Sécurité du schéma de signature contre un adversaire actif

Le but de cette section est de revisiter la preuve de robustesse d’origine conçue par Shoup pour couvrir le cas des modules RSA générés dans la section 3.4.3. La méthode utilisée permet de générer avec forte probabilité le groupe des carrés en prenant peu d’éléments au hasard.

Preuve de validité des parts de signature

SoitN un module tel queN = pq etp = 2p⁰ + 1 etq = 2q⁰ + 1 où p⁰ etq⁰ n’ont pas de petits facteurs premiers etpgcd(p−1, q−1) = 2. CommeQ_N est cyclique, il existe un générateurgdansQ_N. Alors, le logarithme discret en basegde n’importe quel élémentσi2 existe, oùσi = x^2∆di,∆ =n!, et x =H(m). Comme dans la section 15, notonsv₁, . . . , v_kunk-uplet d’éléments choisis au hasard dans (Q_N)^k tel qu’avec forte probabilité, cek-uplet génère le groupeQ_N en entier, d’ordreM = p⁰q⁰, i.e.

pour chaquex∈QN, il existe(a1, . . . , ak)∈[0, M[^ktels quex=Qk

i=1viai modN. Posonsvki =vi

pour touti∈[1, k].

Chaque serveur i possède un k-uplet de clés de vérification vk1,i = vk1di modN, . . . ,vkk,i = vk_k^di modN. Il calcule une part de signature,σi =x^2di∆modN, oùdiest lai-ième de la clé secrète det prouve que

log_vk1(vk1,i) =. . .= log_vkk(vk_k,i) = log_x^4∆(σi2)

Décrivons maintenant la preuve de “robustesse” et comme d’habitude, soit di ∈ [0, M[ les parts secrètes de la clé de chaque serveur, etAetB⁰deux entiers tels quelog(A)≥log(B⁰M h) +k2oùB⁰ etk₂ sont des paramètres de sécurité ethest le nombre de tours d’une version interactive de la preuve.

On fixe A = 2^L(N)+hL01+k2 etB⁰ = 2^L01. Finalement, k1 est un paramètre tel que la probabilité de tricher1/B^0h soit<1/2^k1,(k1 > hL⁰1). Alors que le paramètre de sécuriték1 contrôle la consistance et le caractère statistiquement zero-knowledge, le paramètre de sécuriték₂contrôle la significativité du protocole. Nous présentons le protocole pour un seul tour.

Le prouveur choisit un aléardans[0, A[, puis calculet= (v⁰₁, . . . , v⁰_k, x⁰) = (vk^r₁, . . . ,vk^r_k, x^4∆r). Soit elesb⁰ = log(B⁰)−1premiers bits de la valeur de la fonction de hachage

e= [H(vk1, . . . ,vkk, x^4∆,vk1,i, . . . ,vkk,i, σi2, v⁰1, . . . , v⁰k, x⁰)]b⁰

si nous notons[x]b⁰ lesb⁰ premiers bits dex. Ensuite, le prouveur calculezoùz = r+edi. La preuve est la paire(e, z)∈[0, B⁰[×[0, A[. Pour la vérifier, le vérifieur doit calculer si

e= [H(vk^? 1, . . . ,vkk, x^4∆,vk1,i, . . . ,vkk,i, σi2,vk1zvk1,i−e

, . . . ,vkkzvkk,i−e

, x^4∆zσi−2e

)]b⁰ (3.5) et vérifier si0≤z < A.

Analyse de sécurité de la preuve de robustesse Consistance.

Théorème 14. L’exécution du protocole entre un prouveur qui connaît le secret d_i et un vérifieur est réussi avec probabilité écrasante siB⁰M h/A est négligeable, oùhest le nombre de tours.

Preuve: Si le prouveur connaîtd_i ∈[0, M[et suit le protocole, il échoue seulement siz≥A. Pour toute valeur x ∈ [0, M[, la probabilité d’échec d’un tel événement pris sur l’ensemble des choix possibles

de r est inférieure à B⁰M/A. Par conséquent l’exécution de la preuve est réussie avec probabilité ≥

(1−^B_A^0M)^h ≥1−^B0_A^{M h}. ut

Significatif.On va montrer que la version interactive du schéma est sûre face à un vérifieur honnête, ce qui prouvera la sécurité de la version non-interactive en utilisant le lemme de bifurcation [151].

Lemme 4 Si le vérifieur accepte la preuve, avec probabilité ≥ 1/B⁰ +εoù ε est une quantité non-negligeable, alors en utilisant le prouveur comme une “boîte-noire” il est possible de calculerσetτ tels que|σ|< A, et|τ|< B⁰etvk1σ =vk1,iτ, . . . ,vkkσ =vkk,iτ, x^4∆σ =σi2τ.

Preuve: Si nous redémarrons l’adversaire et que nous obtenons deux preuves valides pour la même mise en gaget,(e, z)et(e⁰, z⁰), nous avons pouru = 1, . . . , ki.e. pour toutes les clés de vérification, vkur=vkuzvk^−e_u,i =vkuz⁰vk^−e_u,i⁰. Donc, nous obtenonsvkuσ =vku,iτ modN si nous fixonsσ =z⁰−z etτ =e−e⁰. Par conséquent nous pouvons écrirevk₁^σ =vk_1,i^τ, . . . ,vk_k^σ =vk_k,i^τ, x^4∆σ =σ_i^2τ. ut

Théorème 15. (Significatif)Faisons l’hypothèse qu’une machine de Turing probabiliste en temps polynomial P˜ soit acceptée avec probabilité non-negligeable. SiB⁰ < B,h× log(B⁰) = Θ(k₁), k = Θ(k₁/log(B))etlog(A)est un polynôme en k₁ etlog(N), nous pouvons montrer quex^4∆di =σ_i² et doncσ_iest une part de signature correcte.

Preuve: D’après le lemme précédent, nous pouvons faire comme hypothèse que nous avonsτ etσ tels quevk_u^σ =vk_u^diτpouru= 1, . . . , ketx^4∆σ =σ_i^2τ.

Alors, nous pouvons écrire x^4∆ avec l’ensemble de générateurs de QN car c’est un carré :x^4∆ = vk1β1×. . .×vk_k^βk.

Par conséquent, si nous élevons cette équation à la puissance σ, nous obtenonsx^4∆σ = vk₁^σβ1 × . . .×vkkσβk. Mais,x^4∆σ est égal àσi2τ etvk1σβ1 ×. . .×vkkσβk est égal à(vk1β1 ×. . .×vkkβk)^{τ di} carvkuσ =vkudiτ pouru= 1, . . . , k.

D’où,σ_i^2τ = (x^4∆)^{τ di} avec|τ|< B⁰. Nous pouvons simplifier cette équation parτ siτ est premier avecp⁰q⁰. Nous obtenons doncx^4∆di =σ_i² siB⁰ < B.

Soit π(k˜ 1)la probabilité de succès deP˜. Siπ(k˜ 1)est non-négligeable, il existe un entierctel que

˜

π(k₁) ≥ 1/k₁^c pour infiniment beaucoup de valeursk₁. La probabilité pourP˜ de générer une part de signature correcte alors que lesvk_igénèrent le groupeQ_N est plus grande queπ(k˜ ₁)−2×_k−1² ×_Bk−1¹

selon le résultat de la section 15 (Génération d’un groupe cyclique avec plusieurs éléments.). Donc si k= Θ(k₁/log(B)), pour infiniment beaucoup de valeursk₁,2×_k−1² × ¹

B^k−1 ≤1/3k₁^c.

De plus, pour k1 suffisamment grand,1/B^0h < 1/3k1c sih×log(B⁰) = Θ(k1). Donc en prenant ε = ˜π(k1)/3 dans le lemme 4 nous pouvons en conclure qu’il est possible d’obtenir (σ, τ) en temps

polynomialO(1/ε) =O(k₁^c). ut

Statistiquement Zero-Knowledge.

Preuve: De plus, nous pouvons prouver que siAest beaucoup plus grand queB⁰×N, le protocole ne donne statistiquement aucune information sur le secret. Dans le modèle de l’oracle aléatoire où l’atta-quant a un contrôle total des valeurs retournées par la fonction de hachageH, on définit lesb⁰ premiers bits de la fonction de hachageHau point

(vk₁, . . . ,vk_k, x^4∆,vk_1,i, . . . ,vk_k,i, σ_i²,vk₁^zvk_1,i^−e, . . . ,vk_k^zvk_k,i^−e, x^4∆zσ_i^−2e)

comme valant e. Avec probabilité écrasante, l’attaquant n’a pas encore défini l’oracle aléatoire en ce

point et l’adversaireAne peut pas détecter la fraude. ut

Génération d’un groupe cyclique avec plusieurs éléments

Dans cette section nous prouvons qu’avec forte probabilité nous pouvons générer le groupe des carrés Q_N en entier avec seulement quelques éléments pris au hasard.

Théorème 16. Avec probabilité supérieure à1−2×_k−1² ×_Bk−1¹ , unk-uplet(v₁, . . . , v_k) pris au hasard génèreQ_N.

Définissons d’abord quelques notations supplémentaires. Si (v₁, . . . , v_k) est unk-uplet de(Q_N)^k, nous utilisons la notationhv₁, . . . , vkipour représenter le sous-groupe deQN qui est généré par lesvi, i.e.,

hv₁, . . . , v_ki={x∈Q_N|∃(λ₁, . . . , λ_k)x=

k

Y

i=1

v^λ_iⁱ modN} Nous notons aussiζ(k)la fonction Zeta de Riemann définie parζ(k) = P+∞

d=1 1

d^k pout tout entier k≥2. SiN =q₁^e1 ×q₂^e2×. . .×q_j^ej, nous notons parϕ_k(N)la valeur

N^k×(1− 1

q₁^k)(1− 1

q₂^k). . .(1− 1 q_j^k)

qui est une généralisation de la fonction d’Euler dans le cas dekgénérateurs. Finalement, siN n’a pas de facteurs premiers inférieurs àB, nous définissonsζB(k)commeP+∞

d=B 1 d^k.

Nous pouvons aussi noter que ^p−1₂ et ^q−1₂ sont premiers entre eux. Pour trouver un générateurvde Q_N, nous devons trouver un élémentvtel que(v modp)génèreQ_p et(vmodq)génèreQ_q.

Estimons la probabilité quex∈Q_Nsoit un générateur deQ_N. La probabilité d’obtenir un tel nombre dépend de la factorisation dep⁰et deq⁰. Mais, même siM =p⁰q⁰n’a pas de petits facteurs, la probabilité d’obtenir un tel générateur n’est pas écrasante. En effet, si on tire un élémentv au hasard dansQ_p, la probabilité quevsoit un générateur deQ_pest

Pr = Pr

v∈Qp

[hvi=Qp] = ϕ(p⁰)

p⁰ = Y

pi≥B,pi|p−1

(1− 1 pi

)≤1− 1 p1

et sip₁ ≤2B, nous pouvons borner la probabilité par≤1− _2B¹ . La probabilité queB ≤p₁ ≤ 2Best égale à la probabilité quep⁰soit divisible par au moins un nombre premier dans[B,2B], donc

Prp1

[B ≤p₁ ≤2B] = X

B≤qi≤2B,qipremier

1 qi

≥ 1

2B ×(π(2B)−π(B))

si on note parπ(x)le nombre de nombres premiers entre2etx. SiB = 2¹⁶, avec probabilité≥1/23, Pr ≤1−₂¹₁₇, en fait avec probabilité1/17exactement. Par conséquent, nous ne pouvons pas dire que cette probabilité est écrasante.

Cependant, si nous nous permettons de prendre plusieurs éléments au hasard dansQN, alors le sous-groupe hv₁, . . . , v_ki est égal àQ_N avec forte probabilité. Un k-uplet (v1, . . . , v_k) est un ensemble de générateurs de Q_N si(v₁ modp, . . . , v_k modp)est un ensemble de générateurs de Q_p et si(v₁mod q, . . . , vk modq) est un ensemble de générateurs de Qq. Ainsi, le nombre de k-uplets de (QN)^k qui

génèrentQN est le nombre dek-uplets qui vu comme éléments de(Qp)^k génèreQp et qui vu comme éléments de(Q_q)^kgénèreQ_q.

Il y ap⁰ = ^p−1₂ éléments dansQ_p. Pour générer ce sous-groupe cyclique deZ^∗p (car un sous-groupe d’un groupe cyclique est un groupe cyclique), il y aϕ(p⁰)générateurs.

L’analyse faite par Poupard et Stern dans [157] peut être étendue dans notre contexte car elle est vraie en général dans tout groupe cyclique et pas seulement dansZ^∗p^e. Nous présentons tout d’abord un lemme préliminaire.

Lemme 5 Le nombre desk-uplets de(Qp)^kqui génèrentQpestϕ_k(p⁰).

Preuve: Soit(v₁, . . . , v_k)unk-uplet de(Q_p)^ketvun générateur deQ_p; pouri= 1, . . . , k, nous définis-sonsα_i∈Zp⁰ par la relationv^αi =v_imodp.

Nous remarquons d’abors que(v1, . . . , vk)génèreQpsi et seulement si l’idéal engendré parα1, . . . , αk

dans l’anneauZp⁰ est l’anneau tout entier. L’égalité de Bezout montre que cet événement se produisait si et seulement sipgcd(α₁, . . . , α_k, p⁰) = 1.

Comptons le nombre desk-uplets(α1, . . . , αk)∈(Qp)^ktels quepgcd(α1, . . . , αk, p⁰) = 1.

SoitQt⁰

i=1qifila décomposition en facteurs premiers dep⁰. Nous savons que pgcd(x,

t⁰

Y

i=1

qifi) = 1 ⇐⇒ ∀i≤t⁰, pgcd(x, qifi) = 1 ⇐⇒ ∀i≤t⁰, pgcd(xmodqifi, qifi) = 1 En utilisant le théorème des restes chinois, le problème se réduit à compter le nombre de k-uplets (β1, . . . , βk)de(Z_qifi)^ktels quepgcd(β1modqifi, . . . , βkmodqifi, qifi) = 1pouri= 1, . . . , t⁰. Les k-uplets qui ne vérifient pas cette relation pour un indice i fixé sont de la forme(qiγ1, . . . , qiγ_k) où (γ₁, . . . , γ_k)∈Z_qifi−1ket il y en a exactementq_i^k(fi−1).

Finalement, il y aQt⁰

i=1(q_i^kfi−q_i^k(fi−1))k-uplets de(Zp⁰)^ktels quepgcd(α₁, . . . , α_k, p⁰) = 1et ceci est égal àQt⁰

i=1ϕ_k(qifi) =ϕ_k(p⁰)carϕ_kest une fonction faiblement multiplicative. ut Maintenant, nous retournons vers la preuve du théorème 16. Voici quelques notations supplémen-taires : pour chaque entier x, Sx représente l’ensemble des indices itels que pi soit un facteur de x.

D’après le lemme précédent, nous savons que la probabilité pour qu’unk-uplet de(Q_p)^kgénèreQ_pest

ϕk(p⁰)

p^0k , notéepr = Q

i∈S_p01− _p¹

ik. L’inverse de chaque terme1− _p¹

ik peut être développé en série de puissance :(1−_p¹

ik)⁻¹ =P∞

j=0(1/pik)^j. La probabilitéprest un produit de puissances avec des termes positifs,pr= (Q

i∈S_p0

P∞ αi=0 1

piαik)⁻¹et par conséquent, nous pouvons distribuer les termes et obtenir quepr⁻¹ est la somme de1/d^k où dparcourt les entiers dont les facteurs premiers sont parmi lespi, i ∈ S_p⁰. Cette somme est inférieure à la somme non restreinte P∞

d=11/d^k = ζ(k). Finalement, nous obtenons quepr>1/ζ(k).

Dans notre cas, nip⁰niq⁰n’ont des petits facteurs premiers inférieurs àB, et ainsipr> _1+ζ¹

B(k). ζB(k) =

∞

X

d=B

1/d^k ≤ 1/B^k+ Z ∞

B

dx/x^k 1 +ζ_B(k) ≤ 1 +k−1 +B

k−1 × 1 B^k Comme pour toutx >−1,1/(1 +x)≥1−x, on a :

1

1 +ζ_B(k) ≤1− k−1 +B k−1 × 1

B^k

Par conséquent, le nombre dek-uplets de(Q_p)^kqui génèrentQ_pestϕ_k(p⁰)et Pr

(v1,...,vk)∈(Q_p)^k

[{hv₁, . . . , vki] =Qp}= ϕk(p⁰)

p^0k > 1

1 +ζB(k) ≤1−k+B−1 k−1 × 1

B^k Donc, avec probabilité supérieure à1−2×_k−1² × ¹

B^k−1, les k-uplets(v₁, . . . , v_k)génèrentQ_p et Q_q, et doncQ_N. Par exemple, aveck= 6etB = 2¹⁶, cette probabilité est supérieure à1−1/2⁸⁰.

Dans le document Le partage de clés cryptographiques : Théorie et Pratique (Page 101-105)