Académique Documents
Professionnel Documents
Culture Documents
Université de Caen
Travaux effectués au
Laboratoire d’Informatique
École Normale Supérieure
Plan
• Signature Électronique
• Introduction – Sécurité
• Preuves de Sécurité – Attaques
– Résultat de sécurité
• Preuves de Connaissance • Signature en Blanc
• Identification : PPP – Sécurité
– Problème de base – Attaques
– Difficulté – Résultat de Sécurité
– Schéma • Monnaie Électronique
– Performances
• Conclusion
David Pointcheval
Les Preuves de Connaissance et leurs Preuves de Sécurité
Introduction
• violer la confidentialité
• falsifier une identité
David Pointcheval 1
Preuves de Sécurité
• Couramment :
on ne voit pas comment l’attaquer.
• Preuve formelle :
un attaquant A permettrait la résolution efficace
d’un problème P réputé très difficile.
(factorisation, logarithme discret, RSA,
PKP, SD, CLE, PPP, . . .)
David Pointcheval 2
Les Preuves de Connaissance et leurs Preuves de Sécurité
Attaque Réduction
Public
ω0
ω
Pub ω
fraude donne
A
A M
solution
f B
f B
David Pointcheval 3
Preuves de Connaissance
David Pointcheval 4
Les Preuves de Connaissance et leurs Preuves de Sécurité
Identification
David Pointcheval 5
Histoire
David Pointcheval 6
Les Preuves de Connaissance et leurs Preuves de Sécurité
Identification de Schnorr
Alice Bob
p et q premiers
¡
tels
¢?
que q|(p − 1)
g¡ élément
¢?
de Z/pZ d’ordre q ≥ 2t
clé secrète : x ∈ Z/q Z
clé publique :¡ y = ¢g −x mod p
k ∈ Z/q Z ?
r
r = g k mod p −−−−−−−−−→
e
←−−−−−−−−− e ∈ Z/2tZ
s
s = k + ex mod q −−−−−−−−−→
?
r = g sy e mod p
David Pointcheval 7
• Définition
ε-matrice : matrice dont les composantes sont +1 ou −1.
(idem pour ε-vecteur).
David Pointcheval 8
Les Preuves de Connaissance et leurs Preuves de Sécurité
Propriétés
• PP est N P-complet
• Max-PP est Max-SN P-dur
• PPP est N P-complet
David Pointcheval 9
Temps d’attaque
David Pointcheval 10
Les Preuves de Connaissance et leurs Preuves de Sécurité
Protocoles d’identification
Problème difficile
protocole d’identification « à divulgation nulle de connaissance ».
Efficacité ?
• protocole à 3 passes
probabilité de fraude inférieure à 3/4 à chaque tour 48 tours
• protocole à 5 passes
probabilité de fraude inférieure à 2/3 à chaque tour 35 tours
David Pointcheval 11
Performances
David Pointcheval 12
Les Preuves de Connaissance et leurs Preuves de Sécurité
Signature Électronique
m
Id Kp
Ks
canal non scuris
V
σ
Σ
Seul le
est capable depossesseur
fournir un de Ks, associée
certificat σ, du à Kp ,
message m.
Signature de Schnorr
¡ ¢?
• commun : p, q entiers
¡
premiers,
¢?
g ∈ Z/ pZ d’ordre q
clé secrète : x ∈ Z/q Z
clé publique : y = g −x mod p
?
• g sy e = r mod p avec e = f (m, r)
σ = (r, e, s) signature de m.
David Pointcheval 14
Les Preuves de Connaissance et leurs Preuves de Sécurité
Falsifications :
• cassage total
• falsification universelle
• falsification existentielle
Attaques :
• attaque sans message connu
• attaque à messages connus
• attaque à messages choisis adaptative
David Pointcheval 15
Falsification existentielle
selon une attaque sans message connu
David Pointcheval 16
Les Preuves de Connaissance et leurs Preuves de Sécurité
Lemme de « bifurcation »
ρR ρS
z }| { z }| {
Q1 Q2 Qβ Qβ+1 QQ
A ω • ρ • • ρ • • ρ (m, r, e, s)
1 β Q
Qβ = (m, r)
Oracle f
ρβ = e
Oracle f 0
ρ0β ρ0Q
• • (m, r, e0, s0)
Q0β+1 Q0Q Q0β = (m, r)
Public : p, q, g, y
ρ0β = e0
Falsification existentielle
selon une attaque à messages choisis adaptative
f Σ
David Pointcheval 18
Les Preuves de Connaissance et leurs Preuves de Sécurité
Simulation
• Σ : m −→ (r, e, s)
• Simulation : m
e aléatoire (comme retourné par f )
s aléatoire (comme apparemment retourné par Σ)
r = g sy e mod p (comme apparemment retourné par Σ)
David Pointcheval 19
Résultat de Sécurité
David Pointcheval 20
Les Preuves de Connaissance et leurs Preuves de Sécurité
Généralisation
• Application à El Gamal.
David Pointcheval 21
Monnaie Électronique
David Pointcheval 22
Les Preuves de Connaissance et leurs Preuves de Sécurité
Banque
c1 Mag. 1
Alice
Bob c2 Mag. 2
Anonymat
Signature en Blanc
le message et la signature
doivent rester inconnus pour l’autorité
David Pointcheval 24
Les Preuves de Connaissance et leurs Preuves de Sécurité
Propriétés de Sécurité
• (`, ` + 1)-falsification :
après ` interactions avec la Banque
l’attaquant est capable de forger
` + 1 couples message–signature valides.
• falsification supplémentaire :
une (`, ` + 1)-falsification
pour un entier `.
David Pointcheval 26
Les Preuves de Connaissance et leurs Preuves de Sécurité
Attaques
A ω0 • • • • •
Q1 R Q2 Qj Rj QQ R
Oracle f 1 Q
A ω0 • • • • •
Q1 R Q2 Qj Rj QQ R
Oracle f 1 Q
David Pointcheval 27
Attaque Résolution LD
p, q, g, y ω0
ω p, q
(m1 , σ1 ) ω
... g, y
p, q, g, y
A (mi , σi )
... A M x
(m`+1 , σ`+1 )
f Σ
`
f Σ
Témoins Indistinguables
David Pointcheval 29
clé publique : y¡ = g −x
¢?
1 h−x2 mod p
k1, k2 ∈ Z/q Z
r
r = g k1 hk2 mod p −−−−−−−−−→
α, β, γ ∈ Z/q Z
ρ = rg αhβ y γ mod p
ε = f (m, ρ)
e
←−−−−−−−−− e = ε − γ mod q
s = k1 + ex1 mod q
s, t
t = k2 + ex2 mod q −−−−−−−−−→
?
g shty e = r mod p
σ = s + α mod q
τ = t + β mod q
σ τ ε
(m, ρ, ε, σ, τ ) tel que ρ = g h y mod p avec ε = f (m, ρ).
David Pointcheval 30
Les Preuves de Connaissance et leurs Preuves de Sécurité
Lemme de « bifurcation »
Σ (x1, x2), Ω
r1 . . . r` e1 s1 , t 1 ... e` s` , t `
m 1 , ρ1 , ε 1 , σ 1 , τ 1
...
A ω • • • • • Qj = (mi , ρi )
Q 1 R1 Q2 Qj R j QQRQ
..
.
Oracle f m`+1 , ρ`+1 , ε`+1 , σ`+1 , τ`+1
David Pointcheval 31
)
x01 = (σi0 − σi)/(ε0i − εi) mod q 0 0
y = g −x1 h−x2 mod p.
x02 = (τi0 − τi)/(ε0i − εi) mod q
Résultat de Sécurité
si de plus, ε ≥ 4Q`+1/q ,
David Pointcheval 33
Monnaie Électronique
David Pointcheval 34
Les Preuves de Connaissance et leurs Preuves de Sécurité
Conclusion
• Identification
Protocoles dont une fraude selon une attaque active
est équivalente au Problème des Perceptrons Permutés
• Signatures Électroniques
Une falsification existentielle selon
une attaque à messages choisis adaptative est
équivalente au LD (ou FACT, RSA, PKP, SD, CLE, PPP,. . .)
• Signatures en Blanc
Une falsification supplémentaire selon
une attaque parallèle est
équivalente au LD (ou FACT, RSA)
• Monnaie électronique
Premier schéma, avec preuves formelles,
équivalent au LD
David Pointcheval 35