Coefficient H

En cryptologie, la technique des coefficients H^[1], aussi appelée technique de décorrélation^[2], est une méthode permettant de prouver la sécurité de constructions cryptographiques, en particulier les algorithmes de chiffrement par bloc. Elle constitue une alternative aux preuves par jeux, qui reposent souvent sur des arguments hybrides^[3], et aux preuves d'indifférentiabilité qui nécessitent un simulateur^[4].

La technique a été introduite par le cryptologue français Jacques Patarin en 1991^[5]Modèle:,^[6]Modèle:,^[7] pour l'analyse des constructions de Luby-Rackoff (dont DES est l'archétype), et formalisée autour de 2008^[1]Modèle:,^[2]Modèle:,^[8]. Cette technique a notamment permis d'étudier précisément la sécurité des constructions d'Even-Mansour^[3]Modèle:,^[9] (dont AES est un exemple) et les codes d'authentification CBC-MAC^[10].

L'objectif de la technique des coefficients H est de borner l'avantage d'un adversaire dont l'objectif est de distinguer deux systèmes aléatoires. En général, l'un des systèmes correspond à l'objet réel dont on souhaite prouver la sécurité (par exemple un chiffrement par bloc) et l'autre système est un modèle idéalisé (par exemple une permutation pseudo-aléatoire). L'analyse porte sur une étude combinatoire des échanges entre l'adversaire et chaque système (réel ou idéal), appelés dans ce contexte « transcriptions ». L'ensemble des transcriptions est réparti en deux catégories : les transcriptions « bonnes » (qui correspondent sommairement à un bon accord entre l'objet réel et l'objet idéal) et les « mauvaises ». Ces dernières correspondent à des situations dans lesquelles l'objet étudié se comporte de façon différente de son homologue idéalisé : si elles sont trop nombreuses cela facilite le travaille d'un attaquant.

Il est alors possible de fournir une borne sur l'avantage adversarial, ou dans de nombreux cas lorsqu'une telle borne ne peut être obtenue, de construire explicitement une attaque puisqu'on obtient immédiatement un distingueur.

La technique des coefficients H a été formalisée, avec ce nom, en 2008 par Jacques Patarin^[1]. Cependant on en retrouve l'usage dans plusieurs travaux antérieurs ^[6]Modèle:,^[11]Modèle:,^[12]Modèle:,^[13]Modèle:,^[14], y compris dans sa thèse^[7] puis celle de Serge Vaudenay^[15]. De façon indépendante, Daniel Bernstein introduit en 1999 sous le nom de « théorème d'interpolation » un résultat qui est en fait une variante de la technique des coefficients H^[16]Modèle:,^[17]. Les origines fragmentaires, en français, et le manque de clarté dans les premiers travaux présentant la technique ont beaucoup freiné son adoption^[9]. À partir de 2014, plusieurs travaux ont donc revisité l'approche, clarifiant et simplifiant substantiellement la présentation et permettant une utilisation de la technique dans plus de contextes que ce qui était faisable auparavant^[18]Modèle:,^[19]Modèle:,^[20].

Quelques-unes des constructions qui ont pu bénéficier d'une analyse au moyen de cette technique includent entre autres : les chiffrement de Feistel^[13], MHCBC et MCBC^[21], la construction d'Even-Mansour^[9], CBC-MAC^[22], EWCDM^[23], OCB3^[24], GCM-SIV^[25].

Soit D un adversaire tentant de distinguer entre un modèle idéal et un objet réel^{[Note 1]}. On note ${\displaystyle 𝒯}$ l'ensemble des transcriptions possibles, ${\displaystyle T_{\mathrm{r}}}$ (resp. ${\displaystyle T_{\mathrm{i}}}$) la distribution de probabilités des transcriptions issues de l'objet réel (resp. issues du modèle idéal)^{[Note 2]}. L'ensemble ${\displaystyle 𝒯}$ est partitionné en deux sous-ensembles disjoints ${\displaystyle 𝒯={𝒯}_1\bigsqcup {𝒯}_2}$^{[Note 3]}.

S'il existe ${\displaystyle {ϵ}_1,{ϵ}_2>0}$ tels que pour tout ${\displaystyle \tau \in {𝒯}_1}$on a^[9]Modèle:,^[26] :$${\displaystyle \frac{\mathrm{Pr}[t_{\mathrm{r}}=\tau ]}{\mathrm{Pr}[t_{\mathrm{i}}=\tau ]}\ge 1-{ϵ}_1\text{et}\mathrm{Pr}[t_{\mathrm{i}}\in {𝒯}_2]\le {ϵ}_2}$$avec ${\displaystyle t_{\mathrm{r}}\sim T_{\mathrm{r}}}$ et ${\displaystyle t_{\mathrm{i}}\sim T_{\mathrm{i}}}$, alors ${\displaystyle 𝖠𝖽𝗏(D)\le {ϵ}_1+{ϵ}_2}$, qui est ce que l'on cherche à démontrer.

Pour cela, la technique des coefficients H consiste à introduire une quantité ${\displaystyle H}$ définie comme suit. Fixons un entier positif N, notons ${\displaystyle I_N}$ l'ensemble des chaînes de N bits et soit ${\displaystyle a=(a_i{)}_{1\le i\le m}}$une séquence d'éléments deux à deux distincts de ${\displaystyle I_N}$. Soit ${\displaystyle b=(b_i{)}_{1\le i\le m}}$ une séquence d'éléments de ${\displaystyle I_N}$. On note ${\displaystyle H(a,b)}$ — ou simplement ${\displaystyle H}$ si le contexte de ${\displaystyle a_i}$ et ${\displaystyle b_i}$ est clair — le nombre d'éléments ${\displaystyle k\in K}$ tels que:$${\displaystyle \mathrm{\forall }i,1\le i\le m,G(k)(a_i)=b_i}$$où ${\displaystyle K}$ est un ensemble fixé (dont les éléments seront appelés les « clés ») et ${\displaystyle G}$ est la fonction dont nous voulons étudier la sécurité, selon la situation étudiée. Pour chaque clé ${\displaystyle k\in K}$, ${\displaystyle G(k)}$ est ainsi une fonction de ${\displaystyle I_N}$ dans ${\displaystyle I_N}$. Ainsi, ${\displaystyle H}$ compte le nombre de clés qui envoient toutes les entrées ${\displaystyle a_i}$ vers les valeurs ${\displaystyle b_i}$. Si on parvient à borner ${\displaystyle H}$, alors on obtient en appliquant le résultat ci-dessus une borne sur l'avantage de l'attaquant.

Les théorèmes qui suivent constituent des cas importants, et sont les bases de la technique générale de preuve. L'objectif est de prouver des résultats de sécurité de générateurs de fonctions et de permutations. Les preuves sont mentionnées dans ^[1]Modèle:,^[7]Modèle:,^[27]. Avec cette technique, on obtient un jeu de conditions suffisantes pour établir la sécurité contre différentes classes d'adversaires. Des améliorations de la technique permettent d'obtenir des conditions nécessaires, et ainsi des bornes optimales^[9]. Nous noterons ici KPA les attaques à clairs connus, CPA1 les attaques à clairs choisis non adaptatives, CPA2 les attaques à clairs choisis adaptatives et CCA2 les attaques à clairs et chiffrés choisis adaptatives.

Soit ${\displaystyle \alpha }$ et ${\displaystyle \beta }$ deux nombres réels, ${\displaystyle \alpha >0}$ et ${\displaystyle \beta >0}$. Si pour des valeurs aléatoires ${\displaystyle a_i,b_i,1\le i\le m}$, de ${\displaystyle I_N}$ telles que les ${\displaystyle a_i}$ sont des éléments deux à deux distincts, avec probabilité ${\displaystyle \ge 1-\beta }$ nous avons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$; alors une attaque avec ${\displaystyle m}$ clairs (aléatoires) connus possède un avantage borné ${\displaystyle {𝖠𝖽𝗏}^{\text{KPA}}\le \alpha +\beta }$, dans le jeu consistant à distinguer ${\displaystyle G}$ d'une fonction aléatoire. Ici comme dans la suite, cela signifie distinguer ${\displaystyle G(k)}$ lorsque ${\displaystyle k}$ est tiré uniformément au hasard dans ${\displaystyle K}$ d'une fonction ${\displaystyle f}$ tirée uniformément parmi les fonctions de ${\displaystyle I_N}$ dans ${\displaystyle I_N}$.

Soit ${\displaystyle \alpha }$ et ${\displaystyle \beta }$ deux nombres réels, ${\displaystyle \alpha >0}$ et ${\displaystyle \beta >0}$. Si pour toutes les séquences ${\displaystyle a=(a_i),1\le i\le m}$, de ${\displaystyle m}$ éléments deux à deux distincts de ${\displaystyle I_N}$, il existe un sous-ensemble ${\displaystyle E(a)}$ de ${\displaystyle I_N^m}$ tel que ${\displaystyle |E(a)|\ge (1-\beta )\cdot 2^{Nm}}$ et tel que pour toutes les séquences ${\displaystyle b=(b_i),1\le i\le m}$ de ${\displaystyle E(a)}$ nous avons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$; alors dans une attaque non adaptative avec ${\displaystyle m}$ clairs choisis nous avons : ${\displaystyle {𝖠𝖽𝗏}^{\text{CPA1}}\le \alpha +\beta }$, dans le jeu consistant à distinguer ${\displaystyle G}$ d'une fonction aléatoire.

Soit ${\displaystyle \alpha }$ et ${\displaystyle \beta }$ deux nombres réels, ${\displaystyle \alpha >0}$ et ${\displaystyle \beta >0}$. Soit ${\displaystyle E}$ un sous-ensemble de ${\displaystyle I_N^m}$ tel que ${\displaystyle |E|\ge (1-\beta )\cdot 2^{Nm}}$. Si pour toutes les séquences ${\displaystyle a_i,1\le i\le m}$, d'éléments deux à deux distincts de ${\displaystyle I_N}$ et pour toutes les séquences ${\displaystyle b_i,1\le i\le m}$, de ${\displaystyle E}$ nous avons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$; alors pour une attaque adaptative avec ${\displaystyle m}$ clairs choisis nous avons : ${\displaystyle {𝖠𝖽𝗏}^{\text{CPA2}}\le \alpha +\beta }$, dans le jeu consistant à distinguer ${\displaystyle G}$ d'une fonction aléatoire.

Soit ${\displaystyle \alpha }$ un nombre réel, ${\displaystyle \alpha >0}$. Si pour toutes les séquences d'éléments deux à deux distincts ${\displaystyle a_i,1\le i\le m}$, et pour toutes les séquences d'éléments deux à deux distincts ${\displaystyle b_i,1\le i\le m}$, nous avons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$ ; alors dans une attaque adaptative avec ${\displaystyle m}$ clairs ou chiffrés choisis nous avons ${\displaystyle {𝖠𝖽𝗏}^{\text{CCA2}}\le \alpha +\frac{m(m-1)}{2\cdot 2^N}}$, où cette fois l'avantage est considété dans le jeu consistant à distinguer ${\displaystyle G}$ d'une permutation aléatoire de ${\displaystyle I_N}$.

Il est possible de généraliser ce résultat ainsi : soit ${\displaystyle \alpha }$ et ${\displaystyle \beta }$ deux nombres réels, ${\displaystyle \alpha >0}$ et ${\displaystyle \beta >0}$. S'il existe un sous-ensemble ${\displaystyle E}$ de ${\displaystyle (I_N^m{)}^2}$ tel que :

1. pour tout ${\displaystyle (a,b)\in E}$, nous avons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$;
2. pour chaque attaque adaptative à clairs et chiffrés choisis sur une permutation aléatoire ${\displaystyle f}$, la probabilité que ${\displaystyle (a,b)\in E}$ est ${\displaystyle \ge 1-\beta }$ où ici ${\displaystyle (a,b)}$ désigne les ${\displaystyle b_i=f(a_i)}$ ou ${\displaystyle a_i=f^{-1}(b_i)}$, ${\displaystyle 1\le i\le m}$, successifs qui vont apparaître ;

Alors pour chaque attaque adaptative à clairs et chiffrés choisis avec ${\displaystyle m}$ clairs choisis nous avons : ${\displaystyle {𝖠𝖽𝗏}^{\text{PRF}}\le \alpha +\frac{m(m-1)}{2\cdot 2^N}}$, dans le jeu consistant à distinguer ${\displaystyle G}$ d'une permutation aléatoire.

Il y a beaucoup de variantes et de généralisations des théorèmes rappelés ci-dessus. Par exemple, les résultats sont aussi vrais si nous changeons ${\displaystyle H\ge |K|(1-\alpha )/2^{Nm}}$ par ${\displaystyle H\le |K|(1+\alpha )/2^{Nm}}$. Cependant, pour une utilisation cryptographique la première forme est généralement préférée, car il est plus souvent facile en pratique d'évaluer les exceptions où ${\displaystyle H}$ est en moyenne nettement inférieure à la borne, plutôt que les exceptions se produisant quand ${\displaystyle H}$ lui est nettement supérieure.

• Modèle:En Ashwin Jha et Nmridul Nandi, A Survey on Applications of H-Technique: Revisiting Security Analysis of PRP and PRF, 2019. ePrint IACR

Modèle:Palette Modèle:Portail