LEGAVRE Thomas

Doctorant à Sorbonne Université
Équipe : ALMASTY
Date d'arrivée : 13/05/2024
    Sorbonne Université - LIP6
    Boîte courrier 169
    Couloir 24-25, Étage 4, Bureau 413
    4 place Jussieu
    75252 PARIS CEDEX 05

Tel: 01 44 27 47 28
https://lip6.fr/Thomas.Legavre

Direction de recherche : Damien VERGNAUD
Co-encadrement : RICOSSET Thomas (Thales), MARTINELLI Ange (ANSSI)

Attaques combinées et sécurité résiduelle des algorithmes post-quantiques

La cryptographie post-quantique est ainsi un terrain de jeu évident pour les attaques combinées. En effet, de nombreux schémas sont sensibles à des cryptanalyses puissantes dès lors que l'on a de l'information sur certaines données manipulées par l'algorithme [1,3,4]. De plus, le nouvel appel à standard du NIST pour des signatures post-quantiques additionnelles offre des sujets d'étude tout trouvés pour ce type d'attaques. Un des challenges pour un industriel de la sécurité comme Thales, est d'être capable d'évaluer la sécurité de ses produits. Or, la complexité d'une attaque combinée est quelque chose de potentiellement difficile à estimer. Dans certains cas, on peut être capable d'évaluer à priori la complexité nécessaire à une attaque générique en incluant la connaissance de certaines valeurs ou certains biais. C'est ce que fait par exemple [2] dans le cas de la réduction de réseaux euclidiens. L'objectif de cette thèse est d'explorer ces deux facettes d'un même problème : comment exploiter les fuites acquises lors d'une SCA pour aboutir à un recouvrement de clé, et comment évaluer a priori la complexité résiduelle d'un algorithme post-quantique. Au sein de l'équipe Almasty du LIP6 et du service de cryptographie de Thales, le doctorant sera amené à étudier les différentes techniques de cryptanalyse qui s'appliquent aux algorithmes post-quantiques, ainsi que les attaques par canaux auxiliaires et combinées existantes contre ceux-ci. Une attention particulière sera portée aux techniques de réduction de réseau permettant d'attaquer le problème BDD (pour Bounded Distance Decoding) et à l'analyse de la dimensionnalité de ces attaques lorsque certaines informations, recueillies au cours d'une SCA, sont connues sur la solution BDD. Cette approche pourra en particulier aboutir à des attaques combinées sur les implémentations des futurs algorithmes standards ML-KEM (aussi connu sous le nom Kyber), ML-DSA (aussi connu sous le nom Dilithium) ou encore FN-DSA (aussi connu sous le nom Falcon) et permettre d'estimer leur résistance à de telles attaques et plus généralement aux attaques par canaux auxiliaires. Une piste de recherche envisagée dans le cadre de cette thèse est l'amélioration et l'adaptation à d'autres algorithmes post-quantiques des attaques combinées sur Falcon [4,5]. Parmi les objectifs visés, la réduction du nombre de traces, et ainsi de la complexité de l'attaque, pourrait être atteinte grâce à des techniques similaires à celles développées dans [2]. En particulier, des informations concernant le signe des coefficients secrets, recueillis au cours d'une attaque par canaux auxiliaires, pourraient permettre de réduire la complexité de l'étape finale de réduction de réseau qui a une influence directe sur le nombre de traces nécessaires à l'attaque.