Le problème de décompositions de points dans les variétés Jacobiennes

par Alexandre Wallet

Thèse de doctorat en Informatique

Sous la direction de Jean-Charles Faugère et de Vanessa Vitse.

Soutenue le 26-11-2016

à Paris 6 , dans le cadre de École doctorale Informatique, télécommunications et électronique (Paris) , en partenariat avec Laboratoire d'informatique de Paris 6 / LIP6 (laboratoire) .

Le jury était composé de David Lubicz, François Morain, Stef Graillat, Mohab Safey-El-Din.


  • Résumé

    Le problème du logarithme discret est une brique fondamentale de nombreux protocoles de communication sécurisée. Son instantiation sur les courbes elliptiques a permis, grâce à la petite taille des opérandes considérées, le déploiement de primitives asymétriques efficaces sur des systèmes embarqués. De nos jours, les cryptosystèmes utilisant des courbes elliptiques, aussi appelées courbes de genre 1, sont déjà intensément utilisés: il est donc impératif de savoir estimer précisément la robustesse de ces systèmes. L'existence d'attaques mathématiques permettant de transférer un problème de logarithme discret elliptique dans un autre type de courbe algébrique, et la nouvelle compétitivité des courbes de genre 2 imposent de ne pas se restreindre à la seule compréhension du problème sur les courbes elliptiques.Dans cette optique, le sujet de cette thèse se concentre sur les attaques algébriques sur les courbes de genre supérieur à 1. Les algorithmes de type calcul d'indice sont en général préférés pour ce genre d'attaque. Ces algorithmes se déroulent en deux phases: la première, appelée phase de récolte, dispose de nombreuses modélisations algébriques dépendant de la courbe ciblée. Le problème sous-jacent revient à savoir décomposer efficacement des points dans la variété Jacobienne de la courbe en somme d'autres points.On propose dans un premier temps une approche par crible pour la phase de récolte, s'adaptant à tous les types de courbes de genre plus grand que 1, et qui est expérimentalement plus efficaces que les méthodes de l'état de l'art. Cette méthode a l'avantage de proposer une implémentation immédiate, et évite les problèmes usuels de gestion des relations obtenues.Ensuite, on se concentre les variantes de calcul d'indice appelées attaques par décomposition, et ciblant les courbes définies sur des extensions de corps. Dans cette situation, la phase de récolte est effectuée par résolution de nombreux systèmes polynomiaux multivariés. On propose une nouvelle approche de modélisation de ces systèmes, en généralisant la notion de polynômes de sommation elliptique à tout les types de courbes algébriques. Pour cela on fait appel à la théorie de l'élimination, tandis que l'aspect pratique est gérée par des méthodes de bases de Gröbner.Enfin, on fournit des algorithmes d'amélioration du processus de résolution des systèmes lorsque la caractéristique du corps de base est paire. Par le biais d'une présentation théorique générale et en utilisant des méthodes de bases de Gröbner, on propose une analyse fine de l'impact de ces améliorations sur la complexité de la résolution. Cette analyse fine, ainsi qu'une implémentation dédiée, nous permettent d'attaquer une courbe de genre 2 satisfaisant des bornes de sécurité réaliste en pratique.

  • Titre traduit

    The point decomposition problem in Jacobian varieties


  • Résumé

    The discrete logarithm problem is a fundamental brick for several protocols for secured communications. Its instantiation over elliptic curves allows the deployment of efficient asymmetric primitives in embedded systems, because of the small size of the parameters considered. Nowadays, elliptic curves cryptosystems are already widely used: it is therefore crucial to precisely understand the hardness of such systems. Because of the existence of mathematical attacks enabling the transfer from an elliptic curve discrete logarithm problem to another algebraic curve, and the upcoming competitivity of genus 2 curves, it is mandatory to study the problem not only for elliptic curves, but for the other curves as well.In this way, this thesis focuses on the algebraic attacks over curves with genus greater than 1. The index calculus family of algorithms is in general preferred for this kind of attacks. Those algorithms run in two phases: the first, called harvesting phase, can be modelled by different algebraic approaches, depending in the targetted curve. The underlying problem amounts to knowing how to decompose efficiently points in the Jacobian variety of the curve into sums of other points.First, we propose a sieving approach to the harvesting, that can be adated to any type of curves with genus greater than 1, and which turns to be experimentally more efficient than state-of-the-art's methods. Moreover, our method allows a close-to-immediate implementation, and avoid complications coming from relations management.Our second focus is on a variant of index calculus called decomposition attack, targetting curves defined over field extensions. In this situation, harvesting is done by solving numerous multivariate polynomial systems. We propose a new approach to this modelling by generalizing the notion of elliptic summation polynomias to any type of algebraic curves. This uses elimination theory, and the computational aspect is handled by Gröbner bases methods.Third, we give algorithms to improve the solving process of the systems arising from a decomposition attacks when the characteristic of the base field is even. By mean of a general theoretical presentation, and using Gröbner bases methods, we give a sharp analysis of the impact of such improvement on the complexity of the resolution process. This sharp analysis together with a dedicated implementation allows us to attack a genus 2 curve satisfying realistic security parameters.


Il est disponible au sein de la bibliothèque de l'établissement de soutenance.

Consulter en bibliothèque

La version de soutenance existe

Où se trouve cette thèse ?

  • Bibliothèque : Université Pierre et Marie Curie. Bibliothèque Universitaire Pierre et Marie Curie. Bibliothèque électronique.
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.