Relations entre les notions de s´ecurit´e

Les attaques essentielles sont l’attaque de base `a clairs choisis (CPA) et les plus puissantes

`a chiffr´es choisis (CCA1 et CCA2), d’o`u les relations partielles pr´esent´ees sur la figure 3 : la non-mall´eabilit´e entraˆıne la s´ecurit´e s´emantique, quel que soit le type d’attaque. De plus, dans le sc´enario des attaques `a chiffr´es choisis adaptatives, ces deux notions sont ´equivalentes. On parle alors de s´ecurit´eface aux attaques `a chiffr´es choisis.

2. Formalisation 37

IND-CPA IND-CCA1 IND-CCA2

NM-CPA NM-CCA1 NM-CCA2

-? ? ?

6 q

i

IND– Indistinguishability (s´ecurit´e s´emantique) NM – Non-Malleability

(non-mall´eabilit´e)

CPA – Chosen-Plaintext Attack CCA1– Chosen-Ciphertext Attack

(non-adaptative)

CCA2– Chosen-Ciphertext Attack (adaptative)

Fig. 3. Relations entre les notions de s´ecurit´e

Cette ´equivalence, ainsi que toutes les relations pr´esent´ees figure 3, sont prouv´ees dans l’ar-ticle [7] dont une version plus compl`ete est propos´ee en annexe (page 83). Dans la suite de ce chapitre, on en pr´esente quelques extraits.

Th´eor`eme 18 (NM=⇒IND). Si le sch´ema de chiffrement (K,E,D) est non-mall´eable (NM), alors il est s´emantiquement sˆur (IND), selon le mˆeme type d’attaque (ATK) :

Adv^ind−atk(t)≤2×Adv^nm−atk(t+T_E), o`u T_E d´esigne le temps n´ecessaire pour un chiffrement.

D´emonstration. On suppose que le sch´ema (K,E,D) est non-mall´eable. On montre alors qu’il est aussi s´emantiquement sˆur. Pour cela, on consid`ere un attaquant B= (B₁, B₂) contre la s´ecurit´e s´emantique, et on prouve que Adv^ind(B) est faible.

Soit l’adversaire A = (A₁, A₂) d´ecrit ci-dessous contre la non-mall´eabilit´e, qui a acc`es aux mˆemes oracles que B (selon le type d’attaque consid´er´ee) :

AlgorithmeA₁(pk) (x₀, x₁, s)←B₁(pk) M :={x₀, x₁} s⁰ ←(x₀, x₁,pk, s) Return(M, s⁰)

AlgorithmeA2(M, s⁰, y) o`us⁰ = (x0, x1,pk, s) d←B₂(x₀, x₁, s, y)

y⁰ ← Epk(x_d)

Return(R, y⁰) o`uR(a, b) = 1 ssia=b

Le mot b d´esigne b o`u tous les bits sont invers´es. La notation M := {x₀, x₁} signifie que la distribution produite parM retourne x0 ou x1, avec une probabilit´e identique (soit 1/2).

Remarque 19. On suppose que le couple (x₀, x₁) retourn´e par B₁ est toujours constitu´e de deux messages distincts, puisque la contribution `a l’avantage sur les ex´ecutions o`u x₀ =x₁ est parfaitement nulle. On pourrait donc modifier l’attaquant B sur ces ex´ecutions, en lui faisant retourner deux messages diff´erents, et en choisissant d al´eatoirement, sans d´egrader l’avantage.

On suppose donc par la suite que x₀ 6=x₁.

L’algorithme A₂ retourne (la description de) une relation R, qui pour toute entr´ee (a, b) est satisfaite (vaut 1) si et seulement si a= b, et n’est pas satisfaite (vaut 0) dans les autres cas.

On peut alors ´etudier l’avantage de l’attaquant A contre la non-mall´eabilit´e du syst`eme : Adv^nm(A) =

Succ^M(A)−Succ^$(A) , avec

Succ^M(A) = Pr

D´emonstration (du lemme 20). Si on regarde le fonctionnement de A2, on constate que R(x, x⁰) est vrai si et seulement siDsk(y) =x_d. On remarque ´egalement que lorsqueR(x, x⁰)

D´emonstration (du lemme 21).Ceci provient simplement du fait que l’attaquant n’a aucune information (mˆeme avec une puissance de calcul infinie) sur le message x^? auquel va ˆetre compar´ex⁰. Il peut s’agir dex₀ ou dex₁ avec une distribution uniforme. ut On peut alors combiner les lemmes 20 et 21 pour obtenir

Adv^ind(B) = 2· D’un autre cˆot´e, ces deux notions sont distinctes (on peut exhiber des sch´emas qui atteignent l’une des notions mais pas l’autre, voir l’article [7] ou la version compl`ete pr´esent´ee en annexe page 83) selon des attaques CPA et CCA1. En revanche, on peut montrer le th´eor`eme suivant dans le casCCA2.

Th´eor`eme 22 (IND-CCA2=⇒NM-CCA2).Si le sch´ema de chiffrement(K,E,D)est s´eman-tiquement sˆur contre les attaques `a chiffr´es choisis adaptatives (IND-CCA2) alors il est non-mall´eable selon cette mˆeme attaque (NM-CCA2) :

Adv^nm−cca2(t)≤2×Adv^ind−cca2(t+T_R), o`u T_R d´esigne le temps n´ecessaire pour ´evaluer la relation R.

D´emonstration. On consid`ere un sch´ema de chiffrement (K,E,D) s´emantiquement sˆur contre les attaques `a chiffr´es choisis adaptatives. On montre qu’il est ´egalement non-mall´eable.

Soit un attaquant B = (B₁^Dsk, B₂^Dsk) contre la non-mall´eabilit´e. Les deux ´etapes B₁ et B₂ ont acc`es `a l’algorithme de d´echiffrement, d’o`u la notation avec des oracles. On va montrer que Adv^nm(B) est n´egligeable. Pour cela, comme pr´ec´edemment, on construit un adversaire A= (A^D₁^sk, A^D₂^sk) contre la s´ecurit´e s´emantique.

2. Formalisation 39

Pour l’efficacit´e de la r´eduction, on voit qu’il est important que l’´evaluation de R soit efficace (polynomiale), ainsi que le tirage d’un ´el´ement selon la distributionM. L’avantage de l’attaquant A estAdv^ind(A) =|p(0)−p(1)| o`u, pourb∈ {0,1}, on d´efinit

On remarque que A₂ peut retourner 0, soit parce que x est en relation avec x₀, soit par tirage au sort. Alors, p(i) =p⁰(i) + 1/2×(1−p⁰(i)) : On peut aussi remarquer que l’ex´ecution deB₂, recevant un chiffr´e dex₁ et retournant unytel quexest en relation avecx0, d´efinit exactementSucc^$(B). D’un autre cˆot´e, s’il a re¸cu un chiffr´e de x₀, cela d´efinit Succ^M(B). Par cons´equent,

Adv^nm(B) =|p⁰(0)−p⁰(1)|= 2·Adv^ind(A).

u t Les th´eor`emes 18 et 22 conduisent donc `a l’´equivalence suivante selon les attaques `a chiffr´es choisis adaptatives.

Th´eor`eme 23. IND−CCA2⇐⇒NM−CCA2. 2.4 Discussions

On pourra remarquer que laone-wayness n’apparaˆıt pas sur le diagramme pr´esent´e figure 3.

En effet, cette notion de s´ecurit´e s’est r´ev´el´ee peu robuste : avec Olivier Baudron et Jacques Stern, l’auteur de ce m´emoire a r´ecemment montr´e que les propri´et´es de s´ecurit´e s´emantique et denon-mall´eabilit´e ´etaient conserv´ees mˆeme si l’on chiffrait simultan´ement un message sous plusieurs cl´es [4,6] (ce premier article est pr´esent´e en annexe, page 113). En revanche, la one-wayness d’un sch´ema dans le sc´enario classique ne se transpose pas au sc´enario multi-cast, comme le montre le contre-exemple de RSA, avec la c´el`ebre attaque par broadcast [60].

Bellare et Sahai [13] ont d’ailleurs montr´e que la notion de non-mall´eabilit´e pouvait s’expri-mer en terme d’indistingabilit´e, en consid´erant des attaques parall`eles. Cette nouvelle uniformi-sation est importante dans les preuves de s´ecurit´e, car l’indistingabilit´e des chiffr´es est beaucoup plus facile `a manipuler que la non-mall´eabilit´e.

Puisque IND-CCA2est le niveau de s´ecurit´e maximal, on cherche d´esormais `a construire des sch´emas de chiffrement qui le garantissent.

3 Le chiffrement RSA

Le chiffrement RSA pr´esent´e section 1.2 (voir la figure 2 page 34) apporte un niveau de s´ecurit´e minimal : il estOW-CPA, sous l’hypoth`ese RSA, ou plus pr´ecis´ement,

Succ^ow−cpa(t)≤Succ^rsa(t).

Il y a peu de chance d’obtenir un niveau de s´ecurit´e plus important :

– la s´ecurit´e s´emantique est exclue en raison du d´eterminisme de l’algorithme de chiffrement ; – les attaques `a chiffr´es choisis adaptatives permettent d’inverser le chiffrement en tout point,

`a cause de la propri´et´e homomorphique ;

– les oracles de validit´e —VCA— ou de v´erification du clair —PCA— sont sans int´erˆet.

Le niveau de s´ecurit´eOW-CCA1est cependant ouvert. Il ne repose pas sur l’hypoth`ese RSA, mais sur la difficult´e du one-more RSA : est-ce qu’un oracle RSA, accessible momentan´ement, peut servir `a r´esoudre une instance donn´ee ult´erieurement ?

L’auteur de ce m´emoire, en collaboration avec Mihir Bellare, Chanathip Namprempre et Michael Semanko (de l’Universit´e de Californie `a San Diego) a r´ecemment d´efini une hypoth`ese similaire [8] lors de l’analyse de s´ecurit´e de la signature en blanc de Chaum [26]. L’´etude de ce nouveau probl`eme est pr´esent´ee en annexe (page 162). Mais toutes deux sont des hypoth`eses plus fortes que la seule hypoth`ese RSA. En revanche, l’´equivalence entre le probl`eme RSAet la factorisation contredirait ces hypoth`eses.

Th´eor`eme 24. Si le probl`eme de la factorisation est ´equivalent au probl`eme RSA, alors le probl`eme du one-more RSA est facile.

D´emonstration. Une telle ´equivalence signifie qu’un oracle RSA permet de factoriser le module.

On peut alors calculer l’exposant de d´echiffrement, puis r´esoudre toute instance ult´erieure. ut 4 Le chiffrement de El Gamal

4.1 Description

En 1985, El Gamal [39] a propos´e un algorithme de chiffrement bas´e sur le probl`eme du logarithme discret, ou plus pr´ecis´ement sur le probl`eme Diffie-Hellman. Une description est donn´ee figure 4.

4.2 R´esultats de s´ecurit´e

Th´eor`eme 25. L’inversion (OW-CPA) du chiffrement de El Gamal est ´equivalente au probl`eme Diffie-Hellman Calculatoire :Succ^ow−cpa(t) =Succ^cdh(t).

D´emonstration. L’in´egalit´eSucc^ow−cpa(t)≥Succ^cdh(t) est ´evidente, on ´etudie alors la r´eciproque.

Soit une instance al´eatoire (A = g^a, B = g^b) du probl`eme Diffie-Hellman que l’on souhaite r´esoudre. On consid`ere un attaquant A contre la notion de s´ecurit´e OW-CPA : on note Game₀ le jeu r´eel que joue cet attaquant.

Game₀ : on ex´ecute l’algorithme de g´en´eration de cl´es qui retourney=g^x pour un xal´eatoire dans

q. Puis l’attaquant re¸coit un challenge (r = g^k, s = my^k), pour un message m ←^{R ?}p

al´eatoire. L’attaquant retourne m = s/y^k avec probabilit´e ε. On note cet ´ev´enement de succ`es S₀, ainsi queS_i dans les jeuxGame_i ci-dessous : Pr[S₀] =ε.

Game₁ : on modifie un peu le jeu r´eel, notamment le choix de la cl´e publique. Au lieu de prendre y =g^xcomme cl´e publique, on utilisey=A, ce qui revient `a prendrex=a. Les distributions dexety sont ainsi identiques `a celles du jeu pr´ec´edent puisqu’il s’agit d’une instance (A, B) al´eatoire : Pr[S₁] = Pr[S₀].

4. Le chiffrement de El Gamal 41

Soientp un nombre premier etg∈ ^?p. On noteG le groupe engendr´e parg.

– Donn´ees communes :p et g – Cl´e priv´ee d’Alice : x∈ p−1

– Cl´e publique d’Alice :y=g^xmodp

– Chiffrement : soitm un message `a chiffrer pour Alice.

Ce message mest cod´e comme un ´el´ement de ^?_p. Bob choisit un ´el´ement k∈ p−1 puis calcule

r=g^kmodp et s=y^k×mmodp.

Un chiffr´e de m est la paire (r, s).

– D´echiffrement : seule Alice est capable de retrouverm

`a partir du chiffr´e, grˆace `a sa connaissance de x.

En effet,

y^k=g^xk= (g^k)^x=r^xmodp Ainsi, m=s/r^x modp.

Fig. 4. Chiffrement de El Gamal

Game₂ : on modifie d´esormais la construction du challenge. Au lieu de prendre r = g^k, on utilise r=B, ce qui revient `a prendrek=b. La construction desreste inchang´ee :s=my<sup>k</sup>, pour un message m ←<sup>R ?</sup>p al´eatoire. La distribution de r est identique `a celle du jeu pr´ec´edent : Pr[S₂] = Pr[S₁].

Game₃ : enfin, au lieu de d´efinir s = my^k, pour un message m ←^{R ?}p al´eatoire, on choisit s ←^{R ?}p

al´eatoire. La structure de groupe fait que la distribution de s est uniforme dans les deux cas : Pr[S3] = Pr[S2].

On peut r´e´ecrire l’´ev´enement S₃ de la fa¸con suivante :

ε= Pr[S₀] = Pr[S₃] = Pr[s←^{R ?}p, a, b←^R p−1, y=g^a, r=g^b :A(y, r, s) =s/y^b]

= Pr[A, B ←^R G, s←^{R ?}p, y=A, r=B :A(y, r, s) =s/DH(A, B)].

La probabilit´e ε est donc born´ee par la probabilit´e de r´esoudre le probl`eme CDH, en le mˆeme

temps que l’ex´ecution de A. ut

Cet algorithme de chiffrement, contrairement aux sch´emas vus jusqu’`a pr´esent, a la particu-larit´e d’ˆetre probabiliste : il existe plusieurs chiffr´es possibles pour un mˆeme message clair, et ce en raison de l’al´ea k. Il permet d’esp´erer la s´ecurit´e s´emantique.

Th´eor`eme 26. Si les messages sont cod´es par des ´el´ements de G, groupe cyclique d’ordre q, la s´ecurit´e s´emantique (IND-CPA) du chiffrement de El Gamal est ´equivalente au probl`eme Diffie-Hellman D´ecisionnel, et Adv^ind−cpa(t)≤2×Adv^ddh(t).

D´emonstration. Comme ci-dessus, soit une instance al´eatoire (A = g^a, B = g^b) du probl`eme Diffie-Hellman D´ecisionnel, avec C ∈ G comme candidat. On consid`ere un attaquant A = (A₁, A₂) contre IND-CPA en tempst: on note le jeu r´eel Game₀.

Game₀ : on ex´ecute l’algorithme de g´en´eration de cl´es qui retourney =g^x pour unx al´eatoire dans

q. Sur y, A₁ retourne deux messages m₀, m₁ ∈ G. Sur le chiffr´e γ = (r, s) de m_δ, A₂ retourne son choix δ⁰. Avec probabilit´e (ε+ 1)/2, on a δ⁰ = δ. On note cet ´ev´enement de succ`es S0, ainsi que Si dans les jeuxGame_i ci-dessous : Pr[S0] = (ε+ 1)/2.

Game₁ : comme pr´ec´edemment, on modifie un peu le jeu r´eel, en utilisant y = A puis r = B, ce qui revient `a prendre x = a et k = b. La construction de s reste inchang´ee : s = m_δy^k.

Les distributions de x, y et r sont identiques, en raison de l’instance al´eatoire (A, B) : Pr[S₁] = Pr[S₀].

Game₂ : puis, au lieu de d´efinirs=m_δy^k, on d´efinits=m_δC, pourC =DH(A, B). Alors, Pr[S₂] = Pr[S₁].

Game₃ : maintenant, on remplaceC =DH(A, B) par un candidat C=g^c al´eatoire. Puisque l’´ev´ene-ment δ⁰ =δ est d´etectable, on peut d´efinir le distingueurD qui ex´ecute le mˆeme jeu que le Game₂, qui peut ˆetre effectivement le Game₂ ou le Game₃ selon queC =DH(A, B) ou non, ce que l’on ignore. Toujours est-il que le distingueur, `a la fin du jeu retourne 0 si δ⁰ 6=δ, et 1 siδ⁰ =δ :

Pr[1← D |C ←^R G] = Pr[S₃] et Pr[1← D |C =DH(A, B)] = Pr[S₂].

Ainsi,

| Pr[S₃]−Pr[S₂]| ≤Adv^ddh(D)≤Adv^ddh(t).

Enfin, il est ais´e de remarquer que Pr[S₃] = 1/2. On applique alors l’in´egalit´e triangulaire : ε

2 = 1 +ε 2 − 1

2 =| Pr[S₃]−Pr[S₀]| ≤Adv^ddh(t).

Donc l’avantage ε est born´e par deux fois l’avantage dans la d´ecision du probl`eme DDH, en le

mˆeme temps que l’ex´ecution deA. tu

Cependant, en raison de la propri´et´e homomorphe, la non-mall´eabilit´e est inaccessible, ni mˆeme la moindre s´ecurit´e face `a des attaques `a chiffr´es choisis adaptatives : si (r, s) est un chiffr´e dem, (r,2s) est un chiffr´e de 2m.

5 Conclusion

Dans ce chapitre, on a pr´ecis´e les notions de s´ecurit´e souhaitables pour garantir convenable-ment la confidentialit´e des communications. La s´ecurit´e s´emantique face aux attaques `a chiffr´es choisis adaptatives est ind´eniablement la notion de s´ecurit´e maximale que l’on puisse formaliser dans le mod`ele de s´ecurit´e consid´er´e (o`u les moyens de l’attaquant sont mod´elis´es par des oracles parfaits). Il ne faut pas pour autant voir ce niveau de s´ecurit´e comme superflu. En effet, des sc´enarios semblables `a ce type d’attaques sont parfaitement r´ealistes en pratique [65,15,66].

On a ´egalement pr´esent´e les deux sch´emas de chiffrement asym´etrique les plus classiques (RSA et El Gamal). Malheureusement, ils n’atteignent respectivement que les niveaux de s´ecurit´e OW-CPAetIND-CPA, et non le niveau d´esormais requis, `a savoir IND-CCA2. Le chapitre suivant

´etudie un certain nombre de techniques pour y parvenir.

Attaques ` a chiffr´ es choisis adaptatives

Sommaire

1 Le mod`ele de l’oracle al´eatoire . . . . 43 1.1 Notions de s´ecurit´e classiques . . . . 44 1.2 Plaintext-awareness . . . . 44 1.3 Discussions . . . . 45 2 Constructions g´en´eriques . . . . 46 2.1 Premi`ere construction g´en´erique . . . . 46 2.2 OAEP : Optimal Asymmetric Encryption Padding . . . . 48 2.3 REACT : Rapid Enhanced-security Asymmetric Cryptosystem Transform . . . . 48 2.4 Autres conversions g´en´eriques . . . . 50 3 Conclusion . . . . 51

1 Le mod`ele de l’oracle al´eatoire

On a vu que le niveau de s´ecurit´e souhaitable est la r´esistance aux attaques `a chiffr´es choisis.

N´eanmoins l’efficacit´e ne doit pas en pˆatir. Il semble malheureusement difficile d’obtenir des sch´emas efficaces, avec un niveau de s´ecurit´e IND-CCA2 prouv´e dans le mod`ele standard. On verra ult´erieurement un tel candidat [33], qui n’atteint toutefois pas une efficacit´e calculatoire importante.

Un compromis possible consiste `a faire certaines hypoth`eses sur les attaques mises en œuvre par les adversaires. Plusieurs hypoth`eses, qui supposent certains objets id´eaux, ont d´ej`a ´et´e propos´ees :

– le mod`ele du groupe g´en´erique [85,121,117], qui suppose que l’attaquant n’exploite pas les propri´et´es du codage des ´el´ements du groupe utilis´e. Par cons´equent, la loi interne du groupe est effectu´ee par l’interm´ediaire d’un oracleO(x, y,±). Et c’est le seul moyen qu’a l’adversaire pour obtenir un nouvel ´el´ement dans ce groupe ;

– le mod`ele du chiffrement id´eal [9], qui suppose qu’un sch´ema de chiffrement sym´etrique par blocs est parfait. Cela signifie que pour chaque cl´e k, on a affaire `a une permutation parfaitement al´eatoire, ind´ependante des autres. Comme pr´ec´edemment, les fonctions de chiffrement et de d´echiffrement sont mod´elis´ees par des oraclesE(k, x) etD(k, y) ;

– le mod`ele de l’oracle al´eatoire [10] (voir le chapitre Preuves de s´ecurit´e, section 4).

Dans ce mod`ele, les fonctions de hachage sont des fonctions al´eatoires, mod´elis´ees par des oracles qui retournent des images H(x) parfaitement al´eatoires, ind´ependantes les unes des autres.

Ainsi, l’attaquant a acc`es `a divers oracles suppl´ementaires, en fonction du mod`ele consid´er´e : aucun oracle dans le mod`ele standard, oracle de loi interneOdans le mod`ele du groupe g´en´erique, oracles de chiffrement E et d´echiffrement D dans le mod`ele du chiffrement id´eal, et oracle de hachage H (ou oracle al´eatoire ) dans le mod`ele de l’oracle al´eatoire.

Ce dernier mod`ele est le plus faible des trois, et donc le plus proche de la r´ealit´e, mˆeme si dans la pratique les fonctions de hachage sont fix´ees. Ce mod`ele revient `a ne consid´erer que les attaques g´en´eriques, ind´ependantes de l’impl´ementation des fonctions de hachage. Ainsi, pour attaquer un sch´ema prouv´e dans ce mod`ele, un adversaire devra exploiter des propri´et´es sp´ecifiques aux fonctions de hachage utilis´ees. Mais alors, le simple changement de la fonction de hachage rendra cette attaque inefficace. Dans la suite, on ne consid`ere donc que ce mod`ele de l’oracle al´eatoire, comme compromis pour ´evaluer la s´ecurit´e de sch´emas efficaces. N´eanmoins, une preuve dans le mod`ele du groupe g´en´erique est propos´ee dans l’article [103], pr´esent´e en annexe (page 241).

Comme on vient de le voir, dans ces mod`eles id´eaux, les oracles sont `a ajouter `a l’espace de probabilit´es dans lequel sont d´efinies les notions de s´ecurit´e. On peut donc red´efinir les notions pr´esent´ees dans le chapitre pr´ec´edent, afin d’en tenir compte, avec notamment l’oracleHdans le mod`ele de l’oracle al´eatoire. Bellare et Rogaway [11] ont ´egalement propos´e une nouvelle notion, appel´ee plaintext-awareness, qui n’a d’ailleurs de sens que dans un tel mod`ele id´eal `a oracle, grˆace `a la liste des questions-r´eponses de l’oracle.

1.1 Notions de s´ecurit´e classiques

Dans cette sous-section on va se focaliser sur les notions utiles par la suite, soit la one-wayness (OW) et la s´ecurit´e s´emantique (IND). Dans les deux cas, l’attaquant a acc`es `a un oracle O correspondant aux moyens mis `a sa disposition :

– un oracle VCO de v´erification de validit´e d’un chiffr´e, ouValidity Checking Oracle; – un oracle PCO de contrˆole d’ad´equation entre un clair et un chiff´e, ouPlaintext Checking

Oracle;

– ou l’oracle de d´echiffrement D.

Il a de plus acc`es, tout comme les algorithmesE et D, `a l’oracle al´eatoire H.

Le succ`es d’un attaquant, quel que soit le type de l’attaque caract´eris´ee par l’oracleO, contre laone-wayness dans le mod`ele de l’oracle al´eatoire est donc d´efini de la fa¸con suivante :

Succ^ow(A^O) = Pr

H,m,r

h(pk,sk)← K(1^k) :A^O,H(pk,Epk^H(m;r)) =mi .

De mˆeme, l’avantage d’un attaquant contre la s´ecurit´e s´emantique peut ˆetre exprim´e par : Adv^ind(A^O) =

Pour atteindre la s´ecurit´e face aux attaques `a chiffr´es choisis adaptatives, il suffit de faire en sorte que l’oracle de d´echiffrement n’apporte aucune information `a l’attaquant. Pour cela, Bellare et Rogaway [11] ont d´efini la notion deplaintext-awareness. Intuitivement, cette notion signifie que toute personne qui soumet un chiffr´e valide `a l’oracle de d´echiffrement connaˆıt d´ej`a le texte clair associ´e. Ainsi, la r´eponse de cet oracle ne lui apprend rien !

La d´efinition initiale ´etait malheureusement erron´ee, car elle ne tenait pas compte de l’infor-mation que pouvait apprendre un attaquant avec le chiffr´e re¸cu comme challenge. La d´efinition a

´et´e am´elior´ee dans l’article [7] dont une version plus compl`ete est propos´ee en annexe (page 83).

Comme pour les preuves de connaissance (notamment les preuves zero-knowledge [54]), la notion de connaissance est formalis´ee par l’existence d’un extracteur. Dans le cas pr´esent, la connaissance du clair est exprim´ee par l’existence d’un plaintext-extractor PE. En d’autres termes, il existe unplaintext-extractor, qui n’est rien d’autre qu’un bon simulateur de l’oracle de d´echiffrement, sans acc`es `a la cl´e de d´echiffrement, mais grˆace `a la liste des questions-r´eponses de l’oracle al´eatoire.

L’attaquant a alors acc`es `a la cl´e publique et `a l’oracle al´eatoire H, dont les questions-r´eponses sont stock´ees dans laListe<sub>H</sub>. Apr`es un certain nombre d’interactions avec cet oracle, il produit un chiffr´ec, dont il souhaite connaˆıtre le clair (s’il existe). ´Etant donn´e ce chiffr´e c, PE tente de trouver le message clair associ´e, grˆace aux informations contenues dans la Liste_H. Si aucun message clair n’est trouv´e, PE retourne⊥. On esp`ere quePE retourne la bonne r´eponse (le clair si le chiffr´e est valide, ou⊥sinon) avec probabilit´e ´ecrasante. Cette probabilit´e est not´ee

Succ^wpa(PE) = Prh

(pk,sk)← K(1^k),(y,Liste_H)←run^AH(pk) :PE(y,Liste_H) =Dsk^H(y)i . Il s’agit ici de la d´efinition initiale de Bellare et Rogaway [11], appel´ee ult´erieurement weak plaintext-awareness (WPA). En effet, cette d´efinition n’est pas suffisante pour garantir la s´ecurit´e

1. Le mod`ele de l’oracle al´eatoire 45

1. Le mod`ele de l’oracle al´eatoire 45

Dans le document Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee (Page 48-0)