Vous êtes sur la page 1sur 15

Cours 1 : Introduction aux preuves de sécurité

en cryptographie

Duong Hieu Phan

Université Paris 8
hieu.phan@univ-paris8.fr
http://ufr6.univ-paris8.fr/maths/phan/

08 Octobre 2008
Avant de commencer

13 séances
Octobre : 8, 15, 22, 29
Novembre : 5, 12, 19, 26 (Examen partiel : 26 nov)
Decembre : 3, 10, 17
Janvier : 7, 14 (Examen final: 14 jav)

Examen
Résultat = FonctionSecret(note partiel, note examen) + Bonus
(Bonus sera mis à jour sur ma pageweb)
Doccuments

Notes de cours et livres en ligne


1 Lecture Notes on Cryptography at the MIT, S. Goldwasser
and M. Bellare,
http://www-cse.ucsd.edu/users/mihir/papers/
gb.html
2 Introduction to Modern Cryptography, Mihir Bellare and
Phillip Rogaway,
http://www-cse.ucsd.edu/users/mihir/cse207/
classnotes.html
3 The Foundations of Cryptography, Oded Goldreich,
http:
//www.wisdom.weizmann.ac.il/∼oded/frag.html
Déroulement des cours

1 Les slides contiennent des grandes lignes (idées,


l’énoncés des théorèmes...)
2 Les slides sont disponibles sur ma page web:
http://ufr6.univ-paris8.fr/maths/phan/
3 Les détails vont être présentés au tableau.
4 Les références seront données pour vous aider
d’approfondir vos études.
Approches de l’analyse d’un schéma

Approche Classique
Figure

Approche Moderne
Figure
Approche moderne : les composantes

Formaliser des notions de sécurité


Formaliser des modèles d’attaque
Les bases des preuves : Hypothèses algorithmiques

Example : factorization est difficile


Généralisation : Il existe des fonctions à sens unique
...
Technique de preuve de sécurité

Réduction au sens de la complexité


Supposons qu’il existe un attaquant A qui arrive à casser le
schéma S
Alors, on peut fabriquer un algorithme B qui peut résoudre un
problème algorithmique supposé difficile.

Différence d’une preuve dans le cour de la complexité (master


1)
L’attaquant A peut avoir des “intéraction” avec le système et
son comportement dépend du feedback du système. On est
donc dans un monde “intéractif”.

Simulation
B doit pouvoir simuler les interactions de A avec le système.
Les études pour le chiffrement symétrique

Figure
Les études pour le chiffrement asymétrique

Figure
Fonction à sens unique

Référence :
Cette notion est explicitement introduit pour le premier fois
dans le célèbre article :
New Directions in Cryptography (Whitfield Diffie and Martin E.
Hellman - 1976)

Fonction négligeable
Une fonction µ : N → R est négligéable (en n) si pour tout
1
polynome positive p(.) il existe un N tel que ∀n ≥ N, µ(n) < p(n)
Fonction à sens unique (suite)

Définition :
Une fonction f : {0, 1}? → {0, 1}? est dite à sens unique si elle
vérifie les conditions :
Facicle à calculer : Il existe une machine de Turing
polynomiale M qui calcule f (x) : ∀x, M(x) = f (x).
Difficile à inverser : Pour tout algorithme A en temps
polynomial,
def
Succow n
A,f (n) = Pr[A(f (Un ), 1 ) ∈ f
−1
(f (Un ))]
 
def R
= Pr[A(f (x), 1n ) ∈ f −1 (f (x)); x ← {0, 1}? ]

est une fonction négligeable.


Famille des fonctions à sens unique

Définition
Une famille de fonction F = {fi∈I : Di → Ri }, où I est un
ensemble des indices et Di , Ri sont des ensembles finis pour
chaque i, est dite à sens unique si :
Facile à échantilonner et calculer :
R
Il existe un algorithme probabiliste S1 (1n ) 7→ i ∈ {0, 1}? ∩ I
R
Il existe un algorithme probabiliste S2 (i ∈ I) 7→ x ∈ Di
Il existe un algorithme M(i, x) = fi (x)
Difficile à inverser : Pour tout algorithme A en temps
polynomial,Succow A,F (n) est négligeable.

def R R
Succow −1 n
A,F (n) = Pr[A(i, f (x)) ∈ fi (fi (x)); i ← S1 (1 ), x ← S2 (i)]
Exercice

RSA - Logarithme discrète


Décrire les fonctions RSA et le logarithme discrète sous forme
des familles des fonctions à sens unique.

Référence
Le chiffrement RSA est paru dans le papier :
A Method for Obtaining Digital Signatures and Public-Key
Cryptosystems (R.L. Rivest, A. Shamir, and L. Adleman - 1978)
Ce chiffrement est breveté en 1983 et le brevet est expiré en
2000.
Premier théorème

Théorème
Il existe une fonction à sens unique
si et seulement s’il existe une famille de fonction à sens unique.
Première preuve de sécurité

Théorème
Sous l’hypothèse que le problème de factorisation est difficile,
le chiffrement Rabin est difficile à inverser

Exercice
Donner une démonstration pour ce théorème.
Référence: Digital signatures and public-key functions as
intractable as factorization (Michael O. Rabin - 1979)

Vous aimerez peut-être aussi