Preuves de sécurité des schémas cryptographiques
PARIS8
tq q
UN I V E R S I T ´
E
Vincennes-Saint-Denis UFR 6 – MITSIC
Math´ematiques, Informatique, Technologies, Sciences de l’Information et de la Communication
Preuves de s´ecurit´e
des sch´emas cryptographiques
Hieu Phan & Philippe Guillot
octobre
Master Math´ematiques Fondamentales et Protection de l’Information
Sommaire 3
Sommaire
Introduction .............................................................. 5
chapitre I. Rappels de th´eorie de la complexit´e ........................... 7
§1. Machine de Turing .................................................. 7
§2. Probl`emes P, probl`emes NP ........................................... 7
§3. Probl`emes NP–complets .............................................. 7
chapitre II. Fonctions `a sens unique ...................................... 8
§1. Fonction `a sens unique concr`ete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
§2. Fonction `a sens unique asymptotique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
§3.Exercices .......................................................... 12
chapitre III. Bits difficiles ................................................ 14
§1.D´efinition .......................................................... 14
§2. Th´eor`eme de Goldreich-Levin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
§3.Applications ........................................................ 18
§4.Exercices .......................................................... 19
chapitre IV. G´en´erateurs pseudo-al´eatoires ................................. 20
§1.Approcheintuitive ................................................... 20
§2. Indiscernabilit´e calculatoire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
§3. G´en´erateur pseudo al´eatoire avec expansion d’un bit . . . . . . . . . . . . . . . . . . . . . . . . . 22
§4. G´en´erateur pseudo-al´eatoire avec expansion polynomiale . . . . . . . . . . . . . . . . . . . . . . 23
§5.Exercices .......................................................... 25
chapitre V. Fonctions pseudo-al´eatoires ................................... 27
§1. Motivation et d´efinition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
§2. Construction d’une famille de fonctions pseudo-al´eatoires . . . . . . . . . . . . . . . . . . . . . . 28
§3.Exercices .......................................................... 30
chapitre VI. Permutations pseudo-al´eatoires ............................... 32
§1. Motivation et d´efinition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
§2. Construction `a partir d’une famille de FPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
§3.Exercices .......................................................... 36
4Sommaire
chapitre VII. Chiffrement ................................................. 37
§1. Sch´ema de chiffrement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
§2. Notions de s´ecurit´e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
§3.Mod`elesd’attaques ................................................... 41
§4. Construction d’un sch´ema de chiffrement IND–CPA . . . . . . . . . . . . . . . . . . . . . . . . . . 42
§5. Chiffrement de messages de tailles variables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
§6.Mall´eabilit´e ......................................................... 45
§7. Codes d’authentification de message . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
§8. Chiffrement CCA-sˆur g´en´erique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
§9.Exercices .......................................................... 51
chapitre VIII. Signatures num´eriques ....................................... 53
§1. Les cinq mondes d’Impagliazzo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
§2. D´efinition et s´ecurit´e des signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
§3. Le paradigme de Fiat-Shamir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
§4. La signature hh une fois ii deLamport ..................................... 56
§5. Une signature hh plusieurs fois ii avec´etat .................................. 57
§6.Fonctiondehachage .................................................. 59
§7. Le paradigme hh hache puis signe ii. ....................................... 61
§8. Fonctions de hachage universelles `a sens unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
§9.Exercices .......................................................... 65
chapitre IX. Chiffrement `a cl´e publique .................................... 67
§1.S´ecurit´e ........................................................... 67
§2.Historique .......................................................... 68
§3. CPA-s´ecurit´e s´emantique du sch´ema ElGamal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
§4. Chiffrement CCA-sˆur dans le mod`ele standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
§5.Exercices .......................................................... 75
Corrig´e des exercices ....................................................... 76
Index alphab´etique ........................................................ 83
Introduction 5
Introduction
Dans l’approche classique de la conception de sch´emas cryptographiques sˆur, un concepteur propose
une fonction de chiffrement. Elle est soumise `a la sagacit´e de la communaut´e cryptographique
qui va tenter de d´evelopper des attaques en identifiant des faiblesses. Si ces faiblesses sont
av´er´ees, le sch´ema est d´eclar´e comme non-sˆur. ´
Eventuellement des modifications du sch´ema initial
sont propos´ees par le concepteur. Le nouveau sch´ema est `a nouveau soumis aux attaques de la
communaut´e qui pourra `a nouveau d´ecouvrir d’´eventuelles faiblesses.
Finalement, la communaut´e accepte la s´ecurit´e du sch´ema si aucune faiblesse critique n’a ´et´e mise
en ´evidence par les travaux des cryptanalystes pendant un certain temps.
Cette approche a montr´e ses limites. Au bout de combien de temps la s´ecurit´e soit-elle ˆetre
accept´ee ? trois ans ? cinq ans ?
En novembre , la version 1.5 du standard de chiffrement `a cl´es publiques PKCS#1 est publi´e
par l’entreprise RSA Laboratories. Cinq ans plus tard, en , Daniel Bleichenbacher publie un
article d´ecrivant comment un adversaire peut d´echiffrer un message de son choix par une attaque
`a cryptogrammes choisis.
Un syst`eme de chiffrement `a cl´e publique, reposant sur le probl`eme du sac `a dos a ´et´e propos´e
par Benny Chor et Ronald Rivest en et a ´et´e cass´e 10 ans plus tard, en par Serge
Vaudenay.
Ces exemples montrent qu’il devient n´ecessaire de d´evelopper des arguments pour attester la
s´ecurit´e d’un sch´ema cryptographique.
En cryptographie asym´etrique, la s´ecurit´e n’est plus inconditionnelle. Un adversaire tout puissant
dispose de toutes les informations pour retrouver la cl´e priv´ee. Les adversaires r´eels ne disposent
pas de la puissance de calcul pour effectuer ce travail. La s´ecurit´e est devenue calculatoire. Des
´el´ements quantitatifs de s´ecurit´e deviennent n´ecessaires. Quelle est la puissance de calcul, dont
dispose un adversaire, et qui ne remet pas en cause la s´ecurit´e ?
Pour aboutir `a des preuves de s´ecurit´e, les cryptologues revendiquent une approche scientifique
du probl`eme qui consiste `a formaliser l’adversaire, ainsi que les moyens et les informations dont il
dispose pour venir `a bout du sch´ema cryptographique.
La construction des sch´emas cryptographique repose sur des probl`emes r´eput´es difficiles, comme
le probl`eme de la factorisation des entiers, ou le probl`eme du calcul du logarithme discret.
Il est admis que les seules attaques r´ealistes ne peuvent reposer que sur des algorithmes efficaces, qui
sont par d´efinition des algorithmes dont la complexit´e en temps et en m´emoire ne d´epasse pas un
polynˆome de la taille des donn´ees d’entr´ee. Au del`a d’une complexit´e polynomiale, l’attaque n’est
pas r´ealiste. Il suffit d’augmenter l´eg`erement la taille des param`etres pour la rendre impossible.
On suppose ´egalement que l’adversaire peut acc´eder `a des sources auxiliaires d’informations, comme
par exemple des cryptogrammes dont le clair est connu, afin de couvrir ce qui est raisonnable
d’envisager en pratique. Pour que la s´ecurit´e du sch´ema cryptographique ne fasse aucun doute, on
se place g´en´eralement dans le cas le plus favorable pour l’adversaire.
La s´ecurit´e sera av´er´e si une d´emonstration existe du fait que l’adversaire ne peut pas atteindre
le but qui lui est assign´e malgr´e tous les moyens et les informations qui sont `a sa disposition. Le
but d´epend du sch´ema cryptographique. Cela peut ˆetre : retrouver le message clair, retrouver une
information partielle sur le clair, forger une fausse signature, s’authentifier, etc.
Ainsi, dans l’approche moderne de la conception des sch´ema cryptographique, la boucle de
conception est ´evit´ee. La construction repose sur un processus qui consiste `a :
6Introduction
– s’appuyer sur des primitive reposant sur des hypoth`eses admises, comme la difficult´e de
factoriser, ou de calculer un logarithme discret, ou encore sur l’existence de fonctions `a sens
unique ;
– formaliser la cible de s´ecurit´e, l’adversaire, ses moyens, le type d’attaque ;
– construire un sch´ema cryptographique ;
– apporter la preuve de sa s´ecurit´e.
Une fois cette preuve apport´ee, la s´ecurit´e du sch´ema s’impose, sans avoir recours `a la boucle infinie
conception →attaque →correction →attaque → ··· de l’approche traditionnelle.
Une preuve de s´ecurit´e est la r´eduction de la s´ecurit´e du sch´ema aux propri´et´e de la primitive. On
cherchera `a montrer que si un adversaire peut casser le sch´ema cryptographique, alors on peut en
d´eduire un algorithme pour nier les propri´et´es de la primitive.
Supposons par exemple qu’un sch´ema repose sur la difficult´e de factoriser. Si montre l’implication
suivante :
Si un adversaire existe contre ce sch´ema, alors factoriser est un probl`eme facile,
alors par contraposition, on aura finalement montr´e que
Si factoriser est un probl`eme difficile, alors il n’existe pas d’adversaire contre ce sch´ema.
Comme il est largement admis que la factorisation est un probl`eme difficile, la conclusion s’impose.
Dans ce domaine de la cryptographie th´eorique, les acteurs sont des algorithmes. Le principe g´en´eral
des preuves est d’utiliser un adversaire comme sous-programme d’un programme de factorisation.
Exercice. Rappelons que le syst`eme de chiffrement `a cl´e publique de Rabin consiste `a ´elever au
carr´e un message modulo un entier n´egal au produit de deux nombres premiers de mˆeme taille.
Le d´echiffrement consiste `a extraire une racine carr´ee du cryptogramme. Une redondance dans le
clair permet de choisir entre les quatre racines carr´ees possibles.
Montrer que si la factorisation des entiers est un probl`eme difficile, alors le chiffrement de Rabin
est sˆur contre une attaque `a clair choisi.
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
1
/
82
100%
