analyse de la résistance aux attaques algébriques des ......1/36 introduction attaque de fischer...
TRANSCRIPT
![Page 1: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/1.jpg)
1/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Analyse de la resistance aux attaques algebriques desfonctions de filtrage augmentees
Stage de recherche du MPRI
Stephane JACOB, encadre par Anne CANTEAUT
Equipe-projet SECRET,Centre de recherche INRIA Paris-Rocquencourt
24 novembre 2008
![Page 2: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/2.jpg)
2/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 3: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/3.jpg)
3/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 4: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/4.jpg)
4/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Introduction
Etude d’une attaque :
proposee par Simon Fischer et Willi Meier en 2007 ;
appartient a la famille des attaques algebriques ;
repose sur les fonctions augmentees ;
s’applique a des chiffrements jusqu’alors immunises contre lesattaques algebriques.
![Page 5: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/5.jpg)
4/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Introduction
Etude d’une attaque :
proposee par Simon Fischer et Willi Meier en 2007 ;
appartient a la famille des attaques algebriques ;
repose sur les fonctions augmentees ;
s’applique a des chiffrements jusqu’alors immunises contre lesattaques algebriques.
![Page 6: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/6.jpg)
4/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Introduction
Etude d’une attaque :
proposee par Simon Fischer et Willi Meier en 2007 ;
appartient a la famille des attaques algebriques ;
repose sur les fonctions augmentees ;
s’applique a des chiffrements jusqu’alors immunises contre lesattaques algebriques.
![Page 7: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/7.jpg)
4/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Introduction
Etude d’une attaque :
proposee par Simon Fischer et Willi Meier en 2007 ;
appartient a la famille des attaques algebriques ;
repose sur les fonctions augmentees ;
s’applique a des chiffrements jusqu’alors immunises contre lesattaques algebriques.
![Page 8: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/8.jpg)
4/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Introduction
Etude d’une attaque :
proposee par Simon Fischer et Willi Meier en 2007 ;
appartient a la famille des attaques algebriques ;
repose sur les fonctions augmentees ;
s’applique a des chiffrements jusqu’alors immunises contre lesattaques algebriques.
![Page 9: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/9.jpg)
5/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 10: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/10.jpg)
6/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 11: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/11.jpg)
7/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Chiffrement a flot additif
xt
f
+mt ct
L
(K, IV )
st
![Page 12: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/12.jpg)
8/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
LFSR filtre
x0 x1 x2 xn−3 xn−2 xn−1
+ +
f
![Page 13: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/13.jpg)
9/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Attaques algebriques
Attaques algebriques pour les chiffrements a flot :
Courtois et Meier (03) ;
mise en systeme d’equations multivariees liant les bits duchiffre, les bits du clair et ceux de la clef ;
exploitation de l’existence de multiples de petit degre de lafonction de filtrage.
![Page 14: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/14.jpg)
9/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Attaques algebriques
Attaques algebriques pour les chiffrements a flot :
Courtois et Meier (03) ;
mise en systeme d’equations multivariees liant les bits duchiffre, les bits du clair et ceux de la clef ;
exploitation de l’existence de multiples de petit degre de lafonction de filtrage.
![Page 15: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/15.jpg)
9/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Attaques algebriques
Attaques algebriques pour les chiffrements a flot :
Courtois et Meier (03) ;
mise en systeme d’equations multivariees liant les bits duchiffre, les bits du clair et ceux de la clef ;
exploitation de l’existence de multiples de petit degre de lafonction de filtrage.
![Page 16: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/16.jpg)
9/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Attaques algebriques
Attaques algebriques pour les chiffrements a flot :
Courtois et Meier (03) ;
mise en systeme d’equations multivariees liant les bits duchiffre, les bits du clair et ceux de la clef ;
exploitation de l’existence de multiples de petit degre de lafonction de filtrage.
![Page 17: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/17.jpg)
10/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 18: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/18.jpg)
11/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Fonctions augmentees
Definition
Considerons un chiffrement a flot d’etat interne x de longueur nbits, une fonction de mise a jour L et une fonction de filtrage f quisort un bit de suite chiffrante par iteration. La fonction augmenteeSm est definie comme suit :
Sm : Fn2 → Fm2x 7→ y =
(f(x), f(L(x)), . . . , f(Lm−1(x)
).
![Page 19: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/19.jpg)
12/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Relations algebriques et relations algebriques conditionnees
Definition
Soit F une fonction de Fn2 dans Fm2 . On appelle relation algebriquepour F toute relation du type∑
α∈Fn2
∑β∈Fm
2
cα,βxαyβ = 0
satisfaite pour tout couple (x, y) ∈ Fn2 × Fm2 ou y = F (x), aveccα,β ∈ F2 et la notation xα := (xα1
1 · · ·xαnn ).
![Page 20: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/20.jpg)
12/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Relations algebriques et relations algebriques conditionnees
Definition
On appelle relation algebrique conditionnee par y0 toute relationdu type ∑
α∈Fn2
cαxα = 0
satisfaite pour tout x tq F (x) = y0, avec cα ∈ F2 et la notationxα := (xα1
1 · · ·xαnn ).
![Page 21: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/21.jpg)
13/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Principe de l’attaque de Fischer et Meier
Principe
Donnees : les fonctions de filtrage et de mise a jour, certainsbits de suite chiffrante.
But : retrouver l’etat interne initial.
Precalcul : trouver des relations algebriques pour Sm de petitdegre en les bits de l’etat initial ;
Attaque : s’il y a suffisamment de relations, resoudre le systemepolynomial ainsi forme.
![Page 22: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/22.jpg)
13/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Principe de l’attaque de Fischer et Meier
Principe
Donnees : les fonctions de filtrage et de mise a jour, certainsbits de suite chiffrante.
But : retrouver l’etat interne initial.
Precalcul : trouver des relations algebriques pour Sm de petitdegre en les bits de l’etat initial ;
Attaque : s’il y a suffisamment de relations, resoudre le systemepolynomial ainsi forme.
![Page 23: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/23.jpg)
13/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Principe de l’attaque de Fischer et Meier
Principe
Donnees : les fonctions de filtrage et de mise a jour, certainsbits de suite chiffrante.
But : retrouver l’etat interne initial.
Precalcul : trouver des relations algebriques pour Sm de petitdegre en les bits de l’etat initial ;
Attaque : s’il y a suffisamment de relations, resoudre le systemepolynomial ainsi forme.
![Page 24: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/24.jpg)
13/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Principe de l’attaque de Fischer et Meier
Principe
Donnees : les fonctions de filtrage et de mise a jour, certainsbits de suite chiffrante.
But : retrouver l’etat interne initial.
Precalcul : trouver des relations algebriques pour Sm de petitdegre en les bits de l’etat initial ;
Attaque : s’il y a suffisamment de relations, resoudre le systemepolynomial ainsi forme.
![Page 25: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/25.jpg)
13/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Principe de l’attaque de Fischer et Meier
Principe
Donnees : les fonctions de filtrage et de mise a jour, certainsbits de suite chiffrante.
But : retrouver l’etat interne initial.
Precalcul : trouver des relations algebriques pour Sm de petitdegre en les bits de l’etat initial ;
Attaque : s’il y a suffisamment de relations, resoudre le systemepolynomial ainsi forme.
![Page 26: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/26.jpg)
14/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Nombre de bits de suite chiffrante necessaires
Theoreme
Soit f une fonction booleenne de filtrage a n variables, et Sm safonction augmentee a m sorties. Alors, si m ≥ m0 avecm0 = n+ 1− blog2 (D)c ou D =
∑di=0
(ni
), la fonction Sm
possede des relations algebriques de degre inferieur ou egal a dquelle que soit la fonction de mise a jour lineaire L utilisee.
Fonction de filtrage Premier m tel qu’il y aitune relation lineaire
CanFil1, 2 et 3 13
CanFil4 8-10
CanFil5 6-11
CanFil6 9-13
CanFil7 8-9
![Page 27: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/27.jpg)
15/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 28: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/28.jpg)
16/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 29: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/29.jpg)
17/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Liens entre les relations generales et conditionnees
Theoreme
Soit F une fonction de Fn2 dans Fm2 . Alors le degre minimal datteignable pour une relation algebrique pour F correspond a laplus petite valeur d pour laquelle il existe une relation conditionneede degre d.
![Page 30: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/30.jpg)
18/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Algorithme avec une unique matrice M
Entrees : une fonction de mise a jour L et une de filtrage f .Sorties : les relations
∑cα,βx
αSm(x)β = 0 de degre ≤ d en x.{Calcul de la matrice generatrice G du LFSR}{Calcul de M}pour tout x dans Fn2 faire
calculer Sm(x) ∈ Fm2pour tout α ∈ Fn2 tq w(α) ≤ d faire
stocker xαSm(x)β,∀β ∈ Fm2fin pour
fin pour{Recherche des relations}Faire un pivot de Gauss sur M pour trouver son rang et les rela-tions algebriques pour Sm
![Page 31: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/31.jpg)
19/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Algorithme avec plusieurs matrices My
Entrees : une fonction de mise a jour L et une de filtrage f .Sorties : pour chaque y, les relations conditionnees par y de la
forme∑
α cαxα = 0 pour tout x ∈ S−1
m (y) de degre au plus d{Calcul de la matrice generatrice G du LFSR}pour tout y dans Fm2 faire{Calcul de My}pour tout x dans Fn2 faire
calculer Sm(x) ∈ Fm2si Sm(x) = y alors
stocker xα dans My, ∀α ∈ Fn2 tq w(α) ≤ dfin si
fin pour{Recherche des relations}Trouver le rang de My et son noyau par pivot de Gauss.
fin pour
![Page 32: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/32.jpg)
20/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Algorithme hybride
Entrees : une fonction de mise a jour L et une de filtrage f .Sorties : pour chaque y, les relations conditionnees par y, de la
forme∑
α cαxα = 0 pour tout x ∈ S−1
m (y), de degre au plus d.{Calcul de la matrice generatrice G du LFSR}{Calcul de M ′}pour tout x dans Fn2 faire
calculer Sm(x) ∈ Fm2pour tout α ∈ Fn2 tq w(α) ≤ d faire
stocker xα
Ajouter Sm(x) a la fin de la ligne courante dans M ′
fin pourincrementer le nombre d’antecedents de Sm(x)
fin pour
![Page 33: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/33.jpg)
20/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Algorithme hybride
{Preparation de M ′}trier M ′ en fonction de la valeur des m derniers bits de chaqueligne{Recherche des relations}pour tout y dans Fm2 faire
faire un pivot de Gauss sur la sous-matrice de M ′ dont les mderniers bits forment y et qu’on a enleves.
fin pour
![Page 34: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/34.jpg)
21/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Complexite du precalcul
Comparatif des complexites dans le cas lineaire
Temps de precalcul Memoire
Algorithme avec M 2n+2mn2 2n+mn
Algorithme avec les My 2n(2mm+ n2) 2n−mnAlgorithme hybride n22n 2n(n+m)
![Page 35: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/35.jpg)
22/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 36: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/36.jpg)
23/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Se contenter de tres petits m
Maintenir m tres petit
Tab.: Nombre de xi passant dans Sm
m xi passant dans Sm1 v
2 < 2v + wt(P )− 13 ∼ 3
4n...
...
6 ∼ n
![Page 37: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/37.jpg)
24/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Restreindre l’espace des etats initiaux parcourus
Ne pas parcourir tous les x :
suggere par Fischer et Meier ;
mais impliquant une complexite multipliee par 109 pourε = 10−1 ;
possible en utilisant le decodage par ensemble d’information.
![Page 38: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/38.jpg)
24/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Restreindre l’espace des etats initiaux parcourus
Ne pas parcourir tous les x :
suggere par Fischer et Meier ;
mais impliquant une complexite multipliee par 109 pourε = 10−1 ;
possible en utilisant le decodage par ensemble d’information.
![Page 39: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/39.jpg)
24/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Restreindre l’espace des etats initiaux parcourus
Ne pas parcourir tous les x :
suggere par Fischer et Meier ;
mais impliquant une complexite multipliee par 109 pourε = 10−1 ;
possible en utilisant le decodage par ensemble d’information.
![Page 40: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/40.jpg)
25/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Une attaque par decodage
Utilisation du decodage pour l’attaque
on se ramene a un probleme de decodage d’un code lineairede longueur ν ≥ n
C(ε) et de dimension n pour le canal binairesymetrique de probabilite d’erreur ε ;
on utilise ensuite un decodage par ensemble d’informationdont la complexite en donnee est enO(n3(1− (ln 2)−1ε(1− ln ε) + o (ε)
)e2n(ε+o(ε))
)quand ε
est petit.
![Page 41: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/41.jpg)
26/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Complexite deux attaques quand ε varie, n = 256
Complexite en donnees : (log2 (nb de bits de suite ch.) - m)
y
40
30
20
00.15
50
10
0.2epsilon0.10.0 0.05
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 42: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/42.jpg)
26/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Complexite deux attaques quand ε varie, n = 256
Complexite en temps : (log2 (nombre d’operations) - m)
100
epsilon0.15
125
0.1
50
25
0.20.05
75
0.0
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 43: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/43.jpg)
27/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Plan
1 Introduction
2 Attaque de Fischer et MeierNotions de basesPresentation de l’attaque de Fischer et Meier
3 Ameliorations proposeesVariante optimisee de l’algorithme de recherche des relationsVers un algorithme efficace et utilisable en pratique
4 Conclusion
![Page 44: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/44.jpg)
28/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Conclusion
Bilan
Nous avons propose des ameliorations :
une variante de l’algorithme de recherche des relations ;
une nouvelle attaque permettant de garder m petit et/ou derestreindre le nombre de valeurs de l’etat initial parcouruespour rechercher les relations.
Perspectives
Determiner precisement l’influence respective des fonctions defiltrage et de mise a jour.
Exhiber les caracteristiques de celles-ci qui rendent unchiffrement les utilisant vulnerable a cette attaque.
![Page 45: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/45.jpg)
28/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Conclusion
Bilan
Nous avons propose des ameliorations :
une variante de l’algorithme de recherche des relations ;
une nouvelle attaque permettant de garder m petit et/ou derestreindre le nombre de valeurs de l’etat initial parcouruespour rechercher les relations.
Perspectives
Determiner precisement l’influence respective des fonctions defiltrage et de mise a jour.
Exhiber les caracteristiques de celles-ci qui rendent unchiffrement les utilisant vulnerable a cette attaque.
![Page 46: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/46.jpg)
28/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Conclusion
Bilan
Nous avons propose des ameliorations :
une variante de l’algorithme de recherche des relations ;
une nouvelle attaque permettant de garder m petit et/ou derestreindre le nombre de valeurs de l’etat initial parcouruespour rechercher les relations.
Perspectives
Determiner precisement l’influence respective des fonctions defiltrage et de mise a jour.
Exhiber les caracteristiques de celles-ci qui rendent unchiffrement les utilisant vulnerable a cette attaque.
![Page 47: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/47.jpg)
28/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Conclusion
Bilan
Nous avons propose des ameliorations :
une variante de l’algorithme de recherche des relations ;
une nouvelle attaque permettant de garder m petit et/ou derestreindre le nombre de valeurs de l’etat initial parcouruespour rechercher les relations.
Perspectives
Determiner precisement l’influence respective des fonctions defiltrage et de mise a jour.
Exhiber les caracteristiques de celles-ci qui rendent unchiffrement les utilisant vulnerable a cette attaque.
![Page 48: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/48.jpg)
28/36
Introduction Attaque de Fischer et Meier Ameliorations proposees Conclusion
Conclusion
Bilan
Nous avons propose des ameliorations :
une variante de l’algorithme de recherche des relations ;
une nouvelle attaque permettant de garder m petit et/ou derestreindre le nombre de valeurs de l’etat initial parcouruespour rechercher les relations.
Perspectives
Determiner precisement l’influence respective des fonctions defiltrage et de mise a jour.
Exhiber les caracteristiques de celles-ci qui rendent unchiffrement les utilisant vulnerable a cette attaque.
![Page 49: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/49.jpg)
29/36
Annexe
Plan
5 AnnexeComparaison des complexitesDecodage par ensemble d’informationCalcul de la matrice generatrice G du LFSR
![Page 50: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/50.jpg)
30/36
Annexe
Plan
5 AnnexeComparaison des complexitesDecodage par ensemble d’informationCalcul de la matrice generatrice G du LFSR
![Page 51: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/51.jpg)
31/36
Annexe
Complexite deux attaques quand ε varie, n = 512
Complexite en donnees : (log2 (nb de bits de suite ch.) - m)
0.05
y
0.15
20
0
50
40
30
10
epsilon
0.20.10.0
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 52: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/52.jpg)
31/36
Annexe
Complexite deux attaques quand ε varie, n = 512
Complexite en temps : (log2 (nombre d’operations) - m)
200
epsilon0.15
150
0.05
100
0.0 0.1 0.2
50
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 53: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/53.jpg)
32/36
Annexe
Complexite deux attaques quand ε varie, n = 1024
Complexite en donnees : (log2 (nb de bits de suite ch.) - m)
0.05
y
20
0
50
40
30
10
epsilon0.20.150.10.0
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 54: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/54.jpg)
32/36
Annexe
Complexite deux attaques quand ε varie, n = 1024
Complexite en temps : (log2 (nombre d’operations) - m)
400
epsilon0.150.05
300
0.0
100
0.1 0.2
200
Fig.: Rouge : attaque de Fischer et Meier, bleue : notre variante
![Page 55: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/55.jpg)
33/36
Annexe
Plan
5 AnnexeComparaison des complexitesDecodage par ensemble d’informationCalcul de la matrice generatrice G du LFSR
![Page 56: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/56.jpg)
34/36
Annexe
Decodage par ensemble d’information
Entrees :• G, une matrice generatrice du code (n, k).• x, un mot de code bruite avec une probabilite d’erreur ε
Sorties : un mot de code a distance de l’ordre de εn de xtant que un vecteur d’erreurs de poids environ egal a εn n’a pasete trouve faire
1. Choisir aleatoirement un ensemble d’information I.2. Mettre la matrice G sous la forme systematique U−1G =(Id, Z)I et decomposer le vecteur x sous la forme x =(xI , xJ)I .3. Calculer w(xJ + xIZ).si ce poids est de l’ordre de εn alors
(xI , xIZ) est un mot de code a distance w (xJ + xIZ) de xfin si
fin tant que
![Page 57: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/57.jpg)
35/36
Annexe
Plan
5 AnnexeComparaison des complexitesDecodage par ensemble d’informationCalcul de la matrice generatrice G du LFSR
![Page 58: Analyse de la résistance aux attaques algébriques des ......1/36 Introduction Attaque de Fischer et Meier Am eliorations propos eesConclusion Analyse de la r esistance aux attaques](https://reader034.vdocuments.pub/reader034/viewer/2022051603/5febfc94417e8a585e48e0d3/html5/thumbnails/58.jpg)
36/36
Annexe
Etape commune a tous les algorithmes
{Calcul de la matrice generatrice G du LFSR}A partir de L, la fonction de mise a jour, calculer la matricegeneratrice G telle que :
(x0 . . . xn−1)
1 0 · . . . ·. . . · . . . ·
0 1 · . . . ·
= (x0 . . . xn−1+m)