Travaux précédents

Classification des primitives cryptographiques

C’est un fait bien connu dans la communauté cryptographique qu’il est impossible de réaliser le calcul sûr à deux participants de manière inconditionnellement sûre. Ainsi une question naturelle à se poser est : quelles sont les hypothèses minimales nécessaires pour y parvenir ? Une réponse possible à cette question est d’identifier les primitives cryptographiques les plus simples telles que, lorsqu’utilisées comme sous-routines par accès boîte noire, elles permettent de réaliser tout calcul biparti de manière sûre. Si une primitive satisfait cette propriété, on dit qu’elle est universelle. La plus connue de ces primitives est ot, montrée universelle par Kilian [Kil88]. Depuis, la puissance cryptographique de plusieurs primitives a été étudiée en plus de détail [Kil91, Kil00, MPR10, KMQ11b, MPR12, Kra13].

2. Nous avons déjà montré comment analyser la quantité d’intrication qui serait nécessaire pour attaquer un protocole de mise en gage avec l’attaque générique ; lorsqu’on considère des attaques arbitraires, la tâche est plus complexe.

Un résultat récent de Maji, Prabhakaran et Rosulek [MPR10] établit que dans le monde classique, toute primitive bipartite non triviale peut servir à implémenter une des quatre primitives suivantes : transfert équivoque (ot), mise en gage (bc), transfert sélectif à un bit (1cc) ou le transfert instantané des entrées d’Alice et Bob (équivalent à calculer la fonctionnalité xor). Autrement dit, pour n’importe quelle primitive F non triviale, il existe une primitive G ∈ {F_ot, F_bc, F_1cc, F_xor} telle que G v F . Ces primitives sont décrites à la section2.4. Les auteurs utilisent cette réduction pour montrer que, sous l’hypothèse qu’il existe un protocole sûr pour transfert équivoque contre les adversaires semi-honnêtes polynomiaux3_{, toute}

primitive cryptographique est soit triviale, soit complète. Ils désignent cette classification des primitives bipartites comme loi « zero-one ».

Le portrait se simplifie grandement lorsqu’on considère des protocoles quantiques. D’abord, la fonc- tionnalité bc peut être utilisée en accès boîte noire pour réaliser de manière sûre ot [BBCS91, Cré94, Unr10, BF10] sans hypothèse supplémentaire et est donc universelle. De plus, même la primitive transfert sélectif à deux bits (2cc) est universelle dans le monde quantique, tel que démontré par Fehr, Katz, Song, Zhou et Zikas [FKS+_{13]. Ces auteurs montrent ainsi qu’une loi « zero/xor/one » s’applique aux primitives}

bipartites dans le monde quantique, et ce sans hypothèse supplémentaire sur la puissance de l’adversaire. Il manquait cependant un élément important à cette classification : celle-ci s’applique à toutes les fonc- tionnalités, excepté celles qui permettent de réaliser le transfert sélectif à un bit (1cc), mais pas celui à deux bits (2cc). Il est en effet possible de montrer qu’il existe une hiérarchie infinie de primitives de type transfert sélectif dans le monde classique où chaque niveau de la hiérarchie, représenté par la taille de l’entrée, est strictement plus faible que le suivant :

F_1cc6v F_2cc 6v · · · 6v F_mcc6v · · · .

Dans la section3.3, nous complétons la classification des primitives bipartites dans le monde quantique en montrant que la primitive 1cc est universelle. Nous utilisons l’accès comme boîte noire à 1cc comme hypothèse pour construire un protocole quantique pour bc. Comme les classifications des primitives cryp- tographiques ci-haut concernent le modèle UC, nous utilisons le protocole de mise en gage que nous avons construit pour démontrer que 1cc est complète dans le modèle UC.

Protocole bcjl et modèle à mémoire bornée

Notre seconde application a également un riche passé. Le protocole de mise en gage bcjl mentionné plus haut est un protocole de mise en gage proposé en 1993 par Brassard, Crépeau, Jozsa, et Langlois [BCJL93] 3. L’hypothèse « sh-ot » suppose l’existence d’un protocole pour ot sûr dans le modèle à sécurité autonome contre les adversaires honnêtes, mais curieux (c’est-à-dire qui respectent le protocole, mais cherchent à en soutirer le maximum d’information), qui fonctionnent en temps polynomial.

comme un candidat pour un protocole de mise en gage inconditionnellement sûr. À l’époque, la mécanique quantique offrait de nouvelles possibilités pour la cryptographie, et tous les espoirs étaient permis. Toute- fois, l’impossibilité de la mise en gage quantique fut démontrée par Mayers [May97], et indépendamment par Lo et Chau [LC98]. Le protocole bcjl présentait des idées novatrices pour l’époque, mais sa sûreté sous des hypothèses raisonnables n’avait pas été revisitée jusqu’à maintenant. Notre relation entre les adversaires adaptés et non adaptés nous permet de montrer la sûreté du protocole bcjl dans une version légèrement modifiée du modèle à mémoire bornée.

Le modèle à mémoire bornée est une hypothèse qui est faite sur les capacités de traitement de l’infor- mation quantique de l’adversaire [DFSS08, DFSS07, Sch07]. Au lieu de restreindre son temps de calcul et de s’en remettre à des hypothèses calculatoires, comme la difficulté de factoriser de grands nombres, on limite la quantité d’information quantique que l’adversaire peut garder en mémoire. Cette hypothèse est justifiée par le fait que le plus grand défi à la construction d’un ordinateur quantique est de préserver un état quantique de manière cohérente sur un moyen physique, c’est-à-dire sans que celui-ci soit perturbé par des interactions avec son environnement. En général, on suppose dans ce modèle que l’adversaire ne peut garder en mémoire qu’une fraction constante des particules échangées. Le modèle à mémoire bornée est maintenant réputé comme une hypothèse suffisante pour implémenter l’ensemble de la cryptographie, puisque des protocoles existent qui implémentent les primitives complètes ot et bc [DFSS08, Sch07] de manière sûre sous cette hypothèse.

Une hypothèse semblable à celle du modèle à mémoire bornée, et qui généralise cette dernière, est le modèle à mémoire bruitée [WST08, STW09, WCSL10, Sch10, KWW12]. Dans ce modèle, on ne fait aucune hypothèse sur la quantité de mémoire que l’adversaire détient, mais plutôt sur la qualité de celle- ci. Ce modèle suppose qu’à un certain point dans un protocole, du bruit sera appliqué sur la mémoire quantique de l’adversaire. Ce bruit est modélisé par un canal quantique (un CPTP) et il existe différents types de bruit auquel on pourrait soumettre la mémoire de l’adversaire. Le modèle à mémoire bruitée est également une hypothèse suffisante pour implémenter de manière sûre ot et bc [WST08, STW09, WCSL10, Sch10, KWW12] (pour les modèles de bruit adéquats). Récemment, un modèle unificateur de différents types de bruits quantiques fut proposé dans [KWW12].