Dissiper les mythes sur les attaques par superposition : Modèle de sécurité formel et analyses des attaques.

Résumé Une croyance populaire veut que la sécurité des protocoles cryptographiques classiques soit automatiquement rompue si l'Adversaire est autorisé à effectuer des requêtes de superposition et si les joueurs honnêtes sont forcés d'effectuer des actions cohérentes sur des états quantiques. Une autre intuition largement répandue est que l'application de mesures sur les messages échangés suffit à protéger les protocoles contre ces attaques. Cependant, la réalité est beaucoup plus complexe. Les modèles de sécurité traitant des attaques par superposition ne considèrent que la sécurité inconditionnelle. A l'inverse, les modèles de sécurité considérant la sécurité computationnelle supposent que tous les messages supposés classiques sont mesurés, ce qui interdit par construction l'analyse des attaques par superposition. Boneh et Zhandry ont commencé à étudier la sécurité quantique computationnelle pour les primitives classiques dans leur travail séminal à Crypto'13, mais seulement dans le cadre d'une seule partie. À notre connaissance, il n'existe toujours pas de modèle équivalent dans le cadre multipartite. Dans ce travail, nous proposons le premier modèle de sécurité informatique prenant en compte les attaques par superposition pour les protocoles multipartites. Nous montrons que notre nouveau modèle de sécurité est satisfaisable en prouvant la sécurité du protocole bien connu One-Time-Pad et en donnant une attaque sur une variante du tout aussi réputé protocole Yao pour les calculs sécurisés à deux parties. Le post-mortem de cette attaque révèle les points précis d'échec, donnant des résultats très contre-intuitifs : L'ajout d'une communication classique supplémentaire, qui est inoffensive pour la sécurité classique, peut rendre le protocole sujet à des attaques par superposition. Nous utilisons ces nouvelles connaissances pour construire le premier protocole concret de calcul à deux parties sécurisé qui résiste aux attaques par superposition. Nos résultats montrent qu'il n'y a pas de réponse directe à apporter ni aux vulnérabilités des protocoles classiques aux attaques par superposition ni aux contre-mesures adaptées.