CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Transcription

1 CRYPTOGRAPHIE Signature électronique E. Bresson SGDN/DCSSI Laboratoire de cryptographie

2 I. SIGNATURE ÉLECTRONIQUE I.1. GÉNÉRALITÉS Organisation de la section «GÉNÉRALITÉS» Introduction au problème SIGNATURE ÉLECTRONIQUE 2/64

3 Introduction au problème SIGNATURE: IDÉE GÉNÉRALE Reproduire les caractéristiques d une signature manuscrite 1. Lier un document à son auteur 2. Rendre la signature difficilement imitable 3. Responsabilité de l auteur (juridique...) SIGNATURE ÉLECTRONIQUE 3/64

4 Introduction au problème LES DIFFÉRENTS ACTEURS Le signataire: doit pouvoir émettre facilement des signatures en son nom L ennemi: il cherche à générer une fausse signature Le vérifieur (potentiellement tout le monde): il doit pouvoir vérifier la signature sans avoir d information confidentielle Utilisation de la notion de clé publique! SIGNATURE ÉLECTRONIQUE 4/64

5 Introduction au problème FONCTIONNEMENT D UNE SIGNATURE Tout le monde peut vérifier: mécanisme à clé publique! sk Ma clé publique = pk S m σ 0/1 V m SIGNATURE ÉLECTRONIQUE 5/64

6 Introduction au problème SIGNATURE: MÉCANISME CRYPTOGRAPHIQUE Un schéma de signature est définie par trois algorithmes: Algorithme de génération des clés KG(l) = (pk, sk): à partir d un paramètre de sécurité, il produit un couple (clé publique, clé privée) Algorithme de signature S(sk, m) = σ: utilise la clé privée pour signer un message m Algorithme de vérification V(pk, m, σ)= yes/no: utilise la clé publique seulement SIGNATURE ÉLECTRONIQUE 6/64

7 Généralités Sécurité des signatures Études de signatures Conclusion I. SIGNATURE ÉLECTRONIQUE I.2. SÉCURITÉ DES SIGNATURES Organisation de la section «SÉCURITÉ DES SIGNATURES» Signature et fonctions de hachage Modèle de sécurité Exemple: la signature RSA SIGNATURE ÉLECTRONIQUE 7/64

8 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple SIGNATURE DE LONGS MESSAGE Autre problématique (très courante!) Signer des messages arbitrairement longs avec un schéma donné Signature d un document de 15 Mo avec RSA 1024 bits?? Taille de signature: Indépendante de la taille du message? Sécurité conservée? Les falsifications doivent rester difficiles Utilisation de fonctions de hachage SIGNATURE ÉLECTRONIQUE 8/64

9 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple LA TECHNIQUE HASH-AND-SIGN Idée Au lieu de signer le message très long, on signe un condensé du message M Hash Sign Hash V La signature fonctionne sur le condensé de taille fixe Chaque condensé doit être unique? impossible SIGNATURE ÉLECTRONIQUE 9/64

10 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE Une fonction de hachage condense une entrée arbitraire Data Hash SIGNATURE ÉLECTRONIQUE 10/64

11 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple PROPRIÉTÉS ATTENDUES Une bonne fonction de hachage doit être: publique (pas de notion de secret) rapide à calculer à sortie de taille fixe (quelque soit l entrée) bien répartie en sortie ( mélange bien) Quelle sécurité (en fonction de la taille)? SIGNATURE ÉLECTRONIQUE 11/64

12 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE: PROPRIÉTÉS Trois propriétés distinctes: Résistance à la préimage étant donné H(x) il est difficile de trouver x Résistance à la seconde préimage étant donné x et H(x), il est dur de trouver y x vérifiant H(x) = H(y) Résistance aux collisions il est difficile de trouver x et y vérifiant x y et H(x) = H(y) SIGNATURE ÉLECTRONIQUE 12/64

13 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple EXEMPLE: INTÉGRITÉ On veut vérifier qu un fichier n a pas été modifié (checksum) On calcule son empreinte par une fonction de hachage Sécurité = difficulté de trouver un deuxième antécédent (deuxième message avec la même empreinte) SIGNATURE ÉLECTRONIQUE 13/64

14 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple ATTAQUE DES ANNIVERSAIRES Appelée aussi «Paradoxe des anniversaires» Borne sur l obtention d une collision Si la fonction de hachage a N valeurs possibles, N calculs suffisent en moyenne pour obtenir une collision Dans une assemblée de 23 ( 365) personnes, il est probable ( 50%) que deux personnes soient nées le même jour SIGNATURE ÉLECTRONIQUE 14/64

15 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple CONSTRUCTION DE MERKLE-DAMGARD M 0 M 1 M 2 M 3 h 0 f f f f H = h n Fonction de compression f : {0, 1} m {0, 1} h {0, 1} h SIGNATURE ÉLECTRONIQUE 15/64

16 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE CLASSIQUES Fonctions MDx (Message Digest) Proposées par Rivest dans les années 90 MD2, MD4, MD5: condensés de 128 bits MD2: calcul (théorique) de pré-images en MD4: peu utilisée, collisions faciles (2004) MD5: des collisions exhibées en 2004, puis 2005 SIGNATURE ÉLECTRONIQUE 16/64

17 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple FONCTIONS DE HACHAGE CLASSIQUES Fonctions SHA (Secure Hash Algorithm) Proposées par le NIST dans la même période SHA-0 et SHA-1, empreinte sur 160 bits collisions sur SHA-0 (2004) attaque théorique (2 63 ) sur SHA-1 Successeurs: SHA-224, SHA-256, SHA-384, SHA-512 (années 2000) Autres fonctions RIPEMD (128 bits): cassée en 2005 SIGNATURE ÉLECTRONIQUE 17/64

18 Généralités Sécurité des signatures Études de signatures Conclusion Signature et fonctions de hachage Modélisation Exemple CONSÉQUENCES POUR LES SIGNATURES Attaque en second antécédent (à venir?) À partir d un message signé, on en trouve un autre avec le même condensé la signature est valide Cas des certificats de clés publiques... Attaque en collision À partir d une collision, on demande la signature du premier message m 1 c est aussi une signature pour m 2 on peut répudier la signature de m1 en prétendant avoir signé m 2 Règle actuelle: on n utilise plus MD5, et si possible plus SHA-1 non plus SIGNATURE ÉLECTRONIQUE 18/64

19 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple DÉFINIR LA SÉCURITÉ Que souhaite-t-on? Un adversaire ne doit pas pouvoir signer à la place du signataire Un message quelconque (67fc 3a90 b245) Un message de son choix (Dette = 256,000 $) Un adversaire ne doit pas pouvoir retrouver la clé privée À partir de la clé publique À partir de signatures interceptées... ou qu il aurait choisies Si cela est impossible (ou très difficile), la propriété de non-répudiation est satisfaite SIGNATURE ÉLECTRONIQUE 19/64

20 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple CLASSIFICATION DES NOTIONS Deux axes d analyse: 1. ce que peut faire l adversaire ( puissance de l attaque) 2. ce qu il cherche à obtenir ( niveau de sécurité souhaité) SIGNATURE ÉLECTRONIQUE 20/64

21 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES BUTS DE L ADVERSAIRE L adversaire est plus ou moins ambitieux... Du plus dur au moins dur Retrouver la clé de signature (cassage total) Signer n importe quel message (forge universelle) Signer un message choisi (forge sélective) Signer un message quelconque (forge existentielle) Trouver une autre signature d un message signé (malléabilité) Un premier paramètre du modèle SIGNATURE ÉLECTRONIQUE 21/64

22 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES MOYENS DE L ADVERSAIRE L adversaire est plus ou moins puissant... Du plus faible au plus puissant Attaque sans message (uniquement la clé publique) Attaque à messages connus: l adversaire connaît une liste de messages signés Attaque à messages choisis: l adversaire peut faire signer des messages de son choix c est la notion d oracle de signature Deuxième paramètre du modèle SIGNATURE ÉLECTRONIQUE 22/64

23 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple LES NOTIONS DE SÉCURITÉ En combinant un but et un moyen on définit une modèle de sécurité: pas de cassage total même dans une attaque à messages choisis pas de forge sélective dans une attaque à messages connus etc... Le critère de sécurité le plus fort Absence de forge existentielle sous une attaque à messages choisis adaptative (EF-CMA, Existential Forgery, Chosen Message Attack) notion formalisée en 1988 et devenue le critère de référence SIGNATURE ÉLECTRONIQUE 23/64

24 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple SÉCURITÉ EF-CMA KG sk S pk { V=1? m mi pk m, σ m i σ i SIGNATURE ÉLECTRONIQUE 24/64

25 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modèle de sécurité Exemple REMARQUES Attention La sécurité inconditionnelle n existe pas en signature! il est toujours possible de tester toutes les signatures possibles jusqu à obtenir une vérification correcte cela vient du fait que l algorithme de vérification est public la sécurité sera toujours calculatoire SIGNATURE ÉLECTRONIQUE 25/64

26 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RAPPEL: LE PROBLÈME RSA Problème RSA Soit n = p q le produit de deux grands nombres premiers, et ϕ(n) = (p 1)(q 1) l ordre du groupe Z n. Soit e un entier premier avec ϕ(n) et y un élément aléatoire dans Z n. Trouver x tel que x e = y mod n Ce problème se réduit facilement à la factorisation de n L inverse n est pas prouvé......et est peut-être faux! SIGNATURE ÉLECTRONIQUE 26/64

27 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA LA SIGNATURE RSA Chiffrement RSA: la clé publique est le couple (n, e) la clé privée est un exposant secret, inverse de e: ed = 1 mod ϕ(n) le chiffré d un entier x est y = x e mod n RSA: du chiffrement à la signature RSA : x x e mod n est une permutation sur Z n: Le déchiffré d un message peut servir de signature: en re-chiffrant, on doit retomber sur le message original les rôles des clés sont inversés SIGNATURE ÉLECTRONIQUE 27/64

28 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA LA SIGNATURE RSA Signature: σ = m d mod n Vérification: tester si σ e = m mod n Ce schéma simpliste est: Existentiellement falsifiable par une attaque sans message choisir σ et exhiber m = σ e Universellement falsifiable par une attaque à messages choisis faire signer m/2 et 2 (multiplicativité...) SIGNATURE ÉLECTRONIQUE 28/64

29 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA SIGNATURE RSA AVEC ENCODAGE (PADDING) L encodage (ou bourrage, padding, encapsulation) permet de briser la propriété de multiplicativité les attaques basiques sont rendues inopérantes Le message est encapsulé dans un certain format chaîne de bits fixe accolée au message codage d une propriété du message (checksum, longueur...) chaîne de bits variable mais avec redondance plus sophistiqué... Lors de la vérification de la signature le format de l encapsulation doit être valide SIGNATURE ÉLECTRONIQUE 29/64

30 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RSA AVEC REDONDANCE FIXE On ajoute une suite (de longueur fixe) de 0 au message Message } {{ } RSA signature Attention: il faut un nombre suffisant de 0 sinon on peut tomber sur une redondance valide avec une probabilité non négligeable SIGNATURE ÉLECTRONIQUE 30/64

31 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA RSA AVEC ENCODAGE FIXE Cet encodage consiste à faire subir à m une transformation affine avant la signature: on calcule E(m) = a m + b mod n, a et b sont fixés la signatures est σ = E(m) d mod n vérification: a m + b = σ e mod n Pas d attaque triviale... SIGNATURE ÉLECTRONIQUE 31/64

32 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA ATTAQUES SUR L ENCODAGE RSA Deux attaques ont été trouvées contre ce schéma 1. Falsification existentielle, avec attaque à messages choisis exhibée en 2001 par Brier, Coron et Naccache 2. Falsification sélective (signature d un message donné) en 2002 par Lenstra et Shparlinski SIGNATURE ÉLECTRONIQUE 32/64

33 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA DÉTAILS DE L ATTAQUE DE BRIER ET AL. L attaque fonctionne comme suit: on cherche 4 messages tels que: E(m 1 ) E(m 2 ) = E(m 3 ) E(m 4 ) mod n les signatures vérifient donc: σ 1 σ 2 = σ 3 σ 4 mod n donc si on demande les signatures de trois d entre eux, on calcule facilement la signature du quatrième Comment trouver les messages? SIGNATURE ÉLECTRONIQUE 33/64

34 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA DÉTAILS DE L ATTAQUE (SUITE) Comment trouver les messages? on cherche à satisfaire la relation (am 1 + b) (am 2 + b) = (am 3 + b) (am 4 + b) mod n si on pose P = b/a, t = m 3, x = m 1 m 3, y = m 2 m 3 et z = m 4 m 1 m 2 + m 3, alors l équation se réécrit xy = (P + t) z mod n la méthode des fractions continues permet de résoudre ce type d équations SIGNATURE ÉLECTRONIQUE 34/64

35 Généralités Sécurité des signatures Études de signatures Conclusion Hachage Modélisation Exemple: la signature RSA REMARQUE SUR LA TAILLE DE L ENCODAGE Les attaques ci-dessus s appliquent dès que la taille du message est suffisamment grande (1/3 de la taille de n) taille maximale du message = 340 bits si n fait 1024 bits Danger! Il ne faut pas utiliser RSA avec un encodage trop petit (680 bits au moins réservés à l encodage) SIGNATURE ÉLECTRONIQUE 35/64

36 I. SIGNATURE ÉLECTRONIQUE I.3. ÉTUDES DE SIGNATURES Organisation de la section «ÉTUDES DE SIGNATURES» Signature RSA: utilisation Signatures basées sur le logarithme discret SIGNATURE ÉLECTRONIQUE 36/64

37 Signature RSA: utilisation D-Log SIGNATURE RSA AVEC HACHAGE PLEIN FDH, Full-Domain Hash C est l application la plus simple du Hash-and-sign cette méthode suppose que l on dispose d une fonction de hachage produisant comme empreintes des entiers modulo n Pour signer un message m, on calcule σ = H(m) d le hachage joue le rôle de l encodage Ce schéma a été proposé et prouvé sûr par Bellare et Rogaway en 1996 mais la preuve de sécurité donne une borne mauvaise (i.e., on est oblige de prendre des grands paramètres) SIGNATURE ÉLECTRONIQUE 37/64

38 Signature RSA: utilisation D-Log SÉCURITÉ DE RSA-FDH Preuve de sécurité du schéma: sécurité EF-CMA, sous l hypothèse de difficulté du problème RSA, dans le modèle de l oracle aléatoire Réduction proposée par Bellare et Rogaway: mauvaise pour une probabilité de forge de 2 80 avec 2 60 calculs de hachage, la taille du module doit être de 4096 bits Preuve améliorée en 2000 par Coron en fait un module de 2048 bits est suffisant SIGNATURE ÉLECTRONIQUE 38/64

39 Signature RSA: utilisation D-Log PREUVE DE SÉCURITÉ DE RSA-FDH Réduction: si un attaquant peut forger une signature, je peux m en servir pour construire un attaquant qui résout le problème mathématique RSA Preuve proposée par Bellare et Rogaway (Eurocrypt 1996) preuve par réduction RSA: étant donnés n, e et y, trouver x tel que x e = y mod n dans le modèle de l oracle aléatoire SIGNATURE ÉLECTRONIQUE 39/64

40 Signature RSA: utilisation D-Log SIGNATURE RSA: FORMATS NORMALISÉS Ces normes publiées par RSA Security Inc. existent en 2 versions: 1. PKCS#1 v1.5: pas de preuve de sécurité PKCS#1 v2.1: schéma initialement proposé par Bellare et Rogaway en 1996 (PSS: Probabilistic Signature Scheme) la preuve de sécurité fournit une bonne réduction SIGNATURE ÉLECTRONIQUE 40/64

41 Signature RSA: utilisation D-Log SIGNATURE RSA PKCS#1 V1.5 C est un schéma déterministe: la signature d un message est unique FF FF 00 H(M) AID } {{ } au moins 8 octets } {{ } RSA Signature AID=Algorithm IDentifier SIGNATURE ÉLECTRONIQUE 41/64

42 Signature RSA: utilisation D-Log SÉCURITÉ DE PKCS#1 V1.5 On n en sait rien Aucune preuve de sécurité sur ce schéma aucune certitude mathématique Aucune attaque connue malgré de nombreuses recherches Considéré malgré tout comme une solution raisonnable SIGNATURE ÉLECTRONIQUE 42/64

43 Signature RSA: utilisation D-Log PSS: SCHÉMA DE SIGNATURE PROBABILISTE L algorithme de signature utilise des nombres aléatoires la signature change à chaque fois Seed H(M) Seed Hash G Hash H 00 Masked seed Masked data } {{ } RSA Signature SIGNATURE ÉLECTRONIQUE 43/64

44 Signature RSA: utilisation D-Log SÉCURITÉ DE RSA-PSS Preuve de sécurité sécurité EF-CMA, sous l hypothèse de la difficulté du problème RSA dans le modèle de l oracle aléatoire Conséquences sur le choix des paramètres pour une probabilité de forger de 2 80, avec des longueurs k 0 et k 1 d au moins 200 bits, il faut un module RSA d au moins 1536 bits SIGNATURE ÉLECTRONIQUE 44/64

45 RSA Signatures basées sur le logarithme discret LA SIGNATURE ELGAMAL Elle est directement dérivée de l algorithme de chiffrement du même nom Liée au problème du logarithme discret Définition (Problème du logarithme discret) Soit G un groupe multiplicatif fini, g et y deux éléments de G. Trouver, s il existe, un entier x tel que g x = y dans G. Le plus souvent, G est cyclique et g est un générateur de G SIGNATURE ÉLECTRONIQUE 45/64

46 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: LES CLÉS 1. Choix d un nombre premier p 2. Générateur g du groupe multiplicatif Z p 3. Choix d un entier x compris entre 0 et p 1 4. On calcule y = g x mod p 5. La clé publique est (p, g, y) 6. La clé privée est x SIGNATURE ÉLECTRONIQUE 46/64

47 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: ALGORITHMES Pour signer un message m: 1. choisir k < p 1 aléatoire et premier avec p 1 2. calculer r = g k mod p et s = k 1 (H(m) xr) mod p 1 3. la signature de m est (r, s) Pour vérifier une signature: 1. tester si 0 < r < p 2. calculer u = y r r s mod p et v = g H(m) mod p 3. accepter si u = v SIGNATURE ÉLECTRONIQUE 47/64

48 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: COHÉRENCE y = g x On sait que r = g k s = k 1 (H(m) xr) mod p 1 On a donc: u = y r r s = g xr g kk 1 (H(m) xr) = g xr+h(m) xr = g H(m) = v SIGNATURE ÉLECTRONIQUE 48/64

49 RSA Signatures basées sur le logarithme discret SÉCURITÉ DE LA SIGNATURE ELGAMAL Attention Le non-respect des conditions de la signature ElGamal rend celle-ci falsifiable: 1. il faut utiliser un entier k différent pour chaque nouvelle signature (sinon, on retrouve la clé privée) 2. sans fonction de hachage, on peut produire des forges existentielles (attaque sans message) 3. il faut vérifier que l entier r de la signature est inférieur à p, sinon ce peut être une forge (facile à produire si r > p) Note: il n y a pas de preuve de sécurité (même si on respecte ces trois règles) SIGNATURE ÉLECTRONIQUE 49/64

50 RSA Signatures basées sur le logarithme discret RÈGLE 1: UN ALÉA FRAIS Dans le cas contraire: supposons que k ait été utilisé pour deux messages m 1 et m 2 on a alors: il vient s 1 = k 1 (H(m 1 ) xr) mod p 1 s 2 = k 1 (H(m 2 ) xr) mod p 1 (s 1 s 2 )k = H(m 1 ) H(m 2 ) mod p 1 On en déduit k = (s 1 s 2 ) 1 (H(m 1 ) H(m 2 )) mod p 1 puis on a r = g k Cassage total De sk = H(m) xr, on tire alors la valeur de x SIGNATURE ÉLECTRONIQUE 50/64

51 RSA Signatures basées sur le logarithme discret RÈGLE 2: UNE FONCTION DE HACHAGE Si on n utilise pas de fonction de hachage: on a s = k(m xr) mod p 1 choisir (α, β) avec pgcd(β, p 1) = 1 calculer r = g α y β mod p calculer s = rβ 1 mod p 1 Forge existentielle (r, s) est une signature du message m = sα. En effet le vérifieur calcule u = y r r s = y r (g α y β ) s = g sα y r+sβ = g m = v SIGNATURE ÉLECTRONIQUE 51/64

52 RSA Signatures basées sur le logarithme discret RÈGLE 3: VÉRIFICATION SUR R On suppose que l on a une signature (r, s) sur un message m pour signer m on calcule u = H(m )H(m) 1 on pose s = su par le théorème chinois, on trouve r < p 2 tel que r = ru mod p 1 r = r mod p Forge universelle (r, s ) est une signature valide de m car: r = r = g k mod p s = k 1 (H(m) xr) H(m )H(m) 1 = k 1 (H(m ) xr ) mod p 1 SIGNATURE ÉLECTRONIQUE 52/64

53 RSA Signatures basées sur le logarithme discret SIGNATURE ELGAMAL: EFFICACITÉ La signature est très efficace (une seule exponentiation modulaire) La vérification est coûteuse (3 exponentiations) on peut améliorer l implémentation naïve La signature est longue: deux fois la taille de p SIGNATURE ÉLECTRONIQUE 53/64

54 RSA Signatures basées sur le logarithme discret LA SIGNATURE DSA Un standard de signature basé sur le principe de la signature ElGamal DSA = Digital Signature Algorithm standard Américain (FIPS 186) datant de 1995 utilise une fonction de hachage résistante aux collisions SIGNATURE ÉLECTRONIQUE 54/64

55 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: LES PARAMÈTRES 1. Un nombre premier p 2. Un deuxième nombre premier q diviseur de p 1 3. Un générateur g du groupe cyclique d ordre q de Z p 4. Un entier x < q, on calcule y = g x mod p 5. La clé publique est (p, q, g, y) 6. La clé privée est x SIGNATURE ÉLECTRONIQUE 55/64

56 RSA Signatures basées sur le logarithme discret DSA: GÉNÉRATION D UNE SIGNATURE Pour signer un message m: 1. choisir un entier k < q aléatoire 2. calculer: { (r = g k mod p) mod q s = k 1 (H(m) + xr) mod q 3. la signature de m est (r, s) SIGNATURE ÉLECTRONIQUE 56/64

57 RSA Signatures basées sur le logarithme discret SIGNATURE DSA : VÉRIFICATION 1. Vérifier que r et s sont dans l intervalle [1, q 1] 2. Calculer: 3. Accepter si z = r w = s 1 mod q u = wh(m) mod q v = rw mod q z = (g u y v mod p) mod q SIGNATURE ÉLECTRONIQUE 57/64

58 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: SÉCURITÉ Pas de preuve de sécurité... cela a engendré des critiques et des suspicions En pratique la sécurité repose sur la difficulté de calculer un logarithme discret modulo p ou dans le sous-groupe d ordre q Mêmes remarques que pour ElGamal un k différent à chaque fois, vérification de r et s, hachage Attaque connue (Shparlinski) Si on connaît quelques bits de l aléa k, on peut retrouver la clé privée... SIGNATURE ÉLECTRONIQUE 58/64

59 RSA Signatures basées sur le logarithme discret SIGNATURE DSA: EFFICACITÉ La signature est assez rapide (et beaucoup plus courte que pour ElGamal : 160 au lieu de 1536 bits) La vérification est plus coûteuse (que la signature) Taille recommandée: 160 bits pour q, au moins 1536 pour p SIGNATURE ÉLECTRONIQUE 59/64

60 RSA Signatures basées sur le logarithme discret SIGNATURE ECDSA Extension de DSA aux courbes elliptiques Les courbes elliptiques: objet mathématique abstrait (ensemble de points) muni d une loi: structure de groupe le problème du logarithme discret y est difficile on ne connaît pas d algorithme sous-exponentiel Même description formelle que DSA mais opère dans un groupe plus petit (160 ou 256 bits) plus efficace que Z p (où p = 1536) à condition d implémenter correctement SIGNATURE ÉLECTRONIQUE 60/64

61 RSA Signatures basées sur le logarithme discret LA SIGNATURE DE SCHNORR Une autre variante d ElGamal... comme pour DSA, on prend un sous-groupe d ordre q dans Z p les paramètres sont les mêmes y = g x,... Ce schéma jouit d une preuve de sécurité SIGNATURE ÉLECTRONIQUE 61/64

62 RSA Signatures basées sur le logarithme discret SIGNATURE DE SCHNORR: ALGORITHMES Pour signer un message m 1. choisir k < q aléatoire 2. calculer: 3. la signature de m est (e, s) Pour vérifier une signature: 1. on calcule u = g s y e mod p 2. on accepte si e = H(m u) r = g k mod p e = H(m r) s = k + xe mod q SIGNATURE ÉLECTRONIQUE 62/64

63 RSA Signatures basées sur le logarithme discret SIGNATURE DE SCHNORR: PROPRIÉTÉS La signature est rapide (une seule exponentiation) La vérification demande deux exponentiations mais on peut optimiser Taille de signature: taille de q + taille des condensés Note: le schéma de Schnorr est breveté (Fév. 1991) SIGNATURE ÉLECTRONIQUE 63/64

64 Généralités Sécurité Études de signatures Conclusion CONCLUSION Les applications de la signature sont concrètes et nombreuses Les schémas cryptographiques sont nombreux également préférer ceux avec une preuve de sécurité ou au moins ceux qui sont largement étudiés, depuis longtemps Toujours appliquer scrupuleusement les algorithmes SIGNATURE ÉLECTRONIQUE 64/64