Cryptographie à clé publique : Constructions et preuves de sécurité

Transcription

1 Université Paris VII Denis Diderot UFR Algorithmique École Normale Supérieure, Paris Équipe de cryptographie Cryptographie à clé publique : Constructions et preuves de sécurité THÈSE présentée et soutenue publiquement le 16 Novembre 2006, à l École normale supérieure, Paris pour l obtention du Doctorat de l Université Paris VII Denis Diderot (Spécialité informatique) par Benoît Chevallier-Mames Composition du jury: Directeur : Dr. David Pointcheval (École normale supérieure & CNRS) Rapporteurs : Dr. Marc Girault (France Télécom R&D) Prof. David Naccache (Université de Paris II Panthéon - Assas) Examinateurs : Prof. Arnaud Durand Dr. Marc Joye Prof. Adi Shamir Prof. Jacques Stern (Université de Paris VII Denis Diderot) (Thomson R&D) (Weizmann Institute of Science, Israël) (École normale supérieure) Thèse effectuée au sein du Security Technology Department, Gemplus/Gemalto, La Ciotat

2

3 Remerciements Trois ans. Cela fait bientôt trois ans que j ai commencé cette thèse, et pratiquement depuis le début, j ai eu envie d en écrire la partie Remerciements. Pas seulement parce que c est la partie finale, la dernière touche que quelqu un apporte à une thèse, mais plutôt pour remercier comme il se doit les gens qui m ont aidé, soutenu et encouragé durant tout ce temps, et sans qui je ne serais pas là aujourd hui. Voila enfin venu le temps de pouvoir leur dire publiquement merci. Durant cette thèse, je considère que j ai eu la chance d avoir trois Pygmalion : mon directeur de thèse, David Pointcheval ; mon correspondant scientifique, c est-à-dire mon encadrant à Gemplus/Gemalto, Marc Joye ; et enfin, mon collègue Pascal Paillier. En plus d être devenus, je le crois, des amis, David, Marc et Pascal ont toujours été pour moi d intarissables sources d idées et des exemples à suivre. Ils m ont donné des directions de recherche et appris à rédiger les articles. Enfin, tâche ô combien importante et difficile, ils ont relu, annoté et corrigé cette thèse. Bref, ils ont participé à faire de moi le chercheur que je suis aujourd hui. Ici, je leur dis encore une fois merci pour tout. J ai eu la chance d effectuer ma thèse dans le laboratoire de l École normale supérieure, tout en travaillant à Gemplus/Gemalto. Merci David d avoir accepté d être mon directeur de thèse dans ces conditions, en me laissant une grande liberté dans mon organisation et dans mes travaux. Je voudrais également remercier ici tous les membres de l équipe Cryptographie de l École normale supérieure de m avoir si bien accueilli. Je voudrais aussi remercier chaleureusement toutes les personnes de Gemplus/Gemalto qui m ont permis de faire cette thèse. Ceci s adresse particulièrement à ceux qui ont été mes chefs d équipe durant ces années : Nathalie Feyt, Jean-François Dhem, Mathieu Ciet, Philippe Proust et David Naccache. J adresse des remerciements spéciaux à ce dernier, pour avoir encouragé durant sa carrière à Gemplus, la recherche dans l entreprise, et le démarrage de thèses d un grand nombre de personnes de son groupe, dont moi-même. J adresse également mes remerciements aux membres passés et présents de l équipe Sécurité de Gemplus/Gemalto avec qui j ai eu le plaisir de travailler. Je ne pourrais tous les citer, mais toutes les personnes de ce groupe m ont apporté quelque chose, et je les en remercie. Merci enfin à l entreprise Gemplus/Gemalto, qui m a permis d aller durant mes années de thèse à de nombreuses conférences (Ches 03, Ct-rsa 04, Crypto 05, Eurocrypt 05, Acns 05, Pkc 06 et Eurocrypt 06). Je voudrais également remercier Arnaud Durand, Marc Girault, Marc Joye, David Naccache, Adi Shamir et Jacques Stern pour m avoir fait l honneur d être membres du jury. C est un privilège d avoir de telles personnalités comme examinateurs. Un remerciement tout particulier va vers mes rapporteurs, Marc Girault et David Naccache, qui ont eu la patience de relire cette thèse et de la corriger. Un des plaisirs de la recherche est de travailler à plusieurs. J ai eu moi-même la chance de co-écrire certains papiers. Je remercie ici mes co-auteurs pour ce qu ils m ont apporté et appris, et pour avoir accepté ces collaborations : Nuttapong Attrapadung, Éric Brier, Mathieu Ciet, Christophe Clavier, Jun Furukawa, Takeshi Gomi, Goichiro Hanaoka, Hideki Imai, Marc Joye, David Naccache, Pascal Paillier, Duong Hieu Phan, David Pointcheval et Rui Zhang. Durant ma thèse, j ai également eu la chance d être membre du comité de programme de grandes conférences : merci à Marc Joye de m avoir permis d être membre du comité de i

4 Ches 04, merci à Raphael Chung-Wei Phan de m avoir choisi pour être membre du comité de Ish 05 et enfin merci à David Pointcheval qui m a donné l opportunité d être membre du comité de Ct-rsa 06. Être membre de ces comités m a permis d avoir une autre vision de la recherche, et m a beaucoup apporté. J en profite d ailleurs pour remercier les nombreux relecteurs qui m ont aidé dans ces tâches. Durant ma thèse, j ai pu participé à certains projets européens ou français. Ils m ont permis de rencontrer d autres chercheurs et de financer certains déplacements. Je remercie donc le réseau européen d excellence Ecrypt, le projet français Crypto ++ et le projet français Saphir. Enfin, je réserve ici une place pour ceux que je n ai pu mettre dans une autre catégorie : merci à Denis Roegel pour sa classe LATEX ; merci à Damien Vergnaud de m avoir invité à faire une présentation au séminaire de Cryptographie de l Université de Caen ; merci à Jean-Sébastien Coron pour les conseils et l aide qu il m a apportés ; merci à l École des Mines de Gardanne de m avoir permis de donner des cours de Cryptographie ; merci aux membres de Dream Theater pour la musique qu ils font et que j adore. Je ne saurais finir cette partie sans remercier également mes amis et ma famille. Merci à ma sœur Gaëlle, mon frère Thibault, merci à mes parents François et Christine de m avoir permis de faire des études et encouragé à travailler à l école. Toutes mes pensées à ceux et celles qui ont jalonné ma vie, aux élèves du Lycée Victor Hugo, de la prépa Camille Guérin, à mes amis de promotion de Supélec, et notamment au fabuleux d3. Enfin, je voudrais terminer cette partie par un remerciement général à tous ceux qui ont été mes professeurs depuis mon plus jeune âge, et ont ainsi été participants de la thèse que je vais présenter ici. ii

5 À ceux que j aime. iii

6 iv

7 Sganarelle : Mais encore faut-il croire quelque chose dans le monde : qu est ce donc que vous croyez? Dom Juan : Ce que je crois? Sganarelle : Oui. Dom Juan : Je crois que deux et deux font quatre, Sganarelle, et que quatre et quatre font huit. Dom Juan ou le festin de pierre, Molière v

8 vi

9 Table des matières Notations xv Partie I. Introduction générale Chapitre 1. Introduction à la cryptologie 1.1 La cryptologie en quelques mots Science du secret Cryptographie, cryptanalyse Cryptographie symétrique et cryptographie asymétrique Buts de la cryptologie Confidentialité Intégrité Identification Authentification Fonctions de base en cryptologie Fonction à sens unique Fonction de hachage Fonction pseudo-aléatoire Permutation à sens unique Fonction bilinéaire admissible Famille de fonctions Fonction de padding Notions de complexité Algorithme Algorithme polynomial ou sous-exponentiel Complexité d un algorithme vii

10 Table des matières Réduction d un problème à un autre Conclusion Chapitre 2. Sécurité prouvée et cryptologie 2.1 Réduction de sécurité et sécurité prouvée Réduction de sécurité et sécurité prouvée Finesses des réductions de sécurité Modèle de sécurité Modèle standard, modèle de l oracle aléatoire Problèmes cryptographiques difficiles Problèmes cryptographiques difficiles basés sur la factorisation Problèmes cryptographiques difficiles basés sur le logarithme discret Problèmes cryptographiques difficiles avec fonction bilinéaire Conclusion Chapitre 3. Résumé de nos travaux Partie II. Schéma de signature à sécurité prouvée Chapitre 4. Introduction aux schémas de signature 4.1 Introduction Schémas de signature Protocole d identification à divulgation nulle de connaissance Σ-protocole Heuristique de Fiat-Shamir Signatures à coupons Sécurité des schémas de signature Notions de sécurité pour les schémas de signature Σ-protocoles et lemme de bifurcation Exemple de la sécurité de la primitive RSA Schémas de signature classiques avec oracles aléatoires Signature RSA Signature Schnorr viii

11 4.4.3 Signature GQ Signature GPS Signature PS Preuves classiques de schémas de signature Preuve de RSA-FDH dans le modèle de l oracle aléatoire Preuve de Schnorr dans le modèle de l oracle aléatoire Nos travaux sur les schémas de signature Chapitre 5. Une heuristique pour dériver des schémas de signature à réduction fine 5.1 Méthode générique proposée Notre construction Sécurité de cette construction Un exemple concret d application de notre heuristique Un schéma de signature à coupon, basé sur le RSA et à réduction fine Sécurité de notre exemple Comparaison de notre schéma avec RSA-PSS Extensions à d autres problèmes cryptographiques Conclusion Chapitre 6. Un schéma de signature efficace basé sur le CDH 6.1 Le schéma de signature EDL Présentation du schéma Sécurité du schéma EDL Caractéristiques du schéma de signature EDL Les schémas de signature de Katz-Wang Présentation du schéma KW-CDH Sécurité du schéma KW-CDH Présentation du schéma KW-DDH Sécurité du schéma KW-DDH Un nouveau schéma de signature Une étape de notre construction Description de notre schéma Preuve de sécurité de notre schéma Utilisation de coupons dans notre schéma Taille des paramètres ix

12 Table des matières Comparaison de notre schéma avec EDL, KW-CDH et autres schémas Derniers raffinements À propos du test d appartenance de z à G Conclusion Chapitre 7. Un schéma de signature dans le modèle standard 7.1 Schéma de signature dans le modèle standard Introduction Sécurité prouvée et modèle standard Survol des schémas de signature basés sur FlexibleRSA Schéma de signature Gennaro-Halevi-Rabin Schéma des signatures jumelles GHR Schéma de signature Cramer-Shoup Schéma de signature Camenisch-Lysyanskaya Schéma de signature Fischlin Un nouveau schéma de signature dans le modèle standard Description Analyse de sécurité Comparaison avec les autres schémas Version en-ligne/hors-ligne Conclusion Partie III. Schéma de chiffrement à sécurité prouvée Chapitre 8. Introduction aux schémas de chiffrement 8.1 Chiffrement à clé publique Définition Notions de sécurité pour le chiffrement à clé publique Quelques cryptosystèmes classiques Cryptosystème RSA Cryptosystème ElGamal Cryptosystème Paillier Chiffrement basé sur l identité Définition x

13 8.3.2 Notions de sécurité pour le chiffrement basé sur l identité Cryptosystème Boneh-Franklin Nos travaux sur les schémas de chiffrement Chapitre 9. Chiffrement ElGamal sans encodage dans le modèle standard 9.1 Le cryptosystème ElGamal Description du cryptosystème ElGamal Le cryptosystème ElGamal avec fonction de hachage Chiffrement ElGamal sans encodage dans le modèle standard La fonction Classe Problèmes de classe Diffie-Hellman Chiffrement additif sans encodage Chiffrement multiplicatif sans encodage Propriétés de nos schémas de chiffrement Preuve de sécurité de nos schémas Généralisation à Z p k Conclusion et problèmes ouverts Chapitre 10. Cryptographie basée sur l identité avec réduction fine 10.1 Deux schémas classiques de chiffrement basés sur l identité Schéma de Boneh-Franklin Schéma de Katz-Wang Preuve fine pour un schéma basé sur l identité Description du schéma Étude de la sécurité de ce schéma Réduction aux problèmes classiques DBDH et GBDH Comparaison des schémas Conclusion Chapitre 11. Padding universel optimal 11.1 Notions préliminaires Redondance et entropie Fonction de padding universel Signature et chiffrement xi

14 Table des matières Permutations sans griffe Fonction de padding basée sur une permutation : OPbP Description Analyse de sécurité Taille des paramètres et optimalité Construction basée sur OAEP Description Analyse de sécurité Taille des paramètres Conclusion Partie IV. Résistance aux attaques à canaux cachés Chapitre 12. L atomicité : une solution générique et peu coûteuse contre la SPA 12.1 Introduction Atomicité face aux attaques à canaux cachés Blocs atomiques Illustration Méthodologie générale Atomicité et exponentiations Hypothèses de nos constructions Algorithmes génériques d exponentiation à fenêtre glissante Algorithmes simplifiés Atomicité et courbes elliptiques Courbes elliptiques définies sur un corps premier Courbes elliptiques définies sur un corps binaire Version atomique de l exponentiation MIST Conclusion Chapitre 13. Exponentiation intrinsèquement protégée contre la DPA 13.1 Exponentiation intrinsèquement aléatoire Algorithmes classiques d exponentiation Principe général Algorithmes basiques xii

15 Premier algorithme Second algorithme Algorithmes avancés Atomicité face aux attaques simples à canaux cachés Réversibilité Optimisations supplémentaires Temps moyen Conclusion Conclusion générale Bibliographie 157 Index 169 xiii

16 Table des matières xiv

17 Notations p, q Des nombres premiers n Un nombre composite (et typiquement un module RSA) N L ensemble des entiers strictement positifs QR n L ensemble des résidus quadratiques modulo n G, G p Des groupes g Le groupe engendré par g F p Un corps premier Z n L anneau des entiers modulo n Z n Le groupe multiplicatif de l anneau des entiers modulo n G Le nombre d éléments d un ensemble fini G L F, L G, L H Des listes x R X L élément x est tiré aléatoirement dans l ensemble X S Z E IBE Schéma sk pk params ID Un schéma de signature Un protocole d identification Un schéma de chiffrement Un schéma de chiffrement basé sur l identité Le nom d un schéma, le plus souvent d après le nom de ses inventeurs Une clé privée Une clé publique Des paramètres d un système Une identité O f(x) = O(g(x)) si (k, x 0 ), x > x 0, f(x) k g(x) e : G 1 G 2 G T Une fonction bilinéaire admissible F, G, H Des fonctions de hachage Ψ, ς Une fonction pseudo-aléatoire Ψ utilisant une clé ς [ ], [ ] k Des fonctions Classe DL g (y) Le logarithme de y en base g L opérateur ou-exclusif x, y Le nombre retrouvé par la combinaison par théorème des restes chinois de x et y φ La fonction indicatrice d Euler λ La fonction de Carmichael Φ pk, ψ sk Une permutation à sens unique à trappe Φ pk, dont l inverse est ψ sk xv

18 A, B Un attaquant, une réduction, un algorithme Succ Le succès d un attaquant, d une réduction Adv L avantage d un attaquant, d une réduction UBK, UF, EUF, seuf Des notions de sécurité pour les schémas de signature KOA, KMA, CMA Des ressources pour les attaquants des schémas de signature UBK, OW, IND, NM Des notions de sécurité pour les schémas de chiffrement CPA, CCA Des ressources pour les attaquants des schémas de chiffrement q s q h, q F, q G, q H q d q e Le nombre de requêtes autorisées à un oracle de signature Le nombre de requêtes autorisées à un oracle de hachage Le nombre de requêtes autorisées à un oracle de déchiffrement Le nombre de requêtes autorisées à un oracle d extraction de clé P 1 P 2 P 1 se réduit à P2, c est-à-dire que résoudre P 2 permet de résoudre P 1 P 1 P 2 P 1 et P 2 sont équivalents poly (l) Un polynôme en l DL DL x DL n CDH DDH CCDH DCDH CBDH, BDH GBDH DBDH LBDH RSA FlexibleRSA FACT Div Personne SPA DPA Le problème du logarithme discret Le problème du logarithme discret dans un groupe d ordre secret Le problème du logarithme discret modulo un module RSA n Le problème calculatoire Diffie-Hellman Le problème décisionnel Diffie-Hellman Le problème calculatoire de la Classe Diffie-Hellman Le problème décisionnel de la Classe Diffie-Hellman Le problème calculatoire Diffie-Hellman bilinéaire Le problème échelon Diffie-Hellman bilinéaire Le problème décisionnel Diffie-Hellman bilinéaire Le problème calculatoire Diffie-Hellman bilinéaire par liste Le problème de la racine e-ième Le problème souple de la racine e-ième Le problème de la factorisation de module RSA Le problème de casser l indivisibilité d une fonction de hachage Le nom d une personne Une attaque simple par canaux cachés Une attaque différentielle par canaux cachés xvi

19 Première partie Introduction générale 1

20

21 Chapitre 1 Introduction à la cryptologie Sommaire 1.1 La cryptologie en quelques mots Science du secret Cryptographie, cryptanalyse Cryptographie symétrique et cryptographie asymétrique Buts de la cryptologie Confidentialité Intégrité Identification Authentification Fonctions de base en cryptologie Fonction à sens unique Fonction de hachage Fonction pseudo-aléatoire Permutation à sens unique Fonction bilinéaire admissible Famille de fonctions Fonction de padding Notions de complexité Algorithme Algorithme polynomial ou sous-exponentiel Complexité d un algorithme Réduction d un problème à un autre Conclusion Ce chapitre constitue une très courte introduction à la cryptologie. Il n est pas un cours sur le sujet, mais doit plutôt être vu comme un rapide survol de la cryptologie, et comme le moyen de poser certaines notations utilisées dans le reste de cette thèse. 1.1 La cryptologie en quelques mots Science du secret La cryptologie est étymologiquement la science du secret. Ceci regroupe en fait de nombreuses notions. Historiquement, la cryptologie a servi à sécuriser certaines transmissions militaires, c est-à-dire à chiffrer des messages. Plus récemment, et notamment depuis l avènement de l ère 3

22 Chapitre 1. Introduction à la cryptologie numérique, la cryptologie a connu d autres usages, comme celui de la signature numérique ou de l identification des personnes. De façon la plus simplifiée possible, la cryptologie consiste en la manipulation de données variables, les messages et les identités, par des données constantes secrètes ou publiques, les clés, au travers d algorithmes, les schémas cryptographiques Cryptographie, cryptanalyse La cryptologie regroupe deux sciences duales et étroitement liées : la cryptographie, qui est la science de la construction de schémas cryptographiques, et la cryptanalyse, qui est la science de l étude des attaques sur ces schémas. Comme nous pouvons l imaginer, ces deux sciences ne vont pas l une sans l autre, et parfois, la frontière entre elles est ténue. Ainsi, par exemple, concevoir un schéma résistant à tel ou tel type d attaque, est-ce faire de la cryptographie ou de la cryptanalyse? Cryptographie symétrique et cryptographie asymétrique Les schémas cryptographiques sont de nos jours de deux types. Le premier type est celui qui existe depuis le début de la cryptographie, dès les temps antiques. Dans cette famille de schémas, deux entités partagent une même clé, secrète pour les autres utilisateurs, et peuvent ainsi opérer des opérations symétriques chacune de leur coté, d où le nom de cryptographie à clé secrète ou cryptographie symétrique. Le second type de schémas cryptographiques est très récent, et a inauguré ce qui est parfois appelé l ère moderne de la cryptographie. Cette forme de cryptographie a été introduite par Whitfield Diffie et Martin Hellman, dans le célèbre New directions in cryptography [DH76]. Dans cette famille de schémas, deux clés coexistent, l une privée, c est-à-dire réservée à un utilisateur, et l autre publique, c est-à-dire connue de tous. Ce type de schéma est tel que, pour certaines opérations, comme le chiffrement, seule la clé publique est nécessaire, et que pour certaines autres opérations, comme le déchiffrement, la clé privée est indispensable. Ceci explique le nom de cryptographie à clé publique ou de cryptographie asymétrique. 1.2 Buts de la cryptologie Dans cette section, nous listons quelques-uns des principaux buts de la cryptologie, c est-àdire les services que la cryptologie délivre. Nous donnons également la ou les primitives usuellement utilisées pour atteindre chacun des buts cités Confidentialité Comme évoqué dans la section précédente, le but premier de la cryptologie a été la confidentialité, c est-à-dire l échange entre entités de messages chiffrés, qui, sans clé de déchiffrement, sont inintelligibles. La confidentialité est obtenue principalement au travers de schémas de chiffrement, qu ils soient à clé secrète ou à clé publique Intégrité Un autre but de la cryptologie est l intégrité. Ceci désigne le fait qu une personne veuille s assurer que le message reçu n a pas été modifié par une tierce personne. L intégrité est gérée 4

23 1.3. Fonctions de base en cryptologie au travers de fonctions de hachage à clé secrète (en anglais, message authentication code, MAC), ou à l aide de schémas de signature à clé publique Identification L identification est la partie de la cryptologie permettant de reconnaître une personne, au travers d un secret qu elle seule possède. Pour cela, la primitive cryptographique principale est le protocole d identification. Un sous-type, appelé protocole d identification à divulgation nulle de connaissance, est d un intérêt plus particulier : dans ce type de protocole, le prouveur montre qu il connaît un secret associé à une donnée publique, sans rien dévoiler de plus sur ce secret Authentification Un dernier but de la cryptologie est l authentification. Il s agit là pour une personne de prouver qu un message a bien été envoyé par elle. Cette notion est très proche de l identification, dans laquelle, en plus, un message interviendrait. L authentification se gère en cryptographie principalement au travers de schémas de signature à clé publique. L usage de schémas de signature à clé publique plutôt que de fonctions de hachage à clé secrète permet la non-répudiation, c est-à-dire qu une signature valide d un message donné ne puisse être contestée par le signataire. 1.3 Fonctions de base en cryptologie Dans cette section, nous allons donner une définition informelle des fonctions les plus importantes en cryptographie Fonction à sens unique Une fonction f est à sens unique s il est facile de calculer f(x) à partir de x, mais s il est difficile, étant donné g = f(x) pour un élément x aléatoire, de trouver un x tel que f(x) = g. Les fonctions à sens unique sont la base de nombreuses primitives, aussi bien en cryptographie à clé secrète qu en cryptographie à clé publique. Une fonction à sens unique f est dite à trappe si, à l aide d un secret, appelée la trappe, il est possible de calculer aisément un antécédent (appelé pré-image) de tout élément dans l image de f Fonction de hachage Une fonction de hachage est une fonction créant une empreinte appelée le haché de taille fixe (typiquement, 128, 160 ou 256 bits) d un message de taille arbitraire. Intuitivement, les fonctions de hachage doivent résister aux collisions, c est-à-dire qu il doit être difficile pour un algorithme de créer deux messages différents ayant le même haché. De même, les fonctions de hachage doivent être à sens unique, c est-à-dire qu étant donné un haché, il doit être difficile d en trouver une pré-image Fonction pseudo-aléatoire Une fonction est dite pseudo-aléatoire s il est difficile de distinguer une sortie de cette fonction d une valeur aléatoire. Plus précisément, si un adversaire a accès à un oracle lui retournant soit 5

24 Chapitre 1. Introduction à la cryptologie un aléa, soit le résultat de la fonction pseudo-aléatoire, son avantage à deviner la nature de l oracle doit être négligeable Permutation à sens unique Une fonction à sens unique f est une permutation à sens unique si elle est bijective d un ensemble fini sur lui-même. Une permutation à sens unique est dite à trappe si la fonction f 1 est efficacement calculable avec un secret, ladite trappe. C est notamment le cas de la fonction RSA (voir Section 4.4.1) Fonction bilinéaire admissible Une fonction bilinéaire admissible est une application e : G 1 G 2 G T, où G 1, G 2 et G T sont trois groupes d ordre q (notés multiplicativement), telle que la fonction e soit : 1. bilinéaire : pour tout (u, v) G 1 G 2 et pour tout a, b Z q, e(u a, v b ) = e(u, v) ab ; 2. non-dégénérée : il existe un (u, v) G 1 G 2, tel que e(u, v) 1 ; 3. calculable : il existe un algorithme efficace pour calculer e(u, v) pour tous (u, v) G 1 G 2. Souvent, dans les constructions cryptographiques, les groupes G 1 et G 2 sont égaux. Notons enfin que les fonctions bilinéaires sont aussi appelées des couplages Famille de fonctions En cryptographie, comme l usage de clés est primordial, des familles de fonctions sont utilisées, plutôt que des fonctions fixes. L indice de la fonction choisie dans cette famille constitue alors la clé. Ainsi apparaissent les familles de fonctions de hachage, les familles de fonctions pseudo-aléatoires, les familles de permutations à sens unique à trappe, etc Fonction de padding Pour certaines constructions, comme nous le verrons dans la suite, il est parfois nécessaire d utiliser des fonctions de padding. Ces fonctions assurent, comme les fonctions de hachage, une résistance à la malléabilité, mais sont, contrairement à ces dernières, inversibles. De façon générique, soient un ensemble de messages M, un ensemble d aléas R, et un ensemble d arrivée T. Une fonction de padding est une fonction injective µ : M R T, telle qu il existe une fonction µ 1 : T M { } qui soit publiquement calculable et qui retourne µ 1 (t) = m si t = µ(m, r) et si aucun antécédent n existe. Une fonction de padding est dite déterministe si l ensemble des aléas R est vide ou réduit à un élément. Elle est dite probabiliste dans le cas contraire. Les fonctions de paddings probabilistes classiques µ sont souvent telles qu il existe une fonction inverse complète µ 1, telle que µ 1 : T (M R) { } soit publiquement calculable et qui retourne µ 1 (t) = (m, r) si t = µ(m, r) et si aucun antécédent n existe La mention admissible sera sous-entendue dans le reste de ce document. Exceptionnellement, nous préférerons dans cette thèse la dénomination anglaise plutôt que sa terminologie française : fonction de bourrage voire fonction de remplissage. 6