Soutenance de doctorat de Pierre-Augustin Berthet : Résistance aux attaques par canaux auxiliaires des choix européens pour la cryptographie post-quantique
Télécom Paris, 19 place Marguerite Perey F-91120 Palaiseau [y aller], amphi 3 et en visioconférence
Titre intégral : Résistance aux attaques par canaux auxiliaires des choix européens pour la cryptographie post-quantique fondée sur les réseaux euclidiens : FALCON et FrodoKEM
Jury
- Louis Goubin, Professeur, Université Versailles Saint-Quentin en Yvelines, France (Rapporteur)
- Sihem Mesnager, Professeure, Université Paris VIII, France (Rapporteuse)
- Sylvain Guilley, Professeur, Télécom Paris / Secure-IC, France (Examinateur)
- Michael Quisquater, Maître de Conférence, Université Versailles Saint-Quentin en Yvelines, France (Examinateur)
- Jean-Luc Danger, Professeur, Télécom Paris, France (Invité)
- Mireille Fouquet, Maîtresse de Conférence, Université Paris Cité, France (Invitée)
- Olivier Rioul, Professeur, Télécom Paris, France (Directeur de thèse)
- Cédric Tavernier, Docteur, Hensoldt France SAS, France (Co-encadrant de thèse)
Résumé
La probabilité qu’un ordinateur quantique soit capable de casser dans la prochaine décennie les primitives de cryptographie asymétriques actuelles est élevée. Pour répondre à cette menace, de nouvelles primitives cryptographiques, dites post-quantiques, sont étudiées. Dans cette thèse, nous enquêtons sur des primitives post-quantiques fondées sur les réseaux euclidiens recommandées par les agences européennes, en particulier la signature FALCON et le mécanisme d’encapsulation de clefs FrodoKEM.
Nous étudions leur résistance à la cryptanalyse par canaux auxiliaires. Une première contribution de cette thèse est l’étude de contremesures aux attaques par canaux auxiliaires pour la signature FALCON. Cette signature utilise de l’arithmétique en point flottant, et une contremesure de masquage pour la fonction partie entière est proposée. De même, un masquage fondé sur la méthode de Newton-Raphson est utilisé pour protéger les calculs d’inversion. Ces deux opérations sont utilisées dans l’échantillonneur gaussien de FALCON. Des preuves de sécurité formelles dans le modèle MIMO-SNI sont fournies pour démontrer la résistance de ces masquages. Dans un autre chapître, la malléabilité des chiffrés présente dans plusieurs mécanismes d’encapsulation de clefs fondés sur les réseaux euclidiens est exploitée pour retrouver le message secret en ciblant la fonction de décodage dans la décapsulation de FrodoKEM. En combinant attaque à chiffrés choisis et canaux auxiliaires, de nouvelles stratégies sont proposées pour améliorer l’efficacité de l’attaque : des choix plus optimaux de modifications de chiffrés, une attaque adaptative, et ne récupérer qu’une partie du message et faire une recherche exhaustive sur les bits manquants. Une contribution finale de ce manuscrit est de réutiliser cette malléabilité des chiffrés mais en tant que contremesure pour protéger le message secret. En effectuant l’attaque de manière aléatoire et contrôlée en tant que défenseur, il est possible de perturber l’attaquant. La contremesure requiert plusieurs ajustements, et il est recommandé de la déployer en parallèle d’une contremesure de randomisation de l’ordre d’exécution afin de protéger la clef secrète également.