Accueil du site > Vie de la recherche > Prix et distinctions > Institut universitaire de France (IUF)




Recherchez sur ce site


Damien Vergnaud : « Un aléatoire à ne pas laisser au hasard »

Damien Vergnaud est nommé membre junior de l’Institut Universitaire de France au 1er octobre 2017. Son projet de recherche vise à mieux comprendre les implications de l’utilisation de l’aléa dans la cryptographie. Dans une approche à la fois théorique et pratique, il souhaite pouvoir définir la dose idéale d’aléatoire à introduire en fonction des besoins de sécurité, pour concevoir des protocoles parmi les plus efficaces connus.

Pourquoi l’aléatoire est-il essentiel dans la cryptographie ?

Damien Vergnaud : La cryptographie, cette science du secret, cherche tous les moyens pour sécuriser la communication d’informations. Tout ce qu’on peut imaginer dans le monde réel qui a besoin de sécurité demande de la cryptographie dans le monde numérique. Dans cette discipline, l’aléatoire joue un rôle essentiel. Il est nécessaire pour générer des clés, mais il est également utilisé dans la plupart des protocoles cryptographiques pour chiffrer des contenus, demander une authentification… En effet, dans certains cas, il est nécessaire d’inclure de l’aléa (on parle alors de protocoles probabilistes) pour effectuer certaines tâches, qui seraient impossibles de façon déterministe, c’est-à-dire quand tout est défini. Par exemple, dans un contexte de vote électronique, si tous les votes étaient chiffrés de la même façon, ce serait presque comme s’il n’y a pas de chiffrement ! Le chiffré d’un vote doit changer grâce à de l’aléatoire, même si son contenu est identique, car sinon ce serait trop facile à analyser en cas d’attaques. Dans d’autres cas, les protocoles probabilistes sont plus rapides, moins coûteux en espace ou plus simples que les algorithmes déterministes connus. L’aléatoire est donc souvent utile, parfois nécessaire. Mais l’ajouter peut créer des failles de sécurité, notamment par rapport aux nombres aléatoires qui sont utilisés. En effet, produire de l’aléa parfait n’est pas simple ! Même si vous vouliez créer une suite de 0 et de 1 de façon arbitraire, il pourrait y avoir des biais qui rendraient le système attaquable. Les cryptographes supposent généralement que les utilisateurs ont un accès illimité à une source d’aléa parfait, mais cette hypothèse est irréaliste en pratique.

Sur quoi se concentrent vos recherches ?

D. V. : Je m’intéresse plus particulièrement à la sécurité dite réductionniste, c’est-à-dire au fait de garantir la sécurité d’un système cryptographique par une preuve mathématique. Cette approche est appelée réductionniste, car on « réduit », on résume la sécurité à une hypothèse mathématique ou algorithmique. Ces hypothèses en petit nombre sont impossibles à démontrer dans l’état actuel des connaissances. Elles sont cependant très étudiées et admises par la majorité de la communauté des chercheurs. La réduction montre que pour attaquer un système cryptographique, la seule approche possible demande de contredire l’hypothèse sous-jacente (ce qui semble donc impossible). Pour l’intégration de l’aléatoire dans ces preuves, je m’intéresse à plusieurs aspects. Tout d’abord la quantité d’aléa est un point important. Mon but est d’étudier des exemples dans tout le contexte cryptographique pour réussir à déterminer combien d’aléa est nécessaire en fonction des objectifs de sécurité. Tout est affaire de compromis entre la protection nécessaire des informations, l’efficacité calculatoire (à quelle vitesse a-t-on besoin des informations ?) et l’espace mémoire nécessaire pour ces calculs. Par exemple dans des systèmes très contraints comme les systèmes embarqués, l’espace mémoire et les capacités de calcul sont très limités, il faut donc voir comment implémenter le moins d’aléatoire possible, voire comment s’en passer quand le besoin n’est pas critique. Certains systèmes embarqués exploitent des valeurs qui proviennent d’un capteur, par exemple la température, pour produire de l’aléa qu’un attaquant peut essayer de biaiser. Mon but est de déterminer quelle sécurité il est possible d’obtenir avec ce genre de systèmes, et de proposer des solutions comme ajouter des primitives cryptographiques ou un générateur d’aléas hybride, qui utilise des données du monde physique, mais les combinent à des techniques cryptographiques.

Ce compromis aléatoire/efficacité calculatoire est un problème très ancien en informatique. Certains algorithmes sont plus efficaces si on ajoute de l’aléatoire. Dans ce cadre, je voudrais essayer d’en développer de nouveaux en utilisant encore plus d’aléa pour les rendre encore plus rapides. Dans d’autres cas, à l’inverse, l’algorithme est plus efficace si on ajoute de la structure et qu’on retire de l’aléatoire, ou qu’on réutilise le même aléatoire à plusieurs moments. Je suis donc toujours dans la recherche de la juste dose d’aléatoire en fonction de ce qui est recherché.

Et sur la problématique des générateurs d’aléas ?

D. V. : Je prévois une étude des générateurs aléatoires pour déterminer les plus efficaces et ceux qui offrent les meilleures garanties possibles. C’est la poursuite d’une étude débutée il y a quelques années, menée sur le générateur /dev/random qui est utilisé sur Linux, les téléphones et aussi les serveurs. Il s’agit d’un générateur hybride qui utilise des primitives cryptographiques associées, comme évoqué précédemment, à des mesures physiques : dans ce cas, des mesures du mouvement de la souris sur l’écran ou de frappes sur le clavier. En collaboration avec d’autres chercheurs, j’avais mis en évidence des failles qui ont été corrigées depuis. Idéalement il faudrait un générateur qui puisse accumuler les données jusqu’à pouvoir reconfigurer lui-même son fonctionnement, et ainsi garantir de produire des aléas sûrs. Mon but est de proposer un système avec cette capacité d’accumulation, basée sur une preuve mathématique.

Parcours

Damien Vergnaud est professeur à l’Université Pierre et Marie Curie depuis juin 2017, et membre du Laboratoire d’informatique de Paris 6 (LIP6 - CNRS/Université Pierre et Marie Curie). Après une thèse de mathématiques « Approximation diophantienne et courbes elliptiques. Protocoles asymétriques d’authentification non-transférable » soutenue en 2006 au sein du Laboratoire de Mathématiques Nicolas Oresme (LMNO – CNRS/Université de Caen Normandie) sous la direction d’Éric Reyssat, il a effectué un post-doctorat au Bonn-Aachen International Center for Information Technology en Allemagne. Il a été recruté en 2007 maître de conférences à l’École normale supérieure. Membre du Département d’Informatique de l’École normale supérieure (DI ENS - CNRS/ENS/Inria), il y a soutenu en 2014 son habilitation à diriger des recherches (HDR) sur les primitives et protocoles en cryptographie asymétrique.