Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux Damien Stehlé LIP CNRS/ENSL/INRIA/UCBL/U. Lyon Perpignan, Février 2011 Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 1/33

Buts de l exposé La communauté arithmétique s est longtemps enrichie de questions issues de la cryptographie : Grands entiers, corps finis, (Jacobiennes de) courbes algébriques. Calcul d exponentiations modulaires, de couplages sur des courbes, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 2/33

Buts de l exposé La communauté arithmétique s est longtemps enrichie de questions issues de la cryptographie : Grands entiers, corps finis, (Jacobiennes de) courbes algébriques. Calcul d exponentiations modulaires, de couplages sur des courbes, etc. Un nouveau type de crypto, reposant sur les réseaux Euclidiens. Débuts dans les mid-90 s, plein essor à la fin des 00 s. Amène-t-elle des questions arithmétiques intéressantes? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 2/33

Buts de l exposé La communauté arithmétique s est longtemps enrichie de questions issues de la cryptographie : Grands entiers, corps finis, (Jacobiennes de) courbes algébriques. Calcul d exponentiations modulaires, de couplages sur des courbes, etc. Un nouveau type de crypto, reposant sur les réseaux Euclidiens. Débuts dans les mid-90 s, plein essor à la fin des 00 s. Amène-t-elle des questions arithmétiques intéressantes? Buts de l exposé : Introduction brève à la crypto reposant sur les réseaux. Deux questions arithmétiques. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 2/33

Plan de l exposé 1- Un peu de contexte : Cryptographie moderne, Cryptographie post-quantique, Cryptographie reposant sur les réseaux. 2- Un premier exemple : SWIFFT. Fonction de hachage. Lyubashevsky & Micciancio, Peikert & Rosen (2006). 3- Un deuxième exemple : NTRU. 4- Conclusion. Schéma de chiffrement à clé publique. Hoffstein, Pipher & Silverman (1996). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 3/33

Cryptographie Science de la protection de l information. Integrité, Authenticité, Confidentialité. La crypto moderne a démarré dans les années 70-80: Plus uniquement le chiffrement, Formalisation des notions de sécurité, Étude des problèmes algorithmiques sous-jacents. Exemples : Chiffrement (symétrique ou asymétrique), Signatures digitales, Fonctions de hachage, Générateurs pseudo-aléatoires, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 4/33

Cryptographie Science de la protection de l information. Integrité, Authenticité, Confidentialité. La crypto moderne a démarré dans les années 70-80: Plus uniquement le chiffrement, Formalisation des notions de sécurité, Étude des problèmes algorithmiques sous-jacents. Exemples : Chiffrement (symétrique ou asymétrique), Signatures digitales, Fonctions de hachage, Générateurs pseudo-aléatoires, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 4/33

Cryptographie Science de la protection de l information. Integrité, Authenticité, Confidentialité. La crypto moderne a démarré dans les années 70-80: Plus uniquement le chiffrement, Formalisation des notions de sécurité, Étude des problèmes algorithmiques sous-jacents. Exemples : Chiffrement (symétrique ou asymétrique), Signatures digitales, Fonctions de hachage, Générateurs pseudo-aléatoires, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 4/33

La cryptographie est partout Sécurisation d internet : TLS (SSL), GPG, PGP, SSH, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 5/33

La cryptographie est partout Sécurisation d internet : TLS (SSL), GPG, PGP, SSH, etc. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 5/33

Problèmes algorithmiques sous-jacents Trois principales familles : Factorisation d entiers, log discret sur les corps finis. Log discret sur les courbes algébriques. Plus court et plus proche vecteurs dans les réseaux Euclidiens. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 6/33

Problèmes algorithmiques sous-jacents Trois principales familles : Factorisation d entiers, log discret sur les corps finis. Log discret sur les courbes algébriques. Plus court et plus proche vecteurs dans les réseaux Euclidiens. Factorisation Courbes Réseaux Depuis mid-70s mid-80s mid-90s Exemples RSA, DSA ECDSA NTRU Déploiement partout recommandé (?) Meilleures attaques connues n = taille de clé 2 O(n1/3 ) 2 O(n) 2 O(n) Coût n = taille du clair Õ(n 2 ) Õ(n 2 ) jusqu à Õ(n) Principaux avantages bien étudié petites clés rapide, sûr Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 6/33

Cryptographie post-quantique Que se passe-t-il si un ordinateur quantique est construit? Shor 94 : On peut factoriser les entiers et résoudre le problème du log discret sur des groupes commutatifs, en temps polynomial quantique (BQP). RSA et les courbes elliptiques seraient cassés. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 7/33

Cryptographie post-quantique Que se passe-t-il si un ordinateur quantique est construit? Shor 94 : On peut factoriser les entiers et résoudre le problème du log discret sur des groupes commutatifs, en temps polynomial quantique (BQP). RSA et les courbes elliptiques seraient cassés. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 7/33

Cryptographie post-quantique Que se passe-t-il si un ordinateur quantique est construit? Shor 94 : On peut factoriser les entiers et résoudre le problème du log discret sur des groupes commutatifs, en temps polynomial quantique (BQP). RSA et les courbes elliptiques seraient cassés. Exceptions : crypto reposant sur les réseaux, les codes, les systèmes de polynômes multivariés, et les arbres de Merkle. La crypto reposant sur les réseaux est la plus avancée. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 7/33

Cryptographie quantique Pourquoi ne pas utiliser la physique quantique pour sécuriser les communications? BB 84 : Si Alice et Bob disposent d un canal authentifié, alors ils peuvent communiquer de manière sécurisée (sans hypothèse de difficulté algorithmique). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 8/33

Cryptographie quantique Pourquoi ne pas utiliser la physique quantique pour sécuriser les communications? BB 84 : Si Alice et Bob disposent d un canal authentifié, alors ils peuvent communiquer de manière sécurisée (sans hypothèse de difficulté algorithmique). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 8/33

Cryptographie quantique Pourquoi ne pas utiliser la physique quantique pour sécuriser les communications? BB 84 : Si Alice et Bob disposent d un canal authentifié, alors ils peuvent communiquer de manière sécurisée (sans hypothèse de difficulté algorithmique). Mais... peut-être c est trop cher pour l utilisateur lambda. Et... comment fait-on pour authentifier le canal? avec de la cryptographie à clé publique? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 8/33

Cryptographie reposant sur les réseaux Un ensemble de protocoles qui : soit se décrivent en termes de réseaux, soit dont les meilleures attaques connues utilisent les réseaux, soit dont la sécurité se ramène de manière rigoureuse à un problème algorithmique sur les réseaux. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 9/33

Cryptographie reposant sur les réseaux Un ensemble de protocoles qui : soit se décrivent en termes de réseaux, soit dont les meilleures attaques connues utilisent les réseaux, soit dont la sécurité se ramène de manière rigoureuse à un problème algorithmique sur les réseaux. Pourquoi? Sécurité : instances pires cas de problèmes supposés très difficiles, résistance apparente à l ordinateur quantique, Efficacité (à part les tailles de clés), Simplicité, Fonctionnalités nombreuses : chiffrement reposant sur l identité, chiffrement homomorphique, signatures digitales,... Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 9/33

Les réseaux Euclidiens Réseau sous-groupe additif de Z n { i n x ib i : x i Z}. Si les b i sont lin. indépendants, ils forment une base. Les bases ne sont pas uniques, mais reliées par des transfos entières de déterminants ±1 : [ ] [ ] [ ] 2 1 4 3 1 1 =. 10 6 2 4 2 1 Réduction : partir d une base arbitraire, et l améliorer. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 10/33

Les réseaux Euclidiens Réseau sous-groupe additif de Z n { i n x ib i : x i Z}. Si les b i sont lin. indépendants, ils forment une base. Les bases ne sont pas uniques, mais reliées par des transfos entières de déterminants ±1 : [ ] [ ] [ ] 2 1 4 3 1 1 =. 10 6 2 4 2 1 Réduction : partir d une base arbitraire, et l améliorer. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 10/33

Les réseaux Euclidiens Réseau sous-groupe additif de Z n { i n x ib i : x i Z}. Si les b i sont lin. indépendants, ils forment une base. Les bases ne sont pas uniques, mais reliées par des transfos entières de déterminants ±1 : [ ] [ ] [ ] 2 1 4 3 1 1 =. 10 6 2 4 2 1 Réduction : partir d une base arbitraire, et l améliorer. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 10/33

Les réseaux Euclidiens Réseau sous-groupe additif de Z n { i n x ib i : x i Z}. Si les b i sont lin. indépendants, ils forment une base. Les bases ne sont pas uniques, mais reliées par des transfos entières de déterminants ±1 : [ ] [ ] [ ] 2 1 4 3 1 1 =. 10 6 2 4 2 1 Réduction : partir d une base arbitraire, et l améliorer. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 10/33

Le problème du plus court vecteur (SVP) Minimum: λ = min( b : b L \ 0). SVP γ Étant donné une base de L, trouver b L \ 0 tel que : b γ λ(l). NP-difficile quand γ = O(1) (sous des réductions randomisées). En crypto reposant sur les réseaux : γ = Poly(n). SVP résoluble en temps polynomial quand γ = 2 e O(n). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 11/33

Le problème du plus court vecteur (SVP) Minimum: λ = min( b : b L \ 0). SVP γ Étant donné une base de L, trouver b L \ 0 tel que : b γ λ(l). NP-difficile quand γ = O(1) (sous des réductions randomisées). En crypto reposant sur les réseaux : γ = Poly(n). SVP résoluble en temps polynomial quand γ = 2 e O(n). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 11/33

Sécurité prouvée vs sécurité heuristique Sécurité prouvée : les garanties de sécurité doivent être formulées rigoureusement, et l existence d une attaque doit impliquer l existence d un algorithme efficace pour résoudre un problème algorithmique réputé difficile. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 12/33

Sécurité prouvée vs sécurité heuristique Sécurité prouvée : les garanties de sécurité doivent être formulées rigoureusement, et l existence d une attaque doit impliquer l existence d un algorithme efficace pour résoudre un problème algorithmique réputé difficile. Deux stratégies opposées : Partir d un schéma pratique, et améliorer sa sécurité : GGH 96, NTRU 96. La meilleure attaque connue consiste souvent à résoudre des variantes de SVP. Partir d un schéma prouvé sûr et améliorer son efficacité : Ajtai-Dwork 97, Micciancio 04, Regev 05, Gentry et al 08, etc. Le problème algorithmique réputé difficile est souvent une variante de SVP. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 12/33

Plan de l exposé 1- Un peu de contexte : Cryptographie moderne, Cryptographie post-quantique, Cryptographie reposant sur les réseaux euclidiens. 2- Un premier exemple : SWIFFT. Fonction de hachage. Lyubashevsky & Micciancio, Peikert & Rosen (2006). 3- Un deuxième exemple : NTRU. 4- Conclusion. Un schéma de chiffrement à clé publique. Hoffstein, Pipher & Silverman (1996). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 13/33

Qu est-ce qu une fonction de hachage cryptographique? Considérons une famille de fonctions (H a ) a A avec A fini et H a : D R, efficacement calculables et évaluables. (H a ) a est une famille de fonctions de hachage si R D. (H a ) a résiste aux collisions si pour a u A, il est difficile de trouver x x dans D tels que H(x) = H(x ). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 14/33

Qu est-ce qu une fonction de hachage cryptographique? Considérons une famille de fonctions (H a ) a A avec A fini et H a : D R, efficacement calculables et évaluables. (H a ) a est une famille de fonctions de hachage si R D. (H a ) a résiste aux collisions si pour a u A, il est difficile de trouver x x dans D tels que H(x) = H(x ). Il existe d autres types de propriétés de sécurité intéressantes, mais la résistance aux collisions est la plus classique. Applications : intégrité, signatures, vérification de mot de passe, génération de bits aléatoires,... Exemples : MD4, MD5, RIPEMD, SHA-0, SHA-1,... Sécurité heuristique (et parfois insécurité prouvée). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 14/33

La fonction de hachage SWIFFT Contexte algébrique : Soient n une puissance de 2, et R l anneau Soient q premier et R q = R qr = Zq[x] x n +1. ( Z[x] x n +1, +, ). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 15/33

La fonction de hachage SWIFFT Contexte algébrique : Soient n une puissance de 2, et R l anneau Soient q premier et R q = R qr = Zq[x] x n +1. SWIFFT : Soient m et (a 1,..., a m ) uniforme dans R m q. ( Z[x] x n +1, +, ). Entrée : M 1,..., M m { 1, 0, 1}[x], de degrés < n. Sortie : H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 15/33

La fonction de hachage SWIFFT H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Lyubashevsky & Micciancio, et Peikert & Rosen (2006). Candidate à la compétition SHA-3. Rejetée au 1er round. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 16/33

La fonction de hachage SWIFFT H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Lyubashevsky & Micciancio, et Peikert & Rosen (2006). Candidate à la compétition SHA-3. Rejetée au 1er round. Paramètres asymptotiques (n ) : q = Poly(n), m = O(log n). Coût : O(m n log n log 2 q) = Õ(n). Coût par bit : Õ(1). Facteur de compression : mn n log 3 q = m log 3 q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 16/33

Sécurité de SWIFFT Supposons qu il existe un algo. prob. pol. calculant une collision pour H a1,...,a m avec (a 1,..., a m ) u Rq m, avec proba 1/Poly(n). Alors il existe un algo. prob. pol. résolvant Poly(n)-Ideal-SVP. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 17/33

Sécurité de SWIFFT Supposons qu il existe un algo. prob. pol. calculant une collision pour H a1,...,a m avec (a 1,..., a m ) u Rq m, avec proba 1/Poly(n). Alors il existe un algo. prob. pol. résolvant Poly(n)-Ideal-SVP. Réduction pire-cas à moyen-cas. γ-ideal-svp : γ-svp restreint aux réseaux idéaux. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 17/33

Sécurité de SWIFFT Supposons qu il existe un algo. prob. pol. calculant une collision pour H a1,...,a m avec (a 1,..., a m ) u Rq m, avec proba 1/Poly(n). Alors il existe un algo. prob. pol. résolvant Poly(n)-Ideal-SVP. Réduction pire-cas à moyen-cas. γ-ideal-svp : γ-svp restreint aux réseaux idéaux. I R est un idéal si a, b I, x R : a + bx R. Identifions R = Z[x] x n +1 à Zn. I devient un réseau de Z n. Un réseau idéal est un réseau qui correspond à un idéal de R. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 17/33

Sécurité de SWIFFT Supposons qu il existe un algo. prob. pol. calculant une collision pour H a1,...,a m avec (a 1,..., a m ) u Rq m, avec proba 1/Poly(n). Alors il existe un algo. prob. pol. résolvant Poly(n)-Ideal-SVP. Réduction pire-cas à moyen-cas. γ-ideal-svp : γ-svp restreint aux réseaux idéaux. I R est un idéal si a, b I, x R : a + bx R. Identifions R = Z[x] x n +1 à Zn. I devient un réseau de Z n. Un réseau idéal est un réseau qui correspond à un idéal de R. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 17/33

Sécurité de SWIFFT Supposons qu il existe un algo. prob. pol. calculant une collision pour H a1,...,a m avec (a 1,..., a m ) u Rq m, avec proba 1/Poly(n). Alors il existe un algo. prob. pol. résolvant Poly(n)-Ideal-SVP. Réduction pire-cas à moyen-cas. γ-ideal-svp : γ-svp restreint aux réseaux idéaux. I R est un idéal si a, b I, x R : a + bx R. Identifions R = Z[x] x n +1 à Zn. I devient un réseau de Z n. Un réseau idéal est un réseau qui correspond à un idéal de R. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 17/33

Choix de paramètres pratiques H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 18/33

Choix de paramètres pratiques H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Ce théorème ne dit pas comment choisir n, m, q en pratique! Pour cela, on considère la meilleure attaque connue. Elle repose sur la réduction de réseaux, dont les limites pratiques sont encore un peu vagues. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 18/33

Choix de paramètres pratiques H a1,...,a m (M 1,..., M m ) = m a i M i mod q. i=0 Ce théorème ne dit pas comment choisir n, m, q en pratique! Pour cela, on considère la meilleure attaque connue. Elle repose sur la réduction de réseaux, dont les limites pratiques sont encore un peu vagues. Proposition pratique (Lyubashevsky et al, 2008) : n 64, m 16, q = 257. Size of public parameter : 16 64 8 8.000 bits. Facteur de compression : 2. Le jeu d optimisation de l efficacité face aux meilleures attaques connues est probablement inachevé. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 18/33

Quel problème arithmétique? 16 H a1,...,a 16 (M 1,..., M 16 ) = a i M i mod 257. Ce qui domine le coût : Les multiplications dans R q = Zq[x] x n +1. i=1 Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 19/33

Quel problème arithmétique? 16 H a1,...,a 16 (M 1,..., M 16 ) = a i M i mod 257. Ce qui domine le coût : Les multiplications dans R q = Zq[x] x n +1. La multiplication de polynômes à coefficients dans un corps fini n est pas un problème théorique nouveau. i=1 Mais les tailles des paramètres sont inhabituelles. Pour q = 1 mod 2n, l anneau R q a une FFT naturelle : x n + 1 a n racines distinctes, qui sont toutes racines primitives (2n)-ièmes de l unité. Peut-on paralléliser? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 19/33

Plan de l exposé 1- Un peu de contexte : Cryptographie moderne, Cryptographie post-quantique, Cryptographie reposant sur les réseaux euclidiens. 2- Un premier exemple : SWIFFT. Fonction de hachage. Lyubashevsky & Micciancio, Peikert & Rosen (2006). 3- Un deuxième exemple : NTRU. 4- Conclusion. Un schéma de chiffrement à clé publique. Hoffstein, Pipher & Silverman (1996). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 20/33

Schéma de chiffrement à clé publique Par opposition à un chiffrement symétrique, où les deux parties se sont préalablement entendues sur une clé commune. Chiffrement asymétrique : fait intervenir une paire (pk, sk). Tout le monde peut utiliser pk pour chiffrer, Seul le détenteur de sk peut déchiffrer. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 21/33

Schéma de chiffrement à clé publique Par opposition à un chiffrement symétrique, où les deux parties se sont préalablement entendues sur une clé commune. Chiffrement asymétrique : fait intervenir une paire (pk, sk). Tout le monde peut utiliser pk pour chiffrer, Seul le détenteur de sk peut déchiffrer. Attaque à clair choisi (ou sécurité sémantique) : L attaquant A est un algo. prob. poly. auquel on donne une clé publique pk, générée selon une distribution spécifiée. A génère deux clairs M 0 et M 1, et les envoie au challenger C. C choisit i u {0, 1}, et renvoie un chiffré C de M i à A. A gagne s il trouve i avec probabilité > 1 2 + 1 Poly(n). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 21/33

Description de NTRUEncrypt (1/2) Hoffstein, Pipher & Silverman, 1996. ( Soient n premier et R = Z[x] x n 1 )., +, Soient q n une puissance de 2, p = 3, et R q = R qr = Zq[x] x n 1. Clé secrète sk : f, g R tels que : f est inversible modulo q, f = 1 mod p, Les coefficients de f et g sont dans { 1, 0, 1}. Clé publique pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 22/33

Description de NTRUEncrypt (1/2) Hoffstein, Pipher & Silverman, 1996. ( Soient n premier et R = Z[x] x n 1 )., +, Soient q n une puissance de 2, p = 3, et R q = R qr = Zq[x] x n 1. Clé secrète sk : f, g R tels que : f est inversible modulo q, f = 1 mod p, Les coefficients de f et g sont dans { 1, 0, 1}. Clé publique pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 22/33

Description de NTRUEncrypt (1/2) Hoffstein, Pipher & Silverman, 1996. ( Soient n premier et R = Z[x] x n 1 )., +, Soient q n une puissance de 2, p = 3, et R q = R qr = Zq[x] x n 1. Clé secrète sk : f, g R tels que : f est inversible modulo q, f = 1 mod p, Les coefficients de f et g sont dans { 1, 0, 1}. Clé publique pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 22/33

Description de NTRUEncrypt (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 23/33

Description de NTRUEncrypt (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrement de M {0, 1}[x], de degré < n : Générer s R q avec coefficients dans { 1, 0, 1}, Renvoyer le chiffré C := p h s + M mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 23/33

Description de NTRUEncrypt (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrement de M {0, 1}[x], de degré < n : Générer s R q avec coefficients dans { 1, 0, 1}, Renvoyer le chiffré C := p h s + M mod q. Déchiffrement de C R q : f C = p g s + f M mod q. Comme g, M, f, s sont petits, l égalité est valable sur R. (f C mod q) mod p = M. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 23/33

Sécurité de NTRUEncrypt sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p h s + M mod q. Déchiffrer : C (f C mod q) mod p. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 24/33

Sécurité de NTRUEncrypt sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p h s + M mod q. Déchiffrer : C (f C mod q) mod p. Steinfeld-Stehlé (2011) Il est possible de modifier NTRU de telle sorte que s il existe une attaque poly. prob. à clair choisi, alors il existe un algo. prob. poly. quantique résolvant Poly(n)-Ideal-SVP. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 24/33

Sécurité de NTRUEncrypt sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p h s + M mod q. Déchiffrer : C (f C mod q) mod p. Steinfeld-Stehlé (2011) Il est possible de modifier NTRU de telle sorte que s il existe une attaque poly. prob. à clair choisi, alors il existe un algo. prob. poly. quantique résolvant Poly(n)-Ideal-SVP. L ordinateur quantique rend NTRU plus sûr (!?). La preuve repose fortement sur Lyubashevsky et al (2010). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 24/33

Description du schéma modifié (1/2) Soient n premier et R = ( Z[x] x n 1, +, ). Soient q n une puissance de 2, p = 3, et R q = R qr = Zq[x] x n 1. Clé secrète sk : f, g R tels que : f est inversible modulo q, f = 1 mod p, Les coefficients de f et g sont dans { 1, 0, 1}. Clé publique pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 25/33

Description du schéma modifié (1/2) Soient n une puissance de 2 et R = ( Z[x] x n +1, +, ). Soient q Poly(n) premier, p = 2, et R q = R qr = Zq[x] x n +1. On suppose q = 1 mod 2n. Clé secrète sk : f, g R tels que : f est inversible modulo q, f = 1 mod p, Les coefficients de f et g sont q 1/2. Clé publique pk : h = g/f mod q. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 25/33

Description du schéma modifié (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrement de M {0, 1}[x], de degré < n : Générer s R q avec des coefficients dans { 1, 0, 1}, Renvoyer C := p h s + M mod q. Déchiffrement de C R q : f C = p g s + f M mod q. Comme g, M, f, s sont petits, l égalité est valide sur R. (f C mod q) mod p = M. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 26/33

Description du schéma modifié (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrement de M {0, 1}[x], de degré < n : Générer s, e R q avec des coefficients dans [ q 1/4, q 1/4 ], Renvoyer C := p (h s + e) + M mod q. Déchiffrement de C R q : f C = p (g s + f e) + f M mod q. Comme g, M, f, s, e sont petits, l égalité est valide sur R. (f C mod q) mod p = M. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 26/33

Description du schéma modifié (2/2) sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrement de M {0, 1}[x], de degré < n : Générer s, e R q avec des coefficients dans [ q 1/4, q 1/4 ], Renvoyer C := p (h s + e) + M mod q. Déchiffrement de C R q : f C = p (g s + f e) + f M mod q. Comme g, M, f, s, e sont petits, l égalité est valide sur R. (f C mod q) mod p = M. Modifications : R, plus gros coefficients dans sk, erreur e dans le chiffrement. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 26/33

Paramètres pratiques sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 27/33

Paramètres pratiques sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. Quels paramètres choisir? Plus complexe que pour SWIFFT... Plus de variables. Plus de quantités optimisables. Quelles améliorations pratiques sont raisonnables? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 27/33

Paramètres pratiques sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. Quels paramètres choisir? Plus complexe que pour SWIFFT... Plus de variables. Plus de quantités optimisables. Quelles améliorations pratiques sont raisonnables? NTRU : n = 503, q = 256, p = 3. NTRU modifié? n = 512, q < 2 32, p = 2??? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 27/33

Quel problème arithmétique? sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 28/33

Quel problème arithmétique? sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. De nouveau : multiplication dans R q. Mais aussi : génération de s et e. s et e peuvent êtres générées suivant plusieurs distributions, mais toutes font intervenir des lois Gaussiennes. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 28/33

Quel problème arithmétique? sk : f, g R petits avec f = 1 mod p. pk : h = g/f mod q. Chiffrer : M p (h s + e) + M mod q. Déchiffrer : C (f C mod q) mod p. De nouveau : multiplication dans R q. Mais aussi : génération de s et e. s et e peuvent êtres générées suivant plusieurs distributions, mais toutes font intervenir des lois Gaussiennes. Pas un problème théorique nouveau. Mais ici on veut un écart-type q 1/4, et arrondir à l entier le plus proche. Ou une autre distribution plus efficace, à distance statistique faible. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 28/33

Plan de l exposé 1- Un peu de contexte : Cryptographie moderne, Cryptographie post-quantique, Cryptographie reposant sur les réseaux euclidiens. 2- Un premier exemple : SWIFFT. Fonction de hachage. Lyubashevsky & Micciancio, Peikert & Rosen (2006). 3- Un deuxième exemple : NTRU. Un schéma de chiffrement à clé publique. Hoffstein, Pipher & Silverman (1996). 4- Conclusion. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 29/33

Cryptographie reposant sur les réseaux Sécurité théorique inégalée. Efficacité asymptotique. Schémas relativement simples, et flexibles. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 30/33

Cryptographie reposant sur les réseaux Sécurité théorique inégalée. Efficacité asymptotique. Schémas relativement simples, et flexibles. Meilleures attaques connues bien comprises asymptotiquement. Mais moins bien comprises en pratique. Paramètres pratiques imprécis. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 30/33

Questions arithmétiques Multiplication dans l anneau R q = Zq[x] x n +1. FFT naturelle dans R q. Taille de q inhabituelle (quelques bits). Parfois, les opérandes sont petits. Peut-on l exploiter? Autres anneaux plus intéressants? Avec/sans FFT? Génération selon des lois Gaussiennes. On veut maîtriser précisément ce qui est généré. Gaussienne arrondie à l entier le plus proche. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 31/33

Questions arithmétiques Multiplication dans l anneau R q = Zq[x] x n +1. FFT naturelle dans R q. Taille de q inhabituelle (quelques bits). Parfois, les opérandes sont petits. Peut-on l exploiter? Autres anneaux plus intéressants? Avec/sans FFT? Génération selon des lois Gaussiennes. On veut maîtriser précisément ce qui est généré. Gaussienne arrondie à l entier le plus proche. Ces opérations interviennent la plupart des primitives. Parfois, on a aussi des Gaussiennes discrètes : x Z, D σ (x) := exp( πx 2 /σ 2 ) k exp( πk2 /σ 2 ). Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 31/33

Problèmes ouverts La cryptographie reposant sur les réseaux peut-elle être rendue efficace? Pour quelles applications? Sur quelles architectures? Quelles primitives? Hachage, chiffrement, signature, plus compliqué? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 32/33

Problèmes ouverts La cryptographie reposant sur les réseaux peut-elle être rendue efficace? Pour quelles applications? Sur quelles architectures? Quelles primitives? Hachage, chiffrement, signature, plus compliqué? Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 32/33

Pour plus de détails Lattice-based Cryptography, Micciancio & Regev, 2008. The Learning with Errors Problem, Regev, 2010. The LLL algorithm: perspectives and applications, Nguyen & Vallée, Springer, 2010. Damien Stehlé Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux 08/02/2011 33/33