D´efinitions et strat´egie d’analyse

Une instance d’un probl`eme quelconque dans la famille g´en´erique de groupes cy-cliques avec couplage est d´ecrite par les entr´ees suivantes :

– la taille des groupes, n∈N∗;

– les ´el´ements neutres et des g´en´erateurs des deux groupes, (0_f, g_f,0_h, g_h)∈(B(n))⁴; – les ´el´ements d´efinissant l’instance du probl`eme, sous la forme d’´el´ements deB(n) :

unr-uplet (x₁, . . . , x_r)∈(B(n))^r et un s-uplet (y₁, . . . , y_s)∈(B(n))^s.

Des oracles calculant les lois de groupes, +_f et +_h, les lois inverses,−f et−h, et le couplage e_f,g sont construits `a partir de deux bijections f et h, choisies al´eatoirement dansF(B(n)). Ces bijections f and h doivent envoyer 0 et 1 vers les ´el´ements neutres et g´en´erateurs des groupes :f(0) = 0_f, f(1) =g_f, h(0) = 0_h, h(1) =g_h.

On consid`ere une suite de requˆetes `a ces oracles. On s’int´eresse `a la probabilit´e d’occurrence d’une collision suite `a ces requˆetes, probabilit´e calcul´ee sur l’ensemble des couples (f, h) ∈ F(B(n))². Pour cela, on construit deux suites de listes, R et S, au fur et `a mesure des requˆetes. Les listes constituant ces deux suites sont `a valeurs dans

B(n)×(Z/nZ)(X1, . . . , Xn, Y1, . . . , Yn) o`u (Z/nZ)(X1, . . . , Yn) est le corps des fractions rationnelles en les variables X₁, . . . , X_n,Y₁, . . . , Y_n.

Le premier ´el´ement d’un couple d’une liste d’une suite est un ´el´ement d’un groupe (B(n)_f pourR,B(n)_h pourS), le second ´el´ement est une fraction rationnelle d´efinissant comment l’´el´ement de groupe a ´et´e calcul´e. De cette mani`ere, il y a collision s’il existe deux couples, dans une mˆeme liste, ayant le mˆeme ´el´ement de groupe, mais des fractions rationnelles distinctes : un mˆeme ´el´ement d’un groupe a ´et´e obtenu en utilisant deux m´ethodes de calcul diff´erentes.

Au niveau des fractions rationnelles, chacune des inconnues X₁, . . . , X_n repr´esente le logarithme discret d’un ´el´ement de B(n)_f, dans la base g_f. Il en va de mˆeme pour les inconnues Y1, . . . , Yn vis-`a-vis du groupe B(n)_h et de la base g_h. Des ´el´ements de ces groupes dont les logarithmes discrets sont corr´el´es utilisent les mˆemes inconnues.

Analyse de complexit´e 47 Nominalement, les seules inconnues utilis´ees sont li´ees aux logarithmes discrets des ´el´ements x₁, . . . , x_r, y₁, . . . , y_s donn´es dans l’instance du probl`eme. Mais lorsqu’une requˆete `a l’un des oracles utilise un ´el´ement de groupe qui n’est jamais apparu au-paravant, cet ´el´ement est associ´e `a une nouvelle inconnue, son logarithme discret ´etant compl`etement d´ecorr´el´e des pr´ec´edents. On utilise des fractions rationnelles, et pas uniquement des polynˆomes, car dans certains probl`emes, les logarithmes discrets des entr´ees et de la solution sont corr´el´es via des fractions (c’est le cas du probl`emeq-BDHI avec une solution dont le logarithme discret est un inverse).

Les listesR_ketS_kcorrespondent `a l’´etat apr`es leskpremi`eres requˆetes aux oracles. Les entiers r_k et s_k indiquent le nombre de variables utilis´ees dans les listesR_k et S_k

(r_kpour les variables de typeX,s_k pour les variables de typeY). Enfin, on appelleρ_k

etσ_k les tailles respectives de R_k et de S_k.

Les listes R₀ et S₀, ainsi que les valeurs r₀, s₀, ρ₀ et σ₀ d´ependent fortement des entr´ees du probl`eme (voir les sections 2.4.3 et 2.4.4 pour des exemples).

En revanche, l’´evolution de ces ´el´ements d´epend uniquement des requˆetes aux oracles et des r´eponses `a ces requˆetes. Ainsi, lors du (k+ 1)`eme appel `a un oracle, on calcule les valeurs derk+1,sk+1,ρk+1,σk+1,R_k+1 et deS_k+1 en les initialisant avec les valeurs de r_k,s_k,ρ_k,σ_k,R_k etS_k puis en les modifiant en fonction des cas.

– Nouvelles variables: lors d’un appel `a un oracle +_f,−f oue_f,h, pour chaque entr´ee a∈ B(n) de cet appel, lorsque a n’apparaˆıt pas comme premier ´el´ement d’un couple dansR_k+1, la valeur der_k+1est incr´ement´ee de 1, on d´efinitx_rk+1=a

et on ajoute le couple (xrk+1, Xrk+1) dans la listeR_k+1. On proc`ede de mˆeme lors de l’utilisation de nouvelles valeurs dans un appel `a un oracle +_h ou −h, en incr´ementant s_k+1, en d´efinissant y_sk+1 et en ajoutant le couple (y_sk+1, Y_sk+1) dans la listeS_k+1.

– Fraction rationnelle associ´ee : lors d’un appel `a un oracle +<sub>f</sub>,−f ou e<sub>f,h</sub>, on recherche les fractions rationnelles associ´ees aux entr´ees dans la liste R<sub>k+1</sub>. Lors d’un appel `a un oracle +_h ou −h, on recherche ces fractions dans la liste

S_k+1. La fraction rationnelle associ´ee `a la requˆete `a l’oracle est l’oppos´e de la fraction rationnelle recherch´ee (cas des oracles −f et −h), la somme des deux fractions rationnelles recherch´ees (cas des oracles +_f et +_h) ou leur produit (cas de l’oracleef,h).

– Insertion d’une r´eponse fraˆıche: lors d’un appel `a un oracle +<sub>f</sub> ou−f, si la fraction rationnelle associ´ee `a la requˆete n’apparaˆıt pas dans un couple deR_k+1, alors on ajoute dans cette liste la r´eponse donn´ee par l’oracle avec la fraction rationnelle associ´ee `a la requˆete. De mˆeme, lors d’un appel `a un oracle +_h,−h ou

e_f,h, si la fraction rationnelle associ´ee `a la requˆete n’apparaˆıt pas dans un couple deS<sub>k+1</sub>, alors on ajoute dansS<sub>k+1</sub> la r´eponse donn´ee par l’oracle avec la fraction rationnelle associ´ee `a la requˆete.

Remarque 2.2 Dans cette mise `a jour, au plus trois couples ont ´et´e ajout´es dans les

48 Mod`ele g´en´erique des groupes avec couplage

variables nouvelles, en plus de celui pour la r´eponse de l’oracle). On a ainsi l’in´egalit´e suivante : ρ_k+1+σ_k+16ρ_k+σ_k+ 3.

Les suites de listesRetS´etant construites, on peut d´esormais d´efinir formellement la notion de collision :

D´efinition 2.7 (Collision) On dit qu’il y a collision dans les listes (R_k,S_k) s’il existe

deux couples ((v1, P1) et (v2, P2)), tous deux dans R_k ou tous deux dans S_k, tels que : v₁ =v₂ et P₁ 6=P₂.

Comme mentionn´e pr´ec´edemment, pour une suite d’appels aux oracles, on souhaite calculer la probabilit´e d’occurrence d’une collision, cette probabilit´e portant sur le choix des bijections f eth. On doit donc d´efinir les choix possibles pourf eth.

Les listesR_ketS_kcontiennent toutes les valeurs utilis´ees dans les appels aux oracles, et toutes les r´eponses faites par les oracles, avec les fractions rationnelles qui leur sont associ´ees. Ainsi, tout couple de bijections pour lequel les appels aux oracles auraient conduit aux mˆemes r´eponses sont structurellement indistinguables du couple r´eellement utilis´e dans la construction des oracles. On caract´erise ces couples avec la notion de compatibilit´e :

D´efinition 2.8 (Compatibilit´e) Un couple de bijections (f, h) ∈ F(B(n))² est dit

compatible avec les listes(R_k,S_k) si :

– ∀(vR, PR)∈R_k, PR(f⁻¹(x1), . . . , f⁻¹(xrk), h⁻¹(y1), . . . , h⁻¹(ysk))est d´efini et est ´egal `a f⁻¹(v_R);

– ∀(v_S, P_S) ∈S_k, P_S(f−1(x₁), . . . , f−1(x_rk), h−1(y₁), . . . , h−1(y_sk)) est d´efini et est ´egal `a h⁻¹(vS).

Apr`es kappels aux oracles, le couple de bijections utilis´e pour construire les oracles est n´ecessairement compatible avec les listes (R_k,S_k). Ainsi, l’´etude de probabilit´e r´ealis´ee par la suite va porter sur l’ensemble des couples de bijections compatibles avec ces listes.

Il reste `a introduire la notion de coh´erence, portant sur les images r´eciproques des ´el´ements x_i et y_j par les fonctions f et h, fondamentale dans l’´etude des collisions, puisque ce sont ces images r´eciproques qui d´eterminent l’apparition des collisions dans le jeu :

D´efinition 2.9 (Coh´erence) Un (r +s)-uplet (α₁, . . . , α_r, β₁, . . . , β_s) ∈ (Z/nZ)r+s

est dit coh´erent avec un ensemble Π de fractions rationnelles dans(Z/nZ)(X₁, . . . , X_r, Y₁, . . . , Y_s) si :

– ∀P ∈Π, P(α₁, . . . , α_r, β₁, . . . , β_s) est d´efini ;

– ∀(P1, P2)∈Π², P1 6=P2 =⇒P1(α1, . . . , βs)6=P2(α1, . . . , βs) .

Pour pr´eciser le contenu de toutes ces notations les unes par rapport aux autres, et en vue d’introduire la strat´egie de la preuve suivante, on imagine le jeu suivant : la situation apr`es leskpremiers appels aux oracles est mod´elis´ee par les listes (R_k,S_k). On suppose que ces listes sont sans collision (voir d´efinition 2.7) : il s’agit du cas g´en´eral, et

Analyse de complexit´e 49 seules quelques configurations particuli`eres pour les bijectionsf eth ont ´et´e ´ecart´ees. Comment ´evaluer la probabilit´e d’obtenir une collision lors de la requˆete suivante ?

Tout d’abord, les bijections f et h sont au centre du jeu : leur choix d´etermine toutes les structures des groupes, ainsi que les logarithmes discrets des ´el´ements des groupes manipul´es. Dans le cadre de la famille g´en´erique, ces bijections ont ´et´e choisies al´eatoirement et uniform´ement dans l’ensemble de toutes les bijections de (Z/nZ) dans

B(n), mais certaines possibilit´es ont ´et´e ´ecart´ees par leskpremiers appels aux oracles. Les seuls couples de bijections envisageables (de mani`ere ´equiprobable) sont les couples (f, h) compatibles avec les listes (R_k,S_k) (voir d´efinition 2.8).

L’existence ou l’absence de collisions apr`es k ou k+ 1 appels aux oracles d´epend en fait uniquement des images r´eciproques des r<sub>k</sub> ou r<sub>k+1</sub> valeurs xi par f et des images r´eciproques des s<sub>k</sub> ou s<sub>k+1</sub> valeurs y<sub>j</sub> par h. Dans le cas pr´esent, ces images r´eciproques n’engendrent pas de collisions pendant leskpremiers appels : elles sont donc simultan´ement coh´erentes avec l’ensemble des fractions rationnelles deR<sub>k</sub>et l’ensemble des fractions rationnelles de S<sub>k</sub> (voir d´efinition 2.9). L’existence d’une collision apr`es l’appel suivant s’interpr`ete inversement : ces images r´eciproques doivent ne plus ˆetre coh´erentes avec l’ensemble des fractions rationnelles de R<sub>k+1</sub>, ou celui des fractions rationnelles deS<sub>k+1</sub>. L’´evaluation de la probabilit´e de collision de l’algorithme revient donc `a estimer la part d’ensembles d’images r´eciproques incoh´erentes `a l’´etape k+ 1 dans les ensembles d’images r´eciproques coh´erentes `a l’´etape k.