Lemme d'empilement
Le lemme d'empilement[1] (le Piling-up Lemma en anglais) est un résultat statistique introduit par Mitsuru Matsui en 1993 dans le cadre de la cryptanalyse linéaire. Ce lemme permet de quantifier le biais statistique présent dans une approximation linéaire d'un algorithme de chiffrement symétrique par bloc[2].
Formulation mathématique
Une équation linéaire dans le cadre de la cryptanalyse linéaire se présente sous la forme d'un ou-exclusif de variables binaires :
Soit variables aléatoires, indépendantes et binaires (le résultat de l'événement est soit 0, soit 1), , la probabilité que cette équation soit correcte est :
avec , le biais linĂ©aire de la variable alĂ©atoire . Ce biais peut ĂȘtre positif ou nĂ©gatif et quantifie l'Ă©cart par rapport Ă une distribution uniforme oĂč l'espĂ©rance d'une variable alĂ©atoire binaire est 1/2. Plus le biais est important, plus un algorithme de chiffrement est susceptible d'ĂȘtre attaquĂ© via la cryptanalyse linĂ©aire.
Raisonnement
Soit , la probabilité que l'événement A arrive. Avec une probabilité de 1, l'événement se produira. Inversement, une probabilité de 0 indique l'impossibilité de cet événement. Dans le cadre du lemme d'empilement, nous avons donc affaire à des variables aléatoires, binaires et considérées comme indépendantes.
Considérons d'abord le lemme pour deux variables aléatoires :
Considérons maintenant la probabilité d'une équation linéaire avec ces deux variables :
Grùce aux propriétés de XOR, ceci est équivalent à :
X1 = X2 = 0 et X1 = X2 = 1 sont des événements mutuellement exclus et de ce fait :
Nous partons dĂšs lors du principe que les variables sont indĂ©pendantes. Câest-Ă -dire que l'Ă©tat d'une variable ne va pas influencer l'Ă©tat d'une autre. On peut ainsi Ă©tendre la probabilitĂ© au rĂ©sultat suivant :
Nous exprimons maintenant les probabilitĂ©s p1 et p2 comme Âœ + Δ1 et Âœ + Δ2, oĂč les Δ sont des biais de probabilitĂ©s â la quantitĂ© de dĂ©viation de la probabilitĂ© par rapport Ă Âœ.
Ainsi, le biais Δ1,2 pour la somme de XOR ci-dessus est de 2Δ1Δ2.
Cette formule peut s'Ă©tendre pour un nombre infini de variables comme suit :
Si un Δ est Ă zĂ©ro, câest-Ă -dire qu'une des variables est non-biaisĂ©e, alors l'ensemble de la fonction ne sera pas biaisĂ©e et Ă©gale Ă Âœ.
Notes et références
- Pierre-Alain Fouque, « Sur Quelques Méthodes Algébriques et Statistiques en Cryptanalyse : ThÚse d'habilitation », sur https://www.di.ens.fr/~fouque/, , p. 45
- Matsui 1994.
Annexes
Bibliographie
- [Matsui 1994] (en) Mitsuru Matsui, « Linear Cryptanalysis Method for DES Cipher », dans T. Helleseth, Advances in Cryptology â EUROCRYPT â93, vol. 765, Springer, coll. « Lecture Notes in Computer Science », (ISBN 978-3-540-57600-6, ISSN 0302-9743, DOI 10.1007/3-540-48285-7_33, lire en ligne [PDF]), p. 386â397.