CTL
24 mars 2009 - 13h30
Quelques propriétés intégrales de Rijndael-256, 224, 192 et 160 permettant d'améliorer des distinguisheurs à clés inconnues mais aussi à clés connues.
par Marine Minier de INSA Lyon.
Résumé : Dans le papier original soumis au NIST et décrivant Rijndael, une attaque dite intégrale a été proposée : il s'agit de faire prendre à un octet particulier toutes les valeurs possibles et d'obtenir au bout de trois tours des propriétés sur la somme des valeurs en un octet donné. Plus précisément, la valeur de cette somme est 0 en raison de propriétés de bijection particulières internes au chiffrement. Cette propriété permet de construire des distingueurs sur 6 étages nécessitant 2^72a chiffrements. Rijndael a été choisi par le NIST pour devenir dans sa version 128 bits le nouvel AES. Les autres versions de Rijndael (blocs à chiffrer de taille 256, 224, 192 et 160 bits) n'ont pas été standardisés. En 2000, Ferguson et al. ont proposé une amélioration de l'attaque intégrale permettant d'obtenir un distingueur sur 7 étages de l'AES. Nous nous intéresserons dans cette présentation à l'étude des propriétés intégrales des versions de Rijndael non standardisées qui en raison d'une diffusion relativement lente permettent de construire des distingueurs sur un plus grand nombre d'étages et nécessitant moins de clairs choisis. Nous verrons ensuite comment utiliser ces propriétés dans le cadre des distingueurs à clés connues introduits par Knudsen et Rijmen à Asiacrypt 2007.
Les tranparents de la presentation.