Cryptanalysis of symmetric encryption algorithms Colin Chaigneau To cite this version: Colin Chaigneau. Cryptanalysis of symmetric encryption algorithms. Cryptography and Security [cs.CR]. Université Paris-Saclay, 2018. English. NNT : 2018SACLV086. tel-02012149 HAL Id: tel-02012149 https://tel.archives-ouvertes.fr/tel-02012149 Submitted on 8 Feb 2019 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. Cryptanalyse des algorithmes de chiffrement symetrique´ These` de doctorat de l’Universite´ Paris-Saclay prepar´ ee´ a` l’Universite´ de Versailles Saint-Quentin-en-Yvelines NNT : 2018SACLV086 Ecole doctorale n◦580 Sciences et Technologies de l’Information et de la Communication (STIC) Specialit´ e´ de doctorat : Mathematiques` et Informatique These` present´ ee´ et soutenue a` Versailles, le mercredi 28 novembre 2018, par Colin Chaigneau Composition du Jury : M. Louis GOUBIN Professeur, Universite´ de Versailles President´ Saint-Quentin-en-Yvelines, France M. Thierry BERGER Professeur Em´ erite,´ Universite´ de Limoges, France Rapporteur Mme. Mar´ıa NAYA-PLASENCIA Directrice de Recherche, INRIA Paris, France Rapporteure M. Patrick DERBEZ Maˆıtre de Conference,´ Universite´ de Rennes 1, France Examinateur Mme. Marine MINIER Professeure, Universite´ de Lorraine, France Examinatrice M. Gilles VAN ASSCHE Senior Principal Cryptographer, STMicroelectronics, Examinateur Belgique M. Henri GILBERT Expert, ANSSI - Chercheur Associe,´ Universite´ de Directeur de these` Versailles Saint-Quentin-en-Yvelines, France Titre :Cryptanalyse des algorithmes de chiffrement symetrique´ Mots cles´ : Cryptographie symetrique,´ cryptanalyse, chiffrement par bloc, chiffrement a` flot, chiffrement authentifie´ Resum´ e´ : La securit´ e´ des transmissions et du stockage des pas permis d’etablir´ une confiance suffisante pour justifier la presence´ donnees´ est devenue un enjeu majeur de ces dernieres` annees´ et la des algorithmes AEZ et NORX parmi les finalistes. cryptologie, qui traite de la protection algorithmique de l’information, est AEZ est une construction reposant sur la primitive AES, dont l’un des un sujet de recherche extremementˆ actif. Elle englobe la conception principaux objectifs est d’offrir une resistance´ optimale a` des scenarios´ d’algorithmes cryptographiques, appelee´ cryptographie, et l’analyse de d’attaque plus permissifs que ceux gen´ eralement´ consider´ es´ pour les leur securit´ e,´ appelee´ cryptanalyse. algorithmes de chiffrement authentifie.´ Nous montrons ici que dans de tels scenarios´ il est possible, avec une probabilite´ anormalement Dans cette these,` nous nous concentrons uniquement sur la elev´ ee,´ de retrouver l’ensemble des secrets utilises´ dans l’algorithme. cryptanalyse, et en particulier celle des algorithmes de chiffrement NORX est un algorithme de chiffrement authentifie´ qui repose sur symetrique,´ qui reposent sur le partage d’un memeˆ secret entre l’en- une variante de la construction dite en eponge´ employee´ par exemple tite´ qui chiffre l’information et celle qui la dechiffre.´ Dans ce manus- dans la fonction de hachage Keccak. Sa permutation interne est ins- crit, trois attaques contre des algorithmes de chiffrement symetriques´ piree´ de celles utilisees´ dans BLAKE et ChaCha. Nous montrons qu’il sont present´ ees.´ Les deux premieres` portent sur deux candidats de est possible d’exploiter une propriet´ e´ structurelle de cette permutation l’actuelle competition´ cryptographique CAESAR, les algorithmes AEZ afin de recup´ erer´ la cle´ secrete` utilisee.´ Pour cela, nous tirons parti et NORX, tandis que la derniere` porte sur l’algorithme Kravatte, une du choix des concepteurs de reduire´ les marges de securit´ e´ dans le instance de la construction Farfalle qui utilise la permutation de la fonc- dimensionnement de la construction en eponge.´ tion de hachage decrite´ dans le standard SHA-3. Les trois algorithmes etudi´ es´ presentent´ une strategie´ de conception similaire, qui consiste a` Enfin, la derniere` cryptanalyse remet en cause la robustesse de integrer´ dans une construction nouvelle une primitive, i.e. une fonction l’algorithme Kravatte, une fonction pseudo-aleatoire´ qui autorise des cryptographique el´ ementaire,´ dej´ a` existante ou directement inspiree´ de travaux prec´ edents.´ entrees´ et sorties de taille variable. Deriv´ ee´ de la permutation Keccak- p de SHA-3 au moyen de la construction Farfalle, Kravatte est efficace La competition´ CAESAR, qui a debut´ e´ en 2015, a pour but de et parallelisable.´ Ici, nous exploitons le faible degre´ algebrique´ de la definir´ un portefeuille d’algorithmes recommandes´ pour le chiffrement authentifie.´ Les deux candidats etudi´ es,´ AEZ et NORX, sont deux al- permutation interne pour mettre au jour trois attaques par recouvre- gorithmes qui ont atteint le troisieme` tour de cette competition.´ Les ment de cle´ : une attaque differentielle´ d’ordre superieur,´ une attaque deux attaques present´ ees´ ici ont contribue´ a` l’effort de cryptanalyse algebrique´ ”par le milieu” et une attaque inspiree´ de la cryptanalyse de necessaire´ dans une telle competition.´ Cet effort n’a, en l’occurrence, certains algorithmes de chiffrement a` flot. Title : Cryptanalysis of symmetric encryption algorithms Keywords : Symmetric cryptography, cryptanalysis, block cipher, stream cipher, authenticated encryption Abstract : Nowadays, cryptology is heavily used to protect stored in such a competition. This effort did not establish enough confidence to and transmitted data against malicious attacks, by means of security justify that AEZ and NORX accede to the final round of the competition. algorithms. Cryptology comprises cryptography, the design of these al- AEZ is a construction based on the AES primitive, that aims at offering gorithms, and cryptanalysis, the analysis of their security. an optimal resistance against more permissive attack scenarios than those usually considered for authenticated encryption algorithms. We In this thesis, we focus on the cryptanalysis of symmetric encryption show here that one can recover all the secret material used in AEZ with algorithms, that is cryptographic algorithms that rely on a secret value an abnormal success probability. NORX is an authenticated encryption shared beforehand between two parties to ensure both encryption and algorithm based on a variant of the so-called sponge construction used decryption. We present three attacks against symmetric encryption al- for instance in the SHA-3 hash function. The internal permutation is gorithms. The first two cryptanalyses target two high profile candidates inspired from the one of BLAKE and ChaCha. We show that one can of the CAESAR cryptographic competition, the AEZ and NORX algo- leverage a strong structural property of this permutation to recover the rithms, while the last one targets the Kravatte algorithm, an instance of secret key, thanks to the designers’ non-conservative choice of redu- the Farfalle construction based on the Keccak permutation. Farfalle is cing the security margin in the sponge construction. multipurpose a pseudo-random function (PRF) developed by the same designers’ team as the permutation Keccak used in the SHA-3 hash Finally, the last cryptanalysis reconsiders the robustness of the Kra- function. vatte algorithm. Kravatte is an efficient and parallelizable PRF with in- put and output of variable length. In this analysis, we exploit the low The CAESAR competition, that began in 2015, aims at selecting a algebraic degree of the permutation Keccak used in Kravatte to mount portfolio of algorithms recommended for authenticated encryption. The three key-recovery attacks targeting different parts of the construction: two candidates analysed, AEZ and NORX, reached the third round of a higher order differential attack, an algebraic meet-in-the-middle attack the CAESAR competition but were not selected to be part of the fina- and an attack based on a linear recurrence distinguisher. lists. These two results contributed to the cryptanalysis effort required Universite´ Paris-Saclay Espace Technologique / Immeuble Discovery Route de l’Orme aux Merisiers RD 128 / 91190 Saint-Aubin, France REMERCIEMENTS Ce sont sans doute les premières pages que liront beaucoup de personnes, mais elles sont surtout les dernières auxquelles je me serais consacré durant cette thèse, complétant ainsi trois années de belles aventures. Et quel chemin parcouru depuis les premiers pas foulés sur le sol parisien. J’ai eu l’occasion de rencontrer beaucoup de personnes intéressantes, à tous je vous remer- cie. Je m’excuse par avance pour les mots que je n’arriverai pas forcément à trouver pour exprimer toute la gratitude que je pourrais avoir pour vous, leur absence n’entame en rien ce que j’éprouve. Si par malchance votre nom serait omis et que vous arriveriez à prouver que cette absence n’est pas jus- tifié je m’engage alors à me faire pardonner en vous offrant une boîte de mes délicieux cookies aux kinder maxi (ou alors tout simplement si vous en éprouvez l’envie et la gourmandise, mais il faudra alors me persuader