Aperçu de la méthode de codage secret - La cryptographie du point de vue de la théorie de l'inf

La figure5.1présente la méthode choisie qui repose sur la définition du modèle de canal sous écoute de Wyner [13], [4] avec canal de retour. Deux parties légitimes, Alice et Bob, exploitent le canal pour établir une communication et échanger des messages. Une troisième partie, l’espion Eve, utilise son canal pour récupérer les messages transmis. Alice, veut transmettre un message binaire chiffré m = (m1, m2, . . . , mL)à Bob, où mi= (mi₁, mi₂, . . . , mi_k)_{∈ M pour i = 1, 2,..., L. Le message m est} décomposé en L blocs de dimension k. Si la dimension du bloc final mL_{est inférieur à k, on ajoute} des bits aléatoires (dummy bits). La longueur de chaque mot de code est n. Le taux de code est donc k/n. Après poinçonnage, la longueur du mot de code est n. Alice encode le message m et puis effectue l’entrelacement pour reformer le message en rassemblant les paquets. Ici, η présente le nombre des paquets où x = (x1_{, x}2_{, . . . , x}η). Après encodage, Alice transmet les paquets du mot de code via un canal PEC (packet erasure channel), Qm, de matrice de probabilité de transition avec une probabi- lité d’effacement δ [14], [5], [15]. Bob reçoit les paquets y et commence l’opération de décodage. L’espion, Eve, observe la communication par son canal PEC, Qw, avec une probabilité d’effacement

) (



)

(

m ˆ m y z

C

E

P

C

E

P

m Q w Q m x Encodeur Décodeur Décodeur canal de retour Alice Bob Eve

FIGURE5.1: Modèle de canal sous écoute avec retour en supposant des canaux d’effacement paquet

à la fois pour le canal principal Qmet le canal sous écoute Qw[14].

ε, et obtient les paquets z. Dans ce chapitre on met en évidence les deux cas, où les deux canaux sont indépendants ou corrélés. D’abord nous supposons dans cette section que les deux canaux sont statistiquement indépendants. Après le décodage itératif, les estimations de message m par Bob et Eve sont respectivement ˜m et ˆm. La conception du système doit garantir que le message déchiffré ˜m pour Bob est exempt d’erreur de sorte que Pe( ˜m 6= m) = 0, et en même temps garantir que l’attaquant Eve décode avec une grande probabilité d’erreur pour presque toutes les paires (δ ;ε).

Bob utilise le canal de retour authentifié sans bruit pour demander à Alice de retransmettre les paquets manquants. Alice suivant les caractéristiques de canal de retour peut déduire si Bob a envoyé la de- mande, et aussi peut détecter s’il y a des modifications sur les données transmises, alors qu’Eve ne peut pas faire de demandes de son propre canal. L’intersection entre l’ensemble des paquets effacés

simultanément dans Qmet dans Qwpeut encore être obtenue par l’espion pendant les retransmissions, mais les paquets effacés dans Qw, mais bien reçus Qm, sont toujours perdus par Eve [14].

5.2.1 Requête automatique de répétition (ARQ)

La requête automatique de répétition (ARQ) est un mécanisme de contrôle qui combine les systèmes de détection d’erreur et de retransmission pour assurer une transmission fiable. Un canal de retour est nécessaire pour indiquer la réception, ou non, des messages au niveau du récepteur. La méthode ARQ fonctionne bien pour de nombreux protocoles, tels que le protocole TCP/IP, mais sa performance se dégrade sérieusement pour certaines applications telles que les canaux de diffusion (BC). Dans les applications de diffusion, les paquets de données peuvent être retransmis même si ils sont reçus par de nombreux récepteurs. Dans ces cas, les récepteurs de données peuvent demander pour retransmettre les données déjà reçues par d’autres récepteurs. Ainsi, la source de données doit retransmettre la plu- part des données conduisant à une augmentation de l’utilisation de la bande passante. En outre, en ARQ, si la distance emetteur-récepteur est importante (trop long), le récepteur demeure en veille du- rant l’attente de la confirmation d’authentification du paquet en cours [38].

5.2.2 Degrés de liberté

Nous appelons les symboles récupérés pour lesquels un espion n’a pas d’information, degrés de li- berté. La variable aléatoire D représente le nombre de degrés de liberté dans un mot de code reçu. Comme vu à la section précédente, Bob reçoit idéalement le message ˜m avec Pe( ˜m 6= m) = 0, alors que Eve observe le message ˆm avec Pe( ˆm 6= m) > 0 signifiant un manque d’informations sur certains symboles. Eve sera alors obligée d’attaquer, par force brute ou recherche exhaustive, le système pour déduire les valeurs des symboles inconnus. [14], [5], [15].

On décrit les degrés de liberté comme les variables inconnues dans une équation. Par exemple, pour une équation à 1 inconnue, on n’a pas le choix pour le nombre x : ici, le nombre de degrés de liberté est égal à 0. Pour une équation à deux inconnues, x et y, on a le choix pour la valeur de x mais une fois celle-ci fixée, on n’a pas le choix de l’autre variable y : donc le nombre des degrés de liberté (DoF) est égal à 1, et ainsi de suite pour n variables.

À titre de comparaison entre D et les notions de sécurité classiques, si les bits du message m sont uniformément distribués entre 0 ou 1, indépendants et identiquement distribués (i.i.d.), alors D = k. Cela signifie qu’il y a exactement 2k _{séquences binaires équiprobables avec les données manquantes.} Notez que l’encodeur a seulement 2k _{mots de code possibles. Ainsi, chaque mot de code est égale-} ment probable pour l’espion dans une configuration parfaitement sécurisée. En fait, il y a en moyenne E[2D]mots de code binaires où E l’espérance mathématique, équiprobables dans un décodeur maxi- mum a posteriori (MAP). Cela implique une multiplication nécessaire des efforts pour attaquer un cryptogramme avec D degrés de liberté. Si les degrés de liberté sont la seule source de confusion pour Eve, alors l’incertitude liée au mot de code x transmis et à l’observation z de l’espion est lié à D par

l’équation H(x|z) = E[D] [5].

Prenons comme exemple les codes binaires avec D = d. Un mot de code de longueur n peut être n’im- porte lequel des 2d _{mots de code possibles équiprobables de probabilités 2}_−d_{. Vu qu’un attaquant n’a} pas d’information sur ces bits, 2E[D]−1_{essais doivent être faits pour les obtenir [}₁₄_].

En fait, si nous avons D degrés de liberté en k bits, et les autres k − D bits sont connus parfaitement, alors l’entropie du bloc est exactement de D bits pour une source équiprobable. De plus, un attaquant n’ayant pas connaissance des bits associés aux degrés de liberté de D, le nombre moyen d’approxi- mations nécessaires pour les obtenir est égal à la moyenne d’une variable aléatoire uniforme discrète avec 2D_{valeurs possibles [}₁₄_{], [}₅_{], [}₁₅_{]. Comme D est lui-même une variable aléatoire, alors}

E 1 2 2 D +1 =1 2 E2D +1 (5.1) Les estimations doivent être faites avec l’espérance mathématique E[D] pour déterminer le nombre de degrés de liberté D. Les objectifs de la conception du codage pour la couche physique sont les suivants : d’une part, faire en sorte que D = 0 pour Bob afin que ˜m = m, et d’autre part, rendre D aussi grand que possible pour Eve et, finalement, veiller à ce que les attaques sur les cryptogrammes échouent, si ˆm 6= m où la distance de Hamming dH(ˆm, m) > 0 [14], [5], [15].

Dans le document La cryptographie du point de vue de la théorie de l'information : stratégies de codage sécuritaire pour la sécurité cryptographique (Page 75-77)