Hardware acceleration of post-quantum cryptography for embedded systems

Accélération matérielle de cryptographie post-quantique pour les systèmes embarqués La plupart des communications numériques actuelles sont protégées par des méthodes cryptographiques basées sur le problème de la factorisation des entiers ou celui du logarithme discret. Cependant, nous savons depuis trente ans qu’un éventuel ordinateur quantique de taille suffisante pourrait résoudre ces problèmes efficacement, rendant cette cryptographie obsolète. Or, des ordinateurs quantiques de plus en plus conséquents ont récemment vu le jour, menaçant la cryptographie dite classique à brève échéance.De nouvelles constructions cryptographiques, appelées post-quantiques, ont donc été étudiées pour leur résistance escomptée à la cryptanalyse quantique. Le National Institute of Standards and Technology (NIST) american a notamment standardisé trois de ces algorithmes en août 2024 : deux signatures numériques et un mécanisme d’encapsulation de clef. Malgré des années de recherche, implémenter ces algorithmes de manière sûre demeure difficile, notamment face aux attaques physiques. Parmi elles, les attaques par canaux cachés visent à déterminer des données secrètes en analysant l’activité du dispositif cryptographique, tandis que les attaques par injection de fautes perturbent activement ce dispositif pour le rendre vulnérable. Les systèmes embarqués y sont particulièrement exposés, mais peu de contremesures efficaces ont un coût suffisamment faible pour être toléré par ces dispositifs aux ressources de calcul limitées.Cette thèse, portant sur l’implémentation matérielle de la cryptographie post-quantique pour les systèmes embarqués, vise à combler ce vide. Deux standards du NIST y sont étudiés : le mécanisme d’encapsulation Kyber (nommé ML-KEM par le NIST) et l’algorithme de signature Dilithium (ML-DSA), tous deux basés sur les réseaux modules. Leur construction similaire facilite leur implémentation matérielle conjointe. Ce mémoire s’ouvre sur une présentation de la cryptographie basée sur les réseaux, et en particulier des deux schémas étudiés, soulignant leurs aspects de sécurité et de performance. Nous rappelons l’état de l’art des attaques physiques et contremesures relatives à ces schémas ou à d’autres similaires. Nous y incluons les implémentations logicielles, bien plus présentes dans la littérature, sachant que les attaques et contremesures sont similaires dans les contextes logiciel et matériel.Continuant une lignée de travaux qui attaque la transformée en nombres entiers de Kyber, nous montrons comment s’adapter aux implémentations logicielles optimisées de Kyber. Ces optimisations n’entravent pas le succès de notre attaque, même dans des conditions de mesure bruitées. Notre deuxième contribution est une architecture économique pour l’addition masquée sur shares booléennes, composant essentiel de contremesures aux attaques par canaux cachés, pour la cryptographie basée sur les réseaux comme pour d’autres constructions. Notre proposition, supportant nativement l’addition modulaire, aide à conserver une performance satisfaisante pour les deux schémas à l’étude, malgré une occupation de surface très faible. Nous ajoutons à cela trois contremesures spécialisées, à commencer par une solution de masquage pour l’opération de compression du chiffré de Kyber, de meilleure complexité que l’art antérieur. Nous masquons également l’opération d’échantillonnage uniforme pour la clef privée de Dilithium : aucune des protections précédemment publiées pour cette opération n’était conforme au standard. Enfin, nous étudions une solution de permutation aléatoire des opérations, qui par des avantages qualitatifs sur la littérature, est susceptible de mieux résister aux attaques. En conclusion, nos contributions combinées à l’état de l’art promettent une implémentation matérielle plus efficace et plus sûre de la cryptographie post-quantique pour les systèmes embarqués.