Résumé.

Nous présenterons le rôle des matrices de diffusions linéaires dans les chiffrements par blocs. Les matrices les plus performantes pour la diffusion sont directement liées aux codes correcteurs d'erreurs ayant la meilleure distance minimale (codes MDS).

Pour une implémentation optimale, ces matrices de diffusion doivent avoir des symétries importantes, par exemple être des matrices circulantes ou des matrices dyadiques.

Nous expliquerons comment les codes de Reed-Solomon permettent de construire des matrices dyadiques MDS ayant une bonne implémentation matérielle ou logicielle.

Résumé.

Dans ce travail, nous proposons une nouvelle fonction a sens unique basée sur une propriété arithmetique et qui permet de construire un protocole d'échange de clé de type Diffie - Hellman et un cryptosysteme à clé publique et une signature électronique.

Résumé.

Le vérifieur de byte code est l’un des composants essentiels dans la sécurité des cartes à puce Java Card. Tel un pare-feu applicatif, il autorise ou non les programmes à être installé puis exécuté. L’implémentation d’un tel composant est une tâche difficile et de nombreuses erreurs peuvent subsister. Sa vérification est un enjeu majeur pour assurer la sécurité des cartes à puces. Durant la présentation, nous proposons une stratégie basée sur la génération de tests de vulnérabilité à l'aide de modèle formel. Un modèle, représentant les programmes acceptables par un vérifieur de byte code, est muté afin de représenter un ensemble de comportements non acceptables. Un solveur de contraintes permet ensuite d’extraire des tests de ces modèles mutants. Bien que l’étude n’a été réalisée que sur un sous-ensemble de mécanismes Java Card, cette étude a mis en avant la validité de l’approche.

Résumé.

Le cryptosystème de McEliece a été proposé en 1978, mais l'étude de sa résistance face aux attaques par canaux cachés n'a débuté qu'en 2008. Ce cryptosystème a été proposé en utilisant la famille des codes de Goppa classiques. D'autres familles de codes ont ensuite été proposées mais des attaques permettant de retrouver la clé privée ont vu le jour. C'est pourquoi le cryptosystème de McEliece reste encore à ce jour le plus souvent considéré en utilisant les codes de Goppa classiques. Mais toute implantation doit être faite avec précaution, afin d'éviter des fuites d'informations involontaires.

Après une présentation du cryptosystème de McEliece, je développerai quelques propriétés des codes de Goppa classiques puis expliquerai certaines attaques par canaux cachés visant essentiellement le décodage de ces codes lors du déchiffrement.

Résumé.

Pairings are mathematical tools that have been proven to be very useful in the construction of many cryptographic protocols. Some of these protocols are suitable for implementation on power constrained devices such as smart cards or smartphone which are subject to side channel attacks. In this paper, we analyse the efficiency of the point blinding countermeasure in pairing based cryptography against side channel attacks. In particular, we show that this countermeasure does not protect Miller's algorithm for pairing computation against fault attack. We then give recommendation for a secure implementation of a pairing based protocol using the Miller algorithm.

Work with Nadia El MRABET, Université Paris 8 (France)

Résumé.

Les surfaces abéliennes, ou de façon équivalente les Jacobiennes de courbes hyperelliptiques de genre 2, sont après les courbes elliptiques le cas le plus simple de variétés abéliennes, et en lice pour fournir les cryptosystèmes les plus efficaces parmi ceux fondés sur le logarithme discret. Comme pour les courbes elliptiques, la multiplication complexe est une approche intéressante pour obtenir des variétés sur un corps fini avec un nombre de points connu d'avance. Les algorithmes passent par le calcul coûteux d'un grand polynôme définissant un certain corps de classes.

Je vais présenter des travaux communs avec Emmanuel Thomé sur un algorithme qui est asymptotiquement quasi-linéaire et dont l'implantation est disponible comme logiciel libre. Puis je vais passer à des travaux communs avec Marco Streng sur une approche systématique pour obtenir des invariants de classes, qui sont des éléments du même corps de classes avec des polynômes plus petits, et montrer comment trouver leurs conjugués algébriques de façon effective.

Résumé.

Les données biométriques d'un individu sont importantes à protéger dans la mesure où ce type d'information tend à être de plus en plus utilisé pour l'authentification d'individus et que cette donnée est en général non révocable (contrairement à un mot de passe par exemple). Dans la littérature, plusieurs algorithmes ont été proposés afin de protéger de façon algorithmique une donnée biométrique. Ce séminaire va se focaliser sur la méthode de BioHashing réalisant une transformation des données biométriques contrôlée par un secret. Après avoir présenté cette technique, ses avantages et limites, des applications récentes proposées par le GREYC seront présentées pour la sécurisation du e-commerce et la protection de la propriété intellectuelle d'images.

Résumé.

The talk is about the side-channel security of the field multiplication in GF(2^n). We particularly focus on GF(2^{128}) multiplication which is the one used in the authentication part of AES-GCM but the proposed attack also applies to other binary extensions.

In a hardware implementation using a 128-bit multiplier, the full 128-bit secret is manipulated at once. In this context, classical DPA attacks based on the divide and conquer strategy cannot be applied. In this talk, I will explain how we can leverage the algebraic structure of the multiplication to recover bits of information about the secret multiplicand without having to perform any key-guess. To do so, the leakage corresponding to the writing of the multiplication output into a register is considered. It is assumed to follow a Hamming weight/distance leakage model. Under these particular, yet easily met, assumptions I will then show the nice connection that we can make between the key recovery problem and some classical coding and Learning Parities with Noise problems with certain instance parameters. In this particular case, the noise is very high, but the length of the secret is rather short. Eventually, I will describe the different solving techniques that we investigated corresponding to different attacker models and also how we refined the attack when considering particular implementations of the multiplication.

This is a joint work with Pierre-Alain Fouque and Benoît Gérard.

Résumé.

In authentication, one party, usually called a prover, must present a proof of legitimacy to another party, usually called a verifier. In most scenarios where the verifier consists at least partly of a machine, an authentication protocol is used, which also employs cryptographic primitives. In provable security, an authentication protocol is considered "secure" if it is (a) correct: any legitimate prover can authenticate to the verifier; and (b) impersonation resistant: no illegitimate party can authenticate to the verifier.

One caveat of this security definition is that cryptographic authentication mechanisms cannot guarantee impersonation security against Man-in-the-Middle relay attacks, in which a pair of adversaries (usually called a leech and a ghost) collude in order to allow the ghost (which is an illegitimate entity) to authenticate. One enhancement of authentication protocols that also prevents relay attacks is distance-bounding authentication.

In this presentation I will describe recent advancements in distance-bounding protocols, in particular with respect to prover privacy, both with respect to an outsider and with respect to a malicious verifier. Finally, I will show the extension of distance-bounding protocols to multi-hop distance-estimation protocols, which enable to move the 2-party distance-bounding scenario to multiple parties across a network.

Résumé.

This talk is about the asymptotic and practical hardness of discrete logarithms in non-prime finite fields. This is needed to evaluate the security of e.g. pairing-based cryptosystems. The Number Field Sieve (NFS) algorithm is known to be the most efficient to compute discrete logarithms in prime finite fields and large characteristic finite fields. We are interested in adapting NFS for DL in GF(p^k), starting with k=2.

NFS algorithm requires two number fields that can be embedded into GF(p^k). We introduce two new methods for polynomial selection, i.e. the choice of the two polynomials defining the two number fields involved in NFS. These methods provide an important practical speed-up for DL in GF(p^2) compared to DL in prime fields of the same size, as showed the recent record of DL computation in GF(p^2) (announcement here). Our methods have an asymptotic complexity of L(1/3,(64/9)^(1/3)). Moreover they can be applied in medium-sized characteristic and have in this case a better asymptotic complexity of L(1/3, (96/9)^(1/3)) instead of L(1/3, (128/9)^(1/3)).

This is a joint work with Razvan Barbulescu, Pierrick Gaudry and François Morain.

Résumé.

Cryptographic protocols aim at securing communications over insecure networks such as the Internet, where dishonest users may listen to communications and interfere with them. For example, passports are no more pure paper documents. Instead, they contain a chip that stores additional information such as pictures and fingerprints of their holder. In order to ensure privacy, these chips include a mechanism, i.e. a cryptographic protocol, that does not let the passport disclose private information to external users. This is just a single example but of course privacy appears in many other contexts such as RDFIDs technologies or electronic voting.

Actually, the analysis of cryptographic protocols relies on several concepts which are well-etablished in the field of process algebras. In particular, the notion of behavioral equivalence allows one to express indistinguishability which is a crucial concept to model privacy-type security properties (e.g. anonymity, unlinkability, ...). We will discuss some recent advances that we have done to analyse automatically equivalence-based security properties, and we will review some issues that remain to be solved to obtain efficient verification tools.

Résumé.

Isogenies are an essential tool in Elliptic Curves cryptography, where they are used in a wide variety of area: fast point counting, complex multiplication methods, speeding up the arithmetic...

In the first half of this talk, we describe how the the theory of theta functions allows to compute isogenies between abelian varieties. More precisely, given equations for the kernel K of a maximal isotropic subgroup of the l-torsion, we explain how to compute the isogeny A to A/K.

We give some examples of (l,l)-isogeny graphs in dimension~2, and we show that some isogenies are missing: the isogenies with cyclic kernel. In the second half of this talk, we explain how to use the action of the real multiplication to compute these isogenies with cyclic kernel.

Finally we briefly explain how cyclic and (l,l)-isogenies are both needed to recover the complete picture of the isogeny graph in dimension~2.

Résumé.

L'utilisation des courbes elliptiques en cryptographie se justifie par l'absence d'un algorithme sous-exponentiel pour calculer le logarithme discret. Cela permet d'admettre des courbes elliptiques sur un corps fini plus petit, par rapport au groupe multiplicatif, dans l'algorithme ElGamal ou échange de clef de Diffie et Hellman. Néanmoins les opérations d'arithmétique, l'addition et le doublement, sont plus lourdes. Suite à l'introduction des courbes d'Edwards, il y avait eu un grand progrès sur les algorithmes pour l'arithmétique sur des modèles particuliers. On explique des améliorations récentes qui réduisent le coût de cet arithmétique, surtout l'opération clef de doublement.

Résumé.

Distance bounding protocols are security countermeasures designed to thwart relay attacks. Such attacks consist in relaying messages exchanged between two parties, making them believe they communicate directly with each other. Although distance bounding protocols have existed since the early nineties, this research topic resurrected with the deployment of contactless systems, against which relay attacks are particularly impactful. Given the impressive number of distance bounding protocols that are designed every year, it becomes urgent to provide researchers and engineers with a methodology to fairly compare the protocols in spite of their various properties. After reviewing the literature of distance bounding protocols, we will introduce in this talk a methodology based on concepts from the decision making field in order to compare distance bounding protocols.

Résumé.

Le chiffrement complètement homomorphe (parfois considéré comme le Saint Graal de la cryptographie) permet d’effectuer (de façon publique) des calculs arbitraires sur des messages chiffrés. Les premières instanciations de cette surprenante primitive ne peuvent être considérées comme pratiques, chaque multiplication de deux bits chiffrés nécessitant d’être suivie par une procédure de plusieurs dizaines de minutes. En 2014, le chiffrement homomorphe devient très prometteur : la commission européenne appelle dans son dernier appel à projet ICT à travailler à utiliser le chiffrement homomorphe dans des applications à l’horizon 2020.

Dans cet exposé, nous présentons le chiffrement homomorphe et quelques applications, puis discutons sa praticité. Il existe plusieurs grandes familles de chiffrement homomorphes, mais les familles basées sur RLWE et les entiers semblent les plus prometteuses. Nous parlerons aussi de l'envoi de données vers le Nuage (le cloud), qui pose actuellement de nombreux problèmes du fait de la grande taille des chiffrés comparée à la taille des messages en clair.

Résumé.

Sur des plateformes marchandes, les systèmes de réputation sont des mécanismes puissants permettant à la fois de réduire les risques inhérents aux interactions avec des fournisseurs de service inconnus, mais également d’inciter ces fournisseurs à se comporter honnêtement. Ces systèmes reposent sur l’agrégation des témoignages, émis par les clients à l’issue de leur interaction avec les fournisseurs, reflétant la qualité du service rendu. Cependant, la collecte des témoignages permet d’obtenir de nombreuses informations sur les clients et les fournisseurs ce qui inévitablement peut conduire à révéler des informations personnelles.

Dans cet exposé, nous proposons un mécanisme de réputation distribué préservant la vie privée, permettant aux utilisateurs de calculer des réputations représentatives du comportement des fournisseurs de service et robuste aux attaques. Pour obtenir un tel mécanisme, nous combinons des outils issus de l'algorithmique distribuée et de la communauté cryptographique. Plus précisément, nous utilisons des tierces parties distribuées, permettant d'instaurer de la confiance entre les utilisateurs, et des preuves de connaissance non-interactives à divulgation nulle de connaissance, des signatures proxy anonymes et du partage de secret vérifiable afin de préserver la vie privée des utilisateurs.

Résumé.

Passwords are radioactive material. First we recall bad and good practices for storing passwords. Then we demo attacks based on leaked password files such as LinkedIn, YouPorn and Adobe. The Adobe file contains 130 Million encrypted passwords. The attacks allow retrieving popular passwords, disclosing hidden links between accounts, de-anonymizing users pseudonyms. Last, we provide workarounds and discuss long term consequences of password leaks.

Conférence Master GREYC.