Titel Promotor Affiliaties "Korte inhoud" "Blokcijfers als verzamelingen van permutaties: indifferentieerbaarheid, groepgeneratoren, onderscheiden." "Vincent Rijmen" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "A block cipher can be seen as a set of permutations acting on the plaintext/ciphertext space. A key chooses one permutation from this set. A good cipher resembles a set of independently and randomly drawn permutations. While numerous results are known on the analysis of separate permutations once a key is fixed, only few analysis techniques have been established for the analysis of block ciphers as sets of permutations. At the same time, a good block cipher requires the set of permutations to behave in an idealized way. With this research project, we aim to bridge this gap by applying advanced mathematical techniques from three different areas. Using techniques from the complexity theory, we will derive proper security notions for the security of block ciphers as permutation sets. Using group theory, we will study new quantitative group-theoretical parameters of round transformations generating permutation sets related to block cipher permutations in the symmetric group. Using combinatorial methods and statistics, we will identify novel distinguishers of block ciphers from sets of randomly drawn permutations as well as corresponding key recovery techniques." "Objectmogelijkheden op laag niveau voor formeel waterdichte beveiliging." "Dominique Devriese" "Gedistribueerde en Veilige Software (DistriNet)" "Object-mogelijkheden (ocaps) zijn een techniek voor fijnmazige scheiding van bevoegdheden in programmeertalen, met toepassingen in beveiliging en software-engineering. Ocaps worden praktisch gebruikt in programmeertalen op hoog niveau zoals JavaScript, maar de laatste tijd is er ook een hernieuwde belangstelling voor capaciteitsmachines: processors die ocaps toepassen op het lage niveau van assembleertalen (lowcaps). Beveiligingsmaatregelen op basis van lowcaps bieden het perspectief van een efficiënte maar waterdichte verdediging tegen realistische aanvallers, die beschermen tegen willekeurige aanvallen, niet alleen degene die we al kennen. Dergelijke maatregelen beloven een einde te maken aan de aanval-verdedigingswapenwedloop die veel huidige maatregelen plaagt. In dit onderzoeksproject wil ik dit potentieel valideren en demonstreren, en het wetenschappelijke begrip van ocaps in het algemeen verdiepen.Om dit doel te bereiken, gaat dit project ervan uit dat een lowcap-assembleertaal gewoon een andere programmeertaal is, die kan worden bestudeerd met behulp van krachtige technieken die zijn ontwikkeld voor programmeertalen op hoog niveau, met name logische relaties en programmalogica. Met behulp van deze methodologie ben ik van plan nieuwe lowcap-beveiligingsmaatregelen voor te stellen, te bestuderen en uit te voeren en hun effectiviteit rigoureus te bewijzen. Aan de andere kant ben ik ook van plan om effectparametriciteit verder te bestuderen: een algemene eigenschap die ik voorstelde en die formeel de essentie van ocaps vastlegde. Ik ben van plan het in verschillende contexten te bestuderen en toe te passen: voor modulair redeneren over ocap- en lowcap-code, maar ook in de context van functionele en afhankelijk getypeerde programmeertalen, voor een aantal verschillende doeleinden (hieronder uitgewerkt).De resultaten van dit project zullen variëren van nieuwe, aantoonbaar correcte beveiligingsmaatregelen gebaseerd op lowcaps, nieuwe methoden om over dergelijke maatregelen te redeneren, maar ook nieuwe inzichten over de aard van ocaps, de relatie tussen objectgeoriënteerde en functionele code en het gebruik van effectparametriciteit in afhankelijk getypeerde bewijsassistenten." "Ontwerp van toepassingsspecifieke hashfuncties" "Bart Preneel" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "De veiligheid van symmetrische-sleutel cryptografische constructies wordt vaak bestudeerd vanuit de veronderstelling dat onderliggende primitieven veilig zijn. Dit is de reden dat goed geanalyseerde primitieven uiterst belangrijk zijn voor het ontwerp van efficiënte en veilige cryptografische schema's en protocollen. Helaas hebben slechts een paar soorten gespecialiseerde primitieve ontwerpen voldoende aandacht gekregen van de cryptanalisten. Daarom is het noodzakelijk om generieke bouwstenen te bouwen uit deze gespecialiseerde primitieven. Verschillende soorten generieke bouwstenen kunnen worden gebruikt om complexere cryptografische schema's en protocollen voor verschillende toepassingen te construeren. Bovendien kunnen de ontwerpstructuren die worden gebruikt voor gespecialiseerde primitieven op een generieke manier worden bestudeerd met behulp van het idealepermutatiemodel, dit stelt ons in staat om in de doos te kijken en ons begrip van de interne werking van gespecialiseerde primitieven te verbeteren.Dit proefschrift bestudeert het generieke ontwerp van pseudorandom permutaties en functies, die symmetrische-sleutel bouwstenen zijn die in verschillende cryptografische toepassingen worden gebruikt. Het proefschrift draagt bij aan de volgende drie doelstellingen.-Pseudorandom Permutaties.    We bestuderen de reflectiecijfers voor het eerst in de context van bewijsbare veiligheid. We introduceren eerst het sleutel-alternerende reflectiecijfer, dat de innerlijke ontwerpstructuur vertegenwoordigt die in de meeste reflectiecijfers wordt gebruikt. Verder presenteren we een generieke sleutellengte-uitbreidingsmethode voor reflectiecijfers die de FX-structuur gebruiken (zoals PRINCE), en we tonen aan dat een kleine wijziging aan deze reflectiecijfers zal resulteren in een grote verbetering van de veiligheidsgrens. We stellen ook een nieuwe bewijstechniek voor, genaamd ``harmonische permutatie primitieven'', en gebruiken deze speciale primitieven om de ``beyond birthday bound'' veiligheid te bewijzen van de LDT lengteverdubbelaar die werd voorgesteld in de masterproef van de auteur.-Pseudorandom Functies.    We bestuderen drie soorten algoritmen die een vergelijkbaar veiligheidsnotie delen. We ontwerpen de ``beyond birthdaybound'' veilige pseudorandom functie SoEM, en een aanpasbaar circulaire correlatie robuuste hashfunctie FPTP, elk met behulp van twee publieke permutatie-oproepen. We categoriseren ook alle nonce-gebaseerde MAC algoritmen die kunnen geconstrueerd worden met behulp van twee blokcijfer-oproepen en één universele hashfunctieoproep.-Generische Permutatie-Gebaseerde Bewijstechniek.    Vanwege de trend van moderne permutatie-gebaseerde cryptografie, worden veel constructies ontworpen die gebruik maken van publieke random permutaties. We generaliseren de spiegeltheorie van Patarin naar de publieke permutatie-gebaseerde setting, zodat de veiligheid van de constructies die gebruik maken van twee permutatie-oproepen op een modulaire manier kan verkregen worden. Door deze nieuwe modulaire aanpak zijn we in staat om fouten in de beveiligingsbewijzen van de bestaande constructies te detecteren. We demonstreren dit op de twee permutatievarianten van het nEHtM_p MAC-algoritme van Dutta en Nandi (AFRICACRYPT '20). Belangrijker nog, op deze manier kunnen veiligheidsbewijzen op eenvoudigere en minder foutgevoelige manier afgeleid worden." "Modulaire Analyse en Ontwerp van Hashfuncties en Blokcijfers." "Bart Preneel" "Afdeling ESAT - COSIC, Computerbeveiliging en Industriële Cryptografie" "Het doel van dit project is om een betrouwbare theoretische basis voor formele veiligheidsdefinities van cryptografische hashfuncties en blokcijfers te ontwikkelen. De theoretische basis voor hashfuncties zal veiligheidsdefinities voor sleutelloze hashfuncties omvatten, alsmede voor hashfuncties die een additionele sleutel vast of verschillend per bericht als invoer hebben. Veiligheidsmodellen voor blockcijfers worden ge-introduceerd voor verschillende manieren waarop een aanvaller de sleutel kan gebruiken, zoals verwante-, bekende-, en gekozen-sleutel-aanvallen. Met behulp van deze theoretische basis zullen concrete hashfuncties en blokcijferontwerpen geanalyseerd worden. Deze analyse zal voornamelijk berusten op het reduceren van veiligheidsbewijzen. Het uiteindelijke doel is om generalisaties van de veiligheidseigenschappen te verschaffen, waaraan een onderliggende constructie moet voldoen teneinde voor een hashfunctie of blokcijfer een adequaat veiligheidsniveau te garanderen." "Een gefundeerde aanpak voor cross-layer software en hardware ontwerp voor beveiliging" "Frank Piessens" "Gedistribueerde en Veilige Software (DistriNet)" "Computersystemen worden ontworpen als lagen van abstracties,waardoor ingenieurs zich kunnen concentreren op het deel van hetsysteem waarin ze expertise hebben. Zo kunnen bv hardwareingenieursen software-ingenieurs relatief onafhankelijk van elkaarwerken.Hoewel de gelaagde ontwerpbenadering erg succesvol is geweest enveel voordelen heeft (waaronder: draagbaarheid en hergebruik vansoftware mogelijk maken, en het verbergen en beheren vancomplexiteit), zijn er ook nadelen. In hun Turing-award lezing leggenHennessy en Patterson uit dat aanzienlijke verdere verbeteringen insommige aspecten van computersystemen (waaronder prestaties enbeveiliging) verticaal geïntegreerde ontwerpen vereisen metgecoördineerde ontwerpbeslissingen over de lagen heen. Eenbelangrijke open vraag is hoe je dit doet, met behoud van de meestevoordelen van de gelaagde aanpak.Dit project ontwikkelt een gefundeerde aanpak voor verticaalgeïntegreerd, cross-layer ontwerp voor beveiliging. Het project breidttraditionele laagspecificaties (die de functionaliteit van een laagspecificeren) uit met beveiligingsspecificaties.Deze beveiligingsspecificaties maken het mogelijk ombeveiligingsmechanismen op verschillende lagen op eengecoördineerde manier te ontwerpen, wat leidt tot zowel een beterebeveiliging als een verlaging van de kosten van beveiliging.Het project zal de formele basis van deze aanpak ontwikkelen en zalde praktische haalbaarheid aantonen door toepassingen in tweecasestudies." "Geünificeerde grondbeginselen voor de lineaire en differentiële cryptanalyse van permutatie-gebaseerde cryptografie" "Vincent Rijmen" "Computerbeveiliging en Industriële Cryptografie (COSIC)" "Het eerste deel van deze thesis ontwikkelt een algemene theorie van symmetrische-sleutel cryptanalyse. Ze brengt lineaire, differentiële en integrale cryptanalyse samen in eenzelfde kader. Een universele definitie van paden maakt het mogelijk om de eigenschappen van geïtereerde functies op een systematische manier te bepalen. De theorie laat toe om de uitbreidingen van lineaire cryptanalyse op een uniforme manier te beschrijven. Voor differentiële cryptanalyse leidt ze tot de definitie van quasidifferentiële paden, die het mogelijk maken om de kans van differentiële karakteristieken te bepalen zonder gebruik te maken van probabilistische onafhankelijkheidsveronderstellingen. In integrale cryptanalyse geeft de theorie aanleiding tot een spectrum van eigenschappen tussen nulsommen en saturatie. Deze eigenschappen kunnen ontdekt en onderzocht worden met behulp van een nieuwe theorie van ultrametrische paden, een veralgemening van monomiale paden.In het tweede deel van deze thesis worden cryptanalytische toepassingen besproken. Op basis van een karakterisatie van invarianten als eigenvectoren van correlatiematrices die uit het eerste deel volgt, worden zwakke sleutel aanvallen op Midori-64 en Mantis met een verminderd aantal ronden gevonden. De Zuid-Koreaanse en Amerikaanse standaarden voor formaat-bewarende encryptie FEA en FF3-1 worden gebroken met behulp van meerdimensionale lineaire cryptanalyse. Differentiële aanvallen op Rectangle, KNOT en Speck worden herbekeken met behulp van quasidifferentiële paden, waaruit blijkt dat sommige fout zijn en andere enkel voor een deel van de sleutels werken. Een nieuwe generische aanval op samentrekkende Feistel constructies leidt tot aanvallen op de Chinese commerciële blokcijferstandaard SM4 met een verminderd aantal ronden. Een analyse van de veiligheid van verschillende aritmetisatiegeoriënteerde primitiven leidt tot aanvallen op sommige voorbeelden van GMiMC-erf, GMiMC-crf, HadesMiMC en de Legendre PRF. Er wordt een aanval gegeven op het blokcijfer LowMC-M, dat een achterdeurtje bevat. Bovendien worden twee nieuwe blokcijfers die meer gangbare ontwerprinciples volgen, maar toch een achterdeurtje bevatten, ontwikkeld. Ten slotte wordt aangetoond hoe lineaire cryptanalyse kan gebruikt worden om de veiligheid van beschermingsmechanismen tegen nevenkanaalaanvallen te analyseren."