CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques

CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques Présenté par: AMBASSA PACÔME LANDRY Membre du laboratoire de Mathématiques Expérimentales (LME) Université de Ngaoundéré 2 ème ATELIER ANNUEL SUR LA CRYPTOGRAPHIE, ALGEBRE ET GEOMETRIE (CRAG 2) 4 décembre 2012 Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 1 / 36

Plan Plan 1 Système de vote électronique Généralités Propriétés du e-vote Courbes elliptiques 2 Présentation de CReVote Outils cryptographiques utilisés Description détaillée de CReVote Illustration numérique avec SAGE Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 2 / 36

Plan Plan 1 Système de vote électronique Généralités Propriétés du e-vote Courbes elliptiques 2 Présentation de CReVote Outils cryptographiques utilisés Description détaillée de CReVote Illustration numérique avec SAGE Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 2 / 36

Plan Système de vote électronique 1 Système de vote électronique Généralités Propriétés du e-vote Courbes elliptiques 2 Présentation de CReVote Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 3 / 36

Système de vote électronique Généralités Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 4 / 36

Vote Électronique Système de vote électronique Généralités Définition [rapport UCL, 2007] Le vote électronique (e-vote) est un système électoral ou référendum électronique qui implique le recours à des moyens électroniques au moins lors de l enregistrement du suffrage. On distingue deux types de vote électronique : 1 Le vote hors ligne 2 Le vote en ligne (Vote par internet ou i-vote) utilisation des bureaux de vote et des isoloirs possibilité de voter de chez soi avec son ordinateur personnel ; Avantages du i-vote Plus pratique pour les électeurs Réduction des coûts (bureaux et matériel) Le décompte rapide des voix Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 5 / 36

Vote Électronique Système de vote électronique Généralités Définition [rapport UCL, 2007] Le vote électronique (e-vote) est un système électoral ou référendum électronique qui implique le recours à des moyens électroniques au moins lors de l enregistrement du suffrage. On distingue deux types de vote électronique : 1 Le vote hors ligne 2 Le vote en ligne (Vote par internet ou i-vote) utilisation des bureaux de vote et des isoloirs possibilité de voter de chez soi avec son ordinateur personnel ; Avantages du i-vote Plus pratique pour les électeurs Réduction des coûts (bureaux et matériel) Le décompte rapide des voix Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 5 / 36

Vote Électronique Système de vote électronique Généralités Définition [rapport UCL, 2007] Le vote électronique (e-vote) est un système électoral ou référendum électronique qui implique le recours à des moyens électroniques au moins lors de l enregistrement du suffrage. On distingue deux types de vote électronique : 1 Le vote hors ligne 2 Le vote en ligne (Vote par internet ou i-vote) utilisation des bureaux de vote et des isoloirs possibilité de voter de chez soi avec son ordinateur personnel ; Avantages du i-vote Plus pratique pour les électeurs Réduction des coûts (bureaux et matériel) Le décompte rapide des voix Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 5 / 36

Déroulement Système de vote électronique Généralités Phase le vote électronique (par internet) se subdivise en 5 phases : Première phase : configuration ; Deuxième phase : enregistrement ; Troisième phase : vote Quatrième phase : décompte ; Cinquième phase : publication des résultats. Acteurs Les principaux intervenants d un tel système sont : Les votants ou électeurs ; Les autorités électorales. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 6 / 36

Déroulement Système de vote électronique Généralités Phase le vote électronique (par internet) se subdivise en 5 phases : Première phase : configuration ; Deuxième phase : enregistrement ; Troisième phase : vote Quatrième phase : décompte ; Cinquième phase : publication des résultats. Acteurs Les principaux intervenants d un tel système sont : Les votants ou électeurs ; Les autorités électorales. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 6 / 36

Propriétés du e-vote Système de vote électronique Propriétés du e-vote Un système de vote pour être utilisable doit vérifier un ensemble de propriétés [Meng, 2010] : De base Éligibilité Secret Précision vérifiabilité individuelle Pas de double vote complétude Étendu Vérifiabilité universelle Receipt-freeness Résistance à la coercition Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 7 / 36

Propriétés du e-vote Système de vote électronique Propriétés du e-vote Un système de vote pour être utilisable doit vérifier un ensemble de propriétés [Meng, 2010] : De base Éligibilité Secret Précision vérifiabilité individuelle Pas de double vote complétude Étendu Vérifiabilité universelle Receipt-freeness Résistance à la coercition Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 7 / 36

Propriétés du e-vote Système de vote électronique Propriétés du e-vote Un système de vote pour être utilisable doit vérifier un ensemble de propriétés [Meng, 2010] : De base Éligibilité Secret Précision vérifiabilité individuelle Pas de double vote complétude Étendu Vérifiabilité universelle Receipt-freeness Résistance à la coercition Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 7 / 36

Système de vote électronique Propriétés du e-vote Propriétés du vote et lien cryptographique TABLE 1: Tableau récapitulatif des propriétés d un e-vote et lien cryptographique Propriétés d un e-vote Services de sécurité Primitives cryptographiques Exemples de primi Secret des votes Confidentialité Chiffrement homomorphique Elgamal, Paillier,... Receipt-freenes Rechiffrement Eligibilité Authentification Tecnique symétrique Mot de passe technique asymétrique Signature Précision Intégrité Fonction de hachage SHA Non répudiation Signature Elgamal Mixnet déchiffrement Secret des votes Anonymat rechiffrement Signature aveugle RSA Confidentialité chaine de caractère Résistance à la coercition crédit anonyme Mot de vote Anonymat Signature Vérifiabilité individuelle Preuves Validité Vérifiabilité universelle Chaum Pedersen Les primitives cryptographiques se définissent sur les nombres ou sur les courbes elliptiques. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 8 / 36

Système de vote électronique Propriétés du e-vote Propriétés du vote et lien cryptographique TABLE 1: Tableau récapitulatif des propriétés d un e-vote et lien cryptographique Propriétés d un e-vote Services de sécurité Primitives cryptographiques Exemples de primi Secret des votes Confidentialité Chiffrement homomorphique Elgamal, Paillier,... Receipt-freenes Rechiffrement Eligibilité Authentification Tecnique symétrique Mot de passe technique asymétrique Signature Précision Intégrité Fonction de hachage SHA Non répudiation Signature Elgamal Mixnet déchiffrement Secret des votes Anonymat rechiffrement Signature aveugle RSA Confidentialité chaine de caractère Résistance à la coercition crédit anonyme Mot de vote Anonymat Signature Vérifiabilité individuelle Preuves Validité Vérifiabilité universelle Chaum Pedersen Les primitives cryptographiques se définissent sur les nombres ou sur les courbes elliptiques. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 8 / 36

Système de vote électronique Définition des concepts Propriétés du e-vote crédit anonyme (credential en anglais) Jeton cryptographique unique. permettant de prouver une propriété ou un droit lié à son possesseur, sans révéler l identité de celui-ci. Protège les informations privées de son possesseur en fournissant le service d anonymat. Résistance à la coercition receipt-freeness Suppose que personne ne doit être forcé de faire un choix particulier ou à s abstenir de voter. protection contre Attaque par randomisation ; Attaque par abstention forcé ; Attaque par simulation ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 9 / 36

Système de vote électronique Définition des concepts Propriétés du e-vote crédit anonyme (credential en anglais) Jeton cryptographique unique. permettant de prouver une propriété ou un droit lié à son possesseur, sans révéler l identité de celui-ci. Protège les informations privées de son possesseur en fournissant le service d anonymat. Résistance à la coercition receipt-freeness Suppose que personne ne doit être forcé de faire un choix particulier ou à s abstenir de voter. protection contre Attaque par randomisation ; Attaque par abstention forcé ; Attaque par simulation ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 9 / 36

Système de vote électronique Définition des concepts Propriétés du e-vote crédit anonyme (credential en anglais) Jeton cryptographique unique. permettant de prouver une propriété ou un droit lié à son possesseur, sans révéler l identité de celui-ci. Protège les informations privées de son possesseur en fournissant le service d anonymat. Résistance à la coercition receipt-freeness Suppose que personne ne doit être forcé de faire un choix particulier ou à s abstenir de voter. protection contre Attaque par randomisation ; Attaque par abstention forcé ; Attaque par simulation ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 9 / 36

Système de vote électronique Courbes elliptiques Courbe elliptique sur un corps quelconque Definition Soit k un corps, une courbe elliptique E définie sur le corps k est l ensemble des solutions de l équation de Weierstrass : E : y 2 + a 1 xy + a 3 y = x 3 + a 2 x 2 + a 4 x + a 6 (1) où a i k et 0 avec le discriminant de E FIGURE 2: Courbe d équation y 2 = x 3 3x + 4 sur R FIGURE 3: Courbe d équation y 2 + y = x 3 7x + 6 sur R Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 10 / 36

Système de vote électronique Courbes elliptiques Courbes elliptiques définies sur un corps fini Représentation est constituée d un ensemble de point discret FIGURE 4: Courbe d équation y 2 = x 3 + 2x + 3 sur F 997 FIGURE 5: Courbe d équation y 2 = x 3 + 10x + 4 sur F 13 Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 11 / 36

Système de vote électronique Courbes elliptiques Problème du logarithme discret sur les courbes elliptiques (PLD) Definition (PLD sur les courbes elliptiques) Étant donnés une courbe elliptique E définie sur un corps fini (F q ), un point P E(F q ) d ordre n et un point Q < P >, chercher l entier k [0,n 1] tel que Q = [k]p. L entier k est le logarithme discret de Q en base P. Definition (Multiplication scalaire) Soient E(F q ) une courbe elliptique, P un point de E(F q ) et k Z. La multiplication scalaire, notée [k]p, est définie comme suit : E(F p ) Z E(F p ) (P,k) [k]p = P + P +... + P } {{ } k fois Fonction à calculer pour concevoir un cryptosystéme sur les courbes elliptiques Fonction est «à sens unique» Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 12 / 36

Système de vote électronique Courbes elliptiques Problème du logarithme discret sur les courbes elliptiques (PLD) Definition (PLD sur les courbes elliptiques) Étant donnés une courbe elliptique E définie sur un corps fini (F q ), un point P E(F q ) d ordre n et un point Q < P >, chercher l entier k [0,n 1] tel que Q = [k]p. L entier k est le logarithme discret de Q en base P. Definition (Multiplication scalaire) Soient E(F q ) une courbe elliptique, P un point de E(F q ) et k Z. La multiplication scalaire, notée [k]p, est définie comme suit : E(F p ) Z E(F p ) (P,k) [k]p = P + P +... + P } {{ } k fois Fonction à calculer pour concevoir un cryptosystéme sur les courbes elliptiques Fonction est «à sens unique» Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 12 / 36

Système de vote électronique Courbes elliptiques Problème du logarithme discret sur les courbes elliptiques (PLD) Definition (PLD sur les courbes elliptiques) Étant donnés une courbe elliptique E définie sur un corps fini (F q ), un point P E(F q ) d ordre n et un point Q < P >, chercher l entier k [0,n 1] tel que Q = [k]p. L entier k est le logarithme discret de Q en base P. Definition (Multiplication scalaire) Soient E(F q ) une courbe elliptique, P un point de E(F q ) et k Z. La multiplication scalaire, notée [k]p, est définie comme suit : E(F p ) Z E(F p ) (P,k) [k]p = P + P +... + P } {{ } k fois Fonction à calculer pour concevoir un cryptosystéme sur les courbes elliptiques Fonction est «à sens unique» Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 12 / 36

Système de vote électronique Courbes elliptiques Quelques schémas de vote électronique Ils existent de nombreux schémas de vote dans la littérature mais deux nous ont intéressé : [Juel et al, 2005 ] En 2005, Juel et al définissent la notion de résistance à la coercition et proposent un système de vote électronique qui assure cette propriété. Problème : il n est pas efficient [weber,2006] et n assure pas la complétude [Ambassa,2012] Une nouvelle approche : [Porkodi et al, 2011 ] En 2011, Porkodi et al, propose un système de vote électronique basé sur les courbes elliptiques. Problème : il n est pas résistant à la coercition [Ambassa,2012] Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 13 / 36

Système de vote électronique Courbes elliptiques Quelques schémas de vote électronique Ils existent de nombreux schémas de vote dans la littérature mais deux nous ont intéressé : [Juel et al, 2005 ] En 2005, Juel et al définissent la notion de résistance à la coercition et proposent un système de vote électronique qui assure cette propriété. Problème : il n est pas efficient [weber,2006] et n assure pas la complétude [Ambassa,2012] Une nouvelle approche : [Porkodi et al, 2011 ] En 2011, Porkodi et al, propose un système de vote électronique basé sur les courbes elliptiques. Problème : il n est pas résistant à la coercition [Ambassa,2012] Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 13 / 36

Système de vote électronique Courbes elliptiques Quelques schémas de vote électronique Ils existent de nombreux schémas de vote dans la littérature mais deux nous ont intéressé : [Juel et al, 2005 ] En 2005, Juel et al définissent la notion de résistance à la coercition et proposent un système de vote électronique qui assure cette propriété. Problème : il n est pas efficient [weber,2006] et n assure pas la complétude [Ambassa,2012] Une nouvelle approche : [Porkodi et al, 2011 ] En 2011, Porkodi et al, propose un système de vote électronique basé sur les courbes elliptiques. Problème : il n est pas résistant à la coercition [Ambassa,2012] Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 13 / 36

Plan Présentation de CReVote 1 Système de vote électronique 2 Présentation de CReVote Outils cryptographiques utilisés Description détaillée de CReVote Illustration numérique avec SAGE Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 14 / 36

Présentation de CReVote CReVote Basé sur la théorie des courbes elliptiques ; le crédit anonyme construit sur une signature agrégée ; participants les électeurs V i avec i [1,m] ; les candidats c 1,...,c k ; les autorités : d enregistrement R j avec j [1,l] de décompte T j avec j [1,n] Résisté à la coercition Pour le faire l électeur crée un faux crédit Pour l attaquant : faux vrai Les votes associés à un faux crédit sont éliminés lors du décompte Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 15 / 36

Présentation de CReVote CReVote Basé sur la théorie des courbes elliptiques ; le crédit anonyme construit sur une signature agrégée ; participants les électeurs V i avec i [1,m] ; les candidats c 1,...,c k ; les autorités : d enregistrement R j avec j [1,l] de décompte T j avec j [1,n] Résisté à la coercition Pour le faire l électeur crée un faux crédit Pour l attaquant : faux vrai Les votes associés à un faux crédit sont éliminés lors du décompte Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 15 / 36

Présentation de CReVote CReVote Basé sur la théorie des courbes elliptiques ; le crédit anonyme construit sur une signature agrégée ; participants les électeurs V i avec i [1,m] ; les candidats c 1,...,c k ; les autorités : d enregistrement R j avec j [1,l] de décompte T j avec j [1,n] Résisté à la coercition Pour le faire l électeur crée un faux crédit Pour l attaquant : faux vrai Les votes associés à un faux crédit sont éliminés lors du décompte Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 15 / 36

Présentation de CReVote Outils cryptographiques utilisés Chiffrement ElGamal distribué Génération des clés distribuées choisir une courbe elliptique E(F p ) définie sur F p et G un point de E d ordre q Choisir un entier aléatoire s [1,q 1] et calculer h = sg. Exécuter le partage de secret à seuil (t,n) de Shamir. Générer un polynôme P(x) = a 0 + a 1 x +... + a t 1 x t 1, a 0 = P(0) = s Partager s j = P(j) aux T j grâce au partage de clé de Diffie Hellman. chiffrement Pour chiffrer un message m E(F p ) choisir un nombre aléatoire k [1,n 1] calculer c = (c 1,c 2 ) avec c 1 = kg et c 2 = kh + m Déchiffrement distribué Un sous-ensemble à t autorités retrouve m en utilisant l interpolation de Lagrange : m = c 2 sc 1 où sc 1 = λ j w j et λ j = j k,k j k ( k j ) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 16 / 36

Autres outils Présentation de CReVote Outils cryptographiques utilisés Mixnet à rechiffrement universellement vérifiable Crée un canal anonyme pour la transmission des votes ; Correspondance entrée / sortie difficile ; Preuve de rechiffrement après permutation Preuves à divulgation nulle de connaissance Égalité de logarithme discret : Protocole de Chaum-Pedersen Prouveur connait x et veut montrer que B = xg et G = xh Validité du contenu d un message chiffré : Méthode de Byoungcheon Lee [Lee, 2000] version elliptique [Ambassa,2012] Soit M = m 1,...,m n le prouveur chiffre m i en (c 1,c 2 ) et veut montrer que le plaintext (message en clair) est un élément de M sans dévoiler m i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 17 / 36

Autres outils Présentation de CReVote Outils cryptographiques utilisés Mixnet à rechiffrement universellement vérifiable Crée un canal anonyme pour la transmission des votes ; Correspondance entrée / sortie difficile ; Preuve de rechiffrement après permutation Preuves à divulgation nulle de connaissance Égalité de logarithme discret : Protocole de Chaum-Pedersen Prouveur connait x et veut montrer que B = xg et G = xh Validité du contenu d un message chiffré : Méthode de Byoungcheon Lee [Lee, 2000] version elliptique [Ambassa,2012] Soit M = m 1,...,m n le prouveur chiffre m i en (c 1,c 2 ) et veut montrer que le plaintext (message en clair) est un élément de M sans dévoiler m i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 17 / 36

Présentation de CReVote Construction du crédit anonyme Outils cryptographiques utilisés Le crédit anonyme est généré par les R j et transmis à l électeur ; Ces autorités, ne doivent pas connaitre son contenu ; Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures). signatures agrégées [Boneh et al, 2003] Introduite par Boneh et al en 2003 ; Une signature agrégée est une signature électronique qui permet à plusieurs signataires de signer des messages différent et ensuite d agréger ces différentes signatures en une seule ; soient n signatures de n messages provenant de n signataires. Il est possible d agréger ces signatures en une seule ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 18 / 36

Présentation de CReVote Construction du crédit anonyme Outils cryptographiques utilisés Le crédit anonyme est généré par les R j et transmis à l électeur ; Ces autorités, ne doivent pas connaitre son contenu ; Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures). signatures agrégées [Boneh et al, 2003] Introduite par Boneh et al en 2003 ; Une signature agrégée est une signature électronique qui permet à plusieurs signataires de signer des messages différent et ensuite d agréger ces différentes signatures en une seule ; soient n signatures de n messages provenant de n signataires. Il est possible d agréger ces signatures en une seule ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 18 / 36

Présentation de CReVote Outils cryptographiques utilisés Schéma de signature agrégée basé sur les courbes elliptiques [Ambassa,2012] Soient G = E(F p ) le groupe de points de E définie sur un corps F p, P un générateur de G, H : {0,1} G. q est l ordre de G Génération des clés Chaque entité crée la clé publique et la clé privée correspondante a). choisir aléatoirement x Z q et calculer v = xp ; b). la clé publique est v et la clé privée x ; Signature pour chaque signataire avec la clé publique v, la clé privée x et le message m {0,1} a). calculer h = H(m) où h G ; b). calculer σ = xh c est la signature ; Agregation pour un ensemble de signataire S i (i [1,n]) : a). le signataire i fournit une signature σ i de m i {0,1} ; b). calculer δ = n i=1 σ i la signature agrégé est δ ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 19 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Phase 1 et 2 Présentation de CReVote Description détaillée de CReVote Première phase : configuration ❶ choisir : une courbe elliptique E(F p ) d équation y 2 = x 3 + ax + b et G un générateur de E(F p ) d ordre q ; ❷ Coopération de T j pour la génération des paramètres d un système cryptographique ElGamal distribué à seuil (t, n) ; ❸ génération des clés privées et publiques des autorités d enregistrement ; ❹ représentation des candidats comme k points de E(F p ). Abstention=candidat ; illustration Deuxième phase : enregistrement ❶ Chaque électeur V i potentiel se rend dans un bureau d enregistrement et prouve son éligibilité ; ❷ Transmission à l électeur du crédit anonyme δ = n i=1 σ i ; ❸ L électeur V i génère S i = chiff R (δ i ) et l envoie à R j ; ❸ Les autorités R j rechiffre S i. ❹ Choix par V i d un identifiant et d un mot de passe qu il utilisera pour s authentifier ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36

Troisième phase : vote Présentation de CReVote Description détaillée de CReVote ❶ Authentification de l électeur à l aide de l identifiant et du mot de passe générés précédemment ; ❷ l électeur V i choisit aléatoirement (α i,β i ) et construit son bulletin de vote v i = (C,A,B,P) où C = (c i1,c i2 ) = (α i G,α i h + P r ) est le chiffrement du candidat choisit représenté par P r A est le chiffrement du crédit anonyme δ i B = i = β i δ P est la preuve de validité du vote ❸ transmission de v i sur le tableau de vote publique via un canal anonyme (mixnet à rechiffrement universellement vérifiable) ; illustration Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 21 / 36

Troisième phase : vote Présentation de CReVote Description détaillée de CReVote ❶ Authentification de l électeur à l aide de l identifiant et du mot de passe générés précédemment ; ❷ l électeur V i choisit aléatoirement (α i,β i ) et construit son bulletin de vote v i = (C,A,B,P) où C = (c i1,c i2 ) = (α i G,α i h + P r ) est le chiffrement du candidat choisit représenté par P r A est le chiffrement du crédit anonyme δ i B = i = β i δ P est la preuve de validité du vote ❸ transmission de v i sur le tableau de vote publique via un canal anonyme (mixnet à rechiffrement universellement vérifiable) ; illustration Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 21 / 36

Présentation de CReVote Quatrième phase : décompte Description détaillée de CReVote ❶ Vérification des preuves de validité par T j et élimination des entrées où elle est incorrect ; ❷ Rechercher les valeurs dupliquées de i et élimination des votes non valides ❸ Combiner les chiffrés des choix des candidats P r contenus dans le tableau des votes valides ; c t = (c 1,c 2 ) = ( m i=1 c i1, m i=1 ❹ Coopération de T j pour déchiffrer c t. c i1 ) = [( m i=1 α i )G,( Reconstruction de la clé privée s pour calculer s(c 1 ) m i=1 t j P(0)c 1 = s i c 1 = P(0)c 1 = i=1 j i 1 i t i j calculer c 2 s(c 1 ) (α i )h + ( t i=1 k r=1 s i c 1 1 i t i j d r P r )] j j i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 22 / 36

Présentation de CReVote Quatrième phase : décompte Description détaillée de CReVote ❶ Vérification des preuves de validité par T j et élimination des entrées où elle est incorrect ; ❷ Rechercher les valeurs dupliquées de i et élimination des votes non valides ❸ Combiner les chiffrés des choix des candidats P r contenus dans le tableau des votes valides ; c t = (c 1,c 2 ) = ( m i=1 c i1, m i=1 ❹ Coopération de T j pour déchiffrer c t. c i1 ) = [( m i=1 α i )G,( Reconstruction de la clé privée s pour calculer s(c 1 ) m i=1 t j P(0)c 1 = s i c 1 = P(0)c 1 = i=1 j i 1 i t i j calculer c 2 s(c 1 ) (α i )h + ( t i=1 k r=1 s i c 1 1 i t i j d r P r )] j j i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 22 / 36

Présentation de CReVote Quatrième phase : décompte Description détaillée de CReVote ❶ Vérification des preuves de validité par T j et élimination des entrées où elle est incorrect ; ❷ Rechercher les valeurs dupliquées de i et élimination des votes non valides ❸ Combiner les chiffrés des choix des candidats P r contenus dans le tableau des votes valides ; c t = (c 1,c 2 ) = ( m i=1 c i1, m i=1 ❹ Coopération de T j pour déchiffrer c t. c i1 ) = [( m i=1 α i )G,( Reconstruction de la clé privée s pour calculer s(c 1 ) m i=1 t j P(0)c 1 = s i c 1 = P(0)c 1 = i=1 j i 1 i t i j calculer c 2 s(c 1 ) (α i )h + ( t i=1 k r=1 s i c 1 1 i t i j d r P r )] j j i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 22 / 36

Présentation de CReVote Quatrième phase : décompte Description détaillée de CReVote ❶ Vérification des preuves de validité par T j et élimination des entrées où elle est incorrect ; ❷ Rechercher les valeurs dupliquées de i et élimination des votes non valides ❸ Combiner les chiffrés des choix des candidats P r contenus dans le tableau des votes valides ; c t = (c 1,c 2 ) = ( m i=1 c i1, m i=1 ❹ Coopération de T j pour déchiffrer c t. c i1 ) = [( m i=1 α i )G,( Reconstruction de la clé privée s pour calculer s(c 1 ) m i=1 t j P(0)c 1 = s i c 1 = P(0)c 1 = i=1 j i 1 i t i j calculer c 2 s(c 1 ) (α i )h + ( t i=1 k r=1 s i c 1 1 i t i j d r P r )] j j i Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 22 / 36

Présentation de CReVote Description détaillée de CReVote Quatrième phase : décompte (suite) ❺ compter les voix. Calculer la somme r d r P r Comparer le résultat à celui du calcul de c 2 s(c 1 ). lorsque les deux valeurs coincident en déduire d r, (r [1,k] Cinquième phase : publication des résultats. 1 Vérifier que le chiffrement c t est correct. 2 Vérifier que le déchiffrement distribué de c t est correct Après vérifications, le résultat final est publié. illustration Décompte Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 23 / 36

Analyse du Schéma Présentation de CReVote Description détaillée de CReVote Analyse Le schéma assure les propriétés suivantes : Éligibilité Secret des votes Précision Équité Complétude Pas de double vote vérifiabilité universelle Receipt freeness Résistance à la coercition Limites Vérifiabilité individuelle Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 24 / 36

Présentation de CReVote Description détaillée de CReVote Comparaison de Quelques schémas de vote TABLE 2: Comparaisons des schémas de JCJ, Porkodi et CReVote Propriétés JCJ Porkodi CReVote Complétude non oui oui Vérifiabilité universelle non oui oui Vérifiabilité individuelle oui oui non Résistance à la coercition oui non oui Go to conclusion Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 25 / 36

Présentation de CReVote Première phase : configuration Illustration numérique avec SAGE Supposons que nous avons pour l élection 8 autorités (3 d enregistrements et 5 de décomptes), 10 électeurs et 4 candidats. Le but est d illustrer les différentes phases de notre schéma de vote. Phase de configuration 1 Nous choisissons Une courbe elliptique E(F p ) d équation y 2 = x 3 + 2x + 1 (mod 1009) avec p = 1009 et un point de base G de coordonnées (560, 715) d ordre 1060, 2 Nous générons les clés pour un système cryptographique ElGamal distribué. Nous choisissons la clé privée s = 248 et calculons une clé publique h = sg = (248,897) Nous exécutons la fonction secret-share partage (partage à seuil(3, 5) génération du polynôme secret P(x) = 215x 2 + 139x + 248 (mod 257) calcul des paires (i,s i ) = (i,p(i)) soit (1,s 1 ) = (1,88), (2,s 2 ) = (2,101), (3,s 3 ) = (3,30), (4,s 4 ) = (4,132), (5,s 5 ) = (5,150) et partage à T j grâce au partage de clé de Diffie- Hellman. Seuls 3 autorités sur les 5 seront nécessaires pour «reconstruire la clé privée. 3 Nous générons les clés des autorités d enregistrement la clé privée Sk R = n = 329 et la clé publique correspondante est Pk R = ng = (580,512) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 26 / 36

Présentation de CReVote Première phase : configuration Illustration numérique avec SAGE Supposons que nous avons pour l élection 8 autorités (3 d enregistrements et 5 de décomptes), 10 électeurs et 4 candidats. Le but est d illustrer les différentes phases de notre schéma de vote. Phase de configuration 1 Nous choisissons Une courbe elliptique E(F p ) d équation y 2 = x 3 + 2x + 1 (mod 1009) avec p = 1009 et un point de base G de coordonnées (560, 715) d ordre 1060, 2 Nous générons les clés pour un système cryptographique ElGamal distribué. Nous choisissons la clé privée s = 248 et calculons une clé publique h = sg = (248,897) Nous exécutons la fonction secret-share partage (partage à seuil(3, 5) génération du polynôme secret P(x) = 215x 2 + 139x + 248 (mod 257) calcul des paires (i,s i ) = (i,p(i)) soit (1,s 1 ) = (1,88), (2,s 2 ) = (2,101), (3,s 3 ) = (3,30), (4,s 4 ) = (4,132), (5,s 5 ) = (5,150) et partage à T j grâce au partage de clé de Diffie- Hellman. Seuls 3 autorités sur les 5 seront nécessaires pour «reconstruire la clé privée. 3 Nous générons les clés des autorités d enregistrement la clé privée Sk R = n = 329 et la clé publique correspondante est Pk R = ng = (580,512) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 26 / 36

Présentation de CReVote Première phase : configuration Illustration numérique avec SAGE Supposons que nous avons pour l élection 8 autorités (3 d enregistrements et 5 de décomptes), 10 électeurs et 4 candidats. Le but est d illustrer les différentes phases de notre schéma de vote. Phase de configuration 1 Nous choisissons Une courbe elliptique E(F p ) d équation y 2 = x 3 + 2x + 1 (mod 1009) avec p = 1009 et un point de base G de coordonnées (560, 715) d ordre 1060, 2 Nous générons les clés pour un système cryptographique ElGamal distribué. Nous choisissons la clé privée s = 248 et calculons une clé publique h = sg = (248,897) Nous exécutons la fonction secret-share partage (partage à seuil(3, 5) génération du polynôme secret P(x) = 215x 2 + 139x + 248 (mod 257) calcul des paires (i,s i ) = (i,p(i)) soit (1,s 1 ) = (1,88), (2,s 2 ) = (2,101), (3,s 3 ) = (3,30), (4,s 4 ) = (4,132), (5,s 5 ) = (5,150) et partage à T j grâce au partage de clé de Diffie- Hellman. Seuls 3 autorités sur les 5 seront nécessaires pour «reconstruire la clé privée. 3 Nous générons les clés des autorités d enregistrement la clé privée Sk R = n = 329 et la clé publique correspondante est Pk R = ng = (580,512) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 26 / 36

Présentation de CReVote Phase de configuration (suite) Illustration numérique avec SAGE 4 Enregistrement des candidats c r et représentation de ces différents candidats comme des points de E(F p ). Nos 4 candidats sont représentés par : Tableau des candidats Numéros Nom encodage 0 Abstention P 0 = (0 : 1 : 0) 1 Candidat 1 P 1 = (0,1) 2 Candidat 2 P 2 = (0,1008) 3 Candidat 3 P 3 = (1,2) Retour. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 27 / 36

Présentation de CReVote Deuxième phase : enregistrement Illustration numérique avec SAGE 1 Enregistrement des électeurs par R j j [1,3] dans un bureau d enregistrement. 2 Transmission du crédit anonyme δ Pour 10 électeurs nous obtenons les valeurs suivantes : Tableau des électeurs Identifiant votant crédit(δ) 1 V 1 (242, 825 ) 2 V 2 (86, 184 ) 3 V 3 (611, 508 ) 4 V 4 (588, 936 ) 5 V 5 (842, 505 ) 6 V 6 (137, 161 ) 7 V 7 (623, 109 ) 8 V 8 (558, 276 ) 9 V 9 (423, 833 ) 10 V 10 (930, 397 ) Retour. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 28 / 36

Troisième phase : vote Présentation de CReVote Illustration numérique avec SAGE construction de v i représenté par : chiff T (P r ) = (c i1,c i2 ) = (α i G,α i h + P r ), chiff R (δ i ), i, Les votes de 10 électeurs sont donnés dans le tableau suivant TABLE 3: Valeurs numériques des votes chiffrés de 10 électeurs chiffrement candidat chiffrement crédit c i1 = α i G c i2 = α i h + P r β i G β i h + δ i i 1 (642,837 ) (348,789) (753 : 291) (282, 465 ) (464, 483 ) 2 (459, 470 ) (306, 205) (571, 796 ) (382, 103 ) (123, 261 ) 3 (821, 671) (233, 620 ) (662, 813 ) (53, 896) (54, 996) 4 (819, 233) (268, 26) (284, 428) (172, 820) (410, 206) 5 (230, 491) (538, 31) (212,334) (280, 504) (288, 375) 6 (538, 31) (836, 743) (402, 937) (87, 449) (495, 39) 7 (956, 107) (657, 321) (9, 851) (111, 267) (310, 636) 8 (501, 589) (37, 329 ) (315, 210) (357, 924) (146, 386) 9 (324, 367) (255, 838) (140, 560) (212, 334) (513, 87) 10 (899, 113) (121, 0 ) (439 : 158) (280, 504) (247, 194) 11 (254, 436) (921, 622) (823, 784) (773, 781) (54, 996 ) 12 (303, 265) (884, 177) (325, 400) (369, 867) (54, 996) 13 (731, 72) (456, 664) (572, 1001) (402, 72) (410, 206) 14 (325, 400) (821, 338) (990, 418) (128, 280) (123, 261) 15 (640, 308) (970, 913) (417, 507) (885, 72) (288, 375) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 29 / 36

Rechiffrement Présentation de CReVote Illustration numérique avec SAGE Rechiffrement du vote lors de la transmission des votes pour assurer le receipt freeness. TABLE 4: Valeurs numérique des votes rechiffrés de 10 électeurs rechiffrement candidat rechiffrement crédit c i1 = γ i G c i2 = γ i h + P r λ i G λ i h + δ i i 1 (961, 815) (86, 825 ) (390, 294 ) (657, 688) (464, 483) 2 (306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 ) 3 (191, 10 ) (117, 901) (396,977) (837,666 ) (54, 996 ) 4 (427, 955 ) (96, 1003 ) (474, 478) (990, 418) (410, 206) 5 (235, 941) (990, 591) (253, 136) (66, 1001) (288, 375) 6 (22, 858) (334, 358) (606, 554) (87, 560) (495, 39) 7 (375, 390) (878, 427) (906, 433) (841, 86 ) (310, 636) 8 (46, 108 ) (625, 354) (533, 647 ) (502, 356) (146, 386) 9 (864, 73) (248, 112) (807, 460) (313, 178) (513, 87) 10 (509, 327) (281, 61) (167, 482) (801, 95) (247, 194) 11 (476, 524) (263, 210) (664, 789) (22, 858) (54, 996) 12 (335, 833) (242, 184) (737,907) (509, 682) (54, 996) 13 (626, 452) (126, 956) (217, 343) (50, 882 ) (410, 206) 14 (436, 756) (233, 389) (932,795 ) (466, 899 ) (123, 261) 15 (123, 748 ) (862, 228) (1, 1007) (399, 429 ) (288, 375) Retour. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 30 / 36

Présentation de CReVote Quatrième phase : décompte Illustration numérique avec SAGE 1 Rechercher les valeurs dupliquées de i et élimination des votes non valides TABLE 5: Élimination des double votes rechiffrement candidat rechiffrement crédit c i1 = γ i G c i2 = γ i h + P r λ i G λ i h + δ i i (961, 815) (86, 825 ) (390, 294 ) (657, 688) (464, 483) (306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 ) (191/,10/ )/ (117/ /, 901) / (396/ /, 977) / (837/ /, 666) / (54/,996)/ (427, 955 ) (96, 1003 ) (474, 478) (990, 418) (410, 206) (235,/ 941) / (990,/ 591) / (253,/ 136) / (66,/ 1001) / (288,/ 375) / (22, 858) (334, 358) (606, 554) (87, 560) (495, 39) (375, 390 ) (878, 427 ) (906, 433) (841, 86) (310, 636) (46, 108 ) (625, 354) (533, 647) (502, 356) (146, 386) (864, 73) (248, 112) (807, 460) (313, 178) (513, 87) (509, 327 (281, 61) (167, 482 ) (801, 95) (247, 194) (476, 524) (263, 210) (664, 789) (22, 858) (54, 996) (335,/ 833) / (242,/ 184) / (737,/ 907) / (509,/ 682) / (54,/ 996 / )/ (626/ /, 452) / (126,/ 956) / (217,/ 343) / (50,/ 882) / (410,/ 206) / (436/ /, 756) / (233,/ 389) / (932,/ 795) / (466,/ 899) / (123,/ 261 / )/ (123, 748) (862, 228 ) (1, 1007) (399, 429 ) (288, 375) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 31 / 36

Présentation de CReVote Illustration numérique avec SAGE Quatrième phase : décompte (suite) 2 Il résulte un tableau de votes uniques et valides représenter par TABLE 6: Tableau de vote unique et valide rechiffrement candidat rechiffrement crédit c i1 = γ i G c i2 = γ i h + P r λ i G λ i h + δ i i (961, 815) (86, 825 ) (390, 294 ) (657, 688 ) (464, 483) (306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 ) (427, 955) (96, 1003 ) (474, 478) (990, 418) (410, 206) (22, 858) (334, 358) (606, 554) (87, 560) (495, 39) (375, 390) (878, 427) (906, 433) (841, 86) (310, 636) (46, 108) (625, 354) (533, 647) (502, 356) (146, 386) (864, 73) (248, 112 ) (807, 460 ) (313, 178) (513, 87) (509, 327) (281, 61) (167, 482 ) (801, 95) (247, 194) (476, 524 ) (263, 210 ) (664, 789) (22, 858) (54, 996) (123, 748) (862, 228 ) (1, 1007) (399, 429 ) (288, 375) Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 32 / 36

Présentation de CReVote Illustration numérique avec SAGE Quatrième phase : décompte (suite) 3 Combiner les chiffrés des choix des candidats P r C = (c 1,c 2 ) 10 = ( i=1 10 = [( i=1 c i1, 10 i=1 c i1 ) 10 γ i )G,( i=1 (γ i )h + ( 3 r=0 d r P r )] On obtient c 1 = 10 i=1 c i1 = (713,788) et c 2 = 10 i=1 c i2 = (80,317) 4 Déchiffrer les votes. Reconstruction de la clé : supposons que nous avons les parts des 3 premières autorités (1, 88), (2, 101), (3, 30). Nous calculons P(0)c 1 = s 1 c 1 2 3 (2 1)(3 1) + s 2c 1 1 3 (1 2)(3 2) + s 3c 1 1 2 (1 3)(2 3) = 88c 1 ( 6 2 ) + 101c1 ( 3 1 ) + 30c1 = 264c 1 46c 1 + 30c 1 = 248c 1 = (171,2 Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 33 / 36

Présentation de CReVote Illustration numérique avec SAGE Nous obtenons s(c 1 ) = (171,275), le déchiffrement s obtient en calculant c 2 s(c 1 ) = (441,457). 5 compter les voix. calculer 3 i=0 d r P r en comparant le résultat à celui du calcul de c 2 s(c 1 ). Pour notre exemple après calcul nous obtenons 3 i=0 d r P r = 3P 0 + 2P 1 + 4P 2 + P 3 = (441,457) Cinquième phase : publication des résultats Après le décompte des voix et la vérification, les résultats sont publiés Le vainqueur est le candidat 2. Tableau des résultats Numéros Nom nombre de voix 0 Abstention 3 1 Candidat 1 2 2 Candidat 2 4 3 Candidat 3 1 Retour. Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 34 / 36

Problème Présentation de CReVote Illustration numérique avec SAGE Problème pour k 2 La détermination de d r lors du calcule de la somme k r=0 d r P r dans E(F p ) est une instance du problème de sac à dos ou problème de la somme de sous-ensemble qui est NP-complet. Implémenter un prototype du système de vote ; Faire une preuve de sécurité formelle ; Gérer les attaques induite par Internet ; Adapter le système pour l utiliser sur équipement légers ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 35 / 36

Problème Présentation de CReVote Illustration numérique avec SAGE Problème pour k 2 La détermination de d r lors du calcule de la somme k r=0 d r P r dans E(F p ) est une instance du problème de sac à dos ou problème de la somme de sous-ensemble qui est NP-complet. Implémenter un prototype du système de vote ; Faire une preuve de sécurité formelle ; Gérer les attaques induite par Internet ; Adapter le système pour l utiliser sur équipement légers ; Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 35 / 36

Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 36 / 36