.BaueretA.Joux ont proposé une construction théorique poursedébarasser deshypothèses heuristiques qui apparaissent dans lesméthodes deCoppersmith.Dans lecas de l’attaque deBonehDurfee,il est possibled’obtenir lamême borne N^(0.292),mais avecune attaque rigoureuse,ce quiest lapremier exemple d’attaque rigoureuse d’appuyant sur lestechniquesde Coppersmith. Aurélie Bauer,AntoineJoux :« TowardaRigorousVariationof Coppersmith'sAlgorithmonThreeVariables» (EUROCRYPT 2007)PR SM 6 Quelques résultats obtenus (3) ObfuscationduDESetdel’AES (O.Billet,L.Goubin,J.M. Masereel,M.Quisquater) – Unobfuscateur (O)estunalgorithmePPTquiprendenentrée l’encodageP1d’unemachinedeTuringetsortl’encodageP2d’une machinedeTuringéquivalente(O(P1)=P2),telleque: – Conditionde« ralentissementpolynomial » :ilexisteunpolynôme polytelque time(P2)= poly(time(P1)) – Conditionde« boîtenoirevirtuelle » :pourtoutanalyseurAna,il existeun« analyseurboîtenoire » BAna,telquepourtoutemachine deTuringP1etsaversionobfusquée P2=O(P1); |Pr[Ana(P2)=1]– Pr[BAna P2 (1 time(P2) )=1]|= Negl(|P1|) Résultat général d’impossibilité : – BoazBarak,Oded Goldreich,RussellImpagliazzo,StevenRudich, Amit Sahai,Salil Vadhan andKe Yang:“Onthe(im)possibility of obfuscatingprograms” (CRYPTO2001)PR SM 7 Quelques résultats obtenus (4) AESobfuscation method proposed byChow,Eisen,Johnson andvanOorschot (SAC’2002) Cryptanalyzed: – ByBillet,GilbertandEchChatbi (SAC’2004andBillet’s PhD Thesis,UVSQ) DESobfuscation methods proposed byChow,Eisen,Johnson andvanOorschot (DRM’2002) Simplest method (« naked DES »)cryptanalysed: – byChow,Eisen,JohnsonandvanOorschot themselves (SAC’2002) Improved method cryptanalyzed: – byJacob,Boneh andFelten (ACMWorkshoponDRM,2002) – byLinkandNeuman (IACRePRINT,2004/025) Strongest known method (« nonstandardDES ») cryptanalysed: – byWyseur,Michiels,Gorissen andPreneel (SAC’2007) – byGoubin,Masereel and(M.)Quisquater (SAC’2007)PR SM 8 Quelques résultats obtenus (5) CryptanalysedeGrindahl (T.Peyrin) – Cetarticleportesurcequel’onnommeles« fonctionsdehachage »,ou« fonctionsdecondensations».C’estunsujetparticulièrement « chaud» encemomentencryptologiedanslemondeentier.En effetlesdiversesfonctionsdehachagesclassiquess’effondrentles unesaprèslesautres.Ainsi,parexemple,lafonctiondehachagela plusutiliséeaumonde,nomméeSHA1,aété prouvéeêtremoins sûrequevouluparunechercheusechinoise(Wang)ilyaquelques années.Etson« ancêtre» direct,nommé SHA0aété cassé parA. Joux.Orlesfonctionsdehachagesontindispensablesdansdetrès nombreusesapplications,parexempledèsquel’onsouhaiteréaliser dessignaturesélectroniques.Lacriseesttellequ’unappelà de nouvellesfonctionsaété lancé auniveaumondial:unnouveau standarddoitêtrechoisipourlesannéesquiviennent.T.Peyrin a montré danssonarticled’Asiacrypt 2007que« Grindahl »,un candidatsérieuxpourremplacerSHA1,n’étaitpaslabonne solution,à moinséventuellementd’yintroduirequelques modificationsimportantes. T.Peyrin,« Cryptanalysis ofGrindahl » (Asiacrypt 2007,meilleur article)PR SM 9 Quelques résultats obtenus (6) Conceptiond’unenouvellefonctionsdehachage – CRUNCH • Toutefonctiondenbitssurnbitspeuts’écrirecommeXORdedeux permutations • Idempourdesfonctions/permutationspseudoaléatoires • ConstructionavecschémasdeFeistel – Auteurs: • Equipecrypto:LouisGoubin,JacquesPatarin,JoanaTreger • EquipeARPA:MickaelIvascot,WilliamJalby • Université deCergyPontoise:Valerie Nachef,EmmanuelVolte • Université deBordeauxI(LaBRI):OlivierLy Soumissionà l’appelSHA3duNIST – 64candidatsPR SM 10 Bilan publications (1) Thèses soutenues – ThomasPeyrin :« Analysedefonctionsdehachagecryptographiques » (3 novembre 2008) – Aurélie Bauer:« Versunegénéralisationrigoureusedesméthodesde Coppersmith pourlarecherchedepetitesracinesdepolynômes» (15 septembre 2008) – Blandine Debraize :« Méthodes decryptanalyse pourlesschémas de chiffrement symétrique » (11avril 2008) – ChristopheClavier:« Attaques physiquessur cartes à microprocesseur par injectiondefautes » (23novembre 2007) – ChristopheGiraud:« Attaques decryptosystèmes embarqués etcontre mesures associées » (26octobre 2007) – AudreyMontreuil:« Mariage etPapillons (calcul multipartiesetschéma de Benesrevisité)» (15juin 2006) – OlivierBillet:« Cryptologie Multivariable» (16décembre 2005) – MehdiLaurentAkkar :« Attaque etMéthodes deProtectionsdeSystèmes Cryptographiques Embarqués » (1 er octobre 2004) Ratio – Nombre dethèses /HDRsoutenues parannée :2PR SM 11 Bilan publications (2) Total 8 11 22 20 20 81 6 10 22 20 18 76 Conf. Int. 2 1 0 0 2 5 Rev. Int. 2004 2005 2006 2007 2008 TotalPR SM 12 Intégration dans l’environnement local à l’UVSQ Projets/actionsdecoopérationavecd’autreséquipesdulaboratoire (recherchetransversale) – Avecl’équipeARPA:« Cryptographieetcalculintensif »,ProjetDGA/REI 05C0016(Rechercheexploratoireinnovante)[20062008].Responsabledu projetpourl’UVSQ:L.Goubin – Avecl’équipeARPA:SAPHIR2,projetANRVERSO[20082012],labellisé parlepôledecompétitivité System@tic.Responsablesduprojetpour l’UVSQ:L.Goubin&A.Joux Travauxderechercheavecd’autreslaboà l’université – CollaborationavecleLMV(mathématiques),avecdessujets derecherche communs (e.g.mise aupointd’algorithmes pourrésoudre dessystèmes d’équations multivariablequadratiques,avecM.MartinDeschamps,etétude deconjecturesencombinatoire avecV.Cossart) – Masterrecherche “Algèbre appliquée”,coorganisé avecleLMV (responsables :V.Cossart etJ.Patarin) – Seminaire commun maths/cryptoavecleLMV(responsable :L.Goubin) Implicationdel’équipedanslesinstancesdel’université (CS,CA, PRES,DIGITEO). – J.Patarinreprésentelesmathématiques,l’informatiqueetSPIauseindu « Directoiredelarecherche » (présidencedel’université)PR SM 13 Partenariats scientifiques nationaux (1) Projets(ANR,FUI,pôlesdecompétitivité)˜ 800K€ autotal(20042008) – "Pôledetechnologieà l’Université deVersaillesSaintQuentinenYvelines", projetACICryptologie[20012005].Resp.:J.Patarin – XCRYPT,projetRNRT[20042006].Partenaires:FranceTélécom,Axalto, ENS,Inria,Cryptolog,UVSQ.Coordinateur:L.Goubin – CrySCoE,projetANRSSIA(Sécurité,Systèmesembarqués&Intelligence Ambiante)[20062009].Partenaires:UVSQ,ENS,Université BordeauxI (LaBRI).Coordinateur:L.Goubin – EDHASH,projetANRSetIn (Sécurité etInformatique)[20062009]. Partenaires:INRIA,UVSQ.Resp.:A.Joux – ODYSSEE,projetANRTélécommunications[20072009].Labellisé par System@tic.Partenaires:Gemalto,UVSQ,CEALETI.Resp.:L.Goubin – COPRIM,projetANRTélécommunications[20082010]Labellisé parlepôle decompétitivité Minalogic.Partenaires:CEALETI,InsideContactless, UVSQ,UPMF(Grenoble).Resp.:L.Goubin – SECUREALGORITHM,projetFUI(FondsUniqueInterministériel)[2008 2010]Labellisé parlepôledecompétitivité System@tic.Partenaires: Oberthur Card Systems,Thales,Nagra,ENST,ParisVIII,UVSQ.Resp.:M. Quisquater. – SAPHIR2,projetANRVERSO[20082012]Labellisé parlepôlede compétitivité System@tic.Partenaires:Orange,Gemalto,Cryptolog,EADS, Sagem,LIENS,INRIA,UVSQ,DCSSI.Resp.:L.Goubin Contrats˜ 200K€ autotal – "Cryptographieetcalculintensif",ProjetDGA/REI05C0016(Recherche exploratoireinnovante)[20062008].Resp.L.GoubinPR SM 14 Partenariats scientifiques nationaux (2) Contrats/Valorisation(industriels,Cifre,européens, etc) – Encours:2thèsesCIFRE(Thales),1thèseCEA,2thèses FranceTélécom – Soutenues:1thèseCIFRE(Axalto),1thèseGemplus,1 thèseOberthur,1thèseSchlumberger,2thèsesFrance Télécom Coopérationavecl’INRIA,CEA/DAM,… – CryptanalysedeSHA0,encollaborationavecleCEA/DAM – ProjetANR« Saphir2 » :cryptanalysedescandidatsde fonctiondehachagepourl’appelSHA3(NIST).Utilisationde moyensdecalculduCEA/DAMPR SM 15 Partenariats scientifiques internationaux Projetseuropéens: – ECRYPTII,réseaueuropéend'excellenceencryptologie, projetIST FP7[20082012].Partenaires:11membres principaux(K.U.Leuven,R.U.Bochum,Univ.Bristol,ENS, EPFL,FranceTelecom,IBMResearch Zurich,Royal Holloway Univ ofLondon,T.U.Eindhoven,T.U.GrazandUniv. ofSalerno)+26membresassociés(dontUVSQ). Collaborationsinternationales: – Publicationsavecdescoauteursdel’UCL(Louvainla Neuve,Belgique),l'EPFL(Lausanne,Switzerland), l’université duLuxembourg,KUL(Leuven,Belgique),Stanford University (Californie,USA),Technion (Israel),… – Visitesà :l’UCL(LouvainlaNeuve,Belgique),Banach Institute,Varsovie(Pologne),Université deMacquarie (Sydney,Australie)PR SM 16 Devenir des anciens membres Devenirdesancienspermanents – Pasd’ancienpermanent Devenirdesanciensthésards – ThomasPeyrin :embauché parIngenico commeExpertCryptologue – AurélieBauer:postdocà l’ENSUlm – BlandineDebraize :embauchéeparGemaltocommeExpertCryptologue – ChristopheClavier:Enseignantchercheurà 3iLetauXLIM(Limoges) – ChristopheGiraud:estdevenuresponsabledulaboratoired’attaqueschez Oberthur Card Systems – AudreyMontreuil:travaillemaintenantà l’université deReims – OlivierBillet:travaillecommeExpertCryptologue chezFranceTélécom (OrangeLabs) – MehdiLaurentAkkar :TravaillechezBNPParibas(Expert,Equity Derivatives Development)PR SM 17 Implications dans l’enseignement et l’organisation de la recherche (1) Responsabilitésdefilièresd’enseignement: – ResponsableM:L.Goubin – ResponsableM1:J.PatarinetM.Quisquater – ResponsablemasterSeCReTS (Sécurité desContenus,des Réseaux,desTélécommunicationsetdesSystèmes):L.Goubin – CoResponsable master« AlgèbreAppliquée » (avecV.Cossart, LMV):J.Patarin ImplicationdansleCNU,société savante,expertiseANR,etc… – L.Goubin:expertANRpourles« projetsderecherche fondamentaleenSécurité etInformatique» (SetIn 2006,SeSur 2007,ARPEGE2008) – L.Goubin:expertscientifiquepourlepôledecompétivité « TransactionsÉlectroniquesSécurisées» (Normandie) – A.JouxetL.Goubin:expertised’équipesprojetsINRIAPR SM 18 Implications dans l’enseignement et l’organisation de la recherche (2) IACR(InternationalAssociationforCryptologic Research) – L.Goubin:membredu« steering committee » delaconférence CHES(Cryptographic HardwareandEmbeddedSystems) – A.Jouxmembredu« Board ofDirectors » Programchairs – L.Goubin:CHES2006 – A.Joux:EUROCRYPT2009 Comitésdeprogramme – L.Goubin:CHES2005,CHES2006(ProgramChair),FDTC2006, WeWorc 2006,CHES2007,CHES2008,CARDIS2008,Weworc 2008,PQCrypto 2006,PQCrypto 2008 – A.Joux:Eurocrypt 2004,Crypto2005,Eurocrypt 2006,Crypto 2007,Eurocrypt 2008,Eurocrypt 2009(ProgramChair) – J.Patarin:ToolsforCryptanalysis 2007,Asiacrypt 2008PR SM 19 Perspectives (1) Preuves encryptographie symétrique – Analyse delasécurité desschémas deFeistel “contractants”.Ces schémas offrent eneffet demeilleures perspectivesdans lecadredemodèles de sécurité basés sur lathéorie del’information.Ilest prévu enoutre l’étude d’une conjecturedecombinatoire (1991),quiest aucoeur deces preuves de sécurité. Cryptographie multivariable – Etudedessystèmes aléatoires quadratiques “creux” pourlesapplicationsen cryptographie.Parailleurs,étude desapplicationsdelacryptanalyse multivariable,avecenparticulier comme objectifs lesalgorithmes de chiffrement à flot sélectionnés parleprojet européen estream,etles fonctions dehachage del’appel SHA3(NIST) Cartes à microprocesseur etsystèmes embarqués – Lesattaques DPA(DifferentialPowerAnalysis)dupremierordre ont été bien étudiés,etdescontremesures relativement efficaces sont connues.Des résultats existentaussi à l’ordre 2,mais ne sont pasefficaces.Nous prévoyons d’étudier lesattaques d’ordre plusélevé,etdeproposer un modèle unifé pourlesattaques DPAd’ordre klorsque k>1. Courbes elliptiques – L’utilisation descouplages comme primitivecryptographique est récente,eta permis derésoudre desproblèmes longtemps ouverts,comme lessignatures ultracourtes,ou lechiffrement basé sur l’identité.Nous prévoyons d’analyser lesfondements mathématiques etlesmodèles desécurité,etdechercher de nouvelles applicationsdescouplages pourdesprotocoles liés à laprotection delavieprivée.PR SM 20 Perspectives (2) Algorithmes dechiffrement à flot – Lechiffrement detransmissionsà hautdébit devient deenplusnécessaire sur desobjets portablesayant degrandes capacité destockage (clés USB, clés MP3,cartes à puce,DVBHsur lesmobiles,etc).Jusqu’à maintenant, lesattaques physiquessur lesimplémentations matérielles sont très peu développées.Lescontremesures – tant matérielles que logicielles – sont également peu étudiées.L’objectif est desécuriser lesimplémentations d’algorithmes dechiffrement à flot vis à vis desattaques physiques. Fonctions dehachage – Une nouvellefonction dehachage,CRUNCH,aété soumise à l’appel SHA3 duNIST.Destravaux ultérieurs seront nécessaires pouraméliorer les preuves desécurité pouruntel schéma. Cryptographie etcalcul intensif – Denouvelles techniquesdecryptanalyse seront étudiées pouranalyser la sécurité descandidats à l’appel SHA3duNIST,pourlesquels desfaiblesses deconceptionauraont été identifiées.Lacryptanalyse d’une fonction de hachage dédiée comprend l’étude desspécifications etdescritères de conception.L’objectif suivant serad’implémenter ces attaques defaçon optimisée,etdedonner une estimationprécise deleur coût.