Hidden Structures and Quantum Cryptanalysis Xavier Bonnetain To cite this version: Xavier Bonnetain. Hidden Structures and Quantum Cryptanalysis. Cryptography and Security [cs.CR]. Sorbonne Université, 2019. English. NNT : 2019SORUS181. tel-02400328v2 HAL Id: tel-02400328 https://tel.archives-ouvertes.fr/tel-02400328v2 Submitted on 11 Sep 2020 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. Sorbonne Université École doctorale Informatique, Télécommunications et Électronique (Paris) Inria de Paris / Équipe-projet SECRET Hidden Structures and Quantum Cryptanalysis Thèse de doctorat d’informatique présentée par Xavier Bonnetain dirigée par María Naya-Plasencia soutenue publiquement le 15 novembre 2019 devant un jury composé de : María Naya-Plasencia Inria Directrice Gilles Van Assche STMicroelectronics, Belgique Rapporteur André Chailloux Inria Examinateur Luca De Feo IBM Research, Suisse Examinateur Henri Gilbert ANSSI Examinateur Gregor Leander Ruhr-Universität Bochum, Examinateur Allemagne Damien Vergnaud Sorbonne Université Examinateur Yu Sasaki NTT, Japon Examinateur rapportée par : Bart Preneel Katholieke Universiteit Leuven, Belgique Gilles Van Assche STMicroelectronics, Belgique Illustration de couverture : Elizabeth Fearne Bonsall, frontispice de The Fireside Sphinx, 1901. Version 28112019, 2nde édition. À Paul, Maxence, Ghislain. Aux autres. Remerciements En premier lieu, je souhaiterais remercier María Naya-Plasencia, ma directrice de thèse, qui fin 2015 me proposa de travailler sur des attaques quantiques, alors que je savaisà peine ce qu’était un qubit. Merci pour cette chance que tu m’as donnée, pour ce temps que tu n’avais pas et que tu m’as tout même consacré, pour m’avoir accompagné et guidé, pour ton indéfectible optimisme. Pour ces années, merci. Je tiens à remercier Bart Preneel et Gilles Van Assche, qui ont accepté la lourde tâche de rapporter les pages qui vont suivre. Je remercie du même coup Gilles Van Assche, André Chailloux, Henri Gilbert, Gre- gor Leander, Damien Vergnaud, Luca De Feo et Yu Sasaki pour avoir accepté de faire partie de mon jury. De plus, Henri, avec Ludovic Perret, a assuré mon suivi doctoral, et je les en remercie. Je remercie mon école doctorale et plus largement les services administratifs univer- sitaires ainsi que le royaume des Pays-Bas, sans qui cette thèse aurait probablement été significativement plus morne. Je souhaite remercier ceux grâce à qui j’ai pris le chemin de la thèse, et en particulier Hugues Randriam, dont les cours à Télécom m’ont redonné le goût des mathématiques, et Anne Canteaut, qui par une conférence à l’X m’a donné l’envie de faire de la cryp- tographie. Ces années auraient été bien différentes sans l’ambiance extraordinaire de l’équipe SECRET (qui dit-on, rejoindra bientôt les étoiles), et je souhaite remercier, par ordre lexicographique et en espérant n’oublier personne : Adrien, Anais, André (l’Ancien), André (le Jeune), Andrea, Anirudh, Anne, Anthony, Antoine, Antonio, Augustin, Chris- telle, Christina, Daniel, Ferdinand, Florian, Gaëtan, Ghazal, Ivan, Jean-Pierre, Kaushik, Kévin, Léo, María, Mariem, Mathilde, Matthieu, Matthieu, Nicky, Nicolas, Nicolas, Pas- cale, Pierre, Rémi, Rocco, Rodolfo, Sébastien, Simon, Shizhu, Shouvik, Sristy, Thomas, Tim, Valentin, Virginie, Vivien et Yann. La recherche, ça se ne fait pas seul, et je voudrais remercier ceux avec qui j’ai eu l’occasion de collaborer, bien évidemment María, mais aussi Akinori, André, Gaëtan, Jean-Francois, Léo, Rémi, Shizhu, Yixin et Yu. Plus généralement, je souhaiterais remercier ceux qui m’ont montré que tout le monde pouvait être membre de la communauté des cryptographes, et je n’oublie pas ceux qui m’ont montré que n’importe qui pouvait en faire partie. J’ai une pensée particulière pour les membres du bureau C201 : tout d’abord, à ceux qui m’ont précédé, Virginie (ton bureau est super), Sébastien (le tableau est quand même plus vide, depuis que tu n’es plus là) et Yann (dont on ne peut que regreter i l’immense verve), et qui m’ont accueilli chaleureusement. Puis à ceux qui ont suivi, Antonio, Daniel et Nicolas. Je vous laisse juge de mon accueil, et j’espère que vous porterez haut les couleurs de ce fier bureau1. Je ne t’oublie pas, Thomas, cher camarade. On a été en stage ensemble, puis en thèse ensemble, on a rempli des formulaires de mots de passe ensemble, on a donné cours ensemble. J’espère que tout ira bien en perfide Albion, et que tu n’oublieras pas l’essentiel : L’important, c’est les valeurs. Léo, ce fut un plaisir, que ce soit pour affronter les audaces culinaires des marchands d’opium ou les audaces statistiques de la Loubianka. J’espère qu’on aura l’occasion de remettre ça, et que tu ne finiras pas par faire de la plongée pour baliser le passage du Nord-Est. Merci Jean-Pierre, futur grand sachem2 qui se comprend très bien, pour toutes ces discussions, et pour le babyfoot3. Je sais que ta porte restera toujours ouverte. Enfin, au sein de l’équipe, je voudrais remercier André (le Jeune), qui m’a emmerdé durant tout son stage avec ses foutues question s’est tout de suite montré très curieux, et se révéla être un collègue d’une redoutable efficacité, qui sût se dépasser, et sans aucun angle mort. Cette thèse, finalement, elle est aussi un peu à toi, et j’espère vraiment qu’on continuera à collaborer après mon départ. Merci, pêle-mèle, à la clique faërixienne, à #doctorat, aux rustacées parisiennes, qui m’ont accompagnés durant ces années. Je remercie ma famille, qui m’a toujours soutenu et accompagné, malgré ma fatigue, malgré les deadlines qui tombent mal, malgré les emplois du temps compliqués. Finalement, je te remercie, toi qui prends la peine de lire ces mots, et j’espère que tu trouveras quelque intérêt dans la prose qui suit. 1Je vous souhaite notamment d’en maintenir le ratio de prix de thèse. 2Ou peut-être grand groumpf ? 3N’oublions pas que 0–8, ça se remonte. Contents Contents 1 Présentation des travaux 7 Main publications 11 1 Introduction to Cryptography 13 1.1 History .................................... 13 1.2 Constructions in symmetric cryptography . 16 1.2.1 Block ciphers ............................. 16 1.2.2 Hash functions & MACs ....................... 17 1.2.3 Authenticated encryption ...................... 18 1.2.4 Sponges ................................ 19 1.3 Cryptanalysis ................................. 19 1.3.1 Generic attacks ............................ 19 1.3.2 Attack models ............................ 20 1.3.3 Cost models .............................. 21 2 Quantum Computing 23 2.1 History .................................... 23 2.2 Differences with classical computations ................... 24 2.3 Qubits ..................................... 24 2.4 Quantum gates ................................ 26 2.4.1 Notable gates ............................. 27 2.4.2 Tensor product of quantum operators . 30 2.4.3 Computing classical functions .................... 30 I Hide and Seek 33 3 Quantum Search 35 3.1 Unstructured search ............................. 35 3.1.1 Classical resolution .......................... 36 3.1.2 Grover’s algorithm .......................... 36 3.1.3 Amplitude amplification ....................... 38 1 3.1.4 Approximate test functions ..................... 39 3.2 Nested search ................................. 40 3.2.1 Classical nested search ........................ 40 3.2.2 Quantum nested search ....................... 42 3.3 Collision search ................................ 43 3.3.1 Classical resolution .......................... 44 3.3.2 Quantum resolution ......................... 45 3.3.3 Structured collisions ......................... 46 4 Simon’s Algorithm 49 4.1 Algorithm description ............................ 49 4.2 Weakening the promise ............................ 52 4.2.1 Partial period ............................. 52 4.2.2 Non-injective functions ........................ 53 4.2.3 Families of functions ......................... 56 5 Abelian Hidden Shift Algorithms 57 5.1 The problem ................................. 58 5.2 Preliminaries: subset-sum and k-list .................... 58 5.2.1 Subset-sum algorithms ........................ 58 5.2.2 k-list algorithms ........................... 61 5.3 The easy instances .............................. 62 5.3.1 Case of pZ{ p2qqn ........................... 62 5.3.2 Case f “ g .............................. 63 5.4 The generation algorithm .......................... 65 5.5 Quantum query complexity ......................... 66 5.6 Hidden shift modulo a power of 2 ...................... 67 5.6.1 Recovering the shift ......................... 68 5.6.2 Kuperberg’s first algorithm: ˘ ................... 68 5.6.3 Regev’s subset-sum variant ..................... 70 5.6.4 Kuperberg’s second algorithm: k-list . 73 5.7 General hidden shift algorithms ....................... 77 5.7.1 Optimizing Algorithm 5.3 ...................... 77 5.7.2 Hidden shift in Z{ pNq ........................ 79 5.7.3 Hidden shift in abelian groups ................... 81 5.7.4 Combining the different algorithms . 82