Modes opératoires pour les chiffrements de disque

par Louiza Khati

Projet de thèse en Informatique

Sous la direction de Damien Vergnaud.

Thèses en préparation à Paris Sciences et Lettres , dans le cadre de École doctorale de Sciences mathématiques de Paris Centre (Paris) , en partenariat avec LIENS - Laboratoire d'informatique de l'École normale supérieure (laboratoire) et de École normale supérieure (Paris ; 1985-....) (établissement de préparation de la thèse) depuis le 01-10-2015 .


  • Résumé

    Les algorithmes de chiffrement par blocs sont un ingrédient essentiel de la cryptographie moderne (les plus célèbres étant le DES et l'AES). Il s'agit d'une des deux grandes catégories de chiffrement en cryptographie symétrique (l'autre étant le chiffrement par flots). Leur nom vient du fait que l'émetteur découpe le message à chiffrer en blocs de longueur fixe et traite ces blocs successivement. La taille de bloc est généralement comprise entre 64 et 512 bits et le standard de chiffrement AES utilise des blocs de 128 bits. Les algorithmes de chiffrement par blocs permettent donc uniquement de chiffrer des messages de taille fixe et il existe différentes manières d'utiliser ces primitives pour chiffrer des messages de taille quelconque, appelées modes opératoires de chiffrement. Il existe de très nombreux modes opératoires existent en fonction des objectifs de sécurité et des contraintes d'utilisation. Pour le chiffrement « traditionnel », la liste des modes opératoires les plus déployés est déjà longue : Dictionnaire de codes (Electronic Code Book, ECB), Enchaînement des blocs (Cipher Block Chaining, CBC), Chiffrement à rétroaction (Cipher Feedback, CFB), Chiffrement à rétroaction de sortie (Output Feedback, OFB), Chiffrement basé sur un compteur (CounTeR, CTR), Chiffrement avec vol de texte (CipherText Stealing, CTS) … Ces modes ont été largement étudiés et l'on dispose à la fois d'analyse de sécurité précise et d'implantation efficace. Lorsqu'on ajoute des contraintes ou des objectifs de sécurité supplémentaires au chiffrement symétrique, la situation devient plus complexe. Le chiffrement de disque est une méthode de protection de données pour les supports de stockage possédant un système de secteur adressable (par exemple, un disque dur, une clé USB, un SSD). Le chiffrement de disque permet de chiffrer soit l'ensemble du disque dur soit seulement des partitions ou des volumes. Le chiffrement de disque rend les données protégées même si elles sont lues directement à partir du disque sans passer par l'OS car chaque bit du disque ou de la partition est chiffré. Dans ce contexte, le mode CBC, par exemple, n'est pas entièrement satisfaisant car la nécessité de l'utilisation d'un vecteur d'initialisation peut permettre à un attaquant de mener une attaque contre l'intégrité du contenu du disque (même en utilisant des techniques spécifiques comme le Encrypted salt-sector initialization vector, ESSIV). Pour cette raison, d'autres modes ont été proposés comme le mode de Liskov, Rivest et Wagner (LRW), le mode Xor-encrypt-xor (XEX), le mode XEX-based tweaked-codebook mode with ciphertext stealing (XTS), le mode CBC-mask-CBC (CMC) ou le mode ECB-mask-ECB (EME). Un objectif de la thèse est d'étudier la sécurité de ces modes opératoires d'un point de vue théorique et d'un point de vue pratique. Un autre objectif est de proposer de nouveaux modes opératoires pour le chiffrement de disque permettant d'assurer une meilleure sécurité exacte (dans le cadre de preuves formelles par réduction) ou une meilleure efficacité. De façon plus générale, la plupart des applications pratiques pour lesquelles il est nécessaire de protéger la confidentialité d'une donnée nécessitent également la protection de son intégrité. Cette situation entraîne un besoin fort de modes opératoires combinant ces deux propriétés. Galois/Counter Mode (GCM) est un mode d'opération de chiffrement par bloc qui assure ces deux propriétés mais il n'est cependant pas suffisamment efficace pour les réseaux à haut débit. La compétition internationale CAESAR a récemment été lancée pour définir de nouveaux schémas de chiffrement authentifié (i.e. assurant la confidentialité et la sécurité des données chiffrées). Cette compétition a donné lieu à la publication de nouveaux mécanismes dont le niveau de sécurité doit encore être établi. Un autre objectif de la thèse est de mener cette recherche de façon systématique dans le cadre formelle de sécurité par réduction et d'étudier l'efficacité et la mise en œuvre de ces modes opératoires en pratique dans un contexte industriel.

  • Titre traduit

    Disk encryption modes of operation


  • Résumé

    Les algorithmes de chiffrement par blocs sont un ingrédient essentiel de la cryptographie moderne (les plus célèbres étant le DES et l'AES). Il s'agit d'une des deux grandes catégories de chiffrement en cryptographie symétrique (l'autre étant le chiffrement par flots). Leur nom vient du fait que l'émetteur découpe le message à chiffrer en blocs de longueur fixe et traite ces blocs successivement. La taille de bloc est généralement comprise entre 64 et 512 bits et le standard de chiffrement AES utilise des blocs de 128 bits. Les algorithmes de chiffrement par blocs permettent donc uniquement de chiffrer des messages de taille fixe et il existe différentes manières d'utiliser ces primitives pour chiffrer des messages de taille quelconque, appelées modes opératoires de chiffrement. Il existe de très nombreux modes opératoires existent en fonction des objectifs de sécurité et des contraintes d'utilisation. Pour le chiffrement « traditionnel », la liste des modes opératoires les plus déployés est déjà longue : Dictionnaire de codes (Electronic Code Book, ECB), Enchaînement des blocs (Cipher Block Chaining, CBC), Chiffrement à rétroaction (Cipher Feedback, CFB), Chiffrement à rétroaction de sortie (Output Feedback, OFB), Chiffrement basé sur un compteur (CounTeR, CTR), Chiffrement avec vol de texte (CipherText Stealing, CTS) … Ces modes ont été largement étudiés et l'on dispose à la fois d'analyse de sécurité précise et d'implantation efficace. Lorsqu'on ajoute des contraintes ou des objectifs de sécurité supplémentaires au chiffrement symétrique, la situation devient plus complexe. Le chiffrement de disque est une méthode de protection de données pour les supports de stockage possédant un système de secteur adressable (par exemple, un disque dur, une clé USB, un SSD). Le chiffrement de disque permet de chiffrer soit l'ensemble du disque dur soit seulement des partitions ou des volumes. Le chiffrement de disque rend les données protégées même si elles sont lues directement à partir du disque sans passer par l'OS car chaque bit du disque ou de la partition est chiffré. Dans ce contexte, le mode CBC, par exemple, n'est pas entièrement satisfaisant car la nécessité de l'utilisation d'un vecteur d'initialisation peut permettre à un attaquant de mener une attaque contre l'intégrité du contenu du disque (même en utilisant des techniques spécifiques comme le Encrypted salt-sector initialization vector, ESSIV). Pour cette raison, d'autres modes ont été proposés comme le mode de Liskov, Rivest et Wagner (LRW), le mode Xor-encrypt-xor (XEX), le mode XEX-based tweaked-codebook mode with ciphertext stealing (XTS), le mode CBC-mask-CBC (CMC) ou le mode ECB-mask-ECB (EME). Un objectif de la thèse est d'étudier la sécurité de ces modes opératoires d'un point de vue théorique et d'un point de vue pratique. Un autre objectif est de proposer de nouveaux modes opératoires pour le chiffrement de disque permettant d'assurer une meilleure sécurité exacte (dans le cadre de preuves formelles par réduction) ou une meilleure efficacité. De façon plus générale, la plupart des applications pratiques pour lesquelles il est nécessaire de protéger la confidentialité d'une donnée nécessitent également la protection de son intégrité. Cette situation entraîne un besoin fort de modes opératoires combinant ces deux propriétés. Galois/Counter Mode (GCM) est un mode d'opération de chiffrement par bloc qui assure ces deux propriétés mais il n'est cependant pas suffisamment efficace pour les réseaux à haut débit. La compétition internationale CAESAR a récemment été lancée pour définir de nouveaux schémas de chiffrement authentifié (i.e. assurant la confidentialité et la sécurité des données chiffrées). Cette compétition a donné lieu à la publication de nouveaux mécanismes dont le niveau de sécurité doit encore être établi. Un autre objectif de la thèse est de mener cette recherche de façon systématique dans le cadre formelle de sécurité par réduction et d'étudier l'efficacité et la mise en œuvre de ces modes opératoires en pratique dans un contexte industriel.