L anonymat dans les protocoles cryptographiques

Transcription

1 École normale supéreure Département d nformatque Équpe CASCADE INRIA Unversté Pars 7 Dens Dderot L anonymat dans les protocoles cryptographques Thèse présentée et soutenue publquement le jeud 1 er octobre 2009 pour l obtenton du Doctorat de l unversté Pars VII - Dens Dderot (spécalté nformatque) Malka Izabachène Composton du jury: Drecteur de thèse: Davd Pontcheval (École Normale Supéreure) Rapporteurs: Xaver Boyen (Unversté de Stanford ) Jean-Sébasten Coron (Unversté de Luxembourg) Examnateurs: Hervé Chabanne (Sagem Sécurté, Télécom Parstech ) Arnaud Durand (Unversté Pars VII - Dens Dderot ) Lous Goubn (Unversté de Versalles ) Davd Naccache (Unversté Pars II - Panthéon-Assas ) Damen Vergnaud (École Normale Supéreure) Travaux effectués au Laboratore d Informatque de l École Normale Supéreure 45 rue d Ulm, Pars Cedex 05

2

3 Table des matères I Prmtves cryptographques pour l anonymat 5 1 Prmtves de chffrement Schémas de chffrement Défntons et notons de sécurté Schéma de chffrement hybrde Schéma de sgnature Hypothèses calculatores Problèmes lés à la factorsaton Problèmes lés au logarthme dscret Schémas de chffrement homomorphes Applcaton aux réseaux de mélangeurs Réseaux avec déchffrement Réseaux avec rechffrement Protocoles nteractfs pour l anonymat Preuves nteractves Schéma de Mse en gage Preuves nteractves d appartenance à un langage Preuves de connassance Transfert nconscent, OT Prvate Informaton Retreval, PIR Dans les groupes blnéares Courbes ellptques sur les corps fns Défntons Lo de groupe Couplages sur une courbe ellptque Utlser les couplages Hypothèses calculatores dans les groupes blnéares Les problèmes non paramétrés ou statques Les problèmes paramétrés ou non statques Les problèmes co-cdh et Cco-CDH Chffrement homomorphes dans les groupes blnéares Chffrement à base d dentté Schéma de chffrement à base d dentté, IBE Schémas de chffrement hybrde à base d dentté, IB-KEM Quelques constructons Un peu d hstore

4 3.6.2 Classfcaton de Boyen [35] II Chffrement anonyme 49 4 Chffrement anonyme Anonymat pour le chffrement Noton de key-prvacy [11] Pertnence de l anonymat pour le chffrement Chffrement anonyme basé sur l dentté Défnton Quelques constructons ntéressantes Extenson de la noton d anonymat Noton d anonymat KwrtA Analyse des schémas IB-KEM au sens KwrtA Un canddat Anonymat révocable Prmtves de groupe Sgnature de groupe Chffrement de groupe Constructon générque Modélser la valdté Schémas de rechffrement Introducton Défntons et proprétés Constructon d un schéma de rechffrement Sécurté replayable CCA Extenson de l anonymat Prmtve de groupe Modèles Descrpton de notre schéma Analyse de sécurté Concluson III Anonymat et Authentfcaton Échange de clés par mot de passe Introducton Les premers pas Travaux antéreurs EKE et varantes Attaques par dctonnare Modélsaton des protocoles d échange de clés Défntons Modélsaton de la communcaton Extensons du modèle Sécurté pour les protocoles PAKE

5 6.3.1 Sécurté sémantque Authentfcaton Sécurté d un protocole Scénaros à tros partes Introducton Exemple : Kerberos Défntons Modèle de sécurté et extensons Modèle de sécurté Extenson de la noton de Fraîcheur Quelques outls pour GPAKE Gateway-Based Password Authentcated key-exchange Descrpton du protocole transparent GPAKE Sécurté de GPAKE Introducton de l Anonymat pour l authentfcaton : IB-PAKE Anonymat dans GPAKE Noton de non-malléablté d denttés Défnton Analyse de constructons Protocole IB-PAKE Protocole 2-PAKE générque Descrpton du schéma IB-PAKE Analyse de sécurté Bblographe 151

6

7 Remercements 1

8 2

9 Introducton L anonymat est un concept unversel à de nombreux égards : notre dentté peut rester secrète dans des crconstances socales, poltques exposant parfos des ntérêts personnels ou économques. Dans certans contexte, l anonymat peut demander à être percée, par exemple lorsque nous ne connassons pas l dentté d un crmnel ; parfos, on cherche au contrare à l obtenr. Aujourd hu, l avancée massve des technologes de l nternet renforce énormément l mportance de cette noton : désormas, l anonymat n est plus seulement l affare des dplomates et des mltares mas celle de tous. La cryptographe offre un grand nombre d outls renforçant sa démocratsaton dans les protocoles de votes électronques, de transactons en lgne, des correspondances va des logcels, etc.. Dans cette thèse, nous apportons quelques éléments de réponses à ce désr de manten d anonymat, en nous concentrant sur les protocoles de chffrement et d authentfcaton. En premer leu, l ntroducton de l anonymat dans ces deux types de protocoles soulève énormément de questons : alors que l authentfcaton est proche de la noton d dentfcaton, comment garantr l authentfcaton de la source tout en préservant son anonymat? Comment envoyer un message chffré avec une clé publque connue de tous sans révéler la clé publque utlsée pour chffrer? Le concept d anonymat suscte de nombreux paradoxes qu amènent à maner cette noton avec une précauton et une attenton toutes partculères : défnr le contexte dans lequel elle s applque et précser le nveau de sécurté que l on veut obtenr sont des procédés très classques dans l applcaton du concept d anonymat. De manère à précser ces nuances, nous défnrons dans une premère parte les outls et mécansmes autour desquelles cette noton d anonymat s est construte. Nous présenterons alors nos travaux en deux temps : nous rappellerons d abord en quo consste l anonymat pour le chffrement, en mettant l accent sur les notons de sécurté et les éléments constructfs pour les schémas de chffrement anonymes, et en partculer pour le chffrement à base d denttés. Ce derner concept, très commode pour la geston des certfcats nécesste la contrbuton d une autorté de confance, capable de dérver les secrets de tous les utlsateurs. Dans l artcle [85], en collaboraton avec Davd Pontcheval, nous avons étendu la noton d anonymat en consdérant cette autorté comme attaquant potentel. Cette premère phase de présentaton sera pour nous l occason d ntrodure cette nouvelle noton de sécurté. Ensute, nous étuderons le problème de l anonymat révocable dans un contexte mult-acteurs : en collaboraton avec Davd Pontcheval et Damen Vergnaud, nous avons conçu une nouvelle prmtve ntégrant de multples fonctonnaltés [86] ; nous décrrons également ce concept dans cette parte. Dans un deuxème temps, nous nous ntéresserons aux protocoles d échange de clé authentfés à deux et tros partes va un canal non sécursé (n confdentel, n authentfé), permettant l authentfcaton d un membre. Nous montrerons comment garantr l anonymat d un partcpant dans chacun des deux scénaros. Avant de présenter nos résultats, nous ntrodurons le modèle de sécurté sur lequel nous nous sommes appuyés [17, 14] et 3

10 4 les extensons que nous avons pu y apporter. Avec Mchel Abdalla et Davd Pontcheval, nous avons consdéré l anonymat du clent dans le cas à tros partes, en adaptant le protocole de l artcle [4]. Nous montrerons comment réalser un protocole garantssant l anonymat du clent en utlsant un protocole d nterrogaton confdentelle de bases de données (PIR) (ou Prvate Informaton Retreval en anglas) : l s agt d une prmtve qu résout une problématque ancenne que nous présenterons dans la premère parte. Nous prouverons la sécurté de ce protocole dans le modèle de l oracle aléatore. Un deuxème exemple vendra s ajouter à cette phase d ntroducton de l anonymat dans les protocoles d authentfcaton : l s agra d un protocole d échanges de clés à deux parte (authentfé) générque, IB-PAKE construt à partr d une prmtve de chffrement anonyme : par là même, nous proposerons une applcaton de la nouvelle noton d anonymat ntrodute précédemment. Enfn, nous achèverons notre présentaton par une concluson de nos travaux.

11 Premère parte Prmtves cryptographques pour l anonymat 5

12

13 Chaptre 1 Prmtves de chffrement Dans cette parte, nous présentons les prmtves propres à la cryptographe à clé publque : les schémas de chffrement et les schémas de sgnature. Nous défnssons les notons de sécurté caractérsant chacun d eux : la premère classe de schémas assure la confdentalté des données et la seconde garantt l authentfcaton et l ntégrté des données. Nous nssterons davantage sur les défntons lées au chffrement, nous ferons juste quelques rappels nformels pour les schémas de sgnature. Sommare 1.1 Schémas de chffrement Défntons et notons de sécurté Schéma de chffrement hybrde Défntons d un schéma KEM Notons de sécurté pour les schémas KEM Défntons d un schéma DEM Notons de sécurté pour les schémas DEM Syntaxe du chffrement hybrde Schéma de sgnature Consstance Types d attaques Nveaux de sécurté Schéma Full Doman Hash Hypothèses calculatores Problèmes lés à la factorsaton Problème RSA Problème de la résduosté quadratque, RQ Problème de la haute résduosté, RH Problèmes lés au logarthme dscret Problème du logarthme dscret, LD Problème Dffe-Hellman calculatore, CDH Problème Dffe-Hellman décsonnel, DDH Schémas de chffrement homomorphes Cryptosystème de Goldwasser-Mcal Cryptosystème de Paller Cryptosystème de Damgard-Jürk Cryptosystème ElGamal

14 8 Chaptre 1. Prmtves de chffrement 1.4 Applcaton aux réseaux de mélangeurs Réseaux avec déchffrement Réseaux avec rechffrement Schémas de chffrement Un cryptosystème est défn par la donnée de quatre (ou tros selon le contexte) algorthmes : un premer algorthme génère les paramètres communs du système, un second renvoe des clés publques et secrètes, un trosème, typquement probablste permet de chffrer un message (sans utlser de secret partculer) et un derner, quant à lu détermnste, retrouve le message à partr d un chffré en utlsant la clé secrète Défntons et notons de sécurté Nous notons M, C les espaces des messages clars et des messages chffrés respectvement et R un espace de probablté fxé. On note λ le paramètre de sécurté. Formellement, les algorthmes mplqués dans un schéma de chffrement sont défns de la manère suvante : Algorthme de génératon de paramètres Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du système, params ; Algorthme de génératon des clés KeyGen : prend en entrée les paramètres publcs du système, params et renvoe une pare clé publque/clé prvée, pk/sk ; Algorthme de chffrement Encrypt : est un algorthme probablste qu prend en entrée la clé publque pk, un message m dans M et un aléa r et renvoe un chffré c assocé au message m. Afn d alléger les notatons, on notera le chffré d un message m par c = Encrypt(pk, m) ou c = Encrypt(pk, m; r) ; s la clé publque est clarement spécfée par le contexte, on pourra écrre c sans la précser. Algorthme de déchffrement Decrypt : prend en entrée un chffré c et la clé secrète sk de déchffrement, l renvoe le message m M assocé à c C ou un symbole d erreur. Remarque 1 En règle générale, la foncton Setup est l dentté mas dans certans systèmes lorsque pluseurs utlsateurs dovent s entendre sur des paramètres communs, l peut être commode de séparer les algorthmes Setup et KeyGen. On verra que pour les schémas de chffrement anonyme, cette condton est nécessare. Par exemple, pour le cryptosystème ElGamal, le paramètre publque peut être le nombre premer détermnant le groupe cyclque. Un schéma de chffrement est dt consstant s pour tout paramètre publc params, toute pare clé publque/clé secrète, pk/sk, tout message m M, tout chffré de m sous la clé pk se déchffre sous la clé sk sur le message m. Plus formellement, étant donné un paramètre de sécurté λ, on a : m M, params Setup(λ) (pk, sk) KeyGen(params) c C r R Encrypt(pk, m; r) = c = Decrypt(sk, c) = m Cette condton peut être assouple de telle sorte à n être vérfée que pour une fracton écrasante de pares (pk, sk) et de chffrés c C ; dans ce cas, on parle de consstance calculatore.

15 1.1- Schémas de chffrement 9 Notons de Sécurté la foncton de chffrement dot garantr la confdentalté des messages, ce qu se formalse de dfférentes manères selon le nveau de sécurté que l on veut garantr : on ne veut pas que l adversare pusse apprendre un bt du message. En 1982, Godwasser et Mcal ont formalsé un crtère de sécurté mportant pour le chffrement asymétrque, la sécurté sémantque. L dée est la suvante : consdérons un attaquant A générant deux messages m 0 et m 1 de talles égales. Supposons que nous lu renvoyons le chffré c b de l un des deux messages m 0 et m 1, où b est un bt chos aléatorement. De plus, afn de renforcer le modèle, on peut très ben lu donner le pouvor de déchffrer certans chffrés (excepté le chffré challenge). On dt que l algorthme de chffrement est sémantquement sûr résstant aux attaques à chffrés choss s l attaquant ne parvent pas à devner le bt b avec probablté sgnfcatvement plus grande que 1 2. Plus précsément, nous formalsons la noton de sécurté sémantque par l expérence suvante : Expérence Exp nd-cca-b E,A (λ) CSet déf = ; params Setup(λ) ; (pk, sk) KeyGen(params) ; (m 0, m 1, state) A ODecrypt() 1 (FIND, params, pk) ; R c b Encrypt(params, pk, mb ) ; b A ODecrypt() 2 (GUESS, params, pk, c b, state) ; s c b / CSet ; retourner b snon retourner 0 ODecrypt(c) CSet CSet {c} ; m Decrypt(sk, c) ; retourner m On défnt l avantage de A dans l expérence c-dessus par : Adv nd-cca E,A = Pr[Exp nd-cca-1 E,A (λ) = 1] Pr[Exp nd-cca-0 E,A (λ) = 1] On dt qu un schéma de chffrement est IND-CCA-sûr résstant aux attaques adaptatves à chffrés choss (ou IND-CCA2-sûr), s pour tout attaquant polynomal A, l avantage de A est une foncton néglgeable en le paramètre de sécurté λ. Lorsqu on ne peut pas garantr la sécurté en donnant accès à l oracle de déchffrement, on parle de schéma de chffrement IND-CPA-sûr : le schéma est dt sémantquement sûr résstant aux attaques à clars choss Schéma de chffrement hybrde Le chffrement hybrde est un concept assez ntutf qu consste à décomposer les procédures mplquées dans un schéma de chffrement en deux mécansmes : un premer mécansme, appelé encapsulaton de clés (KEM), asymétrque chffre une clé symétrque et un second mécansme, data encapsulaton mechansm, (DEM), chffre un message avec la clé secrète précédente en utlsant des technques symétrques. Défntons d un schéma KEM Un mécansme d encapsulaton de clés a la même structure qu un schéma de chffrement asymétrque excepté que l algorthme de chffrement ne prend que la clé publque du destnatare en entrée. Cet algorthme génère une pare consttuée d une clé K et de son encapsulaton C. Plus précsément, un schéma KEM est défn par la donnée de quatre algorthmes polynomaux KEM déf = Setup, KeyGen, Encaps, Decaps, chacun défn de la manère suvante :

16 10 Chaptre 1. Prmtves de chffrement Algorthme de génératon de paramètres Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du schéma params. Algorthme de génératon des clés KeyGen : prend en entrée les paramètres publcs du schéma, params et renvoe une pare clé publque/clé prvée, pk/sk. Algorthme d encapsulaton de clés Encaps : cet algorthme probablste prend en entrée la clé publque du destnatare pk et un aléa r ; l génère une clé aléatore K dans S K, l ensemble des clés, et son encapsulaton C. Algorthme de décapsulaton de clés Decaps : cet algorthme détermnste prend en entrée la clé secrète du destnatare sk et l encapsulaton C d une clé ; l retrouve la clé K telle qu l exste un aléa r R tel que (K, C) = Encaps(pk; r) ; s cette clé n est pas défne ou s K / S K, cet algorthme renvoe un message d erreur. Ce mécansme dot également spécfer un enter postf, que l on notera l précsant la longueur de la clé renvoyée par l algorthme Encaps. La prmtve KEM dot vérfer une proprété de consstance qu se dédut drectement de celle énoncée précédemment pour le chffrement au paragraphe Notons de sécurté pour les schémas KEM Nous défnssons la sécurté pour le mécansme d encapsulaton de clés sous les attaques à chffrés choss de la manère suvante : dans une premère phase, le challenger génère des paramètres publcs params et une pare de clé publque/clé secrète, pk/sk qu l renvoe à l attaquant A. Ce derner a accès à un oracle de décapsulaton pus renvoe un bt b. Le challenger calcule un chffré C1 et une clé K 1, générés par l algorthme Encaps. Il chost également une clé aléatore K0 dans l ensemble S K, où S K est l ensemble des clés mun d une dstrbuton unforme 1. Ensute, le challenger chost un bt b et renvoe (Kb, C 1 ) à l attaquant A. Dans une seconde phase, l attaquant a accès à un oracle de décapsulaton. Enfn, l renvoe sa réponse pour le bt b. Plus formellement, nous défnssons l expérence assocée à un attaquant A et un schéma KEM déf = Setup, KeyGen, Encaps, Decaps de la manère suvante : Expérence Exp cca b KEM,A (λ) CSet déf = { }; params Setup(λ) ; (pk, sk) KeyGen(params) ; state A ODecaps() 1 (FIND, params, pk) ; (C1, K 1 ) R Encaps(params, pk) ; K0 R S K ; b R {0, 1} ; b A ODecaps() 2 (GUESS, params, pk, C1, K b, state) ; s C1 / CSet ; retourner b snon retourner 0 ODecaps(c) CSet CSet {c} ; K Decaps(sk, c) ; retourner K On défnt l avantage de A dans l expérence c-dessus par : Adv nd-cca KEM,A = Pr[Exp cca-1 KEM,A(λ) = 1] Pr[Exp cca-0 KEM,A(λ) = 1] On dt qu un schéma KEM est CCA-sûr, résstant aux attaques adaptatves à chffrés choss, s pour tout attaquant polynomal A, l avantage de A est une foncton néglgeable en le paramètre de sécurté λ. 1 D autres dstrbutons non trvales peuvent également être consdérées.

17 1.1- Schémas de chffrement 11 Défntons d un schéma DEM Un mécansme d encapsulaton de messages, DEM est une sorte d enveloppe dgtal qu permet de garantr le manten de la confdentalté et de l ntégrté d un message, en utlsant des méthodes de chffrement symétrque. Il exste pluseurs mplémentatons possbles. Nous défnssons juste l nterface abstrate et nous renvoyons au rapport de Shoup [117] pour une descrpton détallée des mplémentatons classques de ces schémas. Un schéma DEM est défn par la donnée d un enter l spécfant la longueur de la clé symétrque utlsée et de deux algorthmes polynomaux DEM déf = Encrypt DEM, Decrypt DEM chacun défn de la manère suvante : Algorthme de chffrement d un message Encrypt DEM : prend en entrée une clé symétrque de chffrement K (de talle l) et un message m ; cet algorthme renvoe un chffré C du message m sous la clé K ; Algorthme de génératon de déchffrement Decrypt DEM : prend en entrée une clé symétrque K (de talle l) et un chffré C ; cet algorthme renvoe un message m assocé au chffré C sous la clé K ; s ce message n est pas défn, cet algorthme renvoe un message d erreur. Notons de sécurté pour les schémas DEM Pour les schémas DEM, nous consdérons la noton de sécurté défne par l expérence Exp cca b DEM,A suvante : consdérons un adversare générant deux messages m 0, m 1. Le challenger chost une clé aléatore de talle l et un bt aléatore b. Il génère le chffré du message m b sous la clé K qu l retourne à A. Dans une seconde phase, ce derner pose des requêtes de déchffrement sauf pour le chffré challenge. Enfn, l renvoe sa réponse b pour le bt b. On défnt l avantage de A dans l expérence décrtes par : Adv nd-cca DEM,A = Pr[Exp cca-1 DEM,A(λ) = 1] Pr[Exp cca-0 DEM,A(λ) = 1] Syntaxe du chffrement hybrde À présent, nous pouvons décrre l approche systématque de constructon d un schéma de chffrement à clé publque en combnant les deux mécansmes KEM et DEM. Tout d abord, afn de rendre compatbles ces deux schémas, les clés renvoyées par l algorthme Encaps dovent avor la même talle que les clés de chffrement du schéma DEM. Nous supposons cette condton vérfée. Un schéma de chffrement hybrde H-PKE est un schéma de chffrement à clé publque, construt à partr d un mécansme d encapsulaton de clés KEM et d encapsulaton de messages DEM. Plus précsément : Algorthme Setup de génératon de paramètres de H-PKE : est défn par l algorthme Setup du schéma KEM. Algorthme KeyGen de génératon de clés de H-PKE : est défn par l algorthme KeyGen du schéma KEM. Algorthme de chffrement Encrypt : prend en entrée une clé publque pk, un message m. Dans un premer temps, cet algorthme fat appel à l algorthme Encaps qu retourne (K, C). Dans un second temps, l fat appel à l algorthme Encrypt DEM du schéma DEM qu chffre le message m sous la clé K et produt un chffré C. Il retourne le chffré c déf = C C. Algorthme de déchffrement Decrypt : prend un entrée la clé secrète sk du destnatare et un chffré c. Cet algorthme décompose le chffré c en C C, pus

18 12 Chaptre 1. Prmtves de chffrement désencapsule C sous la clé sk pour retrouver la clé K. Cette clé est alors utlsée pour déchffrer C avec l algorthme Decrypt DEM Schéma de sgnature Un schéma de sgnature est défn par la donnée de quatre algorthmes ; mas à présent les rôles de l émetteur et du destnatare sont duaux : le sgnatare a beson d un secret pour produre sa sgnature ; en revanche, tout le monde peut vérfer la valdté d une pare message/sgnature. Un schéma de sgnature dgtale est spécfé par la donnée de quatre algorthmes polynomaux Setup, KeyGen, S, V, chacun défn de la manère suvante : Setup : prend en entrée le paramètre de sécurté λ et renvoe les paramètres publcs du système params ; KeyGen prend en entrée les paramètres publcs params et renvoe une pare clés publque/clé prvée, vpk/sk ; S prend en entrée la clé secrète du sgnatare sk, un message m à sgner et renvoe la sgnature σ du message m ; V est un algorthme détermnste qu prend en entrée un message m, une sgnature σ, la clé publque du sgnatare vpk et renvoe 0 ou 1, suvant que σ est la sgnature assocée au message m ou pas. Nous défnssons brèvement les proprétés requses pour un tel schéma : Consstance Pour toute sgnature valde, c.à.d. générée correctement par l algorthme S, l algorthme de vérfcaton renvoe toujours 1. Plus exactement, étant donné un paramètre de sécurté λ, m M vpk, sk (vpk, sk) KeyGen(λ), V(vpk, m, S(sk, m)) = 1 Types d attaques Nous pouvons dstnguer dfférents types d attaques détermnant les moyens de l adversare, nous décrvons c-dessous les plus couramment utlsés : Attaques sans messages : pour cette attaque, l attaquant connaît juste la clé publque du sgnatare qu l cherche à attaquer ; la seule possblté pour lu est de vérfer la valdté d une pare message/sgnature. Il s agt donc de l attaque la plus fable Attaques à messages connus : pour cette attaque, l attaquant connaît la clé publque et une lste de pares messages/sgnatures de talle bornée 2, chose et produte par le challenger/le sgnatare. Attaques à messages choss : pour cette attaque, l attaquant a accès à un oracle de sgnature. Il peut obtenr une lste de messages/sgnatures de son chox et éventuellement ndépendante de la clé publque, dans ce cas, on dt que l attaquant est générque ; s l attaque dépend de la clé publque, on parle d attaques orentées. De plus, le chox des requêtes peut dépendre des sgnatures précédemment obtenues, on parle alors d attaques adaptatves. 2 polynomale en le paramètre de sécurté.

19 1.1- Schémas de chffrement 13 Nveaux de sécurté La défnton de falsfcaton de sgnature peut avor pluseurs sens selon le nveau de sécurté auquel on fat référence. Il exste là encore une hérarche de nveaux permettant de caractérser le but de l attaquant : Le cassage total : fat référence à la capacté de l attaquant à retrouver la clé secrète de sgnature. Tout schéma de sgnature dot se prémunr de ces attaques. La falsfcaton unverselle : est la capacté de l attaquant à produre une sgnature pour tout message n ayant pas été l objet d une requête posée à l oracle. La falsfcaton exstentelle : est la capacté de l attaquant à produre une sgnature pour un message de son chox. Exemple : nous donnons un exemple smple de sgnature : la sgnature RSA : KeyGen(λ) : cet algorthme chost un enter e tel que pgcd(e, φ(n)) = 1, avec n = pq et p et q deux nombres premers de talle l/2 bts. La clé publque est (n, e) et la clé secrète sk est l enter d, tel que d = e 1 mod φ(n). S(sk, m) produt la sgnature S(sk, m) = m d mod n d un message m Z n, V(vpk, m, σ) renvoe le résultat du test m? = σ e mod n. Théorème 1 La sgnature RSA est unversellement falsfable sous des attaques à messages choss et exstentellement falsfable sous des attaques sans messages. Démonstraton: Supposons qu on demande à l attaquant de produre une sgnature d un message m. Ce derner chost a Z n et l demande la sgnature de a et m/a. Le produt des deux sgnatures obtenues est la sgnature du message m. De plus, l attaquant peut faclement produre un pare message/sgnature valde en renvoyant (σ, m), avec m = σ e mod n, pour σ Z n. Pluseurs schémas résstants aux falsfcatons ont été proposés. Nous ne cterons que quelques-uns d entre eux. En 1988, en adoptant une approche probablste, Goldwasser, Mcal et Yao ont proposé un schéma dont la sécurté repose sur la dffculté de factorser un module RSA et d nverser la foncton RSA (vor paragraphe pour une descrpton du problème RSA). Ce schéma est résstant aux falsfcatons exstentelles sous les attaques à messages connus. Cette constructon a été amélorée par Bellare, Goldwasser, Mcal et Rvest dans [75]. Naor et Yung [102] ont proposé une transformaton générque d un schéma de sgnature résstante aux falsfcatons exstentelles sous les attaques à messages choss. Cette constructon reste malgré tout neffcace ; elle repose sur l exstence de permutatons à sens unque. Nous ne rentrerons pas en détal dans la descrpton de ces constructons théorques, car nous ne les utlserons pas par la sute. Schéma Full Doman Hash Une autre approche, peut-être plus naturelle pour empêcher la falsfcaton, même s elle n est pas possble pour tous les schémas, est d utlser une foncton de hachage H à valeurs dans le domane spécfé par le schéma de sgnature. Cette technque, auss appelée hash then nvert permet de détrure la structure algébrque du schéma de sgnature. Pendant longtemps, les proprétés de la foncton de hachage requses pour garantr la sécurté n étaent pas toujours ben spécfées, ce qu aboutssat à des protocoles vulnérables. Elles se sont précsées grâce aux attaques, qu ont perms de détermner pas à pas les proprétés

20 14 Chaptre 1. Prmtves de chffrement requses par la foncton de hachage. Pour montrer la correcton et la sécurté des schémas dans le contexte de ce paradgme, on modélse souvent la foncton de hachage par un oracle aléatore, même s cette condton sur la foncton est très forte. Nous décrvons c-dessous le schéma Full Doman Hash dérvé de la sgnature RSA : S H( ) (sk, m) produt la sgnature S(sk, m) = y d mod n RSA du message m avec y = H(m). V(vpk, m, σ) calcule d abord y = H(m) et renvoe le résultat du test y? = σ e mod n. Dans l artcle [18], Bellare et Rogaway ont montré la sécurté du schéma précédent en proposant une réducton au problème RSA. En 2000, Coron [60] a proposé une améloraton du facteur de réducton. D autres approches apportent une réducton fne à ce même problème, le schéma probablste PSS (Probablstc Sgnature Scheme) de Bellare et Rogaway [18]. Ce schéma peut être vu comme sute logque pusqu l s nscrt dans la classe des schémas hash-then-nvert, excepté que le haché est randomsé avec un aléa fras pour chaque nouvelle sgnature. La cryptographe à base de couplages a contrbué à l élaboraton de schémas avec des preuves de sécurté dans le modèle standard. Cet outl se révèle être très commode pour la constructon de schémas de sgnatures : sa structure fournt un test de valdté publque mmédat pour le problème Dffe-Hellman décsonnel, que nous défnrons paragraphe Par exemple Boneh, Lynn, et Shacham ont construt dans [33] un schéma de sgnature pour lequel la sécurté est équvalente au problème Dffe-Hellman calculatore CDH (pour certanes courbes) (vor défnton du CDH paragraphe 1.2.2) dans le modèle de l oracle aléatore. En 2004, Boneh et Boyen [27] ont proposé un schéma de sgnature effcace à base de couplages dans le modèle standard. Nous revendrons sur les constructons basées sur les couplages dans le contexte du chffrement à la parte II. 1.2 Hypothèses calculatores À présent, nous défnssons les hypothèses calculatores utlsées pour la constructon de cryptosytèmes asymétrques. Pour certanes d entre elles, nous ferons quelques rappels mathématques qu permettront de sélectonner les nstances pour lesquelles les problèmes ntroduts sont dffcles Problèmes lés à la factorsaton Problème RSA Défnton 1 Nous défnssons l ensemble suvant : H λ déf = {n n = p q, où p et q premers de talle λ 2 bts}. Par la sute, nous parlerons de module RSA lorsque, étant donné un paramètre de sécurté λ, n H λ. Par la sute, nous supposerons la dffculté du problème de la factorsaton d un module n H λ. Pour n H λ, nous consdérons les deux fonctons suvantes : la foncton d Euler que l on note φ(n), où φ(n) = (p 1)(q 1), et la foncton de Carmchaël que l on note λ(n) qu à tout module n assoce le plus pett enter t tel que pour tout w Z n, w t = 1 mod n.

21 1.2- Hypothèses calculatores 15 On appelle générateur RSA, un algorthme probablste qu prend en entrée un paramètre de sécurté λ pus renvoe un enter n H λ et deux enters e, d tels que ed = 1 mod φ(n). Problème RSA : étant donnés un enter n H λ, un enter e et un élément y Z n, détermner l enter x Z n tel que y = x e mod n. Hypothèse : étant données des paramètres n, e renvoyés par un générateur RSA et un enter y Z n, résoudre le problème RSA est dffcle. Juste un pett mot sur la relaton entre le problème RSA et la factorsaton : l est évdent que s on sat résoudre la factorsaton, on sat résoudre le problème RSA. En revanche, l mplcaton nverse fat aujourd hu parte des controverses : même s en pratque on résout le problème RSA en factorsant le module, cette approche n est a pror pas la seule possble. Problème de la résduosté quadratque, RQ Le problème de la résduosté quadratque a été ntrodut en 1984 par Goldwasser et Mcal dans [73]. Avant de l ntrodure, fasons quelques petts rappels : Défnton 2 Pour tout y Z n, on note Q n (y) = 0 s l exste w Z n tel que y = w 2 mod n. On dt alors que y est un résdu quadratque modulo n. Snon, Q n (y) = 1, et dans ce cas, y n est pas un résdu quadratque modulo n. On consdère unquement les enters n H λ et y Z n tels que ( y ( n) = 1, où y n) est le déf symbole de Jacob de y modulo n. On note alors J n = {y Z n ( y n) = 1}. Problème de la résduosté quadratque : étant donnés un enter n H λ et un élément y J n, décder s Q n (y) = 0. Hypothèse : le problème de décder la résduosté quadratque est un problème dffcle. En revanche, s la factorsaton de n est connue, on peut calculer Q n (y). en temps O( n 3 ). Problème de la haute résduosté, RH Le problème de la haute résduosté a été ntrodute en 1999 par Paller [105] et a donné nassance à un schéma de chffrement que nous décrrons juste après. Défnton 3 Un élément z est un n ème résdu modulo n 2 s l exste un élément y Z n 2 tel que z = y n mod n 2. Problème de la haute résduosté : étant donnés un paramètre de sécurté λ, un enter n H λ et un élément y Z n, décder s y est un n 2 ème résdu modulo n 2. Hypothèse : s la factorsaton de n n est pas connue, décder la haute résduosté d un élément dans Z n est un problème dffcle Problèmes lés au logarthme dscret Sot KG LD un algorthme de génératon qu renvoe la descrpton d un groupe G d ordre un grand premer q et un générateur de ce groupe g ; on note cette descrpton g, q, G.

22 16 Chaptre 1. Prmtves de chffrement Problème du logarthme dscret, LD Problème du logarthme dscret, LD : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et un élément y G, détermner l enter relatf x < q tel que y = g x ; l enter x est appelé le logarthme dscret de y en base g. Hypothèse LD : étant donnés une descrpton g, q, G et un élément y aléatore dans G, détermner le logarthme dscret de y en base g est un problème dffcle. Problème Dffe-Hellman calculatore, CDH Problème Dffe-Hellman calculatore, CDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD, tros éléments u, v = u a, w = u b aléatores de G, calculer l élément h déf = u a b G. Hypothèse CDH : résoudre le problème Dffe-Hellman est un problème dffcle. On dt que h est le Dffe-Hellman de v et w en base u et on écrt h = CDH G,u (v, w). Lorsque le groupe et la base sont précsés sans ambguïté par le contexte, nous noterons smplement h = CDH(v, w). Nous défnssons également le langage des quadruplets 3 Dffe-Hellman de la manère suvante : déf L DHG = {(u, v, w, h) h = CDH G,u (v, w)}. La verson décsonnelle du problème précédent peut également être dffcle, nous la défnssons c-dessous. Problème Dffe-Hellman décsonnel, DDH Problème Dffe-Hellman décsonnel, DDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et quatre éléments u, v = u a, w = u b, h aléatores de G, décder s h est le Dffe-Hellman de v et w en base u, c.à.d. s (u, v, w, h) L DHG. Hypothèse DDH : étant donnés une descrpton g, q, G renvoyée par l algorthme KG LD et quatre éléments u, v = u a, w = u b, h aléatores de G, décder le problème Dffe-Hellman est un problème dffcle. 1.3 Schémas de chffrement homomorphes Dans cette parte, nous nous ntéressons aux cryptosystèmes homomorphes, qu sont très souvent utlsés lorsqu l s agt d effectuer des opératons sur des données chffrées tout en préservant leur confdentalté. Sot Enc déf = Setup, KeyGen, Encrypt, Decrypt un schéma de chffrement. On suppose c que la foncton Setup est la foncton dentté. Soent et des los de groupe dans R et M respectvement, où R est un espace de probablté et M est l ensemble des messages. Défnton 4 On dt que Encrypt est une foncton de chffrement homomorphe s l exste un morphsme de groupes F pk qu, étant donnés deux chffrés des messages m 1 et m 2 dans M, renvoe le chffré de m 1 m 2. Plus formellement, la foncton F pk est défne de la manère suvante : F pk : C C C et défne par : F pk (Encrypt(m 1 ; r 1 ), Encrypt(m 2 ; r 2 )) = Encrypt(m 1 m 2 ; r 1 r 2 ). 3 lorsque le base est sans ambguïté, on parlera de trplets.

23 1.3- Schémas de chffrement homomorphes 17 Cryptosystème de Goldwasser-Mcal L algorthme KeyGen prend en entrée un paramètre de sécurté λ et renvoe n H λ et g Z n tel que Q n (g) = 1 et ( g n) = 1. On défnt pk = (n, g) et sk = (p, q). Pour smplfer, on présente la foncton de chffrement pour M = Z 2, défne de la manère suvante : Encrypt : Z 2 R Z n avec Encrypt(m; r) = g m r 2 mod n et pk = (n, g). La foncton Encrypt possède les proprétés suvantes : tout d abord pour m et m deux éléments de Z 2 et r, r R Z n, on a : Encrypt(m; r) Encrypt(m ; r ) = Encrypt(m m mod 2; r r mod n) mod n de plus, Encrypt(m; r) c = Encrypt(m c mod 2; r c mod n) mod n. L algorthme Decrypt prend en entrée la clé secrète sk = (p, q) et calcule Q n (c) : s c est un résdu quadratque alors m = 0 ; snon m vaut 1. Cryptosystème de Paller Ce cryptosystème a été ntrodut par Pascal Paller en 1999 dans [105]. Ce schéma de chffrement est sémantquement sûr contre les attaques à messages choss sous l hypothèse de la haute résduosté. Pour le déchffrement, nous défnssons l ensemble S n et la foncton L : S n déf = {u < n 2 u = 1 mod n} et pour u S n, L(u) déf = u 1 n mod n 2. L algorthme KeyGen prend en entrée un paramètre de sécurté λ et renvoe n H λ et g un élément non nul de Z n d ordre un multple non nul de n ; on prend g = 1 + n. On 2 défnt pk = (n, g) et sk = (p, q). Pour chffrer un message m Z n, on chost r R Z n et on calcule : Encrypt(m, r) = g m r n mod n 2 La foncton Encrypt est homomorphe pusque : pour m et m deux messages de Z n et r, r des éléments aléatores de Z n, on a : Encrypt(m; r) Encrypt(m ; r )) = Encrypt(m + m mod n; r r mod n) mod n 2 de plus : Encrypt(m, r) c = Encrypt(c m mod n; r c mod n) mod n 2 Défnton 5 Sot n H λ et g = 1 + n. Pour w Z n 2, on appelle la n ème classe de résduosté de w en base g, l unque m Z n pour lequel l exste r Z n tels que E g (m, r) = w. On note w g cette classe.

24 18 Chaptre 1. Prmtves de chffrement KeyGen(λ) : renvoe un module RSA n, retourner pk = (n, g déf = (1 + n)) et sk = (p, q) ; Encrypt(pk, m) : pour chffrer m Z n : chosr r R Z n ; calculer Encrypt(m, r) = g m r n mod n 2 ; Decrypt(sk, c) : vérfer que c < n 2 snon retourner ; calculer λ déf = λ(n) et C = L(c λ mod n 2 ) ; retourner m = C g λ mod n 2 mod n Fg. 1.1 Cryptosystème de Paller Pour déchffrer c, on cherche la classe c g de c en base 1 + n. Pour tout c Z n 2, on a L(c λ mod n 2 ) = λc g mod n ; La preuve de ce résultat est dans l artcle de Paller [105]. Pour déchffrer un chffré c, on calcule donc : On applque la foncton L et on obtent : c λ = (1 + n) mλ r nλ = (1 + n) mλ = 1 + mλn mod n 2. L(c λ mod n 2 ) = L(1 + mλn) = λm, où m = c g. On donne une descrpton du cryptosystème fgure 1.1. Cryptosystème de Damgard-Jürk La constructon que nous allons présenter a été ntrodute par Damgard-Jurk [63] peu après l ntroducton du cryptosystème précédent. Il s agt d une généralsaton du schéma de Paller par laquelle on peut chffrer des messages de longueur quelconque, sans modfer les paramètres publcs de départ, et avec la même clé prvée de déchffrement. De plus, la sécurté sémantque de ce cryptosystème repose sur la même hypothèse calculatore que celle posée c-dessus. On chost toujours les mêmes notatons et défntons pour le module n. En généralsant ce qu précède, on a : Z n s Z n Z n (la preuve de ce résultat peut s+1 être trouvée dans l artcle [63]). Le cas s = 1 correspond au cryptosystème de Paller. Sot s un enter fxé tel que s < p, q. On prend toujours g = 1 + n. On consdère la foncton de chffrement Encrypt : Z n s Z n Z n défne par : s+1 Encrypt(m, r) = g m r ns mod n s+1, avec m Z n s et r R Z n Cette foncton vérfe les proprétés suvantes : pour tout m, m Z n s et pour tout r, r R Z n, on a : Encrypt(m; r) Encrypt(m; r ) = Encrypt(m + m mod n s ; r r mod n), où est une opératon multplcatve dans Z n et + est une opératon addtve dans Z n s ;

25 1.3- Schémas de chffrement homomorphes 19 pour tout enter c φ(n 2 ), on a : Encrypt(m, r) c = Encrypt(m c mod n s ; r c mod n) mod n 2. Déchffrement : pour tout chffré c, on a alors c = (1 + n) m r ns mod n s+1. Sot d un multple de λ(n) non nul. On a : c d = (1 + n) m d (r ns ) d mod n s+1 = (1 + n) m d r ns d mod n s+1 = (1 + n) m d mod n s+1 Pour déchffrer m, l s agt donc de trouver le logarthme dscret de c en base 1 + n dans Z n s. On a vu que (1 + n) m = 1 + nm mod n 2. Nous donnons c-dessous les étapes de l algorthme de déchffrement : L((1 + n) mod n s+1 ) = ( + ( ) n ( ) n s 1 ) mod n s s Il s agt d extrare pas à pas les résdus modulo les pussances successves de n. Pour cela, on défnt : 1 = mod n 2 = mod n 2. j = mod n j On sat déjà extrare 1 grâce au déchffrement de Paller. À une étape donnée, on suppose avor j et l s agt de trouver j+1. On applque la foncton L et on obtent : j = j 1 + k n j 1, pour 0 k < n. L((1 + n) mod n j+1 ) = j + Pour j > t > 0, on a, ( ) j n ( ) j n t = t + 1 ( ) j n j 1 j ( ) j 1 n t t + 1 mod n j mod n j En réécrvant j à l ade de l équaton de la deuxème équaton précédente, on a : ( ) j n t = t + 1 ( j 1 + k n j 1 t + 1 ) n t mod n j Les termes k n j 1 multplé par une pussance non nul de n s annulent modulo n j. Ce qu permet d aboutr à l équaton suvante : ( ) ( ) L((1 + n) mod n j+1 ) = ( j 1 + k n j 1 j 1 j 1 + n + + n j 1 ) mod n j 2 j

26 20 Chaptre 1. Prmtves de chffrement Setup(λ) : génère params KG LD ; retourner params = g, q, G ; KeyGen(params) : retourne pk = (params, y = g x ) et sk = (x) où x R Z q ; Encrypt(pk, m) : pour chffrer un message m G ; calculer c = (c 0, c 1 ) = (g r, y r m) pour r R Z q ; Decrypt(sk, c) : s c G 2, décomposer c en (c 0, c 1 ) et retourner m = c 1 /c x 0 ; snon retourner un symbole d erreur Fg. 1.2 Cryptosystème ElGamal En combnant les équatons et (4), on obtent l équaton fnale qu permet de récupérer j : ( ) ( ) j = L((1 + n) mod n j+1 j 1 j 1 ) ( j 1 + n + + n j 1 ) mod n j 2 j S on connaît les j pour toute valeur de j, on peut calculer m tel que = m d mod n s en calculant d 1 mod n s, pusque m d d 1 = m mod n s. Cryptosystème ElGamal Le cryptosystème ElGamal a été ntrodut en 1985 dans l artcle [65]. On donne une descrpton du schéma de chffrement fgure 1.2. La foncton de chffrement est à sens unque sous l hypothèse Dffe-Hellman calculatore et la sécurté sémantque de ce schéma repose sur le problème décsonnel assocé. On remarque que ce schéma de chffrement est homomorphe, pusque : m, m M Encrypt(m; r) Encrypt(m ; r ) = Encrypt(m m; r + r mod q) Un pont mportant pour ce schéma est que le message dot être encodé par un élément du groupe. Il est donc nécessare de défnr une foncton bjectve d encodage encode à valeurs dans le groupe G nversble de manère effcace. Le plus souvent cet encodage est assez coûteux et possède deux autres nconvénents majeurs : l détrut les proprétés homomorphques du schéma et est ncompatble avec le chox de paramètres permettant l optmsaton des calculs. Une approche subsdare de ce problème d encodage consste à défnr une varante du schéma avec un foncton de hachage masquant le message, mas la preuve de sécurté nécesste la modélsaton de cette foncton par un oracle aléatore. 1.4 Applcaton aux réseaux de mélangeurs Le concept de réseaux de mélangeurs (ou mx-networks en anglas) a été nventé par Davd Chaum [50] dans les années 1980 pour l anonymat dans les systèmes de votes électronques. Sa structure est très commode pour construre des systèmes de votes, car l

27 1.4- Applcaton aux réseaux de mélangeurs 21 permet d obtenr drectement les proprétés de vérfablté et de consstance ndspensable à ces derners : la premère proprété sgnfe que chaque votant peut vérfer que son vote a été prs en compte ou déléguer cette capacté de vérfcaton, elle permet également de s assurer que tout le monde peut vérfer le résultat de l électon ; la seconde proprété sgnfe qu l n exste pas de sous-ensemble de partcpants capable d nterrompre le bon déroulement du processus. Dans cette parte, nous décrvons les deux types de protocoles mx-networks rencontrés : les réseaux de mélangeurs avec déchffrement et les réseaux de mélangeurs avec rechffrement. Nous donnons un exemple pour cette dernère catégore, dont nous reparlerons un peu plus lon, au chaptre Réseaux avec déchffrement La structure globale consste en une phase de chffrement et une phase de concaténaton de pluseurs mx de déchffrés partels. Plus exactement, on consdère k mélangeurs (ou mxnets), notés Mx pour = 1,, k, chacun possédant une pare de clés publque et secrète (PK, SK ). La phase ntale de chffrement consste à chffrer successvement chacun des l votes B j pour j = 1,, l avec les clés PK 1,, PK k. Chacun des mélangeurs Mx reçot l chffrés partels de la forme C j = E (E 1 E 1 (B j )). Le mélangeur Mx déchffre et applque une permutaton secrète aux éléments C j = E 1 (E 2 E 1 (B j ))) qu l envoe au mélangeur suvant Mx 1. Afn de garantr la proprété de vérfablté, chaque mélangeur produt une preuve qu l renvoe les permutés des l déchffrés. On remarque que quelques précautons dovent être prses : pour préserver l anonymat de la source, les chffrés dovent tous avor la même talle ; afn de garantr que le derner mélangeur renvoe la réponse correcte, sa clé secrète peut être partagée entre pluseurs serveurs ; afn d empêcher toute attaque qu exploterat la malléablté entre les bulletns chffrés, les votes chffrés ne sont publés qu après que tous les partcpants ont voté. Dans ce cas, on peut se contenter de la sécurté sémantque qu est garante s au mons un des mélangeurs permute ben les bulletns chffrés Réseaux avec rechffrement Le rôle d un réseau de mélangeurs avec rechffrement 4 est seulement de mélanger l entrée. Cependant, on ne peut pas se contenter de brouller l entrée car l ensemble des chffrés assocé à un message reste alors nchangé, et on peut dans ce cas retrouver la source assocée à un chffré. On ajoute donc une étape qu se charge de randomser une nouvelle fos les chffrés. Chacun des mélangeurs Mx 1,, Mx k applque une permutaton secrète et rechffre le résultat. On décrt c-dessous l un des schémas de rechffrement qu est couramment utlsé, le schéma ElGamal ; nous aborderons plus en détal la constructon de ces schémas un peu plus lon, à la parte II secton 5.2. Exemple : rechffrer avec ElGamal Nous avons décrt le cryptosystème ElGamal fgure 1.2. Supposons que nous sommes en possesson d un chffré c = (c 0, c 1 ) = (g r, y r m). Pour rechffrer c en c, on chost s R Z q, 4 Nous consdérons pour le moment que les termes rechffrement/rerandomsaton, rechffré/rerandomsé, rechffrer/rerandomser sont équvalents.

28 22 Chaptre 1. Prmtves de chffrement et on défnt c = (c 0, c 1 ) = (c 0 g s, c 1 y s ) qu est un élément aléatore dans l ensemble des chffrés assocés au message m. Réseaux avec rechffrement ElGamal : 1. Intalsaton : étant donnée la clé publque pk, cette premère phase, ndcée k consste à chffrer les bulletns de vote B j pour j = 1,, l, pus à envoyer les chffrés notés c j,k obtenus ; 2. la ème étape consste à applquer une permutaton sur l entrée et à rechffrer les bulletns chffrés c j,+1, pour j = 1,, l ; 3. l étape fnale consste à déchffrer les l chffrés c j,2 (la clé secrète est dstrbuée entre pluseurs serveurs). Vérfablté et consstance Chaque mélangeur dot fournr une preuve qu l exste ben une permutaton telle que la sorte c j, est le rechffré de l entrée permutée c π(j),. Pour le schéma de rechffrement ElGamal, s c = (c 0, c 1 ) = (g r, y r m) et c = (c 0, c 1 ) = (gs, y s m ) sont deux chffrés, alors, les deux condtons suvantes sont équvalentes : 1. c est le rechffré de c ; ( ) ( ) 2. g, y, c 0 c 0, c 1 c 1 = g, y, g s r, m m ys r est un t-uplet DDH. Nous rappelons que le langage L DHG est défn par L DHG déf = {(g, y, c, c ) log g c = log y c } ; on a alors : L DHG = {(g, y, c, c ) s Z q c = g s et c = y s )} Le protocole de Chaum et Pederson [53] permet à un prouveur P de montrer l appartenance d un quadruplet au langage L DHG sans lasser fur d nformaton sur l exposant s. Dans le prochan chaptre, nous précsons les proprétés que dot vérfer ce type de système de preuve. Pour l nstant, nous donnons seulement les nteractons entre le prouveur P et le vérfeur V : P s R Z q t déf = s + cr, r R Z q 1 Message 1 P, ((c 0, c 1 ) = (g s, y s ) Message 2 1 A V, c Message 3 1 A P, t A V c R Z q s g t = c 0 u c et y t = c 1 v c accepte snon rejette Fg. 1.3 Preuve d appartenance au langage L DHG nulle de connassance contre un vérfeur honnête). de Chaum-Pederson (à dvulgaton

29 Chaptre 2 Protocoles nteractfs pour l anonymat Dans ce chaptre, l nteracton est à l honneur ; nous présentons les protocoles nteractfs que nous utlserons par la sute : les preuves nteractves et le concept de transfert transparent. Les preuves nteractves sont un ngrédent majeur dans la constructon de nombreux protocoles cryptographques. Même s le concept a été ntrodut en 1989, leur pussance ne cesse d être apprécée. Le concept de transfert transparent, quant à lu, pose une problématque ancenne et plutôt smple mas sa résoluton suscte encore aujourd hu de nombreuses questons ouvertes. Commençons par rappeler le prncpe général de ces deux concepts, avant de montrer comment elles peuvent être utlsées pour le chffrement de groupe au chaptre 5 et l authentfcaton anonyme au chaptre 8. Sommare 2.1 Preuves nteractves Schéma de Mse en gage Preuves nteractves d appartenance à un langage Preuves de connassance Transfert nconscent, OT Prvate Informaton Retreval, PIR Preuves nteractves Schéma de Mse en gage Un protocole de Mse en gage permet à un émetteur et son nterlocuteur d échanger des messages en s engageant sur une valeur sans la révéler de telle sorte à ce que cet engagement ne sot plus modfable a posteror. La donnée d une trappe permet à un nterlocuteur de retrouver la valeur sur laquelle l émetteur s est engagée. Plus formellement : Défnton 6 Un schéma de Mse en gage est détermné par la donnée de tros algorthmes Z c, C, T, chacun défn de la manère suvante : Z c prend en entrée un paramètre de sécurté λ. Cet algorthme retourne des paramètres publcs cpk ; C prend en entrée un message et les paramètres cpk. Cet algorthme renvoe un engagement sur le message m, noté C et une nformaton supplémentare d ouverture, notée ρ ; 23