Alternatives ` a RSA - Autres conversions g´en´eriques

2.4 Autres conversions g´en´eriques

2.1.3 Alternatives ` a RSA

complexité. En effet, une source naturelle de fonctions à sens-unique est la classe des problèmes N P-complets. Cependant, tout problème N P-complet ne convient pas, car la N P-complétude provient des instances difficiles, qui peuvent être rares. Pour des applications cryptographiques, il faut des problèmes n’admettant que des instances difficiles (ou tout du moins avec une infime proportion d’instances faciles).

Les problèmes utilisés sont alors le problème dusac à doset le problème dudécodage de codes correcteurs d’erreurs linéaires aléatoires. Le premier a conduit à de nombreuses propositions, à commencer par Merkle et Hellman [78], mais toutes ont été cassées par la suite. La théorie des codes correcteurs d’erreurs a conduit à une proposition de Mc Eliece [77], peu utilisable pour des raisons d’efficacité et de taille.

Il a fallu attendre 1985 pour une réelle alternative à RSA, dans la lignée de la proposition de Diffie et Hellman. Elle est venue de El Gamal [39], et est basée sur le problème du logarithme discret qui consiste à résoudre l’équationy =g^x, pour uny donné, dans le groupe engendré par g. Le chiffrement consiste simplement à masquer le message avec la clé Diffie-Hellmanc=m×K, où (a, A) est le couple de clés privée/publique du destinataire, et B =g^b est transmis avec c.

Cette nouvelle approche est très importante, car finalement assez générique. En effet, elle ne se limite pas aux sous-groupes cycliques de ^?_p, les premiers utilisés, mais à tout groupe où le problème du logarithme discret est difficile. Ainsi, Miller et Koblitz [80,67,68,69] ont suggéré d’utiliser les courbes elliptiques, ainsi que les Jacobiennes de courbes hyper-elliptiques. D’autres structures algébriques plus complexes sont également suggérées.

2.2 La cryptographie conventionnelle

Qu’est donc devenue la cryptographie symétrique dans tout cela ? En effet, la cryptographie asymétrique semble beaucoup plus intéressante, et capable de résoudre tous les problèmes que

l’on se pose. Cependant, son principal inconvénient réside dans son coût calculatoire. Comme l’ont démontré les exemples présentés précédemment, les schémas asymétriques font essentielle-ment appel à des calculs sur des grands nombres (de 512 bits, à 1024 bits, voire 2048 bits) et sont donc très consommateurs de puissance de calcul. Ainsi, ne sont-ils pas adaptés au chiffrement de grosses quantités de données, ou de flux à haut débit.

La cryptographie conventionnelle n’a par conséquent pas été délaissée, bien au contraire, puisqu’elle comble parfaitement les lacunes de la cryptographie asymétrique, avec une efficacité et des débits de chiffrement incomparablement plus élevés. Ainsi, en pratique, on chiffre une clé de session à l’aide d’un procédé asymétrique, permettant à l’émetteur de transmettre un secret

éphémère à son destinataire, puis le message ou le flux sont chiffrés de fa¸con symétrique avec ce secret commun (on parle de procédés de chiffrementhybrides).

3 L’authentification

Les problèmes de confidentialité semblent donc globalement résolus, avec le caractère pratique du chiffrement asymétrique, et l’efficacité du chiffrement symétrique. Qu’en est-il du problème de l’authentification ? Ce dernier est couramment étudié sous deux aspects : l’authentification interactive (la preuve d’identité, pour un contrôle d’accès) et la signature, qui doit satisfaire la propriété de non-répudiation.

3.1 Authentification interactive.

La cryptographie symétrique permet de remplir cette fonctionnalité, en montrant sa capacité

à chiffrer, équivalente à la connaissance de la clé secrète. Cependant, ceci ne convient qu’entre deux personnes qui possèdent un secret en commun.

La cryptographie asymétrique permet de résoudre ce problème de fa¸con beaucoup plus

élégante. En effet, pour prouver son identité, il suffit de prouver sa connaissance de la clé privée associée à sa clé publique. En 1985, Goldwasser, Micali et Rackoff [54] ont proposé une tech-nique générale de preuve de connaissance d’un secret, sans rien révéler sur ce secret : les preuves interactives de connaissance zero-knowledge.

L’année suivante, Fiat et Shamir [41] présentent un protocole efficace de preuve de connais-sance d’une racine carrée modulaire. C’est-à-dire qu’étant donnén, un module RSA, et un carré y∈ ^?n(obtenu par exemple pary=x²modn), un individu qui connaˆıtx, une racine carrée de y, peut convaincre interactivement toute personne de sa connaissance de cex, sans ne rien révéler sur ce dernier. Il est à remarquer que le calcul d’une racine carrée modulaire est équivalent à la factorisation du module.

En 1989, Schnorr [115] présente un protocole efficace de preuve de connaissance d’un loga-rithme discret. Conjointement à ce protocole d’authentification interactive, Schnorr a proposé une version non-interactive, conduisant à un schéma de signature.

3.2 Signature num´erique.

Une signature numérique doit prouver l’identité de l’émetteur d’un message, et garantir la non-répudiation. Le cryptosystème RSA permet également la signature d’un message. En effet, en inversant les mécanismes, c’est-à-dire que le déchiffrement du message, qui est accessible uni-quement à qui connaˆıt la factorisation du module, devient le procédé de signature. En revanche, le chiffrement étant public, en chiffrant la signature produite, tout le monde doit retomber sur le message. Étant donné que seul celui en possession de la clé privée peut signer (en raison de la difficulté du décryptement), une signature valide ne peut être attribuée à personne d’autre, ce qui garantit la non-répudiation. La capacité à déchiffrer avec RSA prouve la connaissance de la clé privée.

Comme fait avec le schéma de Schnorr, toute preuve interactive de connaissance peut être rendue non-interactive, afin de garantir toutes les propriétés souhaitées pour un schéma de

4. Les preuves de s´ecurit´e 7

signature. Les États-Unis ont normalisé une variante du schéma de signature de Schnorr, sous le nom de DSA (Digital Signature Algorithm) [86]. Puis récemment, une norme a adopté une version sur les courbes elliptiques [1,87].

4 Les preuves de s´ecurit´e

Malheureusement, bien que ces deux normes reposent sur le logarithme discret, aucune preuve ne garantit qu’un fraudeur n’a d’autre solution que de casser le probl`eme du logarithme discret.

Suite à de nombreuses attaques de schémas (aussi bien de signature que de chiffrement) basés sur des problèmesa priori difficiles, qui exploitaient des faiblesses dans la construction globale, ces dernières années, la tendance générale des travaux en cryptologie est d’apporter des preuves de validité de la construction.

Ainsi, on montre qu’un attaquant, pour effectuer une fraude, n’a pas d’autre moyen que de résoudre le problème mathématique sous-jacent. Pour cela, on présente une réduction d’une instance du problème mathématique en une attaque du système : un attaquant peut être utilisé comme sous-programme pour résoudre le problème mathématique (la factorisation, le logarithme discret, etc).

On tente ainsi de répondre de fa¸con effective au principe de Kerckhoffs sur l’inattaquabilité matérielle, sinon mathématique . Un certain nombre de schémas répondent déjà à ce principe, sous réserve de l’impossibilité matérielle de résoudre certains problèmes bien identifiés en temps raisonnable.

Remarque 1. Les preuves de sécurité pour les schémas d’authentification (identification inter-active, et signature) ont été traitées dans la thèse de doctorat [100]. Le présent mémoire traite essentiellement des preuves de sécurité pour le chiffrement asymétrique.

5 Les infrastructures de gestion de cl´es

La combinaison de la cryptographie symétrique/asymétrique répond à de nombreux besoins, notamment sur Internet, d’authenticité et de confidentialité. Un certain nombre de normes ont d’ailleurs été établies pour appliquer les techniques de chiffrement et de signature au courrier

électronique, aux sessions sécurisées du WEB (SSL, Secure Socket Layer), aux protocoles TCP et IP. Elles nécessitent alors la gestion de plusieurs millions de clés publiques.

Le statut de la clé privée est clair, puisque chaque utilisateur doit la conserver en lieu sûr.

En revanche, comment lier une clé publique à son propriétaire ? La réponse apportée par la cryptographie est la signature : il suffit de faire signer l’ensemble identité-clé publique par une autorité, possédant une clé publique. Cette dernière est elle-même signée avec l’identité de cette autorité par une autorité supérieure, etc. En bout de chaˆıne, on fait appel à une clé publique de niveau hiérarchique maximal, connue des navigateurs. Cette suite de signatures est appelée certificat : une infrastructure de gestion de clés publiques doit donc gérer le cycle de vie des clés et des certificats, de leur génération à l’expiration, en tenant compte de la révocation. Cette dernière implique la mise à jour de bases de données contenant la liste des clés invalides, laliste de révocation des certificats (ou CRL, Certificate Revocation List). Cette nouvelle technologie, les PKI (Public Key Infrastructure), est urgente à mettre en place. Elle est indispensable pour profiter pleinement des garanties apportées par les schémas cryptographiques, et notamment la non-répudiation, si importante pour des transactions électroniques.

6 Conclusion

En aurait-on fini avec les problèmes de sécurité, grâce à la cryptographie ? Malheureusement, pas encore ! Même si nombre de problèmes admettent dorénavant des solutions, elles restent

souvent partielles. En effet, avec la cryptographie asymétrique et les preuves de sécurité, le niveau de sécurité devient quantifiable, ce qui est d’ailleurs le sujet de ce mémoire. Cependant de nombreuses questions sont encore ouvertes :

– les preuves de sécurité relèvent d’une approche récente, et donc de nombreux problèmes sont encore sans solution prouvée ;

– pour des raisons d’efficacité du protocole final, la plupart des preuves de sécurité font des hypothèses sur certains objets, et donc sur les attaquants. Ainsi, trouver des protocoles pratiques avec des preuves complètes de sécurité reste un défi ;

– même avec des hypothèses assez fortes, la cryptographie asymétrique prouvée reste coˆ uteu-se sur des dispositifs portables de faible puissance de calcul, tels que les cartes à puce. L’ef-ficacité reste donc un objectif majeur pour permettre l’introduction de la cryptographie, et donc de la sécurité, à tous les niveaux ;

– la sécurité inconditionnelle , sans hypothèse mathématique et sans limite calculatoire de l’attaquant, est impossible (résultat de Shannon). Ainsi, la plupart des protocoles cryp-tographiques à clé publique reposent sur la factorisation ou le logarithme discret. Des alternatives à la théorie des nombres sont nécessaires pour pallier un éventuel algorithme révolutionnaire de factorisation. Quelques tentatives ont vu le jour, mais n’ont pas encore réellement convaincu.

La cryptographie moderne a donné un nouvel élan à la cryptographie conventionnelle. Une théorie a commencé à se développer, permettant de prouver la sécurité du chiffrement symétrique contre certains types d’attaques [130,131]. Mais il ne s’agit que d’un début de théorie, importante

à développer pour compléter les schémas asymétriques prouvés.

Toutes les applications appelées à se développer sur Internet, telles que le commerce électro-nique ou le vote électroélectro-nique, posent de nouveaux problèmes de sécurité, notamment l’anonymat.

La cryptographie peut également répondre à ces besoins, mais la complexité des protocoles mis en jeu est de plus en plus grande. La sécurité effective devient alors très délicate à étudier. Le formalisme présenté dans ce mémoire permet de simplifier les preuves et donc d’envisager d’aller plus loin dans les schémas analysables et prouvables.

Preuves de s´ ecurit´ e

Sommaire

1 Introduction . . . . 9

2 La sécurité prouvée . . . . 9

2.1 Les fonctions `a sens-unique, `a trappe . . . . 9

2.2 La génération des clés et le système cryptographique . . . . 11

2.3 Les notions de s´ecurit´e . . . . 11

2.4 Les r´eductions . . . . 12

3 Probl`emes difficiles et r´eductions efficaces . . . . 13

3.1 La théorie de la complexité : la sécurité asymptotique . . . . 13

3.2 La s´ecurit´e exacte . . . . 14

3.3 La s´ecurit´e pratique . . . . 14

4 Le mod`ele de l’oracle al´eatoire . . . . 14

5 Conclusion . . . . 15

1 Introduction

La sécurité parfaite, ou inconditionnelle, n’est pas possible dans le contexte asymétrique, puisque les conventions publiques et le message chiffré définissent un message clair unique, que le destinataire est censé être le seul à pouvoir retrouver. Alors, à défaut de systèmes mathématiquement inattaquables, Kerckhoffs préconise des systèmes matériellement in-attaquables. Mais le matériellement inattaquable est malheureusement difficile à formaliser.

Ainsi, pendant longtemps, l’approche a été heuristique : on propose un nouveau système, les cryptanalystes s’acharnent dessus, détectent des faiblesses au niveau du problème difficile sous-jacent, du schéma ou des informations transmises par le possesseur du secret. Les crypta-nalystes parvenaient souvent à une attaque partielle, voire à un cassage total, mais dans des délais variables. Ainsi, une telle démarche de proposition-attaque n’est pas satisfaisante.

Si la cryptographie asymétrique ne peut fournir une sécurité inconditionnelle, on doit donc faire au moins une hypothèse : l’existence d’une fonction à sens-unique, voire d’une fonction

à sens-unique à trappe. L’objectif des preuves de sécurité est de se contenter de cette seule hypothèse : le mécanisme utilisé n’affaiblit pas la difficulté du problème sous-jacent.

2 La sécurité prouvée

La théorie de la complexité a déjà étudié cette problématique pour montrer que deux problèmes sont aussi difficiles à résoudre. En effet, montrer que l’hypothèse de la difficulté du problème sous-jacent est suffisante pour que le schéma garantisse la notion de sécurité sou-haitée revient à montrer que résoudre ce problème et attaquer le système cryptographique sont aussi difficiles : un algorithme qui résout l’un permet de résoudre l’autre, modulo une réduction polynomiale. On a donc besoin de ces trois ingrédients : un problème difficile (l’hypothèse cal-culatoire), une notion de sécurité à casser pour le système cryptographique, puis une réduction.

2.1 Les fonctions `a sens-unique, `a trappe

Une première hypothèse importante pour la cryptographie asymétrique est l’existence de fonctions à sens-unique. Intuitivement, il s’agit de fonctions faciles à évaluer, mais difficiles à inverser. Elles formalisent la notion de problème difficile. Une définition plus précise est fournie ci-dessous.

D´efinition 2 (Fonction polynomiale). Une fonction f : → est polynomiale si,

∃n∈ ,∃K ∈ ,∀k > K, f(k)≤kⁿ.

Définition 3 (Fonction négligeable). Une fonctionf : → ⁺ estnégligeable si,

∀n∈ ,∃K ∈ ,∀k > K, f(k)<1/kⁿ.

Définition 4 (Fonction à sens-unique). Une fonction f est à sens-unique si elle peut être

évaluée en temps polynomial, mais ne peut être inversée en temps polynomial. Soit, il existe un algorithme d’évaluation E fonctionnant en temps polynomial Time_k(E) sur une entrée de taille k :

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u

Time_k(E) = max

|x|=ktime{E(f, x)} et ∀x,E(f, x) =f(x).

Mais pour pour tout algorithmeA, fonctionnant en temps polynomialTime_k(A), sa probabilité de succèsSuccôw_k (A) dans l’inversion (contrer laone-wayness, d’oùow) de la fonction f, sur des entrées de taillek est négligeable : pour tout A,

∃n∈ ,∃Kt ∈ ,∀k > Kt,Time_k(A)≤kⁿ⇒ ∀n∈ ,∃Ks ∈ ,∀k > Ks,Succ^ow_k (A)<1/kⁿ, o`u

Time_k(A) = max

|x|=ktime{A(f(x))} et Succ^ow_k (A) = Pr

|x|=k[f(A(f(x))) =f(x)].

Par la suite, on considérera des familles de fonctionsf_i^k, oùkdésigne le paramètre de sécurité, relié à la taille de l’entrée, et iun paramètre d’indexation.

Définition 5 (Famille de fonctions à sens-unique). Une famille de fonctions (f_i^k) est dite famille de fonctions à sens-unique si

– il existe un algorithme d’´evaluationEen temps polynomialTime_k(E) en la taille de l’entr´ee :

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u (avec iet x pris dans les espaces finis convenables)

Time_k(E) = max

i,x time{E(k, i, x)} et ∀i, x,E(k, i, x) =f_i^k(x) ;

– pour tout algorithme A, fonctionnant en temps polynomial Time_k(A), sa probabilité de succès Succôw_k (A) dans l’inversion des fonctionsf_i^k est négligeable : pour toutA,

∃n∈ ,∃Kt ∈ ,∀k > Kt,Time_k(A)≤kⁿ

⇒ ∀n∈ ,∃K_s ∈ ,∀k > K_s,Succ^ow_k (A)<1/kⁿ, o`u (avec iet x pris dans les espaces finis convenables)

Time_k(A) = max

i,x timen

A(k, i, f_i^k(x))o

et Succ^ow_k (A) = Pr

i,x

f_i^k(A(k, i, f_i^k(x))) =f_i^k(x)i . De telles fonctions seront suffisantes pour la signature. Mais on peut aussi définir le deuxième outil de base de la cryptographie asymétrique, nécessaire pour le chiffrement, les familles de fonctions à sens-unique à trappe.

2. La sécurité prouvée 11

Définition 6 (Famille de fonctions à sens-unique à trappe). Une famille de fonctions (f_i^k, t^k_i) est ditefamille de fonctions à sens-unique à trappe si la famille (f_i^k) est à sens-unique, mais l’informationt^k_i (appeléetrappe) permet une inversion aisée de chaque fonctionf_i^k: il existe un algorithme d’évaluation E en temps polynomialTime_k(E) en la taille de l’entrée, soit

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u (avec iet y pris dans les espaces finis convenables)

Time_k(E) = max

i,y timen

E(k, i, t^k_i, y)o

et ∀k, i, x, f_i^k(E(k, i, t^k_i, f_i^k(x))) =f_i^k(x).

Remarque 7. On pourra considérer des algorithmes probabilistes, qui ont accès à une séquence de bits aléatoires, appelée ruban aléatoire et souvent notée ω. Dans ce cas, la distribution aléatoire du ruban est ajoutée aux espaces de probabilités. Par la suite, tous les algorithmes seront alors supposés éventuellement probabilistes, et le ruban aléatoireωsera sous-entendu dans tout espace de probabilité, et dans toutes les entrées des algorithmes (voire parfois explicitement inclus, lorsque leur contrôle sera nécessaire).

2.2 La génération des clés et le système cryptographique

En fonction du paramètre de sécurité, une fonction à sens-unique (éventuellement à trappe) permet de définir les clés publique et privée de chaque utilisateur : un algorithme de génération de clésG prend comme argument le paramètre de sécuriték, puis définit aléatoirement (à l’aide de son ruban aléatoire ω) les clés publique pk et privée sk : (pk,sk)← G(1^k). On va considérer ci-dessous les deux situations les plus classiques. Elles serviront d’exemples de base dans la suite de ce chapitre.

1. Cas d’une famille de fonctions à sens-unique (f_i^k) : G choisit un index aléatoire i, ce qui définit la fonction f = f_i^k. Il choisit également un élément x aléatoire qui constitue la clé privée, sk = x. La description de la fonction f (ou la paire (k, i)) ainsi que y = f(x) constituent la clé publique, pk= (k, i, y).

2. Cas d’une famille de fonctions à sens-unique à trappe (f_i^k, t^k_i) :G choisit un index aléatoire i. La description de la fonction f_i^k (ou simplement la paire (k, i), puisque l’on peut rendre la description des fonctionsf_i^k publique) constitue la clé publique,pk= (k, i), tandis que la trappet^k_i est la clé privée, sk=t^k_i.

Puis les algorithmes cryptographiques utilisent ces cl´es selon leurs fonctionnalit´es.

2.3 Les notions de s´ecurit´e

Les notions de sécurité des systèmes cryptographiques peuvent être définies dans le même formalisme que ci-dessus : on considère les attaquants, vus comme des machines de Turing, ou des algorithmes probabilistes, avec certains objectifs, tels que le recouvrement de la clé privée, le décryptement de chiffrés ou la falsification de signatures. On note doncWin l’événement qui définit un succès.

Si on considère, par exemple, l’objectif de retrouver la clé privée (ou une clé privée équivalen-te), à la vue des informations publiques (à savoir la clé publique dans le scénario le plus

´el´ementaire), alorsWin= [A(pk)∈ {sk}].

Mais retrouver la clé privée est un objectif très ambitieux, et pas forcément nécessaire. Ainsi des objectifs plus subtils ont été définis en fonction des garanties souhaitées de la part des différentes primitives cryptographiques. De plus, l’attaquant peut obtenir plus d’information que la seule clé publique. Par conséquent, de fa¸con orthogonale aux objectifs de l’attaquant, on définit les moyens mis à sa disposition.

Ainsi, lesnotions de sécuritéd’une primitive cryptographique sont définies par la combinai-sons de deux aspects :

– l’objectif de l’attaquant ;

– les moyens mis `a sa disposition. Ceci d´efinit parfois le type de l’attaque mise en œuvre par l’adversaire.

Formellement, comme on l’a vu, l’objectif de l’attaquant définit un événement probabiliste à satisfaire. Quant aux moyens, ils sont modélisés par l’accès à des oracles qui répondent correcte-ment, en temps constant, à toute question de l’attaquant. Dans le cas du chiffrecorrecte-ment, l’attaquant

Dans le document Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee (Page 17-0)