Anonymat

Dans ce mécanisme de réputation, les clients génèrent eux-mêmes leurs pseudonymes de manière aléatoire et les enregistrent ensuite auprès de l’autorité centrale C. Comme un ré- seau de communication anonyme est utilisé, même l’autorité centrale est incapable d’associer les pseudonymes. Cependant, comme les fournisseurs ne sont pas anonymes, cette génération de pseudonymes permet à un utilisateur malveillant d’effectuer des attaques Sybil (voir sec-

tion3.3.4) ainsi que dubourrage d’urne(voir section3.3.3).

Pour éviter ce problème, nous avons expliqué que l’autorité centrale demande aux utilisa- teurs de s’acquitter d’un coût monétaire ou calculatoire avant d’enregistrer un pseudonyme (voir section4.3.1). Cependant, ce coût défavorise les petits clients qui ne peuvent effectuer trop de transactions sous peine d’être identifiables, tandis qu’il favorise les utilisateurs puis- sants qui peuvent mener facilement des attaques parbourrage d’urnesur leurs concurrents.

Une solution idéale à ce problème est de garantir l’associabilitédes témoignages (propriété7). Dans ce cas là, il est possible de repérer un utilisateur effectuant dubourrage d’urne sur un fournisseur ciblé, et de ne prendre en compte qu’un nombre limité de ces témoignages pour limiter l’attaque. Quand cette propriété est garantie, il n’est donc plus nécessaire de demander aux utilisateurs de s’acquitter d’un coût pour enregistrer un pseudonyme.

L’inconvénient majeur de ce mécanisme est qu’il ne préserve pas la vie privée des fournis- seurs de service. De plus, les gestionnaires de score ne peuvent être mis en place que parce que les fournisseurs de service sont identifiés : un fournisseur est défini par les gestionnaires de score qui maintiennent ses témoignages. C’est-à-dire que la sécurité de ce mécanisme – aussi

4.5 Discussion

bien en terme d’indéniabilité que d’inforgeabilité (propriétés3à6) – repose sur l’identification des fournisseurs.

4.5.4 Bilan

Dans ce chapitre, nous avons présenté un mécanisme de réputation ainsi qu’un moteur de réputation. Nous avons montré que ce moteur de réputation est précis, et permet de filtrer les témoignages injustes. Nous avons malgré tout expliqué que la non-garantie de l’associabilité

des témoignages limite l’utilité du filtrage dans certains cas.

Le mécanisme de réputation préserve la vie privée des clients en leur permettant de géné- rer leurs propres pseudonymes. Cependant, afin d’éviter les attaques Sybil et les bourrages d’urne, la génération d’un pseudonyme doit coûter du temps ou de l’argent, ce qui favorise les utilisateurs puissants aux dépens des petits. L’associabilité des témoignages permet déjà d’em- pêcher les bourrages d’urne ; un mécanisme garantissant cette propriété n’a donc pas besoin de demander aux utilisateurs de payer un coût lorsqu’ils enregistrent leurs pseudonymes, ce qui rétablit l’équilibre entre les petits utilisateurs et les puissants. Nous proposons au chapitre suivant de nouveaux mécanismes de réputation, garantissant l’associabilité des témoignages et permettant aux clients de générer eux-mêmes leurs pseudonymes, sans qu’ils ne doivent s’acquitter d’un coût.

Outre ce déséquilibre, l’inconvénient majeur de ce mécanisme de réputation concerne l’iden- tification des fournisseurs de service. De plus, c’est cette identification qui permet au méca- nisme de garantir les propriétés de sécurité. Il paraît donc difficile de modifier légèrement ce mécanisme pour garantir à la fois l’anonymat des clients et celui des fournisseurs de service. Dans le chapitre suivant, nous présentons les modifications permettant de garantir simultané- ment l’anonymat des clients et des fournisseurs.

5

Mécanismes de réputation distribués,

efficaces et préservant la vie privée

Ce chapitre présente la contribution principale de cette thèse : la construction d’un méca- nisme de réputation préservant la vie privée des clients et des fournisseurs, et permettant aux clients d’émettre des témoignages positifs et négatifs, c’est-à-dire un mécanisme garantissant toutes les propriétés énoncées au chapitre1; nous montrons de plus au chapitre7que cette construction est efficace.

Dans ce chapitre, nous construisons graduellement un tel mécanisme afin de montrer la réflexion qui a débouché sur ce mécanisme. Bien que cette approche en dilue les différentes avancées, nous pensons qu’elle permet de mieux l’appréhender, notamment en montrant les restrictions imposées par l’ajout progressif des propriétés de sécurité et de vie privée.

Dans un premier temps, nous présentons trois nouveaux outils cryptographiques : le calcul d’un invariant, qui concilie associabilité des témoignages (propriété7) et respect de la vie privée des clients et des fournisseurs (propriétés 1et2) ; une instanciation d’un schéma de partage de secret vérifiable [Fel87], qui permet de prouver que le secret a été partagé correctement ; une variante optimiste de ce schéma, qui fait appel aux porteurs de part uniquement pour la reconstruction du secret, et non pas pour son partage.

À l’aide de ces nouveaux outils, nous modifions le mécanisme de réputation présenté au cha- pitre précédent pour garantir l’associabilité des témoignages et permettre aux clients de générer eux-mêmes leurs pseudonymes, sans faire appel à une autorité centrale. Nous présentons deux versions de ce mécanisme : la première utilise du partage de secret vérifiable classique, et la seconde sa variante optimiste.

Améliorer les deux variantes pour y intégrer le respect de la vie privée des fournisseurs n’est pas évident. Nous expliquons que pour y parvenir, nous devons utiliser des tierces parties, aussi bien pour la gestion des scores de réputation que pour la garantie de l’indéniabilité des témoi- gnages. Nous motivons ces tierces parties et présentons leurs caractéristiques, puis expliquons comment les instancier et les choisir.

Finalement, armés de ces tierces parties, nous construisons le mécanisme de réputation re- cherché. Là encore, nous en présentons deux variantes : une reposant sur du partage de secret vérifiable classique, et une optimiste.

Les principes des quatre mécanismes proposés sont similaires ; une interaction se déroule en quatre étapes :

1. le client vérifie la réputation du fournisseur ;

2. le client et le fournisseur s’authentifient mutuellement ;

3. le client et le fournisseur se garantissent mutuellement l’indéniabilité des témoignages (les propriétés3et4) ;

4. après la transaction, les deux partenaires peuvent émettre un témoignage. Les deux premières étapes ont généralement lieu en même temps.

Plus précisément, les fournisseurs déposent leurs annonces de service sur un panneau d’affi- chage public ; ces annonces sont liées à leur identifiant ou, lorsque leur vie privée est préservée, à un de leurs pseudonymes. Un client intéressé par une annonce particulière peut vérifier la réputation du fournisseur lié ; cette vérification se fait soit auprès des gestionnaires de score du fournisseur, soit auprès du fournisseur lui-même, qui a préalablement reçu des signatures at- testant sa réputation. Pour préserver sa vie privée, le client interagit sous un pseudonyme qu’il a généré lui-même et qui est utilisé uniquement pour cette interaction ; il prouve la validité de ce pseudonyme grâce à une preuvenizk.

Une fois que le client a vérifié la réputation du fournisseur de service, et s’il est toujours in- téressé, le client et le fournisseur se garantissent mutuellement l’indéniabilité des témoignages. Lorsque le fournisseur n’est pas anonyme, sa garantie est une simple signature ; les autres ga- ranties reposent sur un des schémas de partage de secret vérifiable présentés en sections5.1.2

et5.1.3.

Le client et le fournisseur peuvent alors effectuer la transaction, quelle que soit sa nature. Ils peuvent ensuite émettre le témoignage de plusieurs manières différentes : lorsque le four- nisseur n’est pas anonyme, le client est capable de l’émettre seul ; si le client refuse de le faire, le fournisseur peut demander l’assistance de ses gestionnaires de score. Lorsque le fournis- seur est anonyme, le client et le fournisseur doivent collaborer pour en émettre un ; si l’un des deux refuse de participer, son partenaire peut malgré tout en émettre un grâce à la tierce partie introduite en section5.3.2.

Finalement, les scores de réputation des fournisseurs de service sont mis à jour après une phase de synchronisation ; cette étape est différente lorsque la vie privée des fournisseurs est préservée.

5.1

Nouveaux outils cryptographiques

Avant de décrire les mécanismes de réputation préservant la vie privée des clients et des fournisseurs de service, nous devons enrichir la bibliothèque d’outils cryptographiques débu- tée au chapitre2de deux nouvelles constructions : l’invariant, qui permet de combiner asso- ciabilité et vie privée (propriétés1,2et7), ainsi qu’une instanciation d’un schéma de partage de secret vérifiable grâce au système de preuves de Groth et Sahai [GS08] ; nous en présentons également une version dite optimiste, qui ne requiert de tierce partie que lorsque la recons- truction du secret est nécessaire. Dans cette section, nous réutilisons les notations présentées au chapitre2, et plus particulièrement en section2.1.1: nous considérons un groupe bilinéaire Λ = (p,G1,G2,GT,e,G1,G2), ainsi qu’un élément de groupe Y1∈ G₁, paramètre public.