Description
Grostl est une fonction de hachage finaliste de la compétition SHA-3. Elle est dotée d'une preuve de sécurité qui assure sa résistance aux attaques en collision, pré-image et seconde pré-image sous l'hypothèse que deux permutations internes sont idéales. Ces permutations, 14 tours d'un SPN, calques de l'AES, présentent une structure sensible aux attaques rebond. Ces attaques sont des attaques différentielles qui permettent de créer un distingueur, un algorithme qui prouve le caractère non idéal de la permutation et annule la preuve de sécurité. Grâce à l'utilisation de solveur de systèmes linéaires sous contraintes, il est possible de faire émerger des différentielles très structurées. L'utilisation de la représentation en Super SBOX et de trois algorithmes de fusion de listes permettent alors de réaliser une attaque sur une version à 12 tours des permutations internes en 2^{72}.
Next sessions
-
Predicting Module-Lattice Reduction
Speaker : Paola de Perthuis - CWI
Is module-lattice reduction better than unstructured lattice reduction? This question was highlighted as `Q8' in the Kyber NIST standardization submission (Avanzi et al., 2021), as potentially affecting the concrete security of Kyber and other module-lattice-based schemes. Foundational works on module-lattice reduction (Lee, Pellet-Mary, Stehlé, and Wallet, ASIACRYPT 2019; Mukherjee and Stephens[…]-
Cryptography
-
-
Attacking the Supersingular Isogeny Problem: From the Delfs–Galbraith algorithm to oriented graphs
Speaker : Arthur Herlédan Le Merdy - COSIC, KU Leuven
The threat of quantum computers motivates the introduction of new hard problems for cryptography.One promising candidate is the Isogeny problem: given two elliptic curves, compute a “nice’’ map between them, called an isogeny.In this talk, we study classical attacks on this problem, specialised to supersingular elliptic curves, on which the security of current isogeny-based cryptography relies. In[…]-
Cryptography
-