D´efinitions formelles

Min-Entropie, Distance Statistique, Hachage Universel et Extracteurs Forts

Quand il s’agit d’estimer la s´ecurit´e, on s’int´eresse souvent `a la probabilit´e qu’un

adversaire pr´edise une valeur al´eatoire (e.g. une cl´e secr`ete). La meilleure strat´egie

qu’un adversaire puisse adopter est de deviner la valeur la plus probable de se produire.

On d´efinit la pr´edictibilit´e (predictability) d’une variable al´eatoire X comme ´etant

maxxPr[X = x]. `A cette valeur, il est commun de faire correspondre la min-entropie

(min-entropy) H∞(X), d´efinie parH∞(X) = −log(maxxPr[X =x]).

La min-entropie d’une distribution indique le nombre de bits presque uniform´ement

distribu´es que l’on pourra en extraire. Le terme ”presque” est formellement d´efinie par

la notion de distance statistique d´efinie comme suit. La distance statistique entre deux

distributions X et Y estSD(X, Y) = 1

2Σv|Pr(X =v)−Pr(Y =v)|.

Puisqu’un attaquant peut avoir obtenu, par ailleurs de l’information li´ee `a la

distribution d’o`u sont extraits des secrets, il est important de d´efinir la min-entropie

d’une distribution sachant une information possiblement corr´el´ee. Dodis et al. ont donc

´egalement d´efini la min-entropie moyenne ou average min-entropy comme suit.

D´efinition 35 (Min-entropie moyenne). Soient X, Y deux distributions de probabilit´es.

La min-entropie de X ´etant donn´ee Y est: H^˜∞(X|Y)def

= −log(Ey←Y[maxxPr[X =x|Y =

y]) = −log(Ey←Y[2−H

∞

(X|Y=y)]).

Les extracteurs forts (D´efinition 26) peuvent extraire au plus l =m−2log(1

) +O(1)

bits. Nous d´efinissons d´esormais les fonctions de hachage universelles qui constituent des

extracteurs forts particuliers.

D´efinition 36 (Fonction de hachage universelles). On dit que la famille de fonctions de

hachage {H_x :{0,1}n → {0,1}l}_x∈X est universelle si : ∀a6=b∈ {0,1}n,Prx∈X[Hx(a) =

Hx(b)] = 2−l.

Il est rappel´e dans [13] que les fonctions de hachage universelles sont des extracteurs

forts `a condition que l 6m−2log(1

) + 2.

De mani`ere analogue `a la min-entropie moyenne, l’incertitude sur une variable al´eatoire

peut ˆetre conditionn´ee par la connaissance d’une information auxiliaire. Ainsi, la notion

d’extracteur fort est g´en´eralis´ee en extracteur fort dans le cas moyen.

D´efinition 37 (Extracteur fort dans le cas moyen). Soit Ext : {0,1}n → {0,1}l une

fonction probabiliste en temps polynomial qui utilise r bits d’al´ea. On dit que Ext est un

(n, m, l, )-extracteur fort dans le cas moyen si pour toute paire de distributions (W, I)

telle que H^˜∞(W|I)> m, on a SD((Ext(W;X), X, I),(U_l, X, I))6, o`u X est uniforme

sur {0,1}r.

Tout extracteur fort peut se convertir en un extracteur fort dans le cas moyen au prix

d’une concession sur les param`etres [13]. Les rappels que nous venons d’effectuer nous

permettent de d´efinir formellement Secure Sketches et FEs.

Secure Sketch

Une Secure Sketch permet de reconstruire un secret w `a partir de w⁰ et d’une donn´ee

publique g´en´er´ee au pr´eablable.

D´efinition 38. Un (M, m,m, t˜ )-Secure Sketch est une paire de proc´edure randomis´ees,

”Sketch” (SS) et ”Recover” (Rec) v´erifiant les propri´et´es suivantes:

1. La proc´edure SS prend en entr´ee w∈ M et retourne s∈ {0,1}∗;

2. La proc´edure Rec prend en entr´ees un ´el´ement w⁰ ∈ M et s∈ {0,1}∗. La propri´et´e

de consistance (correctness) garantit que si d(w, w⁰)6t, alors Rec(w⁰,SS(w)) = w.

Si d(w, w⁰)> t, aucune garantie n’est assur´ee sur la sortie Rec;

3. La propri´et´e de s´ecurit´e garantit que pour toute distribution W sur M de

min-entropie m, la valeur de W peut ˆetre retrouv´ee par l’adversaire qui observe s avec

une probabilit´e inf´erieure ou ´egale `a 2−m˜. Autrement dit, H^˜∞(W|SS(W))>m˜.

Un Secure Sketch est efficace si SS et Rec terminent en temps polynomial.

Perte d’entropie La quantit´e ˜mest appel´ee entropie r´esiduelle et la quantit´em−m˜

est appel´ee perte d’entropie (entropy loss) d’un Secure Sketch. Les analyses de s´ecurit´e

propos´ees par Dodis et al. consistent `a minorer l’entropie r´esiduelle, ce qui revient `a

majorer la perte d’entropie.

Fuzzy Extractors

Nous nous int´eressons d´esormais aux Fuzzy Extractors.

D´efinition 39. Un(M, m, l, t, )-fuzzy extractor est une paire de proc´edures randomis´ees,

”Generate” (Gen) et ”Reproduce” (Rep) v´erifiant les propri´et´es suivantes:

1. La proc´edure Gen prend en entr´ee w ∈ M et retourne la chaˆıne binaire extraite

R∈ {0,1}∗ et une aide `a la reconstruction P ∈ {0,1}∗;

2. La proc´edure Rep prend en entr´ees w⁰ ∈ M et une chaˆıne binaire P ∈ {0,1}∗. La

propri´et´e de consistance garantit que si d(w, w⁰) 6 t et R, P ont ´et´e g´en´er´es par

(R, P) ← Gen(w), alors Rep(w⁰, P) = R. Si d(w, w⁰) > t, aucune garantie n’est

assur´ee sur la sortie Rep ;

3. La propri´et´e de s´ecurit´e garantit que pour toute distribution W sur M, la chaˆıne r

est presque uniforme mˆeme pour ceux qui observent P: si (R, P)←Gen(W), alors

SD((R, P),(U_l, P))6.

Un Fuzzy Extractor est dit efficace si Gen et Rep terminent en temps polynomial.

Dit autrement, un FE permet d’extraire un al´ea R `a partir de w et de reproduire R

avec succ`es `a partir toute valeur w⁰ assez proche dew. Cette reproduction s’appuie alors

sur l’aide `a la reconstructionP produite lors de la g´en´eration: cette valeur est publique et

d’apr`es la propri´et´e de s´ecurit´e, R apparaˆıt al´eatoire ´etant donn´e P. On a les d´efinitions

suivantes :

• Perte d’entropie. On d´efinitm−l comme ´etant la perte d’entropie d’un FE ;

• FE cas moyen. Un FE dans le cas moyen (average case Fuzzy Extractor) est un FE

pour lequel si ˜H_∞(W|I)>m, alorsSD((R, P, I),(U_l, P, I))6 pour toute variable

al´eatoire auxiliaire I.

Fuzzy Extractor `a partir d’un Secure Sketch Un Secure Sketch permet de

retrouverw`a partir d’une version bruit´eew⁰ alors qu’un extracteur fort permet d’extraire

l’entropie contenue dans w, il apparaˆıt relativement naturel de construire un FE `a partir

de l’utilisation conjointe d’un Secure Sketch et d’un extracteur. Plus formellement, on a

le lemme suivant.

Lemme 2. Soient(SS, Rec)un(M, m,m, t˜ )-Secure Sketch etExtun(n,m, l, ˜ )-extracteur

fort dans le cas moyen. Alors le couple (Gen, Rep) tel que d´ecrit ci-dessous est un

(M, m, l, t, )-Fuzzy Extractor :

• Gen(w;r, x) : Fixer P = (SS(w;r), x), R =Ext(w;x), et retourner (R, P) ;

• Rep(w⁰,(s, x)) : Retrouver w=Rec(w⁰, s) et retourner R=Ext(w;x).

S´ecurit´e calculatoire Alors que toutes les constructions propos´ees par Dodis et al.

suivent cette m´ethodologie et voient leur s´ecurit´e d´efinie d’un point de vue la th´eorie de

l’information, Fulleret al. [83] proposent de satisfaire `a une d´efinition bas´ee sur le mod`ele

calculatoire, moins exigeant, dans l’espoir de minimiser la perte d’entropie. Dans ce cas,

l’id´ee est de g´en´erer une cl´e R calculatoirement indistinguable de l’al´eatoire plutˆot que

statistiquement.

´Etudier, d’un point de vue calculatoire, la distance entre deux distributions revient `a

quantifier la proximit´e de ces distributions aux yeux d’un programme arbitraire d´enomm´e

si ce n’est qu’il doit retournerb∈ {0,1}. Ainsi, des distributions calculatoirement proches

sont des distributions pour lesquelles il n’existe pas de distingueur efficace dont les sorties

diff`erent sensiblement en fonction de la distribution ´etudi´ee.

D´efinition 40. Soient X et Y deux distributions de probabilit´es. On d´efinit la distance

calculatoire entre X et Y comme ´etant :

δ^D(X, Y) =|_E[D(X)]−_E[D(Y)]|.

On ´etend cette d´efinition `a toute classe de distingueur D en prenant le maximum sur

l’ensemble des D∈ D.

Nous rappelons alors la d´efinition calculatoire des FEs telle que propos´ee par Fuller

et al. `a une diff´erence pr`es : nous ne consid´erons pas le cas o`u le FE ´echoue dans sa

reconstruction avec une probabilit´e δ comme introduit par Dodis et al. [13]. Nous avons

alors la d´efinition suivante.

D´efinition 41 (Fulleret al.[83]). Soit W une famille de distribution de probabilit´es

sur l’espace m´etrique M. Une paire de proc´edures randomis´ees ”generate” (Gen) et

”reproduce” (Rep) est un (M,W, l, t)-Fuzzy Extractor calculatoire de s´ecurit´e (_sec, ssec)

si Gen et Rep satisfont les propri´et´es suivantes :

• La proc´edure de g´en´eration Genprend en entr´eew∈ M et retourne une cl´e extraite

R∈ {0,1}l et une chaˆıne de reconstruction P ∈ {0,1}∗

• La proc´edure de reconstruction Rep prend en entr´ees w⁰ ∈ M et une chaˆıne binaire

P ∈ {0,1}∗. La propri´et´e de consistance garantit que si d(w, w⁰) 6 t et (R, P) ←

Gen(w), alors Rep(w⁰, P) = R. Si d(w, w⁰)> t, alors aucune garantie n’est fournie

sur la sortie de Rep.

• La propri´et´e de s´ecurit´e garantit que pour toute distribution W ∈ W, la valeur R

est pseudo-al´eatoire sachant P. Autrement dit, si (R, P) ← Gen(W) alors, on a

δ^D

sec

((R, P),(U_l, P))6_sec.

La restriction `a une famille de distributions W est une fa¸con plus g´en´erique de

sp´ecifier la min-entropie (D´efinition 39), nous jonglerons entre ces deux consid´erations

au Chapitre 4. D’autre part, comme pr´ecis´e par Fuller et al., tout FE respectant la

d´efinition 39 sera en particulier un Fuzzy Extractor calculatoire tel que d´efini ci-dessus.

Toujours dans [83], Fuller et al. ont propos´e un Fuzzy Extractor (calculatoire), non

bas´e sur un Secure Sketch, permettant ainsi d’extraire un cl´e de taille ´egale `a l’entropie

du secret bruit´e. Leur sch´ema peut se voir comme une adaptation de la construction

code-offset surFq. Le secret R est g´en´er´e al´eatoirement puis transmis via P en tant que

mot de code bruit´e, o`u cette fois-ci le bruit est jou´e par w. Ainsi, la connaissance de

w⁰ ≈w permettra d’enlever le bruit pour retrouver R. La s´ecurit´e de leur sch´ema repose

sur le d´ecodage lin´eaire d’un code, prouv´e NP-difficile [57] et sur le probl`eme LWE [93].

Reusable Fuzzy Extractors Comme nous l’avons vu au cours de l’´etat de l’art,

Canetti et al. ont propos´e le premier FE –selon la D´efinition 41– prouv´e r´eutilisable.

Bas´ee sur la distance de Hamming, leur construction jouit d’une s´ecurit´e prouv´ee dans le

ROM et propose un mod`ele de s´ecurit´e qui pourra se voir comme interm´ediaire `a ceux

propos´es Boyen [85]. Encore une fois, nous nous restreignons au cas le FE n’´echoue pas `a

reconstruire R si w⁰ est proche dew.

D´efinition 42 (Canetti et al. [94]). Soit W une famille de distributions de probabilit´e

sur M. Soit (Gen, Rep) un (M,W, l, t)-FE calculatoire de s´ecurit´e (_sec, ssec). Soient

W1, W2, . . . , Wρ ρ variables corr´el´ees telles que pour tout j, Wj ∈ W. Soient un

adversaire D et le jeu suivant pour tout j = 1, . . . , ρ :

• _{Echantil lonnage}´ Le challengeur tire wj ←Wj and u∈ {0,1}l.

• G´en´eration Le challenger calcule (Ri, Pi)←Gen(wi).

• Distinction L’avantage de D est :

Adv(D) def

= Pr[D(R1, . . . Rj−1, Rj, Rj+1, . . . , Rρ, P1, . . . , Pρ) = 1] −

Pr[D(R1, . . . Rj−1, µ, Rj+1, . . . , Rρ, P1, . . . , Pρ) = 1]

(Gen, Rep) est (ρ, _sec, ssec)-r´eutilisable si pour tout D ∈ D_s

_sec

et pour tout j = 1, . . . , ρ,

l’avantage de D est au plus _sec.

Comparaison avec le mod`ele de Boyen Boyen a propos´e deux mod`eles de

s´ecurit´e pour d´efinir les FEs r´eutilisables [85]. Le premier, appel´e ”outsider security” [85],

permet `a l’adversaire d’acc´eder aux valeurs P1, . . . , Pρ qui essaie donc de retrouver un

secret wj ou une cl´eRj valide.

Le deuxi`eme mod`ele, appel´e ”insider security”, conf`ere `a l’adversaire la possibilit´e de

contrˆoler certains serveurs d’authentification. Autrement dit, l’adversaire est alors capable

d’appeler la proc´edure de reproductionRepsur n’importe quelle donn´ee de reconstruction

valide P^j ou volontairement modifi´ee ˜P^j. Lorsque l’adversaire choisit de ne pas modifier

Pj, il apprend alors la valeur de la cl´e associ´ee Rj comme c’est le cas du mod`ele de

s´ecurit´e tout juste d´efini (D´efinition 42). D’autre part, cette possibilit´e d’appelerRep sur

une donn´ee de reconstruction modifi´ee vise `a traiter le cas des attaques actives li´ees aux

utilise des fonctions de perturbation permettant d’obtenir des versions bruit´es d’un secret

w, Canettiet al. consid`erent simplement des secrets provenant de distributions corr´el´ees.

Ainsi, le mod`ele propos´e par Canettiet al. se trouve `a mi-chemin entre les d´efinitions

de Boyen pusiqu’ils ne s’int´eressent pas au cas des FEs robustes. Sur ce point, rappelons

que r´eutilisabilit´e et authentification mutuelle peuvent se traiter s´epar´ement d’autant plus

que les travaux de Boyen et al. proposent une m´ethodologie, dans le ROM, pour rendre

robuste tout FE [86].

Dans le document Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée (Page 59-66)