Cours de Cryptanalyse
Cours de Cryptanalyse
Cours de Cryptanalyse
Guilhem Castagnos
I Introduction 1
1 Sources . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Cryptographie Symétrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2.1 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2.2 Cryptanalyse et Sécurité . . . . . . . . . . . . . . . . . . . . . . . . . 2
2.3 Deux grandes familles : chiffrement par flot et par bloc . . . . . . . . . . 3
3 Cryptographie asymétrique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
VI Fonction de hachage 31
1 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
2 Applications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3 Exemples . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4 Construction de Merkle-Damgård . . . . . . . . . . . . . . . . . . . . . . . . . 33
5 Quelques cryptanalyses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
– iii –
Table des matières
– iv –
Chapitre I
Introduction
1. Sources
• A. J. Menezes, P. C. van Oorschot and S. A. Vanstone, The Handbook of Applied Cryptography, Fifth
Printing, CRC Press, 2001, en ligne sur http://www.cacr.math.uwaterloo.ca/hac/
• C. Bachoc, Cours de cryptographie symétrique et Réseaux et cryptographie, voir en ligne sur http://www.
math.u-bordeaux1.fr/~bachoc/enseignement.html
• Le Référentiel général de sécurité (RGS) de l’Agence nationale de la sécurité des systèmes d’information,
(ANSSI), en ligne sur http://www.ssi.gouv.fr/administration/reglementation/confiance- numerique/le- referentiel- general- de- securite- rgs/
2. Cryptographie Symétrique
2.1. Définition
La communication se fait de manière symétrique entre Alice et Bob.
• Encrypt, on notera Encrypt𝑠𝑘 (𝑚) = 𝑐 algorithme déterministe avec en entrée le message en clair et la
clef secrète et en sortie le message chiffré ;
• Decrypt, on notera Decrypt𝑠𝑘 (𝑐) = 𝑚 algorithme déterministe avec en entrée le message chiffré et la
clef secrète et en sortie le message en clair.
–1–
Chapitre I : Introduction
Oscar
Alice Bob
𝑠𝑘 𝑠𝑘
Moyens de l’attaquant
On a, par ordre décroissant de difficulté pour l’attaquant :
• l’attaque à chiffré seul : l’attaquant ne connaît que le chiffré (Oscar dans dessin classique) moyen le plus
faible ;
• l’attaque à clair(s) choisi(s) : semblable à la précédente, mais pour laquelle l’attaquant peut choisir les
clairs de façon que son attaque réussisse avec une meilleure probabilité. Elle est dite adaptative si
les choix sont faits en fonction des résultats des attaques sur les couples précédents ; algorithme en
boite noire : exécuté sur carte à puce par exemple. Moyen le plus fort ;
• l’attaque à chiffré(s) choisi(s) : qui peut être elle aussi adaptative, où l’attaquant obtient les déchiffre-
ments correspondants, (idem attaque précédente).
But du cryptanalyste
Principe de Kerkhoffs (1883) : les algorithmes de chiffrement Encrypt et de déchiffrement Decrypt sont
connus. Seule la clef 𝑠𝑘 est secrète (et nécessite un échange préalable).
• Déchiffrer un chiffré, c’est à dire casser la notion de sens unique (OW) : à partir de 𝑐 retrouver 𝑚 tel
que Decrypt𝑠𝑘 (𝑐) = 𝑚 ;
• Retrouver une information (par exemple un bit, le poids de Hamming,…) sur le clair 𝑚 à partir de
son chiffré 𝑐 : casser la sécurité sémantique (but le plus faible).
–2–
2. Cryptographie Symétrique
Recherche exhaustive
En pratique tous les systèmes sont cassables si l’espace des clefs utilisés est fini. En effet, on peut
retrouver la clef par l’attaque exhaustive. Elle consiste à essayer toutes les clés l’une après l’autre jusqu’à
trouver la bonne. Cette méthode a l’avantage d’être générique et parallélisable (on peut distribuer le calcul
sur de nombreuses machines). L’attaquant essaye toutes des clés 𝑠𝑘 jusqu’à ce que Decrypt𝑠𝑘 (𝑐) ressemble à
un texte clair (attaque à chiffré seul visant à retrouver la clef). Ou alors attaque à clair connu : l’attaquant
possède (𝑚, 𝑐) il teste toutes les 𝑠𝑘 possibles c’est à dire si Decrypt𝑠𝑘 (𝑐) = 𝑚. Le temps moyen de cette
attaque est égal au temps d’un déchiffrement multiplié par la moitié de la taille de l’espace des clés (on
suppose que les clefs sont tirées avec probabilité uniforme). En effet, il faudra, en moyenne, essayer la
moitié des clés avant de trouver la bonne. Notons que si les clefs font 𝑘 bits et les chiffrés 𝑛, on obtiendra
en moyenne 2𝑘−𝑛 candidats de clefs.
Remarque. En exercice : temps de recherche exhaustive pour 56 bits et 128 bits. On suppose que l’on
peut faire 106 test par seconde et qu’il y a 105 secondes dans un jour. Combien de temps dure la recherche
exhaustive d’une clef de 56 bits ? et de 128 bits ?
Un exemple réel : un groupe de pression américain, l’EFF, a investi $250000 dans une machine spé-
cialisée, nommée Deep crack, en 1998, qui essaye toutes les clés de l’algorithme DES (56 bits) en environ 3
jours. Ceci utilise des processeurs spécialisés, construits pour l’occasion et absolument inutile pour quoi
que ce soit d’autre que casser du DES. À la fin des années 2000, plusieurs machines à base de FPGA ont été
développées (COPACOBANA…). Elles cassent le DES en moins d’une journée pour un coût bien moindre
(moins de $10000).
De nos jours, l’ordre de grandeur des grands calculs distribués est supérieur, par exemple, le record
de factorisation (RSA−768) en 2009 est estimé à un calcul de 266 opérations élémentaires. Le calcul de
collisions pour SHA1 en 2017 a nécessité l’équivalent de 263.1 hachages (ce qui est estimé être légèrement
plus coûteux). Dans https://eprint.iacr.org/2013/635.pdf (Lenstra, Kleinjung, Thomé), l’énergie
utilisée pour faire ce calcul est estimée équivalent à celle nécessaire pour faire bouillir l’eau de deux piscines
olympiques, initialement à 20 degrés. Faire bouillir toute l’eau de la planète est estimé équivalent à faire
2114 opérations…
𝑠𝑘
Encrypt
𝑚 (1 bit) 𝑐 (1 bit)
état interne
Ce chiffrement est plus rapide que le chiffrement par bloc, surtout en implantation matérielle car la
complexité matérielle est plus faible. Il est basé sur des primitives simples (LFSR cf. suite du cours).
–3–
Chapitre I : Introduction
Les chiffrements par flots peuvent être traités avec une mémoire limitée, ils traitent le message clair
bit par bit et il n’est donc pas nécessaire de stocker tout le texte clair comme c’est le cas pour les systèmes
de chiffrement par blocs. Ils sont donc utilisés dans les communications pour garantir la confidentialité :
GSM (A5/1), Bluetooth (EO), WiFi (WEP, RC4).
Beaucoup d’attaques sur ces systèmes par exemple :
• RC4 (1987) clef de 40 à 256 bits, utilisé dans le WEP et WPA, et dans TLS (interdit en 2015), très
nombreuses attaques lorsqu’il est utilisé dans ces protocoles
• A5/1 (1987), 54 bits, utilisé dans le GSM, attaque à texte clair connue nécessite une minute de calcul
et quelques secondes de conversation en clair
D’autres résistent : par exemple : snow-2.0 (02) , 128 ou 256 bits standardisé, snow 3G, variante utilisée
pour la 3G/4G ou ChaCha20 (2008) utilisé dans TLS à partir de la version 1.2.
Concours eSTREAM initié en 2004 : 35 candidats. En 2008 : 7 candidats sélectionnés. Un concours
public permet d’apporter la sécurité par expertise de la communauté cryptographique. cf. http://www.
ecrypt.eu.org/stream/ (Chacha20 est une variante de Salsa20 adopté par eSTREAM).
𝑠𝑘
Un même message est toujours chiffré de la même manière pour une clef donnée.
Dans un système par blocs, chaque clair est découpé en blocs de même longueur et chiffré bloc par
bloc. La longueur 𝑛 des blocs doit également être suffisante pour éviter les attaques dites par dictionnaire :
on établit la correspondance entre les 2𝑛 blocs chiffrés possibles et les blocs clairs lors d’une attaque à clairs
connus.
Les schémas par blocs sont plus lents et ont une implantation matérielle ou logicielle plus coûteuse que
les schémas par flots. Il sont bien adaptés au stockage informatique.
La construction d’un système de chiffrement par bloc utilise un schéma itératif, une même fonction
est itérée successivement sur le bloc à chiffrer (plusieurs tours ou rondes) avec des clef de tours dérivées
de la clef secrète.
Exemples : DES 1974, 56 bits de clef, blocs de 64 bits, puis AES, 2000, 128, 192 ou 256 bits de clef, blocs
de 128 bits. La sécurité de ces schémas par blocs retenus comme standards repose sur le fait qu’avant d’être
retenus (et après !), ils ont été massivement attaqués par la communauté cryptographique. Ces schémas
qui ont résisté sont alors considérés comme sûrs.
Plusieurs mode d’opérations : Electronic CodeBook (ECB) décrit au dessus, un permet d’être utilisé
comme chiffrement par flot : Output FeedBack (OFB). Vu la faiblesse relative de nombreux chiffrements
à flot on utilise souvent l’AES en mode OFB (un des but du concours eSTREAM était de proposer des
chiffrements à flots sûrs et plus rapides et moins coûteux que l’AES).
–4–
3. Cryptographie asymétrique
IV
Z1 Z2 Z3
M1 C1 M2 C2 M3 C3
3. Cryptographie asymétrique
On a une définition formelle similaire à celle de la cryptographie symétrique. De même pour la défini-
tion de l’attaquant.
Bob
Alice 𝑝𝑘, 𝑠𝑘
• Sécurité basée sur un problème algorithmique difficile, dont la difficulté est paramétrée par la taille
des clefs utilisées (ne repose plus sur la recherche exhaustive : aucun sens de comparer pour la sécurité
la taille des clef symétrique et asymétrique) ;
Pour la définition précise de la sécurité et la réduction à des problèmes algorithmiques voir le cours
de cryptographie avancée. Pour l’étude et l’attaque de ces problèmes algorithmiques (logarithme discret,
factorisation), voir le cours d’algorithmique arithmétique.
Dans ce cours, on verra des cryptanalyses en clef publique à base de réduction des réseaux euclidiens :
par exemple des attaques sur RSA dans certains cas particuliers.
–5–
Chapitre I : Introduction
–6–
Chapitre II
∀ 1 ⩽ 𝑖 ⩽ 𝑛, 𝑐 𝑖 = 𝑚 𝑖 ⊕ 𝑧𝑖 .
Si la clef 𝑠𝑘 est choisie avec probabilité uniforme parmi les chaînes de 𝑛 bits et utilisée une seule fois, le
chiffrement de Vernam assure une sécurité inconditionnelle (au sens de la théorie de l’information). C’est
à dire que la connaissance du chiffré n’apporte aucune information sur le message : la probabilité que le
message clair soit un certain message 𝑚 (1/2𝑛 en supposant que le message est uniformément distribué) est
la même connaissant 𝑐 ou non. (théorème de Shannon, 1949).
Le principal inconvénient de ce système est que la clef doit être de la même longueur que le message.
Comme la clef ne doit être utilisée qu’une seule fois, il faut donc établir un canal sûr permettant de trans-
mettre cette clef pour chaque message que l’on souhaite transmettre. Exceptés des cas très particuliers («
téléphone rouge » ), ce système est trop contraignant pour être utilisé en pratique.
Les systèmes de chiffrement à flot s’inspirent du système de Vernam en conservant l’opération de XOR
pour le chiffrement et le déchiffrement et en résolvant le problème de transmission de clef très longue. En
effet, le principe d’un système de chiffrement à flot consiste à générer une suite chiffrante, 𝑧1 , 𝑧2 , … , 𝑧𝑛 ,
correspondant à la clef de Vernam, à partir d’une clef secrète courte (par exemple 80 ou 128 bits).
En revanche, contrairement au système de Vernam, les systèmes de chiffrement à flot ne peuvent pas
garantir une sécurité inconditionnelle puisque les suites chiffrantes générées ne sont plus aléatoires mais
pseudo-aléatoires (seule la clef secrète est choisie aléatoirement au départ. La suite chiffrante produite
ensuite est déterministe, elle doit pouvoir être reproduite par Bob pour déchiffrer).
La quasi totalité des chiffrements par flot sont dits additifs car reprenant cette construction d’addition
bit à bit d’une suite chiffrante au message clair. Celle-ci peut-être produite de deux manières, correspondant
aux systèmes dits synchrones et auto synchronisant.
–7–
Chapitre II : Chiffrement par flot, introduction
IV
Z1 Z2 Z3
M1 C1 M2 C2 M3 C3
• auto-synchronisant ! Si des caractères sont perdus ou ajoutés dans le texte chiffré, le procédé de
déchiffrement se re-synchronise dès que l’on a ℓ bits de chiffrés consécutifs valides.
• Diffusion : un bit du clair influe sur toute la suite du texte chiffré. (rend plus difficiles les attaques
basées sur une analyse statistique utilisant les redondances du texte clair).
En pratique, peu de systèmes auto-synchronisant sûrs ont été proposés. La majorité des systèmes de
chiffrements par flot sont synchrones additifs (dans la suite on se concentrera là dessus). Pour de tels
systèmes, la suite chiffrante est générée indépendamment du texte clair et du texte chiffré, elle ne dépend
que de la clef secrète. Ces systèmes peuvent être vus comme des automates, dont l’état interne est initialisé
par une clef secrète à l’instant 𝑡 = 0, S 0 = ℎ(𝑠𝑘). Au temps 𝑖, l’état interne S 𝑖 est fonction de l’état au temps
précédent, 𝑓(S 𝑖 ) = 𝑓(S 𝑖−1 ) et un bit de suite chiffrante fonction de l’état est produit, 𝑧𝑖 = 𝑔(S 𝑖 ), est produit,
générant terme à terme une suite pseudo aléatoire.
S𝑖 = S𝑖 =
𝑠𝑘 𝑓(S 𝑖−1 ) 𝑠𝑘 𝑓(S 𝑖−1 )
𝑧𝑖 = 𝑔(S 𝑖 ) 𝑧𝑖 = 𝑔(S 𝑖 )
𝑚𝑖 𝑐𝑖 𝑐𝑖 𝑚𝑖
Alice Bob
Alice et Bob doivent être synchronisés. Ainsi, si des bits de chiffrés sont perdus ou ajoutés lors de la
transmission, le déchiffrement échoue. Pour pallier cela, on peut réinitialiser, ou placer des marqueurs à in-
tervalles réguliers dans le texte chiffré. Par contre, si un bit est modifié lors de la transmission, il ne pertube
pas le déchiffrement des bits suivants. Il est donc important d’utiliser de plus un mécanisme garantissant
l’intégrité des données.
3. Un exemple : RC4
L’algorithme RC4 a été conçu par Rivest en 1987 et utilisé dans de nombreux protocoles pour sa rapidité
et sa simplicité, par exemple dans le WEP ou SSL. Ce système de chiffrement par flot synchrone additif n’a
–8–
4. Vecteur d’initialisation
jamais été décrit officiellement mais une description de son fonctionnement a été donné sur une mailing
list en 1994.
L’état interne de RC4 représente une permutation S des entiers de 0 à 255. On note les 256 images
de cette permutation sous forme d’un tableau de 256 d’octets : S[0], S[1], … S[255]. La clef secrète 𝑠𝑘 est
constituée de 𝑘 octets avec 5 ⩽ 𝑘 ⩽ 32 (40 à 256 bits). On note, pour 0 ⩽ 𝑖 < 𝑘, 𝑠𝑘[𝑖] chaque octet de la clef,
identifié avec un entier entre 0 et 255.
La production de suite chiffrante (une suite d’octets) et la mise à jour de l’état se font ainsi
• Initialiser deux indices 𝑖 et 𝑗 à 0
• Boucle :
– 𝑖 ← (𝑖 + 1) mod 256
– 𝑗 ← (𝑗 + S[𝑖]) mod 256
– Échanger S[𝑖] et S[𝑗]
– Sortir 𝑧 = S[(S[𝑖] + S[𝑗]) mod 256]
Les principales attaques sur RC4 (notamment celle Fluhrer, Mantin and Shamir en 2001) reposent sur
des faiblesses de l’algorithme d’initialisation : les premiers octets de suite chiffrante donnent des infor-
mations sur la clef secrète et ont des biais statistiques important. Ceci a servi de base aux attaques sur le
WEP (où l’étape d’initialisation contient de plus un mécanisme d’IV) ainsi qu’à des attaques en 2013 sur
TLS. RC4 est maintenant considéré comme obsolète.
4. Vecteur d’initialisation
L’utilisation typique d’un chiffrement à flot (et des chiffrements symétriques en général) pour sécuriser
une session de communication entre Alice et Bob commence par un échange de clef asymétrique (Diffie-
Hellman par exemple) pour établir la clef secrète 𝑠𝑘 . Si Alice et Bob réutilisent lors de deux sessions la
même clef secrète 𝑠𝑘 , la même suite chiffrante (𝑧𝑖 )𝑖⩾0 sera produite. Ainsi deux chaînes de bits 𝑚 et 𝑚′ de
même longueur seront chiffrées par 𝑐 = 𝑚 ⊕ 𝑧 et 𝑐′ = 𝑚′ ⊕ 𝑧. On retrouve donc des informations sur le
clair : 𝑐 ⊕ 𝑐′ = 𝑚 ⊕ 𝑚′ . D’autre part une attaque à clair connue à partir de (𝑚, 𝑐) permet de retrouver 𝑧 et
donc 𝑚′ à partir de 𝑐′ en cas de réutilisation de la même clef secrète.
Dans les chiffrements à flot modernes, on utilise une entrée auxiliaire, un vecteur d’initialisation public,
IV, comme dans le mode OFB, afin de pouvoir produire plusieurs suites chiffrantes à partir de la même clef
secrète. Au bout de 𝑛 bits produits avec une même clef secrète, un nouvel IV (public) est choisi par Alice
et Bob et l’état interne du chiffrement à flot est réinitialisé avec la clef secrète et ce nouvel IV. En effet la
suite chiffrante produite est nécessairement périodique, il faut donc limiter le nombre de bits utilisé : l’état
interne de l’automate produisant la suite chiffrante est fini de longueur ℓ : au plus 2ℓ états différents sont
donc possibles. Au bout de 2ℓ itérations, on retombe donc un état déjà rencontré, et la suite chiffrante est
donc périodique de période au plus 2ℓ .
Pour résumer, on a
–9–
Chapitre II : Chiffrement par flot, introduction
• Pour 𝑖 = 1, … , 𝑛
• Retour à l’initialisation.
5. Premières attaques
5.1. Tailles clef, IV, état interne
Pour éviter la recherche exhaustive, la taille de la clef secrète doit être au moins de 80 voire 128 bits.
La taille de l’IV doit permettre d’éviter les collisions. Si on utilise deux fois le même IV la même suite
chiffrante est générée. Par exemple le WEP utilisait RC4 avec un IV de 24 bits, soit 224 IV possibles. Par
le paradoxe des anniversaires, au bout de 212 = 4096 choix d’IV, on a une bonne probabilité que la même
suite chiffrante soit utilisée.
L’état interne est également soumis à des attaques par recherche exhaustive, la suite chiffrante aux
temps 𝑡 ⩾ 𝑡0 ne dépend que de l’état interne au temps 𝑡0 . On suppose que dans le cadre d’une attaque à clair
connu, Oscar récupère ℓ bits de message clair 𝑚𝑡0 , 𝑚𝑡0 +1 , … , 𝑚𝑡0 +ℓ−1 ainsi que les chiffrés correspondants
𝑐𝑡0 , 𝑐𝑡0 +1 , … , 𝑐𝑡0 +ℓ−1 . Il connaît donc ℓ bits de suite chiffrante 𝑧𝑡0 , 𝑧𝑡0 +1 , … , 𝑧𝑡0 +ℓ−1 . Il peut donc faire une
recherche exhaustive sur l’état S 𝑡0 en vérifiant si les bits de suite chiffrante correspondent. Une fois le bon
état interne trouvé, Oscar peut générer tous les bits (𝑧𝑖 )𝑖>𝑡0 +ℓ et donc décrypter les chiffrés (𝑐𝑖 )𝑖>𝑡0 +ℓ .
L’état interne doit donc être de longueur au moins 80 bits. Cependant des compromis temps mé-
moire (attaque assez générale, introduite par Babbage et Golić en 1995 pour les chiffrements à flots)
permettent d’améliorer cette attaque. On note P le nombre d’opérations de précalculs, M le nombre de
bits de mémoire utilisés et T le nombre d’opérations de l’attaque active et ℓ la taille de l’état interne (c’est à
dire que l’on suppose, pour simplifier, que le nombre de bits de suite chiffrante récupérés est le même que
la taille de l’état interne). La recherche exhaustive précédente consiste à P = 0, M = 𝒪 (ℓ) et T = 𝒪 (2ℓ ). Le
compromis temps mémoire consiste à faire des précalculs pour diminuer la complexité de l’attaque active.
On note ϕ ∶ {0, 1}ℓ → {0, 1}ℓ la fonction qui à un état interne au temps 𝑡0 associe les ℓ bits de suite chif-
frante produits à partir du temps 𝑡0 , (𝑧𝑡0 , 𝑧𝑡0 +1 , … , 𝑧𝑡0 +ℓ−1 ). L’attaque par dictionnaire consiste à précal-
culer les 2ℓ images 𝑦𝑖 = ϕ(𝑥𝑖 ) et à stocker les couples (𝑥𝑖 , 𝑦𝑖 ), triés par rapport aux 𝑦𝑖 . La phase active consiste
à chercher dans la table les ℓ bits de suite chiffrante récupérés par l’attaque à clair connu, pour retrouver
l’état S 𝑡0 (noter que ϕ n’est pas nécessairement bijective et que plusieurs états équivalents peuvent donner
la même suite chiffrante). L’attaque par dictionnaire donne donc P = 𝒪 (2ℓ ), M = 𝒪 (ℓ2ℓ ) et T = 𝒪 (ℓ)
(recherche dans liste triée).
Le compromis temps mémoire consiste à équilibrer le coût des précalculs et de la phase active. On
suppose ℓ pair. Les précalculs consistent maintenant à calculer les images de 2ℓ/2 états internes pris au
hasard. On suppose maintenant connus 2ℓ/2 + ℓ − 1 bits consécutifs de suite chiffrante à partir de 𝑡0 ,
(𝑧𝑡0 , 𝑧𝑡0 +1 , … , 𝑧𝑡0 +2ℓ/2 +ℓ−2 ), soit 2ℓ/2 images par ϕ. On recherche chacune de ces 2ℓ/2 images dans la table.
On utilise alors une variante du paradoxe des anniversaires.
Dans notre cas, L 1 représente les images des états internes pris au hasard (on peut les supposer dis-
tinctes) et L 2 les suites de ℓ bits obtenues dans la suite chiffrante (on peut trouver plusieurs fois la même).
On a 𝑚 = 2ℓ et 𝑘1 = 𝑘2 = √𝑚. Donc la probabilité d’avoir une collision est supérieure à 1 − 𝑒−1 ≈ 0, 63. En
doublant la taille des listes : 𝑘1 = 𝑘2 = 2√𝑚, la probabilité devient supérieure à 1 − 𝑒−4 ≈ 0, 98, ainsi cette
– 10 –
5. Premières attaques
probabilité tend extrêmement rapidement vers 1. Une collision donne alors un état S 𝑡 avec 𝑡 ⩾ 𝑡0 ce qui
permet donc de retrouver toute la suite chiffrante à partir du temps 𝑡.
Au final, on a P = 𝒪 (2ℓ/2 ), M = 𝒪 (ℓ2ℓ/2 ), T = 𝒪 (ℓ2ℓ/2 ). Si on considère que l’on veut une sécurité de 𝑘
bits (c’est à dire que les attaques doivent faire plus de 2𝑘 opérations élémentaires) il faut donc prendre un
état interne de ℓ bits avec ℓ ⩾ 2𝑘, donc en pratique ℓ ⩾ 160.
2. Une série (de 0 ou de 1) est une succession de bits identiques, maximale (c’est à dire encadrée par
des bits différents) Dans chaque période, soit S l’ensemble des séries, si 2𝑘 ⩽ |S| < 2𝑘+1 , on trouve
au moins |S|/2 séries de longueur 1, |S|/4 séries de longueur 2, … , |S|/2𝑘 séries de longueur 𝑘, et pour
chaque longueur, autant (à 1 près) de séries de 0 que de séries de 1. (implique le premier item)
3. La fonction d’auto corrélation C(τ) vaut T en 0 et une unique autre valeur pour τ ≠ 0, ce qui signifie
que 𝑧 est indépendante de ses translatées (même nombres d’égalités et de différences entre 𝑧 et ses
translatées) avec
T−1
C(τ) ∶= (−1)𝑧𝑖 +𝑧𝑖+τ .
𝑖=0
Exercice : exemple du Handbook of Applied Cryptography, 5.30 page 181. Soit T = 15 et la suite de période,
0, 1, 1, 0, 0, 1, 0, 0, 0, 1, 1, 1, 1, 0, 1.
– 11 –
Chapitre II : Chiffrement par flot, introduction
– 12 –
Chapitre III
Définition III – 1. Un registre à décalage à rétroaction linéaire (LFSR) binaire de longueur ℓ est un
(𝑡) (𝑡)
automate composé d’un registre S à décalage de ℓ bits. On note S (𝑡) = (S 0 , … , S ℓ−1 ) l’état du registre au
temps 𝑡 ⩾ 0. Soit (𝑧0 , 𝑧1 , … , 𝑧ℓ−1 ) et (𝑐1 , 𝑐2 , … , 𝑐ℓ ) deux chaînes de ℓ bits. L’état initial est S (0) = (𝑧0 , … , 𝑧ℓ−1 ).
(𝑡)
À l’instant 𝑡, on sort le bit d’indice 0, S 0 , et on met à jour pour donner le registre S (𝑡+1) de la façon
suivante : les bits d’indices 1 à ℓ sont décalées :
(𝑡+1) (𝑡)
S𝑖 = S 𝑖+1 , pour 0 ⩽ 𝑖 ⩽ ℓ − 2,
𝑐1 𝑐2 … … … 𝑐ℓ−1 𝑐ℓ
Proposition III – 2. Si 𝑧0 , … , 𝑧ℓ−1 sont les bits de l’état initial d’un LFSR de longueur ℓ, on note pour
tout 𝑡 ⩾ ℓ, 𝑧𝑡 = 𝑐1 𝑧𝑡−1 ⊕ 𝑐2 𝑧𝑡−2 ⊕ ⋯ ⊕ 𝑐ℓ−1 𝑧𝑡−ℓ+1 ⊕ 𝑐ℓ 𝑧𝑡−ℓ . Alors la suite à récurrence linéaire d’ordre ℓ, (𝑧𝑡 )𝑡⩾0
est la suite des bits de sortie du LFSR. De plus, pour tour 𝑡 ⩾ 0, S (𝑡) = (𝑧𝑡 , 𝑧𝑡+1 , … , 𝑧𝑡+ℓ−1 ).
Inversement, toute suite binaire à récurrence linéaire d’ordre ℓ, peut être produite par un LFSR de
longueur ℓ.
– 13 –
Chapitre III : Registres à décalage à rétroaction linéaire
Exemple. On considère le LFSR de longueur ℓ = 3 avec (𝑐1 , 𝑐2 , 𝑐3 ) = (1, 0, 1), initialisé par (𝑧0 , 𝑧1 , 𝑧2 ) =
(1, 0, 0). Exercice : représenter l’état du LFSR pour 𝑡 = 0, … , 7. Donner la suite de sortie, et sa période.
Proposition III – 3. La suite 𝑧 produite par un LFSR de longueur ℓ est ultimement périodique, c’est-à-
dire qu’il existe une pré période 𝑡0 telle que la suite (𝑧𝑡 )𝑡⩾𝑡0 est périodique : 𝑧𝑡+T = 𝑧𝑡 pour tout 𝑡 ⩾ 𝑡0 . La
période est T ⩽ 2ℓ − 1. De plus si 𝑐ℓ = 1, il n’y a pas de pré période, la suite est périodique : 𝑧𝑡+T = 𝑧𝑡 pour
tout 𝑡 ⩾ 0.
Démonstration. Un registre peut prendre au plus 2ℓ états. S’il vaut (0, … , 0) alors les registres successifs sont
tous nuls et la suite de sortie est elle-même nulle à partir de ce rang, elle est donc ultimement périodique
de période 1.
ℓ
Si les registres ne sont jamais nuls alors parmi les 2ℓ registres S (0) , S (1) , … , S (2 −1) , au moins deux registres
sont identiques. Supposons S (𝑡0 ) = S (𝑡0 +T) , alors la suite des registres S (𝑡0 ) , S (𝑡0 +1) , … , S (𝑡0 +T−1) se répète
indéfiniment. On a donc 𝑧𝑡+T = 𝑧𝑡 pour tout 𝑡 ≥ 𝑡0 avec T ≤ 2ℓ − 1.
On note
⎛ ⎞
⎜⎜ ⎟
⎜⎜ 0 1 0 0 ⎟⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
A = ⎜⎜ ⎜ ⎟⎟
⎜⎜ ⎟
⎜⎜ 0 ⎟⎟⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟
⎜⎜ 0 0 1 ⎟⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟
⎜⎝ 𝑐ℓ 𝑐ℓ−1 𝑐2 𝑐1 ⎟⎟⎠
En considérant les registres comme des vecteurs colonnes, cette matrice permet d’exprimer la rétroac-
tion linéaire :
S (𝑡+1) = AS (𝑡) .
Ainsi, on a S (𝑡) = A𝑡 S (0) . En développant par rapport à la première colonne, on remarque que le déterminant
de A est égal à 𝑐ℓ . Si 𝑐ℓ = 1, la matrice A est inversible et le LFSR ne passe jamais par le registre nul si
l’état initial S (0) est non nul. La condition S (𝑡0 ) = S (𝑡0 +T) devient A𝑡0 S (0) = A𝑡0 +T S (0) mais comme A est
inversible, on en déduit S (0) = AT S (0) = S (T) et la suite 𝑠 est périodique.
Si 𝑐ℓ = 0, en notant 𝑖0 le plus grand indice inférieur à ℓ tel que 𝑐𝑖0 ≠ 0, la suite 𝑧 peut se voir comme
une suite avec un préfixe 𝑧0 , 𝑧1 , … , 𝑧ℓ−𝑖0 −1 , suivie d’une suite engendrée par un LFSR de longueur ℓ′ = 𝑖0 ,
qui vérifie 𝑐′ℓ′ ≠ 0 en notant 𝑐′𝑖 = 𝑐𝑖 pour 𝑖 ∈ {1, … , 𝑖0 }.
On supposera désormais que 𝑐ℓ = 1 et que la suite 𝑧 est strictement périodique et non nulle.
Clairement, pour des applications cryptographiques, il est souhaitable que la suite 𝑧 ait une période aussi
longue que possible, c’est-à-dire, d’après ce qui précède, une période T = 2ℓ − 1. Remarquons que, dans ce
cas, comme dans l’exemple avec ℓ = 3, les registres prennent tous les états possibles de Fℓ2 sauf le registre
nul. En particulier, deux telles suites associées aux mêmes coefficients de récurrence mais pas au même
état initial sont en fait décalées l’une de l’autre.
Définition III – 4. Si la suite 𝑧 est produite par un LFSR de longueur ℓ (avec 𝑐ℓ = 1) a pour période 2ℓ −1,
on dit que 𝑧 est une 𝑚-suite ou 𝑚-séquence, ou encore qu’elle est de longueur maximale.
Une telle suite de longueur maximale sera souhaitable pour des applications cryptographique. De plus
elle a de bons critères statistiques.
– 14 –
2. LFSR et polynômes de F2 [X]
Démonstration. On a vu que pendant une période, le registre prend toutes les valeurs possibles de Fℓ2 sauf
le registre nul. Le premier élément de chaque registre prend donc 2ℓ−1 fois la valeur 1 et 2ℓ−1 − 1 la valeur
0. Ce premier élément étant à chaque tour le bit de sortie, on en déduit que dans une période, dans la
m-suite produite, le nombre de 1 et de 0 diffèrent de 1, on satisfait donc le premier critère de Golomb.
Le deuxième critère compte le nombre de séries de 0 et de 1. On montre de manière similaire qu’il est
aussi vérifié. Le troisième critère concerne l’auto corrélation de la suite. Soit 0 < τ < 2ℓ − 1, la suite
(𝑧𝑡 ⊕ 𝑧𝑡+τ )𝑡∈N est non nulle, et elle peut être produite par le même LFSR que la suite 𝑧, d’autre part on
peut montrer que c’est aussi une 𝑚-suite. On peut donc appliquer le premier critère ce qui signifie que
2ℓ −2
C(τ) ∶= ∑𝑡=0 (−1)𝑧𝑡 ⊕𝑧𝑡+τ = −1.
𝑓(X) = 1 ⊕ 𝑐1 X ⊕ 𝑐2 X 2 ⊕ ⋯ ⊕ 𝑐ℓ X ℓ .
Z(X) = 𝑧𝑡 X 𝑡 .
𝑡⩾0
Proposition III – 7. Une suite 𝑧 strictement périodique est produite par un LFSR de longueur ℓ dont le
polynôme de rétroaction est 𝑓(X) = 1 ⊕ 𝑐1 X ⊕ 𝑐2 X 2 ⊕ ⋯ ⊕ 𝑐ℓ X ℓ si et seulement si son développement en
série formelle vérifie
Z(X) = 𝑔(X)/𝑓(X),
où 𝑔 est un polynôme de F2 [X] tel que deg(𝑔) < deg(𝑓). En outre, le polynôme 𝑔 est entièrement déterminé
par l’état initial du registre :
ℓ−1 𝑖
𝑔(X) = X 𝑖 𝑐𝑗 𝑧𝑖−𝑗 .
𝑖=0 𝑗=0
ℓ
𝑔ℓ+𝑖 = 𝑐𝑗 𝑧ℓ+𝑖−𝑗 = 𝑐0 𝑧ℓ+𝑖 ⊕ 𝑐1 𝑧ℓ+𝑖−1 ⊕ ⋯ ⊕ 𝑐ℓ 𝑧𝑖 = 0,
𝑗=0
car on retrouve l’équation de rétroaction. Donc 𝑔 est bien un polynôme de degré inférieur à ℓ. Réciproque-
ment, si Z(X) = 𝑔(X)/𝑓(X), alors la suite 𝑧 satisfait une récurrence linéaire d’ordre ℓ, donnée par la formule
précédente.
On peut voit un LFSR comme un automate calculant la division suivant les puissances croissantes de
deux polynômes à coefficients dans F2 .
– 15 –
Chapitre III : Registres à décalage à rétroaction linéaire
Exemple. On revient sur l’exemple avec ℓ = 3, 𝑐1 = 𝑐3 = 1, et l’initialisation S (0) = (1, 0, 0). Exercice :
retrouver la suite chiffrante par calcul de Z(X).
Afin d’obtenir une forme canonique de la série génératrice de Z, on définit le polynôme de rétroaction
minimal : c’est un diviseur de 𝑓(X), qui de plus est le polynôme de plus bas degré parmi les polynômes de
rétroaction de tous les LFSR possibles qui génèrent la suite 𝑧.
Définition III – 8. Soit un LFSR de longueur ℓ d’initialisation non nulle et 𝑧 sa suite de sortie supposée
strictement périodique. Son polynôme de rétroaction minimal est l’unique polynôme unitaire 𝑓 de
F2 [X] tel qu’il existe 𝑔 ∈ F2 [X], avec deg(𝑔) < deg(𝑓) et pgcd(𝑓, 𝑔) = 1, vérifiant Z(X) = 𝑔(X)/𝑓(X).
La complexité linéaire du LFSR produisant la suite 𝑧, notée Λ(𝑧), est alors égale au degré de 𝑓 : c’est la
longueur du plus petit LFSR permettant d’engendrer 𝑧.
Sur l’exemple, on a pgcd(1 ⊕ X, 1 ⊕ X ⊕ X 3 ) = 1 donc Λ(𝑧) = 3. Plus généralement, si le polynôme de
rétroaction est irréductible de degré ℓ, on a bien Λ(𝑧) = ℓ.
Ces liens entre suites produites par un LFSR et polynôme de F2 [X] vont nous permettre de caractériser
les LFSR produisant des m-suites.
Proposition III – 9. Soit un LFSR de longueur ℓ d’initialisation non nulle et de polynôme de rétroaction
𝑓 primitif de degré ℓ. Alors la suite produite 𝑧 est de période maximale 2ℓ − 1.
Démonstration. Soit A la matrice de rétroaction
⎛ ⎞
⎜⎜ ⎟⎟
⎜⎜ 0 1 0 0 ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
A = ⎜⎜⎜ ⎟⎟
⎟⎟
⎜⎜ 0 ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ 0 0 1 ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎝ 𝑐ℓ 𝑐ℓ−1 𝑐2 𝑐1 ⎠
Soit T ⩽ 2ℓ − 1 la période de 𝑧 (𝑧 n’a pas de pré période comme 𝑐ℓ = 1). On a S (T) = S (0) et on a vu
que S (T) = AT S (0) . Le vecteur non nul S (0) est donc un vecteur propre de AT associé à la valeur propre
1. Le polynôme caractéristique de A est 𝑓(X) ̃ = det(X × I ℓ − A) = X ℓ ⊕ 𝑐1 X ℓ−1 ⊕ ⋯ ⊕ 𝑐ℓ−1 X ⊕ 𝑐ℓ (on le
voit facilement par récurrence, en développant par rapport à la première colonne). Ce polynôme est le
polynôme réciproque de 𝑓 : 𝑓(X) ̃ = X L 𝑓(1/X), et A est en fait la (transposée de la) matrice compagnon de
ℓ−1
𝑓.̃ Comme 𝑓 est primitif, il a ses ℓ racines distinctes dans F2ℓ : α, α2 , … , α2 et elles sont toutes du même
ordre 2ℓ −1. Les racines de 𝑓 ̃ sont les inverses de celles de 𝑓, elles sont donc aussi toutes distinctes et d’ordre
2ℓ − 1. On les note β0 , β1 , … , βℓ−1 . La matrice A est donc diagonalisable dans F2ℓ : il existe une matrice
inversible P telle que P −1 AP = Diag(β0 , … , βℓ−1 ). On a alors (P −1 AP)T = P −1 AT P = Diag(βT0 , … , βTℓ−1 ).
Comme AT a la valeur propre 1 il existe 𝑗 avec 0 ⩽ 𝑗 ⩽ ℓ − 1 tel que βT𝑗 = 1. Donc (2ℓ − 1) ∣ T car tous les β𝑖
sont d’ordre 2ℓ − 1. Finalement, (2ℓ − 1) ⩽ T ⩽ (2ℓ − 1) . On conclut donc que T = 2ℓ − 1.
On peut en fait montrer la réciproque : 𝑧 est une m-suite implique que le polynôme de rétroaction
minimal est primitif. Sur l’exemple vu précédemment, le polynôme X 3 ⊕ X ⊕ 1 est primitif et on a une
m-suite de période 23 − 1 = 7.
Un LFSR de polynôme de rétroaction primitif est donc un bon candidat pour construire un chiffrement
à flot : on a une implantation logicielle et matérielle très rapide, de bonnes propriétés statistiques et une
grande période possible (un LFSR de ℓ bits peut produire une suite de 2ℓ − 1 bits). Cependant, on ne
peut pas les utiliser directement : ℓ bits consécutifs de la suite de sortie fournissent directement l’état
interne. Une solution pourrait être de garder comme clef secrète la fonction de rétroaction, donc la valeur
de (𝑐1 , … , 𝑐ℓ ) : même si on récupère l’état interne, on ne pourrait « dérouler » ou « rembobiner » le LFSR.
Cependant on va voir qu’on peut retrouver très efficacement ces coefficients.
– 16 –
3. L’algorithme de Berlekamp-Massey
3. L’algorithme de Berlekamp-Massey
Proposition III – 10. Soit 𝑧 une suite produite par un LFSR de longueur ℓ et de polynôme de rétroaction
𝑓 irréductible de degré ℓ. Si on connaît 2ℓ bits consécutifs de 𝑧 alors on peut retrouver les coefficients de
rétroaction en inversant un système linéaire ℓ × ℓ.
Démonstration. Comme 𝑧 est une suite produite par un LFSR de longueur ℓ et de polynôme de rétroac-
tion 𝑓 irréductible de degré ℓ, on a Λ(𝑧) = ℓ. On suppose que l’on connaît 2ℓ bits à partir du temps 𝑡 :
𝑧𝑡 , 𝑧𝑡+1 , 𝑧𝑡+2 , … , 𝑧𝑡+2ℓ−1 . On construit le système linéaire suivant :
⎛ ⎞⎛ ⎞ ⎛ ⎞
⎜⎜ 𝑧𝑡 𝑧𝑡+1 𝑧𝑡+2 … 𝑧𝑡+ℓ−1 ⎟⎟ ⎜⎜ 𝑐ℓ ⎟⎟ ⎜⎜ 𝑧𝑡+ℓ ⎟⎟
⎜⎜⎜ 𝑧𝑡+1 𝑧𝑡+2 … … 𝑧𝑡+ℓ ⎟⎟⎟⎟ ⎜⎜⎜⎜𝑐ℓ−1 ⎟⎟⎟⎟ ⎜⎜⎜⎜ 𝑧𝑡+ℓ+1 ⎟⎟⎟⎟
⎜⎜
⎜⎜ ⋮ ⋮ ⋮ ⋮ ⋮ ⎟⎟⎟ ⎜⎜⎜ ⋮ ⎟⎟⎟ = ⎜⎜⎜ ⋮ ⎟⎟⎟ .
⎜⎜ ⎟⎜ ⎟ ⎜ ⎟
⎜⎜𝑧𝑡+ℓ−2 … … … 𝑧𝑡+2ℓ−3 ⎟⎟⎟ ⎜⎜⎜ 𝑐2 ⎟⎟⎟ ⎜⎜⎜𝑧𝑡+2ℓ−2 ⎟⎟⎟
⎝ ⎠⎝ ⎠ ⎝ ⎠
𝑧𝑡+ℓ−1 𝑧𝑡+ℓ … … 𝑧𝑡+2ℓ−2 𝑐1 𝑧𝑡+2ℓ−1
Les lignes de la matrice sont les registres S (𝑡) , S (𝑡+1) , … , S (𝑡+ℓ−1) . Si le système a une solution, les coeffi-
cients de rétroaction seront donc bien solutions. On montre dans la suite que les lignes de la matrice sont
indépendantes, ce qui prouve que le système a une unique solution.
Si elles ne l’étaient pas, il existerait une combinaison linéaire, 𝑎0 S (𝑡) ⊕ 𝑎1 S (𝑡+1) ⊕ ⋯ ⊕ 𝑎ℓ−1 S (𝑡+ℓ−1) = 0.
Soit 𝑘 ∈ N, avec 0 < 𝑘 < ℓ, le plus grand indice avec 𝑎𝑘 ≠ 0. On peut alors exprimer S (𝑡+𝑘) en fonction des
𝑘 registres précédents : ceci s’étend en une récurrence linéaire sur la suite 𝑧 avec 𝑘 < ℓ, ce qui contredit le
fait que Λ(𝑧) = ℓ.
Cette proposition montre que si l’on connaît la complexité linéaire ℓ d’une suite 𝑧 produite par un
LFSR, alors on peut retrouver ce LFSR avec 2ℓ bits consécutifs.
Soit 𝑛 un entier avec 𝑛 ⩾ 2ℓ. On suppose connaître 𝑛 bits consécutifs de 𝑧, que l’on suppose strictement
périodique. Sans perte de généralité, on note ces bits 𝑧0 , 𝑧1 , … , 𝑧𝑛−1 . Dans la suite, on étudie un algorithme
qui va permettre de trouver le plus petit LFSR qui a permis de produire ces bits sans connaître a priori la
valeur de la complexité linéaire ℓ.
Trouver le plus petit LFSR revient à chercher un polynôme de rétroaction 𝑓 de degré ℓ et un polynôme
𝑔 avec deg 𝑔 < deg 𝑓 avec pgcd(𝑔, 𝑓) = 1, tel que 𝑧0 ⊕ 𝑧1 X ⊕ ⋯ ⊕ 𝑧𝑛−1 X 𝑛−1 ≡ Z(X) (mod X 𝑛 ) ≡ 𝑔(X)/𝑓(X).
C’est à dire que l’on veut trouver à partir de Z̃ ∶= Z(X) mod X 𝑛 et X 𝑛 des polynômes 𝑓, 𝑔 et ℎ tel que
̃
𝑓(X)Z(X) ⊕ ℎ(X)X 𝑛 = 𝑔(X),
avec les contraintes précédentes sur les degrés. Ceci peut se faire par l’algorithme d’Euclide étendu appliqué
̃ . On désigne par 𝑢𝑖 (X), 𝑣𝑖 (X) et 𝑟𝑖 (X) les résultats intermédiaires tels qu’à chaque tour, 𝑢𝑖 (X)X 𝑛 ⊕
à X 𝑛 et Z(X)
̃
𝑣𝑖 (X)Z(X) = 𝑟𝑖 (X). La suite des degrés des 𝑟𝑖 (X) est strictement décroissante. On peut montrer que pour
l’indice 𝑗 tel que deg 𝑟𝑗 < ⌊𝑛/2⌋ alors le polynôme recherché, 𝑓(X) est égal à 𝑣𝑗 (X).
L’algorithme proposé par Massey en 1969 (initialement introduit dans le contexte de décodage des
codes BCH par Berlekamp), effectue plus ou moins les mêmes opérations que cette variante de l’algo-
rithme d’Euclide étendu. Contrairement à Euclide étendu, les résultats intermédiaires de l’algorithme de
Berlekamp-Massey vont donner directement des informations sur la suite étudiée. Étant donné une suite
𝑧0 , … , 𝑧𝑛−1 , cet algorithme retourne pour 𝑘 allant de 1 à 𝑛 le LFSR de longueur minimale ℓ𝑘 et le polynôme
de rétroaction associé 𝑓𝑘 avec deg 𝑓𝑘 ⩽ ℓ𝑘 produisant les suites tronquées 𝑧0 , … , 𝑧𝑘−1 . La suite des (ℓ𝑘 , 𝑓𝑘 )
𝑘
est appelée profil de complexité de 𝑧. Pour une suite aléatoire, on a ℓ𝑘 ≈ .
2
Supposons avoir trouvé au rang 𝑘, des polynômes 𝑓𝑘 et 𝑔𝑘 tels que 𝑓𝑘 (X)Z(X) ≡ 𝑔𝑘 (X) (mod X 𝑘 ) et
ℓ𝑘 la longueur du LFSR minimal. Au rang 𝑘 + 1, soit ces polynômes conviennent toujours, c’est à dire
𝑓𝑘 (X)Z(X) ≡ 𝑔𝑘 (X) (mod X 𝑘+1 ) et on peut poser 𝑓𝑘+1 = 𝑓𝑘 et ℓ𝑘+1 = ℓ𝑘 . Soit,
𝑓𝑘 (X)Z(X) ≡ 𝑔𝑘 (X) ⊕ X 𝑘 (mod X 𝑘+1 ).
Dans ce cas, étant donné un autre rang 𝑚 < 𝑘 tel que
𝑓𝑚 (X)Z(X) ≡ 𝑔𝑚 (X) ⊕ X 𝑚 (mod X 𝑚+1 ),
– 17 –
Chapitre III : Registres à décalage à rétroaction linéaire
On montre de plus que si 𝑚 est le plus grand entier tel que 𝑚 < 𝑘 et tel que ℓ𝑚 < ℓ𝑘 , 𝑓𝑘+1 est le polynôme
de rétroaction d’un LFSR de longueur minimale avec ℓ𝑘+1 = max(ℓ𝑘 , 𝑘 + 1 − ℓ𝑘 ).
Au final, on obtient l’algorithme suivant : 𝑓 joue le rôle de 𝑓𝑘 et 𝑓 ̃ celui de 𝑓𝑚 . On initialise ces deux
polynômes aux indices respectifs 0 et −1 par 𝑓 = 𝑓 ̃ = 1. En effet, ce polynôme constant 1 engendre la suite
nulle : Z(X) = 0 = 𝑔(X)/𝑓(X) avec 𝑔(X) = 0 et 𝑓(X) = 1. Avec ces choix, pour le premier bit de suite non
nul, disons 𝑧𝑘 , 𝑓 deviendra bien le polynôme 1 ⊕ X 𝑘+1 comme attendu.
Algorithme de Berlekamp-Massey
Entrée : (𝑧0 , 𝑧1 , … , 𝑧𝑛−1 )
Sortie : la suite des (ℓ𝑘 , 𝑓𝑘 ) pour 𝑘 = 1, … , 𝑛
𝑓 ← 1, ℓ ← 0, 𝑚 ← −1, 𝑓 ̃ ← 1
Pour 𝑘 de 0 à 𝑛 − 1 faire
Noter 𝑐1 , 𝑐2 , … , 𝑐𝑢 tels que 𝑓 = 1 ⊕ 𝑐1 X ⊕ ⋯ ⊕ 𝑐𝑢 X 𝑢 (on peut avoir ℓ > 𝑢)
𝑢
𝑑 ← 𝑧𝑘 ⊕ ∑𝑖=1 𝑐𝑖 𝑧𝑘−𝑖
Si 𝑑 = 1 alors
ℎ ← 𝑓, 𝑓 ← 𝑓 ⊕ 𝑓X ̃ 𝑘−𝑚
𝑘
Si ℓ ⩽ alors
2
ℓ ← 𝑘 + 1 − ℓ, 𝑚 ← 𝑘, 𝑓 ̃ ← ℎ
Théorème III – 11. Soit (𝑧𝑡 )𝑡⩾0 une suite produite par un LFSR de complexité linéaire Λ(𝑧) = ℓ. À partir
de 2ℓ bits consécutifs de 𝑧, l’algorithme de Berlekamp-Massey détermine en temps quadratique l’unique
LFSR de longueur ℓ qui produit 𝑧.
En conclusion, si on utilise un LFSR dont la rétroaction (primitive) est secrète pour faire un chif-
frement à flot additif avec une taille de registre ℓ, seulement 2ℓ bits de suite chiffrante permettent de
récupérer la rétroaction lors d’une attaque à clair connu. C’est pratiquement inutilisable. De manière gé-
nérale, la complexité linaire Λ de la suite chiffrante d’une chiffrement à flot additif doit être élevé pour se
mettre à l’abri de l’algorithme de Berlekamp-Massey. On va voir dans le chapitre suivant comment augmen-
ter cette complexité linéaire tout en ayant des tailles de registres utilisables en combinant ou en filtrant
des LFSR.
– 18 –
Chapitre IV
1. Constructions
On va étudier deux types de constructions à partir de LFSR visant à obtenir une suite chiffrante 𝑧 de
complexité linaire élevée.
Tout d’abord la combinaison de 𝑛 LFSR distincts par une fonction booléenne :
… … …
(𝑡)
𝑧1
(𝑡)
𝑧2
(𝑡) (𝑡) (𝑡)
… … … 𝑓 𝑧(𝑡) = 𝑓𝑧1 , 𝑧2 , … , 𝑧𝑛
(𝑡)
⋮ 𝑧𝑛
⋮
… … …
Puis le filtrage de l’état interne d’un unique LFSR par une fonction booléenne :
… … …
𝑧(𝑡)
Avant cela on fait quelques rappels rapides sur les fonctions booléennes.
– 19 –
Chapitre IV : LFSR combinés et filtrés
2. Fonctions booléennes
Définition IV – 1. On appelle fonction booléenne à 𝑛 variables une application 𝑓 ∶ F𝑛2 → F2 . Une
fonction booléenne vectorielle à 𝑛 variables et 𝑚 composantes et une application de F𝑛2 dans F𝑚 2 . C’est
la juxtaposition de 𝑚 fonctions booléennes : (𝑓1 (𝑥1 , … , 𝑥𝑛 ), … , 𝑓𝑚 (𝑥1 , … , 𝑥𝑛 )). Ces fonctions vectorielles
correspondent aux S-box utilisées en cryptographie symétrique.
Définition IV – 2. On appelle support d’une fonction booléenne 𝑓, notée, Supp(𝑓), l’ensemble des
valeurs 𝑥 ∈ F𝑛2 telle que 𝑓(𝑥) est non nul. Le poids de 𝑓, noté 𝑤(𝑓) est le cardinal de son support. Si 𝑣𝑓 est
𝑛
le vecteur de F22 contenant toutes les images de 𝑓 :
alors 𝑤(𝑓) est le poids de Hamming de 𝑣𝑓 . On définit également la distance entre deux fonctions boo-
léennes 𝑓 et 𝑔, 𝑑(𝑓, 𝑔) = 𝑤(𝑓 + 𝑔) = Card{𝑢 ∈ F𝑛2 , 𝑓(𝑢) ≠ 𝑔(𝑢)}. On dit que 𝑓 est équilibrée si 𝑤(𝑓) = 2𝑛−1 ,
dans ce cas
Card{𝑥 ∈ F𝑛2 , 𝑓(𝑥) = 0} = Card{𝑥 ∈ F𝑛2 , 𝑓(𝑥) = 1}.
Remarque.
• Si 𝑓 est utilisée pour filtrer ou combiner des LFSR, cela assurera que la suite chiffrante générée est
équilibrée.
𝑛
• Il y a 22 fonctions booléennes à 𝑛 variables. Si 𝑛 = 6, cela fait déjà 264 fonctions. Il n’est donc
pas envisageable de trouver par recherche exhaustive une fonction booléenne ayant de « bonnes
propriétés ».
𝑥1 𝑥2 𝑥3 𝑓(𝑥1 , 𝑥2 , 𝑥3 )
0 0 0 0
0 0 1 1
0 1 0 0
0 1 1 0
1 0 0 0
1 0 1 1
1 1 0 1
1 1 1 1
On a 𝑤(𝑓) = 4, Supp(𝑓) = {(0, 0, 1), (1, 0, 1), (1, 1, 0), (1, 1, 1)}, et 𝑓 est équilibrée. À partir de l’expression de
ce support, on peut reconstituer une expression algébrique pour 𝑓, on a
En fait, toute fonction booléenne peut s’écrire comme précédemment sous forme d’un polynôme. De
plus, on remarque qu’évaluer 𝑥2 ou 𝑥𝑘 avec 𝑘 ≥ 1 est équivalent à évaluer 𝑥 dans F2 . Ainsi dans l’exemple
précédent, 𝑓(𝑥1 , 𝑥2 , 𝑥3 ) = 𝑥3 ⊕ 𝑥2 𝑥3 ⊕ 𝑥1 𝑥2 = 𝑥23 ⊕ 𝑥52 𝑥3 ⊕ 𝑥71 𝑥22 .
– 20 –
3. LFSR combinés et attaques par corrélation
Définition IV – 3. Soit une fonction booléenne 𝑓 à 𝑛 variables. Il existe une unique classe de polynômes
F2 [𝑥1 , … , 𝑥𝑛 ]
Π∈ ,
(𝑥21 − 𝑥1 , … , 𝑥2𝑛 − 𝑥𝑛 )
tel que 𝑓(𝑢1 , … , 𝑢𝑛 ) = P(𝑢1 , … , 𝑢𝑛 ), pour tout (𝑢1 , … , 𝑢𝑛 ) ∈ F𝑛2 et tout P ∈ Π. La forme algébrique
normale de 𝑓 est le représentant de P ∈ Π avec deg𝑥 (P) ≤ 1 pour tout 𝑖 ∈ {1, … , 𝑛}. Le degré de 𝑓, noté
𝑖
deg(𝑓), est le degré de ce polynôme, soit le nombre maximal de termes dans les monômes de P.
Dans l’exemple précédent, deg(𝑓) = 2, 𝑓 est dite quadratique. Les fonctions de degrés 1 sont dites
affines, par exemple 1 ⊕ 𝑥1 ⊕ 𝑥3 . S’il n’y a pas de terme constant on a une fonction linéaire, soit une
forme linéaire de F𝑛2 → F2 . Dans ce cas, il existe 𝑎 = (𝑎1 , … , 𝑎𝑛 ) ∈ F𝑛2 tel que 𝑓 s’écrive 𝑓(𝑥) = ⟨𝑎, 𝑥⟩ =
𝑎1 𝑥1 ⊕ ⋯ ⊕ 𝑎𝑛 𝑥𝑛 .
… … …
(𝑡)
𝑧1
(𝑡)
𝑧2
(𝑡) (𝑡) (𝑡)
… … … 𝑓 𝑧(𝑡) = 𝑓𝑧1 , 𝑧2 , … , 𝑧𝑛
(𝑡)
⋮ 𝑧𝑛
⋮
… … …
On va voir que la suite chiffrante (𝑧(𝑡) )𝑡∈N est toujours une suite récurrente linéaire. On veut assurer que
sa complexité linéaire est élevée pour résister à l’algorithme de Berlekamp-Massey. Pour cela, on évalue la
complexité linéaire de sommes et produits de suites à récurrence linéaire.
Proposition IV – 4. Si 𝑧 = (𝑧𝑡 )𝑡∈N et 𝑧′ = (𝑧′𝑡 )𝑡∈N sont deux suites produites par des LFSR de polynômes
de rétroactions minimaux 𝑓 et 𝑓′ tels que pgcd(𝑓, 𝑓′ ) = 1 alors la somme 𝑧 ⊕ 𝑧′ = (𝑧𝑡 ⊕ 𝑧′𝑡 )𝑡∈N est une suite
à récurrence linéaire et
Λ(𝑧 ⊕ 𝑧′ ) = Λ(𝑧) + Λ(𝑧′ ).
Démonstration. Il existe deux polynômes 𝑔 et 𝑔′ avec deg(𝑔) < deg(𝑓), deg(𝑔′ ) < deg(𝑓′ ) et pgcd(𝑔, 𝑓) =
(𝑔′ , 𝑓′ ) = 1. Soit Z et Z ′ les séries associées aux suites 𝑧 et 𝑧′ , on a
On peut montrer que cette dernière fraction est réduite, d’où le résultat.
– 21 –
Chapitre IV : LFSR combinés et filtrés
Théorème IV – 5. On considère la suite (𝑧(𝑡) )𝑡∈N produite par la combinaison par une fonction booléenne
𝑓 à 𝑛 variables de 𝑛 LFSR de polynômes de rétroactions primitifs de longueurs ℓ1 , ℓ2 , … , ℓ𝑛 deux à deux
distinctes et supérieures ou égales à 2, alors
Λ(𝑧) = 𝑓(ℓ1 , ℓ2 , … , ℓ𝑛 ),
Une fonction 𝑓 de degré élevé permettra d’obtenir une suite de complexité linéaire élevée.
Exemple. Le générateur de Geffe (1973) est une construction qui utilise 3 LFSR de polynômes de
rétroaction primitifs et de longueurs ℓ1 , ℓ2 , ℓ3 avec ℓ1 ≠ ℓ2 , ℓ1 ≠ ℓ3 , ℓ2 ≠ ℓ3 . La fonction de combinaison
est la fonction étudiée dans les exemples précédents, soit 𝑓(𝑥1 , 𝑥2 , 𝑥3 ) = 𝑥1 𝑥2 ⊕ 𝑥2 𝑥3 ⊕ 𝑥3 . La complexité
linéaire de la suite chiffrante 𝑧 est donc Λ(𝑧) = ℓ1 ℓ2 + ℓ2 ℓ3 + ℓ3 et cette suite est équilibrée.
La recherche exhaustive de la clef secrète d’une combinaison de LFSR, consiste à tester toutes les
𝑛
initialisations possibles. Dans le cas général d’une combinaison de 𝑛 LFSR, cela a pour complexité ∏𝑖=1 2L𝑖 .
L’attaque par corrélation, proposée par Siegenthaler en 1985, permet de diminuer cette complexité en
trouvant les initialisations des LFSR de manière indépendante, à condition qu’il y ait une corrélation entre
la suite chiffrante 𝑧 et les suites produites par les LFSR, 𝑧𝑖 .
Exemple. On détaille l’attaque par corrélation dans le cas du générateur de Geffe. À l’instant 𝑡, on consi-
(𝑡) (𝑡) (𝑡)
dère Z 1 = 𝑧1 , Z 2 = 𝑧2 et Z 3 = 𝑧3 comme des variables aléatoires binaires indépendantes, prenant les
valeurs 0 et 1 avec équiprobabilité. On note de même Z = 𝑓(Z 1 , Z 2 , Z 3 ). On calcule les probabilités que
Z 𝑖 = Z pour 𝑖 = 1, 2, 3. On a Z = Z 1 Z 2 ⊕ Z 2 Z 3 ⊕ Z 3 = Z 1 Z 2 ⊕ Z 3 (Z 2 ⊕ 1). On trouve par la formule des
probabilités totales :
On retrouve de même le 3e LFSR, puis le deuxième par recherche exhaustive. La complexité totale de
l’attaque est donc de 2ℓ1 + 2ℓ2 + 2ℓ3 opérations au lieu de 2ℓ1 +ℓ2 +ℓ3 par recherche exhaustive.
– 22 –
4. LFSR filtrés et attaques algébriques
1
Dans le cas de 𝑛 LFSR, on calcule 𝑝𝑖 = Pr[Z 𝑖 = Z] pour 𝑖 = 1, … , 𝑛. Dès qu’un 𝑝𝑖 s’écarte assez de , on
2
peut faire une attaque par corrélation, la complexité devient
2ℓ𝑖 + 2ℓ𝑖 .
1 1
𝑖,𝑝𝑖 ≠ 𝑖,𝑝𝑖 =
2 2
Cette attaque peut-être généralisée en regardant la corrélation de la sortie avec une somme de 𝑘 sortie de
LFSR. Pour s’en protéger, il faut prendre des fonctions de combinaisons garantissant qu’il n’y ait pas de
corrélation.
Définition IV – 6. On dit qu’une fonction booléenne 𝑓 à n variables est non corrélée à l’ordre 𝑘 si, pour
des variables aléatoires binaires équilibrées et indépendantes X 1 , … , X 𝑛 , la variable aléatoire 𝑓(X 1 , … , X 𝑛 )
est indépendante des variables ∑𝑖∈I X 𝑖 , où I est un sous-ensemble de {1, … , 𝑛} de cardinal au plus 𝑘. Cela
revient à dire que 𝑑(𝑓, ∑𝑖∈I 𝑥𝑖 ) = 2𝑛−1 . On dit que 𝑓 est 𝑘-résiliente si 𝑓 est non corrélée à l’ordre 𝑘, et
équilibrée.
On peut montrer que si 𝑓 est 𝑘-résiliente alors son degré est tel que deg(𝑓) < 𝑛 − 𝑘 si 𝑘 < 𝑛 − 1. Pour
choisir 𝑓 il faut donc faire un compromis entre augmenter 𝑘 pour éviter les attaques par corrélation et avoir
un degré suffisamment élevé pour augmenter la complexité linéaire et éviter les attaques par l’algorithme
de Berlekamp-Massey.
On peut voir la suite chiffrante comme une version bruitée de la suite produite par un LFSR. En utilisant
un algorithme de décodage adapté, Meier et Staffelbach en 1988 ont amélioré l’attaque par corrélation
donnant lieu à une attaque par corrélation rapide.
𝑐1 𝑐2 … … … 𝑐ℓ−1 𝑐ℓ
𝑧(𝑡)
Cette construction est équivalente à une combinaison de 𝑛 LFSR utilisant tous le même polynôme de
rétroaction et étant initialisés respectivement par S (𝑖1 ) , S (𝑖2 ) , … , S (𝑖𝑛 ) . Comme on utilise plusieurs fois le
même LFSR, on ne peut pas appliquer le résultat sur la complexité linéaire des LFSR combinés. On a le
résultat suivant.
– 23 –
Chapitre IV : LFSR combinés et filtrés
Proposition IV – 7. La complexité linéaire d’une suite chiffrante 𝑧(𝑡) produite par un LFSR de longueur
ℓ filtré par une fonction booléenne de degré 𝑑 satisfait
𝑑
ℓ
Λ(𝑧) ⩽ .
𝑟=1 𝑟
Si ℓ est premier assez grand alors Λ(𝑧) ≈ ℓ pour la plupart des fonctions booléennes de degré 𝑑.
𝑑
Il existe des attaques par corrélation adaptées aux LFSR filtrés. D’autres attaques, dites par inversion,
exploitent les distances |𝑖𝑗 −𝑖𝑗′ | pour 𝑗 ≠ 𝑗′ , c’est à dire les distances entre les entrées de la fonction de filtrage.
En particulier, 𝑖1 − 𝑖𝑛 doit être le plus grand possible et pgcd(𝑖𝑗 − 𝑖𝑗+1 ) doit être le plus petit possible. Une
autre attaque possible que l’on va détailler ensuite est l’attaque algébrique.
Cette attaque n’est pas spécifique aux LFSR filtrés, c’est une attaque générique en cryptographie symé-
trique. Lors d’une attaque à clair connu, on peut toujours écrire un système d’équations reliant les chiffrés
et les clairs, dont les inconnues sont les bits de clef (déjà mis en avant par Shannon en 1949). Si ce système
n’est pas trop complexe, on peut tenter de le résoudre, par exemple par linéarisation (en exprimant un
monôme faisant intervenir plusieurs bits de clefs comme une nouvelle variable pour résoudre un système
linéaire), ou par des outils plus efficaces comme les bases de Gröbner.
Dans le cas d’un LFSR filtré, ce système est simple à décrire. Soit un LFSR de longueur ℓ, de po-
lynôme de rétroaction 1 ⊕ 𝑐1 X ⊕ ⋯ ⊕ 𝑐ℓ X ℓ filtré par une fonction booléenne 𝑓 de degré 𝑑. On note
S (0) = (𝑠𝑘0 , 𝑠𝑘1 , … , 𝑠𝑘ℓ−1 ) l’initialisation, où les 𝑠𝑘𝑖 sont les bits inconnus de clef secrète. Si on note la
matrice ⎛ ⎞
⎜⎜ 0 1 0 0 … 0⎟
⎟
⎜⎜ 0 0 1 0 … 0 ⎟⎟⎟
⎜⎜ ⎟
⎜⎜ ⋮ ⋮ ⋱ ⋱ ⋱ ⋮ ⎟⎟⎟
A ∶= ⎜⎜⎜ ⎟
⎜⎜ 0 0 … 0 1 0 ⎟⎟⎟
⎜⎜ 0 0 … 0 0 1 ⎟⎟⎟⎠
⎜⎝
𝑐ℓ 𝑐ℓ−1 … 𝑐3 𝑐2 𝑐1
on a déjà vu que le registre au temps 𝑡, S (𝑡) = A𝑡 S (0) . Chaque bit de S (𝑡) s’exprime donc comme une équation
linéaire en les bits de clefs, 𝑠𝑘0 , 𝑠𝑘1 , … , 𝑠𝑘ℓ−1 . Le bit de sortie 𝑧(𝑡) est obtenu en appliquant 𝑓 à certains bits
de S (𝑡) . On obtient ainsi une équation exprimant le bit de suite chiffrante 𝑧(𝑡) comme une équation de degré
𝑑 en 𝑠𝑘0 , 𝑠𝑘1 , … , 𝑠𝑘ℓ−1 .
Avec plusieurs bits de suite chiffrante, on obtient un système de degré 𝑑 en les bits de clef. On peut
ensuite linéariser ce système. Chaque monôme de degré strictement supérieur à 1, du type 𝑠𝑘𝑗1 𝑠𝑘𝑗2 … 𝑠𝑘𝑗𝑟
avec 𝑟 ⩽ 𝑑 est exprimé comme une nouvelle variable. On obtient au plus ℓ nouvelles variables pour les
𝑟
𝑑
monômes de degré 𝑟. Après linéarisation on a ainsi un système linéaire avec au plus ∑𝑟=1 ℓ variables : on
𝑟
retrouve la majoration de la complexité linéaire.
Exemple. On considère le LFSR de longueur 5 de polynôme de rétroaction primitif 1⊕X 2 ⊕X 5 , filtré par
la fonction booléenne quadratique 𝑓(𝑥1 , 𝑥2 , 𝑥3 , 𝑥4 ) = 𝑥1 𝑥2 ⊕ 𝑥3 𝑥4 ⊕ 𝑥1 , appliquée en les cases (𝑖1 , 𝑖2 , 𝑖3 , 𝑖4 ) =
(4, 3, 1, 0) :
𝑧(𝑡)
– 24 –
4. LFSR filtrés et attaques algébriques
On note 𝑠𝑘0 , 𝑠𝑘1 , … , 𝑠𝑘4 les 5 bits inconnus de clef secrète. À 𝑡 = 0, on a 𝑧(0) = 𝑠𝑘4 𝑠𝑘3 ⊕ 𝑠𝑘1 𝑠𝑘0 ⊕ 𝑠𝑘4 ,
équation quadratique en les bits de clefs.
𝑠𝑘3 ⊕
𝑠𝑘4 𝑠𝑘3 𝑠𝑘2 𝑠𝑘1 𝑠𝑘0 𝑠𝑘4 𝑠𝑘3 𝑠𝑘2 𝑠𝑘1
𝑠𝑘0
𝑓 𝑓
𝑧(0) 𝑧(1)
À 𝑡 = 1, on obtient 𝑧(1) = 𝑠𝑘3 𝑠𝑘4 ⊕ 𝑠𝑘0 𝑠𝑘4 ⊕ 𝑠𝑘2 𝑠𝑘1 ⊕ 𝑠𝑘3 ⊕ 𝑠𝑘0 , toujours une équation quadratique en les
bits de clefs. On trouve de même que 𝑧(2) = (𝑠𝑘4 ⊕ 𝑠𝑘1 )(𝑠𝑘3 ⊕ 𝑠𝑘0 ) ⊕ 𝑠𝑘3 𝑠𝑘2 ⊕ 𝑠𝑘4 ⊕ 𝑠𝑘1 = 𝑠𝑘4 𝑠𝑘3 ⊕ 𝑠𝑘4 𝑠𝑘0 ⊕
𝑠𝑘1 𝑠𝑘3 ⊕ 𝑠𝑘1 𝑠𝑘0 ⊕ 𝑠𝑘3 𝑠𝑘2 ⊕ 𝑠𝑘4 ⊕ 𝑠𝑘1 .
De manière générale, 𝑛 bits de suite chiffrante donneront 𝑛 équations quadratiques en 𝑠𝑘0 , … , 𝑠𝑘4 . Dans
la phase de linéarisation on introduit 5 = 10 nouvelles variables pour chacun des monômes de degré deux :
2
𝑠𝑘0 𝑠𝑘1 , 𝑠𝑘0 𝑠𝑘2 , … 𝑠𝑘3 𝑠𝑘4 . On obtient ainsi 5 + 5 = 10 + 5 = 15 variables. Ainsi, si on obtient 15 bits de
2 1
suite chiffrante, et si les équations sont linéairement indépendantes, on pourra résoudre le système pour
retrouver la clef secrète.
Le nombre d’inconnues après linéarisation peut vite être important : ainsi si on a un registre de ℓ = 256
7
éléments et si 𝑓 est de degré 𝑑 = 7, on a ∑𝑟=1 256 > 243 . Une manière de diminuer cette complexité
𝑟
est de considérer une autre fonction booléenne 𝑔 de degré inférieur à deg(𝑓) = 𝑑 permettant d’écrire des
équations avec moins d’inconnues. C’est le principe des attaques algébriques rapides de Courtois et
Meyer (2003) : on suppose qu’il existe une fonction booléenne 𝑔 ≠ 0 (resp. ℎ ≠ 0) de degré strictement
(𝑡) (𝑡) (𝑡)
inférieur à 𝑑 avec 𝑓𝑔 = 0 (resp. (1 ⊕ 𝑓)ℎ = 0). La relation 𝑧(𝑡) = 𝑓(S 𝑖1 , S 𝑖2 , … , S 𝑖𝑛 ) donne une équation de
(𝑡) (𝑡) (𝑡)
degré 𝑑. Si 𝑧(𝑡) = 1, alors 𝑔(S 𝑖1 , S 𝑖2 , … , S 𝑖𝑛 ) = 0 et on obtient une équation de degré inférieur. De même si
(𝑡) (𝑡) (𝑡)
𝑧(𝑡) = 0, alors ℎ(S 𝑖1 , S 𝑖2 , … , S 𝑖𝑛 ) donne une équation de degré inférieur. Plus que le degré de 𝑓, c’est donc
celui de telles fonctions 𝑔 et ℎ qui donne la complexité de l’attaque algébrique.
On voit facilement que AI(𝑓) ⩽ deg(𝑓) car 𝑓 ∈ AN(1 ⊕ 𝑓). De plus, si 𝑓 est une fonction booléenne à
𝑛
𝑛 variables, on peut montrer que AI(𝑓) ⩽ ⌈ ⌉. Un critère de choix pour une fonction booléenne utilisée
2
dans un LFSR filtré et d’avoir une immunité algébrique élevée.
– 25 –
Chapitre IV : LFSR combinés et filtrés
– 26 –
Chapitre V
1. E0
Ce chiffrement par flot est utilisé dans le protocole Bluetooth. Il utilise des LFSR combinés avec
mémoire. On rajoute à la fonction de combinaison une mémoire (idée initialement due à Rueppel en 1985,
avec le summation generator, utilisant une addition avec retenue) afin de rendre plus difficile les attaques par
corrélations. Cette fonction avec mémoire est parfois appelée machine à état fini (FSM). De manière
générale, on a le schéma suivant :
LFSR 1 (𝑡)
𝑧1
(𝑡)
LFSR 2 𝑧2
(𝑡) (𝑡)
(𝑡)
𝑧3 𝑧(𝑡) = 𝑓1 𝑧1 , … , 𝑧𝑛 , 𝑚(𝑡)
LFSR 3 (𝑡) (𝑡) 𝑧(𝑡)
(𝑡) 𝑚(𝑡+1) = 𝑓2 𝑧1 , … , 𝑧𝑛 , 𝑚(𝑡)
𝑧4
LFSR 4
Pour E0, on utilise 4 LFSR et une mémoire 𝑚 de 4 bits et une clef secrète de 128 bits. Plusieurs attaques
on été proposées sur E0. La plus efficace est due à Lu, Meier et Vaudenay en 2005. C’est une attaque par
corrélation spécialisée pour E0. Elle requiert environ 228 bits de suite chiffrante et 238 opérations.
2. A5/1
Ce chiffrement par flot est utilisé dans le GSM. Développé en 1987, les détails du système étaient gardés
secrets avant d’être retrouvés par ingénierie inverse en 1999. C’est un générateur à contrôle d’horloge.
Il utilise trois LFSR qui ne sont pas mis à jour régulièrement, de longueurs respectives 19, 22 et 23. La
sortie est la somme des bits de sortie des trois LFSR. On note 𝑦1 , 𝑦2 , 𝑦3 trois cases fixes des registres des
trois LFSR. À chaque tour, on calcule le bit majoritaire : 𝑏 ∶= Maj(𝑦1 , 𝑦2 , 𝑦3 ) (par exemple Maj(1, 0, 0) = 0),
puis on met à jour les LFSR tels que 𝑦𝑖 = 𝑏. La sortie est la somme des bits de sortie des trois LFSR. Ce
contrôle d’horloge permet de casser la linéarité des LFSR.
LFSR 1 𝑦1
LFSR 2 𝑦2 𝑧(𝑡)
LFSR 3 𝑦3
– 27 –
Chapitre V : Quelques chiffrements par flot actuels
On dénombre de nombreuses attaques sur ce système, notamment un compromis temps mémoire né-
cessitant deux minutes de conversation en clair, avec une phase active rapide mais de nombreuses données
pré calculées (300 gigabits). Une attaque plus dévastatrice a été proposée en 2005 par Barkan et Biham
(une attaque par corrélation adaptée). Elle nécessite quelques secondes de clair, et une phase active rapide
(quelques minutes). De plus, elle peut être transformée en une attaque à chiffré seul nécessitant quelques
minutes de conversation chiffrée. D’autres attaques exploitent l’utilisation de A5/1 dans le cadre du GSM.
Une version plus faible A5/1 a également été proposée dans certaines régions du monde. La meilleure
attaque sur ce chiffrement est due à Barkan, Biham et Keller en 2003 (attaque algébrique).
3. Snow 2.0
Ce chiffrement par flot a été proposé par Johansson et Ekdahl en 2002. C’est un standard ISO, une
variante, Snow 3G, est utilisée pour la téléphonie (3G et 4G/LTE). La clef secrète est de 128 ou 256 bits,
un vecteur d’initialisation (IV) de 128 bits est requis. Snow 2.0 utilise un LFSR de longueur 16 défini sur
F232 de registre S et de polynôme de rétroaction 1 ⊕ α−1 X 5 ⊕ X 14 ⊕ αX 16 avec α un certain élément de F232
et où ⊕ désigne l’addition dans F232 . Ce LFSR est filtré par une machine à état fini (FSM) incluant deux
mémoires de 32 bits notées R 1 , R 2 non linéairement mises à jour :
(𝑡+1) (𝑡) (𝑡)
R1 = S5 ⊞ R2
(𝑡+1) (𝑡)
R2 = Sbox(R 1 )
où ⊞ désigne l’addition modulo 232 et la transformation non linéaire Sbox provient de la fonction de tour
de l’AES.
(𝑡) (𝑡) (𝑡)
La sortie de la FSM au temps 𝑡 est (S 15 ⊞ R 1 ) ⊕ R 2 .
À chaque temps 𝑡 le générateur sort un mot 𝑧(𝑡) de 32 bits provenant de la somme du mot de sortie de
(𝑡)
la FSM et du mot de sortie S 0 du LFSR :
(𝑡) (𝑡) (𝑡) (𝑡)
𝑧(𝑡) = (S 15 ⊞ R 1 ) ⊕ R 2 ⊕ S 0
α−1 α
𝑧(𝑡)
(𝑡) (𝑡)
R1 Sbox R2
Pour la phase d’initialisation, la clef, ainsi que le vecteur public d’initialisation sont injectés dans le
LFSR de la manière décrite ci-dessous. On ne la détaille que pour le cas 128 bits. On divise la clef 𝑠𝑘 en 4
mots de 32 bits (𝑠𝑘3 , 𝑠𝑘2 , 𝑠𝑘1 , 𝑠𝑘0 ), où 𝑠𝑘0 est le mot de poids faible. L’IV est de la même façon considéré
comme 4 mots de 32 bits (IV3 , IV2 , IV1 , IV0 ). On a alors :
(0) (0) (0) (0)
S 15 = 𝑠𝑘3 ⊕ IV0 , S 14 = 𝑠𝑘2 , S 13 = 𝑠𝑘1 , S 12 = 𝑠𝑘0 ⊕ IV1 ,
(0) (0) (0) (0)
S 11 = 𝑠𝑘3 ⊕ 1, S 10 = 𝑠𝑘2 ⊕ 1 ⊕ IV2 , S9 = 𝑠𝑘1 ⊕ 1 ⊕ IV3 , S8 = 𝑠𝑘0 ⊕ 1,
(0) (0) (0) (0)
S7 = 𝑠𝑘3 , S6 = 𝑠𝑘2 , S5 = 𝑠𝑘1 S4 = 𝑠𝑘0 ,
(0) (0) (0) (0)
S3 = 𝑠𝑘3 ⊕ 1, S2 = 𝑠𝑘2 ⊕ 1, S1 = 𝑠𝑘1 ⊕ 1, S0 = 𝑠𝑘0 ⊕ 1,
– 28 –
4. Grain
Après que le LFSR ait été initialisé, les registres R 1 et R 2 sont remis à zéro. Le système est alors mis à
jour 32 fois dans un mode spécial sans produire de suite chiffrante. La sortie de la FSM est dans ce mode
réinjectée dans le LFSR en la sommant avec la rétroaction.
4. Grain
Le chiffrement par flot Grain a été proposé par Hell, Johansson et Meier dans le cadre de la compétition
eSTREAM en 2004 et retenu parmi les 7 « vainqueurs ». Il utilise une clef secrète de 80 ou 128 bits, un IV
de 64 ou 96 bits. Une nouvelle version, Grain-128a, proposée en 2011 (Ågren, Hell, Johansson, Meier) met
à jour la version originale 128 bits, et ajoute un mécanisme d’authentification via un MAC.
On détaille ici cette version Grain-128a sans la partie authentification. On utilise un LFSR binaire de
longueur 128 de registre S de polynôme de rétroaction primitif 𝑓(X) = 1⊕X 32 ⊕X 47 ⊕X 58 ⊕X 90 ⊕X 121 ⊕X 128
et un registre à décalage non linéaire (NFSR) de longueur 128 de registre B, de polynôme de rétroaction
𝑔(X) = 1 ⊕ X 32 ⊕ X 37 ⊕ X 72 ⊕ X 102 ⊕ X 128 ⊕ X 44 X 60 ⊕ X 61 X 125 ⊕ X 63 X 67 ⊕ X 69 X 101 ⊕ X 80 X 88 ⊕ X 110 X 111 ⊕
X 115 X 117 ⊕ X 46 X 50 X 58 ⊕ X 103 X 104 X 106 ⊕ X 33 X 35 X 36 X 40 . D’autre par le bit de sortie du LFSR est sommée
à la rétroaction du NFSR. Ces deux registres à décalage sont filtrés par une fonction booléenne de degré
3, ℎ, à 9 variables, sortant à l’instant 𝑡 :
(𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡)
B 12 S 8 ⊕ S 13 S 20 ⊕ B 95 S 42 ⊕ S 60 S 79 ⊕ B 12 B 95 S 94 ,
(𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡) (𝑡)
qui est ensuite additionné avec B 2 ⊕ B 15 ⊕ B 36 ⊕ B 45 ⊕ B 64 ⊕ B 73 ⊕ B 89 ⊕ S 93 pour donner le bit de suite
chiffrante 𝑧(𝑡) .
𝑔 𝑓
0 7 38 70 81 96
11
13
17
18
22
24
25
26
27
40
48
56
59
61
65
67
68
70
78
82
84
88
91
92
93
95
96
0
NFSR B LFSR S
95 8
13
20
2 15 36 45 64 73 89 42
60
12 79
94
93
𝑧(𝑡)
Pour la phase d’initialisation, la clef est chargée dans le registre B du NFSR et l’IV dans les 96
premières cellules du registre S du LFSR, le reste étant rempli avec des 1 et un 0 en dernière position.
Ensuite, Grain est mis à jour 256 fois sans produire de suite chiffrante, la sortie étant sommée dans la
rétroaction du LFSR et du NFSR.
Plusieurs attaques de type corrélations rapides ont été proposé sur la famille des chiffrements Grain.
Ainsi en 2018, Todo, Isobe, Meier, Aoki, Zhang obtiennent des attaques de complexités estimées meilleures
que la recherche exhaustive (marginalement pour la version Grain-128a : 2115 en temps et 2114 en mémoire,
mais de l’ordre de 276 en temps et en mémoire pour la version issue de la compétition eSTREAM).
5. ChaCha20
Ce chiffrement par flot a été proposé par Bernstein en 2008. C’est une variante de Salsa20, sélectionné
par eSTREAM, visant à améliorer la diffusion de chaque tour. Suite à la disgrâce de RC4, il a été largement
– 29 –
Chapitre V : Quelques chiffrements par flot actuels
adopté : il est utilisé dans TLS en remplacement de RC4 ainsi que dans OpenSSH et comme générateur
pseudo aléatoire dans Linux. Il est estimé être environ trois fois plus rapide que l’AES en implantation
logicielle.
On décrit ici la variante de ChaCha20 définie dans la RFC 7539 qui diffère de la version originale par
l’utilisation d’un IV de 96 bits et d’un compteur de 32 bits au lieu d’un IV et d’un compteur chacun de 64
bits dans la version originale. On utilise une clef de 256 bits.
Basée sur une construction de fonction de hachage, la famille des Salsa et Chacha utilise plusieurs tours
faisant intervenir des opérations de base très simples. L’état interne est représenté par une matrice 4 × 4
d’éléments de 32 bits, ⎛ ⎞
⎜⎜ 𝑥0 𝑥1 𝑥2 𝑥3 ⎟⎟
⎜⎜ 𝑥 ⎟
⎜⎜ 4 𝑥5 𝑥6 𝑥7 ⎟⎟⎟
⎜⎜ 𝑥 ⎟
⎜⎝ 8 𝑥9 𝑥10 𝑥11 ⎟⎟⎠
𝑥12 𝑥13 𝑥14 𝑥15
La fonction de base transforme un vecteur (𝑥0 , 𝑥1 , 𝑥2 , 𝑥3 ) en (𝑦0 , 𝑦1 , 𝑦2 , 𝑦3 ) en calculant
𝑏0 = 𝑥0 ⊞ 𝑥1 , 𝑏3 = (𝑥3 ⊕ 𝑏0 ) ≪ 16
𝑏2 = 𝑥2 ⊞ 𝑏3 , 𝑏1 = (𝑥1 ⊕ 𝑏2 ) ≪ 12
𝑦0 = 𝑏0 ⊞ 𝑏1 , 𝑦3 = (𝑏3 ⊕ 𝑦0 ) ≪ 8
𝑦2 = 𝑏2 ⊞ 𝑦3 , 𝑦1 = (𝑏1 ⊕ 𝑦2 ) ≪ 7,
où ⊞ désigne l’addition modulo 232 et ≪ 𝑛 désigne une rotation de 𝑛 bits vers les bits de poids forts.
Cette version utilise 20 tours numérotés de 1 à 20. Sur les tours impairs la fonction de base est appliquée
sur les quatre colonnes de la matrice, et sur les tours pairs sur les quatre « diagonales » : (𝑥0 , 𝑥5 , 𝑥10 , 𝑥15 ),
(𝑥1 , 𝑥6 , 𝑥11 , 𝑥12 ), (𝑥2 , 𝑥7 , 𝑥8 , 𝑥13 ), (𝑥3 , 𝑥4 , 𝑥9 , 𝑥14 ). On note Round la fonction correspondant à appliquer ces
20 tours sur la matrice.
La suite chiffrante est construite en s’inspirant du mode opératoire compteur des chiffrements par
bloc. À chaque valeur du compteur, on associe la matrice X 𝑖 :
⎛ ⎞
⎜⎜ 𝑐0 𝑐1 𝑐2 𝑐3 ⎟⎟
⎜⎜𝑘 𝑘1 𝑘2 𝑘3 ⎟⎟⎟
X 𝑖 = ⎜⎜⎜ 0 ⎟
⎜⎜𝑘4 𝑘5 𝑘6 𝑘7 ⎟⎟⎟
⎝ ⎠
𝑏𝑖 IV0 IV1 IV2
où 𝑐0 , … , 𝑐3 sont des constantes de 32 bits, 𝑘0 , … , 𝑘7 constituent la clef, 𝑏𝑖 la valeur du compteur écrite sur
32 bits et IV0 , … , IV2 le vecteur d’initialisation. Les 512 bits de suite chiffrante obtenus au temps 𝑖 sont
Z 𝑖 = X 𝑖 ⊞ Round(X 𝑖 ),
– 30 –
Chapitre VI
Fonction de hachage
1. Définitions
Une fonction de hachage ℎ est une application prenant en entrée des messages, des suites de bits de
longueurs quelconques et retournant un haché ou une empreinte de longueur fixé, par exemple une suite
binaire de longueur 𝑛 :
ℎ ∶ {0, 1}∗ ⟶ {0, 1}𝑛 .
On veut que ℎ soit rapide à évaluer (algorithme déterministe polynomial en la taille de l’entrée).
Originellement, ces fonctions ont été introduits dans le contexte des bases de données afin d’y « ranger »
des objets de natures diverses. On cherche donc en général à éviter les collisions (le fait que ℎ(𝑥) = ℎ(𝑦)
pour 𝑥 ≠ 𝑦) pour éviter que deux objets ne se retrouvent au même endroit, ce qui allongent la recherche
dans la base de données. En cryptographie, on veut des propriétés plus restrictives (on parle parfois de
fonctions de hachage cryptographiques).
Si ℎ résiste aux collisions elle résiste à la seconde pré-image, sinon on choisit 𝑚 aléatoirement, on trouve
une seconde pré-image 𝑚′ à ℎ(𝑚) et on obtient une collision. Il n’y a a pas de relation directe avec la notion
de sens-unique : par exemple, ℎ = I𝑑 ∶ {0, 1}𝑛 → {0, 1}𝑛 ∶ 𝑚 ↦ 𝑚 est injective donc résistante aux collisions
mais n’est pas à sens-unique.
Si ℎ n’est pas injective, il existe des collisions. Par exemple, si ℎ désigne l’application qui a une personne
associe le jour de son anniversaire (à valeurs dans {1, … , 365}), alors le paradoxe des anniversaires nous dit
qu’avec 23 évaluations différentes de ℎ on a plus de 50% de chances d’avoir une collision. De manière
générale, si ℎ est à valeurs dans {0, 1}𝑛 , en 𝒪 (2𝑛/2 ) évaluations on a une bonne probabilité d’obtenir une
collision. En pratique, on prend donc 𝑛 ⩾ 160 pour avoir une sécurité de 80 bits.
Plus généralement, on aimerait qu’une fonction de hachage se comporte comme un oracle aléatoire :
pour obtenir le haché de 𝑚, on soumet 𝑚 à un oracle modélisant ℎ qui répond par une valeur aléatoire de
{0, 1}𝑛 , ℎ(𝑚), obtenue avec équiprobabilité. Par contre, si on a déjà soumis 𝑚 à l’oracle, alors on obtient la
même valeur ℎ(𝑚).
– 31 –
Chapitre VI : Fonction de hachage
2. Applications
Une application directe est d’assurer l’intégrité de messages ou de fichiers. Modifier un fichier donné
afin qu’il ait toujours un haché donné correspond à trouver une seconde pré-image (mais cette application
pose le problème de l’intégrité du haché). Cette propriété est aussi utilisé pour les signatures numé-
riques. On ne signe pas directement un message mais un haché du message. La résistance à la seconde
pré-image empêche alors un adversaire à partir d’un message et de sa signature de produire un autre mes-
sage ayant la même signature. Cela permet également d’éviter par exemple les attaques homomorphes sur
la signature RSA, ou de construire d’abord une signature σ puis un message ayant σ pour signature si la
fonction de hachage est à sens-unique.
Le chiffrement asymétrique utilise aussi souvent des fonctions de hachage (par exemple le stan-
dard OAEP) pour résister aux attaques à chiffrés choisis. Pour toutes ces applications en cryptographie
asymétrique, on idéalise souvent les fonctions de hachage utilisée, c’est le modèle de l’oracle aléatoire.
Une autre application est la vérification de mot de passe. Plutôt que de stocker des mot de passe
sur un serveur, on stocke leur haché. Lors d’une authentification, le serveur hache le mot de passe reçu
et compare les hachés. Cela évite la divulgation des mots de passe en cas de compromission du serveur.
Retrouver les mots de passe à partir du haché revient à attaquer la notion de sens-unique (en général on
fait une attaque par dictionnaire, le mot de passe appartenant à un ensemble de cardinal petit).
D’autres applications comme extracteur d’aléa, pour la génération de mot de passe à usage unique
(One-Time Password), ou la dérivation de clefs de chiffrement symétrique (à partir d’un mot de passe par
exemple).
Une dernière application des fonctions de hachage est de fournir une construction de Message authen-
tication code (MAC). Lors d’une communication, un MAC permet de garantir l’intégrité du message et
authentifie l’expéditeur par l’utilisation d’une clef secrète. Par contre un MAC ne garantit pas la non-
répudiation comme les signatures numériques : toutes les personnes qui peuvent vérifier un MAC (c’est à
dire qui possèdent la clef secrète) peuvent aussi créer un MAC. La sécurité d’un MAC consiste à ce qu’un
attaquant ne puisse créer un nouveau MAC valide étant connus des couples (𝑚𝑖 , MAC𝑠𝑘 (𝑚𝑖 )).
Alice Bob
𝑠𝑘 𝑠𝑘
𝑚 ?
MAC𝑠𝑘 (𝑚) = mac � MAC𝑠𝑘 (𝑚) = mac
La construction la plus populaire est HMAC, proposée par Bellare, Canetti, et Krawczyk en 1996,
qui est standardisée et utilisée dans de nombreux protocoles. On a HMAC𝑠𝑘 (𝑚) = ℎ(𝑠𝑘2 ||ℎ(𝑠𝑘1 ||𝑚)) avec
𝑠𝑘2 = 𝑠𝑘 ⊕ opad et 𝑠𝑘1 = 𝑠𝑘 ⊕ ipad, avec opad et ipad des constantes. La notation || désigne la concaténation
des chaînes binaires. Seules des attaques de HMAC utilisant MD4 ont été découvertes à ce jour. On verra
en section 5 pourquoi on évite des constructions plus simples du type MAC𝑠𝑘 (𝑚) = ℎ(𝑠𝑘||𝑚).
3. Exemples
• MD4, (Message Digest), 128 bits, Rivest 1990, collision en quelques millisecondes, 2 hachages, obsolète.
• MD5 128 bits, Rivest 1992, collision en quelques secondes, 221 hachages, obsolète.
• SHA0, (secure hash algorithm), 160 bits, NIST 1993, collision trouvée en 251 opérations par Joux et. al.
en 2004, obsolète.
• SHA1, 160 bits, NIST 1993, collision trouvée en 263.1 opérations par Stevens, Bursztein, Karpman,
Albertini, Markov en 2017
• SHA2, plusieurs variantes de 224 à 512 bits, NIST 2001, pas d’attaques sur la fonction complète
– 32 –
4. Construction de Merkle-Damgård
• SHA3, vainqueur de la compétition du NIST (2007-2012), Keccak, 224 à 512 bits, Bertoni, Daemen,
Peeters, Van Assche, 2008
Les résultats sur les attaques par collisions sur MD4, MD5 et les premières sur SHA1 sont surtout dues
à Wang et. al. en 2004. Ce sont des attaques dites différentielles : on considère une paire de messages avec
une petite différence et on cherche à contrôler la propagation des différences.
Les collisions sur MD5 mènent à des attaques « pratiques ». En effet, en 2008, Sotirov et. al. ont utilisé
une attaque par collision avec préfixe fixé sur MD5 pour créer un certificat X.509 valide : la partie à signer
par l’autorité avait le même haché MD5 qu’un certificat légitimement établi. La recherche de collision a été
faite à l’aide d’un cluster de 200 PlayStation 3 en 64 heures. Une technique similaire a été utilisé pour le virus
Flame découvert en 2012 et déployé à des fins d’espionnage : un faux certificat de Microsoft a été utilisé
pour signer le virus afin de le faire passer pour un composant légitime, toujours à l’aide d’une collision sur
MD5.
L’attaque de Stevens, Bursztein, Karpman, Albertini, Markov sur SHA1 a pris l’équivalent de 6500 an-
nées CPU et 100 ans GPU ce qui est estimé être légèrement plus que les records actuels de factorisations
et calculs de logarithme discret de 768 bits. SHA1 est non recommandé par le NIST depuis 2015 et les
principaux navigateurs web ne le supportent plus en 2017. En résumé, il ne faut plus utiliser SHA1 !
4. Construction de Merkle-Damgård
Cette construction est suivie par les fonctions MD5, SHA1 et SHA2 avec des variations sur les ité-
rations initiale et finale. Elle permet de transformer une fonction de hachage admettant une entrée de
longueur fixée (dite fonction de compression) en une fonction de hachage admettant une entrée de lon-
gueur (presque) quelconque. On note 𝑓 une fonction de compression de {0, 1}𝑛+𝑘 dans {0, 1}𝑛 , avec 𝑘 > 0.
Soit IV un élément fixé de {0, 1}𝑛 . Soit 𝑚 message à hacher. On commence par découper 𝑚 en ℓ blocs de
𝑘 bits, 𝑚0 , … , 𝑚ℓ−1 en « paddant » 𝑚ℓ−1 par 10000 … pour obtenir un bloc de 𝑘 bits. Dans le bloc 𝑚ℓ , on
code sur exactement 𝑘 bits le nombre de bits du message 𝑚. Il faut donc que 𝑚 ait strictement moins de
2𝑘 bits. Ce rajout de la longueur de 𝑚 est parfois appelé Merkle–Damgård strengthening. Il permet d’éviter
que le haché de 𝑚 soit le même que celui d’une sous-chaîne de 𝑚 en ajustant l’IV, ou alors de construire
des collisions à l’aide d’une pré-image de l’IV.
On note 𝑧0 = IV et pour 𝑖 = 0, … , ℓ, 𝑧𝑖+1 = 𝑓(𝑚𝑖 ||𝑧𝑖 ). Le haché ℎ(𝑚) de 𝑚 est alors ℎ(𝑚) = 𝑧ℓ+1 .
𝑚0 𝑚1 𝑚ℓ−1 𝑚ℓ
𝑧1 𝑧2 𝑧ℓ−1 𝑧ℓ 𝑧ℓ+1
IV 𝑓 𝑓 … 𝑓 𝑓 ℎ(𝑚)
Théorème VI – 1 (Merkle, Damgård 1989). Soit 𝑓 une fonction de compression résistante aux collisions.
La construction précédente appliquée à 𝑓 donne une fonction de hachage ℎ résistante aux collisions.
Démonstration. Soit 𝑚 ≠ 𝑚′ tel que ℎ(𝑚) = ℎ(𝑚′ ). Supposons que 𝑚 et 𝑚′ aient des longueurs différentes.
La dernière itération donne ℎ(𝑚) = 𝑓(𝑚ℓ ||𝑧ℓ ) = ℎ(𝑚′ ) = 𝑓(𝑚′ℓ′ ||𝑧′ℓ′ ). On a alors 𝑚ℓ ≠ 𝑚′ℓ puisque ce bloc
code la longueur. Donc on a trouvé une collision sur 𝑓.
Supposons maintenant 𝑚 et 𝑚′ de même longueur, ce qui implique que le nombre d’itérations est le
même pour 𝑚 et 𝑚′ : ℓ = ℓ′ . On a 𝑓(𝑚ℓ ||𝑧ℓ ) = 𝑓(𝑚′ℓ ||𝑧′ℓ ), avec 𝑚ℓ = 𝑚′ℓ . Soit 𝑧ℓ ≠ 𝑧′ℓ et on a trouvé une
collision sur 𝑓, soit 𝑧ℓ = 𝑧′ℓ . Dans ce cas, on a, à l’itération précédente, 𝑓(𝑚ℓ−1 ||𝑧ℓ−1 ) = 𝑓(𝑚′ℓ−1 ||𝑧′ℓ−1 ), soit
𝑚ℓ−1 ||𝑧ℓ−1 ≠ 𝑚′ℓ−1 ||𝑧′ℓ−1 et on a trouvé une collision, soit 𝑚ℓ−1 ||𝑧ℓ−1 = 𝑚′ℓ−1 ||𝑧′ℓ−1 . On remonte ainsi jusqu’à
trouver une collision sur 𝑓. S’il n’y a pas de collision, 𝑚𝑖 ||𝑧𝑖 = 𝑚′𝑖 ||𝑧′𝑖 pour 𝑖 = 0 à ℓ, ce qui implique que
𝑚 = 𝑚′ et on a une contradiction.
– 33 –
Chapitre VI : Fonction de hachage
Pour construire une fonction de compression, on peut par exemple utiliser la construction de Davies
et Meyer qui utilise un chiffrement par bloc : on a 𝑓(𝑚𝑖 ||𝑧𝑖 ) = Encrypt𝑚 (𝑧𝑖 ) ⊕ 𝑧𝑖 (le rajout de 𝑧𝑖 permet de
𝑖
complexifier les collisions). En pratique, on utilise des constructions plus rapide.
Pour MD5, on utilise Merkle Damgård avec une fonction 𝑓 de compression {0, 1}𝑛+𝑘 dans {0, 1}𝑛 avec
𝑛 = 128 et 𝑘 = 512. Cette fonction 𝑓 consiste à appliquer 64 fois une opération de base (64 tours), opérant
sur 4 × 32 bits et composant des permutations, des additions modulo 232 , des rotations, et l’application de
fonctions booléennes. Pour SHA1, 𝑛 = 160 et 𝑘 = 512. La fonction 𝑓 consiste en 80 tours et l’état interne
fait maintenant 5 × 32 bits. Pour SHA2, SHA256 (et SHA224 qui est une version tronquée) utilise 𝑛 = 256
et 𝑘 = 512 et une fonction 𝑓 de 64 tours opérant sur un état interne de 8 × 32 bits et SHA512 (et SHA384)
𝑛 = 512 et 𝑘 = 1024 et une fonction 𝑓 de 80 tour opérant sur un état interne de 8 × 64 bits.
Une autre construction de fonction de hachage a été proposée et utilisée par les auteurs de Keccak
(Bertoni, Daemen, Peeters, Van Assche), le vainqueur du concours SHA3 : les fonctions éponges. Un état
interne de 𝑟 + 𝑐 bits est utilisé. On note 𝑚0 , … , 𝑚ℓ−1 le message avec padding, découpé en blocs de 𝑟 bits.
À chacun des ℓ tours, le bloc 𝑚𝑖 est ajouté bit à bit aux 𝑟 premiers bit de l’état, puis une permutation 𝑓 est
appliqué à l’état (c’est la partie d’absorption). Une fois que tout le message a été traité, le haché est produit
sur plusieurs tours : à chaque tour les 𝑟 premiers bits de l’état donnent une partie du haché (𝑧0 , 𝑧1 , … sur le
dessin ci-dessous), et la fonction 𝑓 est appliquée sur l’état (c’est la partie où l’on presse l’éponge). Quand 𝑓
est une permutation aléatoire, les sorties de cette construction sont indistinguables d’un oracle aléatoire.
𝑚0 𝑚1 𝑚ℓ−1 𝑧0 𝑧1
𝑟 0 … …
𝑓 𝑓 𝑓 𝑓 𝑓
𝑐 0 … …
absorption pressage
5. Quelques cryptanalyses
Recherche exhaustive de collisions
Pour la recherche de collisions sur une fonction de hachage, l’attaque naïve consiste à tirer des messages
aléatoires, et à stocker les hachés, dans une liste triée jusqu’à avoir une collision. Si la fonction de hachage
– 34 –
5. Quelques cryptanalyses
fournie des hachés de 𝑛 bits, le paradoxe de anniversaires implique de stocker 2𝑛/2 hachés pour avoir une
bonne chance de trouver une collision. Cette quantité de mémoire va être un facteur limitant comparé au
temps de calcul.
Une recherche en 2𝑛/2 utilisant peu de mémoire peut-être faite en s’inspirant de l’algorithme ρ de Pol-
lard de factorisation ou de calcul de logarithme discret. On prend un message 𝑚0 aléatoire puis pour 𝑖 > 0,
on pose 𝑚𝑖 = ℎ(𝑚𝑖−1 ). On itère la fonction ℎ, on doit nécessairement arriver à une collision, puis à un cycle,
car l’ensemble des hachés est fini. Pour une fonction aléatoire à valeurs dans {0, 1}𝑛 , la première collision
arrive en 𝒪 (2𝑛/2 ). On espère que ℎ se comporte comme une fonction de aléatoire.
La détection de la collision peut se faire avec l’algorithme de recherche de cycle de Floyd comme pour
Pollard. À chaque tour seuls 𝑚𝑖 = ℎ(𝑚𝑖−1 ) et 𝑚2𝑖 = ℎ(ℎ(𝑚2(𝑖−1) )) sont calculés et comparés, ce qui utilise
très peu de mémoire.
𝑚0 𝑚1
𝑓 𝑓
IV 𝑧1 𝑧2 …
𝑚′0 𝑚′1
𝑓 𝑓
On commence par chercher deux blocs 𝑚0 ≠ 𝑚′0 tel que 𝑓(𝑚0 ||IV) = 𝑓(𝑚′0 ||IV) = 𝑧1 . Une telle va-
leur peut se trouver en 𝒪 (2𝑛/2 ) par le paradoxe des anniversaires. Puis on cherche, avec la même com-
plexité, deux blocs 𝑚1 ≠ 𝑚′1 tel que 𝑓(𝑚1 ||𝑧1 ) = 𝑓(𝑚′1 ||𝑧1 ) = 𝑧2 . On continue ainsi, jusqu’à obtenir deux
blocs 𝑚𝑘−1 ≠ 𝑚′𝑘−1 tel que 𝑓(𝑚𝑘−1 ||𝑧𝑘−1 ) = 𝑓(𝑚′𝑘−1 ||𝑧𝑘−1 ) = 𝑧𝑘 . En complétant les messages par le pad-
ding adéquat, on obtient une 2𝑘 -collision en considérant des messages commençant par 𝑚0 ||𝑚1 || … ||𝑚𝑘−1 ,
𝑚′0 ||𝑚1 || … ||𝑚𝑘−1 , … , 𝑚′0 ||𝑚′1 || … ||𝑚′𝑘−1 . Ceci s’obtient en 𝒪 (𝑘2𝑛/2 ).
– 35 –
Chapitre VI : Fonction de hachage
Cette attaque permet d’évaluer la sécurité de la concaténation de deux fonctions de hachage à valeurs
dans {0, 1}𝑛 : soit ℎ définie par ℎ(𝑚) = ℎ1 (𝑚)||ℎ2 (𝑚). Il est facile de voir que si ℎ1 ou ℎ2 est résistante aux
collisions alors ℎ est résistante aux collisions.
Supposons maintenant que ℎ1 , par exemple, suit la construction de Merkle-Damgård. On peut trouver
une 2𝑛/2 -collision sur ℎ1 en 𝒪 (𝑛2𝑛/2 ). Parmi ces 2𝑛/2 messages, on a une bonne chance d’avoir une collision
sur ℎ2 . On construit donc une collision sur ℎ en 𝒪 (𝑛2𝑛/2 ) au lieu de 𝒪 (2𝑛 ).
– 36 –
Chapitre VII
1. Introduction
Un algorithme de chiffrement par bloc prend en entrée un message clair de 𝑛 bits (que l’on peut voir
comme un élément de F𝑛2 ) et donne en sortie un chiffré, qui est un autre bloc de bits (en général également
𝑛). Si le message clair est de taille plus grande que 𝑛 on le découpe en des blocs, 𝑚0 , 𝑚1 , … de taille 𝑛. Puis
pour chaque 𝑖 = 0, 1, 2, … , on applique le chiffrement. Le déchiffrement se fait de manière similaire. On
peut voir la fonction de chiffrement comme une permutation de F𝑛2 sélectionnée par la clef (2𝑘 choix pour
une clef de 𝑘 bits) parmi les 2𝑛 ! possibles.
𝑚𝑖 𝑐𝑖
𝑠𝑘 Encrypt 𝑠𝑘 Decrypt
𝑐𝑖 𝑚𝑖
C’est le mode ECB, Electronic CodeBook. Ce mode ne cache pas les redondances éventuelles du texte
clair, (par exemple si 𝑚𝑖 = 𝑚𝑗 avec 𝑖 ≠ 𝑗 alors 𝑐𝑖 =𝑗 ). D’autres modes remédient à ce problème. On a déjà
vu les modes OFB (Output FeedBack) et CFB (Cipher FeedBack) mimant respectivement des chiffrements à
flot synchrone, et auto-synchronisant. Le mode CBC (Cipher Block Chaining) utilise le schéma suivant :
𝑚1 𝑚2 𝑚3
𝑖𝑣
𝑐1 𝑐2 𝑐3
– 37 –
Chapitre VII : Chiffrement par bloc, introduction
L’inconvénient de ce mode est que l’on peut faire une attaque à message clair choisi adaptative permet-
tant de distinguer les chiffrés d’un message précis (observation due à Rogaway en 1995). Plus précisément,
un attaquant obtient les blocs 𝑐1 , … , 𝑐𝑘 chiffrés en mode CBC. Il souhaite vérifier si le bloc de clair 𝑖,
avec 1 ⩽ 𝑖 ⩽ 𝑘, vaut une certaine valeur 𝑚, c’est à dire si 𝑚𝑖 = 𝑚 ou non. L’attaquant construit un clair
𝑚𝑘+1 = 𝑐𝑘 ⊕ 𝑚 ⊕ 𝑐𝑖−1 et demande son chiffrement. Ce message sera chiffré en 𝑐𝑘+1 = Encrypt𝑠𝑘 (𝑚𝑘+1 ⊕ 𝑐𝑘 ) =
Encrypt𝑠𝑘 (𝑚 ⊕ 𝑐𝑖−1 ). Si 𝑚𝑖 = 𝑚, on aura 𝑐𝑘+1 = 𝑐𝑖 .
Cette attaque était possible dans TLS v1.0. Dans les versions suivantes de TLS (à partir de 2006), on
impose l’utilisation à chaque bloc de message 𝑚𝑖 d’un iv aléatoire, transmis avec 𝑐𝑖 . Ainsi l’attaquant ne
pas prédire l’iv utilisé pour chiffré le message 𝑚𝑘+1 , contrairement au mode CBC classique. Cependant,
en 2011, cette contremesure étant peu déployée, une attaque dévastatrice à pu être menée : BEAST due
à Duong et Rizzo. En utilisant les idées ci-dessus et en exploitant d’autres failles de TLS, elle permet de
retrouver entièrement le message clair 𝑚𝑖 .
La construction des chiffrements par bloc utilise la plupart du temps un schéma itératif. Les itérations,
appelées tours ou rondes, sont en général identiques (à part la première et la dernière), seule la clef de tour,
créée à partir de la clef secrète 𝑠𝑘 au moyen d’un algorithme dit de cadencement de clef, change.
F K0 F K1 F K𝑟−1
𝑚 = 𝑥0 𝑥1 𝑥2 … 𝑥𝑟 = 𝑐
Pour obtenir au final une permutation, deux classes générales de constructions ont été proposées : les
schémas de Feistel et les schémas substitution permutation (SPN).
L 𝑖−1 R 𝑖−1
K𝑖
𝑓
L𝑖 R𝑖
Au bout de 𝑟 tours, le chiffré est 𝑐 = R 𝑟 ||L 𝑟 (on ne « croise » pas les flèches au dernier tour). Ce schéma
est inversible, (si l’on connaît les clefs de tours), que 𝑓 soit une bijection ou non. En effet, on a
– 38 –
2. Schéma de Feistel, le DES
R𝑖 L𝑖
K𝑖
𝑓
R 𝑖−1 L 𝑖−1
Le déchiffrement de 𝑐 = R 𝑟 ||L 𝑟 se fait donc avec exactement le même procédé que le chiffrement
en appliquant les clefs de tours dans l’ordre inverse. On retrouve bien, à la dernière étape, (toujours sans
croiser) L 0 ||R 0 .
Des résultats théoriques ont été obtenus sur la sécurité des schémas de Feistel. Si la fonction de tour 𝑓
est une fonction pseudo-aléatoire (c’est-à-dire dont les sorties sont indistinguables d’une fonction aléatoire)
alors 3 tours de schémas de Feistel permette d’obtenir une permutation pseudo-aléatoire (Luby et Rackoff,
1988). Par conséquent, ils sont très utilisés en cryptographie symétrique pour construire des chiffrements
par bloc. Il est facile de voir que deux tours ne suffisent pas : en effet L 0 ||R 0 est transformé en L 2 ||R 2
et (L 0 ⊕ L⋆0 )||R 0 est transformé en (L 2 ⊕ L⋆0 ||R 2′ ). Un tel comportement semble peu probable pour une
permutation aléatoire.
On les retrouve également en cryptographie asymétrique : le procédé OAEP (Optimal Asymetric En-
cryption) est utilisé en entrée d’une permutation à trappe comme la fonction RSA pour garantir la sécurité
sémantique pour des attaques à chiffrés choisis. Cela consiste en un schéma de Feistel à 2 tours, en rajou-
tant de l’aléa au message clair, les fonctions de tour étant des fonctions de hachage (vu comme des oracles
aléatoires).
Le DES, Data Encryption Standard, standard de chiffrement par bloc de 1977 à 2000 utilise un
schéma de Feistel. Les blocs de clair et chiffré sont de 64 bits, la clef secrète de 56 bits et les clefs de tour
de 48 bits. On effectue 16 tours de schéma de Feistel avec des permutations initiale et finale.
La fonction de tour opère sur des mots de 32 bits. Elle est la composition de plusieurs fonctions, suivant
le schéma suivant.
32 bits
48 bits
K (clef de tour)
(8 fois 6 bits)
S1 S2 S3 S4 S5 S6 S7 S8
(8 fois 4 bits)
32 bits
La fonction d’expansion E est linéaire de F32 2 → F2 (on répète certains bits). La fonction P est une
48
permutation des 32 bits, donc aussi une fonction linéaire de F322 → F2 . Ces deux fonctions, E et P ap-
32
portent de la diffusion c’est-à-dire que si l’on change un bit en entrée, il y aura plusieurs bits changés en
– 39 –
Chapitre VII : Chiffrement par bloc, introduction
sortie. Cela permet d’empêcher les attaques statistiques (par exemple si un bit du clair est souvent égal à
1, cela ne doit pas se voir sur la distribution des chiffrés correspondant).
Les fonctions S 1 , … , S 8 sont appelées boîtes S ou S-box. Ce sont des fonctions booléennes vectorielles,
ici de F62 → F42 , non linéaires. Elles permettent d’apporter de la confusion : le but est de rendre complexe
les relations entre bits de chiffré et bits de clef (dans une attaque à clair connu, on peut faire une attaque
algébrique en écrivant les bits de chiffrés en fonction des bits de clef. On veut que ces équations soient
complexes. En particulier changer un bit de clef, change complètement le chiffré. Les concepts de diffusion
et confusion ont été introduits par Shannon en 1949). Les boites S sont décrites par la table des 26 sorties
possibles. Elles ont été construites suivant des critères de conception non publics. Cependant on s’est
aperçu a posteriori qu’elles avaient été choisies pour résister à la cryptanalyse différentielle, redécouverte
par Biham et Shamir en 1988 (nécessite 247 clairs choisis). De plus, elles sont à grande distance de Hamming
des fonctions affines, ce qui rend le système assez résistant à la cryptanalyse linéaire (nécessite 243 clairs
connus) découverte par Matsui en 1993. En pratique la meilleure attaque reste la recherche exhaustive qui
est maintenant largement faisable.
Pour palier à la faiblesse du DES due à sa clef de 56 bits trop courte , on utilise encore couramment
aujourd’hui (dans le monde bancaire) une variante utilisant 3 clefs DES 𝑠𝑘1 , 𝑠𝑘2 , 𝑠𝑘3 , appelée Triple DES.
Cela consiste à composer trois fois le DES (donc trois fois plus lent que le DES) de la manière suivante :
Option 2 : 𝑠𝑘1 = 𝑠𝑘3 et 𝑠𝑘2 ≠ 𝑠𝑘1 , ce qui revient à 112 bits de clef ;
Option 3 : 𝑠𝑘1 = 𝑠𝑘2 = 𝑠𝑘3 , une seule clef de 56 bits, et 𝑐 = Encrypt𝑠𝑘 (𝑚) on a un chiffrement classique
1
du DES pour garantir la compatibilité (ce qui explique pourquoi on alterne chiffrement et
déchiffrement).
Ces compositions de plusieurs chiffrements sont vulnérables à l’attaque meet in the middle que l’on
doit à Diffie et Hellman (1977). On étudie le cas où l’on fait seulement une composition en définissant
On suppose un couple (𝑚, 𝑐) connu. On construit une table de couples (𝑠𝑘1 , Encrypt𝑠𝑘1 (𝑚)) pour toutes
les clefs 𝑠𝑘1 possibles. Pour toute clef 𝑠𝑘2 on calcule Decrypt𝑠𝑘 (𝑐) et on cherche ce résultat dans la table
2
précédente. Ceci donnera un couple (𝑠𝑘1 , 𝑠𝑘2 ) pour lequel Decrypt𝑠𝑘 (𝑐) = Encrypt𝑠𝑘1 (𝑚), c’est à dire 𝑐 =
2
Encrypt𝑠𝑘 Encrypt𝑠𝑘 (𝑚). Si les clefs font 𝑘 bits, ceci donne une attaque en 𝒪 (2𝑘+1 ) opérations et 𝒪 (2𝑘 )
2 1
mémoire. Ainsi, en composant seulement une fois le DES (au lieu d’utiliser l’option 2), on obtient une
sécurité équivalente à un seul DES.
Au final, la sécurité du Triple DES est la suivante :
Option 1 : En « coupant » la composition, l’attaque meet in the middle fait tomber la sécurité à 2 × 56 =
112 bits.
Option 2 : En prenant 𝑠𝑘1 = 𝑠𝑘3 et 𝑠𝑘2 ≠ 𝑠𝑘1 , on ne peut plus faire cette attaque. Cependant d’autres
attaques sont possibles (notamment une de Merkle et Hellman en 1981), et on estime que
la sécurité est de 80 bits.
– 40 –
3. Schéma substitution permutation (SPN), l’AES
𝑥𝑖−1
S1 S2 Sℓ
𝑢𝑖
P
𝑣𝑖
K 𝑖 (clef de tour)
𝑥𝑖
L’étape initiale évite qu’un attaquant puisse calculer le début du chiffrement jusqu’à l’ajout de clef K 1 .
Le déchiffrement se fait en « remontant » tout le chiffrement, toutes les opérations étant inversibles.
Un exemple de tel schéma est l’AES, Advanced Encryption Standard. Ce standard pour remplacé
le DES est issu d’un concours qui s’est déroulé de 1997 à 2001. Le vainqueur a été l’algorithme Rijndael
conçu par Joan Daemen et Vincent Rijmen. L’AES utilise une clef du 128, 192 ou 256 bits avec des blocs
de 128 bits. Suivant la taille de la clef, le nombre de tours est respectivement 10, 12 et 14. On détaille
le fonctionnement de l’AES dans le cas 128 bits. L’état interne est vu comme un tableau de 4 × 4 octets.
Chaque octet étant identifié avec un élément de F28 par le choix d’un polynôme irréductible (non primitif)
de degré 8. L’état est ainsi une matrice de ℳ4 (F 28 ), l’ensemble des matrices 4 × 4 à coefficients dans F28 .
La fonction de diffusion est la composée de deux fonctions linéaires, ShiftRows et MixColumns. La
fonction ShiftRows consiste en une permutation circulaire des lignes de la matrice tandis que MixColumns
est une multiplication par une matrice fixe inversible de ℳ4 (F28 ). Ces fonctions linéaires n’agissent que
sur les octets, et pas sur les bits de l’état.
La fonction de substitution consiste en une seule boîte S appliquée 16 fois, sur chaque octet de l’état.
Cette fonction consiste à composer l’inversion dans F28 (complétée par 0 ↦ 0) avec une transformation
affine dans F82 , pour casser le caractère algébrique de l’inversion (qui peut se ré écrire 𝑥 ↦ 𝑥254 ), du type
A𝑥 ⊕ 𝑏 avec A une matrice inversible fixe de ℳ8 (F2 ) et 𝑏 un vecteur fixe de F82 .
Tout le déroulement de l’AES suit le schéma général d’un SPN, hormis le tour final qui n’inclut pas la
fonction MixColumns.
De nombreuses attaques ont été proposées sur des versions réduites de l’AES (en réduisant le nombre
de tours). À ce jour la meilleure attaque connue sur l’AES complet (Bogdanov, Khovratovich, Rechberger,
2011) ne gagne qu’un facteur 4 sur la recherche exhaustive (donc 2126 opérations pour une clef de 128 bits).
– 41 –
Chapitre VII : Chiffrement par bloc, introduction
– 42 –
Chapitre VIII
1. Cryptanalyse linéaire
On doit la cryptanalyse à Matsui en 1992. C’est une attaque à clairs connus sur les chiffrements par
bloc itératifs. Le principe général consiste à approcher le chiffrement par des équations linéaires. Les
équations qui relient bits de message clair, de message chiffré et bits de clef (celles que l’on exhibe lors
d’une attaque algébrique) sont de haut degré. Cependant, on peut écrire des équations linéaires qui vont
être parfois vérifiées suivant les messages clairs considérées.
Soit 𝑥 = (𝑥1 , … , 𝑥𝑛 ) ∈ F𝑛2 un bloc de 𝑛 bits. Une équation linéaire faisant intervenir ces bits peut
s’écrire comme le produit scalaire ⟨α, 𝑥⟩ = α1 𝑥1 ⊕ ⋯ ⊕ α𝑛 𝑥𝑛 avec α = (α1 , … , α𝑛 ) ∈ F𝑛2 . Si 𝑥 est choisi avec
1
équiprobabilité dans F𝑛2 , l’équation ⟨α, 𝑥⟩ = 0 est vérifiée avec probabilité quelque soit α ≠ 0. En effet,
2
la forme linéaire 𝑓 ∶ F𝑛2 → F2 , 𝑥 ↦ ⟨α, 𝑥⟩ étant non nulle, son noyau est de dimension 𝑛 − 1 : le théorème
du rang donne 𝑛 = dim(Im𝑓) + dim(ker 𝑓). La moitié des 𝑥 donne donc ⟨α, 𝑥⟩ = 0.
On note 𝑐 = Encrypt𝑠𝑘 (𝑚). On cherche donc des équations du type ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑐⟩ ⊕ ⟨γ, 𝑠𝑘⟩ = 0 vraies
1
avec probabilité + ϵ, avec ϵ > 0, si 𝑚 est choisi avec probabilité uniforme. La connaissance d’un telle
2
équation et de sa probabilité permet déjà d’obtenir une équation linéaire sur les bits de 𝑠𝑘. On suppose
connaître des couples (𝑚, 𝑐). Pour chacun de ses couples, on calcule ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑐⟩. Si le résultat vaut plus
souvent 0, alors on en déduit que ⟨γ, 𝑠𝑘⟩ = 0 car l’équation ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑐⟩ ⊕ ⟨γ, 𝑠𝑘⟩ = 0 est vraie avec
1
probabilité + ϵ, ϵ > 0.
2
Une attaque plus pertinente consiste à utiliser de telles équations comme distingueur pour deviner la
clef de dernier tour d’un chiffrement par bloc itératif. On note toujours
F K0 F K1 F K𝑟−2 F K𝑟−1
𝑚 = 𝑥0 𝑥1 𝑥2 … 𝑥𝑟−1 𝑥𝑟 = 𝑐
1
et on suppose connaître une équation ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑥𝑟−1 ⟩ = 0 vraie avec probabilité P α,β = + ϵ, ϵ ≠ 0
2
(on verra dans la suite comment trouver une telle équation, et notamment comment faire pour ne plus
dépendre de la clef 𝑠𝑘). Lors d’une attaque à clairs connus, on récupère un grand nombre de couples clairs
chiffrés, (𝑚, 𝑐). Pour ces couples, on doit avoir ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑥𝑟−1 ⟩ = 0 avec probabilité P α,β . Pour chaque
couple (𝑚, 𝑐), on remonte le dernier tour, en calculant pour toutes les valeurs possibles K de la clef de
dernier tour K 𝑟−1 ,
𝑧K = F K−1 (𝑐)
Si ⟨α, 𝑚⟩⊕⟨β, 𝑧⟩ = 0, on incrémente un compteur pour la clef K. Pour la « bonne » clef, K = K 𝑟−1 , le compteur
1
doit être incrémenté avec probabilité P α,β = + ϵ. Pour les mauvaises, les valeurs 𝑧K sont indépendantes
2
– 43 –
Chapitre VIII : Cryptanalyses linéaire et différentielle
1
de 𝑚 et on s’attend à avoir ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑧⟩ = 0 avec probabilité . Le compteur le plus éloigné de N/2 si N
2
est le nombre de couples utilisés doit nous permettre de retrouver K 𝑟−1 .
Cette approche se heurte à un premier problème : la clef du dernier tour, K 𝑟−1 est en général de taille
similaire à la clef secrète. Le coût de cette attaque est donc similaire à la recherche exhaustive. Cependant
si β ne s’étend pas sur tout le bloc, on peut limiter la recherche sur seulement quelques bits de K 𝑟−1 . On
voit cela dans le cadre d’un schéma SPN. On appelle boîtes actives les boîtes S du dernier tour dont
au moins un bit d’entrée intervient dans l’équation. Ainsi, pour vérifier si ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑥𝑟−1 ⟩ = 0, il suffit de
le vérifier au niveau de l’entrée des boîtes actives. La sortie de ces boîtes est diffusée par la permutation P
sur plusieurs bit du bloc. On note I le sous ensemble de {1, … , 𝑛} correspondant à ces bits. L’attaque devient
donc : pour chaque couple (𝑚, 𝑐), on remonte partiellement le dernier tour, en calculant l’entrée des boîtes
actives pour toutes les valeurs possibles des bits d’indices I de la clef de dernier tour K 𝑟−1 . Puis on teste
l’équation grâce au résultat de ce calcul.
Sur l’exemple suivant, on a 𝑛 = 4 × 4, et l’élément β a son support inclus dans {1, 2, 3, 4, 13, 14, 15, 16} et
seules les boîtes S 1 et S 4 sont actives. Après la permutation P, la sortie de S 1 et S 4 est diffusée sur les bits
d’indices I = {3, 4, 6, 7, 8, 11, 14, 16}. Il suffira donc de faire une recherche exhaustive sur ces indices de la
clef de dernier tour K 𝑟−1 .
𝑥𝑟−1
S1 S4
𝑢𝑟
𝑣𝑟
K 𝑟−1
Il nous reste à voir comment établir une telle équation ⟨α, 𝑚⟩⊕⟨β, 𝑥𝑟−1 ⟩ = 0 et sa probabilité. On le voit
toujours dans le cadre d’un SPN, en observant l’évolution d’une équation pour chaque étape élémentaire.
L’étape de permutation des bits du bloc, P, va permuter les bits utilisés dans l’équation. On suppose
1
avoir établi une équation ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑢⟩ = 0 vérifiée avec probabilité + ϵ. On note 𝑣 = P(𝑢). On aura
2
1
⟨α, 𝑚⟩⊕⟨P(β), 𝑣⟩ = 0 vérifiée toujours avec probabilité +ϵ. En effet, si non note toujours P la permutation
2
des indices {1, … , 𝑛}, on a pour tout 𝑖 ∈ {1, … , 𝑛}, 𝑢𝑖 = 𝑣P(𝑖) . On a ⟨β, 𝑢⟩ = ∑𝑖 β𝑖 𝑢𝑖 = ∑𝑖 β𝑖 𝑣P(𝑖) = ∑𝑖 βP−1 (𝑖) 𝑣𝑖 =
∑𝑖 P(β)𝑖 𝑣𝑖 = ⟨P(β), 𝑣⟩.
1
Pour l’ajout de clef, supposons que l’on ait ⟨α, 𝑥⟩ ⊕ ⟨β, 𝑣⟩ = 0 vérifiée avec probabilité + ϵ. Soit
2
𝑧 = 𝑣 ⊕ K. Alors l’équation devient ⟨α, 𝑥⟩ ⊕ ⟨β, 𝑧⟩ ⊕ ⟨β, K⟩ = 0, toujours vraie avec même probabilité. La
quantité ⟨β, K⟩ est fixe et ne dépend pas du choix de l’entrée. Si ⟨β, K⟩ = 0, l’équation ⟨α, 𝑥⟩ ⊕ ⟨β, 𝑧⟩ = 0 est
1 1 1
vraie avec probabilité + ϵ sinon, si ⟨β, K⟩ = 1,cette équation est vraie avec probabilité 1 − ( + ϵ) = − ϵ.
2 2 2
1
Au final, quelque soit la clef, l’équation ⟨α, 𝑥⟩ ⊕ ⟨β, 𝑧⟩ = 0 est vérifiée avec probabilité ± ϵ.
2
L’étape de substitution va être le cœur du calcul de l’approximation linéaire. Soit S une boîte S de
F𝑠2 → F𝑠2 . On établit la matrice L à coefficients entiers de taille 2𝑠 × 2𝑠 :
L(α, β) = Card𝑥 ∈ F𝑠2 ∣ ⟨α, 𝑥⟩ ⊕ ⟨β, S(𝑥)⟩ = 0,
– 44 –
2. Cryptanalyse différentielle
où α, β ∈ F𝑠2 sont identifiés avec les entiers de 0 à 2𝑠 − 1 pour les indices de positions dans la matrice. De
cette matrice, on déduira les probabilités
L(α, β)
𝑝α,β = Pr⟨α, 𝑥⟩ ⊕ ⟨β, S(𝑥)⟩ = 0 = ⋅
2𝑠
Une fois calculées les matrices L pour chaque boîte S intervenant dans un SPN, on peut calculer la
propagation au travers de l’étape de confusion à chaque tour. Ainsi, si 𝑥 = 𝑥(1) |𝑥(2) | … |𝑥(ℓ) est transformé en
𝑢 = S 1 (𝑥(1) )|S 2 (𝑥(2) )| … |S ℓ (𝑥(ℓ) ) et si α = α(1) | … |α(ℓ) et β = β(1) | … |β(ℓ) alors l’équation ⟨α, 𝑥⟩ ⊕ ⟨β, 𝑢⟩ = 0 est
la somme des équations ⟨α(𝑗) , 𝑥(𝑗) ⟩ ⊕ ⟨β(𝑗) , 𝑢(𝑗) ⟩ = 0 pour 𝑗 = 1, … , ℓ. Chaque sous bloc évoluant de manière
indépendante, on calcule la probabilité de cette somme d’équations en utilisant le lemme d’empilement
(Piling-up Lemma) suivant.
Lemme VIII – 1 (Piling-up Lemma). Soit Z 1 , Z 2 , … , Z 𝑟 des variables aléatoires binaires indépendantes
1
telles que Pr[Z 𝑖 = 0] = ± ϵ𝑖 , pour tout 𝑖 ∈ {1, … , 𝑟}. Alors,
2
𝑟
1
Pr[Z 1 ⊕ ⋯ ⊕ Z 𝑟 = 0] = ± 2𝑟−1 ϵ𝑖 .
2 𝑖=1
Démonstration. Ce lemme se démontre par récurrence. La démonstration repose sur le cas de deux va-
riables. Pour avoir Z 1 ⊕ Z 2 = 0, on a deux cas : Z 1 = Z 2 = 0 et Z 1 = Z 2 = 1. Comme Z 1 et Z 2 sont
1 1 1 1 1
indépendantes, ceci arrive avec probabilité ( + ϵ1 )( + ϵ2 ) + ( − ϵ1 )( − ϵ2 ) = + 2ϵ1 ϵ2 .
2 2 2 2 2
Au final, on est capable de calculer des approximations linéaires pour chaque tour, du type ⟨α𝑖−1 , 𝑥𝑖−1 ⟩ ⊕
1
⟨α𝑖 , 𝑥𝑖 ⟩ = 0 vérifiée avec probabilité ± ϵ𝑖 . Pour en déduire la probabilité de l’équation ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑥𝑟−1 ⟩ =
2
0 = ⟨α0 , 𝑥0 ⟩ ⊕ ⟨α𝑟−1 , 𝑥𝑟−1 ⟩, on réutilise le lemme d’empilement, sous l’hypothèse d’indépendance des ap-
proximations de tours. En effet, en sommant chaque approximation, on trouve ⟨α, 𝑚⟩ ⊕ ⟨β, 𝑥𝑟−1 ⟩ = 0 =
1 𝑟
⟨α0 , 𝑥0 ⟩ ⊕ ⟨α𝑟−1 , 𝑥𝑟−1 ⟩ avec probabilité ± 2𝑟−1 ∏𝑖=1 ϵ𝑖 .
2
2. Cryptanalyse différentielle
On doit la cryptanalyse différentielle à Biham et Shamir en 1990 mais elle était connue des concepteurs
du DES dans les années 70. C’est une attaque à messages clairs choisis, sur les constructions itératives de
chiffrement par bloc.
Le principe général est le suivant. On considère deux messages clairs 𝑚 et 𝑚⋆ , et on appelle diffé-
rence la somme α ∶= 𝑚 ⊕ 𝑚⋆ . On s’intéresse à l’évolution des différences à chaque tour (appelée chemin
différentiel).
F K0 F K1 F K𝑟−2 F K𝑟−1
𝑚 ⊕ 𝑚 ⋆ = 𝑥 0 ⊕ 𝑥⋆
0 𝑥1 ⊕ 𝑥⋆
1 𝑥2 ⊕ 𝑥 ⋆
2
… 𝑥𝑟−1 ⊕ 𝑥⋆
𝑟−1 𝑥𝑟 ⊕ 𝑥⋆
𝑟 =𝑐⊕𝑐
⋆
férentiel, α, F K0 (α), F K1 (F K0 (α)), … . Comme cette fonction de tour n’est pas linéaire, un tel chemin diffé-
rentiel ne va pas être suivi avec probabilité 1 (sur les choix de 𝑚, 𝑚⋆ tel que 𝑚 ⊕ 𝑚⋆ = α) mais va être suivi
avec probabilité plus ou moins grande.
P α,β = Pr𝑥𝑟−1 ⊕ 𝑥⋆ ⋆
𝑟−1 = β ∣ 𝑚 ⊕ 𝑚 = α
– 45 –
Chapitre VIII : Cryptanalyses linéaire et différentielle
1
et on suppose connaître (α, β) tel que P α,β est élevée (éloignée de l’uniforme, 𝑛 où 𝑛 est la taille des blocs).
2
On se sert de cette probabilité pour tester des candidats pour la clef K 𝑟−1 du dernier tour comme pour la
cryptanalyse linéaire.
Lors d’une attaque à clairs choisis, on récupère un grand nombre de couples clairs chiffrés, (𝑚, 𝑐) et
(𝑚⋆ , 𝑐⋆ ) tel que 𝑚 ⊕ 𝑚⋆ = α. Pour ces couples, on doit avoir la différence à l’entrée du dernier tour,
𝑥𝑟−1 ⊕ 𝑥⋆
𝑟−1 égale à β avec probabilité P α,β . Pour chaque couple (𝑚, 𝑐) et (𝑚 , 𝑐 ), on remonte le dernier tour,
⋆ ⋆
en calculant pour toutes les valeurs possibles K de la clef de dernier tour K 𝑟−1 ,
𝑧K = F K−1 (𝑐) et 𝑧⋆ −1 ⋆
K = F K (𝑐 ).
Si 𝑧K ⊕ 𝑧⋆
K = β, on incrémente un compteur pour la clef K. Pour la « bonne » clef, K = K 𝑟−1 , le compteur
doit être incrémenté avec probabilité P α,β . Pour les mauvaises, les valeurs 𝑧K et 𝑧⋆
K sont indépendantes de
1
𝑚 et 𝑚⋆ et on s’attend à avoir 𝑧K ⊕ 𝑧⋆
K = β avec probabilité .
2𝑛
Comme pour la cryptanalyse linéaire, on ne fait pas une recherche exhaustive sur toute la clef du dernier
tour, K 𝑟−1 . On choisit un β donnant peu de boîtes actives et on se limite à vérifier si 𝑥𝑟−1 ⊕ 𝑥⋆
𝑟−1 = β au
niveau de l’entrée de celles ci.
Pour calculer la probabilité P α,β , toujours dans le cas d’un SPN, on la calcule en observant la propa-
gation des différences sur les étapes élémentaires comme pour la cryptanalyse linéaire. Pour les étapes
linéaires, de type 𝑣 = P(𝑢), on a déjà vu qu’une différence α devient β = P(α) avec probabilité 1. Pour
l’ajout de la clef de tour, 𝑥 = 𝑣 ⊕ K, une différence α reste inchangée, donc β = α avec probabilité 1. En
particulier les probabilités de propagation des différences ne dépendent pas de la clef secrète utilisée, elles
ne dépendent que de l’algorithme de chiffrement et peuvent donc être pré calculées.
Le calcul des propagations des différences au travers des boîtes S va être le cœur du calcul d’un chemin
différentiel. Soit S une boîte S de F𝑠2 → F𝑠2 . On calcule la matrice D à coefficients entiers de taille 2𝑠 × 2𝑠 :
où α, β ∈ F𝑠2 sont identifiés avec les entiers de 0 à 2𝑠 − 1 pour les indices de positions dans la matrice. De
cette matrice, on déduira les probabilités
D(α, β)
𝑝α,β = PrS(𝑥) ⊕ S(𝑥⋆ ) = β ∣ 𝑥 ⊕ 𝑥⋆ = α = ⋅
2𝑠
Une fois calculées les matrices D pour chaque boîte S intervenant dans un SPN, on peut calculer la
propagation au travers de l’étape de confusion à chaque tour. Ainsi, si 𝑥 = 𝑥(1) |𝑥(2) | … |𝑥(ℓ) est transformé
en 𝑢 = S 1 (𝑥(1) )|S 2 (𝑥(2) )| … |S ℓ (𝑥(ℓ) ) et si α = α(1) | … |α(ℓ) et β = β(1) | … |β(ℓ) alors on vérifie facilement, chaque
sous bloc évoluant de manière indépendante que
ℓ
Pr[𝑢 ⊕ 𝑢⋆ = β ∣ 𝑥 ⊕ 𝑥⋆ = α] = Pr[𝑢(𝑗) ⊕ 𝑢⋆ (𝑗) = β(𝑗) ∣ 𝑥(𝑗) ⊕ 𝑥⋆ (𝑗) = α(𝑗) ].
𝑗=1
Au final, on est capable de calculer des probabilités de propagation pour chaque tour, du type P α𝑖−1 ,α𝑖 =
Pr[𝑥𝑖 ⊕ 𝑥⋆ ⋆ ⋆
𝑖 = α𝑖 ∣ 𝑥𝑖−1 ⊕ 𝑥𝑖−1 = α𝑖−1 ]. Pour calculer Pr𝑥𝑟−1 ⊕ 𝑥𝑟−1 = β ∣ 𝑚 ⊕ 𝑚 = α, Biham et Shamir
⋆
font l’hypothèse que les tours sont indépendants (les clefs de tours rajoutant de l’aléa). Cette hypothèse
est assez bien vérifiée en pratique. De plus, plutôt que de considérer toutes les possibilités de chemins
différentiels donnant 𝑚 ⊕ 𝑚⋆ = α puis 𝑥𝑟−1 ⊕ 𝑥⋆ 𝑟−1 = β, on s’intéresse à un chemin particulier, du type
F K0 F K1 F K𝑟−2
α = α0 α1 α2 … α𝑟−1 = β
– 46 –
2. Cryptanalyse différentielle
Sous l’hypothèse d’indépendance des tours, un tel chemin se produit avec probabilité
𝑟−1 𝑟−1
P α𝑖−1 ,α𝑖 = Pr[𝑥𝑖 ⊕ 𝑥⋆ ⋆
𝑖 = α𝑖 ∣ 𝑥𝑖−1 ⊕ 𝑥𝑖−1 = α𝑖−1 ],
𝑖=1 𝑖=1
– 47 –
Chapitre VIII : Cryptanalyses linéaire et différentielle
– 48 –
Chapitre IX
1. Réseaux euclidiens
Un réseau (lattice) est un arrangement régulier de points de R𝑛 , muni du produit scalaire défini par :
𝑛 𝑛
pour 𝑥, 𝑦 ∈ R𝑛 , ⟨𝑥, 𝑦⟩ = ∑𝑖=1 𝑥𝑖 𝑦𝑖 . La norme euclidienne est ||𝑥|| = √⟨𝑥, 𝑥⟩ = ∑𝑖=1 𝑥2𝑖 .
√
Plus précisément, un réseau L est un sous groupe discret de (R𝑛 , +), c’est à dire que L ≠ ∅, si 𝑣 ∈ L
alors −𝑣 ∈ L, si 𝑣1 , 𝑣2 ∈ L alors 𝑣1 + 𝑣2 ∈ L. En particulier, le vecteur nul appartient à L et L est stable
par combinaisons linéaires à coefficients entiers : si 𝑏1 , 𝑏2 , … , 𝑏𝑘 ∈ L alors ∑ λ𝑖 𝑏𝑖 ∈ L avec λ𝑖 ∈ Z. Discret
signifie que L n’a pas de point d’accumulation : pour tout 𝑣 ∈ L, il existe une boule B de R𝑛 assez petite
telle B ∩ L = {𝑣}. Par exemple 0 ∪ {1/𝑛, 𝑛 ∈ N∗ } n’est pas discret.
Exemple. Z est un réseau de R :
0
𝑏2
𝑏1
On note ℬ = (𝑏1 , … , 𝑏𝑑 ) une base du réseau (non unique). Toutes les bases de L ont le même nombre
d’éléments appelé dimension du réseau. On note dim L = 𝑑. Si 𝑑 = 𝑛 on dit que L est de rang plein.
𝑑
Pour tout 𝑣 ∈ L, il existe une unique combinaison linéaire λ1 , … , λ𝑑 ∈ Z, 𝑣 = ∑𝑖=1 λ𝑖 𝑏𝑖 .
– 49 –
Chapitre IX : Réseaux euclidiens et cryptanalyse
Pour les applications cryptographiques, en général, les 𝑏𝑖 sont à coordonnées entières. Un réseau sera
représenté par sa base, sous forme d’une matrice 𝑑 × 𝑛 à coefficients entiers dont les lignes expriment les
coordonnées des 𝑏𝑖 dans la base canonique.
Si B et B ′ sont deux matrices représentant deux bases d’un même réseau de dimension 𝑑 alors il existe
une matrice 𝑑 × 𝑑 à coefficients entiers P avec det P = ±1 telle que B ′ = PB. Si ℬ = (𝑏1 , … , 𝑏𝑑 ) est une
base, les opérations élémentaires qui permettent de conserver une base sont 𝑏𝑖 ← −𝑏𝑖 , 𝑏𝑖 ← 𝑏𝑖 + 𝑘𝑏𝑗 avec
𝑘 ∈ Z et 𝑗 ≠ 𝑖 et enfin l’échange de deux vecteurs 𝑏𝑖 ↔ 𝑏𝑗 .
1 0
Exemple. Sur l’exemple du réseau Z2 inclus dans R2 , ℬ = (𝑏1 , 𝑏2 ) avec 𝑏1 = , 𝑏2 = est une base
0 1
1 0 1 1
représentée par la matrice B = . On note 𝑏′1 = 𝑏1 + 𝑏2 , 𝑏′2 = 𝑏2 . La matrice B ′ = représente
0 1 0 1
le même réseau :
𝑏′2 𝑏′1
1 1 2 0
On a B ′ = PB avec P = . Par contre la base B ″ = ne donne pas le même réseau :
0 1 0 1
𝑏″2
𝑏″1
Soit B une matrice représentant une base (𝑏1 , … , 𝑏𝑑 ) d’un réseau L. La matrice de Gram de L est
G = B B T = ⟨𝑏𝑖 , 𝑏𝑗 ⟩
1⩽𝑖,𝑗⩽𝑑
Le déterminant de Gram est det G, il est positif et non nul. On appelle det L = √det G le déterminant
𝑑
du réseau L. C’est le volume du parallélotope formé par les vecteurs de base : {∑𝑖=1 𝑡𝑖 𝑏𝑖 , ∀ 𝑖, 0 ≤ 𝑡𝑖 ≤ 1, 𝑡𝑖 ∈
R}.
On remarque que ce déterminant ne dépend pas de la base choisie : si B ′ = PB, det G ′ = det(PBB T P T ) =
(det P)2 det G = det G. D’autre part, si L est de rang plein B est une matrice carrée et det G = (det B)2 .
Dans ce cas, on a donc det L = √(det B)2 = | det B|.
Sur le dernier exemple, le premier réseau était de déterminant 1 alors que le second était de détermi-
nant 2.
Exemple. Soit
1 2 −1 1
B= , B′ = ,
0 3 1 2
deux bases respectives de réseaux L et L′ de R2 . Exercice : montrer que L = L′ .
– 50 –
2. Réduction de réseau
Soit L un réseau et soit M un réel strictement positif. Comme L est discret, l’ensemble {𝑥 ∈ L⧵{0}, ||𝑥|| ⩽
M} est fini. Il existe donc un plus petit vecteur non nul. Sa norme est appelée minimum du réseau. On
note λ1 (L) = min𝑥∈L⧵{0} ||𝑥||. Étant donné une base d’un réseau, trouver un vecteur (il peut y en avoir
plusieurs) qui atteint le minimum est appelé problème SVP (Shortest Vector Problem). Ce problème a été
prouvé NP-difficile par Ajtai en 1996.
Exemple. On a λ1 (Z2 ) = 1 atteint par (1, 0), (0, 1), (−1, 0), (0, −1). Dans l’exemple précédent, le minimum
était √2 atteint par (−1, 1) et (1, −1).
La deuxième base B ′ obtenue dans cet exemple avait de meilleures propriétés que la première base B :
ces vecteurs étaient plus orthogonaux et de plus elle contient un vecteur atteignant le minimum du réseau.
Dans la suite, on va s’intéresser à un procédé algorithmique permettant d’obtenir une « bonne base » telle
que la base B ′ à partir d’une base quelconque.
D’autres problèmes interviennent en cryptographie basée sur les réseaux, notamment le problème CVP
(Closest Vector Problem) : étant donnés une base d’un réseau, et un vecteur 𝑡 (non nécessairement dans le
réseau), trouver un vecteur du réseau le plus proche de 𝑡. Ce problème est aussi NP-difficile (van Emde
Boas 1981). On peut réduire SVP à CVP.
2. Réduction de réseau
La réduction de réseau consiste à partir d’une base donnée d’un réseau à obtenir une base constituée de
vecteurs le plus court possible et aussi orthogonaux que possible. Elle vise donc en particulier à résoudre ou
du moins à approcher le problème SVP. En dimension 2, on va voir qu’il existe un procédé polynomial. En
dimension quelconque, il va falloir relâcher les propriétés d’une « bonne base » pour garder un algorithme
polynomial.
𝑏2
𝑏′1
𝑏1
On peut montrer que si (𝑏1 , 𝑏2 ) est réduite au sens de Lagrange - Gauss, alors 𝑏1 est un vecteur minimal
de L, autrement dit, λ1 (L) = ||𝑏1 ||.
1
Si (𝑏1 , 𝑏2 ) est une base de L, on peut « ramener » 𝑏2 dans {𝑡1 𝑏1 + 𝑡2 𝑏′1 , 𝑡1 , 𝑡2 ∈ R, |𝑡1 | ⩽ , 𝑡2 > 0} en
2
lui retranchant un multiple de 𝑏1 . Comme (𝑏1 , 𝑏′1 ) est une base de R2 , il existe deux réels, 𝑡1 , 𝑡2 tel que
𝑏2 = 𝑡1 𝑏1 + 𝑡2 𝑏′1 . On a ⟨𝑏1 , 𝑏2 ⟩ = 𝑡1 ⟨𝑏1 , 𝑏1 ⟩. On a donc 𝑡1 = ⟨𝑏1 , 𝑏2 ⟩/⟨𝑏1 , 𝑏1 ⟩. On pose 𝑏′2 = 𝑏2 − ⌊𝑡1 ⌉𝑏1 (entier
1
le plus proche) qui est bien un point de L. Ainsi, 𝑏′2 = (𝑡1 − ⌊𝑡1 ⌉)𝑏1 + 𝑡2 𝑏′1 et |𝑡1 − ⌈𝑡1 ⌉| ⩽ . Notons que 𝑡1 𝑏1
2
est en fait la projection orthogonale de 𝑏2 sur la droite engendrée par 𝑏1 .
– 51 –
Chapitre IX : Réseaux euclidiens et cryptanalyse
𝑏2
2𝑏1
𝑏′2 𝑏′1
2𝑏1
𝑏1 Proj𝑏 (𝑏2 )
1
Algorithme de Lagrange-Gauss
Entrée : (𝑏1 , 𝑏2 ) une base de L avec ||𝑏1 || ⩽ ||𝑏2 ||
Sortie : une base de L réduite au sens de Lagrange - Gauss
Répéter
⟨𝑏1 ,𝑏2 ⟩
𝑏2 ← 𝑏 2 − 𝑏1
⟨𝑏1 ,𝑏1 ⟩
Exemple. On part d’une base 𝑏1 = (6, 1), 𝑏2 = (10, 3). Appliquer l’algorithme de Lagrange-Gauss.
Il est clair que l’algorithme de Lagrange-Gauss retourne bien une base réduite. On peut montrer que
sa complexité est quadratique en la taille des coefficients de l’entrée.
Orthogonalisation de Gram-Schmidt
Soit (𝑏1 , … , 𝑏𝑑 ) une famille libre de 𝑑 vecteurs de R𝑛 . On pose
⎧ ⋆
⎪
⎪ 𝑏1 = 𝑏 1
⎪
⎪ ⟨𝑏 ,𝑏⋆ ⟩
⎪
⎨ 𝑏⋆ = 𝑏𝑖 − ∑𝑖−1 μ𝑖,𝑗 𝑏⋆ avec μ𝑖,𝑗 = ⋆𝑖 𝑗⋆ pour 1 ⩽ 𝑗 < 𝑖, 2 ⩽ 𝑖 ⩽ 𝑑
⎪ 𝑖 𝑗=1 𝑗 ⟨𝑏𝑗 ,𝑏𝑗 ⟩
⎪
⎪
⎪
⎪ 𝑖−1
⎩ = 𝑏 𝑖 − ∑𝑗=1 Proj (𝑏
𝑏⋆ 𝑖
)
𝑗
– 52 –
2. Réduction de réseau
• si 𝑖 ≠ 𝑗, ⟨𝑏⋆ ⋆
𝑖 , 𝑏𝑗 ⟩ = 0.
• le vecteur 𝑏⋆
𝑖 − 𝑏𝑖 est dans l’espace vectoriel engendré par (𝑏1 , … , 𝑏𝑖−1 ), pour 2 ⩽ 𝑖 ⩽ 𝑑.
même réseau.
Soit (𝑏1 , … , 𝑏𝑑 ) une base d’un réseau L. On dit que (𝑏1 , … , 𝑏𝑑 ) satisfait la condition de taille si les
coefficients de son orthogonalisation de Gram-Schmidt vérifient :
1
|μ𝑖,𝑗 | ⩽ , ∀ 1 ⩽ 𝑗 < 𝑖 ⩽ 𝑑.
2
Comme en dimension 2, on va pouvoir en temps polynomial trouver une base satisfaisant la condition
de taille en temps polynomial (par des opérations du type, 𝑏𝑖 ← 𝑏𝑖 − ⌊μ𝑖,𝑗 ⌉𝑏𝑗 ).
3 ⋆ 2
||𝑏 || ⩽ ||𝑏⋆ 2
2 || .
4 1
Pour réduire la taille des vecteurs en dimension supérieure comme en dimension 2, l’idée est de faire
des échanges tant que la base n’est pas assez réduite. Mais pour établir un algorithme polynomial, il ne
fait pas faire trop d’échanges, et donc établir une condition assez lâche. Au rang 𝑖 avec 1 < 𝑖 ⩽ 𝑑, on a
𝑏⋆ ∑𝑖−1 ⋆
𝑖 = 𝑏𝑖 − 𝑗=1 μ𝑖,𝑗 𝑏𝑗 .
Supposons que l’on échange les vecteurs 𝑏𝑖−1 et 𝑏𝑖 . Les vecteurs de la base orthogonalisée vont changer
à partir du rang 𝑖 − 1. Le nouveau vecteur au rang 𝑖 − 1 va être égal à
𝑖−2
∗
B 𝑖−1 ∶= 𝑏𝑖 − μ𝑖,𝑗 𝑏⋆ ⋆ ⋆
𝑗 = 𝑏𝑖 + μ𝑖,𝑖−1 𝑏𝑖−1 .
𝑗=1
La condition utilisée dans l’algorithme LLL est de ne pas échanger les vecteurs si
3 ∗ 2
||𝑏 || ⩽ ||𝑏⋆ ⋆ 2
𝑖 + μ𝑖,𝑖−1 𝑏𝑖−1 || .
4 𝑖−1
3 2 ⋆ 2 ⋆ 2
− μ𝑖,𝑖−1 ||𝑏𝑖−1 || ⩽ ||𝑏𝑖 || .
4
– 53 –
Chapitre IX : Réseaux euclidiens et cryptanalyse
3. Application à la cryptanalyse
Le système de chiffrement de Merkle-Hellman (1978) consiste à masquer une suite super croissante.
– 54 –
3. Application à la cryptanalyse
Cryptosystème de Merkle-Hellman
Génération des clefs :
𝑛 un paramètre de sécurité
𝑗−1
Générer aléatoirement 𝑎1 , … , 𝑎𝑛 à super croissance, avec 2𝑛−1 < 𝑎1 < 2𝑛 puis ∑𝑖=1 𝑎𝑖 <
𝑎𝑗 < 2 𝑛+𝑗−1 pour 𝑗 = 2, … , 𝑛
𝑛
Générer aléatoirement N tel que ∑𝑖=1 𝑎𝑖 < N < 22𝑛
Générer aléatoirement μ ∈ (Z/NZ)×
Poser 𝑏𝑖 ≡ 𝑎𝑖 μ (mod N) pour 𝑖 = 1, … , 𝑛
Retourner (𝑏1 , … , 𝑏𝑛 ) comme clef publique et N, μ, (𝑎1 , … , 𝑎𝑛 ) comme clef privée
Chiffrement de 𝑚 = (𝑚1 , … , 𝑚𝑛 ) ∈ {0, 1}𝑛
𝑛
Retourner 𝑐 = ∑𝑖=1 𝑚𝑖 𝑏𝑖 .
Déchiffrement de 𝑐
Poser 𝑠 = 𝑐μ−1 mod N.
Résoudre le subset sum problem (𝑎1 , … , 𝑎𝑛 ), 𝑠 avec l’algorithme glouton et retourner la
solution
Il est facile de voir que ce chiffrement est consistant. En effet, si 𝑐 est un chiffré de (𝑚1 , … , 𝑚𝑛 ), on a
𝑛 𝑛 𝑛 𝑛
𝑐 = ∑𝑖=1 𝑚𝑖 𝑏𝑖 ≡ ∑𝑖=1 𝑚𝑖 𝑎𝑖 μ (mod N). Donc 𝑠 ≡ 𝑐μ−1 ≡ ∑𝑖=1 𝑚𝑖 𝑎𝑖 (mod N). Comme ∑𝑖=1 𝑚𝑖 𝑎𝑖 < N on a
𝑛
en fait 𝑠 mod 𝑛 = ∑𝑖=1 𝑚𝑖 𝑎𝑖 . Comme 𝑎1 , … , 𝑎𝑛 est à super croissance, l’algorithme glouton retourne bien
(𝑚1 , … , 𝑚𝑛 ).
On considère une attaque consistant, étant donné un chiffré 𝑐 et la clef publique (𝑏1 , … , 𝑏𝑛 ) à retrouver
𝑛
le message clair 𝑚, c’est à dire retrouver (𝑚1 , … , 𝑚𝑛 ) tel que 𝑐 = ∑𝑖=1 𝑚𝑖 𝑏𝑖 . On doit donc résoudre une
instance du subset sum problem a priori difficile.
On peut montrer que trouver des solutions à de telles instances revient à résoudre un problème de type
CVP dans un réseau adéquat. Pour résoudre un problème CVP, une technique heuristique générale due à
Kannan consiste à résoudre un problème SVP dans un réseau de dimension plus grande. Ceci mène à la
méthode de Lagarias et Odlyzko que l’on détaille dans la suite.
La densité d’une instance du subset sum problem est défini par
𝑛
𝑑= ⋅
log max(𝑏𝑖 )
On sait résoudre presque tous les subset sum problem en temps polynomial en utilisant LLL s’ils sont à faible
densité (𝑑 < 1/𝑛, Lagarias-Odlyzko 1985). De plus Lagarias-Odlyzko ont montré que pour 𝑑 < 0.645 alors
presque tous les subset sum problem se réduisent à un problème SVP.
𝑛 1
Pour le système de Merkle-Hellman on a 𝑑 ≈ ≈ . On va voir comment faire notre attaque en
2𝑛 2
cherchant un vecteur court dans un réseau en suivant les idées de Lagarias-Odlyzko.
À 𝑐, (𝑏1 , … , 𝑏𝑛 ) on associe le réseau L ⊂ R𝑛+2 de dimension 𝑛 + 1 engendré par
⎛ ⎞
⎜⎜ 1 0 0 0 … 0 K𝑏1 ⎟⎟
⎜⎜⎜ 0 1 0 0 … 0 K𝑏2 ⎟⎟⎟⎟
⎜
A ∶= ⎜⎜⎜ ⋮ ⋮ ⋱ ⋱ ⋱ ⋮ ⋮ ⎟⎟⎟
⎜⎜ ⎟
⎜⎜⎝ 0 0 … 0 1 0 K𝑏𝑛 ⎟⎟⎟
⎠
0 0 … 0 0 1 −K𝑐
où K est un entier.
𝑛+1
Soit 𝑒1 , … , 𝑒𝑛+1 les lignes de A. Calculons les coordonnées d’un vecteur 𝑣 ∈ L. On a 𝑣 = ∑𝑖=1 𝑣𝑖 𝑒𝑖 =
𝑛 𝑛
(𝑣1 , 𝑣2 , … , 𝑣𝑛+1 , K(∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)). On a donc ||𝑣||2 = 𝑣21 + 𝑣22 + … 𝑣2𝑛+1 + K 2 (∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)2 . À une
𝑛
solution du subset sum problem, 𝑐 = ∑𝑖=1 𝑚𝑖 𝑏𝑖 , on fait correspondre le vecteur 𝑚 = 𝑚1 𝑒1 + … 𝑚𝑛 𝑒𝑛 + 𝑒𝑛+1 ∈ L,
𝑛
soit 𝑚 = (𝑚1 , … 𝑚𝑛 , 1, 0) car (∑𝑖=1 𝑚𝑖 𝑏𝑖 − 𝑐) = 0. Ce sont donc des vecteurs courts, ||𝑚||2 ⩽ 𝑛 + 1.
– 55 –
Chapitre IX : Réseaux euclidiens et cryptanalyse
𝑛 𝑛 𝑛
Or 𝑣21 + 𝑣22 + … 𝑣2𝑛+1 + K 2 (∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)2 > K 2 (∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)2 > (𝑛 + 1)(∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)2 . En
combinant les deux inégalités, on obtient que
⎛ ⎞2
⎜⎜ 𝑛 ⎟⎟
(𝑛 + 1) ⎜⎜⎜ 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐⎟⎟⎟ < 𝑛 + 1,
⎝ ⎠
𝑖=1
𝑛 𝑛
soit (∑𝑖=1 𝑣𝑖 𝑏𝑖 − 𝑣𝑛+1 𝑐)2 < 1, donc ∑𝑖=1 𝑣𝑖 𝑏𝑖 = 𝑣𝑛+1 𝑐 qui sera une solution du subset sum problem si 𝑣𝑛+1 = 1.
Les solutions du subset sum problem donnent donc des vecteurs courts et réciproquement des vecteurs
courts peuvent donner des solutions. En pratique, on réduit la base A avec LLL et on cherche dans la base
obtenue un vecteur qui correspondent à une solution (𝑣𝑖 ∈ {0, 1}, 𝑣𝑛+1 = 1 et 𝑣𝑛+2 = 0). Cette méthode
donne de bons résultats.
Considérons le problème RSA suivant. On pose N = 𝑝𝑞 un entier RSA, produit de deux grands nombres
premiers distincts. Soit C ≡ M 𝑒 (mod N) avec 𝑒 premier avec φ(N). Retrouver M à partir de C revient à
trouver une racine au polynôme 𝑥𝑒 − C dans Z/NZ ce qui est un problème difficile si N n’est pas premier.
1
Si M < N 𝑒 , alors M 𝑒 mod N = M 𝑒 dans Z. Il suffit donc de trouver une racine de 𝑥𝑒 − C dans Z, ce qu’on
sait faire efficacement.
Coppersmith propose d’étendre cette attaque. Supposons que 0 ⩽ M < N et que l’on connaît une
1
proportion de 1 − bits de poids fort de M (par exemple 𝑒 = 3, et on connaît 2/3 des bits de M). On a
𝑒
1
alors M = M 0 + M ′ avec M ′ connu et M 0 inconnu et M 0 < N 𝑒 . L’équation C ≡ M 𝑒 (mod N) devient
C ≡ (M 0 + M ′ )𝑒 (mod N) et M 0 est une petite racine de (𝑥 + M ′ )𝑒 − C dans Z/NZ. L’algorithme de
Coppersmith va permettre de retrouver une telle racine.
Théorème IX – 1 (Coppersmith 96). Soit N un entier à la factorisation inconnue, et 𝑓 un polynôme de
1
degré 𝑘 unitaire de Z[𝑥]. Il existe un algorithme retrouvant les entiers 𝑥0 avec |𝑥0 | < N 𝑘 et 𝑓(𝑥0 ) ≡ 0
9
(mod N) en temps 𝒪 (𝑘5 log N).
Pour l’application sur RSA, on a 𝑘 = 𝑒 qui est petit et l’algorithme devient polynomial. La démons-
tration de ce théorème est constructive, on explicite l’algorithme. L’idée est de construire à partir de 𝑓
un polynôme 𝑔 avec des coefficients relativement petit (par rapport à N) afin que 𝑔(𝑥0 ) = 0 dans Z. Le
relativement petit est précisé par le lemme suivant.
Lemme IX – 2 (Howgrave-Graham 97). Soit 𝑔(𝑥) un polynôme de degré 𝑘 de Z[𝑥], 𝑚 ∈ N un paramètre.
Supposons que 𝑔(𝑥0 ) ≡ 0 (mod N 𝑚 ) avec |𝑥0 | < X. On note 𝑔(𝑥X) le vecteur (𝑔0 , 𝑔1 X, 𝑔2 X 2 , … , 𝑔𝑘 X 𝑘 ) si 𝑔
𝑘 N𝑚
est le polynôme 𝑔(𝑥) = ∑𝑖=0 𝑔𝑖 𝑥𝑖 . Supposons de plus que ||𝑔(𝑥X)|| < alors 𝑔(𝑥0 ) = 0 dans Z.
√𝑘+1
Démonstration. On a
𝑘 𝑘 𝑘
|𝑔(𝑥0 )| = | 𝑔𝑖 𝑥𝑖𝑜 | ⩽ |𝑔𝑖 𝑥𝑖𝑜 | ⩽ |𝑔𝑖 |X 𝑖 = < (|𝑔0 |, |𝑔1 |X, … , |𝑔𝑘 |X 𝑘 ), (1, … , 1) >
𝑖=0 𝑖=0 𝑖=0
– 56 –
3. Application à la cryptanalyse
⎛ ⎞
⎜⎜ N 𝑚 ⎟⎟ 𝑔0,0 (𝑥) = N 𝑚
⎜⎜ ⎟⎟
⎜⎜ N 𝑚 X ⎟⎟ 𝑔0,1 (𝑥) = N 𝑚 𝑥
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜⎜ ⎟⎟
⎟⎟
⎜⎜ ⎟⎟
⎜⎜ N 𝑚 X 𝑘−1 ⎟⎟ 𝑔0,𝑘−1 (𝑥) = N 𝑚 𝑥𝑘−1
⎜⎜ ⎟⎟
⎜⎜⎜ N 𝑚−1 X 𝑘 ⎟⎟ 𝑔1,0 (𝑥) = N 𝑚−1 𝑓(𝑥)
⎜⎜ ⎟⎟
⎜⎜
⎜⎜ N 𝑚−1 X 𝑘+1 ⎟⎟
⎟⎟ 𝑔1,1 (𝑥) = N 𝑚−1 𝑥𝑓(𝑥)
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ N 𝑚−1 X 2𝑘−1 ⎟⎟ 𝑔1,𝑘−1 (𝑥) = N 𝑚−1 𝑥𝑘−1 𝑓(𝑥)
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ NX 𝑘(𝑚−1) ⎟⎟ 𝑔𝑚−1,0 (𝑥) = N𝑓(𝑥)𝑚−1
⎜⎜ ⎟⎟
⎜⎜ NX 𝑘(𝑚−1)+1 ⎟⎟ 𝑔𝑚−1,1 (𝑥) = N𝑥𝑓(𝑥)𝑚−1
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ ⎟⎟
⎜⎜ NX 𝑘𝑚−1 ⎟⎟ 𝑔𝑚−1,𝑘−1 (𝑥) = N𝑥𝑘−1 𝑓(𝑥)𝑚−1
⎜⎜ ⎟⎟
⎝ 𝑘𝑚 ⎠ 𝑓𝑚 (𝑥)
X
La majoration du produit scalaire par le produit des normes correspond à l’inégalité de Cauchy-Schwarz.
Comme |𝑔(𝑥0 )| ≡ 0 (mod N 𝑚 ), on a |𝑔(𝑥0 )| = AN 𝑚 dans Z pour un certain A ∈ Z mais comme |𝑔(𝑥0 )| < N 𝑚
on a forcément A = 0, c’est à dire 𝑔(𝑥0 ) = 0 dans Z.
1
Soit 𝑓 un polynôme de degré 𝑘 unitaire de Z[𝑥], 𝑥0 avec |𝑥0 | < N 𝑘 et 𝑓(𝑥0 ) ≡ 0 (mod N) . La réduction
de réseau va intervenir pour construire à partir de 𝑓 un polynôme avec de petits coefficients satisfaisant
les hypothèses du lemme précédent. Soit 𝑚 un paramètre. On considère une famille de polynômes de la
forme
𝑔𝑖,𝑗 (𝑥) = N 𝑚−𝑖 𝑥𝑗 𝑓(𝑥)𝑖 pour 0 ⩽ 𝑖 ⩽ 𝑚 − 1 et 0 ⩽ 𝑗 ⩽ 𝑘 − 1.
On rajoute à cette famille le polynôme 𝑓𝑚 , on obtient ainsi 𝑑 ∶= 𝑚𝑘 + 1 polynômes.
𝑗
Il existe un entier A ∈ Z tel que 𝑓(𝑥0 ) = AN. On a donc pour tout 𝑖, 𝑗, 𝑔𝑖,𝑗 (𝑥0 ) = N 𝑚−𝑖 𝑥0 A𝑖 N 𝑖 ≡ 0
(mod N 𝑚 ). De même, on obtient que 𝑓𝑚 (𝑥0 ) ≡ 0 (mod N 𝑚 ).
On construit un réseau L de dimension 𝑑 engendré par la matrice carrée G dont les lignes sont formées
par les vecteurs 𝑔𝑖,𝑗 (𝑥X) pour 0 ⩽ 𝑖 ⩽ 𝑚 − 1 et 0 ⩽ 𝑗 ⩽ 𝑘 − 1 et le vecteur 𝑓𝑚 (𝑥X) où X est une borne à
déterminer plus tard. Comme ces polynômes sont de degrés croissants, on obtient la matrice triangulaire
inférieure, G, donnée en figure IX.1.
Chaque vecteur de ce réseau peut être identifié à un polynôme ayant 𝑥0 comme racine modulo N 𝑚 .
Comme L est de rang plein, on a det L = | det G|. Comme la matrice est triangulaire, son déterminant
est le produit des éléments diagonaux. Sur la diagonale, les X ℓ pour ℓ de 1 à 𝑘𝑚 interviennent, et chaque
N ℓ pour ℓ de 1 à 𝑚 apparaît 𝑘 fois. On a donc
𝑚(𝑚+1) 𝑘𝑚(𝑘𝑚+1)
𝑘
det L = N 2 X 2 .
On pose X = N α , on a alors
𝑘𝑚
logN (det L) = 𝑚 + 1 + α(𝑘𝑚 + 1).
2
– 57 –
Chapitre IX : Réseaux euclidiens et cryptanalyse
On cherche donc la valeur maximale de α permettant d’avoir cette condition satisfaite, c’est à dire
𝑑−1 1 N𝑚
2 4 (det L) 𝑑 ⩽ .
√𝑘 + 1
On néglige les quantités ne dépendant pas de N cette inégalité devient
det L ⩽ N 𝑚𝑑 .
En prenant le logN et comme 𝑑 = 𝑘𝑚 + 1, on obtient,
𝑘𝑚
𝑚 + 1 + α(𝑘𝑚 + 1) ⩽ 𝑚(𝑘𝑚 + 1)
2
La condition sera toujours vraie si
𝑘𝑚
𝑚 + 1 + α(𝑘𝑚 + 1) ⩽ 𝑚(𝑘𝑚)
2
ce qui permet de simplifier par 𝑘𝑚 et en déduire la majoration de α :
𝑚−1
α⩽ ⋅
𝑘𝑚 + 1
1
1
La fraction de droite tendant vers quand 𝑚 tend vers plus l’infini, on trouvera bien toute racine |𝑥0 | ⩽ N 𝑘
𝑘
pour 𝑚 suffisament grand.
De nombreuses applications de généralisation de cette technique sont possibles. Par exemple (Cop-
persmith 97), étant donné N = 𝑝𝑞 et une approximation 𝑝̃ de 𝑝 avec |𝑝 − 𝑝|̃ < N 1/4 , on peut retrouver 𝑝 en
temps polynomial en cherchant une petite racine du polynôme 𝑝̃ + 𝑥 (mod 𝑝), connaissant seulement N.
Une autre application due à Boneh et Durfee en 1999 utilise des petites racines d’un polynôme à deux
variables. Étant donné une clef publique RSA, (N, 𝑒), si l’exposant de déchiffrement satisfait 𝑑 ⩽ 0, 292
alors il est possible de factoriser N en temps polynomial.
– 58 –