Dissertations / Theses on the topic 'Cryptosystème de McEliece'

Les techniques de chiffrement les plus utilisées en cryptographie, basées sur des problèmes de théorie des nombres, présentent malgré leur efficacité des défauts notamment une vulnérabilité aux attaques menées à l'aide d'ordinateur quantiques. Il est donc pertinent d'étudier d'autres familles de cryptosystèmes. Nous nous intéressons ici aux cryptosystèmes basés sur les codes correcteurs, introduits par McEliece en 1978 qui, étant basés sur des problèmes difficiles de théorie des codes, ne présentent pas cette vulnérabilité. Ces cryptosystèmes présentent des inconvénients, qui font qu'ils sont peu utilisés en pratique. Selon le code choisi, ils peuvent être vulnérables aux attaques structurelles, mais surtout ils nécessitent des clés de taille très importante.Récemment une nouvelle famille de codes appelés codes MDPC a été introduite ainsi qu'un cryptosystème basé sur cette famille de codes. Les codes MDPC semblent être distinguables seulement en trouvant des mots de poids faibles dans leur dual, les affranchissant ainsi d'une éventuelle vulnérabilité aux attaques structurelles. De plus, en utilisant une des matrices quasi-cycliques, ils obtiennent des clés de taille très compacte.Nous avons pour notre part, travaillé dans le contexte de la métrique rang, une nouvelle métrique introduite en 1985 par Gabidulin qui semble bien adaptée à une utilisation en cryptographie :• Nous avons commencé par travailler autour de la notion de polynôme de Ore et le cas particulier important des q-polynômes. Ces derniers sont des combinaisons linéaires des itérés de l'automorphisme de Frobenius sur un corps fini.Ces polynômes constituent un objet d'étude important en métrique rang, de par leur utilisation dans les premiers cryptosystèmes dans cette métrique. Nous présentons sous une nouvelle forme des résultats déjà connus, et de nouveaux algorithmes pour le calcul du PGCD de deux polynômes de Ore et le calcul des résultants et sous-résultants de polynômes de Ore (ainsi que de polynômes usuels en généralisant au calcul des sous-résultants la formule déjà connue pour les résultants) en utilisant une matrice de multiplication à droite plus petite que la matrice de Sylvester utilisée habituellement.Ces résultats peuvent être réexploités indirectement dans le cryptosystème présenté par la suite bien que celui-ci ne soit pas basé sur les q-polynômes.• La partie suivante de notre travail est consacrée à l'introduction d'une nouvelle famille de codes en métrique rang appelés codes LRPC (pour Low Rank Parity Check codes). Ces codes ont la particularité d'avoir une matrice de parité de poids rang faible (et peuvent donc être vus comme une généralisation des codes LDPC ou MDPC à la métrique rang).Nous présentons le cryptosystème LRPC, un cryptosystème de type Mc Eliece en métrique rang basé sur les codes LRPC. Ces codes sont très peu structurés et sont donc vraisemblablement résistants aux attaques structurelles. La matrice de parité peut être choisie doublement circulante (on parle alors de codes DC-LRPC) ce qui diminue considérablement la taille de la clé.Ainsi, le cryptosystème DC-LRPC cumule les avantages d'offrir une bonne sécurité en étant basé sur un problème difficile (comme tous les cryptosystèmes basés sur les codes correcteurs), d'être faiblement structurés, de disposer d'une clé de taille assez petite (quelques milliers de bits au plus) et d'un algorithme de décodage efficace.Une attaque a été trouvée dans le cas du cryptosystème DC-LRPC. Cette attaque basée sur la notion de code replié permet de baisser significativement la sécurité du cryptosystème dans le cas où le polynôme X^(k-1)+X^(k-2)+⋯+1 est scindable (k désignant la dimension du code). Cependant ce n'est pas le cas pour les paramètres présentés où le cryptosystème reste valide
The most commonly used encryption techniques in cryptography are based on problems in number theory. Despite their efficiency, they are vulnerable to post-quantum cryptographic attack. Therefore it is relevant to study other types of cryptosystems. In this work we study error-corrector codes based cryptosystmems, introduced by McEliece in 1978 ; being based on hard problems in coding theory, these cryptosystems do not have this weakness. However these cryptosystems are almost not used in practice because they are vulnerable to strucural attacks and they require a key with very big length. Recently a new family of codes named MDPC codes has been introduced as well as a cryptosystem that is based on these codes. It seems that MDPC codes are distinguishable only by finding words with weak weight in their dual, thus preventing them from structural attacks. Furthermore, they can have compact keys by using quasi-cyclic matrices.In the present paper we use the rank metric, a new metric for codes that was introduced by Gabidulin in and seems suited for a cryptographic use :• At first we studied Ore Polynomials and the special case of q-polynomials , the latter being iterates of the Fobenius automorphism on a finite field.These polynomials are widely in rank metric due to their use in the first code-based cryptosystems in rank metric. We reformulate already known results and give new results regarding the computation of GCD, resultants and subresultants of two Ore polynomials (as well as usual polynomials for which we give a generalization of the resultant computation to subresultants) using a right-hand multiplication matrix which is smaller than the well-known Sylvester matrix.These results may be reused in the cryptosystem we introduce in the next chapters, though this cryptosystem is not based on q-polynomials.• In the next part of our work we define the LRPC codes (for Low Rank Parity Check Codes), a new family of codes in rank metric. These codes have a parity check matrix whose rank weight is low (and thus they can be seen as a generalization of LDPC or MDPC codes to rank metric).We present the LRPC cryptosystem, a McEliece cryptosystem in rank metric based on LRPC codes. These codes are weakly structured and so are likely to resist structural attacks. We can choose a double-circulant parity check matrix which greatly lowers the key size (we name these particular codes DC-LRPC codes).Thus the DC-LRPC cryptosystems have a good security (being based on a hard problem in coding theory), are weakly structured, have small public keys and can be quickly decoded.An attack was found for DC-LRPC cryptosystem. This attack relies on folded codes and may greatly lower the security of the cryptosystem, however it works only when the polynomial X^(k-1)+X^(k-2)+⋯+1 has a divisor with big degree. We give parameters for which the cryptosystem remains valid

Les codes correcteurs d'erreurs algébriques répondent à de nombreux besoins du monde des communications et de l'information. La structure mathématique de ces familles de codes permet la conception d'algorithmes de codage et de décodage efficaces, permettant ainsi une variété d'applications technologiques. Dans ce manuscrit, nous nous intéressons à deux de ces aspects. Premièrement, nous abordons le problème du décodage des codes de Reed-Solomon. Nous proposons une nouvelle stratégie qui consiste à résoudre un système polynomial, dont les équations sont liées au ``power decoding'', en utilisant des techniques de bases de Gröbner. Nous montrons que pour certains paramètres notre approche permet d'atteindre et de dépasser le rayon de Johnson. Nous abordons ensuite la cryptographie à base de codes. Le plus ancien schéma de chiffrement à clé publique reposant sur des codes a été proposé en 1978 par McEliece. Après plus de quarante ans, le schéma de McEliece est toujours sûr et ce même vis à vis des ordinateurs quantiques. Nous analysons la structure algébrique et la sécurité des codes de Goppa et d'une famille plus large, les codes alternants. Le schéma de McEliece est construit à partir de codes de Goppa binaires. Nous étudions une méthode qui permet de distinguer ces derniers de codes aléatoires, pour peu que leur rendement soit suffisamment élevé. Nous développons aussi une attaque en temps polynomial sur les codes alternants à rendement élevé. Là encore, nous exploitons les bases de Gröbner pour résoudre un système qui modélise le problème de retrouver la clé secrète. Enfin, nous donnons une procédure pour améliorer dans certains cas la gamme des paramètres distinguables
Résumé Algebraic error-correcting codes respond to numerous needs that emerge from the world of digital communications and information. The mathematical structure of these families of codes allows the design of efficient encoding and decoding algorithms, thus enabling a variety of applications in modern technologies. In this manuscript, we delve into two of these aspects. First, we tackle the decoding problem for Reed-Solomon codes. We propose a new strategy that consists of solving a polynomial system, whose equations are connected to the power decoding algorithm, by using Gröbner bases techniques. We show that for some parameters our approach allows to reach and exceed Johnson's radius. We then move to some topics related to code-based cryptography. The oldest public key encryption scheme relying on codes was proposed in 1978 by McEliece. After more than four decades, McEliece's scheme is still secure and even quantum computers do not represent a threat. We analyze the algebraic structure and the security of subfield subcodes of Reed-Solomon codes, namely alternant and Goppa codes. Among others, McEliece's scheme is built upon binary Goppa codes. We investigate an algebraic method that allows to distinguish alternant and Goppa codes from random ones, provided that their rate is high enough. This study brings us to develop a polynomial-time attack on high-rate alternant codes. Again, we exploit Gröbner bases to solve a polynomial system that models the key-recovery problem. Finally, we give a procedure to enhance in some cases the range of distinguishable parameters

L’utilisation des codes MDPC (Moderate Density Parity Check) quasi-cycliques dans le cryptosystème de McEliece offre un schéma de chiffrement post-quantique dont les clés ont une taille raisonnable et dont le chiffrement et le déchiffrement n’utilisent que des opérations binaires. C’est donc un bon candidat pour l’implémentation embarquée ou à bas coût.Dans ce contexte, certaines informations peuvent être exploitées pour construire des attaques par canaux cachés.Ici, le déchiffrement consiste principalement à décoder un mot de code bruité. Le décodeur utilisé est itératif et probabiliste : le nombre d’itérations de l'algorithme varie en fonction des instances et certains décodages peuvent échouer. Ces comportements ne sont pas souhaitables car ils peuvent permettre d’extraire des informations sur le secret.Une contremesure possible est de limiter le nombre d’instances de chiffrement avec les mêmes clés. Une autre façon serait de recourir à un décodage à temps constant dont la probabilité d’échec au décodage est négligeable. L’enjeu principal de cette thèse est de fournir de nouveaux outils pour analyser du comportement du décodeur pour la cryptographie.Dans un second temps, nous expliquons pourquoi l'utilisation des codes polaires n'est pas sûre pour le cryptosystème de McEliece. Pour ce faire, nous utilisons de nouvelles techniques afin de résoudre une équivalence de codes. Nous exhibons de nombreux liens entre les codes polaires et les codes de Reed-Muller et ainsi d'introduire une nouvelle famille de codes : les codes monomiaux décroissants. Ces résultats sont donc aussi d'un intérêt indépendant pour la théorie des codes
Considering the McEliece cryptosystem using quasi-cylcic MDPC (Moderate Density Parity Check matrix) codes allows us to build a post-quantum encryption scheme with nice features. Namely, it has reasonable key sizes and both encryption and decryption are performed using binary operations. Thus, this scheme seems to be a good candidate for embedded and lightweight implementations. In this case, any information obtained through side channels can lead to an attack. In the McEliece cryptosystem, the decryption process essentially consists in decoding. As we consider the use of an iterative and probabilistic algorithm, the number of iterations needed to decode depends on the instance considered and some of it may fail to be decoded. These behaviors are not suitable because they may be used to extract information about the secrets. One countermeasure could be to bound the number of encryptions using the same key. Another solution could be to employ a constant time decoder with a negligible decoding failure probability, that is to say which is about the expected security level of the cryptosystem. The main goal of this thesis is to present new methods to analyse decoder behavior in a cryptographic context.Second, we explain why a McEliece encryption scheme based on polar code does not ensure the expected level of security. To do so, we apply new techniques to resolve the code equivalence problem. This allows us to highlight several common properties shared by Reed-Muller codes and polar codes. We introduce a new family of codes, named decreasing monomial codes, containing both Reed-Muller and polar codes. These results are also of independent interest for coding theory

Tout d’abord, mon sujet de recherche porte sur le cryptographie à clé publique, plus précisément la cryptographie basée sur la théorie des codes correcteurs d’erreurs. L’objectif principal de cette thèse est d’analyser la sécurité des systèmes de chiffrement. Pour cela j’étudie les propriétés structurelles des différentes familles de codes linéaires utilisées dans la pratique. Mon travail de recherche s’est orienté de maniéré naturelle, vers l’étude des deux dernières propositions de cryptosystèmes, plus exactement le schéma de McEliece à base des codes MDPC [MTSB13](moderate parity check codes) et des codes Polaires [SK14]. Dans le cas des codes MDPC on a mis en évidence une faiblesse importante au niveau des clés utilisées par les utilisateurs du système. En effet, on a proposé un algorithme très efficace qui permet de retrouver une clé privé à partir d’une clé publique. Ensuite on a compté le nombre des clés faibles et on a utilisé le problème d’équivalence de codes pour élargir le nombre de clés faibles. On a publié notre travail de recherche dans une conférence internationale en cryptographie [BDLO16]. Ensuite on a étudié les codes Polaires et leur application à la cryptographie à clé publique. Depuis leur découverte par E. Arikan [Arı09], les codes Polaires font partie des famille de codes les plus étudié du point de vue de le théorie de l’information. Ce sont des codes très efficaces en terme de performance car ils atteignent la capacité des canaux binaires symétriques et ils admettent des algorithmes d’encodage et décodage très rapides. Néanmoins, peu des choses sont connu sur leur propriétés structurelles. Dans ce cadre la, on a introduit un formalisme algébrique qui nous a permit de révéler unegrande partie de la structure de ces codes. En effet, on a réussi à répondre à des questions fondamentales concernant les codes Polaires comme : le dual ou la distance minimale d’un code Polaire, le groupe des permutations ou le nombre des mots de poids faible d’un code Polaire. On a publié nos résultats dans une conférence internationale en théorie de l’information [BDOT16]. Par la suite on a réussi à faire une cryptanalyse complète du schéma de McEliece à base des codes Polaires. Ce résultat a été une application directe des propriétés découvertes sur les codes Polaires et il a été publié dans une conférence internationale en cryptographie post-quantique [BCD+16]
First of all, during my PhD I focused on the public key cryptography, more exactly on the code-based cryptography. The main motivation is to study the security of the latest encryption schemes. For that, I analyzed in detail the structural properties of the main code families. Thus, my research was naturally directed to the study of the McEliece based encryption schemes, among which the latest MDCP based variant [MTSB13] and Polar codes variant [SK14]. In the case of the MDPC based variant, we manage to reveal an important weakness regarding the key pairs that are used in the protocol. Indeed, we proposed an efficient algorithm that retrieves the private key given the public key of the scheme. Next we counted the proportion of weak keys and we used the code equivalence problem to extend the number of weak keys. We published our results in an international conference in cryptography [BDLO16]. Next we studied the Polar codes and their application to public key cryptography.Since they were discovered by Arikan [Arı09], Polar codes are part of the most studied from an information theory point of view, family of codes. In terms of performance they are really efficient since they are capacity achieving over the Binary Discrete Memoryless Channels and they allow extremely fast encoding and decoding algorithms. Nonetheless, few facts are known about their structure. In this context, we have introduced an algebraic formalism which allowed us to reveal a big part of the structure of Polar codes. Indeed, we have managed to answer fundamental questions regarding Polar codes such as the dual, the minimum distance, the permutation group and the number of minimum weight codewords of a Polar code. Our results were published in an international conference in information theory [BDOT16]. We also managed to completely cryptanalyze the McEliece variant using Polar codes. The attack was a direct application of the aforementioned results on the structural properties of Polar codes and it was published in an international conference in postquantum cryptography [BCD+16]

L’utilisation des codes MDPC (Moderate Density Parity Check) quasi-cycliques dans le cryptosystème de McEliece offre un schéma de chiffrement post-quantique dont les clés ont une taille raisonnable et dont le chiffrement et le déchiffrement n’utilisent que des opérations binaires. C’est donc un bon candidat pour l’implémentation embarquée ou à bas coût.Dans ce contexte, certaines informations peuvent être exploitées pour construire des attaques par canaux cachés.Ici, le déchiffrement consiste principalement à décoder un mot de code bruité. Le décodeur utilisé est itératif et probabiliste : le nombre d’itérations de l'algorithme varie en fonction des instances et certains décodages peuvent échouer. Ces comportements ne sont pas souhaitables car ils peuvent permettre d’extraire des informations sur le secret.Une contremesure possible est de limiter le nombre d’instances de chiffrement avec les mêmes clés. Une autre façon serait de recourir à un décodage à temps constant dont la probabilité d’échec au décodage est négligeable. L’enjeu principal de cette thèse est de fournir de nouveaux outils pour analyser du comportement du décodeur pour la cryptographie.Dans un second temps, nous expliquons pourquoi l'utilisation des codes polaires n'est pas sûre pour le cryptosystème de McEliece. Pour ce faire, nous utilisons de nouvelles techniques afin de résoudre une équivalence de codes. Nous exhibons de nombreux liens entre les codes polaires et les codes de Reed-Muller et ainsi d'introduire une nouvelle famille de codes : les codes monomiaux décroissants. Ces résultats sont donc aussi d'un intérêt indépendant pour la théorie des codes
Considering the McEliece cryptosystem using quasi-cylcic MDPC (Moderate Density Parity Check matrix) codes allows us to build a post-quantum encryption scheme with nice features. Namely, it has reasonable key sizes and both encryption and decryption are performed using binary operations. Thus, this scheme seems to be a good candidate for embedded and lightweight implementations. In this case, any information obtained through side channels can lead to an attack. In the McEliece cryptosystem, the decryption process essentially consists in decoding. As we consider the use of an iterative and probabilistic algorithm, the number of iterations needed to decode depends on the instance considered and some of it may fail to be decoded. These behaviors are not suitable because they may be used to extract information about the secrets. One countermeasure could be to bound the number of encryptions using the same key. Another solution could be to employ a constant time decoder with a negligible decoding failure probability, that is to say which is about the expected security level of the cryptosystem. The main goal of this thesis is to present new methods to analyse decoder behavior in a cryptographic context.Second, we explain why a McEliece encryption scheme based on polar code does not ensure the expected level of security. To do so, we apply new techniques to resolve the code equivalence problem. This allows us to highlight several common properties shared by Reed-Muller codes and polar codes. We introduce a new family of codes, named decreasing monomial codes, containing both Reed-Muller and polar codes. These results are also of independent interest for coding theory

Dans ce document sont présentées mes thématiques de recherche concernant l'étude des codes correcteurs d'erreurs à des fins cryptographiques. L'essentiel de sa composition est dédié au sujet principal de mes recherches commené un an avant la fin de la thèse à savoir l'étude
des cryptosystémes fondés sur des familles de codes décodables en métrique rang.

La cryptographie à base de codes correcteurs, introduite par Robert McEliece en 1978, est un candidat potentiel au remplacement des primitives asymétriques vulnérables à l'émergence d'un ordinateur quantique. Elle possède de plus une sécurité classique éprouvée depuis plus de trente ans, et permet des fonctions de chiffrement très rapides. Son défaut majeur réside dans la taille des clefs publiques. Pour cette raison, plusieurs variantes du schéma de McEliece pour lesquelles les clefs sont plus aisées à stocker ont été proposées ces dernières années. Dans cette thèse, nous nous intéressons aux variantes utilisant soit des codes alternants avec symétrie, soit des codes de Goppa sauvages. Nous étudions leur résistance aux attaques algébriques et exhibons des faiblesses parfois fatales. Dans chaque cas, nous révélons l'existence de structures algébriques cachées qui nous permettent de décrire la clef secrète par un système non-linéaire d'équations en un nombre de variables très inférieur aux modélisations antérieures. Sa résolution par base de Gröbner nous permet de trouver la clef secrète pour de nombreuses instances hors de portée jusqu'à présent et proposés pour un usage à des fins cryptographiques. Dans le cas des codes alternants avec symétrie, nous montrons une vulnérabilité plus fondamentale du processus de réduction de taille de la clef.Pour un déploiement à l'échelle industrielle de la cryptographie à base de codes correcteurs, il est nécessaire d'en évaluer la résistance aux attaques physiques, qui visent le matériel exécutant les primitives. Nous décrivons dans cette optique un algorithme de déchiffrement McEliece plus résistant que l'état de l'art
Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art.Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art

La cryptographie à base de codes correcteurs, introduite par Robert McEliece en 1978, est un candidat potentiel au remplacement des primitives asymétriques vulnérables à l'émergence d'un ordinateur quantique. Elle possède de plus une sécurité classique éprouvée depuis plus de trente ans, et permet des fonctions de chiffrement très rapides. Son défaut majeur réside dans la taille des clefs publiques. Pour cette raison, plusieurs variantes du schéma de McEliece pour lesquelles les clefs sont plus aisées à stocker ont été proposées ces dernières années. Dans cette thèse, nous nous intéressons aux variantes utilisant soit des codes alternants avec symétrie, soit des codes de Goppa sauvages. Nous étudions leur résistance aux attaques algébriques et exhibons des faiblesses parfois fatales. Dans chaque cas, nous révélons l'existence de structures algébriques cachées qui nous permettent de décrire la clef secrète par un système non-linéaire d'équations en un nombre de variables très inférieur aux modélisations antérieures. Sa résolution par base de Gröbner nous permet de trouver la clef secrète pour de nombreuses instances hors de portée jusqu'à présent et proposés pour un usage à des fins cryptographiques. Dans le cas des codes alternants avec symétrie, nous montrons une vulnérabilité plus fondamentale du processus de réduction de taille de la clef.Pour un déploiement à l'échelle industrielle de la cryptographie à base de codes correcteurs, il est nécessaire d'en évaluer la résistance aux attaques physiques, qui visent le matériel exécutant les primitives. Nous décrivons dans cette optique un algorithme de déchiffrement McEliece plus résistant que l'état de l'art
Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art.Code-based cryptography, introduced by Robert McEliece in 1978, is a potential candidate to replace the asymetric primitives which are threatened by quantum computers. More generral, it has been considered secure for more than thirty years, and allow very vast encryption primitives. Its major drawback lies in the size of the public keys. For this reason, several variants of the original McEliece scheme with keys easier to store were proposed in the last years.In this thesis, we are interested in variants using alternant codes with symmetries and wild Goppa codes. We study their resistance to algebraic attacks, and reveal sometimes fatal weaknesses. In each case, we show the existence of hidden algebraic structures allowing to describe the secret key with non-linear systems of multivariate equations containing fewer variables then in the previous modellings. Their resolutions with Gröbner bases allow to find the secret keys for numerous instances out of reach until now and proposed for cryptographic purposes. For the alternant codes with symmetries, we show a more fondamental vulnerability of the key size reduction process. Prior to an industrial deployment, it is necessary to evaluate the resistance to physical attacks, which target device executing a primitive. To this purpose, we describe a decryption algorithm of McEliece more resistant than the state-of-the-art

La cryptographie post-quantique vise à sécuriser les échanges contre un adversaire disposant d'un ordinateur quantique. L'une des approches envisagées pour permettre un chiffrement à clé publique post-quantique repose sur des problèmes difficiles en théorie des codes. Le mécanisme d'encapsulation de clé BIKE, soumis au processus de standardisation post-quantiques du NIST, utilise des codes QC-MDPC dont la quasi-cyclicité permet une représentation compacte de la clé. Cependant, leurs algorithmes de décodage ont une probabilité d'échec (DFR) non nulle, ce qui peut poser un problème de sécurité comme l'ont démontré Guo, Johansson et Stankovski. Ce travail se concentre donc sur l'implémentation et la sécurité de BIKE du point de vue du décodeur. Premièrement, nous concevons de nouveaux algorithmes qui réduisent drastiquement le DFR. Ces algorithmes introduisent des caractéristiques des décodeurs à décision douce dans des décodeurs à décision dure, apportant ainsi les performances des premiers et préservant la simplicité des seconds. Ensuite, nous développons des modèles probabilistes pour prédire le DFR dans des zones hors de portée des simulations. Le premier modèle prend en compte la régularité du code, il est très précis mais ne peut analyser qu'une itération d'un décodeur parallèle. Le second modèle se fonde sur une hypothèse markovienne du comportement d'un décodeur séquentiel complet. Enfin, nous déduisons une méthode d'extrapolation du DFR pour laquelle nous établissons des intervalles de confiance. Nous évaluons ensuite l'adéquation de cette extrapolation avec les caractéristiques structurelles du code qui peuvent affecter le processus de décodage avec des clés faibles ou des planchers d'erreurs
Post-quantum cryptography aims at securing exchanges against an adversary with a quantum computer. One approach considered to achieve post-quantum public key encryption relies on hard problems in coding theory. The key encapsulation mechanism BIKE, submitted to the NIST post-quantum standardization process, uses QC-MDPC codes whose quasi-cyclicity allows for a compact key representation. However, their decoding algorithms have a non-zero probability of failure (DFR) and this can be a security concern as demonstrated by Guo, Johansson and Stankovski. This work therefore focuses on the implementation and security of BIKE from the decoder's perspective. First, we design new algorithms that drastically reduce the DFR. These algorithms introduce features of soft-decision decoders into hard-decision decoders, thus bringing the performance of the former and preserving the simplicity of the latter. Second, we develop probabilistic models to predict the DFR in areas beyond the reach of simulations. The first model takes into account the regularity of the code, it is very accurate but can only analyze one iteration of a parallel decoder. The second model is based on a Markovian assumption of the behavior of a complete sequential decoder. Finally, we derive a DFR extrapolation method for which we establish confidence intervals. We then evaluate the adequacy of this extrapolation with the structural characteristics of the code that can affect the decoding process with weak keys or error floors

Le premier protocole cryptographique basé sur les codes correcteurs d'erreurs a été proposé en 1978 par Robert McEliece. La cryptographie basée sur les codes est dite post-quantique car il n'existe pas à l'heure actuelle d'algorithme capable d'attaquer ce type de protocoles en temps polynomial, même en utilisant un ordinateur quantique, contrairement aux protocoles basés sur des problèmes de théorie des nombres. Toutefois, la sécurité du cryptosystème de McEliece ne repose pas uniquement sur des problèmes mathématiques. L'implantation, logicielle ou matérielle, a également un rôle très important pour sa sécurité et l'étude de celle-ci face aux attaques par canaux auxiliaires/cachés n'a débuté qu'en 2008. Des améliorations sont encore possibles. Dans cette thèse, nous proposons de nouvelles attaques sur le déchiffrement du cryptosystème de McEliece, utilisé avec les codes de Goppa classiques, ainsi que des contre-mesures correspondantes. Les attaques proposées sont des analyses de temps d'exécution ou de consommation d'énergie. Les contre-mesures associées reposent sur des propriétés mathématiques et algorithmiques. Nous montrons qu'il est essentiel de sécuriser l'algorithme de déchiffrement en le considérant dans son ensemble et non pas seulement étape par étape
The first cryptographic protocol based on error-correcting codes was proposed in 1978 by Robert McEliece. Cryptography based on codes is called post-quantum because until now, no algorithm able to attack this kind of protocols in polynomial time, even using a quantum computer, has been proposed. This is in contrast with protocols based on number theory problems like factorization of large numbers, for which efficient Shor's algorithm can be used on quantum computers. Nevertheless, the McEliece cryptosystem security is based not only on mathematical problems. Implementation (in software or hardware) is also very important for its security. Study of side-channel attacks against the McEliece cryptosystem have begun in 2008. Improvements can still be done. In this thesis, we propose new attacks against decryption in the McEliece cryptosystem, used with classical Goppa codes, including corresponding countermeasures. Proposed attacks are based on evaluation of execution time of the algorithm or its power consumption analysis. Associate countermeasures are based on mathematical and algorithmic properties of the underlying algorithm. We show that it is necessary to secure the decryption algorithm by considering it as a whole and not only step by step

La cryptographie basée sur les codes n'est pas largement déployée dans la pratique. Principalement à cause de son inconvénient majeur: des tailles de clés énormes. Dans cette thèse, nous proposons deux approches différentes pour résoudre ce problème. Le premier utilise des codes algébriques, présentant un moyen de construire des codes de Goppa qui admettent une représentation compacte. Ce sont les Codes de Goppa p-adiques. Nous montrons comment construire ces codes pour instancier des systèmes de chiffrement à clé publique, comment étendre cette approche pour instancier un schéma de signature et, enfin, comment généraliser cet approche pour définir des codes de caractéristique plus grande au égale à deux. En résumé, nous avons réussi à produire des clés très compact basé sur la renommée famille de codes de Goppa. Bien qu'efficace, codes de Goppa p-adiques ont une propriété non souhaitable: une forte structure algébrique. Cela nous amène à notre deuxième approche, en utilisant des codes LDPC avec densité augmentée, ou tout simplement des codes MDPC. Ce sont des codes basés sur des graphes, qui sont libres de structure algébrique. Il est très raisonnable de supposer que les codes MDPC sont distinguable seulement en trouvant des mots de code de poids faible dans son dual. Ceci constitue un avantage important non seulement par rapport à tous les autres variantes du système de McEliece à clés compactes, mais aussi en ce qui concerne la version classique basée sur les codes de Goppa binaires. Ici, les clés compactes sont obtenus en utilisant une structure quasi-cyclique.

Cette thèse porte sur les problèmes algorithmiques qui apparaissent lorsque l'on souhaite mettre en œuvre un cryptosystème basé sur un code correcteur d'erreur ou bien une cryptanalyse d'un tel système. L'intérêt de ces système provient de leur excellente complexité algorithmique, meilleure de plusieurs ordres de grandeurs en termes de complexité que les schémas à clé publique traditionnels. Ils fournissent également une alternative crédible aux systèmes actuels qui pour la plupart se repose sur la théorie des nombres et sur le problème de la factorisation et celui du logarithme discret. Outre l'absence de preuve mathématique de la réelle difficulté de ces problèmes, P. Shor a montré que ces deux problèmes pouvaient être résolus en temps polynomial dans le modèle de l’ordinateur quantique. Cet ordinateur quantique est encore loin d'être fonctionnel mais il faudra, le jour venu, disposer d'alternatives de confiance et disposant de mises en œuvre performantes
This thesis is about algorithmic problems arising when someone wants to implement a cryptosystem based on error correcting codes or a cryptanalysis of such a system. The benefits of these systems come from their excellent algorithmic complexity, better of several orders than the classical public key schemes. They also bring a credible alternative to the current systems that for most of them rely on number theory and on the problems of factorisation and discrete logarithm. P.Shor showed that these two problems could be solved in polynomial time in the quantum computer model. This computer is far from being operational but we will need alternatives we can trust and that have efficient implementations

Cette thèse porte sur les problèmes algorithmiques qui apparaissent lorsque l'on souhaite mettre en œuvre un cryptosystème basé sur un code correcteur d'erreur ou bien une cryptanalyse d'un tel système. L'intérêt de ces système provient de leur excellente complexité algorithmique, meilleure de plusieurs ordres de grandeurs en termes de complexité que les schémas à clé publique traditionnels. Ils fournissent également une alternative crédible aux systèmes actuels qui pour la plupart se repose sur la théorie des nombres et sur le problème de la factorisation et celui du logarithme discret. Outre l'absence de preuve mathématique de la réelle difficulté de ces problèmes, P. Shor a montré que ces deux problèmes pouvaient être résolus en temps polynomial dans le modèle de l’ordinateur quantique. Cet ordinateur quantique est encore loin d'être fonctionnel mais il faudra, le jour venu, disposer d'alternatives de confiance et disposant de mises en œuvre performantes
This thesis is about algorithmic problems arising when someone wants to implement a cryptosystem based on error correcting codes or a cryptanalysis of such a system. The benefits of these systems come from their excellent algorithmic complexity, better of several orders than the classical public key schemes. They also bring a credible alternative to the current systems that for most of them rely on number theory and on the problems of factorisation and discrete logarithm. P.Shor showed that these two problems could be solved in polynomial time in the quantum computer model. This computer is far from being operational but we will need alternatives we can trust and that have efficient implementations

La plupart des algorithmes de chiffrement à clé publique actuellement utilisés pour assurer la confidentialité et l'authenticité des télécommunication se fondent sur la difficulté de problèmes de théorie des nombres. Par exemple, la sécurité de RSA est fondé sur la difficulté calculatoire de factoriser un produit de grands nombres premiers. Mais en 1994, Shor a proposé un algorithme qui résout ce problème efficacement avec un ordinateur quantique. Les ordinateurs quantiques de grande taille n'existent pas encore, mais cela pourrait changer dans quelques décennies. Nous avons donc besoin de nouveau systèmes de chiffrement qui résistent aux attaques quantiques. En 2017, l'institut national des standards et technologies américain (NIST) a invité les chercheurs à soumettre des propositions pour standardiser de tels algorithmes. Une solution consiste à créer des cryptosystèmes fondés sur la difficulté de décoder des codes correcteurs d’erreurs. Une proportion significative des algorithmes proposés suite à l'appel du NIST utilise cette approche. Dans cette thèse, nous analysons différents cryptosystèmes post-quantiques fondés sur les codes correcteurs. D’abord, nous étudions les codes QC-MDPC et montrons que l’on peut retrouver la clé privée en observant le poids du syndrome ou le nombre d’itérations de l’algorithme de décodage. Ensuite, nous proposons des attaques qui exploitent la structure des cryptosystèmes Edon-K, RLCE et XGRS. Enfin, nous étudions la difficulté du problème du décodage générique dans le cas des codes ternaires, et en particulier avec une erreur de grand poids, comme dans la signature Wave
Today, most public-key cryptosystems used to ensure the privacy and authenticity of communications rely on the hardness of number theoretic problems. For instance, the security of the RSA algorithm is based on the fact that factoring a product of large prime numbers is computationally hard. However, in 1994, Shor proposed an algorithm to efficiently solve this problem using a quantum computer. Large-scale quantum computers do not exists yet, but this could change within the next decades. Therefore, we need new public-key cryptosystems that resist quantum attacks. This is known as post-quantum cryptography. In 2017, the American National Institute of Standards and Technologies (NIST) invited researchers to submit proposals for the standardisation of post-quantum cryptographic algorithms. One promising solution is to design cryptosystems based of the hardness of decoding error-correcting codes. A significant proportion of cryptosystems submitted to the NIST use this approach. In this thesis, we propose an analysis of different code-based post-quantum cryptosystems. First, we study the case of QC-MDPC codes and show that one can recover the private key by observing the syndrome weight or the number of iterations of the decoding algorithm. Then, we propose key-recovery attacks exploiting the structure of three cryptosystems: Edon-K, RLCE and XGRS. Finally, we study the hardness of the general decoding problem for ternary codes, in the large weight setting, which is used in the Wave signature scheme

The arrival of the quantum computing era is a real threat to the confidentiality and integrity of digital communications. So, it is urgent to develop alternative cryptographic techniques that are resilient to quantum computing. This is the goal of pos-quantum cryptography. The code-based cryptosystem called Classical McEliece Cryptosystem remains one of the most promising postquantum alternatives. However, the main drawback of this system is that the public key is much larger than in the other alternatives. In this thesis we study the algebraic properties of this type of cryptosystems and present a new variant that uses a convolutional encoder to mask the so-called Generalized Reed- Solomon code. We conduct a cryptanalysis of this new variant to show that high levels of security can be achieved using significant smaller keys than in the existing variants of the McEliece scheme. We illustrate the advantages of the proposed cryptosystem by presenting several practical examples.
A chegada da era da computação quântica é uma ameaça real à confidencialidade e integridade das comunicações digitais. É, por isso, urgente desenvolver técnicas criptográficas alternativas que sejam resilientes à computação quântica. Este é o objetivo da criptografia pós-quântica. O Criptossistema de McEliece continua a ser uma das alternativas pós-quânticas mais promissora, contudo, a sua principal desvantagem é o tamanho da chave pública, uma vez que é muito maior do que o das outras alternativas. Nesta tese estudamos as propriedades algébricas deste tipo de criptossistemas e apresentamos uma nova variante que usa um codificador convolucional para mascarar o código de Generalized Reed-Solomon. Conduzimos uma criptoanálise dessa nova variante para mostrar que altos níveis de segurança podem ser alcançados usando uma chave significativamente menor do que as variantes existentes do esquema de McEliece. Ilustramos, assim, as vantagens do criptossistema proposto apresentando vários exemplos práticos.
Programa Doutoral em Matemática

碩士
國立交通大學
資訊工程系所
93
McEliece public-key cryptosystem is the first system combining cryptography and algebraic coding theory. In 1999, Hall et al. introduced the reaction attack on McEliece's and two other cryptosystems. Compared with chosen-ciphertext attacks, the reaction attack has higher feasibility. However, it requires more queries. In this thesis, we propose a trichotomy reaction oracle model. In this model, the key-owner is assumed that when a illegal ciphertext is received, he determines if the ciphtext is still decryptable and the plaintext is correct, then replies two different warning responses according to the judgement. And he replies an acknowledgement response when a legal ciphertext is received. We prove that if there is an algorithm which solves the comparative counterfeit coins problem, then there is an attack algorithm on the improper implementation which matches the trichotomy reaction oracle model. Furthermore, we design an efficient algorithm to solve the comparative counterfeit coins problem. Combined with the previous conclusion, a trichotomy reaction attack algorithm with fewer queries requirement is induced.

Code-based cryptography is an area of classical cryptography in which cryptographic primitives rely on hard problems and trapdoor functions related to linear error-correcting codes. Since its inception in 1978, the area has produced the McEliece and the Niederreiter cryptosystems, multiple digital signature schemes, identification schemes and code-based hash functions. All of these are believed to be resistant to attacks by quantum computers. Hence, code-based cryptography represents a post-quantum alternative to the widespread number-theoretic systems. This thesis summarizes recent developments in the field of code-based cryptography, with a particular emphasis on code-based signature schemes. After a brief introduction and analysis of the McEliece and the Niederreiter cryptosystems, we discuss the currently unresolved issue of constructing a practical, yet provably secure signature scheme. A detailed analysis is provided for the Courtois, Finiasz and Sendrier signature scheme, along with the mCFS and parallel CFS variations. Finally, we discuss a recent proposal by Preetha et al. that attempts to solve the issue of provable security, currently failing in the CFS scheme case, by randomizing the public key construct. We conclude that, while the proposal is not yet practical, it represents an important advancement in the search for an ideal code-based signature scheme.

Title: Goppa codes and their applications Author: Bc. Jaroslav Kotil Department: Department of algebra Supervisor: prof. RNDr. Aleš Drápal, CSc., DSc. Abstract: In this diploma paper we introduce Goppa codes, describe their para- metres and inclusion in Alternant codes, which are residual Generalized Reed- Solomon codes, and Algebraic-geometry codes. Aftewards we demonstrate deco- ding of Goppa codes and introduce Wild Goppa codes. We also describe post- quantum cryptography member: McEliece cryptosystem for which no effective attacks with quantum computers are known. We outline a usage of this crypto- system with Goppa codes and describe the security of the cryptosystem together with possible attacks of which the most effective ones are based on information- set decoding. Keywords: Goppa codes, Generalized Reed-Solomon codes, Algebraic-geometry codes, Post-quantum cryptography, McEliece cryptosystem 1