Texte intégral en version PDF
UNIVERSIT´
EDELIMOGES
´
ECOLE DOCTORALE Science – Technologie – Sant´e
FACULT ´
E des Sciences et Techniques
Laboratoire de Recherche XLIM
Th`ese N◦11-2006
pour obtenir le grade de
DOCTEUR DE L’UNIVERSIT´
EDELIMOGES
Discipline : Math´ematiques appliqu´ees Sp´ecialit´e : Cryptographie
pr´esent´ee et soutenue
par
Sophie BOUTITON
le 3 avril 2006
G´en´eralisation des sch´emas GQ2 et Rabin-Williams :
Equivalence avec la factorisation des grands nombres
Th`ese dirig´ee par Thierry BERGER
Rapporteurs
Jean-Jacques QUISQUATER
Professeur `a l’Universit´e catholique de Louvain, `a Louvain-la-Neuve
Jacques STERN
Professeur `a l’Ecole Nationale Sup´erieure de Paris
Examinateurs du jury
Thierry BERGER et Jean-Pierre BOREL (Pr´esident du jury)
Professeurs `a l’Universit´e de Limoges
Jean-Jacques QUISQUATER
Professeur `a l’Universit´e catholique de Louvain, `a Louvain-la-Neuve
Marc GIRAULT et Louis GUILLOU
Experts-Em´erite `aFranceT´el´ecom Division R&D
Philippe GABORIT
Maˆıtre de conf´erences `a l’Universit´e de Limoges
Invit´es du jury
Fran¸cois ARNAULT
Maˆıtre de conf´erences `a l’Universit´e de Limoges
Fran¸cois DAUD´
E
Expert `aFranceT´el´ecom Division R&D
2
Remerciements
Je remercie les rapporteurs qui m’ont fait l’honneur d’accepter ce rˆole :
Jacques Stern pour ses conseils sur la correction de la premi`ere version du ma-
nuscrit, Jean-Jacques Quisquater pour son soutien, ainsi que toute son ´equipe `a
Louvain-la-Neuve, en particulier Benoˆıt, Ludovic et Julien.
Cette th`ese n’aurait pas vu le jour sans le protocole de s´ecurit´eGQ2,dontle
co-inventeur Louis Guillou m’a propos´eceprojetderecherche`aFranceT´el´ecom
Division R&D `a Rennes.
Proche de mon bureau, je remercie grandement mon transistor pr´ef´er´e,
Fran¸cois Daud´e pour son temps, ses connaissances et son extrˆeme rigueur. Un grand
merci `a l’ensemble des membres de l’unit´e TCA (Techniques de Contrˆole d’Acc`es) pour
leur accueil et leur bonne humeur au quotidien : Andr´e, Chantal, Claudia G., Chan-
tal J., David, Nicole, No¨el, Olivier et Pascal. Je suis heureuse de poursuivre un bout
de chemin parmi eux. Je remercie ´egalement Marc Girault pour sa collaboration `a
distance, son soutien et d’avoir accept´e de faire partie du jury.
Je remercie ma hi´erarchie not´ee math´ematiquement (( 2ΠR)) , soit formellement
Pierre F´evrier et Pierre Quentel, pour la confiance qu’ils m’ont toujours t´emoign´ee au
cours de ces quatre derni`eres ann´ees.
A l’Universit´e de Limoges, en plus de mon directeur de th`ese Thierry Berger et
Philippe Gaborit, je remercie tout particuli`erement Fran¸cois Arnault pour son soutien
d´eterminant `a mi-parcours de la th`ese, ainsi que les gardiens de l’ADDMUL : Nicolas,
Samuel, Laurent et Guilhem.
Je n’oublie pas Gr´egoire pour les illustrations d’Alice et Bob, et me souviens des
premiers mois bretons parmi toute la bande de la Cit´e d’Ys : Alban, Eric, JP et Manu.
Je remercie toute ma famille, en particulier mes parents, qui ont toujours r´epondu
pr´esents dans les moments difficiles. T´emoins des moments forts de ma courte vie, ils
sont toujours dans mon coeur de creusoise. Je n’oublie pas ma petite Toulousaine de
Steffy, mes vieux amis Albi et Nico, et le prochain docteur en info, Manu.
Je vous salue tous chaleureusement et vous remercie d’avoir partag´e cette partie de
ma vie, en attendant de la poursuivre `avoscˆot´es, pour la plupart.
3
4
Table des mati`eres
1 L’authentification bas´ee sur la factorisation du module 17
1.1 Introduction.................................. 18
1.1.1 Lacryptographiemoderne...................... 18
1.1.2 Les protocoles cryptographiques `acl´epublique .......... 22
1.2 Notionsutiles................................. 23
1.2.1 R´esidusquadratiques......................... 23
1.2.2 Le2-sousgroupedeSylow...................... 25
1.2.3 Racine carr´ee d’ordre impair des ´el´ements d’ordre impair . . . . 26
1.2.4 Isomorphisme du groupe multiplicatif Z∗
n............. 27
1.2.5 Notions associ´ees `alacomplexit´e.................. 29
1.2.6 Attaquesphysiques.......................... 30
1.3 Le probl`emedifficiledelafactorisationdesgrandsnombres ....... 31
1.3.1 Probl`eme ´equivalent `a la factorisation des grands nombres . . . . 31
1.3.2 Probl`emes li´es `alafactorisationdesgrandsnombres ....... 31
1.3.3 ChallengeRSA............................ 32
1.3.4 Analysedelarobustessedesfacteurs................ 33
1.4 Protocoles interactifs `a 3 passes `a divulgation nulle de connaissance . . . 34
1.4.1 Protocoles interactifs `a3passes:notions ............. 34
1.4.2 Protocoles sˆurs `adivulgationnulledeconnaissance........ 35
1.4.3 Constructiondecesprotocolesd’authentification ......... 40
2 Performance et s´ecurit´eduprotocoleGQ2 45
2.1 Origine : la s´ecurit´edescartesbancaires.................. 45
2.1.1 Identificationetauthentification .................. 46
2.1.2 Cartes `a puce contre les cartes magn´etiques............ 46
2.1.3 De l’authentification statique `a l’authentification dynamique . . 47
2.1.4 Authentification dynamique GQ2 dans les cartes `a puce . . . . . 47
2.2 Sp´ecificationsduprotocole.......................... 48
2.2.1 Elaboration des bi-cl´es `a partir de deux facteurs congrus `a3mo-
dulo4 ................................. 48
2.2.2 G´en´eration des cl´es priv´ees ..................... 49
2.2.3 Leprotocoled’authentification ................... 49
2.3 Exp´erimentationetcomparaisondesperformancesGQ2 ......... 50
2.3.1 PerformancesRSA/GQ2....................... 51
2.3.2 Complexit´es des protocoles de la norme ISO/IEC 9798-5 . . . . . 52
2.4 Analyse de s´ecurit´eduprotocole ...................... 54
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
1
/
146
100%
