Une Construction - Attestation Anonyme avec Ouverture D´ ependant du Marqueur

5.2 Attestation Anonyme avec Ouverture D´ ependant du Marqueur

5.2.3 Une Construction

Nous décrivons dans cette section un schéma AA-ODM que nous prouvons sûr dans le ROM sous des hypothèses standards.

L’idée de cette construction est d’imposer à l’utilisateur, lorsqu’il produit une signature, de fournir un élément K dépendant de manière déterministe de sa clé secrète, du marqueur et de la clé publique de l’autorité de contrôle. Ainsi, deux signatures produites avec la même clé et le même marqueur pourront immédiatement être reliées. Par ailleurs, cet élément permet également l’identification du signataire, mais à condition que les autorités de contrôle et d’ouverture colla-borent.

Plus précisément, chaque utilisateur, lorsqu’il rejoint le groupe, génère un secret y ∈ Zp et le fait certifier par le gestionnaire du groupe. Cette procédure assure également que l’utilisateur transmette l’élément _eg^y ∈ G2 (pour un générateur _eg de G2) à l’autorité d’ouverture. Lorsqu’il produit une signature avec un marqueur bsn, l’utilisateur calcule l’élément K ← e(J^y, T ), où T = _eg^δ est la clé publique de l’autorité de contrôle et J ∈ G1 est obtenu à partir de bsn. L’autorité de contrôle (dont la clé secrète est δ) et l’autorité d’ouverture (qui connaˆıt_eg^y) peuvent alors coopérer pour identifier les signatures émises par cet utilisateur. En effet, le jeton τ ← J^δ permet à l’autorité d’ouverture de retrouver K en calculant e(τ,_eg^y) = e(J, T )^y.

Chapitre 5 : Techniques Cryptographiques pour l’Authentification Anonyme

Le point important est qu’aucune de ces deux entités ne peut identifier seule le secret y utilisé pour construire K. Pour l’autorité d’ouverture cela revient à résoudre le problème DBDH. Pour l’autorité de contrôle nous montrerons que le problème est au moins aussi dur que XDH.

De mani`ere plus formelle, notre construction est d´efinie par les algorithmes suivants.

– Setup(1^k) : soient (p, G1, G2, GT, e) la description de groupes bilinéaires de type 3, g et h des générateurs de G1et_eg un générateur de G2. L’algorithme sélectionne également les fonctions de hachage H : {0, 1}^∗ → Zp et H1 : {0, 1}^∗ → G1 qui seront toutes deux modélisées comme des oracles aléatoires lors de l’analyse de sécurité. Les paramètres publics p.p. du système sont alors définis comme (G1, G2, GT, e, H, H₁, Σ, H₀) où Σ est un schéma de signature numérique et H0 : G1 → M est une fonction de hachage à valeurs dans M, l’espace des messages de Σ.

– Keygen(p.p.) : le gestionnaire du groupe initialise un registre Reg et sélectionne γ ← Z^$ p. Sa paire de clés (isk, ipk) est alors (γ, W ), où W ← _eg^γ. De même, l’autorité de contrôle définit (tsk, tpk) ← (δ, T ) où δ ← Z^$ p et T ← _eg^δ. De son côté, l’autorité d’ouverture initialise le registre Sreg et génère une paire de clés (osk, opk) dépendant du contexte, comme nous l’expliquons dans la remarque 15. La clé publique gpk du groupe contient alors (p.p., ipk, tpk, opk).

– UKeygen() : chaque utilisateur i génère une paire de clés (sk_i, pk_i) ← Σ.Keygen(). La clé pk_i est alors rendue publique.

– Join : l’objectif de cette procédure pour l’utilisateur est de générer un scalaire secret y qu’il fera certifier par le gestionnaire du groupe. Il doit également transmettre _eg^y à l’autorité d’ouverture pour permettre une identification des signatures qu’il produira.

Pour des raisons de sécurité, il est nécessaire que y soit généré conjointement par l’utilisateur et le gestionnaire du groupe. Le protocole (inspiré de [DP06]) est alors le suivant.

L’utilisateur g´en`ere y1 $

← Zp et calcule C1 ← gy1 qu’il envoie au gestionnaire. Il prouve ensuite sa connaissance de y1 `a ce dernier qui, si la preuve est valide, lui retourne y2← Z^$ p. L’utilisateur calcule alors (C, eC) ← (g^y1+y2,_eg^y1+y2) et envoie C et µi← Σ.Sign(ski, H0(C)) au gestionnaire. Celui-ci s’assure alors que :

1. C = C1· gy2;

2. Σ.Verify(H₀(C), µ_i, pk_i) = 1 ;

3. eC a été transmis à l’autorité d’ouverture (voir remarque ci-dessous) qui le conserve dans Sreg[i].

Si tout est correct, il envoie à l’utilisateur x← Z^$ p et A ← (h · C)^1/(γ+x). La paire (A, x) ∈ G1× Zp est alors (voir [DP06]) un certificat sur le secret y ← y1+ y2 dont la validité peut être testée à l’aide de l’équation :

e(A, W ·_eg^x) = e(h,_eg) · e(g^y,_eg).

Si cette égalité est vérifiée, l’utilisateur définit gsk_i ← (y, A, x), tandis que le gestionnaire conserve (C, µ_i) dans Reg[i].

– Sign(gsk_i, m, bsn) : pour signer un message m avec le marqueur bsn, l’utilisateur commence par calculer J ← H₁(bsn) et K ← e(J^y, T ). Il calcule ensuite une preuve de connaissance d’un certificat valide sur y qu’il transforme en signature de connaissance (voir section 3.3.3) sur m. Pour cela, il g´en`ere kx, ky, k_d, kz, d← Z^$ p et calcule :

1. D ← A^d;

2. R1 ← e(Dkx · (gkz · hkd)⁻¹,_eg) ;

3. (R₂, R₃) ← (e(J^ky, T ), e(J^kz, T ) · K^−kd) ; 70

5.2. Attestation Anonyme avec Ouverture D´ependant du Marqueur

4. c ← H(m, bsn, D, K, R₁, R₂, R₃) ; 5. (sx, sy) ← (kx+ c · x, ky+ c · y) ; 6. (s_d, s_z) ← (k_d+ c · d, k_z+ c · d · y).

Il retourne alors la signature σ = (D, K, c, s_x, s_y, s_d, s_z).

– Verify(σ, m, bsn) : la vérification d’une signature σ = (D, K, c, s_x, s_y, s_d, s_z) consiste à s’assurer de la validité de la signature de connaissance précédente. Pour cela, l’algorithme calcule R₁ ← e(Dsx · (gsz · hsd)⁻¹,_eg) · e(D, W )^c, R₂ ← e(H₁(bsn)^sy, T ) · K^−c, R₃ ← e(H₁(bsn)sz, T ) · K^−sd, et vérifie que c = H(m, bsn, D, K, R₁, R₂, R₃). Il retourne 1 si c’est le cas et 0 sinon.

Link(σ, m, σ⁰, m⁰, bsn) : pour tester si les signatures σ et σ⁰ portant le même marqueur ont été émises par le même utilisateur, l’algorithme commence par en vérifier la validité. Il compare ensuite l’élément K ∈ σ avec K⁰ ∈ σ0 et retourne 1 en cas d’égalité. Sinon, il retourne 0.

Token(tsk, bsn) : pour émettre un jeton τ pour un marqueur bsn, l’autorité de contrôle calcule τ ← H₁(bsn)^δ.

– Open(σ, m, bsn, τ, osk, Reg, Sreg) : l’autorité d’ouverture commence par vérifier que τ est un jeton valide en testant si e(τ,_eg) = e(H₁(bsn), T ) et que σ = (D, K, c, s_x, s_y, s_d, s_z) est une signature valide sur m pour le marqueur bsn. Elle teste ensuite, pour chacun des éléments e

g^yi conservés dans Sreg, si K = e(τ,g_e^yi) jusqu’à ce que l’égalité soit vérifiée (si aucune ne correspond, elle retourne ⊥). Elle retourne alors l’indice i^∗ correspondant ainsi qu’une preuve de connaissance π de _eg^y^∗ vérifiant K = e(τ,_eg^y^∗) et e(Ci∗,g) = e(g,_e _eg^y^∗), où Ci∗ est l’élément signé contenu dans Reg[i^∗].

– Judge(i, σ, m, bsn, τ, π, Reg) : pour vérifier la validité d’une ouverture, l’algorithme com-mence par tester celle du jeton (e(τ,_eg)= (H^? 1(bsn), T )) et de la signature. Il récupère ensuite les éléments Ci et µi contenus dans Reg[i] et vérifie que :

1. π est valide, c’est-à-dire que π est une preuve de connaissance d’un élément eC_i tel que K = e(τ, eCi) et e(Ci,_eg) = e(g, eCi) ;

2. µ_i est une signature valide sur C_i, c’est-à-dire que Σ.Verify(H₀(C_i), µ_i, pk_i) = 1. Si toutes ces conditions sont vérifiées, alors l’algorithme retourne 1. Sinon, il retourne 0. Remarque 15. La capacité de l’autorité d’ouverture à lever l’anonymat repose sur la connaissance des valeurs _eg^yi pour tous les membres i du groupe. Il est donc indispensable que ceux-ci lui révèlent cette information lors de leur adhésion. En pratique, il existe de très nombreuses fa¸cons de procéder. Une première solution consiste à faire intervenir l’autorité d’ouverture lors du protocole Join. Celle-ci peut alors confirmer la réception de l’élément eC = _eg^y tel que e(C,_eg) = e(g, eC), par exemple en émettant une signature sur C pour une clé publique contenue dans opk. Cette solution, qui augmente le nombre d’interactions, peut être simplifiée si le gestionnaire de groupe et l’autorité d’ouverture sont une même entité, comme c’est le cas dans [BCN⁺10]. Malheureusement, cela rend la construction moins flexible dans le choix des entités. Une autre solution (similaire `

a celle décrite dans [BCLY08]), qui ne nécessite aucune interaction, serait que les utilisateurs chiffrent eC sous la clé publique opk et prouve au gestionnaire de groupe (en utilisant par exemple les preuves Groth-Sahai) que l’élément chiffré vérifie bien e(C,_eg) = e(g, eC). Ce dernier rajouterait alors le chiffré dans Reg[i], ce qui permettrait à l’autorité d’ouverture de récupérer eC.

Ainsi, le choix de la solution (et donc la définition des clés osk et opk) dépend en pratique du contexte et notamment des entités intervenant dans le système. Dans ce qui suit, nous supposerons donc simplement que l’autorité d’ouverture connait les éléments_eg^yi pour tous les utilisateurs du système sans faire d’hypothèse sur la solution retenue.

Efficacité. Chaque signature σ de notre construction est donc constituée d’un élément de GT, d’un élément de G1 et de 5 scalaires. Cette taille relativement faible est notamment rendue

Chapitre 5 : Techniques Cryptographiques pour l’Authentification Anonyme

possible par le fait que notre construction ne nécessite pas de chiffrement. En implémentant nos groupes bilinéaires à l’aide des courbes Barreto-Naehrig [BN05], on obtient alors une signature de 577 octets. Nous reviendrons sur les moyens d’implémenter cette primitive sur des périphériques de faible puissance dans le prochain chapitre.

Les résultats relatifs à la sécurité de notre construction sont énoncés par le théorème suivant. Bien que dans le ROM, celle-ci repose sur des hypothèses standards.

Théorème 38. Dans le modèle de l’oracle aléatoire, notre schéma est anonyme vis-à-vis de l’autorité de contrôle sous l’hypothèse XDH dans G1, anonyme vis-à-vis de l’autorité d’ouverture sous l’hypothèse DBDH, tra¸cable sous l’hypothèse q−SDH et vérifie la propriété de non-diffamation sous l’hypothèse SDL, si Σ est un schéma de signature EUF-CMA et si H₀ est une fonction de hachage résistante aux collisions.

Dans le document Conception et optimisation de mécanismes cryptographique anonymes (Page 78-81)