Preuve fine pour un sch´ ema bas´ e sur l’identit´ e

Partie III. Sch´ ema de chiffrement ` a s´ ecurit´ e prouv´ ee

10.2 Preuve fine pour un sch´ ema bas´ e sur l’identit´ e

Dans cette section, nous élaborons une nouvelle variante basée sur l’identité, et montrons ensuite que sa réduction est fine. Notre schéma est une continuation de l’idée deJonathan Katz etNan Wangexposée précédemment, dans le sens où nous reprenons la technique du chiffrement sous deux clés publiques. Néanmoins, pour assurer une sécurité contre les attaques à chiffrés choisis, une modification a été nécessaire, de fa¸con à pouvoir vérifier l’égalité des clairs dans les deux parties du chiffré.

10.2.1 Description du schéma Le schéma modifié se décrit ainsi :

Mise en place des paramètres : L’autorité génère des paramètres, com-posés de deux groupesG1etGT d’ordreq(de taille`_q), d’une application bilinéaire e:G1×G1 →GT et d’un générateurg de G1.

Ensuite, l’autorité génère un aléa x∈Zq, et calcule y=g^x. Elle choisit

également un paramètre de sécuritéèt la longueur`_m des messages, et pose M={0,1}^`^m. Enfin, trois fonctions de hachage H:{0,1}^? →G1, G:GT ×G1 → {0,1}^`m² ^+`^q etF :{0,1}^∗ → {0,1}^` sont sélectionnées.

Alors, params=hq,G1,GT, e,M, g, y,F,G,Hi etskIBE=x

Extraction de clé : Pour générer la clé privée de la nouvelleâ identité ID, l’autorité génère un bit aléatoire bID puis calcule dID =H(ID, b_ID)^x. La clé sk_ID= (b_ID, d_ID) est alors retournée.

Chiffrement : Pour chiffrer un messagem= (m0, m1)∈ {0,1}^`m² × {0,1}^`m²

a une identit´e ID, l’utilisateur – tire un al´ea r ∈Zq;

– calcule les deux cl´es publiqueshID0=H(ID,0) ethID1=H(ID,1) ; – calcule w₀ =e(y, h_ID0)^r etw₁=e(y, h_ID1)^r;

– calculec₀ =g^r,c_0,1 = (m₀kr) ⊕ G(c₀, w₀),c_1,1 = (m₁kr) ⊕ G(c₀, w₁) ; – calcule la redondancef =F(m₀, m1, r,ID, c0, c0,1, c1,1).

Le chiffr´e c= (c0, c0,1, c1,1, f) est alors retourn´e.

Déchiffrement : Pour déchiffrer un chiffré c = (c₀, c_0,1, c_1,1, f) ∈ G1 × {0,1}^`m² ^+`^q× {0,1}^`m² ^+`^q × {0,1}^κ, l’utilisateur ID

– calcule w_b⁰

ID=e(c0, d_ID) ;

– retrouve une partie du messagem_b_ID et l’al´ear selonm_b_IDkr =c_b_ID_,1 ⊕ G(c₀, w_b⁰

ID) ; – calcule w_1−b⁰

ID =e(y,H(ID,1−b_ID))^r;

– retrouve la seconde partie du message m1−b_ID selon m1−b_IDkr⁰ = c_1−b_ID_,1 ⊕ G(c₀, w_1−b⁰

ID) ;

– si la redondancef =F(m0, m1, r,ID, c0, c0,1, c1,1) est satisfaite, le mes-sage m= (m₀, m₁) est retourn´e, sinon⊥ est renvoy´e.

aSi l’identitéIDa déjà re¸cu sa clé privée, la même clé lui est retournée.

Comme nous pouvons le voir, cette variante est plus efficace que le double chiffrement de la variante deJonathan KatzetNan Wang. En effet, un seul al´ea est n´ecessaire et surtout la taille

10.2. Preuve fine pour un schéma basé sur l’identité

des chiffrés est plus petite. Une comparaison complète est donnée en Section10.3.

10.2.2 Etude de la s´´ ecurit´e de ce sch´ema

Dans cette section, nous étudions la sécurité de la variante que nous proposons. Nous posons le théorème suivant, reposant sur le problème qh-LBDH (voir Définition13).

Théorème 14. Soit A un adversaire qui attaque la sécurité sémantique du schéma pr´ e-senté Section10.2.1, sous une attaque à messages et identités choisis, après avoir eu droit

aqhrequêtes à un oracle de hachage,qdrequêtes à un oracle de déchiffrement etqe requêtes

a un oracle d’extraction de clé, dans le modèle de l’oracle aléatoire. Soit ε l’avantage de A, etτ son temps d’exécution.

Alors il est possible d’utiliser cet attaquant pour résoudre le problème qh-LBDH, avec une probabilitéε⁰ et en un tempsτ⁰, tels que

ε⁰ > Adv^IND-ID-CCA(A)

4 −2^−`−1 .

τ⁰6τ+ 2q_dT_p+ (2q_e+q_h+ 3q_d)T_e

o`u Te est le temps pour calculer une exponentiation et Tp est le temps pour calculer un couplage.

Démonstration. La preuve de ce théorème est donnée sous forme de jeux successifs, à la manière développée à l’origine par Victor Shoup. Soit (g, y=g^x, g_α=g^α, g_β =g^β)∈G14 une instance aléatoire du problème LBDH. Soit ε_LBDH la probabilité que la réduction résolve le problème LBDHetεDL la probabilité que la réduction retrouve β. Nous posons y comme clé publique.

Jeu J0 : Ce jeu correspond à la définition du jeuIND-ID-CCA, tel que défini en Section8.3.2.

NotonsS0 l’événementb=b⁰ pour ce jeu, et Si l’événement similaire pour les jeux suivants J_i. Par définition, nous avons

Pr[S₀] = 1

2+Adv^IND-ID-CCA(A)

2 et τ₀=τ .

Les jeux suivants contiennent de nombreuses r`egles, pour chacune des ressources de l’atta-quant :

- requˆetes de hachage F(m₀, m₁, r,ID, c₀, c_0,1, c_1,1) ; - requˆetes de hachage G(v, w) ;

- requˆetes de hachage H(ID, b) ;

- requêtes d’extraction de clé de l’identitéID;

- requêtes de déchiffrement Decrypt(c0, c0,1, c1,1, f) pour l’identité ID; - challenge.

L’objectif des jeux suivants est de simuler les r´eponses de ces oracles.

Jeu J₁ : Le but de ce jeu est de simuler les oracles de hachage F etG, de fa¸con très simple, au moyen de listesL_F et L_G initialisées au départ de l’attaque à la liste vide.

I Requˆete de hachage F(m₀, m1, r,ID, c0, c0,1, c1,1)

- Si une valeur (m₀, m₁, r,ID, c₀, c_0,1, c_1,1, f) existe dans la liste L_F, la même réponse f est retournée ;

- Sinon, la réduction teste sig_β =g^r, auquel cas le logarithme discret deg_β en baseg est retrouvé par la réduction. Dans ce cas, la réduction s’arrête ; - Sinon, si g^r6=gβ, la réduction choisit aléatoirement f ← {0,1}^` et ajoute la

valeur (m0, m1, r,ID, c0, c0,1, c1,1, f) `a la listeL_F. La valeurf est retourn´ee.

I Requˆete de hachage G(v, w)

- Si une valeur (v, w, g) existe dans la listeL_G, la même réponsegest retournée ; - Sinon, la réduction choisit aléatoirement g← {0,1}^`m² ^+`^q et ajoute la valeur

(v, w, g) `a la listeL_G. La valeur gest retourn´ee.

Ce jeu est identique au jeu précédent, sauf si la réponse au problème DL (pouvant être trivialement transformée en réponse au challengeLBDH) est obtenue par la réduction :

Pr[S0]6Pr[S1] +DL et τ1=τ0+qFTe .

Jeu J2 : Dans ce jeu, nous simulons les oracles de hachageH, de fa¸con à faire que les requêtes d’extraction de clé deviennent simples à simuler à partir du jeu suivant. Pour cela, au début du jeu, la réduction tire une fonction aléatoire B :{0,1}^∗ → {0,1}, permettant de calculer, pour chaque identitéID, le bitbID=B(ID). Comme pour les fonctions de hachageF etG, la fonction de hachageH est gérée au moyen d’une listeL_H, prenant au départ la valeur vide.

I Requˆete de hachage H(ID, b)

- Si une valeur (ID, b, ?, h) existe dans la liste L_H, la même réponse h est retournée ;

- Sinon, si b=b_ID =B(ID), alors la réduction choisit aléatoirement t←Zq et poseh=g^t. La valeur (ID, b, t, h) est ajoutée à la liste L_H ethest retourné ; - Sinon, la réduction choisit aléatoirement t← Zq et pose h =gαt. La valeur

(ID, b, t, h) est ajoutée à la listeL_H eth est retourné.

Ce jeu est identique au jeu précédent, dans le modèle de l’oracle aléatoire : Pr[S₁] = Pr[S₂] et τ₂=τ₁+qHT_e .

Jeu J3 : Grâce au jeu précédent, il est maintenant possible, pour la réduction, de répondre aux requêtesExtract. Plus précisément, les réponses à ces requêtes sont maintenant simulées comme suit.

I Requête d’extraction de clé de l’identité ID

- La simulation calculebID=B(ID) puis demande la valeurH(ID, b_ID) `a l’oracle de hachage de la fonctionH;

- Ensuite, la r´eduction retrouve la valeur (ID, b_ID, t, h) dans la liste L_H, et calculedID=y^t;

- La cl´e (b_ID, d_ID) est alors retourn´ee.

Le bit bID est bien aléatoire et la clé est bien valide, c’est-à-dire telle que dID =H(ID, b_ID)^x. En effet,H(ID, b_ID) =g^tpar définition deHet deb_ID dans le jeu précédent. Aussi, les deux jeux J₂ etJ₃ sont parfaitement indistinguables :

Pr[S2] = Pr[S3] et τ3 =τ2+ 2qeTe .

10.2. Preuve fine pour un schéma basé sur l’identité

Jeu J4 : Dorénavant, notre but est de changer la fa¸con dont nous fabriquons le challenge, de fa¸con à inclure une partie de l’instance du problème LBDH. La première fa¸con, exposée dans ce jeu, est fictive, c’est-à-dire que nous supposons que la réduction connaˆıt la valeurβ. Dans le jeu suivant, nous verrons qu’il est possible de se passer de celle-ci.

I Challenge, pour deux messages (m_0,0, m_1,0) et (m_0,1, m_1,1) et une identit´e ID^? - La simulation calculeb^? =B(ID^?), et pose (m^?₀, m^?₁) = (m_0,b^?, m_1,b^?) ;

- Elle calcule les deux cl´es publiquesh_ID0 =H(ID^?,0) eth_ID1 =H(ID^?,1) ; - Elle prend comme al´ea r=β;

- Elle calculew0 =e(y, h_ID0)^β etw1 =e(y, h_ID1)^β;

- Elle calcule c^?₀ = g^β = g_β, c^?_0,1 = (m^?₀kβ) ⊕ G(c^?₀, w₀), c^?_1,1 = (m^?₁kβ) ⊕ G(c^?₀, w₁) ;

- Elle calcule la redondancef^? =F(m^?₀, m^?₁, β,ID^?, c^?₀, c^?_0,1, c^?_1,1) ; - Elle retourne le challengec^? = (c^?₀, c^?_0,1, c^?_1,1, f^?) `a l’adversaire.

Clairement, ce jeu est indistinguable du précédent, puisqueβ est bien un nombre aléatoire.

Pr[S₃] = Pr[S₄] et τ₄ =τ₃ .

Jeu J₅ : Dans ce jeu, nous changeons la fa¸con dont est fabriqu´e le challenge. Le but est de pouvoir calculer celui-ci sans avoir besoin de la valeurβ.

Premièrement, nous retournons un aléa f^? au lieu de f^? = F(m^?₀, m^?₁, β,ID^?, c^?₀, c^?_0,1, c^?_1,1) : ceci ne peut poser de problème, car depuis le jeuJ1, ce genre de requêtes ne peut plus être posé par l’adversaire.

Deuxièmement, au lieu des définitions du jeu précédent, nous retournons des aléas c^?_0,1 et c^?_1,1. Si les valeursG(c^?₀, w^?₀) et G(c^?₀, w^?₁) — où w₀^? =e(y,H(ID,0))^z et w^?₁ =e(y,H(ID,1))^z — n’apparaissent pas, ce jeu est indistinguable du précédent.

Le challenge est alors d´efini comme suit.

I Challenge, pour deux messages (m0,0, m1,0) et (m0,1, m1,1) et une identit´e ID^? - La simulation calculeb^? =B(ID^?) ;

- Elle posec^?₀ =gβ;

- Elle tire ´egalement al´eatoirement c^?_0,1 ← {0,1}^`m² ^+`^q, c^?_1,1 ← {0,1}^`m² ^+`^q et f^? ← {0,1}^`;

- Le challengec^?= (c^?₀, c^?_0,1, c^?_1,1, f^?) est retourn´e `a l’adversaire.

Les deux jeux J₄ et J₅ sont indistinguables, à moins que les valeurs G(c^?₀, w₀^?) ou G(c^?₀, w^?₁) n’apparaissent. Nous noterons cet événementBad_i dans les jeuxJ_i suivants :

Pr[S₄]6Pr[S₅] + Pr[Bad₅] et τ₅=τ₄ .

Comme le challenge ne dépend plus des messages choisis par l’attaquant, l’avantage de celui-ci est nécessairement nul, c’est-à-dire Pr[S₅] = ¹₂, et

Adv^IND-ID-CCA(A)62 Pr[Bad₅] + 2_DL .

La fin de la preuve consiste donc à borner la valeur de la probabilité Pr[Bad]. Pour cela, nous pouvons remarquer qu’il existe pour l’adversaire deux fa¸cons de connaˆıtre une des valeurs G(c^?₀, w^?₀) ouG(c^?₀, w₁^?) : soit en la demandant à l’oracle de hachageG(noté dans les jeux suivants

Aski), soit en la faisant intervenir dans un oracle de d´echiffrement (not´e dans les jeux suivants Coll_i).

Adv^IND-ID-CCA(A)62 Pr[Ask₅] + 2 Pr[Coll₅] + 2_DL . Jeu J₆ : Dans ce jeu, nous simulons l’oracle de d´echiffrement.

I Requête de déchiffrement Decrypt(c₀, c_0,1, c_1,1, f) pour l’identité ID - Sic₀ =c^?₀, la simulation retourne⊥, pour signifier que le message est invalide ; - Sinon, la simulation calcule b_ID = B(ID) et demande la valeur H(ID, b_ID) à l’oracle de hachage de la fonctionH. Ensuite, la réduction retrouve la valeur (ID, b_ID, t, h) dans la liste L_H, et calcule d_ID = y^t. Avec la clé (b_ID, d_ID), la simulation peut procéder à l’étape de déchiffrement telle que donnée dans la description du schéma, et retourner le résultat correspondant.

Ce jeu a été créé pour que, dorénavant, nous ayons Pr[Coll₆] = 0, c’est-à-dire pour que les valeursG(c^?₀, w₀^?) ouG(c^?₀, w^?₁) ne puissent être apprises grâce à l’oracle de déchiffrement. Ce jeu est indistinguable du précédent, sauf si l’adversaire est capable de former un chiffré valide avec un c₀=c^?₀. Calculons maintenant cette probabilité.

Pour qu’un chiffré (c^?₀, c_0,1, c_1,1, f) soumis par l’adversaire à l’oracle de déchiffrement soit un chiffré valide pour l’identité ID, il faut qu’il existe (m, r) = (m0km₁, r) ∈ M ×Zq, avec r =β, tel quef =F(m₀, m1, r,ID, c^?₀, c0,1, c1,1). Ainsi, l’adversaire pourrait avoir tenté de :

– deviner cette valeur f = F(m₀, m1, r,ID, c^?₀, c0,1, c1,1) sans la demander à l’oracle de ha-chage (avec, dans le modèle de l’oracle aléatoire, une probabilité de 2^−`) ;

– demander à l’oracle de hachage F, mais ceci est en fait impossible, car depuis le jeu J1, une telle valeur ne peut plus apparaˆıtre dans les requêtes de l’oracle de hachageF; – connaˆıtre f = F(m₀, m₁, r,ID, c^?₀, c_0,1, c_1,1) grâce au challenge — c’est-à-dire utiliser la

relation implicite (?, ?, z,ID^?, c^?₀, c^?_0,1, c^?_1,1, f^?) définie dans le jeuJ₅: ceci est impossible, car alors le chiffré soumis à l’oracle de déchiffrement serait précisément le chiffré du challenge, ce qui est interdit.

Aussi

Adv^IND-ID-CCA(A)62^−`+1+ 2 Pr[Ask6] + 2DL et τ6=τ5+qd(3Te+ 2Tp) .

Jeu J7 : Finalement, nous séparons l’événementAsk en deux : AskGood, pour lequel la valeur G(c^?₀, w_b^?

1−ID?) est demand´ee par l’attaquant et AskBad, pour lequel la valeur G(c^?₀, w_b^?

ID?) est demand´ee par l’attaquant. Clairement, Pr[Ask7]6Pr[AskBad7] + Pr[AskGood7].

De plus, comme le bit b_ID^? est indistinguable pour l’adversaire (que ce soit au niveau de l’extraction de cl´e ou de l’algorithme de d´echiffrement), Pr[AskBad7] = Pr[AskGood7], et

Pr[Ask7]62 Pr[AskGood7] . Remarquons que w^?_1−b

ID? vaut, par d´efinition,w^?_1−b

ID? =e(y, hID1−b_ID?)^β =e(g, g)^txαβ. Aussi, au cas où l’événementAskGood7 a lieu, la réduction peut retrouver (ID^?,1−b_ID^?, t, h) dans la liste L_H, calculer, pour chaque élément (w, g) de la liste L_G, la valeurw¹^t, et ainsi résoudre le problème q_h-LBDH.

En cons´equence,

Pr[Ask7]62_LBDH .

10.3. Comparaison des sch´emas

Dans le document Cryptographie à clé publique : Constructions et preuves de sécurité (Page 126-131)