Académique Documents
Professionnel Documents
Culture Documents
1
I. NOTION DE SECURITE PROUVEE
1. La sécurité calculatoire
2
in a secure scheme, the adversary should glean no information from seeing a
ciphertext. Therefore, the adversary should be able to do no better than if it guessed
randomly.
3
# The challenger generates a key pair ”PK”, ”SK” based on some security
parameter ”k” (e.g., a key size in bits), and publishes ”PK” to the adversary. The
challenger retains ”SK”. 1
# The challenger selects a bit ”b” in {0, 1} uniformly at random, and sends
the ”challenge” ciphertext ”C” = E (PK, M_b) back to the adversary.
4
caveat that it may not pass the challenge ciphertext for decryption (otherwise, the
definition would be trivial).
# The challenger generates a key pair ”PK”, ”SK” based on some security
parameter ”k” (e.g., a key size in bits), and publishes ”PK” to the adversary. The
challenger retains ”SK”.
# Eventually, the adversary submits two distinct chosen plaintexts M_0, M_1
to the challenger.
# The challenger selects a bit ”b” € {0, 1} uniformly at random, and sends
the ”challenge” ciphertext ”C” = E(PK, M_b) back to the adversary.
# In the ”adaptive” case (IND-CCA2), the adversary may make further calls
to the decryption oracle, but may not submit the challenge ciphertext ”C”.
# Finally, the adversary outputs a guess for the value of ”b”. A scheme is
IND-CCA/INDCCA2 secure if no adversary has a non-negligible advantage in
winning the above game.
3. Non-malleability (Non-malléabilité)
La construction d’un schéma IND−CCA2 sûr est réalisée grâce à une nouvelle
notion de sécurité : la non-malléabilité (dénotée NM). Introduite par Dolev, Dwork
et Naor, elle est considérée comme une extension de la sécurité sémantique (une
5
autre notion de non-malléabilité équivalente et plus simple à étudier sera
ultérieurement introduite par Bellare, Desai, Pointcheval et Rogaway ), elle est en
général plus forte que l’indistinguabilité. Bellare et. al ont pourtant prouvé que la
non-malléabilité et l’indistinguabilité sont équivalentes face aux attaques à chiffrés
choisis adaptatives. Malleability is the property of some cryptographic algorithm .
An encryption algorithm is malleable if it is possible for an adversary to transform a
cipher-text into another ciphertext which decrypts to a related plaintext .That is given
an encryption of a plaintext m, it is possible to generate another ciphertext which
decrypts to f(m), for a known function f, without necessarily knowing or learning m.
Malleability is often an undesirable property in a general-purpose cryptosystem,
since it allows an attacker to modify the contents of a message. For example, suppose
that a bank uses a stream cipher to hide its financial information, and a user sends
an encrypted message containing, say,” TRANSFER Rs.1000 TO ACCOUNT 199.”
If an attacker can modify the message on the wire, and can guess the format of the
unencrypted message, the attacker could be able to change the amount of the
transaction, or the recipient of the funds, e.g.,” TRANSFER Rs1000 TO ACCOUNT
227.” Non-malleability is that given the ciphertext it is impossible to generate a
different ciphertext so that the respective plane texts are related.
Description du cryptosysteme
6
Le crypto système de Cramer-Shoup repose sur trois algorithmes (G, E, D) décrits
ici :
𝑐 ← 𝑔1 𝑥1 𝑔2 𝑥2 , 𝑑 ← 𝑔1 𝑦1 𝑔2 𝑦2 , et ℎ ← 𝑔1 𝑧1 𝑔2 𝑧2
• Chiffrement
L’algorithme de chiffrement 𝐸 prend en entrée les paramètres publics, la clé
publique, et un message 𝑚 𝜖 𝔾. Un exposant 𝑟 𝜖 ℤ/(𝑞) est choisi
uniformement au hasard, puis l’algorithme calcule :
• Déchiffrement
L'algorithme de déchiffrement 𝐷 prend en entrée les paramètres
publics, la clé privée, et un chiffré 𝑐𝑡 = {𝑢1 , 𝑢2 , 𝑒, 𝑣}𝜖 𝔾4 et calcule :
𝛼 ⟵ 𝐻(𝑢1 , 𝑢2 , 𝑒) et vérifie si 𝑢1 𝑥1+𝛼𝑦1 . 𝑢2 𝑥2+𝛼𝑦2 = 𝑣
Si l'égalité est fausse, l'algorithme de déchiffrement échoue et renvoie
un symbole d'erreur ( ⊥ ). Sinon il renvoi 𝑚 ← 𝑒𝑢−𝑧1 𝑢2 −𝑧2
Le crypto système de Cramer-Shoup est résistant aux attaques adaptatives à
chiffrés choisis (IND-CCA2) lorsque la fonction H est choisie dans une famille
7
de fonctions de hachage universelles à sens unique par réduction, dans le modèle
standard, à la difficulté du problème décisionnel de Diffie-Hellman dans 𝔾.
1. Description informelle
▪ CPA est une attaque "passive" puisque l'adversaire observe simplement des
textes chiffrés générés honnêtement. L'adversaire choisit les textes en clair,
mais cela n'est pas considéré comme une attaque « active » - les textes en clair
eux-mêmes ne sont pas cryptographiques et l'algorithme de chiffrement est
toujours appliqué honnêtement à ces textes en clair.
▪ CCA est une attaque "active" car l'adversaire peut provoquer le déchiffrement
de textes chiffrés générés de manière malveillante. C'est quelque chose qui ne
8
peut jamais arriver dans le cadre des opérations normales d'un système par des
utilisateurs honnêtes.
• Il y a des cas où la sécurité CCA est trop forte. Un champ typique est
le chiffrement homomorphe où nous aimerions calculer en utilisant les textes
chiffrés. Ici, il y a une exigence selon laquelle il devrait être possible que les
textes chiffrés puissent être manipulés, ce qui est en conflit direct avec CCA
• Notez qu'il existe des applications où même la sécurité CPA est trop
forte. L'une des implications de la CPA est que le schéma de chiffrement est
probabiliste : deux chiffrements différents du même message doivent aboutir
à un texte chiffré différent.
Mais dans certains cas, lorsque vous souhaitez effectuer une recherche dans
des données cryptées, cela rend la recherche impossible.
Il existe donc des notions comme le chiffrement déterministe et chiffrement
préservant le format qui sont utiles précisément parce qu'ils n'atteignent même
pas les niveaux de sécurité CPA.
3. Sécurité
• Pour qu'un schéma soit sécurisé par IND-CPA, il doit être établi que pour tous
les adversaires possibles (limités dans le temps), l'avantage de l'adversaire
sera négligeable. Une remarque évidente à propos du jeu IND-CPA est que
l'attaquant possède la clé publique.
• Pour qu’un Un schéma est sécurisé IND-CCA si aucun adversaire n'a un
avantage non négligeable à gagner, l’adversaire ne peut plus faire d'appels à
l'oracle de déchiffrement. Enfin, l'adversaire émet une estimation de la valeur.
9
REFERENCES
- Scribe8.pdf
- https://fr.wikipedia.org/w/index.php?title=Cryptosyst%C3%A8me_de_Cra
mer-Shoup&action=edit§ion=3
10