Pseudo-Random Generators and Pseudo-Random Functions : Cryptanalysis and Complexity Measures Thierry Mefenza Nountu
Total Page:16
File Type:pdf, Size:1020Kb
Pseudo-random generators and pseudo-random functions : cryptanalysis and complexity measures Thierry Mefenza Nountu To cite this version: Thierry Mefenza Nountu. Pseudo-random generators and pseudo-random functions : cryptanalysis and complexity measures. Cryptography and Security [cs.CR]. Université Paris sciences et lettres; Université de Yaoundé I, 2017. English. NNT : 2017PSLEE064. tel-01667124v2 HAL Id: tel-01667124 https://tel.archives-ouvertes.fr/tel-01667124v2 Submitted on 12 Jul 2018 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. THÈSE DE DOCTORAT EN COTUTELLE de l’Université de recherche Paris Sciences et Lettres PSL Research University et de l’Université de Yaoundé 1 Préparée à l’École normale supérieure et à l’université de Yaoundé 1 Pseudo-Random Generators and Pseudo-Random Functions : Cryptanalysis and Complexity Measures École doctorale n◦386 Sciences Mathématiques de Paris Centre Spécialité : Informatique COMPOSITION DU JURY M. LAGUILLAUMIE Fabien Université Lyon 1 Président du jury M. VERGNAUD Damien Université Pierre et Marie Curie Institut Universitaire de France Directeur de thèse M. TONGA Marcel Soutenue par Thierry Université Yaoundé 1 MEFENZA NOUNTU Directeur de thèse le 28 novembre 2017 M. DUQUESNE Sylvain Université Rennes 1 Rapporteur Dirigée par M. RENAULT Guénaël Damien VERGNAUD ANSSI et Marcel TONGA Rapporteur M. FERREIRA ABDALLA Michel CNRS, DI/ENS, PSL Research University Membre de jury Mme. IONICA Sorina RESEARCH UNIVERSITY PARIS Université de Picardie ÉCOLE NORMALE SUPÉRIEURE Membre du jury Pseudo-Random Generators and Pseudo-Random Functions: Cryptanalysis and Complexity Measures Thierry Mefenza Nountu Thèse de doctorat dirigée par Damien Vergnaud et Marcel Tonga Abstract Randomness is a key ingredient in cryptography. For instance, random numbers are used to generate keys, for encryption and to produce nonces. They are generated by pseudo-random generators and pseudo-random functions whose constructions are based on problems which are assumed to be difficult. In this thesis, we study some complexity measures of the Naor- Reingold and Dodis-Yampolskiy pseudo-random functions and study the security of some pseudo-random generators (the linear congruential generator and the power generator on elliptic curves) and some pairing-based signatures based on exponent-inversion framework. We show that the Dodis-Yampolskiy pseudo-random functions is uniformly distributed and that a low-degree or low-weight multivariate polynomial cannot interpolate the Naor-Reingold and Dodis-Yampolskiy pseudo-random functions over finite fields and over elliptic curves. The contrary would be disastrous since it would break the security of these functions and of problems on which they are based. We also show that the linear congruential generator and the power generator on elliptic curves are insecure if too many bits are output at each iteration. Practical implementations of cryptosystems often suffer from critical information leakage through side-channels. This can be the case when computing the exponentiation in order to compute the output of the Dodis-Yampolskiy pseudo-random function and more generally in well-known pairing-based signatures ( Sakai-Kasahara signatures, Boneh-Boyen signatures and Gentry signatures) based on the exponent-inversion framework. We present lattice-based polynomial-time (heuristic) algorithms that recover the signer’s secret in the pairing-based signatures when used to sign several messages under the assumption that blocks of consecutive bits of the exponents are known by the attacker. — iii — Résumé L’aléatoire est un ingrédient clé en cryptographie. Par exemple, les nombres aléatoires sont utilisés pour générer des clés, pour le chiffrement et pour produire des nonces. Ces nombres sont générés par des générateurs pseudo-aléatoires et des fonctions pseudo-aléatoires dont les constructions sont basées sur des problèmes qui sont supposés difficiles. Dans cette thèse, nous étudions certaines mesures de complexité des fonctions pseudo-aléatoires de Naor-Reingold et Dodis-Yampolskiy et étudions la sécurité de certains générateurs pseudo-aléatoires (le générateur linéaire congruentiel et le générateur puissance basés sur les courbes elliptiques) et de certaines signatures à base de couplage basées sur le paradigme d’inversion. Nous montrons que la fonction pseudo-aléatoire de Dodis-Yampolskiy est uniformément distribué et qu’un polynôme multivarié de petit dégré ou de petit poids ne peut pas interpoler les fonctions pseudo-aléatoires de Naor-Reingold et de Dodis-Yampolskiy définies sur un corps fini ou une courbe elliptique. Le contraire serait désastreux car un tel polynôme casserait la sécurité de ces fonctions et des problèmes sur lesquels elles sont basées. Nous montrons aussi que le générateur linéaire congruentiel et le générateur puissance basés sur les courbes elliptiques sont prédictibles si trop de bits sont sortis à chaque itération. Les implémentations pratiques de cryptosystèmes souffrent souvent de fuites critiques d’informations à travers des attaques par canaux cachés. Ceci peut être le cas lors du calcul de l’exponentiation afin de calculer la sortie de la fonction pseudo-aléatoire de Dodis-Yampolskiy et plus généralement le calcul des signatures dans certains schémas de signatures bien connus à base de couplage (signatures de Sakai-Kasahara, Boneh-Boyen et Gentry) basées sur le paradigme d’inversion. Nous présentons des algorithmes (heuristiques) en temps polynomial à base des réseaux qui retrouvent le secret de celui qui signe le message dans ces trois schémas de signatures lorsque plusieurs messages sont signés sous l’hypothèse que des blocs consécutifs de bits des exposants sont connus de l’adversaire. — v — Acknowledgments La réalisation de cette thèse n’aurait pas été possible sans le support inconditionnel de certaines personnes dont je ne peux décrire ici en quelques mots le rôle capital qu’elles ont pu jouer pour me permettre d’arriver à cette fin. Ainsi, j’adresse de tout mon coeur mes remerciements aux personnes qui m’ont aidées, encouragées, motivées afin de permettre la réalisation de cette thèse et je m’excuse d’avance auprès de ceux que j’ai oubliés. Je remercie très chaleureusement mes directeurs de thèse Damien Vergnaud et Marcel Tonga d’avoir accepté d’encadrer cette thèse. Pendant ces trois années vous m’avez initié à la recherche, guidé dans mon travail, appris a être autonome, encouragé quand j’étais moins optimiste, énormément conseillé et je vous en suis très reconnaissant pour tout cela. Je voudrais remercier particulièrement Damien qui en plus de l’encadrement, a toujours été là pour m’aider lorsque j’avais des problèmes de visa et qui malgré parfois le fait que je sois au Cameroun, n’hésitait pas à travailler avec moi par Skype. Je le remercie également pour son aide pour l’obtention du financement qui m’a permis de terminer cette thèse dans des meilleures conditions. J’adresse mes sincères remerciements à David Pointcheval qui m’a accueilli dans l’équipe Crypto de l’ENS et mis à ma disposition tout le matériel nécessaire pour la réalisation de ce travail. Je remercie de tout coeur Sylvain Duquesne qui m’a mis en contact avec Damien et qui m’a invité en France pour la première fois en 2013 afin de discuter d’un éventuel sujet de thèse avec Damien. Rapporter une thèse n’est pas toujours une chose facile car cela nécessite de la volonté, du temps et de la disponibilité. Ainsi, je voudrais remercier mes deux rapporteurs Sylvain Duquesne et Guénaël Rénault pour avoir lu attentivement et commenté cette thèse. Je témoigne aussi ma gratitude envers les autres membres de jury Michel Abdalla, Guillaume Laguillaumie et Sorina Ionica pour avoir accepté de faire partir de ce jury de thèse. Je voudrais remercier tous les membres de l’équipe Crypto de l’ENS, avec qui j’ai discuté et passé des moments très agréables lors des pauses cafés ou des évènements au laboratoire : Michel Abdalla, Balthazar Bauer, Sonia Belaïd, Fabrice Benhamouda, Florian Bourse, Céline Chevalier, Jérémy Chotard, Mario Cornejo, Edouard Dufour Sans, Angelo De Caro, Geoffroy Couteau, Rafaël Del Pino, Aurélien Dupin, Pierre-Alain Dupont, Pooya Farshim, Houda Ferradi, Pierre-Alain Fouque, Georg Fuchsbauer, Romain Gay, Dahmun Goudarzi, Aurore Guillevic, Chloé Hébant, Julia Hesse, Duong Hieu Phan, Louiza Khati, Pierrick Méaux, Michele Minelli, David Naccache, Anca Nitulescu, Michele Orrù, Alain Passelègue, Thomas Peters, David Pointcheval, Thomas Prest, Răzvan Roşie, Mélissa Rossi , Sylvain Ruhault, Adrian Thillard, Bogdan Ursu, Damien Vergnaud et Hoeteck Wee. Je remercie également l’équipe administrative du DI et le SPI, en particulier Lise-Marie Bivard, Isabelle Delais, Joëlle Isnard, Sophie Jaudon, Valérie Mongiat, Ludovic Ricardou et Benoît Speziari pour leur disponibilité, leur amabilité et leur professionnalisme quand j’avais besoin de quoi que ce soit. Je voudrais remercier tous les menbres de l’équipe ERAL du département de Mathéma- — vii — viii Acknowledgments tiques de l’université de Yaoundé 1 pour leurs