Dossier de candidature

section 63, poste 141

Pierre-Louis CAYREL

CASED - Center for Advanced Security Research DarmstadtMornewegstrasse, 3264293 Darmstadt

Germany

site : http ://www.cayrel.netmail : pierre-louis.cayrel@cased.de

téléphone : 06.17.70.92.61

Table des matières

1 État civil 41.1 Situation actuelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.2 Coordonnées professionnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41.3 Coordonnées personnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2 Cursus 5

3 Activités d'enseignement 63.1 Description des activités . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63.2 Résumé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.2.1 Statut . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2.2 Expérience d'enseignement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73.2.3 Expérience d'encadrement/interrogation : . . . . . . . . . . . . . . . . . . . . 8

3.3 Informations complémentaires sur mes enseignements . . . . . . . . . . . . . . . . . . 83.3.1 JAVA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.3.2 PHP/MySQL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.3.3 Cryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.3.4 Turbo-Pascal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.3.5 Cryptographie basée sur les codes correcteurs d'erreurs . . . . . . . . . . . . . 93.3.6 Sécurité des réseaux . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

3.4 Vulgarisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.5 Perspectives d'enseignement et intégration . . . . . . . . . . . . . . . . . . . . . . . . 10

4 Activités de recherche 114.1 Thèmes de recherche . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114.2 Publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

4.2.1 Chapitre d'ouvrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124.2.2 Journal international avec comité de lecture . . . . . . . . . . . . . . . . . . . 124.2.3 Conférences internationales/workshops avec comité de lecture . . . . . . . . . 124.2.4 Conférences nationales avec comité de lecture . . . . . . . . . . . . . . . . . . 144.2.5 Autres travaux de recherche . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

4.3 Encadrement d'étudiants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154.3.1 Étudiants en Licence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154.3.2 Étudiants en École d'ingénieurs . . . . . . . . . . . . . . . . . . . . . . . . . . 154.3.3 Étudiants en Master I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154.3.4 Étudiants en Master II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154.3.5 Étudiants en thèse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

4.4 Travaux réalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174.5 Perspectives de recherche : Cryptographie post-quantique . . . . . . . . . . . . . . . . 19

5 Communication 225.1 Exposés dans des séminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225.2 Exposés dans des conférences nationales . . . . . . . . . . . . . . . . . . . . . . . . . 235.3 Exposés dans des conférences internationales . . . . . . . . . . . . . . . . . . . . . . . 235.4 Séjours à l'étranger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

6 Organisation et comité de programme 24

7 Compétences informatiques 25

8 Divers 25

1

Présentation

J'ai e�ectué ma thèse sous la direction de Philippe Gaborit, Professeur au Département de Ma-thématiques Informatique du laboratoire XLIM de l'Université de Limoges.

J'ai béné�cié pour cette thèse d'une allocation de recherche MENRT de novembre 2005 à oc-tobre 2008. Pendant la même période j'ai pu béné�cier d'une charge d'enseignements de 192 heures(équivalent TD) au sein de l'Université de Limoges et de l'Institut Universitaire de Technologie duLimousin. D'octobre 2008 à août 2009, j'ai occupé un poste d'ATER (plein) au sein des départe-ments de mathématiques et d'informatique de l'Université de Paris 8. Depuis septembre 2009, je suispost-doc au sein de l'université de Darmstadt et du centre de recherche CASED.

Enseignement :

En ce qui concerne mes activités d'enseignement, celles-ci ont débuté en 2005 en tant que vacataireà l'Université de Limoges puis se sont poursuivies en tant qu'ATER à l'Université de Paris 8. Mesvacations étaient e�ectuées au département de mathématiques/informatique du laboratoire XLIMde l'Université de Limoges et mes enseignements d'ATER s'e�ectuaient au sein des départements demathématiques et d'informatique de l'Université de Paris 8. Depuis septembre 2009, j'enseigne auniveau du master de l'université de Darmstadt, la cryptographie post-quantique et j'ai enseigné etenseignerai la sécurité des réseaux au cours du second semestre. J'e�ectue, de plus, des vacations dansles universités de Paris 8 (cours intensifs 20h d'algèbre et analyse) et Limoges (cours de PhP/MySQL).J'ai été invité à donner des enseignements (33h) sur la cryptographie basée sur les codes correcteursd'erreurs au cours d'une école de printemps.

Mots clefs : Cryptographie, bases de données, Java, PHP/MySQL et Turbo-Pascal.

Recherche :

Mon sujet de thèse s'intitulait : Construction et l'optimisation des cryptosystèmes basés sur lescodes correcteurs d'erreurs. Je me suis intéressé à l'étude de systèmes de chi�rement ainsi que de sché-mas de signature dont la sécurité repose sur des problémes di�ciles de théorie des codes correcteursd'erreurs. Ces activités de recherche ont été motivées, d'une part, d'un point de vue théorique par lacréation de nouveaux schémas de signature avec des propriétés spéciales ainsi que d'une manière deréduire la taille de clés du schéma de McEliece, et d'autre part, d'un point de vue pratique visantà utiliser des propriétés structurelles a�n d'obtenir des implémentations e�ectives d'un schéma designature fondé sur les codes correcteurs d'erreurs.

Comme l'indique son titre, ma thèse traite de la construction et de l'optimisation des cryptosys-tèmes basés sur des codes correcteurs d'erreurs et plus particulièrement de cinq nouveaux protocoles.Je présente une version sécurisée du schéma de Stern dans un environnement à faibles ressources,une nouvelle construction du schéma de Kabatianski, Krouk et Smeets, un schéma de signature basésur l'identité prouvé sûr dans le modéle de l'oracle aléatoire, un schéma de signature de cercle àseuil et en�n une réduction de la taille de clés du schéma de McEliece à l'aide de codes alternantsquasi-cycliques. En annexe, je présente un travail traitant des attaques algébriques de registre à dé-calages avec mémoire. Je présente aussi brièvement une étude des codes cycliques sur des anneauxde matrices

Après ma thèse, j'ai continué ma recherche sur la cryptographie basée sur les codes correcteurset me suis intéressé aux attaques par canaux auxiliaires contre ce type de cryptosystème.

Mots clefs : Cryptologie, codes correcteurs d'erreurs, authenti�cation, signature, preuve de sé-curité, attaque DPA, signature basée sur l'identité, signature de cercle.

2

Résumé du curriculum

Enseignement (heures équivalent TD)

informatique

� 223 heures d'informatique (JAVA, PHP/MySQL, bases de données, cryptographie) (IUT +Licence/Master Université de Limoges)

� 96 heures d'informatique (Licence Université de Paris 8)� 63 heures de cryptographie post-quantique (école de printemps et Master de Darmstadt)� 24 heures de sécurité des réseaux (Master Université de Darmstadt)� 42 heures de colles en informatique (Lycée Lavoisier à Paris)� Encadrement de plusieurs projets de TER (cryptographie et codage) en maîtrise de mathéma-tiques

� Encadrement d'un stage de master II professionnel (CRYPTIS) Université de Limoges

mathématiques

� 126 heures de mathématiques (Licence de mathématiques/informatique Université Paris 8)� 60 heures de statistiques (Licence Université de Limoges)� 72 heures de colles en mathématiques (Lycée Gay Lussac et Turgot à Limoges)

Recherche

articles

� 1 chapitre d'ouvrage avec comité de sélection ;� 2 journaux internationaux avec comité de sélection ;� 20 publications dans des conférences/workshops internationaux avec comité de sélection ;� 9 dans des conférences nationales avec comité de sélection ;� 3 autres publications avec comité de sélection ;� 3 articles soumis.

exposés

� 7 communications dans des conférences internationales ;� 8 communications dans des conférences nationales (forum jeune chercheur) ;� une vingtaine de communications dans des groupes de travail/séminaires (GDR IM et séminairesétrangers).

relectures

� MAJECSTIC (MAnifestation de JEunes Chercheurs en Science et Technologie de l'Informationet de la Communication) 2007, 2008, 2009

� ASIACRYPT 2008, 2009, 2010� SAC 2008� PKC 2010� COSADE 2010, 2011� AFRICACRYPT 2011

3

1 État civil

Pierre-Louis CayrelNé le 07 Août 1981à Limoges (87)Nationalité françaiseCélibataire

quali�é en 25ème et 27ème sections

Concours maître de conférences 2010 :section 27 : 2ème Paris 8, 4ème Toulon et 5ème Perpignan,section 63 : 2ème Saint Etienne chaire CNRS.

1.1 Situation actuelle

Docteur en mathématiques de l'Université de Limoges.Post-doc à l'Université de Darmstadt et au centre de recherche CASED (Allemagne) depuis

septembre 2009.Membre de l'équipe de recherche de CASED depuis septembre 2009.

1.2 Coordonnées professionnelles

CASED - Center for Advanced Security Research DarmstadtMornewegstrasse, 3264293 DarmstadtGermany

mail pierre-louis.cayrel@cased.desite http ://www.cayrel.net

1.3 Coordonnées personnelles

91 avenue du 11 novembre 191884310 MorièresFrance

tél. 06 17 70 92 61

4

2 Cursus

2011�.... Maître de conférences Université de Saint-Étienne.

2009�2011 Post-doc Université de Darmstadt et CASED (Allemagne).

2008�2009 ATER Université de Paris 8.

2005�2008 Thèse de Doctorat en mathématiques et applications, préparée à l'Université deLimoges et soutenue le 2 octobre 2008 (mention très honorable)

Titre : Construction et optimisation des cryptosystèmesbasés sur les codes correcteurs d'erreurs

Directeur : Philippe Gaborit, Professeur à l'Université de Limoges

Jury :Président : Thierry BergerRapporteurs : Marc Girault

Nicolas SendrierExaminateurs : Jean-Claude Bajard

Yassine LakhnechJean-Louis Lanet

Statut : Allocataire ministériel de recherche

2004�2005 Master II Recherche Mathématiques Cryptographie Codage Calcul,Université de Limoges. mention Bien (rang : 2ème).Modules suivis : Cryptographie

Codes correcteurs d'erreursOptimisationThéorie de l'InformationProgrammation CThéorie Algébrique des NombresCalcul Formel

2003�2004 Diplôme d'études Approfondies de Mathématiques Pures option Cryptologie,Université de Montpellier II.Modules suivis : Géométrie Algébrique

Géométrie Di�érentielleThéorie Analytique des NombresCryptologieProgrammation PARI, Matlab, Fortran

2001�2003 Licence et Maîtrise de Mathématiques Pures,Université d'Avignon et des Pays du Vaucluse.

5

3 Activités d'enseignementMes enseignements sont disponibles sur ma page web.

3.1 Description des activités

Mes activités d'enseignement ont débuté en 2005 en tant que vacataire à l'Université de Li-moges. Mes vacations étaient e�ectuées au département de mathématiques/informatique du la-boratoire XLIM de l'Université de Limoges.

Pour l'année 2008-2009, j'ai pu obtenir un poste d'Attaché Temporaire d'Enseignement et deRecherche (à temps plein) au sein du département de mathématiques de l'Université de Paris 8pour le premier semestre et au sein du département d'informatique pour le second semestre.

J'ai également e�ectué des vacations durant mes deux ans de post-doc en Allemagne. J'airédigé les examens et pris part aux corrections dans l'ensemble de ces enseignements.

o Année scolaire 2010 - 2011 : Post-doc Darmstadt et vacataire à Limogeso Responsable du cours d'organisation des données dans le cadre du TIC (45 heures) Universitéde Limoges

o Responsable du cours de PHP/MySQL dans le cadre du TIC (30 heures) Université deLimoges

o Responsable du séminaire code et réseau en cryptographie (30 heures) Master université deDarmstadt

o co-Responsable du cours de sécurité des réseaux (12 heures) Master université de Darmstadt

o Année scolaire 2009 - 2010 : Post-doc Darmstadt, vacataire Paris 8 et Limogeso co-Responsable du cours de cryptographie post-quantique (9 heures) Master université deDarmstadt

o Responsable du cours de cryptographie post-quantique (24 heures) école de Printemps Rabato co-Responsable du cours de sécurité des réseaux (12 heures) Master université de Darmstadto Responsable du cours intensif analyse-algèbre en licence 1 (30 heures) Université de Paris 8o co-Responsable du cours de PHP/MySQL dans le cadre du TIC (20 heures) Université deLimoges

o Année scolaire 2008 - 2009 : ATER pleino Responsable du cours de Programmation Fonctionnelle (56 heures)o TP de Programmation Logique (20 heures)o TD d'Introduction à la Programmation (20 heures)o Responsable du cours de calcul di�érentiel en licence 2 (56 heures)o TD d'introduction aux mathématiques générales en licence 1 (20 heures)o TD d'algèbre linéaire en licence 1 (20 heures)

o Année scolaire 2007 - 2008 : 64 heures équivalent TDo Responsable du cours de PHP/MySQL dans le cadre du TIC (44 heures)o Responsable du cours de mathématiques pour la cryptographie en Licence Professionnelle 3de l'IUT de Limoges (20 heures)

o Année scolaire 2006 - 2007 : 64 heures équivalent TDo Cours de Java dans le cadre du campus virtuel TIC (Technologies de l'Information et de laCommunication) (46h).

o TD de statistiques en second semestre de Licence Mathématiques Informatique et Sciencesde la Matière (18h).

o Année scolaire 2005 - 2006 : 64 heures équivalent TDo TD de statistiques en second semestre de Licence Sciences de la Vie (36h).o TD de statistiques en second semestre de Licence Mathématiques, Informatique et Sciencesde la Matière (10h).

6

o TD de bureautique en second semestre de Licence Sciences et Métiers du Sport (18h).

3.2 Résumé

3.2.1 Statut

Je présente dans le tableau suivant le détail de mon statut ces cinq dernières années (les heuressont en équivalent TD).

Année Fonction Volume horaire annuel

2010 - 2011 Post-doc 117h2009 - 2010 Post-doc 93h2008 - 2009 ATER 192h2007 - 2008 Vacataire 64h2006 - 2007 Vacataire 64h2005 - 2006 Vacataire 64h

3.2.2 Expérience d'enseignement

Les tableaux suivants résument mes activités d'enseignement au sein de l'Université de Li-moges, de l'IUT du Limousin, de l'université de Paris 8 ainsi que de l'université de Darmstadt.

Informatique :

Intitulé Année E�ectifs bac + Cours TD

Programmation (PHP) 10-11 30 4 et plus 30Organisation des données 10-11 45 4 et plus 45Séminaire code/réseaux 10-11 20 4 et plus 30

Network security 10-11 30 5 12Code-based cryptography 09-10 30 5 9Code-based cryptography 09-10 30 5 24

Network security 09-10 30 5 12Programmation (PHP) 09-10 30 4 et plus 20

Programmation Fonctionnelle 08-09 30 3 56Programmation Logique 08-09 30 3 20(TP)

Introduction à la Programmation 08-09 30 3 20Cryptographie 07-08 30 3 20

Programmation (PHP/MySQL) 07-08 25 4 44Programmation (Java) 06-07 10 4 46

Bureautique 05-06 30 1 18Total : 348 58

Mathématiques :

Intitulé Année E�ectifs bac + Cours TDCours intensifs 09-10 15 1 30

Calcul di�érentiel 08-09 15 2 56Mathématiques générales 08-09 25 1 20

Algébre linéaire 08-09 15 1 20Statistiques 06-07 30 1 18Statistiques 05-06 30 1 46Total : 86 104

7

3.2.3 Expérience d'encadrement/interrogation :

Année étudiant bac + IntituléEncadrement : Thèse 09-11 Mohammed Meziani 7 Code-based cryptography

Thèse 09-11 Mohamed El Yous� 6 Code-based cryptographyThèse 09-11 Robert Niebuhr 7 Code-based cryptographyThèse 09-11 Rosemberg Silva 7 Code-based cryptography

Bachelor thesis 10-11 Felix Gunther 3 Implementation of Stern,and Holger Rother Véron and CVE

Bachelor thesis 10-11 Matthias Boll 3 Implementation of FSB,and Thorsten Peter S-FSB and SYND

Bachelor thesis 09-10 Daniel Demmler 3 Implementation of KKSand David Meier

ENSTA 09-10 Eric Arnoult 3 Implementation ofNiederreiter

Bachelor thesis 09-10 Gerhard Ho�man 3 Implementation ofquasi-dyadic McEliece

TER 06-07 Nardeau Nicolas 4 Transf. de la matriceBenmoussa Wafa gén. d'un code QC

Stage 05-06 Bertrand Zanzotto 5 Implémentationmaster pro du schéma de Stern

Interrogation : Colle 08-09 ESC Lavoisier 2 Colle de Turbo-PascalParis en classe de ESC2

Colle 07-08 MPSI Gay Lussac 1 Colle de MathématiquesLimoges en classe de MPSI

Colle 07-08 PT Lycée Turgot 2 Colle de MathématiquesLimoges en classe de PT

Colle 06-07 MPSI Gay Lussac 1 Colle de MathématiquesLimoges en classe de MPSI

3.3 Informations complémentaires sur mes enseignements

3.3.1 JAVA

Le but de cet enseignement est de fournir une première découverte de la programmationen JAVA. J'étais chargé du cours et de la correction des programmes. Ce cours sur le langageJAVA fournissait une bonne expérience théorique et pratique de la programmation orientée objets(P.O.O.) avec l'apprentissage de :� l'écriture, la compilation et le débogage de programmes ; les concepts objets et les mécanismesd'héritage ; la création d'applications et d'applets.Ce cours était destiné aux étudiants en TIC (Technologies de l'Information et de la Com-

munication) programmeurs, analystes et responsables qui souhaitent développer des applicationset des applets Java. L'expérience pratique d'un langage de programmation orienté objets et uneconnaissance de l'Internet, du Web et des concepts objets était utile.

3.3.2 PHP/MySQL

Ce cours s'adressait aux personnes non-spécialistes ou débutantes en programmation maisayant déjà une certaine culture Web. Il s'agit d'apprendre les bases fondamentales de la program-mation Web dans le contexte de PHP aux étudiants en TIC (Technologies de l'Information et dela Communication). J'étais chargé du cours et de la correction des programmes. À la �n de cecours, les participants ont su lire, comprendre, corriger, modi�er et faire évoluer un programme

8

PHP existant. Ils ont découvert également les possibilités o�ertes par les bibliothèques de scriptspour la réalisation d'applications par assemblages de modules. En�n ils ont été capables d'écriredes applications simples de bout en bout. Cette formation s'adressait à toute personne souhai-tant s'initier au langage PHP, webmestre, infographiste, etc. La connaissance d'un langage deprogrammation était très fortement recommandée. Les objectifs de cet enseignement furent lessuivants :� installation de PHP+MySQL + utilisation d'un serveur distant ;� être capable de faire 'tourner' des scripts PHP simples ou déjà fait sur un serveur local oudistant ;

� être capable de créer des scripts PHP très simples, par exemple, a�chant la date ;� être capable de créer des scripts PHP plus complexes (mais sans excès) incluant :� gestion des dates/heures/formulaires ; passage de données par l'URL ; écriture/lecture de�chiers externes.

� gestion de cookies ; utilisation de tableaux ; manipulation de chaînes de caractères ; fonctions ;� maîtrise des bases de données.

3.3.3 Cryptographie

Mon cours (disponible sur mon site) est devenue une référence consultée par plus de 2000personnes ( !). Ce cours recoupe tous les points essentiels de la cryptographie à savoir : théoriedes probabilités, théorie de l'information, complexité et arithmétique modulaire ; clef secrète :chi�rement à �ot, chi�rement par bloc ; clef publique : RSA, logarithme discret ; fonction dehachage et signature ; PKI / PGP / OpenSSL.

3.3.4 Turbo-Pascal

J'ai donné des colles en Turbo-Pascal au Lycée Lavoisier. L'objectif de ces colles aux étudiantsde classes préparatoires H.E.C. (voie S et E) était : de préparer aux questions d'informatique duconcours ; de le familiariser avec les méthodes numériques incontournables pour tout étudiant deniveau Bac+2. Mais également, de permettre de découvrir l'outil algorithmique et de l'appliqueraux mathématiques.

3.3.5 Cryptographie basée sur les codes correcteurs d'erreurs

J'ai eu la chance de pouvoir enseigner en master certains résultats issus de mes propres re-cherches. Pendant une semaine j'ai formé des étudiants de master à la cryptographie basée surles codes correcteurs d'erreurs. J'ai abordé à la fois la partie théorique et la partie pratique de lacryptographie basée sur les codes correcteurs d'erreurs.

3.3.6 Sécurité des réseaux

Mes travaux de recherche en cryptographie m'ont permis d'intervenir dans le cadre d'un coursde master d'informatique de l'université de Darmstadt. Au delà de résultats théoriques, je décrisdans ce cours les aspects applicatifs de la cryptographie pour sécuriser des communications dansdes réseaux. En montrant les mauvaises expériences ainsi que les réussites dans ce domaine, j'aipu faire comprendre aux étudiants les aspects théoriques de la cryptographie et comment mettreen place ces schémas pour obtenir des réseaux sécurisés. J'ai abordé (en deux fois 12 heures)plusieurs aspects de la sécurité des réseaux : risques, attaques, services et mécanismes, servicesde sécurité, mécanismes de défense, politique de sécurité et architectures de sécurité.

3.4 Vulgarisation

J'ai donné dans le cadre de l'Institut de Recherche sur l'Enseignement de Mathématiques(IREM) de Limoges un exposé de di�usion de la cryptographie à des lycéens.

9

De plus, j'ai participé activement à la vulgarisation de mes travaux à travers de 6 articlespubliés à la conférence MAJECSTIC décrivant de manière pédagogique mes sujets de rechercheà savoir :� Attaques algébriques (2 exposés) ;� Attaques par canaux auxiliaires ;� Cryptographie basée sur les codes correcteurs d'erreurs ;� Algorithme de décodage ;� Schéma de signature à sécurité prouvée basé sur les codes correcteurs d'erreurs.

3.5 Perspectives d'enseignement et intégration

Mes recherches m'ayant permis de recouper deux domaines disciplinaires complémentaires (al-gébre linéaire et informatique), il me serait possible de participer activement à des cours concer-nant l'un de ces domaines, comme également proposer le montage de cours pluridisciplinairesmixant ces deux domaines.

Je suis également disposé à approfondir des domaines précis, comme l'intégration sur carte àpuce, qui correspondent à des domaines connexes à mes travaux de recherche et donc m'intéressentfortement, pour les enseigner dans le cadre de l'IUT de Saint-Etienne.

J'aimerai également participer à des enseignements concernant moins directement mes thé-matiques de recherche mais pour lesquelles le contenu avait déjà fortement suscité mon attention.

N'ayant pas un cursus d'électronicien, je me suis préparé à l'enseignement en contactantFranck Licini en février 2011. Depuis lors je me documente sur les nécessités de votre équipeen terme d'enseignements à savoir l'architecture des systèmes à micro-processeurs, les réseauxde terrain, les fonctions fondamentales et les composants élémentaires de l'électronique. Mesconnaissances en codes correcteurs d'erreurs me permettent de combler le retard que j'avais enterme de télécommunications, signaux numériques et analogiques.

J'ai déjà enseigné des matières dont je n'avais pas suivi de formation durant mon cursus,comme par exemple, la sécurité des réseaux, les bases de données ou encore la programmation enLISP. Je me suis à chaque fois mis à jour pour mener, avec succès, ces enseignements.

J'encadre actuellement 4 étudiants en thèse et je suis disposé à le faire dans le futur.

Je suis également prêt à assumer et m'investir dans les responsabilités administratives relativesaux enseignements que je donnerai. Je suis également très motivé pour participer à la vie deséquipes d'enseignement et de recherche. Ce que j'ai déjà fait en devenant responsable du séminairede l'équipe PI2C, en organisant une vingtaine de séminaires durant l'année 2007-2008. J'ai lesouhait d'être un acteur dynamique au fonctionnement de ces équipes, je suis partisan du travailcollectif, du dialogue et de l'engagement perpétuel dans l'amélioration du montage des cours, deleur suivi (comme par exemple la mise en place de sites web enseignants/étudiants mis à jour aufur et à mesure de la progression dans le module) mais aussi de leurs évaluations.

Mon site web est un révélateur de cette ambition, je vous invite à le consulter.

10

4 Activités de recherche

Le but de cette partie du dossier est de présenter principalement les orientations des travauxde recherche que je souhaiterais pouvoir conduire dans le futur. Cette présentation s'articuleraautour de quatre points principaux, la présentation des thèmes de recherche et de leur contexte,les travaux réalisés, en cours et futurs, les étudiants encadrés et ma perspective de recherche. Lestravaux réalisés ne seront que brièvement introduits tandis que le projet de recherche ainsi quemon intégration seront plus longuement détaillés.

4.1 Thèmes de recherche

Je présente ici la liste de mes thèmes de recherche.

Principalement la cryptographie basée sur les codes correcteurs et les réseaux, mais plus pré-cisément :o Cryptanalyse : schéma de signature basé sur les codes ;o Schéma d'identi�cation basé sur la théorie des codes et des réseaux ;o Schéma de signature basé sur la théorie des codes et des réseaux : anonyme, basé sur l'identité,preuve de sécurité ;

o Schéma de chi�rement : basé sur l'identité, à clefs courtes ;o Attaque par canaux auxiliaires ;o Fonctions booléennes, attaque algébrique, suites récurrentes linéaires, E0.

4.2 Publications

Mes publications non soumises à un copyright sont disponibles sur ma page web :

http ://www.cayrel.net/spip.php ?rubrique10

La liste de publications est établie par catégories de publication.

� 1 chapitre d'ouvrage avec comité de sélection ;

� 2 journaux internationaux avec comité de sélection ;

� 20 publications dans des conférences/workshops internationaux avec comité de sélection(9 proceedings LNCS et 11 autres proceedings) ;

� 9 dans une conférence nationale avec comité de sélection ;

� 3 articles soumis.

11

4.2.1 Chapitre d'ouvrage

[CGG08] Identity-based Identi�cation and Signature Schemes using Error Correcting CodesPierre-Louis Cayrel, Philippe Gaborit et Marc Girault(Orange Labs Caen) Identity-Based Cryptography Editors Marc Joye and Gregory Neven.

4.2.2 Journal international avec comité de lecture

[CCN10] Quasi-cyclic codes over ring of matricesPierre-Louis Cayrel, Christophe Chabot and Abdelkader Necer in Finite Fields and theirApplications volume 16 2010, page 100-115.

[ACGL10] A New E�cient Threshold Ring Signature Scheme based on Coding TheoryCarlos Aguilar Melchor, Pierre-Louis Cayrel, Philippe Gaborit and Fabien Laguillau-mie to appear in IEEE Trans. Inf. Theory

4.2.3 Conférences internationales/workshops avec comité de lecture

LNCS proceedings

[BCMN10] Quasi-dyadic CFS signature schemePaulo Barreto, Pierre-Louis Cayrel, Rafael Misoczki and Robert Niebuhr Proceedingsof INSCRYPT 2010, LNCS, volume 6584, Springer-Verlag, 2010.

[CVE10] A zero-knowledge identi�cation scheme based on the q-ary Syndrome DecodingproblemPierre-Louis Cayrel, Pascal Véron and Mohamed El Yousfi Alaoui Proceedings of theSeventeenth Workshop on Selected Areas in Cryptography SAC 2010, LNCS, volume 6544,pages 171-186, Springer-Verlag, 2010.

[CLRS10b] Improved Zero-knowledge Identi�cation with LatticesPierre-Louis Cayrel, Richard Lindner, Markus Ruckert and Rosemberg Silva Procee-dings of the Fourth International Conference on Provable Security ProvSec 2010, LNCS, volume6402, pages 1-17, Springer-Verlag, 2010.

[CLRS10a] A Lattice-Based Threshold Ring Signature SchemePierre-Louis Cayrel, Richard Lindner, Markus Ruckert and Rosemberg Silva Procee-dings of the First International Conference on Cryptology and Information Security, LatinCrypt2010, LNCS, volume 6212, pages 255-272, Springer-Verlag, 2010.

[CM10b] Post-Quantum Cryptography : Code-based SignaturesPierre-Louis Cayrel and Mohammed Meziani Proceedings of the Fourth International Confe-rence on Information Security and Assurance ISA 2010, LNCS, volume 6059, pages 82 - 99,Springer-Verlag, 2010.

[BCGO09] Reducing Key Lengths with QC Alternant CodesThierry Berger, Pierre-Louis Cayrel, Philippe Gaborit and Ayoub Otmani AFRICA-CRYPT 2009 LNCS volume 5580, pages 77-97.

[ACG08] A New E�cient Threshold Ring Signature Scheme based on Coding TheoryCarlos Aguilar Melchor, Pierre-Louis Cayrel and Philippe Gaborit The Second inter-national Workshop on Post-Quantum Cryptography PQCRYPTO 2008, LNCS, volume 5299,pages 1-16, 2008.

[CGP08] Secure Implementation of the Stern Authentication and Signature Schemes forLow-Resource DevicesPierre-Louis Cayrel, Philippe Gaborit and Emmanuel Prouff Eighth Smart Card Re-search and Advanced Application Conference CARDIS 2008 In G. Grimaud and F.-X. Stan-daert, editors, LNCS, volume 5189, pages 191-205, 2008.

12

[COV07] On Kabatianskii-Krouk-Smeets SignaturesPierre-Louis Cayrel, Ayoub Otmani and Damien Vergnaud WAIFI 2007. C. Carlet & B.Sunar, eds. Springer, LNCS volume 4547, 2007, p. 237-251.

Autres proceedings

[NCB11] Improving the e�ciency of Generalized Birthday Attacks against certain structuredcryptosystemsRobert Niebuhr, Pierre-Louis Cayrel and Johannes Buchmann Proceedings of WCC 2011.

[NCBB10b] Attacking code/lattice-based cryptosystems using Partial KnowledgeRobert Niebuhr, Pierre-Louis Cayrel, Stanislav Bulygin and Johannes Buchmann Pro-ceedings of INSCRYPT 2010, short paper.

[NCBB10a] On lower bounds for Information Set Decoding over FqRobert Niebuhr, Pierre-Louis Cayrel, Stanislav Bulygin and Johannes Buchmann Pro-ceedings of the Second International Conference on Symbolic Computation and Cryptography,SCC 2010, Carlos Cid and Jean-Charles Faugere (Eds.), pages 143-157, 23 - 25 June 2010,Royal Holloway, University of London, Egham, UK

[CD10] McEliece/Niederreiter PKC : sensitivity to fault injectionPierre-Louis Cayrel and Pierre Dusart Proceedings of the International Workshop onFuture Engineering, Applications and Services FEAS 2010, IEEE CFP1081J-CDR, ISBN 13 :978-1-4244-6949-9

[CM10a] Multi-Signature Scheme based on Coding TheoryMohammed Meziani and Pierre-Louis Cayrel Proceedings of the International Conferenceon Cryptography, Coding and Information Security ICCCIS 2010, World Academy of ScienceEngineering and Technology, Volume 63 March 2010 ISSN 2070-3724, pages 186-192.

[CE10] Dual Construction of Stern-based Signature SchemesPierre-Louis Cayrel and Sidi Mohamed El Yousfi Alaoui Proceedings of the Inter-national Conference on Cryptography, Coding and Information Security ICCCIS 2010, WorldAcademy of Science Engineering and Technology, Volume 63 March 2010 ISSN 2070-3724, pages369-374.

[CS10] Side channels attacks in code-based cryptographyPierre-Louis Cayrel and Falko Strenzke First International Workshop on ConstructiveSide-Channel Analysis and Secure Design COSADE 2010 pages 24-28.

[CD09] Fault injection's sensitivity of the McEliece PKCPierre-Louis Cayrel and Pierre Dusart Western European Workshop on Research in Cryp-tology WEWoRC 2009, pages 84�88.

[C08] New results on the Stern identi�cation and signature scheme Pierre-Louis CayrelBulletin of the Transilvania University of Brasov, Vol 15(50) Series B - 2008, pages 1-4

[ACGR08] Improved algorithm to �nd equations for algebraic attacks for combiners withmemoryFrederik Armknecht, Pierre-Louis Cayrel, Philippe Gaborit and Olivier RuattaProceedings of BFCA 2007, Jean-Francis Michon, Pierre Valarcher, Jean-Baptiste Yunès Eds.,pp. 81-98, 2008.

[CGG07] Identity-based identi�cation and signature schemes using correcting codesPierre-Louis Cayrel, Philippe Gaborit and Marc GiraultWCC 2007. pages 69-78, editors :Augot, D., Sendrier, N., and Tillich, J.-P.

13

4.2.4 Conférences nationales avec comité de lecture

[BCMN10*] Quasi-dyadic CFS signature schemePaulo Barreto, Pierre-Louis Cayrel, Rafael Misoczki and Robert Niebuhr KRYPTO-TAG 2010.

[CVE10*] A zero-knowledge identi�cation scheme based on the q-ary Syndrome DecodingproblemPierre-Louis Cayrel, Pascal Véron and Mohamed El Yousfi Alaoui KRYPTOTAG 2010.

[CF09] Algorithme de décodage (Reed-Muller)Pierre-Louis Cayrel et Rafael Fourquet MAJECSTIC 2009.

[C09] Nouveaux résultats en cryptographie basée sur les codes correcteurs d'erreursPierre-Louis Cayrel MAJECSTIC 2009.

[C08a] Code-Based Signature SchemesPierre-Louis Cayrel Kryptowochenende 2008 KWE 2008 pp. 23-27,2008.

[BC08] Attaques algébriquesMorgan Barbier et Pierre-Louis Cayrel MAJECSTIC 2008.

[CE08] Dis-moi ce que tu consommes je te dirai qui tu esPierre-Louis Cayrel et Nadia El Mrabet MAJECSTIC 2008.

[CD08] Schéma de signature avec des codes correcteurs d'erreursPierre-Louis Cayrel et Léonard Dallot MAJECSTIC 2008.

[ACGR07] Algorithme amélioré de recherche d'équations dans le cas des attaques algébriquesdes registres avec mémoire Frederik Armknecht, Pierre-Louis Cayrel, Philippe Gabo-rit et Olivier Ruatta MAJECSTIC 2007.

4.2.5 Autres travaux de recherche

� Thèse de doctorat, sous la direction de Pr. P. Gaborit (Université de Limoges), sur Construc-tion et optimisation des cryptosystèmes basés sur les codes correcteurs d'erreur.

� Mémoire de Maîtrise, sous la direction de D. The Luc (Université d'Avignon et des Pays duVaucluse), sur Les Espaces de Sobolev.

� Mémoire de DEA, sous la direction de T. Mignon (Université de Montpellier II), sur lesquadriques planes à jacobienne isomorphe aux jacobiennes de courbes hyperelliptiques. Durantce stage, j'ai réalisé des programmes en PARI pour déterminer les quadriques planes recherchées.

� Stage de Master II Recherche, de 6 mois au sein de l'équipe de recherche cryptographiquedu Ministére de la Défense, sur le théme : les attaques algébriques de systèmes de chi�rement à�ot. Durant ce stage, j'ai implémenté en C les attaques algébriques et les attaques algébriquesrapides contre TOYOCRYPT. J'ai développé des programmes en Perl et en maple pour arriverà mes �ns.

Site web

Je maintiens actuellement un site web très complet sur lequel des informations sur mes re-cherches et sur mes enseignements (�che de cours, exercices avec correction) peuvent être trouvées.Ce site se trouve à l'adresse : http ://www.cayrel.net

14

4.3 Encadrement d'étudiants

J'ai encadré plusieurs stagiaires en :� Licence ;� École d'ingénieur� Master I Pro et Recherche� Master I Pro et Recherche ;� Master I Pro et Recherche ;� Thèse.

Voici la liste des étudiants ainsi que leurs sujets.

4.3.1 Étudiants en Licence

� Simon Warta (Septembre 2010 - Mars 2011)How to hash into decodable Goppa elements

� Thorsten Peter and Matthias Boll (Septembre 2010 - Mars 2011)Implementation of code-based hash-function and stream cipher

� Felix Gunther and Holger Rother (Septembre 2010 - Mars 2011)Implementation of code-based identi�cation schemes

� David Meier and Daniel Demmler (Avril 2010 - Septembre 2010)Implementation of the Kabatianskii, Krouk Smeet signature scheme

� Gerhard Ho�man (Décembre 2009 - Juillet 2011)Implementation of McEliece using quasi-dyadic Goppa codes

4.3.2 Étudiants en École d'ingénieurs

Étudiant de l'ENSTA :� Eric Arnoult (Mai 2010-Juillet 2010)

Implementation of the Niedereiter scheme

4.3.3 Étudiants en Master I

� Nicolas Nardeau et Wafa Benmoussa (Septembre 2006 - Mars 2007)Forme canonique des matrices generatrices des codes quasi-cycliques

(co-encadrement avec Pr. T. Berger)

4.3.4 Étudiants en Master II

� Bertrand Zanzotto (Septembre 2005 - Mars 2006)Implementation of the Stern Authentication Scheme

(co-encadrement avec Pr. P. Gaborit)

15

4.3.5 Étudiants en thèse

Durant mon post-doc, j'ai été responsable de l'encadrement de 4 étudiants :

� Mohammed Meziani étudiant en troisième année :Mohammed travaille sur la conception de schémas de signature avec des propriétés spécialestelles que basées sur l'identité, de cercle à seuil, multi-signature ce qui a donné lieu à deuxpublications dans des conférences internationales [CM10a, CM10b]. De plus, il travaille actuel-lement, sous ma supervision, au design de schémas de hachage et de génération de pseudo aléabasés sur des problématiques de la théorie des codes correcteurs d'erreurs.

� Mohamed El Yous� étudiant en deuxière année :Mohamed travaille sur la conception et l'amélioration de schémas d'identi�cation à divulgationnulle de connaissance basés sur le problème de décodage par syndrome (qui est un problèmeclef de la théorie des codes correcteurs d'erreurs en cryptographie). Nous avons rédigé en col-laboration avec Pascal Véron, un schéma d'identi�cation à divulgation nulle de connaissancenécessitant 5 passes, avec une probabilité de triche de 1/2, et un faible coût de communication,ce qui constitue une véritable avancée dans le domaine, ceci a fait l'objet de deux publicationsen conférences internationales [CE10, CVE10]. Les e�orts de Mohamed se focalisent maintenantsur l'amélioration de ce schéma ainsi qu'à une implémentation software sécurisée de celui-ci.

� Robert Niebuhr étudiant en troisième année :Robert travaille sur la cryptanalyse des cryptosystèmes basés sur les problèmatiques des codescorrecteurs d'erreurs en cryptographie. Dans ce contexte, il y a essentiellement deux typesd'attaques. Les attaques structurelles notamment dans le cas de schémas de chi�rement et designature mais aussi les attaques par décodage qui concernent l'intégralité des cryptosystémesbasés sur les codes correcteurs d'erreurs. Robert a investi cette seconde approche et décritune borne de la complexité d'une famille d'algorithmes dans le cas de codes dé�nis sur delarges alphabets. Ceci a donné lieu à trois publications dans des conférences internationales[NCBB10a ; NCBB10b ; NCB11]. Nous avons aussi travaillé sur la conception de schémas designature basés sur les codes correcteurs d'erreurs avec une plus petite taille de clef publiqueque les schémas précédents sans pour autant accroître le coût de la signature, ceci a donné lieuà une publication en conférence internationale [BCMN10].

� Rosemberg Silva étudiant en troisième année :Rosemberg e�ectue sa thèse à l'université de Unicamp au Brésil mais a séjourné 6 mois àDarmstadt durant lesquels nous avons collaboré. Nous avons développé, dans deux publica-tions internationales [CLRS10a, CLRS10b], deux cryptosystèmes basés sur la théorie des ré-seaux euclidiens. Dans le premier article, nous décrivons un schéma d'identi�cation basé sur unproblème de la théorie des réseaux euclidiens. Dans le second, nous montrons comment généra-liser le schéma de signature obtenu dans le premier article en un schéma de signature de cercleà seuil. Nous travaillons actuellement au design d'un schéma de génération de pseudo aléa basésur les problématiques décrites ci-dessus.

16

4.4 Travaux réalisés

Attaques algébriques

J'ai débuté mes travaux de recherche en cryptographie lors de mon stage de master rechercheII e�ectué au Ministère de la Défense sous la direction de J. Playe. Ce travail portait sur lesattaques algébriques de schémas de chi�rement à �ot et avait pour but d'implémenter les attaquesalgébriques ainsi que les attaques algébriques rapides contre TOYOCRYPT. Le point de départ dece travail était un résultat de N. Courtois décrivant ce genre d'attaques. J'ai par la suite continuéà travailler sur les attaques algébriques et ce travail a donné lieu à l'article publié [ACGR08].

Codes correcteurs d'erreurs en cryptographie

J'ai ensuite commencé une thèse au sein de l'équipe Protection de l'Information Codage etCryptographie du LACO sous la direction de P. Gaborit sur un sujet di�érent, à savoir la construc-tion et l'optimisation des cryptosystèmes basés sur les codes correcteurs d'erreurs. L'objectif est detraiter la façon dont la théorie des codes correcteurs d'erreurs peut aider à fabriquer des systèmescryptographiques, qu'il s'agisse de chi�rement, d'authenti�cation ou de signature numérique -parfois même de signature "spéciale" - comme ladite signature de cercle. Il s'agit d'un thème quiest de plus en plus abordé par la communauté scienti�que et dans lequel l'école française se trouveen pointe. Cette connexion entre les deux disciplines soeurs est d'autant plus intéressante qu'elleaboutit à des schémas de sécurité très rapides, relativement faciles à implémenter et indi�érentsà l'avènement éventuel des ordinateurs quantiques. Comme rien n'est parfait en ce monde, il fautnéanmoins déplorer la très (trop ?) grande taille de leurs clefs publiques, et parfois aussi de leursclefs privées, défaut auquel je propose de remédier en utilisant des codes particuliers.

Signature basée sur les codes correcteurs d'erreurs

La première partie de mes travaux de recherche est consacrée aux signatures numériques baséessur les codes. Il existe actuellement trois tels schémas de signature, et non seulement je fournisune contribution originale à chacun d'entre eux, mais j'élargis le champ de leurs applications enproposant la première signature "spéciale" connue à base de codes correcteurs d'erreurs.

Cette partie commence avec la première implémentation sur carte à puce "sans crypto-processeur" de schémas cryptographiques basés sur les codes, en l'occurrence le protocole d'au-thenti�cation de Stern et le schéma de signature dérivé. La réponse que nous avons donnée, avecP. Gaborit et E. Prou�, a été validée par une publication à CARDIS 2008 [CGP08], la conférencede référence pour les cartes à puce et ce type de contribution.

Par la suite, j'ai analysé en détail le schéma de signature proposé par Kabatianskii, Krouk etSmeets. Ce dernier a beau posséder quatre variantes di�érentes, aucune d'entre elles n'échappe àla cryptanalyse que nous avons réalisée avec A. Otmani et D. Vergnaud : chaque signature révèleplusieurs bits d'information sur la clef privée. Ainsi l'observation de quelques dizaines de signaturessu�t à retrouver intégralement cette clef privée. Cette propriété, évidemment indésirable pourune signature ordinaire, autorise néanmoins à requali�er le schéma analysé en schéma de signature"one-time" ou "few-time".

J'ai travaillé par la suite avec M. Girault et P. Gaborit. Notre résultat part de l'observationsuivante : puisque, dans le schéma de signature de Courtois, Finiasz et Sendrier, le message est unsyndrome et la signature un mot de poids faible qui lui correspond, et que, dans le schéma d'au-thenti�cation (ou de signature) de Stern, la clé privée est un mot de poids faible et la clé publiquele syndrome qui lui correspond, alors il est a priori possible d'obtenir un schéma d'authenti�ca-tion (ou de signature) basé sur l'identité en superposant ces deux primitives. Aprés véri�cation etajustement des paramètres, il s'avère que cette combinaison fonctionne comme espéré, donnantainsi naissance au premier schéma non générique basé simultanément sur l'identité et les codes

17

correcteurs d'erreurs. De surcroît, nous décrivons une preuve de sécurité dans le modèle de l'oraclealéatoire. Ces travaux ont donné lieu aux publications [CGG07],[CGG08].

En�n, j'ai étudié avec C. Aguilar et P. Gaborit, le schéma de Stern, pour le mettre unenouvelle fois à contribution, a�n de spéci�er une signature spéciale. Ce protocole s'étend ene�et "naturellement" à un schéma de signature de cercle (ring signature) à seuil, dans lequel unutilisateur peut signer au nom d'un groupe qu'il a constitué lui-même. J'ai décrit ce schéma etensuite donné des arguments en faveur de sa sécurité. Ce travail a donné lieu à un article publié[ACG08] et son étude est poursuivie actuellement dans le but d'en donner une preuve de sécuritédans le modéle de l'oracle aléatoire.

J'ai poursuivi, en collaboration avec les 3 étudiants en thèse que je co-encadre, mes travauxsur l'utilisation des codes correcteurs en cryptographie, ce qui a donné lieu à une multitude depublications dont [CVE10,BCMN10,CH10,CM10b,NCBB10b,NCB11] et plusieurs autres qui sontparus dans des conférences internationales à comité de sélection.

Dans ces publications, je propose une amélioration du coût de communication du schémad'identi�cation à divulgation nulle de connaissance de Stern, en proposant un tout nouveau schémautilisant des codes sur un large alphabet [CVE10]. Je décris une version améliorée du schéma deCourtois Finiasz et Sendrier, qui propose une taille de clef publique de 720KB au lieu des MBproposés par le schéma originel [BCMN10].

Cryptanalyse des cryptosystèmes basés sur les codes correcteurs d'erreurs

Dans [NCBB10a] et [NCBB10b], nous étudions la complexité de la meilleure attaque par dé-codage contre les schémas cryptographiques basés sur les codes correcteurs d'erreurs, à savoirl'attaque par décodage d'ensembles d'information. Les résultats obtenus sont doubles, nous dé-crivons une borne sur la complexité de cette attaque dans le cas de codes dé�nis sur de largesalphabets et montrons comment utilisés une connaissance partielle du secret pour améliorer l'ef-�cacité de l'algorithme.

Chi�rement basé sur les codes correcteurs d'erreurs

Une deuxième partie de mes travaux concerne le schéma de chi�rement de McEliece ainsique celui de Niederreiter. Une question cruciale pour l'avenir de la cryptographie basée sur lescodes est la taille des clefs publiques. Tant que cette dernière restera rédhibitoire, l'espoir estassez mince que cette cryptographie rencontre un succès autre que d'estime. Depuis quelquesannées, des brèches se sont ouvertes, principalement sous l'impulsion de P. Gaborit. Avec lui,ainsi qu'A. Otmani et T. Berger, j'apporte une réponse à cette question en proposant d'utiliserle schéma de chi�rement de Niederreiter (la variante "duale" du schéma de Mc Eliece) avec descodes alternants quasi-cycliques. On peut alors réduire la clé publique à 6000 bits, bien loin dudemi-mégabit requis par le schéma originel. Ce travail a donné lieu à un article à la conférenceAfricacrypt 2009 [BCGO09].

Cryptographie basée sur les réseaux

Depuis mon arrivée en Allemagne pour mon post-doc je me suis habitué aux thématiquesde recherche de l'équipe et publié plusieurs travaux collaboratifs tels [CLRS10a] et [CLRS10b],dans lesquels nous décrivons la construction de nouveaux schémas d'identi�cation, de signatureet signature de cercle à seuil basés sur des problématiques de la théorie des réseaux euclidiens.

18

4.5 Perspectives de recherche : Cryptographie post-quantique

La cryptologie ne peut être vraiment considérée comme une science que depuis peu de temps.Cette science englobe la cryptographie � l'écriture secrète � et la cryptanalyse � l'analyse de cettedernière. La cryptologie est un art ancien et une science nouvelle : un art ancien car Jules Césarl'utilisait déjà ; une science nouvelle parce que ce n'est un thème de recherche scienti�que aca-démique que depuis les années 1970. Cette discipline est liée à beaucoup d'autres, par exemplel'arithmétique modulaire, l'algèbre, la complexité, la théorie de l'information, ou encore les codescorrecteurs d'erreurs. Beaucoup de cryptosystèmes à clef publique, tels que RSA, deviendraientvulnérables si l'algorithme de Shor était un jour implémenté dans un calculateur quantique pra-tique. Un message chi�ré avec RSA peut être déchi�ré par factorisation de sa clé publique N,qui est le produit de deux nombres premiers. En l'état actuel des connaissances, il n'existe pasd'algorithme classique capable de faire cela en temps O((logN)k) pour n'importe quel k, donc,les algorithmes classiques connus deviennent rapidement impraticables quand N augmente, à ladi�érence de l'algorithme de Shor qui peut casser RSA en temps polynomial. Il a été aussi étendupour attaquer beaucoup d'autres cryptosystèmes à clé publique en particulier ceux basés sur desproblèmatiques de la théorie des nombres (factorisation et logarithme discret).

Bien qu'il soit di�cile de prévoir avec certitude si et quand l'ordinateur quantique apparaîtra,il remettrait en cause quasiment l'intégralité des systèmes cryptographiques utilisés aujourd'hui.Pour se préparer à l'apparition d'un tel ordinateur, la communauté cryptographique développedepuis plusieurs années des alternatives résistantes à l'algorithmique quantique. L'étude de cesalternatives porte le nom de "cryptographie post-quantique". Les cryptosystèmes basés sur lathéorie des codes et ceux basés sur la théorie des réseaux en font partie. Ils ont de nombreuxavantages, ils sont très rapides, possèdent une forte sécurité théorique (réduction cas moyen-pire cas), peuvent s'implémenter sans crypto-processeur et o�rent même de nouvelles primitives(chi�rement complètement homomorphique par exemple).

Quand on a un problème di�cile, curieusement, on ne sait pas trouver des instances (desexemples numériques) prouvées di�ciles, c'est-à-dire au moins aussi dures que toutes les autres.Considérons en particulier le problème de la factorisation d'entiers : à l'heure actuelle, les nombresRSA, que l'on obtient en multipliant deux grands nombres premiers aléatoires, sont présumésdi�ciles à factoriser, mais on ne sait pas démontrer qu'ils sont di�ciles à factoriser en moyenne.

Le phénomène de di�culté en moyenne est pour l'instant propre aux réseaux. Et ces pro-priétés peuvent se transmettre à la cryptographie : on connaît aujourd'hui plusieurs systèmescryptographiques à base de réseaux dont la sécurité est prouvée à condition que certains pro-blèmes d'approximation de réseaux soient di�ciles dans le pire des cas.

Théorie des codes correcteurs d'erreurs

De nombreuses questions théoriques apparaissent au fur et à mesure du design de nouveauxschémas cryptographiques. Pour réduire la taille des clefs, on introduit de la structure au niveaudes codes utilisés (codes quasi-cycliques, codes quasi-dyadiques, codes LDPC). Si on sait commentse comporte la distance minimale des codes de Goppa quasi-cycliques et quasi-dyadiques, il n'enest pas de même des codes aléatoires structurés. Pour les codes quasi-cycliques, Gaborit et Zémoront montré qu'ils satisfont la borne de Gilbert-Varshamov mais rien n'a été prouvé pour lescodes quasi-dyadiques aléatoires. De nombreuses autres problématiques théoriques telles que, ledécodage des codes de Goppa quasi-dyadiques et sa parallélisation pour une implantation sur cartegraphique, ou encore l'utilisation de codes géométriques pour le chi�rement, restent ouvertes.

Signature post-quantique

Une problématique centrale de la cryptographie en général et en cryptographie post-quantiqueen particulier, est la conception de schémas de signature sûrs et e�caces. En cryptographie baséesur les codes, plusieurs schémas de signature ont été proposés mais seulement un a su proposer des

19

paramètres permettant de résister aux cryptanalyses successives, le schéma de Courtois FiniaszSendrier. Avec les nouveaux paramètres proposés, le schéma conserve sa sécurité mais perd sone�cacité. On a besoin de plusieurs dizaines de minutes pour signer un message. Mon but étantalors d'améliorer ce point. Avec Paulo Barreto (de l'Université de Saõ Paulo), Rafael Misoczki (del'INRIA Rocquencourt) et Robert Niebuhr, nous avons proposé un schéma permettant de signeraussi rapidement mais en réduisant la taille de la clef publique de plusieurs MB à 720 KB. À lafois en modi�ant la famille de codes choisit mais aussi en améliorant l'algorithme de décodagedans ce cas particulier. Une prochaine étape est une analyse �ne de la sécurité, une analyse existedéjà mais la �nesse de celle-ci est mise en cause.

Une implantation du schéma sur carte graphique permettrait de diminuer le temps de signa-ture, ce travail est déjà en cours. La question de la sécurisation de ce schéma face aux attaquespar canaux auxiliaires (telle que la consommation de courant, le rayonnement électromagnétiqueou le temps d'exécution) est toujours en suspens et j'espère pouvoir y répondre dans les années àvenir.

Le choix de la famille de codes à utiliser pour la signature est une problématique di�cilecar il faut trouver des codes qui soient e�caces en terme de décodage, résistants aux attaquesstructurelles (impossibilité de retrouver la clef privée) et pouvant être décrits de manière compacte(nécessité d'une petite taille de clef publique). La recherche de tels codes est une quête di�cile etbeaucoup de voies de recherche s'o�rent aux concepteurs de schémas.

L'objectif à long terme étant d'obtenir un schéma de signature rapide, sûr d'un point de vuethéorique mais aussi d'un point de vue pratique, tout en conservant des tailles de clefs publiques etprivées raisonnables. L'utilisation de carte graphique est une technique en voie d'expansion dans lacommunauté et permet de réelles améliorations des performances en terme de temps de signature.La construction de schémas de signature à propriétés spéciales telles que proxy, (partiellement)aveugle, veri�ably encrypted, indéniable, forward-secure, (strongly) key insulated, online/o�ine,à seuil et aggregate signatures par exemple, est une thématique qui est pleine d'avenir car denombreux contextes (eVoting, eCash, ...) nécessitent de telles propriétés.

Pour signer, des schémas ont été directement construits. On peut utiliser des schémas d'iden-ti�cation à divulgation nulle de connaissance ainsi que l'heuristique de Fiat Shamir pour obtenirun schéma de signature. Dans cette optique, j'ai travaillé à l'amélioration des schémas à divulga-tion nulle de connaissance et je suis parvenu à construire un schéma moins coûteux en terme decommunication que le meilleur schéma précédemment existant.

L'idée maintenant est de voir comment obtenir une implantation sûre de ce schéma mais aussicomment obtenir un coût de communication encore moins important. Des idées de la communautédes cryptographes travaillant sur la théorie des réseaux, semblent pouvoir permettre d'obtenir desschémas plus performants basés sur des problématiques issues de la théorie des codes correcteursd'erreurs. J'ai plusieurs collaborations en cours notamment avec Pascal Véron de Toulon, PhilippeGaborit et Carlos Aguilar Melchor de Limoges mais aussi Richard Lindner et Markus Rückert deDarmstadt.

La construction d'un schéma d'identi�cation avec une probabilité de triche proche de 0 ainsiqu'une parfaite complétude étant un véritable challenge auquel je compte m'atteler dans les annéesà venir.

J'ai à plusieurs reprises implanté des schémas de cryptographie basée sur les codes (vouspouvez d'ailleurs trouver de nombreuses implémentations sur ma page personnelle) mais je n'aique rarement répondu à la question de la sécurité de ces implémentations. À la fois parce quej'ai construit les schémas d'un point de vue théorique et étudié leur sécurité à ce niveau et nonpas au niveau pratique, mais surtout parce que cela est un tout autre travail que de concevoirun schéma sûr d'un point de vue pratique, e�cace d'un point de vue théorique et surtout quel'implémentation ne donne pas d'information sur les valeurs des secrets manipulés.

20

Chi�rement post-quantique et cryptanalyse

J'ai travaillé sur les schémas de chi�rement basés sur les codes correcteurs d'erreurs à plusieursreprises et plusieurs problématiques se posent.� Comment obtenir un schéma de chi�rement avec une relativement faible taille de clef publique ?� Comment améliorer les attaques contre les schémas existants ?� Comment déterminer des bornes sur leurs coûts ?

Je suis parvenu partiellement à répondre à la première question, en utilisant des codes plusstructurés mais la question de la sécurité fut mise en doute sans pour autant casser le schéma,certains paramètres restent utilisables. Il est très important de bien comprendre la sécurité inhé-rente aux constructions structurées qui sont proposées. J'envisage d'étudier de manière détailléel'utilisation des attaques par ensemble d'information et par paradoxe des anniversaires généralisésdans le cas particulier des matrices quasi-cycliques mais aussi quasi-dyadiques.

L'utilisation d'une carte graphique peut, une fois de plus, permettre de rendre e�ective desattaques contre ce type de schéma. J'envisage de ré�échir aux possibilités de parallélisationqu'o�rent les attaques jusqu'alors décrites et si possible de proposer de nouvelles attaques utilisantau maximum le pouvoir des cartes graphiques.

Je travaille avec Paulo Barreto sur un schéma de chi�rement basé sur l'identité. L'idée de lacryptographie basée sur l'identité est de prendre comme clef publique l'identité de l'utilisateur.Si l'on arrive à créer des clefs secrètes de chi�rement relatives à ces identités de telle sorte quedeux individus di�érents ne puissent avoir la même clef secrète, alors il n'est plus utile de certi�erles clefs publiques. En utilisant des idées que j'ai développées durant ma thèse et mon post-doc,à savoir la conception d'un schéma de signature basée sur l'identité et d'un schéma d'échange declefs, nous espérons pouvoir construire un schéma de chi�rement basé sur l'identité.

Une standardisation d'un schéma sûr (à tous points de vue, à la fois théorique et pratique) etrapide est véritablement un projet de longue haleine qui me semble passionnant.

Intégration au niveau de la recherche

Concernant mon intégration dans l'équipe, je collaborerai principalement avec Viktor Fischeret Florent Bernard. Mes compétences mathématiques et cryptographiques me permettront d'aiderl'équipe sur la formalisation et la modélisation de principes de génération d'aléa. Dans ce cadreje travaillerai au niveau de la caractérisation du bruit dans les circuits électroniques.

J'ai travaillé sur les attaques par canaux cachés (analyse de consommation d'énergie, DPA etinjection de fautes) de protocoles cryptographiques et m'intégrerai ainsi dans les travaux concer-nant l'ANR EMAISECI. J'ai étudié les statistiques, et les ai même enseigné, je me servirai de cesconnaissances pour comprendre les phénomènes aléatoires observés dans le cadre de la générationd'aléa ainsi que pour les attaques DPA dans le traitement des données au niveau des courbesde consommation. Mes compétences mathématiques permettront de donner un cadre formel auxrésultats expérimentaux. De mathématiques pures en master, mes travaux se sont de plus en plusorientés vers des applications plus pratiques.

J'ai collaboré avec des gens travaillant sur les cartes à puces (Emmanuel Prou� d'OberthurCard System), j'ai réalisé le code en C et travaillé sur le code VHDL pour réaliser l'encartagepar la suite sur une architecture 8051 sans crypto-processeur. Après avoir construis des primi-tives cryptographiques, je m'intéresse aux aspects implantations sur diverses plateformes, unecollaboration avec l'équipe de Viktor Fischer apportera une grande complémentarité à ce projet.

Mes connaissances en codes correcteurs d'erreurs me permettront de m'intégrer sur les tra-vaux menés sur les PUFs. L'analyse de PUF se compose de trois étapes. La première étape estl'estimation de l'entropie de la réponse, étape durant laquelle mes connaissances mathématiquesapporteront une modélisation de cette entropie. La seconde partie est la correction des erreurs,ma thématique de recherche correspond parfaitement à cette étude. Et en�n, la troisième partiequi consiste à proposer un post-traitement cryptographique, étude à laquelle j'apporterai mesconnaissances théoriques.

21

Travailler au sein de votre équipe me permettrait de poursuivre mes travaux en cours liés à lacryptographie, les codes correcteurs d'erreurs et les réseaux. Je dispose d'une solide expérience encryptographique théorique et appliquée et d'une connaissance profonde des outils mathématiquesassociés. Ainsi mes perspectives de recherche et mes capacités d'enseignement trouvent leur placeavec le pro�l du poste numéro 141 de maître de conférences en section 63 ouvert à l'université deSaint-Etienne pour la rentrée 2011.

5 Communication

5.1 Exposés dans des séminaires

2010 :o Mai : Séminaire à Lannion (CAIRN)o Octobre : Exposé invité à Telecom Pariso Mai : Séminaire de Paris 8o Mars : Université de Unicamp au Brésil

2009 :o Mai : Séminaire de Paris 8o Mai : Séminaire Louvain-la-Neuveo Mai : Séminaire A2X Bordeauxo Mai : Séminaire DALI Perpignano Octobre : MAJECSTIC (2 exposés)

2008 :o Décembre : Séminaire de Niceo Décembre : Séminaire de l'Université Libre de Bruxelleso Octobre : MAJECSTIC (3 exposés)o Août : 9ème colloque Franco-Roumain de Mathématiques Appliquéeso Juillet : Week end Crypto Kryptowochenende 2008o Juin : Séminaire de Marseille (ATI)o Juin : Séminaire de la Pluridisciplinarité de l'école doctorale STSo Mai : Séminaire de Cryptographie (IRMAR)o Mai : Séminaire du Projet Arithmétique Informatique (ARITH)o Mai : Fête des mathématiques, exposé à des lycéens à Limogeso Mai : Séminaire Caen (GREYC)o Mars : University College Cork (UCC) et Claude Shannon Institute Dublin (CSI)o Janvier : Séminaire Toulon (GRIM)

2007 :o Décembre : Séminaire Paris 8 (MAATICAH )o Décembre : colloque franco-algérien Limogeso Octobre : MAJECSTICo Juin : Séminaire de Marseille (ATI)o Mai : Séminaire de Théorie des Nombres de Toulouseo Mai : Séminaire des doctorants de Limogeso Avril : Séminaire Projet Arithmétique Informatique (ARITH) Montpelliero Avril : Séminaire de Limoges (PI2C)o Avril : Séminaire des doctorants de Bordeaux

22

2006 :o Octobre : Journées Codage et Cryptographie (C2)

5.2 Exposés dans des conférences nationales

2009 :o Octobre : MAJECSTIC 2009 Nouveaux résultats en cryptographie basée sur les codes correcteursd'erreurs

o Octobre : MAJECSTIC 2009 Algorithme de décodage (Reed-Muller)

2008 :o Octobre : MAJECSTIC 2008 Dis-moi ce que tu consommes, je te dirai qui tu eso Octobre : MAJECSTIC 2008 Schémas de signature prouvés sûrs fondés sur la théorie des codescorrecteurs d'erreurs

o Octobre : MAJECSTIC 2008 Attaques algébriques

2007 :o Octobre : MAJECSTIC 2007 Méthodes améliorées pour trouver des équations pour des attaquesalgébriques sur des registres à décalage avec mémoire

2006 :o Octobre : Journées C2 Méthodes améliorées pour trouver des équations pour des attaques algé-briques sur des registres à décalage avec mémoire

5.3 Exposés dans des conférences internationales

2010 :o Octobre : INSCRYPT 2010 Attacking code/lattice-based cryptosystems using Partial Knowledgeo Octobre : INSCRYPT 2010 Quasi-dyadic CFS signature schemeo Juin : ISA 2010 Post-Quantum Cryptography : Code-based Signatureso Mai : FEAS 2010 McEliece/Niederreiter PKC : sensitivity to fault injection

2009 :o Juillet : WEWoRC 2009 Fault injection's sensitivity of the McEliece PKC

2008 :o Septembre : CARDIS 2008 Secure Implementation of the Stern Authentication and SignatureSchemes for Low-Resource Devices

2007 :o Mai : BFCA 2007 Improved algorithm to �nd equations for algebraic attacks for combiners withmemory

o Avril : WCC 2007 Identity-based identi�cation and signature schemes using correcting codes

5.4 Séjours à l'étranger

� Deux ans en Allemagne à Darmstadt en tant que post-doc (2009-2011)� Invité un mois au Claude Shannon Institute (Dublin - Irlande) (mars 2008)

23

6 Organisation et comité de programme

2008 :

Février Huitième Journée Cryptographie et Sécurité de l'Information, Limoges,co-organisation en tant que président de l'association A.D.D.M.U.L.

2007 :

Octobre MAnifestation des JEunes Chercheurs en Sciences et Technologies de l'Infor-mation et de la Communication 2007 (MAJECSTIC 2007), Caen,http ://MAJECSTIC07.info.unicaen.fr/index.php ?pg=1

2006 :

Décembre Septième Journée Cryptographie et Sécurité de l'Information, Limoges,organisation en tant que président de l'association A.D.D.M.U.L.http ://www.unilim.fr/laco/rencontres/2006/JCL/prog.html

Octobre Journées Codage et Cryptographie, Eymoutiers,organisation en tant que membre de l'équipe P.I.2C.http ://www.unilim.fr/laco/C2/

2009-2011 co-Responsable du séminaire cryptographie de l'Université de Darmstadt

2007-2008 Responsable du séminaire Protection de l'Information, Codage, Cryptographiede Limoges ainsi que du site internethttp ://www.unilim.fr/laco/seminaires/ACC/index.html

2006-2008 Organisateur des journées ADDMUL (50 participants)http ://www.unilim.fr/addmul

Relecture : ASIACRYPT 2008, 2009PKC 2009SAC 2008MAJECSTIC 2007, 2008, 2009COSADE 2010, 2011AFRICACRYPT 2011

Orateur invité : PQSM Workshop 2010

Comité de programme :Journées Codes et StéganographieMAJECSTIC 2007

24

7 Compétences informatiquesCertains de mes programmes sont disponibles sur ma page web.

Systémes d'exploitation : Linux,Windows

Logiciels de calcul scienti�que : magma,maple,notions de Matlab, Scilab,PARI/GP

Langages de programmation : C,BASH,JAVA,PHP/MySQL,notions de Fortran, Perl

Outils bureautique : LATEX,Writer, Calc, Impress,Power Point, Excel, Word

8 Divers

Langues :Anglais (lu, écrit, parlé).

Espagnol (niveau scolaire).

Musique :

Diplômé de �n d'études de solfége (conservatoire de Cavaillon) 12 ans d'étude.

Diplômé de �n d'études de saxophone (conservatoire de Cavaillon) 9 ans d'étude.

Diplômé de premier cycle de batterie (conservatoire de Cavaillon) 3 ans d'étude.

Sport :

Athlétisme 12 ans de pratique.

Vice-champion de France de cross country (CNSE) en 2000.

Vainqueur du Marathon de Paris dans la catégorie Junior en 2000.

Vainqueur d'une cinquantaine de courses locales entre 1994 et 2002.

Activités associatives :

Trésorier du Club Sportif des P.T.T. Avignon Montfavet Athlétisme 2002-2005.

Président de l'association étudiante A.D.D.M.U.L. 2006-2008.

Autres activités :

Titulaire du BAFA.

25

Références

Je donne la liste depersonnes qui connaissent mes travaux de recherche et d'enseignements.

� Directeurs de thèse, équipe, laboratoire :� Pr. Thierry Berger (président du jury de thèse) : thierry.berger@unilim.fr� Pr. Philippe Gaborit (directeur de thèse) : philippe.gaborit@xlim.fr� Pr. Johannes Buchmann (directeur Darmstadt) : buchmann@cdc.informatik.tu-darmstadt.de� Pr. Claude Carlet (responsable équipe Paris 8) : Claude.Carlet@inria.fr

� Recherche et vie de laboratoire :� Pr. Frederik Armknecht : armknecht@crypto.ruhr-uni-bochum.depau� Dr. Paulo Barreto : pbarreto@larc.usp.br� Dr. Ricardo Dahab : rdahab@ic.unicamp.br� Dr. Pierre Dusart : pierre.dusart@unilim.fr� Dr. Marc Girault : girault-marc@wanadoo.fr� Dr. Abdelkader Necer : anec@unilim.fr� Dr. Emmanuel Prou� : E.PROUFF@oberthurcs.com� Dr. Olivier Ruatta : olivier.ruatta@unilim.fr� Dr. Arnaud Tisserand : Arnaud.Tisserand@irisa.fr

� Enseignement :� Pr. Thierry Berger : thierry.berger@unilim.fr� Pr. Philippe Gaborit : philippe.gaborit@xlim.fr� Pr. Johannes Buchmann : buchmann@cdc.informatik.tu-darmstadt.de� Pr. Claude Carlet : Claude.Carlet@inria.fr� Dr. Abdelkader Necer : anec@unilim.fr� Dr. Olivier Ruatta : olivier.ruatta@unilim.fr

26

Contenu du dossier

� Dossier de candidature (ci-présent) ;

� Déclaration de candidature imprimée depuis GALAXIE ;

� Une copie d'une pièce d'identité avec photographie ;

� Une pièce attestant de la possession de la thèse ;

� Une copie du rapport de soutenance de thèse ;

� Rapports sur la thèse par Nicolas Sendrier et Marc Girault ;

� Lettres de recommandation :� Pr. Thierry Berger ;� Pr. Johannes Buchmann ;� Pr. Claude Carlet ;� Pr. Philippe Gaborit.

� Les travaux qui seront communiqués en cas d'audition :� Secure Implementation of the Stern Authentication and Signature Schemes for Low-ResourceDevices, CARDIS 2008

� McEliece/Niederreiter PKC : sensitivity to fault injection, FEAS 2010� Side channels attacks in code-based cryptography, COSADE 2010

27