Attaques par perturbation sur ECC

Dimension: px

Commencer à balayer dès la page:

Download "Attaques par perturbation sur ECC"

Flore St-Cyr
il y a 8 ans
Total affichages :

1 Attaques par perturbation sur ECC Martin Gendreau Gabriel Mattos Langeloh ENSIMAG 11 juin 2015 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 1 / 14

2 Sommaire 1 Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation 2 Théorie des attaques Implémentation Expérimentation 3 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison 4 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 2 / 14

modification du point de base Attaque par modification de la courbe Analyse et

3 Courbes elliptiques Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation E = {(x, y) F p y 2 = x 3 + ax + b} Addition Multiplication scalaire [n]p = P + P + + P } {{ } n Calculé par Double-and-add Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 3 / 14

Multiplication scalaire [n]p = P + P + + P } {{ } n Calculé par

4 Addition sur courbe elliptique Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 4 / 14

5 Courbes elliptiques Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation E = {(x, y) F p y 2 = x 3 + ax + b} Addition Multiplication scalaire [n]p = P + P + + P } {{ } n Calculé par Double-and-add Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 5 / 14

6 El-Gamal sur courbe elliptique Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Chiffrement asymetrique Clé privée : un entier x Clé publique : (E, G, H) où G est un générateur de E et H = [x]g Repose sur l équivalent du logarithme discret Trouver n à partir de P et [n]p Meilleur algorithme : O( p) Très utilisé Standard cryptographique : openssl, GnuTLS Cartes bancaires Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 6 / 14

équivalent du logarithme discret Trouver n à partir de P et [n]p Meilleur algorithme : O( p) Très utilisé Standard

7 Attaques par perturbation Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Laser Modifie des données aléatoirement Précision : peut modifier un seul octet Exploiter le résultat faussé Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 7 / 14

aléatoirement Précision : peut modifier un seul octet Exploiter le

8 Théorie des attaques Théorie des attaques Implémentation Expérimentation Modification du point de base Modification de P(x, y) en P( x, y) Nouvelle courbe {(x, y) F p y 2 = x 3 + ax + b} Ordre plus petit = Logarithme discret plus simple Modification de la courbe Modification de a Nouvelle courbe {(x, y) F p y 2 = x 3 + ãx + b} Puis idem Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 8 / 14

Logarithme discret plus simple Modification de la courbe Modification de a Nouvelle courbe {(x, y) F p y

9 Implémentation Théorie des attaques Implémentation Expérimentation Laser simulé Mêmes effets que le réel Pré-calcul des ordres Possible car 256 possibilités pour chaque octet modifiable Quelques heures pour une courbe réelle Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 9 / 14

possibilités pour chaque octet modifiable Quelques heures pour une courbe

10 Expérimentation Théorie des attaques Implémentation Expérimentation But : Trouver les plus petits ordres Question : Quel octet modifier? Expérience : Calculer les ordres possibles Pour chaque octet modifiable Pour plusieurs courbes Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 10 / 14

Expérience : Calculer les ordres possibles Pour chaque octet modifiable Pour

11 de l attaque 1 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison Courbe Octet Complexité initiale Complexité de l attaque ECB sepc112r Anomalous NIST P BN(2,254) Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 11 / 14

ECB-48 0 24 20 sepc112r1 0 56 52 Anomalous 0 102 98 NIST P-224 26 112 108 BN(2,254) 4

12 de l attaque 2 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison Courbe Octet Complexité initiale Complexité de l attaque ECB sepc112r Anomalous NIST P BN(2,254) Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 12 / 14

ECB-48 0 24 21 sepc112r1 2 56 53 Anomalous 23 102 96 NIST P-224 11 112 109 BN(2,254) 1

13 Analyse et comparaison Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison intéressants pour certaines courbes BN(2,254) : perte de sécurité de 33 bits Mais variables Octet à modifier dépend de la courbe et de l attaque Courbes plus sujettes à ces attaques que d autre Seconde attaque moins efficace Moins de perte de sécurité Pré-calcul plus long Contre-mesures Vérifications Choisir une courbe peu sensible Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 13 / 14

l attaque Courbes plus sujettes à ces attaques que d autre Seconde attaque moins efficace Moins de perte de sécurité Pré-calcul plus

14 Baisse de la sécurité Importante dans certains cas Mais non suffisante pour faire une vraie différence Première attaque plus efficace Meilleurs résultats Pré-calcul plus court Nécessite un accès illimité au hardware Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 14 / 14

résultats Pré-calcul plus court Nécessite un accès illimité au hardware

Documents pareils

Panorama de la cryptographie des courbes elliptiques

Panorama de la cryptographie des courbes elliptiques Damien Robert 09/02/2012 (Conseil régional de Lorraine) La cryptographie, qu est-ce que c est? Définition La cryptographie est la science des messages