Fonctions à trappe à perte d information et applications

Transcription

1 Fonctions à trappe à perte d information et applications Damien Vergnaud, ENS Paris En 2008, C. Peikert et B. Waters ont introduit la notion de fonctions à trappe à perte d information (lossy trapdoor functions) et ont développé de nouvelles constructions cryptographiques basées sur cette notion (par exemple des fonctions de hachage résistante aux collisions ou des protocoles de chiffrement résistant aux attaques actives). Ils ont également proposé différentes réalisations de cette primitive basées sur des hypothèses algorithmiques variées (comme la difficulté du problème décisionnel Diffie-Hellman ou de problèmes classiques dans les réseaux euclidiens). L objectif de cet exposé est de présenter plusieurs applications et extensions récentes de ces fonctions en cryptographie asymétrique.

2 Fully Secure Broadcast Encryption Mario Strefler INRIA / ENS strefler@di.ens.fr Broadcast encryption is a method to encrypt a message in such a way that only a subset of the registered users can decrypt it. The set of receivers can be different for each sent message. A scheme with these properties was first described in 994 by Fiat and Naor. In 200, Naor, Naor, and Lotspiech presented the subset-cover framework, a generic way of viewing the broadcast encryption setting, and two tree-based symmetric-key schemes. In 2003, Dodis and Fazio used (hierarchical) ID-based encryption to instantiate these two schemes in the public-key world, but restrict themselves to CCA and gcca2 security. We can show that none of the existing broadcast encryption schemes fulfill the strongest security notion, 2-adaptive CCA2-security. Our contribution is a generic way of constructing subset-cover public-key broadcast encryption from one-round key agreement, a PRG, IND-CCA2 secure PKE, and a seuf-cma secure MAC. We then instantiate the construction to obtain an efficient BE scheme that is fully secure in the standard model under the DDH assumption. Our scheme can be made dynamic at minimal cost. Acknowledgments. The work was done jointly with Duong Hieu Phan and David Pointcheval.

3 Système de monnaie électronique divisible dans le modèle standard La monnaie électronique permet de matérialiser une valeur monétaire de manière virtuelle ou sur des cartes sans contact. Ces systèmes permettent en outre le paiement sur des réseaux ouverts, et posent de fait des questions essentielles quant à la confiance que nous y portons. L une des exigences majeures est de garantir l anonymat: dépenser une valeur monétaire ne doit pas révéler l identité de la personne à l origine de la dépense, mais cependant, en cas de double-dépense, la banque doit être capable de retrouver l identité de la personne malhonnête. Les systèmes de monnaie électronique compact (compact e-cash) permettent de stocker un porte monnaie de O(2 L) pièces en utilisant O(L + k) bits, où k est un paramètre de sécurité. Les sytèmes e-cash sont dits divisibles lorsque l utilisateur choisit la manière de dépenser une pièce (ou porte-monnaie, dans ce contexte) de valeur 2 l, en particulier, il doit pouvoir dépenser un porte monnaie de valeur 2 l plus efficacement qu en invoquant l algorithme de dépense 2 l fois. En 2007, Canard et Gouget ont présenté le premier système de monnaie électronique divisible anonyme, où la révocation d anonymat est effectuée par une tierce partie. La sécurité de leur schéma est prouvée dans le modèle de l oracle aléatoire. Cet exposé présentera le premier système de monnaie électronique divisible dans le modèle standard. Notre construction est basée sur l approche classique pour les systèmes divisibles, qui consiste à associer à chaque porte monnaie, un arbre binaire, où chaque noeud correspond à une valeur monétaire dérivée de la valeur monétaire de départ, 2 L. Travail effectué en commun avec Benoit Libert.

4

5 Étude des passeports électroniques Patrick Lacharme GREYC (Caen) La Malaisie est le premier pays à avoir mis en place le passeport électronique en 998, mais sa généralisation date de la première partie des années La première génération de ces passeports, spécifié par l ICAO [3], doit posséder une puce sans contact contenant des données biométriques du porteur du document, notamment la photographie du visage. La sécurité de ces données est assurée par trois protocoles cryptographiques, les protocoles d authentification passive et active, ainsi que le protocole BAC pour l accès aux données. Suite aux importantes faiblesses du protocole BAC, et aux nombreuses attaques subies par le passeport électronique comme celle sur le passeport belge [], le BSI a proposé en 2008 une nouvelle spécification [2]. Celle-ci contient notamment le protocole de controle d accès PACE qui établit une clé de session pour la mise en place d un canal sécurisé entre le lecteur et le passeport, constituant une réelle amélioration par rapport au protocole BAC. Dans cet exposé, nous présenterons les premières générations de passeports électroniques et les méchanismes spécifiés pour la sécurité des données qu ils contiennent. On étudiera en particulier les faiblesses du controle d accès BAC et son remplaçant, le protocole PACE. Ce dernier protocole est d autant plus important que l Union Européenne a rendu obligatoire la présence des empreintes digitales dans les passeports électroniques depuis 2009 [4], entrainant ainsi un réel danger pour la vie privée des utilisateurs. References [] G. Avoine, K. Kalach et J.J. Quisquater: epassport: Securing international contacts with contactless chips. Proc. of FC 08, LNCS 543, p 4-55, [2] Bundesamt fur Sicherheit in der Informationstechnik (BSI), Germany: Advanced Security Mechanism for Machine Readable Travel Documents. Technical Guideline TR-030, version [3] International Civil aviation Organization (ICAO): Doc 9303: Machine Readable Travel Documents - Part, Volume (2004) et 2 (2006). [4]