UN I V E R S I T É. Vincennes-Saint-Denis. Hieu Phan & Philippe Guillot. 11 octobre 2013

Transcription

1 PARIS8 UN I V E R S I T É Vincennes-Saint-Denis UFR 6 MITSIC Mathématiques, Informatique, Technologies, Sciences de l Information et de la Communication Preuves de sécurité des schémas cryptographiques Hieu Phan & Philippe Guillot 11 octobre 2013 Master Mathématiques Fondamentales et Protection de l Information

2 Sommaire 3 Sommaire Introduction chapitre I. Rappels de théorie de la complexité Machine de Turing Problèmes P, problèmes N P Problèmes N P complets chapitre II. Fonctions à sens unique Fonction à sens unique concrète Fonction à sens unique asymptotique Exercices chapitre III. Bits difficiles Définition Théorème de Goldreich-Levin Applications Exercices chapitre IV. Générateurs pseudo-aléatoires Approche intuitive Indiscernabilité calculatoire Générateur pseudo aléatoire avec expansion d un bit Générateur pseudo-aléatoire avec expansion polynomiale Exercices chapitre V. Fonctions pseudo-aléatoires Motivation et définition Construction d une famille de fonctions pseudo-aléatoires Exercices chapitre VI. Permutations pseudo-aléatoires Motivation et définition Construction à partir d une famille de FPA Exercices

3 4 Sommaire chapitre VII. Chiffrement Schéma de chiffrement Notions de sécurité Modèles d attaques Construction d un schéma de chiffrement IND CPA Chiffrement de messages de tailles variables Malléabilité Codes d authentification de message Chiffrement CCA-sûr générique Exercices chapitre VIII. Signatures numériques Les cinq mondes d Impagliazzo Définition et sécurité des signatures Le paradigme de Fiat-Shamir La signature une fois de Lamport Une signature plusieurs fois avec état Fonction de hachage Le paradigme hache puis signe Fonctions de hachage universelles à sens unique Exercices chapitre IX. Chiffrement à clé publique Sécurité Historique CPA-sécurité sémantique du schéma ElGamal Chiffrement CCA-sûr dans le modèle standard Exercices Corrigé des exercices Index alphabétique

4 Introduction 5 Introduction Dans l approche classique de la conception de schémas cryptographiques sûr, un concepteur propose une fonction de chiffrement. Elle est soumise à la sagacité de la communauté cryptographique qui va tenter de développer des attaques en identifiant des faiblesses. Si ces faiblesses sont avérées, le schéma est déclaré comme non-sûr. Éventuellement des modifications du schéma initial sont proposées par le concepteur. Le nouveau schéma est à nouveau soumis aux attaques de la communauté qui pourra à nouveau découvrir d éventuelles faiblesses. Finalement, la communauté accepte la sécurité du schéma si aucune faiblesse critique n a été mise en évidence par les travaux des cryptanalystes pendant un certain temps. Cette approche a montré ses limites. Au bout de combien de temps la sécurité soit-elle être acceptée? trois ans? cinq ans? En novembre 1993, la version 1.5 du standard de chiffrement à clés publiques PKCS#1 est publié par l entreprise RSA Laboratories. Cinq ans plus tard, en 1998, Daniel Bleichenbacher publie un article décrivant comment un adversaire peut déchiffrer un message de son choix par une attaque à cryptogrammes choisis. Un système de chiffrement à clé publique, reposant sur le problème du sac à dos a été proposé par Benny Chor et Ronald Rivest en 1988 et a été cassé 10 ans plus tard, en 1998 par Serge Vaudenay. Ces exemples montrent qu il devient nécessaire de développer des arguments pour attester la sécurité d un schéma cryptographique. En cryptographie asymétrique, la sécurité n est plus inconditionnelle. Un adversaire tout puissant dispose de toutes les informations pour retrouver la clé privée. Les adversaires réels ne disposent pas de la puissance de calcul pour effectuer ce travail. La sécurité est devenue calculatoire. Des éléments quantitatifs de sécurité deviennent nécessaires. Quelle est la puissance de calcul, dont dispose un adversaire, et qui ne remet pas en cause la sécurité? Pour aboutir à des preuves de sécurité, les cryptologues revendiquent une approche scientifique du problème qui consiste à formaliser l adversaire, ainsi que les moyens et les informations dont il dispose pour venir à bout du schéma cryptographique. La construction des schémas cryptographique repose sur des problèmes réputés difficiles, comme le problème de la factorisation des entiers, ou le problème du calcul du logarithme discret. Il est admis que les seules attaques réalistes ne peuvent reposer que sur des algorithmes efficaces, qui sont par définition des algorithmes dont la complexité en temps et en mémoire ne dépasse pas un polynôme de la taille des données d entrée. Au delà d une complexité polynomiale, l attaque n est pas réaliste. Il suffit d augmenter légèrement la taille des paramètres pour la rendre impossible. On suppose également que l adversaire peut accéder à des sources auxiliaires d informations, comme par exemple des cryptogrammes dont le clair est connu, afin de couvrir ce qui est raisonnable d envisager en pratique. Pour que la sécurité du schéma cryptographique ne fasse aucun doute, on se place généralement dans le cas le plus favorable pour l adversaire. La sécurité sera avéré si une démonstration existe du fait que l adversaire ne peut pas atteindre le but qui lui est assigné malgré tous les moyens et les informations qui sont à sa disposition. Le but dépend du schéma cryptographique. Cela peut être : retrouver le message clair, retrouver une information partielle sur le clair, forger une fausse signature, s authentifier, etc. Ainsi, dans l approche moderne de la conception des schéma cryptographique, la boucle de conception est évitée. La construction repose sur un processus qui consiste à :

5 6 Introduction s appuyer sur des primitive reposant sur des hypothèses admises, comme la difficulté de factoriser, ou de calculer un logarithme discret, ou encore sur l existence de fonctions à sens unique ; formaliser la cible de sécurité, l adversaire, ses moyens, le type d attaque ; construire un schéma cryptographique ; apporter la preuve de sa sécurité. Une fois cette preuve apportée, la sécurité du schéma s impose, sans avoir recours à la boucle infinie conception attaque correction attaque de l approche traditionnelle. Une preuve de sécurité est la réduction de la sécurité du schéma aux propriété de la primitive. On cherchera à montrer que si un adversaire peut casser le schéma cryptographique, alors on peut en déduire un algorithme pour nier les propriétés de la primitive. Supposons par exemple qu un schéma repose sur la difficulté de factoriser. Si montre l implication suivante : Si un adversaire existe contre ce schéma, alors factoriser est un problème facile, alors par contraposition, on aura finalement montré que Si factoriser est un problème difficile, alors il n existe pas d adversaire contre ce schéma. Comme il est largement admis que la factorisation est un problème difficile, la conclusion s impose. Dans ce domaine de la cryptographie théorique, les acteurs sont des algorithmes. Le principe général des preuves est d utiliser un adversaire comme sous-programme d un programme de factorisation. Exercice. Rappelons que le système de chiffrement à clé publique de Rabin consiste à élever au carré un message modulo un entier n égal au produit de deux nombres premiers de même taille. Le déchiffrement consiste à extraire une racine carrée du cryptogramme. Une redondance dans le clair permet de choisir entre les quatre racines carrées possibles. Montrer que si la factorisation des entiers est un problème difficile, alors le chiffrement de Rabin est sûr contre une attaque à clair choisi.

6 I.1 Machine de Turing 7 I RAPPELS DE THÉORIE DE LA COMPLEXITÉ I.1 Machine de Turing La notion de calculabilité a été formalisé indépendamment par Church et Turing en 1936 pour formaliser ce qui est intuitivement considéré comme calculable. La machine de Turing est un dispositif théorique qui permet de définir ce qui est calculable. Définition I.1 [machine de Turing] Une machine de Turing est... Définition I.2 [machine de Turing non déterministe] Une machine de Turing non déterministe est... I.2 Problèmes P, problèmes N P Un problème est appelé un problème P s il est résoluble par une machine de Turing déterministe en temps polynomial. Exemples. Un problème est appelé un problème N P s il est résoluble par une machine de Turing non déterministe en temps polynomial. I.3 Problèmes N P complets Une réduction polynomiale d un problème P à un problème Q est...

7 8 Fonctions à sens unique II FONCTIONS À SENS UNIQUE Les fonctions à sens unique constituent une primitive de base de la théorie cryptographique. À partir d elles, on peut construire des générateurs pseudo aléatoires ainsi que des fonctions et des permutations pseudo aléatoires qui sont les composants essentiels des procédés de chiffrement symétriques. II.1 Fonction à sens unique concrète De façon informelle, une fonction f est dite à sens unique s il est facile de calculer la valeur pour tout paramètre, mais à l opposé, pour presque toute valeur, il est en pratique impossible de trouver un antécédent ayant cette valeur pour image. Finalement, les seules valeurs qu on peut inverser sont les valeurs qui ont été préalablement calculées. Lorsqu on a calculé f(x) = y, on sait qu un antécédent de y est x. Une fonction est à sens unique, si on ne peut pratiquement pas en dire davantage. La notion d impossibilité pratique repose sur la non existence d algorithme de complexité polynomiale pour résoudre ce problème. Cette notion est asymptotique. Les algorithmes de chiffrement du monde réel, comme le DES ou l AES, ont une taille de clé fixée (56, ou 128 bits), et opèrent sur des blocs de données d une taille fixée (64 ou 128 bits). Cela oblige à distinguer les notions de sécurité concrète ou de sécurité asymptotique. Définition II.1 [Fonction à sens unique concrète] Soient m et n deux entiers fixés. Pour deux réels positifs t et ε, une fonction f : {0, 1} n {0, 1} m est dite (t, ε) à sens unique si pour tout algorithme de complexité inférieure ou égale à t en temps et en espace, la probabilité qu il trouve un antécédent à un élément y = f(x) dans l image de f, où x est choisi aléatoirement dans {0, 1} n, ne dépasse pas ε. La notion de fonction à sens unique est une notion probabiliste. Il sera toujours possible de trouver un antécédent aux valeurs qui ont été calculées. La difficulté est exigée pour un élément aléatoire de l image de f. Les algorithmes d attaques génériques, c est-à-dire ceux qui n utilisent pas la structure particulière des fonctions f, conduisent à des bornes sur les valeurs de t et de ε. L algorithme de la force brute, qui consiste à faire un calcul exhaustif des valeurs donne une première borne. Proposition II.2 [Borne de la force brute] Soit f : {0, 1} n {0, 1} m une fonction (t, ε) à sens unique, alors les paramètres t et ε vérifient t ε = O( (m + n)2 n). Preuve. Pour prouver ce résultat, il suffit d exhiber un algorithme de complexité t qui réussit avec un probabilité ε à trouver un antécédent x à une valeur y aléatoire de l image f({0, 1} n ). Considérons l algorithme suivant : Pour k valeurs aléatoires distinctes x i, calculer y i = f(x i ). Si y i = y alors rendre x i comme antécédent. Sinon, renvoyer une valeur aléatoire. La probabilité de succès de cet algorithme vaut la probabilité que l un des y i soit égal à y, soit k/2 n. Or la complexité de calcul de la valeur f(y i ) est est au moins égale à (m + n). La complexité de l algorithme est bornée par t = k/(n + m), donc ε k/2 n = t/(m + n)2 n, donc y/ε (n + m)2 n.

8 II.2 Fonction à sens unique asymptotique 9 En pratique, pour atteindre un paramètre de sécurité de 2 80 pour le temps de calcul et de 1/2 60 pour la probabilité de succès, il faut que 2 n , soit n 140. Des attaques plus subtiles que la force brute sont apparues, en particulier, l attaque par compromis temps-mémoire, introduite par Martin Hellman dans son article A cryptanalytic time-memory trade-off, publié en Proposition II.3 [Borne du compromis temps-mémoire] Soit f : {0, 1} n {0, 1} m une fonction (t, ε) à sens unique, alors les paramètres t et ε vérifient t 2 ε = O( (m + n) 2 2 n). Preuve. Considérons l algorithme suivant : 1. Précalcul. Pour j = 1 jusqu à t, calculer z j f = f t (x j ) pour t valeurs aléatoires x 1,... x t. Mémoriser les couples (x j, z j ) dans une table. 2. Pour l entrée y, et pour i = 1 jusqu à t, calculer y j = f i (y). Si un des y i vaut un des z j alors c est qu un image itérée de x j vaut y. L image itérée précédente est un antécédent de y. La complexité de l algorithme est t t (m + n) pour la phase de précalcul qui est effectuée une fois pour toute. L algorithme réussit s il existe un élément commun dans les listes (z j ) et (y i ) et il échoue dans le cas contraire. La probabilité de succès vaut la probabilité de trouver un élément commun dans deux listes aléatoires de t éléments choisies aléatoirement parmi 2 n. Le paradoxe des anniversaires indique que cette probabilité vaut ε = t 2 /2 n+1. Pour chaque y, la complexité du calcul est majorée par (m + n) t. Cette borne impose que, pour atteindre les paramètres de sécurité t 2 80 et ε 1/2 60, la valeur de n doit vérifier 2 n = 2 220, donc n 220. II.2 Fonction à sens unique asymptotique Définissons tout d abord ce qu est une fonction négligeable. Définition II.4 [fonction négligeable] Une fonction µ : N R est négligeable si elle est inférieure à l inverse de tout polynôme à partir d un certain rang, c est-à-dire s il pour tout polynôme P (x) R[x], on a : N N, n N, µ(n) 1 P (n). Exemples. La fonction n : 1/2 n/2 est négligeable, la fonction n : n k ne l est pas. Une fonction non négligeable est une fonction qui est asymptotiquement supérieure à l inverse d un polynôme. L ensemble des fonctions non-négligeables est stable par addition, par multiplication. La puissance d une fonction non négligeable est non négligeable. L ensemble {0, 1} est par définition le monoïde libre sur l alphabet {0, 1}, c est-à-dire l ensemble des mots de longueur quelconque, y compris le mot vide noté ε, écrits avec des 0 et des 1. Pour définir les fonctions à sens unique asymptotique, la taille des paramètres et des valeurs n est pas fixée. Ce sont des mots de longueur quelconque.

9 10 Fonctions à sens unique Définition II.5 [Fonction à sens unique asymptotique] Une fonction f : {0, 1} {0, 1} est dite à sens unique si les deux conditions suivantes sont remplies : 1. La fonction f est facile à calculer, c est-à-dire il existe un algorithme efficace qui, pour tout élément x {0, 1} calcule f(x). 2. La fonction f est difficile à inverser, c est-à-dire, pour tout algorithme A qui s exécute en temps polynomial en n, la probabilité de trouver un antécédent de taille n d un élément aléatoire y de l image de f est une fonction négligeable en n. On exprime la seconde condition en énonçant que pour tout algorithme efficace A, la fonction : (1) n Prob x R {0,1} (A ( n 1 n, f(x) ) ) = x et f(x) = f(x ), est une fonction négligeable. Quelques explications sur les notations de l écriture (1) : La notation x R {0, 1, } n signifie que la probabilité est exprimée lorsque x est un élément choisi aléatoirement avec la probabilité uniforme dans l ensemble {0, 1} n. Le paramètre 1 n de l algorithme A est un artifice technique pour imposer un paramètre de taille n à l algorithme A. L algorithme A est supposé efficace, c est-à-dire qu il a une complexité polynomiale en la taille des données. Avec ce paramètre, la complexité de A est bornée par un polynôme en n. Sans ce paramètre, si par exemple la taille de f(x) est en log(n), la complexité de A serait simplement bornée par un polynôme en log(n), ce qui change complètement la complexité supposée de l algorithme A. Comme le calcul de la valeur d une fonction à sens unique est d une complexité polynomiale, retrouver un antécédent d une fonction à sens unique est un problème N P. En conséquence, une fonction à sens unique ne peut exister que si P N P. On ne sait pas s il existe une fonction à sens unique. Cette existence est vraisemblable, mais on ne peut pas la prouver tant que la conjecture P N P n est pas résolue. La seule chose qu on puisse dire actuellement est que si une fonction à sens unique existe, alors P N P. Un problème est N P complet s il est difficile à résoudre dans le pire des cas. La définition des fonctions à sens unique stipule qu elles sont difficiles à inverser dans le cas moyen. Même si on savait qu il existe un problème N P qui n est pas P, le problème de l existence de fonction à sens unique resterait ouvert. La notion de fonction à sens unique est commode pour traiter des résultats théoriques, mais en pratique, on a plutôt affaire à des familles de fonctions à sens unique, comme par exemple la fonction puissance qui opère sur un groupe Z/pZ avec une taille donnée pour p. Soit p un nombre premier. Pour tout entier n {0,..., p 1} et un générateur g de Z/pZ, il existe un algorithme efficace pour calculer g n, par exemple par une succession de multiplications et d élévations au carré. Inversement, étant donné un élément y de Z/pZ, on ne connaît actuellement pas d algorithme de complexité polynomiale en la taille de y pour trouver l exposant n qui vérifie y = g n. Ce problème est le problème du logarithme discret. La fonction puissance est en pratique une fonction à sens unique. Comme la fonction est différente pour chaque taille de paramètre, on a affaire à une famille de fonctions à sens unique. Nous sommes donc amené à définir cette dernière notion.

10 II.2 Fonction à sens unique asymptotique 11 Définition II.6 [Famille de fonctions à sens unique] Soit I un ensemble d indices inclus dans {0, 1}. Une famille de fonctions (f i ) i I de fonctions D i {0, 1} est une famille de fonctions à sens unique si les deux conditions suivantes sont remplies : 1. La famille est facile à échantillonner, c est à dire : a) Il existe un algorithme probabiliste S 1, prenant en paramètre un entier n, de complexité polynomiale en n qui génère un élément i, de taille n, aléatoire dans I. b) Il existe un algorithme probabiliste efficace S 2, qui à partir d un élément i de I, génère un élément aléatoire x du domaine D i. 2. Les fonctions f i sont faciles à calculer, c est-à-dire il existe un algorithme efficace A qui, à partir d un élément i I et d un élément x D i calcule f i (x). 3. Les fonctions f i sont difficiles à inverser, ce qui signifie que la probabilité de succès de tout algorithme efficace qui prend en entrée un élément i produit par l algorithme S 1 et un élément aléatoire y de l image de f i, égal à f i (x), où x est produit par l algorithme S 2, pour trouver un antécédent de y, a une probabilité de succès négligeable en la taille de l indice i et de l élément y. La notion de famille de fonction à sens unique est plus proche des fonctions qu on utilise en cryptologie réelle, comme le produit d entiers, la fonction puissance ou la fonction RSA. À l opposé, la notion de fonction à sens unique asymptotique, donnée par la définition II.5, est plus théorique et est plus commode pour manipuler les preuves de sécurité. Nous verrons que ces deux notions sont équivalentes. Dans les applications cryptologiques, en particulier à clé publique, il faut penser l indice i comme étant la clé publique qui permet le chiffrement. L inversion de la fonction est réservée aux détenteurs de la clé privée correspondantes. Un algorithme probabiliste est un algorithme qui produit un résultat aléatoire dans l ensemble des valeurs possibles. On peut considérer qu un tel algorithme est un algorithme déterministe qui a un argument supplémentaire constitué d une chaîne aléatoire r {0, 1} en fonction de laquelle l élément aléatoire est produit. La fonction qui à un couple de nombre premiers distincts de même taille associe leur produit est supposé être une fonction à sens unique. C est précisément sur cette supposition que repose la sécurité du système RSA. Voici comment il est formalisé : L ensemble d indices est l ensemble N des entiers naturels. Pour un entier i N, le domaine D i est l ensemble des couples de nombres premiers dont la taille vaut i. Pour un entier n N, l algorithme S 1 renvoie un entier i aléatoire de taille n. L algorithme S 2 génère deux nombres premiers de taille i. Pour générer un nombre premier de taille i, on génère un entier aléatoire, puis on teste sa primalité à l aide d un test probabiliste de type Miller-Rabin, ou bien à l aide du test AKS qui est déterministe et de complexité polynomiale. Pour i I, la fonction f i est (p, q) p q. Trouver un antécédent de f i revient à factoriser un entier qui est le produit de nombre premiers de tailles similaires. Les meilleurs algorithmes actuels de factorisation ont une complexité qui n est pas polynomiale. La notion de fonction à sens unique asymptotique est plus facile à utiliser pour démontrer des résultats de sécurité, mais la notion de famille de fonctions à sens unique correspond mieux au fonctions utilisées en pratique. Le théorème suivant énonce que ces deux notions sont équivalentes, ce qui permettra de considérer l un ou l autre cas selon ce qui est le plus commode.

11 12 Fonctions à sens unique Théorème II.7 Il existe une fonction à sens unique si et seulement si il existe une famille de fonctions à sens unique. Preuve. Supposons tout d abord qu il existe une fonction à sens unique f : {0, 1} {0, 1} et construisons à partir de f une famille de fonctions à sens unique. L ensemble d indices I est I = {0, 1} l ensemble des mots binaires. Pour un mot binaire i donné dans I, on définit le domaine D i comme étant l ensemble des mots binaires de la même longueur que i, c est-à-dire D i = {0, 1} i. L algorithme S 1 choisit un mot aléatoire binaire de longueur n. L algorithme S 2 choisit un mot aléatoire binaire de longueur i. Pour tout i I, la fonction f i est : f i : D i {0, 1} x f(x) Comme la fonction f est à sens unique, toutes les fonctions f i sont à sens unique, car dans le cas contraire, on pourrait immédiatement en déduire un algorithme qui inverse la fonction f sur une entrée de longueur n, en trouvant un inverse de f n. Ceci montre donc l existence d une famille de fonctions à sens unique (f u ) i I. Réciproquement, à partir d une famille de fonctions à sens unique, construisons une fonction à sens unique f. Rappelons qu un algorithme qui rend un résultat aléatoire peut se modéliser comme un algorithme déterministe qui prend en paramètre un mot binaire aléatoire servant de germe à la génération de l aléa nécessaire à son calcul. Pour un élément z de {0, 1}, on définit la valeur de f(x) ainsi : On coupe le mot binaire z en deux mots de taille moitié. Soit x = (r, s). On utilise la première moitié r comme chaîne aléatoire qui alimente l algorithme S 1 de la famille de fonctions à sens unique, et on utilise la deuxième moitié s comme chaîne aléatoire qui alimente l algorithme S 2. Ces algorithmes fournissent de manière déterministe un indice i = S 1 (r) I, puis un élément x = S 2 (s, i) D i. On pose finalement : f(r, s) = ( f i (x), i ). Il reste à montrer que la fonction f est à sens unique. Pour cela, supposons le contraire. Cela signifie que sur une entrée (y, i) {0, 1} I, il existe un algorithme efficace qui trouve un élément (r, s) vérifiant i = S 1 (r) et f(r, s) = f i (y). Si on pose x = S 2 (s, i), qui est calculable en temps polynomial, on a trouvé un antécédent x de y par f i, ce qui montre que sous cette hypothèse, la famille (f i ) n est pas à sens unique. II.3 Exercices 1. Formaliser précisément la famille de fonctions supposée à sens unique reposant sur le logarithme discret dans un corps F p. 2. Même question pour la fonction RSA. 3. Montrer que si P N P, alors il existe des fonctions qui sont difficiles à inverser dans le pire des cas, mais qui ne sont pas des fonctions à sens unique. 4. Une fonction {0, 1} {0, 1} est dite à longueur régulière si x, y {0, 1}, x = y = f(x) = f(y)

12 II.3 Exercices 13 Montrer que s il existe une fonction à sens unique, alors il existe une fonction à sens unique à longueur régulière. 5. On dit qu une fonction {0, 1} {0, 1} conserve les longueurs si, pour tout x {0, 1}, on a f(x) = x. Montrer que s il existe une fonction à sens unique, alors il existe une fonction à sens unique qui conserve les longueurs. 6. Soit f : E E une fonction à sens unique. 1. La fonction f f est-elle à sens unique? 2. La fonction g : x ( f(x), f f(x) ) est-elle à sens unique? 3. On suppose maintenant que f est bijective. La fonction f f est-elle à sens unique?

13 14 Bits difficiles III BITS DIFFICILES Si une fonction est à sens unique, c est qu elle cache l information sur l antécédent d une valeur donnée. Un bit difficile d une fonction est une information binaire sur l entrée qu il est difficile de retrouver à partir de la valeur de la fonction. Le minimum qu on puisse exiger d une fonction à sens unique est l existence d une information calculatoirement inaccessible à partir de la valeur. Cela caractérise en fait les fonctions à sens unique. III.1 Définition Soit f : {0, 1} {0, 1} une fonction à sens unique. Considérons la fonction F, qui au couple (x, i), avec x {0, 1} et i {1,..., x } associe le triplet (f(x), x i, i). La fonction F a la propriété d être à la fois à sens unique et de ne cacher aucun bit de son entrée, en ce sens qu il existe un algorithme qui, à partir d une valeur (y, b, i) trouve la valeur de tout bit x j de l entrée avec une probabilité supérieure à , où n est la taille de l entrée. 2n Plus précisément, pour tout entier n, pour tout i compris entre 1 et n, il existe un algorithme A i tel que, pour tout x = (x 1,..., x n ) choisi aléatoirement dans {0, 1} n, la probabilité que A i trouve la valeur de x i à partir de y = F (x) est supérieure à n. Exercice. Montrer que la fonction puissance sur un corps fini premier Z/pZ ne cache pas le bit de poids faible. Définition III.1 [Bit difficile] Étant donnée une fonction f : {0, 1} {0, 1}, une fonction booléenne {0, 1} {0, 1} est un bit difficile pour f si 1. La fonction b est calculable en temps polynomial. 2. Tout algorithme polynomial ne peut calculer b(x) à partir de f(x) qu avec une probabilité négligeable, c est-à-dire, pour tout entier n, est une fonction négligeable en n. 1 2 Prob x R {0,1} n[a(1n, f(x)) = b(x)] L exemple introductif montre qu il existe des fonctions à sens unique telles qu aucune fonction x x i ne soit un bit difficile. III.2 Théorème de Goldreich-Levin D après le résultat de l exercice 3 ci-dessus, une fonction injective qui a un bit difficile est nécessairement à sens unique. Le théorème de Goldreich-Levin énonce réciproquement qu à partir d une fonction à sens unique, on peut construire une autre fonction à sens unique qui lui est similaire et qui a un bit difficile. Ce résultat est au cœur de la théorie cryptoglogique. Théorème III.2 [Goldreich-Levin] Soit f une fonction à sens unique. Soit g la fonction définie à partir de f par : g : (x, r) ( f(x), r ), avec x = r, alors la fonction booléenne (x, r) x r est un bit difficile pour g, le produit scalaire x r étant défini par x r = n i=1 x ir i (modulo 2)

14 III.2 Théorème de Goldreich-Levin 15 Preuve. Supposons pour une contradiction que la fonction g n est pas à sens unique. Il existe alors un algorithme efficace qui permet de trouver un antécédent (x, r) à partir d une valeur (y, r), et cet algorithme permet en particulier de trouver un antécédent x de y par f. Ceci montre que f n est alors pas à sens unique, ce qui contredit l hypothèse. On suppose pour une contradiction qu il existe un algorithme B, capable de trouver x r avec une probabilité non négligeable. Supposons dans un premier temps que B trouve x r avec certitude, c est-à-dire avec une probabilité égale à 1 à partir d une valeur (y, r). Cet algorithme, appliqué successivement avec r égal aux éléments de la base canonique de {0, 1} n, renvoie les composantes successives de x. Si maintenant, l algorithme B rend une réponse non certaine, par exemple avec une probabilité non négligeable, égale par exemple à , alors la méthode ci-dessus ne permet pas de conclure, n ( 1 car il rend une bonne réponse avec une probabilité ) n ( 1 n ( = 1 + n 2) 1 ) n qui devient 2n négligeable. Il faut trouver une autre idée. Cette idée est de construire un algorithme A qui trouve x avec une probabilité non négligeable en faisant une hypothèse sur l bits de x. Si ces l bits sont choisis au hasard, la probabilité qu ils soient justes est en 1/2 l, mais si l est assez petit devant n, la probabilité de succès restera non négligeable. Soit donc B(y, r) un algorithme qui, pour tout entier n, à partir de y = f(x), pour un élément x R {0, 1} n aléatoire, et un élément r R {0, 1} n aléatoire également, trouve b(x, r) = x r à avec une complexité est bornée par un polynôme en n et réussit avec une probabilité non négligeable en n. Notons (2) Prob x,r R {0,1} n [ B ( f(x), r ) = x r ] ε(n). Construisons un algorithme A qui utilise B comme sous-programme, efficace en n et qui inverse f, c est-à-dire trouve x, avec une probabilité non négligeable. L algorithme A s appuiera sur l valeurs supposées connues b 1 = x r 1,... b l = x r l, pour l valeurs aléatoires de l élément r {0, 1} n. Pour tout sous-ensemble I de {1,..., l}, posons r I = i I r i (modulo 2). Par bilinéarité du produit scalaire, on a x r I = i I c r i (modulo 2). Finalement, la connaissance de l bits permet de connaitre 2 l valeurs. La valeur de r étant connue, pour tout indice i {1,..., n}, la valeur de x i se déduit de celle de x (r + e i ), par : x r + x (r + e i ) = x e i = x i, oà e i est le vecteur de {0, 1} n dont la seule composante non nulle est la i e qui vaut 1. Considérons l algorithme A qui, sur une entrée y = f(x), pour x aléatoire dans {0, 1} n, fait appel à l algorithme B(y, r I +e i ) pour tous les sous-ensembles non vides de {1,... l} pour estimer la valeur de x i. La valeur de r I x i étant incertaine et afin d amplifier la probabilité de succès, la valeur de x i est estimée par un vote majoritaire pour toutes les valeurs x r I + B(y, r I + e i ). Précisément, posons b i,i la réponse de B(y, r I + e i ). Soit x i,i = x r I + b i,i la valeur estimée de x i à partir de la réponse b i,i de l algorithme B. Soit m = 2 l 1 le nombre de sous-ensembles I non vides de {1,..., l}. Il s agit du nombre d appels à l algorithme B. L estimation de x i par vote majoritaire est { 0 si x i = I x i,i < m/2 ; 1 si I x i,i m/2. Pour montrer cet algorithme convient pour inverser f avec une probabilité non négligeable, il reste à évaluer sa probabilité de succès et sa complexité.

15 16 Bits difficiles L algorithme A fait appel à l algorithme B sur des valeurs aléatoires de r, mais avec toujours la même valeur de y = f(x) à inverser. La probabilité de succès de B dans ces conditions ne peut pas se déduire directement de la relation (2), car cette valeur est donnée pour une entrée y aléatoire. Le lemme suivant majore la probabilité de succès de B(y, r) lorsque qu il est appelé avec une valeury fixée. Lemme III.3 Soit x un élément fixé de {0, 1} n. Considérons l évènement S(x) suivant : L algorithme B ( f(x), r ) trouve le bit difficile x r avec une probabilité non négligeable au moins égale à 1/2 + ε(n). Lorsque x est choisi au hasard dans {0, 1} n, la probabilité de l évènement S(x) est non négligeable et supérieure à ε(n)/2. Preuve. Soit S n l ensemble des vecteurs x pour lesquels l algorithme B(f(x), r) réussit avec une probabilité non négligeable supérieure à 1/2 + ε(n)/2. Montrons que le cardinal de l ensemble S n satisfait S n 2 n ε(n)/2. Pour cela, supposons le contraire en vue d une contradiction. Dans ce cas, on a ( ) Prob x,r (B(f(x), r) = x r) = Prob r B(f(x), r) = x r x Sn Prob(x S n ) } {{ } } {{ } 1 < ε(n)/2 ( ) + Prob r B(f(x), r) = x r x Sn < ε(n) 2 } {{ } < 1/2 + ε(n)/ ε(n) 2 = ε(n) Prob(x S n ) } {{ }, 1 ce qui est contradictoire avec l hypothèse (2). Cette inégalité sur le cardinal de l ensemble S n montre que la probabilité de l évènement S(x) vaut au moins ε(n)/2. Lemme III.4 Si l entier l satisfait 2 l n/ε(n) 2, et sous l hypothèse que les l valeurs b 1,..., b l de x r 1,... x r l sont exacte, la probabilité de succès de l algorithme A est asymptotiquement supérieure à 1/ e 0, 6. Preuve. Soit X i,i la variable aléatoire qui vaut 1 si l estimation x ii est fausse et qui vaut 0 sinon, c est-à-dire X i,i = x i + x i,i (modulo 2). D après le lemme III.3, on a : Prob(X i,i = 0) ε(n) 2. Par conséquent, l espérance de la variable X i,i satisfait E(X i,i ) 1/2 + ε(n)/2. Posons X i la variable aléatoire égale au nombre d estimations fausses faites pour chacun des sous-ensembles non vides I de {1,..., l}, c est-à-dire : X i = X i,i. Par linéarité de l espérance, on a : I {1,...,l} I (3) E(X i ) m 2 + mε(n) 2, donc : X i E(X i ) X i m 2 mε(n) 2.

16 III.2 Théorème de Goldreich-Levin 17 Or, en raison de la façon d estimer la composante x i du vecteur x, la probabilité que x i soit différent de x i est exactement la probabilité que X i soit supérieure à m/2. En raison de l inégalité (3), on a : ( Prob(x i x i ) = Prob X i m ) ( Prob X i E(X i ) m ε(n) ) 2 2 ( Xi Prob E(X i ) ε(n) ) m 2 D après l inégalité de Chebychev, on a : Prob(x i x i ) 4 Var(X i) m 2 ε(n) 2. Comme pour deux sous-ensembles distincts de {1,..., l} il existe nécessairement un élément qui appartient à l un sans appartenir à l autre, les variables X i,i sont deux-à-deux indépendantes. La variance de X i est donc la somme des variances des X i,i : Or : Var(X i ) = I {1,...,l} I Var(X i,i ). Var(X i,i ) = E(X 2 i,i) E(X i,i ) 2. Mais comme la variable X i,i prend ses valeurs dans l ensemble {0, 1}, elle est égale à son carré, d oà : Var(X i,i ) = E(X i,i ) E(X i,i ) 2. Pour majorer Var(X i,i ), étudions la fonction x x x 2 = x(1 x). Elle a son maximum qui vaut 1/4 en 1/2, par conséquent : et donc Par conséquent, Var(X i,i ) 1 4, Var(XX i ) m 4 Prob(x i x i ) 1 mε(n) 2 Lorsque l entier l satisfait 2 l n/ε(n) 2, on a m = 2 l 1 donc 2m > 2 l et donc : Prob(x i x i ) 1 2n, ce qui signifie que l algorithme A calcule correctement le bit x i avec une probabilité supérieure à ( 1 1/2n. L ensemble des bits de x est donc calculé avec une probabilité supérieure à 1 1 ) n, 2n et cette quantité converge vers 1/ e. L algorithme A calcule le vecteur x avec une probabilité non négligeable, asymptotiquement minorée par une constante. Fin de la preuve du théorème de Goldreich-Levin. Montrons maintenant que l algorithme A trouve un antécédent de y = f(x) avec une probabilité non négligeable. Soit C l évènement les l valeurs estimées b 1,..., b l sont correctes, et S(x) l évènement L algorithme B ( f(x), r ) trouve le bit difficile x r avec une probabilité non négligeable au moins égale à 1/2 + ε(n).. Ces évènements sont indépendants. Soit R l évènement qui énonce le succès de l algorithme A. On a : Prob(R) Prob(R C, S(x)) Prob(C S(x)).

17 18 Bits difficiles La probabilité de l évènement C vaut 1/2 l ε(n). La probabilité de l évènement S(x) est n supérieure à ε(n), et la probabilité de succès de A sachant que les évènements C et S(x) sont réalisés est supérieure à 1/ e. Il en résulte que : Prob x R {0,1} n ( R ) 1 e ε(n)3 n, qui est non négligeable. L algorithme A fait n 2 l appels à l algorithme B. Si l algorithme B est efficace, alors l algorithme A l est aussi. III.3 Applications III.3.1. Engagement de bit L image typique de l engagement de bit est le jeu de pile ou face par téléphone. Si les partenaires ne se font pas confiance, il faut un protocole particulier. A Engagement c Jeu b Ouverture d B 1. Le joueur A choisit un bit b et engage ce bit par le calcul de deux valeurs : une valeur d engagement (commit) c, qu il transmet à B lors de la première passe. une valeur de désengagement d, qu il conserve pour plus tard. 2. Le joueur B joue un bit b et le transmet à A lors de la deuxième passe. 3. Le joueur A transmet la valeur du désengagement d qui va révéler la valeur de son choix b au joueur B. Pour mettre en œuvre ce jeu, deux fonctions sont requises : Une fonction d engagement com, qui à partir d un bit b, calcule un couple (c, d) d engagement de désengagement. Une fonction d ouverture open, qui à partir du couple (c, d) d engagement et de désengagement, dévoile la valeur du bit b. Pour empêcher la triche, deux propriétés de sécurité sont définies : La propriété d enchérissement (biding) : la probabilité de trouver deux valeurs de désengagement d et d est négligeable. Cette propriété signifie qu une fois l engagement émis, il n est pas possible de changer le résultat. En d autres termes, il n existe pas d algorithme efficace qui calcule un triplet (c, d, d ) tel que open(c, d) = open(c, d ). La propriété de discrétion (hiding) : la valeur de c ne divulgue aucune information sur la valeur du bit b choisi. En d autres termes, il n existe pas d algorithme efficace qui permet de trouver la valeur de b à partir de a. Un bit difficile d une fonction à sens unique permet de satisfaire la propriété de discrétion. Si de plus, cette fonction à sens unique est choisie injective, la propriété d enchérissement sera assurée.

18 III.4 Exercices 19 III.3.2. Preuve sans divulgation L existence de fonction à sens unique injective implique l existence de preuve sans divulgation de la connaissance d une solution de problème N P (ZK=Zero-Knowledge proof). Un protocole de preuve sans divulgation comprend deux acteurs : Un prouveur qui prouve sa connaissance d une donnée sans la révéler. Un vérifieur, qui vérifie la preuve. À l issue du protocole, le vérifieur est convaincu que le prouveur détient la donnée en question, mais n a acquis aucune information sur cette dernière. Pour montrer cette assertion, il suffit de la montrer pour un problème N P complet. Illustrons cette propriété sur le problème 3 COL. Il s agit de convaincre qu un graphe G est coloriable avec trois couleurs, sans révéler aucune information sur la façon de la colorier. Le prouveur A peut prouver au vérifieur B qu il connait un coloriage, mais cette preuve n est pas transmissible : B ne pourra pas convaincre d autres personnes que le graphe est coloriable. Une preuve sans divulgation se construit à partir d un engagement de bits. Un graphe G est un couple (V, E) de sommets et d arrêtes. Les arrêtes sont un sous-ensemble de paires {i, j} de sommets. Un coloriage à trois couleurs est une application σ ; V {1, 2, 3} telle que pour toute arrête {i, j}, on a σ(i) σ(j). La preuve sans divulgation de la connaissance d une telle application σ est interactive et se déroule sur plusieurs tours. Pour chaque tour : 1. Engagement : le prouveur choisit une permutation aléatoire des couleurs π : {1, 2, 3} {1, 2, 3}, et pour chaque sommet, transmet un engagement de la composition du coloriage avec cette permutation π. 2. Défi : Le vérifieur défie le prouveur de révéler le coloriage d une arrête {i, j} aléatoire. 3. Révélation : Le prouveur révèle la valeur de désengagement, ce qui permet de vérifier que les sommets i et j sont coloriés différemment. En raison de la propriété d enchérissage, le prouveur ne peut plus changer les couleurs σ(i) et σ(j). Si le graphe n est pas coloriable en trois couleurs, alors il existe au moins une arrête dont les sommets ont la même couleur, et le vérifieur pourra l observer à l issue du désengagement. La probabilité de convaincre le vérifieur alors qu on ne connait pas le coloriage du graphe vaut 1 1 ( E. Après un nombre de tours égal à n E, la probabilité de fausse preuve vaut 1 1 ) E n. E ( 1 ) n Si le nombre d arrête est assez grand, une bonne approximation de cette valeur est qui e converge vers O. La probabilité de prouver la connaissance d une donnée qu on ignore est donc négligeable. III.4 Exercices 1. Montrer que, si on suppose que la fonction RSA est à sens unique sans la connaissance de la factorisation du modulo, alors le bit de parité de la fonction RSA est difficile. 2. Montrer que le bit de parité de la fonction d exponentiation sur un corps fini n est pas un bit difficile 3. Montrer que si une fonction injective a un bit difficile, alors elle est à sens unique, et que ce résultat est faux si on ne suppose pas la fonction injective. 4. Construire précisément un schéma d engagement de bit à partir d une fonction à sens unique injective et prouver sa sécurité.

19 20 Générateurs pseudo-aléatoires IV GÉNÉRATEURS PSEUDO-ALÉATOIRES IV.1 Approche intuitive Un générateur pseudo-aléatoire (GPA) agit comme un amplificateur d aléa. Il s agit d un algorithme déterministe qui, à partir d une petite source aléatoire, produit une suite plus longue, constituée de symboles qu on ne peut pas distinguer d une véritable source aléatoire. Ceci est illustré par le schéma suivant : graine (courte) GPA pseudo-aléa (long) Tout d abord, montrons qu il est impossible de réaliser un générateur pseudo-aléatoire parfait. Il est impossible de créer du véritable aléa à partir d une fonction déterministe. Définition IV.1 [distance statistique] Soient X et Y deux variables aléatoires à valeur dans un même ensemble fini X. On appelle distance statistique de X et Y la quantité : (X, Y ) = α X Prob(X = α) Prob(Y = α). Définition IV.2 [Familles statistiquement indiscernables] Soient X = (X n ) n N et Y = (Y n ) n N deux familles de variables aléatoires à valeur dans le même ensemble fini X. On dit que les deux familles sont statistiquement indiscernables si la distance statistique de X n à Y n est une fonction négligeable de n. Montrons qu un GPA parfait n existe pas. Ce résultat est similaire au principe de non création d information en théorie de l information qui énonce qu il est impossible de créer de l information à partir d une manipulation déterministe des données. Proposition IV.3 [Inexistence d un GPA statistique] Pour tout entier n, soit U n la variable aléatoire uniforme sur l ensemble {0, 1} n. Soit g ( une fonction quelconque {0, 1} n {0, 1} n+1. Alors, les familles de variables aléatoires g(un ) ) et (U n N n+1) n N ne sont pas statistiquement indiscernables. Preuve. La loi de g(u n ) est donnée, pour y {0, 1} n+1, par : Prob ( g(u n ) = y ) = Prob(U n = x) = 1 2 n #{x {0, 1}n g(x) = y}. x,g(x)=y Soit n un entier. La distance statistique (n) = ( ) g(u n ), U n+1 entre les variables aléatoires g(un ) et U n+1 est donnée par : (n) = Prob ( g(u n ) = y ) Prob(U n+1 = y) y {0,1} n+1 = 1 2 n+1 y {0,1} n+1 2# { x {0, 1} n g(x) = y } 1 Dans cette somme, comme 2# { x {0, 1} n g(x) = y } est un entier pair, chaque terme est supérieur ou égal à 1. D où (n) 1 qui n est pas négligeable.

20 IV.2 Indiscernabilité calculatoire 21 IV.2 Indiscernabilité calculatoire La qualité d un générateur pseudo-aléatoire, qui est l impossibilité de discerner entre une source issue d un véritable générateur d aléa (GDA) et une source issue d un générateur pseudo-aléatoire (GPA) est donc une notion calculatoire. Si le GPA est sûr, un algorithme efficace ne doit pouvoir le distinguer d un GDA qu avec une probabilité négligeable. Définition IV.4 [avantage d un distingueur] Considérons deux familles variables aléatoires X = (X n ) n N et Y = (Y n ) y N. Un distingueur de ces familles est un algorithme D qui est supposé discerner l une de l autre et qui rend une valeur binaire 0 ou 1, sur une réalisation de l une ou l autre de ces variables aléatoires. L avantage de D est la fonction : Adv D (X n, Y n ), : n Prob ( D(1 n, X n ) = 1 ) Prob ( D(1 n, Y n ) = 1 ) Un distingueur prend en paramètre la réalisation d une variable aléatoire. La valeur rendue est donc aléatoire. L avantage d un distingueur est nul s il ne peut pas discerner l une et l autre famille. Il vaut 1 s il discerne toujours une réalisation de X n d une réalisation de Y n. Pour deux familles de variables aléatoires, l ensemble des avantages de tous les distingueurs est un sous-ensemble de R majoré par 1. Il admet donc une borde supérieure, ce qui autorise la définition suivante : Définition IV.5 [distance calculatoire de familles de variables aléatoires] Étant données deux familles de variables aléatoires X = (X n ) n N et Y = (Y n ) y N sur un même ensemble, la distance calculatoire entre ces deux familles, notée X,Y (n) est la fonction en n qui donne l avantage du meilleur distingueur, c est-à-dire pour tout n entier : ( X,Y (n) = sup Adv D (X n, Y n ) ), D D où D est l ensemble des distingueurs de complexité polynomiale. La distance calculatoire satisfait l inégalité triangulaire. Proposition IV.6 [inégalité triangulaire sur la distance calculatoire] Soient X = (X n ) n N, Y = (Y n ) y N et Z = (Z n ) y N trois familles de variables aléatoires. La distance calculatoire satisfait pour tout entier n : (4) X,Z (n) X,Y (n) + Y,Z (n). Preuve. Pour tout réel strictement positif ε, il existe un distingueur D ε tel que : X,Z (n) Prob [ D ε (1 n, X n ) = 1 ] Prob [ D ε (1 n, Z n ) = 1 ] Prob [ D ε (1 n, X n ) = 1 ] Prob [ D ε (1 n, Y n ) = 1 ] + Prob [ D ε (1 n, Y n ) = 1 ] Prob [ D ε (1 n, Z n ) = 1 ] Adv Dε (X n, Y n ) + Adv Dε (Y n, Z n )

21 22 Générateurs pseudo-aléatoires L inégalité pour la distance calculatoire est obtenue par passage à la borne supérieure sur tous les distingueurs polynomiaux. Pour tout ε > 0, on a : X,Z ε (X, Y ) + (Y, Z). Cette inégalité étant satisfaite pour tout ε > 0, l inégalité (4) s en déduit. L indiscernabilité calculatoire, définie ci-après, est l objectif à atteindre pour un générateur pseudoaléatoire. Définition IV.7 [indiscernabilité calculatoire] Deux familles de variables aléatoires X = (X n ) n N et Y = (Y n ) y N sont calculatoirement indiscernables si pour tout algorithme efficace D, l avantage de D pour discerner X n de Y n est une fonction négligeable en n. L indiscernabilité calculatoire signifie que tout distingueur efficace est incapable de discerner l une de l autre variable aléatoire avec une probabilité non négligeable. Définition IV.8 [générateur pseudo-aléatoire] Un générateur pseudo-aléatoire est un algorithme déterministe G qui vérifie les deux conditions suivantes : 1. Expansion : il existe une fonction l : N N telle que pour tout entier n, on a l(n) > n et tel que pour tout mot binaire s {O, 1}, on a G(s) = l( s ). 2. Pseudo-aléa : L image par G de la distribution uniforme U n est calculatoirement indistinguable de la distribution uniforme U l(n). La propriété d expansion signifie que la longueur de l image par G d un mot binaire s de {0, 1} ne dépend que de la longueur de s et est toujours plus longue que s. Notons U = (U n ) n N la famille des variables aléatoires uniformes sur {0, 1} n. Posons Y la famille de variables aléatoires Y = ( g(u n 1 ) ). La propriété de pseudo-aléa s exprime n 1 également en énonçant que la distance calculatoire : est négligeable. Y,U (n) IV.3 Générateur pseudo aléatoire avec expansion d un bit La première étape dans la construction de générateurs pseudo-aléatoire est d en construire avec une expansion d un seul bit, c est-à-dire de GPA {0, 1} n {0, 1} n+1. Le théorème suivant propose une réponse à ce problème. Théorème IV.9 Si f est une permutation à sens unique et b est un bit difficile de f, alors la fonction g : {0, 1} n {0, 1} n+1 x ( f(x), b(x) ) est un générateur pseudo-aléatoire. Preuve. Supposons, pour une contradiction, que la fonction g ainsi définie n est pas un générateur pseudo-aléatoire, c est-à-dire qu il existe un distingueur D sachant discerner avec une probabilité non négligeable, entre l image par g d une valeur aléatoire et une valeur aléatoire.