Département d'Informatique de l'École Normale Supérieure
Rapport scientifique de l'équipe
Complexité et cryptographie



(2001-2004)











Membres de l'équipe

1  Activité scientifique de l'équipe

Créé en 1988, le Groupe de Recherche en Complexité et Cryptographie (GRECC), a été intégré au LIENS en 1993. Depuis cette date de nombreuses thèses ont été soutenues (plus d'une quinzaine). Le groupe a ainsi joué un rôle majeur dans la diffusion de la recherche en cryptographie dans le milieu académique français.

Plus que la théorie de la complexité, c'est la cryptologie, dans ses aspects théoriques et pratiques qui forme maintenant le coeur des recherches menées au GRECC. Il s'agit d'un domaine très ``vertical'' puisqu'il va de sujets proches de la complexité abstraite à la conception d'algorithmes cryptographiques, voire à leur implantation sur ordinateur ou sur carte à mémoire. Nombre de questions posées sont directement issues de la pratique et proviennent de divers domaines: commerce électronique, internet, télévision à péage, sécurité des communications GSM ou UMTS notamment.

Dans les quatre dernières années, le GRECC a concentré ses recherches dans les domaines suivants, couvrant la quasi totalité des thèmes actuellement actifs dans la communauté de recherche en cryptologie. Cette activité sera détaillée selon la subdivision suivante:
  1. Preuves de sécurité pour les schémas de signature
  2. Preuves de sécurité pour les schémas à clé publique
  3. Preuves de sécurité pour les schémas à clé secrète
  4. Authentification mutuelle et échange de clés
  5. Nouveaux problèmes difficiles
  6. Conception de nouveaux algorithmes à clé publique
  7. Cryptanalyse de systèmes à clé publique
  8. Conception et analyse d'algorithmes symétriques
  9. Cryptographie ``interactive''
  10. Signatures de groupe et variantes
Une tendance significative de la recherche la plus récente en cryptographie, en particulier pour la cryptographie asymétrique, vise à substituer aux approches heuristiques une «sécurité prouvée». Le simple fait qu'un algorithme cryptographique ait résisté durant plusieurs années aux attaques des cryptanalystes a constitué pendant longtemps la seule forme possible de validation. Un paradigme totalement distinct provient du concept de ``sécurité prouvée''. Cette approche propose des preuves relatives qui ramènent la sécurité du schéma proposé à celle d'un problème qu'on peut considérer comme difficile à résoudre, tel que la factorisation des entiers ou le problème du logarithme discret.

Le métier du cryptographe peut ainsi être organisé suivant trois aspects :

1.1  Preuves de sécurité pour les schémas de signature

Tout algorithme efficace de signature électronique repose sur la combinaison d'éléments asymétriques (fonctions à sens unique à trappe) et d'éléments symétriques (hachage). La preuve de sécurité repose donc sur des hypothèses pour ces deux types d'éléments. On distingue habituellement les preuves ``idéalisées'' où on identifie les fonctions de hachage à des fonctions aléatoires (modèle de l'oracle aléatoire) et les chiffrements de bloc à des permutations aléatoires (modèle du chiffrement idéal) des preuves ``réelles'' où les hypothèses sont plus réalistes (résistance des fonctions de hachage à la recherche de collisions, ou simplement à la recherche de pré-images).

Les méthodes mises en oeuvre dans la méthodologie des preuves de sécurité sont à l'origine celles de la théorie de la complexité, où un algorithme cryptographique est réalisé par une machine de Turing polynomiale probabiliste. Elles ont notamment été explicitées dans ([16, 7, 96, 97]). Les preuves de sécurité sont des arguments relatifs ramenant la sécurité d'un algorithme cryptographique à la difficulté supposée d'un problème particulier issu en général de la théorie des nombres, en faisant éventuellement appel à un oracle pour calculer certaines fonctions (cas des preuves «idéalisées»). S'agissant d'algorithmes probabilistes, des majorations sur les probabilités apparaissent naturellement et leur maniement est parfois de nature à obscurcir l'argumentation. Victor Shoup a proposé un cadre élégant pour organiser les techniques probabilistes à l'aide de jeux successifs. L'équipe a systématisé cette approche, en particulier dans [12, 7], afin de faciliter la validation des preuves. L'importance de cette simplification des techniques de preuve est illustrée par le cas de l'algorithme ESIGN où nous avons trouvé, seize ans après sa publication, deux erreurs dans la preuve d'origine [98] : une erreur de conception de la primitive, qui n'est pas adaptée au modèle de sécurité voulu, et pour laquelle nous avons proposé une correction au moyen de deux variantes [67] ; une étape manquante dans la preuve, que nous avons complétée en collaboration avec Tatsuaki Okamoto [86].

Bien que la sécurité des schémas de signature repose habituellement sur une hypothèse de théorie des nombres, les techniques de théorie des nombres interviennent rarement dans la preuve proprement dite. Il y a des exceptions: dans le travail [86] cité plus haut, donnant pour la première fois (en 2003) une preuve de sécurité complète de l'algorithme de signature ESIGN proposé en 1986, nous avons utilisé la théorie des réseaux à coordonnées entières et l'inégalité de Polya-Vinogradov.

Plus récemment nous avons proposé (en collaboration avec Rosario Gennaro -- IBM T.J. Watson Research Center) [114] un schéma de signature numérique qui, tout en étant très efficace, est muni d'une preuve de sécurité relative à un problème réputé très difficile. Notre solution est une amélioration du schéma de signature proposé par Cramer et Damgård à Crypto '96, qui utilise un arbre comme structure d'authentification de base. Leur schéma est à la fois efficace, avec une preuve de sécurité sous l'hypothèse de la difficulté de l'inversion de la fonction RSA. Nous montrons comment modifier ce schéma pour obtenir une signature qui a les mêmes performances mais repose sur une hypothèse calculatoire qui semble être plus faible : la difficulté de factoriser des modules composés d'une certaine forme.

Nous avons aussi étudié la conception de schémas de signature dont la taille de signature est la plus courte possible pour une sécurité donnée. Nous avons d'abord montré comment obtenir des signatures les plus courtes possibles dans le cas de schémas avec recouvrement de message [68]. Notre système est une amélioration de la technique PSS de Bellare et Rogaway. Nous avons ensuite montré comment obtenir des signatures les plus courtes possibles dans le cas de schémas de signature avec appendice [5]. Notre système est une amélioration de la technique proposée par Patarin pour Quartz. Ces deux schémas utilisent le modèle du chiffrement idéal.

Dans le cadre du projet NESSIE d'évaluation de primitives cryptographiques, l'équipe a aussi étudié les preuves de sécurité des schémas basés sur la difficulté du logarithme discret [101], et trouvé une faille dans le modèle de sécurité de Quartz [103].

Enfin, dans [81], l'équipe a montré que le modèle dit générique n'était pas pertinent dans les cas des signatures RSA assistées, en présentant une attaque polynomiale prouvée contre une signature RSA assistée pour laquelle il existait une preuve de sécurité dans le modèle générique.

1.2  Preuves de sécurité pour les schémas à clé publique

Le groupe a participé activement à l'étude ``moderne'' du chiffrement asymétrique, qui tente de concilier les notions de sécurité et l'efficacité. Nous avions déjà procédé à une première clarification des notions de sécurité, en mettant en évidence la notion de sécurité souhaitable en pratique : la sécurité sémantique face aux attaquants à chiffrés choisis adaptatifs (qui considère des adversaires très puissants, autorisés à obtenir le déchiffrement de tout chiffré différent du challenge, au sujet duquel il souhaite apprendre au moins un bit du clair). Nous avons récemment affiné la précédente clarification [92], en montrant la spécificité des requêtes de déchiffrement en fonction de leur position temporelle par rapport à la connaissance du challenge. Aucune requête avant ne peut être remplacée par une ou plusieurs requêtes après, et vice-versa.

Pour atteindre ce niveau de sécurité important, plusieurs constructions ont été proposées, et notamment [84] en collaboration avec Tatsuaki Okamoto (NTT, Japon), ainsi que [48, 47] en collaboration avec des collègues de Gemplus.

Néanmoins, la construction la plus célèbre demeure OAEP, proposée par Bellare et Rogaway en 1994. On a longtemps cru qu'OAEP conduisait à un schéma de chiffrement sûr au sens le plus fort à partir de toute permutation à trappe (outil de théorie de la complexité modélisant le RSA). Pour cette raison, OAEP est devenu une norme internationale adoptée notamment par l'IETF et l'ISO. Cependant, Victor Shoup a détecté une faille dans la preuve de sécurité. En collaboration avec des chercheurs de NTT, nous avons alors immédiatement tenté de réparer la preuve, au moins pour son application à RSA. A la surprise de beaucoup, nous y sommes très rapidement parvenus, sauvant ainsi toutes les applications pratiques [64, 12].

OAEP, comme son nom l'indique (Optimal Asymmetric Encryption Padding) est optimal à plusieurs titres : en coût de calcul, et en taille du chiffré. Quant au ratio chiffré/clair, il n'est pas optimal d'un point de vue théorique. En effet, autant il est évident qu'un chiffrement sûr est nécessairement probabiliste (au moins 80 bits d'aléa), autant il n'y a aucune raison théorique pour qu'il soit redondant. Or, aucune construction sûre n'était connue sans une redondance de 80, voire 160 bits. Nous avons relevé le défi en proposant le premier schéma de chiffrement sûr, sans redondance, avec donc seulement 80 bits (l'aléa indispensable) de plus dans le chiffré que dans le clair [89]. Cette construction nécessite cependant le modèle du chiffrement idéal. Nous avons affaibli ce modèle, en se contentant du modèle de l'oracle aléatoire, avec une construction similaire à OAEP, mais avec 3 tours [89, 91]. Cette nouvelle construction a d'ailleurs l'avantage supplémentaire par rapport à OAEP d'être applicable sur une plus grande variété de primitives, et d'admettre une preuve de sécurité avec une réduction plus efficace.

Dans le cadre du projet NESSIE d'évaluation de primitives cryptographiques, l'équipe a aussi étudié le modèle KEM-DEM de conception de schéma hybrides de chiffrement, en particulier pour ceux basés sur le problème RSA [102].

Outre les notions de sécurité classiques pour le chiffrement asymétrique (confidentialité du message), nous nous sommes intéressés à d'autres problématiques, et notamment la confidentialité du destinataire [26].

Enfin, dans [69], l'équipe a étudié les notions de sécurité les plus fortes dans le cas inhabituel où le système de déchiffrement n'est pas parfait, c'est-à-dire quand le procédé de déchiffrement peut éventuellement se tromper en renvoyant une valeur différente du texte clair initial. C'est notamment le cas du cryptosystème NTRU.

1.3  Preuves de sécurité pour les schémas à clé secrète

Les preuves de sécurité ont aussi été utilisées en cryptographie conventionnelle afin de prouver la sécurité des modes opératoires de chiffrement ou des codes d'authentification de messages. Les hypothèses faites sont que les algorithmes de chiffrement par bloc se comportent comme des permutations aléatoires pour un adversaire qui ne connaît pas la clé de chiffrement utilisée. Cette approche a été initialisée par Bellare et Rogaway et permet de montrer la résistance d'un mode de chiffrement contre des adversaires à clairs choisis ou à chiffrés choisis.

Nous avons effectué, pour le chiffrement par bloc, un travail similaire à celui mené pour le chiffrement asymétrique, à savoir l'importance des requêtes aux différents oracles mis à la disposition de l'attaquant (chiffrement et/ou déchiffrement) en fonction de leur position temporelle par rapport à la connaissance du challenge [90]. Cependant, le résultat est tout autre : les requêtes après la connaissance du challenge n'apportent «presque» rien de plus que les requêtes avant.

En chiffrement symétrique, les messages peuvent être longs (plusieurs blocs) et il est possible d'envisager des adversaires plus forts qui soumettent les messages bloc par bloc à l'algorithme de chiffrement. Ce type d'adversaires est particulièrement adapté à la prise en compte des modes opératoires qui s'effectuent au fil de l'eau. Dans ce cas, nous avons montré [57] qu'une variante du mode de chiffrement CBC pouvait être sûre ainsi que le mode de chiffrement CFB. Nous nous sommes aussi intéressés à ces adversaires dans le cas des attaques à chiffrés choisis [54]. Enfin dans [55], nous avons comparé les modèles de sécurité entre les adversaires classiques et ces nouveaux adversaires.

1.4  Authentification mutuelle et échange de clés

La mise en accord de clés de session authentifiées est une notion cruciale pour tous les réseaux informatiques. En effet, tous les protocoles de sécurité de l'Internet et notamment SSL (Secure Socket Layer) qui permet d'ouvrir des connexions sécurisées ne mettent en oeuvre la cryptographie à clé publique qu'afin de permettre aux deux parties concernées (client et serveur) de s'authentifier puis mettre en commun une clé de session (qu'elles seules connaîtront). Elles peuvent alors ensuite utiliser ce secret commun pour passer aux mécanismes de chiffrement conventionnels bien plus rapides, et qui garantissent la confidentialité et l'authenticité des communications. Ce paradigme admet cependant de très nombreuses spécificités selon les applications, et selon ce que les deux parties connaissent ou sont en mesure de calculer.

Notre groupe a, là encore, participé de façon très active à l'étude «moderne» de la mise en accord de clés : en définissant un modèle de sécurité dans le cas où les deux participants ne partagent qu'un mot de passe (confiné dans un petit dictionnaire susceptible d'être exploré par une recherche exhaustive); nous avons également défini un modèle de sécurité pour la mise en accord de clés de session au sein d'un groupe [38].

En effet, ce dernier type de protocole est d'un intérêt pratique considérable pour des téléconférences, télé-réunions, etc. Certains protocoles avaient déjà été proposés dans le passé. Mais faute de modèle de sécurité, aucune preuve n'avait jamais été fournie, et même la plupart admettent des attaques dans le modèle de sécurité que nous considérons. Dans un premier temps, nous avons étendu les notions de sécurité, et les protocoles, dans le cas de groupes dynamiques [32]. Il s'agit de tirer partie du fait que les membres du groupe partagent déjà des informations lors de l'ajout d'un nouveau membre. Ensuite, nous avons étendu ce modèle aux exécutions simultanées [33], où les membres peuvent appartenir à plusieurs groupes à la fois.

Pour tous ces travaux, nous supposions que les participants avaient un moyen d'authentifier de façon forte leurs messages (à l'aide de mécanismes symétriques ou asymétriques, tels que des signatures). Mais tel n'est pas toujours le cas. Nous avons alors étudié le cas où les participants ne partagent qu'un mot de passe [34]. Ce contexte rend le protocole utilisable pour des réseaux ad hoc, sans autorité de confiance, ni centre de certification. Néanmoins, il s'agit de résister aux attaques par dictionnaire (recherche exhaustive hors-ligne) rendues possibles par la faible taille du mot de passe.

Quant au cas de deux participants, il n'était pas totalement réglé, car les protocoles les plus efficaces n'avaient toujours pas été prouvés dans le modèle que nous avions défini (et le plus largement admis). Nous avons donc étudié, et prouvé les protocoles EKE et OKE, tout d'abord dans le modèle du chiffrement idéal [36], puis dans le modèle de l'oracle aléatoire [37], et enfin en limitant au minimum le recours à ce objet idéal qu'est l'oracle aléatoire [22]. Tout ce travail a une application immédiate auprès des organismes de normalisation (notamment IEEE Standard 1363.2 Study Group) puisque nos preuves montrent, entre autres choses, la sécurité du protocole AuthA (variante de EKE et OKE), candidat à Password-Based Public-Key Cryptography.

Un travail ultérieur en cours [112] prouve que ce protocole garantit bien la notion de forward-secrecy : les clés de session établies avant la corruption du mot de passe restent confidentielles. Nous proposons de plus des parades contre une machine client, ou un serveur, vulnérables, avec des variantes de type one-time password et des serveurs qui ne possèdent qu'une empreinte du mot passe (verifier-based).

Ces protocoles à base de mots de passe sont délicats à décrire et à implémenter car la moindre fuite d'information sur le mot de passe permet à un attaquant d'effectuer une attaque par dictionnaire. Nous avons alors proposé [43, 115] une technique générique (issue de OKE) qui permet de construire de tels protocoles à partir de diverses hypothèses algorithmiques, alors que jusqu'à présent seul le problème Diffie-Hellman était efficacement utilisé. Notamment, une instanciation spécifique conduit au premier protocole dont la sécurité repose sur le problème de la factorisation. Il est de plus particulièrement efficace (tout du moins pour l'un des participants).

En effet, les intervenants ne possèdent pas nécessairement une puissance de calcul importante, ou similaire. Nous avons donc également étudié cette situation plus en détail, dans un environnement à clé publique, où les participants utilisent des couples de clés privées/publiques pour authentifier leurs message. Dans un premier temps, nous avons proposé un schéma à deux participants qui ne nécessite que très peu de calcul du côté du client [71]. Pour ce qui est des groupes, nous avons proposé un schéma à serveur centralisé, où essentiellement tous les calculs sont reportés sur ce serveur, et les clients n'ont besoin que de très peu de ressources [30, 9].

Le coût algorithmique n'est pas toujours l'obstacle majeur. Le nombre des interactions peut être prohibitif, notamment dans les protocoles de mise en accord de clés au sein de groupes. En effet, presque tous les protocoles dans les groupes, avec preuve de sécurité, ont besoin d'un nombre linéaire (par rapport au nombre d'utilisateurs) d'interactions entre les participants. On a proposé dans [28] un schéma de mise en accord de clés qui requiert seulement trois interactions entre les utilisateurs et qui est basé sur une simple combinaison de schémas de chiffrement à clé publique et de techniques classiques de calcul partagé.

1.5  Nouveaux problèmes difficiles

Au travers des différents protocoles présentés dans les paragraphes précédents, le groupe a été amené à proposer de nouveaux problèmes difficiles au sens de la théorie de la complexité, comme base de la cryptographie. C'est ainsi que nous avons été amenés à considérer de nouvelles familles de problèmes.

La première, dénommée les ``Gap Problems'' [85], regroupe les situations où il s'agit de résoudre un problème calculatoire étant donné l'accès à un oracle décisionnel. Typiquement, peut-on calculer la fonction de Diffie-Hellman (qui associe à g, gx et gy la valeur gxy) en ayant accès à un programme qui détermine seulement si le résultat est correct. Cette famille est à la fois très générale et très utile: elle nous a en effet également permis de prouver la sécurité d'une signature ``indéniable'', proposée en 1989. Cette dernière n'avait jamais pu être conduite, car le problème sous-jacent n'avait pas été identifié. Depuis, plusieurs autres analyses de sécurité ont fait intervenir cette nouvelle classe de problèmes. Par la suite, des groupes spécifiques, appelés les Gap Groups et implémentés par les mécanismes de ``couplage'' de Weil ou de Tate sur certaines courbes elliptiques, ont été trouvés qui permettent d'accroître l'intérêt de ce problème du Gap Diffie-Hellman, puisque le problème décisionnel y est facile.

La seconde, appelée «Group Diffie-Hellman» [35], généralise le problème Diffie-Hellman classique : étant donné g, gxi pour i=1,...,n et gÕI xi pour plusieurs sous-ensembles stricts I de 1,...,n, calculer gÕ1n xi. Ce problème apparaît dans la plupart des protocoles de mise en accord de clés au sein de groupes évoqués ci-dessus.

Un travail sur la signature en blanc de Chaum nous a conduit à isoler une nouvelle variante du problème RSA [27], que nous avons généralisée aux autres problèmes [8], et notamment le logarithme discret : pouvant faire n accès à un oracle calculatoire, peut-on résoudre n+1 instances aléatoires ?

Dans [42], le groupe a étudié plusieurs nouveaux problèmes algorithmiques liés de façon assez naturelle au lemme de Hensel. Certains se sont avérés équivalents à des problèmes bien connus comme le logarithme discret ou l'extraction de racines e-ièmes modulo N, mais d'autres sont peut-être de difficulté distincte.

Les nouveaux problèmes sont à leur tour la base de nouvelles investigations: La sécurité de tout protocole cryptographique repose sur la difficulté d'un problème algorithmique donné et la mise en évidence de nouveaux problèmes ouvre la voie à la conception de nouveaux types de protocoles.

1.6  Conception de nouveaux algorithmes à clé publique

Le système de chiffrement de Paillier a inspiré de nombreux travaux du groupe. Tout d'abord, en collaboration avec Rosario Gennaro et Nick Howgrave-Graham, l'équipe a amélioré la sécurité du schéma original en étudiant les hypothèses calculatoires associées [10]. L'équipe a montré qu'il est possible de baser la sécurité du schéma sur une hypothèse calculatoire (plutôt que sur une hypothèse décisionnelle). On a établi ce résultat en prouvant que la fonction de chiffrement utilisé dans le schéma de Paillier a la propriété de cacher un nombre linéaire des bits, sous l'hypothèse qu'un problème calculatoire (lié au problème de la factorisation) soit difficile. De plus nous avons généralisé nos techniques pour fournir des conditions suffisantes pour qu'une fonction à trappe ait cette propriété.

Nous avons également examiné de nouveau le schéma de chiffrement de Paillier, et nous avons prouvé [44] qu'en choisissant une base publique particulière, et en présentant une procédure alternative de déchiffrement, il devient possible d'utiliser un exposant publique arbitraire. L'utilisation d'exposants de petite taille augmente sensiblement l'efficacité du schéma. Dans un autre article [42] nous avons aussi montré que le nouveau schéma (qui a été appelé ``RSA-Paillier'') n'est en fait qu'une simple généralisation de la méthode de Paillier. Plus précisément, en utilisant des techniques de réseaux, nous sommes parvenus à montrer que le problème de retrouver le message original à partir de son chiffré est, en fait, équivalent au problème d'inverser la fonction RSA).

Plus récemment nous avons proposé un nouveau schéma de chiffrement homomorphe[29] qui soit, à la fois, efficace et sûr. Il s'agit d'une généralisation du schéma proposé par Cramer et Shoup à Eurocrypt 2002. Plus précisément Cramer et Shoup ont proposé un paradigme général pour construire des schémas de chiffrement -- à clé publique -- qui sont sûrs contre des attaques à chiffrés choisis adaptatifs. Ils ont de plus présenté plusieurs exemples concrets, et notamment une variante du schéma de chiffrement de Paillier. Ce dernier atteint un niveau de sécurité maximal, et admet deux mécanismes indépendants de déchiffrement. Notre article revisite ce schéma, et nous montrons qu'en considérant un sous-groupe différent, il bien possible d'obtenir un nouveau schéma, dont la sécurité peut être prouvée par rapport à un problème mathématique différent, avec des applications intéressantes. En particulier nous montrons comment construire des «engagements» munis de propriétés calculatoires originales.

On a aussi utilisé le chiffrement de Paillier pour construire un tableur permettant de calculer avec des valeurs rationnelles chiffrées sans avoir besoin de retrouver auparavant les valeurs claires. Les schémas de chiffrement homomorphiques, tel que celui de Paillier, permettent de faire des multiplications d'une valeur entière chiffrée par une constante connue ou de calculer la somme de deux valeurs entières chiffrées et qu'à la fin le résultat soit sous forme chiffrée. Dans [62], nous avons montré comment on peut aussi faire ces calculs avec des nombres rationnels en utilisant des techniques de réduction de réseaux.

1.7  Cryptanalyse de systèmes à clé publique

Le GRECC a une très longue expertise, théorique et pratique, dans ce domaine, fondée notamment sur sa maîtrise de l'algorithme LLL de réduction des réseaux, attestée par plusieurs thèses et de nombreuses cryptanalyses «spectaculaires». Le groupe s'est de plus récemment intéressé dans  [83] à des améliorations algorithmiques en réduction de réseaux.

Tout le monde connaît le logiciel PGP qui permet de sécuriser les courriers électroniques grâce au chiffrement et à l'authentification. Depuis quelques années, il existe une sorte de version libre de PGP : GPG est un logiciel libre qui implémente la norme OpenPGP, et qui est inclus dans les distributions courantes de Linux. Le groupe a démontré dans [79] que GPG comportait de sérieuses failles cryptographiques : la plus importante concernait la signature El Gamal, qui a depuis été retirée de GPG. Dans les versions précédentes de GPG, on pouvait instantanément retrouver la clef privée du signataire dès qu'une signature El Gamal était produite par GPG

Le cryptosystème NTRU est l'une des alternatives les plus efficaces à RSA. Dans [80], le groupe a d'abord mis en évidence des failles dans les preuves de sécurité proposées pour NTRU. Puis, le groupe a présenté dans [69] de nouvelles attaques tirant parti d'une propriété spécifique à NTRU : quand un message est chiffré par NTRU, il est possible qu'il puisse être mal déchiffré. Ces attaques ont conduit à une modification des normes préconisées par NTRU.

Le groupe s'intéresse aussi depuis peu à la cryptanalyse de schémas de chiffrement multivariés. Ces systèmes ont été proposés comme une alternative au système RSA. De nombreuses variantes ont été proposées. L'une d'entre elles utilise des perturbations internes. Le groupe a proposé une attaque de ce système en utilisant des invariants de la différentielle associée à la clé publique [117].

Un nouveau type d'attaque à prendre en compte aujourd'hui sont les attaques par canaux auxiliaires qui permettent de casser de nombreux schémas à clé publique. Les attaques par canaux auxiliaires exploitent des informations qui dépendent des implémentations en analysant par exemple les courbes de consommation de puissance d'une carte à puce. Ces informations peuvent alors être exploitées pour retrouver la clé secrète.

Dans [56], nous avons utilisé la réduction de réseaux pour casser l'implémentation de Gardner de l'algorithme de recombinaison des restes chinois. Cet algorithme est très utilisé car il est très rapide et permet d'économiser de la place dans les cartes à puce. Cette attaque permet de retrouver la factorisation du module RSA quand ses facteurs premiers sont de tailles différentes d'au moins 6 bits pour une clé de 1024 bits.

Beaucoup de schémas de signatures (notamment la norme américaine de signature DSA) sont probabilistes : à chaque génération de signature, le signataire a besoin d'une valeur aléatoire qui sera gardée secrète. Certains schémas admettent des ``preuves de sécurité'', mais pour ce faire, il faut que la génération d'aléa soit cryptographiquement sûre. Un scénario commun dans les attaques par canaux auxiliaires est d'étudier des attaques dans le cas où certaines informations filtrent sur la valeur aléatoire utilisée à la génération de signature. On suppose toujours que la valeur aléatoire a une distribution uniforme, mais que l'attaquant dispose de certaines informations supplémentaires sur la valeur aléatoire, par exemple quelques bits de poids fort. Le groupe a ainsi démontré l'insécurité de divers schémas de signature dans un tel scénario, dans les cas suivants : les normes américaines DSA [78, 14] et ECDSA [15], des variantes de DSA [51], Esign [53]. Ces attaques permettent de retrouver la clef privée du signataire, à partir seulement de quelques signatures pour lesquelles on dispose d'informations sur la valeur aléatoire utilisée.

Dans [63], nous nous sommes intéressées à certaines contre-mesures proposées par Coron pour éviter les attaques par canaux auxiliaires dans le cas d'implémentations de l'algorithme Square-and-Multiply sur courbe elliptique. Nous avons utilisé une variante des ``sliding attacks'' initialement proposées en cryptanalyse symétrique pour casser deux des trois contre-mesures en remarquant que les états internes collisionnent quand on chiffre M et 2M à un décalage près dans les indices. Enfin dans [58], nous avons cassé une contre-mesure pour sécuriser l'algorithme Square-and-Multiply en utilisant plusieurs représentations différentes de la clé secrète. Ces représentations différentes sont obtenues grâce à une décomposition binaire avec signe randomisée. L'attaque consiste comme précédemment à exploiter les collisions dans les états intermédiaires des calculs. De plus, même si le nombre de représentations possibles est très grand, la randomisation utilisée dans cette contre-mesure n'utilise localement, d'un indice à l'autre, pas beaucoup d'entropie.

Certaines cryptanalyses ne s'appuient même pas sur des faiblesses d'implantation d'un algorithme mais construisent des attaques à partir d'hypothèses sur la compromission -- d'apparence bénigne -- de données: par exemple, dans un travail commun avec David Naccache et Nigel Smart [77], nous avons pu montrer que le simple accès aux coordonnées projectives (au lieu des coordonnées affines) du résultat d'un algorithme cryptographique mettant en jeu des courbes elliptiques, pouvait suffire à reconstituer la clé secrète. Ceci ouvre la voie à des attaques réalistes dans l'environnement des cartes à microprocesseurs, qui utilisent souvent la représentation projective.

Enfin, dans le cadre du projet NESSIE d'évaluation de primitives cryptographiques, nous avons étudié l'efficacité des attaques par induction de fautes sur les primitives retenues [100].

1.8  Conception et analyse d'algorithmes symétriques

Le groupe a étudié la méthode d'implantation logicielle dite du ``code orthogonal'', technique redécouverte en 1997 par Eli Biham sous le nom de ``bitslice'' (cette méthode consiste principalement en l'émulation de plusieurs implantations matérielles en parallèle, en répartissant les bits de données à traiter sur tous les registres du processeur). Nous avons ainsi proposé un nouvel algorithme de chiffrement par blocs, optimisés pour ces implantations matérielles ou logicielles, afin de résoudre les besoins croissants en débit de chiffrement des matériels moderne, par exemple pour le chiffrement transparent d'un disque dur d'ordinateur portable [95].

Dans le cadre du projet NESSIE d'évaluation de primitives cryptographiques, nous avons aussi implanté Khazad, MISTY-1 et SAFER++ sur carte à puce à bas coût (en prenant l'exemple du 8051) afin d'en comparer les performances. Nous avons aussi participé à l'effort collectif d'optimisation des implantations en C des algorithmes étudiés par le projet [1].

Le groupe a aussi une expertise en analyse de systèmes symétriques. Il existe deux types de cryptanalyse. D'une part la cryptanalyse des primitives de cryptographie symétrique que sont les algorithmes de chiffrement par bloc, les algorithmes de chiffrement par flot et les fonctions de hachage et d'autre part la cryptanalyse des modes opératoires et des codes d'authentification de message.

La cryptanalyse d'algorithmes de chiffrement par bloc a réellement débuté en 1991 quand Biham et Shamir ont découvert la méthode d'attaque «différentielle» et quand Matsui en 1996 a inventé la méthode «linéaire». La première méthode étudie des hypothèses de propagation des différences (xor bit à bit) qui ont une probabilité petite mais significative, tandis que la seconde s'intéresse aux relations linéaires sur les bits (de clair, de chiffré ou de clé) qui ont un biais statistique petit mais significatif.

Le groupe a étudié ces attaques et leurs généralisations. Il a par exemple montré dans [66] que parfois certaines spécificités des attaques par différentielles tronquées sont négligées, ce qui fait qu'il existe des attaques publiées qui sont erronées, car les différentielles tronquées manipulant non pas des paires de textes de différence connue, mais des paires de texte dont la différence a certaines propriétés, la distribution de probabilité de cette différence dans l'ensemble des différences possibles n'est pas nécessairement uniforme, et les calculs de probabilités doivent être adaptés.

Dans le domaine de la cryptanalyse de modes opératoires ou de codes d'authentification de message, le groupe a aussi cryptanalysé plusieurs mécanismes proposés dans la norme ISO/IEC 9797-1 [73]. De fait, la quasi totalité des algorithmes de cette norme est susceptible d'attaques lorsque le simple DES est utilisé dans la phase de chaînage du mode opératoire CBC, même si le triple DES est mis en oeuvre dans la phase finale. Les travaux du groupe montrent donc qu'un chiffrement fort (triple DES ou AES) est nécessaire dans les deux phases du mode CBC, contrairement à ce que l'on croyait auparavant.

1.9  Cryptographie ``interactive''

Le contexte de la cryptographie traditionnelle, qui met en jeu deux entités seulement n'est plus complètement adapté à la réalité multiforme de l'Internet. Dans de nombreux scénarios, vote électro­nique, enchères en ligne etc., de nombreux acteurs coopèrent.

Le GRECC a proposé la première méthode de génération de clés cryptographiques pour les systèmes fondés sur le logarithme discret, qui ne nécessite pas l'établissement antérieur, entre les participants, d'un canal ``privé'' [61]. Ceci a l'avantage d'éviter la mise en accord de clé entre chaque paire d'utilisateurs et donc d'améliorer la génération partagée de la clé.

En utilisant le système de Paillier il a été possible de concevoir un système global de vote électro­nique qui autorise une bien meilleure sécurité que ceux proposés antérieurement [24]. De même a-t-on pu appliquer le même schéma pour proposer un protocole d'enchères anonymes sur le Web [25]. Ce protocole permet la détermination du vainqueur sans que les enchères des autres participants ne soient révélées. Le prix payé peut être, au choix, l'enchère la plus élevée ou la seconde, plus proche du résultat d'enchères traditionnelles à l'anglaise.

À la suite du travail sur le vote électronique, il est apparu que le partage de l'autorité de vote est un élément essentiel d'un schéma de vote. Le groupe a proposé une solution élégante au problème de génération d'une clé RSA tout en permettant au protocole de signature ou de déchiffrement partagé de s'effectuer de manière robuste [60]. Il est maintenant possible de préserver secrète une clé RSA partagée, de sa création à son utilisation.

Un autre scénario important est constitué des systèmes d'accréditifs anonymes. Dans ces systèmes, un usager possède plusieurs accréditifs pour accéder de manière anonyme à des services. Le groupe a proposé [87] un système d'accréditifs anonymes permettant à un usager d'avoir un unique ensemble d'accréditifs pouvant être utilisés pour accéder un nombre virtuellement illimité de fois à un ensemble de services de façon anonyme.

La notion de preuve sans divulgation (zero-knowledge) est centrale pour la sécurité des protocoles cryptographiques décrits précédemment. Cette notion permet de prouver que les parties qui exécutent un protocole, n'obtiennent pas d'informations au delà de celles nécessaires. Le groupe a proposé deux protocoles [49, 50] pour réaliser une notion plus robuste que celle de preuve sans divulgation.

Enfin, le groupe a également proposé un modèle pour exécuter des transactions fiables dans les réseaux GRID [45], et un système pour vérifier le software téléchargé sur l'Internet [11].

1.10  Signatures de groupe et variantes

Un thème important apparu récemment concerne les mécanismes d'authentification préservant l'anonymat vis-à-vis d'un groupe d'utilisateurs. Même s'il relève d'une certaine manière de la cryptographie interactive du paragraphe précédent, il a pris suffisamment d'importance dans la littérature pour faire l'objet d'un développement distinct. Le protocole central de ce thème de recherche est celui d'une signature de groupe, qui permet à un individu dûment enregistré comme membre d'un groupe de signer anonymement des données au nom du groupe (la vérification d'une signature utilise en effet une clé spécifique au groupe et non à l'individu). Cette absence d'identification du signataire est toutefois limitée dans le sens où une autorité dispose d'une trappe permettant de lever l'anonymat en cas de besoin.

De nombreuses améliorations, portant essentiellement sur l'efficacité des schémas et la sécurité prouvable, ont vu le jour depuis la parution de l'article original de Chaum et Van Heyst en 1991. Un autre axe de recherche naturel concerne la mise au point d'un mécanisme permettant d'exclure des membres malhonnêtes d'un groupe sans être obligé de modifier les paramètres publics régissant ce groupe. Ce problème a reçu pour la première fois une réponse efficace dans un article publié par l'équipe [39]. Le schéma proposé permet de plus que les signatures antérieures, ainsi que celles produites par les autres membres, demeurent anonymes. La méthode proposée résout le problème en modifiant la signature pour y ajouter un bit d'information supplémentaire : le vérifieur peut désormais s'assurer que la clé utilisée pour signer n'est pas celle du membre révoqué (sans toutefois apprendre sa valeur effective).

Ces recherches ont conduit l'équipe à développer un formalisme nouveau dans le contexte plus général des preuves de connaissance sans apport d'information. L'équipe a ainsi donné dans [40] une construction générique de protocoles interactifs permettant à un prouveur de convaincre un vérifieur de la véracité de prédicats dépendants de valeurs secrètes (connues du seul prouveur), et mettant en jeu des exponentiations de ces valeurs. Le formalisme permet de dépasser la cas connu des prédicats monotones (relations linéaires entre les secrets détenus par le prouveur) pour passer à des relations quadratiques ou plus généralement polynomiales, et à des prédicats non-monotones, c'est-à-dire contenant des inégalités.

Une autre variante des signatures de groupe, a été introduite en 2001 par Rivest, Shamir et Taumann. Le scénario est un peu différent: un utilisateur décide de fabriquer une signature anonyme et crée spontanément un groupe auquel il appartient et vis-à-vis duquel il signe. Son anonymat est alors total, en l'absence de toute structure de régulation. En collaboration avec Mike Szydlo (RSA Laboratories), le groupe a dans [41] étendu le scénario avec la notion de seuil : plusieurs signataires collaborent et la signature résultante prouve qu'une certaine fraction des individus listés ont signé. L'anonymat, plus délicat à assurer dans ce scénario étendu, est basé sur une construction combinatoire.

Les constructions existantes pour les signatures de groupe sont toutes fondées sur des variantes du logarithme discret ou de RSA. Aucun résultat n'est connu au sujet des hypothèses minimales suffisantes, d'un point de vue purement théorique. Nous avons alors récemment montré [23] que l'existence d'un schéma de signature de groupe sûr dans un contexte statique (la composition du groupe est connue lors de la génération des clés, et ne peut plus évoluer) implique l'existence d'un schéma de chiffrement asymétrique sûr. Il est alors peu probable de construire des signatures pour groupes statiques (et a fortiori dynamiques) à partir de simples fonctions à sens-unique. Le recours aux fonctions à trappe semble inévitable.

1.11  Perspectives

La cryptologie moderne n'a même pas trente ans. Dans sa courte histoire, elle a eu la chance de connaître deux avancées majeures: Ces deux découvertes ont été chacune le moteur de dix années de recherche intense. Il est encore difficile de faire le bilan de la troisième décennie qui n'est pas achevée mais elle semble marquée par quatre éléments majeurs:
  1. La mise au point d'outils conceptuels permettant de mener des analyses de sécurité a fait des progrès décisifs. À noter qu'il s'agit d'un état de fait extrêmement récent: la façon absolument correcte d'utiliser RSA est issue d'un long cheminement qui vient de s'achever avec les travaux sur OAEP auxquels le groupe a participé.
  2. La cryptographie fondée sur les courbes elliptiques et sur le couplage offre des solutions élégantes et constitue une réelle alternative au RSA ou au Diffie-Hellman. Là encore, c'est une situation extrêment nouvelle due à la fois aux remarquables résultats de la cryptographie à base de couplage, initiés dans les travaux d'Antoine Joux (ancien membre du groupe) puis magistralement développés dans ceux de Dan Boneh.
  3. Compte tenu des besoins de sécurité de l'Internet et du commerce électronique, il existe un fort appel de solutions crypto normalisées, mais aussi des niches pour des algorithmes cryptographiques spécifiques, notamment peu gourmand en puissance de calcul dans le contexte des appareils mobiles.
  4. L'adoption de l'AES, après un appel d'offre international auquel le groupe a participé, montre qu'il existe un réel savoir faire sur la conception d'algorithmes symétriques de chiffrement par blocs. Le projet NESSIE, auquel le groupe a également contribué, a confirmé ce fait et montré qu'il n'en était pas de même pour le chiffrement par flot.
Un autre élément essentiel dont le groupe aura à tenir compte est la dimension européenne. Le groupe est un acteur majeur du réseau européen ECRYPT. Il pilote l'un des cinq laboratoires virtuels de ce projet le laboratoire AZTEC (Asymmetric techniques virtual lab) et aussi le comité stratégique du projet.

Compte tenu de ce contexte, le groupe compte poursuivre son travail avec les lignes de force suivantes: Enfin, dans la mesure du possible, nous comptons ouvrir de nouveaux fronts, en utilisant en particulier l'interface avec les autres équipes du laboratoire. Ainsi, l'analyse logique des protocoles cryptographique (dans l'esprit des travaux de John Mitchell à Stanford, et Martin Abadi à Santa Cruz) est un sujet qui s'inscrit naturellement dans cette perspective.

2  Eléments d'évaluation

2.1  Collaborations

2.2  Missions, conférences et séminaires

2.3  Accueil de chercheurs

2.4  Diffusion de la connaissance

2.5  Participation à l'évaluation de la recherche

2.6  Encadrement doctoral

2.7  Enseignement

2.8  Prix et distinctions

Phong Nguyen a reçu le prix européen Cor Baayen du jeune chercheur le plus prometteur en informatique et mathématiques appliquées décerné en octobre 2001 par le Consortium européen de recherche en informatique et mathématiques (ERCIM).

Jacques Stern a reçu en 2003 le prix Lazare Carnot de l'Académie des sciences pour l'ensemble de ses travaux en cryptographie.

3  Publications

Publications

[1]
L. Granboulan (éditeur). -- Final report of European project number IST-1999-12324, named NESSIE: New European Schemes for Signatures, Integrity, and Encryption. European Union. -- 2003.

[2]
P. Q. Nguyen (éditeur). -- New Trends in Cryptology. European Union. -- 2003. European project STORK -- Strategic Roadmap for Crypto -- IST-2002-38273.

[3]
R. Erra et D. Pointcheval. -- Ateliers Mathematica, chap. k r u p tòV... (50 pages). -- Vuibert, Paris, juin 2003. ISBN 2-7117-8657-9 (560 pages).

[4]
R. Erra et D. Pointcheval. -- Ateliers Mathematica, chap. Algorithmique des nombres et cryptologie asymétrique (46 pages). -- Vuibert, Paris, juin 2003. ISBN 2-7117-8657-9 (560 pages).

[5]
L. Granboulan. -- La sécurité à l'ère numérique, chap. Cryptologie : le projet NESSIE. Sélection des meilleures primitives cryptographiques, bilan et perspectives. -- Lavoisier, Hermès-International, 2004, Les cahiers du numérique.

[6]
P. Q. Nguyen et J. Stern. -- La cryptologie : enjeux et perspectives. -- Hermès-International, 2004.

[7]
D. Pointcheval. -- Advanced Course on Contemporary Cryptology, chap. Provable Security for Public-Key Schemes. -- Birkhäuser Publishers, Basel, 2004, Advanced Courses CRM Barcelona. À paraître.

[8]
M. Bellare, C. Namprempre, D. Pointcheval et M. Semanko. -- The One-More-RSA-Inversion Problems and the Security of Chaum's Blind Signature Scheme. Journal of Cryptology, vol. 16, n° 3, 2003, pp. 185--215.

[9]
E. Bresson, O. Chevassut, A. Essiari et D. Pointcheval. -- Mutual Authentication and Group Key Agreement for Low-Power Mobile Devices. Journal of Computer Communications, 2004. -- À paraître.

[10]
D. Catalano, R. Gennaro et N. Howgrave-Graham. -- Paillier's trapdoor functions hides up to O(n) bits. Journal of Cryptology, vol. 15(4), 2002, pp. 251--269.

[11]
L. Catuogno et I. Visconti. -- An Architecture for Kernel-Level Verification of Executables at Run Time. The Computer Journal, 2004. -- To appear.

[12]
E. Fujisaki, T. Okamoto, D. Pointcheval et J. Stern. -- RSA--OAEP is Secure under the RSA Assumption. Journal of Cryptology, vol. 17, n° 2, 2004, pp. 81--104.

[13]
N. A. Howgrave-Graham, P. Q. Nguyen et I. E. Shparlinski. -- Hidden number problem with hidden multipliers, timed-release crypto and noisy exponentiation. Mathematics of Computation, vol. 72, n° 243, 2003, pp. 1473--1485.

[14]
P. Q. Nguyen et I. E. Shparlinski. -- The insecurity of the Digital Signature Algorithm with partially known nonces. Journal of Cryptology, vol. 15, n° 3, 2002, pp. 151--176.

[15]
P. Q. Nguyen et I. E. Shparlinski. -- The insecurity of the elliptic curve Digital Signature Algorithm with partially known nonces. Design, Codes and Cryptography, vol. 30, 2003, pp. 201--217.

[16]
D. Pointcheval. -- Asymmetric Cryptography and Practical Security. Journal of Telecommunications and Information Technology, vol. 04/2002, 2002, pp. 41--56.

[17]
D. Pointcheval et G. Poupard. -- A New NP-Complete Problem and Public Key Identification. Designs, Codes and Cryptography, vol. 28, n° 4, Janvier 2003, pp. 5--32.

[18]
P. Q. Nguyen. -- The two faces of lattices in cryptology. In : Selected Areas in Cryptography -- Proc. SAC '01. Lecture Notes in Computer Science, vol. 2259, p. 313. -- Springer-Verlag, Berlin, 2001. Résumé de [19].

[19]
P. Q. Nguyen et J. Stern. -- The two faces of lattices in cryptology. In : Cryptography and Lattices -- Proc. CALC '01). Lecture Notes in Computer Science, vol. 2146, pp. 146--180. -- Springer-Verlag, Berlin, 2001.

[20]
D. Pointcheval. -- Number Theory and Public-Key Cryptography. In : Combinatorial and Computational Mathematics: Present and Future, éd. par S. P. Hong, J. H. Kwak, K. H. Kim et F. W. Roush, Pohang, Corée du Sud, 2001. pp. 178--209. -- World Scientific.

[21]
D. Pointcheval. -- Practical Security in Public-Key Cryptography. In : Proceedings of the 4th International Conference on Information Security and Cryptology (ICISC '01), éd. par K. Kim, Séoul, Corée du Sud, 2002. Lecture Notes in Computer Science, vol. 2288, pp. 1--17. -- Springer-Verlag, Berlin.

[22]
M. Abdalla et D. Pointcheval. -- Simple Password-Based Encrypted Key Exchange Protocols. In : The Cryptographers' Track at RSA Conference '05 (RSA '05), San Francisco, Californie, 2005. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[23]
M. Abdalla et B. Warinschi. -- On the Minimal Assumptions of Group Signature Schemes. In : 6th International Conference on Information and Communications Security (ICICS 2004), éd. par J. Lopez et S. Qing, Malaga, Espagne, 2004. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[24]
O. Baudron, P. Fouque, D. Pointcheval, G. Poupard et J. Stern. -- Practical Multi-Candidate Election System. In : Proceedings of the 20th ACM Symposium on Principles of Distributed Computing (PODC '01), éd. par N. Shavit, Newport, Rhode Island, USA, 2001. pp. 274--283. -- ACM Press.

[25]
O. Baudron et J. Stern. -- Non-Interactive Private Auctions. In : Financial Cryptography 2001, éd. par P. Syverson. Springer Verlag LNCS 2339, pp. 364--377. -- Springer-Verlag, Berlin, 2001.

[26]
M. Bellare, A. Boldyreva, A. Desai et D. Pointcheval. -- Key-Privacy in Public-Key Encryption. In : Advances in Cryptology -- Proceedings of ASIACRYPT '01, éd. par C. Boyd, Gold Coast, Australie, 2001. Lecture Notes in Computer Science, vol. 2248, pp. 566--582. -- Springer-Verlag, Berlin.

[27]
M. Bellare, C. Namprempre, D. Pointcheval et M. Semanko. -- The Power of RSA Inversion Oracles and the Security of Chaum's RSA Blind Signature Scheme. In : Advances in Cryptology -- Proceedings of Financial Cryptography '01, éd. par P. Syverson, Ile Grand Cayman, BWI, 2002. Lecture Notes in Computer Science, vol. 2339, pp. 319--338. -- Springer-Verlag, Berlin.

[28]
E. Bresson et D. Catalano. -- Constant round authenticated group key agreement via distributed computation. In : Public Key Cryptography 2004. LNCS, vol. 2947, pp. 115--129. -- Springer-Verlag, Berlin, 2004.

[29]
E. Bresson, D. Catalano et D. Pointcheval. -- A Simple Public-Key Cryptosystem with a Double Trapdoor Decryption Mechanism and its Applications. In : Advances in Cryptology -- Proceedings of ASIACRYPT '03, éd. par L. C. Laih, Taiwan, 2003. Lecture Notes in Computer Science, vol. 2894, pp. 37--54. -- Springer-Verlag, Berlin.

[30]
E. Bresson, O. Chevassut, A. Essiari et D. Pointcheval. -- Mutual Authentication and Group Key Agreement for Low-Power Mobile Devices. In : Proceedings of the 5th IFIP--TC6 International Conference on Mobile and Wireless Communications Networks (MWCN 2003), éd. par K. A. Agha et C. G. Omidyar, Singapour, 2003. pp. 59--62. -- World Scientific Publishing.

[31]
E. Bresson, O. Chevassut, O. Pereira, D. Pointcheval et J.-J. Quisquater. -- Two Formal Views of Authenticated Group Diffie-Hellman Key Exchange. In : DIMACS Workshop on Cryptographic Protocols in Complex Environments, Rutgers University, Piscataway, New Jersey, mai 2002. -- DIMACS.

[32]
E. Bresson, O. Chevassut et D. Pointcheval. -- Provably Authenticated Group Diffie-Hellman Key Exchange --The Dynamic Case. In : Advances in Cryptology -- Proceedings of ASIACRYPT '01, éd. par C. Boyd, Gold Coast, Australie, 2001. Lecture Notes in Computer Science, vol. 2248, pp. 290--309. -- Springer-Verlag, Berlin.

[33]
E. Bresson, O. Chevassut et D. Pointcheval. -- Dynamic Group Diffie-Hellman Key Exchange under Standard Assumptions. In : Advances in Cryptology -- Proceedings of EUROCRYPT '02, éd. par L. Knudsen, Amsterdam, Pays-Bas, 2002. Lecture Notes in Computer Science, vol. 2332, pp. 321--336. -- Springer-Verlag, Berlin.

[34]
E. Bresson, O. Chevassut et D. Pointcheval. -- Group Diffie-Hellman Key Exchange Secure Against Dictionary Attacks. In : Advances in Cryptology -- Proceedings of ASIACRYPT '02, éd. par Y. Zheng, Queenstown, Nouvelle Zélande, 2002. Lecture Notes in Computer Science, vol. 2501, pp. 497--514. -- Springer-Verlag, Berlin.

[35]
E. Bresson, O. Chevassut et D. Pointcheval. -- The Group Diffie-Hellman Problems. In : Workshop on Selected Areas in Cryptography (SAC '02), St. John's, Newfoundland, Canada, 2002. Lecture Notes in Computer Science, vol. 2595, pp. 325--338. -- Springer-Verlag, Berlin.

[36]
E. Bresson, O. Chevassut et D. Pointcheval. -- Security Proofs for an Efficient Password-Based Key Exchange. In : Proceedings of the 10th ACM Conference on Computer and Communications Security (CCS '03), éd. par V. Atluri, Washington DC, 2003. pp. 241--250. -- ACM Press.

[37]
E. Bresson, O. Chevassut et D. Pointcheval. -- New Security Results on Encrypted Key Exchange. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '04), éd. par F. Bao, Singapour, 2004. Lecture Notes in Computer Science, vol. 2947, pp. 145--158. -- Springer-Verlag, Berlin.

[38]
E. Bresson, O. Chevassut, D. Pointcheval et J.-J. Quisquater. -- Provably Authenticated Group Diffie-Hellman Key Exchange. In : Proceedings of the 8th ACM Conference on Computer and Communications Security (CCS '01), éd. par M. Reiter, Philadelphie, Pennsylvanie, 2001. pp. 255--264. -- ACM Press.

[39]
E. Bresson et J. Stern. -- Efficient Revocation in Group Signatures. In : Proc. of 4th International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), éd. par K. Kim. LNCS, vol. 1992, pp. 190--206. -- Springer-Verlag, Berlin, 2001.

[40]
E. Bresson et J. Stern. -- Proofs of knowledge for non-monotone discrete-log formulae and applications. In : Proceedings of Information Security Conference 2002. pp. 272--288. -- Springer Verlag LNCS 2433, 2002.

[41]
E. Bresson, J. Stern et M. Szydlo. -- Threshold ring signatures for ad-hoc groups. In : Proceedings of Crypto 2002. pp. 465--480. -- Springer Verlag LNCS 2433, 2002.

[42]
D. Catalano, P. Nguyen et J. Stern. -- The hardness of Hensel lifting: the case of RSA and discrete logarithm. In : Asiacrypt 2002, éd. par Y. Zheng. LNCS, vol. 2501, pp. 299--310. -- Springer-Verlag, Berlin, 2002.

[43]
D. Catalano, D. Pointcheval et T. Pornin. -- IPAKE: Isomorphisms for Password-based Authenticated Key Exchange. In : Advances in Cryptology -- Proceedings of CRYPTO '04, éd. par M. Franklin, Santa-Barbara, Californie, 2004. Lecture Notes in Computer Science, vol. 3152, pp. 477--493. -- Springer-Verlag, Berlin.

[44]
D. Catalano, N. H.-G. R. Gennaro et P. Nguyen. -- Paillier's cryptosystem revisited. In : Proc. of 8th ACM Conference on Computer and Communication Security (ACM-CCS 2001). pp. 206--214. -- ACM, 2001.

[45]
L. Catuogno, P. Faruolo, U. Ferraro Petrillo et I. Visconti. -- Reliable accounting in grid economic transactions. In : Proc. of Workshop on Information Security and Survivability for Grid 2004. LNCS. -- Springer-Verlag, Berlin, 2004.

[46]
B. Chevallier-Mames, D. Naccache, P. Paillier et D. Pointcheval. -- How to Disembed a Program? In : Cryptographic Hardware and Embedded Systems (CHES '04), éd. par M. J. et J. J. Quisquater, Boston, Massachusetts, 2004. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[47]
J. Coron, H. Handschuh, M. Joye, P. Paillier, D. Pointcheval et C. Tymen. -- GEM: a Generic Chosen-Ciphertext Secure Encryption Method. In : The Cryptographers' Track at RSA Conference '02 (RSA '02), éd. par B. Preneel, San Jose, Californie, 2002. Lecture Notes in Computer Science, vol. 2271, pp. 263--276. -- Springer-Verlag, Berlin.

[48]
J. Coron, H. Handschuh, M. Joye, P. Paillier, D. Pointcheval et C. Tymen. -- Optimal Chosen-Ciphertext Secure Encryption of Arbitrary-Length Messages. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '02), éd. par D. Naccache et P. Paillier, Paris, France, 2002. Lecture Notes in Computer Science, vol. 2274, pp. 17--33. -- Springer-Verlag, Berlin.

[49]
G. Di Crescenzo, G. Persiano et I. Visconti. -- Constant-round resettable zero knowledge with concurrent soundness in the bare public-key model. In : Proc. of Crypto 2004. LNCS. -- Springer-Verlag, Berlin, 2004.

[50]
G. Di Crescenzo, G. Persiano et I. Visconti. -- Improved setup assumptions for 3-round resettable zero knowledge. In : Proc. of AsiaCrypt 2004. LNCS. -- Springer-Verlag, Berlin, 2004.

[51]
E. El Mahassni, P. Q. Nguyen et I. E. Shparlinski. -- The insecurity of Nyberg--Rueppel and other DSA-like signature schemes with partially known nonce. In : Cryptography and Lattices -- Proc. CALC '01). LNCS, vol. 2146, pp. 97--109. -- Springer-Verlag, Berlin, 2001.

[52]
P. Fouque et D. Pointcheval. -- Threshold Cryptosystems Secure against Chosen-Ciphertext Attacks. In : Advances in Cryptology -- Proceedings of ASIACRYPT '01, éd. par C. Boyd, Gold Coast, Australie, 2001. Lecture Notes in Computer Science, vol. 2248, pp. 351--368. -- Springer-Verlag, Berlin.

[53]
P. A. Fouque, N. Howgrave-Graham, G. Martinet et G. Poupard. -- The Insecurity of Esign in Practical Implementations. In : Asiacrypt 2003, éd. par C. S. Laih. LNCS 2894, pp. 492--506. -- Springer-Verlag, Berlin, 2003.

[54]
P. A. Fouque, A. Joux, G. Martinet et F. Valette. -- Authenticated On-line Encryption. In : SAC 2003, éd. par M. Matsui et R. J. Zuccherato. LNCS, vol. 3006, pp. 145--159. -- Springer-Verlag, Berlin, 2003.

[55]
P. A. Fouque, A. Joux et G. Poupard. -- Blockwise Adversarial Model for On-line Ciphers and Symmetric Encryption Schemes. In : SAC 2004, éd. par H. Handschuh. LNCS, pp. --. -- Springer-Verlag, Berlin, 2004. To appear.

[56]
P. A. Fouque, G. Martinet et G. Poupard. -- Attacking Unbalanced RSA-CRT Using SPA. In : CHES 2003, éd. par C. D. Walter et C. Koç. LNCS, vol. 2779, pp. 254--268. -- Springer-Verlag, Berlin, 2003.

[57]
P. A. Fouque, G. Martinet et G. Poupard. -- Practical Symmetric On-Line Encryption. In : FSE 2003, éd. par T. Johansson. LNCS, vol. 2887, pp. 362--375. -- Springer-Verlag, Berlin, 2003.

[58]
P. A. Fouque, F. Muller, G. Poupard et F. Valette. -- Defeating Countermeasures Based on Randomized BSD Representations. In : CHES 2004. LNCS, pp. --. -- Springer-Verlag, Berlin, 2004. To appear.

[59]
P. A. Fouque et G. Poupard. -- On the Security of RDSA. In : Eurocrypt 2003, éd. par E. Biham. LNCS, vol. 2656, pp. 462--476. -- Springer-Verlag, Berlin, 2003.

[60]
P. A. Fouque et J. Stern. -- Fully Distributed Threshold rsa under Standard Assumptions. In : Asiacrypt 2001, éd. par C. Boyd. LNCS, vol. 2248, pp. 310--330. -- Springer-Verlag, Berlin, 2001.

[61]
P. A. Fouque et J. Stern. -- One Round Threshold Discrete-Log Key Generation without Private Channels. In : Proc. of 4th International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), éd. par K. Kim. LNCS, vol. 1992, pp. 190--206. -- Springer-Verlag, Berlin, 2001.

[62]
P. A. Fouque, J. Stern et J.-G. Wackers. -- CryptoComputing with Rationals. In : Financial Cryptography 2002, éd. par M. Blaze. LNCS, vol. 2357, pp. 136--146. -- Springer-Verlag, Berlin, 2002.

[63]
P. A. Fouque et F. Valette. -- The Doubling Attack: Why Upwards Is Better Than Downwards. In : CHES 2003, éd. par C. D. Walter et C. Koç. LNCS, vol. 2779, pp. 269--280. -- Springer-Verlag, Berlin, 2003.

[64]
E. Fujisaki, T. Okamoto, D. Pointcheval et J. Stern. -- RSA--OAEP is Secure under the RSA Assumption. In : Advances in Cryptology -- Proceedings of CRYPTO '01, éd. par J. Kilian, Santa-Barbara, Californie, 2001. Lecture Notes in Computer Science, vol. 2139, pp. 260--274. -- Springer-Verlag, Berlin.

[65]
C. Gentry, J. Jonsson, M. Szydlo et J. Stern. -- Cryptanalysis of the ntru signature scheme nss. In : Proceedings of Asiacrypt 2001. pp. 1--20. -- Springer Verlag LNCS 2248, 2001.

[66]
L. Granboulan. -- Flaws in differential cryptanalysis of Skipjack. In : FSE'01, éd. par M. Matsui. LNCS, vol. 2355. -- Springer-Verlag, Berlin, 2001.

[67]
L. Granboulan. -- How to repair ESIGN. In : SCN'02, éd. par G. Persiano. LNCS, vol. 2576. -- Springer-Verlag, Berlin, 2002.

[68]
L. Granboulan. -- Short signatures in the random oracle model. In : Asiacrypt'02, éd. par Y. Zheng. LNCS, vol. 2501. -- Springer-Verlag, Berlin, 2002.

[69]
N. Howgrave-Graham, P. Q. Nguyen, D. Pointcheval, J. Proos, J. Silverman, A. Singer et W. Whyte. -- The Impact of Decryption Failures on the Security of NTRU Encryption. In : Advances in Cryptology -- Proceedings of CRYPTO '03, éd. par D. Boneh, Santa-Barbara, Californie, 2003. Lecture Notes in Computer Science, vol. 2729, pp. 226--246. -- Springer-Verlag, Berlin.

[70]
M. Jakobsson, A. Juels et P. Q. Nguyen. -- Proprietary certificates. In : Proc. RSA '02. LNCS, vol. 2271. -- Springer-Verlag, 2002.

[71]
M. Jakobsson et D. Pointcheval. -- Mutual Authentication for Low-Power Mobile Devices. In : Advances in Cryptology -- Proceedings of Financial Cryptography '01, éd. par P. Syverson, Ile Grand Cayman, BWI, 2002. Lecture Notes in Computer Science, vol. 2339, pp. 178--195. -- Springer-Verlag, Berlin.

[72]
M. Jakobsson, D. Pointcheval et A. Young. -- Secure Mobile Gambling. In : The Cryptographers' Track at RSA Conference '01 (RSA '01), éd. par D. Naccache, San Francisco, Californie, 2001. Lecture Notes in Computer Science, vol. 2020, pp. 110--125. -- Springer-Verlag, Berlin.

[73]
A. Joux, G. Poupard et J. Stern. -- New attacks against standardized MACs. In : FSE 2003, éd. par T. Johansson. LNCS, vol. 2887, pp. 170--181. -- Springer-Verlag, Berlin, 2003.

[74]
A. Joux, G. Poupard et J. Stern. -- New attacks against standardized macs. In : Proceedings of Fast Software Encryption 2003. pp. 170--181. -- Springer Verlag LNCS 2887, 2003.

[75]
D. Naccache, D. Pointcheval et J. Stern. -- Twin Signatures: an Alternative to the Hash-and-Sign Paradigm. In : Proceedings of the 8th ACM Conference on Computer and Communications Security (CCS '01), éd. par M. Reiter, Philadelphie, Pennsylvanie, 2001. pp. 20--27. -- ACM Press.

[76]
D. Naccache, D. Pointcheval et C. Tymen. -- Monotone Signatures. In : Advances in Cryptology -- Proceedings of Financial Cryptography '01, éd. par P. Syverson, Ile Grand Cayman, BWI, 2002. Lecture Notes in Computer Science, vol. 2339, pp. 305--318. -- Springer-Verlag, Berlin.

[77]
D. Naccache, N. Smart et J. Stern. -- Projective coordinates leak. In : Advances in Cryptology - EuroCrypt 2004. pp. 257--267. -- Springer Verlag LNCS 3027, 2004.

[78]
P. Q. Nguyen. -- The dark side of the hidden number problem: Lattice attacks on DSA. In : Proc. Workshop on Cryptography and Comp. Number Theory, éd. par K.-Y. Lam, I. E. Shparlinski, H. Wang et C. Xing. pp. 321--330. -- Birkhauser, 2001.

[79]
P. Q. Nguyen. -- Can we trust cryptographic software? cryptographic flaws in GNU privacy guard v1.2.3. In : Proc. of the 22nd Eurocrypt Conference (Eurocrypt '04). IACR, LNCS, vol. 3027, pp. 555--570. -- Springer-Verlag, Berlin, 2004.

[80]
P. Q. Nguyen et D. Pointcheval. -- Analysis and Improvements of NTRU Encryption Paddings. In : Advances in Cryptology -- Proceedings of CRYPTO '02, éd. par M. Yung, Santa-Barbara, Californie, 2002. Lecture Notes in Computer Science, vol. 2442, pp. 210--225. -- Springer-Verlag, Berlin.

[81]
P. Q. Nguyen et I. E. Shparlinski. -- On the insecurity of a server-aided RSA protocol. In : Proc. of Asiacrypt '01. LNCS, vol. 2248, pp. 21--35. -- Springer-Verlag, Berlin, 2001.

[82]
P. Q. Nguyen, I. E. Shparlinski et J. Stern. -- Distribution of Modular Sums and Security of Server-Aided Exponentiation. In : Proc. Workshop on Cryptography and Comp. Number Theory, éd. par K.-Y. Lam, I. E. Shparlinski, H. Wang et C. Xing. pp. 331--342. -- Birkhäuser, 2001.

[83]
P. Q. Nguyen et D. Stehlé. -- Low-dimensional lattice basis reduction revisited. In : Algorithmic Number Theory -- Proc. of ANTS-VI. LNCS. -- Springer-Verlag, 2004.

[84]
T. Okamoto et D. Pointcheval. -- REACT: Rapid Enhanced-security Asymmetric Cryptosystem Transform. In : The Cryptographers' Track at RSA Conference '01 (RSA '01), éd. par D. Naccache, San Francisco, Californie, 2001. Lecture Notes in Computer Science, vol. 2020, pp. 159--175. -- Springer-Verlag, Berlin.

[85]
T. Okamoto et D. Pointcheval. -- The Gap-Problems: a New Class of Problems for the Security of Cryptographic Schemes. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '01), éd. par K. Kim, Ile Cheju, Corée du Sud, 2001. Lecture Notes in Computer Science, vol. 1992, pp. 104--118. -- Springer-Verlag, Berlin.

[86]
T. Okamoto et J. Stern. -- Almost uniform density of power residues and the security proof of esign. In : Proceedings of Asiacrypt 2003. pp. 287--301. -- Springer Verlag LNCS 2894, 2003.

[87]
G. Persiano et I. Visconti. -- An efficient and usable multi-show non-transferable anonymous credential system. In : Proceedings of Financial Cryptography 2004. -- Springer Verlag LNCS 3110, 2004.

[88]
D. H. Phan et D. Pointcheval. -- A Comparison between two Methods of Security Proof. In : Actes de la Première Conférence Internationale RIVF '03 Rencontres en Informatique Vietnam-France, Hanoi,Vietnam, 2003. pp. 105--110. -- Suger, Paris.

[89]
D. H. Phan et D. Pointcheval. -- Chosen-Ciphertext Security without Redundancy. In : Advances in Cryptology -- Proceedings of ASIACRYPT '03, éd. par L. C. Laih, Taiwan, 2003. Lecture Notes in Computer Science, vol. 2894, pp. 1--18. -- Springer-Verlag, Berlin.

[90]
D. H. Phan et D. Pointcheval. -- Deterministic Symmetric Encryption (Semantic Security and Pseudo-Random Permutations). In : Proceedings of the 11th Annual Workshop on Selected Areas in Cryptography (SAC '04), éd. par H. Handschuh et A. Hasan, Waterloo, Canada, 2004. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[91]
D. H. Phan et D. Pointcheval. -- OAEP 3-Round -- A Generic and Secure Asymmetric Encryption Padding. In : Advances in Cryptology -- Proceedings of ASIACRYPT '04, éd. par P. J. Lee, Cheju Island, Corée du Sud, 2004. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[92]
D. H. Phan et D. Pointcheval. -- On the Security Notions for Public-Key Encryption Schemes. In : Proceedings of the Fourth Conference on Security in Communication Networks '04 (SCN '04), éd. par C. Blundo, Amalfi, Italie, 2004. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin. À paraître.

[93]
J. Pieprzyk et D. Pointcheval. -- Parallel Cryptography. In : The 8th Australasian Conference on Information Security and Privacy (ACISP '03), éd. par R. Safavi-Naini, Wollongong, Australie, 2003. Lecture Notes in Computer Science, vol. 2727, pp. 383--401. -- Springer-Verlag, Berlin.

[94]
D. Pointcheval. -- About Generic Conversions from any Weakly Secure Encryption Scheme into a Chosen-Ciphertext Secure Scheme. In : Fourth Conference on Algebraic Geometry, Number Theory, Coding Theory and Cryptography, éd. par T. Hiramatsu, T. Katsura, S. Miura et T. Okamoto, Tokyo, Japon, 2001. pp. 145--162. -- Université de Tokyo.

[95]
T. Pornin. -- Transparent Harddisk Encryption. In : CHES 2001, éd. par Çetin Kaya Koç, D. Naccache et C. Paar. LNCS, vol. 2162, pp. 273--285. -- Springer-Verlag, Berlin, 2001.

[96]
J. Stern. -- Cryptography and the methodology of provable security. In : Proceedings of AAECC-15. pp. 1--5. -- Springer Verlag LNCS 2643, 2003.

[97]
J. Stern. -- Why provable security matters. In : Proceedings Eurocrypt '03. pp. 449--461. -- Springer Verlag LNCS 2656, 2003.

[98]
J. Stern, D. Pointcheval, J. Malone-Lee et N. P. Smart. -- Flaws in Applying Proof Methodologies to Signature Schemes. In : Advances in Cryptology -- Proceedings of CRYPTO '02, éd. par M. Yung, Santa-Barbara, Californie, 2002. Lecture Notes in Computer Science, vol. 2442, pp. 93--110. -- Springer-Verlag, Berlin.

[99]
J. P. Stern et J. Stern. -- Cryptanalysis of the otm signature scheme from fc'02. In : Proceedings of Financial Cryptography 2003. pp. 138--148. -- Springer Verlag LNCS 2742, 2003.

[100]
E. Dottax. -- Fault and Chosen Modulus Attacks on some NESSIE Asymmetric Primitives. -- Public report, NESSIE, 2002.

[101]
L. Granboulan. -- PECDSA. How to build a DL-based digital signature scheme with the best proven security. -- Public report, NESSIE, 2002.

[102]
L. Granboulan. -- RSA Hybrid Encryption Schemes. -- Public report, NESSIE, 2002.

[103]
A. Joux et G. Martinet. -- Weaknesses in Quartz Signature Scheme. -- Public report, NESSIE, 2002.

[104]
T. Okamoto et D. Pointcheval. -- RSA--REACT: An Alternative to RSA--OAEP. -- Rapport technique, Egham, Grande-Bretagne, NESSIE, septembre 2001.

[105]
P. A. Fouque. -- Cryptographie appliquée. Techniques de l'ingénieur, 2003.

[106]
P. Nguyen. -- La géométrie des nombres : de Gauss aux codes secrets. Pour la Science, n°36, Juillet 2002, pp. 104--106. -- Hors-Série.

[107]
D. Pointcheval. -- La cryptographie à l'aube du troisième millénaire. Revue de l'électricité et de l'électronique, vol. 5, mai 2001, pp. 28--34. -- Dans le dossier spécial La sécurité des systèmes d'information.

[108]
D. Pointcheval. -- La cryptographie au service de la confiance. Actes de ASTI '01, 2001, p. 68.

[109]
D. Pointcheval. -- Dire que l'on sait sans rien dire. La Recherche, vol. 352, avril 2002, pp. 52--53.

[110]
D. Pointcheval. -- How to Encrypt Properly with RSA. CryptoBytes, vol. 5, n° 1, hiver/printemps 2002, pp. 10--19.

[111]
D. Pointcheval. -- Prouver la sécurité. Pour la Science, vol. Dossier no 36, juillet/octobre 2002, pp. 52--53. -- Hors-série: L'art du secret.

[112]
M. Abdalla, O. Chevassut et D. Pointcheval. -- One-time Verifier-based Encrypted Key Exchange, 2005.

[113]
E. Bresson, O. Chevassut et D. Pointcheval. -- The Group Diffie-Hellman Protocol, 2004.

[114]
D. Catalano et R. Gennaro. -- Cramer-damgård signatures revisited: Efficient flat-tree signatures based on factoring, 2004. Submitted to Asiacrypt 2004.

[115]
D. Catalano, D. Pointcheval et T. Pornin. -- Trapdoor-Hard-to-Invert Isomorphism and their Application to Password-based Authentication, 2004.

[116]
D. Catalano et G. Ruffo. -- A peer to peer micro-payment scheme protecting intellectual rights, 2004. To be submitted.

[117]
P. A. Fouque, L. Granboulan et J. Stern. -- Differential Cryptanalysis for multivariate schemes, 2005.
This document was translated from LATEX by HEVEA.