Description
Dans un travail examinant plusieurs types d'attaques par fautes sur les cryptosystèmes à base de courbes elliptiques, Ciet et Joye ont montré en 2003 que perturber la représentation du corps de base d'une courbe dans une implémentation physique d'un tel cryptosystème pouvait permettre de retrouver partiellement la clef secrète. Ils supposaient cependant pour cela que le calcul perturbé « réuississait » en un certain sens, ce qui se trouve être très improbable en pratique.<br/> Dans cet exposé, nous présentons un approfondissement de leur analyse, et nous montrons que, dans un modèle de faute plus puissant que celui qu'ils envisageaient, il est possible de retrouver l'intégralité de la clef en une seule faute. Typiquement, notre attaque ramène le problème du logarithme discret sur une courbe de 256 bits à un petit nombre de logarithmes discrets sur des courbes de moins de 60 bits, se résolvant en quelques secondes. Da manière générale, la complexité du logarithme discret dans notre modèle de faute devient sous-exponentielle, sous des heuristiques raisonnables que nous justifions avec précaution. Notre attaque s'étend également à ECDSA, et permet de retrouver intégralement la clef secrète de ce schéma avec deux signatures fautées. Travail en collaboration avec Taechan Kim (Seoul National University, Corée du Sud).
Prochains exposés
-
Polytopes in the Fiat-Shamir with Aborts Paradigm
Orateur : Hugo Beguinet - ENS Paris / Thales
The Fiat-Shamir with Aborts paradigm (FSwA) uses rejection sampling to remove a secret’s dependency on a given source distribution. Recent results revealed that unlike the uniform distribution in the hypercube, both the continuous Gaussian and the uniform distribution within the hypersphere minimise the rejection rate and the size of the proof of knowledge. However, in practice both these[…]-
Cryptographie
-
Primitive asymétrique
-
Mode et protocole
-
-
Post-quantum Group-based Cryptography
Orateur : Delaram Kahrobaei - The City University of New York