Titel Promotor Affiliaties "Korte inhoud" "Gevorderde Methoden in Cryptoanalyse" "Vincent Rijmen" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "Cryptologie (geheim- of codeschrift) is een belangrijk aspect van de hedendaagse samenleving en economie. Cryptologie bestaat uit twee belangrijke domeinen: cryptografie, dat het ontwerpen van cryptografische algoritmen omvat, en cryptoanalyse (ook bekend als “het breken van code”), dat de veiligheidsanalyse van deze algoritmen omvat. Binnen niet-militaire kringen werd vooruitgang in de cryptoanalyse altijd verbonden aan vooruitgang in de cryptografie.Dit projectvoorstel heeft als doel om de cryptoanalyse als een apart veld van cryptografie op te bouwen door de kwaliteiten die een algoritme onveilig maken, te identificeren. Door de essentie van “onveiligheid” te vatten, kunnen nieuwe aanvalsmethoden ontwikkeld worden, waardoor zowel het bestaande landschap (door onveilige algoritmen uit de publieke sfeer te verwijderen) als toekomstige ontwerpen verbeterd worden. " "Blokcijfers als verzamelingen van permutaties: indifferentieerbaarheid, groepgeneratoren, onderscheiden." "Vincent Rijmen" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "A block cipher can be seen as a set of permutations acting on the plaintext/ciphertext space. A key chooses one permutation from this set. A good cipher resembles a set of independently and randomly drawn permutations. While numerous results are known on the analysis of separate permutations once a key is fixed, only few analysis techniques have been established for the analysis of block ciphers as sets of permutations. At the same time, a good block cipher requires the set of permutations to behave in an idealized way. With this research project, we aim to bridge this gap by applying advanced mathematical techniques from three different areas. Using techniques from the complexity theory, we will derive proper security notions for the security of block ciphers as permutation sets. Using group theory, we will study new quantitative group-theoretical parameters of round transformations generating permutation sets related to block cipher permutations in the symmetric group. Using combinatorial methods and statistics, we will identify novel distinguishers of block ciphers from sets of randomly drawn permutations as well as corresponding key recovery techniques." "Geünificeerde grondbeginselen voor de lineaire en differentiële cryptanalyse van permutatie-gebaseerde cryptografie" "Vincent Rijmen" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "Het eerste deel van deze thesis ontwikkelt een algemene theorie van symmetrische-sleutel cryptanalyse. Ze brengt lineaire, differentiële en integrale cryptanalyse samen in eenzelfde kader. Een universele definitie van paden maakt het mogelijk om de eigenschappen van geïtereerde functies op een systematische manier te bepalen. De theorie laat toe om de uitbreidingen van lineaire cryptanalyse op een uniforme manier te beschrijven. Voor differentiële cryptanalyse leidt ze tot de definitie van quasidifferentiële paden, die het mogelijk maken om de kans van differentiële karakteristieken te bepalen zonder gebruik te maken van probabilistische onafhankelijkheidsveronderstellingen. In integrale cryptanalyse geeft de theorie aanleiding tot een spectrum van eigenschappen tussen nulsommen en saturatie. Deze eigenschappen kunnen ontdekt en onderzocht worden met behulp van een nieuwe theorie van ultrametrische paden, een veralgemening van monomiale paden.In het tweede deel van deze thesis worden cryptanalytische toepassingen besproken. Op basis van een karakterisatie van invarianten als eigenvectoren van correlatiematrices die uit het eerste deel volgt, worden zwakke sleutel aanvallen op Midori-64 en Mantis met een verminderd aantal ronden gevonden. De Zuid-Koreaanse en Amerikaanse standaarden voor formaat-bewarende encryptie FEA en FF3-1 worden gebroken met behulp van meerdimensionale lineaire cryptanalyse. Differentiële aanvallen op Rectangle, KNOT en Speck worden herbekeken met behulp van quasidifferentiële paden, waaruit blijkt dat sommige fout zijn en andere enkel voor een deel van de sleutels werken. Een nieuwe generische aanval op samentrekkende Feistel constructies leidt tot aanvallen op de Chinese commerciële blokcijferstandaard SM4 met een verminderd aantal ronden. Een analyse van de veiligheid van verschillende aritmetisatiegeoriënteerde primitiven leidt tot aanvallen op sommige voorbeelden van GMiMC-erf, GMiMC-crf, HadesMiMC en de Legendre PRF. Er wordt een aanval gegeven op het blokcijfer LowMC-M, dat een achterdeurtje bevat. Bovendien worden twee nieuwe blokcijfers die meer gangbare ontwerprinciples volgen, maar toch een achterdeurtje bevatten, ontwikkeld. Ten slotte wordt aangetoond hoe lineaire cryptanalyse kan gebruikt worden om de veiligheid van beschermingsmechanismen tegen nevenkanaalaanvallen te analyseren." "Blokcijfers en versleutelingsmechanismen." "Bart Preneel" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "Dit project gaat over encryptie, variërend van de bouw van 'block ciphers' (wiskundige basis bouwstenen) naar verschillende typen encryptie-schema's." "Non-standard architectures for symmetric cryptographic algorithms." "Bart Preneel" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "Several non-standard approaches to the design of block ciphers are studied with respoect to differential and linear cryptanalysis. The new approach of improving the diffusion of unbalanced Feistel networks with contracting functions and incomplete Feistel networks by using maximum distance separable codes is analyzed. As such constructions have smaller diffusion layers, they can turn out more efficient in many settings than the standard block cipher architectures. Moreover, we aim to identify conditions that have to be imposed on the MDS diffusion layers and additionally treat linear codes with suboptimal distances. Another approach to be taken is to co-design nonlinear functions and linear permutations in a way optimizing the overall cryptanalytic properties. For instande, for a fixed permutation layer, one can forbid certain types of linear and differential characteristics by selecting proper S-boxes. The potential of this approach with respect to block ciphers is far from being exhausted and can result in more efficient lightweight block ciphers." "Modulaire Analyse en Ontwerp van Hashfuncties en Blokcijfers." "Bart Preneel" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "Het doel van dit project is om een betrouwbare theoretische basis voor formele veiligheidsdefinities van cryptografische hashfuncties en blokcijfers te ontwikkelen. De theoretische basis voor hashfuncties zal veiligheidsdefinities voor sleutelloze hashfuncties omvatten, alsmede voor hashfuncties die een additionele sleutel vast of verschillend per bericht als invoer hebben. Veiligheidsmodellen voor blockcijfers worden ge-introduceerd voor verschillende manieren waarop een aanvaller de sleutel kan gebruiken, zoals verwante-, bekende-, en gekozen-sleutel-aanvallen. Met behulp van deze theoretische basis zullen concrete hashfuncties en blokcijferontwerpen geanalyseerd worden. Deze analyse zal voornamelijk berusten op het reduceren van veiligheidsbewijzen. Het uiteindelijke doel is om generalisaties van de veiligheidseigenschappen te verschaffen, waaraan een onderliggende constructie moet voldoen teneinde voor een hashfunctie of blokcijfer een adequaat veiligheidsniveau te garanderen." "Algorithmische Tegenmaatregelen Tegen Passieve en Actieve Fysieke Aanvallen" "Vincent Rijmen" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "Symmetrische cryptografie is de hoeksteen in het verdedigen van technologie tegen cyber aanvallen. Sinds het voorstel van de Data Encryptie Standaard (DES) konden mensen beveiligde software en hardware maken. Desalniettemin, deze hoogtechnologische cryptografie beloopt gevaar wanneer het zich bevindt in een ingebed apparaat.In 1999 werd een aanval genaamd differentiële vermogen analyse gepubliceerd. De aanval misbruikt de relatie tussen het vermogen gebruik van een apparaat en de data die daardoor vloeit. Gebruik makende van statistische methoden konden de auteurs de DES breken met maar enkele duizenden keren het cijfer op te roepen. Omdat de aanval zo sterk was werd het meteen duidelijk dat er onmiddellijk tegenmaatregelen nodig waren. Het begon ook een nieuw veld genaamd nevenkanaal analyse.Één maatregel blonk uit tegenover de anderen en werd al vlug het mantelstuk om hardware applicaties te verdedigen. Deze maatregel noemt men maskeringsmethoden. De methode splitst essentieel het symmetrische cijfer op in enkele stukken. Elk stuk appart lijkt te werken op willekeurige data, maar breng de stukken bij elkaar en het originele cijfer duikt terug op. Het idee achter deze maskeringmethoden bevindt zich in ruis amplificatie. Het observeren van meerdere stukjes van een berekening tegelijkertijd maakt de ruis, die afkomstig was van de meetapparatuur of van het apparaat zelf, exponentieel groter. Dit maakt het voor de industrie mogelijk om een tegenmaatregel te ontwerpen die enkel breekt als je het gemaskeerde cijfer miljoenen of zelfs meer keer moet oproepen. Deze getallen kan je typisch niet bereiken in de praktijk.Desalniettemin, ook al bereiken maskeringsmethoden praktische veiligheid, ze komen met extra kosten voor hardware. Typisch hebben maskeringsmethode een verlaagde snelheid en een verhoogde oppervlakte kost. Deze extra kosten zijn vaak limiterend voor de industrie. Ook de academische wereld heeft hun zinnen gezet op de maskeringsmethoden. Al zijn er beveiligingsmodellen om de veiligheid van de maskeringsmethoden te verifiëren, ze zijn nog steeds ruw. Vaak zijn deze modellen te sterk. Bijvoorbeeld, ze beschouwen tegenstrevers met ongelimiteerde grondstoffen of oproepen aan het symmetrische primitief. De modellen zijn ook vaak te zwak omdat ze niet al de fysieke effecten van hardware beschouwen. In het kort, de modellen staan niet dicht genoeg bij de realiteit. Dit resulteerd dan in het maken van onveilige maskeringen of maskeringen die veel te duur zijn.We bekijken of de perfecte veiligheid van een maskering wel noodzakelijk is. We stellen een beveiligingsmodel voor waarbij een tegenstrever maar een eindig aantal oproepen heeft voor het symmetrisch primitief. We stellen ook een analyse methode voor in dat model waarmee we een maskering in zijn geheel kunnen verifiëren in de plaats het gebruiken van een modulaire methode. Deze analyse is interessant voor twee redenen. De eerste is dat deze de velden van symmetrische sleutel cryptografie en nevenkanaal analyse combineert. Dat legt een connectie bloot tussen het gemaskeerde primitief en het primitief zelf. De tweede reden staat in verband met zogenaamde drempel implementaties en de mogelijkheid om de kost van de willekeurigheid in de maskering te reduceren. Deze laatste kost is het aantal cryptografische willekeurige waarden die er moeten gegenereerd worden. De kost is vaak onder gerapporteerd en niet bestudeerd. Met onze nieuwe analyse methode kunnen we hogere-orde drempel implementaties maken, een academische vraag die al enkele jaren open is gebleven. Deze nieuwe drempel implementaties laten ons toe om maskeringen te maken die het minimum aan extra willekeurige waarden gebruikt. We bestuderen deze maskeringen zodat we deze willekeurigheidskost kunnen verwijderen zonder ze te verplaatsen naar andere kosten.De tweede onderzoeksrichting draait rond foutenanalyse. In 1997 hebben Biham en Shamir getoond dat een goed geplaatste fout een cijfer zoals DES kan breken. Erger nog, men kan de geheime sleutel van DES terug vinden met maar enkele zulke fouten. Foutenanalyse en zijn tegenmaatregelen zijn grotendeels nog niet onderzocht geweest. In deze thesis stellen we een tegenstrever voor die fouten kan maken in een cijfer. We bestuderen dan beveiligingsmodellen voor deze tegenstrever. Specifieker nog, we geven een composeerbaar model wat betekend dat de compositie tussen circuits die veilig zijn in het model terug veilig is. Hiermee kunnen we tegenmaatregelen maken die elk primitief kan verdedigen. We bereiden dan onze analyse uit om gecombineerde aanvallen te begrijpen. Dit zijn aanvallen waarbij de tegenstrever gebruikt maakt van nevenkanaal analyse en foutenanalyse. We bereiden ook de tegenstrever uit en beschouwen extensies aan de fouten die deze kan zetten zodat die dichterbij de praktijk komt te staan. Alweer bekijken we of we beveiligingsmodellen kunnen maken voor deze sterkere tegenstrever. Het resultaat is een eerste stap naar het maken van bewijsbaar veilige tegenmaatregelen." "Nieuwe Methoden in White-Box Cryptografie" "Bart Preneel" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "Omdat cryptografie alomtegenwoordig in onze digitale systemen te vinden is, worden cryptografische implementaties gebruikt in omgevingen waarbij een kwaadwillende partij het kan aantasten. Toch zijn cryptografische implementaties enkel ontworpen om te beveiligen in het “black-box” model, waar aanvallers enkel kunnen knoeien met de invoer en uitvoer van het primitief, maar ze geven geen beveiliging tegen “white-box” aanvallers, die de volledige controle hebben over het apparaat die de cryptografische berekeningen uitvoert.Door de hoge vraag naar software implementaties van cryptografische primitieven veilig in het white-box model, zijn er veel zulke implementaties voorgesteld over de laatste twintig jaar. Het bouwen van veilige white-box implementaties is zeer uitdagend, zelfs voor zeer eenvoudige constructies zoals blokcijfers, en tot zover is elke gepubliceerde implementatie gebroken.Als het eerste onderzoeksdoel van de thesis richten we ons op het ambitieuze doel van het ontwerpen van veilige white-box blokcijfer implementaties. Terwijl in het laatste decennium de cryptanalyse van white-box implementaties significant is geavanceerd en er veel aanvallen zijn gepubliceerd, is er weinig vooruitgang gemaakt op het ontwerp van veilige implementaties en bijna alle implementaties volgen dezelfde ontwerpmethode. In de thesis beschrijven we deze ontwerpmethode en vervolgens rapporteren we onze analyse van een gemeenschappelijk structurele eigenschap die gebruikt wordt in de meeste white-box aanvallen, namelijk de zelf-equivalentiestructuur van het onderliggende blokcijfer. We besluiten het eerste doel van de thesis met de samenvatting van het impliciete kader, de nieuwe white-box methode die de kwetsbaarheid van vorige implementaties voorkomt en die, voor de eerste keer, kan toegepast worden op ARX-cijfers, software georiënteerde blokcijfers die enkel modulaire optellingen, rotaties en XORs gebruiken.White-box ontwerpen veronderstellen dat het onderliggende cijfer veilig is in het black-box model. Toch is, vergeleken met andere blokcijfers, de veiligheid van ARX-cijfers minder bekend en hun veiligheidsanalyse omvat vele heuristische zoekopdrachten naar cryptografische eigenschappen. Deze eigenschappen zijn traditioneel gezocht via manuele en ad-hoc methoden, maar recentelijk zijn ontwerpers en cryptanalysten gestart deze te zoeken via geautomatiseerde hulpmiddelen gebaseerd op logische vergelijkingen. Terwijl geautomatiseerde methoden op velerlei gebieden gebruikt worden om de beveiligingsanalyse van cijfers te vergemakkelijken, kennen ze enkele theoretische en praktische beperkingen. In het bijzonder limiteren de theoretische modellen de eigenschappen en de cijfers waarop de hulpmiddelen gebruikt kunnen worden en het gebrek aan praktische implementaties vermindert de methode zijn doel van het vergemakkelijken van de beveiligingsanalyse van cijfers.In het tweede onderzoeksdoel van de thesis adresseren we de huidige gebreken van het automatisch evalueren van de beveiligingseigenschappen van ARX-cijfers. Eerst meten we de huidige stand van zaken op in het modeleren van black-box aanvallen op ARX-cijfers die gebruik maken van geautomatiseerde middelen. Dan leggen we ons formeel model uit dat geautomatiseerde methoden in staat stelt van het zoeken naar differentiële eigenschappen van ARX-cijfers gebruik makende van de modulaire optelling met een constante. Tenslotte stellen we ons praktisch hulpmiddel CASCADA voor, een complete open-source bibliotheek met een gedetailleerde documentatie die velerlei geautomatiseerde methoden implementeert en die een brede klasse aan aanvallen en cijfers ondersteunt."