More than 30 years ago, Buchmann and Williams proposed to use ideal class groups of imaginary quadratic fields in cryptography, with a key exchange protocol similar to Diffie-Hellman. After several twists and turns, there has been a renewed interest in this field in recent years. This renaissance is mainly due to two characteristics. First, these class groups allow the design of cryptographic protocols that do not require a trusted third party for the generation of public parameters. Second, these groups allow the instantiation of a general-purpose encryption scheme, CL, linearly homomorphic modulo a prime number, which has found many applications. In this talk, I will give an overview of cryptography based on class groups, present a threshold variant of the CL encryption scheme and efficient implementation using the BICYCL library.

The CL encryption scheme, introduced by Castagnos and Laguillaumie in 2015, is an efficient /linearly homomorphic public key encryption scheme/, based on class groups of imaginary quadratic fields. The specificity of these groups is that their order is hard to compute, which means it can be considered as unknown. This particularity, while being key in the security of the scheme, brings a few technical challenges in working with CL, especially in the design of zero-knowledge protocols.
To solve these difficulties, a closer look at CL ciphertexts reveals the necessity of a new notion of soundness that we call /soundness with partial extractability. /Thanks to this notion, we design efficient zero-knowledge proofs and arguments for different CL statements, such as a batch proof of correctness, or an argument for a multiexponentiation.
(joint work with G. Castagnos and F. Laguillaumie)

Dans cet exposé, je présenterai mes travaux de recherche visant à implémenter une version sécurisée contre les attaques par canaux auxiliaires et par fautes de Dilithium, un schéma de signature post-quantique standardisé par le NIST. L’un des principaux défis à son déploiement sur des plateformes embarquées réside dans ses exigences en mémoire, qui compliquent l’application de contre-mesures contre les attaques physiques. L’approche choisie durant mes travaux de recherche a d’abord consisté à optimiser l’algorithme afin de réduire son empreinte mémoire sans compromettre ses performances. Cette version optimisée peut alors servir de base à l’implémentation de contremesures, tout en limitant le surcoût apporté. L’autre objectif était de trouver de nouveaux vecteurs d’attaques par canaux auxiliaires et/ou fautes pour vérifier l’exhaustivité des contre-mesures à appliquer. Je présenterai deux des principaux résultats portant sur l’algorithme de signature de Dilithium :

• Une attaque par canaux auxiliaires profilée, exploitant une fuite sur une valeur intermédiaire pour retrouver une partie de la clé secrète servant à forger des signatures.
• Une attaque par faute, ciblant une vérification de sécurité pouvant être exploité pour faire fuir des informations sensibles sur une autre partie de la clé privée.

In this presentation, we will talk about side-channel analysis of HuFu's reference implementation.
We first exploit the multiplications involving its two main secret matrices, recovering approximately half of their entries through a non-profiled power analysis with a few hundred traces. Using these coefficients, we reduce the dimension of the underlying LWE problem, enabling full secret key recovery with calls to a small block-sized BKZ.
To mitigate this attack, we propose a countermeasure that replaces sensitive computations involving a secret matrix with equivalent operations derived solely from public elements, eliminating approximately half of the identified leakage and rendering the attack unfeasible.
Finally, we perform a non-profiled power analysis targeting HuFu's Gaussian sampling procedure, recovering around 75% of the remaining secret matrix's entries in a few hundred traces. While full key recovery remains computationally intensive, we demonstrate that partial knowledge of the secret significantly improves the efficiency of signature forgery.
At the end of the presentation, we'll also talk about my possible future work on Hint-MLWE reductions and cryptanalysis.

The ’Bichromatic Closest Pairs Problem’ is defined as follows : given two exponentially long lists of bit strings, find all the pairs with Hamming distance less than a given threshold. The two best known algorithms to solve this problem is due to Carrier [Car20] and Esser [EKZ21] but they are practically useless. The most common subquadratic algorithm to solve the Bichromatic Closest Pairs Problem is based on what is now called locality-sensitive hashing (LSH). It is sometimes attributed to an article of 1998 by Indyk and Motwani. We call it the “Projection method”. In practice, it is the best-known algorithm. It has been conjectured that it is very close to optimal. Our main result was to show that it is actually optimal for a large class of parameters.

Many signature applications involve long-term public keys that are installed once but used repeatedly. The long lifetime of the public keys makes post-quantum signature schemes with "conservative'' assumptions (minimizing algebraic structure in lattices, for example, to preempt specialized attacks) attractive. But many such schemes, especially those with short signatures, have extremely large public keys - and this increases storage costs and slows down verification even in applications where high bandwidth is less of a concern. We propose a method to replace large public keys in GPV-style signatures with much smaller local private verification keys, reducing space requirements and verification runtime without compromising security. Applied to Wave and Squirrels - two conservative Round-1 NIST candidates with short signatures - our method compresses Squirrels-I keys from 665KB to 20.7KB and Wave822 keys from 3.5MB to 207.97 KB.

Dans cet exposé, on démontre que des systèmes quadratiques aléatoires de m polynômes en n variables sur GF(q) ont des propriétés intéressantes : ils sont injectifs (resp. surjectifs) avec forte probabilité si m >> 2n (resp. 2n >> m). Ils constituent des générateurs pseudo-aléatoires. Contrairement à une idée reçue, ils sont résistants aux collision si m >> n (on démontre que le problème correspondant est NP-dur). Enfin, le problème "one-more-preimage" est difficile : étant donné t solutions d'un système quadratique, déterminer s'il en existe une (t+1)-ème est NP-dur. Enfin, les fonctions quadratiques aléatoires sont "claw-free" si m >> n.

Résoudre des systèmes polynomiaux quadratiques multivariés (problème MQ) est NP-dur. Nous proposons un système de mise en gage basé sur ce problème MQ. Pour évaluer la sécurité de ce système, nous étudions notamment le nouveau problème de trouver une collision sur un système polynomial. Pour cela nous nous ramenons la résolution de systèmes polynomiaux structurés et notamment bilinéaires. Notre but est de trouver les meilleures attaques sur ce type de systèmes structurés pour optimiser les tailles de paramètres de cette mise en gage. Des travaux ont déjà été menés dans le cadre de systèmes homogèmes, mais le cas affine, plus générique est encore un problème ouvert.

Masking, a.k.a. "MPC on silicon", is a popular counter-measure against side-channel analysis of cryptographic hardware, by operating the computations over a secret sharing of sensitive data. Though masking was designed in the late 1990s as an ad hoc counter-measure, the research community has been able to establish since the 2010s its provable security, as a universal counter-measure. This presentation aims at giving a summary of the state of the art, and the many challenges remaining to address.

The random probing model formalizes a leakage scenario where each wire in a circuit leaks with a probability p. This model has practical relevance as it can be reduced to the noisy leakage model, which is widely recognized as the appropriate framework for power and electromagnetic side-channel attacks. While straightforward to describe, it is more challenging to achieve provable security and efficiency within this model, especially compared to the t-probing model (where the attacker gets the value of at most t probes of its choice).
I will introduce the various security notions associated with this model and explain why they are difficult to apply to concrete algorithms. Together with my co-authors, Sonia Belaïd and Matthieu Rivain, we provided the first fully secure instantiation of a post-quantum algorithm in the random probing model (soon presented in Eurocrypt 2025). Specifically, we focused on Raccoon, whose masking-friendly structure makes it an ideal starting point. However, the performance remains underwhelming, particularly in terms of randomness consumption.
All in all, I aim to convince you that random probing is the future of side-channel security, and a lot of exciting work still lies ahead.

Residue Number Systems (RNS) are parallel number systems that allow the computation on large numbers. They are used in high performance digital signal processing devices and cryptographic applications. However, the rigidity of instruction set architectures of the market-dominant microprocessors limits the use of such number systems in software applications. We present the impact of word-size modular arithmetic specific RISC-V instructions on the software implementation of Residue Number Systems. We evaluate this impact on several RNS modular multiplication sequential algorithms.

L'arithmétique PMNS pour Polynomial Modular Number System permet de représenter les éléments modulaires sous une forme polynomiale et naturellement redondante. Nous présenterons une façon de choisir les paramètres de cette arithmétique de manière à maitriser le nombre de représentants d'un élément donné. Nous étudierons la sécurité de cette arithmétique au regard des attaques par canaux auxiliaires et nous présenterons des cas d'usage cryptographique pour lesquels l'utilisation de l'arithmétique PMNS protègera nativement contre certaines attaques par canaux auxiliaires.

Les protocoles de communication sécurisés utilisent des primitives cryptographiques afin d'assurer des propriétés de sécurité comme la confidentialité des données, l'authentification et l'intégrité. Les primitives utilisées de nos jours sont largement éprouvées par la communauté académique afin de s'assurer de leur sécurité. Jusqu'à présent, la sécurité des primitives cryptographiques a été étudiée dans un modèle calculatoire classique. Néanmoins, certaines de ces constructions sont menacées par des attaques quantiques conçues dans un modèle calculatoire quantique. Ainsi, le risque de l'utilisation de primitives cassées dans ce modèle quantique s'impose rapidement avec l'accélération des développements liés à la construction d'un ordinateur quantique. Par ailleurs, ce risque est rétroactif pour la confidentialité avec les attaques "store-now decrypt-later". Pour cela, nous devons intégrer l'utilisation de primitives post-quantiques le plus tôt possible, surtout pour des scénarios très sensibles. Cette intégration a un impact conséquent sur les protocoles utilisés de nos jours. Cette présentation portera sur l'état actuel de l'intégration de la cryptographie post-quantique dans les protocoles de communication sécurisés et les problèmes qui en découlent. Pendant cette présentation, les travaux existants principaux seront présentés, ainsi que les problèmes ouverts et les défis liés à plusieurs aspects de la transition post-quantique: implémentation, preuve, hybridation, taille de données, PKI ... Ces aspects seront présentés sur des protocoles connus comme TLS.

Le générateur sac-à-dos, présenté en 1985 est un générateur pseudo aléatoire annoncé sécurisé qui combine un générateur pseudo aléatoire non sécurisé et un problème dur. Une erreur de design repérée en 2011 permet à W. Meier et S. Knellwolf de retrouver une partie du secret mais les explications théoriques et heuristiques sont partielles. Dans cet exposé, je vais présenter une nouvelle attaque contre ce générateur qui exploite la même faiblesse que l'attaque de 2011 mais qui met à jour, de manière beaucoup plus directe, le lien entre le problème à résoudre et les réseaux euclidiens. Grâce à cette meilleure compréhension, la nouvelle attaque retrouve une plus grande partie du secret et sur une plus grande plage de paramètres, pour un coût similaire.

Over the past decade, many symmetric primitives have been introduced for use in advanced protocols, including zero-knowledge proofs. These primitives, often referred to as AOPs (Arithmetization-Oriented Primitives), have emerged as a major trend in symmetric cryptography. In this frenzied race for the most competitive design, security analysis is struggling to keep up. In this talk, we will review the different categories of proposed designs and their specific properties. We will then show that although security analysis is still far behind, progress has been made in the last 3 years, especially in the area of algebraic attacks. We will also mention recent work in linear cryptanalysis, highlighting how the specific features of these primitives require the use of algebraic geometry tools.

QKD is a landmark of how quantum resources allow us to implement cryptographic functionalities with a level of security that is not achievable only with classical resources. However, key agreement is not sufficient to implement all functionalities of interest, and it is well-known that they cannot be implemented with perfect security, even if we have access to quantum resources. Thus, computational assumptions are necessary even in the quantum world.
In this talk, I will cover recent examples where computational assumptions allow us to achieve protocols with better properties than their classical counterparts. More concretely, I will talk about quantum implementations of multi-party computation, and about everlasting-secure key-agreement with simultaneous messages.
No prior knowledge of quantum computing is expected.

L'objectif principal de ce travail est d'explorer les nouvelles conséquences sur les cinq mondes d'Impagliazzo que peuvent apporter les ordinateurs quantiques, et plus particulièrement leurs impacts sur la cryptographie. Malgré le succès impressionnant des ordinateurs quantiques et de la cryptographie quantique, on remarque que les progrès sur cette ligne ont été très limités. Dans Cryptomania, il s'agit par exemple de donner des bornes inférieures sur des schémas post-quantique, avec pour motivation d'avoir des bornes de sécurités pour les schémas sélectionnés lors de la la compétition du NIST. Il s'agit aussi de tenter de généraliser les résultats classique au quantique, comme la séparation de Cryptomania et Minicrypt d'Impagliazzo et Rudich (STOC 1989). Enfin, des nouveaux mondes quantiques ont été introduits récemment, comme Microcrypt, avec pour objectif de déterminer quelle est l'hypothèse minimale (et donc le monde minimal) pour faire de la cryptographie quantique. De façon surprenante, le papier de Kretschmer (TQC 2021), et plus récemment celui de Kretschmer, Qian et Tal (STOC 2025) montrent que la cryptographie quantique reste possible même si BQP=QMA ou P=NP, donc même sans fonction à sens unique.

Une part de l'activité électrique dans un circuit est liée aux transitions de ses nombreux signaux internes. Des attaques par canaux auxiliaires observent et analysent cette activité pour en déduire des informations inaccessibles par ailleurs. Différents éléments contribuent à cette activité : la structure et le contrôle de l'architecture, les représentations des nombres et algorithmes arithmétiques utilisés. Nous étudierons quelques exemples de cette thématique.

It seems that it has become a common practice to report the performance characteristics of hardware designs after synthesis, namely after having "compiled" the design into the topological description of a hardware circuit made of standard cells. The cells' area can be determined with certainty, whereas the area occupied by the wires cannot. This may lead to optimistic performance figures. In this talk, we revisit the area-time or area-time^2 lower bound based on communication complexity and apply them in the case of Möbius Transform. Comparing the theoretical bound with the area estimate obtained after synthesis and the actual area of the circuit after the placement step.

Fully Homomorphic Encryption (FHE) is a type of encryption that allows to compute on encrypted data. First proposed as a concept in 1978, the construction of such a primitive remained an open problem for nearly three decades, until Gentry proposed the first construction in 2009. Since then, many improvements have appeared and we are now beginning to see the first deployments of FHE in the industry.
This talk aims to present the most important arithmetic questions in FHE. We will begin by giving a general introduction to FHE and motivate its use. Then, we will dive into a more technical presentation, showing how to construct an FHE scheme. The aim of the talk is to give an overview of the arithmetic structures considered in FHE, both in terms of data types supported, as well as to highlight some optimisation algorithms that can be interesting to the ARITH community, such as the use of the Residue Number System (RNS) in FHE to accelerate computations. Ultimately, we hope to present and highlight areas of research that are of interest to both the cryptographic and ARITH communities.

In this talk, I will discuss secret sharing schemes (SSS) in the context of lattice distributed cryptosystems. The mathematical interplay between lattices and secret sharing means that some SSS that are usually inefficient become relevant for lattices, and conversely some usually efficient SSS lose their relevance. I will discuss the well-known Shamir and Replicated SSS, but also more niche schemes based on the Coupon Collector's Problem and on Vandermonde's identity.

Le crible algébrique calcule des logarithmes discrets et factorise des entiers. Ses nombreuses étapes cachent autant de problèmes algorithmiques pour lesquels l'optimisation nécessite un peu de travail. Je détaille deux d'entre elles, à savoir le choix d'une base du réseau de crible, et le calcul des valeurs approchées de logarithmes de polynômes.