Signature num´erique - Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee

Une signature numérique doit prouver l’identité de l’émetteur d’un message, et garantir la non-répudiation. Le cryptosystème RSA permet également la signature d’un message. En effet, en inversant les mécanismes, c’est-à-dire que le déchiffrement du message, qui est accessible uni-quement à qui connaˆıt la factorisation du module, devient le procédé de signature. En revanche, le chiffrement étant public, en chiffrant la signature produite, tout le monde doit retomber sur le message. Étant donné que seul celui en possession de la clé privée peut signer (en raison de la difficulté du décryptement), une signature valide ne peut être attribuée à personne d’autre, ce qui garantit la non-répudiation. La capacité à déchiffrer avec RSA prouve la connaissance de la clé privée.

Comme fait avec le schéma de Schnorr, toute preuve interactive de connaissance peut être rendue non-interactive, afin de garantir toutes les propriétés souhaitées pour un schéma de

4. Les preuves de s´ecurit´e 7

signature. Les États-Unis ont normalisé une variante du schéma de signature de Schnorr, sous le nom de DSA (Digital Signature Algorithm) [86]. Puis récemment, une norme a adopté une version sur les courbes elliptiques [1,87].

4 Les preuves de s´ecurit´e

Malheureusement, bien que ces deux normes reposent sur le logarithme discret, aucune preuve ne garantit qu’un fraudeur n’a d’autre solution que de casser le probl`eme du logarithme discret.

Suite à de nombreuses attaques de schémas (aussi bien de signature que de chiffrement) basés sur des problèmesa priori difficiles, qui exploitaient des faiblesses dans la construction globale, ces dernières années, la tendance générale des travaux en cryptologie est d’apporter des preuves de validité de la construction.

Ainsi, on montre qu’un attaquant, pour effectuer une fraude, n’a pas d’autre moyen que de résoudre le problème mathématique sous-jacent. Pour cela, on présente une réduction d’une instance du problème mathématique en une attaque du système : un attaquant peut être utilisé comme sous-programme pour résoudre le problème mathématique (la factorisation, le logarithme discret, etc).

On tente ainsi de répondre de fa¸con effective au principe de Kerckhoffs sur l’inattaquabilité matérielle, sinon mathématique . Un certain nombre de schémas répondent déjà à ce principe, sous réserve de l’impossibilité matérielle de résoudre certains problèmes bien identifiés en temps raisonnable.

Remarque 1. Les preuves de sécurité pour les schémas d’authentification (identification inter-active, et signature) ont été traitées dans la thèse de doctorat [100]. Le présent mémoire traite essentiellement des preuves de sécurité pour le chiffrement asymétrique.

5 Les infrastructures de gestion de cl´es

La combinaison de la cryptographie symétrique/asymétrique répond à de nombreux besoins, notamment sur Internet, d’authenticité et de confidentialité. Un certain nombre de normes ont d’ailleurs été établies pour appliquer les techniques de chiffrement et de signature au courrier

électronique, aux sessions sécurisées du WEB (SSL, Secure Socket Layer), aux protocoles TCP et IP. Elles nécessitent alors la gestion de plusieurs millions de clés publiques.

Le statut de la clé privée est clair, puisque chaque utilisateur doit la conserver en lieu sûr.

En revanche, comment lier une clé publique à son propriétaire ? La réponse apportée par la cryptographie est la signature : il suffit de faire signer l’ensemble identité-clé publique par une autorité, possédant une clé publique. Cette dernière est elle-même signée avec l’identité de cette autorité par une autorité supérieure, etc. En bout de chaˆıne, on fait appel à une clé publique de niveau hiérarchique maximal, connue des navigateurs. Cette suite de signatures est appelée certificat : une infrastructure de gestion de clés publiques doit donc gérer le cycle de vie des clés et des certificats, de leur génération à l’expiration, en tenant compte de la révocation. Cette dernière implique la mise à jour de bases de données contenant la liste des clés invalides, laliste de révocation des certificats (ou CRL, Certificate Revocation List). Cette nouvelle technologie, les PKI (Public Key Infrastructure), est urgente à mettre en place. Elle est indispensable pour profiter pleinement des garanties apportées par les schémas cryptographiques, et notamment la non-répudiation, si importante pour des transactions électroniques.

6 Conclusion

En aurait-on fini avec les problèmes de sécurité, grâce à la cryptographie ? Malheureusement, pas encore ! Même si nombre de problèmes admettent dorénavant des solutions, elles restent

souvent partielles. En effet, avec la cryptographie asymétrique et les preuves de sécurité, le niveau de sécurité devient quantifiable, ce qui est d’ailleurs le sujet de ce mémoire. Cependant de nombreuses questions sont encore ouvertes :

– les preuves de sécurité relèvent d’une approche récente, et donc de nombreux problèmes sont encore sans solution prouvée ;

– pour des raisons d’efficacité du protocole final, la plupart des preuves de sécurité font des hypothèses sur certains objets, et donc sur les attaquants. Ainsi, trouver des protocoles pratiques avec des preuves complètes de sécurité reste un défi ;

– même avec des hypothèses assez fortes, la cryptographie asymétrique prouvée reste coˆ uteu-se sur des dispositifs portables de faible puissance de calcul, tels que les cartes à puce. L’ef-ficacité reste donc un objectif majeur pour permettre l’introduction de la cryptographie, et donc de la sécurité, à tous les niveaux ;

– la sécurité inconditionnelle , sans hypothèse mathématique et sans limite calculatoire de l’attaquant, est impossible (résultat de Shannon). Ainsi, la plupart des protocoles cryp-tographiques à clé publique reposent sur la factorisation ou le logarithme discret. Des alternatives à la théorie des nombres sont nécessaires pour pallier un éventuel algorithme révolutionnaire de factorisation. Quelques tentatives ont vu le jour, mais n’ont pas encore réellement convaincu.

La cryptographie moderne a donné un nouvel élan à la cryptographie conventionnelle. Une théorie a commencé à se développer, permettant de prouver la sécurité du chiffrement symétrique contre certains types d’attaques [130,131]. Mais il ne s’agit que d’un début de théorie, importante

à développer pour compléter les schémas asymétriques prouvés.

Toutes les applications appelées à se développer sur Internet, telles que le commerce électro-nique ou le vote électroélectro-nique, posent de nouveaux problèmes de sécurité, notamment l’anonymat.

La cryptographie peut également répondre à ces besoins, mais la complexité des protocoles mis en jeu est de plus en plus grande. La sécurité effective devient alors très délicate à étudier. Le formalisme présenté dans ce mémoire permet de simplifier les preuves et donc d’envisager d’aller plus loin dans les schémas analysables et prouvables.

Preuves de s´ ecurit´ e

Sommaire

1 Introduction . . . . 9

2 La sécurité prouvée . . . . 9

2.1 Les fonctions `a sens-unique, `a trappe . . . . 9

2.2 La génération des clés et le système cryptographique . . . . 11

2.3 Les notions de s´ecurit´e . . . . 11

2.4 Les r´eductions . . . . 12

3 Probl`emes difficiles et r´eductions efficaces . . . . 13

3.1 La théorie de la complexité : la sécurité asymptotique . . . . 13

3.2 La s´ecurit´e exacte . . . . 14

3.3 La s´ecurit´e pratique . . . . 14

4 Le mod`ele de l’oracle al´eatoire . . . . 14

5 Conclusion . . . . 15

1 Introduction

La sécurité parfaite, ou inconditionnelle, n’est pas possible dans le contexte asymétrique, puisque les conventions publiques et le message chiffré définissent un message clair unique, que le destinataire est censé être le seul à pouvoir retrouver. Alors, à défaut de systèmes mathématiquement inattaquables, Kerckhoffs préconise des systèmes matériellement in-attaquables. Mais le matériellement inattaquable est malheureusement difficile à formaliser.

Ainsi, pendant longtemps, l’approche a été heuristique : on propose un nouveau système, les cryptanalystes s’acharnent dessus, détectent des faiblesses au niveau du problème difficile sous-jacent, du schéma ou des informations transmises par le possesseur du secret. Les crypta-nalystes parvenaient souvent à une attaque partielle, voire à un cassage total, mais dans des délais variables. Ainsi, une telle démarche de proposition-attaque n’est pas satisfaisante.

Si la cryptographie asymétrique ne peut fournir une sécurité inconditionnelle, on doit donc faire au moins une hypothèse : l’existence d’une fonction à sens-unique, voire d’une fonction

à sens-unique à trappe. L’objectif des preuves de sécurité est de se contenter de cette seule hypothèse : le mécanisme utilisé n’affaiblit pas la difficulté du problème sous-jacent.

2 La sécurité prouvée

La théorie de la complexité a déjà étudié cette problématique pour montrer que deux problèmes sont aussi difficiles à résoudre. En effet, montrer que l’hypothèse de la difficulté du problème sous-jacent est suffisante pour que le schéma garantisse la notion de sécurité sou-haitée revient à montrer que résoudre ce problème et attaquer le système cryptographique sont aussi difficiles : un algorithme qui résout l’un permet de résoudre l’autre, modulo une réduction polynomiale. On a donc besoin de ces trois ingrédients : un problème difficile (l’hypothèse cal-culatoire), une notion de sécurité à casser pour le système cryptographique, puis une réduction.

2.1 Les fonctions `a sens-unique, `a trappe

Une première hypothèse importante pour la cryptographie asymétrique est l’existence de fonctions à sens-unique. Intuitivement, il s’agit de fonctions faciles à évaluer, mais difficiles à inverser. Elles formalisent la notion de problème difficile. Une définition plus précise est fournie ci-dessous.

D´efinition 2 (Fonction polynomiale). Une fonction f : → est polynomiale si,

∃n∈ ,∃K ∈ ,∀k > K, f(k)≤kⁿ.

Définition 3 (Fonction négligeable). Une fonctionf : → ⁺ estnégligeable si,

∀n∈ ,∃K ∈ ,∀k > K, f(k)<1/kⁿ.

Définition 4 (Fonction à sens-unique). Une fonction f est à sens-unique si elle peut être

évaluée en temps polynomial, mais ne peut être inversée en temps polynomial. Soit, il existe un algorithme d’évaluation E fonctionnant en temps polynomial Time_k(E) sur une entrée de taille k :

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u

Time_k(E) = max

|x|=ktime{E(f, x)} et ∀x,E(f, x) =f(x).

Mais pour pour tout algorithmeA, fonctionnant en temps polynomialTime_k(A), sa probabilité de succèsSuccôw_k (A) dans l’inversion (contrer laone-wayness, d’oùow) de la fonction f, sur des entrées de taillek est négligeable : pour tout A,

∃n∈ ,∃Kt ∈ ,∀k > Kt,Time_k(A)≤kⁿ⇒ ∀n∈ ,∃Ks ∈ ,∀k > Ks,Succ^ow_k (A)<1/kⁿ, o`u

Time_k(A) = max

|x|=ktime{A(f(x))} et Succ^ow_k (A) = Pr

|x|=k[f(A(f(x))) =f(x)].

Par la suite, on considérera des familles de fonctionsf_i^k, oùkdésigne le paramètre de sécurité, relié à la taille de l’entrée, et iun paramètre d’indexation.

Définition 5 (Famille de fonctions à sens-unique). Une famille de fonctions (f_i^k) est dite famille de fonctions à sens-unique si

– il existe un algorithme d’´evaluationEen temps polynomialTime_k(E) en la taille de l’entr´ee :

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u (avec iet x pris dans les espaces finis convenables)

Time_k(E) = max

i,x time{E(k, i, x)} et ∀i, x,E(k, i, x) =f_i^k(x) ;

– pour tout algorithme A, fonctionnant en temps polynomial Time_k(A), sa probabilité de succès Succôw_k (A) dans l’inversion des fonctionsf_i^k est négligeable : pour toutA,

∃n∈ ,∃Kt ∈ ,∀k > Kt,Time_k(A)≤kⁿ

⇒ ∀n∈ ,∃K_s ∈ ,∀k > K_s,Succ^ow_k (A)<1/kⁿ, o`u (avec iet x pris dans les espaces finis convenables)

Time_k(A) = max

i,x timen

A(k, i, f_i^k(x))o

et Succ^ow_k (A) = Pr

i,x

f_i^k(A(k, i, f_i^k(x))) =f_i^k(x)i . De telles fonctions seront suffisantes pour la signature. Mais on peut aussi définir le deuxième outil de base de la cryptographie asymétrique, nécessaire pour le chiffrement, les familles de fonctions à sens-unique à trappe.

2. La sécurité prouvée 11

Définition 6 (Famille de fonctions à sens-unique à trappe). Une famille de fonctions (f_i^k, t^k_i) est ditefamille de fonctions à sens-unique à trappe si la famille (f_i^k) est à sens-unique, mais l’informationt^k_i (appeléetrappe) permet une inversion aisée de chaque fonctionf_i^k: il existe un algorithme d’évaluation E en temps polynomialTime_k(E) en la taille de l’entrée, soit

∃n∈ ,∃K_e ∈ ,∀k > K_e,Time_k(E)≤kⁿ, o`u (avec iet y pris dans les espaces finis convenables)

Time_k(E) = max

i,y timen

E(k, i, t^k_i, y)o

et ∀k, i, x, f_i^k(E(k, i, t^k_i, f_i^k(x))) =f_i^k(x).

Remarque 7. On pourra considérer des algorithmes probabilistes, qui ont accès à une séquence de bits aléatoires, appelée ruban aléatoire et souvent notée ω. Dans ce cas, la distribution aléatoire du ruban est ajoutée aux espaces de probabilités. Par la suite, tous les algorithmes seront alors supposés éventuellement probabilistes, et le ruban aléatoireωsera sous-entendu dans tout espace de probabilité, et dans toutes les entrées des algorithmes (voire parfois explicitement inclus, lorsque leur contrôle sera nécessaire).

2.2 La génération des clés et le système cryptographique

En fonction du paramètre de sécurité, une fonction à sens-unique (éventuellement à trappe) permet de définir les clés publique et privée de chaque utilisateur : un algorithme de génération de clésG prend comme argument le paramètre de sécuriték, puis définit aléatoirement (à l’aide de son ruban aléatoire ω) les clés publique pk et privée sk : (pk,sk)← G(1^k). On va considérer ci-dessous les deux situations les plus classiques. Elles serviront d’exemples de base dans la suite de ce chapitre.

1. Cas d’une famille de fonctions à sens-unique (f_i^k) : G choisit un index aléatoire i, ce qui définit la fonction f = f_i^k. Il choisit également un élément x aléatoire qui constitue la clé privée, sk = x. La description de la fonction f (ou la paire (k, i)) ainsi que y = f(x) constituent la clé publique, pk= (k, i, y).

2. Cas d’une famille de fonctions à sens-unique à trappe (f_i^k, t^k_i) :G choisit un index aléatoire i. La description de la fonction f_i^k (ou simplement la paire (k, i), puisque l’on peut rendre la description des fonctionsf_i^k publique) constitue la clé publique,pk= (k, i), tandis que la trappet^k_i est la clé privée, sk=t^k_i.

Puis les algorithmes cryptographiques utilisent ces cl´es selon leurs fonctionnalit´es.

2.3 Les notions de s´ecurit´e

Les notions de sécurité des systèmes cryptographiques peuvent être définies dans le même formalisme que ci-dessus : on considère les attaquants, vus comme des machines de Turing, ou des algorithmes probabilistes, avec certains objectifs, tels que le recouvrement de la clé privée, le décryptement de chiffrés ou la falsification de signatures. On note doncWin l’événement qui définit un succès.

Si on considère, par exemple, l’objectif de retrouver la clé privée (ou une clé privée équivalen-te), à la vue des informations publiques (à savoir la clé publique dans le scénario le plus

´el´ementaire), alorsWin= [A(pk)∈ {sk}].

Mais retrouver la clé privée est un objectif très ambitieux, et pas forcément nécessaire. Ainsi des objectifs plus subtils ont été définis en fonction des garanties souhaitées de la part des différentes primitives cryptographiques. De plus, l’attaquant peut obtenir plus d’information que la seule clé publique. Par conséquent, de fa¸con orthogonale aux objectifs de l’attaquant, on définit les moyens mis à sa disposition.

Ainsi, lesnotions de sécuritéd’une primitive cryptographique sont définies par la combinai-sons de deux aspects :

– l’objectif de l’attaquant ;

– les moyens mis `a sa disposition. Ceci d´efinit parfois le type de l’attaque mise en œuvre par l’adversaire.

Formellement, comme on l’a vu, l’objectif de l’attaquant définit un événement probabiliste à satisfaire. Quant aux moyens, ils sont modélisés par l’accès à des oracles qui répondent correcte-ment, en temps constant, à toute question de l’attaquant. Dans le cas du chiffrecorrecte-ment, l’attaquant peut avoir accès à un oracle de déchiffrement qui déchiffre tout chiffré choisi par ce dernier (at-taques à chiffrés choisis). Dans le cas de la signature, l’adversaire peut avoir accès à un oracle de signature, qui signe tout message de son choix (attaques à messages choisis). Ces oracles ne doivent pas aider l’attaquant à atteindre son objectif.

Remarque 8. Il est important de noter que, dans notre modèle de sécurité, l’attaquant a accès à des oracles parfaits, qui répondent en temps constant, et ne fournissent aucune autre information que le résultat qu’ils sont censés retourner.

Par conséquent, ce modèle ne permet pas de considérer les attaques qui tirent partie d’infor-mations annexes telles que

– les temps de calculs qui varient en fonction des opérations à effectuer (timing attacks[70]) ; – la puissance électrique consommée (simple and differential power analyses [71]) ;

– les résultats erronés suite à des modifications de l’environnement (differential fault ana-lyses [14,18]).

Pour éviter ce type d’attaques, des implémentations adaptées doivent être mises en œuvre.

On verra dans les chapitres suivants les notions de sécurité (les objectifs d’un attaquant à rendre hors d’atteinte, et les moyens à sa disposition) les plus couramment considérées pour la signature et le chiffrement asymétrique.

2.4 Les r´eductions

Après avoir isolé un problème difficile (une famille de fonctions à sens-unique), puis précisé la notion de sécurité que l’on souhaite garantir, pour prouver la sécurité effective d’un schéma cryptographique, on exhibe une réduction entre la résolution du problème difficile et une attaque du système. On peut appeler ce type de preuve,preuve par réduction (oureductionist proofs[5]).

Les réductions sont des outils classiques de la théorie de la complexité, avec d’ailleurs plu-sieurs définitions, selon que l’on considère les réductions de Karp ou de Turing (ou de Cook).

On ne considérera que les réductions au sens de Turing, qui sont d’ailleurs très naturelles pour un informaticien : soient deux problèmes A et B, puis un algorithme A qui résout le premier problème A. Une réduction du problème B au problème A est un algorithme BÂ qui résout le problèmeB, en faisant appel à l’algorithmeAcomme sous-programme (ou tout autre algorithme capable de résoudre le problèmeA).

Intuitivement, si l’algorithme A est efficace, et si le nombre d’appels à A n’est pas trop important, l’algorithmeBÂ est un algorithme efficace pour résoudre le problème B. Ensuite, le résultat de sécurité provient d’un raisonnement par l’absurde : si le problèmeB est difficile, un tel algorithmeBÂ ne peut pas être efficace, ce qui contredit l’efficacité deA. Par conséquent, le problèmeA est également difficile.

Soit l’exemple de la difficulté à retrouver la clé secrète dans les deux situations présentées ci-dessus, sous les hypothèses respectives de familles de fonctions à sens-unique ou à sens-unique

`a trappe.

1. Cas d’une famille de fonctions à sens-unique (f_i^k) : tout antécédent de f_i^k(x) est une clé privée équivalente à x, ainsi

Win_k(A) = Pr[(pk,sk)← G(1^k) :Win] = Pr

i,x[sk=x,pk = (k, i, f_i^k(x)) :A(pk)∈ {sk}]

3. Probl`emes difficiles et r´eductions efficaces 13

= Pri,x[f_i^k(A(k, i, f_i^k(x))) =f_i^k(x)] =Succ^ow_k (A).

Mais d’après l’hypothèse de famille de fonctions à sens-unique, si A fonctionne en temps Time_k(A) polynomial, Succôw_k (A) est négligeable, ainsi donc que Win_k(A).

2. Cas d’une famille de fonctions `a sens-unique `a trappe (f_i^k, t^k_i) : retrouver la trappet^k_i permet d’inverser la fonctionf_i^k. Ainsi,

Win_k(A) = Pr[(pk,sk)← G(1^k) :Win] = Pr

i [sk=t^k_i,pk= (k, i) :A(pk) =sk]

= Pri [A(k, i) =t^k_i].

Puisque (f_i^k, t^k_i) est à sens-unique à trappe, il existe un algorithme d’évaluationE, fonction-nant en temps polynomialTime_k(E), capable d’inverser toute fonctionf_i^kavec l’information t^k_i. On peut alors définir l’algorithme Bqui, sur l’entrée (k, i, f_i^k(x)), exécute A sur l’entrée partielle (k, i) pour obtenir t^k_i, puis exécute E sur l’entrée (k, i, t^k_i, f_i^k(x)) et retourne un antécédent def_i^k(x) dans le cas où la trappe est correcte :

Succ^ow_k (B) = Pr

i,x[f_i^k(B(k, i, f_i^k(x))) =f_i^k(x)]

≥Pr

i,x[A(k, i) =t^k_i] = Pr

i [A(k, i) =t^k_i] =Win_k(A).

De plus, Time_k(B) = Time_k(A) +Time_k(E). Ainsi, si A et E fonctionnent en temps poly-nomial, il en est de même pourB, et par conséquent, Succôw_k (B) est négligeable, ainsi que Win_k(A).

On a ainsi exhibé des preuves de sécurité, mais pour un niveau de sécurité très faible : retrouver la clé privée à partir de la clé publique (appelé aussi cassage total). On étudiera ultérieurement des niveaux de sécurité plus élevés. Avant cela, il reste à formaliser la notion d’algorithme efficace .

3 Probl`emes difficiles et r´eductions efficaces

Si on veut pouvoir utiliser le raisonnement par l’absurde présenté ci-dessus, il faut donner un sens plus formel à :

– A est un probl`eme difficile ; – Aest un algorithme efficace.

3.1 La théorie de la complexité : la sécurité asymptotique

Puisque ces preuves par réductions sont issues de la théorie de la complexité, la première ap-proche a été de conserver la terminologie de cette dernière. Dans ce formalisme, tout algorithme polynomial en la taille de l’entrée est considéré efficace, et un problème qui n’admet pas

Dans le document Le Chiffrement Asym´ etrique et la S´ ecurit´ e Prouv´ ee (Page 18-0)