Cryptographie Conventionnelle

De façon surprenante, le développement de la cryptographie à clé publique a amené, par ricochet, des progrès sur les méthodes conventionnelles. Il faut noter en effet que la cryptographie à clé publique n'élimine pas le recours aux procédés conventionnels, pour au moins deux raisons :

• les méthodes de cryptographie à clé publique restant relativement lentes, elles ne sont essentiellement utilisées (à part pour signer), que pour des échange de clés secrètes conventionnelles.
• Certains problèmes que rencontre la cryptographie ne sont pratiquement résolus que par des voies traditionnelles : c'est le cas pour la définition de fonctions de condensation (ou de hachage) associant à un (long) message un condensé de quelques centaines de bit.

S'agissant précisément des fonctions de chiffrement symétriques (comme le DES, Data Encryption Standard) ou des fonctions de hachage, deux méthodes très générales d'évaluation et d'attaque sont apparues récemment :

• la cryptanalyse différentielle., due à Biham et Shamir, et basée sur l'étude statistique de la répartition des différences (xors) entre clairs et chiffrés
• La cryptanalyse linéaire introduite par Matsui au congrès Eurocrypt'93 et basée sur la recherche de relations linéaires entre bits de clair, de chiffré et de clé, ayant un biais significatif

Fonctions de Hachage

On vient de mentionner le concept de fonction de hachage. On requiert en général que l' opération se fasse de façon qu'il soit virtuellement impossible de calculer deux messages ayant même condensé (on parle de collision). Le GRECC a ainsi étudié la fonction de hachage FFT-Hash 2 proposée par Claus Schnorr au colloque Eurocrypt'92 pour laquelle il a trouvé des collisions ([Vau93a]). Le groupe a également fait une étude assez générale des fonctions de hachage et les a utilisées dans la mise au point d'un système cryptographique permettant l'authentification sans recours au zero-knowledge ([Vau93b]).

Plus récemment, le GRECC a également mis en évidence certaines faiblesses de la fonction de hachage MD4 proposée par R. Rivest en obtenant des collisions pour une version simplifiée ([Vau95]).

Chiffrement symétrique

On a parlé plus haut des deux méthodes générales de cryptanalyse (différentielle et linéaire). En utilisant une approche basée sur l'utilisation systématique de la transformée de Fourier des fonctions booléennes, le groupe a pu mettre en évidence des propriétés de dualité de ces deux cryptanalyses, et donc leur complémentarité [CV94].

Le GRECC a aussi porté son attention sur la fonction de chiffrement SAFER proposée par J. Massey et dédié aux microprocesseurs 32 bits. Il a en particulier proposé une attaque sur une variante de SAFER ([Vau95])

Approche théorique de la cryptographie conventionnelle

S'inspirant des cryptanalyses dont on vient de parler dans les deux paragraphes précédents, le GRECC a entrepris d'élaborer une théorie générale des fonctions cryptographiques conventionnelles (hachage et chiffrement). Cette théorie s'est pour l'instant développée suivant deux axes

• La notion de multipermutation Les fonctions cryptographiques primitives utilisent des boîtes pour diffuser l'information. La sécurité est liée à la complexité de l'interconnexion de ces boîtes. Afin de rendre la fonction sûre, les boîtes doivent réaliser une diffusion parfaite : toute perturbation de peu d'entrées doit entraîner la perturbation de beaucoup de sorties [Vau95]. Cela a été formalisé par la notion originale de multipermutation. Cet objet combinatoire, apparu pour la première fois dans [SV94a], est relié aux carrés latins, aux codes MDS, aux matrices orthogonales et aux plans projectifs finis.

• Le concept d'attaque générique Les outils universels, pour l'attaque des primitives cryptographiques, sont la recherche exhaustive et l'utilisation du paradoxe des anniversaires. Leur généralisation systématique formalise des classes d'attaques génériques, en utilisant des notions inspirées de la théorie des bases de données relationnelles et de la sémantique. L'étude de la sécurité des primitives face à ces classes d'attaques peut être envisagée en utilisant certains domaines de la théorie des graphes : les graphes d'expansion, les graphes de Cayley et les flots.

Protocoles cryptographiques

Les protocoles cryptographiques sont des algorithmes à plusieurs participants où certaines information secrètes sont traitées. On considère, par exemple, le problème général du calcul partagé d'une fonction : deux participants A et B veulent calculer une fonction sur données a et b, a étant connue de A et b connue de B, sans se révéler mutuellement a et b, mais seulement le résultat . On considère également le scénario où une information secrète doit être partagée entre n participants de façon que k d'entre eux doivent contribuer leur part pour que le secret soit découvert : c'est le problème du <<partage du secret>>. Sans en faire l'axe principal de ses recherches, le GRECC ne néglige pas l'étude des protocoles.

C'est ainsi que, récemment, le groupe a envisagé les possibilités cryptographiques d'un individu isolé équipé d'un paquet de cartes à jouer [CK93]. La problématique était d'établir ce qui peut être calculé secrètement par rapport à soi-même. Ce point de vue pourrait ouvrir de nouvelles perspectives.

En matière de partage du secret, un problème important est d'optimiser la taille des parts : en effet, un fait bien connu dans la théorie des partages de secrets parfaits (au sens de la théorie de l'information) est que la taille des parts détenues par chaque personne doit être supérieure ou égale à celle du secret. Si l'on requiert une sécurité basée seulement sur la complexité algorithmique, on peut s'affranchir de cette contrainte comme l'a montré H. Krawczyk à Crypto'93 pour les structures d'accès seuil. En collaboration avec Antonnella Cresti (Université de Rome, Italie), nous avons pu généraliser ce résultat à toutes les structures d'accès ([BC95])