Séminaires CRYPTO 2014-2015

webmaster Archives des séminaires CRYPTO (PRISM) Pas de commentaires
  • 11 février 2015 – Alberto Battistiello (Oberthur, UVSQ) : Common Points on Elliptic Curves: The Achille’s heel of fault attack countermeasures.
Abstract : Elliptic curve cryptosystems offer many advantages over RSA-like cryptography, such as speed and memory saving. Nonetheless the advent of side-channel and fault-injection attacks mined the security of such implementations. Several countermeasures have been devised to thwart these threats, so that simple attacks on state-of-the-art secured implementations seem unlikely. We took up the challenge and show that a simple fault attack using a very relaxed fault model can defeat well known countermeasures. After introducing the notion of common points, we exhibit a new fault-injection attack that breaks state-of-the-art secured implementations. Our new attack is particularly dangerous since no control on the injected error is required and only one fault is sufficient to retrieve the secret.
  • 17 décembre 2014 – Alban Quadrat (INRIA) : Une introduction à la théorie algébrique des systèmes et à l’automatique
Résumé : Les systèmes interconnectés jouent un rôle de plus en plus important dans nos vies quotidiennes. La théorie mathématique des systèmes a pour but l’étude générale des systèmes (physiques, biologiques, économiques, …), de leurs interconnections et de leur contrôle. Dans cet exposé, nous donnerons une courte introduction à cette théorie pour les systèmes dynamiques définis par des équations différentielles ou de récurrence linéaires. En particulier, nous montrerons comment la théorie des modules permet de caractériser les propriétés importantes des systèmes de contrôle (contrôlabilité, observabilité, platitude, …) et de développer des lois de commande pour ces systèmes. Pour cela, nous serons amenés à étudier des aspects constructifs de la théorie des modules pour des anneaux d’opérateurs (opérateurs différentiels, opérateurs de décalage, opérateurs de retard). Ces résultats sont implémentables dans des systèmes de calcul formel tels que Maple ou Mathematica.
  • 3 décembre 2014 – Henri Gilbert (ANSSI, UVSQ) : Une représentation simplifiée de l’AES
Résumé : Je décrirai une représentation équivalente très simple de l’AES, dans laquelle deux tours consécutifs sont remplacés par la composée d’une transformation non-linéaire des colonnes et d’une transformation affine des lignes de la matrice 4×4 constituant le bloc courant.
Afin d’illustrer l’utilité de cette représentation pour analyser certaines propriétés structurelles de l’AES, je montrerai que dans le cas d’AES-128, qui comporte 10 tours, la connaissance d’une clé aléatoire permet de construire des ensembles de 264 clairs « anormalement corrélés » aux chiffrés correspondants. La corrélation mise en évidence est non dépendante de la clé, mais très ténue.
Ce résultat repose sur une amélioration du distingueur à clé connue contre 7 tours de l’AES publié par Knudsen et Rijmen en 2007. Il n’affecte en rien la sécurité de l’AES lorsque l’algorithme est paramétré par une clé secrète et employé à des fins de chiffrement ou d’authentification de message.
  • 26 novembre 2014 – Sonia Belaïd (Thales, ENS) : Side-Channel Analysis of Multiplications in GF(2128): Application to AES-GCM.
Abstract : In this paper, we study the side-channel security of the field multiplication in GF(2n). We particularly focus on GF(2128) multiplication which is the one used in the authentication part of AES-GCM but the proposed attack also applies to other binary extensions. In a hardware implementation using a 128-bit multiplier, the full 128-bit secret is manipulated at once. In this context, classical DPA attacks based on the divide and conquer strategy cannot be applied. In this work, the algebraic structure of the multiplication is leveraged to recover bits of information about the secret multiplicand without having to perform any key-guess. To do so, the leakage corresponding to the writing of the multiplication output into a register is considered. It is assumed to follow a Hamming weight/distance leakage model. Under these particular, yet easily met, assumptions we exhibit a nice connection between the key recovery problem and some classical coding and Learning Parities with Noise problems with certain instance parameters. In our case, the noise is very high, but the length of the secret is rather short. In this work we investigate different solving techniques corresponding to different attacker models and eventually refine the attack when considering particular implementations of the multiplication.
  • 19 novembre 2014 – Christophe Petit (University College London) : On the quaternion ℓ-isogeny path problem.
Abstract : Let O be a maximal order in a definite quaternion algebra over ℚ of prime discriminant p, and ℓ a small prime. We describe a probabilistic algorithm, which for a given left O-ideal, computes a representative in its left ideal class of ℓ-power norm. In practice the algorithm is efficient, and subject to heuristics on expected distributions of primes, runs in expected polynomial time. This breaks the underlying problem for a quaternion analog of the Charles-Goren-Lauter hash function, and has security implications for the original CGL construction in terms of supersingular elliptic curves.
The talk will be based on our ANTS 2014 paper, joint work with D Kohel, K Lauter and JP Tignol.
  • 12 novembre 2014 – Charles Bouillaguet (ULille 1) : Systèmes de chiffrement par bloc minimalistes, obfuscation et implémentations en « boite blanche »
Résumé : La plupart du temps, la sécurité des systèmes de chiffrement est évaluée en supposant que les adversaires interagissent avec le dispositif à travers une « interface », mais qu’ils n’ont pas le système de chiffrement sous la main pour étudier les détails de son fonctionnement interne. En effet, le fonctionnement de tels systèmes repose largement sur le fait qu’ils contiennent des informations secrètes (comme des clefs de chiffrement). Cette hypothèse est réaliste dans certains cas, par exemple si on communique avec un serveur web qui contient un mécanisme de chiffrement.
Cependant, dans bon nombre de situations, on a sous la main une implémentation soit matérielle soit logicielle du dispositif cryptographique, dont on peut donc observer le fonctionnement… et tenter d’extraire les secrets. On s’intéresse ici à cette deuxième situation. Est-il possible de concevoir des mécanismes cryptographiques contenant des secrets, mais dont le code source serait publiquement distribuable ? C’est en principe l’objet de la cryptographie à clef publique, mais on s’intéresse ici plus particulièrement à des constructions à clef secrète.
Le problème qui consiste à dissimuler des secrets cryptographiques dans du code source est un cas particulier du problème de l’obfuscation de programme, qui consiste à rendre incompréhensible et impossible à analyser le code de programmes arbitraires. Nous survolerons cette problématique dans l’exposé. Nous présenterons ensuite plusieurs systèmes de chiffrement par blocs, susceptibles de telles implémentations en boite-blanche. Ce sont pour certains des héritiers du système « 2R » conçu par J. Patarin en 1997.
Cet exposé est dérivé de l’article « Cryptographic Schemes Based on the ASASA Structure: Black-box, White-box, and Public-key », disponible à l’adresse : http://eprint.iacr.org/2014/474.pdf.
Séminaires CRYPTO 2014-2015