Quelques questions

Si la description du probl`eme apparaˆıt jusqu’`a pr´esent comme plutˆot simple, elle am`ene imm´ediatement diverses questions cruciales :

1. Un adversaire est-il un utilisateur r´evoqu´e, ou une coalition de tous les utilisateurs r´evoqu´es pour un message donn´e ?

2. Y a-t-il un seul ´emetteur capable de diffuser des messages vers les utilisateurs, ou n’importe qui doit-il pouvoir le faire ?

Introduction `a la diffusion 65 3. Un utilisateur est-il capable de m´emoriser et d’utiliser durablement des cl´es cal-cul´ees `a partir de transmissions re¸cues, ou ne peut-il utiliser que des cl´es qui ont lui ont ´et´e initialement donn´ees ?

4. L’ensemble privil´egi´e est-il fixe ou ´evolue-t-il tr`es significativement, d’un message diffus´e au message suivant ?

5. Le nombre des utilisateurs privil´egi´es est-il petit par rapport `a n, ou est-il au contraire proche den?

La premi`ere question est probablement la plus facile `a traiter : si l’utilisation conjointe des moyens cryptographiques de deux utilisateurs r´evoqu´es pour un chiffr´e donn´e suffisait `a obtenir le message associ´e, cela constituerait une faiblesse probable-ment inacceptable en pratique. Les premi`eres solutions propos´ees, dans [FN93] notam-ment, utilisent un param`etre qui correspond `a la taille maximale des coalitions envi-sag´ees. Les travaux les plus r´ecents, comme par exemple [BW06], s’efforcent cependant d’apporter une robustesse face `a des coalitions de toutes tailles.

La deuxi`eme question est classique en cryptographie, et revient `a demander si la fonctionnalit´e demand´ee doit ˆetre sym´etrique ou asym´etrique. En effet, s’il existe un seul ´emetteur, on peut_«faire confiance_» `a cet ´emetteur, et partager des cl´es secr`etes sym´etriques entre cet ´emetteur et chacun des utilisateurs. En revanche, si n’importe quel utilisateur ou intervenant ext´erieur doit pouvoir diffuser des messages, adapter la m´ethode pr´ec´edente revient `a demander `a chaque utilisateur de stocker des cl´es ind´ependantes pour chaque ´emetteur possible, ce qui devient rapidement inconcevable lorsque le nombre de ces ´emetteurs augmente : il faut donc avoir recours `a de la cryp-tographie asym´etrique, afin de mettre `a disposition de tous des cl´es publiques pour diffuser les messages.

Les trois derni`eres questions conduisent `a deux approches radicalement diff´erentes du probl`eme : la premi`ere bas´ee sur le partage permanent de cl´es entre les utilisa-teurs privil´egi´es, cl´es qui ´evoluent en mˆeme temps que l’ensemble privil´egi´e ; l’autre bas´ee sur une distribution initiale de cl´es de d´echiffrement fig´ees suivant une structure particuli`ere.

3.1.2.1 Utilisateurs `a m´emoire

On appelle utilisateurs `a m´emoire (stateful receivers) des utilisateurs capables de m´emoriser et d’utiliser pendant de longues p´eriodes de temps des cl´es qui leur sont transmises via des messages (n´ecessitant ou non une phase de calcul). Avec de tels utilisateurs, on peut envisager transmettre de mani`ere s´ecuris´ee une cl´e de d´echiffrement commune aux utilisateurs privil´egi´es, et utiliser cette cl´e pour diffuser des messages tr`es efficacement.

Par contre, il faut renouveler cette cl´e d`es lors qu’un utilisateur jusque l`a r´evoqu´e devient privil´egi´e, ou inversement : lorsque l’ensemble privil´egi´e ´evolue, il faut g´en´erer et distribuer une nouvelle cl´e `a l’ensemble des nouveaux utilisateurs privil´egi´es.

66 Diffusion par groupes

Une telle strat´egie est particuli`erement adapt´ee lorsque l’ensemble privil´egi´e est fig´e ou ´evolue faiblement : on peut alors accepter un coˆut potentiellement ´elev´e lors de modifications de cet ensemble, si l’envoi des messages est tr`es efficace. L’un des inconv´enients majeurs de cette approche est que les utilisateurs doivent potentiellement ˆetre en permanence en ligne et `a l’´ecoute de tous les messages ´emis : en effet, les mises `

a jour des cl´es sont envoy´ees ponctuellement, et si un utilisateur _«manque_» l’une de ces mises `a jour, il peut perdre sa capacit´e `a d´echiffrer les transmissions ´emises, mˆeme s’il fait toujours partie de l’ensemble privil´egi´e.

Les techniques de renouvellement des cl´es (et par cons´equent les sch´emas qui en d´ecoulent) sont en g´en´eral plus efficaces lorsque les utilisateurs privil´egi´es sont peu nombreux.

3.1.2.2 Utilisateurs sans m´emoire

On appelle utilisateurs sans m´emoire (stateless receivers) des utilisateurs qui ne peuvent pas faire ´evoluer leur ´etat interne : ils ne peuvent utiliser `a long-terme que des cl´es qui leur ont ´et´e initialement fournies. Cette situation a ´et´e d´efinie dans [NNL01], `a la suite des travaux pr´esent´es dans [KRS99, GSW00] qui proposent des sch´emas o`u les ´etats internes des utilisateurs ne sont modifi´es qu’apr`es des modifica-tions importantes et durables de l’ensemble privil´egi´e. La distribution initiale des cl´es joue donc un rˆole primordial, et la diffusion doit donc reposer sur une structure parti-culi`ere de ces cl´es ; structure qui ne peut ´evoluer en fonction de l’ensemble privil´egi´e. Cette structure peut porter sur la distribution bien choisie de cl´es ind´ependantes, mais ´egalement sur le choix de cl´es corr´el´ees (par le biais de fonctions de d´erivation de cl´es, ou d’´equations alg´ebriques) : certains sch´emas font d’ailleurs appel `a ces deux techniques simultan´ement.

Dans un tel contexte, la diffusion d’un message est plus complexe (et coˆuteuse) qu’un simple chiffrement. `A chaque nouvelle ´emission, il faut repartir de la structure initialement construite, que l’ensemble des utilisateurs privil´egi´es ait fortement ´evolu´e ou pas. On n’a donc pas de relation de proximit´e d’un ensemble privil´egi´e par rapport `

a l’ensemble privil´egi´e qui le suit : on ne peut pas b´en´eficier d’une quelconque struc-ture commune entre eux, et `a l’inverse on ne perd pas en efficacit´e `a devoir changer radicalement d’ensemble privil´egi´e.

On peut n´eanmoins envoyer efficacement des messages assez longs pour un ensemble privil´egi´e fixe, en utilisant un chiffrement hybride¹ : on consid`ere en effet que mˆeme si un utilisateur sans m´emoire ne peut stocker sur une p´eriode de temps non-d´efinie une cl´e non fournie initialement, il a quand mˆeme la capacit´e d’enregistrer une cl´e

1Le chiffrement hybride consiste pour l’´emetteur `a envoyer une cl´e de d´echiffrement et un long message chiffr´e pour cette cl´e : un destinataire peut obtenir la cl´e de d´echiffrement et l’utiliser pour obtenir le long message. Cette technique est sp´ecifiquement int´eressante quand le chiffrement disponible entre l’´emetteur et le destinataire est coˆuteux (temps de transmission, calculs) : seule une cl´e est transmise par ce biais, et une autre technique de chiffrement, beaucoup plus efficace, est utilis´ee pour chiffrer le contenu proprement dit. On utilise en particulier le chiffrement hybride de mani`ere quasi-syst´ematique pour envoyer un contenu long avec de la cryptographie asym´etrique.

Introduction `a la diffusion 67 calcul´ee `a partir d’une transmission et de l’utiliser successivement sur les parties d’un long message. En revanche, cette cl´e ne peut ˆetre conserv´ee apr`es la transmission de ce message.

De tels sch´emas sont donc particuli`erement adapt´es lorsque l’ensemble privil´egi´e change fr´equemment et de mani`ere importante. L’efficacit´e d’un sch´ema d´epend de la structure choisie des cl´es initiales. Le cas d’un faible nombre d’utilisateurs r´evoqu´es peut par exemple ˆetre assez favorable dans certains sch´emas.