6.2 D´ el´ egation de Preuve de Connaissance
6.2.5 Efficacit´ e
Prouveur
V´erificateur SIM T´el´ephone
Schnorr ´etendu (Fig 6.3) n EG - (n + r) EG
Nous (Fig 6.4) m EG2 2n EG1 + 2n EG2 (n + r) EG1 + (n + r) P
Nous (Fig 6.5) m EG2 n EG1 (n + r) EG1 + (n + r) P
Table 6.1 – Complexit´e des diff´erents protocoles de preuves de DLRS pour m variables et r relations Ri impliquant chacune |Ji| ´el´ements. L’entier n =Pr
i=1|Ji| est en particulier sup´erieur (souvent de beaucoup) `a m. La notation EG d´esigne une exponentiation dans le groupe G, EG1
(resp. EG2) une exponentiation dans le groupe G1 (resp. G2) et P un calcul de couplages.
Le tableau 6.1 compare, pour chaque entit´e, la complexit´e du protocole de Schnorr ´etendu `a celles des deux protocoles que nous avons introduits dans ce chapitre. Ces derniers permettent tous deux de diminuer sensiblement le coˆut pour la carte SIM, le rendant ind´ependant du nombre de relations `a prouver. Cependant, cela se traduit, pour le premier protocole (figure 6.4), par une augmentation significative du nombre d’op´erations `a effectuer par le t´el´ephone. Ce d´efaut est corrig´e par notre deuxi`eme protocole qui doit donc ˆetre privil´egi´e pour d´el´eguer une preuve de DLRS.
Chapitre 6 : D´el´egation d’Algorithmes Cryptographiques
Chapitre 7
D´el´egation d’Op´erations
Math´ematiques
Sommaire
7.1 Introduction . . . . 93 7.2 D´el´egation d’Exponentiations . . . . 94 7.2.1 Mod`ele du D´el´egataire Unique . . . 95 7.2.2 Mod`ele des Deux D´el´egataires . . . 95 7.3 D´el´egation de Couplages . . . . 97 7.3.1 Etat de l’Art . . . 98´ 7.3.2 Un Nouveau Protocole . . . 99 7.3.3 Test d’Appartenance . . . 101 7.3.4 Efficacit´e . . . 102
Nous nous int´eressons dans ce chapitre `a la d´el´egation d’op´erations math´ematiques au travers des exemples de l’exponentiation dans un groupe fini et du couplage bilin´eaire. Nous pr´esentons les principaux protocoles de l’´etat de l’art ainsi que les r´esultats introduits dans l’article Delegating a Pairing can be Both Secure and Efficient [CDS14], publi´e lors de la conf´erence ACNS 2014, que nous avons cosign´es avec S´ebastien Canard et Julien Devigne.
7.1 Introduction
Nous avons ´etudi´e, dans le chapitre pr´ec´edent, la d´el´egation de calculs cryptographiques `a l’´echelle d’un algorithme. Celle-ci consiste `a d´ecouper ce dernier en une s´erie d’op´erations qui vont ˆ
etre r´eparties entre diff´erentes entit´es en fonction du niveau de confiance dont elles b´en´eficient. Dans l’id´eal, l’algorithme en question est une brique cryptographique fr´equemment utilis´ee par des constructions plus complexes. Sa version coop´erative peut alors servir pour chacune de ces derni`eres. C’est le cas, par exemple, des preuves de connaissance de secrets impliqu´es dans un DLRS que nous avons trait´e dans la section 6.2.
Il est possible d’aller plus loin dans ce raisonnement en s’int´eressant directement aux briques ´
el´ementaires d’un algorithme, `a savoir les op´erations math´ematiques qui le composent. Une ver-sion coop´erative, efficace et sˆure d’une d’entre elles permettrait en effet d’am´eliorer le temps d’ex´ecution d’une multitude de sch´emas cryptographiques. Cela explique le tr`es grand nombre de travaux (dont nous citons certains exemples ci-dessous) men´es sur ce sujet.
La premi`ere pr´eoccupation de la d´el´egation de calculs est de diminuer la charge de l’entit´e de-vant effectuer l’op´eration. Elle se justifie donc seulement pour des op´erations complexes. D´el´eguer une op´eration qu’un p´eriph´erique peut effectuer en 1 ms n’a par exemple pas vraiment de sens car
Chapitre 7 : D´el´egation d’Op´erations Math´ematiques
le temps n´ecessaire `a la transmission des donn´ees au d´el´egataire risque, `a lui seul, d’ˆetre sup´erieur. La communaut´e cryptographique s’est donc, dans un premier temps, essentiellement concentr´ee sur la d´el´egation de l’exponentiation (e.g. [MKI90,BQ95,HL05,CLM+12,WWW+14]). Celle-ci a en effet longtemps ´et´e l’op´eration la plus coˆuteuse de la cryptographie sur des groupes d’ordre fini. L’introduction en cryptographie du couplage bilin´eaire [Jou00], dont la complexit´e est encore plus grande, a quelque peu chang´e la donne et entraˆın´e de nombreux travaux sur la d´el´egation de cette nouvelle op´eration (e.g. [GL05,CCM+10,CDS14,GV14]).
Cependant, la d´el´egation ne doit pas se faire au prix de la s´ecurit´e. Comme dans le chapitre pr´ec´edent, les propri´et´es de s´ecurit´e `a satisfaire d´ependent essentiellement des cas d’usage mais elles sont g´en´eralement rattach´ees `a deux probl`emes majeurs : la confidentialit´e et la v´erifiabilit´e. Le probl`eme de la confidentialit´e consiste `a s’assurer que le d´el´egataire n’apprenne rien (ou juste une quantit´e limit´ee d’informations) sur certaines (voire toutes) des entr´ees de l’op´eration. Dans le cas de l’exponentiation, il se rencontre par exemple lors de la g´en´eration d’une signature RSA [RSA78] o`u l’exposant constitue le secret du signataire. Dans le cas du couplage, on peut le retrouver lors du d´echiffrement du sch´ema de Boneh et Franklin [BF01] o`u l’une des entr´ees est la cl´e secr`ete de l’utilisateur.
Le probl`eme de la v´erifiabilit´e consiste, lui, `a s’assurer que le calcul effectu´e par le d´el´egataire est correct. Dans certains cas (par exemple, ceux que nous avons rencontr´es dans le chapitre pr´ec´edent), une valeur erron´ee n’aura pas d’autres cons´equences que de faire ´echouer l’ex´ecution du protocole. Malheureusement, cela n’est plus vrai si l’op´eration vise `a tester la validit´e d’un certain ´el´ement public, comme c’est le cas lors de la v´erification d’une signature. En effet, une mauvaise valeur pourrait conduire l’entit´e d´el´eguant l’op´eration `a accepter une signature incor-recte comme valide, et provoquer ainsi de graves probl`emes de s´ecurit´e.
Concevoir un protocole efficace de d´el´egation d’op´erations sans faire aucune concession sur la s´ecurit´e est loin d’ˆetre ´evident. Le nombre de travaux men´es sur le sujet l’illustre d’ailleurs parfaitement. En ce qui concerne l’exponentiation et le couplage, il n’existe, pour l’instant, aucun sch´ema qui soit pleinement satisfaisant sur le plan de l’efficacit´e et de la s´ecurit´e. Cependant, les solutions existantes offrent diff´erents compromis qui peuvent ˆetre int´eressants en fonction des cas d’usages. Nous pr´esentons dans ce chapitre les principales constructions de l’´etat de l’art mais insistons sur le fait que comparer directement leur efficacit´e n’a pas toujours de sens car elles v´erifient rarement les mˆemes propri´et´es de s´ecurit´e.