Algebraic attacks on the elliptic curve discrete logarithm problem
Attaques algébriques du problème du logarithme discret sur courbes elliptiques
Résumé
Up to now, very few algorithms exist that solve the discrete logarithm problem in the group of points of an elliptic curve defined over finite field. This problem is thus the keystone of many cryptographic protocols. However, some approaches based on index calculus methods and using polynomial system solving for relation search are promising for cryptanalysis, and we propose to study them in this Ph.D. thesis. The first part of this work focuses on Gröbner basis computation for polynomial system solving. We detail Faugère's F4 and F5 algorithms, which are considered as references in this field, and then propose and analyze a variant of F4 devised for the resolution of many systems having the same shape. We show on several examples that in this context, this new algorithm outperforms both F4 and F5, and thus should be added to the cryptanalytic toolbox. The second part is devoted to the study of the discrete logarithm problem on algebraic curves. We begin with a short review of existing attacks in a general context, then focus on elliptic curves defined over extensions of finite fields. A complete description of the GHS transfer techniques and of the decomposition attacks introduced by Gaudry and Diem is given. Notably, we present variants of these decomposition methods, enlarging the range of extension fields over which the elliptic curve DLP (and related problems) is weak. Finally, a new approach based on a combination of cover and decomposition attacks is proposed. In particular, this attack allows to compute discrete logarithms on elliptic curves defined over sextic extensions whose sizes had never been reached before.
Le problème du logarithme discret sur courbes elliptiques est à la base de nombreux protocoles cryptographiques, dans la mesure où on ne connaît jusqu'à présent aucun algorithme permettant de l'attaquer efficacement. Du point de vue de la cryptanalyse, certaines approches basées sur des méthodes de calcul d'indices, et s'appuyant sur la résolution de systèmes pour la recherche de relations, sont toutefois prometteuses. La première partie de cette thèse est consacrée aux techniques de calcul de bases de Gröbner appliquées à la résolution de systèmes polynomiaux. Après une description détaillée des algorithmes F4 et F5 de Faugère considérés comme les plus performants actuellement, on présente et analyse une variante de l'algorithme F4, particulièrement utile pour la résolution de nombreux systèmes "similaires". Plusieurs exemples d'applications de ce nouvel algorithme sont donnés à la fois au domaine du calcul formel et de la cryptographie, montrant que pour certaines attaques algébriques, cette variante est plus efficace que F4 et F5. Etant munis de ces nouveaux outils, on étudie dans la seconde partie le problème du logarithme discret sur courbes algébriques. Après une présentation rapide des attaques existantes sur ce type de courbes dans un contexte général, on s'intéresse plus particulièrement aux courbes elliptiques définies sur des extensions de corps finis. On donne ainsi une description complète des techniques GHS, puis des méthodes d'attaques par décomposition introduites par Gaudry et Diem. On présente notamment des variantes de ces méthodes de décompositions permettant, grâce aux outils introduits en première partie de cette thèse, de fragiliser le DLP (et des problèmes reliés) sur courbes elliptiques sur une gamme plus large d'extensions de corps finis. Enfin, une nouvelle approche combinant les attaques par recouvrement ainsi que les méthodes de décompositions est proposée : cette attaque permet entre autres de calculer complètement le logarithme discret sur des courbes elliptiques définies sur des extensions sextiques de taille jamais atteinte auparavant.
Loading...