Attaques par perturbation sur ECC Martin Gendreau Gabriel Mattos Langeloh ENSIMAG 11 juin 2015 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 1 / 14
Sommaire 1 Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation 2 Théorie des attaques Implémentation Expérimentation 3 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison 4 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 2 / 14
Courbes elliptiques Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation E = {(x, y) F p y 2 = x 3 + ax + b} Addition Multiplication scalaire [n]p = P + P + + P } {{ } n Calculé par Double-and-add Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 3 / 14
Addition sur courbe elliptique Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 4 / 14
Courbes elliptiques Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation E = {(x, y) F p y 2 = x 3 + ax + b} Addition Multiplication scalaire [n]p = P + P + + P } {{ } n Calculé par Double-and-add Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 5 / 14
El-Gamal sur courbe elliptique Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Chiffrement asymetrique Clé privée : un entier x Clé publique : (E, G, H) où G est un générateur de E et H = [x]g Repose sur l équivalent du logarithme discret Trouver n à partir de P et [n]p Meilleur algorithme : O( p) Très utilisé Standard cryptographique : openssl, GnuTLS Cartes bancaires Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 6 / 14
Attaques par perturbation Courbes elliptiques El-Gamal sur courbe elliptique Attaques par perturbation Laser Modifie des données aléatoirement Précision : peut modifier un seul octet Exploiter le résultat faussé Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 7 / 14
Théorie des attaques Théorie des attaques Implémentation Expérimentation Modification du point de base Modification de P(x, y) en P( x, y) Nouvelle courbe {(x, y) F p y 2 = x 3 + ax + b} Ordre plus petit = Logarithme discret plus simple Modification de la courbe Modification de a Nouvelle courbe {(x, y) F p y 2 = x 3 + ãx + b} Puis idem Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 8 / 14
Implémentation Théorie des attaques Implémentation Expérimentation Laser simulé Mêmes effets que le réel Pré-calcul des ordres Possible car 256 possibilités pour chaque octet modifiable Quelques heures pour une courbe réelle Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 9 / 14
Expérimentation Théorie des attaques Implémentation Expérimentation But : Trouver les plus petits ordres Question : Quel octet modifier? Expérience : Calculer les ordres possibles Pour chaque octet modifiable Pour plusieurs courbes Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 10 / 14
de l attaque 1 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison Courbe Octet Complexité initiale Complexité de l attaque ECB-48 0 24 20 sepc112r1 0 56 52 Anomalous 0 102 98 NIST P-224 26 112 108 BN(2,254) 4 128 95 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 11 / 14
de l attaque 2 Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison Courbe Octet Complexité initiale Complexité de l attaque ECB-48 0 24 21 sepc112r1 2 56 53 Anomalous 23 102 96 NIST P-224 11 112 109 BN(2,254) 1 128 124 Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 12 / 14
Analyse et comparaison Attaque par modification du point de base Attaque par modification de la courbe Analyse et comparaison intéressants pour certaines courbes BN(2,254) : perte de sécurité de 33 bits Mais variables Octet à modifier dépend de la courbe et de l attaque Courbes plus sujettes à ces attaques que d autre Seconde attaque moins efficace Moins de perte de sécurité Pré-calcul plus long Contre-mesures Vérifications Choisir une courbe peu sensible Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 13 / 14
Baisse de la sécurité Importante dans certains cas Mais non suffisante pour faire une vraie différence Première attaque plus efficace Meilleurs résultats Pré-calcul plus court Nécessite un accès illimité au hardware Martin Gendreau, Gabriel Mattos Langeloh Attaques par perturbation sur ECC 14 / 14