D´efinition du sch´ema

4.3.2.1 Sch´ema de chiffrement

En dehors d’un sch´ema de marquage sˆur, la d´efinition du sch´ema ´el´ementaire de tra¸cage de traˆıtres n´ecessite un sch´ema de chiffrement sˆur dans le mod`ele LoR-CPA :

Sch´ema ´el´ementaire pour deux utilisateurs 111

D´efinition 4.8 (S´ecurit´e LoR-CPA) Le jeu LoR (Left or Right) fait intervenir un

environnementΩ et un adversaire Ad’un sch´ema de chiffrement constitu´e d’une fonc-tion d’initialisafonc-tion I, d’une fonction de chiffrement E, et d’une fonction de d´echif-frement D:

– Ωchoisit al´eatoirement v∈ {1,2} et g´en`ere un couple de cl´es (ek,dk) avec I; – Ωtransmet ek `a A (uniquement dans le cadre d’un sch´ema `a cl´e publique) ; – A envoie des paires de messages(m<sub>1</sub>, m<sub>2</sub>) `a Ω qui r´epond avec E_ek(m_v); – A r´epond avec un ´el´ement v^′ ∈ {1,2}.

L’adversaire A gagne le jeu si v^′ =v.

Le sch´ema de chiffrement est dit adve-LoR-CPA sˆur si pour tout adversaire A,

Pr[A gagne le jeu LoR]−Pr[A perd le jeu LoR]

₆adv_e.

Ce mod`ele est plus exigeant qu’un mod`ele IND-CPA classique : au lieu d’une requˆete unique o`u l’adversaire envoie un couple de messages et o`u l’environnement chiffre l’un de ces deux messages, l’adversaire dispose d’autant de requˆetes qu’il le souhaite, l’en-vironnement chiffrant toujours le message dans la mˆeme position. Ce mod`ele a ´et´e notamment utilis´e dans [BDJR97] dans le contexte d’un chiffrement sym´etrique.

4.3.2.2 Sch´ema de tra¸cage de traˆıtres

On peut d´esormais d´efinir un sch´ema de tra¸cage de traˆıtres pour deux utilisateurs s’appuyant sur un sch´ema de marquage et un sch´ema de chiffrement :

D´efinition 4.9 (Sch´ema ´el´ementaire de tra¸cage de traˆıtres) Soit(A,G,D) un

sch´ema de marquage (p_w, q_w)-sˆur, soit (I,E,D) un sch´ema de chiffrement adv_e -LoR-CPA sˆur. Le sch´ema ´el´ementaire de tra¸cage de traˆıtres s’appuyant sur ces sch´emas est d´efini par les algorithmes suivants :

– Initialisation : deux paires de cl´es, (ek1,dk1) et (ek2,dk2), sont g´en´er´ees en utilisant l’algorithme I. La cl´e de chiffrement est ek = (ek₁,ek₂). Les cl´es de d´echiffrement sont dk₁ et dk₂. La cl´e de tra¸cage est tk=ek.

– Chiffrement: le chiffr´e d’un messagemestEek(m) = (E_ek

1(m_σ(1)),E_ek

2(m_σ(2))), o`u (m₁, m₂) =G(m) et σ est une permutation sur {1,2} choisie al´eatoirement. – D´echiffrement : l’utilisateur u obtient un message clair acceptable m_σ(u) en

utilisant sa cl´e de d´echiffrement dku sur la partie ad´equate du chiffr´e.

– Tra¸cage : l’algorithme de tra¸cage consiste `a envoyer des messages chiffr´es au-thentiques jusqu’`a ce que le d´ecodeur pirate ait r´eponduN_p fois avec un message acceptable pour le contenu envoy´e. Pour chacune des r´eponses du d´ecodeur pi-rate, l’algorithme calcule u^′ = σ(D(m, m₁, m₂, m^′)). L’algorithme r´epond alors avec l’´el´ement le plus fr´equemment trouv´e dans {1,2} (en cas d’´egalit´e, le choix est fait al´eatoirement). La valeur deNp d´epend du param`etrep∈]2adve,1[ :

Np= max 3l _log(p/2−adve) log(8 max(p_w, q_w)) m ,1 .

112 Tra¸cage de traˆıtres

Remarque 4.2 La proc´edure de tra¸cage s’applique pour n’importe quel d´ecodeur pirate

qui r´epond aux requˆetes valides avec une probabilit´e sup´erieure `a n’importe quel seuil α >0. Plus le seuil est bas, plus la proc´edure sera longue, puisqu’il faudra de l’ordre de (Np/α) requˆetes pour obtenirNp r´eponses acceptables.

4.3.3 Preuve de s´ecurit´e

Th´eor`eme 4.1 Soit(I,E,D)un sch´ema de chiffrement adv_e-LoR-CPA sˆur, soit(A,G,D)

un sch´ema de marquage (p_w, q_w)-sˆur. Pour tout p >2adv_e, pour tout α >0, le sch´ema de tra¸cage de traˆıtres `a deux utilisateurs pr´esent´e en d´efinition 4.9 est (p,2, α)-sˆur lorsque q_w <1/8 et p_w <1/8.

Preuve Dans le cas d’un sch´ema `a deux utilisateurs, une coalition contient soit un

unique utilisateur, soit tous les utilisateurs du syst`eme. Dans le second cas, la proc´edure de tra¸cage a syst´ematiquement raison, puisqu’elle renvoie toujours un ensemble non-vide, qui est n´ecessairement contenu dans {1,2}. On consid`ere donc exclusivement le cas d’un unique traˆıtre.

Soit G0 le jeu de tra¸cage pour le sch´ema d´ecrit en d´efinition 4.9 :

– L’environnement Ω g´en`ere deux paires de cl´es (ek₁,dk₁) et (ek₂,dk₂) pour le sch´ema de chiffrement (I,E,D).

– Le d´ecodeur pirate P choisitu∈ {1,2}, envoieu `a Ω et re¸coitdk_u de Ω.

– Ω choisit un message m, calcule (m₁, m₂) = G(m), choisit al´eatoirement une permutation σ sur {1,2}, et envoie (Eek_u(m_σ(u)), Eek_u¯(m_σ(¯u))) `aP. Le d´ecodeur pirateP r´epond avecm<sup>′</sup>. SiA(m, m<sup>′</sup>) est vrai, Ω calculeu<sup>′</sup> =σ(D(m<sup>′</sup>, m, m<sub>1</sub>, m<sub>2</sub>)). L’environnement Ω fait autant de requˆetes que n´ecessaire, jusqu’`a ce qu’il ait calcul´e au moinsN_p fois la valeur u′.

Le d´ecodeur pirateP gagne le jeuG0 si la valeur la plus fr´equemment trouv´ee pour

u^′ par Ω est ¯u.

On consid`ere le jeu G1, identique au jeu G0, `a la diff´erence que l’environnement envoie (Eek_u(m_σ(u)), Eek_u¯(m_σ(u))) au lieu de (Eek_u(m_u), Eek_¯u(m_σ(¯u))). On construit un adversaire A de la s´ecurit´e LoR-CPA du sch´ema de chiffrement `a partir du d´ecodeur pirateP :

– A re¸coit ek, choisit al´eatoirement b ∈ {1,2}, calcule une paire de cl´es (ek_b,dk_b) pour le sch´ema de chiffrement et d´efinitek¯_b=ek.

– P choisit u ∈ {1,2} et transmets u `a A : si u 6= b, alors A s’arrˆete en donnant pour r´eponse un ´el´ement choisi al´eatoirement dans{1,2}. Sinon, Aenvoie dk<sub>u</sub> `a

P et le jeu se poursuit.

– Achoisit un messagem, calcule (m₁, m₂) =G(m), choisit al´eatoirement une per-mutationσsur{1,2}, et envoie la requˆete (m_σ(1), m_σ(2)) `a son environnement.A

re¸coit la r´eponseE_ek(m_σ(v)), o`uvest fix´e.Aenvoie alors (Eek<sub>u</sub>(m<sub>σ(u)</sub>), Eek(m<sub>σ(v)</sub>)) `

a P, qui r´epond ´eventuellement avec un message m′ : si A(m, m′) =vrai,A cal-culeu^′ =σ(D(m, m1, m2, m^′)).Ar´ealise cette ´etape en boucle jusqu’`a obtenirNp

Sch´ema ´el´ementaire pour deux utilisateurs 113 – As’arrˆete en donnant pour r´eponse v^′, la valeur la plus souvent trouv´ee pouru^′

dans{1,2}.

Le sch´ema de chiffrement ´etant adve-LoR-CPA sˆur, l’avantage de l’adversaire A

construit pr´ec´edemment est born´e paradv_e. On en d´eduit que la diff´erence des avantages du d´ecodeur pirateP dans les jeuxG0 etG1 est born´ee par 2adv_e :

adv_e >|Pr[v^′ = ¯u /(v= ¯u etu=b)]−Pr[v^′ = ¯u /(v=uetu=b)]|/2,

>|Pr[v^′ = ¯u dans le jeuG0]−Pr[v^′ = ¯u dans le jeuG1]|/2,

>|Pr[P gagne dans le jeu G0]−Pr[P gagne dans le jeuG1]|/2.

On consid`ere d´esormais le jeuGw entre un environnement Ωw, et un adversaireAw

du sch´ema de marquage (A,G,D) : – L’adversaire Aw choisit u∈ {1,2},

– L’environnement Ωw choisit un message m, calcule (m1, m2) = G(m). Ωw choi-sit al´eatoirement une permutation σ sur {1,2}, et transmet m_σ(u) `a Aw. L’ad-versaire Aw r´epond ´eventuellement avec m′ : si A(m, m′) = vrai, Ω_w calcule

u^′ = σ(D(m, m1, m2, m^′)). Ωw r´ealise cette ´etape en boucle jusqu’`a obtenir Np

r´esultats pouru^′.

L’adversaire Aw gagne ce jeu si la valeur la plus fr´equemment trouv´ee pour u^′

dans {1,2} est ¯u. On remarque que l’adversaire Aw peut simuler des requˆetes, via sa connaissance des algorithmes A,G etD. Ainsi, lors de chaque requˆete, l’adversaireAw

est dans une situation similaire `a la premi`ere requˆete. Or le jeu sur la premi`ere requˆete est exactement le jeu de d´etection pour le sch´ema de marquage (A,G,D).

Dans ce jeu Gw, soit Np(0) le nombre de r´eponses donn´ees par Aw ayant conduit `

a u^′ = 0, soit N_p(¯u) le nombre de r´eponses donn´ees par Aw ayant conduit `a u<sup>′</sup> = ¯u. Concr`etement,N_p(0) est le nombre de fois o`u il y a ´echec dans la d´etection, tandis que

Np(¯u) est le nombre de fois o`u il y a mauvaise d´etection. Lorsque l’adversaireAwgagne le jeu Gw, N<sub>p</sub>(u) > N<sub>p</sub>(¯u), et on a n´ecessairement N<sub>p</sub>(¯u) > N<sub>p</sub>/3 ou N<sub>p</sub>(0) > N<sub>p</sub>/3. Comme les requˆetes se traduisent par des jeux ind´ependants (d’apr`es le paragraphe pr´ec´edent), on peut borner la probabilit´e de succ`es de Aw :

Pr[Aw gagne le jeuGw]6Pr[N_p(0)>N_p/3] + Pr[N_p(¯u)>N_p/3], 6 Np X i=⌈Np/3⌉ C_Nⁱ_pq_wⁱ+ Np X i=⌈Np/3⌉ C_Nⁱ_pp_wⁱ, 62^Npqw^Np/3+ 2^Nppw^Np/3, 6(8qw)^Np/3+ (8pw)^Np/3.

Comme p_w < 1/8, q_w < 1/8, et grˆace au choix adapt´e de la valeur de N_p, on en d´eduit que : Pr[Aw gagne le jeuGw]6p−2adve.

Il ne reste plus qu’`a corr´eler les jeux G1 et Gw ce qui est assez ais´e : `a partir d’un d´ecodeur pirate dans le jeuG1, on peut construire un adversaireAw dans le jeuGw avec exactement la mˆeme probabilit´e de succ`es. En effet, on peut consid´erer un adversaire

114 Tra¸cage de traˆıtres

Aw qui g´en`ere des couples de cl´es, qui se contente de chiffrer `a deux reprises la variante propos´ee par Ω_w, et de transmettre les r´esultats du chiffrement au d´ecodeur pirate P. Les probabilit´es de succ`es deAw dans le jeuGw et deP dans le jeuG1 sont identiques. On en d´eduit : Pr[P gagne dans le jeu G1]6p−2adve.

Le lien entre les probabilit´es de succ`es de P dans les jeuxG0etG1 permet d’obtenir le r´esultat attendu : Pr[P gagne le jeuG0]62adv_e+ (p−2adv_e) = p.