Séminaires 2015 -2016

Nous organisons régulièrement un séminaire dédié à la cryptographie et à la sécurité informatique. Ce séminaire, ouvert à tous, a généralement lieu le jeudi matin de 11h à 12h en salle 301 du bâtiment Descartes. 

Pour intervenir dans celui-ci, en présentant vos recherches ou vos développements industriels, veuillez contacter Luca De Feo. Pour être tenu au courant des séances, veuillez vous inscrire à la liste de diffusion en visitant cette page, ou en envoyant un mail à Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser..

2015-2016

  • 10 décembre2015 - Vincent Grosso (UCLouvain) Masquage pour la protection des chiffrements par bloc.

    Depuis la fin des années 90 les attaques par canaux auxiliaires sont une menace pour les implémentations cryptographiques. Ces attaques utilisent les observations de phénomènes physiques d’un appareil lors de l’exécution d’un programme cryptographique. Ces observations peuvent fournir de l’information sur la clef. Le masquage est une contre-mesure classique contre les attaques par canaux auxiliaires. L’idée du masquage est de rendre aléatoire l’état interne de l’appareil de telle façon que la combinaison de plusieurs observations devient nécessaire pour réaliser une attaque. Le masquage a un impact sur l’efficacité des implémentations. Dans cet exposé nous nous intéresserons à différentes techniques pour réduire le surcoût lié au masquage.

  • 3 décembre2015 - Sébastien Duval (INRIA Paris) Construction de S-Boxes à bas coût par des réseaux Feistel et MISTY

    En chiffrement symétrique, l'une des approches classiques est de chiffrer les messages par blocs de bits. Dans ce contexte, C. Shannon a établi des critères de sécurité appelés confusion et diffusion. La confusion est généralement obtenue par des fonctions non-linéaires, aussi appelées S-Boxes.

    L'une des problématiques de la cryptographie actuelle est la popularisation de machines aux moyens très restreints, comme par exemple les puces RFID. Ces environnements ajoutent aux critères de sécurité un critère de coût. Malheureusement, les chiffrements usuels comme le standard AES ont un coût d'implémentation généralement trop élevé pour de tels moyens. La majorité du coût d'implémentation se situe dans la S-Box, et il est donc naturel de tenter d'implémenter des S-Boxes à bas coût.

    La difficulté majeure des S-Boxes classiques comme celle de l'AES est leur taille : ces fonctions travaillent sur 8 bits, et il est difficile d'étudier (et coûteux d'implémenter) des fonctions non-linéaires de GF(2⁸) dans GF(2⁸). Utiliser des S-Boxes de taille plus petite est envisageable mais impose de nouvelles contraintes.

    Dans mes travaux, j'ai étudié un compromis : construire des S-Boxes de 8 bits à partir de S-Boxes de 4 bits. L'avantage est que les S-Boxes de 4 bits sont peu chères à implémenter et beaucoup plus simples à étudier. Pour passer de S-Boxes de 4 bits à des S-Boxes de 8 bits en garantissant une bonne sécurité, plusieurs structures existent. J'ai étudié les deux structures offrant un coût peu élevé : les réseaux de Feistel et les réseaux MISTY.

    Mes travaux apportent de nouveaux résultats théoriques sur la sécurité des réseaux de Feistel et des réseaux MISTY face aux attaques statistiques classiques (différentielles et linéaires), entre autres des conditions nécessaires pour construire à bas coût des fonctions de 8 bits offrant une bonne sécurité à partir de fonctions de 4 bits. Grâce à ces résultats théoriques, j'ai pu obtenir des implémentations pratiques de S-Boxes de 8 bits avec une excellente sécurité et un coût d'implémentation faible, plus performantes que les S-Boxes utilisées à l'heure actuelle dans les chiffrements par blocs.

  • 26 novembre 2015 - Aurore Guillevic (INRIA Saclay, LIX) Individual discrete logarithms in non-prime finite fields with the NFS algorithm

    This talk is about computing discrete logarithms in non-prime finite fields. These fields arise in pairing-based cryptography. In this setting, the pairing-friendly curve is defined over GF(q) and the pairing takes its values in an extension GF(qk), where k is the embedding degree.

    For example, GF(p2) is the embedding field of supersingular elliptic curves in large characteristic; GF(p3), GF(p4), GF(p6) are the embedding fields of MNT curves, and GF(p12) is the embedding field of the well-known Barreto-Naehrig curves. In small characteristic, GF(24n), GF(36m) are considered.

    To compute discrete logarithms in these fields, one uses the Number Field Sieve algorithm (NFS) in large characteristic (e.g. GF(p2)), the NFS-High-Degree variant (NFS-HD) in medium characteristic (e.g. GF(p12)) and the Quasi Polynomial-time Algorithm (QPA) in small characteristic when applicable. These algorithms are made of four steps: polynomial selection, relation collection, linear algebra modulo the prime order of the target group and finally, individual logarithm computation.

    All these finite fields are extensions, hence have subfields. We use their structure to speed-up the individual discrete logarithm computation. We obtain an important speed-up in practice and the best case is when the embedding degree k is even. We will illustrate the improvements with the practical case of GF(p4) with p4 of 400 bits (120 decimal digits).

  • 26 novembre 2015 - Cécile Pierrot (UPMC) Simplified Settings for Discrete Logarithms in Small Characteristic Finite Fields

    Public key cryptography is based on hard problems, such as the discrete logarithm problem (DLP). In this talk, I focus on the discrete logarithm problem in finite fields:

    Given GF(q^k) and a generator g of GF(q^k)*, we say that we solve the DLP in GF(q^k) if, for any arbitrary element h in GF(q^k)*, we are able to recover an integer x such that: g^x = h.

    When the characteristic is small compared to the extension degree, the best complexity that can be achieved is quasipolynomial in log(q^k). I present here a simplified version of this quasipolynomial algorithm that has several advantages:

    1. I swear it is simple, or at least I will do my best to make it understandable.
    2. Together with additional ideas, simplifying the original settings permits to decrease the complexity of relation collection, linear algebra and extension phases, that dominate in practice all discrete logarithms computations. Namely, the complexity is reduced from O(q^7) to O(q^6).
    3. With our simplified settings, the complexity achieved in the general case became similar to the complexity known for Kummer (or twisted Kummer) extensions. Thus it permitted to achieve a discrete log computation in GF_(3^(5*497)), that is not only the highest cardinality reached in characteristic 3, but also not a special extension field as previous target fields were.

    This is a joint work with Antoine Joux.

 Imprimer 

DMC Firewall is developed by Dean Marshall Consultancy Ltd