Chiffrement de disque intégrale et au-delà
Publié le lundi 15 juillet 2019
Thèse soutenue par Louiza Khati, du laboratoire de cryptographie de l’ANSSI, le 15 juillet 2016.
Jury :
- Pierre-Alain Fouque (Rapporteur)
- Kenny Paterson (Rapporteur)
- Elena Andreeva (Examinateur)
- Maria Naya Plasencia (Examinateur)
- David Pointcheval (Examinateur)
- Yannick Seurin (Examinateur)
- Damien Vergnaud (Directeur de thèse)
Résumé :
Cette thèse est dédiée à l’analyse de modes opératoires pour la protection des disques durs.
Dans un premier temps, l’analyse des modes opératoires permettant de protéger la confidentialité des données est réalisée dans le modèle Full Disk Encryption. Ce modèle est très contraignant puisqu’il exclut tout mode qui ne conserve pas la longueur (la valeur en clair et chiffrée du secteur doivent avoir la même taille) et seuls des modes déterministes peuvent avoir cette propriété. Néanmoins, il est possible de tirer parti d’une valeur du système nommée le diversifiant, qui originellement a un autre but, pour apporter de l’aléa utile pour améliorer la sécurité des modes opératoires.
Dans un second temps, nous introduisons deux méthodologies d’analyse dans le modèle Key-Dependent Message, où l’adversaire est autorisé à chiffrer des messages qui dépendent de la clé de chiffrement, qui nous ont permis d’analyser la sécurité des schémas Even-Mansour et Key-Alternating Feistel. Enfin, sachant qu’il est impossible de garantir l’authenticité des données dans le modèle FDE, la présence de codes d’authentification étant nécessaire, deux modèles où le stockage de métadonnées est possible sont envisagés : le modèle ADE pour Authenticated Disk Encryption et le modèle FADE pour Fully Authenticated Disk Encryption.
Le premier permet de garantir l’authenticité au niveau du secteur mais est vulnérable aux attaques par rejeu et le second garantit l’authenticité du disque en entier et prévient ce type d’attaque. Le stockage n’est pas le seul point à prendre en compte : les vitesses de lecture et d’écriture sont un enjeu de taille pour les constructeurs puisque ces dernières conditionnent fortement les performances d’un disque. C’est la raison pour laquelle, nous avons étudié les codes d’authentification incrémentaux puisque ces derniers ont la propriété d’être mis à jour en un temps proportionnel à la modification réalisée.