L anonymat dans les protocoles cryptographiques

Transcription

1 École normale supéreure Département d nformatque Équpe CASCADE INRIA Unversté Pars 7 Dens Dderot L anonymat dans les protocoles cryptographques Thèse présentée et soutenue publquement le jeud 1 er octobre 2009 pour l obtenton du Doctorat de l unversté Pars VII - Dens Dderot (spécalté nformatque) Malka Izabachène Composton du jury: Drecteur de thèse: Davd Pontcheval (École Normale Supéreure) Rapporteurs: Xaver Boyen (Unversté de Stanford ) Jean-Sébasten Coron (Unversté de Luxembourg) Examnateurs: Hervé Chabanne (Sagem Sécurté, Télécom Parstech ) Arnaud Durand (Unversté Pars VII - Dens Dderot ) Lous Goubn (Unversté de Versalles ) Davd Naccache (Unversté Pars II - Panthéon-Assas ) Damen Vergnaud (École Normale Supéreure) Travaux effectués au Laboratore d Informatque de l École Normale Supéreure 45 rue d Ulm, Pars Cedex 05

2

3 Table des matères I Prmtves cryptographques pour l anonymat 5 1 Prmtves de chffrement Schémas de chffrement Défntons et notons de sécurté Schéma de chffrement hybrde Schéma de sgnature Hypothèses calculatores Problèmes lés à la factorsaton Problèmes lés au logarthme dscret Schémas de chffrement homomorphes Applcaton aux réseaux de mélangeurs Réseaux avec déchffrement Réseaux avec rechffrement Protocoles nteractfs pour l anonymat Preuves nteractves Schéma de Mse en gage Preuves nteractves d appartenance à un langage Preuves de connassance Transfert nconscent, OT Prvate Informaton Retreval, PIR Dans les groupes blnéares Courbes ellptques sur les corps fns Défntons Lo de groupe Couplages sur une courbe ellptque Utlser les couplages Hypothèses calculatores dans les groupes blnéares Les problèmes non paramétrés ou statques Les problèmes paramétrés ou non statques Les problèmes co-cdh et Cco-CDH Chffrement homomorphes dans les groupes blnéares Chffrement à base d dentté Schéma de chffrement à base d dentté, IBE Schémas de chffrement hybrde à base d dentté, IB-KEM Quelques constructons Un peu d hstore

4 3.6.2 Classfcaton de Boyen [35] II Chffrement anonyme 49 4 Chffrement anonyme Anonymat pour le chffrement Noton de key-prvacy [11] Pertnence de l anonymat pour le chffrement Chffrement anonyme basé sur l dentté Défnton Quelques constructons ntéressantes Extenson de la noton d anonymat Noton d anonymat KwrtA Analyse des schémas IB-KEM au sens KwrtA Un canddat Anonymat révocable Prmtves de groupe Sgnature de groupe Chffrement de groupe Constructon générque Modélser la valdté Schémas de rechffrement Introducton Défntons et proprétés Constructon d un schéma de rechffrement Sécurté replayable CCA Extenson de l anonymat Prmtve de groupe Modèles Descrpton de notre schéma Analyse de sécurté Concluson III Anonymat et Authentfcaton Échange de clés par mot de passe Introducton Les premers pas Travaux antéreurs EKE et varantes Attaques par dctonnare Modélsaton des protocoles d échange de clés Défntons Modélsaton de la communcaton Extensons du modèle Sécurté pour les protocoles PAKE

5 6.3.1 Sécurté sémantque Authentfcaton Sécurté d un protocole Scénaros à tros partes Introducton Exemple : Kerberos Défntons Modèle de sécurté et extensons Modèle de sécurté Extenson de la noton de Fraîcheur Quelques outls pour GPAKE Gateway-Based Password Authentcated key-exchange Descrpton du protocole transparent GPAKE Sécurté de GPAKE Introducton de l Anonymat pour l authentfcaton : IB-PAKE Anonymat dans GPAKE Noton de non-malléablté d denttés Défnton Analyse de constructons Protocole IB-PAKE Protocole 2-PAKE générque Descrpton du schéma IB-PAKE Analyse de sécurté Bblographe 151

6

7 Remercements 1

8 2

9 Introducton L anonymat est un concept unversel à de nombreux égards : notre dentté peut rester secrète dans des crconstances socales, poltques exposant parfos des ntérêts personnels ou économques. Dans certans contexte, l anonymat peut demander à être percée, par exemple lorsque nous ne connassons pas l dentté d un crmnel ; parfos, on cherche au contrare à l obtenr. Aujourd hu, l avancée massve des technologes de l nternet renforce énormément l mportance de cette noton : désormas, l anonymat n est plus seulement l affare des dplomates et des mltares mas celle de tous. La cryptographe offre un grand nombre d outls renforçant sa démocratsaton dans les protocoles de votes électronques, de transactons en lgne, des correspondances va des logcels, etc.. Dans cette thèse, nous apportons quelques éléments de réponses à ce désr de manten d anonymat, en nous concentrant sur les protocoles de chffrement et d authentfcaton. En premer leu, l ntroducton de l anonymat dans ces deux types de protocoles soulève énormément de questons : alors que l authentfcaton est proche de la noton d dentfcaton, comment garantr l authentfcaton de la source tout en préservant son anonymat? Comment envoyer un message chffré avec une clé publque connue de tous sans révéler la clé publque utlsée pour chffrer? Le concept d anonymat suscte de nombreux paradoxes qu amènent à maner cette noton avec une précauton et une attenton toutes partculères : défnr le contexte dans lequel elle s applque et précser le nveau de sécurté que l on veut obtenr sont des procédés très classques dans l applcaton du concept d anonymat. De manère à précser ces nuances, nous défnrons dans une premère parte les outls et mécansmes autour desquelles cette noton d anonymat s est construte. Nous présenterons alors nos travaux en deux temps : nous rappellerons d abord en quo consste l anonymat pour le chffrement, en mettant l accent sur les notons de sécurté et les éléments constructfs pour les schémas de chffrement anonymes, et en partculer pour le chffrement à base d denttés. Ce derner concept, très commode pour la geston des certfcats nécesste la contrbuton d une autorté de confance, capable de dérver les secrets de tous les utlsateurs. Dans l artcle [85], en collaboraton avec Davd Pontcheval, nous avons étendu la noton d anonymat en consdérant cette autorté comme attaquant potentel. Cette premère phase de présentaton sera pour nous l occason d ntrodure cette nouvelle noton de sécurté. Ensute, nous étuderons le problème de l anonymat révocable dans un contexte mult-acteurs : en collaboraton avec Davd Pontcheval et Damen Vergnaud, nous avons conçu une nouvelle prmtve ntégrant de multples fonctonnaltés [86] ; nous décrrons également ce concept dans cette parte. Dans un deuxème temps, nous nous ntéresserons aux protocoles d échange de clé authentfés à deux et tros partes va un canal non sécursé (n confdentel, n authentfé), permettant l authentfcaton d un membre. Nous montrerons comment garantr l anonymat d un partcpant dans chacun des deux scénaros. Avant de présenter nos résultats, nous ntrodurons le modèle de sécurté sur lequel nous nous sommes appuyés [17, 14] et 3

10 4 les extensons que nous avons pu y apporter. Avec Mchel Abdalla et Davd Pontcheval, nous avons consdéré l anonymat du clent dans le cas à tros partes, en adaptant le protocole de l artcle [4]. Nous montrerons comment réalser un protocole garantssant l anonymat du clent en utlsant un protocole d nterrogaton confdentelle de bases de données (PIR) (ou Prvate Informaton Retreval en anglas) : l s agt d une prmtve qu résout une problématque ancenne que nous présenterons dans la premère parte. Nous prouverons la sécurté de ce protocole dans le modèle de l oracle aléatore. Un deuxème exemple vendra s ajouter à cette phase d ntroducton de l anonymat dans les protocoles d authentfcaton : l s agra d un protocole d échanges de clés à deux parte (authentfé) générque, IB-PAKE construt à partr d une prmtve de chffrement anonyme : par là même, nous proposerons une applcaton de la nouvelle noton d anonymat ntrodute précédemment. Enfn, nous achèverons notre présentaton par une concluson de nos travaux.

11 Premère parte Prmtves cryptographques pour l anonymat 5

12

13 Chaptre 1 Prmtves de chffrement Dans cette parte, nous présentons les prmtves propres à la cryptographe à clé publque : les schémas de chffrement et les schémas de sgnature. Nous défnssons les notons de sécurté caractérsant chacun d eux : la premère classe de schémas assure la confdentalté des données et la seconde garantt l authentfcaton et l ntégrté des données. Nous nssterons davantage sur les défntons lées au chffrement, nous ferons juste quelques rappels nformels pour les schémas de sgnature. Sommare 1.1 Schémas de chffrement Défntons et notons de sécurté Schéma de chffrement hybrde Défntons d un schéma KEM Notons de sécurté pour les schémas KEM Défntons d un schéma DEM Notons de sécurté pour les schémas DEM Syntaxe du chffrement hybrde Schéma de sgnature Consstance Types d attaques Nveaux de sécurté Schéma Full Doman Hash Hypothèses calculatores Problèmes lés à la factorsaton Problème RSA Problème de la résduosté quadratque, RQ Problème de la haute résduosté, RH Problèmes lés au logarthme dscret Problème du logarthme dscret, LD Problème Dffe-Hellman calculatore, CDH Problème Dffe-Hellman décsonnel, DDH Schémas de chffrement homomorphes Cryptosystème de Goldwasser-Mcal Cryptosystème de Paller Cryptosystème de Damgard-Jürk Cryptosystème ElGamal

14 8 Chaptre 1. Prmtves de chffrement 1.4 Applcaton aux réseaux de mélangeurs Réseaux avec déchffrement Réseaux avec rechffrement Schémas de chffrement Un cryptosystème est défn par la donnée de quatre (ou tros selon le contexte) algorthmes : un premer algorthme génère les paramètres communs du système, un second renvoe des clés publques et secrètes, un trosème, typquement probablste permet de chffrer un message (sans utlser de secret partculer) et un derner, quant à lu détermnste, retrouve le message à partr d un chffré en utlsant la clé secrète Défntons et notons de sécurté Nous notons M, C les espaces des messages clars et des messages chffrés respectvement et R un espace de probablté fxé. On note λ le paramètre de sécurté. Formellement, les algorthmes mplqués dans un schéma de chffrement sont défns de la manère suvante : Algorthme de génératon de paramètres Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du système, params ; Algorthme de génératon des clés KeyGen : prend en entrée les paramètres publcs du système, params et renvoe une pare clé publque/clé prvée, pk/sk ; Algorthme de chffrement Encrypt : est un algorthme probablste qu prend en entrée la clé publque pk, un message m dans M et un aléa r et renvoe un chffré c assocé au message m. Afn d alléger les notatons, on notera le chffré d un message m par c = Encrypt(pk, m) ou c = Encrypt(pk, m; r) ; s la clé publque est clarement spécfée par le contexte, on pourra écrre c sans la précser. Algorthme de déchffrement Decrypt : prend en entrée un chffré c et la clé secrète sk de déchffrement, l renvoe le message m M assocé à c C ou un symbole d erreur. Remarque 1 En règle générale, la foncton Setup est l dentté mas dans certans systèmes lorsque pluseurs utlsateurs dovent s entendre sur des paramètres communs, l peut être commode de séparer les algorthmes Setup et KeyGen. On verra que pour les schémas de chffrement anonyme, cette condton est nécessare. Par exemple, pour le cryptosystème ElGamal, le paramètre publque peut être le nombre premer détermnant le groupe cyclque. Un schéma de chffrement est dt consstant s pour tout paramètre publc params, toute pare clé publque/clé secrète, pk/sk, tout message m M, tout chffré de m sous la clé pk se déchffre sous la clé sk sur le message m. Plus formellement, étant donné un paramètre de sécurté λ, on a : m M, params Setup(λ) (pk, sk) KeyGen(params) c C r R Encrypt(pk, m; r) = c = Decrypt(sk, c) = m Cette condton peut être assouple de telle sorte à n être vérfée que pour une fracton écrasante de pares (pk, sk) et de chffrés c C ; dans ce cas, on parle de consstance calculatore.

15 1.1- Schémas de chffrement 9 Notons de Sécurté la foncton de chffrement dot garantr la confdentalté des messages, ce qu se formalse de dfférentes manères selon le nveau de sécurté que l on veut garantr : on ne veut pas que l adversare pusse apprendre un bt du message. En 1982, Godwasser et Mcal ont formalsé un crtère de sécurté mportant pour le chffrement asymétrque, la sécurté sémantque. L dée est la suvante : consdérons un attaquant A générant deux messages m 0 et m 1 de talles égales. Supposons que nous lu renvoyons le chffré c b de l un des deux messages m 0 et m 1, où b est un bt chos aléatorement. De plus, afn de renforcer le modèle, on peut très ben lu donner le pouvor de déchffrer certans chffrés (excepté le chffré challenge). On dt que l algorthme de chffrement est sémantquement sûr résstant aux attaques à chffrés choss s l attaquant ne parvent pas à devner le bt b avec probablté sgnfcatvement plus grande que 1 2. Plus précsément, nous formalsons la noton de sécurté sémantque par l expérence suvante : Expérence Exp nd-cca-b E,A (λ) CSet déf = ; params Setup(λ) ; (pk, sk) KeyGen(params) ; (m 0, m 1, state) A ODecrypt() 1 (FIND, params, pk) ; R c b Encrypt(params, pk, mb ) ; b A ODecrypt() 2 (GUESS, params, pk, c b, state) ; s c b / CSet ; retourner b snon retourner 0 ODecrypt(c) CSet CSet {c} ; m Decrypt(sk, c) ; retourner m On défnt l avantage de A dans l expérence c-dessus par : Adv nd-cca E,A = Pr[Exp nd-cca-1 E,A (λ) = 1] Pr[Exp nd-cca-0 E,A (λ) = 1] On dt qu un schéma de chffrement est IND-CCA-sûr résstant aux attaques adaptatves à chffrés choss (ou IND-CCA2-sûr), s pour tout attaquant polynomal A, l avantage de A est une foncton néglgeable en le paramètre de sécurté λ. Lorsqu on ne peut pas garantr la sécurté en donnant accès à l oracle de déchffrement, on parle de schéma de chffrement IND-CPA-sûr : le schéma est dt sémantquement sûr résstant aux attaques à clars choss Schéma de chffrement hybrde Le chffrement hybrde est un concept assez ntutf qu consste à décomposer les procédures mplquées dans un schéma de chffrement en deux mécansmes : un premer mécansme, appelé encapsulaton de clés (KEM), asymétrque chffre une clé symétrque et un second mécansme, data encapsulaton mechansm, (DEM), chffre un message avec la clé secrète précédente en utlsant des technques symétrques. Défntons d un schéma KEM Un mécansme d encapsulaton de clés a la même structure qu un schéma de chffrement asymétrque excepté que l algorthme de chffrement ne prend que la clé publque du destnatare en entrée. Cet algorthme génère une pare consttuée d une clé K et de son encapsulaton C. Plus précsément, un schéma KEM est défn par la donnée de quatre algorthmes polynomaux KEM déf = Setup, KeyGen, Encaps, Decaps, chacun défn de la manère suvante :

16 10 Chaptre 1. Prmtves de chffrement Algorthme de génératon de paramètres Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du schéma params. Algorthme de génératon des clés KeyGen : prend en entrée les paramètres publcs du schéma, params et renvoe une pare clé publque/clé prvée, pk/sk. Algorthme d encapsulaton de clés Encaps : cet algorthme probablste prend en entrée la clé publque du destnatare pk et un aléa r ; l génère une clé aléatore K dans S K, l ensemble des clés, et son encapsulaton C. Algorthme de décapsulaton de clés Decaps : cet algorthme détermnste prend en entrée la clé secrète du destnatare sk et l encapsulaton C d une clé ; l retrouve la clé K telle qu l exste un aléa r R tel que (K, C) = Encaps(pk; r) ; s cette clé n est pas défne ou s K / S K, cet algorthme renvoe un message d erreur. Ce mécansme dot également spécfer un enter postf, que l on notera l précsant la longueur de la clé renvoyée par l algorthme Encaps. La prmtve KEM dot vérfer une proprété de consstance qu se dédut drectement de celle énoncée précédemment pour le chffrement au paragraphe Notons de sécurté pour les schémas KEM Nous défnssons la sécurté pour le mécansme d encapsulaton de clés sous les attaques à chffrés choss de la manère suvante : dans une premère phase, le challenger génère des paramètres publcs params et une pare de clé publque/clé secrète, pk/sk qu l renvoe à l attaquant A. Ce derner a accès à un oracle de décapsulaton pus renvoe un bt b. Le challenger calcule un chffré C1 et une clé K 1, générés par l algorthme Encaps. Il chost également une clé aléatore K0 dans l ensemble S K, où S K est l ensemble des clés mun d une dstrbuton unforme 1. Ensute, le challenger chost un bt b et renvoe (Kb, C 1 ) à l attaquant A. Dans une seconde phase, l attaquant a accès à un oracle de décapsulaton. Enfn, l renvoe sa réponse pour le bt b. Plus formellement, nous défnssons l expérence assocée à un attaquant A et un schéma KEM déf = Setup, KeyGen, Encaps, Decaps de la manère suvante : Expérence Exp cca b KEM,A (λ) CSet déf = { }; params Setup(λ) ; (pk, sk) KeyGen(params) ; state A ODecaps() 1 (FIND, params, pk) ; (C1, K 1 ) R Encaps(params, pk) ; K0 R S K ; b R {0, 1} ; b A ODecaps() 2 (GUESS, params, pk, C1, K b, state) ; s C1 / CSet ; retourner b snon retourner 0 ODecaps(c) CSet CSet {c} ; K Decaps(sk, c) ; retourner K On défnt l avantage de A dans l expérence c-dessus par : Adv nd-cca KEM,A = Pr[Exp cca-1 KEM,A(λ) = 1] Pr[Exp cca-0 KEM,A(λ) = 1] On dt qu un schéma KEM est CCA-sûr, résstant aux attaques adaptatves à chffrés choss, s pour tout attaquant polynomal A, l avantage de A est une foncton néglgeable en le paramètre de sécurté λ. 1 D autres dstrbutons non trvales peuvent également être consdérées.

17 1.1- Schémas de chffrement 11 Défntons d un schéma DEM Un mécansme d encapsulaton de messages, DEM est une sorte d enveloppe dgtal qu permet de garantr le manten de la confdentalté et de l ntégrté d un message, en utlsant des méthodes de chffrement symétrque. Il exste pluseurs mplémentatons possbles. Nous défnssons juste l nterface abstrate et nous renvoyons au rapport de Shoup [117] pour une descrpton détallée des mplémentatons classques de ces schémas. Un schéma DEM est défn par la donnée d un enter l spécfant la longueur de la clé symétrque utlsée et de deux algorthmes polynomaux DEM déf = Encrypt DEM, Decrypt DEM chacun défn de la manère suvante : Algorthme de chffrement d un message Encrypt DEM : prend en entrée une clé symétrque de chffrement K (de talle l) et un message m ; cet algorthme renvoe un chffré C du message m sous la clé K ; Algorthme de génératon de déchffrement Decrypt DEM : prend en entrée une clé symétrque K (de talle l) et un chffré C ; cet algorthme renvoe un message m assocé au chffré C sous la clé K ; s ce message n est pas défn, cet algorthme renvoe un message d erreur. Notons de sécurté pour les schémas DEM Pour les schémas DEM, nous consdérons la noton de sécurté défne par l expérence Exp cca b DEM,A suvante : consdérons un adversare générant deux messages m 0, m 1. Le challenger chost une clé aléatore de talle l et un bt aléatore b. Il génère le chffré du message m b sous la clé K qu l retourne à A. Dans une seconde phase, ce derner pose des requêtes de déchffrement sauf pour le chffré challenge. Enfn, l renvoe sa réponse b pour le bt b. On défnt l avantage de A dans l expérence décrtes par : Adv nd-cca DEM,A = Pr[Exp cca-1 DEM,A(λ) = 1] Pr[Exp cca-0 DEM,A(λ) = 1] Syntaxe du chffrement hybrde À présent, nous pouvons décrre l approche systématque de constructon d un schéma de chffrement à clé publque en combnant les deux mécansmes KEM et DEM. Tout d abord, afn de rendre compatbles ces deux schémas, les clés renvoyées par l algorthme Encaps dovent avor la même talle que les clés de chffrement du schéma DEM. Nous supposons cette condton vérfée. Un schéma de chffrement hybrde H-PKE est un schéma de chffrement à clé publque, construt à partr d un mécansme d encapsulaton de clés KEM et d encapsulaton de messages DEM. Plus précsément : Algorthme Setup de génératon de paramètres de H-PKE : est défn par l algorthme Setup du schéma KEM. Algorthme KeyGen de génératon de clés de H-PKE : est défn par l algorthme KeyGen du schéma KEM. Algorthme de chffrement Encrypt : prend en entrée une clé publque pk, un message m. Dans un premer temps, cet algorthme fat appel à l algorthme Encaps qu retourne (K, C). Dans un second temps, l fat appel à l algorthme Encrypt DEM du schéma DEM qu chffre le message m sous la clé K et produt un chffré C. Il retourne le chffré c déf = C C. Algorthme de déchffrement Decrypt : prend un entrée la clé secrète sk du destnatare et un chffré c. Cet algorthme décompose le chffré c en C C, pus

18 12 Chaptre 1. Prmtves de chffrement désencapsule C sous la clé sk pour retrouver la clé K. Cette clé est alors utlsée pour déchffrer C avec l algorthme Decrypt DEM Schéma de sgnature Un schéma de sgnature est défn par la donnée de quatre algorthmes ; mas à présent les rôles de l émetteur et du destnatare sont duaux : le sgnatare a beson d un secret pour produre sa sgnature ; en revanche, tout le monde peut vérfer la valdté d une pare message/sgnature. Un schéma de sgnature dgtale est spécfé par la donnée de quatre algorthmes polynomaux Setup, KeyGen, S, V, chacun défn de la manère suvante : Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du système params ; KeyGen prend en entrée les paramètres publcs params et renvoe une pare clés publque/clé prvée, vpk/sk ; S prend en entrée la clé secrète du sgnatare sk, un message m à sgner et renvoe la sgnature σ du message m ; V est un algorthme détermnste qu prend en entrée un message m, une sgnature σ, la clé publque du sgnatare vpk et renvoe 0 ou 1, suvant que σ est la sgnature assocée au message m ou pas. Nous défnssons brèvement les proprétés requses pour un tel schéma : Consstance Pour toute sgnature valde, c.à.d. générée correctement par l algorthme S, l algorthme de vérfcaton renvoe toujours 1. Plus exactement, étant donné un paramètre de sécurté λ, m M vpk, sk (vpk, sk) KeyGen(λ), V(vpk, m, S(sk, m)) = 1 Types d attaques Nous pouvons dstnguer dfférents types d attaques détermnant les moyens de l adversare, nous décrvons c-dessous les plus couramment utlsés : Attaques sans messages : pour cette attaque, l attaquant connaît juste la clé publque du sgnatare qu l cherche à attaquer ; la seule possblté pour lu est de vérfer la valdté d une pare message/sgnature. Il s agt donc de l attaque la plus fable Attaques à messages connus : pour cette attaque, l attaquant connaît la clé publque et une lste de pares messages/sgnatures de talle bornée 2, chose et produte par le challenger/le sgnatare. Attaques à messages choss : pour cette attaque, l attaquant a accès à un oracle de sgnature. Il peut obtenr une lste de messages/sgnatures de son chox et éventuellement ndépendante de la clé publque, dans ce cas, on dt que l attaquant est générque ; s l attaque dépend de la clé publque, on parle d attaques orentées. De plus, le chox des requêtes peut dépendre des sgnatures précédemment obtenues, on parle alors d attaques adaptatves. 2 polynomale en le paramètre de sécurté.

19 1.1- Schémas de chffrement 13 Nveaux de sécurté La défnton de falsfcaton de sgnature peut avor pluseurs sens selon le nveau de sécurté auquel on fat référence. Il exste là encore une hérarche de nveaux permettant de caractérser le but de l attaquant : Le cassage total : fat référence à la capacté de l attaquant à retrouver la clé secrète de sgnature. Tout schéma de sgnature dot se prémunr de ces attaques. La falsfcaton unverselle : est la capacté de l attaquant à produre une sgnature pour tout message n ayant pas été l objet d une requête posée à l oracle. La falsfcaton exstentelle : est la capacté de l attaquant à produre une sgnature pour un message de son chox. Exemple : nous donnons un exemple smple de sgnature : la sgnature RSA : KeyGen(λ) : cet algorthme chost un enter e tel que pgcd(e, φ(n)) = 1, avec n = pq et p et q deux nombres premers de talle l/2 bts. La clé publque est (n, e) et la clé secrète sk est l enter d, tel que d = e 1 mod φ(n). S(sk, m) produt la sgnature S(sk, m) = m d mod n d un message m Z n, V(vpk, m, σ) renvoe le résultat du test m? = σ e mod n. Théorème 1 La sgnature RSA est unversellement falsfable sous des attaques à messages choss et exstentellement falsfable sous des attaques sans messages. Démonstraton: Supposons qu on demande à l attaquant de produre une sgnature d un message m. Ce derner chost a Z n et l demande la sgnature de a et m/a. Le produt des deux sgnatures obtenues est la sgnature du message m. De plus, l attaquant peut faclement produre un pare message/sgnature valde en renvoyant (σ, m), avec m = σ e mod n, pour σ Z n. Pluseurs schémas résstants aux falsfcatons ont été proposés. Nous ne cterons que quelques-uns d entre eux. En 1988, en adoptant une approche probablste, Goldwasser, Mcal et Yao ont proposé un schéma dont la sécurté repose sur la dffculté de factorser un module RSA et d nverser la foncton RSA (vor paragraphe pour une descrpton du problème RSA). Ce schéma est résstant aux falsfcatons exstentelles sous les attaques à messages connus. Cette constructon a été amélorée par Bellare, Goldwasser, Mcal et Rvest dans [75]. Naor et Yung [102] ont proposé une transformaton générque d un schéma de sgnature résstante aux falsfcatons exstentelles sous les attaques à messages choss. Cette constructon reste malgré tout neffcace ; elle repose sur l exstence de permutatons à sens unque. Nous ne rentrerons pas en détal dans la descrpton de ces constructons théorques, car nous ne les utlserons pas par la sute. Schéma Full Doman Hash Une autre approche, peut-être plus naturelle pour empêcher la falsfcaton, même s elle n est pas possble pour tous les schémas, est d utlser une foncton de hachage H à valeurs dans le domane spécfé par le schéma de sgnature. Cette technque, auss appelée hash then nvert permet de détrure la structure algébrque du schéma de sgnature. Pendant longtemps, les proprétés de la foncton de hachage requses pour garantr la sécurté n étaent pas toujours ben spécfées, ce qu aboutssat à des protocoles vulnérables. Elles se sont précsées grâce aux attaques, qu ont perms de détermner pas à pas les proprétés

20 14 Chaptre 1. Prmtves de chffrement requses par la foncton de hachage. Pour montrer la correcton et la sécurté des schémas dans le contexte de ce paradgme, on modélse souvent la foncton de hachage par un oracle aléatore, même s cette condton sur la foncton est très forte. Nous décrvons c-dessous le schéma Full Doman Hash dérvé de la sgnature RSA : S H( ) (sk, m) produt la sgnature S(sk, m) = y d mod n RSA du message m avec y = H(m). V(vpk, m, σ) calcule d abord y = H(m) et renvoe le résultat du test y? = σ e mod n. Dans l artcle [18], Bellare et Rogaway ont montré la sécurté du schéma précédent en proposant une réducton au problème RSA. En 2000, Coron [60] a proposé une améloraton du facteur de réducton. D autres approches apportent une réducton fne à ce même problème, le schéma probablste PSS (Probablstc Sgnature Scheme) de Bellare et Rogaway [18]. Ce schéma peut être vu comme sute logque pusqu l s nscrt dans la classe des schémas hash-then-nvert, excepté que le haché est randomsé avec un aléa fras pour chaque nouvelle sgnature. La cryptographe à base de couplages a contrbué à l élaboraton de schémas avec des preuves de sécurté dans le modèle standard. Cet outl se révèle être très commode pour la constructon de schémas de sgnatures : sa structure fournt un test de valdté publque mmédat pour le problème Dffe-Hellman décsonnel, que nous défnrons paragraphe Par exemple Boneh, Lynn, et Shacham ont construt dans [33] un schéma de sgnature pour lequel la sécurté est équvalente au problème Dffe-Hellman calculatore CDH (pour certanes courbes) (vor défnton du CDH paragraphe 1.2.2) dans le modèle de l oracle aléatore. En 2004, Boneh et Boyen [27] ont proposé un schéma de sgnature effcace à base de couplages dans le modèle standard. Nous revendrons sur les constructons basées sur les couplages dans le contexte du chffrement à la parte II. 1.2 Hypothèses calculatores À présent, nous défnssons les hypothèses calculatores utlsées pour la constructon de cryptosytèmes asymétrques. Pour certanes d entre elles, nous ferons quelques rappels mathématques qu permettront de sélectonner les nstances pour lesquelles les problèmes ntroduts sont dffcles Problèmes lés à la factorsaton Problème RSA Défnton 1 Nous défnssons l ensemble suvant : H λ déf = {n n = p q, où p et q premers de talle λ 2 bts}. Par la sute, nous parlerons de module RSA lorsque, étant donné un paramètre de sécurté λ, n H λ. Par la sute, nous supposerons la dffculté du problème de la factorsaton d un module n H λ. Pour n H λ, nous consdérons les deux fonctons suvantes : la foncton d Euler que l on note φ(n), où φ(n) = (p 1)(q 1), et la foncton de Carmchaël que l on note λ(n) qu à tout module n assoce le plus pett enter t tel que pour tout w Z n, w t = 1 mod n.

21 1.2- Hypothèses calculatores 15 On appelle générateur RSA, un algorthme probablste qu prend en entrée un paramètre de sécurté λ pus renvoe un enter n H λ et deux enters e, d tels que ed = 1 mod φ(n). Problème RSA : étant donnés un enter n H λ, un enter e et un élément y Z n, détermner l enter x Z n tel que y = x e mod n. Hypothèse : étant données des paramètres n, e renvoyés par un générateur RSA et un enter y Z n, résoudre le problème RSA est dffcle. Juste un pett mot sur la relaton entre le problème RSA et la factorsaton : l est évdent que s on sat résoudre la factorsaton, on sat résoudre le problème RSA. En revanche, l mplcaton nverse fat aujourd hu parte des controverses : même s en pratque on résout le problème RSA en factorsant le module, cette approche n est a pror pas la seule possble. Problème de la résduosté quadratque, RQ Le problème de la résduosté quadratque a été ntrodut en 1984 par Goldwasser et Mcal dans [73]. Avant de l ntrodure, fasons quelques petts rappels : Défnton 2 Pour tout y Z n, on note Q n (y) = 0 s l exste w Z n tel que y = w 2 mod n. On dt alors que y est un résdu quadratque modulo n. Snon, Q n (y) = 1, et dans ce cas, y n est pas un résdu quadratque modulo n. On consdère unquement les enters n H λ et y Z n tels que ( y ( n) = 1, où y n) est le déf symbole de Jacob de y modulo n. On note alors J n = {y Z n ( y n) = 1}. Problème de la résduosté quadratque : étant donnés un enter n H λ et un élément y J n, décder s Q n (y) = 0. Hypothèse : le problème de décder la résduosté quadratque est un problème dffcle. En revanche, s la factorsaton de n est connue, on peut calculer Q n (y). en temps O( n 3 ). Problème de la haute résduosté, RH Le problème de la haute résduosté a été ntrodute en 1999 par Paller [105] et a donné nassance à un schéma de chffrement que nous décrrons juste après. Défnton 3 Un élément z est un n ème résdu modulo n 2 s l exste un élément y Z n 2 tel que z = y n mod n 2. Problème de la haute résduosté : étant donnés un paramètre de sécurté λ, un enter n H λ et un élément y Z n, décder s y est un n 2 ème résdu modulo n 2. Hypothèse : s la factorsaton de n n est pas connue, décder la haute résduosté d un élément dans Z n est un problème dffcle Problèmes lés au logarthme dscret Sot KG LD un algorthme de génératon qu renvoe la descrpton d un groupe G d ordre un grand premer q et un générateur de ce groupe g ; on note cette descrpton g, q, G.

22 16 Chaptre 1. Prmtves de chffrement Problème du logarthme dscret, LD Problème du logarthme dscret, LD : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et un élément y G, détermner l enter relatf x < q tel que y = g x ; l enter x est appelé le logarthme dscret de y en base g. Hypothèse LD : étant donnés une descrpton g, q, G et un élément y aléatore dans G, détermner le logarthme dscret de y en base g est un problème dffcle. Problème Dffe-Hellman calculatore, CDH Problème Dffe-Hellman calculatore, CDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD, tros éléments u, v = u a, w = u b aléatores de G, calculer l élément h déf = u a b G. Hypothèse CDH : résoudre le problème Dffe-Hellman est un problème dffcle. On dt que h est le Dffe-Hellman de v et w en base u et on écrt h = CDH G,u (v, w). Lorsque le groupe et la base sont précsés sans ambguïté par le contexte, nous noterons smplement h = CDH(v, w). Nous défnssons également le langage des quadruplets 3 Dffe-Hellman de la manère suvante : déf L DHG = {(u, v, w, h) h = CDH G,u (v, w)}. La verson décsonnelle du problème précédent peut également être dffcle, nous la défnssons c-dessous. Problème Dffe-Hellman décsonnel, DDH Problème Dffe-Hellman décsonnel, DDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et quatre éléments u, v = u a, w = u b, h aléatores de G, décder s h est le Dffe-Hellman de v et w en base u, c.à.d. s (u, v, w, h) L DHG. Hypothèse DDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et quatre éléments u, v = u a, w = u b, h aléatores de G, décder le problème Dffe-Hellman est un problème dffcle. 1.3 Schémas de chffrement homomorphes Dans cette parte, nous nous ntéressons aux cryptosystèmes homomorphes, qu sont très souvent utlsés lorsqu l s agt d effectuer des opératons sur des données chffrées tout en préservant leur confdentalté. Sot Enc déf = Setup, KeyGen, Encrypt, Decrypt un schéma de chffrement. On suppose c que la foncton Setup est la foncton dentté. Soent et des los de groupe dans R et M respectvement, où R est un espace de probablté et M est l ensemble des messages. Défnton 4 On dt que Encrypt est une foncton de chffrement homomorphe s l exste un morphsme de groupes F pk qu, étant donnés deux chffrés des messages m 1 et m 2 dans M, renvoe le chffré de m 1 m 2. Plus formellement, la foncton F pk est défne de la manère suvante : F pk : C C C et défne par : F pk (Encrypt(m 1 ; r 1 ), Encrypt(m 2 ; r 2 )) = Encrypt(m 1 m 2 ; r 1 r 2 ). 3 lorsque le base est sans ambguïté, on parlera de trplets.

23 1.3- Schémas de chffrement homomorphes 17 Cryptosystème de Goldwasser-Mcal L algorthme KeyGen prend en entrée un paramètre de sécurté λ et renvoe n H λ et g Z n tel que Q n (g) = 1 et ( g n) = 1. On défnt pk = (n, g) et sk = (p, q). Pour smplfer, on présente la foncton de chffrement pour M = Z 2, défne de la manère suvante : Encrypt : Z 2 R Z n avec Encrypt(m; r) = g m r 2 mod n et pk = (n, g). La foncton Encrypt possède les proprétés suvantes : tout d abord pour m et m deux éléments de Z 2 et r, r R Z n, on a : Encrypt(m; r) Encrypt(m ; r ) = Encrypt(m m mod 2; r r mod n) mod n de plus, Encrypt(m; r) c = Encrypt(m c mod 2; r c mod n) mod n. L algorthme Decrypt prend en entrée la clé secrète sk = (p, q) et calcule Q n (c) : s c est un résdu quadratque alors m = 0 ; snon m vaut 1. Cryptosystème de Paller Ce cryptosystème a été ntrodut par Pascal Paller en 1999 dans [105]. Ce schéma de chffrement est sémantquement sûr contre les attaques à messages choss sous l hypothèse de la haute résduosté. Pour le déchffrement, nous défnssons l ensemble S n et la foncton L : S n déf = {u < n 2 u = 1 mod n} et pour u S n, L(u) déf = u 1 n mod n 2. L algorthme KeyGen prend en entrée un paramètre de sécurté λ et renvoe n H λ et g un élément non nul de Z n d ordre un multple non nul de n ; on prend g = 1 + n. On 2 défnt pk = (n, g) et sk = (p, q). Pour chffrer un message m Z n, on chost r R Z n et on calcule : Encrypt(m, r) = g m r n mod n 2 La foncton Encrypt est homomorphe pusque : pour m et m deux messages de Z n et r, r des éléments aléatores de Z n, on a : Encrypt(m; r) Encrypt(m ; r )) = Encrypt(m + m mod n; r r mod n) mod n 2 de plus : Encrypt(m, r) c = Encrypt(c m mod n; r c mod n) mod n 2 Défnton 5 Sot n H λ et g = 1 + n. Pour w Z n 2, on appelle la n ème classe de résduosté de w en base g, l unque m Z n pour lequel l exste r Z n tels que E g (m, r) = w. On note w g cette classe.

24 18 Chaptre 1. Prmtves de chffrement KeyGen(λ) : renvoe un module RSA n, retourner pk = (n, g déf = (1 + n)) et sk = (p, q) ; Encrypt(pk, m) : pour chffrer m Z n : chosr r R Z n ; calculer Encrypt(m, r) = g m r n mod n 2 ; Decrypt(sk, c) : vérfer que c < n 2 snon retourner ; calculer λ déf = λ(n) et C = L(c λ mod n 2 ) ; retourner m = C g λ mod n 2 mod n Fg. 1.1 Cryptosystème de Paller Pour déchffrer c, on cherche la classe c g de c en base 1 + n. Pour tout c Z n 2, on a L(c λ mod n 2 ) = λc g mod n ; La preuve de ce résultat est dans l artcle de Paller [105]. Pour déchffrer un chffré c, on calcule donc : On applque la foncton L et on obtent : c λ = (1 + n) mλ r nλ = (1 + n) mλ = 1 + mλn mod n 2. L(c λ mod n 2 ) = L(1 + mλn) = λm, où m = c g. On donne une descrpton du cryptosystème fgure 1.1. Cryptosystème de Damgard-Jürk La constructon que nous allons présenter a été ntrodute par Damgard-Jurk [63] peu après l ntroducton du cryptosystème précédent. Il s agt d une généralsaton du schéma de Paller par laquelle on peut chffrer des messages de longueur quelconque, sans modfer les paramètres publcs de départ, et avec la même clé prvée de déchffrement. De plus, la sécurté sémantque de ce cryptosystème repose sur la même hypothèse calculatore que celle posée c-dessus. On chost toujours les mêmes notatons et défntons pour le module n. En généralsant ce qu précède, on a : Z n s Z n Z n (la preuve de ce résultat peut s+1 être trouvée dans l artcle [63]). Le cas s = 1 correspond au cryptosystème de Paller. Sot s un enter fxé tel que s < p, q. On prend toujours g = 1 + n. On consdère la foncton de chffrement Encrypt : Z n s Z n Z n défne par : s+1 Encrypt(m, r) = g m r ns mod n s+1, avec m Z n s et r R Z n Cette foncton vérfe les proprétés suvantes : pour tout m, m Z n s et pour tout r, r R Z n, on a : Encrypt(m; r) Encrypt(m; r ) = Encrypt(m + m mod n s ; r r mod n), où est une opératon multplcatve dans Z n et + est une opératon addtve dans Z n s ;

25 1.3- Schémas de chffrement homomorphes 19 pour tout enter c φ(n 2 ), on a : Encrypt(m, r) c = Encrypt(m c mod n s ; r c mod n) mod n 2. Déchffrement : pour tout chffré c, on a alors c = (1 + n) m r ns mod n s+1. Sot d un multple de λ(n) non nul. On a : c d = (1 + n) m d (r ns ) d mod n s+1 = (1 + n) m d r ns d mod n s+1 = (1 + n) m d mod n s+1 Pour déchffrer m, l s agt donc de trouver le logarthme dscret de c en base 1 + n dans Z n s. On a vu que (1 + n) m = 1 + nm mod n 2. Nous donnons c-dessous les étapes de l algorthme de déchffrement : L((1 + n) mod n s+1 ) = ( + ( ) n ( ) n s 1 ) mod n s s Il s agt d extrare pas à pas les résdus modulo les pussances successves de n. Pour cela, on défnt : 1 = mod n 2 = mod n 2. j = mod n j On sat déjà extrare 1 grâce au déchffrement de Paller. À une étape donnée, on suppose avor j et l s agt de trouver j+1. On applque la foncton L et on obtent : j = j 1 + k n j 1, pour 0 k < n. L((1 + n) mod n j+1 ) = j + Pour j > t > 0, on a, ( ) j n ( ) j n t = t + 1 ( ) j n j 1 j ( ) j 1 n t t + 1 mod n j mod n j En réécrvant j à l ade de l équaton de la deuxème équaton précédente, on a : ( ) j n t = t + 1 ( j 1 + k n j 1 t + 1 ) n t mod n j Les termes k n j 1 multplé par une pussance non nul de n s annulent modulo n j. Ce qu permet d aboutr à l équaton suvante : ( ) ( ) L((1 + n) mod n j+1 ) = ( j 1 + k n j 1 j 1 j 1 + n + + n j 1 ) mod n j 2 j

26 20 Chaptre 1. Prmtves de chffrement Setup(λ) : génère params KG LD ; retourner params = g, q, G ; KeyGen(params) : retourne pk = (params, y = g x ) et sk = (x) où x R Z q ; Encrypt(pk, m) : pour chffrer un message m G ; calculer c = (c 0, c 1 ) = (g r, y r m) pour r R Z q ; Decrypt(sk, c) : s c G 2, décomposer c en (c 0, c 1 ) et retourner m = c 1 /c x 0 ; snon retourner un symbole d erreur Fg. 1.2 Cryptosystème ElGamal En combnant les équatons et (4), on obtent l équaton fnale qu permet de récupérer j : ( ) ( ) j = L((1 + n) mod n j+1 j 1 j 1 ) ( j 1 + n + + n j 1 ) mod n j 2 j S on connaît les j pour toute valeur de j, on peut calculer m tel que = m d mod n s en calculant d 1 mod n s, pusque m d d 1 = m mod n s. Cryptosystème ElGamal Le cryptosystème ElGamal a été ntrodut en 1985 dans l artcle [65]. On donne une descrpton du schéma de chffrement fgure 1.2. La foncton de chffrement est à sens unque sous l hypothèse Dffe-Hellman calculatore et la sécurté sémantque de ce schéma repose sur le problème décsonnel assocé. On remarque que ce schéma de chffrement est homomorphe, pusque : m, m M Encrypt(m; r) Encrypt(m ; r ) = Encrypt(m m; r + r mod q) Un pont mportant pour ce schéma est que le message dot être encodé par un élément du groupe. Il est donc nécessare de défnr une foncton bjectve d encodage encode à valeurs dans le groupe G nversble de manère effcace. Le plus souvent cet encodage est assez coûteux et possède deux autres nconvénents majeurs : l détrut les proprétés homomorphques du schéma et est ncompatble avec le chox de paramètres permettant l optmsaton des calculs. Une approche subsdare de ce problème d encodage consste à défnr une varante du schéma avec un foncton de hachage masquant le message, mas la preuve de sécurté nécesste la modélsaton de cette foncton par un oracle aléatore. 1.4 Applcaton aux réseaux de mélangeurs Le concept de réseaux de mélangeurs (ou mx-networks en anglas) a été nventé par Davd Chaum [50] dans les années 1980 pour l anonymat dans les systèmes de votes électronques. Sa structure est très commode pour construre des systèmes de votes, car l

27 1.4- Applcaton aux réseaux de mélangeurs 21 permet d obtenr drectement les proprétés de vérfablté et de consstance ndspensable à ces derners : la premère proprété sgnfe que chaque votant peut vérfer que son vote a été prs en compte ou déléguer cette capacté de vérfcaton, elle permet également de s assurer que tout le monde peut vérfer le résultat de l électon ; la seconde proprété sgnfe qu l n exste pas de sous-ensemble de partcpants capable d nterrompre le bon déroulement du processus. Dans cette parte, nous décrvons les deux types de protocoles mx-networks rencontrés : les réseaux de mélangeurs avec déchffrement et les réseaux de mélangeurs avec rechffrement. Nous donnons un exemple pour cette dernère catégore, dont nous reparlerons un peu plus lon, au chaptre Réseaux avec déchffrement La structure globale consste en une phase de chffrement et une phase de concaténaton de pluseurs mx de déchffrés partels. Plus exactement, on consdère k mélangeurs (ou mxnets), notés Mx pour = 1,, k, chacun possédant une pare de clés publque et secrète (PK, SK ). La phase ntale de chffrement consste à chffrer successvement chacun des l votes B j pour j = 1,, l avec les clés PK 1,, PK k. Chacun des mélangeurs Mx reçot l chffrés partels de la forme C j = E (E 1 E 1 (B j )). Le mélangeur Mx déchffre et applque une permutaton secrète aux éléments C j = E 1 (E 2 E 1 (B j ))) qu l envoe au mélangeur suvant Mx 1. Afn de garantr la proprété de vérfablté, chaque mélangeur produt une preuve qu l renvoe les permutés des l déchffrés. On remarque que quelques précautons dovent être prses : pour préserver l anonymat de la source, les chffrés dovent tous avor la même talle ; afn de garantr que le derner mélangeur renvoe la réponse correcte, sa clé secrète peut être partagée entre pluseurs serveurs ; afn d empêcher toute attaque qu exploterat la malléablté entre les bulletns chffrés, les votes chffrés ne sont publés qu après que tous les partcpants ont voté. Dans ce cas, on peut se contenter de la sécurté sémantque qu est garante s au mons un des mélangeurs permute ben les bulletns chffrés Réseaux avec rechffrement Le rôle d un réseau de mélangeurs avec rechffrement 4 est seulement de mélanger l entrée. Cependant, on ne peut pas se contenter de brouller l entrée car l ensemble des chffrés assocé à un message reste alors nchangé, et on peut dans ce cas retrouver la source assocée à un chffré. On ajoute donc une étape qu se charge de randomser une nouvelle fos les chffrés. Chacun des mélangeurs Mx 1,, Mx k applque une permutaton secrète et rechffre le résultat. On décrt c-dessous l un des schémas de rechffrement qu est couramment utlsé, le schéma ElGamal ; nous aborderons plus en détal la constructon de ces schémas un peu plus lon, à la parte II secton 5.2. Exemple : rechffrer avec ElGamal Nous avons décrt le cryptosystème ElGamal fgure 1.2. Supposons que nous sommes en possesson d un chffré c = (c 0, c 1 ) = (g r, y r m). Pour rechffrer c en c, on chost s R Z q, 4 Nous consdérons pour le moment que les termes rechffrement/rerandomsaton, rechffré/rerandomsé, rechffrer/rerandomser sont équvalents.

28 22 Chaptre 1. Prmtves de chffrement et on défnt c = (c 0, c 1 ) = (c 0 g s, c 1 y s ) qu est un élément aléatore dans l ensemble des chffrés assocés au message m. Réseaux avec rechffrement ElGamal : 1. Intalsaton : étant donnée la clé publque pk, cette premère phase, ndcée k consste à chffrer les bulletns de vote B j pour j = 1,, l, pus à envoyer les chffrés notés c j,k obtenus ; 2. la ème étape consste à applquer une permutaton sur l entrée et à rechffrer les bulletns chffrés c j,+1, pour j = 1,, l ; 3. l étape fnale consste à déchffrer les l chffrés c j,2 (la clé secrète est dstrbuée entre pluseurs serveurs). Vérfablté et consstance Chaque mélangeur dot fournr une preuve qu l exste ben une permutaton telle que la sorte c j, est le rechffré de l entrée permutée c π(j),. Pour le schéma de rechffrement ElGamal, s c = (c 0, c 1 ) = (g r, y r m) et c = (c 0, c 1 ) = (gs, y s m ) sont deux chffrés, alors, les deux condtons suvantes sont équvalentes : 1. c est le rechffré de c ; ( ) ( ) 2. g, y, c 0 c 0, c 1 c 1 = g, y, g s r, m m ys r est un t-uplet DDH. Nous rappelons que le langage L DHG est défn par L DHG déf = {(g, y, c, c ) log g c = log y c } ; on a alors : L DHG = {(g, y, c, c ) s Z q c = g s et c = y s )} Le protocole de Chaum et Pederson [53] permet à un prouveur P de montrer l appartenance d un quadruplet au langage L DHG sans lasser fur d nformaton sur l exposant s. Dans le prochan chaptre, nous précsons les proprétés que dot vérfer ce type de système de preuve. Pour l nstant, nous donnons seulement les nteractons entre le prouveur P et le vérfeur V : P s R Z q t déf = s + cr, r R Z q 1 Message 1 P, ((c 0, c 1 ) = (g s, y s ) Message 2 1 A V, c Message 3 1 A P, t A V c R Z q s g t = c 0 u c et y t = c 1 v c accepte snon rejette Fg. 1.3 Preuve d appartenance au langage L DHG nulle de connassance contre un vérfeur honnête). de Chaum-Pederson (à dvulgaton

29 Chaptre 2 Protocoles nteractfs pour l anonymat Dans ce chaptre, l nteracton est à l honneur ; nous présentons les protocoles nteractfs que nous utlserons par la sute : les preuves nteractves et le concept de transfert transparent. Les preuves nteractves sont un ngrédent majeur dans la constructon de nombreux protocoles cryptographques. Même s le concept a été ntrodut en 1989, leur pussance ne cesse d être apprécée. Le concept de transfert transparent, quant à lu, pose une problématque ancenne et plutôt smple mas sa résoluton suscte encore aujourd hu de nombreuses questons ouvertes. Commençons par rappeler le prncpe général de ces deux concepts, avant de montrer comment elles peuvent être utlsées pour le chffrement de groupe au chaptre 5 et l authentfcaton anonyme au chaptre 8. Sommare 2.1 Preuves nteractves Schéma de Mse en gage Preuves nteractves d appartenance à un langage Preuves de connassance Transfert nconscent, OT Prvate Informaton Retreval, PIR Preuves nteractves Schéma de Mse en gage Un protocole de Mse en gage permet à un émetteur et son nterlocuteur d échanger des messages en s engageant sur une valeur sans la révéler de telle sorte à ce que cet engagement ne sot plus modfable a posteror. La donnée d une trappe permet à un nterlocuteur de retrouver la valeur sur laquelle l émetteur s est engagée. Plus formellement : Défnton 6 Un schéma de Mse en gage est détermné par la donnée de tros algorthmes Z c, C, T, chacun défn de la manère suvante : Z c prend en entrée un paramètre de sécurté λ. Cet algorthme retourne des paramètres publcs cpk ; C prend en entrée un message et les paramètres cpk. Cet algorthme renvoe un engagement sur le message m, noté C et une nformaton supplémentare d ouverture, notée ρ ; 23

30 24 Chaptre 2. Protocoles nteractfs pour l anonymat T prend en entrée l nformaton ρ, un message m et l engagement C, T (ρ, m, C) renvoe 1 s C est ben un engagement sur m et 0 snon. Ces algorthmes vérfent les proprétés suvantes : 1. dssmulaton (ou hdng en anglas) : sans la donnée de l nformaton ρ, un vérfcateur, en possesson de C ne dot apprendre aucune nformaton sur le message. Plus généralement, les ensembles des engagements sur deux valeurs dfférentes sont ndstnguables. On parle de dssmulaton calculatore statstque ou parfate selon la pussance de calcul donnée à l attaquant et sa probablté de succès. 2. engagement (ou bndng en anglas) : pour toute pare (m, cpk) et tout engagement C tel que (C, ρ) C(m, cpk), l dot être dffcle de trouver un couple m, ρ tels que m m vérfant T (ρ, m, C) = T (ρ, m, C) = 1. On parle d engagement calculatore, statstque ou parfat selon la pussance de calcul donnée à l attaquant et sa probablté de succès. On peut voulor être capable d extrare la valeur secrète. Dans ce cas, l algorthme Z c renvoe une trappe supplémentare τ x, et on défnt un algorthme supplémentare, appelé extracteur et que l on note D c ; cet extracteur prend en entrée la trappe τ x une pare (C, ρ) et renvoe m s C est un engagement sur la valeur m avec pour nformaton auxlare ρ, autrement cet algorthme renvoe un symbole d erreur,. On parle alors d engagement extractable. De plus, Z c peut prendre en entrée une trappe τ eq. Nous défnssons dans ce cas un algorthme supplémentare, l équvocateur Q eq qu étant donnés τ eq, m, m avec m m et (C, ρ) C(cpk, m) retourne ρ tel que T (ρ, m, C) = T (ρ, m, C) = 1. On parle d engagement équvoque Preuves nteractves d appartenance à un langage Une preuve nteractve est un protocole à deux partes qu permet à un prouveur de convancre un vérfeur de la valdté d une asserton, par exemple {x} appartent au langage L. Les deux enttés sont modélsées pas des machnes de Turng probablstes (la foncton de transton dépend d un aléa) possédant un ruban aléatore d entrée et un ruban de communcaton. On dt deux machnes sont en nteracton s elles partagent le même ruban de communcaton, de telle sorte que chacune pusse lre le derner message écrt par l autre machne ; on suppose de plus que les deux machnes peuvent écrre des messages sur leur propre ruban. S X V et X P sont les données secrètes ntales de V et P respectvement et s Y est l entrée ntale commune, on note V(X V ), P(X V ) (Y ). On écrra V P(x) (x) accepte, en cas de succès et V P(x) (x) rejette en cas d échec. Défnton 7 Soent P un algorthme exécuté par une machne de Turng probablste nteractve et V un algorthme exécuté par une machne de Turng probablste polynomale sans entrées auxlares. On suppose que les deux machnes partagent un ruban d entrée et un ruban de communcaton. On dt que P, V consttue un système de preuve nteractve pour le langage L s les deux proprétés suvantes sont vérfées : 1. consstance (ou completness) : V accepte les entrées qu sont des éléments de L avec probablté écrasante : x L Prob[ V, P(x) (x) : V P(x) (x) accept] > 1 ν(λ)

31 2.1- Preuves nteractves sgnfcatvté (ou soundness) : tout prouveur (éventuellement malhonnête) avec une entrée qu n est pas dans le langage est accepté avec probablté néglgeable ; plus formellement : P x / L Prob[ V, P (x) (x) : V P (x)(x) accept] < ν(λ), c les calculs de P dépendent de l hstorque des messages (ou transcrpts en anglas) échangés avec le vérfeur. Les probabltés sont sur les aléas du vérfeur V et des prouveurs P, P. On suppose que la pussance de calcul du prouveur est llmtée, contrarement à celle du vérfeur qu, elle, est bornée. Cela dt, pour certanes applcatons cryptographques courantes cette hypothèse n est pas réalste, par exemple lorsque le prouveur veut convancre le vérfeur qu l connaît une ou la soluton d un problème dffcle. On défnt dans ce cas un type partculer de protocoles, appelés preuves nteractves de connassance Preuves de connassance Le prncpe des preuves de connassance est un peu dfférent : la valdté d une asserton se tradut par l exhbton d un témon x. Le prouveur est assmlé à une machne de Turng possédant une entrée auxlare secrète, un témon qu lu permet de répondre aux questons du vérfeur. Et le succès d un tel protocole se tradut par la valdté d une asserton et P connaît un témon de x que ce derner a donné comme entrée commune. Cependant, pour les protocoles de connassance le prouveur ne peut plus calculer ce témon car l est supposé polynomalement borné. Nous supposons alors que les machnes nteractves P et V dsposent d un ruban d entrée auxlare commun. L acceptaton du protocole sur cette entrée tradut que le prouveur (polynomalement borné) connaît un témon assocé à cette valeur. Consdérons une relaton R décdable en temps polynomal. Deux éléments (x, w) sont en relaton s (x, w) R et on dt que w est un témon pour x. Défnton 8 Une preuve de connassance assocée à une relaton R est une pare de machnes de Turng probablstes P, V qu satsfat les deux proprétés suvantes : 1. consstance (ou completness) : un prouveur honnête P est accepté avec grande probablté : (x, w) R Prob[ V, P(w) (x) : V P(x,w) (x) accepte] > 1 ν(λ) 2. sgnfcatvté (ou soundness) : s V accepte un prouveur malhonnête P, l exste une extracteur E P capable de contrôler le ruban de P, et qu à la sute de son nteracton avec P parvent à extrare le secret. Plus formellement, P E P x w Prob[ P ( ), V (x) : V P ( )(x) accepte] = Prob[(x, E P (x)) R] < ν(λ) Les probabltés sont sur les aléas du vérfeur V, des prouveurs P, P et de l extracteur effectf E P. La proprété de zero-knowledge est une des proprétés les plus ntéressantes car elle résout une queston paradoxale et prmordale en cryptographe : comment prouver la

32 26 Chaptre 2. Protocoles nteractfs pour l anonymat connassance d un secret sans le révéler, et plus précsément sans transmettre au vérfeur la capacté de prouver l asserton en queston? Ces protocoles sont appelés preuve de connassance à dvulgaton nulle de connassance et ont été ntrodutes en 1985 par Goldwasser et al. dans leur artcle fondateur [74]. Afn de défnr cette noton, consdérons l exstence d un smulateur utlsant le vérfeur V comme boîte nore pour smuler l exécuton du protocole nteractf P, V. On dt qu un protocole nteractf P, V est à dvulgaton nulle de connassance ou zero-knowledge, s pour tout vérfeur l exste un smulateur S capable de reprodure une smulaton ndstnguable de celle assocée aux communcatons réelles entre le prouveur et le vérfeur. On parlera selon le contexte d ndstnguablté calculatore, statstque ou parfate. 2.2 Transfert nconscent, OT Consdérons la stuaton suvante : un serveur possède une lste de n chaînes de caractères x 1,, x n et le clent veut récupérer l élément x. Le but est d établr un protocole éventuellement nteractf entre le serveur et le clent 1 de manère à ne révéler au serveur aucune nformaton sur l ndce. Une soluton smple serat d envoyer toute la base de données mas cette soluton ne satsfat n le serveur qu ne veut pas transmettre les entrées x j, pour j, n les contrantes d effcacté : plus exactement, on cherche à obtenr un protocole avec une complexté de communcaton strctement nféreure à n, la talle de la base de données. Ce problème a été ntrodut par Rabn en 1981 [110] sous une forme légèrement dfférente, où le serveur envoe l entrée demandée avec probablté 1 2, sans savor s le clent a ben reçu la réponse à sa requête. On fat souvent référence à ce protocole en l appelant protocole de Rabn. On utlse souvent une varante de ce protocole, que l on note ( 1 2) -OT. Cette autre varante a pluseurs applcatons ntéressantes : mult-parts ou de fonctons d évaluaton prouvées sûres (secure evaluaton functons). Nous pouvons défnr la prmtve ( 1 2) -OT de la manère suvante : l émetteur possède deux bts b0, b 1 2, et le destnatare un bt t. Le but est de permettre à ce derner de recevor b t sans compromettre la confdentalté du bt t. En 1987, Claude Crépeau [62] a montré l équvalence entre le protocole de Rabn et la prmtve ( 1 2) -OT. D autres varantes de protocoles de transfert transparent ont été défn : dans un protocole ( 1 n) -OT (resp. ( k n) -OT ), le destnatare désre recevor une entrée (resp. k entrées) de la base de données contenant n entrées. Certans résultats mportants mértent d être ctés : Goldrech montre dans le volume 2 de ( son lvre que l exstence de permutatons à trappe mplque l exstence de protocoles 1 ) 2 -OT. Il s agt dans un premer temps, de construre un protocole dans le modèle honnête mas cureux, c.à.d. qu on ne consdère que les adversares passfs qu ne peuvent pas modfer les données secrètes, pus en utlsant des preuves à dvulgaton nulle de connassance, on rend ce protocole résstant aux attaques actves. Naor et Pnkas [101] ont ntrodut une verson adaptatve du protocole ( k n) -OT, où le serveur s engage sur une base de données contenant les messages durant une phase d ntalsaton, pus à l ssue d au plus k nteractons entre le serveur et l utlsateur, ce derner reçot au plus k messages de son chox. Il est mportant de vor qu à la ème nteracton, le chox de l utlsateur peut dépendre des messages reçus aux 1 nteractons précédentes. Les contrantes d effcacté sont smlares aux précédentes : pour la phase 1 ou un émetteur et un récepteur de manère plus générale. 2 on peut étendre ce protocole à des messages de l bts en fasant l nvocatons en parallèle.

33 2.3- Prvate Informaton Retreval, PIR 27 d ntalsaton, la complexté de communcaton dot être lnéare en n et λ, le paramètre de sécurté et pour chacune des phases, elle dot être au mons logarthmque en n (afn de permettre l encodage de l ndex chos). Naor et Pnkas ntrodusent également un modèle, qu consdère des attaques actves du clent et du serveur de manère ndépendante : la sécurté du clent est assurée s le serveur ne parvent pas à dstnguer les smulatons pour deux chox dfférents d ndex ; les garantes pour le serveur sont plus fortes : tout utlsateur malhonnête peut être assmlé à un utlsateur engagé dans une exécuton d un protocole déal, c.à.d. un protocole mplémenté par une autorté de confance. Pour cela, on dot pouvor smuler le destnatare de manère effcace, et de fat Naor et Pnkas ont appelé ce modèle half smulaton model. Les auteurs ont sgnalé une vulnérablté dans ce modèle : le serveur peut éventuellement changer sa réponse au cours de l exécuton en foncton de l ndex chos par l utlsateur. Ces attaques, appelées selectve falure attacks ne sont pas prses en compte par le half smulaton model. En 2007, Camensch et al. [43] proposent une soluton en étendant le modèle de Naor et Pnkas. 2.3 Prvate Informaton Retreval, PIR La problématque d nterrogaton confdentelle de bases de données ou Prvate Informaton Retreval (PIR) est la même que la précédente, celle défne pour le transfert nconscent excepté que les garantes de sécurté (confdentalté de la base de données) ne sont pas nécessares pour le serveur. S cette condton est explctement requse, on parle alors de PIR symétrque (ou Symmetrc PIR en anglas), une prmtve équvalente à ( 1 n) -OT d un pont de vue conceptuel. On dstngue deux catégores de protocoles de PIR selon les moyens donnés à l attaquant, ceux pour lesquels l attaquant possède une pussance de calcul llmtée pour retrouver l ndex demandé, on les appelle Informaton Theoretc PIR ; et ceux pour lesquels l attaquant est lmté à une pussance de calcul polynomale ; ces derners protocoles sont appelés Computatonal PIR. Kushlevtz et al. [58] ont montré qu l n état pas possble d obtenr une complexté sous-lnéare en la talle de la base de données, pour les Informaton Theoretc PIR. Ils ont alors proposé un modèle avec réplcaton des bases de données, dont la généralsaton peut se tradure ans : on consdère 2 d copes de la base de données. Supposons que chacune d entre elles est représentée comme un hypercube de dmenson d, contenant ( d n) d éléments. Il exste alors un protocole de PIR avec une complexté de communcaton d n, où d 1. Les protocoles Computatonal PIR condusent à une complexté de communcaton plus fable mas des calculs plus coûteux (au mons polynômaux en n). En contreparte, la sécurté du protocole est assurée sous la condton de la valdté d une hypothèse calculatore. Un des avantages majeurs est qu une seule base de données sufft à obtenr une complexté de communcaton sous-lnéare [91]. Il exste également une constructon générque qu à partr d un cryptosystème homomorphe sémantquement sûr permet d obtenr un protocole PIR garantssant l ndstnguablté des ndex des entrées de la base de données. D autres conjectures permettent d assurer l exstence de protocoles PIR. Nous donnons fgures 2.1, 2.2 un aperçu des résultats généraux de le complexté de communcaton pour ces deux types de protocoles : sut. 3 Nous donnons une descrpton de ce schéma BGN (Boneh, Goh et Nssm) fgure 3.3 au chaptre qu

34 28 Chaptre 2. Protocoles nteractfs pour l anonymat technques utlsées réf. complexté de communcat. racne k ème, k 4 [58] k n 1 log k nterpolaton poly [58] (k 2 log 2 k) n 1 k récurrence [6] 2 k2 n 1 2k 1 alg. lnéare [9], [84] k 3 n 1 2k 1 Fg. 2.1 Résultats généraux pour les Informaton Theoretc PIR, où n est la longueur de la base de données, k le nombre de bases de données, et où λ est un paramètre de sécurté. hypothèse calc. réf. complexté ce comuncat. résduosté quadratque [91] O(n ɛ ), ɛ > 0 perm. à trappe [92] n O(n) haute résduosté [49] O(n ɛ log 2 n), ɛ > 0 BGN 3 [32] O(λ 3 n) Fg. 2.2 Résultats généraux pour les Computatonal PIR pour une base de données contenant n est éléments, où λ est un paramètre de sécurté.

35 Chaptre 3 Dans les groupes blnéares Dans cette thèse, nous décrvons pluseurs constructons et proposons un schéma à base de couplages (vor parte II paragraphe 4.3.3). Dans cette parte, nous nous ntéressons aux couplages en tant qu objet mathématque, pus nous précserons leur utlsaton en cryptographe. Ces applcatons blnéares sont propces à une utlsaton en cryptographe car elles transposent le problème du logarthme dscret sur une courbe dans un corps fn. De fat, l ntérêt qu leur est porté ne cesse d évoluer et de se renforcer au fl des années. Au départ, ces applcatons ont été un outl pour compromettre la sécurté de systèmes basée sur le logarthme dscret pour certanes courbes [96], [68]. Aujourd hu, elles susctent un grand ntérêt car elles permettent de concevor de nouvelles prmtves avec de multples fonctonnaltés. Auss, nous ne pouvons manquer d ntrodure les outls mathématques permettant de défnr ces applcatons blnéares. Nous présenterons seulement les éléments clés permettant d aboutr à leur constructon. Cette parte s appue essentellement sur le lvre de Neal Kobltz [89]. D autres ouvrages plus complets peuvent être consultés, comme celu de Menezes [95], de Blake, Serouss et Smart [24], ou de Enge [66]. Sommare 3.1 Courbes ellptques sur les corps fns Défntons Lo de groupe Couplages sur une courbe ellptque Utlser les couplages Hypothèses calculatores dans les groupes blnéares Les problèmes non paramétrés ou statques Le problème décsonnel du sous-groupe Le problème Lnéare décsonnel, DLIN Le problème du Dffe-Hellman Blnéare Calculatore, CBDH.. 37 Le problème du Dffe-Hellman Blnéare décsonnel, DBDH Les problèmes paramétrés ou non statques Le problème l-bdhi Le problème l-abdhe Le problème l-sp-dbdh Les problèmes co-cdh et Cco-CDH Chffrement homomorphes dans les groupes blnéares Schéma de chffrement lnéare Chffrement BGN

36 30 Chaptre 3. Dans les groupes blnéares 3.5 Chffrement à base d dentté Schéma de chffrement à base d dentté, IBE Schémas de chffrement hybrde à base d dentté, IB-KEM Quelques constructons Un peu d hstore Classfcaton de Boyen [35] Les schémas Full Doman Hash Les schémas commutatve blndng Les schémas nverson-based Courbes ellptques sur les corps fns Défntons Sot K un corps fn. Consdérons l équaton de Weerstrass sous sa forme affne : E : Y 2 + a 1 XY + a 3 Y (X 3 + a 2 X a 4 X + a 6 ) = 0 où les a K. Une courbe ellptque sur K est une cubque non sngulère (de détermnant non nul) défne par l ensemble des solutons (x, y) d une équaton de Weerstrass, auxquelles on ajoute le pont à l nfn O. Plus formellement, on a : E(K) déf = {(x, y) K 2 y 2 + a 1 xy + a 3 y (X 3 + a 2 x a 4 x + a 6 ) = 0} {O}. S la caractérstque de K est dfférente de 2 ou de 3, la courbe peut alors être défne par l équaton : E : Y 2 = X 3 + ax + b, pour a, b K, et le dscrmnant est alors égal à déf = 16(4a b 2 ). Nous notons K[E] = K[X, Y ]/(E) l anneau des coordonnées des fonctons polynomales et K(E) = K(X)[Y ]/(E) = {a(x) + b(x)y : a, b K(X)} le corps des fonctons ratonnelles de E dans K { }. La valeur est attente lorsque la foncton a un pôle en un pont. Par la sute, nous prendrons K = F q, où q est une pussance d un nombre premer p, c.à.d. q = p k Lo de groupe Les courbes ellptques bénéfcent d une structure de groupe abélen possédant une nterprétaton géométrque : la somme de deux ponts est obtenue en applquant la méthode dte de corde et tangente. Cette structure est construte à partr de l dée générale suvante : la somme des ponts d ntersecton d une drote et de la courbe est le pont à l nfn. Plus exactement, pour tout pont P et Q de la courbe, avec P ayant pour coordonnées affnes (x, y), on a : 1. O + P = P et P + O = P ; 2. O = O ; 3. P a pour coordonnées (x, y) ; 4. s P = Q, alors P + Q = O ;

37 3.1- Courbes ellptques sur les corps fns s P et Q sont deux ponts dstncts et dfférents du pont à l nfn et s Q P, alors le trosème pont de la courbe R (où la multplcté est prse en compte) de la drote (P Q) s P Q, ou de la tangente à la courbe en P s P = Q est tel que : P + Q = R ; 6. la lo + est assocatve dans E. Ce résultat non trval provent essentellement du théorème de Remann-Roch [81], [118]. Afn d utlser les courbes pour construre des cryptosystèmes, l est prmordal de connaître précsément le nombre de ponts de la courbe. En effet, sa connassance permet, en outre de se prémunr des attaques contre le problème du logarthme dscret. Consdérons l applcaton de Frobenus défne sur E( F q ) : π : (x, y) (x q, y q ). Remarquons que π est un homomorphsme de groupe qu lasse nvarants les ponts à coordonnées dans F q, autrement dt on a : Ker(π d) = E(F q ) et donc E(F q ) = Ker(π d). On note t la trace de cette applcaton. Consdérons l endomorphsme de E( F q ) défn par [m] : P mp. Le noyau de [m] est défn par E[m] déf = {P (x, y) E( F q ) : mp = 0}. On dt que E[m] est l ensemble des ponts de m-torsons. Il a été montré que s la caractérstque de F q ne dvse pas m alors E[m] = m 2. Un corollare de ce résultat est le suvant : Théorème 2 Sot E une courbe ellptque défne sur F q. Alors E(F q ) Z/n 1 Z Z/n 2 Z, avec n 1 n 2 ou E(F q ) Z/n 1 Z. Le nombre de ponts de la courbe est donné par le théorème suvant : Théorème 3 (Théorème de Hasse) Sot E une courbe ellptque défne sur F q. On a : E(F q ) = q + 1 t, avec t 2 q Sa connassance est très utle et possède de nombreuses applcatons. En théore des codes correcteurs d erreur par exemple, elle permet d apprécer la qualté du code que l on peut créer à partr d une courbe. Depus l nventon des premers cryptosystèmes basés sur les courbes ellptques, pluseurs algorthmes de calcul du nombre de ponts d une courbe ont été proposés. Nous renvoyons à la thèse de Gaudry [70] pour les algorthmes de comptage de ponts. Afn d explcter la constructon de couplages sur une courbe, nous avons beson de quelques outls mathématques. Commençons par la noton de dvseur : un dvseur de E(F q ) est une somme formelle D fne de ponts de la courbe E. On écrt : D déf = P E(F q) n P (P ), où les n P sont des éléments de Z presque tous nuls. On défnt le degré de D, deg D et le support de D, supp(d) respectvement par : deg D = P E(F q) n P et supp(d) = {P n P 0}. Nous défnssons le groupe des dvseurs sur E que l on note Dv. Il s agt d un groupe abélen lbre engendré par les ponts de la courbe. Par la sute, nous consdérons le sousgroupe des dvseurs de degré 0, que l on note Dv 0.

38 32 Chaptre 3. Dans les groupes blnéares Dvseurs d une foncton : Étant donnée une foncton f de E(F q) (vue comme une foncton ratonnelle de F q (x, y)), on défnt le dvseur de f, dv(f) par : dv(f) = ord P (f)(p ), P E(F q) où ord P est l ordre du zéro adms au pont P par f. Sot f une foncton de E(F q ), nous pouvons construre un dvseur de degré 0 (en consdérant la dfférence des sommes formelles des zéros et des pôles de f). Exemple : consdérons par exemple la courbe E : y 2 = x et f(x, y) = ax + by + c. Supposons que la drote d équaton f(x, y) = 0 passe par deux ponts dstncts P et Q tels que P Q et P, Q E(F q ). Alors cette drote ntersecte la courbe E en un trosème pont Q E(F q ). La foncton f(x, y) admet tros zéros P, Q et R et un pôle d ordre 3 à l nfn. On obtent alors : dv(f) = P + Q + R 3O. Soent E une courbe défne sur F q et B un dvseur sur E. S l exste une foncton f F q (E) telle que B = dv(f) 1, on dt que B est un dvseur prncpal ; nous le notons (f). Nous avons la caractérsaton suvante : un dvseur B = P E(F n q) P (P ) est prncpal s et seulement s deg(b) = 0 et n P P = O P E(F q) On dt que B et A sont deux dvseurs équvalents s la dfférence B A est un dvseur prncpal. Remarque 2 Remarquons que tout dvseur B de Dv 0, tel que B = P E(F q) n P (P ) et P E(F q) n P = 0 est équvalent à un dvseur de la forme B = (Q) (O), pour un certan pont de la courbe Q E. Dans ce cas, on a : Q = P E(F q) n P P. Pour toute foncton f K(E) et P E n appartenant pas au support de f, nous pouvons évaluer f en P (en substtuant les ndétermnés par les coordonnées de P pour toute foncton ratonnelle de f). Nous pouvons également évaluer f en un dvseur D de support dsjont à f, en défnssant : f(d) = f(p ) n P. P supp(d) Couplages sur une courbe ellptque Nous pouvons désormas défnr le couplage de Wel : l s agt d une foncton blnéare du groupe de torson E[n] vers le groupe multplcatf des racnes n ème de l unté dans F q. Étant donnés deux ponts P et Q de E[n], tels que pgcd(p, n) = 1, où p est la caractérstque de F q, l s agt de détermner deux fonctons ratonnelles f P et f Q telles que (f P ) = n(p ) n(o) et f Q = n(q) n(o) pus d évaluer la foncton e n défne par e n (P, Q) = f P (Q) f Q (P ) Consdérons B P et B Q des dvseurs équvalents aux dvseur (P ) (O) et (Q) (O) respectvement. On sat que nb P et nb Q sont des dvseurs prncpaux (pusque n(p ) 1 cela sgnfe que B est un dvseur d une foncton de E(F q).

39 3.1- Courbes ellptques sur les corps fns 33 n(o) et n(p ) n(o) sont des dvseurs prncpaux), l exste donc une foncton f P (resp. f Q ) telle que (f P ) = nb P (resp. (f Q ) = nb Q ). Le couplage de Wel des ponts P et Q est alors défn par : e n : E[n] E[n] µ n (P, Q) e n (P, Q) = f P (B Q ) f Q (B P ) Notons que ce quotent est défn à condton que le dénomnateur ne s annule pas. Afn d alléger les notatons, nous noterons la foncton blnéare défne c-dessus par e au leu de e n. On peut montrer que cette foncton est ben défne, c.à.d. que la valeur de e(p, Q) ne dépend pas du chox des dvseurs B P et B Q modulo la classe d équvalence. En effet, soent ˆB P et ˆB Q deux dvseurs équvalents à B P et B Q respectvement et sot ˆf P une foncton telle que ( ˆf P ) = n ˆB P. Alors l exste une foncton g telle que ˆB P = B P + (g) et ˆf P = f P g n. On a alors : e(p, Q) = ˆf P (A Q ) f Q ( ˆB P ) = f P (B Q ) g(a Q ) n f Q (B P ) f Q (g) (3.1) = f P (B Q ) f Q (B P ) g(na Q) f Q ((g)) = f P (B Q ) f Q (B P ) g((f Q)) (3.2) f Q ((g)) = f P (B Q ) par récprocté, on a f((g)) = g((f)). (3.3) f Q (B P ) Pour tous ponts P et Q de E[n], on a les proprétés suvantes (vor [118] pour une démonstraton de ces proprétés) : 1. blnéarté : e(p 1 + P 2, Q) = e(p 1, Q) e(p 2, Q) et e(q, P 1 + P 2 ) = e(q, P 1 ) e(q, P 2 ) ; 2. dentté : P E[n], on a : e(p, P ) = 1 ; 3. racne n ème : P, Q E[n], on a : e(p, Q) n = 1 ; 4. le couplage est alterné : P, Q E[n], on a : e(p, Q) = e(q, P ) 1 ; 5. le couplage est non dégénéré : s pour P E[n], e(p, Q) = 1 pour tout Q E[n], alors P = O. En cryptographe, nous nous ntéressons à un type partculer de fonctons blnéares, les fonctons blnéares admssbles. Plus exactement, une foncton blnéare e de G 1 G 2 dans G T, où G 1, G 2 et G T sont tros groupes d ordre premer p, est dte admssble s elle vérfe les proprétés suvantes : 1. blnéarté : pour tout P 1 G 1, P 2 G 2 et pour tout enter a, b Z, on a : e(p1 a, P 2 b) = e(p 1, P 2 ) a b ; 2. non-dégénérescence : pour tout générateur P 1 et P 2 de G 1 et G 2 respectvement, on a : e(p 1, P 2 ) 1 ; 3. évaluable effcacement : pour tout P 1 G 1, P 2 G 2, on peut calculer e(p 1, P 2 ) en temps polynomal. Le couplage de Wel, ntrodut c-dessus est un type partculer de fonctons blnéares, qu n est pas admssble. En effet, la proprété 2 fat de ce couplage une applcaton dégénérée. Pour certanes courbes, l est possble de modfer ce couplage pour le rendre admssble, c est la cas des courbes supersngulères (courbes pour lesquelles t p, où t est la trace du Frobenus et p la caractérstque du corps sur lequel est défne la courbe). Le degré MOV (relatvement à un certan enter), que nous défnssons c-dessous, permet d dentfer ces courbes.

40 34 Chaptre 3. Dans les groupes blnéares Défnton 9 On appelle degré MOV d une courbe ellptque E de F q relatvement à un enter r le plus enter k tel que E[r] = E(F q k)[r]. Consdérons une courbe supersngulère E de degré MOV k relatvement à un enter m, où m est un enter premer qu dvse E(F q ). Menezes, Okamoto et Vanstone ont montré que s m p et m q 1 alors le degré de MOV k relatvement à m est nféreur ou égal à 6. Supposons qu l exste un automorphsme ψ de E(F k q), de telle sorte que s P est un générateur de E(F q )[m], P et ψ(p ) sont auss des générateurs de E[m]. On modfe le couplage de Wel, en défnssant la foncton suvante : ê : E[m] E[m] F q k (S, T ) ê(s, T ) = e(s, ψ(t )) Par la sute, nous prendrons son d utlser des fonctons blnéares possédant certanes proprétés. Outre les consdératons d effcacté (la foncton ê dot être calculable en temps polynomal en le paramètre de sécurté), la foncton dot être non dégénérée. Pour obtenr de telles fonctons, nous consdérons les ponts suvants : 1. on se donne deux groupes G 1 et G 2, où G 1 est un sous-groupe de ponts de E(F q ) et G 2 est un sous-groupe de F q k, avec k le degré de MOV de la courbe. En général, on prend G 1 contenant envron éléments et q k d envron 3072 bts ; 2. étant donnés P et Q dans G 1, on dot pouvor calculer ê(p, Q) en temps polynomal. Pour le deuxème pont, Mller [97] a proposé un algorthme polynomal pour calculer les couplages de Wel et Tate en temps polynomal. Nous renvoyons à l artcle de Mller [98] qu donne les étapes de cet algorthme. La complexté de cet algorthme est proportonnelle à log n τ q,k, où τ q,k est la complexté de la multplcaton dans le corps F q k et q, k sont respectvement la talle du corps de base et le degré de MOV. Nous rappelons comment générer une foncton blnéare assocée à des groupes d un ordre connu n, où n est un enter sans facteurs carré et non dvsble par 3. Cette constructon a été proposé par Boneh et Frankln [31] : 1. trouver le plus pett l tel que p = ln 1 est premer et p = 2 mod 3 ; 2. on consdère le groupe des ponts de la courbe super-sngulère d équaton E : y 2 = x défn sur F p. Le groupe formé des ponts de la courbe possède un sous-groupe d ordre n, qu on note G ; 3. sot G T le sous-groupe de F p 2 d ordre n. Afn d obtenr une foncton blnéare e : G G G T, on applque le couplage de Wel (verson modfée) à la courbe. Un autre couplage, le couplage de Tate, a également été proposé. Il s évalue de manère plus rapde sous certanes condtons. Deux artcles plus récents, un premer de Kobltz et Menezes [90] et un second de Granger et al. [109] compare ces deux couplages et aboutssent à des conclusons dfférentes. Des travaux récents [10] tentent de clarfer les ambguïtés relatves aux performances de ces deux couplages. 3.2 Utlser les couplages Très souvent, en cryptographe, on utlse les couplages tels qu une boîte nore, mas la concepton de cryptosystèmes à base de couplages ne peut être faîte ndépendamment de l aspect mathématque et algorthmque. Plus précsément, consdérons une foncton blnéare admssble e : G 1 G 2 G T

41 3.2- Utlser les couplages 35 Type Hacher dans G 2 Pette représ. Homomorp. GénéraT. Poly 1 (pette car.) Ok No Ok No 1 (grande car.) Ok No Ok Ok 2 No Ok Ok Ok 3 Ok Ok No Ok Fg. 3.1 Proprétés assocées aux dfférents types de couplage, où Ok (resp. No) sgnfe que la condton fgurant en haut du tableau est vérfée (resp. n est pas vérfée) pour le type de courbe ndqué à gauche du tableau. De manère générale, nous fasons certanes (et parfos toutes) des hypothèses suvantes : on peut hacher des éléments dans G 2 ; les éléments de groupe ont une pette représentaton ; l exste un homomorphsme de groupe de G 2 vers G 1 calculable en temps polynomal ; on peut générer des paramètres (G 1, G 2, G T, e) en temps polynomal par rapport à λ, où λ est le paramètre de sécurté ; on dspose de groupes de talle suffsante pour que le problème du logarthme dscret sot dffcle, c.à.d. que le nombre d opératons moyennes pour le résoudre dot au mons être 2 λ (nombre d exponentatons). Mas en pratque, ce n est pas s smple car ces hypothèses ne sont en fat jamas toutes smultanément vérfées. Ce pont est argumenté dans [69] 2. Plus précsément, consdérons G 1 un sous-groupe de F q, G 2 un sous-groupe de ponts de la courbe E(F q k) et G T un sousgroupe de F q k (on suppose que ces groupes sont tous de même ordre l). Les paramètres clés auxquels nous nous ntéressons sont la talle du corps de base q, le degré de l extenson k et l ordre des groupes l. Nous consdérons fgure 3.1 les hypothèses énumérées précédemment pour les tros chox de groupe fgurant c-dessous : 1. G 1 = G 2 ; 2. G 1 G 2, et l exste un homomorphsme de G 2 vers G 1 calculable en temps polynomal ; 3. G 1 G 2, et l n exste pas d homomorphsme calculable de manère effcace entre G 1 et G 2. Comme on peut le constater, l exstence d un algorthme polynomal pour la génératon des paramètres n est pas automatque. En pratque, on peut s arranger pour chosr des paramètres offrant une flexblté suffsante et un nveau de sécurté appropré. Mas malheureusement, dans ce cas, les schémas obtenus comme nous le verrons, sont rarement effcaces. Par conséquent, nous devons la plupart du temps fare un comproms entre les contrantes d mplémentatons et la flexblté du schéma mposant alors un type partculer de courbes. Par exemple, selon les données du Natonal Insttute of Standards and Technology, NIST recommande au mons 128 bts de sécurté ; dans ce cas, on dot consdérer une talle de groupe de bts. Ces talles dctent donc les performances d un schémas. Une estmaton de cet mpact est donnée en [15], où les auteurs dsent mons coûteux de fare quatre exponentatons dans un groupe de talle 160 bts plutôt qu une exponentaton dans un groupe de talle Cet artcle a été rédgé dans le cadre du projet européen ECRYPT.

42 36 Chaptre 3. Dans les groupes blnéares 3.3 Hypothèses calculatores dans les groupes blnéares Désormas, par commodté, nous passons en notaton multplcatve pour les défntons des hypothèses calculatores et la descrpton des schémas à base de couplages. Pour les dfférentes hypothèses algorthmques que nous ntrodusons c, certanes d entre elles dépendent d un paramètre, nous drons alors que l hypothèse est non statque. Nous défnssons KG bl un algorthme (probablste) de génératon de paramètres publcs qu étant donné un paramètre de sécurté λ, renvoe la descrpton d une structure blnéare consttuée d une foncton blnéare e, deux groupes G et G T de même ordre et un générateur de G, noté g de telle sorte que la foncton e : G G G T sot une foncton blnéare admssble. On parlera d nstance blnéare, par abus de langage et par la sute nous écrrons params déf = g, p, G, G T, e. De manère générale, nous n exgeons pas que la structure blnéare sot asymétrque. Nous précserons ce pont s cette hypothèse est nécessare Les problèmes non paramétrés ou statques Le problème décsonnel du sous-groupe Cette hypothèse a été ntrodute par Boneh, Goh et Nssm [32] en Elle a donné nassance à un cryptosystème homomorphe (addtvement et une fos multplcatvement) avec de nombreuses applcatons. Nous le décrvons fgure 3.3. Étant donné un paramètre de sécurté λ, la génératon est transposée dans un groupe d ordre un enter n composé ; plus exactement, l algorthme probablste KG bl génère un t-uplet de paramètres params déf = g, n, G, G T, e, avec G et G T deux groupes d ordre n tel que n = p q, avec p, q tous deux premers et g un générateur de G et e : G G G T une foncton blnéare admssble. Nous consdérons le problème suvant : étant donnés la descrpton d une structure blnéare composée défne par params telle que params déf = g, n, G, G T, e et un élément u G, décder s u est d ordre q dans G. On défnt l avantage de A à dstnguer la dstrbuton unforme de G de celle du sous-groupe G q de G, d ordre q : [ ] A(params, U) = 1 : params Adv subd KGbl, où A (λ) = Pr params déf = g, n, G, G T, e ; U R G q [ ] A(params, U) = 1 : params KGbl (λ), où Pr params déf = g, n, G, G T, e ; U R G On dt que l hypothèse décsonnelle du sous-groupe est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t tel que l avantage Adv subd A (λ) sot au mons ɛ. Le problème Lnéare décsonnel, DLIN Cette hypothèse a été ntrodute en 2004 par Boneh, Boyen et Shacham [30]. À l orgne, elle est défne dans un groupe G cyclque d ordre q premer. Cette hypothèse restant valde même s résoudre le problème DDH est facle, nous l ntrodusons dans cette secton ; elle est d alleurs très souvent utlsée dans les schémas avec couplages. Pour la défnr d une façon générque, nous consdérons l algorthme KG LD qu génère un t-uplet params déf = g, q, G, avec G d ordre premer q et g un générateur de G. Soent u, v, w des éléments aléatores de G et U, V, W des éléments de G tels que U = u a, V = v b, W = w c, décder s a + b = c

43 3.3- Hypothèses calculatores dans les groupes blnéares 37 mod q. On défnt l avantage de A à décder le problème lnéare décsonnel par : params KG LD (λ), où Adv dln A (λ) = Pr A(params, u, v, w, u a, v b, w a+b ) = 1 : params déf = g, q, G ; u, v, w R G; a, b R Z q params KG DL (λ), où Pr A(params, u, v, w, u a, v b, w c ) = 1 : params déf = g, q, G ; u, v, w R G; a, b, c R Z q De même, on dt que l hypothèse lnéare décsonnelle est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t tel que l avantage Adv dln A (λ) sot au mons ɛ. Nous défnssons le langage des t-uplets lnéares par l ensemble L DLING L DLING déf = {(u, v, w, u a, v b, w c ) a, b R Z q, c = a + b mod q}. Le problème du Dffe-Hellman Blnéare Calculatore, CBDH Cette hypothèse a été ntrodute par Boneh et Frankln [31] en Elle est très populare et reste valde dans les groupes muns d une structure blnéare asymétrque. Étant donné un paramètre de sécurté λ, l algorthme KG bl génère les paramètres params déf = (u, v, q, G 1, G 2, G T, e), avec u et v des générateurs de G 1 et G 2 respectvement. Désormas, on suppose que l ordre des groupes, q est premer. Le problème du Dffe-Hellman blnéare calculatore, CBDH G1,G 2 est le suvant : étant donné u, v, A = u a, B = u b, C = v c, calculer e(u, v) abc G T. Nous défnssons la probablté de succès de l attaquant par : Succ cbdh A (λ) = Pr A(params, u a, u b, v c ) = e(u, v) abc : params KG bl (λ) où params déf = u, v, q, G 1, G 2, G T, e ; a, b, c R Z q On dt que l hypothèse CBDH G1,G 2 est (λ, t, ɛ)-valde s pour tout attaquant A en temps t, la probablté de succès de l attaquant A est au plus ɛ. Le problème du Dffe-Hellman Blnéare décsonnel, DBDH La verson décsonnelle du problème précédent peut également être dffcle. L algorthme KG bl génère les paramètres params déf = q, g, G, G T, e. Le problème DBDH est le suvant : soent u, v, A = u a, B = u b, C = v c G, et V G T, décder s V = e(u, v) abc ou un élément aléatore de G T. On défnt l avantage de A à résoudre le problème DBDH par : params KG bl (λ), où Adv dbdh A (λ) = Pr A(params, u a, u b, v c, V ) = 1 : params déf = q, g, G, G T, e ; a, b, c R Z q ; V = e(u, v) abc params KG bl (λ), où Pr A(params, u a, u b, v c, V ) = 1 : params déf = q, g, G, G T, e ; a, b, c R Z q ; V R G T

44 38 Chaptre 3. Dans les groupes blnéares On dt que l hypothèse DBDH G est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t capable de résoudre le problème DBDH G avec un avantage au mons ɛ Les problèmes paramétrés ou non statques Le problème l-bdhi L hypothèse Dffe-Hellman blnéare nverse non statque, l-bdhi est un varante plus forte que le CBDH qu a été ntrodute par Boneh et Boyen [25] en Nous ne nous servrons pas drectement de cette hypothèse mas d une varante défne juste après. Nous chosssons, tout de même de l ntrodure car elle est à la source d un grand nombre de constructons dans le modèle standard avec des talles de paramètres relatvement courtes. Le problème est le suvant : étant donné un paramètre de sécurté λ, l algorthme KG bl génère des paramètres publcs params déf = g, q, G, G T, e. Consdérons une séquence g, g x,, g xl G l+1, et un élément V G T, où l est un paramètre et x R Z q ; résoudre le problème l-bdhi G,GT sgnfe décder s V = e(g, g) 1/x ou s V est un élément aléatore dans G T. On défnt la probablté de succès de l attaquant A à résoudre le problème l-bdhi G par : Adv l-bdh A (λ) = Pr A(params, g, g x,, g xl, V ) = 1 : Pr A(params, g, g x,, g xl, V ) = 1 : params KG bl (λ), où params déf = q, g, G, G T, e ; x R Z q ; V = e(u, v) 1/x params KG bl (λ), où params déf = q, g, G, G T, e ; x R Z q ; V R G T On dt que l hypothèse l-bdhi G est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t capable de résoudre le problème l-bdhi G avec une probablté de succès au mons égale à ɛ. Le problème décsonnel assocé se défnt de manère smlare. Le problème l-abdhe Le problème Dffe-Hellman blnéare à la pussance ajoutée non statque, l-abdhe a été ntrodut en 2006 par Gentry [71] pour démontrer la sécurté d un schéma à base de couplages (dans le modèle standard) décrt fgure 4.3. Nous décrvons la smulaton assocée au paragraphe Elle peut être défne de la manère suvante : étant donné un paramètre de sécurté λ, l algorthme KG bl génère des paramètres publcs params déf = g, q, G, G T, e. Consdérons une séquence g, g x l+2, g, g x, g x2,, g xl, g xl+2,, g x2 l et un élément V de G T, où l est un paramètre, g un élément aléatore de G et x un scalare aléatore dans Z q ; résoudre le problème l-abdhe G,GT sgnfe décder s V = e(g xl+1, g ) ou s V est un élément aléatore de G T. En réalté, le schéma de Gentry repose sur une verson plus fable du problème précédent pour laquelle la séquence consste en les éléments g, g x l+2, g, g x,, g xl. Nous appelons ce problème, le problème Dffe-Hellman blnéare à la pussance ajoutée tronqué non statque, l-t-abdhe. On défnt l avantage de l attaquant

45 3.3- Hypothèses calculatores dans les groupes blnéares 39 A à résoudre le problème l-t-abdhe G,GT par : Adv l-t-abdhe A (λ) = Pr A(params, g, g x l+2, g x,, g xl, V ) = 1 : Pr A(params, g, g x l+2, g x,, g xl, V ) = 1 : params KG bl (λ), où params déf = q, g, G, G T, e ; g R G; x R Zq ; V = e(g xl+1, g ) params KG bl (λ), où params déf = q, g, G, G T, e ; g R G; x R Zq ; V R G T On dt que l hypothèse l-t-abdhe G,GT est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t capable de résoudre le problème l-t-abdhe G,GT avec une probablté de succès d au mons ɛ. Gentry a défn une varante plus fable que le problème l-bdhi G,GT qu se rédut de manère presque évdente au problème l-t-abdhe G,GT, nous ne rentrerons pas en détal dans la défnton de nouvelles hypothèses, nous reportons le lecteur à l artcle [71] pour des précsons à ce sujet. Le problème l-sp-dbdh Nous ntrodusons un nouveau problème, le problème des pussances successves, Successve-Power Verson, l-sp-dbdh, qu peut être vu comme une varante du problème DBDH. Comme pour le problème l-bdhi G,GT, l donne accès à des pussances successves, comme pour le problème précédent. Plus précsément, nous défnssons ce problème ans : étant donnés les paramètres params déf = g, q, G, G T, e générés par KG bl et une séquence, g x, g y, g z, g z/x,, g z/xl, où l est un paramètre et x, y R Z q, z R Z q, décder s V = e(g, g) x y z ou s V est un élément aléatore de G T. On défnt l avantage de l attaquant à casser l hypothèse l-sp-dbdh G par : Adv l-spdbdh A = Pr A(params, g x, g y, g z, g z/x,, g z/xl, V ) = 1 : Pr A(params, g x, g y, g z, g z/x,, g z/xl, V ) = 1 : params KG bl (λ), où params déf = g, q, G, G T, e ; x, y, z R Z q; V = e(u, v) xyz params KG bl (λ), où params déf = g, q, G, G T, e ; x, y, z R Z q; V R G T Dans l artcle [85], nous avons montré avec Davd Pontcheval que pour tout attaquant générque, une telle séquence ne fournt pas plus d nformaton explotable que celle apportée par les tros premers éléments. Nous renvoyons à l artcle pour la preuve de ce résultat. Supposons la dffculté de ce problème admse, on dt alors que l hypothèse l-sp-dbdh G est (λ, t, ɛ)-valde, s l n exste pas d algorthme A en temps t capable de résoudre le problème l-sp-dbdh G avec un avantage au mons égal à ɛ.

46 40 Chaptre 3. Dans les groupes blnéares Les problèmes co-cdh et Cco-CDH Le problème co-cdh Défnton 10 Soent g 1 et g 2 deux générateurs de G 1 et G 2 respectvement. Pour u = g x 1 G 1, nous défnssons le co-dffe-hellman co-cdh g1,g 2 (u), l élément v = g x 2 G 2. Nous défnssons alors le problème co-cdh G1,G 2 : étant donnés g 1, u G 1 et g 2 G 2, retourner la valeur v = co-cdh g1,g 2 (u). La probablté de succès à casser le problème co-cdh G1,G 2 est défne par : [ Succ cocdh A(g1 G 1,G 2 (A) = Pr, g 2, g1 x) = gx 2 : g, q, G KG LD (λ), pour = 1, 2 et x R Z p ] Remarquons que lorsque G 1 = G 2 = G, le problème co-cdh G,G est exactement le tradtonnel problème Dffe-Hellman calculatore dans G, qu peut être dffcle dans ce contexte. Cependant, la verson décsonnelle est facle compte tenu de la structure blnéare assocée. Nous pouvons défnr le langage co-dh G1,G 2, le langage des quadruplets (a, b, c, d) G 1 G 2 G 1 G 2, tels que d = co-cdh a,b (c). Le problème du co-cdh commun, Cco-CDH Remarquons que étant donnés deux éléments, on peut faclement construre un quadruplet co-dh G1,G 2. Cependant, trouver deux quadruplets satsfasant certanes contrantes peut parfos être dffcle. Nous consdérons alors un nouveau problème, le problème du co-cdh commun, que l on note Cco-CDH (Common co-cdh problem en anglas). Nous le défnssons ans : étant donnés des paramètres params générés par KG bl et des éléments g, h R G, et V G T, retourner k 0 k 1 Z q, K 0, K 1 G T et un élément c G commun tels que : (gh k 0, V, c, K 0 ), (gh k 1, V, c, K 1 ) co-dh G,GT La probablté de succès de A à casser le problème du co-cdh G,GT commun est défne par : Succ cocdh G,G T (A) = A(params, g, h, V ) = (c, k 0, k 1, K 0, K 1 ) t.q. Pr k 0 k 1 (gh k 0, V, c, K 0 ) co-dh G,GT : (gh k 1, V, c, K 1 ) co-dh G,GT params KG bl (λ), où params déf = g, q, G, G T, e ; g, h R G; V R G T On dt que l hypothèse Cco-CDH G,GT est (λ, t, ɛ)-valde s l n exste pas d algorthme A en temps t capable de résoudre le problème Cco-CDH G,GT avec une probablté de succès au mons égale à ɛ. Avec Davd Pontcheval, nous avons montré dans l artcle [85] que l hypothèse Cco-CDH G,GT est valde pour tout attaquant générque. 3.4 Chffrement homomorphes dans les groupes blnéares Schéma de chffrement lnéare Le schéma a été ntrodut en 2004 par Boneh, Boyen et Shacham [30]. Il est défn dans un groupe G cyclque d ordre premer. La sécurté sémantque de ce schéma repose sur

47 3.4- Chffrement homomorphes dans les groupes blnéares 41 KeyGen(λ) : renvoe q, g, G, avec G d ordre q premer, g générateur de G ; x chosr h tels que g = h R, x Zq, = 1, 2 ; pk déf = (g, h 1, h 2 ) et sk déf = (x 1, x 2 ). Encrypt(pk, m) : pour chffrer m G ; R chosr r Zq, pour = 1, 2 ; calculer c déf = (c 1, c 2, c 3 ) = (h r 1 1, hr 2 2, gr 1+r2 m) ; Decrypt(sk, c) : pour déchffrer, on calcule : m = c 3 c x 1 1 cx 2 2 = gr 1 +r 2 m (h r 1 1 ) x (h r 2 2 ) y Fg. 3.2 Schéma de chffrement lnéare [30] l hypothèse décsonnelle lnéare dans G. Nous donnons une descrpton de ce cryptosystème fgure 3.2. On peut vor que la foncton de chffrement Encrypt est un homomorphsme multplcatf de G ; en effet pour tout m, m M, on a : Encrypt(pk, m; r 1, r 2 ) Encrypt(pk, m ; r 1, r 2 ) Chffrement BGN = (g r 1 1, gr 2 2, zr 1+r2 m) (g r 1 1, gr 2 2, zr 1+r 2 m ) = Encrypt(pk, m m ; r 1 + r 1, r 2 + r 2 ) Ce système de chffrement, ntrodut par Boneh, Goh et Nssm [32] est basé sur l hypothèse du sous-groupe décsonnelle. Il s agt d une combnason du cryptosystème de Paller [105] et du cryptosystème de Okamoto-Uchyama [104]. Nous donnons une descrpton fgure h est un générateur du sous-groupe de G d ordre p et s g ou h sont égaux à 1, on répète cette procédure jusqu à obtenr deux générateurs non trvaux. 2 Pour retrouver m, on peut utlser la méthode de Pollard qu a une complexté en O( q). KeyGen(λ) : renvoe (p, q, g, e, G, G T ), avec G d ordre n = p q de talle λ bts ; R chosr g, g 1 G et défnr 1 h g q 1 ; pk déf = (n, g, G, G T, h) et sk déf = (p) Encrypt(pk, m) : pour chffrer m {0,, q 1} ; chosr r R Z n, et calculer c = g m h r G ; Decrypt(sk, c) : pour déchffrer : calculer c q = (g m h r ) q = (g q ) m ; retourner 2 log g q (c q ) Fg. 3.3 Schéma de chffrement de Boneh, Goh et Nssm [32]

48 42 Chaptre 3. Dans les groupes blnéares Proprétés homomorphques : étant donné le chffré de deux messages m et m, c et c respectvement, l est possble de construre le chffré de m + m en calculant c c h r pour un élément r aléatore dans Z n. De plus, on peut multpler (une seule fos seulement) deux chffrés c = g m h r et c = g m h r de m et m respectvement pour obtenr le chffré de m m, on calcule pour cela : C = e(c, c ) = e(g m h r, g m h r ) = G m m H mr+m r +a q r r, avec G = e(g, g) et H = e(g, h) et un certan enter a tel que h = g a q. L aléa r = mr + m r + a q r r est unformément dstrbué dans Z n. On a donc un chffré de m m mod n dans G T de base G et H. 3.5 Chffrement à base d dentté La cryptographe à base d denttés permet de chffrer un message pour un utlsateur, en utlsant son dentté 3 comme clé publque, de telle sorte que le destnatare sot le seul capable de déchffrer le message qu lu est destné. Ce concept a été ntrodut en 1984 par Ad Shamr [115] dans le but de smplfer la geston des clés publques et leur certfcaton : auparavant chaque utlsateur fasat appel à une autorté de certfcaton hors lgne, lu délvrant une pare de clés certfées pour une utlsaton a posteror. Désormas, un tel scénaro smplfe consdérablement la procédure de certfcaton, en permettant une dentfcaton mplcte Schéma de chffrement à base d dentté, IBE Commençons par défnr la prmtve d IBE : Défnton 11 (Schéma de chffrement basée sur l dentté) Un schéma de chffrement basée sur l dentté IBE est défn par la donnée de quatre algorthmes polynomaux Setup IBE, Extract IBE, Encrypt IBE, Decrypt IBE défns par : Setup IBE (λ) : prend en entrée un paramètre de sécurté λ et renvoe les paramètres publcs mpk et une clé maître secrète msk ; Extract IBE (msk, ID) : prend en entrée la clé maître secrète msk et l dentté ID d un utlsateur et renvoe la clé de déchffrement de l utlsateur assocé à l dentté ID, c.à.d. usk ID. Encrypt IBE (mpk, ID, m; r) : est un algorthme probablste qu prend en entrée les paramètres publcs mpk, l dentté du destnatare ID, un message m et un aléa r. Cet algorthme renvoe un chffré c du message m assocé à l dentté ID. Decrypt IBE (usk ID, c) : prend en entrée la clé secrète d un utlsateur usk ID et un chffré c. Cet algorthme renvoe le message m assocé au chffré c sous l dentté ID ; et snon, s c n est pas un chffré de m sous une dentté cet algorthme un symbole d erreur. 3 qu peut être une smple adresse e-mal, un nom, un dentfant numérque,...

49 3.5- Chffrement à base d dentté 43 Comme pour le chffrement classque, on défnt la noton de sécurté sémantque qu formalse la confdentalté du message chffré : elle modélse la dffculté de déchffrer un message sans connaître la clé secrète assocée au destnatare du message. Défnton 12 (Sécurté sémantque pour les schémas IBE) Étant donné un paramètre de sécurté λ, on consdère un schéma IBE Setup IBE, Extract IBE, Encrypt IBE, Decrypt IBE. On assoce à tout attaquant polynomal A, l expérence Exp nd-cpa-b IBE,A c-dessous, pour b = 0, 1 : déf = Expérence Exp nd-cpa-b IBE,A (λ) IDSet ; (mpk, msk) Setup (λ) ; (ID, m 0, m 1, state) A OExtract IBE() 1 (FIND, mpk) ; s m / M or m 0 m 1 ; retourner 0 snon C Encrypt (mpk, ID, m b ) ; b A OExtract IBE() 2 (GUESS, C, state) ; s {ID 0, ID 1 } IDSet = ; retourner b snon retourner 0 OExtract IBE (ID) IDSet IDSet {ID} ; usk ID Extract IBE (msk, ID) ; retourner usk ID On dt qu un schéma IBE est sémantquement sûr résstant aux attaques à clars choss s, l avantage de tout attaquant polynomal A, est néglgeable ; cet avantage est défn par : Adv nd-cpa-b IBE,A Pr[Exp (λ) = nd-cpa-1 (λ) = 1] Pr[Expnd-cpa-0 (λ) = 1] IBE,A IBE,A Par la sute, lorsque l attaquant n a pas accès aux requêtes d extracton, nous parlerons de sécurté sémantque fable. On peut également défnr une expérence où l attaquant a accès à un oracle de déchffrement sauf pour le chffré challenge sous l dentté challenge. On parle alors de résstance aux attaques à chffrés choss ; on défnt alors l avantage de tout attaquant A, Adv nd-cca-b IBE,A (λ) de manère smlare. S cet avantage est néglgeable pour tout attaquant polynomal A, on dt que le schéma IBE est sémantquement sûr résstant aux attaques à chffrés choss (adaptatves, s le chox des requêtes de l attaquant dépend du challenge et des réponses aux requêtes précédentes). Après l ntroducton du concept d IBE et l apparton du schéma de Boneh- Frankln [31], pluseurs schémas à base d denttés sont apparus, tous prouvés sûrs dans le modèle de l oracle aléatore : la même année, en 2001, Cocks [59] présente un schéma IBE dont la sécurté repose sur la résduosté quadratque. Ce schéma utlse une foncton de hachage modélsée par un oracle aléatore dans l analyse de sécurté. Le premer système IBE sans oracle aléatore a été proposé par Boneh et Boyen [25] mas dans un modèle de sécurté plus fable que celu ntalement ntrodut par Boneh et Frankln dans le premer artcle. Dans ce modèle, ntrodut par Canett et al. [46] en 2003, l attaquant sélectonne tout au début de l expérence l dentté challenge. Par la sute, on parlera de sécurté sémantque à denttés orentées (Selectve-ID en anglas) Schémas de chffrement hybrde à base d dentté, IB-KEM En 2000, dans [116], Shoup a proposé une formalsaton le procédé de chffrement hybrde, que nous avons défn au paragraphe Plus récemment, Bentahar et al. [23] ont

50 44 Chaptre 3. Dans les groupes blnéares étendu ce concept au chffrement à base d denttés, et ont proposé quelques constructons générques sémantquement sûres. D un pont de vue théorque, les deux concepts sont équvalents, pusqu l exste une transformaton d un schéma IBE en un schéma un IB-KEM et vce-versa 4. Mas en pratque, l est très souvent plus ntéressant d utlser un schéma IB-KEM car cette prmtve offre une plus grande flexblté qu rend les schémas plus effcaces. Par exemple, on peut prendre un paramètre de sécurté qu nous arrange sans changer la talle de l espace des messages. Et la plupart du temps, pour les schémas de chffrement à clé publque, on effectue des pré-calculs de couples clés/chffrés, pus on applque un algorthme de chffrement symétrque effcace. D autre part, très souvent, une noton de sécurté plus fable pour les schémas IBE permet d aboutr à un schéma IB-KEM avec une noton de sécurté plus forte. D alleurs, [23] présente une converson générque d un schéma IBE, IND-CPA en un schéma IB-KEM, IND-CCA. Remarque 3 Notons que le résultat de [23] n est pas très surprenant pusqu l est assez analogue aux résultats pour le chffrement hybrde : on sat que la combnason d un KEM, IND-CCA avec un DEM one-tme CCA condut à un schéma de chffrement IND-CCA [61]. Mas pluseurs travaux ont montré que ces deux condtons ne sont pas nécessares : un des contre-exemples les plus populares est le schémas KEM de Kurosawa et Desmedt [83], qu n est pas résstant aux attaques à chffrés choss, et pourtant le schéma de chffrement assocé est IND-CCA-sûr. D autres travaux récents s ntéressent aux condtons nécessares et suffsantes à une converson générque d un schéma [82], ou plus spécfquement à la constructon de KEM, IND-CCA [8]. Commençons par rappeler les défntons d un schéma IB-KEM avant de décrre quelques-unes des constructons utles pour la sute : Défnton 13 (Mécansme d Encapsulaton de clés basé sur l dentté, IB-KEM) Un schéma IB-KEM est défn par la donnée de quatre algorthmes polynomaux : Setup IBK, Extract IBK, Encaps IBK, Decaps IBK défns par : Setup IBK (λ) : prend en entrée un paramètre de sécurté λ et renvoe une clé maître publque et secrète mpk/msk ; Extract IBK (msk, ID) : prend en entrée la clé secrète mpk, et l dentté ID d un utlsateur et renvoe la clé de déchffrement de l utlsateur assocée à l dentté ID, usk ID ; Encaps IBK (mpk, ID; r) : est un algorthme probablste qu prend en entrée les paramètres publcs mpk, l dentté ID du destnatare et un aléa ; l renvoe une pare (K, c), où K est la clé de sesson éphémère et c l encapsulaton assocée ; Decaps IBK (usk ID, c) : est un algorthme détermnste qu prend en entrée la clé secrète d un utlsateur, usk ID et un chffré c. Cet algorthme renvoe la clé assocée à c ou un symbole d erreur, s le chffré n est pas valde. De plus, nous défnssons formellement la foncton Decaps IBK (ID, c), qu prend en entrée l dentté d un utlsateur ID et un chffré c. Cet algorthme extrat d abord la clé de déchffrement assocée à l dentté ID, et décapsule le chffré c à l ade de usk. 4 s on utlse un DEM appropré

51 3.6- Quelques constructons 45 Nous défnssons c-dessous la noton de sécurté sémantque défne pour les schémas IB-KEM. Celle-c se dédut assez faclement de la noton défne pour le chffrement à base d denttés classque. Mas à présent, la sécurté sémantque tradut la confdentalté de la clé. Comme pour les schémas IBE, cette noton peut être selon le cas être combnée à de multples autres requêtes aux oracles, tradusant alors les résstances aux attaques à messages/chffrés choss et à denttés orentées/non-orentées. Le jeu de sécurté, dans le modèle de sécurté le plus fort, c.à.d. attaques à chffrés choss et attaques à denttés non orentées (full-dentty attacks en anglas) avec accès aux requêtes d extracton est le suvant : Expérence Exp nd-cca-b IB-KEM,A (λ) IDSet ; CSet ; (mpk, msk) Setup(λ) ; (ID, state) A OExtract IBK(),ODecaps IBK () 1 (FIND, mpk) ; (K 0, C ) Encaps IBK (mpk, ID ) ; et (K 1, C ) Encaps IBK (mpk, ID ) ; b A OExtract(),ODecaps() 2 (GUESS, K b, C, state) ; s {ID } IDSet = ; et s {(ID, C )} CSet = ; retourner b snon retourner 0 ; OExtract IBK (ID) IDSet IDSet {ID} ; usk ID Extract IBK (msk, ID) ; retourner usk ID ODecaps IBK (ID, c) CSet CSet {(ID, c)} ; usk ID Extract IBK (msk, ID) ; K Decaps(usk ID, c) ; retourner K Nous défnssons l avantage de l attaquant A dans le jeu précédent pour un schéma IB-KEM par la probablté que A parvenne à décder s le chffré challenge est l encapsulaton de la clé renvoyée ou d une clé aléatore. Plus formellement, un schéma IB-KEM est sémantquement sûr s l avantage c-dessous est néglgeable en la paramètre de sécurté λ : [ ] [ Adv nd-cca Pr IBK,A (λ) = Exp nd-cca-1 IBE,A (λ) = 1 Pr Exp nd-cca-0 IBE,A (λ) = 1] Remarque 4 Pour l applcaton que nous présenterons plus lon, nous aurons en fat seulement beson d une verson plus fable de la noton de sécurté sémantque défne c-dessus, où l adversare chost tout au début de l expérence l dentté sur laquelle l s engage (denttés orentées), et où A n a pas accès aux oracles Decaps et Extract. Par la sute, nous appellerons cette noton, sécurté sémantque fable. 3.6 Quelques constructons Un peu d hstore Depus sa concepton en 1984, la prmtve IBE n a cessé d évoluer et aujourd hu encore, la constructon d un schéma effcace reste un problème ouvert. On se prépare même à la standardsaton de ces schémas et pluseurs canddats sont actuellement en cours d étude.

52 46 Chaptre 3. Dans les groupes blnéares Dans cette parte, nous présenterons quelques uns des schémas ntéressants qu sont apparus et qu ont été détermnant dans l hstore de ces schémas. Pour ces descrpton, nous adopterons le formalsme de Xaver Boyen [35] qu a proposé une nomenclature des schémas IBE : on remarque en effet qu ls se dvsent en tros catégores selon la méthode algébrque utlsée pour leur constructon, les schémas Full Doman Hash, les schémas commutatve blndng ou encore les schémas nverson-based. De fat, les schémas peuvent être comparés selon un grand nombre de crtères : le nveau de sécurté garant, le modèle de preuve adopté (modèle standard ou oracle aléatore), la dffculté de l hypothèse utlsée, la fnesse de la réducton, la talle des paramètres, et de manère complémentare la flexblté du schéma et sa capacté à s nterfacer avec d autres prmtves. Nous nssterons d avantage sur les ponts en connexon avec l anonymat lors de la descrpton de ces schémas dans la prochane parte Classfcaton de Boyen [35] Les schémas Full Doman Hash En 2001, Boneh et Frankln [31] proposent le premer schéma IBE avec une preuve de sécurté formelle dans le modèle de l oracle aléatore. On détallera cette constructon au prochan chaptre. Leur schéma utlse le couplage de Wel et la sécurté du schéma repose sur le DBDH. L utlsaton de couplages pour la concepton de schémas IBE semble dès lors une approche prometteuse. Les schémas commutatve blndng Un des schémas détermnants dans la concepton de schémas IBE avec une preuve de sécurté dans le modèle standard est le schéma Boneh et Boyen [27]. Ce schéma est sémantquement sûr et à denttés orentées 5. Nous décrvons fgure 3.4 la smple verson IBE du schéma (BB1a) proposé par Boneh et Boyen [25], qu présentent en réalté une varante où l dentté est vu comme un vecteur. Ce schéma a l avantage d être smple et assez flexble. On pourra se reporter à l artcle [34] qu propose une analyse détallé des atouts de ce schéma. La même année, les mêmes auteurs proposent un autre schéma prouvé sûr dans le modèle standard [26] mas qu est malheureusement trop neffcace pour être utlsé en pratque. Le premer schéma effcace dans le modèle standard a été proposé par Waters en 2005 [120]. Il propose de fat une modfcaton du schéma de Boneh et Boyen permettant d obtenr un schéma IND-CCA. Mas la contrbuton mportante de ce paper est une preuve orgnale où le smulateur nterrompt le jeu s un certan prédcat n est pas vérfé. La dffculté dans cette preuve est d une part de montrer la correcton de cette approche, et d autre part d évaluer la probablté de succès en cas d nterrupton du smulateur. Récemment, Bellare et Rstenpart [15] ont proposé une smplfcaton de cette preuve et une améloraton de ses performances. Remarque 5 Pour le schéma IBE de Waters [120], la foncton F mpk est une modfcaton de la foncton F mpk défne fgure 3.4) du schéma de l artcle [25] : elle utlse une foncton de hachage H : {0, 1} n R G, des éléments h G qu sont publcs, Fmpk : {0, 1} G est alors défne par : F mpk (ID) = h =1 hid, où l dentté est une chaîne de caractères. On vot alors que la clé publque content tous les h, c.à.d. n + 4 éléments, elle augmente donc de talle par rapport au schéma fgure 3.4, 5 Précsons qu l exste une transformaton d un schéma IND-CPA à denttés orentées en un schéma IND-CPA à denttés non orentées, avec une perte d un facteur N, où N est le nombre d denttés mas auss une borne nféreure sur la talle du groupe.

53 3.6- Quelques constructons 47 Setup(λ) : g, p, G, G T, e G(λ) ; g 2, h R G et α R Z p ; mpk = (g, g 1 = g α, g 2, h) et msk = g 2 α ; défnr F mpk (x) = h g 1 x, avec x Z p ; retourner mpk ; Extract(msk, ID) : chosr r R Z p ; retourner (usk 1, usk 2 ) = (g 2α F mpk (ID) r, g r ); Encrypt(mpk, ID, m) : chosr r R Z p ; calculer C = (e(g 1, g 2 ) s m, g s, F mpk (ID) s ) ; retourner C = (c 1, c 2, c 3 ) ; Decaps(usk ID, C) : (1) décomposer C en (c 1, c 2, c 3 ) et calculer : (2) K = e(c 3, usk 2 )/e(c 2, usk 1 ) retourner m = c 1 /K Fg. 3.4 Schéma IBE de Boneh-Boyen. Les schémas nverson-based Un autre type de schéma, nté par les travaux de Mtsunar, Saka et Kasahara [99] dans le contexte du traçage de traîtres, a perms d aboutr à des schémas plus effcaces avec une preuve de sécurté dans le modèle standard. La constructon de ces schémas s appue sur un algorthme d extracton novateur ; la clé d extracton est calculée en deux étapes : on calcule d abord l nverse d une somme de la clé maître et de l mage de l dentté dans un sous-groupe de Z p, Z q. Pus on multple cet élément par un générateur de G q. Le premer schéma à utlser ces dées a été proposé par Saka et Kasahara [111, 56] et beaucoup d autres ont suv. Au départ la sécurté de ces schémas a été dffcle à analyser et aucun d entre eux n a été formellement prouvé. Chen et Cheng [55] sont les premers à avor proposé une preuve de ce schémas dans le modèle de l oracle aléatore en adaptant la preuve du schéma de Boneh et Boyen (BB1b) [25]. Les hypothèses de sécurté utlsées pour les preuves de ces schémas sont partculèrement fortes et sont en général non statques. En contreparte, elles permettent d obtenr des schémas effcaces et des preuves de sécurté plus fnes [71]. Nous présentons fgure 3.5 une varante du schéma de Saka et Kasahara [56] dont Chen et al. [55] ont démontré la sécurté sémantque dans le modèle de l oracle aléatore. Ce schéma est défn dans un contexte asymétrque : la preuve requert l exstence d un homomorphsme φ de G 2 dans G 1. Pour cette descrpton g 1 est g 2 sont des générateurs respectfs de G 1 et G 2 et on a : g 1 = φ(g 2 ). On ntrodut également deux fonctons de hachages H 1 et H 2 (modélsées par des oracles aléatores dans la preuve de sécurté) : H 1 : {0, 1} Z p et H 2 : G T {0, 1} n.

54 48 Chaptre 3. Dans les groupes blnéares Setup(λ) : (g 1, g 2, p, G 1, G 2, G T, e) G(λ) ; s R Z p ; P = g 1 s ; mpk = (g 1, e(g 1, g 2 ), P ) et msk = s ; Extract(msk, ID) : retourner usk ID = g 2 1 s+h 1 (ID). Encrypt(mpk, ID, m) : chosr r R Z p ; calculer c 1 = (P g 1 H 1 (ID) ) r et K = H 2 (e(g 1, g 2 ) r ) ; retourner C = (c 1, c 2 ), avec c 2 = K m Decaps(usk, C) : (1) Décomposer C en (c 1, c 2 ) ; (2) Calculer K = H 2 (e(c 1, usk)) ; retourner m = c 1 K Fg. 3.5 Varante du Schéma IBE de Saka et Kasahara, proposée par [56].

55 Deuxème parte Chffrement anonyme 49

56

57 Chaptre 4 Chffrement anonyme L artcle à la source de la noton d anonymat pour le chffrement probablste asymétrque a été publé en 2001 par Bellare, Boldyreva, Desa et Pontcheval [11]. Auparavant, la noton de sécurté classque pour le chffrement formalsat l ndstnguablté [73] et/ou la non-malléablté [64] des messages clars. Désormas, le destnatare est au centre des préoccupatons : on cherche à préserver son anonymat. L dée de la noton de key prvacy ntrodute par Bellare et al. est de garantr qu un chffré ne lasse fur aucune nformaton sur la clé publque utlsée pour chffrer. Cette noton peut paraître contre-ntutve, en partculer pour le chffrement asymétrque. Néanmons, s on se place dans un envronnement mult-acteurs (par exemple), le but est de garantr la confdentalté de la clé publque assocée à un chffré parm un ensemble de clés dsponbles. Dans ce chaptre, nous commençons par rappeler la défnton de cette noton de sécurté, avant de montrer comment elle s étend au chffrement à base d denttés. Nous présenterons quelques schémas à base d denttés vérfant cette noton d anonymat. Par alleurs, rappelons que dans ce contexte, un centre de geston de clés est capable de dérver toutes les clés secrètes assocées aux denttés. Dans l artcle [85] en commun avec Davd Pontcheval, nous avons étendu cette noton d anonymat en consdérant la PKI comme attaquant potentel. Dans cet artcle, nous avons également proposé un schéma à base d denttés satsfasant la noton KwrtA, une noton complémentare de la noton d anonymat classque. Sommare 4.1 Anonymat pour le chffrement Noton de key-prvacy [11] Pertnence de l anonymat pour le chffrement Les protocoles anonymes Spécfcatons des schémas anonymes Chffrement anonyme basé sur l dentté Défnton Quelques constructons ntéressantes Schéma de Boneh-Frankln[31] Schéma de Boyen-Waters [36] Schéma de Gentry [71] Comparason des schémas Extenson de la noton d anonymat Noton d anonymat KwrtA Défnton Comparason avec l anonymat classque

58 52 Chaptre 4. Chffrement anonyme Analyse des schémas IB-KEM au sens KwrtA Schéma de Boneh-Frankln [31] Schéma de Boneh-Boyen [25] Schéma de Gentry [71] Schéma de Boyen-Waters [36] Un canddat Descrpton Proprétés et sécurté Anonymat pour le chffrement Comme pour la sécurté sémantque, la noton de key prvacy se tradut par l ndstnguablté de deux expérences, chacune correspondant à une valeur d un bt b chos par le challenger Noton de key-prvacy [11] Consdérons un schéma de chffrement consttué des quatre algorthmes Setup, KeyGen, Encrypt, Decrypt et un attaquant A. Chosssons un bt b aléatore. Étant donné un paramètre de sécurté λ, le challenger fat appel à l algorthme Setup pour la génératon de paramètres publcs params. Il génère ensute deux pares clé publque/clé secrète (pk, sk ) pour = 0, 1 va l algorthme KeyGen avec params en entrée. Pendant une premère phase, A reçot les clés (pk, sk ) et renvoe un message. Le challenger lu chffre ce message avec la clé pk b. Dans une seconde phase, l attaquant reçot ce chffré et retourne un bt b ; l gagne s l devne à laquelle des deux clés est assocé le chffré. S l attaquant ne parvent pas à gagner avec une probablté sgnfcatvement plus grande que 1 2, même en ayant accès aux oracles de déchffrement ODecrypt pour = 0, 1 (durant les deux phases) pour les clés sk 0 et sk 1, le schéma de chffrement est dt anonyme résstant aux attaques à chffrés choss. Nous défnssons c-dessous l expérence Exp nd-key-cca-b E,A (λ) (pour b = 0, 1) décrte précédemment : Expérence Exp nd-key-cca-b E,A (λ) CSet déf = ; (params) Setup(λ) ; (pk 0, sk 0 ), (pk 1, sk 1 ) KeyGen(params) ; (m, state) A ODecrypt 0 (),ODecrypt 1 () 1 (FIND, params, pk) ; c R Encrypt(pk b, m) ; b A ODecrypt 0 (),ODecrypt 1 () 2 (GUESS, c, state) ; s c / CSet retourner b snon retourner 0 ; ODecrypt (c) CSet CSet {c} ; m Decrypt(sk, c) ; retourner m On défnt l avantage de l attaquant A à casser l anonymat du schéma de chffrement E sous les attaques à chffrés choss adaptatves par : Adv nd-key-cca E,A (λ) = Pr[Exp nd-key-cca-1 E,A (λ) = 1] Pr[Exp nd-key-cca-0 E,A (λ) = 1]

59 4.2- Chffrement anonyme basé sur l dentté Pertnence de l anonymat pour le chffrement L ntérêt que nous portons à la prmtve de chffrement anonyme se justfe tant d un pont de vue pratque que théorque. Dans cette secton, nous explctons cette attenton sous ces deux angles : Les protocoles anonymes Tout d abord, le concept d anonymat est crucal dans dfférentes applcatons courantes, comme par exemple les schémas de monnae électronque [51, 52] (qu permettent d utlser des pèces authentfées par la banque de manère anonyme) ; les systèmes de transactons anonymes proposés par [41] dans le but de permettre le contrôle de l nformaton relatve à un utlsateur et susceptble d être dffusée ; ou encore les ventes aux enchères. Pour ce derner exemple, Sako [112] a proposé un schéma en adaptant la noton d anonymat à la noton de confdentalté, où chaque proposton d enchères est assocée à un message connu chffré avec une clé spécfque à l offre. Cette approche permet de masquer la correspondance enchère/clé de chffrement sans avor à masquer d dentté quelconque. Nous verrons au chaptre 8 un autre exemple ntéressant d applcaton de la noton d anonymat, dans les protocoles d authentfcaton : en effet, lors d un échange de clés authentfé, un serveur peut très ben établr des lens entre les connexons et le profl des utlsateurs ; l est tout à fat légtme que ce derner veulle bénéfcer d un servce d authentfcaton sans qu on ne pusse pour autant l dentfer. Spécfcatons des schémas anonymes Il n exste pas de len drect entre les noton de sécurté sémantque et les schémas anonymes : l se peut très ben que l on pusse, pour un schéma donné, garantr la confdentalté des messages clars sous des attaques à chffrés choss sans que ce schéma sot anonyme pour autant. Par contre, nous dsposons de tous les outls pour détermner s un schéma donné vérfe la noton de key prvacy. De plus, les preuves de sécurté pour l anonymat sont tout à fat smlare à celles obtenues pour la sécurté sémantque. L artcle de Bellare et al. témogne de ce fat : ls formalsent la noton d anonymat pour le chffrement asymétrque, montrent que certans des schémas que nous connassons déjà vérfent cette proprété : le cryptosystème ElGamal, le cryptosystème de Cramer-Shoup, une varante du schéma RSA-OAEP [11] ; juste pour exemple, les preuves d anonymat et de sécurté sémantque pour le schéma de chffrement ElGamal sont très proches. Les auteurs proposent également une constructon dans le modèle standard reposant sur les permutatons à trappe sous la seule hypothèse que le chffrement RSA est à sens unque. 4.2 Chffrement anonyme basé sur l dentté Défnton La noton d anonymat pour les schémas IBE a été défne par Abdalla et al. en 2005 dans l artcle [1]. L dée est assez smple : supposons que l adversare chossse un message m et deux denttés ; étant donné un chffré de m sous l une des deux denttés, l adversare ne parvent pas à décder à laquelle des deux denttés le chffré challenge correspond. Plus formellement, consdérons un schéma IBE détermné par la donnée des algorthmes Setup, Extract, Encrypt, Decrypt. On défnt la noton d anonymat pour les schémas IBE par le jeu suvant :

60 54 Chaptre 4. Chffrement anonyme Expérence Exp anon-cpa-b IBE,A (λ) IDSet ; (mpk, msk) Setup(λ) ; (ID 0, ID 1, m, state) A OExtract() 1 (FIND, mpk) ; b R {0, 1} ; c Encrypt(mpk, ID b, m) ; b A OExtract() 2 (GUESS, c, state) ; s {ID 0, ID 1 } IDSet = { }; retourner b snon retourner 0 OExtract(ID) IDSet IDSet {ID} usk ID Extract(msk, ID) retourner usk ID On défnt l avantage de l attaquant A à casser l anonymat du schéma IBE sous les attaques à messages clars choss par : Adv anon-cpa Pr[Exp IBE,A (λ) = anon-cpa-1 IBE,A (λ) = 1] Pr[Exp anon-cpa-0 IBE,A (λ) = 1] On dt qu un schéma IBE est anonyme résstant aux attaques à messages choss ou ANON-CPA s pour tout attaquant polynomal A, l avantage de A est une foncton néglgeable en le paramètre de sécurté. Ben entendu, de la même manère que pour la sécurté sémantque, nous pouvons donner accès à l oracle de déchffrement : s l avantage reste néglgeable, on dt que le schéma IBE est anonyme résstant aux attaques à chffrés choss ou ANON-CCA. S cet accès est possble durant les deux phases, l attaquant est dt adaptatf. Par alleurs, s les deux denttés sont choses tout au début de l expérence, on parle d attaques à denttés orentées et on écrt sid-anon-cpa ou sid-anon-cca, selon que l accès à l oracle de déchffrement est autorsé ou non. Enfn, s nous pouvons smuler les requêtes d extracton, nous parlons d anonymat fort ; snon nous palerons d anonymat fable. Comme nous l avons déjà précsé, nous nous ntéresserons à la verson hybrde IB-KEM de quelques uns des schémas IBE déjà connus ; nous obtenons des schémas plus effcaces avec des talles de chffrés plus courtes. Avec un mécansme d encapsulaton de messages DEM appropré, nous défnssons la noton d anonymat pour les schémas IB-KEM par le jeu suvant : Expérence Exp anon cca b IB-KEM,A (λ) IDSet ; CSet ; (mpk, msk) Setup(λ) ; (ID 0, ID 1, state) A OExtract(),ODecaps() 1 (FIND, mpk) ; (K, C ) Encaps IBK (mpk, ID b ) ; b A OExtract(),ODecaps() 2 (GUESS, K, C, state) ; s {ID 0, ID 1 } IDSet = ; et s {(ID b, C )} CSet = pour b = 0, 1 ; retourner b snon retourner 0 Les accès aux oracles d extracton et de décapsulaton de clés sont détermnés par les appels aux fonctons suvantes : OExtract(ID) IDSet IDSet {ID} ; usk ID Extract(msk, ID) ; retourner usk ID ODecaps(ID, c) CSet CSet {(ID, c)} ; usk ID Extract(msk, ID) ; K Decrypt(usk ID, c) ; retourner K

61 4.2- Chffrement anonyme basé sur l dentté 55 KeyGen(λ) g, p, G, G T, e Setup(λ); x R Z p ; mpk (g, p, G, G T, e, y = g x ); msk x ; retourner mpk. Extract(msk, ID) : retourner usk ID déf = F (ID) x. Encaps(mpk, ID) chosr r R Z p ; calculer C = g r et K = e(y, F (ID) r ) retourner (K, C) Decaps(usk ID, C) : retourner K = e(c, usk ID ) Fg. 4.1 Schéma IB-KEM de Boneh-Frankln, où la foncton F est modélsée par un oracle aléatore. On défnt l avantage de l attaquant A dans le jeu précédent par : Pr[Exp IB-KEM,A (λ) = anon cca 1 IB-KEM,A (λ) = 1] Pr[Expanon cca 0 IB-KEM,A (λ) = 1]. Adv anon cca S cet avantage est une foncton néglgeable en le paramètre de sécurté λ, on dt que le schéma IB-KEM est anonyme résstant aux attaques à chffrés choss Quelques constructons ntéressantes Dans cette parte, nous décrvons quelques schémas IB-KEM dérvés des schémas IBE anonymes proposés ces dernères années. Pour leur descrpton, nous aurons beson d une foncton F qu peut éventuellement dépendre des paramètres publcs. Il s agt d une foncton qu envoe les denttés dans le groupe. Schéma de Boneh-Frankln[31] Le premer schéma IBE qu a été proposé est celu de Boneh et Frankln [31]. Il s agt d un des schémas les plus populares de par son effcacté et sa smplcté. L un de ses nconvénents majeurs est la nécessté de calculs de hachés à valeurs dans le groupe, ce qu est coûteux mas restrent auss le type de courbes pouvant être utlsées. Pour ce schéma, on défnt F ID à valeurs dans G, ndépendante de la clé publque ; elle est modélsée par un oracle aléatore dans l analyse de sécurté. Nous décrvons le schéma IB-KEM dérvé fgure 4.1. Ce schéma est assez proche du schéma de chffrement ElGamal. La sécurté sémantque (sans accès aux oracles de décapsulaton mas avec accès aux requêtes Extract) repose sur le problème DBDH G,GT dans le modèle de l oracle aléatore. Notons que ce schéma est anonyme sous l hypothèse DBDH G,GT (la clé K est un élément aléatore et unformément dstrbuée dans G T ).

62 56 Chaptre 4. Chffrement anonyme Schéma de Boyen-Waters [36] Ce schéma a été proposé par Boyen et Waters en Il est détermnant pusqu l s agt de la premère constructon (anonyme) commutatve blndng avec une preuve de sécurté dans le modèle standard. L un des ponts clés de cette constructon s appue sur la remarque suvante : pour tous les schémas IBE se passant de l oracle aléatore, l algorthme d extracton est probablste ; par conséquent, afn de rendre le déchffrement possble, l aléa ssu de le phase d extracton se dot d être compensé par un complément d nformaton. Dans les schémas exstants, cela se tradut par une redondance dans le chffré qu permet d assurer la correcton mas fournt en contreparte un test publc d denttés pour le chffré. L dée de Boyen et Waters est de ne rendre explotable cette redondance que s un problème algorthmque dffcle peut être résolu ; c, l s agt du problème lnéare décsonnel DLIN G (vor défnton 3.3.1). Nous donnons une descrpton du schéma anonyme de Boyen-Waters fgure 4.2, où F mpk est une foncton qu dépend de la clé publque, défne sur l ensemble des denttés ; elle est défne par : F mpk (x) = g 0 g1 x. Cette constructon est sémantquement sûre (à dentté orentée) sous l hypothèse DBDH G. Nous renvoyons le lecteur à l artcle [28] qu présente également un schéma plus général, où l dentté est vue comme un vecteur, sémantquement sûr (à denttés non orentées) et anonyme. Schéma de Gentry [71] Ce schéma a été proposé en 2006, l comporte de nombreux avantages, et en partculer un nombre de paramètres publcs constant. Cette constructon est sémantquement sûre résstante aux attaques à chffrés choss sous l hypothèse l-t-abdhe G,GT, où l est un paramètre. La preuve de ce résultat est assez ntutve. L hypothèse utlsée n est pas très naturelle et paramétrée par le nombre de requêtes maxmum autorsées à l attaquant. Par souc de clarté et de cohérence pour nos futures comparasons, nous présentons seulement le schéma sémantquement sûr fgure 4.3. Nous défnssons la foncton F mpk par F mpk (ID) = g 1 g ID = g α ID. Dans l artcle [71], Gentry présente un schéma résstant aux attaques à chffrés choss en ajoutant tros éléments publcs ; la stratége de la preuve de Cramer- Shoup s adapte parfatement aux dées utlsées pour la preuve du schéma de Gentry résstant aux attaques à chffrés choss. Pour plus de précsons sur le schéma IND-CCA, nous renvoyons à l artcle de Gentry [71]. Nous préférons présenter la preuve en détal car la preuve de notre schéma (vor paragraphe 4.3.3) utlse la même stratége. Théorème 4 Sot q = q ID +1. Supposons la valdté de l hypothèse (t, ɛ)-q-t-abdhe G,GT. Le schéma fgure 4.3 est (t, ɛ, q ID )-sémantquement sûr (à denttés non orentées) résstant aux attaques à clars choss et anonyme (avec accès à q ID requêtes d extracton adaptatves) avec t = t O(τ q 2 ) et ɛ = ɛ+ 2 p, où τ est le temps requs pour une exponentaton dans le groupe G. Étant donné un paramètre de sécurté λ, nous consdérons une expérence Exp nd-cpa-anon-c-b IB-KEM,A (λ) défne par une séquence de jeux hybrdes en modfant le format du challenge. L avantage de l attaquant A est alors défn par : [ ] [ Adv nd cpa anon Pr IB-KEM,A (λ) = Exp nd-cpa-anon-1-1 IB-KEM,A (λ) = (1, 1) Pr Exp nd-cpa-anon-0-0 IB-KEM,A (λ) = (1, 1)] Nous supposons que son attaque est valde s cet avantage est sgnfcatvement plus grand que 1 4.

63 4.2- Chffrement anonyme basé sur l dentté 57 Setup(λ) : params KGbl(λ), où params = (g, p, G, G T, e) ; chosr ω, t 1, t 2, t 3, t 4 R Zp ; g 0, g 1 R G ; mpk = (params, Ω = e(g, g) t 1 t 2 ω, g 0, g 1, v 1 = g t 1, v 2 = g t 2, v 3 = g t 3, v 4 = g t 4 ) msk = (ω, t 1, t 2, t 3, t 4 ) ; retourner mpk ; Extract(msk, ID) : chosr r 1, r 2, t R Zp, pour = 1, 2, 3, 4 calculer : usk 0 = g r 1t 1 t 2 +r 2 t 3 t 4 usk 1 = g ωt 2 F mpk (ID) r 1t 2 usk 2 = g ωt 1 F mpk (ID) r 1t 1 usk 3 = F mpk (ID) r 2t 4 usk 4 = F mpk (ID) r 2t 3 retourner usk ID = (usk 1, usk 2, usk 3, usk 4 ) ; R Encaps(mpk, ID) : chosr s, s Zp, pour = 1, 2, 3, 4 K = Ω s c 0 = F mpk (ID) s c 1 = v s s 1 1 c 2 = v s 1 2 c 3 = v s s 2 3 c 4 = v s 2 4 retourner (K, C) = (K, (c 0, c 1, c 2, c 3, c 4 )) ; Decaps(usk ID, C) : (1) décomposer C et usk ID en (c 0, c 1, c 2, c 3, c 4 ) et (usk 1, usk 2, usk 3, usk 4 ) resp. ; (2) calculer : K 1 = Ω s = e(g, g) ωt 1t 2 s = e(f mpk (ID), g) s(r 1t 1 t 2 +r 2 t 3 t 4 ) e(g, g) ωt 1t 2 s e(f mpk (ID), g) r 1t 1 t 2 s e(f mpk (ID), g) r 2t 3 t 4 s e(f mpk (ID), g) r 2t 3 t 4 (s s 2 ) e(f mpk (ID), g) r 2t 3 t 4 s 2 = e(f mpk (ID), g) s(r 1t 1 t 2 +r 2 t 3 t 4 ) e(g, g) ωt 1t 2 (s s 1 ) e(f mpk (ID), g) r 1t 1 t 2 (s s 1 ) e(g, g) ωt 1t 2 s 1 e(f mpk (ID), g) r 1t 1 t 2 s 1 = e((f mpk (ID) s, g r 1t 1 t 2 +r 2 t 3 t 4 ) e(v s s 1 1, g ωt 2 (F mpk (ID)) r 1t 2 ) = e(c 0, usk 0 ) e(c 1, usk 1 ) e(c 2, usk 2 ) e(c 3, usk 3 ) e(c 4, usk 4 ) retourner K Fg. 4.2 Schéma IB-KEM de Boyen-Waters, où la foncton F mpk est défne par F mpk (x) = g 1 g x.

64 58 Chaptre 4. Chffrement anonyme Setup(λ) : params KG bl (λ) ; params déf = (g, p, G, G T, e) ; g, h R G et α R Z p ; mpk = (g, g 1 = g α, h) et msk = α ; retourner (mpk); Extract(msk, ID) : chosr r R Z p ; retourner (usk 1, usk 2 ) = (r, (hg r ) 1/(α ID) ) Encaps(mpk, ID) : chosr r R Z p ; calculer C = (F mpk (ID) s, e(g, g) s ) et K = e(g, h) s ; retourner (K, C) ; Decaps(usk ID, C) : calculer K = e(g, h) s ; K = e(g s, h) e(g, g) sr e(g, g) sr K = e(g s, hg r ) e(g, g) sr K = e(g α ID, hg r ) s/(α ID) e(g, g) s r K = e(c 1, usk 2 ) c usk 1 2. retourner K = e(c 1, usk 2 ) c usk 1 2. Fg. 4.3 Schéma IB-KEM de Gentry, où la foncton F mpk est défne par F mpk (ID) = g 1 g ID. Nous montrons la sécurté sémantque et l anonymat par une expérence hybrde. Nous défnssons tros jeux hybrdes Jeu 1, Jeu 2, Jeu 3 pour lesquels le challenge dffère. Le but est de montrer que les challenges sont ndstnguables sauf s l exste un attaquant polynomal contre le problème q-t-abdhe G,GT. 1. Jeu 1 : on renvoe la pare chffré/clé challenge (C = (c 1, c 2 ), K) comme défne par la constructon. 2. Jeu 2 : on renvoe la pare chffré/clé challenge (C = (c 1, c 2 ), K), où c 2 est aléatore dans G T et ndépendant de K. 3. Jeu 3 : on renvoe la pare chffré/clé challenge (C = ( c 1, c 2 ), K), où c 1, c 2 sont ndépendants de K. Démonstraton: Sot (g, g, g α q+2, g 1 = g α,, g q = g αq, Z) une nstance du problème q-t-abdhe G,GT, on note g q+1 = g αq+1. Il s agt de décder s Z est égale e(g q+1, g ), ou s Z est un élément aléatore de G T. Intalsaton : on commence par chosr un polynôme aléatore de Z p [x], P (x) de degré q ID = q 1. On défnt h = g P (α), qu peut être calculé à partr des éléments g 1 = g α,, g q = g αq connu du smulateur ; h est unformément dstrbué dans G, comme c est la cas pour le schéma. On pose mpk = (g, g 1, h) ; Réponse aux requêtes Extract : on supposera par la sute que ID α, car snon on a faclement un attaquant B capable de résoudre le problème q-t-abdhe G,GT. On répond à une requête pour une dentté ID α de la manère suvante : usk 1,ID = P (ID) et usk 2,ID = g f ID(α), où f ID (x) = P (x) P (ID) x ID.

65 4.2- Chffrement anonyme basé sur l dentté 59 Comme P est un polynôme unformément dstrbué de degré q 1, les valeurs P (ID) ont une dstrbuton dentque à celle défne par la constructon (ou ben ID est l une des q requêtes, ou ben ID {α, ID 0, ID 1 }) ; Challenge : l attaquant retourne deux denttés ID 0 et ID 1 (pour lesquelles aucune requête Extract n a été demandée). On supposera ID 0, ID 1 α, snon on a faclement un attaquant contre le problème q-t-abdhe G,GT. On commence par chosr un bt b. On défnt un jeu auxlare, Jeu A où on calcule (C, K) de la manère suvante : 1. on défnt d abord un polynôme f IDb tel que f IDb (x) = xq+2 q+2 ID b x ID b : l s agt d un polynôme de degré q + 1 de coeffcent domnant 1. Notons f 0,, f j,, f q ces autres coeffcents ; 2. on défnt alors le chffré et la clé challenge assocée par : c 1 = g α q+2 ID b q+2 q c 2 = Z e(g, g f jα j ) j=0 K = e(g, h) f ID b (α) Remarquons que nous pouvons calculer le chffré et la clé assocée pusque leur calcul fat seulement appel à la connassance des termes g α q+2 et g f j α j pour j < q + 1. s Z = e(g αq+1, g ), alors en posant s = (log g g ) f IDb (α), on remarque C = (c 1, c 2 ) est ben l encapsulaton correspondant à la clé K, pusque : s (α q+2 ID q+2 b ) f c 1 = g IDb (α) = g s (α ID b) c 2 = e(g, g) s et K = e(g, h) s, avec un aléa s parfatement aléatore (pusque log g g est parfatement aléatore). La dstrbuton du challenge (C, K) du jeu A est dentque à celle défne par le jeu 1. autrement, s Z e(g αq+1, g ), c 2 et K sont complètement ndépendants, la dstrbuton du challenge (C, K) du jeu A est dentque à celle défne par le jeu 2. À présent, on défnt un nouveau jeu auxlare, Jeu B pour lequel on redéfnt le challenge : on chost un bt c aléatore pus on calcule usk 1,IDb et usk 2,IDb exactement comme on le ferat lors d une réponse à une requête d extracton pour ID b. Le chffré challenge et la clé assocée (C, K c ) sont alors défns de la manère suvante : c 1 = g α q+2 ID b q+2 R c 2 GT K c = e(c 1, usk 2,IDb ) Z e(g, q g f jα j ) De manère smlare, on a une caractérsaton sur la dstrbuton du challenge : s Z = e(g αq+1, g ), alors en posant s = (log g g ) f IDb (α), nous remarquons que j=0 usk 1,IDb s (α q+2 ID q+2 b ) f c 1 = g IDb (α) = g s (α ID b) c 2 R GT et K c = e(g, h) s, avec un aléa s parfatement aléatore. La dstrbuton du challenge (C, K c ) du jeu B est dentque à celle défne par le jeu 2. autrement, s Z e(g αq+1, g ), c 1 et K c sont complètement ndépendants, la dstrbuton du challenge (C, K c ) du jeu B est dentque à celle défne par le jeu 3. Réponse aux requêtes Extract : on répond aux requêtes d extracton comme à la phase 1 ; Réponse : l attaquant A retourne sa réponse b et c.

66 60 Chaptre 4. Chffrement anonyme Analyse de probablté : 1. s Z = e(g αq+1, g ), alors la pare (C, K c ) a une dstrbuton dentque à celle d une pare assocée à l dentté ID b défne par la constructon. Dans ce cas, la probablté qu a B de gagner est au mons égale à la probablté de devner les bts b et c plus l avantage de A, c.à.d. ɛ Dans ce cas, Pr[Exp q-t-abdhe-1 IB-KEM,B (λ)] Advanon-nd-cpa IB-KEM,A (λ) = ɛ snon, on a Z parfatement aléatore dans G T. Le chffré est complètement ndépendant de b et de c, sauf s c 2 = e(c 1, g) α ID b, pour b = 0 ou b = 1. Sachant que : Pr[c 2 = e(c 1, g) α ID 0 c 2 = e(c 1, g) α ID 1 ] = 2 p, on a : [ ] Pr Exp q-t-abdhe 0 IB-KEM,B (λ) = p Fnalement, on a : Adv q-t-abdhe IB-KEM,B (λ) ɛ 2 p Performance du schéma Afn de permettre une melleure comparason avec les autres schémas au prochan paragraphe, on se lmtera à l étude des paramètres du schéma résstant aux attaques à clars choss. Talle des paramètres : un des avantages majeurs est la talle des paramètres publcs (3 éléments de G et 5 pour le schéma résstant aux attaques à chffrés choss) comparés aux autres schémas sans oracles aléatores et résstant aux attaques à denttés non orentées. Fnesse de la réducton : on remarque que le temps t de B dépend du temps nécessare pour répondre aux requêtes d extracton. On a donc t = t + O(τ q ID q), où q ID est le nombre de requêtes, q est le degré du polynôme f IDb (α) et où τ est le temps nécessare à une exponentaton dans G. Comme le fat remarquer Gentry, on ne peut pas réellement dre que la réducton est plus fne que d autres réductons assocées à une hypothèse plus standard que l hypothèse q-t-abdhe G,GT, comme l hypothèse DBDH G,GT, car d une part la dffculté du problème sous-jacent dépend d un paramètre qu est censé évoluer (le nombre de requêtes Extract), et d autre part on ne connaît pas très ben la dffculté relatve de l hypothèse utlsée. Dans le modèle générque, l semblerat que le problème q-t-abdhe G,GT est plus facle à résoudre que le problème DBDH G,GT [29]. Mas en réalté, l peut très ben exster un algorthme sous-exponentel (et non générque) pour résoudre ces problèmes. En supposant que ces deux problèmes sont de dffculté égale, Gentry montre que plus une réducton sous le problème q-t-abdhe G est fne, plus le système obtenu est effcace. Voc l dée du rasonnement : on fxe q le degré du polynôme. On suppose que l attaquant A a un avantage ɛ et une complexté égale à t = On note λ le paramètre de sécurté correspondant. On suppose

67 4.3- Extenson de la noton d anonymat 61 Schéma BF KS BW Gentry Représentaton (en bts) Talle de mpk SS/ 80 bts MNT/ 80 bts G G T Complexté Encaps Coût relatf 1 Exp/Dble Exp. ds G 1 0/1 4/1 0/1 1 1 Exp ds G T Haché dans G Couplage Complexté Decaps Exp ds G/G T 0/1 Couplage Fg. 4.4 Performance des schémas IB-KEM anonymes présentés en terme de talle des paramètres publcs, complexté en temps des algorthmes d encapsulaton et de décapsulaton. que le nombre de requêtes q ID est tel que q ID < Alors la complexté de B est t = t + O(τ q ID q). Et pusque τ q ID q = , t condtonne le paramètre de sécurté. Et s on suppose qu une réducton perd un facteur q, on dot chosr le paramètre de sécurté λ de telle sorte à avor t Nous obtenons donc un paramètre de sécurté plus mportant (et donc des exponentatons plus coûteuses). Comparason des schémas Nous donnons fgure 4.4 les performances des schémas IB-KEM présentés et fgure 4.5 les paramètres permettant d apprécer la fnesse des réductons pour la sécurté sémantque (face aux attaques à messages choss) et l anonymat. Pour le premer tableau, la parte drote donne une dée de la complexté en pratque pour les paramètres de sécurté λ = 80 bts 2 dans le cas des courbes de Type 1 (de grande caractérstque) décrtes dans [31] et de type 2, non super-sngulères ntrodutes par Myaj et al. [100], pus décrtes et baptsées courbes MNT dans [33]. 4.3 Extenson de la noton d anonymat Noton d anonymat KwrtA Notons que même s la constructon de schémas anonymes n est pas une tâche facle, la noton d anonymat n est en sot pas s forte pusqu elle ne capture pas l anonymat vs à vs de l autorté. Dans cette secton, nous ntrodusons une nouvelle noton de sécurté en consdérant l autorté comme attaquant potentel. Par la sute nous appellerons cette noton Anonymat vs à vs de l autorté, (ou Key Anonymty wth respect to the Authorty) et nous parlerons d anonymat au sens KwrtA. Notons que la noton d anonymat classque ne 1 Dans [34], on dstngue les exponentatons en base fxe de celles en base quelconque, pusque ces dernères sont 5 fos plus coûteuses. Ic, on donne juste une approxmaton et on reporte le lecteur à [34] pour une expertse détallée de la complexté. 2 Ce chox requert une talle de groupes au mons de 160 bts, et un corps fn de talle au mons 1024 bts.

68 62 Chaptre 4. Chffrement anonyme Schéma BF [31] KS [56] BW, [36] Gentry, [71] Hypothèse utlsée Sécurté sémantque DBDH G,GT (s-id) q-dbdhi G,GT (s-id) DBDH G,GT q-t-abdhe G,GT Anonymat Model. de H Model. de H DLIN G,GT q-t-abdhe G,GT Fnesse Facteur de sécurté séc. sém. q H qh Fg. 4.5 Hypothèses de sécurté et fnesse de la réducton pour quelques-uns des schémas IB-KEM anonymes. L abrévaton Model. de H sgnfe que la sécurté dépend du nombre de requêtes à l oracle. Une estmaton de q H d après [18] est 2 50 en prenant λ = 80 pour paramètre de sécurté. se généralse pas trvalement face à une autorté malhonnête : supposons que l adversare A génère les paramètres secrets et publcs 3, l peut alors générer toutes les clés secrètes des utlsateurs. Pour une pare (K, c ) donnée, l attaquant peut évdemment vérfer à quelle dentté cette pare correspond. Par conséquent, dans le jeu de sécurté, nous tronquons le challenge de manère à ne donner que c à l attaquant. Cependant, pour justfer la pertnence de cette noton, certanes précautons dovent être prses. Consdérons un exemple smple : nous soumettons un chffré c à l attaquant et ce derner teste le déchffrement pour une dentté de son chox (l peut s agr d une dentté quelconque ou d une dentté parm deux cblées). Il obtent une clé éphémère K. Pour le chffrement IB-KEM, s la clé sut une dstrbuton unforme, notre nouvelle défnton KwrtA se révèle alors tout à fat cohérente. Et pusqu un schéma IB-KEM est tradtonnellement assocé à un schéma DEM, l convent de justfer la noton d anonymat au sens KwrtA dans le contexte du chffrement hybrde à base d denttés. Consdérons un chffré global C = C 0 C 1, où C 0 est l encapsulaton d une clé K (non connue de l attaquant) sous une certane dentté et C 1 est le chffré obtenu par applcaton du DEM sur un certan message m avec la clé K. Supposons que le schéma IB-KEM sot anonyme au sens KwrtA. Nous devons alors nous assurer que le chffré C 1 ne lasse pas fur d nformaton sur l dentté assocée à C 0, c.à.d. que C 1 ne fournt pas de test addtonnel permettant de sélectonner une dentté assocée au chffré C 0. S la clé éphémère encapsulée sut une dstrbuton unforme et s l attaquant n a pas de connassance sur la dstrbuton a pror du message m, l ne peut pas détermner la valdté d une pare message/dentté : pour un schéma DEM appropré, la clé obtenue en décapsulant C 0 est unforme et le déchffrement de C 1 sous K ne révèle pas d nformaton sur l dentté assocé à C 0. Autrement dt, le déchffrement de C 1 n apporte dans ce cas aucun bas sur K et donc sur l dentté. Défnton Il est mportant de précser que pour cette nouvelle noton, l adversare dot générer des paramètres publcs mpk valdes. Dans certans cas, l s agt ben d une valeur aléatore ; mas parfos, s une certane forme de redondance est présente dans la clé publque, la sécurté de tout le système peut être compromse. La clé mpk dot donc vérfer des proprétés de valdté, défnes par l algorthme suvant : Vald IBK (mpk) : cet algorthme prend en entrée les paramètres publcs mpk, et vérfe s ls satsfont les proprétés requses défnes par le schéma. 3 Ces derners paramètres sont soums à certanes condtons que nous précserons.

69 4.3- Extenson de la noton d anonymat 63 Pour le concept de mécansme d encapsulaton de clés basé sur l dentté, IB-KEM, nous défnssons la noton d anonymat au sens KwrtA : Défnton 14 (Notons de sécurté d anonymat au sens KwrtA) Consdérons un attaquant A et un schéma IB-KEM défn par IB-KEM déf = Setup, Extract, Encaps, Decaps. Nous défnssons la noton de sécurté d Anonymat vs à vs de l autorté par l expérence suvante : Expérence Exp kwrta anon-b IB-KEM,A (λ) (mpk, ID 0, ID 1, state) A 1 (FIND, λ) ; t.q. Vald IBK (mpk) ; b R {0, 1}; (K, c ) Encaps IBK (mpk, ID b ) ; b A 2 (GUESS, c, state) ; retourner b ; On défnt l avantage de l attaquant A dans le jeu précédent par : Pr[Exp IB-KEM,A (λ) = kwrta anon-1 IB-KEM,A (λ) = 1] Pr[Expkwrta anon-0 IB-KEM,A (λ) = 1] Adv kwrta anon On dt qu un schéma IB-KEM est anonyme au sens KwrtA s l avantage de A à décder à laquelle des deux denttés engagées le chffré challenge correspond est néglgeable en le paramètre de sécurté. Comparason avec l anonymat classque Pour cette nouvelle noton d anonymat KwrtA, l adversare connaît la clé maître permettant de générer les clés prvées des utlsateurs. Cela dt, sa décson ne dot dépendre que du chffré challenge c. Par conséquent, les deux notons d anonymat ne sont pas vrament comparables. De plus, s l adversare génère des paramètres publcs mpk, nous devons pouvor vérfer que sa génératon a été fate correctement Analyse des schémas IB-KEM au sens KwrtA Dans cette parte, nous étudons les proprétés d anonymat au sens KwrtA de quelquesuns des schémas présentés au paragraphe Rappelons que F mpk est une foncton défne sur l ensemble des denttés, à valeurs dans G, et dépendant éventuellement d un paramètre mpk. Schéma de Boneh-Frankln [31] Dans ce schéma, msk = s R Z p et mpk = g s (vor fgure 4.1). La foncton F est ndépendante de mpk, elle est à valeurs dans G et est modélsée par un oracle aléatore dans l analyse de sécurté. Le chffré c = g r G correspond à la clé K = e(f (ID), mpk) r = BDH g (mpk, c, F (ID)) = e(usk ID, c), où usk ID = F (ID) s = co-cdh g F (ID)(mpk) G. Pusque le chffré est totalement ndépendant de l dentté, ce schéma est anonyme au sens KwrtA de manère ncondtonnelle.

70 64 Chaptre 4. Chffrement anonyme Schéma de Boneh-Boyen [25] Nous avons décrt ce schéma IBE fgure 3.4. Nous pouvons dérver le schéma IB-KEM assocé : avec α R Z p, g, g 2, h R G, on a : mpk déf = (g, g 1 = g α, g 2, h), alors que msk vaut g2 α. La foncton F mpk est défne par F mpk (ID) = g1 ID h. Le chffré c = (gs, F mpk (ID) s ) correspond à la clé : K = e(g 1, g 2 ) s = e(c 1, usk 2 )/e(usk 1, c 2 ), s usk ID est défne par (g r, msk F mpk (ID) r ), pour un certan r R Z p. Comme pour le schéma précédent, la sécurté sémantque repose sur l hypothèse DBDH G,GT dans le modèle standard, mas face les attaques à clars choss et à denttés orentées, avec accès aux requêtes Extract. Rappelons que le schéma de sgnature sous-jacent est résstant aux contrefaçons, face aux attaques à messages choss sous l hypothèse CBDH G,GT. Cependant, la redondance présente dans le chffré permet de tester s ce chffré est attrbué à une dentté donnée, ce schéma n est donc pas anonyme : en effet, n mporte qu peut tester pour un canddat ID et un chffré c = (c 1, c 2 ), s e(c 1, F mpk (ID))? = e(c 2, g) Pusque cette attaque ne nécesste pas de clé K canddate, le schéma n est a fortor pas anonyme au sens KwrtA. Schéma de Gentry [71] Rappelons brèvement ce schéma, décrt fgure 4.3. Pour défnr les paramètres publcs, on chost g, h R G et α R Z p et on pose mpk = (g, g 1 = g α, h) et msk = α. La foncton F mpk est défne par F mpk (ID) = g 1 g ID = g α ID. Le chffré c = (F mpk (ID) s, e(g, g) s ) correspond à l encapsulaton de la clé K = e(g, h) s. En posant (usk 1, usk 2 ) = (r, (hg r ) 1/(α ID) ), pour un exposant r aléatore dans Z p, on a : K = e(g, h) s = e(g s, h) e(g, g) sr e(g, g) sr = e(g s, hg r ) e(g, g) sr = e(g α ID, hg r ) s/(α ID) e(g, g) sr = e(c 1, usk 2 ) c 2 usk 1. Comme nous l avons vu au paragraphe 4.2.2, ce schéma est sémantquement sûr et anonyme contre les attaques à clars choss avec accès aux requêtes d extracton sous l hypothèse q-t-abdhe G,GT. Ce schéma n est pas anonyme au sens KwrtA. En effet, la structure blnéare combnée à la redondance du chffré permet de tester une dentté ID : connassant α, un attaquant A peut tester s Schéma de Boyen-Waters [36] c 2 α ID = e(g, g) s(α ID )? = e(c1, g) = e(g s(α ID ), g) Nous avons déjà donné une descrpton de ce schéma IBE fgure 4.2. Rappelons juste la forme du chffré. La foncton F mpk est défne par F mpk (ID) = g 0 g 1 ID. Pour encapsuler une R clé, on chost un s, s 1, s 2 Zp et on pose K = Ω s. Pus on calcule c = (c 0, c 1, c 2, c 3, c 4 ), avec c 0 = F mpk (ID) s, c 1 = v s s 1 1, c 2 = v s 1 2, c 3 = v s s 2 3, et c 4 = v s 2 4. Rappelons que ce schéma est sémantquement sûr sous l hypothèse DBDH G,GT, et anonyme sous l hypothèse lnéare décsonnelle. Étant donné que notre schéma n est pas

71 4.3- Extenson de la noton d anonymat 65 comparable à celu-c, nous ne donnerons pas plus de détals sur les preuves. Le lecteur est nvté à consulter l artcle [36] pour plus de précsons sur la preuve de sécurté de ce schéma. Par alleurs, ce schéma n est pas anonyme au sens KwrtA : en effet, la connassance de la clé secrète msk permet de tester s le trplet c 0, c 1, c 2 et/ou c 0, c 3, c 4 est un trplet lnéare en base v 0, v 1, v 2 et v 0, v 3, v 4 respectvement. Remarquons que pour tous les schémas décrts, les paramètres publcs sont consttués d éléments ndépendants dans les groupes approprés. Le test de valdté Vald IBK est donc trval Un canddat On remarque qu aucun des schémas précédents ne satsfat la noton d anonymat KwrtA dans le modèle standard. Mas surtout, pour l applcaton de la prochane parte, nous ntrodurons une nouvelle noton de sécurté : malheureusement, aucun des schémas ne satsfat ces deux notons à la fos. Descrpton Dans ce paragraphe, nous présentons un schéma proposé an collaboraton avec Davd Pontcheval dans l artcle [85]. Setup IBK : l algorthme Setup chost deux générateurs aléatores g, h G, un exposant ω Z p. On défnt la clé secrète maître par msk = ω. Les paramètres publcs sont défns par : mpk = (g, g 1 = g ω, h). La foncton F mpk est défne par : F mpk (ID) = g 1 g ID = g ω+id. Comme précédemment, les paramètres publcs sont consttués d éléments ndépendants dans les groupes approprés. Le test de valdté Vald IBK (mpk) est donc trval. Extract IBK (mpk, ID) : l autorté extrat la clé prvée correspondant à l dentté ID par : usk ID = h 1/(ω+ID). Encaps IBK (mpk, ID) : pour générer une clé éphémère pour l dentté ID, l algorthme chost un exposant aléatore r Z p, et crée une pare clé éphémère/chffré en calculant : c = F (ID) r, qu correspond à la clé K = e(g, h) r. Decaps IBK (usk ID, c) : l algorthme de déchffrement extrat la clé éphémère du chffré c en calculant : K = e(usk ID, c). Proprétés et sécurté Notre canddat satsfat dfférentes notons de sécurté : sécurté sémantque, anonymat classque et anonymat au sens KwrtA, et non malléablté d denttés, une noton que nous précserons au chaptre 8. Ce paragraphe est consacré à la preuve de ces résultats. Correcton la procédure de déchffrement se vérfe par un calcul smple : K = e(usk ID, c) = e(h 1/(ω+ID), g r(ω+id) ) = e(h, g) r Sécurté sémantque et Anonymat Il est mportant de précser que nous n avons pas beson d être capable de smuler les oracles d extracton de clés et de déchffrement pour l applcaton de la prochane parte. La noton de sécurté sémantque fable, (vor remarque 4) sufft.

72 66 Chaptre 4. Chffrement anonyme Théorème 5 La sécurté sémantque fable de notre schéma contre les attaques à messages choss et contre les attaques à denttés orentées repose sur le problème DBDH G,GT dans le modèle standard. Démonstraton: Supposons par l absurde qu l exste un attaquant A capable de casser la sécurté sémantque fable du schéma paragraphe en un temps t avec un avantage non néglgeable ɛ. On construt alors un algorthme B capable de résoudre le problème DBDH G,GT en temps t. Sot (u, A = u a, B = u b, C = u c, V ) une nstance du problème DBDH G,GT, où V est sot e(u, u) abc ou sot un élément aléatore de G T. Sot ID l dentté retournée par l attaquant A. Intalsaton : on calcule d abord : g = A = u a h = C = u c = g c/a g 1 = u t A ID = u t aid, et c = B. Ce qu défnt de manère mplcte msk = t/a ID, pour un t chos aléatorement t R Z p ; Challenge : d après ce qu précède F mpk (ID ) = g 1 g ID = u t A ID A ID = u t, et l aléa r du chffré challenge est détermné par : c = F mpk (ID ) r = u tr = u b = B et r = b/t. Et donc, la clé encapsulée correspondante est défne par : K = e(h, g) r = e(u c, u a ) b/t = e(u, u) abc/t. On défnt la sorte du challenger par (V 1/t, c) ; Réponse : l attaquant A retourne sa réponse b et B renvoe b = b. Analyse de probablté : 1. S V = e(u, u) abc, le chffré challenge est ben l encapsulaton de la clé K challenge assocée, comme défne par la constructon. Dans ce cas, la probablté que B gagne est égale à la probablté que A devne le bt b plus 1 2 : 2. et snon, la pare challenge est consttuée de deux éléments parfatement aléatores dans G T G. Et la probablté de gagner est 1 2. Un adversare capable de casser la sécurté sémantque sans appel à l oracle d extracton permet de décder s V est ben le Dffe-Hellman blnéare de A, B et C en base u = g ou ben une valeur aléatore. Pour prouver la noton de sécurté sémantque forte, c.à.d. avec accès aux requêtes d extracton, mas auss à denttés non orentées, nous devons être capable de smuler ces requêtes, qu nécesstent des entrées supplémentares. Mas d abord, nous modfons le schéma de telle sorte à utlser H(ID), à la place de ID, dans la descrpton précédente, où H est un oracle aléatore [16] à valeurs dans Z p. Théorème 6 La sécurté sémantque de notre schéma (où on utlse H(ID) à la place de ID) contre les attaques à messages choss et contre les attaques à denttés non orentées repose sur le problème Successve-Power Verson, dans le modèle de l oracle aléatore.

73 4.3- Extenson de la noton d anonymat 67 Démonstraton: Supposons par l absurde qu l exste un attaquant A capable de casser la sécurté sémantque du schéma présenté au paragraphe que nous avons modfé, en un temps t avec un avantage non néglgeable ɛ. Supposons que cet attaquant fat au plus q ID requêtes d extracton. On construt alors un algorthme B capable de résoudre le problème q-sp-dbdh G,GT en temps t. Soent u, A = u a, B = u b, C = u c, C = C 1/a, pour = 1,..., q, et V G T des nstances du problème q-sp-dbdh G,GT, où V est sot le Dffe- Hellman blnéare de A, B et C en base u, e(u, u) abc, sot un élément aléatore de G T. Intalsaton : on calcule d abord {V = e(u, u) bc/a } =0...q, sachant que V 0 = e(b, C), et V = e(b, C ), pour = 1,..., q. Pus, on chost des éléments aléatores x 1,..., x q R Z p, et on pose P (X) = (tx +x ), qu est un polynôme de degré q. On pose alors g = A = u a et g 1 = u t A x, pour t, x R Z p, ce qu défnt de manère mplcte msk = t/a x. Pus, on pose h = C P (1/a) = u cp (1/a), qu peut être calculé faclement à partr de C, C 1,..., C q. Phase 1 : réponse aux requêtes Extract : tout d abord, on répondra à toutes les requêtes par un exposant x + x, ou x (pour une requête unque chose aléatorement) : on espère assgner x à H(ID ), l dentté sur laquelle l adversare s est engagée. La probablté qu un tel événement se produse est 1/q. Supposons qu l a leu. Par défnton, on a F mpk (ID ) = g 1 g H(ID ) = u t A x A x = u t ; et pour toutes les autres denttés, on a : H(ID j ) = x j, et usk j peut alors être calculée par : h 1/(mpk+x +x j ) = C P (1/a)/(mpk+x +x j ) = C P (1/a)/(t/a+x j) = C P j(1/a), où P j est un polynôme de degré q 1. Alors, nous pouvons calculer usk j à partr de C, C 1,..., C q 1. On peut de cette manère smuler les oracles d extracton ; Challenge : comme précédemment, on défnt le chffré challenge par c = B = u b = F mpk (ID ) r pour r = b/t. La clé encapsulée correspondante est donc : K = e(g, h) r = e(u a, u cp (1/a) ) b/t = (e(u, u) abc ) P (1/a)/t. Développons le polynôme P : P (X) = =q =0 p X, et alors =q K = e(u, u) abc p0/t e(u, u) bc/a 1 p /t = (e(u, u) abc) p 0 /t =q V p /t 1. On retourne le challenge : =1 ( ) =q V p0/t V p /t 1, c. Phase 2 réponse aux requêtes Extract : comme à la Phase 1 ; Réponse : l attaquant A retourne sa réponse b et B renvoe b = b. Analyse de probablté : =1 1. s V = e(u, u) abc, la clé correspondante est donnée par : V p0/t =q 1. On remarque que p 0 = x 0 mod p : le chffré challenge est ben l encapsulaton de la clé K challenge assocée, comme défn par la constructon. Dans ce cas, la probablté que B gagne est égale à la probablté qu a A de devner le bt b plus 1 2 ; =1 =1 V p /t 2. snon, la pare challenge (K, c ) est consttuée de deux éléments parfatement aléatores dans G T G : la probablté de gagner est 1 2.

74 68 Chaptre 4. Chffrement anonyme Un adversare capable de casser la sécurté sémantque forte sans appel à l oracle d extracton permet de décder s V est ben le Dffe-Hellman blnéare ou ben une valeur aléatore. On casse alors le problème q-sp-dbdh G,e. Anonymat La noton d anonymat usuelle repose sur la même hypothèse que la sécurté sémantque, c.à.d. le problème Successve Power Verson. On peut prouver ce résultat en changeant le format du challenge dans la preuve précédente exactement comme pour la preuve présentée au paragraphe D autre part, comme le chffré c = F (ID) r est un élément aléatore dans G, quelle que sot l dentté ID, le schéma est anonyme au sens KwrtA de manère ncondtonnelle. Théorème 7 Notre schéma est anonyme au sens KwrtA de manère ncondtonnelle. Démonstraton: Sot A un attaquant contre l anonymat au sens KwrtA de notre canddat. Nous supposons qu l est en possesson d une clé maître msk que nous ne connassons pas. Il retourne deux denttés ID 0, ID 1 et des paramètres publcs mpk. Nous vérfons la valdté de mpk = (g, g 1, h). S la clé n est pas valde, l attaquant a un avantage nul ; snon, nous chosssons un bt b et calculons Encaps IBK (mpk, ID b ) = (c, K). Nous lu renvoyons le chffré c, où c = F mpk (ID b ) r = (g 1 g ID b) r pour un r aléatore dans Z p. Il est évdent que c est un élément parfatement aléatore dans G : la connassance de msk ne sufft pas à devner le bt b avec un avantage sgnfcatvement melleur que 1/2.

75 Chaptre 5 Anonymat révocable Dans ce chaptre, nous exposons le concept d anonymat pour le chffrement dans un contexte mult-utlsateurs. Nous ntrodusons la prmtve de chffrement de groupe proposé par Kayas, Tsouns et Yung dans [88], permettant d obtenr un tel mécansme. Pour commencer, nous rappellerons brèvement le concept de sgnature de groupe, qu peut être vu comme le dual du concept de chffrement de groupe, excepté que dans ce deuxème cas, nous voulons masquer l dentté du destnatare d un message et non plus celle du sgnatare. Nous mettrons également l accent sur les mécansmes permettant la révocaton de membres. Par alleurs, prouver l appartenance d un membre au groupe reste un objectf fondamental : nous étendons le modèle de sécurté en consdérant des tentatves frauduleuses d enregstrement au sen du groupe. Pour parvenr à la concepton d une prmtve ntégrant ces multples fonctonnaltés, nous ntrodurons les schémas de rechffrement. Sommare 5.1 Prmtves de groupe Sgnature de groupe Défnton Proprétés Chffrement de groupe Introducton au chffrement de groupe Défntons et proprétés Constructon générque Descrpton Exemple Modélser la valdté Schémas de rechffrement Introducton Défntons et proprétés Constructon d un schéma de rechffrement Constructon générque Exemple dérvé de Cramer-Shoup Sécurté replayable CCA Défnton Constructon replayable CCA Extenson de l anonymat Prmtve de groupe

76 70 Chaptre 5. Anonymat révocable Phase d enregstrement Le médateur Modèles Défnton Modèle de sécurté Relaton entre les notons de sécurté Descrpton de notre schéma Analyse de sécurté Correcton Sécurté Sémantque Anonymat Absence de canaux sublmnaux Extenson Concluson Prmtves de groupe Nous commençons par présenter les défntons et proprétés des sgnatures de groupe et du chffrement de groupe. Nous pourrons alors établr des connexons entre ces deux prmtves duales, et mettre en lumère les partculartés de l anonymat pour le chffrement Sgnature de groupe Les sgnatures de groupe ont été ntrodutes en 1991 par Chaum et Van Heyst [54]. Ce procédé permet à des usagers de sgner des messages au nom du groupe sans que la sgnature produte ne révèle l dentté du sgnatare. Néanmons, on dot être capable de vérfer la valdté de la sgnature et l appartenance du sgnatare au groupe. De plus, en cas de conflt, une autorté atttrée dot être capable de lever cet anonymat. En premer leu, la motvaton proposée par Chaum et Van Heyst état assez restrctve : une entreprse souhate permettre à ces employés d accéder à un servce de manère anonyme. Au fl des années, l usage des sgnatures de groupe s est généralsé à dvers contextes, comme les enchères électronques [103] ou la monnae électronque [45], par exemple. Défnton Un schéma de sgnature de groupe met en jeu des utlsateurs, une autorté chargée d enregstrer les membres, et un ters de confance chargé de la révocaton des membres. Dans certans cas, ces deux autortés ne font qu une entté. Défnton 15 Un schéma de sgnature de groupe est défn par la donnée de cnq algorthmes : GSetup, GJon, GSgn, GVerfy et GOpen chacun défn par : GSetup : étant donné un paramètre de sécurté λ, GSetup renvoe les paramètres communs du système params, deux pares clé publque/clé secrète (mpk, msk) et (pk O, sk O ) respectvement attrbuée au manager et à l autorté d ouverture. GJon : l s agt d un protocole nteractf J ID, J GM entre un utlsateur ID et le manager à l ssue duquel l utlsateur obtent un certfcat d appartenance au groupe cert 1. 1 On suppose que le certfcat content la clé secrète sk ID

77 5.1- Prmtves de groupe 71 GSgn : l s agt d un algorthme probablste qu prend un entrée un message m, une clé secrète sk ID et un certfcat cert. Cet algorthme retourne la sgnature du message, σ. GVerfy : étant donnés les paramètres publques mpk, un message m et une sgnature σ, cet algorthme (détermnste) retourne 1 s σ est la sgnature du message m produte par l un des membres et 0 snon. GOpen : étant donnés la clé sk O, les paramètres mpk, un message m et une sgnature valde de m, σ, cet algorthme renvoe l dentté du sgnatare. Proprétés Deux modèles de sécurté ont été proposés pour les schémas de sgnature de groupe. Le premer modèle, ntrodut en 2003 par Bellare et al. [13] (BMW) s applque aux sgnatures statques ; ce modèle a été étendu par Bellare et al. [21] aux sgnatures dynamques (BSZ). Le premer modèle regroupe tros proprétés : la consstance, l anonymat et la traçablté ; en fat, les proprétés d anonymat et de non-relablté sont unfées en un seul jeu et la noton de traçablté regroupe à la fos la noton de traçablté classque, la résstance aux falsfcatons et aux coaltons. Pour le second modèle, on dstngue quatre proprétés : la consstance, l anonymat, la traçablté et la non-dffamaton. Nous présentons c-dessous les dfférentes proprétés exstantes de manère nformelle. Pour meux comprendre leur mpact dans chacun des modèles, nous reportons le lecteur aux artcles respectfs les ayant ntrodutes : correcton et consstance : l algorthme GVerfy renvoe toujours 1 pour toute sgnature produte par l algorthme GSgn pour une clé secrète valde et 0 snon ; traçablté : pour toute sgnature valde, l autorté de révocaton dot être capable de retrouver l dentté du sgnatare résstance à la falsfcaton : tout attaquant polynomal non enregstré ne dot pas être capable de produre une sgnature valde ; anonymat : tout attaquant polynomal en possesson d une sgnature ne dot pas être capable de retrouver l auteur de celle-c ; anonymat fort (ou non-traçablté) : tout attaquant polynomal en possesson de deux sgnatures, ne dot pas être capable de détermner s elles ont été produtes par le même sgnatare ; non-relabllté : tout attaquant polynomal en possesson de deux pares message/sgnature ne dot pas être capable de détermner s elles ont été produtes par le même sgnatare ; non-nculpaton : tout membre enregstré ne dot pas être capable de produre une sgnature au nom d un autre membre du groupe ; non-dffamaton : n les membres, n le manager ne dovent être capable de produre une sgnature au nom d un autre membre du groupe ; résstance aux coaltons : toute coalton de membres ne dot pas être capable de produre une sgnature ouvrable sur un membre n appartenant pas à la coalton. Les premers schémas de sgnatures proposés par Chaum et Van Heyst possédaent des talles de paramètres publcs proportonnelles au nombre de membres, ce qu rendat ces schémas peu utlsables en pratque. Mas depus, d autres schémas beaucoup plus effcaces ont été proposés [30, 37, 78], offrant auss une plus grande flexblté : désormas,

78 72 Chaptre 5. Anonymat révocable tous les schémas consdèrent des groupes dynamques [7, 42, 44], à l opposé de leurs prédécesseurs [54, 57, 40], pour lesquels la dstrbuton des clés est smultanée pour tous les membres. L apparton de nouveaux mécansmes anonymes, (en parte lée à l utlsaton des groupes blnéares pour la concepton de protocole) a énormément contrbué à ces améloratons. On pourra cter pour exemple les systèmes de preuves à la Groth-Saha [79], permettant de vérfer la valdté d une asserton sur des données chffrées sans jamas compromettre l anonymat du sgnatare Chffrement de groupe Le chffrement de groupe a été ntrodut en 2007 par Kayas, Tsouns et Yung dans [88]. Ce concept permet aux utlsateurs de masquer leurs préférences, comme par exemple dans certans systèmes flexbles permettant de désgner une autorté de confance ; dans le cas des sgnature de groupe, l s agt de l autorté d ouverture. Introducton au chffrement de groupe Dans l artcle [88], les auteurs donnent les proprétés défnssant cette prmtve ; ls formalsent également un modèle de sécurté à l exemple des travaux publés sur les sgnatures de groupes statques [13] et dynamques [21]. Ils exhbent également une constructon générque utlsant comme brque de base un schéma de chffrement sémantquement sûr et anonyme, résstant aux attaques à chffrés choss adaptatves. Une des applcatons théorques ntéressantes, que nous approfondssons dans cette parte, est l dentfcaton des chffrés nvaldes. Plus précsément, le système dot être correct 2 et de manère complémentare, le système dot être consstant : tout chffré valde dot pouvor être assocé à une dentté enregstrée. Dans le chffrement de groupe, cette proprété de consstance est garante par l usage de preuves nteractves d appartenance, ce qu aboutt à des protocoles neffcaces. Par alleurs, un utlsateur peut très ben fare passer de l nformaton de manère malhonnête au moyen de l aléa de la foncton de chffrement. En effet, afn de garantr la sécurté sémantque, toute foncton de chffrement asymétrque est probablste et le pouvor de chffrer sufft à fare passer de l nformaton supplémentare : par exemple, que se passe-t-l s l attaquant utlse la clé publque d un destnatare qu n est pas dans le groupe? Dans le but de masquer toute nformaton que l attaquant serat susceptble de voulor préserver, nous suggérons de rechffrer les chffrés. Nous présentons d abord les prmtves de chffrement de groupe et de rechffrement, avant d ntrodure une nouvelle prmtve vérfant des proprétés de consstance que nous précserons. Défntons et proprétés Dans cette parte, nous défnssons la prmtve de chffrement de groupe et formalsons les proprétés assocées. Ce modèle se dédut de manère assez naturelle à partr de celu défn pour les sgnatures de groupe. Pour les défntons qu suvent, on notera (out1 out2) P(n1), V(n2) (n) l exécuton d un protocole nteractf entre P et V possédant chacun les entrées n1 et n2 respectves, avec n pour entrée commune ; P et V retournent out1 et out2 respectvement. On défnt les flag accepte, termne ou rejette pour ndquer que l un des deux nterlocuteurs accepte, termne ou rejette ; en outre, ces flag ndquent la fn du processus. 2 Dans notre cas, nous parlerons de correcton parfate.

79 5.1- Prmtves de groupe 73 Défnton 16 (Schéma de chffrement de groupe) Un schéma de chffrement de groupe pour une relaton publque R décdable en temps polynomal est défn par une collecton de procédures et de protocoles : GSetup, KeyGen GM, KeyGen OA, GJon, G R, R, sample R, GEncrypt, GDecrypt, GOpen, GJudge défns par : GSetup : étant donné un paramètre de sécurté λ, GSetup renvoe les paramètres communs du système params ; KeyGen GM (resp. KeyGen OA ) : prend en entrée les paramètres params et renvoe une pare de clés publque/secrète (mpk, msk) (resp. (pk O, sk O )) ; GJon : l s agt d un protocole nteractf J ID, J GM entre un utlsateur ID (ID peut être vu comme un dentfant ou un pseudonyme) et le manager à l ssue duquel l utlsateur obtent une pare de clés (pk ID, sk ID ) et le certfcat 3 assocé cert. La clé publque de l utlsateur pk ID et le certfcat assocé cert sont ajoutés dans une lste d enregstrement L ntalement vde. On défnt cette lste de la manère suvante : L déf = {pk ID cert ((pk ID, sk ID, cert) pk ID, cert) J ID (), J GM (msk)(mpk) } G R, R, sample R : l algorthme G R prend en entrée le paramètre de sécurté λ et renvoe une clé publque et prvée pk R, sk R assocées à la relaton R. L algorthme de test R est polynomal, l prend un entrée une pare d éléments (x, w) et renvoe 1 s et seulement s (x, w) appartent à la relaton R assocée au paramètre publc pk R. La relaton R prend en entrée la clé publque et une pare (x, w) et renvoe 1 s les éléments x et w vérfe la relaton R et 0 snon. La procédure sample R prend en entrée la clé publque pk R et la clé secrète sk R, pus renvoe un couple (x, w) tel que R(x, w) renvoe 1. S cette procédure est publque alors sk R est une chaîne de caractères vde. La proprété de vérfablté est facultatve et dans certans cas, la relaton R peut tout smplement être la relaton trvale où le témon w assocé à x peut être une chaîne de caractères quelconques ; GEncrypt : étant donnés une dentté ID, un message w, cet algorthme chffre w pour le destnatare ID en possesson de la clé pk ID et du certfcat cert assocé : l calcule c GEncrypt(params, mpk, pk O, pk ID, w, L), où L est une étquette contenant de l nformaton publque auxlare. Enfn, l algorthme renvoe (x, c, L) ; GDecrypt : étant donnés la clé sk ID, le chffré c (destné à pk ID ) et l étquette L assocée, cet algorthme retourne le message w ; GOpen : étant donnés la clé sk O, un chffré c et l étquette L assocée, cet algorthme retourne pk ID ; GJudge : l s agt d un protocole nteractf entre un prouveur P et un vérfeur V, noté P(pk ID, cert, w, con c ), V (params, mpk, pk O, pk ID, x, c, L), où con c est l aléa qu a été utlsé pour produre c. Le but du prouveur est de convancre le vérfeur qu l exste un utlsateur enregstré capable de déchffrer le 3 Il s agt d une sgnature de pk ID avec une clé secrète connue du manager.

80 74 Chaptre 5. Anonymat révocable chffré envoyé par le prouveur. À l ssue de ce protocole, le vérfeur est capable de savor s l exste ben un utlsateur enregstré, qu en déchffrant c obtent w, ou une valeur w telle qu l exste une foncton f telle que (f(w ), x) R. Pour smplfer, on supposera que f est la foncton dentté. En cas de succès, le prouveur renvoe termne ndquant la termnason du protocole et le vérfeur retourne le message vra. Correcton De manère ntutve, la proprété de correcton peut se formalser ans : s un chffré est valde, c.à.d. correctement formé et correspond à une clé publque enregstrée (générée de manère honnête), l algorthme GOpen renvoe la clé publque du destnatare, et s le prouveur est honnête, le vérfeur accepte le prouveur avec probablté écrasante. Plus formellement, le schéma est correct s l expérence c-dessous renvoe 1 avec probablté écrasante : Expérence Exp correct GE,A (λ) params GSetup(λ) ; pk R, sk R G R (λ) ; (x, w) sample R (pk R, sk R ) ; (mpk, msk) KeyGen GM (params) ; (pk O, sk O ) KeyGen OA (params) ; pk ID, sk ID, cert pk ID, cert J ID, J GM (msk) (mpk) ; s pk ID / L retourner 0 snon c GEncrypt(mpk, pk O, pk ID, cert, w, L) ; (out1 out2) P(pk ID, cert, w, con c ), V (params, mpk, pk O, pk R, x, c, L) ; s out1 = termne et s pk ID = GOpen(sk O, c, L) et s out2 = accepte retourner 1 snon retourner 0. Remarque 6 Dans [88], l algorthme GOpen prend en entrée un préfxe c de c, cette dstncton est essentelle pour attendre une noton d anonymat plus forte, avec accès à l oracle de révocaton. Sécurté Le jeu de sécurté se déroule de la manère suvante : l attaquant génère les clés publques des deux autortés ; l a la possblté d ntrodure un membre dans le groupe. Il retourne une clé publque. Nous supposons que l attaquant a accès à un oracle de déchffrement OGDecrypt ID () qu déchffre pour le clé du destnatare, sk ID du chffré challenge (sauf pour le chffré challenge c). Il chost ensute une relaton R et une pare (x, w) R. Suvant la valeur du bt b, on lu renvoe le chffré de w sous la clé pk ID ou un chffré d un message w, complètement aléatore dans l espace de tous les messages possbles que l on note M. À l ssue de cette phase, on envsage deux possbltés suvant la valeur du bt b : ou ben A est engagé dans une preuve de valdté du chffré avec l émetteur réel, ou ben, l est engagé dans une preuve de valdté du chffré avec un smulateur. L attaquant gagne s l devne le bt b avec un avantage sgnfcatvement plus grand que 1 2. Pour défnr cette expérence, on défnt un oracle supplémentare, OProve b P,P ( ) qu étant donné un bt b, smule l exécuton du prouveur : P, qu prend en entrée mpk, pk O, pk ID, cert, pk R, x, w, c, L, con c comme défn par le modèle (s b = 1), ou P qu prend en entrée mpk, pk O, pk ID, cert, pk R, x, c, L (s b = 0). Un schéma GE est sûr s l exste un protocole P tel que pour tout attaquant polynomal A, l expérence, c-dessous retourne 1 avec probablté écrasante :

81 5.1- Prmtves de groupe 75 Expérence Exp nd-cca GE,A (λ) params GSetup(λ) ; (mpk, pk O, state) A(params) ; pk ID, sk ID, cert state J ID, A(state) (mpk) ; (state, x, w, L, pk R ) A OGDecrypt ID () (state ) s (x, w) / R retourner 0 snon b R {0, 1} ; s b = 1, w b w snon w b R M c GEncrypt(pk ID, w b, L) ; b A OProveb P,P ( ),OGDecrypt ID () (state, c) ; s b = b retourner 1 snon retourner 0 Remarque 7 Cette noton est une extenson de la noton de sécurté sémantque. On remarque qu elle prend en compte les corruptons (smultanées) du manager et de l autorté d ouverture pusqu l se peut que l attaquant connasse les secrets msk et sk O. Cependant, elle ne donne aucune nformaton sur des éventuelles coaltons entre utlsateurs : une attaque est jugée valde seulement s la clé publque challenge est valde. Dans le cas contrare, cette noton ne nous apporte aucune nformaton. Anonymat L anonymat pour le chffrement de groupe n est pas tout à fat smlare à la noton d anonymat pour les sgnatures de groupe. Casser l anonymat du chffrement de groupe sgnfe en quelque sorte casser l anonymat du système de chffrement assocé à l autorté de révocaton. Dans ce jeu, l attaquant a un contrôle partel du système : l ne connaît pas la clé de révocaton mas a accès à un oracle d ouverture, noté OGOpen ; l a accès à un oracle d enregstrement lu permettant d ajouter deux membres de son chox, pus un oracle de déchffrement. Le jeu de sécurté se déroule ans : tout d abord, l attaquant enregstre deux denttés ID 0 et ID 1 de son chox, et renvoe une relaton R, un témon w valde pour cette relaton et une étquette L. L attaquant a accès à un oracle de déchffrement OGDecrypt () assocé au destnatare ID pour = 0, 1. Pour calculer la challenge, on chost un bt b, pus on calcule le chffré de w sous la clé pk b avec en entrée la clé mpk, le message w et l étquette L. Dans cette expérence, A a également accès à un oracle, que l on note O P : cet oracle prend en entrée mpk, pk O, pk R, pk b, cert, x, w, c, L, con c, où con c est l aléa utlsé pour produre le chffré et smule le prouveur sur ces entrées exactement comme défn par le modèle. L attaquant gagne s l devne le bt b. Afn de modélser la proprété de séparablté (c.à.d. les pouvors du manager et de l autorté d ouverture sont partagés), on peut permettre à l attaquant de générer les paramètres du manager. On défnt l oracle partel d enregstrement RegU de la manère suvante : RegU : prend en entrée la clé publque du manager et smule l enregstrement de deux utlsateurs désrant devenr membres du groupe. Il a accès à une chaîne de caractères contenant les deux clés publques et secrètes pus les certfcats assocés. Le schéma de chffrement de groupe est anonyme résstant aux attaques à chffrés choss adaptatves avec accès à l oracle d ouverture s l expérence suvante retourne 1 avec probablté écrasante :

82 76 Chaptre 5. Anonymat révocable Expérence Exp anon-cca GE,A (λ) params Setup(λ) ; (pk O, sk O ) KeyGen OA (params) ;(mpk, state) A(params, pk O ) ; (state ) A RegU(mpk,ID 0,ID 1 ),OGOpen() (state) ; (state, x, w, L, pk R ) A OGOpen(),OGDecrypt 0 (),OGDecrypt 1 () (state ) ; s (x, w) / R retourner 0 snon b R {0, 1}; c GEncrypt(params, mpk, pk O, pk b, w, L) ; b A O P (),OGOpen(),OGDecrypt 0 (),OGDecrypt 1 () (state, c) ; s b = b retourner 1 snon retourner 0 Consstance Jusqu c nous nous sommes ntéressés à ce qu se passat vs à vs d un émetteur malhonnête. À présent, du pont de vue d un prouveur malhonnête, on veut garantr que tout chffré valde est assocé à au mons une clé d un des membres. Rappelons que le but du prouveur est justement de convancre le vérfeur que le chffré correspond à un message donné pour la relaton R et que ce chffré est assocé à au mons une des denttés enregstrées. Pour formalser la consstance, on défnt le jeu de sécurté suvant : l attaquant crée de manère adaptatve la lste des membres. Il chost une relaton R et crée un chffré pour une dentté de son chox. Nous défnssons l oracle d enregstrement GReg de la manère suvante : GReg : prend en entrée la clé secrète du manager et smule l algorthme J GM lors de l exécuton du protocole GJon. L attaquant ajoute les clés publques et les certfcats correspondants dans une lste auxlare L, ntalement vde. La lste L content donc toutes les pares clés publques/certfcats des utlsateurs enregstrés par l attaquant. L attaquant gagne s l parvent à convancre le vérfeur que le chffré satsfat la relaton R et s l une des deux condtons suvantes est vérfée : 1. l autorté de révocaton dentfe un utlsateur qu n est pas membre du groupe ; 2. la clé retournée n est pas dans la lste L. Nous défnssons un algorthme supplémentare Vald qu prend en entrée une pare pk, cert et renvoe 1 s cert est un certfcat assocé à la clé publque pk et 0 snon. Nous défnssons la lste L x,l,pk,pk R,mpk,pk O c de la manère suvante : L x,l,pk,pk R,mpk,pk O c déf = {GEncrypt(mpk, pk O, cert, w, L) w : (x, w) R, Vald(pk, cert)} On dt qu un schéma est consstant s pour tout attaquant (polynomal), l expérence c-dessous retourne 1 avec probablté écrasante : Expérence Exp sound GE,A (λ) params Setup(λ) ; (mpk, msk) KeyGen(params) ; (pk O, sk O ) KeyGen OA (params) ; (pk R, x, c, L, state) A GReg(msk, ) (params, mpk, pk O, sk O ) ; state out2 A(state), V (params, mpk, pk O, pk R, x, c, L) ; pk GOpen(sk O, c, L) ; s (pk / L ou c / L x,l,pk,pk R,mpk,pk O c ) et out2 = accepte retourner 1 ; snon retourner ;

83 5.1- Prmtves de groupe 77 Autrement dt, l attaquant gagne s l parvent se fare accepter avec un chffré tel que, étant donnés les paramètres du système, après applcaton de l algorthme d ouverture secret, ou ben nous obtenons une clé qu n est pas enregstrée, ou ben nous obtenons une clé non valde. Remarque 8 Dans les expérences Exp anon cca GE,A et Exp sound GE,A, les requêtes RegU et GReg permettent d autorser les attaques concurrentes ou l exécuton séquentelle de l enregstrement de membres Constructon générque Dans l artcle [88], Kayas et al. montrent que les prmtves cryptographques suvantes permettent d obtenr des condtons nécessares et suffsantes pour la constructon d un schéma de chffrement de groupe vérfant les proprétés ntrodutes au paragraphe précédent : un schéma de sgnature Setup s, G s, S s, V s résstant aux attaques à messages choss adaptatves ; un schéma de chffrement Setup e, KeyGen e, Encrypt, Decrypt sémantquement sûr et anonyme résstant aux attaques à chffrés choss adaptatves ; deux preuves d appartenance à dvulgaton nulle de connassance P pk, V pk et afn de faclter l extracton d un témon, un schéma de mse en gage Z c, C c, T c est utlsé ; ce schéma dot vérfer les proprétés de dssmulaton et d engagement défnes au paragraphe Descrpton GSetup : génère les paramètres en fasant une exécuton séquentelle de Z c, Setup s ; cet algorthme retourne la clé cpk et des paramètres globaux params. ; KeyGen : KeyGen GM correspond à G s et KeyGen OA correspond à Setup e : cet algorthme retourne les clés mpk et msk retournées par G s pus les paramètres globaux du schéma chffrement ; GJon : chaque utlsateur ID désrant devenr membre exécute au préalable l algorthme KeyGen e pour obtenr une pare de clés pk ID, sk ID ; pus l s engage dans un protocole nteractf avec le manager afn de prouver l appartenance de la clé pk ID au langage L. Dans ce cas, le langage des clés valdes est défn par : L déf = {pk sk, r pk, sk KeyGen e (params; r)} Le manager répond par le certfcat cert S s (msk, pk) et la clé publque assocée pk ; GEncrypt : étant donnés une clé publque pk ID, un message w assocé à une valeur x tel que (x, w) R, une étquette L, cet algorthme calcule : c 4 = C c (cpk, cert) c 3 = C c (cpk, pk ID ) c 2 = Encrypt(pk O, pk ID, L 2 ), où L 2 = c 3 c 4 L, c 1 = Encrypt(pk ID, w, L 1 ), où L 1 = c 2 c 3 c 4 L Cet algorthme retourne c = (c 1, c 2, c 3, c 4 ). GDecrypt : étant donnés la clé sk ID, le chffré c destné à pk ID et l étquette L assocée, cet algorthme retourne Decrypt(sk ID, c 1, c 2 c 3 c 4 L) ;

84 78 Chaptre 5. Anonymat révocable GOpen : étant donnés la clé sk O, le suffxe d un chffré c déf = (c 2, c 3, c 4 ) et l étquette L assocée, cet algorthme retourne Decrypt(sk O, c 2, c 3 c 4 L) ; GJudge : l s agt d un protocole nteractf P, V prouvant la valdté du chffré c = (c 1, c 2, c 3, c 4 ). Plus précsément, le but du prouver est de prouver au vérfeur par une preuve d appartenance à dvulgaton nulle de connassance que le t-uplet (params, mpk, pk O, pk R, x, c = (c 1, c 2, c 3, c 4 ), L) vérfe : (con 1, con 2, con 3, con 4, pk ID, cert, w) : C c (cpk, pk ID ; con 3 ) = c 3 C c (cpk, cert; con 4 ) = c 4 V s (pk s, cert; con 3 ) = 1 Encrypt(pk ID, w, (c 2 c 3 c 4 L); con 1 ) = c 1 Encrypt(pk O, pk ID, (c 3 c 4 L); con 2 ) = c 2 (x, w) R Exemple Cette constructon modulare, neffcace consttue malgré tout une preuve d exstence de la prmtve ; elle justfe en quelque sorte les proprétés qu la défnssent. Les auteurs présentent un schéma de chffrement assez complexe, nous renvoyons à l artcle pour la descrpton et les preuves, nous commentons juste les ponts de la constructon modulare qu nous ntéressent c : 1. une relaton de vérfablté : les auteurs proposent un schéma de chffrement vérfable pour la relaton du logarthme dscret. Le système G R, R, sample R est défn de la manère suvante : G R renvoe une clé publque et une clé secrète, pk R = G, g, q, où G est un groupe cyclque d ordre premer q, g un générateur du groupe G et sk R =. Enfn, sample R sélectonne un élément x dans Z q et renvoe (x, y = g x ), ce qu défnt mplctement la relaton ; 2. un schéma de chffrement IND-CCA et ANON-CCA : l artcle [88] propose un schéma de chffrement sémantquement sûr et anonyme résstant aux attaques à chffrés choss. La constructon de ce schéma est nsprée des cryptosystèmes de Paller et de Cramer-Shoup. La sécurté sémantque repose sur le problème décsonnel de la haute résduosté, et l anonymat sur un nouveau problème, qu peut être vu comme l extenson du problème DDH dans un sous-groupe cyclque partculer χ n 2 (χ n 2 est le sous-groupe des n ème résdus quadratque dans Z n 2 -tel que l ordre ne sot pas frable). Nous n aborderons pas plus en détal cette constructon. Pour plus de précsons, nous renvoyons à l artcle [88]. 3. une preuve de valdté de la clé publque : cette preuve est lée au schéma de chffrement ; l utlsateur dot prouver qu l est en possesson d une clé publque générée par l algorthme KeyGen e. Pour leur schéma, l s agt de montrer que la clé publque est un trplet appartenant au sous-groupe χ n Modélser la valdté D un pont de vue théorque, le chffrement de groupe comporte de nombreuses smlartés avec les sgnatures de groupe, et notamment on dot pouvor être capable d dentfer la valdté du chffré, autrement dt qu l exste ben un utlsateur enregstré assocé à ce chffré, ou le cas échéant on dot être capable de détecter que le traçage n est pas correct. Dans ce derner cas, nous pouvons dstnguer deux cas : ou ben l n exste pas de clés enregstrées assocées au chffré ; ou ben le juge rejette la preuve assocée à la pare chffré/clé publque (ou ben la pare sgnature/clé publque).

85 5.2- Schémas de rechffrement 79 Pour le chffrement de groupe, nous avons vu que la proprété de consstance ou soundness est modélsée par un jeu où le but de l attaquant est ou ben de fare accepter au vérfeur un chffré destné à un joueur non enregstré, ou ben de fare accepter un chffré pour lequel l algorthme de traçage renvoe une clé qu ne correspond à aucun membre. Afn d apporter de telles garantes, leur constructon nécesste des preuves nteractves qu rendent ces schémas neffcaces dans le modèle standard. On remarque que la clé publque du destnatare est chffrée : elle pourrat très ben être utlsée pour envoyer de l nformaton de manère llégale ; la noton de consstance défne au paragraphe ne consdère pas ces attaques. Dans le prochan chaptre, nous étendons la noton de consstance dans le contexte du rechffrement dans le but de brouller l nformaton que l attaquant souhaterat transmettre, notre but étant de modélser les attaques lées à l nformaton sublmnale explotable par l attaquant. Notre objectf est d obtenr un résultat de la forme : ou ben l algorthme de traçage renvoe une clé publque enregstrée ; ou ben le chffré ne lasse transmettre aucune nformaton. D un pont de vue théorque, ce résultat semble consttuer un comproms rasonnable entre les deux objectfs suvants : obtenr un schéma de rechffrement anonyme sûr face aux attaques actves, qu a été posé comme problème ouvert dans l artcle [108], et obtenr un schéma de rechffrement de groupe effcace à anonymat révocable et sans canaux sublmnaux, une queston encore nexplorée dans le contexte du chffrement. 5.2 Schémas de rechffrement Dans cette parte, nous ntrodusons les défntons d un schéma de rechffrement et les constructons qu ont été proposées dans [76] et [108] Introducton Dans l artcle [76], Golle et al. proposent un schéma unversellement rechffrable 4 ou rerandomzable. Leur motvaton est la constructon de réseaux de mélangeurs unversels, offrant pluseurs avantages parm lesquels : une confguraton mons contragnante : les serveurs n ont plus beson de secrets partagés ; la garante de la proprété de perfect-forward-anonymty : même s tous les serveurs sont corrompus, l anonymat des paquets permutés est conservée ; Commençons par défnr les schémas de rechffrement unversel : Défntons et proprétés Défnton 17 (Schéma de rechffrement) Un schéma de rechffrement ReEnc est défn par la donnée de cnq algorthmes Setup, KeyGen, Encrypt, ReRand, Decrypt) : Setup : prend en entrée un paramètre de sécurté λ et renvoe les paramètres communs du système, params ; KeyGen : prend en entrée les paramètres du système et renvoe une pare clé publque/clé secrète pk/sk ; 4 ne nécesste pas la clé publque pour rechffrer.

86 80 Chaptre 5. Anonymat révocable Encrypt : est un algorthme probablste qu prend en entrée un message m, une clé publque pk et renvoe un chffré c C. ReRand : est un algorthme probablste qu prend en entrée un chffré c et renvoe un chffré c C. Decrypt : est un algorthme détermnste qu prend en entrée un chffré c, une clé secrète sk et renvoe m s c = Encrypt(pk, m) pour la clé publque assocée pk et snon. Nous ntrodusons les deux ensembles suvants D ReRand et D Encrypt, muns de deux dstrbutons ndstnguables : D ReRand = {C C C, r R C = ReRand(C; r)} et D Encrypt = {C m M, r R C = Encrypt(m; r )}. La noton de sécurté crucale en vue de garantr la confdentalté est la sécurté sémantque. Elle s étend de manère assez naturelle pour les schémas de rechffrement classque : supposons que l adversare chossse deux chffrés c 0, c 1 assocés à la clé pk, le challenger lu transmet alors le rechffré de l un des deux chffrés. Le but de l attaquant est de devner lequel des deux messages lu a été donné. Afn de mettre en évdence la partcularté du chffrement unversel, nous défnssons une noton, que nous notons USS, pertnente pour les schémas de rechffrement et complémentare de la noton de sécurté sémantque. Cette noton a été défne par Golle et al. dans l artcle [76] ; l dée est la suvante : on donne à l attaquant deux clés publques, l attaquant retourne deux messages et deux aléas assocés, l produt deux chffrés en utlsant les clés publques et les aléas respectfs. On rechffre unversellement ces deux chffrés. L attaquant gagne s l retrouve la correspondance chffré/rechffré pour les deux chffrés qu l a généré (de manère honnête). Plus précsément, étant donné un paramètre de sécurté λ, on défnt c-dessous l expérence, Exp uss-b A,ReEnc (λ), défne pour un bt b aléatore. Cette expérence est assocée à un schéma de rechffrement ReEnc et à un attaquant A polynomal : Expérence Exp uss-b A,ReEnc (λ) (params) Setup(λ) ; (pk 0, sk 0 ) KeyGen(params) ; (pk 1, sk 1 ) KeyGen(params) ; (m 0, m 1, r 0, r 1, state) A 1 (params, pk 0, pk 1 ) s m 0, m 1 / M ou r 0, r 1 / R ; retourner 0 ; snon c 0 Encrypt(pk 0, m 0 ; r 0 ); c 1 Encrypt(pk 1, m 1 ; r 1 ) ; r 0, r 1 R R ; c 0 ReRand(c 0 ; r 0), c 1 ReRand(c 1 ; r 1) ; b A 2 (c b, c 1 b, state) ; retourner b On dt qu un schéma de rechffrement unversel ReEnc est unversellement sémantquement sûr sous rechffrement résstant aux attaques à clars choss ou USS, s dans l expérence c-dessus, l attaquant A devne b avec un avantage nféreur ou égale ɛ, où ɛ est une foncton néglgeable en le paramètre de sécurté ; on défnt l avantage par : Adv uss-0 ReEnc,A = Pr[Exp uss-1 ReEnc,A(λ) = 1] Pr[Exp uss-0 ReEnc,A(λ) = 1]

87 5.2- Schémas de rechffrement Constructon d un schéma de rechffrement Constructon générque Par la sute, on note v = (v 1, v 2 ) un élément de G G. On étend le produt de G dans G G en défnssant pour ū = (u 1, u 2 ) et v = (v 1, v 2 ) la multplcaton dans G G : on multple composante par composante chacun des éléments de ū et v. Autrement dt, on a : ū v = (u 1 u 2, v 1 v 2 ) G G. Nous présentons c-dessous, le constructon de Golle et al. présentée dans [76] : MSetup : étant donné un paramètre de sécurté λ, cet algorthme renvoe les paramètres publcs ; Pour notre exemple, l s agt de la descrpton d un groupe cyclque G d ordre q, params déf = G, q, g MKeyGen : étant donnés les paramètres publcs, cet algorthme renvoe une pare (pk, sk) = (y = g x, x) pour x R Z q ; MEncrypt : prend en entrée un message m et un aléa (u, v) R R. Cet algorthme renvoe le chffré c de m défn par c = ((a 0, a 1 ), (b 0, b 1 )) = (Encrypt(m), Encrypt(1)), avec c assocé un facteur aléatore (u, v), avec c = ((a 0, a 1 ), (b 0, b 1 )) S la foncton Encrypt est la foncton de chffrement ElGamal, on a : c = ((my u, g u ), (y v, g v )) MReRand : prend en entrée un chffré c = ((a 0, a 1 ), (b 0, b 1 )) et un aléa (u, v ) R R. Cet algorthme renvoe un chffré c = ((a 0 b 0 u, a 1 b 1 u ), (b 0 v, b 1 v )) MDecrypt : prend en entrée un chffré c = ((a 0, a 1 ), (b 0, b 1 )) et la clé secrète x. Cet algorthme vérfe d abord que (a 0, a 1 ), (b 0, b 1 ) G G, et renvoe snon. Autrement, s m 1 = b 0 /b x 1 = 1, l renvoe m 0 = a 0 /a x 1 et snon l renvoe. Remarque 9 On remarque que la procédure de rechffrement consste à rerandomser l aléa u addtvement et l aléa v multplcatvement ; le résultat est un chffré unformément dstrbué dans l espace des chffrés avec pour aléa r = u + v u et s = v v respectvement. Exemple dérvé de Cramer-Shoup Nous présentons c-dessous une constructon proposée dans [108] : cet artcle propose une constructon unversellement rechffrable résstante aux attaques à chffrés choss sous rerandomzaton ; l s agt d une modfcaton du schéma de Cramer-Shoup. Il s appue sur la même dée que l exemple précédent : l s agt d applquer la procédure de dédoublement au schéma Cramer-Shoup. MSetup : étant donné un paramètre de sécurté λ, cet algorthme renvoe la descrpton d un groupe multplcatf G d ordre q et un générateur g de ce groupe. MKeyGen : étant donnés les paramètres publcs, cet algorthme chost deux éléments aléatores g 1, g 2 de G et a 1, a 2, b 1, b 2 R Zq et défnt : sk = (a 1, a 2, b 1, b 2 ) et pk = (g 1, g 2, A déf = g a 1 1 ga 2 2, B déf = g b 1 1 gb 2 2 ).

88 82 Chaptre 5. Anonymat révocable MEncrypt : étant donnés une clé publque d un destnatare pk et un message m G, cet algorthme : MReRand : 1. chost (r, s) R Z q Z q et défnt pour = 1, 2 V déf = g r et W déf = g s ; 2. retourne ( V, ma r, B r, W, A w, B w ), avec V = (V 1, V 2 ) et W = (W 1, W 2 ). étant donné un chffré c = ( c 1, c 2, c 3, c 4, c 5, c 6 ), cet algorthme chost deux éléments u, v R Z q Z q, et retourne le chffré : MDecrypt(sk, c) : c = ( c 1 c u 4, c 2 c u 5, c 3 c u 6, c v 4, c v 5, c v 6) étant donné un chffré c, cet algorthme 1. décompose c en ( c 1, c 2, c 3, c 4, c 5, c 6 ) ; 2. teste l ntégrté du chffré, en vérfant : c 3? = 2 =1 V b ; c 5? = 2 =1 W a ; c 6? = 2 =1 W b 3. s c 4,1 = c 4,2 = 1 retourner, snon retourner c 2 /( 2 =1 ca 1, ) Remarque 10 Pour h G et un chffré c = ( c 1, c 2, c 3, c 4, c 5, c 6 ) valde, on consdère la lo dans l espace des chffrés C G, défne par : h c = ( c 1, h c 2, c 3, c 4, c 5, c 6 ) On remarque alors que : MDecrypt(sk, h c) = h MDecrypt(sk, c) Il est évdent que pour les deux schémas précédents, s nous donnons accès à l oracle déchffrement, le schéma de rechffrement n est plus sémantquement sûr (l algorthme de déchffrement applqué aux deux chffrés renvoe le même message). De fat, pour les schémas de rechffrement, on consdère une noton affable pour la sécurté sémantque face aux attaques à chffrés choss, appelé replayable CCA Sécurté replayable CCA Cette noton de sécurté a été ntrodute en 2003 par Canett et al. [47] comme une verson affable de la noton d attaques à chffrés choss pour le chffrement. Pour défnr la sécurté sémantque, les défntons consdèrent de manère exclusve les attaques à messages choss ou les attaques à chffrés choss, donnant accès à l oracle de déchffrement. Cette dernère noton s avère être parfos trop forte pour s applquer à certans schémas. Pour llustrer cela, consdérons un exemple smple : supposons qu Alce envoe un chffré c à Bob. Carl qu vot le chffré c construt un autre chffré c tel que Decrypt(c) = Decrypt(c ). Eve qu vot c ne peut pas dre s c est un élément obtenu à partr de l algorthme de chffrement chffré ou s l s agt d une cope. D autre part, s on donne à l attaquant la possblté de déchffrer c le schéma n est plus sémantquement sûr, compte tenu de la malléablté ndute par la procédure de cope. L dée de la noton de replayable CCA est d exclure toute forme de malléablté à l excepton de la cope. Plus formellement, on consdère l expérence suvante Exp nd-rcca-b ReEnc,A, cette noton est défne pour un bt b aléatore par l expérence suvante :

89 5.2- Schémas de rechffrement 83 Défnton Noton de sécurté RCCA : Expérence ExpReEnc,A nd-rcca-b (λ) CSet ; params Setup(λ) ; (pk, sk) KeyGen(params) ; (m 0, m 1, state) A ODecrypt m 0,m 1 () 1 (params, pk) ; s m 0, m 1 / M ou m 0 = m 1 ; stopper ; snon c Encrypt(pk, m b ) ; b A ODecrypt m 0,m 1 () 2 (c, state) ; retourner b ODecrypt m0,m 1 (c) CSet CSet {(c)} ; m Decrypt(sk, c) ; s m {m 0, m 1 } ; retourner replay ; snon retourner m On dt qu un schéma de rechffrement unversel ReEnc est sémantquement sûr sous rechffrement avec rejeu résstant aux attaques à chffrés choss, ou IND-RCCA, s dans l expérence c-dessus, l attaquant A devne b avec un avantage nféreure ou égale ɛ, où ɛ est une foncton néglgeable en le paramètre de sécurté ; on défnt l avantage par : Adv nd-rcca ReEnc,A = Pr[Exp nd-rcca 1 (λ) = 1] Pr[Expnd-rcca 0 (λ) = 1] ReEnc,A ReEnc,A En 2004, Groth [77] propose le premer schéma IND-RCCA contre tout attaquant générque, cette constructon est malheureusement neffcace. À Crypto 2007, Prahbhakaran et al. [108] proposent le premer schéma rerandomzable résstant aux attaques RCCA dans le modèle standard, en modfant le second schéma décrt paragraphe Nous décrvons ce schéma en procédant par étapes dans le but de donner l dée ntutve du chemnement. De plus, cette approche consttue en quelque sorte une justfcaton de notre constructon, que nous présenterons dans la secton qu sut. Constructon replayable CCA Étape 1 : dédoubler un chffré Cramer-Shoup Les paramètres publcs sont params déf = q, G, g 1, g 2 où G est un groupe cyclque d ordre un grand nombre premer q. g 1, g 2 sont deux générateurs aléatores de G. Les clés secrètes et publques sont respectvement défnes par : sk = (x 1, x 2, y 1, y 2, z) et pk = (g 1, g 2, h, B, C, D), avec : B = g 1 z C = g x 1 1 gx 2 2 et D = g y 1 1 gy 2 2. Pour chffrer un message M quelconque, on encode ce message en élément m de G, pus on calcule : Encrypt(pk, m) = (g r 1, g r 2, mb r, C r D r µ ), où µ est l encodage de M et non plus le haché des tros premers éléments du chffrés comme dans le schéma ntal.

90 84 Chaptre 5. Anonymat révocable On applque la procédure de dédoublement comme dans [76], on obtent un chffré de la forme : Encrypt(pk, m) = (g r 1, g r 2, m B r, C r D r µ, g s 1, g s 2, B s, C s D s µ ), avec r, s R Z q. Remarquons que comme pour les schémas USS sûr, la seconde composante du chffré permet de rerandomser le chffrer. Mas pour ce premer schéma, cette seconde composante content des éléments publcs chffrés alors que pour applquer ce paradgme à un chffré Cramer-Shoup, la seconde composante dot contenr un chffré du message. D autre part, on remarque que le chffré précédent présente deux fablesses majeures auxquelles nous allons nous ntéresser : 1. deux composantes de deux chffrés dfférents du même message µ peuvent être combnées pour former un chffré valde ; 2. le chffré possède suffsamment de redondance s ben qu un nvarant subsste après rerandomzaton : plus précsément, pour tout chffré ben formé, on a : log g1 g 2 = log c1 c 2 = log c5 c 6, log CD µ c 4 = log B c 3 /m et log CD µ c 8 = log B c 7 Étape 2 : restrendre la malléablté du schéma Nous nous ntéresserons au second pont lé aux canaux sublmnaux dans la secton qu sut. Le premer pont est consdéré dans [108]. Afn de restrendre les recombnasons de chffrés ndépendants assocés à un même message µ, les auteurs de cet artcle proposent de reler les deux composantes du chffré avec un aléa x commun. Par alleurs, afn de permettre le rechffrement, cet aléa x dot être chffré avec un schéma de rechffrement possédant certanes proprétés. On obtent fnalement le chffré c dessous : c = ((g r 1) x, (g r 2) x, MB r, C r D r µ, (g s 1) x, (g s 2) x, B s, C s D s µ, u = MEncrypt(x)), où ReEnc déf = MSetup, MKeyGen, MEncrypt, MDecrypt est un schéma de chffrement malléable (pour permettre la rerandomzaton de l aléa u) et rerandomzable à valeurs dans un sous-groupe de Z p). Enfn, on remarque que la premère composante du chffré est malléable (multplcatvement). Pour corrger ce pont, on perturbe l aléa de la premère composante de manère addtve. Cette dernère dérvaton est non trvale, nous décrvons c-dessous le schéma de rechffrement fnal (unversel et IND-RCCA sûr) obtenu dans [108]. Ce schéma utlse comme brque de base le schéma présenté secton 5.2.3, dont les éléments appartennent à un sous-groupe de Z p, que nous noterons Ĝ. Étape 3 : schéma fnal Setup : étant donné un paramètre de sécurté, cet algorthme défnt les paramètres publcs du système : une structure de groupe multplcatve G, p, g, où G est un groupe d ordre premer p et g un générateur de G ; une foncton njectve g enc (resp. f enc ) encodant des messages dans G (resp. dans Z p ou Z p), un schéma de chffrement ReEnc rerandomzable défn par : ReEnc déf = MKeyGen, MEncrypt, MReRand, MDecrypt homomorphe dans un sous-groupe d ordre premer q de Z p. On note ce groupe Ĝ et la lo de groupe dans Ĝ.

91 5.2- Schémas de rechffrement 85 et enfn un vecteur fxe ē = (e 1, e 2, e 3, e 4 ). KeyGen : étant donnés les paramètres publcs, cet algorthme génère une pare clé secrète/clé publque sk, pk, où Encrypt : sk = ( x, ȳ, z) et pk = (g 1, g 2, g 3, g 4, C, D, E), où x = (x 1, x 2, x 3, x 4 ) et ȳ = (y 1, y 2, y 3, y 4 ) et z = (z 1, z 2, z 3, z 4 ), les g sont des générateurs aléatores et : C = g x, D = g y, E = =1 1. chosr x R Z p et y R Z p et û Ĝ ; =1 2. pour = 1,, 4, défnr X = g (x+e ) û et Y = g y û ; 3. calculer m = g enc (M) et µ = f enc (M) ; 4. retourner ( X, mc x, (DE µ ) x, Ȳ, Cy, (DE µ ) y, Û), où X = (X 1, X 2, X 3, X 4 ) et Ȳ = (Y 1, Y 2, Y 3, Y 4 ) et Û = MEncrypt(û) ReRand : 1. Décomposer c en (c 1, c 2, c 3, c 4, c 5, c 6, c 7 ) ; 2. chosr ˆr R Ĝ, s R Z p et t R Z p ; 3. calculer Û = MReRand(ˆr c 7 ) ; 4. pour = 1,, 4 calculer X = (X Y s)ˆr et Y = Y ˆr t ; on pose X déf = (X 1, X 2, X 3, X 4 ) et Ȳ déf = (Y 1, Y 2, Y 3, Y 5. calculer c 2 = c 2 c s 5 et c 3 = c 3 c s 6 ; 6. c 5 = ct 5 et c 6 = c t 6 ; retourner ( X, c 2, c 3, Ȳ, c 5, c 6) Decrypt : 1. décomposer c en ( c 1, c 2, c 3, c 4, c 5, c 6, c 7 ), avec c 1 = (X 1, X 2, X 3, X 4 ) et c 2 = (Y 1, Y 2, Y 3, Y 4 ) 2. déchffrer û = MDecrypt(c 7 ). s û = retourner ; snon 3. pour = 1,, 4 poser X = X 1/û g e et Ȳ = Y 1/û 4. poser m = c 2 / 4 X x =1 ; calculer M = genc(m) 1 et µ = f enc (M) ; 5. vérfer l ntégrté du chffré : 4? x c 5 = Ȳ, =1 c 3? = 4 =1 X y +z µ, =1 4 ) g z 4? y c6 = Ȳ +z µ. s Y 1 = Y 2 = Y 3 = Y 4 = 1 ou s l une des égaltés c-dessus n est pas vérfée, retourner ; snon retourner M. Théorème 8 Le schéma précédent est parfatement rerandomzable et RCCA-sûr sous l hypothèse DDH dans G et Ĝ. La technque de preuve de ce résultat est une extenson non trvale des preuves basées sur le schéma de Cramer-Shoup : l algorthme de chffrement et de déchffrement sont modfés de manère à ne lasser fur aucune nformaton sur le message. Elle s appue essentellement sur une représentaton algébrque du schéma qu consste à montrer une ndépendance lnéare comme dans [11]. La preuve de notre schéma ne s appuyant pas sur la preuve de cette constructon, nous reportons le lecteur à l artcle [108]. =1

92 86 Chaptre 5. Anonymat révocable 5.3 Extenson de l anonymat Lors des descrptons des protocoles mult-acteurs, sgnature de groupe et chffrement de groupe, nous avons pu vor que tout utlsateur qu désre devenr membre du groupe dot commencer par s enregstrer. Du pont de vue du smulateur, cet algorthme supplémentare est très commode : l permet de vérfer la légtmté d un membre nteragssant avec un autre membre du groupe. Dans le cas des sgnatures, la nécessté de ce protocole d enregstrement paraît évdente : la génératon d une sgnature au nom d un membre du groupe suppose que l émetteur connat un secret. Mas qu en est-l pour le chffrement? Pour le chffrement de groupe, l permet de désgner les membres du groupe et de vérfer que le chffré est consstant, c.à.d. assocé à l un des membres ; dans le cas contrare, un symbole d erreur est renvoyé. Nous étendons cette noton de consstance, en prenant en compte tous les chffrés. Plus exactement, nous voulons être sûr que s le chffré est nconsstant 5, l ne lasse passer aucune nformaton sublmnale : dans ce cas, nous montrerons qu l s agt d un chffré ndstnguable d un chffré aléatore. Les travaux présentés dans cette secton ont été menés en collaboraton avec Davd Pontcheval et Damen Vergnaud Prmtve de groupe Phase d enregstrement Tout d abord, pour construre une prmtve de groupe, une fonctonnalté supplémentare est nécessare afn d empêcher les utlsateurs de fabrquer leur clé de manère llégale, tout en ayant la capacté de détecter toute utlsaton frauduleuse de la clé ; nous avons consdéré les deux possbltés suvantes : 1. nous pouvons opter pour un schéma de chffrement à base d dentté. Dans ce cas, l autorté qu délvre les clés connaît les clés secrètes de tous les utlsateurs, le problème du Key-escrow se pose alors ; 2. nous pouvons également construre un schéma avec une phase d enregstrement s ben que chaque membre possédant une clé obtent une pare de clés (secrète et publque) et le certfcat assocé sans que l autorté chargée de délvrer le certfcat ne connasse la clé secrète assocée. Il s agt en fat de l analogue du protocole d enregstrement pour les schémas de sgnatures certfées dans le contexte du chffrement. Dans la descrpton des schémas de chffrement de groupe de la secton 5.1.2, le protocole Jon permet d obtenr cette fonctonnalté, l est mplanté par un schéma de sgnature et par l usage de preuves d appartenance de la pare de clés au langage défn par les pares valdes. Un des nconvénents majeurs est l nteractvté ndute par ce protocole et l utlsaton coûteuse de preuves d appartenance. Pour notre schéma, nous établssons un comproms entre ces deux solutons. Plus exactement, lorsqu un utlsateur désre devenr membre du groupe, l est en possesson d une pare de clés (pk, sk) délvrée par une Infrastructure de clés publques (ou Publc Key Infrastructure, PKI). Précsons que cette dernère autorté retourne une pare de clés certfée à tous les membres, les autortés y comprs, afn d empêcher quconque de tromper l utlsateur s enregstrant et de révoquer un utlsateur à tort. Ensute, l utlsateur fournt une sgnature de sa clé publque 6 au manager du groupe ; l s agt d un certfcat. Ce derner vérfe la valdté du certfcat et défnt une clé secrète 5 le chffré est ben formé mas l n est pas assocé à une clé publque enregstrée. 6 sa clé publque est un encodage de son dentté qu peut être vue comme un pseudonyme.

93 5.3- Extenson de l anonymat 87 assocée à l dentté de l utlsateur. Il est mportant de précser que cette dernère clé ne permet pas de casser la sécurté sémantque : on suppose que les messages sont chffrés au préalable et le schéma global est employé comme sur-couche permettant d obtenr une prmtve de groupe. Le médateur Revenons sur la procédure de rerandomzaton : celle-c ne requert pas la connassance d un secret partculer et n mporte qu peut rerandomser un chffré. Afn d assurer que le schéma est correct et que tout chffré est ben rechffré en un chffré ndstnguable du même message, la procédure dot être applquée honnêtement. Pour cela, on consdère un modèle ntrodut par Smmons [119], où un médateur, le garden de prson supposé honnête autorse deux prsonners à communquer entre eux. Il autorse les deux ndvdus à se mettre d accord sur des paramètres communs pus à échanger des messages d une certane forme. À l exemple de ce modèle, nous supposons que la phase de rechffrement est effectuée par un médateur honnête, mas ne possédant aucun secret partculer contrarement au manager ou l autorté de révocaton Modèles Défnton Nous donnons à présent les défntons de notre nouveau concept, Mates (Medated Anonymous Traceable Encrypton) que nous avons conçu en collaboraton avec Davd Pontcheval et Damen Vergnaud. Une descrpton plus complète peut parallèlement être consultée [86]. On consdère tros autortés : une autorté d enregstrement (ssuer ou manager en anglas) qu a pour charge l ajout de nouveaux membres, une autorté d ouverture (opener en anglas) qu est capable de révoquer l anonymat des destnatares des chffrés, et un médateur qu rechffre les entrées de manère systématque. Cette dernère autorté est supposée honnête mas cureuse : afn de garantr l absence de canaux sublmnaux, nous supposons que les membres ne peuvent pas s assocer au médateur. De plus, afn d empêcher les autortés d enregstrement et d ouverture de corrompre un utlsateur, nous supposons l exstence d une nfrastructure PKI délvrant une pare clé publque/clé prvée pk/sk certfées à chaque utlsateur (aux autortés et aux utlsateurs). Défnton 18 (Medated Anonymous Traceable Encrypton Schemes) Un schéma Mates est défn par la donnée des algorthmes ou protocoles suvants : défns de la manère suvante : Setup, Jon, Encrypt, ReRand, Decrypt, Trace, Judge, Setup : cet algorthme est probablste et est exécuté par une autorté de confance. Il prend en entrée un paramètre de sécurté λ et génère tros clés : une clé publque de groupe mpk, la clé secrète de l autorté d enregstrement msk et une clé secrète d ouverture sk O ; Il génère également une structure de données L, appelée lste d enregstrement qu est ntalement vde ; Jon : l s agt d un protocole nteractf polynomal entre un membre possédant une pare de clés certfées et l autorté d enregstrement :

94 88 Chaptre 5. Anonymat révocable JonM : est un algorthme nté par un utlsateur en possesson d une pare de clés (pk, sk) délvrée par une autorté de confance et prenant en entrée l dentté de l utlsateur ID, la clé publque mpk et sa clé secrète sk. À l ssue de ce protocole, l reçot une pare de clés secrète et publque assocée à son dentté, pk ID et sk ID ; JonG : l s agt d un protocole nté par le manager en possesson des clés mpk et msk. Il prend en entrée une dentté ID de l utlsateur désrant devenr membre du groupe. Il vérfe la valdté de la clé pk et retourne un certfcat assocé qu l ajoute dans une structure de données L, appelée lste d enregstrement des membres. Plus formellement, avec nos notatons, nous avons : ((pk ID, sk ID, L), (pk ID, L)) JonM(ID, mpk, sk), JonG(ID, msk, pk). Encrypt : cet algorthme (probablste) prend en entrée un message m, l dentfant pk ID du destnatare et la clé publque mpk. Il renvoe un chffré c du message m assocé à l utlsateur ID ; ReRand : cet algorthme (probablste) prend en entrée la clé publque de groupe mpk et un chffré c et renvoe le rechffré c de c ; Decrypt : cet algorthme (détermnste) prend en entrée la clé publque de groupe mpk, une clé secrète d un membre sk ID et un chffré c et renvoe un message s c est un chffré de m assocé à l dentté ID et un symbole d erreur snon ; Trace : cet algorthme (détermnste) prend en entrée la clé publque de groupe mpk, la lste d enregstrement L, la clé d ouverture sk O, une dentté et un chffré c. Cet algorthme renvoe une 0 ou 1 suvant que le chffré sot destné à l utlsateur ID ou non et une preuve Π destnée au Juge ndquant s le chffré est ben assocé à l utlsateur ID. En partculer, pour tout message m, on a : Trace(ReRand(Encrypt(m))) = (1; Π). On écrra plus smplement Trace(ReRand(Encrypt(m))) = 1. Judge : cet algorthme prend en entrée la clé publque de groupe mpk, la lste d enregstrement L, un chffré c, une dentté ID et une preuve Π. Il vérfe que la preuve Π est correcte, c.à.d. que la preuve en entrée prouve que ID est le destnatare du chffré c. Modèle de sécurté Comme nous l avons déjà précsé dans la descrpton précédente, après l exécuton du protocole Jon, la clé publque de l utlsateur ans que son dentté sont enregstrées dans la lste L, mas la clé prvée sk délvrée par la PKI est gardée secrète. Dans notre modèle, chaque membre possède sa clé secrète sk ID, délvrée par le manager du groupe et éventuellement pluseurs clés publques, mas l n a pas accès aux autres clés secrètes. En pratque, l utlsaton de cartes à puces pour le stockage des clés secrètes permet la réalsaton de ce modèle. D un pont du vue théorque, cela sgnfe que nous excluons toute coalton de membres, les utlsateurs ne peuvent pas construre un algorthme de déchffrement en combnant les clés secrètes entre elles. Nous ntrodusons l oracle d enregstrement suvant : Jon () : cet oracle smule pluseurs réponses de requêtes au protocole Jon, l retourne pluseurs clés publques (la lste L est mse à jour) et retourne une pare de clés (pk ID, sk ID ).

95 5.3- Extenson de l anonymat 89 L attaquant peut fare pluseurs requêtes Jon mas l ne reçot que les clés publques et pour l une des exécutons, l reçot une clé secrète, supposée être la senne. Pour les notons de sécurté que nous allons défnr, nous consdérons seulement les attaques à clars choss, l adversare n a pas accès à l oracle de déchffrement. On peut ben sûr étendre le modèle de sécurté afn de prendre en compte les attaques à chffrés choss sous rechffrement 7, en adaptant la noton de sécurté RCCA. Rappelons que l exstence d une prmtve de groupe vérfant les proprétés de sécurté sémantque (sous rechffrement) et d anonymat résstant aux attaques à chffrés choss avec rejeu est actuellement un problème ouvert, posé dans l artcle [108]. Noton de sécurté sémantque La prncpale noton de sécurté pour un schéma de chffrement est la sécurté sémantque, qu est formalsée par l ndstnguablté de deux expérences (pour b = 0, 1). Dans ce jeu, nous pouvons donner la clé d ouverture sk O à l attaquant, ce qu permet de modélser la coalton d un partcpant avec l autorté d ouverture. Pour cette noton, nous nous restregnons aux clés publques valdes 8 car snon personne ne peut déchffrer le message. Nous nous ntéressons donc seulement à la confdentalté des chffrés assocés à un membre enregstré. Plus formellement, on défnt l expérence Exp nd-b Mates,A pour b = 0, 1 : Expérence Exp nd-b Mates,A (λ) (mpk, msk, sk O, L) GSetup(λ) ; (pk, m 0, m 1 ) A Jon () (FIND, mpk, sk O, L) ; C Encrypt(mpk, pk, m b ) ; b A(GUESS, C ) ; s pk L retourner 0 ; snon retourner b Nous défnssons l avantage de l attaquant A, Adv nd Mates,A à casser la sécurté sémantque (sous les attaques à clars choss) par son avantage à dstnguer les expérences Exp nd-b Mates,A pour b = 0, 1 : Adv nd Mates,A(λ) = Pr[Exp nd-1 Mates,A(λ) = 1] Pr[Exp nd-0 Mates,A(λ) = 1]. Nous défnssons également une verson plus fable pour la sécurté sémantque, par laquelle l attaquant n a pas accès à la clé de révocaton ; cette noton peut être utle lorsqu on ne peut pas séparer les rôles des autortés d enregstrement et de révocaton. De manère smlare, l avantage de l attaquant est donné par la formule suvante : Adv weak nd Mates,A (λ) = Pr[Expweak nd-1(λ) = 1] Pr[Expweak nd-0(λ) = 1]. Mates,A Mates,A Noton d anonymat Rappelons que notre but est de garantr l anonymat du destnatare : dans le contexte du chffrement, l anonymat se tradut par la garante du manten de la confdentalté de la clé publque. Nous formalsons cette proprété par l ndstnguablté des deux expérences Exp anon-b Mates,A (pour b = 0, 1). Comme pour la sécurté sémantque, on restrent l adversare à n utlser que des clés publques valdes (ou enregstrées). 7 certanes précautons dovent être prses du fat de la malléablté nhérente des schémas de rechffrement. 8 ou enregstrées.

96 90 Chaptre 5. Anonymat révocable Nous pouvons également donner accès à l oracle d ouverture : cette requête supplémentare permet de modélser la proprété d anonymat fort (ou full-anonymty en anglas), mas comme notre canddat ne vérfe pas cette proprété nous nous concentrons sur la noton d anonymat classque. Nous défnssons c-dessous l expérence Exp anon-b Mates,A pour b = 0, 1 : Expérence Exp anon-b Mates,A (λ) (mpk, msk, sk O, L) GSetup(λ) ; (pk 0, pk 1, m) A Jon () (FIND, mpk, L) ; C Encrypt(mpk, pk b, m) ; b A(GUESS, C ) ; s pk 0 L ; ou pk 1 L retourner 0 ; snon retourner b Nous défnssons l avantage de l attaquant A à casser l anonymat (sous les attaques à clars choss) par son avantage à dstnguer les deux expérences Exp anon-b Mates,A (pour b = 0, 1). Plus formellement, on a : Adv anon Mates,A(λ) = Pr[Exp anon-1 Mates,A(λ) = 1] Pr[Exp anon-0 Mates,A(λ) = 1]. Absence de canaux sublmnaux Rappelons que notre objectf est de construre un schéma de chffrement anonyme (c.à.d. qu masque l dentté du destnatare d un chffré), révocable (c.à.d. nous pouvons dentfer le destnatare d un chffré en temps polynomal). Par conséquent, notre noton de sécurté formalse les proprétés suvantes : ou ben l algorthme de traçage parvent à dentfer une dentté valde, ou ben aucune nformaton ne peut être transmse au destnatare qu reste anonyme. Il s agt de la proprété usuelle de traçablté ou traceablty pour les sgnatures de groupes. Notons par alleurs que ce résultat est en parfate lason avec l emplo d une phase de rerandomzaton addtonnelle à la prmtve de chffrement. Cette proprété se formalse par l ndstnguablté des deux expérences Exp subf b Mates,A (pour b = 0, 1) décrtes c-dessus : s l attaquant parvent à fare passer de l nformaton dans le chffré C b (éventuellement même après rerandomzaton), alors l peut devner le bt b. Pusque nous voulons exclure cette possblté pour les chffrés qu ne sont assocés à aucune dentté enregstrée, nous défnssons l algorthme de test suvant : Traceable(mpk, L, ID, sk O, C) S un t-uplet (mpk, L, ID, sk O, C) vérfe ce crtère, cela sgnfe que (ID, Π) Trace(mpk,, sk O, C) et de plus Judge(mpk,, C, ID, Π) = Ok. Plus précsément, cela sgnfe que l algorthme de traçage renvoe une dentté valde avec une preuve convancante. Comme précédemment, nous supposons que l attaquant a accès à pluseurs requêtes Jon () qu lu permettent d ajouter pluseurs membres, mas l n obtent seulement qu une clé secrète, pusque nous excluons les coaltons de traîtres. Nous défnssons l expérence Exp subf-b Mates,A pour b = 0, 1 par le jeu de sécurté suvant :

97 5.3- Extenson de l anonymat 91 Expérence Exp subf-b Mates,A (λ) (mpk, msk, sk O, L) GSetup(λ) (C 0, C 1 ) A Jon () (FIND, mpk, L) C ReRand(mpk, C b ) b A(GUESS, C ) s Traceable(mpk, L, ID, sk O, C 0 ) ou Traceable(mpk, L, ID, sk O, C 1 ) retourner 0 snon retourner b On défnt l avantage de l attaquant A à construre un canal sublmnal par son avantage à dstnguer les deux expérences Exp subf b Mates,A (pour b = 0 ou b = 1) : Adv subf Mates,A(λ) = Pr[Exp subf-1 Mates,A(λ) = 1] Pr[Exp subf-0 Mates,A(λ) = 1]. Relaton entre les notons de sécurté Supposons qu l exste un attaquant contre la sécurté sémantque fable (vor paragraphe 5.3.2) ou l anonymat pour un chffré c challenge assocé à une dentté ID dfférentes de celles possédées par l attaquant. Ce derner peut alors fare passer de l nformaton en utlsant les deux messages ou les deux denttés sur lesquels l attaquant s engage dans les deux jeux précédents. Remarquons que par défnton, les jeux de sécurté pour ces deux notons (sémantque et anonymat) portent sur des chffrés assocés à une clé secrète dfférente de sk ID, la clé secrète de l utlsateur Descrpton de notre schéma GSetup(λ) : l algorthme GSetup prend en entrée un paramètre de sécurté λ et défnt un groupe cyclque G d ordre premer q et un générateur g. On note Ḡ le groupe G prvé de son unté (Ḡ = G\{1}) ; l s agt du groupe des éléments d ordre exactement q dans G. De plus, l chost x (0) 1, x(1) 1,..., x(0) l, x (1) l Z p, où la talle l est la longueur de la clé publque, tands que les denttés sont de longueur µ. Il chost également un code de dstance mnmale 2, qu encode des mots de longueur µ bts (les denttés) en des mots de longueurs l (les clés publques). Nous défnssons G un algorthme probablste de génératon de clés (qu peut éventuellement être secret vs à vs du manager) : pk ID = G(ID). Les clés maître et d ouverture sont défnes par : msk = sk O = (x (0) 1, x(1) 1,..., x(0) l, x (1) l ), et la clé publque de groupe mpk = (Ω (0) 1, Ω(1) 1,..., Ω(0) l, Ω (1) l ), où Ω (b) = g 1/x(b) pour b {0, 1} et {1,..., l}. Il retourne également une lste L ntalement vde ; Jon : l s agt d un protocole nteractf entre le manager et un utlsateur désrant devenr membre du groupe. Il est défn de la manère suvante : 1. JonM(ID, mpk, sk) : cet algorthme encode les denttés en des clés publques, pk ID = G(ID) = h 1 h 2... h l, où h {0, 1}. Le membre utlse sa clé secrète sk (délvrée par une PKI) pour donner une sgnature de pk ID ; 2. JonG(ID, pk, msk) : la clé secrète de l utlsateur est défn par : sk ID = (x (h 1) 1,..., x (h l) l ). Le manager du groupe met à jour la lste d enregstrement L en ajoutant l dentté ID, la clé publque pk ID et sa sgnature fourne par l utlsateur.

98 92 Chaptre 5. Anonymat révocable Encrypt(mpk, pk ID, m) : pour chffrer un message m G avec la clé pk ID = G(ID) = h 1... h l, 1. chosr des éléments aléatores K, U G, pour = 1,..., l, tels que l =1 K = m et l =1 U = 1 ; 2. chosr deux séquences de scalares aléatores t, s Z q pour = 1,..., l ; 3. pour = 1,..., l, calculer A = g t K, B = (Ω (h ) ) t, C = g s U, D = (Ω (h ) ) s. S, pour un certan, C = 1 ou D = 1, renouveler la procédure de chffrement, snon renvoyer le chffré (A, B, C, D ) =1,,l. ReRand(mpk, C) : pour rerandomser un chffré C = (A, B, C, D ) =1,...,l (G 2 Ḡ2 ) l, 1. chosr des éléments aléatores V, W G, pour = 1,..., l, tels que l =1 V = l =1 W = 1 ; 2. chosr quatre séquences de scalares aléatores r (0), r (1), u (0), u (1) Z q, pour = 1,..., l ; 3. chosr deux scalares aléatores r, u Z q, et calculer, pour = 1,..., l, et pour b = 0, 1 : A (b) A C r gr(b) W, B (b) B D r (Ω(b) C (b) C u gu(b) V, D (b) D u (Ω(b) ) u(b). Decrypt(mpk, sk ID, C) : pour déchffrer un chffré assocé à un utlsateur ID, avec pk ID = (h 1,..., h l ), connassant la clé secrète sk ID = (X 1,..., X l ) = (x (h 1) 1,..., x (h l) l ), calculer l A (h ) (B (h ) ) X Trace(msk, sk O, C) : =1 ) r(b) pour tracer un chffré C pour une clé pk ID = h 1,..., h l, vérfer s l =1 C (h ) = l (D (h ) ) x(h ) =1 S une telle clé n exste pas renvoyer un symbole d erreur ; autrement, renvoyer la clé trouvée pk ID ans qu une preuve non-nteractve à dvulgaton nulle de connassance Π, destnée à prouver la valdté de l égalté c-dessus pour la clé publque maître mpk = (Ω (0) 1, Ω(1) 1,..., Ω(0) l, Ω (1) l ), où Ω (b) = g 1/x(b) pour b {0, 1} et {1,..., l}. Plus précsément, nous devons montrer l exstence de y 1,..., y l Z q tels que : l =1 C (h ) = l =1 (D (h ) ) y and g = (Ω (h ) ) y pour = 1,..., l. Judge(mpk, L, C, ID, Π) : vérfer que la preuve Π est valde.

99 5.3- Extenson de l anonymat Analyse de sécurté Avant de prouver la résstance aux attaques sublmnales, nous montrons d abord que toutes les équatons sont ben vérfées s les utlsateurs sont honnêtes. Correcton Tout d abord, remarquons que durant la phase de chffrement, K et U vérfent : K = m et U = 1. De manère smlare, durant la phase de rerandomzaton, les V et W sont tels que V = 1 et W = 1. Par conséquent, après la rerandomzaton, un chffré a le format suvant : pour = 0,, l et pour b = 0, 1, où les s et les t sont des valeurs aléatores choses par l émetteur, alors que r, u, r (b) et u (b) sont choss par le médateur, chargé de rerandomser : A (b) g t +rs g r(b) K, B (b) (h (Ω ) ) t +rs (Ω (b) C (b) g us g u(b) U, D (b) (Ω (h ) ) us (Ω (b) ) u(b). ) r(b), Par conséquent, en utlsant la clé secrète sk ID = (X 1,..., X l ) = (x (h 1) 1,..., x (h l) l ), pusque nous avons par défnton Ω (b) = g 1/x(b), pour tout et b, alors (Ω (h ) ) x(h ) = g pour tout, et donc l =1 A (h ) (B (h ) ) X = = = l =1 l =1 ( ) (h x ) g t +rs g r(h ) (h K (Ω ) ) t +rs (Ω (h ) ) r(h ) ( ) 1 g t +rs +r (h ) K g t +rs +r (h ) l K = m. =1 Concernant la procédure de traçage, l =1 C (k ) (D (k ) ) x(k ) = = = = l =1 l =1 l =1 l =1 ( ) (k x ) g us g u(k ) U (Ω (h ) ) us (Ω (k ) ) u(k ) ( ) (k x ) g us +u (k ) (Ω (h ) /Ω (k ) ) us (Ω (k ) ) us +u (k ) g us +u (k ) g us (x (k ) /x (h ) 1) g us u (k ) ( g us (x (k ) /x (h ) u ) 1) = g s (1 x (k ) /x (h ) ) Il est évdent que s pour chaque ndex, nous avons k = h, le produt est égal à 1. Cependant, nous remarquons que s toutes les valeurs secrètes x (b) sont connues, l est possble de construre une séquence s telle que le produt précédent est égal à 1, même pour (k ) (h ). Cependant, pour notre modèle de sécurté, seul le manager du groupe connaît x (b), pour un même mas pour b = 0, 1. Par conséquent, un utlsateur, même

100 94 Chaptre 5. Anonymat révocable malhonnête (excepté l autorté) ne peut pas construre un chffré qu trace deux utlsateurs smultanément. Sécurté Sémantque Pour les preuves qu suvent, on notons pour tout bt b, b le bt complémentare. Nous consdérons une varante du problème DDH G ; nous défnssons un nouveau problème, 2-DDH G de la manère suvante : étant donné un t-uplet (X = g x, Y = g y, Z = g z, Ȳ = gȳ, Z = g z ), décder s les deux égaltés z = xy et z = xȳ sont smultanément vérfées. S c est la cas, nous drons que (X = g x, Y = g y, Z = g z, Ȳ = gȳ, Z = g z ) est un t-uplet 2-DDH. De plus, s nous supposons l hypothèse DDH valde, alors nous pouvons prouver la valdté de l hypothèse 2-DDH G par une preuve hybrde, avec une perte d un facteur 2. Pour la sécurté sémantque, nous avons le résultat suvant, smlare à celu obtenu pour le schéma ElGamal : Théorème 9 Le schéma Mates est sémantquement sûr au sens fable (vor paragraphe 5.3.2) résstant aux attaques à clars choss sous l hypothèse DDH dans G. S l est la longueur des denttés, on a pour tout attaquant polynomal A : Adv weak nd Mates,A où λ est le paramètre de sécurté. (λ) 2 l Adv2-dh (λ), Démonstraton: sot A un adversare contre la sécurté sémantque du schéma Mates. Nous allons construre un algorthme B, qu a accès à A dans le but de casser le problème 2-DDH. Notre algorthme B reçot une nstance 2-DDH (g, X = g x, Y = g y, Z = g z, Ȳ = gȳ, Z = g z ). Nous smulons l algorthme GSetup() en prenant g pour générateur du groupe cyclque G. Nous chosssons 2l scalares dans Z q, x (b) G pour = 0,..., l et b = 0, 1. Nous chosssons une poston γ {1,..., l} et un bt α. Nous notons formellement x (α) γ On défnt la clé publque maître par : Ω (b) = g 1/x(b) Ω (α) γ = X pour b = 0, 1 et = 1,..., l = 1/x. L adversare demande pluseurs clés publques et une seule clé secrète (supposée être la senne) va l oracle Jon (). Nous chosssons une clé publque aléatore pk ID = (k 1,..., k l ) dans le code et renvoyons la clé secrète assocée. Nous sommes capables de répondre correctement avec probablté 1 2, pusqu avec la même probablté, la smulaton ne requert pas la connassance de x. L attaquant, A retourne deux messages m 0, m 1 et la clé publque d un utlsateur pk = h 1... h l. Avec probablté néglgeable pk L, autrement l avantage de l attaquant contre la sécurté sémantque est néglgeable. Par constructon, on sat que pk ID et pk dffèrent en au mons deux postons : avec probablté 1/l, elles dffèrent en la poston γ. S c est la cas, la clé pk content l élément X de l nstance que l on souhate résoudre. Pour smplfer, supposons γ = 1. On chost un bt β aléatore. Afn de calculer le chffré challenge d un message m β, C = (A, B, C, D ) =1,...,l, nous chosssons une séquence aléatore d éléments U R G tels que l =1 U = 1, et une séquence d éléments aléatores K, telle que m β = l =1 K ; on chost t, s Z q pus on applque successvement les procédures suvantes :

101 5.3- Extenson de l anonymat nous chosssons des éléments aléatores K, U G pour = 1,..., l, tels que l K = m =1 l U = 1 2. pour = 2,..., l, nous chosssons deux séquences de scalares aléatores t, s Z q ; 3. pus on calcule : A 1 = Y K 1 B 1 = Z A = g t K B = (Ω (h ) ) t pour = 2,..., l C 1 = Ȳ U 1 D 1 = Z C = g s U D = (Ω (h ) ) s pour = 2,..., l L attaquant A retourne alors sa réponse β pour le bt β, et l algorthme retourne le bt (β = β ) ; s (X, Y, Z, Ȳ, Z) est réellement un quadruplet 2-DDH, alors le chffré challenge est défn comme par la constructon. Dans ce cas, β = β avec un bas sgnfcatf s A parvent à casser la sécurté sémantque ; s (X, Y, Z, Ȳ, Z) est un quadruplet aléatore : pusque le chffré challenge ne content aucune nformaton sur le bt β, β = β avec probablté exactement 1 2. =1 Anonymat L anonymat de notre schéma repose sur l hypothèse DLIN. Nous avons obtenu le résultat suvant : Théorème 10 Le schéma Mates est anonyme résstant aux attaques à clars choss sous l hypothèse DLIN G, s les clés publques sont choses dans un code de dstance mnmale 2, et on a pour tout attaquant polynomal A : Mates,A(λ) 8l 2 Adv dln (λ), Adv anon où λ est le paramètre de sécurté. Démonstraton: sot A un attaquant contre l anonymat du schéma Mates. Nous allons construre un algorthme B qu résout le problème DLIN G (g, u, v) en utlsant l algorthme A. Consdérons une nstance de ce problème (u, v, g, U, V, Z). Nous notons formellement (les scalares ne sont pas connus du smulateur) : u = g µ, v = g ν, U = u a, V = v b et Z = g c. Nous smulons l algorthme GSetup en utlsant g comme générateur du groupe G. Nous chosssons 2l scalares aléatores x (b) Z q, pour = 1,..., l et b = 0, 1. Nous chosssons également deux ndces aléatores γ, δ {1,..., l} ans que des bts aléatores α, β {0, 1}. On note formellement x (α) γ = 1/µ et x (β) δ = 1/ν (qu ne sont donc pas connus) : Ω (b) = g 1/x(b), pour = 1,..., l et b = 0, 1 Ω (α) γ = u Ω (β) δ = v G

102 96 Chaptre 5. Anonymat révocable L adversare demande pluseurs clés publques et une seule clé secrète (supposée être la senne) va l oracle Jon (). Nous pouvons smuler cet oracle avec probablté 1 4, pusqu elle ne requert pas la connassance de µ et ν une fos sur quatre. S ce n est pas le cas, nous abandonnons la smulaton. Alors A renvoe un message m et deux clés publques dans L : pk 0 = (h 0 1,..., h0 l ) et pk 1 = (h 1 1,..., h1 l ). À présent, nous chosssons un bt B. Comme les denttés sont des mots appartenant à un code de dstance mnmale 2, nous savons que pk B et pk ID dffèrent en au mons deux postons et avec probablté 1/l 2, elles dffèrent aux postons γ et δ. h B γ h ID γ et h B δ h ID δ, et dans ce cas, la clé pk B content nécessarement la base (u, v) : h B γ = α et h B δ = β (snon pk ID content l une d entre elles, ce qu sgnfe alors que la clé secrète requert la connassance de µ ou ν). Sans perte de généralté, nous pouvons supposer que γ = 1 et δ = 2. Nous calculons le chffré challenge de m assocé à la clé publque pk B de la manère suvante : tout d abord, nous avons beson de deux nstances DLIN G en base (g, u, v). Nous avons déjà (U = u a, V = v b, Z = g c ). Nous pouvons utlser cette nstance pour en dérver une seconde : Ū = U z u x, V = V z v y et Z = Z z g x+y pour des éléments x, y, z aléatores dans Z p. Nous remarquons alors que : (Ū = uā, V = v b, Z = g c ) est un trplet lnéare (en base u, v, g) s et seulement (U, V, Z) est un trplet lnéare (en base u, v, g). nous calculons alors C = (A, B, C, D ) =1,...,l en applquant successvement les procédures suvantes : 1. nous chosssons des éléments aléatores K, U G pour = 1,..., l, et W, W, W, W G, tels que l K = m =1 l U = 1 W W = Z W W = Z; =1 2. pour = 1,..., l, nous chosssons deux séquences de scalares aléatores t, s Z q ; 3. pus on calcule : A 1 = W K 1 B 1 = U A 2 = W K 2 B 2 = V A = g t K B = (Ω (hb ) ) t C 1 = W U 1 D 1 = Ū C 2 = W U 2 D 2 = V C = g s U D = (Ω (hb ) ) s pour = 3,..., l En posant W = g w, W = g w, W = g w et W = g w, nous obtenons alors w + w = c et w + w = c, et A 1 = W K 1 = g w K 1 = g a (g w a K 1 ) B 1 = U = u a = (Ω (hb 1 ) 1 ) a C 1 = W U 1 = g w U 1 = gā (g w ā U 1 ) D 1 = Ū = uā = (Ω (hb 1 ) 1 )ā A 2 = W K 2 = g w K 2 = g b (g w b K 2 ) B 2 = V = v b = (Ω (hb 2 ) 2 ) b C 2 = W U 2 = g w U 2 = g b (g w b U 2 ) D 2 = V = v b = (Ω (hb 2 ) 2 ) b

103 5.3- Extenson de l anonymat 97 Nous chosssons une clé publque aléatore (k 1,..., k l ) dans le code. Nous défnssons la clé publque maître par Ω ( k ) = X et Ω (k ) = g 1/x(k ), pour un scalare x (k ) aléatore dans Z q, pour = 1,..., l : et donc, pour tout, x (k ) est connu, tands que x ( k ) = 1/x n est pas connu. Lorsque l attaquant demande à être enregstré en tant que membre du groupe, on lu renvoe la clé publque (k 1,..., k l ) et la clé secrète (x (k 1) 1,..., x (k l) l ). Lorsque A renvoe un chffré C = (A = g a, B = g b, C = g c, D = g d ) =1,...,l, En posant nous obtenons K 1 = g w a K 1 U 1 = g w ā U 1 K 2 = g w b K 2 U 2 = g w b U 2 K = K U = U pour = 3,..., l A 1 = g a K 1 B 1 = (Ω (hb 1 ) 1 ) a C 1 = gā U 1 D 1 = (Ω (hb 1 ) 1 )ā A 2 = g b K 2 B 2 = (Ω (hb 2 ) 2 ) b C 2 = g b U 2 D 2 = (Ω (hb 2 ) 2 ) b A = g t K B = (Ω (hb ) ) t C = g s U D = (Ω (hb ) ) s, pour = 3,..., l et avec : l l K = g w a g w b K = g c a b m =1 =1 et l l U = g w ā g w b U = g c ā b. =1 =1 Enfn, A retourne sa réponse B pour B, et B renvoe le booléen (B = B) : s B reçot un trplet lnéare valde, alors les deux égaltés suvantes sont vérfées : c = a + b et c = ā + b : l =1 K = m et l =1 U = 1. Dans ce cas, A reçot vrament le chffré de m assocé à la clé pk B, comme dans la constructon. B peut gagner avec probablté non néglgeable s A devne correctement le bt B ; s B reçot un trplet aléatore, alors = c a b 0, et c ā b = (zc + x + y za x zb y) = z : ce qu condut à un chffré aléatore et ndépendant du bt B. Et dans ce cas, B = B avec probablté 1 2. Absence de canaux sublmnaux Cette nouvelle proprété repose sur l hypothèse DDH. Nous présentons c-dessous la smulaton pour la preuve du schéma Mates : Théorème 11 Le schéma Mates est sans canaux sublmnaux résstant aux attaques à clars choss s l hypothèse DDH G est valde. Plus précsément, s l est la longueur des denttés, on a pour tout attaquant polynomal A : Mates,A(λ) 4 Adv ddh (λ), Adv subf où λ est le paramètre de sécurté. G

104 98 Chaptre 5. Anonymat révocable Démonstraton: consdérons un attaquant possédant sa propre clé secrète sk au moyen de laquelle l tente de transmettre de l nformaton. Plus exactement, son objectf est de créer un chffré qu est assocé à une autre clé que la senne (notée pk). Nous allons montrer que s l hypothèse DDH G est valde, alors tout chffré rerandomsé qu n est pas assocé à la clé de l utlsateur est ndstnguable d un chffré parfatement aléatore. Ans, nous aurons le résultat que nous attendons : la procédure de rerandomzaton de deux chffrés non assocés à la clé pk permet d obtenr des chffrés ndstnguables. Comme précédemment, étant donnée une nstance 2-DDH (X = g x, Y = g y, Z = g z, Ȳ = gȳ, Z = g z ), l est possble de dérver l autres nstances smlares : (X = g x, Y = g y, Z = g z, Ȳ = gȳ, Z = g z ) pour = 1,..., l. Nous chosssons une clé publque aléatore (k 1,..., k l ) dans le code. Nous défnssons la clé publque maître par Ω ( k ) = X et Ω (k ) = g 1/x(k ), pour un scalare x (k ) aléatore dans Z q, pour = 1,..., l : et donc, pour tout, x (k ) est connu, tands que x ( k ) = 1/x n est pas connu. Lorsque l attaquant demande à être enregstré en tant que membre du groupe, on lu renvoe la clé publque (k 1,..., k l ) et la clé secrète (x (k 1) 1,..., x (k l) l ). Lorsque A renvoe un chffré C = (A = g a, B = g b, C = g c, D = g d ) =1,...,l, Nous applquons la procédure de rerandomzaton défne comme sut : pour = 1,..., l : A ( k ) = A C r Y W B ( k ) = B D r Z A (k ) = A C r R W B (k ) = B D r S C ( k ) = C u Ȳ V D ( k ) = D u Z C (k ) = C u R V D (k ) = D u S avec les aléas V = g v et W = g w et tels que V = 1 et W = 1, et les aléas R = g r, R = g r, avec r, u Z q ; en revanche les valeurs S = g s et S = g s suvent les dstrbutons respectves suvantes : Jeu 1 : S = g s = R 1/x(k ) (k) R1/x, S = g s =, et donc s = r /x (k ) et s = r /x (k ). De plus, nous supposons que (X, Y, Z, Ȳ, Z) est réellement un t-uplet 2-DDH : le chffré rerandomsé est donc défn exactement comme pour la constructon. Jeu 1* : comme pour le jeu précédent, S = g s = R 1/x(k ) (k), S = g s = R1/x. Mas à présent, nous supposons que (X, Y, Z, Ȳ, Z) est un t-uplet aléatore. S l hypothèse DDH est valde, cette nouvelle dstrbuton du chffré rerandomsé est ndstnguable de la dstrbuton défne par la constructon. Remarquons que dans ce jeu, le chffré rerandomsé a la forme suvante : A ( k ) = g y B ( k ) = g z C ( k ) = gȳ D ( k ) = g z A (k ) = g a +rc +r +w B (k ) = g b +rd +s C (k ) = g uc + r +v D (k ) = g ud + s, avec les aléas V = g v et W = g w, tels que V = 1 et W = 1, et les scalares R y, ȳ, z, z, r, r Zq, et avec r, u Z q, en revanche, on a s = r /x (k ) et s = r /x (k ). Jeu 2 : ce jeu est défn exactement comme le jeu précédent, excepté que (X, Y, Z, Ȳ, Z) est un t-uplet aléatore et à présent, r, r, s, s sont choss aléatorement dans Z q.

105 5.3- Extenson de l anonymat 99 Montrons que le chffré est de la même forme que le chffré du jeu 1*. Le chffré n étant pas assocé à la clé de l adversare, on a : (c d x (k ) ) 0. Posons δ = (r s x (k ) ) (c d x (k ) ) δ = ( r s x (k ) ) (c d x (k ) ) r = r + δ u = u + δ et pour = 1,..., l, r = r δd s = s δd w = w + δ(d x (k ) c ) (s x (k ) r ) r = r δd s = s δd v = v + δ(d x (k ) c ) ( s x (k ) r ) Alors, a + rc + r + w = a + r c δc + r + w δ(d x (k ) c ) + (s x (k ) r ) = a + r c + s x (k ) + w b + rd + s = b + r d δd + s = b + r d + s uc + r + v = u c δc + r + v δ(d x (k ) c ) + ( s x (k ) r ) = u c + v + s x (k ) ud + s = u d δd + s = u + d s, ce qu permet de conclure la preuve d absence de canal sublmnal pour notre schéma. Extenson On remarque que la descrpton précédente n explcte pas comment les utlsateurs obtennent leur clés publque et secrète. Afn de garantr la confdentalté des messages vs à vs du manager, le schéma Mates est utlsé comme smple sur-couche de chffrement. Supposons que l on veulle envoyer un message à un partcpant, on chffre d abord le message avec un schéma dont la foncton de chffrement est à valeurs dans le groupe spécfé par le schéma, pus la foncton du schéma Mates est applquée composante par composante sur le chffré obtenu. Avec notre schéma, nous devons utlser le schéma de chffrement ElGamal qu produt deux composantes dans le groupe G Concluson Nous avons proposé une nouvelle prmtve avec un modèle permettant une modélsaton de la consstance. Notre modèle n exge pas d nteracton entre les partcpants. Nous avons exhbé un schéma effcace, sans couplage vérfant les proprétés de sécurté sémantque, d anonymat et de résstance aux attaques sublmnales dans le modèle standard. Il reste encore pluseurs pstes à explorer : nous avons déjà envsagé de séparer les rôles du manager et de l autorté d ouverture en munssant le groupe d une structure blnéare, mas nous ne pouvons garantr la sécurté du schéma dans le modèle standard. De plus, l serat également ntéressant de rendre le schéma résstant aux coaltons, au mons de manère partelle ; une des pstes possbles est de sélectonner un code avec des proprétés ben spécfques aux garantes voulant être obtenues, ces garantes restent malheureusement trop fortes pour certfer l exstence du code requs. Ce pont reste encore mprécs.

106 100 Chaptre 5. Anonymat révocable

107 Trosème parte Anonymat et Authentfcaton 101

108

109 Chaptre 6 Échange de clés par mot de passe Les protocoles d échange de clés ont pour but de permettre à deux ou pluseurs partcpants d établr une clé de sesson commune utlsée pour échanger des messages de manère sécursée et authentfée. Dans ce scénaro, un attaquant a le contrôle total du canal et ses stratéges d attaques sont multples : l peut nteragr avec le protocole de manère à gagner de l nformaton en falsfant les messages, en les rejouant, en les supprmant, en nterceptant certans d entre eux au nom d un autre partcpant ou en les envoyant à un autre destnatare que celu prévu ntalement. Ces protocoles ntrodusent de nouvelles notons et la sécurté de nombreux protocoles proposés par le passé reposat sur des arguments heurstques à défaut de modèle formel. De manère à unfer un modèle caractérsant les pouvors de l attaquant dans ce scénaro, Bellare et al. [17, 14] ont ntrodut un modèle de sécurté dans le cas à deux et tros partes. Ils modélsent les proprétés de confdentalté et d ntégrté des messages envoyés ans que la proprété d authentfcaton mutuelle. Pusque les stratéges de l attaquant sont multples, afn de pouvor communquer de manère sécursée, les deux partes dovent posséder de l nformaton secrète. Nous consdérons le scénaro à base de mot de passe pour les protocoles à deux ou tros partes, où un clent cherche à obtenr une clé authentfée de sesson. Dans ce chaptre, nous commençons par rappeler les défntons relatves au protocole d échange de clés à base de mot de passe à deux partes, 2-PAKE. Nous ntrodusons le modèle de communcaton et les notons de sécurté pour ces protocoles. C est dans ce modèle que nous effectuerons la preuve de notre protocole générque que nous présenterons au chaptre 8. Ce premer chaptre, consacré aux protocoles 2-PAKE nous permettra également de dérver de manère naturelle le modèle de sécurté pour le scénaro à tros partes, plus délcat, que nous consdérons au chaptre suvant. Sommare 6.1 Introducton Les premers pas Travaux antéreurs EKE et varantes Attaques par dctonnare Modélsaton des protocoles d échange de clés Défntons Partcpants Modélsaton de la communcaton flag d dentté de sesson ou sd/ flag partenare de sesson ou pd

110 104 Chaptre 6. Échange de clés par mot de passe flag d acceptaton/ flag de termnason Interactons adversare/oracle : requêtes aux oracles Extensons du modèle Oracles et Instances Extenson de la noton de fraîcheur Nécessté des requêtes Execute Sécurté pour les protocoles PAKE Sécurté sémantque Authentfcaton Sécurté d un protocole Introducton Les premers pas L artcle ncontournable et fondateur du concept d échange de clés est l artcle de Dffe- Hellman. Il propose une méthode permettant à deux utlsateurs de se mettre d accord sur une clé de sesson pour échanger des messages de manère sécursée. Par la sute, cette méthode a été très nfluente pour la constructon de nombreux protocoles d échange de clés. Le prncpe est le suvant : les deux partcpants U 1, U 2 chosssent chacun au hasard x, y Z q respectvement. Chacun peut alors calculer le secret Dffe-Hellman g x y en recevant le message de l autre partenare. L un des nconvénents majeurs de ce protocole est qu l ne permet pas aux joueurs de savor par qu a été envoyé la valeur reçue. Le protocole est donc vulnérable aux attaques par le mleu. Il exste dfférentes méthodes d authentfcaton ; sot des méthodes asymétrques, par lesquelles les joueurs obtennent une pare clé publque/clé prvée certfées ; dans ce cas, on suppose l exstence d une nfrastructure de clés publques (PKI), ou sot des méthodes symétrques, pour lesquelles les joueurs partagent une clé secrète aléatore de haute entrope. Une trosème possblté est d envsager que chaque pare d utlsateurs partage un secret de fable entrope, un mot de passe : c est ce scénaro que nous consdérons dans cette thèse. U 1 U 2 x R Z q 0 Message 1 U 1, g x A K 1 (g y ) x 0 Message 2 U 2, g y A y R Z q K 2 (g x ) y Fg. 6.1 Protocole Dffe-Hellman. G = g est un groupe cyclque d ordre q.

111 6.1- Introducton Travaux antéreurs Les varantes du protocole Dffe-Hellman avec authentfcaton sont très nombreuses ; Bellovn et Merrtt [22] ont été les premers à consdérer formellement ce concept. Leur protocole, EKE a été prouvé dans des modèles déaux (deal cpher model ou random oracle model) [16] ; nous revendrons sur les varantes de ce protocole au prochan paragraphe. Cet artcle a été très nfluent par la sute dans la concepton d autres protocoles. Halev et Krawczyk [80] ont construt un protocole prouvé sûr dans le modèle standard mas dans un contexte asymétrque qu suppose l exstence d une PKI. Seul le protocole de Goldrech et Lndell [72] dans le modèle standard est sans hypothèses d ntalsaton addtonnelles ; leur constructon suppose l exstence de permutatons à trappe. Notons que même s leur protocole est neffcace,l permet d établr une preuve de fasablté. Boyko et al. [38] ont proposé un protocole à base de mot de passe effcace et prouvé sûr dans le modèle de l oracle aléatore. Bellare, Pontcheval et Rogaway [14] ont également consdéré les protocoles 2-PAKE, pour lesquels ls ont proposé un modèle de sécurté formelle, permettant d exhber des preuves élégantes ; l s agra par la sute d un argument convancant et gagnant en compéttvté face aux autres protocoles neffcaces dans le modèle standard ou dont la sécurté est heurstque EKE et varantes L un des protocoles d échange de clés authentfé le plus célèbre est le protocole Encrypted Key-Exchange, EKE [22]. Ce protocole a été proposé comme varante du protocole Dffe-Hellman par Bellovn et Mertt ; l permet à un clent d obtenr une clé commune authentfée avec un serveur. Comme son nom l ndque, ce protocole utlse comme composante addtonnelle au protocole fgure 6.1, une combnason de prmtves de chffrement asymétrque et symétrque où le mot de passe est utlsé comme clé symétrque commune. Le prncpe est le suvant : notons U 1 et U 2 les deux partcpants ; U 1 génère une clé publque et l envoe à U 2 chffrée avec le mot de passe, qu déchffre et chffre une clé K avec la clé publque obtenue. Pluseurs varantes se sont développées par la sute. Nous dstnguons deux formes dfférentes : une premère, où le mot de passe est employé comme clé de chffrement symétrque, l s agt du protocole EKE ntal de Bellovn et Mertt et une seconde, où le chffré est obtenu en multplant le message par un haché du mot de passe. Pour cette dernère verson effcace, on défnt une foncton destnée à masquer le mot de passe, où l un des messages (ou les deux) ssu de l échange peut être chffré ; l en découle pluseurs varantes [38], dont en partculer le protocole AuthA qu a été proposé par Bellare et Rogaway [20] comme canddat à la standardsaton des protocoles d échange de clés. Nous donnons fgure 6.2 une descrpton d une varante EKE du second type, AuthA (le chffré est obtenu en multplant le message par un haché du mot de passe). Ce protocole, prouvé sûr dans le modèle de Bellare et al. par Bresson et al. [39], est à la base des deux protocoles que nous étuderons par la sute Attaques par dctonnare Du fat de la fable entrope du mot de passe, nous ne pouvons empêcher un attaquant de corrompre un utlsateur en le devnant. Les protocoles d échange de clés à base de mots de passe peuvent être sujets à des attaques par recherche exhaustve, auss connu sous le nom d attaques par dctonnare [22, 87, 93, 14, 38], dans lesquelles l adversare essae de casser la sécurté du schéma en essayant toutes les valeurs possbles du mot de

112 106 Chaptre 6. Échange de clés par mot de passe passe. Nous dstnguons les attaques en lgne (ou on-lne en anglas) et hors lgne (ou off-lne en anglas) suvant que l attaquant nteragsse ou non avec le système pour tester la valdté du mot de passe en jeu. Pusque nous ne pouvons pas empêcher l adversare d élmner un mot de passe par sesson, notre but est de garantr que l attaque en lgne est la seule possble ; en partculer nous devons nous assurer que les attaques hors lgne ne lu fournssent aucun bas. Plus précsément, notre but est de montrer que l attaquant ne peut pas élmner plus de n mots de passe après n sessons. Par la sute, nous supposons que le mot de passe pw est chos dans un dctonnare D de talle bornée. On note N la talle du dctonnare et nous supposons qu elle est fxée à l avance. De plus, afn d évter les attaques par partton, nous fasons l hypothèse que le dctonnare sut une dstrbuton unforme même s d autres dstrbutons peuvent être consdérées. Remarque 11 Reprenons le protocole EKE de Bellovn et Merrtt [22]. Nous pouvons remarquer que la clé publque (s elle content une certane forme de redondance, par exemple) peut être utlsée par l attaquant a posteror pour tester la valdté d un mot de passe. De plus, nous pouvons remarquer que le mot de passe est utlsé comme clé symétrque pour chffrer à la fos la clé publque et le chffré de la clé de sesson partelle ; une telle utlsaton du mot de passe ajoute des restrctons d mplémentaton, dctées entre autre par l espace des clés de sessons et des chffrés du schéma de chffrement. 6.2 Modélsaton des protocoles d échange de clés Défntons Partcpants Nous supposons que l ensemble des partcpants est fxé à l avance : le serveur et un clent. Ils peuvent partcper à pluseurs exécutons du protocole ; ces exécutons peuvent être dfférentes et concurrentes. Dans le modèle que nous ntrodusons c, chaque partcpant a accès à un nombre llmté d nstances au moyen desquelles l est autorsé à nter le protocole, ou à partcper à son exécuton. On note I l ensemble de ces nstances et U s la s-ème nstance du partcpant U. Lorsqu l n y a pas d ambguïté, nous noterons U plutôt que U s. Nous défnssons l ensemble C des clents et S le serveur. Dans un protocole à deux partes, on a donc : U = C {S}. S U s ou Uj t sont engagés dans une conversaton pour calculer une clé de sesson commune, on notera sk s,t,j = sk U s = sk U t j la clé de sesson calculée, en cas de succès 1 ; on dra que U s et Uj t sont partenares dans cette sesson. On pourra se rapporter à la défnton 20 pour la noton de partenarat. Défnton 19 (Échange de clés à base de mot de passe à deux partes (2-PAKE)) Un protocole d échange de clés à base de mot de passe à deux partes 2-PAKE P, est spécfé par tros algorthmes polynomaux P déf = LL, Clent, Serveur : LL : spécfe la dstrbuton ntale des secrets à long terme. Cet algorthme prend en entrée un paramètre de sécurté λ ; Clent : spécfe l exécuton d un clent C. Cet algorthme prend en entrée une nstance C s, un état s C, l dentté de l émetteur U C et un message m. Il retourne le message que le clent C est supposé renvoyer en réponse ; 1 Nous parlons de succès lorsque les deux clents ont acceptés avec une clé de sesson commune.

113 6.2- Modélsaton des protocoles d échange de clés 107 Serveur : spécfe l exécuton du serveur S. Cet algorthme prend en entrée une nstance S s, un état s S, l dentté de l émetteur et un message. Il retourne le message que le serveur S est supposé renvoyer comme réponse. Dans la défnton c-dessus, le format du message m en entrée est spécfque au protocole étudé. LL est un algorthme probablste polynomal, qu retourne les secrets à long terme de tous les partcpants. Dans notre cas, celu de l authentfcaton d un clent à base de mots de passe va un canal n confdentel, n authentfé, la clé consste en un mot de passe pw pour chaque clent (également donné au serveur) Modélsaton de la communcaton flag d dentté de sesson ou sd/ flag partenare de sesson ou pd Dans le modèle de sécurté pour les protocoles 2-PAKE, nous modélsons les nstances des joueurs par des requêtes accessbles à l attaquant va des requêtes aux oracles. L dentfant de sesson sd (ou sesson ID en anglas) permet de caractérser la communcaton entre deux partcpants pour une sesson ; cet dentfant est en général une sute d échanges qu consste en des combnasons nstances/messages envoyés. Sa défnton vare selon les modèles : l peut dans certans cas être défn tout au début [17]. De manère générale, l dentfant de sesson correspond à une parte de la communcaton échangée. Parfos, le transcrpt de la communcaton est souvent très commode pour cette caractérsaton : l s agt de la communcaton nterceptée sur le canal publc durant l exécuton d une sesson. flag d acceptaton/ flag de termnason Nous défnssons les flag accepte et termne afn de modélser les deux ponts suvants : une nstance accepte va le flag accepte, lorsqu elle est en possesson d une clé de sesson sk, une dentté de sesson sd ( sesson ID, en anglas) et un partenare assocé pd (se référer à la défnton 20). Une nstance termne va le flag termne lorsque son but est attent et qu l n est pas en attente d un autre message. Cette ndcaton peut être commode lorsqu une nstance désre recevor la confrmaton que son partenare exste ben : une possblté pour lu consste alors d accepter et de ne termner qu une fos convancu de l exstence de son partenare. Nous défnssons la noton de partenarat c-dessous : Défnton 20 On dra que deux nstances U s les quatre condtons suvantes sont vérfées : 1. U s et U t j 2. U s et U t j sont dans un état d acceptaton ; et U t j partagent le même dentfant de sesson sd ; 3. Le partcpant U s accepte avec la même clé que U t j 4. U s est la seule nstance en état d acceptaton avec U t j Interactons adversare/oracle : requêtes aux oracles sont partenares s et seulement s et vce-versa ; et vce-versa. L attaquant a accès à pluseurs nstances en parallèle va des requêtes aux oracles. De fat, l peut contrôler la communcaton de pluseurs manères : s le canal est non sécursé, l peut créer, falsfer, transmettre ou encore supprmer des messages ;

114 108 Chaptre 6. Échange de clés par mot de passe s le canal est sécursé et/ou authentfé, l peut suvant le modèle corrompre un adversare et ses pouvors varent en foncton du moyen d authentfcaton utlsé (moyen authentfcaton symétrque ou asymétrque). Selon le cas, le modèle peut consdérer un adversare malhonnête et actf qu a le drot de corrompre les partcpants sot avant l ntalsaton du protocole (l attaquant est alors dt statque), sot après son ntalsaton (l attaquant est alors dt adaptatf) selon le nveau de sécurté que l on peut attendre. Nous nous concentrons sur deux modèles célèbres, Fnd Then Guess (FTG) et Real or Random (RoR). Ce derner modèle est plus fort [12, 3] : on peut montrer qu un protocole sûr dans le modèle RoR l est également dans le modèle FTG avec une perte de facteur (q test égal au nombre de requêtes Test ; ces requêtes seront défns juste après). Dans ces deux modèles, l nteracton de l adversare avec le protocole s effectue au moyen de requêtes spécfques aux oracles. Nous commençons par présenter le premer modèle. Une smple modfcaton, nous permettra d ntrodure le modèle RoR. Execute(U r, St ) : cette requête modélse les attaques passves au cours desquelles l adversare demande une exécuton honnête du protocole. Il reçot le transcrpt total ssu de la communcaton entre les nstances U r, St de son chox. Send(U r; m) : cette requête modélse le transfert à l oracle U r, où U C {S} par l adversare d un message m qu l chost. L adversare reçot le message que U aurat produt s l avat reçu le message m. S le message n est pas valde ou s U r n est pas dans en état de transton, noté watng, la requête est gnorée ; Corrupt(U ) : cette requête modélse la fute des secrets long-termes. Pour les protocoles 2-PAKE, on dstngue deux types de corruptons : les corruptons partelles, pour lesquelles l attaquant apprend les secrets long termes de U (c.à.d. son mot de passe), mas l n apprend ren sur les états nternes de l nstance, et les corruptons fortes, pour lesquelles l attaquant apprend le mot de passe et les états nternes de U ; Reveal(U r) : s la clé de sesson est défne, la clé de sesson sk U r est renvoyée, snon un symbole d erreur est renvoyé. La requête Reveal modélse une utlsaton abusve de la clé de sesson étable, c.à.d. une fute d nformaton ; notre but est de vérfer que les clés de sessons ne révèlent aucune nformaton sur le mot de passe ; Test(U r) : s l nstance U r a accepté avec une clé de sesson sk U r, on tre un bt b aléatore. S b = 0, on donne la clé sk U r à l attaquant ; snon, s aucune clé de sesson n est défne pour l nstance U r ou s b = 1, on lu renvoe une clé de sesson aléatore de même talle que la précédente (toujours la même). Cette requête n est accessble que s l nstance est fraîche, c.à.d. s la clé de sesson n est pas trvalement connue de l attaquant. Une nstance est fraîche s elle n est pas corrompue et s aucune Reveal ne lu a été posée. On ntalse le flag fresh à vra pour toutes les nstances. Dans le modèle RoR, l attaquant est autorsé à poser pluseurs requêtes Test : à présent, on demande que les clés de sesson réelles soent non seulement ndstnguables d une clé aléatore, mas également ndépendantes les unes des autres. La requête est défne pour un bt b chos par le challenger tout au début de l expérence ; pour chaque requête, la réponse de l oracle est ndépendante du nombre de requêtes posées par l attaquant : l oracle répond toujours de la même manère ; ou ben toutes les clés de sesson obtenues comme réponse à l oracle sont ssues d une exécuton réelle du protocole ; ou ben ces clés sont toutes aléatores selon la valeur du bt b. De plus, ausstôt qu une requête Test a été posée à une nstance donnée, aucune requête Reveal ne peut être posée à cette nstance.

115 6.2- Modélsaton des protocoles d échange de clés 109 La proprété de forward-secrecy permet de modélser le degré de compromsson des secrets long termes 2 : un protocole vérfe la proprété de forward-secrecy s la connassance des secrets à long terme (c le mot de passe) ne compromet pas les clés de sessons étables par le passé Extensons du modèle Oracles et Instances Lorsqu une requête est posée à un oracle avec un message m en entrée, où m provent d une réponse à un oracle, on dt que m est un message généré par un oracle. Plus formellement, lorsqu l n y a pas d ambguïté sur le message, on écrra OG(U s ) lorsque U s reçot un message généré par un oracle. Plus généralement, on écrt OG(U s, n), lorsque le n-ème message (dans le protocole en queston) reçu par U s est généré par un oracle. Défnton 21 On dt que m est un message généré par un oracle s l exste une nstance U s j, avec s I et un partcpant U U tels que m = Send(U s j, U ; m ) pour un certan message m. Nous redéfnssons la requête Send de manère à capturer l dentté de l expédteur : Send(U r, U j; m) : cette requête modélse les attaques au cours desquelles l attaquant envoe un message à l nstance U r au nom du partcpant U. L adversare reçot le message que U aurat produt s l avat reçu le message m. Extenson de la noton de fraîcheur La noton de sécurté pour les protocoles 2-PAKE (vor secton 6.3) donne un accès partel aux clés de sessons. Cela dt, dans certans cas, cette clé de sesson peut être trvalement connue de l attaquant ; nous défnssons donc la noton de fraîcheur qu caractérse les clés valdant une attaque de l adversare. Au départ, nous supposons que toutes les sessons sont fraîches : le flag fresh est ntalsé à vra. Sgnalons que les défntons exstantes (vor défnton de la (ou des) requête(s) Test paragraphe 6.2.2) supposent que s un des joueurs est corrompu, la clé de sesson est forcément non fraîche. Nous étendons ce modèle de sécurté en mantenant certanes clés de sesson fraîches même en cas de corrupton d un des partcpants : remarquons que s les vras utlsateurs jouent le protocole, la clé de sesson peut être toujours protégée en pratque. Notre modèle de sécurté prend en en compte ce type d attaque ; ce pont sera ms, plus en évdence dans l analyse de sécurté. Plus formellement, nous consdérons qu une nstance est fraîche pour une sesson, et nous attrbuons la valeur vra au flag fresh de cette nstance s l une des deux condtons suvantes est vérfée : 1. n l nstance en queston, n l nstance partenare n a été corrompue avant que la sesson ne débute, ou ben 2. l attaquant nteragt avec le protocole va des requêtes Execute ou de smples transferts de requêtes Send (tous les messages reçus sont générés par des oracles). 2 le mot de passe, pour les protocoles 2-PAKE. 2 Par extenson, ce flag peut être attrbué à une sesson, s celles-c est exécutée par des nstances fraîches.

116 110 Chaptre 6. Échange de clés par mot de passe Nécessté des requêtes Execute Intutvement, les requêtes Execute modélsent des observatons passves des transcrpts tands que les requêtes Send modélsent des attaques actves contre certans des joueurs honnêtes. Ces requêtes peuvent être combnées les unes aux autres. Comme nous l avons vu, les requêtes Execute peuvent, être smulées par une séquence de requêtes Send. Par conséquent, une séquence est décomptée dans le nombre d attaques passves, s toutes les requêtes sont smulées par des oracles. Par exemple, nous avons supprmé ces requêtes dans le protocole 2-PAKE du chaptre 8 : en effet, s le transcrpt complet est consttué de messages générés au moyen d une successon de requêtes non modfées, l utlsaton d une requête Execute dans les modèles exstants [14] est alors tout à fat smlare. Mas s l un des messages se trouve modfé, l s agt alors d une attaque actve. Rappelons que pour les protocoles 2-PAKE, l un des buts est de montrer que seules les attaques par dctonnare on-lne (névtables) sont susceptbles de compromettre la sécurté. Autrement dt, une attaque passve n apporte aucune nformaton sur le mot de passe, et une attaque actve ne dot permettre à l adversare que d élmner au plus un seul mot de passe. En revanche, nous verrons que pour le protocole du prochan chaptre 7, les requêtes Execute sont mportantes car elles peuvent être utlsées par l attaquant pour avor un bas sur le mot de passe : plus précsément, l utlsaton d une successon de requêtes Send n est pas tout à fat smlare car lors de la smulaton, nous ne pouvons prédre le comportement de l attaquant ; l se peut qu l décde de ne pas transférer un message en cours d exécuton : nous nous devons donc de décompter les requêtes Execute et Send séparément. 6.3 Sécurté pour les protocoles PAKE Une des partculartés de notre modèle est la consdératon smultanée des proprétés suvantes : la sécurté sémantque pour la clé de sesson échangée ou key prvacy vs à vs de partcpants extéreurs ou corrompus (ce qu permet de consdérer la forward-secrecy) ; l authentfcaton unlatérale ou mutuelle suvant le protocole ; la protecton du mot de passe du clent vs à vs de l attaquant ; l anonymat du clent vs à vs du serveur ; nous revendrons sur ce pont plus lon lors de la descrpton de notre protocole et de sa preuve Sécurté sémantque La sécurté sémantque de la clé de sesson est modélsée par la requête Test. Dans notre contexte, cette requête Test peut être demandée autant de fos que l adversare le souhate. D après ce qu précède, ces requêtes dovent être faîtes seulement sur des nstances fraîches. L un des buts est de garantr que les clés de sesson étables entre C et S restent nconnues de tout autre partcpant : l s agt de la proprété de confdentalté de la clé auss appelée sécurté sémantque. En effet, nous voulons que l adversare ne pusse trer aucune nformaton sgnfcatve des requêtes effectuées aux oracles sur les clés de sesson défnes fraîches (c.à.d. non connues trvalement de l adversare, on pourra se reporter à notre défnton de fraîcheur, défne paragraphe 6.2.3).

117 6.3- Sécurté pour les protocoles PAKE Authentfcaton L un des buts pour les protocoles 2-PAKE est de garantr que les données reçues (resp. envoyées) provennent ben de l émetteur (resp. parvennent ben au destnatare) légtme. Nous consdérons pour cela les notons d authentfcaton unlatérale ou mutuelle. Un protocole d échange de clés vérfe la proprété d authentfcaton unlatéral s l permet à une des deux enttés de s authentfer auprès de l autre partcpant en étant correctement dentfé. Un protocole vérfe la proprété d authentfcaton mutuelle s l permet à deux partes de s authentfer l un à l autre de telle sorte à ce que chacun sot assuré de l dentté de son nterlocuteur. La noton d authentfcaton mutuelle s est d abord développée ndépendamment des protocoles d échange de clés. MacKenze et Swamnathan [94] ont été les premers à avor ntégré cette noton dans les protocoles d échange de clés, en combnant un protocole à deux partes rudmentare (AKE) avec cette noton. Boyko et al. [38] ont ensute défn cette noton et prouvé sa valdté dans le cas partculer des protocoles Dffe- Hellman. Dans [14], Bellare et al. adoptent une approche plus modulare : dans un premer temps, ls construsent un protocole AKE dont ls prouvent la sécurté dans le modèle de l oracle aléatore, pus présentent une transformaton générque permettant de garantr l authentfcaton unlatérale ou mutuelle. Le modèle que nous proposons consdère la noton d authentfcaton comme proprété ntégrante du modèle : alors que les preuves exstantes dstnguer deux jeux ndépendants pour la sécurté sémantque et l authentfcaton, notre modèle unfe la preuve en montrant ces deux proprétés dans un même jeu de sécurté Sécurté d un protocole Dans les protocoles 2-PAKE, le but est d assurer l authentfcaton unlatérale ou mutuelle et la confdentalté de la clé de sesson vs à vs d un utlsateur malhonnête. Les ressources de calcul de l adversare sont le temps d exécuton, noté t, et le nombre de requêtes aux oracles Execute, Send, Reveal respectvement notés q execute, q send, q reveal. On estme qu un adversare A casse la sécurté AKE d un protocole 2-PAKE P, s l devne correctement le bt b. Plus précsément, consdérons un attaquant A lmté à une pussance de calcul polynomale qu à l ssue de q test requêtes Test retourne un bt b. A casse la sécurté du protocole P s Pr[b = b ] > 1/2. Nous défnssons l avantage AKE de l attaquant A à casser la sécurté sémantque du protocole P par Adv ake P,A (λ) = 2 Pr[Succ] 1. Défnton 22 On dt qu un protocole 2-PAKE, P est sûr s pour tout attaquant polynomal A qu nteragt avec le protocole P va au plus q nstances, l avantage Adv ake P,A est une foncton néglgeable en le paramètre de sécurté,c.à.d. Adv ake P,A(λ) < c q N + negl(λ), où N est la talle du dctonnare (contenant les de mots de passe et mun d une dstrbuton unforme), c est une constante pette, déalement proche de 1, et negl() est une foncton néglgeable en le paramètre de sécurté.

118 112 Chaptre 6. Échange de clés par mot de passe Clent C Serveur S G, H 0, H 1 G, H 0, H 1 PW G(C, S, pw) D G pw D accepte faux accepte faux x R Z q, X g x X X PW K S Y x AuthS H 1 (S, C, X, Y, PW, K A ) AuthS? = AuthS s erreur rejette sk 1 H 0 (S, C, X, Y, PW, K A ); termne vra 0 Message 1 C, X 0 A 1 X X /PW y R Z q, Y g y K S X Message 2 A S, Y, AuthS AuthS H 1 (S, C,, X, Y, PW, K S ) sk S H 0 (S, C, X, Y, PW, K S ); termne vra Le communcaton entre le clent et le serveur se fat va un canal n confdentel, n authentfé. Fg. 6.2 Varante AuthA du protocole EKE où un message est chffré. G = g est un groupe cyclque d ordre q. H pour = 0, 1 sont des fonctons de hachage de {0, 1} vers {0, 1} l modélsés par des oracles aléatores et le mot de passe pw R D, avec D un dctonnare de talle N et unformément dstrbué.

119 Chaptre 7 Scénaros à tros partes Dans cette parte, nous nous ntéressons aux protocoles d échange de clés à tros partes, où un clent souhate accéder à un servce proposé par un serveur. Dans ce domane, la lttérature est consdérable et fare un compte-rendu détallé des travaux antéreurs serat llusore. Nous décrrons seulement un schéma qu a été très nfluent, et qu, même s très élogné du nôtre, nous permet de meux comprendre les crtères de correcton et de sécurté défns par la sute pour les protocoles PAKE à tros partes. Nous ntrodurons ensute le modèle de sécurté pour les protocoles d échange de clés à tros partes en étendant les défntons de [19] : l s agt d une extenson du modèle présenté au chaptre précédent où le moyen d authentfcaton reste le mot de passe. Ce modèle étend les moyens de l adversare : les stratéges d attaques valdes se dversfent. Par alleurs, cette extenson consdère comme auparavant, les proprétés de sécurté sémantque et résstance aux attaques par dctonnare de manère smultanée. Enfn, nous présenterons une varante du protocole [2], dont nous prouverons la sécurté dans ce modèle. Sommare 7.1 Introducton Exemple : Kerberos Descrpton Défntons Modèle de sécurté et extensons Modèle de sécurté Requêtes aux oracles Corrupton Extenson de la noton de Fraîcheur Quelques outls pour GPAKE Hypothèse PCDDH Preuve NIZKPDL Gateway-Based Password Authentcated key-exchange Descrpton du protocole transparent GPAKE Sécurté de GPAKE Résultat de sécurté Analyse de sécurté

120 114 Chaptre 7. Scénaros à tros partes 7.1 Introducton Exemple : Kerberos L ncontournable système à la source, Kerberos a été ms au pont dans les années 80 par le MIT. Il s agt d un des premers protocoles où les partcpants communquent va des canaux non sécursés (n confdentels et n authentfés). Ce protocole met en jeu pluseurs enttés : 1. un clent possédant un clé secrète K C, partagée avec un ters de confance, le centre de dstrbuton de clés (KDC). Le clent possède également un secret lu permettant de se fare reconnaître (généralement un mot de passe) ; 2. un serveur possédant une clé secrète K S ; 3. un centre d émsson de tckets, TGS (pour Tcket-Grantng Servce), possédant une clé secrète K TGS partagée avec le centre KDC. La TGS connaît la clé K S du serveur ; 4. un centre de dstrbuton de clés, KDC (pour Key Dstrbuton Center), qu connat les clés secrètes K C et K TGS. Descrpton Nous donnons une descrpton du protocole Kerberos fgure 7.1. Le clent C s dentfe et chost un serveur S, l envoe ces nformatons au centre gestonnare des clés des serveurs. L dentté envoyée est d abord vérfée et le centre KDC répond par un tcket T chffré avec un dentfant et une clé de sesson K C,TGS, cette dernère étant également chffrée avec la clé secrète de chffrement de C. Le clent retrouve la clé K C,TGS qu lu permet de chffrer son authentfant, la date d émsson du tcket T, t 0 et sa durée de ve D. Le servce d émsson de tckets retrouve ce tcket, et vérfe l authentcté et l ntégrté des nformatons reçues. Un tcket d accès au serveur T C,S est alors éms ans qu une clé de sesson K C,S assocée aux futures communcatons entre le clent C et le serveur S chos. Ces deux éléments sont chffrés avec la clé du serveur et la clé partelle K C,TGS respectvement. Donnons l dée ntutve des fonctonnaltés apportées par les nvarants d une sesson 1 dans ce protocole Kerberos : la vérfcaton de l authentcté des requêtes se fat au moyen des clés de sesson possédées par chaque parte. Ces clés dovent être renouvelées à chaque exécuton. Nous pouvons remarquer que le transcrpt d une communcaton entre deux partcpants content des nformatons sur l dentté du clent, le tcket et une clé de sesson (tous ces éléments sont chffrés). La noton d dentfant de sesson (vor défnton 6.2.2) est prmordale pour garantr la sécurté, elle permet d assurer l authentcté des messages envoyés par l émetteur désgné. L mplcaton d un ters addtonnel, la TGS, permet non seulement de lmter les rsques que les clés des utlsateurs soent révélées, mas contrbue également à rendre le système plus transparent vs-à-vs du clent. Malheureusement, le gestonnare des clés dot mpératvement être mplémenté par une autorté de confance, car s le centre KDC est corrompu, alors toutes les clés des clents sont connues de l attaquant. D autre part, l usage de tckets permet l accès au serveur : s un adversare s en empare, l peut se fare passer pour le clent. C est pourquo, ls ont une durée de valdté lmtée. 1 Le terme nvarants fat référence aux secrets qu ls soent long terme ou non.

121 7.1- Introducton 115 servce de dstrbuton de tckets, TGS centre de dstrbuton de clés, KDC E T E KTGS (T, ID C, K C,TGS ) E 2 E KC (K C,TGS ) T TGS D KTGS (E T ) décomposer T TGS en (T, ID C, K C,TGS ) Vald(AuthC 1 )? E 5 E KS (T C,S )! Message 3 E 4, E T Clent, C K C,TGS = D KC (E 2 ) E 4 E KC,TGS (AuthC 1, t 0 )! Message 4 E 5, E 6 K C,S D KC,TGS (E 6 ) E 6 E KC,TGS (K C,S ) E 7 E KC,S (AuthC 2 )! Message 5 E 5, E 7 Serveur, S Vald(AuthC 2 )? rejette ou accepte Fg. 7.1 Protocole Kerberos Défntons Nous consdérons un protocole d échange de clés à tros partes, où un clent souhate avor accès à un servce proposé par le serveur. Précsons qu en pratque, lors de la procédure d authentfcaton, le clent ne parle pas forcément drectement au serveur d authentfcaton mas à un serveur d applcaton (que nous appellerons passerelle) qu permet d établr le len avec le serveur d authentfcaton. La passerelle ne connaît pas le mot de passe, l se charge juste de vérfer qu l parle ben à un clent dont le mot de passe est enregstré dans la base de données du serveur d authentfcaton. Dans un tel protocole, nos buts sont les suvants : 1. garantr la sécurté sémantque (ou key prvacy en anglas) de la clé de sesson échangée vs-à-vs du serveur d authentfcaton (comme défne au chaptre précédent) mas auss vs-à-vs de partcpants corrompus. Cette dernère garante permet de consdérer la forward-secrecy ; 2. garantr la protecton du mot de passe du clent vs à vs de la passerelle ; 3. rendre l nfrastructure passerelles/serveur la plus transparente possble vs à vs du clent : ce derner ne sat pas s l parle à un serveur détenant les mots de passe ou à une passerelle. Nous verrons au prochan chaptre comment ces proprétés contrbuent à ntrodure l anonymat du clent vs à vs du serveur. Pour l nstant, nous nous ntéressons juste aux partculartés du modèle que nous ntrodusons et à la descrpton du protocole GPAKE. Une des contrbutons dans l artcle [4] est la prse en compte de l anonymat du clent vs à vs du serveur. Nous étendons la défnton de protocole 2-PAKE au scénaro à tros partes drgé par une passerelle (ou getaway en anglas) : Défnton 23 (Gateway-based Authentcated Key-Exchange) Un protocole Gateway-based Authentcated Key-Exchange, P est spécfé par quatre algorthmes polynômaux P = (LL, Clent, Gateway, Serveur) :

122 116 Chaptre 7. Scénaros à tros partes LL spécfe la dstrbuton ntale des secrets long terme ; l prend en entrée un paramètre de sécurté λ ; Clent spécfe l exécuton du protocole réalsée par un clent C ; Il prend en entrée une nstance C s, un état s C, l dentté de l émetteur et un message. Il retourne le message que le clent C dot renvoyer comme réponse ; Gateway spécfe l exécuton du protocole réalsée par une passerelle G ; l prend en entrée une nstance G s, un état s G, l dentté de l émetteur et un message. Il retourne le message que la passerelle G dot renvoyer comme réponse ; Serveur spécfe l exécuton du protocole réalsée par le serveur S ; l prend en entrée une nstance S s, un état s S, l dentté de l émetteur et un message. Il retourne le message que la passerelle G dot renvoyer comme réponse. LL est un algorthme probablste polynomal, qu retourne les secrets à long terme de tous les partcpants. Dans notre cas partculer, celu de l authentfcaton du clent basé sur les mots de passe, et utlsant un canal symétrque confdentel et authentfé entre les passerelles et le serveur, ces clés consstent en : un mot de passe pw pour chaque clent (également donné au serveur) ; une clé symétrque SecureChan S G pour chaque pare passerelle/serveur afn de permettre un canal sécursé (permettant de garantr la confdentalté et l ntégrté des messages). 7.2 Modèle de sécurté et extensons Pendant longtemps, les preuves des protocoles étaent approxmatves : très souvent, on montrat qu un schéma résstat à certanes attaques connues sans vrament exhber de preuves formelles. Par alleurs, dans ce contexte, les stratéges de l adversare se dversfent de manère plus prononcée que les protocoles à deux partes. Il convent donc de défnr parm celles-c, les attaques valdes. La nécessté des notons de partenarat et de fraîcheur défnes précédemment devennent encore plus fondamentale à l élaboraton d un modèle pour ce scénaro. C est en 1995, que Bellare et Rogaway [19] défnssent un modèle formel pour les protocoles d échange de clés à tros partes. Ce sont les premers à défnr une noton de correcton pour ces protocoles. Ils défnssent un modèle de preuves, qu consttuent aujourd hu une brque de base pour les protocoles prouvés sûrs. D un pont de vue théorque, l peut être ntéressant de remarquer que leur modèle formalse la dstncton entre les noton de dstrbuton de clés et d authentfcaton d entté, une dstncton, mse plus en évdence dans les protocoles à tros partes ; celles-c se tradusent respectvement par la proprété d authentfcaton unlatérale ou mutuelle et la proprété de confdentalté de clé. C est dans une extenson de ce modèle que sera effectuée la preuve de notre protocole GPAKE. La sous-secton qu sut défnt les proprétés caractérsant ce modèle de preuve, à l exemple du chaptre précédent. Nous soulgnerons pas à pas les extensons que nous avons pu y apportées Modèle de sécurté Requêtes aux oracles Comme dans [3], nous adoptons le modèle de sécurté Real-or-Random (RoR), ce qu sgnfe que l adversare nteragt avec le protocole va des requêtes à des oracles dans un

123 7.2- Modèle de sécurté et extensons 117 ordre qu l décde et pour des exécutons éventuellement concurrentes. À l ssue de ces nteractons, nous aurons à montrer que l attaquant n est pas capable de dstnguer des clés aléatores de celles renvoyées, comme nous l avons explqué dans la chaptre précédent. Les requêtes aux oracles sont les suvantes : Execute(C r, Gs j, St ) : cette requête modélse toujours les attaques passves : l attaquant reçot le transcrpt total ssu de la communcaton entre les nstances C r, Gs j et S t de son chox lors d une exécuton honnête. Send(U r, U; m) : cette requête modélse les attaques actves au cours desquelles l adversare chost un message m qu l voudrat envoyé à U r, où U C G {S} au nom du partcpant U. Dans notre cas, les échanges entre les passerelles et le serveur se font va des canaux garantssant la confdentalté des communcatons et l authentfcaton de l émetteur. De fat, s la passerelle G est corrompue (le flag corrupt G est vra), le destnatare n acceptera pas un message envoyé par un émetteur non authentfé. Rappelons que nous supposons une authentfcaton symétrque entre les passerelles et le serveur (vor défnton 23). Reveal(Uj s) : s la clé de sesson est défne, la clé de sesson sk Uj s est renvoyée, snon un symbole d erreur est renvoyé. Test(Uj s ) : les requêtes Test peuvent être posées au clent ou à une passerelle. Dans le modèle RoR, nous rappelons que le challenger chost tout au début un bt b. L attaquant pose autant de requêtes qu l le souhate. Nous répondons à ces requêtes exactement comme défne paragraphe Son attaque est valde s l devne le bt b pour une sesson fraîche. Dans notre protocole GPAKE, cette noton de fraîcheur n est pas tout à fat smlare, nous la précsons paragraphe Remarque 12 Contrarement au modèle présenté à la secton précédente, c les requêtes Execute peuvent être smulées par une séquence de requêtes Send, mas une telle séquence sera décomptée dans le nombre de sessons actves. Remarquons que là encore, la requête Reveal modélse une utlsaton abusve de la clé de sesson étable et donc une fute d nformaton : nous devons vérfer que les clés de sessons ne lassent fur aucune nformaton sur le mot de passe. Corrupton On dt qu un partcpant U est corrompu et le flag corrupt U prend la valeur vra s l une des requêtes Corrupt lu est posée. L attaquant apprend alors les secrets du partcpant à qu la requête est posée ; ces secrets varent selon l dentté du partcpant. Nous supposons que le flag corrupt est ntalsé à faux pour tous les partcpants. Nous ne consdérons que des corruptons partelles, où seuls les secrets long termes sont révélés à l attaquant, mas pas les états nternes. Ces dfférentes requêtes peuvent être posées par l attaquant à un clent, une passerelle et un serveur et sont défnes de la manère suvante : Corrupt(C ) : cette requête modélse une corrupton du clent C où l adversare apprend le mot de passe du clent C. On pose alors corrupt C vra ; Corrupt(G j ) : cette requête modélse une corrupton d une passerelle G j où l adversare a accès en lecture et écrture au canal sécursé entre la passerelle G j et le serveur (nous avons supposé une authentfcaton symétrque entre G j et S). On pose alors corrupt Gj vra ; Corrupt(S) : cette requête modélse la corrupton du serveur où l adversare apprend les mots de passe pw C de tous les clents C stockés dans le serveur. Mas l a auss

124 118 Chaptre 7. Scénaros à tros partes accès au canal sécursé entre le serveur et toutes les passerelles (pusque nous avons supposé une authentfcaton symétrque entre ces deux partcpants). On pose alors corrupt C vra et corrupt G vra pour tous les clents C et toutes les passerelles G. Remarque 13 Précsons dés à présent que nous supposerons que les corruptons sont statques. Autrement dt, avant l ntalsaton du protocole, nous savons quels sont le ou les partcpant(s) corrompus. Malheureusement, nous ne pouvons assurer une smulaton consstante s une corrupton ntervent lors d une exécuton du protocole : s la passerelle est corrompue, elle peut très ben calculer une clé de sesson dfférente ndépendante de celle du clent ; ce qu est en contradcton avec la noton de partenarat Extenson de la noton de Fraîcheur Rappelons que la noton de fraîcheur est ndspensable pour défnr les sessons valdant une attaque : pour casser la sécurté sémantque, l attaquant dot devner le bt b assocé à une sesson fraîche avec probablté non néglgeable. Par exemple, s l on consdère les cas énumérés c-dessous, l attaquant peut faclement devner le bt b et gagner : S le serveur est corrompu, l adversare peut jouer le rôle de la passerelle et du serveur contre le clent : l chost tout smplement les aléas utlsés par les deux partes pour établr une clé de sesson commune avec le clent sans que ce derner ne s en aperçove ; S C est corrompu, l adversare peut jouer le rôle du clent pour établr une clé de sesson commune avec la passerelle sans que celle-c ne s en aperçove ; S G est corrompu, l adversare peut jouer le rôle de la passerelle, sans que le serveur, n le clent ne s en aperçove. À présent, supposons que tous les partcpants sont corrompus (même le serveur), mas que l adversare est passf pour une sesson, c.à.d. qu l ne pose que des requêtes Execute ou fat smplement des transferts de requêtes Send, remarquons alors que cette sesson peut tout à fat rester fraîche. En effet, même s les secrets long terme sont connus de l adversare, dans certans cas, le joueur corrompu peut être assuré qu l parle ben à un joueur honnête. Dans ce cas, la clé de sesson peut très ben rester secrète ; ce qu nous permet d étendre la noton de fraîcheur : une sesson peut rester fraîche même s un secret long terme est révélé. Remarque 14 Notons que s une corrupton ntervent après la fn d une exécuton, cela n affecte pas le statut de fraîcheur, ce qu permet de consdérer une noton plus forte de forward-secrecy que celle usuellement prse en compte Quelques outls pour GPAKE Hypothèse PCDDH L hypothèse Dffe-Hellman basé sur un mot de passe en base orentée, PCDDH est une varante de celle présentée dans [5]. Sot G, g, q une structure assocée à un groupe cyclque G d ordre q et généré par g. L expérence, Exp pcddh b (A, D) précse l nteracton entre le challenger du jeu Dffe-Hellman à base de mot de passe et en base chose et l attaquant. Nous supposons que D est un dctonnare de talle N fxe contenant des éléments (les mots de passe) dans G, tous aléatores et ndépendants. Nous munssons cet ensemble d une dstrbuton aléatore. Le jeu défnssant cette expérence est le suvant : au cours d une premère étape FIND, l adversare chost une base X. Le challenger chost un bt b, un mot de passe pw dans D et deux aléas s 0, s 1. L attaquant reçot alors le mot

125 7.2- Modèle de sécurté et extensons 119 de passe pw, deux éléments de G : X = (X/pw) s b et Y = g s 1. Il gagne s l devne le bt b correctement. L adversare dot alors devner le bt b dans l expérence suvante : Expérence Exp pcddh b A,D (λ) (X, s) A 1 (FIND, D) ; pw R D; s 0, s 1 R Zq ; X (X/pw) s b, Y g s 0 ; retourner b A 2 (GUESS, s, X, Y, pw) ; Consdérons un attaquant A possédant une pussance de calcul polynomale. Sot D un dctonnare de talle N et unformément dstrbué. Nous défnssons l avantage de A dans l expérence Exp pcddh b A,D précédente pour b = 0, 1 par : Adv pcddh A,D (λ) = Pr[Exppcddh 1 D,A (λ) = 1] Pr[Exp pcddh 0 A,D (λ) = 1]. L hypothèse PCDDH G établt que l avantage de tout attaquant polynomale A est au plus 1 N plus une foncton néglgeable de λ. Intutvement, toute stratége de l attaquant pour devner le bt b n est pas sgnfcatvement melleur que celle qu consste à devner mot passe avec probablté 1 N. Pour assurer la valdté de notre hypothèse, l est mportant que les éléments du dctonnare soent choss de manère ndépendante dans G. En effet, le logarthme dscret s b de X en base g dot être dffcle à calculer. Notons que la varante calculatore de ce problème, où l objectf est de calculer X = (X/pw) s 0, pour une base X chose par l attaquant, étant donnés Y et pw avec probablté supéreure à 1/N, est mplquée par l hypothèse CDH G. Intutvement, on peut vor que s les mots de passe sont choss aléatorement et ndépendamment les uns des autres, le problème revent à devner le mot de passe. Même s nous ne dsposons pas de preuve formelle, cette hypothèse semble tout à fat rasonnable sous l hypothèse DDH G [5]. Preuve NIZKPDL Dans notre protocole, nous avons beson de preuve non nteractve de connassance de logarthme dscret sans fute d nformaton, NIZKPDL. Dans notre cas, ce sera une sgnature de connassance : on notera NIZKPDL(m; g, h) la sgnature de connassance du logarthme dscret de h en base g sur le message m. C est la sgnature de Schnorr [113, 114], prouvée sûre dans le modèle de l oracle aléatore [106, 107]. Grâce au forkng-lemma [106, 107] lorsqu une telle preuve valde est générée par l adversare, l extracton est possble par un seul rejeu (rewnd, en anglas). Sot G un groupe cyclque d ordre q généré par g. Nous utlsons une verson non nteractve du système de preuve ntrodut par Schnorr dans [113, 114], en lu applquant la transformaton de Fat-Shamr [67] dans le modèle de l oracle aléatore [16, 106, 107] : Élément publc : descrpton du groupe h = gs Témon : l exposant s Preuve de connassance du témon : le prouveur chost un exposant aléatore α Z q et pose u = g α. Il calcule c = H(X, g, h, u) et v = α cs mod q. Il envoe alors la preuve (c, v) au vérfeur. Vérfcaton de la preuve : c? = H(X, g, h, g v h c ).

126 120 Chaptre 7. Scénaros à tros partes Le forkng lemma [106, 107] montre qu une exécuton de ce protocole permet d extrare le témon en temps polynomal. Cependant, notons qu après un rewnd, nous devons nous assurer qu aucune extracton supplémentare n est nécessare, auquel cas un autre rejeu sera nécessare. Et pluseurs extractons peuvent entraîner alors une complexté exponentelle. En ce qu nous concerne, notre analyse ne nécesste qu un seul rewnd. 7.3 Gateway-Based Password Authentcated key-exchange Descrpton du protocole transparent GPAKE À présent, nous sommes prêts pour la descrpton de notre nouveau protocole GPAKE. Il s agt d une varante du protocole proposé par Abdalla, Chevassut, Fouque et Pontcheval dans l artcle [2]. Nous commençons par décrre cette constructon, qu peut être vue comme une varante du protocole EKE de Bellovn et Merrtt. Sot G, g, q une descrpton assocée à un groupe cyclque G d ordre q généré par l élément g. Sot l un paramètre de sécurté. Nous défnssons pluseurs fonctons de hachage G, H 1, et H 2 : G : U 2 D G, H 1 : U 2 G 2 {0, 1} l, H 2 : U 2 G 2 {0, 1} l. Pour chaque mot de passe pw D, nous défnssons PW déf = G(C, G, pw) D G, l s agt du moyen d authentfcaton du clent C auprès de la passerelle G. Cette dernère a pour rôle de permettre au clent d établr un canal sécursé qu ne lasse pas entrevor au clent l mplcaton de la passerelle dans la procédure d authentfcaton. Nous appelons cette proprété transparence vs à vs du clent. Le clent connaît le mot de passe pw, et la passerelle fat alors appel au serveur qu connaît les PW assocés, la capacté de stockage étant mons lmtée que pour la passerelle. Par alleurs, la génératon de mots de passe PW aléatores dans G (gérée par l utlsaton de la foncton G) est essentelle pour pouvor utlser l hypothèse PCDDH G. Le protocole consste en quatre échanges : le clent commence par chosr un scalare x aléatore dans Z q et calcule X = g x, qu l chffre en utlsant G(C, G, pw) comme masque ; le clent obtent une valeur X qu l envoe à la passerelle, accompagnée de son dentté C. Après récepton du message, la passerelle chost y R Z q et calcule Y = g y. Elle transfert X, Y au serveur. Après récepton d un message (X, Y ) de la passerelle, le serveur calcule X = X /G(C, G, pw). Il chost un scalare s aléatore dans Z p et calcule la pare (X = X s, Y = Y s ) qu l envoe à la passerelle. La passerelle reçot alors une pare (X, Y ) et calcule une clé de sesson partelle K = X y, un authentfant AuthG = H 2 (C, G, X, Y, K) et une clé de sesson sk déf = H 1 (C, G, X, Y, K) et renvoe G, Y et AuthG au clent. Mun d un trplet (G, Y, AuthG), le clent calcule la clé Dffe-Hellman partelle K = Y x et vérfe s AuthG? = H 2 (C, G, X, Y, K) et sk? = H 1 (C, G, X, Y, K). L dentfant de sesson est défn par la concaténaton des messages nterceptés sur le canal, c.à.d. C, G, X, Y, K. Notre protocole est composé de quatre échanges de messages entre le clent, la passerelle et le serveur comme dans [2]. Une smple modfcaton du protocole [2] décrt précédemment nous permettra de garantr l anonymat du clent vs à vs de la passerelle : après récepton de la valeur X et de l dentté de l émetteur C, la passerelle se contente de transférer au serveur les deux éléments X et C envoyés par le clent sans calcul addtonnel. La passerelle chost alors l exposant y et calcule Y et K en même temps. Afn de garantr la sécurté assocée à la noton de fraîcheur dans le sens où nous l avons défne, nous avons beson de

127 7.3- Gateway-Based Password Authentcated key-exchange 121 deux preuves de connassance (à dvulgaton nulle de connassance) de logarthme dscret des éléments h et Y en bases g et h respectvement (on pourra se référer au paragraphe parte I consacré entre autre sgnatures de connassance). Nous donnons une descrpton complète du protocole GPAKE fgure Sécurté de GPAKE Résultat de sécurté Grâce à l hypothèse PCDDH G, nous pouvons prouver la sécurté du protocole, dans un modèle plus fort en consdérant une noton de fraîcheur plus large que celle usuellement consdérée : cette noton couvre de manère presque évdente la forward-secrecy, en permettant certanes sessons de rester fraîches, même après une éventuelle corrupton d un ou pluseurs partcpants. Par alleurs, nous conservons les sessons pour lesquelles l adversare ne fat que des transferts de messages comme sessons fraîches. Nous obtenons le résultat suvant que nous démontrons juste à la sute : Théorème 12 (Sécurté) Consdérons le protocole 7.2 défn pour un groupe G d ordre premer q, avec D un dctonnare de talle N. Consdérons un adversare A capable d nter des exécutons concurrentes du protocole, mas auss de corrompre n mporte quel partcpant (de manère non-adaptatve 2 ) S A nte mons de q send sessons générés va des requêtes Send, nous avons alors : Adv ake A (λ) 12q send N + negl(λ). Notons que les requêtes Execute ne détermnent pas le résultat précédent. En effet, la fute d nformaton à l ssue de ces requêtes est néglgeable. Analyse de sécurté Démonstraton: Dans la preuve du résultat précédent, nous nous ntéressons à l événement S n qu a leu s l adversare devne le bt b défn pour la requête Test, plus exactement s l événement b = b a leu. On consdère une séquence de jeux, que nous allons modfer progressvement de manère à rédure l attaque du jeu réel en un algorthme contre un problème calculatorement dffcle. On note n le dstance entre deux jeux consécutfs G n et G n+1. On commence par le jeu réel. On pourra remarquer que même s le canal entre les passerelles et le serveur est confdentel, nous serons, malgré tout capable de smuler les communcatons. L adversare peut les mémorser et ne vérfer qu à postéror leur valdté, et notamment lorsque l une des passerelles sera corrompue. Game G 0 : on a : l s agt du protocole réel, dans le modèle de l oracle aléatore. Par défnton, Adv ake GPAKE,A (λ) = 2 Pr[S 0] 1. Game G 1 : dans ce jeu, nous smulons les fonctons de hachage (modélsées par des oracles aléatores) G, H 1 et H 2, mas auss deux fonctons de hachage addtonnelles H 1, H 2 : U 2 G 2 {0, 1} l, qu apparaîtront plus tard, dans l analyse de sécurté. Nous défnssons les lstes Λ H, Λ H et Λ G ntalement vdes. La smulaton des fonctons de 2 Ce qu sgnfe qu aucun partcpant ne peut être corrompu au mleu d une sesson, mas seulement avant qu elle ne débute.

128 122 Chaptre 7. Scénaros à tros partes Clent C Passerelle G G, H 1, H 2 G, H 1, H 2 PW déf = G(C, G, pw) D G pw D accepte faux x R Z q, X g x X X PW K Y x AuthG H 2 (C, G, X, Y, K) Π 1, Π 2 vald? AuthG? = AuthG If no error/reject sk H 1 (C, G, X, Y, K); accepte vra! Message 1 C, X 0 Message 4 G, h, Y, AuthG, Π 1, Π 2 1 C A accepte faux y R Z q, Y h y Π 2 NIZKPDL(X ; h, Y ) K X y AuthG H 2 (C, G, X, Y, K) sk H 1 (C, G, X, Y, K); accepte vra! Message 2 C, G, X! Message 3 X, h, Π 1 Le communcaton entre le clent et la passerelle se fat va un canal n confdentel, n authentfé. Passerelle G Serveur S G, H 1, H 2! Message 2 C, G, X s R Z q, h g s X (X /PW) s PW est lé à C et à G! Message 3 X, h, Π 1 Π 1 NIZKPDL(X ; g, h) Le communcaton entre la passerelle et le serveur se fat va un canal sécursé (assurant la confdentalté, l ntégrté et l dentfcaton de l orgne des messages). Fg. 7.2 Notre nouveau protocole GPAKE

129 7.3- Gateway-Based Password Authentcated key-exchange 123 hachage est défne de la manère suvante : s le regstre (n, q, r) apparaît dans la lste, on répond à la requête H n (q) (resp. H n(q)), Λ H (resp. Λ H ), par r ; snon on chost un élément aléatore r {0, 1} l que nous renvoyons comme réponse, et nous ajoutons (n, q, r) à la lste Λ H (resp. Λ H ) ; s le regstre (q, r) apparaît dans la lste Λ G, on répond à une requête de hachage G par r ; snon, on chost un élément aléatore dans G que nous ajoutons dans la lste Λ G. Nous smulons les requêtes Send et Execute, de la même manère que l auraent fat de réelles nstances dans le protocole GPAKE. Nous smulons également les requêtes Reveal et Test comme défnes par le modèle de sécurté : Smulaton des requêtes Send à C : on répond à une requête Send pour l nstance C de la manère suvante : on répond à une requête Send(C; INIT) en applquant les règles suvantes : Rule C1 (1) chosr un exposant aléatore x Z q, calculer X = g x et X = X PW. (C, X ) consttue alors la réponse de cette requête et l nstance passe à un état d acceptaton. on répond à une requête Send(C, G; h, Y, AuthG, Π 1, Π 2 ) en applquant les règles suvantes : Rule C2 (1) calculer K = Y x et AuthG = H 2 (C, G, X, Y, K) ; s Π 1 et Π 2 sont valdes et s AuthG = AuthG, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette. L état du flag fresh C est défn paragraphe Fnalement, C accepte s tout est correct, et termne dans tous les cas. Tous les autres cas sont gnorés. Smulaton des requêtes Send à G : on répond à une requête posée à une nstance G de la manère suvante : on répond à une requête Send(G, C; C, X ) en transférant smplement le message (C, G, X ). On répond à une requête Send(G, S; X, h, Π 1 ) en applquant les règles suvantes : Rule G1 (1) s Π 1 n est pas valde, abandonner la smulaton ; snon chosr un élément y Z q. Calculer Y = h y et K = X y ; construre Π 2 = NIZKPDL(X ; h, Y ), étant donné y. Rule G2 (1) calculer AuthG = H 2 (C, G, X, Y, K) et sk = H 1 (C, G, X, Y, K). L état du flag fresh G est défn paragraphe Alors, G accepte et termne. On répond à cette requête par (G, h, Y, AuthG, Π 1, Π 2 ). Tous les autres cas sont gnorés. Smulaton des requêtes Send à S : on répond à une requête Send posée à une nstance S en applquant les règles suvantes :

130 124 Chaptre 7. Scénaros à tros partes pour une requête Send(S, G; C, G, X ), on applque les règles suvantes : Rule S (1) chosr un exposant s R Z q et calculer h = g s ; calculer X = (X /PW) s, où PW est le mot de passe de C ; construre Π 1 = NIZKPDL(X ; g, h) (en chosssant s). on répond alors à cette requête par (X, h, Π 1 ) Tous les autres cas sont gnorés. Smulaton des autres requêtes : on répond à une requête Execute(C r, Gs j, St ) en applquant successvement la smulaton des requêtes Send de la manère suvante : (C, X ) Send(C; INIT), en fasant appel à EC1 (1) plutôt qu à C1 (1) ; (C, G, X ) Send(G, C; C, X ) ; (X, h, Π 1 ) Send(S, G; C, G, X ), en utlsant ES (1) à la place de S (1) ; (G, h, Y, AuthG, Π 1, Π 2 ) Send(G, S; X, h, Π 1 ), en fasant appel à EG1 (1) et EG2 (1) à la place de G1 (1) et G2 (1) respectvement ; et Send(C, G; h, Y, AuthG, Π 1, Π 2 ), en fasant appel à EC2 (1) à la place de C2 (1). On retourne alors le transcrpt (C, G, X ), (X, h, Π 1 ), (G, h, AuthG, Π 1, Π 2 ). Une requête Reveal(U) retourne la clé de sesson s l nstance a déjà accepté et s aucune requête Test ne lu a été posée. Snon, on renvoe comme réponse. Une requête Test(U) retourne la même valeur aléatore sk SK, s b = 0. Snon, elle renvoe Reveal(U). Nous pouvons remarquer faclement que ce jeu est parfatement ndstnguable du protocole réel. Game G 2 : de manère à smplfer l analyse, on supprme les jeux pour lesquels des collsons apparassent : collsons sur les sortes de G collsons sur les sortes de H 1 et H 2 collsons sur le transcrpt partel (C, G, X, Y ) 2 q2 sesson + q2 G 2q + q2 H 2 l = negl(), où q sesson est le nombre de sessons et q G, q H le nombre de requêtes s aux oracles G et H 1 et H 2 respectvement. Game G 3 : dans ce jeu, nous consdérons les attaques trvales dans lesquelles l adversare essae de construre un authentfant valde AuthG. Nous montrons dans un premer temps que s l n y a pas de requêtes H 2 assocé à AuthG, l attaque échoue avec grande probablté. D autre part, on peut vor que s une telle requête exste, elle est unque, pusque nous avons supprmé les collsons de H 2 (et H 1 ) dans le jeu G 2. Pus, nous modfons la smulaton du clent, lorsque personne n est corrompue : ce derner reçot un message non généré par un oracle pus rejette l authentfant. Rule C2 (3)

131 7.3- Gateway-Based Password Authentcated key-exchange 125 s corrupt C corrupt G OG(C, 4), on rejette. on dentfe dans Λ H l élément K tel que AuthG = H 2 (C, G, X, Y, K). s l n y en a pas, on rejette. s Π 1 et Π 2 sont valdes et s K = Y x, on calcule sk = H 1 (C, G, X, Y, K), snon on rejette. G 3 est dentque au jeu G 2 sauf s un authentfant valde est rejeté. Dans ce cas, les deux événements suvants peuvent avor eu leu : BadReject-NoAskH : la requête de hachage n a pas été posée, mas l authentfant est valde ; BadReject-Uncorrupted : personne n est corrompue, mas l adversare tente de construre un authentfant valde (sans l ade du serveur d authentfcaton), pusqu l ne peut poser aucune requête, n ntercepter la communcaton du serveur avec la passerelle, compte tenu de la présence du canal sécursé. Alors, 3 Pr[BadReject-Uncorrupted 3 ] + Pr[BadReject-NoAskH 3 ]. Nous consdérerons l événement BadReject-Uncorrupted 3 plus tard dans le preuve : en réalté, nous ne sommes pas encore capable d évaluer la probablté que cet événement at leu. Pour l événement BadReject-NoAskH 3, l est facle de vor que : Pr[BadReject-NoAskH 3 ] q send 2 l = negl(), où q send est le nombre de requêtes Send posé à C. Remarquons smplement que l événement BadReject-Uncorrupted 3 a leu pour au plus un mot de passe par sesson. En effet, l se peut que le t-uplet (g, X /PW, Y, K) appartenne à L CDHG, où K est ssue de la requête H 2 pour au plus une valeur de PW. Cependant, pusque notre smulaton utlse encore le mot de passe, nous ne pouvons pas encore affrmer que la probablté est bornée par q send /N : la vue de l attaquant peut lasser fur de l nformaton sur le mot de passe, ce qu peut l ader à gagner plus faclement. Les prochans jeux ont justement pour but de smuler tous les oracles sans utlser le mot de passe ; on pourra alors montrer que l adversare ne pourra avor un bas sur la probablté de devner le mot de passe. Game G 4 : dans ce jeu, nous consdérons seulement les attaques générées va des requêtes Execute. Pour ces sessons, nous modfons la smulaton de ces requêtes en remplaçant les oracles H 1 et H 2 par les oracles secrets H 1 et H 2. Nous n avons plus beson de calculer la clé Dffe-Hellman K, pusque l authentfant et la clé de sesson en sont complètement ndépendants. Voyons comment smuler les requêtes Execute dans ce jeu : Rule EG1 (4) on chost un exposant y Z q pus on calcule Y = h y ; on smule Π 2 = NIZKPDL(X ; h, Y ), sans utlser y ; Rule EG2 (4) on calcule AuthG = H 2 (C, G, X, Y ) et sk = H 1 (C, G, X, Y ) ; Rule EC2 (4) on calcule sk = H 1(C, G, X, Y ). Les jeux G 4 et G 3 sont ndstnguables sauf s A pose les requêtes de hachage H 1 ou H 2 sur certan(s) transcrpt(s) C G X Y K ssu(s) de l exécuton du protocole. Pusque

132 126 Chaptre 7. Scénaros à tros partes nous avons restrent notre analyse aux attaques ntées va des requêtes Execute, nous appelons cet événement AskHE. Pour tout événement Ev, nous avons : Pr[Ev 4 ] Pr[Ev 3 ] Pr[AskHE 4 ]. S l événement AskHE 4 a leu, alors, pour certans transcrpt(s) obtenus va des requêtes Execute, A peut savor s le smulateur a utlsé un oracle secret ou publc. En outre, cela sgnfe que le t-uplet (X, Y, K), où K = CDH G (X /PW, Y ) apparaît dans la lste Λ H, ce qu sgnfe que A, pourtant lmté à une pussance de calcul polynomale peut résoudre le problème CDH. De manère à prouver ce résultat, nous consdérons un jeu auxlare, dans lequel nous ne fasons aucune modfcaton sur la vue de l attaquant : nous modfons la smulaton seulement s A nteragt avec le protocole va des requêtes Execute. Il est mportant de précser que le smulateur connaît le mot de passe, ce qu nous permet de smuler la requête INIT avec X = Ag α et Y = Bg β, où A = g α et B = g β sont deux entrées aléatores du CDH G. Game G 4.1 : Rule EC1 (4.1) chosr un exposant α Z q, calculer X = Ag α et X = X PW. Rule EG1 (4.1) Chosr un exposant aléatore β Z q et calculer Y = Bg β. Smuler Π 2 = NIZKPDL(X ; h, Y ), sans utlser y. S l événement AskHE a leu, cela sgnfe que A parvent à extrare la valeur CDH G de A et B dans Λ H : K = CDH G (Ag α, Bg β ) = CDH G (A, B) B α A β g αβ. Nous obtenons alors CDH G (A, B) = K/B α A β g αβ : 4 Pr[AskHE 4 ] q H Succ cdh (t ) = negl(), où t = t + (2q execute + 3)τ avec τ le temps de calcul d une exponentaton dans le groupe et où q execute est le nombre de requêtes Execute. Notons que pour ce jeu, les mots de passe n ntervennent pas dans les sessons smulées va des requêtes Execute, n pour le clent, n pour les passerelles, pusque ces deux partcpants ne calculent plus l authentfant, n la clé de sesson. Cependant, le serveur utlse encore le mot de passe pour le calcul de h et X. Game G 5 : Dans ce jeu, nous smulons le serveur sans utlser le mot de passe pour les sessons générées va des requêtes Execute : Rule ES (5) on chost un exposant s Z q et on calcule h = g s ; on chost un exposant t Z q et on calcule X = g t ; on smule Π 1 = NIZKPDL(X ; g, h), sans utlser s. Les jeux G 5 et G 4 sont dentques sauf pour la smulaton du serveur. Montrons que cette dfférence ne peut être détectée que s l exste un attaquant contre le problème DDH G. Game G 5.1 : donnons-nous un trplet CDH G, (A, B, C). La smulaton des requêtes Execute est désormas défne de la manère suvante :

133 7.3- Gateway-Based Password Authentcated key-exchange 127 Rule EC1 (5.1) on chost des exposants aléatores x 1, x 2 Z q pus on calcule X = g x 1 A x 2 et X = X PW ; Rule ES (5.1) on chost y 1 et y 2 dans Z q et on calcule h = g y 1 B y 2 ; et X = C x 2y 2 A x 2y 1 B x 1y 2 g x 1x 2 ; on smule Π 1 = NIZKPDL(X ; g, h). Il est facle de vor que cette smulaton est parfatement dentque à celle du jeu G 4. Game G 5.2 : à présent, nous modfons juste l entrée (A, B, C), en la remplaçant par une nstance aléatore : la smulaton est alors parfatement dentque à celle du jeu G 5 et alors 5 Adv ddh G (t ) = negl(), où t = t + 8q execute τ et où q execute est le nombre de requêtes Execute. Game G 6 : dans ce jeu, nous restregnons notre analyse aux sessons pour lesquelles l attaquant fat de smples transferts de messages ssus de requêtes Send. Ce sont des exécutons passves, smlares à celles obtenues à partr de requêtes Execute, mas nous ne pouvons pas savor dés le début s le transcrpt sera consttué de smples transferts ou non. Nous voulons montrer que l adversare ne peut pas connaître la clé de sesson, sauf s l est capable casser le problème CDH. Nous modfons la smulaton de telle sorte à ce que que la clé sot calculée par des oracles secrets H 1 et H 2 et non plus par H 1 et H 2, comme précédemment : Rule G1 (6) on vérfe la valdté de Π 1 ; s Π 1 n est pas valde, on abandonne la smulaton et snon ; s corrupt C corrupt G OG(G, 1), on chost un exposant y R Z q et on calcule Y = h y ; snon, on chost un exposant y R Z q et on calcule Y = h y et K = X y ; on smule Π 2 = NIZKPDL(X ; h, Y ), sans utlser y. Rule G2 (6) s corrupt C corrupt G OG(G, 1), on calcule AuthG = H 2 (C, G, X, Y ) et sk = H 1 (C, G, X, Y ). snon, on calcule AuthG = H 2 (C, G, X, Y, K) et sk = H 1 (C, G, X, Y, K) Rule C2 (6) s corrupt C corrupt G OG(C, 4), on rejette. s corrupt C corrupt G OG(G, 1), on calcule AuthG = H 2(C, G, X, Y ) ; s Π 1 et Π 2 sont valdes, et s AuthG = AuthG, on calcule sk = H 1(C, G, X, Y ) ; snon on rejette. on dentfe dans Λ H l élément K tel que AuthG = H 2 (C, G, X, Y, K). s l n y en a pas, on rejette. s Π 1 et Π 2 sont valdes et s K = Y x, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette. La probablté de tout événement dans G 6 et G 5 est la même, sauf s l adversare pose les requêtes H 1 ou H 2 pour certan(s) transcrpt(s) C G X Y K, où K est le Dffe- Hellman de X /PW et Y. Pusque nous nous concentrons au cas passf (c.à.d. les sessons

134 128 Chaptre 7. Scénaros à tros partes obtenues va des transferts de messages), nous appelons cet événement AskHF 6. Pour tout événement Ev, nous avons : Pr[Ev 6 ] Pr[Ev 5 ] Pr[AskHF 6 ]. Comme au jeu G 4, on peut montrer que s l événement AskHF 6 a leu, nous pouvons résoudre le CDH G. Pour cela, nous consdérons un jeu auxlare dans lequel nous ne modfons pas la vue de l adversare, mas seulement la smulaton de la passerelle et du clent lorsque OG(G, 1). Soulgnons que le smulateur connaît le mot de passe utlsé pour la smulaton du clent. Dans notre cas, l n est pas nécessare de calculer la clé. Nous smulons X avec Ag α PW et Y par Bg β, où A = g a et B = g b sont deux nstances aléatores du problème CDH G. Game G 6.1 : Rule C1 (6.1) s corrupt C corrupt G, on chost un exposant aléatore α Z q, on calcule X = Ag α et X = X PW. snon, on chost un exposant aléatore x Z q, on calcule X = g x et X = X PW ; Rule G1 (6.1) on vérfe s la valdté de Π 1 ; s Π 1 n est pas valde, on rejette et snon ; s corrupt C corrupt G OG(G, 1), on chost un exposant aléatore β Z q et on calcule Y = (Bg β ) ; snon, on chost un exposant aléatore y Z q, on calcule Y = h y et K = X y. on smule Π 2 = NIZKPDL(X ; h, Y ), sans utlser y. S l événement AskHF a leu, A peut extrare le Dffe-Hellman des éléments A et B dans Λ H, ce qu sgnfe que A peut casser le problème CDH G. Nous avons en effet : K = CDH G (Ag α, Bg β ) = CDH G (Ag α, B)CDH G (Ag α, g β ) = CDH G (A, B)B α A β g αβ. Nous obtenons alors CDH G (A, B) = K/B α A β g αβ. On a donc : 6 Pr[AskHF 6.1 ] q H Succ cdh (t ) = negl(), où t = t + (2q send + 3)τ avec τ le temps de calcul d une exponentaton dans le groupe, et q send le nombre de requêtes Send. Game G 7 : nous consdérons désormas les sessons pour lesquelles la passerelle est corrompue : l adversare peut se fare passer pour le serveur auprès de la passerelle (pusque nous avons supposé une authentfcaton symétrque entre les passerelles et le serveur). Intutvement, l adversare ne connaît pas les mots de passe, le clent rejettera alors les requêtes ssues de telles sessons. C est en fat comme s l adversare jouat le rôle de la passerelle sans que le serveur ne sot mplqué ; on notera OGA(S) pour caractérser les requêtes posées à l oracle S et dont l entrée a été générée par un oracle ; Rule C2 (7)

135 7.3- Gateway-Based Password Authentcated key-exchange 129 s corrupt C corrupt G OG(C, 4), on rejette. f corrupt C corrupt G OG(G, 1), on calcule AuthG = H 2(C, G, X, Y ) ; s Π 1 et Π 2 sont valdes et s AuthG = AuthG, on calcule sk = H 1(C, G, X, Y ), snon on rejette. s corrupt C ( OGA(S) OG(G, 3)), on rejette ; on dentfe dans Λ H l élément K tel que : AuthG = H 2 (C, G, X, Y, K) ; s l n y en a pas, rejeter, s Π 1 et Π 2 sont valdes et s K = Y x, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette. Comme pour l analyse du jeu G 3, G 7 est dentque au jeu G 6 sauf s l adversare essae de jouer le rôle du serveur, et devne le bon mot de passe. Dans ce cas, nous rejetterons à tort un authentfant valde ; nous notons BadReject-C-Uncorrupted 7 un tel événement. Cet événement se produt avec probablté néglgeable pusque l adversare ne connaît pas le bon mot de passe (c, l analyse est restrente aux sessons pour lesquelles le clent n est pas corrompu). Pour tout événement Ev, on a : Pr[Ev 7 ] Pr[Ev 6 ] 7 Pr[BadReject-C-Uncorrupted 7 ]. Notons qu un tel événement ne se produt que pour un mot de passe pour chaque sesson, pusque l adversare ne peut retourner un quadruplet CDH G, (g, X /PW, h, X) que pour un seul mot de passe PW. Pusque notre smulaton utlse toujours le mot de passe, nous ne pouvons affrmer que cette probablté est bornée par q send /N, où q send est le nombre de requêtes Send posés au clent. Les prochans jeux nous permettront d aboutr à cette concluson. Game G 8 : désormas, nous consdérons les attaques pour lesquelles A nteragt drectement avec le serveur (la passerelle peut éventuellement être corrompue). Soulgnons que lors de la smulaton d une requête INIT destnée au clent, nous ne pouvons savor s la valeur X générée sera transférée à S ou non. En effet, l adversare peut très ben envoyer une valeur dfférente. Et le clent rejettera l authentfant avec grande probablté mas comme la smulaton n est pas encore totalement ndépendante du mot de passe (le serveur l utlse encore), l adversare peut très ben obtenr de l nformaton sur le mot de passe du clent. Nous montrons justement que l attaquant n obtent aucune nformaton sgnfcatve sur le mot de passe ; commençons par smuler le serveur sans l utlser. Rule C1 (8) s corrupt C, on chost un exposant aléatore x Z q, on calcule X = g x ; snon, on chost un exposant aléatore x Z q, on calcule X = g x et X = X PW. Rule S (8) on chost un exposant aléatore s Z q et on calcule h = g s. Pus, Rule C2 (8) s corrupt C, on chost un exposant t R Z q et on calcule X = g t. snon on calcule X = (X /PW ) s, où PW est le mot de passe de C. on smule Π 1 = NIZKPDL(X ; g, h).

136 130 Chaptre 7. Scénaros à tros partes s corrupt C corrupt G OG(C, 4), on rejette. s corrupt C corrupt G OG(G, 1), on calcule AuthG = H 2 (C, G, X, Y ) ; s Π 1 et Π 2 sont valdes, et s AuthG = AuthG, on calcule alors sk = H 1 (C, G, X, Y ), snon on rejette ; s corrupt C ( OGA(S) OG(G, 3)), on rejette ; on dentfe dans Λ H l élément K tel que AuthG = H 2 (C, G, X, Y, K) ; s l n y en a pas, on rejette l authentfant ; s corrupt C, s Π 1 et Π 2 sont valdes et s Y t = K s, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette ; snon, s Π 1 et Π 2 sont valdes et s K = Y x, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette. Les jeux G 8 et G 7 sont dentques sauf s le clent n est pas corrompu : X est généré sans utlser le mot de passe (ce qu ne modfe pas la vue de l attaquant), et le serveur smule h et X de manère ndépendante, sans utlser le mot de passe. La smulaton du clent est modfée en conséquence. Notre de but est de prouver que quelque sot le partcpant générant la valeur X mplquée dans une requête Send, l adversare ne peut dstnguer cette nouvelle smulaton (du serveur) de la précédente qu avec un avantage néglgeable. Afn de prouver ce résultat, nous utlsons un argument hybrde pour montrer que s l avantage précédent est sgnfcatf alors nous pouvons casser le problème PCDDH G. Nous construsons une séquence de q send + 1 jeux, noté Hyb k, pour 0 k q send, où q send est le nombre de requêtes Send. Dans chaque jeu Hyb k, la -ème (on ordonne selon le nombre de requêtes Send) sesson est défne de manère suvante : s ( k), les requêtes Send sont smulées comme au jeu G 8. snon, les requêtes Send sont smulées comme au jeu G 7. Défnssons un jeu ntermédare G k, smlare au jeu Hyb k : Rule S (8,k) s k, on procède comme au jeu G 8 ; s = k + 1, on envoe (D, X ) au challenger qu possède alors une entrée dans l expérence PCDDH G. Ce derner répond par (X, h, PW) ; on retourne X et h comme défn précédemment par la sorte du challengeur PCDDH ; on smule Π 1 = NIZKPDL(X ; g, h) ; snon, on procède exactement comme dans le jeu G 7, en utlsant PW. Rule C2 (8,k)

137 7.3- Gateway-Based Password Authentcated key-exchange 131 s k, on procède comme au jeu G 8 ; s = k + 1, s corrupt C corrupt G OG(C, 4), on rejette l authentfant ; s corrupt C corrupt G OG(G, 1), on calcule AuthG = H 2(C, G, X, Y ). S Π 1 et Π 2 sont valdes et s AuthG = AuthG, on calcule alors sk = H 1(C, G, X, Y ) ; snon on rejette ; s corrupt C ( OGA(S) OG(G, 3)), on rejette ; on dentfe dans Λ H l élément K tel que AuthG = H 2 (C, G, X, Y, K) ; s l n y en a pas, on rejette ; s corrupt C ; s Π 1 ou Π 2 ne sont pas valdes, on rejette ; on extrat y de Π 2 (avec un rewnd, ou on renvoe echec ) ; s K = X y, on calcule sk = H 1 (C, G, X, Y, K), snon on rejette ; snon, s Π 1 et Π 2 sont valdes et s K = Y x, on calcule sk = H 1 (C, G, X, Y, K), snon on rejette l authentfant ; snon on procède comme au jeu G 7. A retourne sa réponse d = (b = b ) pour d, où b est la réponse de A pour le bt b ; rappelons que nous consdérons l événement S. Mas l événement d = 1 se produra s et seulement s on peut détecter un événement Ev quelconque. En effet, ce jeu est sot dentque au jeu défn par l expérence Hyb k s d = 0, ou à l expérence Hyb k+1 snon, grâce à l extracton de y : s d = 0, (g, X /PW, h, X) est un quadruplet CDH G, le serveur est smulé comme défn par le jeu G 7. Alors, du pont de vue du clent, tester K = X y est équvalent à tester K = Y x ; s d = 0, l est facle de vor que le serveur est smulé comme au jeu G 8, pusque (g, X /PW, h, X) est un quadruplet aléatore. Pour le clent, nous vérfons seulement que l adversare calcule Y et K, avec un exposant y commun. Les jeux Hyb k et Hyb k+1 sont ndstnguables sauf s l adversare a un avantage non néglgeable à devner le bt b (ou à dstnguer un événement quelconque Ev dans les deux jeux). S c est la cas, l attaquant A devne le bt d avec un avantage non néglgeable : Adv pcddh G (t) Adv pcddh G (A ) = Pr[d = 1 d = 1] Pr[d = 1 d = 0] = Pr [Ev] Pr k+1 k Par conséquent, sous l hypothèse PCDDH G (vor défnton 7.2.3), on a : 8 q send N + negl(). Remarquons que l ordre est détermné par les requêtes Send. Il est légtme de se demander s la preuve ne s applque que pour des exécutons non concurrentes. Avant que cette requête ne sot posée, la smulaton des messages est la même dans tous les jeux hybrdes, pusque nous nous restregnons aux corruptons non adaptatves. Par conséquent, notre analyse tent également compte des exécutons concurrentes. Game G 9 : dans ce jeu, nous examnons les sessons pour lesquelles le clent est corrompu ; ce qu sgnfe que l attaquant (mas auss le smulateur) connaît le mot de passe du clent.

138 132 Chaptre 7. Scénaros à tros partes Pour ces sessons, on remplace les oracles publques H 1 et H 2 par les oracles secrets H 1 et H 2 dans les sessons susceptbles d être fraîches ; dans ce cas : même s le clent est corrompu, l adversare peut jouer le rôle du clent. S c est la cas et s OG(G, 1), l se peut que la sesson reste fraîche ; cependant, s OG(G, 1), nous savons que la sesson ne sera pas fraîche. Mas le protocole dot tout de même garantr que le clent est capable de vérfer la valdté de l authentfant, quelque sot l émetteur. Nous avons déjà consdéré les cas trvaux au jeu G 3, ceux pour lesquels l adversare construt un authentfant sans poser de requêtes de hachage pus, après récepton d un message (Y, AuthG), le clent extrat l entrée (C, G, X, Y, K) telle que AuthG = H 2 (C, G, X, Y, K). S OG(C, 4), nous devons nous assurer (dans le cas partculer on effectue les calculs par appels aux oracles publcs) que l oracle smulant le clent est capable de rejeter les transcrpts pour lesquels (g, X /PW, Y, K) n est pas quadruplet CDH G : Rule G1 (9) on vérfe la valdté de Π 1 ; s corrupt C corrupt G ou s OG(S, 2) OG(G, 3) ; on chost un exposant aléatore y Z q et on calcule Y = h y ; snon on chost un exposant aléatore y Z q pus on calcule Y = h y et K = X y ; pus on smule Π 2 = NIZKPDL(X ; h, Y ). Rule G2 (9) s corrupt C corrupt G ou OG(S, 2) OG(G, 3), on calcule AuthG = H 2 (C, G, X, Y ) et sk = H 1 (C, G, X, Y ) ; snon, on calcule AuthG = H 2 (C, G, X, Y, K) ; et sk = H 1 (C, G, X, Y, K). Rule C2 (9) s corrupt C corrupt G OG(C, 4), on rejette ; s corrupt C ( OGA(S) OG(G, 3)), on rejette ; s OG(G, 3) OG(C, 4), on calcule AuthG = H 2(C, G, X, Y ) ; s Π 1 et Π 2 sont valdes, et s AuthG = AuthG, on calcule alors sk = H 1(C, G, X, Y ), snon on rejette ; on dentfe dans Λ H l élément K tel que AuthG = H 2 (C, G, X, Y, K). s l n y en a pas, on rejette ; s corrupt C, s Π 1 et Π 2 sont valdes et s Y t K s, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette ; snon, s Π 1 et Π 2 sont valdes et s K = Y x, on calcule alors sk = H 1 (C, G, X, Y, K), snon on rejette. La dfférence entre les deux jeux G 9 et G 8 est que, dans le premer cas, nous savons les oracles H 1 et H 2 et pour le second cas, nous avons utlsé les oracles H 1 et H 2 dans toutes les sessons dans lesquelles la clé de sesson n est pas compromse (c.à.d. chose par des oracles). Notre but est de montrer que la dfférence de probablté de tout événement dans les deux jeux est néglgeable. Nous défnssons une séquence de jeux hybrdes Hyb k pour 0 k q send. Ic, l ordre est détermné par les requêtes Send. Pour la -ème sesson, nous avons : s k, on smule les requêtes Send comme nous l avons fat dans le jeu G 9 ; snon, on smule les requêtes Send comme au jeu G 8.

139 7.3- Gateway-Based Password Authentcated key-exchange 133 Nous voulons montrer que la dfférence de la probablté de succès de A à casser la sécurté sémantque de la clé de sesson dans les jeux Hyb k et Hyb k+1 est néglgeable : l adversare pose la requête H 1 et/ou H 2 sur certans transcrpts C G X Y K qu ont été smulés en utlsant H 1 et/ou H 2 respectvement. Dans ce cas, l adversare trouve la clé Dffe- Hellman, K = CDH(X, Y ) = Y x. On appelle cet événement AskHA 9, car désormas, certans partcpants peuvent être corrompus. Pour tout événement Ev, nous avons : Pr [Ev] Pr [Ev] k+1 k Pr[AskHA 9]. Afn de borner la probablté de l événement AskHA k, nous rédusons le challenge de l adversare relatf aux jeux Hyb k et Hyb k+1 au challenge d un adversare, A défn par l expérence CDH. Sot (A, B) une nstance CDH G. Rule C1 (9,k) s ( k), on smule les requêtes Send(C, INIT) comme dans le jeu G 8 =G 9 ; snon, s = k s corrupt C, on chost un exposant aléatore x Z q, et on calcule X = g x ; snon s corrupt C corrupt G, on pose X = A, et on calcule X = X PW ; snon on chost un exposant aléatore x Z q et on calcule X = g x, pus X = X PW. Rule G1 (9,k) s < k, on procède comme dans le jeu G 9 ; snon, s = k, on vérfe l valdté de Π 1 ; pus, s corrupt C corrupt G ou OG(S, 2) OG(G, 3), poser Y = B ; snon, on chost un exposant y R Z q et on calcule Y = h y et K = X y ; on construt Π 2 = NIZKPDL(X ; h, Y ) ; snon on procède comme au jeu G 8 S l événement AskHA k a leu, nous pouvons alors extrare le valeur CDH des éléments A et B dans Λ H : Pr[AskHA k ] Succ cdh (t). Nous avons donc, 9 q send Succ cdh (t) = negl(). Dans ce derner jeu, nous remarquons deux choses : la premère est que les clés sont calculées en utlsant une foncton secrète pour les sessons fraîches. L attaquant ne peut donc pas dstnguer ces clés de clés aléatores. Pr[S 9 ] = 1 2. De plus, le mot de passe n est plus utlsé, sauf s le clent est corrompu. Dans ce cas, nous pouvons tout smplement chosr le mot de passe lorsque la smulaton en a réellement beson, c.à.d. : lorsque le clent est corrompu ; lorsque l adversare envoe sa réponse b pour le bt b,

140 134 Chaptre 7. Scénaros à tros partes et on vérfe alors s les événements BadReject-Uncorrupted 9 et BadReject-C-Uncorrupted 9 ont leu ou non. Par alleurs, comme déjà précsé, ces événements ne peuvent engagés au plus qu un seul mot de passe. Nous avons donc : Pr[BadReject-Uncorrupted 9 ] q send N Pr[BadReject-C-Uncorrupted 9 ] q send N. 2 = negl() 3 = Pr[BadReject-Uncorrupted 3 ] + negl() 4 5 = negl() 6 = negl() 7 = Pr[BadReject-C-Uncorrupted 7 ] 8 q send N + negl() 9 = negl() Par conséquent, 7 = Pr[BadReject-C-Uncorrupted 7 ] 2q send N + negl() 3 = Pr[BadReject-Uncorrupted 3 ] + negl() q send N + 3q send N + negl() S q send N + 5q send N + negl() q send N + negl(), où q send est le nombre de sessons où l adversare est actf (c.à.d. nteragt avec le protocole va des requêtes Send). Remarque 15 Dans la formule c-dessus, q send est le nombre de requêtes Send total : ces requêtes comprennent à la fos les requêtes où l attaquant modfe le message en entrée et celles où l transfert le ou les message(s). Dans cette parte, nous avons présenté un protocole d échange de clés par mot de passe à tros partes : un clent se connecte à un serveur sans savor s l s agt d un serveur d applcaton ou d authentfcaton. Ce scénaro est tout à fat pertnent pusqu en pratque, la geston d un servce d authentfcaton est en générale déléguée à pluseurs enttés. S le clent a aucune nformaton sur l mplémentaton de l nfrasctucture d authentfacton, l est tout à fat légtme qu l veulle conserver son anonymat : la noton de transparence ne s en trouve que plus consoldée. De manère paradoxale, en vue de consdérer l anonymat du clent (vor chaptre 8 secton 8.1) vs à vs du serveur d authentfcaton, nous avons ajouté des preuves de connasssance, affablssant la proprété de transparence. Par alleurs, pour avor une garante d anonymat, l est évdent que les serveurs dovent être coopératf : nous avons étendu le modèle de Bellare et al. [17, 14], en consdérant certanes sessons fraîches, en cas de corruptons (dans le cas où les partcpants jouent le protocole de manère honnête). Il reste encore à explorer les corruptons adaptatves dans le scénaro à tros partes.

141 Chaptre 8 Introducton de l Anonymat pour l authentfcaton : IB-PAKE Dans cette parte, nous montrons comment combner la noton d anonymat avec les protocoles d échange de clés à deux partes et tros partes de manère à garantr l anonymat du clent vs à vs du serveur. Nous consdérerons que cette garante d anonymat s établt par deux moyens : l utlsaton des PIR comme nterface au protocole GPAKE [2] du chaptre précédent, et l utlsaton d un schéma IB-KEM possédant la proprété d anonymat au sens KwrtA présentée à la parte précédente. Par le premer moyen, l utlsateur a un accès confdentel à des données lées à son dentté ou mot de passe. Nous pouvons utlser un protocole de PIR quelconque comme nterface au protocole GPAKE pour garantr l anonymat du clent. Par le second moyen, l utlsateur s authentfe en utlsant son mot de passe comme dentté. Nous montrons comment préserver la confdentalté de l dentté du clent dans un protocole 2-PAKE : nous décrvons un protocole générque IB-PAKE qu utlse comme brque de base un schéma IB-KEM possédant outre les proprétés de sécurté sémantque et d anonymat tradtonnel, le nouvelle proprété au sens KwrtA, que nous avons ntrodute au chaptre 4 parte II. Rappelons que le schéma présenté paragraphe (notre canddat) dans ce même chaptre satsfat toutes ces condtons. Afn de garantr la sécurté du protocole IB-PAKE, nous avons beson d ntrodure une nouvelle noton de sécurté tradusant l absence d une certane forme de malléablté. Nous verrons que notre schéma vérfe également cette proprété. 8.1 Anonymat dans GPAKE Pour certanes applcatons, l peut être prmordal de préserver l anonymat d un acteur. Dans le cas contrare, pour les protocoles d échange de clés, toutes les connexons peuvent être combnées de telle sorte à analyser le profl des utlsateurs. Pour des rasons de confdentalté, un clent peut voulor rendre ses connexons anonymes et non relées. Une premère soluton serat d utlser des passerelles dfférentes ; mas le serveur d authentfcaton reste malgré tout unque, et on ne peut pas utlser un serveur dfférent pour chaque connexon. En revanche, pusque le serveur est le seul partcpant à autorser la connexon, nous pouvons très ben masquer l dentté du clent vs à vs du serveur. Le serveur peut être vu comme une base de données dynamque vrtuelle : pour chaque requête d autorsaton d accès, le serveur construt les réponses pour tous les clents possbles, tands que la passerelle se charge d être l nterface du clent : la passerelle et le 135

142 136 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE serveur s engagent dans un protocole de PIR [58], sans que le serveur n apprenne une quelconque nformaton sur l dentté du clent. Remarquons qu en utlsant un schéma SPIR, nous assurons en plus de la confdentalté vs-à-vs du clent, celle du serveur, pusque la passerelle n apprend aucune nformaton sur les autres mots de passe stockés dans la base de données. Rappelons qu un protocole de PIR est une prmtve où l effcacté est mesurée en terme de complexté de communcaton. Elle permet à un utlsateur de retrouver une chaîne de caractères dans une base de données de talle n sans lasser fur d nformaton sur l ndce de la valeur demandée. Une des proprétés ntéressantes de notre protocole GPAKE est son mplémentaton effcace avec un SPIR quelconque : nous n avons donc pas beson de chosr ou de décrre un schéma spécfque ; nous pouvons tout smplement utlser une requête comme un système de boîte nore. Nous verrons qu l est possble de dmnuer consdérablement la talle de la base de données vrtuelle ; ce qu amélore l mplémentaton de notre schéma en pratque et ce, quel que sot le schéma de PIR que nous utlsons : avec notre constructon, chaque clent possède un mot de passe ndexé par, assmlé au secret de la passerelle. Le serveur possède une base de données de talle n (où n est le nombre de clents) qu content tous les mots de passe des clents. Une manère trvale d ntrodure l anonymat du clent vs-à-vs du serveur dans notre protocole est d utlser un SPIR en générant de manère dynamque une base de données pour chaque sesson : dés la récepton d une requête Send, avec X en entrée, le serveur calcule les réponses correspondant à chacun des messages (C, G, X ), ces réponses sont donc calculées pour tous les clents possbles, pusque le serveur ne sat pas lequel d entre eux nteragt avec la passerelle. La base de données dynamque est consttuée de tous les blocs B = (g s, (X /pw ) s, Π ). La passerelle fat appel à un protocole de SPIR afn d obtenr le B correspondant à sa requête, tout en préservant l anonymat du clent. Cette transformaton est générque. Cependant, un nconvénent majeur est sa complexté calculatore ; celles-c est très mportante du fat des multples preuves Π. Dans notre cas, nous pouvons très faclement amélorer l effcacté, en effectuant les calculs en une seule étape (en effectuant même des pré-calculs), pus en envoyant h = g s et Π 1. Alors, la base de données est consttuée de n entrées B = (X /pw ) s ; ce qu amélore de manère consdérable le coût calculatore, mas dmnue également les contrantes d espace. 8.2 Noton de non-malléablté d denttés Nous consdérons une nouvelle noton pour les schémas IB-KEM : la non-malléablté d denttés. L dée est la suvante : étant donnés un chffré c et l dentté de son destnatare ID, l dot être dffcle de savor s un autre destnatare ID pourrat déchffrer ce même c. Cec se tradut par le fat que lorsqu on encapsule une clé, on produt une clé de sesson éphémère pour un unque destnatare et non pluseurs clés correspondant à dfférentes denttés pour un même chffré Défnton Pour la noton de sécurté précédente, le jeu est défn de la manère suvante : étant donnés un paramètre de sécurté λ et un schéma IB-KEM déf = Setup IBK, Extract IBK,

143 8.2- Noton de non-malléablté d denttés 137 Encaps IBK, Decaps IBK, nous générons les clés maîtres publque mpk et secrète msk du schéma IB-KEM. L attaquant reçot la clé mpk. Par alleurs, nous supposons que l attaquant a accès à un oracle d extracton de clés et de déchffrement. Il gagne s l parvent à produre deux pares clé/dentté et un chffré assocé à chacune de ces pares. Plus précsément, nous défnssons le jeu de sécurté pour la noton de non-malléablté d denttés de la manère suvante : Expérence Exp d-nm IB-KEM,A (λ) IDSet ; CSet ; (mpk, msk) Setup IBK (λ) ; ((K 0, ID 0 ), (K 1, ID 1 ), c ) A OExtract(),ODecaps() (FIND, mpk) tels que ID 0, ID 1 / IDSet, c / CSet Les deux accès aux oracles OExtract et ODecaps sont détermnés c-dessous : OExtract(ID) IDSet IDSet {ID} ; usk ID Extract IBK (msk, ID) ; retourner usk ID ODecaps(ID, C) CSet CSet {C} ; m Decaps(usk ID, C) ; retourner usk ID L attaquant gagne le jeu précédent s c / CSet, ID 0, ID 1 / IDSet et s les deux égaltés c-dessous sont vérfées : K 0 = Decaps IBK (ID 0, c ) et K 1 = Decaps IBK (ID 1, c ). Nous défnssons la probablté de succès de A à gagner le jeu de non-malléablté d denttés d un schéma IB-KEM par : (mpk, msk) Setup IBK (λ); Succ d-nm IB-KEM,A(λ) = Pr (c, (K 0, ID 0 ), (K 1, ID 1 )) A(mpk) :. K 0 = Decaps IBK (ID 0, c) K 1 = Decaps IBK (ID 1, c) Analyse de constructons Dans cette parte, nous fasons un pett détour sur les schémas présentés à la secton Notre but est de trouver un schéma vérfant les proprétés d anonymat classque, celles au sens KwrtA mas également à denttés non-malléables. Un certan nombre de ces canddats sont déjà écartés, pusqu l ne sont pas anonymes au sens KwrtA. Dans cette secton, nous étudons malgré tout, pour tous les schémas, la proprété de non-malléablté d denttés ; ce qu nous donnera un ordre d dée de la dffculté de cette condton. Le schéma de Boneh-Frankln [31] Nous avons décrt ce schéma fgure 4.1. Nous avons déjà un canddat potentel dans le modèle de l oracle aléatore : cette constructon vérfe les deux proprétés d anonymat auxquelles nous nous ntéressons (noton IND-ANON et anonymat au sens KwrtA). Rappelons seulement qu un chffré de la forme c = g r G correspond à la clé K = e(f mpk (ID), mpk) r = BDH g (mpk, c, F (ID)) = e(usk ID, c), où usk ID = F mpk (ID) s = co-cdh g F mpk (ID)(mpk) G (la foncton co-cdh a été défne secton 3.3.3).

144 138 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE Nous remarquons que le chffré ne dépend pas de l dentté ; l est donc facle de casser la noton de non-malléablté d denttés. Connassant r et c = g r, nous pouvons faclement calculer K = BDH g (mpk, c, F mpk (ID)) = e(f (ID), mpk) r, pour toute dentté chose. Le schéma de Boneh-Boyen [25] Nous avons décrt le schéma IBE fgure 3.4, rappelons que ce schéma est anonyme sous l hypothèse DLIN G. Un chffré de la forme c = (g s, F mpk (ID) s ) correspond à la clé : K = e(g 1, g 2 ) s = e(c 1, usk 2 )/e(usk 1, c 2 ), s usk ID est défne par (g r, msk F mpk (ID) r ), pour un certan r R Z p. Nous remarquons que le chffré est spécfque à un utlsateur unque. Le problème est de savor s une autre dentté ID peut déchffrer ce chffré. Compte tenu de l aléa r utlsé lors de l extracton de la clé, pour tout utlsateur malhonnête, possédant une clé secrète usk = (g r, g α 2 F mpk(id ) r ), et un chffré c = (g s, F mpk (ID ) s ) (s s pusque ID n est pas le destnatare du chffré c), K = K H r, pour H 1, et r est complètement aléatore. Par conséquent, ce schéma est à denttés non-malléables au sens de la théore de l nformaton. Le schéma de Gentry [71] Nous avons décrt ce schéma fgure 4.3. Rappelons que ce schéma est anonyme sous l hypothèse q-abdhe G, et pourtant l n est pas anonyme au sens KwrtA. Pusque le chffré est spécfque au destnatare, A ne sat pas quelle autre dentté ID permet de déchffrer le chffré c = (c 1 = F mpk (ID ) s, c 2 = e(g, g) s ), pusque K = e(c 1, usk 2) c 2 usk 1 = e(f mpk (ID ) s, hg usk 1) 1/(α ID ) e(g, g) s usk 1 = e(g, h) s e(g, g) (s s ) usk 1. = e(g, h) s e(g, g) (s s ) usk 1 = K e(g, h) s s e(g, g) (s s ) usk 1 = K (e(g, g) usk 1/e(g, h)) s s, est un élément aléatore dans G T. Ce schéma est donc à denttés non-malléables au sens de la théore de l nformaton. Non-malléablté d denttés de notre canddat Revenons au canddat que nous avons proposé paragraphe parte II. Cette constructon vérfe les proprétés d anonymat recherchées. Consdérons le chffré c, et son déchffrement pour une dentté ID pour {0, 1}. Rappelons que c et la clé assocée sont de la forme : c = F (ID ) r, et K = e(g, h) r, ce qu défnt formellement r. Par conséquent, la proprété de non-malléablté d denttés repose sur la dffculté de trouver c, {ID, K }, avec ID 0 ID 1 tels que r = log e(g,h) (K ) = log F (ID )(c) ; ce qu permet de trouver une soluton au problème co-cdh commun. Théorème 13 La non-malléablté d denttés (ou Identty-Based Non-Malleablty en anglas) de notre schéma (décrt paragraphe 4.3.3) repose sur le problème du co-cdh commun (défn paragraphe parte I) dans les groupes G et G T.

145 8.3- Protocole IB-PAKE 139 Démonstraton: Supposons qu l exste un attaquant A qu parvenne à casser la nonmalléablté d denttés de notre schéma avec un avantage ɛ non néglgeable. Il est alors R possble de résoudre le problème Cco-CDH G,GT avec un avantage ɛ. Sot g, g 1 G une nstance du problème Cco-CDH, avec G d ordre p ; nous chosssons h Z p tel que V = e(g, h) G T. Nous défnssons la clé mpk déf R = (g, g 1, h), avec g, g 1 Zp. Nous renvoyons cette clé à l attaquant A. ce derner renvoe les éléments r, (ID, K ) avec r, ID Z p et K G T vérfant : c = F mpk (ID ) r = g g 1 ID K = e(g, h) r et ID 0 ID 1. Nous obtenons donc une soluton au problème Cco-CDH G,GT : (c, ID 0, ID 1, K 0, K 1 ). 8.3 Protocole IB-PAKE Protocole 2-PAKE générque Revenons sur une classe partculère de protocole 2-PAKE dérvée de EKE [22], où le premer message (la clé publque) envoyé n est pas chffré : l s agt de la famlle de protocole OKE, proposé par Lucks en 1997 [93]. Rappelons que pour les ancennes varantes, le chffrement de la clé publque restregnat le chox de schémas. Cette nouvelle structure permet d étendre la classe de crytposytèmes pouvant être utlsé, en partculer les schémas RSA. Cependant, lors d une exécuton, ren empêche l attaquant d envoyer une clé publque non valde ; dans le cas de RSA, on ne peut plus garantr que la foncton de chffrement est une permutaton et les attaques par partton devennent possbles. Dans l artcle [48], Catalano et al. proposent une nouvelle prmtve d somorphsme possédant toutes les condtons nécessares et suffsantes à la concepton d un protocole OKE sûr, IPAKE. Ils généralsent par la même occason la classe de schémas pouvant être utlsés, ncluant le chffrement RSA et Rabn. Dans le même esprt, dans l artcle [85], nous avons proposé la prmtve d IB-KEM vérfant de nouvelles notons (deux formes d anonymat dont celu au sens KwrtA et non-malléablté d denttés) nécessares et suffsantes à la généralsaton de protocole 2-PAKE : dans la prochane secton, nous présentons le protocole générque IB-PAKE qu en découle Descrpton du schéma IB-PAKE Nous décrvons le protocole générque obtenu à partr d un IB-KEM anonyme au sens usuel et au sens KwrtA et à denttés non-malléables fgure 8.1. Ce protocole permet à un clent de partager une clé de sesson avec un serveur en utlsant un schéma IB-KEM où l dentté est le mot de passe commun. Les proprétés suvantes sont vérfées : un partcpant et son partenare peuvent l un ou l autre retrouver la clé de sesson faclement ; la sécurté sémantque de la clé de sesson et la proprété de forward-secrecy sont toutes deux garantes. Ces deux proprétés sont mplquées par les proprétés d anonymat du schéma IB-KEM sous-jacent. Nous précsons ce résultat juste à la sute.

146 140 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE Clent C pw D accepte faux Vald(mpk)? (K, c) Encaps(mpk, pw) AuthS = H 1 (S, C, mpk, c, pw, K) AuthS? = AuthS If no error/reject accepte vra AuthC = H 2 (S, C, mpk, c, pw, K) sk = H 0 (S, C, mpk, c, pw, K)! Message 1 S, mpk! Message 2 C, c Serveur S pw D accepte faux (mpk, msk) Setup(λ) usk Extract(msk, pw) K Decaps(usk, c)! Message 3 S, AuthS AuthS = H 1 (S, C, mpk, c, pw, K )! Message 4 C, AuthC AuthC = H 2 (S, C, mpk, c, pw, K ) AuthC? = AuthC If no error/reject accepte vra sk = H 0 (S, C, mpk, c, pw, K) Fg. 8.1 IB-PAKE : un protocole (générque) authentfé d échange de clés à base de mot de passe Analyse de sécurté Résultat de sécurté Nous rappelons que nous consdérons qu une attaque est actve s elle est générée (éventuellement pour des nstances parallèles) va une successon de requêtes Send, dont l une n a pas été transférée mas ntée par l attaquant. Théorème 14 Consdérons un schéma d encapsulaton de clés à base d denttés IB-KEM déf = Setup IBK, Extract IBK, Encaps IBK, Decaps IBK, sémantquement sûr (résstant aux attaques à messages clars choss, à denttés non orentées et sans requêtes d extracton), à la fos anonyme et anonyme au sens KwrtA, à denttés non malléables. Alors notre protocole IB-PAKE garantt la confdentalté de clé de sesson et vérfe la proprété de Perfect Forward-Secrecy : Adv ake IB-PAKE,A (λ) 4 q actve N + negl(λ), où q actve = q actvec + q actves est le nombre d attaques actves (générées va au mons une requête Send) et N est la talle du dctonnare. Démonstraton: La preuve est défne par une séquence de jeux modélsant une successon d attaques passves et actves, où le premer jeu G 0 représente l attaque dans le jeu réel Dans tous ces jeux, on s ntéresse aux deux événements suvants : S (pour la sécurté sémantque) : cet événement a leu s l adversare devne le bt b en jeu dans les requêtes Test ;

147 8.3- Protocole IB-PAKE 141 A (pour l authentfcaton mutuelle) : cet événement a leu s une nstance accepte une sesson sans avor de partenare ou en étant partenare avec l adversare. Notre but est d estmer la probablté de l événement S dans le jeu réel. Pour attendre cet objectf, nous allons modfer pas à pas la smulaton, de manère à obtenr un jeu fnal où l adversare ne gagne qu avec probablté néglgeable. Nous notons n la dfférence de probablté de tout événement Ev dans le jeu G n et le jeu qu lu précède. Remarquons que l événement Ev n est détectable que lorsque cette dfférence est calculatorement bornée ; cela dt lorsque cette dstance est statstquement bornée cet événement peut être quelconque. Game G 0 : l s agt du jeu réel et par défnton, on a : Adv ake IB-PAKE,A (λ) = 2 Pr[S 0] 1. Game G 1 : dans ce jeu, nous smulons les requêtes Send comme précsées par la descrpton du smulateur c-dessous. Nous répondons aux requêtes Test en foncton de la valeur du bt b : s b vaut 1 (cas réel), nous retournons la valeur sk (provenant du calcul) ; s b = 0 (cas aléatore), nous retournons H 0 (S, C, mpk, c), où H 0 est un oracle secret : l s agt d une valeur complètement aléatore. Remarquons smplement que l entrée de H 0 est l dentfant de la sesson et la proprété suvante est donc vérfée : les requêtes Test posées à deux nstances partenares renvoent toujours la même valeur aléatore, dans le cas où b vaut 0. Le but des jeux suvants est de rendre la smulaton de sk dentque dans le cas réel et dans le cas aléatore. Nous décrvons le smulateur c-dessous : Descrpton du smulateur IB-PAKE Smulaton des requêtes Send à C : les requêtes Send posées aux nstances C sont smulées de la manère suvante : on répond à une requête SendC(C; S, mpk) en applquant la règle suvante : Rule C1 (1) on calcule (K, c) Encaps IBK (mpk, pw) ; pus on répond par c. on répond à une requête SendC(C; S, mpk) en applquant la règle suvante : Rule C2 (1) on calcule AuthS = H 2 (S, C, mpk, c, pw, K) et sk = H 0 (S, C, mpk, c, pw, K) ; on vérfe s AuthS est égal à AuthS ; s l égalté est vérfée, on accepte avec la clé de sesson sk, et répondre par AuthC ; snon on rejette ; tous les autres cas sont gnorés. Smulaton des requêtes Send posées à S : les requêtes Send posées à une nstance S sont smulées de la manère suvante : on répond à une requête SendS(S; INIT) en applquant la règle suvante : Rule S1 (1) on génère générer (mpk, msk) Setup IBK (λ) ; on répond à cette requête par mpk.

148 142 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE on répond à une requête SendS(S; C, c) en applquant les règles suvantes : Rule S2 (1) on calcule usk Extract IBK (msk, pw) ; on décapsule la clé, K Decaps IBK (usk, c) ; pus on calcule AuthS = H 1 (S, C, mpk, c, pw, K ) ; répondre par AuthS ; on répond aux requêtes SendS(S; C, AuthC) en applquant les règles suvantes : Rule S3 (1) on calcule AuthC = H 2 (S, C, mpk, c, pw, K ) et sk = H 0 (S, C, mpk, c, pw, K ). on vérfe s AuthC est égal à AuthC. S l égalté est vérfée, on accepte avec la clé de sesson sk, et on termne ; snon on rejette ; tous les autres cas sont gnorés. Smulaton des orales H et H : pour une requête de hachage H n (q) (resp. H n(q)), telle qu un trplet (n, q, r) apparaît dans la lste Λ H (resp. Λ H ), la réponse est r ; snon on chost un élément aléatore r dans l ensemble appropré qu on renvoe ; on ajoute le trplet (n, q, r) à la lste Λ H (resp. Λ H ). Game G 2 : tout d abord, on élmne les jeux où des collsons apparassent. Celles-c sont lées aux dentfants de sesson ; les collsons peuvent être problématques s elles condusent à des clés de sesson dentques qu correspondent chacune à des sessons dfférentes. Cette procédure permet juste de smplfer l analyse de la preuve : collsons sur les transcrpts partels (S, C, mpk, c). collsons sur les sortes H 1, H 2 et H 0. 2 q2 H 2 l + γq2 sesson, où q H est le nombre de requêtes de hachage, et q sesson le nombre de sessons, où γ est une borne supéreure de la probablté de devner mpk et c, et où l est la talle des sortes des fonctons de hachage. Game G 3 : dans ce jeu, nous consdérons les sessons pour lesquelles l adversare reste passve au cours les deux premers échanges. On note q passve le nombre de requêtes Execute, modélsant de tels échanges. Par la sute, OG(C, n) (resp. OG(S, n)) sgnfera que le n ème message reçu par le clent (resp. par le serveur) a été généré par la smulaton : nous connassons donc l aléa utlsé contrarement à l adversare. Nous nous ntéressons au cas où l adversare peut partcper au protocole au trosème ou quatrème échange, et essae de construre un authentfant valde sot au nom de serveur (avec AuthS), sot au nom du clent (avec AuthC). Intutvement, l adversare n a aucune nformaton sur les valeurs secrètes, msk et K. La probablté de construre un authentfant valde est donc néglgeable, même s A connaît le mot de passe. Nous modfons unquement ces sessons (qu peuvent tout à fat être détermnées avant) : l authentfant et la clé de sesson sont désormas calculés non plus par les oracles publques H (pour = 0, 1, 2) mas par les oracles secrets H (pour = 0, 1, 2), avec en entrée, non plus (S, C, mpk, c, pw, K) mas l dentfant de sesson (ou sesson ID) (S, C, mpk, c), qu lu est publc. Une telle modfcaton ne peut être détectée par l attaquant qu avec probablté néglgeable. Pour prouver ce résultat, nous allons montrer que s cette modfcaton est détectée, l attaquant casse la sécurté sémantque du schéma IB-KEM sous-jacent. Tout d abord, précsons la manère dont nous modfons la smulaton :

149 8.3- Protocole IB-PAKE 143 Rule S2 (3) s Corrupt OG(C, 1) OG(S, 2), on calcule AuthS = H 1 (S, C, mpk, c) ; snon, on extrat la clé usk Extract IBK (msk, pw) ; on déchffre le chffré, K Decaps IBK (usk, c) ; pus on calcule AuthS = H 1 (S, C, mpk, c, pw, K ). Rule C2 (3) s Corrupt OG(C, 1) OG(S, 2), on calcule AuthS = H 1 (S, C, mpk, c), sk = H 0 (S, C, mpk, c), et AuthC = H 2 (S, C, mpk, c) ; snon, on calcule AuthS = H 1 (S, C, mpk, c, pw, K), sk = H 0 (S, C, PK, c, pw, K), AuthC = H 2 (S, C, mpk, c, pw, K) Rule S3 (3) s Corrupt OG(C, 1) OG(S, 2) OG(C, 3), on calcule AuthC = H 2 (S, C, mpk, c) et sk = H 0 (S, C, mpk, c) ; snon, on calcule AuthC = H 2 (S, C, mpk, c, pw, K ) et sk = H 0 (S, C, mpk, c, pw, K ). Les jeux G 3 et G 2 sont dentques sauf s l adversare remarque l utlsaton des oracles secrets ; ce qu n est possble que s A pose des requêtes H sur des transcrpts (S, C, mpk, c), pour une pare (pw, K) approprée. Nous appelons cet événement AskHF (pour Passve, pusque l adversare a été passve durant les deux premers échanges). Pour estmer la probablté de l événement AskHF, on défnt un jeu auxlare qu permet de capturer la dfférence de probablté de succès entre les jeux G 2 et G 3. On aura alors : s A est capable de dstnguer les deux exécutons, on peut construre un attaquant contre la sécurté sémantque au sens fable (c.à.d. sans requêtes aux oracles, résstant aux attaques à messages choss) du schéma IB-KEM sous-jacent. On suppose par contradcton qu l exste un adversare A qu est capable de dstnguer la smulaton des jeux G 3 et G 2, avec un avantage non néglgeable. On construt alors un attaquant contre la sécurté sémantque du schéma IB-KEM. Game G 2.1 : nous modfons unquement la ème sesson, pour un chos entre 1 et q sesson, avant corrupton d un des partcpants : Rule S1 (2.1) S l s agt de la ème sesson on fat appel à l algorthme Setup(λ) pour obtenr mpk avec pour dentté challenge pw ; snon, on génère (mpk, msk) par appel à Setup(λ). Rule C1 (2.1) s l s agt de la ème sesson et s OG(C, 1), on demande pw au challenger, qu répond par une pare (K, c) (s d = 1, on pose K = K 1 qu correspond réellement au chffré c, et s d = 0, on pose K = K 0 qu est ndépendante du chffré c ). snon, on obtent (K, c) Encaps IBK (mpk, pw). Rule S2 (2.1)

150 144 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE s l s agt de la ème sesson et s OG(C, 1) OG(S, 2), on calcule AuthS = H 1 (S, C, mpk, c, pw, K) ; snon, on extrat la clé usk Extract IBK (msk, pw) ; on déchffre le chffré c, K Decaps IBK (usk, c) ; on calcule AuthS = H 1 (S, C, mpk, c, pw, K ). Nous pouvons remarquer que dans le cas réel (d = 1), la smulaton est dentque à celle du jeu G 2. Dans le cas aléatore, la probablté de demander H sur une entrée approprée K et spécfque à la sesson est néglgeable (bornée par γq H, où γ est une borne supéreure sur la probablté de devner la clé K correcte) pusqu aucune nformaton sur la clé K ne fut. Et donc, 2.1 Pr[AskHF 2 ] q sesson Adv nd cpa IBK (t) + γq H negl(). Game G 4 : dans ce jeu, nous ne modfons que formellement la smulaton, sans modfer la vue de l adversare : on prend un chffré aléatore c avec la dstrbuton approprée, qu peut éventuellement dépendre du mot de passe. Notre but est de rendre la smulaton ndépendante du mot de passe, lorsqu l n y a pas de corrupton (le flag Corrupt ndque s l adversare connaît le mot de passe en ayant poser une requête Corrupt). On défnt les deux dstrbutons C mpk et C mpk,pw : C mpk = {Encaps IBK (mpk, pw, m) m M} et C mpk,pw = {Encaps IBK (mpk, pw, m) m M, pw D}. Rule C1 (4) s Corrupt OG(C, 1), on calcule c C mpk,pw ; snon, (K, c) Encaps IBK (mpk, pw). On remarque que s OG(C, 1) et OG(S, 2), la clé K n est plus utlsée par la sute. Cette smulaton n apporte aucune modfcaton : 4 = 0. Game G 5 : À présent, nous smulons les nstances du clent lorsque ce derner reçot une clé publque mpk générée par un oracle, et ndépendamment du mot de passe. Notre nouveau jeu sera ndstnguable du précédent, sous l hypothèse d anonymat du schéma IB-KEM sous-jacent. Rule C1 (5) s Corrupt OG(C, 1), on chost un chffré c C mpk ; snon on a (K, c) Encaps IBK (mpk, pw). La dfférence de probablté de succès entre les jeux G 5 et G 4 est néglgeable sauf s l adversare A est capable de dstnguer les deux dstrbutons C mpk et C mpk,pw, où pw peut être connu de l adversare. Or mpk est générée honnêtement (par l autorté). En utlsant une séquence de jeux hybrdes, nous pouvons montrer que 5 q passve Adv anon IBK (t) negl(), où t le temps de calcul de A nécessare à casser l anonymat du schéma IBKEM sous-jacent. Remarque 16 Nous pouvons remarquer que dans la séquence de jeux G 2.1, nous avons commencé la smulaton (spécfque au ème jeu hybrde) sans pouvor prédre s la sesson allat être passve ou non ; ce qu explque la présence du facteur q sesson. Dans cette séquence en revanche, la modfcaton n a leu que s la sesson est passve, d où le facteur q passve.

151 8.3- Protocole IB-PAKE 145 Game G 6 : dans ce jeu, nous consdérons les attaques pour lesquelles l adversare nte une sesson actve à partr du second échange : l adversare chost le chffré c. Nous allons montré qu l a une fable chance d envoyer un authentfant AuthC valde, sauf s l devne le bon mot de passe, celu utlsé pour le calcul de c : Nous voulons garantr que dans ce cas, au plus un mot de passe est testé. Nous poursuvons les modfcatons en remplaçant les oracles H par les oracles secrets dans le cas où mpk est générée par un oracle. Rule S2 (6) s Corrupt OG(C, 1), on calcule AuthS = H 1 (S, C, mpk, c). snon, on extrat usk Extract IBK (msk, pw) ; on déchffre le chffré, K Decaps IBK (usk, c) ; pus on calcule AuthS = H 1 (S, C, mpk, c, pw, K ). Rule C2 (6) s Corrupt OG(C, 1), on calcule AuthS = H 1 (S, C, mpk, c), sk = H 0 (S, C, mpk, c), AuthC = H 2 (S, C, mpk, c) snon, on calcule AuthS = H 1 (S, C, mpk, c, pw, K), sk = H 0 (S, C, mpk, c, pw, K), AuthC = H 2 (S, C, mpk, c, pw, K) Les jeux G 6 et G 5 sont dentques sauf s l adversare se rend compte que le calcul a été effectué par des oracles secrets H ( {0, 1}) dans les sessons pour lesquelles l a chos le chffré c sans avor chos la clé publque mpk. Un tel événement a leu s et seulement s l adversare pose une des requêtes de hachage H ( {0, 1}) sur un transcrpt (S, C, mpk, c) assocée à une pare (pw, K) approprée, c.à.d. telle que K = Decaps IBK (pw, c) pour le mot de passe en jeu. Dans ce cas, l exste au mons un mot de passe pw tel que (S, C, mpk, c, pw, K) Λ H et K = Decaps IBK (pw, c). Nous appelons cet événement AskHS 6. De manère à clarfer notre analyse, nous dstnguons les deux cas suvant : pour toutes les sessons (S, C, mpk, c), où c est chos par l adversare, l y a au plus un mot de passe π tel que (S, C, mpk, c, π, K = Decaps IBK (π, c)) Λ H. Nous notons cet événement AskHSU 6. S l a leu, alors au plus un mot de passe est testé par attaque actve contre le serveur. Notre but est de montrer que : Pr[AskHSU 6 ] q actves N. pour une sesson (S, C, mpk, c), l exste deux mots de passe π 1, π 2 tels que (S, C, mpk, c, π, K = Decaps(π, c)) Λ H. Nous notons cet événement AskHSM 6. S l a leu, A peut alors construre {c, (π 1, K 1 ), (π 2, K 2 )} tels que K 1 = Decaps IBK (π 1, c) et K 2 = Decaps IBK (π 2, c) ; ce qu contredt l hypothèse de non-malléablté d denttés du schéma IB-KEM sous-jacent : Et donc, Pr[AskHSM 6 ] Adv d-nm IBK (t). 6 Pr[AskHS 6 ] Adv d-nm IBK (t) + Pr[AskHSU 6], où t est le temps maxmum pour casser la non-malléablté d denttés du schéma IB-KEM. Game G 7 : dans ce jeu, nous consdérons les attaques actves contre le clent qu commence tout au début de la sesson : l adversare envoe le premer message et contrôle

152 146 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE mpk. Il se peut très ben qu l connasse la clé maître msk. Comme dans le jeu G 5, on veut rendre la génératon du chffré ndépendante du mot de passe, y comprs dans ce cas. On remplace alors les oracles de hachage par des oracles secrets dans toutes les sessons où personne n est corrompue : Rule S2 (7) s Corrupt, on calcule AuthS = H 1 (S, C, mpk, c) ; snon, on extrat usk Extract IBK (msk, pw) ; on déchffre le chffré, K Decaps IBK (usk, c) ; on calcule AuthS = H 1 (S, C, mpk, c, pw, K ). Rule C2 (7) s Corrupt, on calcule AuthS = H 1 (S, C, mpk, c), sk = H 0 (S, C, mpk, c), AuthC = H 2 (S, C, mpk, c) ; snon, on calcule AuthS = H 1 (S, C, mpk, c, pw, K), sk = H 0 (S, C, mpk, c, pw, K), AuthC = H 2 (S, C, mpk, c, pw, K) Rule S3 (7) s Corrupt, on calcule AuthC = H 2 (S, C, mpk, c) et sk = H 0 (S, C, mpk, c) ; snon, on calcule AuthC = H 2 (S, C, mpk, c, pw, K ) et sk = H 0 (S, C, mpk, c, pw, K ). Les jeux G 7 et G 6 sont dentques sauf s mpk est générée par un oracle : tous les oracles publcs sont remplacés par des oracles secrets. A se rend compte de cette dfférence seulement s l pose H 1 sur un transcrpt (S, C, mpk, c) pour une pare approprée (pw, K), c.à.d. telle que K = Decaps IBK (pw, c) et K Λ H pour le mot de passe en jeu. Cette requête est nécessare pour le calcul d un authentfant valde, AuthS. Pusque nous avons supprmé les collsons (jeu G 2 ), l exste au plus un t-uplet (S, C, mpk, c, pw, K) tel que AuthS = H 1 (S, C, mpk, c, pw, K) pour chaque authentfant. Nous notons AskHC un tel événement. 7 Pr[AskHC 7 ]. Game G 8 : pusque nous utlsons encore le mot de passe dans certanes sessons (pour le calcul de c), nous ne pouvons pas encore nous prononcer sur l évaluaton de la probablté des événements AskHC etaskhsu. Donc, comme dans le jeu G 5, on rend la génératon du chffré c ndépendante du mot de passe, y comprs dans le cas où mpk est générée par l adversare. Pusque l adversare chost mpk, la dfférence est donc bornée par la probablté de succès défn par le jeu pour l anonymat au sens KwrtA du schéma IB-KEM sous-jacent : Rule C1 (8) s Corrupt, on chost c C mpk ; snon, on calcule (K, c) Encaps IBK (mpk, pw). La dfférence de probablté de succès entre les jeux G 8 et G 7 est néglgeable sauf s A est capable de dstnguer les dstrbutons C mpk et C mpk,pw, où pw peut éventuellement être connu de l adversare et mpk est chos par l adversare. En utlsant une séquence de jeu hybrde comme pour le jeu G 5, sauf que A peut très ben connaître msk, on montre faclement que : 8 q actvec Adv kwrta anon IBK (t) negl().

153 8.3- Protocole IB-PAKE 147 Game G 9 : Remarquons que s l n y a pas de corrupton, les authentfants et clés de sesson sont calculés en utlsant des oracles secrets, sans le mot de passe en entrée ; le mot de passe n est plus utlsé dans la smulaton sauf s une corrupton a leu, plus exactement, dans les cas suvant : le serveur génère les paramètres publcs, le clent génère le chffré selon la dstrbuton C mpk. On peut alors chosr le mot de passe à la fn de la smulaton, ou lorsqu une corrupton a leu : 9 = 0. Nous pouvons alors évaluer la probablté des événements AskHC et AskHSU : l événement AskHSU a leu s pour chaque sesson (S, C, mpk, c), où c est chos par l adversare (attaque actve contre le serveur), l y a au plus une pare approprée (pw, K). Dans ce cas, seulement un mot de passe peut donner leu à cet événement pour chaque sesson où l adversare est actf contre le serveur : Pr[AskHSU 9 ] q actves N l événement AskHC a leu s A envoe un authentfant valde (l s agt alors d une attaque actve contre le clent), calculé avec le bon mot de passe. Mas une seule valeur du mot de passe peut donner leu à cet événement pour chaque sesson où l adversare est actf contre le clent, pusque nous avons supprmé les collsons sur H 1 : Pr[AskHC 9 ] q actvec N. Comme toutes les clés de sesson sont calculées à partr d un oracle secret dans le derner jeu, l n y a pas de dfférence entre le cas réel et le cas aléatore pour la requête Test : Pr[S 9 ] = 1 2, ce qu permet de conclure la preuve. Nous avons présenté une applcaton des notons d anonymat pour le chffrement IB-KEM présentées au chaptre 4 : l aboutssement est un protocole 2-PAKE générque, IB-PAKE permettant à un clent et un serveur d établr une clé de sesson commune, tout en garantssant l anonymat du clent. Notre protocole est prouvé sûr dans une extenson du modèle de Bellare et al. [17, 14], présentée au chaptre 6. Par alleurs, la preuve que nous obtenons est très ntutve : toutes les proprétés de l IB-KEM sous-jacent ndusent la sécurté sémantque de la clé de sesson échangée, la proprété de perfect-forward-secrecy et enfn une garante d anonymat du clent. D un pont de vue théorque, l est ntéressant de remarquer que la prmtve de chffrement à base d dentté est à la source d une nouvelle applcaton pour laquelle elle n est a pror pas destnée ; l serat ntéressant d exploter ces multples fonctonnaltés dans d autres contexte que celu de l échange de clés.

154 148 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE

155 Concluson Nous avons confronté le concept d anonymat à des stuatons réelles dans les protocoles de chffrement et de mse en accord de clé : à chaque étape, nous avons proposé un modèle, en justfant nos chox, parfos au détrment d un nveau de sécurté plus fort. L anonymat a un coût réel mas des solutons à son emplo sont possbles : nous avons tenté, dans chaque stuaton, d établr le melleur comproms. Un premer état de l art des mécansmes conçus pour le chffrement anonyme nous a perms d exposer les technques de constructons de schémas anonymes. Nous avons proposé une nouvelle noton de sécurté renforçant ans les outls caractérsant les prmtves que nous connassons. Ensute, s est posée la queston du chffrement anonyme dans un contexte mult-acteurs : nous avons complété les fonctonnaltés de la prmtve de chffrement de groupe ntalement proposée, en exhbant un modèle et un schéma effcace, sans fare usage de preuves nteractves. Nous avons prouvé la sécurté de notre schéma dans le modèle standard. Pour les protocoles d échange de clé, nous avons recensé les notons de sécurté pour le scénaro à deux et tros partes. Nous avons étendu le modèle exstant aboutssant à une mécansaton (partelle) des preuves de sécurté dans ce contexte : l dée est essentellement basée sur une antcpaton des attaques dans le cas où les corruptons sont statques. Ensute, nous avons proposé deux protocoles d échanges de clés en consdérant l anonymat du clent, d abord en utlsant un schéma d nterrogaton confdentelle de bases de données comme nterface à une varante d un protocole à tros partes, proposés en 2005 dans l artcle [2] ; pus en utlsant une prmtve de chffrement anonyme. Dans ce derner cas, l s agt précsément d une applcaton de la noton de sécurté que nous avons ntrodute. 149

156 150 Chaptre 8. Introducton de l Anonymat pour l authentfcaton : IB-PAKE

157 Bblographe [1] M. Abdalla, M. Bellare, D. Catalano, E. Kltz, T. Kohno, T. Lange, J. Malone- Lee, G. Neven, P. Paller, and H. Sh. Searchable encrypton revsted : Consstency propertes, relaton to anonymous IBE, and extensons. In V. Shoup, edtor, CRYPTO 2005, volume 3621 of LNCS, pages Sprnger, Aug [2] M. Abdalla, O. Chevassut, P.-A. Fouque, and D. Pontcheval. A smple threshold authentcated key exchange from short secrets. In B. K. Roy, edtor, ASIA- CRYPT 2005, volume 3788 of LNCS, pages Sprnger, Dec [3] M. Abdalla, P.-A. Fouque, and D. Pontcheval. Password-based authentcated key exchange n the three-party settng. In S. Vaudenay, edtor, PKC 2005, volume 3386 of LNCS, pages Sprnger, Jan [4] M. Abdalla, M. Izabachène, and D. Pontcheval. Anonymous and transparent gateway-based password-authentcated key exchange. In CANS 08, LNCS, pages Sprnger, [5] M. Abdalla and D. Pontcheval. Interactve Dffe-Hellman assumptons wth applcatons to password-based authentcaton. In A. Patrck and M. Yung, edtors, FC 2005, volume 3570 of LNCS, pages Sprnger, Feb. / Mar [6] A. Ambans. Upper bound on communcaton complexty of prvate nformaton retreval. In P. Degano, R. Gorrer, and A. Marchett-Spaccamela, edtors, ICALP 97, volume 1256 of LNCS. Sprnger, July [7] G. Atenese, J. Camensch, M. Joye, and G. Tsudk. A practcal and provably secure coalton-resstant group sgnature scheme. In M. Bellare, edtor, CRYPTO 2000, volume 1880 of LNCS, pages Sprnger, Aug [8] J. Baek, D. Galndo, W. Suslo, and J. Zhou. Constructng strong kem from weak kem (or how to revve the kem/dem framework). In SCN 06, LNCS, pages Sprnger, Sept [9] A. Bamel and Y. Isha. Informaton retreval prvate nformaton retreval : A unfed constructon. unpublshed manuscrpt. [10] J. Bajard and N. ElMrabet. Parng n cryptography : an arthmetc pont of vew. In Advanced Sgnal Processng Algorthms, Archtectures, and Implementatons (SPI), volume 6697, pages , [11] M. Bellare, A. Boldyreva, A. Desa, and D. Pontcheval. Key-prvacy n publc-key encrypton. In C. Boyd, edtor, ASIACRYPT 2001, volume 2248 of LNCS, pages Sprnger, Dec [12] M. Bellare, A. Desa, E. Jokp, and P. Rogaway. A concrete securty treatment of symmetrc encrypton. In 38th FOCS, pages IEEE Computer Socety Press, Oct

158 152 Bblographe [13] M. Bellare, D. Mccanco, and B. Warnsch. Foundatons of group sgnatures : Formal defntons, smplfed requrements, and a constructon based on general assumptons. In E. Bham, edtor, EUROCRYPT 2003, volume 2656 of LNCS, pages Sprnger, May [14] M. Bellare, D. Pontcheval, and P. Rogaway. Authentcated key exchange secure aganst dctonary attacks. In B. Preneel, edtor, EUROCRYPT 2000, volume 1807 of LNCS, pages Sprnger, May [15] M. Bellare and T. Rstenpart. Smulaton wthout the artfcal abort : Smplfed proof and mproved concrete securty for waters be scheme. In A. Joux, edtor, EUROCRYPT 2009, LNCS. Sprnger, Apr [16] M. Bellare and P. Rogaway. Random oracles are practcal : A paradgm for desgnng effcent protocols. In V. Ashby, edtor, ACM CCS 93, pages ACM Press, Nov [17] M. Bellare and P. Rogaway. Entty authentcaton and key dstrbuton. In D. R. Stnson, edtor, CRYPTO 93, volume 773 of LNCS, pages Sprnger, Aug [18] M. Bellare and P. Rogaway. The exact securty of dgtal sgnatures : How to sgn wth RSA and Rabn. In U. M. Maurer, edtor, EUROCRYPT 96, volume 1070 of LNCS, pages Sprnger, May [19] M. Bellare and P. Rogaway. Provably secure sesson key dstrbuton the three party case. In 28th ACM STOC, pages ACM Press, May [20] M. Bellare and P. Rogaway. The AuthA protocol for password-based authentcated key exchange. Contrbutons to IEEE P1363, Mar [21] M. Bellare, H. Sh, and C. Zhang. Foundatons of group sgnatures : The case of dynamc groups. In A. Menezes, edtor, CT-RSA 2005, volume 3376 of LNCS, pages Sprnger, Feb [22] S. M. Bellovn and M. Merrtt. Encrypted key exchange : Password-based protocols secure aganst dctonary attacks. In 1992 IEEE Symposum on Securty and Prvacy, pages IEEE Computer Socety Press, May [23] K. Bentaha, P. Farshm, J. Malone-Lee, and N. P. Smart. Generc constructons of dentty-based and certfcateless KEMs. Cryptology eprnt Archve, Report 2005/058, [24] I. Blake, G. Serouss, and N. Smart. Ellptc Curves n Cryptography. London Mathematcal Socety Lecture Note Seres. Cambrdge Unversty Press, [25] D. Boneh and X. Boyen. Effcent selectve-id secure dentty based encrypton wthout random oracles. In C. Cachn and J. Camensch, edtors, EUROCRYPT 2004, volume 3027 of LNCS, pages Sprnger, May [26] D. Boneh and X. Boyen. Secure dentty based encrypton wthout random oracles. In M. Frankln, edtor, CRYPTO 2004, volume 3152 of LNCS, pages Sprnger, Aug [27] D. Boneh and X. Boyen. Short sgnatures wthout random oracles. In C. Cachn and J. Camensch, edtors, EUROCRYPT 2004, volume 3027 of LNCS, pages Sprnger, May [28] D. Boneh and X. Boyen. On the mpossblty of effcently combnng collson resstant hash functons. In C. Dwork, edtor, CRYPTO 2006, volume 4117 of LNCS, pages Sprnger, Aug

159 Bblographe 153 [29] D. Boneh, X. Boyen, and E.-J. Goh. Herarchcal dentty based encrypton wth constant sze cphertext. In R. Cramer, edtor, EUROCRYPT 2005, volume 3494 of LNCS. Sprnger, May [30] D. Boneh, X. Boyen, and H. Shacham. Short group sgnatures. In M. Frankln, edtor, CRYPTO 2004, volume 3152 of LNCS, pages Sprnger, Aug [31] D. Boneh and M. K. Frankln. Identty-based encrypton from the Wel parng. In J. Klan, edtor, CRYPTO 2001, volume 2139 of LNCS, pages Sprnger, Aug [32] D. Boneh, E.-J. Goh, and K. Nssm. Evaluatng 2-DNF formulas on cphertexts. In J. Klan, edtor, TCC 2005, volume 3378 of LNCS, pages Sprnger, Feb [33] D. Boneh, B. Lynn, and H. Shacham. Short sgnatures from the Wel parng. In C. Boyd, edtor, ASIACRYPT 2001, volume 2248 of LNCS, pages Sprnger, Dec [34] X. Boyen. The bb1 dentty-based crytposystem : A standard for encrypton and key encapsulaton. In 2006 IEEE Symposum on Securty and Prvacy. IEEE Computer Socety Press, May avalable at http ://grouper.eee.org/groups/1363/. [35] X. Boyen. A tapestry of dentty-based encrypton : Practcal frameworks compared. Internatonal Journal of Appled Cryptography, 1(1) :3 21, [36] X. Boyen and B. Waters. Anonymous herarchcal dentty-based encrypton (wthout random oracles). In C. Dwork, edtor, CRYPTO 2006, volume 4117 of LNCS, pages Sprnger, Aug [37] X. Boyen and B. Waters. Compact group sgnatures wthout random oracles. In S. Vaudenay, edtor, EUROCRYPT 2006, volume 4004 of LNCS, pages Sprnger, May / June [38] V. Boyko, P. D. MacKenze, and S. Patel. Provably secure password-authentcated key exchange usng Dffe-Hellman. In B. Preneel, edtor, EUROCRYPT 2000, volume 1807 of LNCS, pages Sprnger, May [39] E. Bresson, O. Chevassut, and D. Pontcheval. New securty results on encrypted key exchange. In F. Bao, R. Deng, and J. Zhou, edtors, PKC 2004, volume 2947 of LNCS, pages Sprnger, Mar [40] J. Camensch. Effcent and generalzed group sgnatures. In W. Fumy, edtor, EUROCRYPT 97, volume 1233 of LNCS, pages Sprnger, May [41] J. Camensch and A. Lysyanskaya. An effcent system for non-transferable anonymous credentals wth optonal anonymty revocaton. In B. Pftzmann, edtor, EUROCRYPT 2001, volume 2045 of LNCS, pages Sprnger, May [42] J. Camensch and M. Mchels. A group sgnature scheme wth mproved effcency. In K. Ohta and D. Pe, edtors, ASIACRYPT 98, volume 1514 of LNCS, pages Sprnger, Oct [43] J. Camensch, G. Neven, and A. Shelat. Smulatable adaptve oblvous transfer. In M. Naor, edtor, EUROCRYPT 2007, LNCS. Sprnger, May [44] J. Camensch and M. Stadler. Effcent group sgnature schemes for large groups (extended abstract). In B. S. K. Jr., edtor, CRYPTO 97, volume 1294 of LNCS, pages Sprnger, Aug

160 154 Bblographe [45] S. Canard and J. Traoré. On far e-cash systems based on group sgnature schemes. publshed n acsp, [46] R. Canett, S. Halev, and J. Katz. A forward-secure publc-key encrypton scheme. In E. Bham, edtor, EUROCRYPT 2003, volume 2656 of LNCS, pages Sprnger, May [47] R. Canett, H. Krawczyk, and J. B. Nelsen. Relaxng chosen-cphertext securty. In D. Boneh, edtor, CRYPTO 2003, volume 2729 of LNCS, pages Sprnger, Aug [48] D. Catalano, D. Pontcheval, and T. Pornn. IPAKE : Isomorphsms for passwordbased authentcated key exchange. In M. Frankln, edtor, CRYPTO 2004, volume 3152 of LNCS, pages Sprnger, Aug [49] Y.-C. Chang. Sngle database prvate nformaton retreval wth logarthmc communcaton. publshed n acsp, [50] D. Chaum. Untraceable electronc mal, return addresses, and dgtal pseudonyms. Communcatons of the Assocaton for Computng Machnery, 24(2) :84 88, [51] D. Chaum. Blnd sgnature system. In D. Chaum, edtor, CRYPTO 83, page 153. Plenum Press, New York, USA, [52] D. Chaum, A. Fat, and M. Naor. Untraceable electronc cash. In S. Goldwasser, edtor, CRYPTO 88, volume 403 of LNCS, pages Sprnger, Aug [53] D. Chaum and T. P. Pedersen. Wallet databases wth observers. In E. F. Brckell, edtor, CRYPTO 92, volume 740 of LNCS, pages Sprnger, Aug [54] D. Chaum and E. van Heyst. Group sgnatures. In D. W. Daves, edtor, EURO- CRYPT 91, volume 547 of LNCS, pages Sprnger, Apr [55] L. Chen and Z. Cheng. Securty proof of saka-kasahara s dentty-based encrypton scheme. Cryptology eprnt Archve, Report 2005/226, org/. [56] L. Chen, Z. Cheng, J. Malone-Lee, and N. Smart. An effcent d-kem based on the saka-kasahara key constructon. Cryptology eprnt Archve, Report 2005/224, [57] L. Chen and T. P. Pedersen. New group sgnature schemes (extended abstract). In A. D. Sants, edtor, EUROCRYPT 94, volume 950 of LNCS, pages Sprnger, May [58] B. Chor, E. Kushlevtz, O. Goldrech, and M. Sudan. Prvate nformaton retreval. Journal of the ACM, 45(6) : , [59] C. Cocks. An dentty based encrypton scheme based on quadratc resdues. In B. Honary, edtor, Cryptography and Codng, 8th IMA Internatonal Conference, volume 2260 of LNCS, pages , Crencester, UK, Dec , Sprnger. [60] J.-S. Coron. On the exact securty of full doman hash. In M. Bellare, edtor, CRYPTO 2000, volume 1880 of LNCS, pages Sprnger, Aug [61] R. Cramer and V. Shoup. Desgn and analyss of practcal publc-key encrypton schemes secure aganst adaptve chosen cphertext attack. SIAM Journal on Computng, 33(1) : , [62] C. Crépeau. Equvalence between two flavours of oblvous transfers. In C. Pomerance, edtor, CRYPTO 87, volume 293 of LNCS, pages Sprnger, Aug

161 Bblographe 155 [63] I. Damgård and M. Jurk. A generalsaton, a smplfcaton and some applcatons of Paller s probablstc publc-key system. In K. Km, edtor, PKC 2001, volume 1992 of LNCS, pages Sprnger, Feb [64] D. Dolev, C. Dwork, and M. Naor. Non-malleable cryptography. In 23rd ACM STOC, pages ACM Press, May [65] T. ElGamal. A publc key cryptosystem and a sgnature scheme based on dscrete logarthms. IEEE Transactons on Informaton Theory, 31 : , [66] A. Enge. Ellptc Curves and Ther Applcaton to Cryptography : An Introducton. Kluwer Academc Publshers, [67] A. Fat and A. Shamr. How to prove yourself : Practcal solutons to dentfcaton and sgnature problems. In A. M. Odlyzko, edtor, CRYPTO 86, volume 263 of LNCS, pages Sprnger, Aug [68] G. Frey and H. Ruck. A remark concernng dvsblty and the dscrete logarthm n the dvsor class group of curves. Mathematcs of Computaton, 62 : , [69] S. Galbrath, K. Paterson, and N. Smart. Parngs for cryptographers. Cryptology eprnt Archve, Report 2006/165, [70] P. Gaudry. Algorthmque des courbes hyperellptques et applcatons à la cryptologe. PhD thess, École polytechnque, France, [71] C. Gentry. Practcal dentty-based encrypton wthout random oracles. In S. Vaudenay, edtor, EUROCRYPT 2006, volume 4004 of LNCS, pages Sprnger, May / June [72] O. Goldrech and Y. Lndell. Sesson-key generaton usng human passwords only. In J. Klan, edtor, CRYPTO 2001, volume 2139 of LNCS, pages Sprnger, Aug [73] S. Goldwasser and S. Mcal. Probablstc encrypton. Journal of Computer and System Scences, 28(2) : , [74] S. Goldwasser, S. Mcal, and C. Rackoff. The knowledge complexty of nteractve proof-systems (extended abstract). In 17th ACM STOC, pages ACM Press, May [75] S. Goldwasser, S. Mcal, and R. L. Rvest. A dgtal sgnature scheme secure aganst adaptve chosen-message attacks. SIAM Journal on Computng, 17(2) : , Apr [76] P. Golle, M. Jakobsson, A. Juels, and P. F. Syverson. Unversal re-encrypton for mxnets. In T. Okamoto, edtor, CT-RSA 2004, volume 2964 of LNCS, pages Sprnger, Feb [77] J. Groth. Rerandomzable and replayable adaptve chosen cphertext attack secure cryptosystems. In M. Naor, edtor, TCC 2004, volume 2951 of LNCS, pages Sprnger, Feb [78] J. Groth. Fully anonymous group sgnatures wthout random oracles. In K. Kurosawa, edtor, ASIACRYPT 2007, volume 4833 of LNCS, pages Sprnger, Dec [79] J. Groth and A. Saha. Effcent non-nteractve proof systems for blnear groups. Cryptology eprnt Archve, [80] S. Halev and H. Krawczyk. Publc-key cryptography and password protocols. ACM Transactons on Informaton and System Securty, 2(3) : , Aug

162 156 Bblographe [81] R. Hartshorne. Algebrac geometry. Sprnger, [82] J. Herranz, D. Hofhenz, and E. Kltz. Kem/dem : Necessary and suffcent condtons for secure hybrd encrypton. Cryptology eprnt Archve, acr.org/. [83] J. Herranz, D. Hofhenz, and E. Kltz. The kurosawa-desmedt key encapsulaton s not chosen-cphertext secure. Cryptology eprnt Archve, acr.org/. [84] Y. Isha and E. Kushlevtz. Improved upper bounds on nformaton-theoretc prvate nformaton retreval (extended abstract). In 31st ACM STOC, pages ACM Press, May [85] M. Izabachène and D. Pontcheval. New anonymty notons for dentty-based encrypton. In SCN 06, LNCS, pages Sprnger, Sept [86] M. Izabachene, D. Pontcheval, and D. Vergnaud. Traceable anonymous encrypton. Techncal report, Ecole Normale Supereure de Pars, Avalable at http :// zabache/docs/anon pdf. [87] D. P. Jablon. Extended password key exchange protocols mmune to dctonary attacks. In 6th IEEE Internatonal Workshops on Enablng Technologes : Infrastructure for Collaboratve Enterprses (WETICE 1997), pages , Cambrdge, MA, USA, June 18 20, IEEE Computer Socety. [88] A. Kayas, Y. Tsouns, and M. Yung. Group encrypton. In K. Kurosawa, edtor, ASIACRYPT 2007, volume 4833 of LNCS, pages Sprnger, Dec [89] N. Kobltz. Algebrac Aspects of Cryptography, volume 3. Sprnger, [90] N. Kobltz and A. Menezes. Parng-based cryptography at hgh securty levels. In B. Honary, edtor, Cryptography and Codng, 10th IMA Internatonal Conference, volume 3796 of LNCS, pages 13 36, Crencester, UK, Sprnger. [91] E. Kushlevtz and R. Ostrovsky. Replcaton s NOT needed : SINGLE database, computatonally-prvate nformaton retreval. In 38th FOCS, pages IEEE Computer Socety Press, Oct [92] E. Kushlevtz and R. Ostrovsky. One-way trapdoor permutatons are suffcent for non-trval sngle-server prvate nformaton retreval. In B. Preneel, edtor, EURO- CRYPT 2000, volume 1807 of LNCS, pages Sprnger, May [93] S. Lucks. Open key exchange : How to defeat dctonary attacks wthout encryptng publc keys. In Workshop on Securty Protocols, École Normale Supéreure, [94] P. MacKenze and R. Swamnathan. Secure authentcaton wth a short secret. Contrbutons to IEEE P1363, Aug [95] A. Menezes. Ellptc Curve Publc Key Cryptosystems. Kluwer Academc Publshers, [96] A. Menezes, T. Okamoto, and S. Vanstone. Reducng ellptc curve to logarthms n a fnte feld. IEEE Transactons on Informaton Theory, 39 : , [97] V. Mller. Short programs for functons on curves. avalable at http//crypto.standford.edu/mller/mller.ps, [98] V. S. Mller. The Wel parng, and ts effcent calculaton. Journal of Cryptology, 17(4) : , Sept

163 Bblographe 157 [99] S. Mtsunar, R. Saka, and M. Kasahara. A new trator tracng. IEICE Transactons, E85-A(2) : , Feb [100] A. Myaj, M. Nakabayash, and S. Takano. New explct condtons of ellptc curve traces for fr-reducton. IEICE Transactons, E84-A(5) : , Feb [101] M. Naor and B. Pnkas. Computatonally secure oblvous transfer. Journal of Cryptology, 18(1) :1 35, Jan [102] M. Naor and M. Yung. Unversal one-way hash functons and ther cryptographc applcatons. In 21st ACM STOC, pages ACM Press, May [103] K. Q. Nguyen and J. Traoré. An onlne publc aucton protocol protectng bdder prvacy. publshed n acsp, [104] T. Okamoto and S. Uchyama. A new publc-key cryptosystem as secure as factorng. In K. Nyberg, edtor, EUROCRYPT 98, volume 1403 of LNCS, pages Sprnger, May / June [105] P. Paller. Publc-key cryptosystems based on composte degree resduosty classes. In J. Stern, edtor, EUROCRYPT 99, volume 1592 of LNCS, pages Sprnger, May [106] D. Pontcheval and J. Stern. Securty proofs for sgnature schemes. In U. M. Maurer, edtor, EUROCRYPT 96, volume 1070 of LNCS, pages Sprnger, May [107] D. Pontcheval and J. Stern. Securty arguments for dgtal sgnatures and blnd sgnatures. Journal of Cryptology, 13(3) : , [108] M. Prabhakaran and M. Rosulek. Rerandomzable rcca encrypton. In A. Menezes, edtor, CRYPTO 2007, volume 4622 of LNCS, pages Sprnger, Aug [109] N. S. R. Granger, D. Page. Hgh securty parng-based cryptography revsted. In Seventh Algorthmc Number Theory Symposum (ANTS), volume 4096 of LNCS, pages Sprnger, [110] M. O. Rabn. How to Exchange Secrets wth Oblvous Tranfer. Techncal Report TR-81, Aken Computaton Lab, Harvard Unversty, Jan Avalable as Cryptology eprnt Archve Report 2005/187. [111] R. Saka and M. Kasahara. Id based cryptosystems wth parng on ellptc curve. Cryptology eprnt Archve, Report 2003/054, [112] K. Sako. An aucton protocol whch hdes bds of losers. In H. Ima and Y. Zheng, edtors, PKC 2000, volume 1751 of LNCS, pages Sprnger, Jan [113] C.-P. Schnorr. Effcent dentfcaton and sgnatures for smart cards. In G. Brassard, edtor, CRYPTO 89, volume 435 of LNCS, pages Sprnger, Aug [114] C.-P. Schnorr. Effcent sgnature generaton by smart cards. Journal of Cryptology, 4(3) : , [115] A. Shamr. Identty-based cryptosystems and sgnature schemes. In G. R. Blakley and D. Chaum, edtors, CRYPTO 84, volume 196 of LNCS, pages Sprnger, Aug [116] V. Shoup. Usng hash functons as a hedge aganst chosen cphertext attack. In B. Preneel, edtor, EUROCRYPT 2000, volume 1807 of LNCS, pages Sprnger, May [117] V. Shoup. ISO : An emergng standard for publc-key encrypton. http: //shoup.net/so/std6.pdf, Dec Fnal Commttee Draft.

164 158 Bblographe [118] J. Slverman. The arthmetc of ellptc curves. Sprnger, [119] G. J. Smmons. The prsoners problem and the sublmnal channel. In D. Chaum, edtor, CRYPTO 83, pages Plenum Press, New York, USA, [120] B. R. Waters. Effcent dentty-based encrypton wthout random oracles. In R. Cramer, edtor, EUROCRYPT 2005, volume 3494 of LNCS, pages Sprnger, May 2005.