1 Thesis Etude de Primitives Cryptographiques Symetriques Chifferements Par Flot Et Fonctions de...

Click here to load reader

  • date post

    17-Sep-2015
  • Category

    Documents

  • view

    11
  • download

    5

Embed Size (px)

description

Etude de primitives cryptographiques symetriques Chifferements par flot et fonctions de hachage

Transcript of 1 Thesis Etude de Primitives Cryptographiques Symetriques Chifferements Par Flot Et Fonctions de...

  • SGDSN/ANSSI Universit de Versailles Saint-Quentin

    Laboratoire de Cryptographie Laboratoire PRiSM

    COLE DOCTORALESTV

    T H S Eprsente pour obtenir le grade de

    Docteur de lUniversit de Versailles

    Spcialit : Informatique

    soutenue publiquement parJean-Ren Reinhard

    tude de Primitives Cryptographiques Symtriques :Chiffrements par Flot et Fonctions de Hachage

    Le 14 dcembre 2011

    Jury :

    Rapporteurs : Anne Canteaut - INRIAPierre-Alain Fouque - ENS Paris

    Directeur de thse : Antoine Joux - DGA et UVSQExaminateurs : Henri Gilbert - ANSSI

    Louis Goubin - UVSQPascal Paillier - CryptoExpertsSerge Vaudenay - EPFLMarion Videau - LORIA

    Travaux effectus au Laboratoire de Cryptologie de lANSSIAgence Nationale de la Scurit des Systmes dInformation51, boulevard de la Tour-Maubourg 75700 PARIS 07 SP

  • SGDSN/ANSSI Universit de Versailles Saint-Quentin

    Laboratoire de Cryptographie Laboratoire PRiSM

    COLE DOCTORALESTV

    T H S Eprsente pour obtenir le grade de

    Docteur de lUniversit de Versailles

    Spcialit : Informatique

    soutenue publiquement parJean-Ren Reinhard

    tude de Primitives Cryptographiques Symtriques :Chiffrements par Flot et Fonctions de Hachage

    Le 14 dcembre 2011

    Jury :

    Rapporteurs : Anne Canteaut - INRIAPierre-Alain Fouque - ENS Paris

    Directeur de thse : Antoine Joux - DGA et UVSQExaminateurs : Henri Gilbert - ANSSI

    Louis Goubin - UVSQPascal Paillier - CryptoExpertsSerge Vaudenay - EPFLMarion Videau - LORIA

    Travaux effectus au Laboratoire de Cryptologie de lANSSIAgence Nationale de la Scurit des Systmes dInformation51, boulevard de la Tour-Maubourg 75700 PARIS 07 SP

  • Remerciements

    Au moment de remercier tout ceux sans qui ces travaux nauraient pu aboutir, les mots memanquent pour exprimer toute ma gratitude et mon admiration.

    En premier lieu, je tiens remercier Antoine Joux de mavoir fait lhonneur daccepterde mencadrer pendant cette thse. Son talent et son expertise sont bien connus de toute lacommunaut des cryptologues. Cest lenthousiasme avec lequel il mne ses travaux qui ma leplus marqu.

    Je remercie Anne Canteaut et Pierre-Alain Fouque de mavoir fait lhonneur daccepter lalourde tche de rapporteur. Je remercie galement Henri Gilbert, Louis Goubin, Pascal Paillier,Serge Vaudenay et Marion Videau pour avoir accept de prendre part mon jury de thse.

    La qualit de ce mmoire doit beaucoup au travail de ses relecteurs, qui ont traqu sansrelche, jusqu la dernire minute, les nombreuses coquilles et approximations que jy avais glis-ses par mgarde. Mes remerciements vont donc Joana Treger-Marim, Henri Gilbert, ThomasFuhr, ainsi qu Anne Canteaut qui a joint son rapport les fruits dune relecture extensive.

    Ces travaux ont t raliss au sein du laboratoire de cryptologie de lANSSI. Ce laboratoireet de manire plus large la sous-direction ACE constituent un environnement trs panouissantet motivant : panouissant en raison des comptences et des qualits humaines des personnes quiy travaillent, motivant car on sy trouve confront un ventail trs complet de problmatiques.Je remercie plus particulirement mes collgues passs et prsents du laboratoire de cryptogra-phie, Guillaume Poupard, Michel Mitton, liane Jaulmes, Gwenalle Martinet, Frdric Muller,Sbastien Kunz-Jacques, Mathieu Baudet, Emmanuel Bresson, Thomas Fuhr, Marion Videau,Benot Chevallier-Mames, Joana Treger-Marim, Aurlie Bauer, Yannick Seurin, Henri Gilbertet Jean-Pierre Flori, mes collgues du laboratoire composant, Karim Khalfallah, Jean-ClaudeBourre, Victor Lomn, Thomas Roche et Adrian Thillard. Je remercie galement tout ceux qui ACE sintressent de prs ou de loin la cryptologie, ses applications et son dploiement, etavec lesquels se nouent des changes trs fructueux, notamment Pierre-Michel Ricordel, OlivierLevillain, Chaouki Kasmi, Arnaud Ebalard, Guillaume Valadon et ric Jaeger.

    Lexcellence de cet environnement de travail privilgi doit beaucoup Florent Chabaud etLoc Duflot, qui ont toujours considr la recherche comme une activit essentielle des labora-toires de lANSSI, ainsi qu la direction qui donne aux agents la possibilit de se former par larecherche.

    Une partie des travaux de cette thse a t ralise dans le cadre des projets collaborat-ifs SAPHIR et Saphir2. La soumission et la dfense de la fonction de hachage Shabal furentdes expriences enrichissantes, que jai eu lhonneur de partager avec Jean-Franois Misarsky,Thomas Fuhr, Benot Chevallier-Mames, Emmanuel Bresson, Marion Videau, Pascal Paillier,Aline Gouget, Christophe Clavier, Thomas Pornin, Cline Thuillet, Thomas Icart, Mara NayaPlasencia et Anne Canteaut.

    Enfin, je tiens remercier ma famille pour son soutien inconditionnel et Marjorie, avec quije partage tant de choses depuis tant dannes, pour ses encouragements et sa patience pendantla rdaction de ce mmoire de thse.

  • Abstract : The use of symmetric cryptographic primitives is widely spread in many concreteapplications requiring confidentiality and integrity. This work has been undertaken in the contextof two international competitions, eSTREAM and SHA-3, which encouraged and enticed the de-sign and cryptanalysis of many algorithms of two cryptographic algorithms families, respectivelystream ciphers and hash functions.

    In a first part, we study stream ciphers from a cryptanalysis point of view. We first presentattack principles that apply to many stream ciphers. Through two examples, we expose at greaterlength algebraic and differential attacks. We perform an overview of algebraic attacks applied tothe filtered LFSR and present practical time chosen IV attacks against the VEST stream cipherfamily, one of the candidate of the eSTREAM competition selected for phase 2.

    In a second part, we study the conception of cryptographic hash functions. We participatedto the submission of one candidate to the SHA-3 competition : Shabal. We focus in this documenton the security of its domain extender in the indifferentiability framework, when the compressionfunction is idealized. We also present a framework which allows to take into account non idealproperties of compression functions and expand the proof of Shabal domain extender in thismodel.

    Keywords : stream cipher cryptanalysis, filtered LFSR, algebraic attacks, VEST, hash functiondomain extender, indifferentiability, Shabal.

  • Rsum : Lutilisation de primitives cryptographiques symtriques reste incontournable danstout systme mettant en oeuvre des mcanismes cryptographiques. Les travaux de cette thsesinscrivent dans le contexte de deux comptitions internationales, eSTREAM et SHA-3, quiont stimul le dveloppement et la cryptanalyse de deux familles de primitives cryptographiquessymtriques, respectivement les algorithmes de chiffrement par flot et les fonctions de hachage.

    Dans une premire partie, nous traitons dalgorithmes de chiffrement par flot du point devue du cryptanalyste. Nous prsentons des principes dattaque sappliquant de manire gnrale de nombreux algorithmes de chiffrement par flot. travers deux exemples, nous dvelopponsplus particulirement la prsentation des attaques algbriques et des attaques diffrentielles.Nous ralisons un tat de lart des attaques algbriques appliques au registre linaire filtr etprsentons des attaques diffrentielles IV choisis de complexit pratiquable contre la familledalgorithmes VEST, soumise la comptition eSTREAM et accepte en phase 2.

    Dans une deuxime partie, nous tudions la construction de fonctions de hachage cryp-tographiques. Nous avons travaill la conception dun candidat la comptition SHA-3 :Shabal. On se concentre dans ce mmoire sur la scurit de son algorithme dextension de do-maine dans le modle de lindiffrentiabilit dun oracle alatoire, en idalisant la fonction decompression. On prsente galement une modlisation permettant de prendre en compte desproprits non-idales de la fonction de compression utilise et on tend la preuve de lextensionde domaine de Shabal dans ce cadre.

    Mots cls : Cryptanalyse dalgorithme de chiffrement par flot, registre linaire filtr, attaquesalgbriques, VEST, extension de domaine de fonction de hachage, indiffrentiabilit, Shabal.

  • Table des matires

    Remerciements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iAbstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iiiRsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . vTable des matires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . viiTable des figures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiListe des tableaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xiiiIntroduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

    I Chiffrement par Flot 3

    1 Prliminaires 51.1 Dfinitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    1.1.1 Chiffrement symtrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51.1.2 Chiffrement par bloc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61.1.3 Chiffrement par flot synchrone . . . . . . . . . . . . . . . . . . . . . . . . 61.1.4 Scurit des algorithmes de chiffrement par flot . . . . . . . . . . . . . . . 8

    1.2 Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91.2.1 Constructions base de registres linaires . . . . . . . . . . . . . . . . . . 91.2.2 Algorithme de chiffrement flot prouv sr . . . . . . . . . . . . . . . 111.2.3 Chiffrements par flot industriels . . . . . . . . . . . . . . . . . . . . . . . . 111.2.4 Constructions fondes sur des primitives cryptographiques sous-jacentes . 121.2.5 Chiffrement