Initiation au développement d'applications sécurisées...

Transcription

1 Initiation au développement d'applications sécurisées... (i.e. Projet) Nicolas Gama Université de Versailles Saint Quentin en Yvelines Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

2 Section 1 Buts du module Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

3 Buts du module 1 savoir concevoir une appli ou un site sécurisé 2 connaître les fonctionnalités et notions principales en Java EE 3 savoir travailler en équipe et bien gérer son temps 4 savoir présenter un projet ou une solution de manière concise et précise 5 maitriser un environnement d'execution physique ou virtuel 6 savoir gérer concrètement et ecacement des problèmes cryptographiques courants Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

4 Evaluation Mode d'évaluation Projet (coef 3) CTF (coef 2) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

5 Projet Projet (coef 3) Projet à réaliser de mi-décembre à n mars, par groupes de 3 ou 4 étudiants. Utilisant un serveur d'application Java EE (voir les premières séances de cours) rapport de 30 à 40 pages à rendre n mars. Soutenance d'environ 1h incluant une démo complète. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

6 CTF CTF (coef 2) 20 mini problèmes (cryptographiques ou sécurité) à résoudre. un énoncé (ou deux selon la diculté) sont assignés par binôme avec une date de présentation entre novembre et mars. Vous avez entre 5 et 10 minutes pour présenter le problème, ainsi que votre solution et les outils que vous avez utilisés/programmés. Barème: 1 note / 20 vous pouvez aussi (individuellement) résoudre les challenges des autres groupes et uploader votre solution (avec une description en 10 lignes) AVANT la date de présentation en public. Pour chaque question, un pool de points est réparti entre les personnes qui ont trouvé la solution, en fonction de l'ordre d'arrivée et de la qualité des réponses. Barème: 1 note /20 selon le classement individuel. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

7 Environnement de travail Une machine virtuelle (ou live distribution) sous Lubuntu trusty. peut tourner sous VirtualBox, qemu ou en liveusb selon les capacités de votre machine environnement de developpement java 1.8 avec eclipse préinstallé quelques dépendances java/maven préinstallées navigateurs refox et chromium avec le plug-in java 1.8 serveur d'applications J2EE Glasssh 4 Disclaimer Certaines options de sécurité ont été modiées ou désactivées (mises à jour, quelques paramètres de sécurité java, une clé APT, 1 certicat racine, etc...) pour le bon fonctionnement de ce cours. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

8 Section 2 Brefs rappels de cryptographie Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

9 Cryptographie symmétrique Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

10 Cryptographie symmétrique Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

11 Cryptographie symmétrique Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

12 Cryptographie symmétrique Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

13 Crypto symmétrique (à clé secrète) Principalement: AES: taille de clé: 128 ou 256 bits mode opératoire: CBC, CCM, GCM, CTR (car taille de bloc: 128 bits) padding: zeros, PKCS7 (PKCS5 d'après java) Advantages rapide permet: condentialité, integrité, authenticité Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

14 Crypto symmétrique (à clé secrète) Principalement: AES: taille de clé: 128 ou 256 bits mode opératoire: CBC, CCM, GCM, CTR (car taille de bloc: 128 bits) padding: zeros, PKCS7 (PKCS5 d'après java) Advantages rapide c.à.d EXTREMEMENT rapide. permet: condentialité, integrité, authenticité Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

15 Crypto symmétrique (à clé secrète) Principalement: AES: taille de clé: 128 ou 256 bits mode opératoire: CBC, CCM, GCM, CTR (car taille de bloc: 128 bits) padding: zeros, PKCS7 (PKCS5 d'après java) Advantages rapide c.à.d EXTREMEMENT rapide. permet: condentialité, integrité, authenticité à condition que la clé et l'iv soient transmises de manière sûre... icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

16 En pratique Openssl (command line): openssl enc -aes cbc -K E4A3... -iv 629 E... - in plaintext. txt - out ciphertext. bin Java: byte [] ciphertext =...; byte [] secretkey = {0 xe4, 0xA3,... }; // 16 bytes = 128 bits byte [] initvector = {0 x62, 0x9E,... }; // 16 bytes Cipher cipher = Cipher. getinstance (" AES / CBC / PKCS5Padding "); cipher. init ( Cipher. DECRYPT_MODE, new SecretKeySpec ( secretkey, " AES "), new IvParameterSpec ( initvector, 0, cipher. getblocksize () )) ; byte [] plaintext = cipher. dofinal ( ciphertext ); Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

17 Exercice: Prise en main Démarrez la machine virtuelle en mode persistent. (trois possibilités:) 1 LiveDVD ou liveusb 2 Qemu (avec KVM) 3 VirtualBox créer un chier vm.sda rempli de zeros d'au moins 2GB. qemu-system-x86_64 -machine accel=kvm -cdrom vm.iso -hda vm.sda -boot order=dc -m 2048m idem, créer une machine avec un disque dur d'au moins 2GB et 2048m de RAM booter avec vm.iso dans le lecteur Dans tous les cas: 1 partitionner le disque dur, et créer une unique partition ext4 appelée casper-rw (à la rigueur, un chier casper-rw de 2 gigas formaté ext4 à la racine d'une partition fat32) icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

18 Exercice: Chirement/Déchirement AES vs openssl 1 Choisissez une clé et une IV, puis chirez un chier texte ou html avec openssl AES CBC en précisant la valeur de la clé et de l'iv en ligne de commande. 2 Testez le déchirement avec openssl. 3 Démarrez eclipse, créez un nouveau projet java et créez un programme qui réalise le même déchirement AES. Vous pouvez entrer la clé en dur dans le code. 4 Exportez votre application java sous forme d'un jar executable, et testez-la en ligne de commande. 5 Réalisez une applet contenant une methode String encryptaes(string message) qui renvoie le base64 du chiré du message. 6 Créez une page html/jquery-ui qui utilise cette applet pour chirer le contenu d'un textarea. testez le déchirement en ligne de commande avec les commandes base64 et openssl. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

19 Section 3 De la clé secrète au Cloud Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

20 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

21 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

22 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

23 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

24 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

25 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

26 Online shopping with secret keys A concrete example Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

27 Public key cryptography Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

28 Cas d'utilisation Crypto à clé publique utilisée UNIQUEMENT pour établir la clé et l'iv symmétrique. repose sur des problèmes algébriques ou géométriques nécessite seulement un canal public authentié: installation des certicats racines lors de l'installation de la machine serveur de clés susamment redondants Par ex: D'un point de vue cryptographique, vous pouvez créer un site web où chaque utilisateur s'authentie avec sa carte vitale ou sa carte bancaire, sans même contacter l'administration au préalable. Les limitations sont d'ordre légales ou éthiques, pas mathématiques. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

29 Partage, chirement, signature Mathematical break Alice et Bob are in two prison cells, separated by a corridor. They do not know each other, they share nothing in common, they cannot see each other. They can just speak loud. A guard Charlie stands in the corridor, he hears everything, but he cannot mimmic Alice's or Bob's voice. Challenge: Alice and Bob and Charlie must each write a (large) integer on a paper. Alice and Bob will be freed if they have written the same number, and if it is dierent from Charlie's number. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

30 Math Break v1.0 Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

31 Math Break v1.0: Die Hellmann Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

32 Math Break v1.0: Die Hellmann Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

33 Math Break v1.0: Die Hellmann Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

34 Briques fondamentales Fonctions à sens unique fonctions de hachage md5sum, sha1sum, sha256sum, sha3 théorie des groupes p, q p q x g x mod n fonctions à trappe x x 17 mod N trapdoor d = 17 1 mod φ(n) 17 y mod N = y d mod N (pour tout y) PS: connaitre d connaître la factorisation de N Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

35 Math Break v2.0: RSA Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

36 Math Break v2.0: RSA Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

37 Math Break v2.0: RSA Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

38 Math Break v2.0: RSA Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

39 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

40 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

41 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

42 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

43 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

44 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

45 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

46 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

47 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

48 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

49 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

50 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

51 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

52 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

53 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

54 General Schemes: encryption and signature Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

55 Grâce à la clé publique On peut Acheter des produits en ligne. envoyer des s signés et chirés, chaque utilisateur ayant seulement deux clés (dont une publique). Déléguer à une autorité tierce la gestion des utilisateurs de mon site (sans même contacter cette tierce partie!) (presque) voter en ligne: Une autorité peut signer et valider mon bulletin sans obtenir d'information sur son contenu. et tant d'autre! A quelle vitesse? Plus ou moins, la vitesse d'une tortue. Heureusement, la crypto à clé publique ne chire que les 256 bits de clé AES. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

56 Section 4 Passons aux choses concrètes Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

57 Proxy reencryption La problématique Une grande compagnie (d'assurance) souhaite utiliser un serveur de mail sur le cloud (gmail par exemple). Note: cloud = ennemi. Pour garantir la condentialité, les mails sont donc tous chirés. Alice travaille dans cette compagnie et gère 200 s par jour. En novemnre, prend une semaine de congés. Durant ces vacances, tous ses mails seront transférés (de manière transparente) à Bob. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

58 Proxy reencryption La problématique Une grande compagnie (d'assurance) souhaite utiliser un serveur de mail sur le cloud (gmail par exemple). Note: cloud = ennemi. Pour garantir la condentialité, les mails sont donc tous chirés. Alice travaille dans cette compagnie et gère 200 s par jour. En novemnre, prend une semaine de congés. Durant ces vacances, tous ses mails seront transférés (de manière transparente) à Bob. Comment gérer le chirement? Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

59 Quelques pistes première tentative Elle envoie sa clé privée sur le serveur de mail qui déchire et transmet tout à Bob. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

60 Quelques pistes première tentative Elle envoie sa clé privée sur le serveur de mail qui déchire et transmet tout à Bob. Mais qui est le vrai ennemi? pourquoi lui donner la clé privée?!! c'était toutefois la seule solution connue jusqu'en 1997 Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

61 Quelques pistes Deuxième essai Elle transfère les mails directement (chirés) à Bob, et elle donne sa clé privée à Bob. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

62 Quelques pistes Deuxième essai Elle transfère les mails directement (chirés) à Bob, et elle donne sa clé privée à Bob. Un peu mieux, la clé privée reste dans la compagnie. Mais pour un autre congé, il faudra donner la clé à un autre Bob! Au nal, une clé privée doit rester privée. icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

63 Quelques pistes Tentative desespérée Elle laisse son ordinateur allumé pendant son absence et son client mail déchire, transmet (et rechire) tout pour Bob. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

64 Quelques pistes Tentative desespérée Elle laisse son ordinateur allumé pendant son absence et son client mail déchire, transmet (et rechire) tout pour Bob. C'est cryptographiquement le plus sûr. Mais c'est exactement dans ces situations que l'ordinateur ou le réseau se mettent à planter! Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

65 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Analyse Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

66 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a Analyse Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

67 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Analyse Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

68 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Reencryption: (U b/a, V ) = (g br, mg r ) Analyse Sécurité sémantique sous l'hypothèse DDH Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

69 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Reencryption: (U b/a, V ) = (g br, mg r ) Analyse Sécurité sémantique sous l'hypothèse DDH Transitif Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

70 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Reencryption: (U b/a, V ) = (g br, mg r ) Analyse Sécurité sémantique sous l'hypothèse DDH Transitif Bidirectionnel+Transitif Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

71 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Reencryption: (U b/a, V ) = (g br, mg r ) Analyse Sécurité sémantique sous l'hypothèse DDH Transitif Bidirectionnel+Transitif Problème de Collusions (Alice + Mailserver) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

72 Un schéma basé sur du log discret Blaze, Bleumer and Strauss, 1998 Analyse Parameters: G = g un groupe cyclique d'ordre p Keys: Alice: Private: a Public: g a, (Bob: b,g b ) Encryption: choose random r, output (U, V ) = (g ar, mg r ) Decryption: V U 1/a ReKey: ReKey A B = b/a (donné au serveur) Reencryption: (U b/a, V ) = (g br, mg r ) Sécurité sémantique sous l'hypothèse DDH Transitif Bidirectionnel+Transitif Problème de Collusions (Alice + Mailserver) besoin des clés privés pour créer la ReKey Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

73 On souhaiterait: 1 No Pre-Sharing: ReKey A B ne dépend que de la clé privée d'alice (pas celle de Bob) 2 Unidirectional: ReKey A B ne permet pas de rechirer de Bob vers Alice 3 Collusion-resistance: Si Alice et le server se mettent ensemble, ils n'apprennent rien sur la clé de Bob. (impliqué par (1)). Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

74 On souhaiterait: 1 No Pre-Sharing: ReKey A B ne dépend que de la clé privée d'alice (pas celle de Bob) 2 Unidirectional: ReKey A B ne permet pas de rechirer de Bob vers Alice 3 Collusion-resistance: Si Alice et le server se mettent ensemble, ils n'apprennent rien sur la clé de Bob. (impliqué par (1)). Ce que l'on pourrait souhaiter Transitivity: ReKey A B + ReKey B C permet de rechirer de A vers C Single Delegation: Un message rechiré ne peut plus être rechiré Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

75 Un proxy unidirectionnel basé sur des couplages Def: Bilinear Map (or couplage) Soient G 1 = g, G 2 = h et G T trois groupes cycliques d'ordre p un couplage est une fonction G e : 1 G 2 G T (g x, h y ) z xy where z = e(g, h) Propriétés utiles le log discret doit être dur sur G 1, G 2, G T e doit être non trivial: z 1 e être facile (polynomial) à calculer Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

76 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 Parameters: g G 1, h G 2, z = e(g, h) G T a a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

77 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 a Parameters: g G 1, h G 2, z = e(g, h) G T Keys Alice: private: (a 1, a 2 ) Z p, public: (Z a 1, h a 2 ) Keys Bob: private: (b 1, b 2 ) Z p, public: (Z b 1, h b 2 ) a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

78 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 a Parameters: g G 1, h G 2, z = e(g, h) G T Keys Alice: private: (a 1, a 2 ) Z p, public: (Z a 1, h a 2 ) Keys Bob: private: (b 1, b 2 ) Z p, public: (Z b 1, h b 2 ) 1 st level Encryption: (U, V ) = (Z a1k, mz k ) a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

79 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 a Parameters: g G 1, h G 2, z = e(g, h) G T Keys Alice: private: (a 1, a 2 ) Z p, public: (Z a 1, h a 2 ) Keys Bob: private: (b 1, b 2 ) Z p, public: (Z b 1, h b 2 ) 1 st level Encryption: (U, V ) = (Z a1k, mz k ) 2 nd Level Encryption: (U, V ) = (g k, mz a1k ) a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

80 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 a Parameters: g G 1, h G 2, z = e(g, h) G T Keys Alice: private: (a 1, a 2 ) Z p, public: (Z a 1, h a 2 ) Keys Bob: private: (b 1, b 2 ) Z p, public: (Z b 1, h b 2 ) 1 st level Encryption: (U, V ) = (Z a1k, mz k ) 2 nd Level Encryption: (U, V ) = (g k, mz a1k ) Rekey: h b 2a 1 a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

81 The AFGH Scheme Ateniese, Fu, Green, Hohenberger 2005 a Parameters: g G 1, h G 2, z = e(g, h) G T Keys Alice: private: (a 1, a 2 ) Z p, public: (Z a 1, h a 2 ) Keys Bob: private: (b 1, b 2 ) Z p, public: (Z b 1, h b 2 ) 1 st level Encryption: (U, V ) = (Z a1k, mz k ) 2 nd Level Encryption: (U, V ) = (g k, mz a1k ) Rekey: h b 2a 1 Reencryption (3 rd Level): (U, V ) = (Z a 1b 2 k, mz a1k ) a Dans leur papier, ils ont G1 = G 2 = g, mais bon. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

82 Section 5 The Framework Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

83 The JPBC library PBC est une lib C/C++ implémentant des couplages JPBC est un portage Java de cette librairie 1 Element: represente un élément de Z/pZ, G 1, G 2 ou G T opérations d'addition, multiplication, division, exponentiation dans un groupe, addition et multiplication sont identiques 2 Field: represente le groupe ou le corps en général par ex, permet d'instancier un élément aléatoire 3 Pairing: contient une fonction statique pairing(x,y). Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

84 JPBC: Génération des Paramètres (une seule fois) int rbits = 160; int qbits = 512; TypeACurveGenerator pg = new TypeACurveGenerator ( rbits, qbits ) ; PairingParameters params = pg. generate () ; System. out. println ( params. tostring () ); Pensez à sauvegarder la description qui s'ache: dans un chier param.properties, ou en dur dans le code (mieux). Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

85 JPBC: A chaque démarrage A chaque démarrage: Obtenir Z q, G 1, G 2, G T, g, h, Z. Pairing pairing = PairingFactory. getpairing ( params ); Field <? > Zr = ppairing. getzr () ; Field <? > G1 = ppairing. getg1 () ; Field <? > G2 = ppairing. getg2 () ; Field <? > GT = ppairing. getgt () ; Element g = G1. newelementfromhash (" bla ". getbytes (), 0, 3) ; Element h = G2. newelementfromhash (" bla ". getbytes (), 0, 3) ; Element z = ppairing. pairing (g, h); Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

86 Opérations arithmétiques Attention! Toutes les opérations arithmétiques sont en place: l'objet courant est modié, et il est renvoyé en retour Il faut donc penser à faire une copie si besoin (duplicate). Element u = g. duplicate () u. add (v); // u=u+v u. mul (v); // u=u*v u. mul (v). add (w). negate () // u = -(( u*v)+w) u. invert () ; // u =1/ u u. powzn ( x) // u=u^x si x est dans Zq // bonne pratique : dupliquer le 1 er element Element mga = g. duplicate (). powzn (a). mul (m) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

87 JPBC: IO, random, et pairing // Serialisation byte [] ubytes = u. tobytes () ; Element u = G1. newelementfrombytes ( ubytes ); // Random ( uniforme ) Element u = G1. newrandomelement () ; // pairing Element w = pairing. pairing (u,v); Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

88 Presentation - The Proxy reencryption mail server Le serveur Nous allons créer un serveur mail avec proxys. Nous ferons deux modes d'accès: un EJB dans un serveur d'application Java EE (glasssh 4.0). un accès par site web (servlet) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

89 Qu'est-ce qu'un EJB (point de vue du client) Qu'est-ce qu'un EJB (point de vue du client) C'est tout comme un objet java classique, Mais toutes les méthodes sont exécutées par le serveur, not pas le client les arguments des fonctions sont automatiquement sérialisés et transmis les valeurs de retour sont aussi sérialisées vers le client Ainsi, le véritable code et les variables temporaires ne sont pas connues. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

90 Qu'est-ce qu'un EJB (point de vue du client) Qu'est-ce qu'un EJB (point de vue du client) C'est tout comme un objet java classique, Mais toutes les méthodes sont exécutées par le serveur, not pas le client les arguments des fonctions sont automatiquement sérialisés et transmis les valeurs de retour sont aussi sérialisées vers le client Ainsi, le véritable code et les variables temporaires ne sont pas connues. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

91 Qu'est-ce qu'un EJB (point de vue du client) Qu'est-ce qu'un EJB (point de vue du client) C'est tout comme un objet java classique, Mais toutes les méthodes sont exécutées par le serveur, not pas le client les arguments des fonctions sont automatiquement sérialisés et transmis les valeurs de retour sont aussi sérialisées vers le client Ainsi, le véritable code et les variables temporaires ne sont pas connues. En crypto, c'est idéal pour implémenter des fonctions qui dépendent de données secrètes: decryption oracles, or proxy reencryption oracles... Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

92 Qu'est-ce qu'un EJB (point de vue du serveur) Un EJB du point de vue du serveur C'est comme une librairie de fonctions que les clients appelent. Si les clients sont nombreux, l'ejb est automatiquement dupliqué pour traiter les requêtes en parallèle. Sur simple demande, il peut y avoir exactement une instance d'ejb par client. En cas d'accès à une base de donnée, les transactions sont gérées automatiquement. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

93 Les fonctionnalités du serveur Fonctionnalités 1 Stocker les utilisateurs et leur clé publique icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

94 Les fonctionnalités du serveur Fonctionnalités 1 Stocker les utilisateurs et leur clé publique 2 Stocker et révoquer les Proxys keys icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

95 Les fonctionnalités du serveur Fonctionnalités 1 Stocker les utilisateurs et leur clé publique 2 Stocker et révoquer les Proxys keys 3 Poster et lire des messages chirés icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

96 Les fonctionnalités du serveur Fonctionnalités 1 Stocker les utilisateurs et leur clé publique 2 Stocker et révoquer les Proxys keys 3 Poster et lire des messages chirés 4 Re-chirer les documents si une proxykey est présente icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

97 Les fonctionnalités du serveur Fonctionnalités 1 Stocker les utilisateurs et leur clé publique 2 Stocker et révoquer les Proxys keys 3 Poster et lire des messages chirés 4 Re-chirer les documents si une proxykey est présente Contraintes Toujours s'assurer que l'action est légitime icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

98 Les entités Entités principales (classes java) ProxyKey: id, ownerid, recipientid, h a1b2 User: id, name, pubkey EncryptedDocument: id, recipientid, encryptedsessionkey, encryptedbody Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

99 Les entités Entités principales (classes java) ProxyKey: id, ownerid, recipientid, h a1b2 User: id, name, pubkey EncryptedDocument: id, recipientid, encryptedsessionkey, encryptedbody Entités dépendantes Parameters: g, h, Z PrivKey: a1, a2,z a1, h a2, h a1 PubKey: Z a1, h a2 EncryptedSessionKey: level, (Z a 1k, mz k ), (g k, mz a 1k ), (Z a 1b 2 k, mz a 1k ) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

100 Le serveur Le serveur Suit une architecture 3 tiers: 1 database: stocke Users, ProxyKeys, et EncryptedDocuments icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

101 Le serveur Le serveur Suit une architecture 3 tiers: 1 database: stocke Users, ProxyKeys, et EncryptedDocuments 2 DAO EJB: toutes les opérations en mode administrateur icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

102 Le serveur Le serveur Suit une architecture 3 tiers: 1 database: stocke Users, ProxyKeys, et EncryptedDocuments 2 DAO EJB: toutes les opérations en mode administrateur 3 MailService EJB: implemente le protocole client/serveur pour un client EJB icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

103 Le serveur Le serveur Suit une architecture 3 tiers: 1 database: stocke Users, ProxyKeys, et EncryptedDocuments 2 DAO EJB: toutes les opérations en mode administrateur 3 MailService EJB: implemente le protocole client/serveur pour un client EJB 4 Mail servlets: implemente le protocole client/serveur pour un client web icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

104 Le Client EJB Le Client EJB Une application java en mode texte: 1 enregistrer un nouvel utilisateur (Administrator) 2 envoyer un message chiré (Public) 3 gérer les ProxyKeys (User) 4 déchire et lit les messages (User) Note: Par simplicité, les clés privées seront stockées dans le dossier 'keys' icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

105 Section 6 À vous de jouer! Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

106 Exercice - Les entités 1 Ouvrir le projet proxyreencryption dans eclipse 2 Dans la classe EncryptedDocument Implémenter le chirement AES/CBC/PKCS5Padding On mettra clé AES = IV implémenter le déchirement des 3 niveaux 3 Dans la classe ProxyKey implémenter la génération de proxy key implémenter le rechirement 4 Vérier que les 10 tests junits fonctionnent. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

107 Exercice - Le serveur EJB 1 Ouvrir le projet proxyr server dans eclipse 2 Implémenter la couche DAO (MainDaoImpl) sous forme d'un Stateless EJB en utilisant JPA. Pourquoi l'interface MainDAO doit être et 3 Impléménter la couche service MailServiceImpl (stateful bean). Notamment, implémenter le protocole challenge/reponse de login (asklogin and validatelogin) la fonction mymessages() doit inclure les messages rechirés le cas échéant dans la fonction myincomingproxys(), on ne doit pas voir le contenu des ProxyKeys des autres! Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

108 Exercice - le client EJB 1 Ouvrir le projet proxymailclient sous eclipse 2 Dans la classe utilitaire, implémenter le login challenge/reponse côté client implémenter la méthode pour créer un proxy et l'envoyer au serveur implémenter le déchirement et l'achage des messages 3 Faites un test avec un seul serveur et pleins de clients connectés en réseau Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

109 Exercice - le client WEB et les servlets Ré-implémentez toutes les méhodes du MailService pour un client WEB. Le navigateur enverra des requêtes AJAX (Name-value pairs, sous forme de paramètres GET ou POST) La servlet répondra au format JSON Le client web utilisera la librairie jquery pour l'achage et les requêtes AJAX. Il utilisera une applet java appelée depuis javascript pour les opérations cryptographiques compliquées Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

110 Section 7 Des applications incroyables Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

111 Unlimited power!!! Est-ce que la crypto actuelle résoud tous les problèmes? Quelle est la chose la plus impressionnante que l'on peut faire? Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

112 Imaginez un monde... Protocole Homomorphe L'émetteur chire les données initiales Le cloud eectue des operations (coûteuses) sur les chirés Le destinataire déchire le produit nal icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

113 Imaginez un monde... Protocole Homomorphe L'émetteur chire les données initiales Le cloud eectue des operations (coûteuses) sur les chirés Le destinataire déchire le produit nal icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

114 Imaginez un monde... Protocole Homomorphe L'émetteur chire les données initiales Le cloud eectue des operations (coûteuses) sur les chirés Le destinataire déchire le produit nal icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

115 Imaginez un monde... Protocole Homomorphe L'émetteur chire les données initiales Le cloud eectue des operations (coûteuses) sur les chirés Le destinataire déchire le produit nal icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

116 Analyse sémantique Analyse Le cloud n'a travaillé que sur des paquets scellés ( chirés) Ils ne savent donc pas ce qui est à l'intérieur du moteur Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

117 Analyse sémantique Analyse Le cloud n'a travaillé que sur des paquets scellés ( chirés) Ils ne savent donc pas ce qui est à l'intérieur du moteur Ils ont fait les mêmes gestes (opérations) que ce qu'ils auraient fait sur le texte clair ( protocole homomorphe) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

118 Analyse sémantique Analyse Le cloud n'a travaillé que sur des paquets scellés ( chirés) Ils ne savent donc pas ce qui est à l'intérieur du moteur Ils ont fait les mêmes gestes (opérations) que ce qu'ils auraient fait sur le texte clair ( protocole homomorphe) Le destinataire déballe ( decrypts) une voiture! C'est donc une construction complètement homomorphe. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

119 Application évidente: Cloud Computing Cloud Computing Les compagnies privées peuvent laisser le cloud faire les opérations compliquées. les données sont protégées, pas les algorithmes Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

120 Application évidente: Cloud Computing Cloud Computing Les compagnies privées peuvent laisser le cloud faire les opérations compliquées. les données sont protégées, pas les algorithmes Les algorithmes peuvent être protégés si on virtualise l'environnement L'algorithme est juste un interpréteur de code machine l'algorithme devient une données Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

121 Est-ce mathématiquement faisable? Comment? Fonction = circuit booléen 0,1: les deux messages possibles Xor gates: addition (binaire) mod 2 And gates: produit binaire mod 2 Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

122 Fully Homomorphic encryption Il surait d'avoir un chirement randomisé tel que: pour y {0, 1}, e(y) A désigne un chiré possible de y e(x) e(y) = e(x + y mod 2) e(x) e(y) = e(x y mod 2) avec et des fonctions publiques de A 2 A Avec cela, on peut évaluer N'IMPORTE QUELLE fonction sur des données chirées Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

123 Un peu d'histoire Histoire Les premiers schémas permettaient un nombre limité K d'opérations imbriquées. (somewhat homomorphic schemes) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

124 Un peu d'histoire Histoire Les premiers schémas permettaient un nombre limité K d'opérations imbriquées. (somewhat homomorphic schemes) Bootstrapping theorem: Tout schéma de chirement pouvant évaluer homomorphiquement son propre déchirement + une operation peut être rendu totalement homomorphe. Malheureusement, pendant très longtemps, les circuits de déchirement étaient trop gros: profondeur = N K. Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

125 Un peu d'histoire Histoire Les premiers schémas permettaient un nombre limité K d'opérations imbriquées. (somewhat homomorphic schemes) Bootstrapping theorem: Tout schéma de chirement pouvant évaluer homomorphiquement son propre déchirement + une operation peut être rendu totalement homomorphe. Malheureusement, pendant très longtemps, les circuits de déchirement étaient trop gros: profondeur = N K. En 2009, Gentry trouve le premier système polynomial tel que N < K. Nous sommes désormais dans l'ère du Fully Homomorphic Encryption! Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

126 Un peu d'histoire Histoire Les premiers schémas permettaient un nombre limité K d'opérations imbriquées. (somewhat homomorphic schemes) Bootstrapping theorem: Tout schéma de chirement pouvant évaluer homomorphiquement son propre déchirement + une operation peut être rendu totalement homomorphe. Malheureusement, pendant très longtemps, les circuits de déchirement étaient trop gros: profondeur = N K. En 2009, Gentry trouve le premier système polynomial tel que N < K. A quel prix? Nous sommes désormais dans l'ère du Fully Homomorphic Encryption! la vitesse d'un escargor qui n'a aucun sens de l'orientation + il faut environ 100Mb pour chirer 1 bit de message... Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

127 Exemple d'utilisation pour les proxys Peut-on utiliser les schémas Homomorphes? Les Proxy reencryption (comme tout) peuvent être obtenus via fully homomorphic encryption icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

128 Exemple d'utilisation pour les proxys Peut-on utiliser les schémas Homomorphes? Les Proxy reencryption (comme tout) peuvent être obtenus via fully homomorphic encryption Keys Alice: Any PKI (pri a,pub a ), DECRYPT l'algorithme de déchirement icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

129 Exemple d'utilisation pour les proxys Peut-on utiliser les schémas Homomorphes? Les Proxy reencryption (comme tout) peuvent être obtenus via fully homomorphic encryption Keys Alice: Any PKI (pri a,pub a ), DECRYPT l'algorithme de déchirement Keys Bob: une paire de clés FHE, e bob désigne le chirement icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

130 Exemple d'utilisation pour les proxys Peut-on utiliser les schémas Homomorphes? Les Proxy reencryption (comme tout) peuvent être obtenus via fully homomorphic encryption Keys Alice: Any PKI (pri a,pub a ), DECRYPT l'algorithme de déchirement Keys Bob: une paire de clés FHE, e bob désigne le chirement ReKey: e bob (pri a ) icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

131 Exemple d'utilisation pour les proxys Peut-on utiliser les schémas Homomorphes? Les Proxy reencryption (comme tout) peuvent être obtenus via fully homomorphic encryption Keys Alice: Any PKI (pri a,pub a ), DECRYPT l'algorithme de déchirement Keys Bob: une paire de clés FHE, e bob désigne le chirement ReKey: e bob (pri a ) Reencrypt: 1 calculer e bob (encmail a ) 2 évaluer homomorphiquement: DECRYPT(e bob (pri a ), e bob (encmail a )) e bob (plaintext) icolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

132 Analyse de la variante FHE Analyse sémantiquement sur sous de très fortes hypothèses totalement transparent: le client utilise le schema de son choix unidirectionnel et transitif! collusion resistant Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

133 Analyse de la variante FHE Analyse sémantiquement sur sous de très fortes hypothèses totalement transparent: le client utilise le schema de son choix unidirectionnel et transitif! collusion resistant de TRÈS GROS calculs sur le serveur de mail (peut-etre acceptable pour le cloud) Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

134 Analyse de la variante FHE Analyse sémantiquement sur sous de très fortes hypothèses totalement transparent: le client utilise le schema de son choix unidirectionnel et transitif! collusion resistant de TRÈS GROS calculs sur le serveur de mail (peut-etre acceptable pour le cloud) Générer ReKey A B coûte TRÈS CHER sur le PC d'alice... Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

135 Analyse de la variante FHE Analyse sémantiquement sur sous de très fortes hypothèses totalement transparent: le client utilise le schema de son choix unidirectionnel et transitif! collusion resistant de TRÈS GROS calculs sur le serveur de mail (peut-etre acceptable pour le cloud) Générer ReKey A B coûte TRÈS CHER sur le PC d'alice... Le mail rechiré e bob (plaintext) est ÉNORME Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58

136 Analyse de la variante FHE Analyse sémantiquement sur sous de très fortes hypothèses totalement transparent: le client utilise le schema de son choix unidirectionnel et transitif! collusion resistant de TRÈS GROS calculs sur le serveur de mail (peut-etre acceptable pour le cloud) Générer ReKey A B coûte TRÈS CHER sur le PC d'alice... Le mail rechiré e bob (plaintext) est ÉNORME = Fully Homomorphic Encryption résoud tout......et ne résoud rien à la fois! Nicolas Gama (Université de Versailles Saint Initiation Quentin au développement en Yvelines) d'applications sécurisées / 58