Réduction forcée

Cette section introduit la réduction forcée et sa forme normale associée u^ pour un terme u quelconque. Il s’agit de la réduction obtenue en tenant compte seulement des destructeurs et des constructeurs, par exemple en déchiffrant un message chiffré, même si la clé utilisée n’est pas la bonne. La définition suivante formalise cette idée, pour toute théorie quasi-linéaire (Σ, R). Définition 2.4. Soit (Σ, R) une théorie quasi-linéaire. Soit `des → rdes ∈ R et des = root(`des). La règle de réduction forcée associée est `<sup>0</sup><sub>des</sub> rdes, où `⁰_des est obtenue à partir de `des en gardant seulement le chemin vers r dans `des. Formellement, `⁰_des est définie par :

1. `⁰_des= des(x₁, . . . , x_n) quand r est un terme clos ;

2. Sinon, notons p₀ l’unique position de `<sub>des</sub> telle que `_des|_p0 = r et p₀= 1.p⁰₀, `⁰_des est le terme linéaire tel que :

— pour chaque préfixe p⁰ de p0, root(`<sup>0</sup><sub>des</sub>|p0) = root(`des|p0) — `<sup>0</sup><sub>des</sub>|<sub>p0</sub> = r = `_des|_p0

— Pour toute autre position p⁰ de `<sup>0</sup><sub>des</sub>, `⁰_des|_p0 est une variable.

Rappelons que l’unicité de la position p0 telle que rdes = `des|p0 est garantie par la linéarité du terme t1. De plus, l’unicité de la règle associée à chaque destructeur impose que le système de réécriture forcée soit confluent ; il ne serait pas suffisant d’interdire les paires critiques, car la transformation qui associe les règles forcées aux règles de départ ne préserve pas cette propriété. Exemple 2.5. Reprenons la théorie standard (Σ<sup>std</sup><sub>n</sub> , R<sup>std</sup><sub>n</sub> ) de la section 1.1.7. Pour tous entiers i 6 n, les règles de réécriture forcée associées aux projections des tuples `projn

i → rprojn

i sont identiques à ces règles : `⁰_projn

i = `_projn

i. Les autres règles donnent :

adec(aenc(x, y), z)  x sdec(senc(x, y), z)  x getmsg(sign(x, y), z)  x check(x, y)  ok

Étant donné un ensemble R_f de règles de réécriture forcée, un terme u peut être réécrit par R_f s’il existe un sous-terme de u qui s’unifie avec le membre gauche de la règle. Formellement, on note u  v s’il existe une règle `  r ∈ Rf, une position p et une substitution σ tels que u|p = `σ et v = u[rσ]p. En particulier, contrairement à la réduction définie au chapitre précédent, la réduction forcée se produit même lorsque les sous-termes ne sont pas des messages. Comme toujours, nous noterons ^∗ la clôture réflexive-transitive de . Ce système de réécriture est convergent car il termine (chaque réduction supprime un destructeur) et n’a pas de paires critiques. La forme normale associée est notée u

.

Nous l’appliquerons aux recettes pour les simplifier et éviter les détours. Le lemme suivant démontre qu’un terme déduit par la recette R dans une trame φ donnée est identique à celui qui serait obtenu par la recette R

, pourvu que Rφ↓ soit un message.

Lemme 2.2. Soient φ une Σ0-trame et R une Σ0-recette telles que Rφ↓ est un Σ0-message. Si R⁰ vérifie R R⁰, alors R⁰ est une Σ0-recette, et R⁰φ↓ = Rφ↓.

Démonstration. Comme R  R⁰, il existe une position p dans R, une règle de réécriture forcée `<sup>0</sup>  r associée à une règle ` → r ∈ R, et une substitution σ telle que R|p = `<sup>0</sup>σ et R<sup>0</sup> = R[rσ]p. Comme Rφ↓ est un Σ0-message, (`⁰σ)φ↓ est un Σ0-message. Soient t⁰₁, . . . , t⁰_k et des ∈ Σd

tels que `<sup>0</sup> = des(t<sup>0</sup><sub>1</sub>, . . . , t<sup>0</sup><sub>k</sub>). On a (`⁰σ)φ = des((t⁰₁σ)φ, . . . , (t⁰_kσ)φ). Comme (`<sup>0</sup>σ)φ↓ est un Σ0 -message, ` → r s’applique, puisqu’il n’existe qu’une seule règle qui réduise des. On en déduit que des((t⁰₁σ)φ↓, . . . , (t⁰_kσ)φ↓) → (rσ)φ↓ et donc que (`⁰σ)φ↓ = (rσ)φ↓, d’où Rφ↓ = R⁰φ↓.

Dans les développements techniques, une partie du travail consistera à montrer qu’il est suffisant de considérer des recettes sous une forme simple, où la phase d’analyse (déduction de messages, essentiellement par des destructeurs) est séparée de la synthèse (ajout de termes constructeurs). Définition 2.5. Soit R une Σ0-recette. R est une recette de sous-terme si Rφ↓ ∈ St (φ) pour toute Σ0-trame φ telle que Rφ↓ est un Σ0-message. R est simple si R = C[R1, . . . , Rk], où C est un contexte (c’est-à-dire un terme à trous) construit sur Σc] Σ0, et chaque Ri est une Σ0-recette de sous-terme telle que root(Ri) /∈ Σc.

L’exemple suivant présente des recettes simples et des recettes de sous-terme, et illustre la différence entre ces dernières et des recettes composées de destructeurs.

Exemple 2.6. Si nous considérons la signature standard (Σstd n , Rstd

n ) définie dans la section 1.1.7, R = adec(w1, w2) est une Σ⁻₀-recette de sous-terme, car adec(w1, w2)φ↓ est un sous-terme de w1φ pour toute Σ⁻₀-trame φ telle que Rφ↓ est un Σ⁻₀-message. Comme adec n’est pas un constructeur, senc(R, w3) est une Σ⁻₀-recette simple. La recette check(w1, w2) n’est pas non plus une recette de sous-terme, et la recette ok est une recette équivalente du point de vue de la déduction de l’attaquant. Considérons maintenant la signature Σ = Σd] Σc avec Σd = {des} et Σc= {f ; g} et la règle

des(f(g(x))) → x

R⁰ = des(f(w1)) n’est pas composée uniquement de destructeurs, mais pour toute Σ⁻₀-trame φ telle que R⁰φ↓ est un Σ⁻₀-message, R⁰φ↓ est un sous-terme de w1φ. Donc R⁰ est une recette de sous-terme.

Il existe un lien entre la réduction forcée et les recettes simples : lorsqu’une recette est la recette d’un message, sa forme normale forcée est simple, comme le montre le lemme suivant, où les constantes de Σfresh sont remplacées par des Σ⁻₀-recettes.

Lemme 2.3. Soit θ une substitution avec dom(θ) ⊆ Σfresh et dont l’image est constituée de Σ⁻₀ -recettes. Soit R une Σ⁺₀-recette en forme normale forcée telle que (Rθ)φ↓ est un Σ⁺₀-message pour une certaine Σ⁻₀-trame φ. Toute Σ⁺₀-recette R⁰∈ St (R) est simple.

Démonstration. Ce résultat se démontre par récurrence sur R.

Initialisation. R ∈ W ] Σ⁺₀. Le résultat est vrai car R est une Σ⁺₀-recette simple.

Hérédité. R = f(R1, . . . , R_k) pour un certain f ∈ Σ. R₁, . . . , R_k sont en forme normale pour. — Cas f ∈ Σ_c. On a (Rθ)φ↓ = f((R₁θ)φ↓, . . . , (R_kθ)φ↓), et (Rθ)φ↓ est un Σ⁺₀-message pour

une certaine Σ⁻₀-trame φ, donc (R_iθ)φ↓ est un Σ⁺₀-message pour chaque i ∈ {1; . . . ; k}. La conclusion découle directement de l’application de l’hypothèse de récurrence à R_ipour chaque i.

— Cas f = des ∈ Σd. Soient `des → rdes la règle de R telle que root(`des) = des, et `⁰_des  rdes

la règle de réduction forcée associée. Si rdes∈ T0(Σc, ∅), alors R  rdes, ce qui est impossible car R est en forme normale pour. Donc il existe une unique position p0 de `des telle que `des|p₀ = rdeset p0= 1.p⁰₀. Rappelons que chaque Riest en forme normale pour, et (Riθ)φ↓ est un Σ⁺₀-message (pour 1 6 i 6 k) puisque (Rθ)φ↓ est un Σ⁺0-message. L’hypothèse de récurrence s’applique donc : tout sous-terme de Riest une Σ⁺₀-recette simple (pour 16 i 6 k). Supposons que R1est une Σ⁺₀-recette de sous-terme. Soit ψ une Σ⁺₀-trame telle que Rψ↓ est un Σ⁺₀-message. Comme rdes = `des|p0, Rψ↓ ∈ St (R1ψ↓) ⊆ St (ψ). On en déduit que R est une Σ⁺₀-recette de sous-terme, et donc une recette simple.

Nous avons traité le cas où R₁ est une recette de sous-terme. Supposons donc maintenant que R₁= C[R⁰₁, . . . , R⁰_k0] pour un certain contexte C construit sur les symboles de Σ_c] Σ+

0, où chaque R⁰_j (avec 16 j 6 k⁰) est une Σ⁺₀-recette de sous-terme telle que root(R⁰_j) /∈ Σ_c. Dans ce cas, R = des(C[R⁰₁, . . . , R⁰_k0], R₂, . . . , R_k), et p₀ne correspond pas à une position du contexte C puisque R est en forme normale pour . Soit p⁰ le plus long préfixe de p⁰₀ qui corresponde à une position de C. On a C[R⁰₁, . . . , R_k⁰0]|p0 = R⁰|jpour un certain j. Soit ψ une Σ⁺₀-trame telle que Rψ↓ est un Σ⁺₀-message. Alors Rψ↓ ∈ St (R⁰_jψ↓) ⊆ St (ψ) car R_j⁰ est une Σ⁺₀-recette de sous-terme. On en déduit que R est une Σ⁺₀-recette de sous-terme, et donc une recette simple.

Associé au lemme 2.2, le lemme 2.3 montre que l’on peut remplacer les recettes arbitraires par des recettes simples sans changer les capacités de déduction de l’attaquant, et que la réduction forcée nous permet de calculer la recette simple correspondant à la recette de départ.