Sorbonne Université École doctorale Informatique, Télécommunications et Électronique (Paris) Inria de Paris / Équipe-projet SECRET Hidden Structures and Quantum Cryptanalysis Thèse de doctorat d’informatique Présentée par Xavier Bonnetain Dirigée par María Naya-Plasencia soutenue publiquement le 15 novembre 2019 devant un jury composé de : María Naya-Plasencia Inria de Paris Directrice Bart Preneel Katholieke Universiteit Leuven Rapporteur Gilles Van Assche STMicroelectronics Rapporteur André Chailloux Inria de Paris Examinateur Luca De Feo IBM Research, Zürich Examinateur Henri Gilbert ANSSI Examinateur Gregor Leander Ruhr-Universität Bochum Examinateur Damien Vergnaud Sorbonne Université Examinateur Yu Sasaki NTT Invité Contents Contents 1 Présentation des Travaux 5 Main publications 9 1 Introduction to Cryptography 11 1.1 History ................................. 11 1.2 Constructions in symmetric cryptography . 14 1.2.1 Block ciphers .......................... 14 1.2.2 Hash functions & MACs .................... 15 1.2.3 Authenticated encryption ................... 16 1.2.4 Sponges ............................. 16 1.3 Cryptanalysis .............................. 17 1.3.1 Generic attacks ......................... 17 1.3.2 Attack models ......................... 18 1.3.3 Cost models ........................... 19 2 Quantum Computing 21 2.1 History ................................. 21 2.2 Differences with classical computations . 22 2.3 Qubits .................................. 22 2.4 Quantum gates ............................. 24 2.4.1 Notable gates .......................... 25 2.4.2 Tensor product of quantum operators . 28 2.4.3 Computing classical functions . 28 I Hide and Seek 29 3 Quantum Search 31 3.1 Unstructured search .......................... 31 3.1.1 Classical resolution ....................... 32 3.1.2 Grover’s algorithm ....................... 32 3.1.3 Amplitude amplification .................... 34 3.1.4 Approximate test functions . 35 3.2 Nested search .............................. 36 1 3.2.1 Classical nested search ..................... 36 3.2.2 Quantum nested search .................... 38 3.3 Collision search ............................. 39 3.3.1 Classical resolution ....................... 40 3.3.2 Quantum resolution ...................... 41 3.3.3 Structured collisions ...................... 42 4 Simon’s Algorithm 45 4.1 Algorithm description ......................... 45 4.2 Weakening the promise ......................... 48 4.2.1 Partial period .......................... 48 4.2.2 Non-injective functions ..................... 49 4.2.3 Families of functions ...................... 52 5 Abelian Hidden Shift Algorithms 53 5.1 The problem .............................. 54 5.2 Preliminaries: subset-sum and k-list . 54 5.2.1 Subset-sum algorithms ..................... 54 5.2.2 k-list algorithms ........................ 57 5.3 The easy instances ........................... 58 5.3.1 Case of pZ{ p2qqn ........................ 58 5.3.2 Case f “ g ........................... 59 5.4 The generation algorithm ....................... 61 5.5 Quantum query complexity ...................... 62 5.6 Hidden shift modulo a power of 2 ................... 63 5.6.1 Recovering the shift ...................... 64 5.6.2 Kuperberg’s first algorithm: ˘ . 64 5.6.3 Regev’s subset-sum variant . 66 5.6.4 Kuperberg’s second algorithm: k-list . 69 5.7 General hidden shift algorithms .................... 73 5.7.1 Optimizing Algorithm 5.3 ................... 73 5.7.2 Hidden shift in Z{ pNq ..................... 75 5.7.3 Hidden shift in abelian groups . 76 5.7.4 Combining the different algorithms . 78 5.7.5 Variants on the promise .................... 79 5.7.6 Hidden shift in nonabelian groups . 80 6 Searching for a Hidden Structure 83 6.1 Combining Grover’s and Simon’s algorithm . 84 6.2 The offline Simon’s algorithm ..................... 86 6.2.1 A more structured problem . 86 6.2.2 The offline Simon’s algorithm . 87 6.3 Simon’s algorithm with classical queries . 89 6.4 Implications ............................... 91 II Quantum Cryptanalysis 93 7 Hidden Structures in Symmetric Cryptography 95 7.1 Claims in symmetric cryptography . 96 7.2 General method ............................. 96 7.3 Quantum distinguishers ........................ 97 7.3.1 One-time pad .......................... 97 7.3.2 Feistel networks ......................... 99 7.4 The case of quantum-related key attacks . 102 7.4.1 With classical queries . 103 7.5 Even-Mansour ............................. 103 7.6 FX Construction ............................ 104 7.6.1 Multiple-FX . 105 7.7 MACs .................................. 105 7.7.1 CBC-MAC . 106 7.7.2 Chaskey ............................. 106 7.7.3 Poly1305 ............................ 107 7.8 Sponges ................................. 109 7.9 Protecting symmetric constructions . 111 8 Cryptanalysis of AEZ 113 8.1 Description of AEZ . 114 8.1.1 Associated data . 114 i,j 8.1.2 Function EK . 115 8.1.3 AEZ-hash ............................ 116 8.1.4 AEZ-prf ............................. 116 8.1.5 AEZ-core ............................ 116 8.1.6 Encrypt ............................. 117 8.2 Classical cryptanalysis . 117 8.2.1 The fault in AEZv4 . 117 8.2.2 The collision analysis of AEZv4 . 118 8.3 Quantum cryptanalysis . 119 8.3.1 Quantum Existential Forgery . 120 8.3.2 Stronger Quantum Attacks . 120 8.4 Conclusion ............................... 122 9 Quantum Slide Attacks 125 9.1 Classical slide attacks . 126 9.2 Slide-shift attacks ............................ 127 9.2.1 Key-alternating cipher . 128 9.2.2 Feistel schemes with one round self-similarity . 129 9.2.3 The quantum complementation slide attack . 130 9.2.4 Sliding with a twist . 132 9.3 Advanced slide-shift attacks on self-similar Feistels . 133 9.3.1 General attack . 133 9.3.2 With the same branch and key addition . 135 9.4 Slide attacks against 4-round self-similar Feistels . 136 9.4.1 Twist and complementation slide attack . 137 9.4.2 Enhanced reflection attack . 139 9.5 Cycle-based slide attacks . 140 9.5.1 Definition of a cycle slide attack . 140 9.5.2 Quantization of a Cycle-based Slide Attack . 141 9.5.3 Examples ............................ 142 9.6 Attacks on Feistels with weak key schedules . 144 9.6.1 Classical attacks on MiMC and GMiMC . 144 9.7 Conclusion ............................... 146 10 Computing Isogenies 149 10.1 Key exchange from hard homogeneous spaces . 149 10.2 Group action with isogenies . 150 10.3 Isogeny evaluation . 152 10.3.1 For a key exchange . 152 10.3.2 For a key recovery . 153 10.4 Concrete cost estimates for CSIDH . 157 10.5 Conclusion ............................... 159 11 Quantum security analysis of AES 161 11.1 Description of AES . 162 11.2 Classical cryptanalysis of AES . 165 11.3 Generic quantum attacks on AES . 166 11.4 Quantum square attack . 168 11.4.1 The distinguisher . 168 11.4.2 The original square attack on 6-round AES . 169 11.4.3 Improved square attack . 171 11.4.4 Partial sums technique . 172 11.4.5 Extension to 7 rounds. 173 11.5 Quantum Demirci-Selçuk meet-in-the-middle . 175 11.5.1 S-box differential property . 175 11.5.2 Distinguishing properties . 178 11.5.3 The attack . 181 11.5.4 Complexity analysis . 185 11.5.5 Removing the superposition queries . 189 11.5.6 Quantum-inspired classical attacks . 190 11.6 Conclusion ............................... 191 Conclusions 193 Bibliography 195 A Values to test for the AES S-box equation 211 Présentation des Travaux Les travaux de cette thèse portent sur la cryptanalyse quantique, c’est à dire les attaques de systèmes cryptographiques utilisant des moyens quantiques. Après des préliminaires de cryptographie au Chapitre 1 et de calcul quantique au Chapitre 2, cette thèse s’organise en deux parties : des algorithmes quantiques sont présentés dans la Partie I, et de nombreuses applications sont présentées dans la Partie II. Chapitre 3. Ce chapitre présente les algorithmes quantiques de recherche non structurée (l’algorithme de Grover) et de recherche de collisions (l’algorithme de Brassard, Høyer et Tapp). Ma contribution dans ce chapitre est la proposition d’un framework algorithmique permettant de décrire de façon unifiée les recherches imbriquées tant classiques que quantiques, afin d’aider la création et la description d’attaques quantiques, et est appliqué dans le Chapitre 11. Ce framework fait partie de l’article « Quantum security analysis of AES », qui est un travail commun avec María Naya-Plasencia et André Schrottenloher, et a été accepté au journal ToSC en 2019 [BNS19b]. Chapitre 4. Ce chapitre présente l’algorithme quantique de Simon, qui résoud le problème suivant : Problème 1 (Problème de Simon). Soit n un entier, s P t0, 1un et X un en- semble. Soit f : t0, 1un Ñ X une fonction, avec la promesse que pour tout px, yq P pt0, 1unq2, rfpxq “ fpyq ô x ` y P t0, sus. Étant donné un accès en boite noire à f, trouver s. L’algorithme de Simon résoud ce problème en temps polynomial, et est le premier exemple de problème pour lequel l’ordinateur quantique est exponentiel- lement plus rapide que l’ordinateur classique, sous réserve d’avoir accès à un oracle quantique implémentant f, ce qui est le modèle de requêtes quantiques, ou requêtes en superposition. Cet algorithme est à la base de nombreuses cryptanalyses, pré- sentées dans les Chapitres 7, 8 et 9. Chapitre 5. Ce chapitre est lui consacré à un problème plus général, et souvent plus difficile : Problème 2 (Décalage caché abélien). Soit n un entier, G un groupe abelien, X un ensemble, f, g : G Ñ X deux fonctions