Cryptanalyse différentielle et linéaire

Dimension: px

Commencer à balayer dès la page:

Download "Cryptanalyse différentielle et linéaire"

Hervé Lortie
il y a 7 ans
Total affichages :

1 Cryptanalyse différentielle et linéaire Pierre-Alain Fouque

2 Réseau SP Schéma de chiffrement par bloc de taille nm Réseau de Substitution-Permutation (SPN) Soit n et m deux entiers Longueur du clair et chiffré: nm Deux composants πs et πp: πs: {0,1} n {0,1} n une substitution (S-box) πp: [1,nm] [1,nm] une permutation

3 Notations x=(x 1,...,xnm)=x(1)... x(m) {0,1} nm, avec x(i) {0,1} n (K1,...,K e+1 ) les (e+1) sous-clés uk l entrée des Sbox à l étage k vk la sortie des Sbox à l étage k=entrée permutation wk la sortie de la permutation à l étage k Sk i: i-ième Sbox de l étage k z A B C D E F πs(z) E 4 D 1 2 F B 8 3 A 6 C z πp(z)

4 Diversification de clé Décalage des bits: Pas bonne méthode, mais exemple K = {0,1}32, K1 = K2 = K3 = K4 = K5 =

5 x u 1 v 1 w 1 u 2 v 2 w 2 u 3 v 3 w 3 u 4 v 4 y K 1 S 1 1 S 1 2 S 1 3 S 1 4 K 2 S 2 1 S 2 2 S 2 3 S 2 4 K 3 S 3 1 S 3 2 S 3 3 S 3 4 K 4 S 4 1 S 4 2 S 4 3 S 4 4 K 5 SPN Cryptanalyse linéaire: Supposons qu on trouve une relation linéaire probabiliste entre un ensemble de bits du texte clair x et un sousensemble des bits de l état v4 (il existe des variables dont le vaut 0 avec probabilité 1/2) Si on a suffisamment de messages chiffrés avec une clé K, alors on peut retrouver la clé K Pour chaque chiffré, on déchiffre le dernier étage et on vérifie la relation avec des compteurs

6 Lemme d empilement X1 et X2 deux variables aléatoires sur {0,1} Pr[Xi=0]=pi et Pr[Xi=1]=1-pi, i=1,2 i j, Xi et Xj indépendants, Pr[Xi=0, Xj=0]=pipj Pr[Xi=0, Xj=1]=pi(1-pj) Pr[Xi=1, Xj=0]=(1-pi)pj Pr[Xi=0, Xj=0]=(1-pi)(1-pj) Pr[X i Xj=0]=pipj+(1-pi)(1-pj) Pr[X i Xj=1]=pi(1-pj)+(1-pi)pj

7 Biais et lemme (suite) Biais de Xi: εi=pi-1/2, -1/2 εi 1/2 Pr[Xi=0]=1/2+εi et Pr[Xi=1]=1/2-εi Soit i1,...,ik k v.a. Quel est le biais de X i1...xik εi1,..,ik en fonction des εi? Lemme: εi1,..,ik = 2 k-1 j=1 k εij (par récurrence) Corollaire: Si εij=0 pour un des j, εi1,..,ik=0 (One-Time-Pad) Attention: Résultat pas vrai si pas indépendant: ε1=ε2=ε3=1/4, ε1,2=ε2,3=ε1,3=1/8, alors que 2ε1,2 ε2,3=1/32

8 Approximation Sbox Sbox n bits vers n bits n variables aléatoires en entrée Xi Pr[X1=x1,...Xn=xn]=1/2 n y=(y1,...,yn) les n bits de sorties Pr[X1=x1,...,Xn=xn,Y1=y1,...,Yn=yn]=0 si y πs(x) et 2 -n sinon. Quel est le biais de X i1... Xik Yj1... Yjl?

9 Exemple Sbox X1 X2 X3 X4 Y1 Y2 Y3 Y Soit X1 X4 Y2 Pr[X1 X4 Y2=0] =1/2 Pr[X1 X4 Y2=1] =1/2 Biais de X3 X4 Y1 Y4: -3/8

10 Représentation résultat 2 8 =256 biais à évaluer de la forme ( i=1 4 aixi) ( i=1 4 biyi) avec ai {0,1} et bi {0,1} pour i=1,...,4 qu on représente de façon compacte (a1,a2,a3,a4) et (b1,b2,b3,b4) en hexa Ex: X 1 X4 Y2 entrée (1,0,0,1)=9 hexa et sortie (0,1,0,0)=4 en hexa Pour chacune, on compte le nombre de ligne qui satisfait la relation ε(a,b)=(nl(a,b)-8)/16 Ex: NL(9,4)=8, ε(9,4)=0 cf. Table d approximation linéaire

11 Cryptanalyse linéaire SPN Les Sbox qui ont une entrée avec une flèche entrante sont appelées actives dans S1 2, v.a. T1=U 1 5 U 1 7 U 1 8 V 1 6: biais=1/4 dans S 2 2, v.a. T2=U 2 6 V 2 6 V 2 8: biais=-1/4, dans S3 2, v.a. T3=U 3 6 V 3 6 V 3 8: biais=-1/4 dans S3 4, v.a. T4=U 3 14 V 3 14 V 3 16: biais=-1/4 T1,T2,T3,T4 ont un biais important en valeur absolue

12 Un peu de calcul... Supposons que ces variables aléatoires soient indépendantes... le lemme d empilement dit que le biais de T1 T2 T3 T4 est 2 3 (1/4)(-1/4) 3 =-1/32 On remarque que T 1 T2 T3 T4 s exprime en fonction de x, u 4 et de bits de clés T 1=U 1 5 U 1 7 U 1 8 V 1 6=X5 K 1 5 X7 K 1 7 X8 K 1 8 V 1 6 T 2=U 2 6 V 2 6 V 2 8=V 1 6 K 2 6 V 2 6 V 2 8 T 3=U 3 6 V 3 6 V 3 8=V 2 6 K 3 6 V 3 6 V 3 8,...

13 suite des calculs X 5 X7 X8 V 3 6 V 3 8 V 3 14 V 3 16 K 1 5 K 1 7 K 1 8 K 2 6 K 3 6 K 3 14 a un biais de -1/32 On remplace V3 i par U 4 i et V 3 6=U 4 6 K 4 6, V 3 8=U 4 14 K 4 14, V 3 14=U 4 8 K 4 8, V 3 16=U 4 16 K 4 16 Comme les bits de clés ont une valeur fixe pour tous les messages, la variable aléatoire X5 X7 X 8 U 4 6 U 4 8 U 4 14 U 4 16 a un biais de -1/32

14 Algorithme Si on devine les 8 bits de la dernière sousclé correctement, alors on pourra calculer le biais de la variable aléatoire Si on n a pas la bonne valeur de clé, la variable aléatoire aura un biais proche de 0 En utilisant des compteurs, on trouvera le biais (maximal) et on déduira qu on a alors la bonne valeur pour ces 8 bits de clé On retrouvera les autres avec une recherche exhaustive

15 Un peu de statistique... Si on a un biais de ε, alors il faudra c/ε 2 messages pour le détecter avec c une petite constante Dans notre cas, si on prend T=8000 messages, on aura c 8 car 1/ε 2 =1024 Comment faire mieux avec moins de messages...

16 Cryptanalyse différentielle C est une attaque à messages choisis Si on a des messages qui satisfont une x =x x* différence fixée en entrée, au bout d un certain nombre de tours, la différence de sorties y =y y* vaudra une valeur fixe avec bonne probabilité Notation: Δ(x )={(x,x x ): x {0,1} m } Δ(1011)={(0000,1011), (0001,1010),..,(1111,0100)} Pour chaque valeur de Δ(1011), on peut calculer les différences de sorties A B C D E F

17 Cryptanalyse différentielle On notera ND(x,y )=#{(x,x*) Δ(x ):πs(x) πs(x*)=y } et avec des notations adaptées comme pour la cryptanalyse linéaire, on calcule la table des différences ND(a,b ) avec a,b en hexa L addition de clé ne pose pas de problème Rapport de propagation Rp(a,b )=ND(a,b )/2m Rp(a,b )=Pr[xor de sortie=b xor entrée=a ]

18 Piste différentielle dans S 1 2, Rp(1011,0010)=1/2 dans S 2 3, Rp(0100,0110)=3/8 dans S 3 2, Rp(0010,0101)=3/8 dans S 3 3, Rp(0010,0101)=3/8 Rp( , ) =1/2*(3/8) 3 =27/1024 x = , donne (v 3 ) = avec probabilité 27/1024 et (u 4 ) =

19 Opération de filtrage L algorithme est similaire à celui pour la cryptanalyse linéaire (on a des compteurs qui vont déterminer 8 bits de la dernière sous-clés) et on augmente les compteurs si la caractéristique différentielle est satisfaite En plus, on ne conserve dans le calcul que les «bonnes paires», celles où on n a pas de différences sur (u(1) 4 ) et (u(3) 4 ) T c/ε, avec c une petite constante et T entre 50 et 100 permet de retrouver la clé car 1/ε 38.

20 Conclusion: Construction AES AES a été construit en connaissant ces attaques Les concepteurs ont montré qu il n y avait pas d attaque car les pistes différentielles ont une probabilité de l ordre de au bout de 5 tours Les marges de sécurité font que dans certains cas, on peut remonter plusieurs étages...

Documents pareils

Exo7. Calculs de déterminants. Fiche corrigée par Arnaud Bodin. Exercice 1 Calculer les déterminants des matrices suivantes : Exercice 2.

Exo7. Calculs de déterminants. Fiche corrigée par Arnaud Bodin. Exercice 1 Calculer les déterminants des matrices suivantes : Exercice 2. Eo7 Calculs de déterminants Fiche corrigée par Arnaud Bodin Eercice Calculer les déterminants des matrices suivantes : Correction Vidéo ( ) 0 6 7 3 4 5 8 4 5 6 0 3 4 5 5 6 7 0 3 5 4 3 0 3 0 0 3 0 0 0 3