Academic literature on the topic 'Cryptanalyse quantique'

Nous étudions la sécurité de systèmes cryptographiques face à un adversaire muni d'un ordinateur quantique. En algorithmique quantique, nous avons étudié les problèmes de période et de décalage cachés, qui sont les seuls connus à ce jour ayant des applications en cryptographie et pour lesquels le meilleur algorithme quantique connu est plus que polynomialement plus rapide que le meilleur algorithme classique. Nous avons proposé des améliorations, de nouveaux compromis entre temps et mémoire classiques et quantiques, et étendu leur champ d'applications à des cas où seul un oracle classique est accessible. En cryptanalyse, en cryptographie symétrique, nous avons proposé des attaques de constructions symétriques utilisant des décalages cachés, et généralisé moult attaques exploitant des périodes cachées aux cas où l'accès à la construction est classique. Nous avons proposé une cryptanalyse quantique des différentes versions du chiffrement authentifié AEZ ainsi que des versions quantiques de multiples slide attacks, qui sont une famille classique d'attaques. Cette reformulation d'attaques dans le formalisme des périodes cachées nous ont permis de proposer de nouvelles attaques classiques sur différentes variantes du chiffrement MiMC. En cryptographie asymétrique, nous avons proposé une étude concrète et asymptotique de la sécurité quantique de schémas d'échange de clé à base d'isogénies. Enfin, nous avons étudié la sécurité dans des cadres où ces problèmes de structures cachées ne s'appliquent pas, avec la première analyse de sécurité quantique d'AES, le chiffrement symétrique le plus utilisé à l'heure actuelle
In this thesis, we study the security of cryptographic systems against an adversary who has access to a quantum computer. In quantum computing, we studied the hidden period and hidden shift problems, which are among the few known problems that have some applications in cryptogaphy and for which the best known quantum algorithm is more than polynomially faster than the best known classical algorithm. We proposed some improvements, new tradeoffs between classical and quantum time and memory, and extended their scope of applications to cases where only a classical oracle is available. In cryptanalysis, in symmetric cryptography, we proposed some attacks against symmetric constructions based on hidden shifts, and generalized many attacks using hidden periods to cases where the construction is only accessible classically. We proposed a quantum cryptanalysis of the different versions of the authenticated cipher AEZ and some quantum versions of multiple slide attacks, which are a classical family of cryptanalyses. This rewriting of attacks in the formalism of hidden periods has allowed us to propose a new classical attack against multiple variants of the cipher MiMC. In asymmetric cryptography, we proposed a concrete and asymptotic quantum security analysis of some isogeny-based key exchanges. Finally, we studied quantum security in some cases where these hidden structure problems do not apply, with in particular the first quantum security analysis of AES, the most used symmetric cipher to date

La cryptographie à base de réseaux euclidiens est un domaine prometteur pour la construction de primitives cryptographiques post-quantiques. Un problème fondamental, lié aux réseaux, est le problème du plus court vecteur (ou SVP, pour Shortest Vector Problem). Ce problème est supposé être difficile à résoudre même avec un ordinateur quantique. Afin d’améliorer l’efficacité des protocoles cryptographiques, on peut utiliser des réseaux structurés, comme par exemple des réseaux idéaux ou des réseaux modules (qui sont une généralisation des réseaux idéaux). La sécurité de la plupart des schémas utilisant des réseaux structurés dépend de la difficulté du problème SVP dans des réseaux modules, mais un petit nombre de schémas peuvent également être impactés par SVP dans des réseaux idéaux. La principale construction pouvant être impactée par SVP dans des réseaux idéaux est la fonction multilinéaire GGH13. Cette fonction multilinéaire est principalement utilisée aujourd’hui pour construire des obfuscateurs de programmes, c’est-à-dire des fonctions qui prennent en entrée le code d’un programme et renvoie le code d’un programme équivalent (calculant la même fonction), mais qui doit cacher la façon dont le programme fonctionne.Dans cette thèse, nous nous intéressons dans un premier temps au problème SVP dans les réseaux idéaux et modules. Nous présentons un premier algorithme qui, après un pre-calcul exponentiel, permet de trouver des vecteurs courts dans des réseaux idéaux plus rapidement que le meilleur algorithme connu pour des réseaux arbitraires. Nous présentons ensuite un algorithme pour les réseaux modules de rang 2, également plus efficace que le meilleur algorithme connu pour des réseaux arbitraires, à condition d’avoir accès à un oracle résolvant le problème du plus proche vecteur dans un réseau fixé. Le pré-calcul exponentiel et l’oracle pour le problème du plus proche vecteurs rendent ces deux algorithmes inutilisables en pratique.Dans un second temps, nous nous intéressons à la fonction GGH13 ainsi qu’aux obfuscateurs qui l’utilisent. Nous étudions d’abord l’impact des attaques statistiques sur la fonction GGH13 et ses variantes. Nous nous intéressons ensuite à la sécurité des obfuscateurs utilisant la fonction GGH13 et proposons une attaque quantique contre plusieurs de ces obfuscateurs. Cette attaque quantique utilise entre autres un algorithme calculant un vecteur court dans un réseau idéal dépendant d’un paramètre secret de la fonction GGH13
Lattice-based cryptography is a promising area for constructing cryptographic primitives that are plausibly secure even in the presence of quantum computers. A fundamental problem related to lattices is the shortest vector problem (or SVP), which asks to find a shortest non-zero vector in a lattice. This problem is believed to be intractable, even quantumly. Structured lattices, for example ideal lattices or module lattices (the latter being a generalization of the former), are often used to improve the efficiency of lattice-based primitives. The security of most of the schemes based on structured lattices is related to SVP in module lattices, and a very small number of schemes can also be impacted by SVP in ideal lattices.In this thesis, we first focus on the problem of finding short vectors in ideal and module lattices.We propose an algorithm which, after some exponential pre-computation, performs better on ideal lattices than the best known algorithm for arbitrary lattices. We also present an algorithm to find short vectors in rank 2 modules, provided that we have access to some oracle solving the closest vector problem in a fixed lattice. The exponential pre-processing time and the oracle call make these two algorithms unusable in practice.The main scheme whose security might be impacted by SVP in ideal lattices is the GGH13multilinear map. This protocol is mainly used today to construct program obfuscators, which should render the code of a program unintelligible, while preserving its functionality. In a second part of this thesis, we focus on the GGH13 map and its application to obfuscation. We first study the impact of statistical attacks on the GGH13 map and on its variants. We then study the security of obfuscators based on the GGH13 map and propose a quantum attack against multiple such obfuscators. This quantum attack uses as a subroutine an algorithm to find a short vector in an ideal lattice related to a secret element of the GGH13 map

Dans cette thèse nous nous intéressons à la cryptographie utilisant des codes correcteurs. Cette proposition, née du système de chiffrement à clef publique de McEliece, est à ce jour considérée comme post-quantique, ie : pouvant être utilisée sur ordinateur classique et résistante face à un adversaire muni d'un ordinateur quantique. Nous avons élaboré des attaques contre le schéma de signature RankSign, qui faisait partie des soumissions au processus de standardisation post-quantique du NIST, ainsi que contre le premier chiffrement fondée sur l'identité utilisant des codes. Nous proposons une nouvelle signature utilisant des codes : Wave. Nous avons introduit une nouvelle trappe, les codes (U,U+V)-généralisés. Nous montrons comment les utiliser pour décoder en des distances où le décodage est génériquement difficile. Nous montrons ensuite que pour ces codes la stratégie de Gentry Peikert et Vaikuntanathan, fructueuse en cryptographie utilisant des réseaux, peut être suivie. Cela est en partie dû à une méthode de rejet qui évite toute fuite d’information. Notre système repose sur le décodage générique à grande distance. Nous avons alors étudié la complexité de résolution de ce problème et proposé le meilleur algorithme connu à ce jour pour le résoudre. Nous étudions une des rares alternatives du décodage par ensemble d'information : le décodage statistique. Nous améliorons les techniques pour trouver des équations de parité de modéré puis nous donnons la première étude asymptotique de ce décodeur grâce à de nouveaux sur les polynômes de Krawtchouk. Nous montrons alors que le décodage statistique n'est pas compétitif avec les décodeurs par ensemble d'information
In this thesis we study code-based cryptography. By this term we mean the crypto-systems whose security relies on the generic decoding problem. The first of those systems is a public key encryption scheme proposed by McEliece in 1978. Four decades later, no attack is known to present a serious threat on the system, even on a quantum computer. This makes code-based cryptography a credible candidate for post-quantum cryptography. First we give attacks against the code-based signature scheme RankSign, which was proposed to the post-quantum standardization of the NIST, and against the first code-based Identity-Based-Encryption scheme. On the other hand we propose a new code-based signature scheme: Wave. For this design we introduced a new trapdoor, the family of generalized (U,U+V)-codes. We show how to decode them for weights such that the generic decoding problem is hard. Then we show how to follow the Gentry-Peikert and Vaikuntanathan strategy which has proved to be fruitful in lattice-based cryptography. This was done by avoiding any information leakage of signatures thanks to an efficient rejection sampling. Furthermore, for the first time we propose a crypto-system whose security relies on the generic decoding problem for high distances. We give in this thesis the best known algorithm to solve this problem. At last, we study one of the few alternatives to information set decoding: the statistical decoding. First we improve algorithms to compute parity-check equations of small or moderate weight and we make the first asymptotic study of its complexity. We show that statistical decoding is not competitive with information set decoding contrary to what was claimed. This study relies on new results about Krawtchouk polynomials

La cryptographie basée sur les codes correcteurs d’erreurs est un des domaines permettant de construire des cryptosystèmes post-quantiques, c’est à dire résistants à l’ordinateur quantique. Contrairement à la factorisation et au logarithme discret,qui sont les deux problèmes les plus utilisés à l’heure actuelle en cryptographie, aucun algorithme n’est connu pour résoudre le problème de décodage de codes correcteurs aléatoires en temps polynomial avec un ordinateur quantique.Dans cette thèse, on se concentre plus particulièrement sur la cryptographie basée sur la métrique rang, dans laquelle on étudie des codes correcteurs munis de la métrique rang plutôt que la métrique de Hamming. Cette métrique présente l’avantage de pouvoir construire des cryptosystèmes avec de plus petites tailles de clés, mais est moins mature que la métrique de Hamming. Nous présentons dans un premier temps deux nouveaux algorithmes de décodage en métrique rang : le premier est un algorithme combinatoire permettant de résoudre le problème de décodage dans le cas de codes aléatoires, et permet donc de mieux estimer la complexité des attaques. Le second est une amélioration de l’algorithme de décodage pour les codes Low Rank Parity Check (LRPC). Nous présentons ensuite deux cryptosystèmes basés sur les codes : un schéma de signature en métrique rang, Durandal, qui est une adaptation de l’approche de Schnorr-Lyubashevsky en métrique euclidienne, et une amélioration du schéma de chiffrement Hamming Quasi-Cyclic (HQC) en métrique de Hamming, pour lequel on propose une nouvelle analyse du taux d’échec de déchiffrement et l’utilisation d’une autre famille de codes correcteurs d’erreurs. Nous nous intéressons ensuite à deux adaptations de l’approche de Schnorr-Lyubashevsky, une en métrique de Hamming et l’autre en métrique rang, pour lesquelles on donne des cryptanalyses permettant de retrouver les clés publiques des schémas en utilisant la fuite d’information dans les signatures. Enfin nous présentons les choix effectués pour implémenter les cryptosystèmes en métrique rang dans la bibliothèque Rank-Based Cryptography (RBC)
Code-based cryptography is one of the fields allowing to build post-quantum cryptosystems, i.e secure against a quantum computer. Contrary to factorization and discrete logarithm, which are the two most used problems in cryptography right now, no algorithm is known to solve the decoding problem for random codes in polynomial time using a quantum computer. In this thesis, we focus on rank-based cryptography, in which we study codes based on the rank metric instead of the Hamming metric. This metric has the advantage of allowing to build cryptosystems with lower key sizes, but is less mature than the Hamming metric. Firstly, we present two new decoding algorithms in the rank metric : the first one is a combinatorial algorithm solving the decoding problem for random codes, hence allowing to better estimate the complexity of the attacks. The second one is an improvement of the decoding algorithm for Low Rank Parity Check (LRPC). We then present two code-based cryptosystems : a rank-based signature scheme which is an adaptation of the Schnorr-Lyubashevsky approach in the Euclidean metric, and an improvement of the Hamming Quasi-Cyclic (HQC) encryption scheme, for which we propose a new analysis of the decryption failure rate and the use of another family of error correcting codes. We then study two adaptations of the Schnorr-Lyubashevsky approach : one in the Hamming metric and the other one in the rank metric, for which we propose cryptanalysis allowing to recover secret keys using information leakage from the signatures. Finally we present the choices used to implement rank-based cryptosystems in the Rank-Based Cryptography (RBC) library

La cryptographie à base de codes correcteurs, introduite par Robert McEliece en 1978, est un candidat potentiel au remplacement des primitives asymétriques vulnérables à l'émergence d'un ordinateur quantique. Elle possède de plus une sécurité classique éprouvée depuis plus de trente ans, et permet des fonctions de chiffrement très rapides. Son défaut majeur réside dans la taille des clefs publiques. Pour cette raison, plusieurs variantes du schéma de McEliece pour lesquelles les clefs sont plus aisées à stocker ont été proposées ces dernières années. Dans cette thèse, nous nous intéressons aux variantes utilisant soit des codes alternants avec symétrie, soit des codes de Goppa sauvages. Nous étudions leur résistance aux attaques algébriques et exhibons des faiblesses parfois fatales. Dans chaque cas, nous révélons l'existence de structures algébriques cachées qui nous permettent de décrire la clef secrète par un système non-linéaire d'équations en un nombre de variables très inférieur aux modélisations antérieures. Sa résolution par base de Gröbner nous permet de trouver la clef secrète pour de nombreuses instances hors de portée jusqu'à présent et proposés pour un usage à des fins cryptographiques. Dans le cas des codes alternants avec symétrie, nous montrons une vulnérabilité plus fondamentale du processus de réduction de taille de la clef.Pour un déploiement à l'échelle industrielle de la cryptographie à base de codes correcteurs, il est nécessaire d'en évaluer la résistance aux attaques physiques, qui visent le matériel exécutant les primitives. Nous décrivons dans cette optique un algorithme de déchiffrement McEliece plus résistant que l'état de l'art
Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art.Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art