Le nombre de circuits présents dans notre quotidien est en constante augmentation. Utilisés dans tous types de domaines, y compris critiques, garantir leur sécurité est devenue une nécessité. De nombreux systèmes embarquent des fonctions de sécurité tels une vérification de code PIN ou un algorithme cryptographique. Néanmoins, si ces fonctions sont conçues théoriquement sures, il est toujours possible d’attaquer leur implémentation matérielle. Les attaques par injection de fautes permettent de les outrepasser. Pour contrer ces attaques, de nombreuses contremesures existent, mais elles sont spécifiques à chaque algorithme.
Dans notre projet, nous portons l’idée d’une contremesure pour protéger l’intégrité des instructions d’un processeur avec un schéma de randomisation des instructions s’appuyant sur un MAC (Message Authentication Code). Dans la littérature, de premiers travaux ont montré l’intérêt de la randomisation des instructions, technique consistant à encoder les programmes à la compilation et à les décoder à la volée lors de l’exécution. Néanmoins, ces propositions sont inefficaces, car elles se basent sur des algorithmes non adaptés, notamment avec une latence trop élevée. Nous souhaitons développer une solution pour protéger les instructions contre les attaques par injections de fautes avec un MAC à faible latence.
Un MAC est un outil cryptographique garantissant l’intégrité des données qui lui sont passées en entrée. Il se compose d’une primitive traitant des données de taille fixe et d’un mode permettant de gérer le cas des tailles arbitraires. Le mode bénéficie d’une réduction de sécurité vers la primitive, tandis que la sécurité de cette dernière ne repose en général que sur la cryptanalyse.
La·le doctorant·e devra proposer une ou plusieurs primitives de type chiffrement par bloc à paramètre (ou tweakable block cipher) avec une faible latence et sûr face à l’état de l’art de la cryptanalyse.
Dans le but de mener à bien ces travaux de thèses, les étapes suivantes ont été identifiées.
— Étudier l’état de l’art des primitives cryptographiques à faible latence.
— Proposer une solution originale permettant de répondre aux contraintes de latence et de coût considérées dans le projet. Ainsi le rôle d’encadrant de Gaël Thomas cryptologue à la DGA-MI est primordial.
— Proposer une implémentation matérielle sur cible FPGA de la solution proposée. La solution sera intégrée à un cœur RISC-V de la famille OpenHW Group 2 déjà mis en œuvre dans le cadre de projets de recherches menés au sein de l’équipe ARCAD du laboratoire Lab-STICC à Lorient dont Vianney Lapôtre, co-directeur de la thèse, est membre.
— Évaluer la solution proposée en termes de performance, de surface et de sécurité. Pour réaliser des évaluations de sécurité face à des attaques physiques par perturbation, le doctorant recruté aura accès au Laboratoire Haute Sécurité (LHS) de Rennes dont sa directrice de thèse Hélène Le Bouder est une membre active.
1] S.K. Bukasa, R. Lashermes, J-L. Lanet, and A. Legay. Let’s shock our iot’s heart : Armv7-m
under (fault) attacks. ACM, 2018.
[2] B. Colombier, P. Grandamme, J. Vernay, É. Chanavat, L. Bossuet, L. de Laulanié, and B. Chas-
sagne. Multi-spot laser fault injection setup : New possibilities for fault injection attacks. In
International Conference on Smart Card Research and Advanced Applications, 2021.
[3] J. Wang, C. Boura, P. Derbez, K. Hu, M. Li, and M. Wang. Cryptanalysis of full-round BipBip.
IACR Trans. Symmetric Cryptol., 2024(2).
[4] S. Chen, K. Hu, G. Liu, Z. Niu, Q. Q. Tan, and S. Wang. Meet-in-the-middle attack on 4+4
rounds of SCARF under single-tweak setting. IACR Cryptol. ePrint Arch., page 1270, 2024.
[5] C. Boura, S. Rasoolzadeh, D. Saha, and Y. Todo. Multiple-tweak differential attack against
SCARF. In ASIACRYPT 2024.
[6] C. Boura, N. David, R. Heim Boissier, and M. Naya-Plasencia. Better steady than speedy :
Full break of SPEEDY-7-192. In EUROCRYPT, 2023.
[7] J. Wang, C. Niu, Q. Liu, M. Li, B. Preneel, and M. Wang. Cryptanalysis of SPEEDY. In
ACISP, 2023