Département d'Informatique de l'École Normale Supérieure

Rapport scientifique de l'équipe
Complexité et cryptographie (1998-2001)

Membres de l'équipe

Activité scientifique de l'équipe

Créé en 1988, le Groupe de Recherche en Complexité et Cryptographie (GRECC), a été intégré au LIENS en 1993. Depuis cette date de nombreuses thèses ont été soutenues (13 d'ici juin 2001). Le groupe a ainsi joué un rôle majeur dans la diffusion de la recherche en cryptographie dans le milieu académique français.

Plus que la théorie de la complexité, c'est la cryptologie, dans ses aspects théoriques et pratiques qui forme maintenant le coeur des recherches menées au GRECC. Il s'agit d'un domaine très ``vertical'' puisqu'il va de sujets proches de la complexité abstraite à la conception d'algorithmes cryptographiques, voire à leur implantation sur ordinateur ou sur carte à mémoire. Nombre de questions posées sont directement issues de la pratique et proviennent de divers domaines: commerce électronique, internet, télévision à péage, sécurité des communications GSM ou UMTS notamment.

Dans les quatre dernières années, le GRECC a concentré ses recherches dans les domaines suivants, couvrant la quasi totalité des thèmes actuellement actifs dans la communauté de recherche en cryptologie:
  1. Preuves de sécurité pour les schémas de signature
  2. Preuves de sécurité pour les schémas à clé publique
  3. Authentification mutuelle et échange de clés
  4. Nouveaux problèmes difficiles
  5. Conception de nouveaux algorithmes à clé publique
  6. Cryptanalyse des systèmes à clé publique
  7. Cryptanalyse des systèmes symétriques
  8. Conception et implantation d'algorithmes symétriques
  9. Cryptographie ``interactive''

1   Preuves de sécurité pour les schémas de signature

Une tendance significative de la recherche la plus récente en cryptographie vise à substituer aux approches heuristiques une ``sécurité prouvée''. Le simple fait qu'un algorithme cryptographique ait résisté durant plusieurs années aux attaques des cryptanalystes a constitué pendant longtemps la seule forme possible de validation. Un paradigme totalement distinct provient du concept de ``sécurité prouvée''. Cette approche propose des preuves relatives qui ramènent la sécurité du schéma proposé à celle d'un problème mathématique classique difficile à résoudre, tel que la factorisation des entiers ou le problème du logarithme discret. Bien entendu, tout comme dans d'autres sciences, on fait, le cas échéant appel à une certaine idéalisation des objets qu'on manipule. C'est ainsi qu'on identifie souvent les fonctions de hachage à des fonctions aléatoires (modèle de l'oracle aléatoire). A ce prix, on obtient des ``preuves'' qui ne sont, au plan méthodologique, qu'une technique améliorée de détection des erreurs mais qui contribuent fortement à la confiance.

En utilisant des outils de théorie de la complexité, le groupe a pu dans [10] prouver la sécurité d'une modification mineure du schéma de signature maintenant classique de ElGamal. Nous avons ensuite étudié d'autres variantes de la signature ElGamal [89, 24], dont une a été retenue dans la norme ISO 14888. La méthode a alors été appliquée avec succès au problème de la sécurité des signatures ``en blanc'', inventées en 1982 par David Chaum dans le but de reproduire sous une forme purement numérique les principales caractéristiques de l'argent liquide, y compris l'anonymat des transactions. Le problème semble naïf: prouver qu'après avoir reçu n pièces de monnaie électroniques, un utilisateur ne peut en générer n+1, mais la question restait, depuis quinze ans, d'ordre conjectural. En systématisant la méthode que nous avions utilisée pour les signatures El Gamal, nous avons pu proposer un schéma de signature en blanc de sécurité prouvée [10]. Nous avons également proposé dans [62] le premier schéma de signature en blanc prouvé équivalent à la factorisation.

Ayant clarifié le mécanisme des preuves de sécurité, le GRECC a cherché à l'appliquer à des environnements où les ressources de calcul sont limitées, l'idée étant d'explorer des stratégies de conception d'algorithmes plus ``risquées'' en les validant par une preuve. C'est ainsi qu'ont été proposés deux mécanismes de signature à la volée [65, 67], compatibles avec le temps dont peut disposer une carte à microprocesseur sans contact pour effectuer une opération de péage. Par ailleurs, les outils que nous avons introduits nous ont permis des contributions à d'autres domaines pratiques, notamment celui du recouvrement des clés cryptographiques puisque nous avons mis au point le premier système d'encapsulation de clés RSA, muni d'une preuve compacte établissant que les données encapsulées permettent bien la restauration de la clé [68].

Dans le même ordre d'idées mais en cherchant à limiter cette fois la taille des signatures, le groupe a imaginé un schéma adapté au contexte très particulier de l'affranchissement électronique [43] : les services postaux de plusieurs pays envisagent en effet d'utiliser des mécanismes cryptographiques et, là encore, la capacité de produire des preuves permet de valider de schémas réduisant les marges de sécurité pour s'adapter aux performances des lecteurs optiques.

La question des preuves de sécurité peut sembler théorique: selon nous, il n'en est rien. Il s'agit de recherche appliquée. Nos solutions s'inscrivent dans un courant de recherche actif sur les infrastructures de clés publiques (PKI), qui seront sans doute au coeur des applications de la cryptographie dans un proche avenir.

2   Preuves de sécurité pour les schémas à clé publique

En utilisant l'expertise acquise dans le domaine des signatures, le groupe a participé à la clarification des notions de sécurité pour le chiffrement asymétrique, et ce, en collaboration avec des collègues américains [18]. Puis nous avons étudié les notions de sécurité du chiffrement dans un mode multi-destinataires [16].

Nous avons également proposé plusieurs schémas avec des preuves de sécurité [55, 58]. Mais ces travaux étaient spécifiques à chaque schéma. Or, la plupart des schémas à clé publique ont une propriété de sécurité minimale face à une adversaire cherchant seulement à inverser ex nihilo un message chiffré. Les exigences de sécurité qu'on met aujourd'hui en avant considèrent des adversaires bien plus puissants, autorisés à obtenir des déchiffrements d'autres messages. Cette notion de sécurité forte n'est pas une fantaisie des cryptographes, mais provient de la nécessité de tenir compte d'environnements peu contrôlés, comme celui d'un serveur WEB répondant aux requêtes.

Nous avons donc cherché à étudier comment transformer, de façon générique, un schéma minimalement sûr en schéma sûr au sens le plus fort. Nous avons proposé de telles transformations [59, 53], dont une en collaboration avec un chercheur japonais Tatsuaki Okamoto. Nous avons ensuite appliqué cette transformation à deux schémas de chiffrement à clé publique basés respectivement sur deux problèmes difficiles à résoudre de théorie des nombres (le problème des hauts-résidus et le problème Diffie-Hellman). Ceci nous a permis d'obtenir -- dans le modèle de l'oracle aléatoire -- la sécurité de schémas qui ne sont pas fondamentalement plus coûteux en ressources de calcul que le RSA.

D'une certaine façon, nos travaux ont constitué un prolongement de ceux de Bellare et Rogaway qui avaient introduit en 1994 la première conversion générique, appelée OAEP. On a longtemps cru qu'OAEP conduisait à un schéma de chiffrement sûr au sens le plus fort à partir de toute permutation à trappe (outil de théorie de la complexité modélisant le RSA). Pour cette raison, OAEP est devenu une norme internationale adoptée notamment dans SET (Secure Electronic Transactions), protocole mis au point par Mastercard et Visa pour sécuriser les transactions par cartes bancaires transitant par l'Internet. Cependant, récemment, une faille a été trouvée dans la preuve de sécurité. En collaboration avec des chercheurs de NTT, nous avons alors immédiatement tenté de réparer la preuve, au moins pour son application à RSA. A la surprise de beaucoup, nous y sommes très rapidement parvenus, sauvant ainsi toutes les applications pratiques [87].

3   Authentification mutuelle et échange de clés

La mise en accord de clés de session authentifiées est une notion cruciale pour tous les réseaux informatiques. En effet, tous les protocoles de sécurité de l'Internet et notamment SSL (Secure Socket Layer) qui permet d'ouvrir des connexions sécurisées ne mettent en oeuvre la cryptographie à clé publique que pour que les deux parties concernées (client et serveur) s'authentifient et mettent une clé de session en commun (qu'eux seuls connaissent). Ils peuvent alors ensuite utiliser ce secret commun pour passer aux mécanismes de chiffrement conventionnels bien plus rapides. Ce paradigme admet cependant de très nombreuses spécificités selon les applications, et selon ce que les deux parties connaissent ou sont en mesure de calculer.

En collaboration avec Mihir Bellare et Phil Rogaway, nous avons formalisé les notions de sécurité souhaitées pour des schémas généraux de mise en accord de clé de session authentifiée [20]. Puis nous avons élaboré et prouvé un protocole permettant à un client de s'authentifier auprès d'un serveur dans les conditions suivantes : le client et le serveur partagent un mot de passe p secret (mémorisable, donc confiné dans un petit dictionnaire susceptible d'être exploré par une recherche exhaustive) ; le client et le serveur prouvent mutuellement leur connaissance de p, un client et/ou un serveur malhonnêtes ne peuvent rien apprendre sur p, si ce n'est supprimer un élément par interaction, dans la liste des mots de passe possibles. De plus, à la fin de la procédure d'authentification, le client et le serveur possèdent une clé secrète commune, permettant un dialogue sécurisé. Nous avons également réclamé la propriété de "forward secrecy" qui exige que la confidentialité des précédentes communications est maintenue même après la compromission du mot de passe. Notre étude de sécurité a notamment permis de fournir une preuve de sécurité pour un schéma classiquement connu, mais dont la sécurité n'était qu'heuristique. Encore une fois, la nécessité de garantir un niveau de sécurité très élevé, en particulier la forward secrecy, n'est pas un caprice de théoricien mais une nécessité reconnue aujourd'hui, par exemple pour les protocoles normalisés par l'IETF. En revanche, c'est bien à notre avis la thérie qui a constitué l'essentiel de notre démarche: la partie la plus importante de notre travail a précisément été la formalisation des notions de sécurité.

Plus récemment, avec Markus Jakobsson, nous avons travaillé sur un nouveau schéma de mise en accord de clé de session authentifiée qui exige une quantité minimale de calculs de la part d'un des participants (le client). La méthode passe par le précalcul de certaines données et s'inspire de mécanismes décrits plus haut dans le cadre des signatures au vol [35].

Enfin, nous avons également étudié, avec des collègues Belges, des schémas de mise en accord de clé de session au sein d'un groupe [99]. Il convenait, dans un premier temps, de formaliser les notions de sécurité souhaitables, puis ensuite de proposer et prouver des protocoles, tout en maintenant un niveau élevé d'efficacité. En effet, même si plusieurs schémas avaient déjà été proposés dans la littérature, aucun n'admettait de preuve de sécurité, pour la simple raison qu'aucune spécification des besoins, en terme de sécurité, n'avait jamais été établie. Ce travail a débouché sur un article proposant un modèle de sécurité et un protocole prouvé sûr dans ce modèle; il a été soumis à la conférence Crypto'2001, et sera probablement par d'autres articles, affinant et développant ce modèle de sécurité.

4   Nouveaux problèmes difficiles

Au travers des différents protocoles présentés dans les paragraphes précédents, le groupe a été amené à proposer de nouveaux problèmes difficiles au sens de la théorie de la complexité, comme base de la cryptographie. C'est ainsi que nous avons introduit le problème de la haute-résiduosité et le problème du RSA-Dépendant. Le premier généralise le problème de la résiduosité quadratique lié à la difficulté de distinguer les carrés modulo un entier n de factorisation inconnu. Le second formalise la difficulté de reconnaître des couples de chiffrés RSA dont les clairs sont liés simplement (par exemple consécutifs). Plus récemment, une des conversions génériques mentionnées dans le paragraphe précédent nous a amené à considérer une nouvelle famille de problèmes, que nous avons dénommés les "Gap Problems" [54]. Il s'agit de résoudre un problème calculatoire étant donné l'accès à un oracle décisionnel. Typiquement, peut-on calculer la fonction de Diffie-Hellman (qui associe à g, gx et gy la valeur gxy) en ayant accès à un programme qui détermine seulement si le résultat est correct. Cette famille est à la fois très générale et très utile: elle nous a en effet également permis de prouver la sécurité d'une signature indéniable, proposée en 1989. Cette dernière n'avait jamais pu être conduite, car le problème sous-jacent n'avait pas été identifié.

Depuis, plusieurs autres analyses de sécurité ont fait intervenir cette nouvelle classe de problèmes. Un récent travail sur la signature en blanc de Chaum nous a conduit ainsi à isoler une nouvelle variante du problème RSA [19]. Les nouveaux problèmes sont à leur tour la base de nouvelles investigations: La sécurité de tout protocole cryptographique repose sur la difficulté d'un problème algorithmique donné et la mise en évidence de nouveaux problèmes ouvre la voie à la conception de nouveaux types de protocoles.

5   Conception de nouveaux algorithmes à clé publique

C'est un défi majeur de la recherche en cryptologie. En un peu plus de vingt ans, la liste des algorithmes à clé publique ne s'est enrichie que d'une dizaine d'exemples venant s'ajouter au RSA. En collaboration avec David Naccache, nous avons imaginé deux cryptosystèmes différents de RSA [41, 42]. Le premier est une généralisation multiplicative du célébre sac-à-dos inventé en 1978 et cassé par Adi Shamir en 1982. En nous fondant sur notre expertise de la cryptanalyse (voir paragraphe suivant), nous pensons que la multiplicativité permet bien d'échapper aux attaques analogues à celle de Shamir. L'autre cryptosystème est basé sur le problème de la haute-résiduosité introduit plus haut. Ce système a de plus des propriétés algébriques d'homomorphisme qui ouvrent la voie à de nombreuses applications, notamment pour le vote électronique. De fait, c'est le premier exemple d'un cryptosystème ``homomorphe'' ayant une bande passante importante. Noter travail a inspiré des recherches présentées ultérieurement, par Okamoto et Uchiyama d'une part, par Paillier d'autre part. La forme du système de Paillier, plus proche du RSA, est sans doute plus élégante mais nous avons clairement ouvert la voie.

6   Cryptanalyse des systèmes à clé publique

Le GRECC a une très longue expertise, théorique et pratique, dans ce domaine, fondée notamment sur sa maîtrise de l'algorithme LLL de réduction des réseaux, attestée par plusieurs thèses et de nombreuses cryptanalyses ``spectaculaires''.

En systématisant l'usage du réseau orthogonal [108, 13] d'un réseau de dimension incomplète, le groupe a pu cryptanalyser [50] un nouveau cryptosystème proposé par Ajtai et Dwork et présenté par les Laboratoires de recherche IBM comme une découverte majeure. Le système d'Ajtai-Dwork avait d'ailleurs eu les honneurs de la presse. Il était en effet efficace tout en s'appuyant sur une preuve de sécurité profonde. Nous avons d'une certaine manière inversé le paradigme de la sécurité prouvée en montrant que, à moins d'utiliser des paramètres enlevant toute crédibilité au système, on se trouvait face à un problème algorithmique plus accessible que ne l'imaginaient les auteurs. La même méthode a permis d'attaquer [51] un mécanisme de calcul de signatures RSA faisant intervenir un serveur non protégé et de résoudre le problème des sous-ensembles cachés [52], dont la difficulté supposée était à la base d'un système proposé à Eurocrypt '98 pour accélérer la génération de signatures DSA.

Le groupe a également attaqué avec succès plusieurs cryptosystèmes [48, 49, 45] proposés récemment comme alternatives au système RSA, en particulier celui de Goldreich-Goldwasser-Halevi [45], proposé par des chercheurs du MIT et fondé sur la difficulté de certains problèmes liés aux réseaux à coordonnées entières. Le groupe s'est aussi intéressé à des techniques génériques pour attaquer des primitives cryptographiques : réduction probabiliste à des problèmes de réduction de réseaux pour résoudre des problèmes liés à la théorie des codes correcteurs d'erreur ou à la théorie des nombres [21]; extensions de la méthode de Coppersmith à base de réduction de réseaux pour trouver des petites racines d'équations polynomiales afin d'attaquer des variantes de RSA [26]. Le groupe a mis en avant la vulnérabilité de la signature DSA (et de ses variantes) lorsque l'on connaît un peu d'information sur les paramètres secrets utilisés [46, 106, 27, 107]. Le groupe a montré de façon simple pourquoi l'utilisation naïve de RSA ou ElGamal pour chiffrer des clefs de session symétriques était dangereuse [22], soulignant ainsi l'importance des schémas de type OAEP pour renforcer les notions de sécurité.

On mentionnera pour terminer un travail de cryptanalyse réalisé avec Don Coppersmith [6] qui a permis de ``casser'' un schéma de signature numérique proposé par Adi Shamir et reposant sur la théorie des permutations birationnelles.

7   Cryptanalyse des systèmes symétriques

Paradoxalement, le domaine de la cryptographie conventionnelle est resté pendant longtemps très pauvre en résultats de cryptanalyse de nature conceptuelle. En 1991, la situation a changé avec l'invention par Biham et Shamir, de la méthode d'attaque ``différentielle'', suivie en 1996 de la méthode ``linéaire'' de Matsui. La première méthode étudie des hypothèses de propagation des différences (xor bit à bit) qui ont une probabilité petite mais significative, tandis que la seconde s'intéresse aux relations linéaires sur les bits (de clair, de chiffré ou de clé) qui ont un biais statistique petit mais significatif.

Le groupe a généralisé ces attaques statistiques, ce qui a permis d'améliorer, par un test du c2, la meilleure attaque connue contre le standard de chiffrement DES. Il a également proposé dans [63] un critère général de résistance contre l'attaque de Davies et Murphy, attaque contre laquelle DES semble ``miraculeusement'' protégé, mais qui peut affecter l'importante fraction des cryptosystèmes symétriques qui utilisent une structure fondée sur un schéma de Feistel. Il a aussi montré dans [32] que les attaques par différentielles tronquées sont compliquées à mettre en oeuvre et que certaines attaques publiées sont erronées.

Contre l'algorithme Blowfish de Bruce Schneier, on a montré qu'une classe significative de clefs secrètes était particulièrement faible, car elles conduisaient à une attaque effective. Enfin, le groupe a exercé une activité importante dans l'étude de la sécurité des candidats au processus de standardisation AES, puis du projet européen NESSIE (voir [31, 80, 79, 88, 90, 112]).

Dans le domaine des systèmes de chiffrement série (stream-ciphers), le groupe a présenté dans [64] une originale cryptanalyse de l'algorithme A5/1 du GSM. Cette attaque se fonde sur un compromis logiciel/matériel: un programme structure des données extrêmement simples qui sont ensuite traîtées par un FPGA. Le découpage des tâches entre une station de travail conventionnelle et une carte d'extension contenant quelques FPGA permet d'effectuer une cryptanalyse plusieurs dizaines de fois plus vite qu'avec chacun de ces deux matériels considérés séparément. Enfin, en utilisant ces mêmes matériels à base de FPGA, le groupe a conçu une implantation effective de DES dans le cadre d'un système de recherche exhaustive de clés.

8   Conception et implantation d'algorithmes symétriques

Constatant le passage d'un stade empirique à un stade heuristique, où les algorithmes sont conçus pour résister aux attaques différentielle et linéaire, le groupe a acquis une expertise dans la conception d'algorithmes conventionnels (à clé secrète). Il a ainsi mis au point l'algorithme de chiffrement CS-Cipher [73, 76] qui réalise un bon compromis entre efficacité et sécurité heuristique. Il a également, dans le cadre d'un contrat avec l'ETSI, défini une norme qui sera utilisé dans les futurs téléphones GSM (extension CTS).

En s'inspirant du travail mené dans le secteur de la clef publique, le groupe a tenté de dépasser la sécurité heuristique pour aller vers une sécurité formelle. En utilisant la notion de hachage universel de Carter et Wegman, on a pu bâtir une ``théorie de la décorrélation''. Cette nouvelle théorie décrite dans [15, 92, 75, 86], offre des outils de calcul symbolique qui permettent de démontrer, dans un modèle abstrait, des résultats de sécurité, notamment face aux attaques différentielles. C'est avec ces principes qu'a été développé le candidat DFC[31, 70, 79, 33] au processus de standardisation AES; DFC a également été pensé afin d'être implantable efficacement sur les ordinateurs personnels d'aujourd'hui et de demain, en profitant des opérations natives et optimisées des processeurs centraux.

Par ailleurs, en liaison avec l'équipe de Jean Vuillemin, l'équipe a acquis une expérience des architectures matérielles, qui lui a permis d'implanter efficacement les algorithmes ci-dessus sur FPGA; ce type de puce reconfigurable est déjà extrêmement répandu dans les systèmes embarqués récents, et devient le standard de fait des équipements de chiffrement à haut débit.

Le groupe a également étudié la méthode d'implantation logicielle dite du ``code orthogonal'', technique redécouverte en 1997 par Eli Biham sous le nom de ``bitslice''; cette méthode consiste principalement en l'émulation de plusieurs implantations matérielles en parallèle, en répartissant les bits de données à traiter sur tous les registres du processeur. Afin de faciliter la conception et la mise au point de programmes utilisant cette technique, l'équipe a programmé et mis à disposition du public un compilateur[118] émettant le code C réalisant, suivant la méthode orthogonale, un cryptosystème qui lui est fourni sous la forme d'une description formelle de haut niveau.

Enfin, le groupe a travaillé sur la conception de nouveaux algorithmes optimisés pour ces implantations matérielles ou logicielles, afin de résoudre les besoins croissants en débit de chiffrement des matériels moderne; un tel algorithme, ainsi qu'une étude de son utilisation pour le chiffrement transparent d'un disque dur d'ordinateur portable, sont proposés dans [111].

9   Cryptographie ``interactive''

Le contexte de la cryptographie traditionnelle, qui met en jeu deux entités seulement n'est plus complètement adapté à la réalité multiforme de l'Internet. Dans de nombreux scénarios, vote électronique, enchères en ligne etc., de nombreux acteurs coopèrent.

Le GRECC a étudié la question de la génération commune d'une clé RSA par deux entités distantes à la suite des travaux de Boneh et Franklin [66]. Il a également proposé la première méthode de génération de clés cryptographiques pour les systèmes fondés sur le logarithme discret, qui ne nécessite pas l'établissement antérieur, entre les participants, d'un canal ``privé'' [30]. Ceci a l'avantage d'éviter la mise en accord de clé entre chaque paire d'utilisateurs et donc d'améliorer la génération partagée de la clé. Par ailleurs, il a pu montrer [29] comment construire une architecture de déchiffrement répartie pour le système de chiffrement homomorphique de Paillier. Durant ce travail, nous avons défini un modèle de sécurité pour les algorithmes de déchiffrement partagé à seuil.

En utilisant précisément le système de Paillier il a été possible de concevoir un système global de vote électronique qui autorise une bien meilleure sécurité que ceux proposés antérieurement [97]. De même a-t-on pu appliquer le même schéma pour proposer un protocole d'enchères anonymes sur le Web [17]. Ce protocole permet la détermination du vainqueur sans que les enchères des autres participants ne soient révélées. Le prix payé peut être, au choix, l'enchère la plus élevée ou la seconde, plus proche du résultat d'enchéres traditionnelles à l'anglaise.

A la suite du travail sur le vote électronique, il est apparu que le partage de l'autorité de vote est un élément essentiel d'un schéma de vote. Le groupe a proposé une solution élégante au problème de génération d'une clé RSA tout en permettant au protocole de signature ou de déchiffrement partagé de s'effectuer de manière robuste [103]. Il est enfin possible de préserver secrète une clé RSA partagée, de sa création à son utilisation. C'est là un résultat qui devrait avoir des applications.

Enfin, le GRECC s'est récemment penché sur les problèmes cryptographiques relevant de l'anonymat. Il a proposé le premier schéma de signature collective permettant d'exclure des membres malhonnêtes d'un groupe sans être obligé de modifier les paramètres publics régissant ce groupe [23]. Ce travail s'appuyait sur les schémas de signature de groupe proposés en 1997 par Camenish et Stadler. Depuis, nous avons formalisé cette méthode pour la rendre applicable à d'autres schémas, tout en la plaçant dans un cadre théorique plus général [100].

10   Perspectives

La cryptologie moderne a à peine plus de vingt ans. Dans sa courte histoire, elle a eu la chance de connaître deux avancées majeures:

Ces deux découvertes ont été chacune le moteur de dix années de recherche intense. Aujourd'hui, l'heure est à la consolidation, pour deux raisons au moins

  1. Les outils conceptuels permettant de mener des analyses conceptuelles de sécurité sont enfin au point. A noter qu'il s'agit d'un état de fait extrêmement récent: la façon absolument correcte d'utiliser RSA est issue d'un long cheminement qui vient de s'achever avec les travaux sur OAEP auxquels le groupe a participé.
  2. Compte tenu des besoins de sécurité de l'Internet et du commerce électronique, il existe un fort appel de solutions crypto épurées et/ou normalisées.
Le groupe compte donc poursuivre son travail de validation, avec les lignes de force suivantes: Enfin, dans la mesure du possible, nous comptons ouvrir de nouveaux fronts, en utilisant en particulier l'interface avec les autres équipes du laboratoire. Ainsi, l'analyse logique des protocoles cryptographique (dans l'esprit des travaux de M. Abadi à Stanford) est un sujet qui s'inscrit naturellement dans cette perspective.

Eléments d'évaluation

1   Collaborations

2   Missions, conférences et séminaires

3   Accueil de chercheurs

4   Diffusion de la connaissance

5   Réalisation et diffusion de logiciels, brevets

6   Participation à l'évaluation de la recherche

7   Encadrement doctoral

8   Enseignement

9   Prix et distinctions

Phong Nguyen a reçu un Troisième prix d'Alembert des lycéens en 2000, décerné par la SMF pour la vulgarisation des mathematiques. Il a reçu un prix de thèse 1999 de l'Association Française d'Informatique Théorique et un accessit du prix de thèse 2000 de l'association Specif.

Jacques Stern a été nommé Chevalier de la légion d'honneur en 2000.

Publications



Livres
[1]
J. Stern. -- La science du secret. -- Odile Jacob, 1999.

Édition d'actes ou d'ouvrages collectifs
[2]
A. Odlyzko, C. P. Schnorr, A. Shamir et J. Stern (éditeurs). -- Cryptography. -- Dagstuhl Seminar Report ; 190, sept. 1997.

[3]
J. Stern (éditeur). -- Advances in Cryptology -- Proceedings of Eurocrypt '99. -- Springer-Verlag, Berlin, 1999, Lecture Notes in Computer Science, vol. 1592.

[4]
S. Vaudenay (éditeur). -- Fast Software Encryption, Fifth International Workshop, Paris, France, Proceedings, March 1998. -- Springer-Verlag, Berlin, 1998, LNCS, vol. 1372.

Articles dans des revues internationales avec comité de lecture
[5]
S. Arora, L. Babai, J. Stern et Z. Sweedyk. -- The hardness of approximating problems defined by linear constraints. J of Comp. Syst. Sci., vol. 54, 1997, pp. 317--331.

[6]
D. Coppersmith, J. Stern et S. Vaudenay. -- Attacks on the birational permutation signature. Journal of Cryptology, vol. 10, n° 3, Summer 1997, pp. 207--221.

[7]
J. Friedman, A. Joux, Y. Roichman, J. Stern et J.-P. Tillich. -- The action of a few random permutations is quickly r-transitive. Random Structures and Algorithms, vol. 12, n° 4, 1998, pp. 335--350.

[8]
A. Joux et J. Stern. -- Lattice reduction: a toolbox for the cryptanalyst. Journal of Cryptology, vol. 11, 1998, pp. 161--185.

[9]
D. Pointcheval. -- Secure Designs for Public-Key Cryptography based on the Discrete Logarithm. Discrete Applied Mathematics, 2001. -- To appear.

[10]
D. Pointcheval et J. Stern. -- Security Arguments for Digital Signatures and Blind Signatures. Journal of Cryptology, vol. 13, n° 3, 2000, pp. 361--396.

[11]
G. Poupard. -- A Realistic Security Analysis of Identification Schemes based on Combinatorial Problems. European Transactions on Telecommunications, vol. 8, 1997, pp. 471--480.

Conférences invitées
[12]
P. Q. Nguyen. -- The two faces of lattices in cryptology. In : Proc. of Cryptography and Lattices Conference '2001. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[13]
P. Q. Nguyen et J. Stern. -- Lattice Reduction in Cryptology: An Update. In : Algorithmic Number Theory -- Proceedings of ANTS-IV. Lecture Notes in Computer Science, vol. 1838. -- Springer-Verlag, Berlin, 2000.

[14]
D. Pointcheval. -- Number Theory and Public-Key Cryptography. In : Combinatorial and Computational Mathematics, éd. par J. H. Kwak, K. H. Kim et F. W. Roush. Lecture Notes in Pure and Applied Mathematics. -- Marcel Dekker, New York, 2000. To appear.

[15]
S. Vaudenay. -- Provable security for block ciphers by decorrelation. In : STACS 98, éd. par M. Morvan, C. Meinel et D. Krob. LNCS, vol. 1373. -- Springer-Verlag, Berlin, 1998.

Communications dans des conférences internationales avec comité de lecture
[16]
O. Baudron, D. Pointcheval et J. Stern. -- Extended Notions of Security for Multicast Public-Key Cryptosystems. In : 27th International Colloquium on Automata Languages and Programming, ICALP 2000, éd. par U. Montanari, J. Rolim et E. Welzl. Lecture Notes in Computer Science, vol. 1853, pp. 499--511. -- Springer-Verlag, Berlin, 2000.

[17]
O. Baudron et J. Stern. -- Non-Interactive Private Auctions. In : Proceedings of Financial Cryptography 2001, éd. par P. Syverson. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[18]
M. Bellare, A. Desai, D. Pointcheval et P. Rogaway. -- Relations Among Notions of Security for Public-Key Encryption Schemes. In : Advances in Cryptology -- Proceedings of Crypto '98, éd. par H. Krawczyk. Lecture Notes in Computer Science, vol. 1462, pp. 26--45. -- Springer-Verlag, Berlin, 1998.

[19]
M. Bellare, C. Namprempre, D. Pointcheval et M. Semanko. -- The Power of RSA Inversion Oracles and the Security of Chaum's RSA Blind Signature Scheme. In : Proceedings of Financial Cryptography '2001, éd. par P. Syverson. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[20]
M. Bellare, D. Pointcheval et P. Rogaway. -- Authenticated Key Exchange Secure Against Dictionary Attacks. In : Advances in Cryptology -- Proceedings of Eurocrypt '2000, éd. par B. Preneel. Lecture Notes in Computer Science, vol. 1807, pp. 139--155. -- Springer-Verlag, Berlin, 2000.

[21]
D. Bleichenbacher et P. Q. Nguyen. -- Noisy Polynomial Interpolation and Noisy Chinese Remaindering. In : Proc. of the 18th IACR Eurocrypt Conference (Eurocrypt '2000). Lecture Notes in Computer Science, vol. 1807. -- Springer-Verlag, Berlin, 2000.

[22]
D. Boneh, A. Joux et P. Q. Nguyen. -- Why Textbook ElGamal and RSA Encryption are Insecure. In : Advances in Cryptology -- Proceedings of Asiacrypt '2000. Lecture Notes in Computer Science, vol. 1976. -- Springer-Verlag, Berlin, 2000.

[23]
E. Bresson et J. Stern. -- Efficient Revocation in Group Signatures. In : Proc. of 4th International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), éd. par K. Kim. LNCS, vol. 1992, pp. 190--206. -- Springer-Verlag, Berlin, 2001. To appear.

[24]
E. Brickell, D. Pointcheval, S. Vaudenay et M. Yung. -- Design Validations for Discrete Logarithm Based Signature Schemes. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '2000), éd. par H. Imai et Y. Zheng. Lecture Notes in Computer Science, vol. 1751, pp. 276--292. -- Springer-Verlag, Berlin, 2000.

[25]
C. Coupé, P. Q. Nguyen et J. Stern. -- The Effectiveness of Lattice Attacks Against Low-Exponent RSA. In : Proceedings of PKC '99. Lecture Notes in Computer Science, vol. 1560. -- Springer-Verlag, Berlin, 1999.

[26]
G. Durfee et P. Q. Nguyen. -- Cryptanalysis of the RSA Schemes with Short Secret Exponent from Asiacrypt '99. In : Advances in Cryptology -- Proceedings of Asiacrypt '2000. Lecture Notes in Computer Science, vol. 1976. -- Springer-Verlag, Berlin, 2000.

[27]
E. El Mahassni, P. Q. Nguyen et I. E. Shparlinski. -- The insecurity of nyberg-rueppel and other dsa-like signature schemes with partially known nonces. In : Proc. of Cryptography and Lattices Conference '2001. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[28]
P. Fouque, G. Poupard et J. Stern. -- Recovering Keys in Open Networks. In : Proceedings of IEEE Information Theory and Communications Workshop. -- 1999.

[29]
P. Fouque, G. Poupard et J. Stern. -- Sharing Decryption in the Context of Voting or Lotteries. In : Financial Cryptography 2000. LNCS. -- Springer-Verlag, Berlin, 2000.

[30]
P. Fouque et J. Stern. -- One Round Threshold Discrete-Log Key Generation without Private Channels. In : Proc. of 4th International Workshop on Practice and Theory in Public Key Cryptography (PKC 2001), éd. par K. Kim. LNCS, vol. 1992, pp. 190--206. -- Springer-Verlag, Berlin, 2001.

[31]
H. Gilbert, M. Girault, P. Hoogvorst, F. Noilhan, T. Pornin, G. Poupard, J. Stern et S. Vaudenay. -- Decorrelated Fast Cipher: an AES Candidate. In : First Advanced Encryption Standard (AES) Candidate Conference. -- 1998.

[32]
L. Granboulan. -- Flaws in differential cryptanalysis of Skipjack. In : Fast Software Encryption: 8th International Workshop, éd. par M. Matsui. -- Springer-Verlag, Berlin, 2001. à paraître.

[33]
L. Granboulan, P. Q. Nguyen, F. Noilhan et S. Vaudenay. -- DFCv2. In : Selected Areas in Cryptography -- Proc. of SAC '2000. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2000.

[34]
H. Handschuh et S. Vaudenay. -- A universal encryption standard. In : Selected Areas on Cryptography, Kingston, Ontario, Canada, Proceedings, August 1999, éd. par H. Heys et C. Adams. LNCS, vol. 1758, pp. 1--12. -- Springer-Verlag, Berlin, 2000.

[35]
M. Jakobsson et D. Pointcheval. -- Mutual Authentication for Low-Power Mobile Devices. In : Proceedings of Financial Cryptography '2001, éd. par P. Syverson. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[36]
M. Jakobsson, D. Pointcheval et A. Young. -- Secure Mobile Gambling. In : RSA Cryptographers' Track (RSA '2001), éd. par D. Naccache. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[37]
D. M'Raïhi, D. Naccache, D. Pointcheval et S. Vaudenay. -- Computational Alternatives to Random Number Generators. In : Proceedings of Selected Areas in Cryptography '98, éd. par S. Tavares et H. Meijer. Lecture Notes in Computer Science, vol. 1556. -- Springer-Verlag, Berlin, 1999.

[38]
D. M'Raïhi, D. Naccache, J. Stern et S. Vaudenay. -- xmx: a firmware-oriented block cipher based on modular multiplications. In : Fast Software Encryption, Fourth International Workshop, Haifa, Israel, Proceedings, January 1997, éd. par E. Biham. LNCS, vol. 1267, pp. 166--171. -- Springer-Verlag, Berlin, 1997.

[39]
D. M'Raïhi et D. Pointcheval. -- Distributed Trustees and Revokability: a Framework for Internet Payment. In : Proceedings of Financial Cryptography '98, éd. par R. Hirschfeld. Lecture Notes in Computer Science, vol. 1465, pp. 28--41. -- Springer-Verlag, Berlin, 1998.

[40]
D. Naccache, D. Pointcheval et C. Tymen. -- Monotone Signatures. In : Proceedings of Financial Cryptography '2001, éd. par P. Syverson. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[41]
D. Naccache et J. Stern. -- A new public key cryptosystem. In : Advances in Cryptology -- Proceedings of EUROCRYPT '97, éd. par W. Fumy. Lecture Notes in Computer Science, vol. 1233, pp. 27--36. -- Springer-Verlag, Berlin, 1997.

[42]
D. Naccache et J. Stern. -- A new cryptosystem based on higher residues. In : Proceedings of the 5th ACM Conference on Computer and Communications Security. pp. 59--66. -- ACM press, 1998.

[43]
D. Naccache et J. Stern. -- Signing on a postcard. In : Proceedings of FINANCIAL CRYPTOGRAPHY '00. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2000.

[44]
P. Q. Nguyen. -- A Montgomery-like Square Root for the Number Field Sieve. In : Algorithmic Number Theory -- Proceedings of ANTS-III. Lecture Notes in Computer Science, vol. 1423. -- Springer-Verlag, Berlin, 1998.

[45]
P. Q. Nguyen. -- Cryptanalysis of the Goldreich-Goldwasser-Halevi Cryptosystem from Crypto '97. In : Proc. of the 19th IACR Cryptology Conference (Crypto '99). Lecture Notes in Computer Science, vol. 1666. -- Springer-Verlag, Berlin, 1999.

[46]
P. Q. Nguyen. -- The Dark Side of the Hidden Number Problem: Lattice Attacks on DSA. In : Proc. of Workshop on Comp. Number Theory and Cryptography (CCNT'99). -- Birkhäuser, 2000.

[47]
P. Q. Nguyen, I. E. Shparlinski et J. Stern. -- Distribution of Modular Sums and Security of Server-Aided Exponentiation. In : Proc. of Workshop on Comp. Number Theory and Cryptography (CCNT'99). -- Birkhäuser, 2000.

[48]
P. Q. Nguyen et J. Stern. -- Merkle-Hellman Revisited: a Cryptanalysis of the Qu-Vanstone Cryptosystem Based on Group Factorizations. In : Proc. of the 17th IACR Cryptology Conference (Crypto '97). Lecture Notes in Computer Science, vol. 1294, pp. 198--212. -- Springer-Verlag, Berlin, 1997.

[49]
P. Q. Nguyen et J. Stern. -- Cryptanalysis of a fast public key cryptosystem presented at SAC '97. In : Selected Areas in Cryptography -- Proc. of SAC '98. Lecture Notes in Computer Science, vol. 1556. -- Springer-Verlag, Berlin, 1998.

[50]
P. Q. Nguyen et J. Stern. -- Cryptanalysis of the Ajtai-Dwork Cryptosystem. In : Proc. of the 18th IACR Cryptology Conference (Crypto '98). Lecture Notes in Computer Science, vol. 1462, pp. 223--242. -- Springer-Verlag, Berlin, 1998.

[51]
P. Q. Nguyen et J. Stern. -- The Béguin-Quisquater Server-Aided RSA Protocol from Crypto '95 is not Secure. In : Advances in Cryptology -- Proceedings of Asiacrypt '98. Lecture Notes in Computer Science, vol. 1514. -- Springer-Verlag, Berlin, 1998.

[52]
P. Q. Nguyen et J. Stern. -- The Hardness of the Hidden Subset Sum Problem and its Cryptographic Implications. In : Proc. of the 19th IACR Cryptology Conference (Crypto '99). Lecture Notes in Computer Science, vol. 1666. -- Springer-Verlag, Berlin, 1999.

[53]
T. Okamoto et D. Pointcheval. -- REACT: Rapid Enhanced-security Asymmetric Cryptosystem Transform. In : RSA Cryptographers' Track (RSA '2001), éd. par D. Naccache. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2001.

[54]
T. Okamoto et D. Pointcheval. -- The Gap-Problems: a New Class of Problems for the Security of Cryptographic Schemes. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '2001), éd. par K. Kim. Lecture Notes in Computer Science, vol. 1992, pp. 104--118. -- Springer-Verlag, Berlin, 2001.

[55]
P. Paillier et D. Pointcheval. -- Efficient Public-Key Cryptosystems Provably Secure against Active Adversaries. In : Advances in Cryptology -- Proceedings of Asiacrypt '99, éd. par K. Y. Lam et E. Okamoto. Lecture Notes in Computer Science, vol. 1716, pp. 165--179. -- Springer-Verlag, Berlin, 1999.

[56]
H. Petersen et G. Poupard. -- Efficient Scalable Fair Cash with Off-line Extortion Prevention. In : ICICS '97. LNCS 1334, pp. 463--477. -- Springer-Verlag, Berlin, 1997. Available as technical report LIENS-97-7.

[57]
D. Pointcheval. -- Strengthened Security for Blind Signatures. In : Advances in Cryptology -- Proceedings of Eurocrypt '98, éd. par K. Nyberg. Lecture Notes in Computer Science, vol. 1403, pp. 391--405. -- Springer-Verlag, Berlin, 1998.

[58]
D. Pointcheval. -- New Public Key Cryptosystems based on the Dependent-RSA Problems. In : Advances in Cryptology -- Proceedings of Eurocrypt '99, éd. par J. Stern. Lecture Notes in Computer Science, vol. 1592, pp. 239--254. -- Springer-Verlag, Berlin, 1999.

[59]
D. Pointcheval. -- Chosen-Ciphertext Security for any One-Way Cryptosystem. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '2000), éd. par H. Imai et Y. Zheng. Lecture Notes in Computer Science, vol. 1751, pp. 129--146. -- Springer-Verlag, Berlin, 2000.

[60]
D. Pointcheval. -- Self-Scrambling Anonymizers. In : Proceedings of Financial Cryptography '2000, éd. par Y. Frankel. Lecture Notes in Computer Science. -- Springer-Verlag, Berlin, 2000.

[61]
D. Pointcheval. -- The Composite Discrete Logarithm and Secure Authentication. In : Workshop on Practice and Theory in Public-Key Cryptography (PKC '2000), éd. par H. Imai et Y. Zheng. Lecture Notes in Computer Science, vol. 1751, pp. 113--128. -- Springer-Verlag, Berlin, 2000.

[62]
D. Pointcheval et J. Stern. -- New Blind Signatures Equivalent to Factorization. In : Proceedings of the 4th ACM Conference on Computer and Communications Security. pp. 92--99. -- ACM press, New York, 1997.

[63]
T. Pornin. -- Optimal resistance against the Davies and Murphy attack. In : Advances in Cryptology -- Proceedings of Asiacrypt'98. Lecture Notes in Computer Science, pp. 148--159. -- Springer-Verlag, Berlin, 1998.

[64]
T. Pornin et J. Stern. -- Software-hardware trade-offs. In : Advances in Cryptology -- Proceedings of CHES 2000. Lecture Notes in Computer Science, pp. 318--327. -- Springer-Verlag, Berlin, 2000.

[65]
G. Poupard et J. Stern. -- Security Analysis of a Practical "on the fly" Authentication and Signature Generation. In : Eurocrypt '98. LNCS 1403, pp. 422--436. -- Springer-Verlag, Berlin, 1998.

[66]
G. Poupard et J. Stern. -- Generation of Shared RSA Keys by Two Parties. In : Asiacrypt '98. LNCS 1514, pp. 11--24. -- Springer-Verlag, Berlin, 1999.

[67]
G. Poupard et J. Stern. -- On The Fly Signatures based on Factoring. In : Proceedings of 6th ACM-CCS. pp. 37--45. -- ACM press, 1999.

[68]
G. Poupard et J. Stern. -- Fair Encryption of RSA Keys. In : Eurocrypt 2000. LNCS 1807. -- Springer-Verlag, Berlin, 2000.

[69]
G. Poupard et J. Stern. -- Short Proofs of Knowledge for Factoring. In : PKC 2000. LNCS 1751, pp. 147--166. -- Springer-Verlag, Berlin, 2000.

[70]
G. Poupard et S. Vaudenay. -- DFC: an AES Candidate well suited for low cost smart cards applications. In : CARDIS '98. LNCS 1820. -- Springer-Verlag, Berlin, 2000.

[71]
J. Stern. -- Lattices and cryptography: an overview. In : Proceedings of PKC'98. Lecture Notes in Computer Science, vol. 1431, pp. 50--54. -- Springer-Verlag, Berlin, 1998.

[72]
J. Stern et S. Vaudenay. -- SVP: a flexible micropayment scheme. In : Financial Cryptography --- Anguilla, British West Indies, February 1997, éd. par R. Hirschfeld. LNCS, vol. 1318, pp. 166--171. -- Springer-Verlag, Berlin, 1997.

[73]
J. Stern et S. Vaudenay. -- CS-Cipher. In : Fast Software Encryption, Fifth International Workshop, France, Paris, Proceedings, March 1998, éd. par S. Vaudenay. LNCS, vol. 1372, pp. 189--205. -- Springer-Verlag, Berlin, 1998.

[74]
S. Vaudenay. -- Cryptanalysis of the Chor-Rivest cryptosystem. In : Advances in Cryptology CRYPTO'98, Santa Barbara, California, U.S.A.. August 1998, éd. par H. Krawczyk. LNCS, vol. 1462, pp. 243--256. -- Springer-Verlag, Berlin, 1998.

[75]
S. Vaudenay. -- Feistel ciphers with L2-decorrelation. In : Selected Areas on Cryptography, Kingston, Ontario, Canada, Proceedings, August 1998, éd. par S. Tavares et H. Meijer. LNCS, vol. 1556, pp. 1--14. -- Springer-Verlag, Berlin, 1999.

[76]
S. Vaudenay. -- On the security of CS-Cipher. In : Fast Software Encryption, Sixth International Workshop, Roma, Italy, Proceedings, April 1999, éd. par L. Knudsen. LNCS, vol. 1636, pp. 260--274. -- Springer-Verlag, Berlin, 1999.

[77]
S. Vaudenay. -- Resistance against general iterated attacks. In : Advances in Cryptology EUROCRYPT'99, Prague, Czech Republic, May 1999, éd. par J. Stern. LNCS, vol. 1592, pp. 255--271. -- Springer-Verlag, Berlin, 1999.

[78]
S. Vaudenay. -- Adaptive-attack norm for decorrelation and super-pseudorandomness. In : Selected Areas on Cryptography, Kingston, Ontario, Canada, Proceedings, August 1999, éd. par H. Heys et C. Adams. LNCS, vol. 1758, pp. 49--61. -- Springer-Verlag, Berlin, 2000.

Autres conférences
[79]
O. Baudron, H. Gilbert, L. Granboulan, H. Handschuh, R. Harley, A. Joux, P. Q. Nguyen, F. Noilhan, D. Pointcheval, T. Pornin, G. Poupard, J. Stern et S. Vaudenay. -- DFC update. In : Proceedings from the Second Advanced Encryption Standard Candidate Conference, April 1999. -- 1999.

[80]
O. Baudron, H. Gilbert, L. Granboulan, H. Handschuh, A. Joux, P. Q. Nguyen, F. Noilhan, D. Pointcheval, T. Pornin, G. Poupard, J. Stern et S. Vaudenay. -- Report on the AES candidates. In : Proceedings from the Second Advanced Encryption Standard Candidate Conference, April 1999. -- 1999.

[81]
H. Gilbert, M. Girault, P. Hoogvorst, F. Noilhan, T. Pornin, G. Poupard, J. Stern et S. Vaudenay. -- Provable security for block ciphers by decorrelation. In : Proceedings from the First Advanced Encryption Standard Candidate Conference, August 1998. -- 1998.

[82]
M. Girault, G. Poupard et J. Stern. -- Global Payment System (GPS): un Protocole de Signature à la Volée. In : Trusting Electronic Trade '99. -- 1999.

Thèses et habilitations
[83]
L. Granboulan. -- Calcul d'objets géométriques à l'aide de méthodes algébriques et numériques : Dessins d'enfants. -- Thèse de doctorat, Université de Paris VII, Ecole Normale Supérieure, 8 déc. 1997.

[84]
P. Q. Nguyen. -- La Géométrie des Nombres en Cryptologie. -- Thèse de doctorat, Université Paris 7, 1999.

[85]
G. Poupard. -- Authentification d'entités, de messages et de clés cryptographique : théorie et pratique. -- Thèse de doctorat, École Polytechnique, 2000.

[86]
S. Vaudenay. -- Vers Une Théorie du Chiffrement Symétrique. -- Habilitation à diriger des recherches, Université de Paris VII, Ecole Normale Supérieure, 7 jan. 1999. Disponible comme rapport LIENS-98-15.

Rapports de recherche
[87]
E. Fujisaki, T. Okamoto, D. Pointcheval et J. Stern. -- RSA-OAEP is Still Alive. -- Rapport technique, Cryptology Archive ePrint 00/61, nov. 2000.

[88]
L. Granboulan. -- AES : Analysis of the RefCode and OptCCode submissions. -- Rapport technique, National Institute of Standards and Technology (NIST), avr. 1999. Official Comment of the Advanced Encryption Standard Process.

[89]
D. Pointcheval et S. Vaudenay. -- On Provable Security for Digital Signature Algorithms. -- Rapport technique, Ecole Normale Supérieure, 1996. Rapport LIENS-96-17.

[90]
B. Preneel, A. Bosselaers, V. Rijmen, B. V. Rompay, L. Granboulan, J. Stern, S. Murphy, M. Dichtl, P. Serf, E. Biham, O. Dunkelman, V. Furman, F. Koeune, G. Piret, J.-J. Quisquater, L. Knudsen et H. Raddum. -- Comments by the NESSIE Project on the AES Finalists. -- Rapport technique, National Institute of Standards and Technology (NIST), mai 2000. Official Comment of the Advanced Encryption Standard Process.

[91]
S. Vaudenay. -- A Cheap Paradigm for Block Cipher Security Strengthening. -- Rapport technique, Ecole Normale Supérieure, 1997. Rapport LIENS-97-3.

[92]
S. Vaudenay. -- Provable Security for Block Ciphers by Decorrelation. -- Rapport technique, Ecole Normale Supérieure, 1998. Rapport LIENS-98-8.

Oeuvres de vulgarisation scientifique
[93]
D. Pointcheval. -- La règlementation en france. Pour la Science, n°260, juin 1999, p. 51.

[94]
D. Pointcheval. -- La cryptographie à l'aube du troisième millénaire. Revue des Electriciens et Electroniciens, mai 2001.

[95]
G. Poupard et J. Stern. -- Cryptologie. Technique et Science Informatiques, vol. 19, n° 1--2--3, 2000, pp. 409--414.

[96]
S. Vaudenay. -- Un réseau quantique. Pour la Science, vol. avr., n° 234, avr. 1997, p. 30.

Articles soumis ou en préparation
[97]
O. Baudron, P.-A. Fouque, D. Pointcheval, G. Poupard et J. Stern. -- Practical Multi-Candidate Election System, 2001. Submitted to PODC 2001.

[98]
M. Bellare, A. Boldyreva, A. Desai et D. Pointcheval. -- Key-Privacy in Public-Key Encryption, 2001. Submitted to Crypto '2001.

[99]
E. Bresson, O. Chevassut, D. Pointcheval et J.-J. Quisquater. -- Provably Authenticated Group Diffie-Hellman Key Exchange. -- fév. 2001. Submitted to Crypto '2001.

[100]
E. Bresson et J. Stern. -- Proofs of Knowledge for General Exponential Formulas and Applications. -- fév. 2001. Submitted to Crypto '2001.

[101]
J.-S. Coron, H. Handschuh, M. Joye, P. Paillier, D. Pointcheval et C. Tymen. -- Generic Chosen-Ciphertext Secure Encryption, 2001. Submitted to Crypto '2001.

[102]
J.-S. Coron, H. Handschuh, M. Joye, P. Paillier, D. Pointcheval et C. Tymen. -- IND-CCA2 Encryption of Arbitrary-Length Messages, 2001. Submitted to Crypto '2001.

[103]
P. Fouque et J. Stern. -- Fully Distributed Threshold rsa under Standard Assumptions. -- jan. 2001. Submitted to Crypto '2001.

[104]
E. Fujisaki, T. Okamoto, D. Pointcheval et J. Stern. -- RSA-OAEP is Secure under the RSA Assumption, 2001. Submitted to Crypto '2001.

[105]
D. Naccache, D. Pointcheval et J. Stern. -- Twin Signatures, 2001. Submitted to Crypto '2001.

[106]
P. Q. Nguyen et I. E. Shparlinski. -- The Insecurity of the Digital Signature Algorithm with Partially Known Nonces. Journal of Cryptology, 2000. -- Soumission en cours.

[107]
P. Q. Nguyen et I. E. Shparlinski. -- The insecurity of the elliptic curve digital signature algorithm with partially known nonces, 2001. Submitted to Designs, Codes and Cryptography.

[108]
P. Q. Nguyen et J. Stern. -- The Orthogonal Lattice: A New Tool for the Cryptanalyst. Journal of Cryptology, 2000. -- Soumission en cours.

[109]
J. Pieprzyk et D. Pointcheval. -- Parallel Cryptography - a New Concept, 2001. Submitted to Crypto '2001.

[110]
D. Pointcheval et G. Poupard. -- A New NP-Complete Problem and Public-Key Identification. Submitted to Designs, Codes and Cryptography.

[111]
T. Pornin. -- Transparent harddisk encryption, 2001. Submission to CHES 2001.

Miscellanea
[112]
O. Baudron, F. Boudot, P. Bourel, E. Bresson, J. Corbel, L. Frisch, H. Gilbert, M. Girault, L. Goubin, J.-F. Misarsky, P. Q. Nguyen, J. Patarin, D. Pointcheval, G. Poupard, J. Stern et J. Traoré. -- GPS, sept. 2000. Submission to NESSIE.

[113]
E. Fujisaki, T. Kobayashi, H. Morita, H. Oguro, T. Okamoto, S. Okazaki et D. Pointcheval. -- PSEC: Provably Secure Elliptic Curve Encryption Scheme, sept. 2000. Submission to NESSIE and ISO.

[114]
E. Fujisaki, T. Kobayashi, H. Morita, H. Oguro, T. Okamoto, S. Okazaki, D. Pointcheval et S. Uchiyama. -- EPOC: Efficient Probabilistic Public-Key Encryption, sept. 2000. Submission to NESSIE and ISO.

[115]
T. Okamoto et D. Pointcheval. -- EPOC--3: Efficient Probabilistic Public-Key Encryption, mai 2000. Submission to IEEE P1363a.

[116]
T. Okamoto et D. Pointcheval. -- PSEC--3: Provably Secure Elliptic Curve Encryption Scheme, mai 2000. Submission to IEEE P1363a.

[117]
D. Pointcheval. -- HD--RSA: Hybrid Dependent RSA -- a New Public-Key Encryption Scheme, oct. 1999. Submission to IEEE P1363a.

[118]
T. Pornin. -- Automatic software optimization of block ciphers using bitslicing techniques, 1999. Submission to FSE'99.
This document was translated from LATEX by HEVEA.