Arrêt sur image de la cryptographie à base de couplage

Arrêt sur image de la cryptographie à base de couplage Nadia El Mrabet SAS, EMSE Crypto puce, 2 juin 2017 - Porquerolles 1 / 35

Plan de l exposé 1 Couplage sur courbes elliptiques Construction et exemple de couplages Calcul des couplages Aspect arithmétique de la cryptographie à base de couplages 2 Attaque par injection de fautes La cryptographie basée sur l identité Définition d une attaque par injection de fautes Attaque par injection de fautes contre l algorithme de Miller 2 / 35

Qu est ce qu un couplage? Propriétés Soient G 1, G 2 et G 3 trois groupes abéliens finis. Un couplage est une application : e : (G 1, +) (G 2, +) (G 3, ) 4 / 35

Qu est ce qu un couplage? Propriétés Soient G 1, G 2 et G 3 trois groupes abéliens finis. Un couplage est une application : Vérifiant les propriétés : e : (G 1, +) (G 2, +) (G 3, ) Non dégénérescence : P G 1 {0}, Q G 2 t.q. e(p, Q) 1 Bilinéarité : P, P G 1, Q G 2, e(p + P, Q) = e(p, Q).e(P, Q) 4 / 35

Qu est ce qu un couplage? Propriétés Soient G 1, G 2 et G 3 trois groupes abéliens finis. Un couplage est une application : Vérifiant les propriétés : e : (G 1, +) (G 2, +) (G 3, ) Non dégénérescence : P G 1 {0}, Q G 2 t.q. e(p, Q) 1 Bilinéarité : P, P G 1, Q G 2, e(p + P, Q) = e(p, Q).e(P, Q) Conséquences j Z, e(jp, Q) = e(p, Q) j = e(p, jq) 4 / 35

Cryptologie à base de couplages Cryptographie les couplages ont permis la construction de protocoles originaux ainsi que la simplification de protocoles cryptographiques existants. L échange de Diffie Hellman à trois (Joux 2001) La cryptographie basée sur l identité (Boneh et Franklin 2001) Les s (Boneh, Lynn, Shacham 2001) Ils pourraient apporter des solutions élégantes aux problèmes suivants liés à l IoT et au cloud par exemple : Gestion des clé ; Schémas de signature courte ; Signature par agrégation, aveugle, en anneau... ; Chiffrement et signature hiérarchiques. 5 / 35

Cryptologie à base de couplages Exemple Construction d une clé pour un échange basé sur l identité entre Alice et Bob. 6 / 35

Cryptographie basée sur l identité Echange de clé sécurisée entre Alice et Bob 7 / 35

Les couplages utilisés en cryptologie Le couplage de Weil, le couplage de Tate, le couplage η, le couplage Ate et Twisted Ate. sont les couplages les plus utilisés en cryptologie. 8 / 35

Les couplages utilisés en cryptologie Le couplage de Weil, le couplage de Tate, le couplage η, le couplage Ate et Twisted Ate. sont les couplages les plus utilisés en cryptologie. Les couplages de Weil, de Tate, Ate et Twisted Ate sont construits sur le même modèle. Ils partagent la même étape centrale pour leur calcul. 8 / 35

Construction des couplages Données Afin de calculer un couplage, nous avons besoin de : Soit E une courbe elliptique sur un corps K : E(K) := {(x, y) K K, y 2 = x 3 + ax + b, avec a, b K} P. Figure: Courbe elliptique dans le plan réel La courbe elliptique est munie d une loi d addition. 9 / 35

Courbe elliptique Loi de groupe - Addition 10 / 35

Courbe elliptique Loi de groupe - Doublement 11 / 35

Courbe elliptique Loi de groupe - Doublement Par convention nous noterons [r]p = P } + P + {{... + P }. r fois 11 / 35

Les courbes elliptiques Loi de groupe - Aspect algébrique Opposé d un point Soit E une courbe d équation y 2 = x 3 + ax + b, P = (x P, y P ) et Q = (x Q, y Q ) deux éléments de E(K). Les coordonnées du point P l inverse du point P pour la loi + peuvent s exprimer en fonction des coordonnées de P. L opposé du point P, noté P, admet pour coordonnées (x P, y P ). Cette propriété est une conséquence directe du fait que la droite (P( P)) est une droite verticale. Le troisième point d intersection de la courbe elliptique et de cette droite ne peut être que le point à l infini. Ainsi, P + ( P) = P. 12 / 35

Les courbes elliptiques Loi de groupe - Aspect algébrique Soient P = (x P, y P ) et Q = (x Q, y Q ) deux points distincts d une courbe elliptique E(K) tels que P Q. Pour trouver les formules donnant les coordonnées du point R = P + Q avec R = (x R, y R ), nous cherchons à résoudre le système de deux équations formé par l équation de la droite (PQ) et l équation de la courbe elliptique. Ce système traduit exactement le fait que (P + Q) est le troisième point d intersection de la courbe elliptique et de la droite (PQ). Nous obtenons les formules 1, où λ représente la pente de la droite (PQ) : λ = y P y Q x P x Q x R = λ 2 x P x Q (1) y R = λ(x P x R ) y P 13 / 35

Construction des couplages Données Afin de calculer un couplage, nous avons besoin de : Soit E une courbe elliptique sur un corps K F p, a et b F p : E(K) := {(x, y) K K, y 2 = x 3 + ax + b} {P }. 14 / 35

Construction des couplages Données Afin de calculer un couplage, nous avons besoin de : Soit E une courbe elliptique sur un corps K F p, a et b F p : E(K) := {(x, y) K K, y 2 = x 3 + ax + b} {P }. r un nombre premier divisant card(e(f p )), ainsi que l ensemble : E[r] = {P E(F p ), [r]p = P }. 14 / 35

Construction des couplages Données Afin de calculer un couplage, nous avons besoin de : Soit E une courbe elliptique sur un corps K F p, a et b F p : E(K) := {(x, y) K K, y 2 = x 3 + ax + b} {P }. r un nombre premier divisant card(e(f p )), ainsi que l ensemble : E[r] = {P E(F p ), [r]p = P }. Le degré de plongement k : le plus petit entier tel que r (p k 1) ; Si k > 1 alors E[r] E(F p k ). 14 / 35

Construction des couplages Données Afin de calculer un couplage, nous avons besoin de : Soit E une courbe elliptique sur un corps K F p, a et b F p : E(K) := {(x, y) K K, y 2 = x 3 + ax + b} {P }. r un nombre premier divisant card(e(f p )), ainsi que l ensemble : E[r] = {P E(F p ), [r]p = P }. Le degré de plongement k : le plus petit entier tel que r (p k 1) ; Si k > 1 alors E[r] E(F p k ). La fonction de Miller notée f r,p qui admet : le point P comme zéro d ordre r le point [r]p comme pôle. 14 / 35

Construction des couplages Le couplage de Weil Soit P E(F p )[r], Q E(F p k )/re(f p k ) et k le degré de plongement de la courbe relativement à r. { ew : G 1 G 2 G 3, (P, Q) ( 1) r f r,p (Q) f r,q (P) 15 / 35

Construction des couplages Le couplage de Tate Soit P E(F p )[r], Q E(F p k )/re(f p k ) et k le degré de plongement de la courbe relativement à r. Le couplage de Tate est l application : e T : E(F p )[r] E(F p k )/re(f p k ) F p k (P, Q) f r,p (Q) pk 1 r 16 / 35

Construction des couplages Les couplages optimaux Dès que les couplages ont été introduits pour une utilisation cryptographique, les cryptographes ont cherché des algorithmes plus efficaces pour leur calcul. Soit : α = (p k 1)/r Ate : f t 1,Q (P) α twisted Ate f (t 1) e,p(q) α Optimal pairing f s,u (V ) α, avec s de l ordre de log 2 (r/ϕ(k)) Pairing lattices 17 / 35

L égalité de Miller La fonction f r,p Le calcul des couplages nécessite la construction d une fonction rationnelle f r,p pour r un entier naturel. Cette fonction admet le point P comme zéro d ordre r et le point [r]p comme pôle. Victor Miller a établi l égalité : f i+j,p = f i,p f j,p l [i]p,[j]p v [i+j]p Cette égalité nous permet de construire une suite de fonction admettant le point [i]p comme pôle pour i allant de 1 à r. 18 / 35

L égalité de Miller Exemple Soit f 1,P qui vaut 1 par construction des fonctions f i,p et i = 1. i := 2i (i = 2) f 2,P = f 1,P f 1,P l P,P v [2]P f 2,P = l P,P v [2]P 19 / 35

L égalité de Miller Exemple Soit f 1,P qui vaut 1 par construction des fonctions f i,p et i = 1. i := 2i (i = 2) f 2,P = f 1,P f 1,P l P,P v [2]P f 2,P = l P,P v [2]P i := 2i (i = 4) f 4,P = f 2,P f 2,P l [2]P,[2]P v [4]P f 4,P = f2,p 2 l [2]P,[2]P v [4]P i := i + 1 (i = 5) f 5,P = f 4,P l [4]P,P v [5]P 19 / 35

L égalité de Miller Exemple Soit f 1,P qui vaut 1 par construction des fonctions f i,p et i = 1. i := 2i (i = 2) f 2,P = f 1,P f 1,P l P,P v [2]P f 2,P = l P,P v [2]P ( ( ) 2 lp,p f 5,P = l ) [2]P,[2]P v [2]P v [4]P i := 2i (i = 4) f 4,P = f 2,P f 2,P l [2]P,[2]P v [4]P f 4,P = f2,p 2 l [2]P,[2]P v [4]P i := i + 1 (i = 5) f 5,P = f 4,P l [4]P,P v [5]P l [4]P,P v [5]P 19 / 35

Calcul des couplages L algorithme de Miller renvoie f r,p (Q) Data: r = (r N... r 0 ) 2, P G 1 E(F p )[r] et Q G 2 E(F p k )[r] ; Result: f r,p (Q) G 3 F p k ; T P, f 1 1, f 2 1 ; for i = N 1 to 0 do T [2]T ; ; ; if r i = 1 then T T + P ; end end return f 1 f2 20 / 35

Calcul des couplages L algorithme de Miller renvoie f r,p (Q) Data: r = (r N... r 0 ) 2, P G 1 E(F p )[r] et Q G 2 E(F p k )[r] ; Result: f r,p (Q) G 3 F p k ; T P, f 1 1, f 2 1 ; for i = N 1 to 0 do T [2]T ; f 1 f 1 2 l d (Q) ; f 2 f 2 2 v d (Q) ; if r i = 1 then T T + P ; end end return f 1 f2 20 / 35

Calcul des couplages L algorithme de Miller renvoie f r,p (Q) Data: r = (r N... r 0 ) 2, P G 1 E(F p )[r] et Q G 2 E(F p k )[r] ; Result: f r,p (Q) G 3 F p k ; T P, f 1 1, f 2 1 ; for i = N 1 to 0 do T [2]T ; f 1 f 1 2 l d (Q) ; f 2 f 2 2 v d (Q) ; if r i = 1 then T T + P ; f 1 f 1 l a (Q) ; f 2 f 2 v a (Q); end end return f 1 f2 20 / 35

Calcul des couplages L exponentiation finale 21 / 35

Calcul des couplages L exponentiation finale Voir présentation suivante 21 / 35

Calcul des couplages Optimisations L implémentation d un couplages nécessitent au moins 3 arithmétiques différentes : F p, F p k, E(F p ) ou E(F p k ). Les optimisations classiques sont : Coordonnées homogènes pour la courbe elliptique pour le point P lors du calcul de f s,p (Q). Arithmétique en tour d extension pour les calculs dans F p k. Utilisation de la tordue de E(F p k ). Elimination des dénominateurs. 22 / 35

Les paramètres à choisir niveau de sécurité représentation d une courbe elliptique système de coordonnées arithmétique des corps finis couplage 23 / 35

La sécurité des couplages Elle repose sur le problème du logarithme discret Niveau de sécurité en bits 80 128 192 256 Nombre minimal de bits de r 160 256 384 512 Nombre minimal de bits de p k 1 024 3 072 7 680 15 360 Table: Niveau de sécurité (avant janvier 2016) 24 / 35

La sécurité des couplages Niveau de sécurité en bits 80 128 192 256 Nombre minimal de bits de r 160 256 384 512 Nombre minimal de bits de p k 1 024 3 072 7 680 15 360 Table: Niveau de sécurité (avant janvier 2016) Famille de courbes BN BLS12 KSS BLS24 128 bits de sécurité 383 384 342 320 192 bits de sécurité 1031 1147 597 480 Table: Niveau de sécurité (post-janvier 2016) par Menezes et al. 25 / 35

Cryptographie à base de couplage La cryptographie basée sur l identité Les protocoles de cryptographie basée sur l identité sont des protocoles cryptographiques asymétriques où la clé publique d un utilisateur est son identité, la clé privée associée lui est fournie par une autorité de confiance. 27 / 35

Cryptographie à base de couplage La cryptographie basée sur l identité Les protocoles de cryptographie basée sur l identité sont des protocoles cryptographiques asymétriques où la clé publique d un utilisateur est son identité, la clé privée associée lui est fournie par une autorité de confiance. Exemple L échange de clé basé sur l identité entre Alice et Bob. 27 / 35

Attaques par canaux cachées Lors d un protocole basé sur l identité l attaquant connait : l algorithme de couplage utilisé, le nombre d itérations (N = [log 2 (r)] + 1). Le secret est l un des arguments du couplage. Le secret n influence ni le temps d exécution ni le nombre d itérations de l algorithme. 28 / 35

Attaques par canaux cachés Les attaques par canaux cachés utilisent les failles matérielles de l implantation pour récupérer des informations sur le secret utilisé. Les attaques par injection de fautes consistent à perturber l exécution d un algorithme par exemple par des émissions lasers. 29 / 35

Attaques par canaux cachés Les attaques par canaux cachés utilisent les failles matérielles de l implantation pour récupérer des informations sur le secret utilisé. Les attaques par injection de fautes consistent à perturber l exécution d un algorithme par exemple par des émissions lasers. La première attaque par injection de fautes contre un cryptosystème à base de couplage à été introduite en 2006 par Page et Vercauteren contre l algorithme de Duursma et Lee. 29 / 35

Attaques par canaux cachés Les attaques par canaux cachés utilisent les failles matérielles de l implantation pour récupérer des informations sur le secret utilisé. Les attaques par injection de fautes consistent à perturber l exécution d un algorithme par exemple par des émissions lasers. La première attaque par injection de fautes contre un cryptosystème à base de couplage à été introduite en 2006 par Page et Vercauteren contre l algorithme de Duursma et Lee. Nous étudions la vulnérabilité de l algorithme de Miller confronté à une attaque par injection de fautes. 29 / 35

Description de l attaque par injection de fautes Nous supposons que le couplage est utilisé lors d un protocole de cryptographie basée sur l identité. Le secret est le point P, premier argument lors du calcul du couplage e(p, Q). Le second paramètre du couplage Q est connu et maitrisé par l attaquant. 30 / 35

Description de l attaque par injection de fautes Nous supposons que le couplage est utilisé lors d un protocole de cryptographie basée sur l identité. Le secret est le point P, premier argument lors du calcul du couplage e(p, Q). Le second paramètre du couplage Q est connu et maitrisé par l attaquant. Objectif de l attaque par injection de fautes L attaque consiste à faire varier le nombre d itérations durant l exécution de l algorithme de Miller, ceci afin d obtenir les résultats de deux exécutions dont le nombre d itérations soient consécutifs : τ et τ + 1 itérations pour τ {1,..., N}. Nous notons F τ,p (Q) et F τ+1,p (Q) les deux résultats de ces itérations. 30 / 35

Description de l attaque par injection de fautes Cible de l attaque Nous modifions le registre mémoire contenant l entier N déterminant le nombre d itérations exécutées par l algorithme de Miller à l aide d émission laser. 31 / 35

Description de l attaque par injection de fautes Cible de l attaque Nous modifions le registre mémoire contenant l entier N déterminant le nombre d itérations exécutées par l algorithme de Miller à l aide d émission laser. Principe de l attaque Nous procédons à plusieurs exécutions de l algorithme de Miller en modifiant aléatoirement à chaque exécution ce registre. 31 / 35

Description de l attaque par injection de fautes Cible de l attaque Nous modifions le registre mémoire contenant l entier N déterminant le nombre d itérations exécutées par l algorithme de Miller à l aide d émission laser. Principe de l attaque Nous procédons à plusieurs exécutions de l algorithme de Miller en modifiant aléatoirement à chaque exécution ce registre. Ce bombardement laser modifie le nombre d exécutions effectuées ; en dénombrant les cycles d horloge nous pouvons retrouver le nombre d itérations faites. Nous recommençons l opération jusqu à obtenir deux nombre d itérations consécutifs notés τ et τ + 1. 31 / 35

Description de l attaque par injection de fautes Probabilité de réussite Nous cherchons à tirer deux entiers consécutifs pris aléatoirement parmi N. 32 / 35

Description de l attaque par injection de fautes Probabilité de réussite Nous cherchons à tirer deux entiers consécutifs pris aléatoirement parmi N. Ce problème est similaire au paradoxe des anniversaires. Nous pouvons calculer la probabilité de réussite de cet évènement. Exemple Pour un nombre r de taille 256 bits, il suffit de 15 tirages pour obtenir deux nombres consécutifs pris parmi 256 entiers avec une probabilité supérieure à 0, 5 ; et de 26 pour obtenir une probabilité supérieure à 0, 9. 32 / 35

Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Nous notons F τ,p (Q) le résultat de la τ-ième itération et F τ+1,p (Q) celui de la τ + 1-ième. 33 / 35

Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Nous notons F τ,p (Q) le résultat de la τ-ième itération et F τ+1,p (Q) celui de la τ + 1-ième. Le rapport R = F τ+1,p(q) permet de retrouver des informations sur le F τ,p (Q) 2 secret utilisé. 33 / 35

Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Nous notons F τ,p (Q) le résultat de la τ-ième itération et F τ+1,p (Q) celui de la τ + 1-ième. Le rapport R = F τ+1,p(q) permet de retrouver des informations sur le F τ,p (Q) 2 secret utilisé. A la τ-ième étape, T = [j]p dans l algorithme de Miller Nous notons [j]p = (X j, Y j, Z j ) le point secret et Q = (x Q, y Q ) l entrée connue lors du calcul de e(p, Q). 33 / 35

Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Nous notons F τ,p (Q) le résultat de la τ-ième itération et F τ+1,p (Q) celui de la τ + 1-ième. Le rapport R = F τ+1,p(q) permet de retrouver des informations sur le F τ,p (Q) 2 secret utilisé. A la τ-ième étape, T = [j]p dans l algorithme de Miller Nous notons [j]p = (X j, Y j, Z j ) le point secret et Q = (x Q, y Q ) l entrée connue lors du calcul de e(p, Q). En écrivant les équations nous obtenons l expression de R suivante : Z 2j Z j 2 y Q 2Y j 2 (3X j 2 az j 4 )(x Q Z j 2 X j ). La connaissance du développement formel de R et de sa valeur, nous permet de construire un système en les coordonnées de [j]p. 33 / 35

Le système est : Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Y j Zj 3 = λ 2 Zj 2(X j 2 Zj 4) = λ 1 3X j (Xj 2 Zj 4) j 2 = λ 0. où nous connaissons les valeurs de λ 0, λ 1 et λ 2 dans F p. 34 / 35

Le système est : Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Y j Zj 3 = λ 2 Zj 2(X j 2 Zj 4) = λ 1 3X j (Xj 2 Zj 4) j 2 = λ 0. où nous connaissons les valeurs de λ 0, λ 1 et λ 2 dans F p. La résolution de ce système nous permet d exprimer les inconnues X j et Y j en fonction de Z j. Cela nous permet de construire une équation de degré 12 admettant Z j comme solution. 34 / 35

Le système est : Le rapport R = F τ+1,p(q) F τ,p (Q) 2 Y j Zj 3 = λ 2 Zj 2(X j 2 Zj 4) = λ 1 3X j (Xj 2 Zj 4) j 2 = λ 0. où nous connaissons les valeurs de λ 0, λ 1 et λ 2 dans F p. La résolution de ce système nous permet d exprimer les inconnues X j et Y j en fonction de Z j. Cela nous permet de construire une équation de degré 12 admettant Z j comme solution. (λ 2 0 9λ 2 1)Z 12 (4λ 0 λ 2 2 + 9λ 3 1)Z 6 + 4λ 4 1 0 mod p 34 / 35

Conclusion L algorithme de Miller est vulnérable à une attaque par injection de fautes. Vulnérabilité des couplages basés sur l algorithme de Miller Le couplage de Weil est directement sensible à cette attaque. Les couplages de Tate et Ate sont construits sur le même modèle : e T (P, Q) = (f r,p (Q)) pk 1 r. Cette exponentiation pourrait être une contre mesure à l attaque par faute, mais il est existe des méthodes comme les attaques par scan qui peuvent rendre possible l attaque par injection de fautes contre ces couplages. 35 / 35