La fonction RSA : une permutation `a sens-unique `a trappe

Ces fonctionsf_ksont `a sens-unique, sans aucune trappe possible pour aider dans l’inversion.

En revanche, des structures alg´ebriques reposent sur la factorisation, et le calcul de certaines op´erations dans de telles structures peut d´ependre de la connaissance ou non de la factorisation d’un entier.

Par exemple, pour n = pq, l’anneau quotient /n , identifi´e `a <sub>n</sub> = {0,1, . . . , n−1}, est isomorphe `a l’anneau produit _p× q. Ainsi, la structure d´epend fortement de la factorisation den. En l’occurrence, le groupe multiplicatif ^?_nest isomorphe `a ^?_p× ^?q.

Le calcul de la puissancee-i`eme d’un ´el´ement xpeut facilement se calculer avec la m´ethode square-and-multiply. Mais pour calculer des racines e-i`emes, il semble n´ecessaire de connaˆıtre l’ordre du groupe multiplicatif, ou le cardinal de ce groupe :

ϕ(n) = # ^?_n= (p−1)(q−1).

De fa¸con g´en´erale, pourn=Q p^ν_iⁱ,

ϕ(n) = # ^?_n=n×Y 1− 1

pi

.

En effet, en calculant l’exposantd=e⁻¹modϕ(n), le th´eor`eme d’Euler conduit `a (x^e)^d = (x^d)^e=x^1+kϕ(n)=x×(x^ϕ(n))^k=x×1^k=xmodn.

Par contre, sans cette valeurd (ou de fa¸con ´equivalente un multiple deϕ(n), ou la factorisation den [79]), on ne connaˆıt pas de m´ethode pour calculer des racinese-i`emes modulaires.

2en tenant compte des am´eliorations algorithmiques .

3. Le probl`eme du logarithme discret 19

Ainsi, en 1978, Rivest, Shamir et Adleman [113] ont propos´e la famille de fonctions (fn,e)n,e, index´ee par un module RSA n =pq, produit de deux entiers premiers de mˆeme taille, et e un exposant premier avec ϕ(n),

f_n,e: ^?_n−→ ^?n

x7−→x^emodn.

Ces fonctions peuvent d’ailleurs ˆetre d´efinies sur _n, et dans les deux cas, on a affaire `a une permutation de ^?_n, ou nrespectivement.

L’´evaluation de toute fonction f_n,e est ais´ee, son inversion est ´egalement facile pour qui connaˆıt d=e⁻¹ modϕ(n), ou de fa¸con ´equivalente la factorisation den, puisquef_n,e⁻¹=f_n,d. En revanche, l’inversion est tr`es difficile pour qui n’a pas acc`es `a cette factorisation (ou `a d).

Plus formellement, le probl`eme RSAest d´efini de la fa¸con suivante :

D´efinition 9 (Le probl`eme RSA– ou la racinee-i`eme modulaire). Soientn=pqun module RSA,eun exposant premier avecϕ(n) ety ∈ ^?n, trouver une racinee-i`eme dey modulon, soit un ´el´ement x∈ ^?ntel quex^e=ymodn. On d´efinit alors par

Succ^rsa(n)(A) = Pr

y∈ ^?_n[A(y)^e =ymodn],

la probabilit´e de succ`es d’un algorithme A, qui re¸coit en entr´ee un entier n. Dans certains cas, l’entiernpourra entrer dans la distribution de probabilit´es, en supposant qu’il est engendr´e par un algorithme qui produit des nombres premiers de taille fix´ee k, de fa¸con uniforme, `a partir d’une donn´ee al´eatoire :

Succ^rsa(k)(A) = Pr

|n|=k y∈ ? n

[A(y)^e=ymodn].

Ainsi, le probl`eme RSAest difficile `a r´esoudre lorsque la factorisation du module est inconnue.

L’hypoth`ese RSAsuppose donc ce probl`eme aussi difficile que la factorisation. Il faut n´eanmoins noter qu’aucune ´equivalence entre ces probl`emes n’a jamais ´et´e propos´ee. Le contraire semble d’ailleurs plus probable [19]. Mais cela ne remettrait pas pour autant en cause la difficult´e du probl`eme RSA, tant qu’aucune m´ethode efficace pour le r´esoudre ne serait propos´ee.

D´efinition 10 (L’hypoth`ese RSA). Pour tout entier RSA suffisamment grand, le probl`eme RSAest difficile `a r´esoudre.

En fait, on admet que le probl`eme RSA est aussi difficile que la factorisation du module. On pourra par cons´equent utiliser les mˆemes estimations de complexit´e pour le probl`eme RSAque pour la factorisation (voir figure 1). En particulier, pour tout algorithme A, pour tout module RSA nde k bits, et pour tout exposant e premier avecϕ(n),

Time(A)/Succ^rsa(n)(A)≥C_k,

o`u C_k repr´esente la complexit´e minimale pour factoriser un module RSA dek bits, soit C512= 2⁵⁸, C1024 = 2⁸⁰, C2048= 2¹¹¹, C4096= 2¹⁴⁹.

3 Le probl`eme du logarithme discret

Le probl`eme RSArepose sur la difficult´e de d´eterminer l’ordre d’un groupe, en l’occurrence le groupe multiplicatif de <sub>n</sub>, pourncompos´e. Le probl`eme du logarithme discret se pose mˆeme lorsque l’on connaˆıt cet ordre.

3.1 Enonc´´ e des probl`emes

Soit un groupe cyclique fini G, d’ordre q (que l’on supposera premier par la suite), ainsi qu’un g´en´erateur g (i.e. G = hgi). On pourra penser `a tout sous-groupe de ( <sup>?</sup><sub>p</sub>,×) d’ordre q pour q|p−1, ou `a des courbes elliptiques, etc. Dans de tels groupes, on d´efinit les probl`emes suivants :

– le probl`eme du logarithme discret (DL) : ´etant donn´e y ∈ G, calculer x ∈ q tel que y=g<sup>x</sup>. On d´efinit alors log<sub>g</sub>y=x, ainsi que le succ`es d’un algorithme A par

Succ^dl(G,g)(A) = Pr

x∈ q

[A(g^x) =x].

– le probl`eme Diffie-Hellman Calculatoire (CDH) : ´etant donn´e deux ´el´ements dans le groupe G, A =g<sup>a</sup> et B =g<sup>b</sup>, calculer C =g<sup>ab</sup>. On d´efinit alors C =DH(A, B) ainsi que le succ`es d’un algorithme Apar

Succ^cdh(G,g)(A) = Pr

a,b∈ q

[A(g^a, g^b) =g^ab].

– le probl`eme Diffie-Hellman D´ecisionnel (DDH) : ´etant donn´e trois ´el´ements dans le groupe G, A = g<sup>a</sup>, B = g<sup>b</sup> et C = g<sup>c</sup>, d´ecider si C =DH(A, B), ce qui est ´equivalent `a d´ecider si c=abmodq. On d´efinit l’avantage d’un distingueurD par

Adv^ddh(G,g)(D) =| Pr

a,b,c∈ q

[1← D(g^a, g^b, g^c)]− Pr

a,b∈ q

[1← D(g^a, g^b, g^ab)]|.

Dans les trois probl`emes ci-dessus, on pourra introduire g dans les distributions de probabi-lit´es, ainsi que dans les entr´ees des algorithmes pour d´efinir Succ^dl(G)(A), Succ^cdh(G)(A) ou Adv^ddh(G)(A).

Ces probl`emes sont class´es du plus difficile au plus facile. En effet, la r´esolution du logarithme discret permet de r´esoudre les probl`emes Diffie-Hellman. De mˆeme, il est plus facile de d´ecider leDH que de le calculer.

De plus, ces probl`emes sont al´eatoirement auto-r´eductibles : toute instance peut se r´eduire

`a une instance al´eatoire. Par exemple, si on veut calculer x = log_gy, on peut choisir a ∈ q

al´eatoire puis calculer Y =yg^a. Si on peut trouver X = log_gY, alors x =X−amodq. Cette r´eduction convient quel que soit q. Une autre r´eduction est parfois utilis´ee (notamment dans les articles [23,20,21]) : pour calculer x = log_gy, on peut choisir a∈ ^?q al´eatoire puis calculer Y =y^a. Si on peut trouver X = log_gY, alors x=X/amodq. Cette r´eduction ne convient que siq est premier. Dans tous les cas, cette auto-r´eduction al´eatoire signifie que toutes les instances sont aussi faciles/difficiles les unes que les autres, pourg et G fix´es : il n’y a que des instances moyennes. L’auto-r´eduction multiplicative (pour un groupe premier) entraˆıne ´egalement une uniformit´e de la difficult´e, quel que soitg. Ainsi, si on peut r´esoudre une fraction non-n´egligeable d’instances en temps polynomial, on peut r´esoudre toute instance en temps moyen polynomial.

Une nouvelle variante du probl`eme Diffie-Hellman a ´et´e r´ecemment introduite par l’auteur de ce m´emoire, dans un article [92] avec Tatsuaki Okamoto, il s’agit du probl`eme duGap Diffie-Hellman (GDH) qui consiste `a r´esoudre le probl`eme CDH avec un acc`es `a un oracle DDH, qui pr´ecise le statut de tout triplet (g^a, g^b, g^c). Plus de d´etails au sujet desGap Problems en g´en´eral peuvent ˆetre trouv´es dans l’article joint en annexe (page 177).

Alors, on a

DL≥CDH≥ {DDH,GDH},

o`uA≥B signifie que le probl`emeA est au moins aussi difficile que le probl`emeB. Cependant, en pratique, on ne sait r´esoudre aucun de ces probl`emes autrement qu’en r´esolvant le probl`eme du logarithme discret.

3. Le probl`eme du logarithme discret 21