Full Disk Encryption and Beyond
Chiffrement de disque intégrale et au-delà
Résumé
This thesis is dedicated to the analysis of modes of operation in the context of disk protection usage. Firstly, we give modes of operation secure in the Full Disk Encryption (FDE) model where additional data storage are not allowed. In this context, encryption has to be length preserving which implies length-preserving encryption. However, it is possible to use a value already present in the system, called a diversifier, to randomize the encryption and to have a better security. Then, we introduce two methods to analyse symmetric primitive in the very constraint Key-Dependent Message (KDM) model which is of interest for disk encryption because the encryption key can end up in the disk. It enables to analyse the KDM security of the Even-Mansour and the Key-Alternating Feistel constructions which are the basis of different block-ciphers. Moreover, knowing that data authenticity cannot be ensured in the FDE model because tag storage is not allowed, we relax this constraint which gives us two models: the Authenticated Disk Encryption model (ADE) and the Fully Authenticated Disk Encryption (FADE). A secure mode in the ADE model ensures data authenticity of a sector but can be vulnerable to replay attacks; and a secure mode in the FADE model ensures the authenticity of the entire disk even against replay attacks. Storage is not the only point to take into account, the read and write delays on a sector is a competitive argument for disk manufacturers since disk performances tightly depend on it and adding the computation of codes of authentication does not help. That is why, we tend to analyse incremental Message Authentication Codes: they have the property to be updatable in a time proportional to the corresponding modification.
Cette thèse est dédiée à l’analyse de modes opératoires pour la protection des disques durs. Dans un premier temps, l’analyse des modes opératoires permettant de protéger la confidentialité des données est réalisée dans le modèle Full Disk Encryption. Ce modèle est très contraignant puisqu’il exclut tout mode qui ne ne conserve pas la longueur (la valeur en clair et chiffrée du secteur doivent avoir la même taille) et seuls des modes déterministes peuvent avoir cette propriété. Néanmoins, il est possible de tirer parti d’une valeur du système nommée le diversifiant, qui originellement a un autre but, pour apporter de l’aléa utile pour améliorer la sécurité des modes opératoires. Dans un second temps, nous introduisons deux méthodologies d’analyse dans le modèle Key-Dependent Message, où l’adversaire est autorisé à chiffrer des messages qui dépendent de la clé de chiffrement, qui nous ont permis d’analyser la sécurité des schémas Even-Mansour et Key-Alternating Feistel. Enfin, sachant qu’il est impossible de garantir l’authenticité des données dans le modèle FDE, la présence de codes d’authentification étant nécessaire, deux modèles où le stockage de métadonnées est possible sont envisagés : le modèle ADE pour Authenticated Disk Encryption et le modèle FADE pour Fully Authenticated Disk Encryption. Le premier permet de garantir l’authenticité au niveau du secteur mais est vulnérable aux attaques par rejeu et le second garantit l’authenticité du disque en entier et prévient ce type d’attaque. Le stockage n’est pas le seul point à prendre en compte : les vitesses de lecture et d’écriture sont un enjeu de taille pour les constructeurs puisque ces dernières conditionnent fortement les performances d’un disque. C’est la raison pour laquelle, nous avons étudié les codes d’authentification incrémentaux puisque ces derniers ont la propriété d’être mis à jour en un temps proportionnel à la modification réalisée.
Origine : Fichiers produits par l'(les) auteur(s)
Loading...