Arithmetic of pairings on algebraic curves for cryptography Aurore Guillevic To cite this version: Aurore Guillevic. Arithmetic of pairings on algebraic curves for cryptography. Cryptography and Security [cs.CR]. Ecole Normale Supérieure de Paris - ENS Paris, 2013. English. tel-00921940 HAL Id: tel-00921940 https://tel.archives-ouvertes.fr/tel-00921940 Submitted on 22 Dec 2013 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. Thales Communications & Security École Normale Supérieure Laboratoire Chiffre Équipe Crypto École doctorale Sciences Mathématiques de Paris Centre – ED 386 Thèse de doctorat Étude de l’arithmétique des couplages sur les courbes algébriques pour la cryptographie Spécialité : Informatique présentée et soutenue publiquement le 20 décembre 2013 par Aurore Guillevic pour obtenir le grade de Docteur de l’École Normale Supérieure devant le jury composé de Directeurs de thèse : Phong NGUYEN (Inria et école normale supérieure, Paris) Damien VERGNAUD (École normale supérieure, Paris) Encadrant industriel : Renaud DUBOIS (Thales communications & security, Gennevilliers) Rapporteurs : Pierrick GAUDRY (Inria et CNRS, Loria, Nancy) Marc JOYE (Technicolor, Cesson-Sévigné) Reynald LERCIER (DGA-MI et université de Rennes I, Bruz) Examinateurs : Antoine JOUX (Chaire de cryptologie de la fondation de l’UPMC – LIP6, Paris) Fabien LAGUILLAUMIE (Université de Lyon I, Lyon) David POINTCHEVAL (Inria et école normale supérieure, Paris) Benjamin SMITH (Inria et école polytechnique, Palaiseau) Remerciements Je remercie Pierrick Gaudry, Marc Joye et Reynald Lercier qui ont accepté de rapporter cette thèse. Ils ont investi beaucoup de temps pour lire ce mémoire et leurs commentaires m’ont été très utiles pour l’améliorer. Je les remercie de leur patience et de leur minutie. Je remercie les examinateurs de ce jury qui ont accepté de se déplacer un vendredi 20 décembre, veille de vacances de Noël pour beaucoup : Antoine Joux, Fabien Laguillaumie, David Pointcheval et Benjamin Smith. Je remercie profondément mon directeur de thèse Damien Vergnaud, qui s’est lancé dans l’encadre- ment de doctorants il y a trois ans. Il a su m’orienter vers des sujets intéressants et porteurs. Il s’est toujours montré très patient et pédagogue. Je le remercie beaucoup car sans lui cette thèse ne se serait pas aussi bien passée. Je remercie tout autant Renaud Dubois avec qui j’ai commencé un stage au LCH il y a bientôt quatre ans et qui m’a suivie en thèse par la suite. Il m’a beaucoup aidée pour la programmation, par ses relec- tures d’articles en soumission, je que lui remettais parfois seulement à la dernière minute. Je remercie aussi David Lefranc et Sylvain Lachartre du même bureau, nous avons aussi partagé nos problèmes de programmation et compilation ce qui m’a beaucoup appris. Et merci de m’avoir remonté le moral aux moments nécessaires ! Merci pour votre aide et vos conseils. Je remercie enfin tous les membres du LCH, en particulier Eric Garrido, Philippe Painchault qui m’a appris à jouer au squash, Olivier Orcière qui a toujours un fait historique à nous raconter, ou comment faisaient les Mayas pour multiplier de grands chiffres à la ficelle, Sonia Belaid, Emeline Hufschmitt et Alexandre Anzala Yamajako parce qu’ils sont toujours de bonne humeur. Merci à tous mes super col- lègues de bureau passés et présents : Ange, Vincent, Matthieu, Gaétan, Frédéric, Marine, Romain, Mar- gaux, Brandon, Thomas et Christopher avec qui j’ai beaucoup apprécié discuter. J’ai eu la chance d’être intégrée à la fois au LCH et à l’équipe crypto de David Pointcheval. Je remercie tous les membres de l’équipe, en particulier Phong Nguyen qui a supervisé le lancement de ma thèse et m’a suivie de loin. Je le remercie pour ses conseils avisés et pour ses relectures de ce mémoire. Pierre-Alain Fouque pour ses conseils qui arrivèrent au bon moment. Sorina ma co-auteur car j’ai beaucoup appris avec elle. Sonia et Sylvain pour leurs conseils. Les membres du projet ANR Best pour les discussions intéressantes que nous avons eues. Enfin merci particulièrement Liz et Ben pour leur grande aide pour réécrire certaines pages de ce mémoire. Je garde le souvenir de moments bien agréables avec Liz, Miriam, Léo, Tancrède, Thomas et Mario. J’ai eu la chance de faire la connaissance dans l’open space crypto d’Olivier, Charles, Mehdi, Roch, Siamak, Fabrice, Angelo, Dario, Yuanmi et tous ceux qui étaient de passage. Merci à Charles et Pascal pour les mangas. Je remercie Mike et Barbara pour leur hospitalité lors des crues à Calgary juste avant ACNS en juin dernier. Je remercie Monique Crépin pour son aide à trouver un logement en Ile de France. Je remercie Claudie, Ludovic et Jacques du service informatique du DI. Je remercie pour leur aide indispensable Lydie Pezant, Nathalie Gaudechoux, Régine Guittard, Joëlle Isnard, Michelle Angely, Lise-Marie Bivard et Valérie Mongiat. Je remercie l’ANRT, le LCH et le département d’informatique de l’ENS pour le financement de cette bourse Cifre et les moyens très appréciables déployés pour participer à de nombreuses conférences. Je remercie beaucoup Monique Martineau pour tous ses conseils très avisés, sa présence et les romans policiers vraiment chouettes. Merci à Laura car nous avons partagé de bons moments. Je remercie énor- mément ma soeur Myriam qui est restée très proche et m’a soutenue même depuis la Scandinavie. Je ne parle pas encore le danois mais je connais déjà Copenhague aussi bien que le quartier Latin. Enfin je remercie mes parents qui sont là aujourd’hui. iii Introduction à la cryptographie bilinéaire La cryptographie asymétrique Jusqu’au milieu du XXe siècle, la cryptographie consistait à chiffrer des données sensibles pour un archivage sûr ou pour des transmissions via des réseaux de communication publics. De nos jours, la cryptographie se doit aussi d’assurer l’intégrité des données et l’authentification des émetteurs et dépo- sitaires sans recourir à une étape humaine. Les débuts de la cryptographie moderne remontent aux prémices de la seconde guerre mondiale avec la conception de la machine Enigma, puis sa cryptanalyse par les Britanniques. On pourra consulter le chapitre 1 du livre [Ver12] à ce sujet. La cryptanalyse moderne et le premier calculateur sont nés à Bletchley Park en Angleterre. Ce site fut dédié au décryptage des communications adverses, chiffrées notamment avec Enigma. Une automatisation progressive d’une attaque par force brute de la machine Enigma y fut conçue et mise en œuvre. La cryptographie moderne asymétrique a communément pour point de départ l’année 1976. Cette année-là, Diffie et Hellman publient leur article fondateur [DH76]. Merkle est aussi lié à l’histoire et apparaît comme troisième inventeur du brevet correspondant. Ce cryptosystème schématisé dans la Fig.1 permet à deux participants de s’accorder sur une donnée secrète via un canal de transmission public (non sûr). Alice Bob groupe , de générateur g,# = m groupe , de générateur g,# = m G G b G G a Z/mZ, a 6= 0, 1 gb = g b Z/mZ, b 6= 0, 1 (i.e. tire un aléa a 2 f2, . , m − 1g) a (i.e. tire un aléa b 2 f2, . , m − 1g) ga = g reçoit gb de Bob reçoit ga d’Alice a ab b ab calcule gb = g calcule ga = g FIGURE 1 – Échange de clé de Diffie-Hellman. Alice et Bob connaissent l’élément gab. Dans ce schéma, les éléments ga, gb qui transitent sur le canal public appartiennent à un groupe cy- clique dans lequel il est facile de calculer ga à partir de g et a mais difficile (impossible en temps et moyens informatiques raisonnables) de calculer le secret gab à partir des éléments g, ga, gb qui transitent sur le ca- nal. Le schéma basé sur la factorisation, proposé par Rivest, Shamir et Adleman (RSA) est quant à lui publié en 1978 [RSA78]. Le problème du logarithme discret Le protocole d’échange de clés de Diffie-Hellman repose sur la difficulté de calculer l’élément gab à partir des trois éléments g, ga et gb. On pourra consulter [MvV97, §3.6 et 12.6] sur ce sujet. Ce calcul difficile est appelé le problème Diffie-Hellman ou DHP pour l’abréviation anglaise. Ce problème et ces variantes servent de point de départ à de nombreux protocoles utilisés couramment. Plus généralement, le problème du logarithme discret (DLP dans ce qui suit) est très étudié. Le DLP dans un groupe cyclique G d’ordre m (noté multiplicativement) est défini de la façon suivante : étant donnés un générateur g du groupe G et un élément aléatoire ga du groupe G, il s’agit de calculer l’entier a 2 f2, . , m − 1g tel que a g = ga. On peut voir aisément que s’il est facile de calculer le logarithme discret de n’importe quel v INTRODUCTION À LA CRYPTOGRAPHIE BILINÉAIRE élément d’un groupe G alors il est facile de résoudre le problème Diffie-Hellman dans ce groupe. En effet, il suffit de calculer le logarithme discret a de ga puis de calculer gab comme gab = (gb)a. La relation entre problème de Diffie-Hellman et problème de logarithme discret a été étudiée dans [MW99]. Le calcul de logarithmes discrets est supposé difficile dans certains groupes bien choisis. Une première ∗ proposition fut d’utiliser le groupe multiplicatif d’un corps fini, noté Fq .