La cryptanalyse par diagramme commutatif, unifie sous un même cadre la plupart des méthodes « classiques » d’analyse de chiffrements symétriques. Néanmoins depuis 20 ans, cette généralisation n’a, à notre connaissance, jamais été utilisée, ni pour bâtir des arguments de sécurité, ni pour découvrir de nouveaux types d’attaques.
Dans cet exposé, nous introduisons et développons un cas moins général, la cryptanalyse commutative. Son principe : étant donnée une primitive E, trouver un couple de bijections affines (A,B) vérifiant l’égalité EoA = BoE avec grande probabilité. Ce cadre est à la fois suffisamment général pour englober certaines attaques déjà connues (notamment différentielles, qui correspondent au cas A = Id + a, B = Id + b), tout en permettant d’en découvrir de nouvelles, de nature jusqu’alors inconnue.
Nous illustrerons les méthodes développées en étudiant notamment une version modifiée du chiffrement Midori. Pour celle-ci, nous présenterons un tel couple (A, B) qui, lorsque la clé est faible, vérifie l’égalité avec probabilité 1 et distingue la primitive d’une permutation aléatoire avec un seul couple clair-chiffré. Enfin, la relation entre ce distingueur et son interprétation différentielle sera aussi discutée: lorsque la clé est faible, il existe des différentielles dont la très haute probabilité est indépendante du nombre de tours.