La s´ecurit´e pratique - Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee

La dernière étape consiste à interpréter les résultats de sécurité apportés par ces réductions [103,104] (voir ce premier article joint en annexe, page 241). Pour cela, on constate que le nombre d’appels au sous-programmeAn’est pas toujours le facteur dominant. Parfois, certaines constantes sont importantes. Les récents travaux sur RSA–OAEP, et ses variantes ou alter-natives, ont bien mis ce fait en évidence [46,91,104] (voir ce premier article joint en annexe, page 221).

Par conséquent, dans tout ce qui suit, et en particulier dans les articles joints en annexe, on s’attachera à expliciter le coût de chacune des réductions, afin de fournir un résultat de sécurité le plus précis possible.

Puis alors, on parlera de sécurité pratique pour un schéma lorsque la réduction permet de prouver l’impossibilité de toute attaque, avec des paramètres raisonnables, sous les hypothèses usuelles. Ces hypothèses usuelles seront présentées et discutées dans le chapitre suivant, mais on peut d’ores et déjà citer :

1. une complexité de 2⁷⁸ opérations est actuellement inaccessible, et sera le niveau de sécurité

`a garantir ;

2. factoriser un nombre de 1024 bits nécessite un coût supérieur à 2⁸⁰.

Ainsi par exemple, on cherche à construire un schéma, puis une réduction qui garantissent qu’une attaque avec une complexité inférieure à 2⁷⁸ permet de factoriser un entier donné de 1024 bits en moins de 2⁸⁰ opérations. À moins de contredire l’hypothèse (2) ci-dessus, aucune attaque en moins de 2⁷⁸ opérations n’est possible.

La construction générique REACT [90], élaborée en collaboration avec Tatsuaki Okamoto, et présentée en annexe (page 207), fournit un des rares schémas de chiffrement asymétrique garantissant une sécurité pratique, dans le modèle de l’oracle aléatoire, que l’on va maintenant présenter.

4 Le mod`ele de l’oracle al´eatoire

Les exigences de la sécurité pratique sont très fortes, avec des réductions non seule-ment polynomiales, mais de plus efficaces. Cependant, ce niveau de sécurité ayant une vocation

pratique , il ne doit pas conduire à des schémas coûteux.

Un compromis a été proposé en 1993, par Bellare et Rogaway [10], en formalisant un concept introduit par Fiat et Shamir [41]. Il s’agit de faire une hypothèse supplémentaire : certaines fonc-tions sont considérées parfaitement aléatoires. Le modèle introduisant cette nouvelle hypothèse est appelé modèle de l’oracle aléatoire .

D’un point de vue pratique, cela revient à ne considérer que les attaques génériques, indépen-dantes de l’implémentation effective des fonctions en question. Plus formellement, dans toutes les

5. Conclusion 15

probabilités, la distribution aléatoire de ces fonctions est ajoutée à l’espace de probabilités : on considère une fonctionH, l’oracle aléatoire, choisie uniformément dans l’ensemble des fonctions

{1, . . . , n} × {0,1}^k¹ → {0,1}^k²,

oùnest le nombre de fonctions considérées aléatoires, k1 un majorant de la longueur des entrées des différentes fonctions etk₂ un majorant de la longueur des sorties de ces fonctions. Alors, si le schéma effectif utilise plusieurs fonctions de hachage (par exemple h₁ et h₂), on y accède par H(1, x), tronqué à la longueur convenable pourh₁(x), par H(2, x) tronqué pourh₂(x), etc.

Une remarque importante est que toute nouvelle question recevra une réponse uniformément distribuée dans l’espace correspondant, indépendante des précédentes questions et réponses. Mais une même question aura toujours la même réponse. Ainsi, l’attaquant n’a aucune idée de la valeur deh₁(x) sans l’avoir explicitement demandée à l’oracle : les réductions, dans ce modèle, ont alors accès à cette liste de questions-réponses.

5 Conclusion

Dans ce chapitre, on a vu les principales étapes conduisant à des schémas cryptographiques sûrs, à savoir

– la définition d’hypothèses calculatoires. Elles précisent les limites d’un attaquant. Le lec-teur aura compris l’objet recherché : des fonctions faciles à calculer, mais difficile à inverser.

La définition de fonctions à sens-unique donnée précédemment est bien adaptée dans le contexte asymptotique. On donnera des exemples concrets dans le chapitre suivant, avec les records actuels, qui fixent les limites du moment, et permettent d’extrapoler ces li-mites pour quelques années à venir, avec certaines réserves. On pourra alors considérer la

s´ecurit´e pratique ;

– la précision des notions de sécurité que le schéma cryptographique est censé apporter. On en étudiera quelques-unes en fonction des schémas considérés (identification, signature, mais surtout chiffrement asymétrique) ;

– la description d’une réduction, avec son coût explicite. Par soucis de clarté, le paramètre de sécurité k sera parfois omis, mais toujours sous-entendu dans les diverses expressions de coût calculatoire, et de probabilité de succès.

Pour ce qui est du modèle dans lequel seront exhibées les réductions, on préfère le modèle dit standard , où aucune hypothèse sur l’attaquant n’est faite. Il s’agit du modèle habituel de la théorie de la complexité. Mais comme on l’a déjà remarqué, ce modèle limite les schémas prouvables. On utilisera donc assez souvent le modèle de l’oracle aléatoire , surtout lorsque l’on considérera des niveaux de sécurité plus importants.

Hypoth` eses calculatoires

Sommaire

1 Introduction . . . . 17 2 La factorisation enti`ere . . . . 17

Dans le document Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee (Page 26-29)