Christine ne peut pas être convaincue parce que le protocole est interactif et elle n’est pas partie prenante du protocole. Pour convaincre Christine, et toute autre personne qui serait intéressée, on a besoin d’un protocole non interactif.
Des protocoles ont été inventés pour des preuves à divulgation nulle non interactives [1380, 204, 1381, 207]. Ces protocoles ne nécessitent aucune interaction; Patricia peut les publier et ainsi apporter la preuve à quiconque se donne la peine de la vérifier.
Le protocole de base est similaire à celui des preuves à divulgation nulle en parallèle, mais une fonction à sens unique prend la place de V ictor:
1° Patricia utilise son information et n nombres aléatoires pour transformer son problème difficile en n problèmes isomorphes différents. Elle utilise ensuite son information et les nombres aléatoires pour résoudre les n nouveaux problèmes difficiles.
2° Patricia met en gage les solutions aux n nouveaux problèmes difficiles.
3° Patricia utilise toutes ces mises en gage comme entrée à une fonction de ha
chage à sens unique. Après tout, les mises en gage ne sont rien d ’autre que des suites de bits. Elle sauve alors les n premiers bits du résultat de sa fonction de hachage à sens unique.
4° Patricia prend les n bits engendrés à l ’étape S. Pour chaque ie nouveau pro
blème difficile — suivant que le ie bit vaut0 ou 1 — elle exécutera l’une des deux étapes suivantes :
(a.)s’il vaut 0, elle prouve que l’ancien et le nouveau problèmes sont iso
morphes ;
(b ) s ’il vaut 1, elle dévoile la solution qu’elle a mise en gage à l’étape 2 et prouve que c ’est une solution du nouveau problème.
5° Patricia publie toutes les mises en gage de l’étape 2 ainsi que les réponses de l’étape
4-6° Victor, Christine, ou toute autre personne intéressée, vérifie que les étapes 1 à 5 ont été exécutées correctement.
C’est étonnant : Patricia publie des données qui ne contiennent pas la moindre infor
mation sur son secret et pourtant ces données peuvent être utilisées pour convaincre n’importe qui de l’existence du secret. On peut aussi utiliser le protocole pour des schémas de signature numérique en appliquant la fonction de hachage à sens unique à la fois aux messages initiaux et au message à signer.
Cela marche parce que la fonction de hachage à sens unique se comporte comme un générateur aléatoire non biaisé de bits. Pour que Patricia puisse tricher, elle devrait être capable de prédire le résultat de la fonction de hachage à sens unique. Rappelez- vous que si elle ne connaît pas la solution du problème difficile, elle ne peut répondre qu’à un des défis de l’étape 4 mais pas aux deux. Si elle arrivait à savoir d ’avance ce que la fonction de hachage à sens unique donnera, elle pourrait tricher. Toutefois, Patricia ne dispose d’aucun moyen pour forcer la fonction de hachage à sens unique à produire certains bits, ou pour deviner ceux qui seront produits. La fonction à sens unique remplace en fait Victor dans le protocole, en choisissant au hasard un des deux défis à l’étape 4.
Pour un protocole non interactif, il doit y avoir bien plus d’itérations « défi-réponse ».
Patricia, et non Victor, choisit les problèmes difficiles à l’aide de nombres aléatoires.
Elle peut prendre différents problèmes, donc différents vecteurs de bits de mise en gage,
jusqu’à ce que le résultat de la fonction de hachage à sens unique lui convienne. Pour le protocole interactif, 1 0 itérations sont suffisantes (cela donne une probabilité de 1
chance sur 2 10 = 1024 que Patricia puisse tricher). Pour le protocole non interactif ce n’est pas suffisant. Rappelons que Martin peut toujours relever un des deux défis à l’étape 4. Il peut essayer de deviner les défis qu’il devra relever à l’étape 4, effectuer les étapes 1 à 3, et regarder s’il a bien deviné. Dans le cas contraire, il peut répéter l’opération jusqu’à un coup de chance. Un ordinateur permet aisément de faire 1024 tentatives. Pour se prémunir de cette attaque exhaustive, les protocoles non interactifs requièrent 64 itérations, ou même 128, pour être valables.
C ’est là tout l’intérêt d’utiliser une fonction de hachage à sens unique: Patricia ne peut pas prédire la sortie de la fonction car elle ne peut pas prédire son entrée. Les mises en gage utilisées en entrée ne sont connues qu’après avoir résolu les nouveaux problèmes.
Généralités
Bl u m a prouvé que tout théorème mathématique peut être converti en un graphe tel que la preuve du théorème est équivalente à un circuit hamiltonien. On trouvera dans [623] une preuve du cas général statuant que tout problème N P admet une preuve à divulgation nulle si l’on admet l’existence des fonctions de hachage à sens unique et donc de bons algorithmes de chiffrement. De cette façon toute preuve mathématique peut être convertie en une preuve à divulgation nulle. Grâce à cette technique, les chercheurs peuvent prouver au monde entier qu’ils connaissent la preuve d’un théorème particulier sans rien révéler de celle-ci. En effect, Bl u m aurait pu publier ses résultats sans les dévoiler.
On distingue aussi les p reu v es à d iv u lg a tio n m inim ale. Dans une preuve à divul
gation minimale, les propriétés suivantes sont vérifiés :
- Patricia ne peut pas tromper V ictor: si Patricia ne connaît pas la preuve, ses chances de convaincre Victor sont négligeables.
Victor ne peut pas tromper Patricia. Il n’a pas le moindre indice concernant la preuve, à part le fait que Patricia connaît la preuve. En particulier, Victor ne peut faire la démonstration à personne sans d ’abord en faire la preuve par lui-même à partir de zéro.
Pour les protocoles de preuve à divulgation nulle, une propriété supplémentaire doit être vérifiée :
- Victor n’apprend rien de Patricia qu’il ne puisse apprendre par lui-même mis à part le fait que Patricia connaît le secret.
Il y a une différence notable entre les preuves à divulgation minimale et les preuves à divulgation nulle2. Ces concepts ont été présentés dans [628, 621, 624]. Des théories plus poussées, basées sur des concepts mathématiques différents ont été développées indépendamment dans [244, 323, 243].
2. C e sujet dépasse le cadre de ce livre mais le lecteur intéressé pou rra faire b o n usage de la bibliographie à la fin de cet ouvrage.
Il y a de plus différentes sortes de preuves à divulgation nulle :
- P a rfa ite. Il existe un simulateur qui donne des transcriptions ayant la même distribution que les transcriptions réelles3.
- P r o b a b ilis te . Il existe un simulateur qui donne des transcriptions ayant la même distribution que les transcriptions réelles, mis à part un nombre constant d ’ex
ceptions.
- C a lcu la to ire . Il existe un simulateur qui donne des transcriptions que l’on ne peut distinguer des transcriptions réelles.
- I n u t i l e . Un simulateur n’existe peut-être pas, mais on peut prouver que Victor n’apprendra jamais de la preuve une quantité polynomiale d ’information4.
Au fil des années, pas mal de recherches ont été effectuées, tant sur le plan théorique que sur le plan pratique, sur les preuves à divulgation minimale et à divulgation nulle.
Mike Bu r m e s t e r et Y vo De s m e d t ont inventé les p r e u v e s i n t e r a c t i v e s d i f f u s é e s , où un plaideur peut diffuser une preuve interactive à divulgation nulle à un grand groupe de vérificateurs [284]. Une horde de cryptographes a prouvé que tout ce qui peut être prouvé par une preuve interactive peut l’être aussi à l’aide d ’une preuve interactive à divulgation nulle [755, 122].
Un bon article général sur le sujet est [550]. Pour des détails mathématiques supplé
mentaires, des variantes, des protocoles et des applications consultez [592, 621, 244, 323, 623, 123, 245, 1536, 1561, 242, 593, 619, 511, 594, 217, 113, 219, 833, 104, 950, 624, 480, 617, 620, 218, 1379, 76]. On a écrit énormément sur le sujet.
5.2 Identification par preuve à divulgation nulle
Dans le monde réel, nous utilisons des objets physiques pour prouver notre identité : carte d’identité, passeport, permis de conduire, cartes de crédits, etc. Les documents contiennent quelque chose qui les rattache à une personne : une photo, généralement, mais ce pourrait tout aussi bien être une empreinte digitale, une empreinte rétinienne ou une radiographie dentaire. Ne serait-ce pas intéressant de fane la même chose nu
mériquement?
L’utilisation des preuves à divulgation nulle comme preuve d ’identité fut proposée pour la première fois par Uriel Fe i g e, Amos Fi a t et Adi Sh a m i r [568, 569]. La clef privée d’Alice devient fonction de son « identité ». Grâce à une preuve à divulgation nulle, elle prouve qu’elle connaît sa clef privée et ainsi par la même occasion prouve son identité.
On trouvera des algorithmes dédiés à cela au paragraphe 23.11.
Cette idée est vraiment efficace. Elle permet aux gens de prouver leur identité sans aucune évidence matérielle. Toutefois, ce n’est pas achevé. Voici quelques exemples d’abus.
3. C ’est le cas des problèm es du circuit ham iltonien et de l’ isom orphism e de graphes.
4. C ’est le cas de la preuve en parallèle.