L’exponentiation est l’une des op´erations fondamentales de la cryptographie asym´etrique. On la retrouve par exemple dans l’´echange de cl´es Diffie-Hellman [DH76], le cryptosyst`eme RSA [RSA78] et le chiffrement El Gamal [ElG84]. Si son ex´ecution sur un ordinateur, ou mˆeme sur un t´el´ephone mobile, n’est pas un probl`eme (e.g. [BCN14,SR13]), il n’en va pas de mˆeme pour des p´eriph´eriques moins puissants, tels que des cartes `a puces. Cet ´ecart de performances, toujours d’actualit´e, a favoris´e la production d’une multitude de travaux sur les moyens de d´el´eguer cette op´eration.
La construction de protocoles de d´el´egation d’exponentiations a connu dans un premier temps plusieurs ´echecs, par exemple les solutions de [MKI90, BQ95] qui furent cass´ees dans [PW93, NS98, NS01]. Intuitivement, la difficult´e de concevoir de tels protocoles provient du fait que le cryptographe se retrouve priv´e de l’un ses principaux outils, `a savoir l’exponentiation. Il doit alors utiliser d’autres techniques, qui se sont souvent r´ev´el´ees vuln´erables.
Afin de rester g´en´eriques, les protocoles de d´el´egation d’exponentiations ´evitent le plus sou-vent de faire des hypoth`eses sur le d´el´egataire. Ils consid`erent donc un unique d´el´egataire contre lequel ils devront assurer la confidentialit´e ou la v´erifiabilit´e, voire les deux. Ce mod`ele, qui est le plus universel, ne permet pour l’instant que des constructions `a l’efficacit´e mod´er´ee [vDCG+06,
7.2. D´el´egation d’Exponentiations
WWW+14]. Hohenberger et Lysyanskaya [HL05] propos`erent un nouveau mod`ele o`u l’entit´e d´el´eguant les calculs a cette fois-ci acc`es `a deux d´el´egataires qui ne peuvent pas communiquer entre eux. Ils l’utilis`erent pour construire un protocole efficace mais sous l’hypoth`ese suppl´ementaire qu’au moins un des deux d´el´egataires est honnˆete.
Nous pr´esentons dans cette section ces deux approches et discutons leurs limites. Nous ap-pelons la premi`ere le mod`ele du d´el´egataire unique par opposition au mod`ele des deux d´el´egataires introduit par Hohenberger et Lysyanskaya.
7.2.1 Mod`ele du D´el´egataire Unique
Comme nous l’avons expliqu´e, les premiers sch´emas dans le mod`ele du d´el´egataire unique ont ´
et´e cass´es par la suite. Il existe aujourd’hui deux constructions qui sont encore consid´er´ees comme sˆures dans ce mod`ele.
La premi`ere est due `a Van Dijk et al. [vDCG+06] qui propos`erent deux protocoles assurant la v´erifiabilit´e de la d´el´egation, mais pas sa confidentialit´e. Malheureusement, leur complexit´e reste trop proche de celle d’une exponentiation classique. Leur protocole pour une base variable n´ecessite par exemple d’effectuer deux exponentiations avec des exposants de taille inf´erieure `a λ, le param`etre de s´ecurit´e souhait´e. Pour le groupe de points d’une courbe elliptique, dont l’ordre est en g´en´eral de taille 2λ, le coˆut est ´equivalent.
R´ecemment, Wang et al. [WWW+14] propos`erent une nouvelle construction assurant `a la fois la confidentialit´e et la v´erifiabilit´e. Malheureusement, leur protocole pour d´el´eguer une exponen-tiation, que nous d´ecrivons dans la figure 7.1, n´ecessite une exponentiation avec un exposant de taille sup´erieure `a λ, ce qui l`a encore limite la port´ee de leur r´esultat. De plus, la v´erifiabilit´e n’est assur´ee qu’avec une probabilit´e de 12, ce qui n’est pas acceptable dans bon nombre de cas (par exemple si ce protocole sert `a v´erifier une signature). Pour atteindre un niveau de s´ecurit´e satisfaisant, il est donc n´ecessaire de r´ep´eter ce protocole un grand nombre de fois, ce qui nuit consid´erablement `a son efficacit´e.
Remarque 21. Comme l’ensemble des sch´emas d´ecrits dans ce chapitre, ce protocole est divis´e en deux phases. La premi`ere regroupe l’ensemble des calculs ne d´ependant pas de la base ou de l’exposant impliqu´es dans l’op´eration. Ils peuvent donc ˆetre effectu´es `a l’avance (d’o`u le nom de pr´ecalculs) et ne sont pas pris en compte dans l’estimation de la complexit´e. La deuxi`eme phase regroupe le reste des calculs, c’est-`a-dire ceux pour lesquels la connaissance de U ou de a est indispensable.
On peut noter que la phase 1 n´ecessite de g´en´erer un grand nombre d’´el´ements de la forme (ki, gki) pour un scalaire ki al´eatoire. Ce probl`eme a notamment ´et´e ´etudi´e par Schnorr [Sch90, Sch91] mais les solutions propos´ees ont par la suite ´et´e cass´ees [dR91,dR97]. Il est n´eanmoins pos-sible de g´en´erer une telle paire plus efficacement que par une exponentiation, comme le prouv`erent Boyko, Peinado et Venkatesan [BPV98] dont le travail fut par la suite am´elior´e dans [NSS00] et [WWW+14].
7.2.2 Mod`ele des Deux D´el´egataires
Partant du constat que les protocoles existants souffraient soit de probl`emes d’efficacit´e, soit de probl`emes de s´ecurit´e, Hohenberger et Lysyanskaya [HL05] propos`erent une approche totale-ment diff´erente en supposant l’acc`es `a deux d´el´egataires, dont l’un est honnˆete, ne pouvant pas communiquer entre eux.
Cette hypoth`ese permet d’atteindre une bien meilleure efficacit´e comme l’illustre la construc-tion de la figure 7.2. Intuitivement, la confidentialit´e repose sur le fait que la base et l’exposant intervenant dans l’exponentiation sont scind´es en deux parties qui seront chacune envoy´ee `a l’un des d´el´egataires. L’entit´e d´el´eguant l’op´eration n’aura alors qu’`a rassembler les ´el´ements qui
Chapitre 7 : D´el´egation d’Op´erations Math´ematiques
D´el´egant(G, U, a) D´el´egataire(G)
Phase 1 (pr´ecalculs) r1, r2, r3, r4, t1, t2, t3 ← Z$ p (R1, R2, R3) ← (gr1, gr2, gr3) (R4, T1, T2) ← (gr4, gt1, gt2) T3← gt3 b← Z$ p, x← {2$ λ, . . . , p − 1} Phase 2 c ← a − b · x (W, H) ← (RU 1,RU 3) y ← x(r1· b − r2) + c · r3− r4 z ← t3− y π((ty1, T1), (tz 2, T2), (b, W ), (c, H)) −−−−−−−−−−−−−−→ (A, B) ← (T z t2 2 , T y t1 1 ) (A, B, C, D) ←−−−−−−−−−−−−−− (C, D) ← (Wb, Hc) Si A · B = T3 retourner (R2· C)x· B · R4· D
Figure 7.1 – Protocole de d´el´egation d’exponentiations de Wang et al. Le calcul d´el´egu´e est celui de Ua, o`u U un ´el´ement du groupe G d’ordre p et a un scalaire secret. La fonction π d´esigne une permutation al´eatoire (voir remarque 22).
lui seront retourn´es pour reconstituer le r´esultat. Les deux d´el´egataires seront quant `a eux inca-pable d’agir de mˆeme car ils sont suppos´es ne pas pouvoir communiquer entre eux. La v´erifiabilit´e s’obtient en leur demandant d’effectuer en plus des op´erations (les mˆemes pour les deux) qui n’ont pas d’autres buts que de tester leur honnˆetet´e. L`a encore, l’absence de communication rend difficile une collusion visant `a retourner les mˆemes valeurs erron´ees.
Cependant, il convient de pr´eciser que les hypoth`eses faites par ce mod`ele sont particuli`erement fortes et ne sont pas toujours v´erifi´ees en pratique. L’acc`es `a deux d´el´egataires ne pouvant com-muniquer entre eux semble en effet impossible pour une carte SIM, le trusted platform module (TPM) embarqu´e dans un ordinateur ou une ´etiquette RFID.
Du point de vue de l’efficacit´e, ce protocole offre des performances incomparables avec celles des solutions utilisant un mod`ele de s´ecurit´e classique. Le d´el´egant n’a en effet besoin d’effectuer que 5 multiplications (en excluant les pr´ecalculs) dans le groupe G pour d´el´eguer une expo-nentiation. Il est cependant important de noter que la v´erifiabilit´e n’est garantie qu’avec une probabilit´e de 12, ce qui impose donc de r´ep´eter plusieurs fois le protocole pour atteindre un ni-veau de s´ecurit´e satisfaisant. Chen et al [CLM+12] ont r´ecemment propos´e une optimisation pour porter cette probabilit´e `a 23.
Remarque 22. La v´erifiabilit´e des protocoles d´ecrits dans les figures 7.1 et 7.2 repose sur le fait que le d´el´egataire n’est pas capable de distinguer, parmi les ´el´ements qu’il re¸coit, ceux qui servi-ront `a reconstituer Ua de ceux qui serviront `a tester la validit´e du calcul. Il est par cons´equent indispensable que l’ordre dans lequel les ´el´ements sont envoy´es ne r´ev`elent pas cette information. Le d´el´egant doit donc appliquer une permutation al´eatoire π sur chaque ensemble avant leur transmission.