Chapitre 1 : Notations et Rappels G´ en´ eraux
1.5 Introduction aux Fuzzy Extractors
1.5.3 D´efinitions formelles
Min-Entropie, Distance Statistique, Hachage Universel et Extracteurs Forts
Quand il s’agit d’estimer la s´ecurit´e, on s’int´eresse souvent `a la probabilit´e qu’un
adversaire pr´edise une valeur al´eatoire (e.g. une cl´e secr`ete). La meilleure strat´egie
qu’un adversaire puisse adopter est de deviner la valeur la plus probable de se produire.
On d´efinit la pr´edictibilit´e (predictability) d’une variable al´eatoire X comme ´etant
maxxPr[X = x]. `A cette valeur, il est commun de faire correspondre la min-entropie
(min-entropy) H∞(X), d´efinie parH∞(X) = −log(maxxPr[X =x]).
La min-entropie d’une distribution indique le nombre de bits presque uniform´ement
distribu´es que l’on pourra en extraire. Le terme ”presque” est formellement d´efinie par
la notion de distance statistique d´efinie comme suit. La distance statistique entre deux
distributions X et Y estSD(X, Y) = 1
2Σv|Pr(X =v)−Pr(Y =v)|.
Puisqu’un attaquant peut avoir obtenu, par ailleurs de l’information li´ee `a la
distribution d’o`u sont extraits des secrets, il est important de d´efinir la min-entropie
d’une distribution sachant une information possiblement corr´el´ee. Dodis et al. ont donc
´egalement d´efini la min-entropie moyenne ou average min-entropy comme suit.
D´efinition 35 (Min-entropie moyenne). Soient X, Y deux distributions de probabilit´es.
La min-entropie de X ´etant donn´ee Y est: H˜∞(X|Y)def
= −log(Ey←Y[maxxPr[X =x|Y =
y]) = −log(Ey←Y[2−H
∞(X|Y=y)]).
Les extracteurs forts (D´efinition 26) peuvent extraire au plus l =m−2log(1
) +O(1)
bits. Nous d´efinissons d´esormais les fonctions de hachage universelles qui constituent des
extracteurs forts particuliers.
D´efinition 36 (Fonction de hachage universelles). On dit que la famille de fonctions de
hachage {Hx :{0,1}n → {0,1}l}x∈X est universelle si : ∀a6=b∈ {0,1}n,Prx∈X[Hx(a) =
Hx(b)] = 2−l.
Il est rappel´e dans [13] que les fonctions de hachage universelles sont des extracteurs
forts `a condition que l 6m−2log(1
) + 2.
De mani`ere analogue `a la min-entropie moyenne, l’incertitude sur une variable al´eatoire
peut ˆetre conditionn´ee par la connaissance d’une information auxiliaire. Ainsi, la notion
d’extracteur fort est g´en´eralis´ee en extracteur fort dans le cas moyen.
D´efinition 37 (Extracteur fort dans le cas moyen). Soit Ext : {0,1}n → {0,1}l une
fonction probabiliste en temps polynomial qui utilise r bits d’al´ea. On dit que Ext est un
(n, m, l, )-extracteur fort dans le cas moyen si pour toute paire de distributions (W, I)
telle que H˜∞(W|I)> m, on a SD((Ext(W;X), X, I),(Ul, X, I))6, o`u X est uniforme
sur {0,1}r.
Tout extracteur fort peut se convertir en un extracteur fort dans le cas moyen au prix
d’une concession sur les param`etres [13]. Les rappels que nous venons d’effectuer nous
permettent de d´efinir formellement Secure Sketches et FEs.
Secure Sketch
Une Secure Sketch permet de reconstruire un secret w `a partir de w0 et d’une donn´ee
publique g´en´er´ee au pr´eablable.
D´efinition 38. Un (M, m,m, t˜ )-Secure Sketch est une paire de proc´edure randomis´ees,
”Sketch” (SS) et ”Recover” (Rec) v´erifiant les propri´et´es suivantes:
1. La proc´edure SS prend en entr´ee w∈ M et retourne s∈ {0,1}∗;
2. La proc´edure Rec prend en entr´ees un ´el´ement w0 ∈ M et s∈ {0,1}∗. La propri´et´e
de consistance (correctness) garantit que si d(w, w0)6t, alors Rec(w0,SS(w)) = w.
Si d(w, w0)> t, aucune garantie n’est assur´ee sur la sortie Rec;
3. La propri´et´e de s´ecurit´e garantit que pour toute distribution W sur M de
min-entropie m, la valeur de W peut ˆetre retrouv´ee par l’adversaire qui observe s avec
une probabilit´e inf´erieure ou ´egale `a 2−m˜. Autrement dit, H˜∞(W|SS(W))>m˜.
Un Secure Sketch est efficace si SS et Rec terminent en temps polynomial.
Perte d’entropie La quantit´e ˜mest appel´ee entropie r´esiduelle et la quantit´em−m˜
est appel´ee perte d’entropie (entropy loss) d’un Secure Sketch. Les analyses de s´ecurit´e
propos´ees par Dodis et al. consistent `a minorer l’entropie r´esiduelle, ce qui revient `a
majorer la perte d’entropie.
Fuzzy Extractors
Nous nous int´eressons d´esormais aux Fuzzy Extractors.
D´efinition 39. Un(M, m, l, t, )-fuzzy extractor est une paire de proc´edures randomis´ees,
”Generate” (Gen) et ”Reproduce” (Rep) v´erifiant les propri´et´es suivantes:
1. La proc´edure Gen prend en entr´ee w ∈ M et retourne la chaˆıne binaire extraite
R∈ {0,1}∗ et une aide `a la reconstruction P ∈ {0,1}∗;
2. La proc´edure Rep prend en entr´ees w0 ∈ M et une chaˆıne binaire P ∈ {0,1}∗. La
propri´et´e de consistance garantit que si d(w, w0) 6 t et R, P ont ´et´e g´en´er´es par
(R, P) ← Gen(w), alors Rep(w0, P) = R. Si d(w, w0) > t, aucune garantie n’est
assur´ee sur la sortie Rep ;
3. La propri´et´e de s´ecurit´e garantit que pour toute distribution W sur M, la chaˆıne r
est presque uniforme mˆeme pour ceux qui observent P: si (R, P)←Gen(W), alors
SD((R, P),(Ul, P))6.
Un Fuzzy Extractor est dit efficace si Gen et Rep terminent en temps polynomial.
Dit autrement, un FE permet d’extraire un al´ea R `a partir de w et de reproduire R
avec succ`es `a partir toute valeur w0 assez proche dew. Cette reproduction s’appuie alors
sur l’aide `a la reconstructionP produite lors de la g´en´eration: cette valeur est publique et
d’apr`es la propri´et´e de s´ecurit´e, R apparaˆıt al´eatoire ´etant donn´e P. On a les d´efinitions
suivantes :
• Perte d’entropie. On d´efinitm−l comme ´etant la perte d’entropie d’un FE ;
• FE cas moyen. Un FE dans le cas moyen (average case Fuzzy Extractor) est un FE
pour lequel si ˜H∞(W|I)>m, alorsSD((R, P, I),(Ul, P, I))6 pour toute variable
al´eatoire auxiliaire I.
Fuzzy Extractor `a partir d’un Secure Sketch Un Secure Sketch permet de
retrouverw`a partir d’une version bruit´eew0 alors qu’un extracteur fort permet d’extraire
l’entropie contenue dans w, il apparaˆıt relativement naturel de construire un FE `a partir
de l’utilisation conjointe d’un Secure Sketch et d’un extracteur. Plus formellement, on a
le lemme suivant.
Lemme 2. Soient(SS, Rec)un(M, m,m, t˜ )-Secure Sketch etExtun(n,m, l, ˜ )-extracteur
fort dans le cas moyen. Alors le couple (Gen, Rep) tel que d´ecrit ci-dessous est un
(M, m, l, t, )-Fuzzy Extractor :
• Gen(w;r, x) : Fixer P = (SS(w;r), x), R =Ext(w;x), et retourner (R, P) ;
• Rep(w0,(s, x)) : Retrouver w=Rec(w0, s) et retourner R=Ext(w;x).
S´ecurit´e calculatoire Alors que toutes les constructions propos´ees par Dodis et al.
suivent cette m´ethodologie et voient leur s´ecurit´e d´efinie d’un point de vue la th´eorie de
l’information, Fulleret al. [83] proposent de satisfaire `a une d´efinition bas´ee sur le mod`ele
calculatoire, moins exigeant, dans l’espoir de minimiser la perte d’entropie. Dans ce cas,
l’id´ee est de g´en´erer une cl´e R calculatoirement indistinguable de l’al´eatoire plutˆot que
statistiquement.
´Etudier, d’un point de vue calculatoire, la distance entre deux distributions revient `a
quantifier la proximit´e de ces distributions aux yeux d’un programme arbitraire d´enomm´e
si ce n’est qu’il doit retournerb∈ {0,1}. Ainsi, des distributions calculatoirement proches
sont des distributions pour lesquelles il n’existe pas de distingueur efficace dont les sorties
diff`erent sensiblement en fonction de la distribution ´etudi´ee.
D´efinition 40. Soient X et Y deux distributions de probabilit´es. On d´efinit la distance
calculatoire entre X et Y comme ´etant :
δD(X, Y) =|E[D(X)]−E[D(Y)]|.
On ´etend cette d´efinition `a toute classe de distingueur D en prenant le maximum sur
l’ensemble des D∈ D.
Nous rappelons alors la d´efinition calculatoire des FEs telle que propos´ee par Fuller
et al. `a une diff´erence pr`es : nous ne consid´erons pas le cas o`u le FE ´echoue dans sa
reconstruction avec une probabilit´e δ comme introduit par Dodis et al. [13]. Nous avons
alors la d´efinition suivante.
D´efinition 41 (Fulleret al.[83]). Soit W une famille de distribution de probabilit´es
sur l’espace m´etrique M. Une paire de proc´edures randomis´ees ”generate” (Gen) et
”reproduce” (Rep) est un (M,W, l, t)-Fuzzy Extractor calculatoire de s´ecurit´e (sec, ssec)
si Gen et Rep satisfont les propri´et´es suivantes :
• La proc´edure de g´en´eration Genprend en entr´eew∈ M et retourne une cl´e extraite
R∈ {0,1}l et une chaˆıne de reconstruction P ∈ {0,1}∗
• La proc´edure de reconstruction Rep prend en entr´ees w0 ∈ M et une chaˆıne binaire
P ∈ {0,1}∗. La propri´et´e de consistance garantit que si d(w, w0) 6 t et (R, P) ←
Gen(w), alors Rep(w0, P) = R. Si d(w, w0)> t, alors aucune garantie n’est fournie
sur la sortie de Rep.
• La propri´et´e de s´ecurit´e garantit que pour toute distribution W ∈ W, la valeur R
est pseudo-al´eatoire sachant P. Autrement dit, si (R, P) ← Gen(W) alors, on a
δD
sec((R, P),(Ul, P))6sec.
La restriction `a une famille de distributions W est une fa¸con plus g´en´erique de
sp´ecifier la min-entropie (D´efinition 39), nous jonglerons entre ces deux consid´erations
au Chapitre 4. D’autre part, comme pr´ecis´e par Fuller et al., tout FE respectant la
d´efinition 39 sera en particulier un Fuzzy Extractor calculatoire tel que d´efini ci-dessus.
Toujours dans [83], Fuller et al. ont propos´e un Fuzzy Extractor (calculatoire), non
bas´e sur un Secure Sketch, permettant ainsi d’extraire un cl´e de taille ´egale `a l’entropie
du secret bruit´e. Leur sch´ema peut se voir comme une adaptation de la construction
code-offset surFq. Le secret R est g´en´er´e al´eatoirement puis transmis via P en tant que
mot de code bruit´e, o`u cette fois-ci le bruit est jou´e par w. Ainsi, la connaissance de
w0 ≈w permettra d’enlever le bruit pour retrouver R. La s´ecurit´e de leur sch´ema repose
sur le d´ecodage lin´eaire d’un code, prouv´e NP-difficile [57] et sur le probl`eme LWE [93].
Reusable Fuzzy Extractors Comme nous l’avons vu au cours de l’´etat de l’art,
Canetti et al. ont propos´e le premier FE –selon la D´efinition 41– prouv´e r´eutilisable.
Bas´ee sur la distance de Hamming, leur construction jouit d’une s´ecurit´e prouv´ee dans le
ROM et propose un mod`ele de s´ecurit´e qui pourra se voir comme interm´ediaire `a ceux
propos´es Boyen [85]. Encore une fois, nous nous restreignons au cas le FE n’´echoue pas `a
reconstruire R si w0 est proche dew.
D´efinition 42 (Canetti et al. [94]). Soit W une famille de distributions de probabilit´e
sur M. Soit (Gen, Rep) un (M,W, l, t)-FE calculatoire de s´ecurit´e (sec, ssec). Soient
W1, W2, . . . , Wρ ρ variables corr´el´ees telles que pour tout j, Wj ∈ W. Soient un
adversaire D et le jeu suivant pour tout j = 1, . . . , ρ :
• Echantil lonnage´ Le challengeur tire wj ←Wj and u∈ {0,1}l.
• G´en´eration Le challenger calcule (Ri, Pi)←Gen(wi).
• Distinction L’avantage de D est :
Adv(D) def
= Pr[D(R1, . . . Rj−1, Rj, Rj+1, . . . , Rρ, P1, . . . , Pρ) = 1] −
Pr[D(R1, . . . Rj−1, µ, Rj+1, . . . , Rρ, P1, . . . , Pρ) = 1]
(Gen, Rep) est (ρ, sec, ssec)-r´eutilisable si pour tout D ∈ Ds
secet pour tout j = 1, . . . , ρ,
l’avantage de D est au plus sec.
Comparaison avec le mod`ele de Boyen Boyen a propos´e deux mod`eles de
s´ecurit´e pour d´efinir les FEs r´eutilisables [85]. Le premier, appel´e ”outsider security” [85],
permet `a l’adversaire d’acc´eder aux valeurs P1, . . . , Pρ qui essaie donc de retrouver un
secret wj ou une cl´eRj valide.
Le deuxi`eme mod`ele, appel´e ”insider security”, conf`ere `a l’adversaire la possibilit´e de
contrˆoler certains serveurs d’authentification. Autrement dit, l’adversaire est alors capable
d’appeler la proc´edure de reproductionRepsur n’importe quelle donn´ee de reconstruction
valide Pj ou volontairement modifi´ee ˜Pj. Lorsque l’adversaire choisit de ne pas modifier
Pj, il apprend alors la valeur de la cl´e associ´ee Rj comme c’est le cas du mod`ele de
s´ecurit´e tout juste d´efini (D´efinition 42). D’autre part, cette possibilit´e d’appelerRep sur
une donn´ee de reconstruction modifi´ee vise `a traiter le cas des attaques actives li´ees aux
utilise des fonctions de perturbation permettant d’obtenir des versions bruit´es d’un secret
w, Canettiet al. consid`erent simplement des secrets provenant de distributions corr´el´ees.
Ainsi, le mod`ele propos´e par Canettiet al. se trouve `a mi-chemin entre les d´efinitions
de Boyen pusiqu’ils ne s’int´eressent pas au cas des FEs robustes. Sur ce point, rappelons
que r´eutilisabilit´e et authentification mutuelle peuvent se traiter s´epar´ement d’autant plus
que les travaux de Boyen et al. proposent une m´ethodologie, dans le ROM, pour rendre
robuste tout FE [86].
Dans le document
Protocoles cryptographiques pour l’authentification numérique et le respect de la vie privée
(Page 59-66)