Abstract
La cryptographie post-quantique naît de la nécessité de se prémunir — avec
des ordinateurs classiques — des attaques menées par des ordinateurs
quantiques. Cette discipline est particulièrement florissante depuis
l’ouverture en 2017 de la compétition de standardisation du
NIST. Plusieurs
classes de solutions sont en compétition : cryptographie multivariée, des
réseaux, des codes correcteurs, ou encore, des isogénies de courbes
elliptiques. C’est cette dernière qui nous intéresse, notamment les protocoles
d’échange de clé basés sur une action de groupe simplement transitive facile à
calculer et difficile à inverser.
Une isogénie de courbes elliptiques est un morphisme (au sens de la géométrie
algébrique) de courbes elliptiques qui est aussi un morphisme de groupes. Les
cryptosystèmes basés sur ces dernières misent en général sur la difficulté de
trouver une isogénie entre deux courbes elliptiques isogènes données, citons
CRS (Couveignes et
Rostovtsev-Stolbunov et
CSIDH. Dans ce paradigme, les clés sont
de tailles relativement courte. Néanmoins, les performances de CRS sont peu
compétitives ; quant à CSIDH, il est difficile sur un ordinateur classique de
calculer la structure du groupe considéré. Dans ce contexte, il est naturel de
chercher à adapter ces constructions à d’autres objets mathématiques.
C’est ici que les modules de Drinfeld entrent en jeu. Un module de Drinfeld est
une construction algébrique issue de l’arithmétique des corps de fonctions. Ces
objets ont des propriétés algébriques extraordinairement proches de celles des
courbes elliptiques, à ceci près qu’un module de Drinfeld induit une loi de
Fq[X]-module sur la clôture algébrique Fq et non de Z-module sur les points de
la courbe elliptique.
Nous proposons un nouveau protocole d’échange de clé, non-interactif, basé sur
une action de groupe simplement transitive, facile à calculer et difficile à
inverser. La construction, que nous décrirons dans cet exposé, mime celles de
CRS et permet de déterminer l’ordre du groupe considéré en temps polynomial.
Nous nous intéresserons aussi au problème mathématique sur lequel repose la
sécurité du protocole. Nous évoquerons enfin des résultats expérimentaux qui
suggèrent que le calcul de l’action de groupe est compétitif avec CSIDH.