Construction de S-boˆıtes elliptiques
Franck Lepr´ evost
Universit´e du Luxembourg http://www.uni.lu
Laboratoire d’Algorithmique, Cryptologie et S´ecurit´e http://lacs.uni.lu
Outlines
1 Quelques mots sur l’Universit´ e du Luxembourg
2 Contexte et motivations
3 Evaluation cryptographique d’une substitution
4 Evaluation cryptographique de S RD et de sfox
5 S-boˆıtes elliptiques
Quelques mots sur l’Universit´e du
Luxembourg
Quelques mots sur l’Universit´e du Luxembourg Contexte et motivations Evaluation cryptographique d’une substitution Evaluation cryptographique deSRDet desfox S-boˆıtes elliptiques SubstitutionsFαavec(δ, λ, µ) = (8,30,0)
L’Universit´ e du Luxembourg
Cr´ e´ ee le 12 aoˆ ut 2003
11 Bachelors, 11 Masters, 5 formations sp´ ecifiques Sp´ ecialit´ e S´ ecurit´ e du Bachelor
Sp´ ecialit´ e Security and Trust du Master
Master en formation continue Management de la S´ ecurit´ e
3 Facult´ es et des unit´ es de recherches en construction
Quelques mots sur l’Universit´e du Luxembourg Contexte et motivations Evaluation cryptographique d’une substitution Evaluation cryptographique deSRDet desfox S-boˆıtes elliptiques SubstitutionsFαavec(δ, λ, µ) = (8,30,0)
L’Universit´ e du Luxembourg
Cr´ e´ ee le 12 aoˆ ut 2003
11 Bachelors, 11 Masters, 5 formations sp´ ecifiques Sp´ ecialit´ e S´ ecurit´ e du Bachelor
Sp´ ecialit´ e Security and Trust du Master
Master en formation continue Management de la S´ ecurit´ e 3 Facult´ es et des unit´ es de recherches en construction
Dont le LACS : http://lacs.uni.lu
Quelques mots sur l’Universit´e du Luxembourg Contexte et motivations Evaluation cryptographique d’une substitution Evaluation cryptographique deSRDet desfox S-boˆıtes elliptiques SubstitutionsFαavec(δ, λ, µ) = (8,30,0)
L’Universit´ e du Luxembourg
Cr´ e´ ee le 12 aoˆ ut 2003
11 Bachelors, 11 Masters, 5 formations sp´ ecifiques Sp´ ecialit´ e S´ ecurit´ e du Bachelor
Sp´ ecialit´ e Security and Trust du Master
Master en formation continue Management de la S´ ecurit´ e 3 Facult´ es et des unit´ es de recherches en construction
Dont le LACS : http://lacs.uni.lu
Des axes de recherche prioritaires
L’Universit´ e du Luxembourg
Cr´ e´ ee le 12 aoˆ ut 2003
11 Bachelors, 11 Masters, 5 formations sp´ ecifiques Sp´ ecialit´ e S´ ecurit´ e du Bachelor
Sp´ ecialit´ e Security and Trust du Master
Master en formation continue Management de la S´ ecurit´ e 3 Facult´ es et des unit´ es de recherches en construction
Dont le LACS : http://lacs.uni.lu Des axes de recherche prioritaires
Dont la s´ ecurit´ e et fiabilit´ e en informatique
Contexte et motivations
Cryptosyst` emes ` a clef publique
Canal non sécurisé salut
Texte clair rzh!k
Texte chiffré
ALICE BOB
salut
Texte clair rzh!k
Texte chiffré
Clé Publique de Bob Clé privée de Bob
Déchiffrement Chiffrement
"ANNUAIRE"
Bob −> Cle publique de Bob
Cryptosyst` emes ` a clef secr` ete
salut
Texte clair rzh!k
Texte chiffré Chiffrement
Clé secrète K
Canal non sécurisé salut
Texte clair rzh!k
Texte chiffré
ALICE BOB
Clé secrète K Déchiffrement de Alice et bob
Connue seulement
Contexte et motivations
Les cryptosyst` emes ` a clef secr` ete par blocs Des fonctions de substitution r´ esistantes
Cryptanalyse lin´ eaire, diff´ erentielle, et attaques alg´ ebriques Comment trouver de nouvelles fonctions de substitutions avec de bonnes propri´ et´ es cryptographiques ?
Utiliser les courbes elliptiques pour construire de telles substitutions
Comparer ces substitutions elliptiques avec celles utilis´ ees
dans AES et FOX
Evaluation cryptographique d’une
substitution
Evaluation cryptographique d’une substitution
Soit F : F n 2 −→ F n 2 une substitution, et, si x = (x 0 , . . . , x n−1 ) ∈ F n 2 , soit
y = (y 0 , . . . , y n−1 ) = F (x).
R´ esistance diff´ erentielle et δ F R´ esistance lin´ eaire et λ F
Relations quadratiques et µ F
R´ esistance diff´ erentielle
Soit
∆ F (a, b) = {x ∈ F n 2 ; F (x) ⊕ F (a ⊕ x) = b}, et
δ F (a, b) = #∆ F (a, b).
Notons
δ F = Sup{δ F (a, b), a, b ∈ F n 2 , a 6= 0}.
R´ esistance lin´ eaire
Pour tout α = (α 0 , . . . , α n−1 ), soit
α.x =
n−1
X
i=0
α i x i .
Pour α, β ∈ F n 2 , soit
Λ F (α, β) = {x ∈ F n 2 ; α.x ⊕ β.F (x) = 0}, et
λ F (α, β) = #Λ F (α, β) − 2 n−1 . Notons
n
Relations quadratiques
Pour beaucoup de fonctions bool´ eennes utilis´ ees dans les block ciphers, chaque y i a un grand degr´ e en les x i .
Cependant, on peut tr` es bien avoir des ´ equations implicites P (x 0 , . . . , x n−1 , y 0 , . . . , y n−1 ) = 0
de petit degr´ e.
Si le nombre r de telles ´ equations de degr´ e 2 est tel que r >> n,
alors le syst` eme est surd´ efini, et sujet ` a une classe d’attaque XSL.
Evaluation cryptographique de S RD et
de sfox
Evaluation cryptographique de AES et FOX
Objectif : construire des fonctions de substitution F ayant δ F , λ F et µ F petit.
AES et la fonction de substitution S RD : (δ S
RD, λ S
RD, µ S
RD) = (4, 16, 23).
FOX et la fonction de substitution sfox :
(δ sfox , λ sfox , µ sfox ) = (16, 32, 9).
S -Boˆıtes elliptiques
Courbes elliptiques
-5 -2,5 0 2,5 5
-2,5 2,5 5
P Q
-(P+Q)
P+Q
Courbes elliptiques
Soit p ≥ 5 un nombre premier, et E une courbe elliptique d´ efinie sur F p , telle que E (F p ) contienne un sous-groupe cyclique G d’ordre 2M pour un entier M ≥ 1.
Une ´ equation est :
y 2 = x(x 2 + ax + b),
avec a, b ∈ F p tels que b(a 2 − 4b) 6= 0 dans F p .
Construction g´ en´ erale d’une substitution F α
Soit P ∈ E ( F p ) fix´ e tel que G =< P >.
Soit X la table
X = [x(nP ), 0, ≤ n ≤ M − 1], avec x(0P ) = 0.
On trie la table X selon les valeurs croissantes de x(nP ) : T = [0 = T (0), T (1), . . . , T (M − 1)].
Pour tout n ∈ {0, 1, . . . , M − 1}, r(n) = le rang de x(nP ) dans la
table T . En d’autres temes
Construction g´ en´ erale d’une substitution F α
Soit α ∈ ( Z /2M Z ) ∗ . L’application Q −→ αQ
dans G =< P > induit une bijection m α de {0, 1, . . . , M − 1}
comme suit :
m α (j ) = j α mod 2M , et, si m α (j ) > M−1, alors m α (j ) := 2M−m α (j ).
On obtient la substitution F α de l’ensemble {0, 1, . . . , M − 1} par :
F α = r ◦ m α ◦ r −1 .
Exemple
Soit p = 11, et E d´ efinie sur F 11 par : y 2 = x(x 2 + 2x + 2).
Alors E (F 11 ) ' Z/14Z, et E (F 11 ) =< P >, avec P = (6, 6).
n 1 2 3 4 5 6
nP (6,6) (1,4) (7,9) (5,8) (2,8) (4,4)
Exemple
D’o` u la table X = [0, 6, 1, 7, 5, 2, 4], la table tri´ ee
T = [0, 1, 2, 4, 5, 6, 7]. La bijection r est obtenue comme : r : {0, 1, 2, 3, 4, 5, 6} −→ {0, 5, 1, 6, 4, 2, 3}.
La r´ eciproque est :
r −1 : {0, 1, 2, 3, 4, 5, 6} −→ {0, 2, 5, 6, 4, 1, 3}.
Choisissons α = 5 ∈ ( Z /14 Z ) ∗ . Alors m 5 est obtenue comme : m 5 : {0, 1, 2, 3, 4, 5, 6} −→ {0, 5, 4, 1, 6, 3, 2}.
La foction F α = F 5 = r ◦ m 5 ◦ r −1 est alors explicitement :
Substitutions F α avec
(δ, λ, µ) = (8, 30, 0)
Approche g´ en´ erale
But : trouver des boites int´ eressantes utilisant des repr´ esentations sur 8 bits.
M´ ethode : consid´ erer E d´ efinies sur F p telles que 512 divise
N p = #E ( F p ), et regarder les substitutions F α .
Approche g´ en´ erale
On choisit a priori N p tel que 512 divise N p . La borne de Hasse-Weil donne :
( p
N p − 1) 2 ≤ p ≤ ( p
N p + 1) 2 .
On cherche alors E d´ efinies sur ces F p s´ electionn´ es, tels que E ( F p ) contienne G cyclique d’ordre 512.
Pour chaque E , on calcule P tel que G =< P >.
Les 64 valeurs α ∈ ( Z /512 Z ) ∗ ' Z /2 Z × Z /128 Z donnent les
substitutions F de l’ensemble {0, 1, . . . , 255}.
R´ esultats avec (δ, λ, µ) = (8, 32, 0)
Si E d’´ equation y 2 = x(x 2 + ax + b), est telle que
E( F p ) ' Z /512 Z , alors p prend 11 valeurs : 479 ≤ p ≤ 557.
p a b x(P) y(P) α
479 382 18 143 288 285
491 37 139 286 230 173
503 421 443 382 371 173
521 270 72 7 56 201
521 439 417 126 357 173
541 176 241 138 20 109
541 512 463 199 78 9
R´ esultats avec (δ, λ, µ) = (8, 30, 0)
Si E ( F p ) contient un sous-groupe ' Z /512 Z , alors on obtient plusieurs 100-aines de bonnes fonctions de substitution. Par exemple :
Structure de E( F p ) Nombre de p Nombre de E Nombre de F α
(512)(8) 29+ 2703456 48
(1024)(4) 25 3310128 68
(1536)(2) 24+ 3969792 96
Bibliographie
E. Biham, A. Shamir. –
Differential cryptanalysis of DES-like cryptosystems.J. Cryptology, vol. 4 (1), p. 3-72, 1991.
N. Courtois, J. Pieprzyk. –
Cryptanalysis of block ciphers with overdefined systems of equations.http ://eprint.iacr.org/2002/044
J. Daemen, V. Rijmen. –
The design of Rijndael. AES - The Advanced Encryption Standard.Springer 2002.
P. Junod, S. Vaudenay. –
FOX : a new family of block ciphers.SAC 2004, LNCS 3357, Springer-Verlag 2005.
M. Matsui. –
Linear cryptanalysis for DES cipher.In Hellseth T., Advances in Cryptology - Eurocrypt’93. LNCS 765, Springer-Verlag, p. 386-397, 1993.
Bibliographie
R. Gillard et F. Lepr´evost. –
Construction of elliptic S-boxes.En pr´eparation Grenoble-Luxembourg, 2005-2006.
T. Ebrahimi, F. Lepr´evost et B. Warusfel. –
Enjeux de la s´ecurit´e multim´edia(209 p.) Herm`es-Lavoisier Lausanne-Luxembourg-Paris, 2006
T. Ebrahimi, F. Lepr´evost et B. Warusfel. –
Cryptographie et s´ecurit´e des syst`emles et r´eseaux(303 p.) Herm`es-Lavoisier Lausanne-Luxembourg-Paris, 2006