Preuve à divulgation nulle de connaissance

Documents pareils
Réalisabilité et extraction de programmes

Couples de variables aléatoires discrètes

Évaluation et implémentation des langages

La NP-complétude. Johanne Cohen. PRISM/CNRS, Versailles, France.

Machines virtuelles Cours 1 : Introduction

TP : Shell Scripts. 1 Remarque générale. 2 Mise en jambe. 3 Avec des si. Systèmes et scripts

Sécurité de protocoles cryptographiques fondés sur les codes correcteurs d erreurs

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Calculateur quantique: factorisation des entiers

UFR d Informatique. FORMATION MASTER Domaine SCIENCES, TECHNOLOGIE, SANTE Mention INFORMATIQUE

Cryptographie et fonctions à sens unique

Cours 1 : La compilation

Le partage de clés cryptographiques : Théorie et Pratique

Éléments d'architecture des ordinateurs

Objectifs du cours d aujourd hui. Informatique II : Cours d introduction à l informatique et à la programmation objet. Complexité d un problème (2)

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Fondements de l informatique Logique, modèles, et calculs

Vers l'ordinateur quantique

Cryptographie. Cours 3/8 - Chiffrement asymétrique

La technologie GQ2 : Un complément essentiel à RSA. Une solution d'authentification dynamique aussi sûre et plus rapide que le RSA

Limites finies en un point

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

UNIVERSITÉ DU QUÉBEC À RIMOUSKI

PROCÉDURES D'ACHATS DE COMPTES À PAYER

Géométrie des nombres et cryptanalyse de NTRU

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

données en connaissance et en actions?

Ecole Polytechnique de Louvain INGI Fichiers et bases de données

Algorithmes d'apprentissage

Chap. I : Introduction à la sécurité informatique

Conditions : stage indemnisé, aide au logement possible, transport CEA en Ile-de-France gratuit.

3. Conditionnement P (B)

LISTES DE DISTRIBUTION GÉRÉ PAR SYMPA DOCUMENT EXPLICATIF DE ÉCOLE POLYTECHNIQUE

Certified Information System Security Professional (CISSP)

Par KENFACK Patrick MIF30 19 Mai 2009

Rappels Entrées -Sorties

Certificats et infrastructures de gestion de clés

Définition 0,752 = 0,7 + 0,05 + 0,002 SYSTÈMES DE NUMÉRATION POSITIONNELS =

6 - La conscience est-elle un processus algorithmique?

Protocoles cryptographiques

Condition de stabilité d'un réseau de les d'attente à deux stations et N classes de clients 1

Les principes de la sécurité

COMMISSION SCOLAIRE DE LA BEAUCE-ETCHEMIN

Les protocoles cryptographiques

TABLEAU JUSTIFICATIF DES EXPURGATIONS PROPOSÉES

chapitre 4 Nombres de Catalan

Licence Sciences, Technologies, Santé Mention Informatique Codage de l'information

Fonctions de plusieurs variables : dérivés partielles, diérentielle. Fonctions composées. Fonctions de classe C 1. Exemples

TP2 - Conguration réseau et commandes utiles. 1 Généralités. 2 Conguration de la machine. 2.1 Commande hostname

Nouveaux résultats en cryptographie basée sur les codes correcteurs d erreurs

Université de Bangui. Modélisons en UML

Structuration des décisions de jurisprudence basée sur une ontologie juridique en langue arabe

LES DECIMALES DE π BERNARD EGGER

Sécurité des systèmes informatiques Introduction

Introduction à l Informatique licence 1 ère année Notes de Cours

ENS de Lyon TD septembre 2012 Introduction aux probabilités. A partie finie de N

LES NOUVELLES CONTRAINTES EN MATIERE DE MARCHES PUBLICS

Modes opératoires pour le chiffrement symétrique

INTERNET, C'EST QUOI?

Middleware eid v2.6 pour Windows

La cryptographie du futur

Consentement à la transmission électronique de documents (comptes bancaires)

Table des matières. Introduction

Espaces probabilisés

AVANT-PROJET DE LOI. Portant diverses dispositions relatives au droit de la famille. Chapitre 1er Dispositions relatives à l autorité parentale

NOTATIONS PRÉLIMINAIRES

Définitions. Numéro à préciser. (Durée : )

Architectures PKI. Sébastien VARRETTE

INF 232: Langages et Automates. Travaux Dirigés. Université Joseph Fourier, Université Grenoble 1 Licence Sciences et Technologies

Université du Québec à Trois-Rivières Politique de gestion des documents actifs, semi-actifs et inactifs de l'u.q.t.r.

La classification des actifs informationnels au Mouvement Desjardins

Chapitre 6 : Consolidation par paliers et consolidation directe

CADRE D AGRÉMENT APPROCHE STANDARD DU RISQUE OPÉRATIONNEL

LES CARTES À POINTS : POUR UNE MEILLEURE PERCEPTION

OASIS Date de publication

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Introduction à l étude des Corps Finis

Poursuivre ses études à l'université de Rouen Masters professionnels en Informatique et en Mathématiques. UFR Sciences et Techniques /18

Créer le schéma relationnel d une base de données ACCESS

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

Sécurité des réseaux IPSec

Gestion des Clés Publiques (PKI)

Calculabilité Cours 3 : Problèmes non-calculables.

Master d'informatique 1ère année Réseaux et protocoles. Couche physique

(VM(t i ),Q(t i+j ),VM(t i+j ))

Développements limités. Notion de développement limité

basée sur le cours de Bertrand Legal, maître de conférences à l ENSEIRB Olivier Augereau Formation UML

Dérivation : Résumé de cours et méthodes

Introduction a l'algorithmique des objets partages. Robert Cori. Antoine Petit. Lifac, ENS Cachan, Cachan Cedex. Resume

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Instructions et spécifications pour la transmission en format XML de déclarations par lots. 30 mai 2015 MODULE 1

L identité numérique. Risques, protection

SESSION 2014 ÉPREUVE À OPTION. (durée : 4 heures coefficient : 6 note éliminatoire 4 sur 20)

Logique : ENSIIE 1A - contrôle final

Des codes secrets dans la carte bleue. François Dubois 1

Corps des nombres complexes, J Paul Tsasa

Ordonnance sur les services de certification électronique

Transcription:

Preuve à divulgation nulle de connaissance Ludovic PATEY 6 janvier 2010 Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 1 / 28

Sommaire 1 Introduction 2 Système de preuve interactive 3 Système de preuve à divulgation nulle de connaissance 4 Protocole de Fiat et Shamir 5 Conclusion Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 2 / 28

Introduction Contexte historique : Développement des nouvelles technologies Nécessité de sécuriser les communications Prouver son identité à une entité non able Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 3 / 28

Exemple : l'authentication Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 4 / 28

Exemple : l'authentication. Man in the middle Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 5 / 28

On est dans la m..élasse Nécessité de trouver une solution qui permette de prouver la connaissance d'un secret ne dévoile pas le contenu du secret... les système de preuve interactives de connaissances à divulgation nulle de connaissance. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 6 / 28

Système de preuve interactive Système de preuve interactive Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 7 / 28

Modèle : Machine de Turing Nécessité d'une modélisation des entités... les machines de Turing. Formellement, un 7-uplet (Σ, Q, σ, δ,, q 0, F ) où Σ est un ensemble de symboles appelé alphabet, comprenant un symbole particulier noté #. Q est un ensemble non vide ni d'états. σ : Q Σ Σ est une fonction d'impression. δ : Q Σ Q est une fonction de transition. : Q Σ { 1, 1} est une fonction de déplacement. Une machine de Turing dispose en outre d'un ruban de mémoire innie. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 8 / 28

Machine de Turing interactive Variante de la machine de Turing : Un ruban des données initiales, accessible en lecture seule. Un ruban de travail, accessible en lecture et écriture. Un ruban aléatoire ω M suivant une distribution uniforme. Un ruban de communication IN, en lecture seule. Un ruban de communication OUT en écriture seule. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 9 / 28

Machine de Turing interactive Figure: Machine de Turing interactive Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 10 / 28

Le ruban aléatoire Le ruban aléatoire contient un ensemble inni de symboles diérents de #, ce qui n'est pas sensé être le cas avec les rubans d'une machine de Turing normale. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 11 / 28

Protocole interactif Protocole interactif : Deux machines de Turing interactives Actives tour à tour Rubans de communication partagés Le vérieur accepte ou rejette la preuve Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 12 / 28

Protocole interactif La machine B (vérieur) doit agir en temps polynomial. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 13 / 28

Preuves de connaissance Ruban supplémentaire contenant le secret La machine A (prouveur) doit également être polynomiale Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 14 / 28

Système de preuve interactive de connaissance Dénition Un système de preuve interactive de connaissance est un protocole interactif entre un prouveur A et un vérieur B tel que : pour tout entier k et pour tout I susamment grand tel que P (I, S) est satisable, A disposant d'un témoin S convainc B avec une probabilité supérieure à 1 I k, les probabilités étant calculées sur le contenu des rubans aléatoires ω A et ω B (on dit que la preuve est consistante). k N n 0 N I {I/ S P (I, S) I n 0 } Pro [A connaissant S convainc B] 1 1 I k Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 15 / 28

Système de preuve interactive de connaissance Dénition Et tel que : pour tout entier k, il existe une machine de Turing probabiliste agissant en un temps polynomial en fonction de I notée M telle que, pour toute machine de Turing interactive à et pour tout entier k, si à convainc B avec une donnée initiale I susamment grande avec probabilité supérieure à I k, alors M produit S tel que P (I, S) en interrogeant à avec une probabilité supérieure à 1 1 (on dit que la preuve est signicative). [I k k N M à k N n 0 N I {I/ I n 0 } ] Pro [à convainc B dela connaissance de S tel que P (I, S) Pro [M produit S tel que P (I, S)] 1 1 I k 1 I k Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 16 / 28

Système de preuve interactive de connaissance Ne requiert pas qu'aucune information ne soit transmise au vérieur. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 17 / 28

Divulgation nulle de connaissance Système de preuve interactive à divulgation nulle de connaissance. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 18 / 28

Indistinguabilité de variables aléatoires Dénition Soient U(m) et V (m) deux familles de variables aléatoires paramétrées par les mots d'un langage L. Si, pour tout m L, on ne peut pas distinguer deux distributions, quelles que soient la taille des échantillons et la puissance de calcul du juge, on dira que les variables aléatoires sont parfaitement indistinguables. D'un point de vue formel : m L U(m) = V (m) Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 19 / 28

Indistinguabilité de variables aléatoires Dénition Si, pour tout m L, on ne peut pas distinguer deux distributions en ne voyant qu'un nombre polynomial d'éléments, on dira que les variables aléatoires sont statistiquement indistinguables. α {0,1} Pro [U(m) = α] Pro [V (m) = α] 1 m k Si, pour tout m L, on ne peut pas distinguer en temps polynomial (et par conséquent en ne voyant qu'un nombre polynomial d'éléments) deux distributions, on dira que les variables aléatoires sont calculatoirement indistinguables. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 20 / 28

Variables aléatoires approximables Dénition Une famille de variables aléatoires U(m) sur un langage L est dite parfaitement (resp. statistiquement, calculatoirement) approximable s'il existe une machine de Turing M non-déterministe, fonctionnant un un temps moyen polynomial, telle que U(m) et M(m) soient parfaitement (resp. statistiquement, calculatoirement) indistinguables. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 21 / 28

Vue du vérieur Le vérieur accède à la donnée I sur le ruban de données initiales toutes les interactions de la preuve (Historique H) Nous pouvons dénie la vue Vue A, B Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 22 / 28

Système de preuve à divulgation nulle de connaissance Dénition Un système de preuve interactif (A, B) de connaissance du prédicat P (I, S) est dit parfaitement (resp. statistiquement, calculatoirement) à divulgation nulle de connaissance si pour tout vérieur B, la famille de variables aléatoires Vue A, B(I, H) est parfaitement (resp. statistiquement, calculatoirement) approximable sur L = { (I, H) I L et H I k} pour tout entier k xé. Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 23 / 28

Protocole de Fiat et Shamir Figure: Protocole de Fiat et Shamir Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 24 / 28

Protocole de Fiat et Shamir Figure: Protocole de Fiat et Shamir Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 24 / 28

Le système de preuve et les probas La preuve est probabiliste : 1 2 l Que se passerait-il si e était déterministe? si on retournait les deux résultats Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 25 / 28

De la théorie à une application pratique Application directe pour l'authentication Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 26 / 28

Conclusion Les systèmes de preuve interactive de connaissance à divulgation nulle de connaissance sont longs à prononcer à résultat probabiliste directement applicables à la vie quotidienne Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 27 / 28

Pour aller plus loin A. Fiat and A.Shamir. How To Prove Yourself : Practical Solutions to Identication and Signature Problems (1987). Guillaume Poupard. Authentication d'entités, de Messages et de Clés Cryptographiques : Théorie et Pratique. Thèse de Doctorat de l'école Polytechnique, 2000. Oded Goldreich. Foundations of Cryptography : Basic Tools. 2007 Ludovic PATEY () Preuve à divulgation nulle de connaissance 6 janvier 2010 28 / 28

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back