Cryptographie multivariée

La cryptographie multivariée regroupe un ensemble de techniques cryptographiques à clé publique reposant sur l'utilisation de polynômes multivariés à coefficients dans un corps fini. Il s'agit d'une des directions de recherches considérées pour développer la cryptographie post-quantique. Pour l'essentiel, la sécurité des constructions issues de cette direction de recherche découle du fait que la résolution de systèmes d'équations polynomiales est un problème NP-difficile en général.

Histoire

Le premier schéma de chiffrement de cette famille fut décrit par Tsutomu Matsumoto et Hideki Imai en 1988^[1]. Bien que rapidement cryptanalysé^[2], il inspira de nombreuses variantes dont HFE^[3], dû à Jacques Patarin. Si HFE tel qu'initialement décrit est aujourd'hui considéré comme cassé^[4]Modèle:,^[5]Modèle:,^[6]Modèle:,^[7]Modèle:,^[8]Modèle:,^[9], des variantes telles que UOV^[10], HFE^v−^[11]Modèle:,^[12], ou Rainbow^[13] sont encore viables^[14]Modèle:,^[15]Modèle:,^[16]Modèle:,^[17]. De même, le schéma de signature Sflash^[18], proposé à la compétition NESSIE, est aujourd'hui complètement cassé^[19]Modèle:,^[20].

Tous ces cryptosystèmes ont en commun que la clé publique est constituée d'un ensemble de polynômes multivariés, généralement des polynômes quadratiques pour des raisons d'efficacité algorithmique et de taille des clés.

Principe général

On fixe un corps fini $𝔽$ , la clé publique est donnée par un ensemble :

$G (x_{1}, \dots, x_{n}) = (G_{1} (x_{1}, \dots, x_{n}), \dots, G_{m} (x_{1}, \dots, x_{n}))$

où chaque $G_{i} \in 𝔽 [x_{1}, \dots, x_{n}]$ . Un message clair correspond à une suite $M = (m_{1}, \dots, m_{n}) \in 𝔽^{n}$ , et le chiffrement consiste simplement à évaluer chaque polynôme de la clé publique en ce point:

$C = G (M) = (G_{1} (M), \dots, G_{m} (M)) .$

On voit ici apparaître un des intérêts de cette famille de techniques cryptographiques : l'évaluation polynomiale est calculatoirement très efficace (et même, dans une certaine mesure, parallélisable), ce qui permet un chiffrement relativement très rapide. Jusqu'ici la description ci-dessus s'applique à tous les procédés de chiffrement multivariés.

Pour déchiffrer, il faut posséder comme clé secrète un moyen d'inverser $G$ , noté généralement $G^{- 1}$ . Ce moyen est spécifique au chiffrement multivarié considéré, et c'est souvent en étudiant la manière dont $G$ et son inverse sont choisis qu'une attaque a été découverte : en effet, il s'agit souvent d'une opération aisément inversible « masquée » par deux transformations, de manière tout à fait analogue à l'approche utilisée pour les chiffrements à base de codes, tels que le cryptosystème de McEliece, pour cacher le code.

Pour un ensemble de polynômes $G$ général (c'est-à-dire ne présentant pas de structure particulière exploitable par l'attaquant), le problème de l'inversion est prouvé NP-difficile. Supposant P ≠ NP il est donc conjecturé que même un ordinateur quantique ne peut résoudre ce problème efficacement. Comme les polynômes utilisés en cryptographie multivariée ne sont pas tout à fait aléatoires, mais sont choisis avec une structure cachée, l'argument de sécurité n'est toutefois qu'heuristique.

En calculant l'inverse $G^{- 1} (M)$ au lieu de $G (M)$ , on obtient un schéma de signature au lieu d'un schéma de chiffrement, où cette fois c'est la vérification publique de la signature qui est particulièrement efficace. Un des attraits de la cryptographie multivariée pour la génération de signatures est leur taille réduite comparée à d'autres approches.

Exemple

Pour illustrer le fonctionnement sur un exemple simple (tiré du cryptosystème d'Imai-Matsumoto), on se place dans le corps $𝔽 = 𝔽_{2^{2}} = 𝔽_{2} [X] / (X^{2} + X + 1)$ , qui possède 4 éléments $0, 1, α, 1 + α$ , que l'on va noter respectivement $0, 1, 2, 3$ . Supposons la clé publique donnée par

$\begin{matrix} G_{1} & = 1 + x_{2} + 2 x_{0} x_{2} + 3 x_{1}^{2} + 3 x_{1} x_{2} + x_{2}^{2} \\ G_{2} & = 1 + 3 x_{0} + 2 x_{1} + x_{2} + x_{0}^{2} + x_{0} x_{1} + 3 x_{0} x_{2} + x_{1}^{2} \\ G_{3} & = 3 x_{2} + x_{0}^{2} + 3 x_{1}^{2} + x_{1} x_{2} + 3 x_{2}^{2} \end{matrix}$

et le message $M = (1, 2, 3)$ , alors on obtient le chiffré

$C = G (M) = (0, 0, 1)$

Primitives à base de cryptographie multivariée

Schémas de chiffrement :

Hidden field equations (HFE), et ses variantes HFE⁺, HFE⁻, HFE^v, HFE^f, et HFE^v−.
Unbalanced oil and vinegar (UOV)

Schémas de signature :

Sflash
Quartz^[21]

Références

Modèle:Portail

[1] Modèle:Article

[2] Modèle:Article

[3] Modèle:Article

[4] Modèle:Article

[5] Modèle:Article

[6] Modèle:Article

[7] Modèle:Article

[8] Modèle:Article

[9] Modèle:Article

[10] Modèle:Article

[11] Modèle:Article

[12] Modèle:Article

[13] Modèle:Article

[14] Modèle:Article

[15] Modèle:Article

[16] Modèle:Article

[17] Modèle:Article

[18] Modèle:Article

[19] Modèle:Article

[20] Modèle:Article

[21] Modèle:Article

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

Cryptographie multivariée

Sommaire

Histoire

Principe général

Exemple

Primitives à base de cryptographie multivariée

Références

Menu de navigation

Cryptographie multivariée

Histoire

Principe général

Exemple

Primitives à base de cryptographie multivariée

Références

Menu de navigation

Rechercher