Apr`es avoir ´etabli un panorama rapide de la notion de sch´ema de signature, nous nous int´eressons dans cette section `a leur s´ecurit´e.
4.3.1 Notions de s´ecurit´e pour les sch´emas de signature
Un sch´ema de signature doit ˆetre prot´eg´e contre diff´erentes attaques. Pour cela, de nom-breuses notions de s´ecurit´e ont ´et´e d´efinies, bas´ees principalement sur le travail deShafi Gold-wasser,Silvio Micali etRonald Rivest [GMR84,GMR88].
La r´esistance des sch´emas de signature s’´evalue dans diff´erents sc´enarios d’attaque (ou mo-d`eles de s´ecurit´e). Chaque sc´enario est d´efini en donnant `a l’attaquant unbut, c’est-`a-dire ce qu’il va chercher `a mettre en d´efaut dans le syst`eme, et des ressources, c’est-`a-dire les informations et les moyens auxquels il aura acc`es pour r´ealiser son attaque.
‡Bien sˆur, si le protocole est unΣ-protocole, la propri´et´e de super-significativit´e impose de n’utiliser un coupon qu’une seule fois.
4.3. S´ecurit´e des sch´emas de signature
Ressources de l’attaquant. Les ressources disponibles peuvent ˆetre de diff´erentes natures.
Dans un premier mode, l’attaquant ne re¸coit que la cl´e publique du signataire. Clairement, c’est l’information minimale pour r´ealiser une attaque. Cela caract´erise les attaques `a cl´e seule ou attaques sans message, not´ees KOA (en anglais, key-only attack) ou NMA (en anglais, no-message attack).
Un mode sup´erieur est celui o`u l’attaquant connaˆıt des couples message-signature. Ceci est tr`es r´ealiste, car, par d´efinition, une signature est publique, pour ˆetre v´erifiable par tout le monde.
Ce sont lesattaques `a messages connus, not´eesKMA(en anglais,known-message attack).
Enfin, les ressources les plus puissantes qu’il est possible de donner `a un attaquant sont un acc`es `a un oracle de signature, limit´e seulement en nombre de requˆetes. L’attaquant peut alors demander la signature d’un ensemble de messages de son choix. C’est l’attaque `a messages choisis. Il existe deux fa¸cons de g´erer ces requˆetes : soit l’ensemble des messages est donn´e en une seule fois, ce qui est appel´eattaque non-adaptative, soit l’attaquant peut choisir le message dont il demande la signature en fonction des r´eponses qu’il a re¸cues pr´ec´edemment. Ces derni`eres ressources forment les attaques adaptatives `a messages choisis, et sont les ressources les plus puissantes qui peuvent ˆetre fournies `a un attaquant. Elles sont not´eesCMA(en anglais, chosen-message attack).
But de l’attaquant. Une fois ses ressources fournies, l’attaquant va tenter d’atteindre un but. Pour chacun de ces buts, une notion de s´ecurit´e correspondant `a l’impossibilit´e de le r´ealiser est alors d´efinie.
Le but le plus imm´ediat est de retrouver la cl´e de signature. La notion de s´ecurit´e cor-respondante, la r´esistance de la cl´e, est not´ee UBK (en anglais, unbreakability). Cette notion est la premi`ere qui soit apparue, sans doute d`es l’invention de la cryptographie `a cl´e publique parWhitfield Diffie et Martin Hellman [DH76]. Il existe n´eanmoins des buts plus faciles `a atteindre pour un attaquant, et qui pourtant peuvent conduire `a des failles de s´ecurit´e.
Le but suivant est d’ˆetre capable de signer n’importe quel message. La notion associ´ee est la r´esistance aux falsifications universelles et est not´eeUF(en anglais,unforgeability). R´ealiser ce but est largement suffisant pour n’importe quel attaquant, car cela lui permet de signer n’importe quel message : le fait que, pour cela, il ait besoin ou non de retrouver la cl´e priv´ee n’est donc pas crucial pour lui.
Enfin, le troisi`eme but possible pour l’attaquant est d’ˆetre capable de signer un message de son choix, dont il n’aurait pas d´ej`a re¸cu la signature. La notion de s´ecurit´e correspondante est lar´esistance aux falsifications existentielles et est not´eeEUF(en anglais,existential unforgeabi-lity). Un attaquant qui r´ealiserait ce but ne remettrait pas en jeu toute utilisation du sch´ema de signature, par exemple si le message sign´e n’avait pas de sens. Cependant, un sch´ema qui r´esisterait `a ce but seraitipso facto r´esistant aux buts plus cons´equents.
Nous pouvons noter qu’un quatri`eme but est apparu (pour les sch´emas probabilistes), celui d’arriver `a exhiber un couple message-signature qui n’aurait pas ´et´e donn´e `a l’attaquant par l’oracle de signature. La notion de s´ecurit´e associ´ee est la r´esistance forte aux falsifications existentielles et est not´ee sEUF (en anglais, strong existential unforgeability). Elle se distingue de EUF, car l’attaquant peut retourner dans sa falsification un message dont il aurait re¸cu une signature, si la signature pr´esent´ee est nouvelle : la falsification existentielle est alors dite faible.
N´eanmoins, exhiber des falsifications faibles remet difficilement en jeu la s´ecurit´e d’un syst`eme dans le monde r´eel. La notion sEUF est toutefois parfois utilis´ee, car elle implique les autres notions.
Sch´ema de signature sˆur. Chaque attaquant est ainsi mesur´e en lui adjoignant la notion de s´ecurit´e qu’il cherche `a mettre en d´efaut et des ressources : nous notons alors chaque attaque Notion-Ressource, o`uNotion∈ {UBK,UF,EUF,sEUF}etRessource∈ {KOA,KMA,CMA}. Il est de nos jours habituel de demander qu’un sch´ema de signature r´esiste aux falsifications existentielles sous attaques adaptatives `a messages choisis.
Ainsi, nous dirons qu’un sch´ema de signature est sˆur s’il prot`ege des falsifications existen-tielles sous attaques (sous-entendu, adaptatives) `a messages choisis (c’est-`a-dire les attaques EUF-CMA). Ceci est mesur´e par la probabilit´e pour n’importe quel attaquant A de retourner une signature valide σ d’un message m qu’il n’a jamais soumis `a l’oracle de signature. Cette probabilit´e est calcul´ee en donnant `a l’attaquant un temps raisonnablement limit´e pour r´ealiser son attaque et un maximum deqs requˆetes `a l’oracle de signature :
SuccEUF-CMAS (A, qs) = Pr
(pkS,skS)←GenS(1κ),(m, σ)← ASignskS(·)(pkS) : VerifypkS(m, σ) =True
.
Dans le mod`ele de l’oracle al´eatoire [BR93], l’adversaireA a ´egalement acc`es `a un oracle de hachage, auquel il peut faireqh requˆetes.
4.3.2 Σ-protocoles et lemme de bifurcation
Une fa¸con g´en´erique de prouver la s´ecurit´e de certains sch´emas de signature est lelemme de bifurcation de David Pointcheval et Jacques Stern [PS96,Poi96]. Ce lemme s’applique sur ce que ces auteurs ont appel´e des sch´emas de signature g´en´eriques, dont font notamment partie les sch´emas de signature bas´es sur l’application de l’heuristiqueFiat-Shamir `a desΣ-protocoles.
Ce lemme permet d’´etablir la s´ecurit´e de tels sch´emas, dans le mod`ele de l’oracle al´eatoire.
L’intuition est d’utiliser, dans une premi`ere ´etape, un attaquant contre le sch´ema de signature pour obtenir une premi`ere falsification, puis, dans une seconde ´etape, appel´ee´etape de rejeu, de red´emarrer cet attaquant avec le mˆeme ruban al´eatoire, pour obtenir une seconde falsification.
Le point crucial est de r´epondre dans la seconde ´etape diff´eremment aux requˆetes `a l’oracle de hachage, ce qui est tout `a fait possible dans le mod`ele de l’oracle al´eatoire.
Les auteurs ont alors prouv´e que la probabilit´e d’obtenir deux falsifications (u, c1, s1) et (u, c2, c2) avec c1 6= c2 ´etait non n´egligeable, et pouvait ˆetre, suivant diff´erents modes de leur lemme enO(εq2
h) ou enO(qε
h). Pour plus de pr´ecision sur le lemme de bifurcation, nous invitons le lecteur int´eress´e `a consulter la th`ese deDavid Pointcheval [Poi96].
Finesse des preuves bas´ees sur le lemme de bifurcation. Le lemme de bifurcation est tr`es g´en´erique, et s’applique donc `a nombre de sch´emas de signature. Malheureusement, la r´eduction de s´ecurit´e qu’il assure est loin d’ˆetre fine. En effet, un attaquant qui attaque un sch´ema avec une certaine probabilit´e est transform´e en un attaquant qui retrouve la cl´e du sch´ema avec une probabilit´e bien plus faible.
4.3.3 Exemple de la s´ecurit´e de la primitive RSA
Nous terminons notre section sur la s´ecurit´e des sch´emas de signature en ´etudiant la s´ecurit´e de la primitive RSA (comme d´ecrite dans la Section 4.1.1). Cela nous permet de donner un exemple concret des diff´erents sc´enarios d’attaque.
Il est possible de montrer que la r´esistance de la primitiveRSAface aux attaques UBK-KOA est ´egale `a la difficult´e du probl`emeFACT[May04,CM04]. De mˆeme, le probl`emeRSApeut ˆetre r´eduit au probl`eme d’attaquer la s´ecurit´e UF-KOA.
4.4. Sch´emas de signature classiques avec oracles al´eatoires