Boîtes-S pour des primitives à clé secrète – SWAP

La cryptologie symétrique est une branche importante et active en cybersécurité. Parmi les algorithmes symétriques, les chiffrements par bloc et les fonctions de hachage sont les plus étudiés, et sont construits en itérant plusieurs fois une fonction de tour non-linéaire. La manière la plus courante pour assurer cette non-linéarité tout en conservant de bonnes performances consiste à appliquer en parallèle plusieurs copies d'une boîte-S. Une boîte-S est une petite fonction de n bits vers m bits, qui est souvent l'unique source de non-linéarité dans la primitive. Son choix est donc crucial pour la sécurité de la construction dans son ensemble.

Une des attaques les plus célèbres contre les primitives symétriques est la cryptanalyse différentielle et, pour lui résister, la boîte-S utilisée doit satisfaire certains critères. Le principal est l'uniformité différentielle. Cette quantité doit être aussi petite que possible afin de maximiser la complexité des attaques différentielles, et les fonctions ayant une uniformité différentielle minimale, appelées fonctions APN, ont fait l'objet de nombreux travaux au cours des 30 dernières années. En parallèle, le développement de nouvelles attaques a fait émerger d'autres critères de conception pour les boîtes-S. Une bonne boîte-S doit par exemple avoir une non-linéarité élevée, une faible uniformité boomerang, un haut degré algébrique, et également d'autres propriétés plus spécifiques pour résister aux attaques linéaires, boomerang, algébriques, intégrales et autres.

Par ailleurs, l'augmentation du nombre d'objets connectés et l'émergence de nouvelles applications comme la cryptographie en boîte-blanche et le chiffrement homomorphe ont amené de nouveaux critères pour les primitives symétriques. En effet, les standards actuels sont trop lourds ou consomment trop d'énergie pour ces applications. Pourtant, les communications dans ces nouveaux contextes doivent être sécurisées parce qu'elles manipulent souvent des données dont la sécurité est primordiale (par ex. les implants médicaux). Enfin, les primitives cryptographiques doivent être implémentées sur toutes sortes de plates-formes et d'architectures. Ces implémentations, logicielles ou matérielles, sont des sources potentielles d'attaques par canaux auxiliaires, ce qui doit être anticipé dès la conception de la boîte-S de façon à faciliter son masquage dans une mise en oeuvre logicielle ou à permettre une implémentation matérielle "à seuil". Un des objectifs du projet Swap sera d'étudier tous ces cas d'usage et ces paradigmes d'implémentation afin d'identifier des critères de conception précis pour les boîtes-S employées. Sur la base de ces critères, nous proposerons de nouvelles constructions de boîtes-S, qui pourront alors servir dans des primitives symétriques répondant efficacement à ces cas d'usage.

A la différence de contextes plus classiques, les boîtes-S conçues pour des applications ou des environnements spécifiques reposent souvent sur des composants très légers et structurés. Le deuxième objectif du projet Swap sera d'analyser l'impact en cryptanalyse de l'utilisation de boîtes-S présentant des structures de ce type. Notre but sera d'accélérer les attaques connues et également de trouver de nouveaux types d'attaques tirant parti de ces constructions ou représentations particulières.

Enfin, notre dernier objectif sera d'explorer de nouvelles stratégies pour aborder le "grand problème APN", i.e., pour déterminer l'existence ou non de permutations APN dépendant d'un nombre pair de variables. Il s'agit d'un défi de longue date qui intéresse les chercheurs au-delà des préoccupations cryptographiques d'origine.

Le projet Swap vise donc à réunir des experts en mathématiques discrètes, cryptanalyse et implémentations dans le but d'explorer ensemble tous les principes de conception de boîtes-S mentionnés précédemment, en mêlant étroitement le point de vue théorique, le point de vue pratique et la cryptanalyse.