3.5 Preuve de s´ecurit´e
3.5.3 Variante pour des adversaires adaptatifs
a la cl´e n’appartienne pas au sous-Z-module engendr´e par les produits d’´el´ements de
D, en vertu du lemme 3.1.
On obtient ainsi la probabilit´e qu’il n’y ait pas collision dans les listes (Rk,Sk). Or en l’absence de collisions, dans un probl`eme d´ecisionnel, l’adversaire ne peut que tirer al´eatoirement son bit b′ : les donn´ees correspondant au cas b = 0 et b = 1 sont indistinguables au vu des r´esultats des appels aux oracles. On en d´eduit la borne de
son avantage.
On consid`ere d´esormais que le param`etre de s´ecurit´e augmente : les valeursn,letk
sont polynomiales en le param`etre de s´ecurit´eλ, alors quepest exponentiel en ce mˆeme param`etre. Les conditions d’utilisation du th´eor`eme, c’est-`a-dire les in´egalit´es requises surp,l etnissues du lemme 3.1 et du corollaire 3.1, sont asymptotiquement v´erifi´ees. La borne donn´ee `a l’avantage de l’adversaire est une fonction n´egligeable du param`etre de s´ecurit´e, ce qui conclut la preuve de s´ecurit´e du sch´ema de diffusion dans le mod`ele g´en´erique de groupes avec couplage.
3.5.3 Variante pour des adversaires adaptatifs
La preuve de s´ecurit´e du sch´ema pr´esent´e pr´ec´edemment s’appuie sur un calcul de probabilit´es bas´e sur les valeurs des attributs. Or ces attributs sont fix´es lors de la g´en´eration des cl´es, et ils sont connus de l’adversaire. Si la preuve est convaincante dans le mod`ele de s´ecurit´e pr´esent´e en 3.3.4, elle n’est pas totalement satisfaisante d’un point de vue concret : un adversaire adaptatif, c’est-`a-dire en mesure de choisir les ensembles d’utilisateurs s´electionn´es et r´evoqu´es pour le chiffr´e qui lui sera soumis apr`es la g´en´eration des cl´es, peut dans certaines circonstances avoir `a coup sˆur la capacit´e de d´echiffrer ce message chiffr´e, et donc de gagner le jeu. Le sch´ema est donc vuln´erable face `a des adversaires adaptatifs, et pas seulement non prouv´e dans ce cadre.
On pr´esente donc une variante du sch´ema initial, pour lequel ce ph´enom`ene n’est plus pr´esent. Plus pr´ecis´ement, cette variante peut ˆetre prouv´ee pour un adversaire adaptatif, dans le mod`ele g´en´erique des groupes avec couplage.
94 Diffusion par groupes
3.5.3.1 Variante du sch´ema
La modification du sch´ema porte sur le m´ecanisme de chiffrement. Ainsi, la g´en´e-ration des cl´es et le d´echiffrement restent inchang´es par rapport au sch´ema initial. Lors d’un chiffrement, un attribut additionnelωest choisi al´eatoirement dans (Z/pZ)\ {µ1, . . . , µl} : cet attribut est alors trait´e comme un attribut r´evoqu´e pour le chiffr´e.
Dans cette variante, l’utilisation de l’attribut µ0 est inutile. Pour rappel, cet at-tribut fictif, correspondant `a l’ensemble vide, devait ˆetre utilis´e dans le sch´ema initial lorsqu’aucun attribut n’´etait r´evoqu´e dans un chiffrement. Dans la variante, l’attri-but choisi al´eatoirementω est r´evoqu´e, et l’ensemble des attributs r´evoqu´es n’est donc jamais vide.
3.5.3.2 Preuve de la variante
La preuve de la variante suit exactement le mˆeme cheminement que celle du sch´ema original. La modification intervient seulement dans le calcul de la probabilit´e d’occur-rence d’une relation de Bezout d´eg´en´er´ee, qui ´etait trait´e dans le lemme 3.3. Avec l’utilisation d’un attribut choisi al´eatoirement au moment du chiffrement, on peut uti-liser directement le lemme suivant :
Lemme 3.4 (Bezout d´eg´en´er´e et polynˆomes randomis´es) Pour tout (d1, d2) ∈
N×N∗, pour tout ppremier, pour tout couple de polynˆomes unitaires (P1, P2) `a coeffi-cients dans (Z/pZ), de degr´es (d1, d2), et premiers entre eux, il existe au plus(d2−1) ´el´ementsω∈(Z/pZ) pour lesquels il existe un couple de polynˆomes(U1, U2) v´erifiant :
U1(A) (A−ω)P1(A)−U2(A)P2(A) = 1, avec degU1< d2−1.
Preuve Soitppremier, soit (d1, d2)∈N×N∗, soientP1etP2deux polynˆomes unitaires
`
a coefficients dans (Z/pZ), premiers entre eux et de degr´es respectifs d1 et d2. On suppose qu’il existe deux ´el´ements distinctsω et ˜ω de (Z/pZ) et quatre polynˆomesU1,
U2, ˜U1 et ˜U2 v´erifiant : (
U1(A) (A−ω)P1(A)−U2(A)P2(A) = 1, degU1 < d2−1, degU2 < d1,
˜
U1(A) (A−ω˜)P1(A)−U˜2(A)P2(A) = 1, deg ˜U1 < d2−1, deg ˜U2 < d1.
En calculant la diff´erence des deux ´equations, on obtient V1P1 =V2P2 , avec : (
V1(A) = U1(A)−U˜1(A)
A+ ˜ωU˜1(A)−ω U1(A), degV1< d2, V2(A) = U2(A)−U˜2(A), degV2< d1.
SiV2 6= 0, les polynˆomesP1 etP2´etant premiers entre eux, la relationV1P1=V2P2
implique queP1 diviseV2, ce qui est impossible puisque degV2< d1. On en d´eduit que
V1=V2 = 0. En particulier, ˜ω est racine de U1, etω est racine de ˜U1. Pour un ω fix´e,
U1 ´etant de degr´e strictement inf´erieur `a (d2 −1), il existe au plus (d2 −2) valeurs possibles pour ˜ω, ce qui prouve le r´esultat attendu.
Conclusion 95 La preuve de ce dernier lemme est bien plus simple que les preuves des lemmes simi-laires pr´ec´edemment utilis´es. Elle repose exclusivement sur le comportement al´eatoire de l’attribut choisi au moment du chiffrement, et plus du tout sur les attributs choisis et r´ev´el´es lors de la g´en´eration des cl´es.
Le th´eor`eme donnant la s´ecurit´e globale de la variante du sch´ema dans le mod`ele g´en´erique des groupes avec couplage est le suivant :
Th´eor`eme 3.2 Soitk <(p
p/(3l+ 6)−n l−2n−4l−8)/3. Dans le mod`ele g´en´erique des groupes avec couplage, l’avantage sur le probl`eme IND-CPA de la variante du sch´ema de diffusion pr´esent´e en 3.5.3 d’un adversaire r´ealisant au plus k requˆetes aux oracles est born´e par :
6k(l+ 2) (n l+ 2n+ 4l+ 3k+ 8) 1− 1 p−l p−3 (l+ 2) (n l+ 2n+ 4l+ 3k+ 8)2.
3.6 Conclusion
Apr`es une pr´esentation des sch´emas classiques de diffusion, on a constat´e l’absence d’un sch´ema efficace susceptible de traiter le cas d’une politique d’acc`es non pas bas´ee sur une gestion individuelle des utilisateurs, mais sur une gestion via des groupes, d´efinis par des attributs. En effet, soit le trafic g´en´er´e pour le renouvellement des cl´es est extrˆemement important (cas du sch´ema LKH), soit les messages chiffr´es ne peuvent pas avoir une taille raisonnable (cas des sch´emas CS et SD), soit le m´ecanisme de d´echiffrement n´ecessite des op´erations trop coˆuteuses en temps (cas des sch´emas d´eriv´es du chiffrement bas´e sur les attributs).
Le sch´ema propos´e pour pallier `a ce manque am´eliore significativement les perfor-mances en d´echiffrement du seul sch´ema existant adapt´e `a une gestion des utilisateurs via des groupes. Il permet de faire face `a des coalitions de toutes tailles, les cl´es de d´echiffrement sont relativement petites, les chiffr´es sont plutˆot courts. On peut mˆeme ajouter de nouveaux utilisateurs une fois le syst`eme d´eploy´e. Les seuls inconv´enients de ce sch´ema portent sur la taille de la cl´e publique. On peut en fait diminuer signifi-cativement la taille de la cl´e publique, dans des usages raisonnables de ce sch´ema (en bornant le nombre d’attributs `a imposer ou r´evoquer dans les messages chiffr´es).
L’´etude de ce sch´ema repose sur un mod`ele construit en fonction des politiques d’acc`es envisageables, diff´erentes de celles des pr´ec´edents sch´emas, mais sans change-ment majeur concernant l’objectif de s´ecurit´e. La preuve pr´esent´ee repose sur le mod`ele g´en´erique pr´esent´e dans le chapitre pr´ec´edent. Une preuve plus complexe aurait pu ˆetre construite par r´eduction sur une hypoth`ese plus conventionnelle, mais sans un r´eel gain en termes de s´ecurit´e.
Chapitre 4
Tra¸cage de traˆıtres
Dans le chapitre concernant la diffusion (chapitre 3), l’objectif consiste `a diffuser de mani`ere confidentielle des donn´ees identiques vers de multiples destinataires. Ainsi, un utilisateur qui n’est pas destinataire ne peut pas obtenir ces donn´ees, et mˆeme une coalition d’utilisateurs non destinataires n’est pas en mesure de d´echiffrer les donn´ees. Il existe cependant une vuln´erabilit´e intrins`eque : les destinataires valides des messages peuvent d´echiffrer les donn´ees et les transmettre `a d’autres utilisateurs. Ils peuvent mˆeme divulguer leurs cl´es `a ces utilisateurs, qui peuvent d`es lors d´echiffrer les donn´ees transmises comme s’ils en ´etaient destinataires.
On ne peut pas se prot´eger contre ces divulgations. Le tra¸cage de traˆıtres consiste `a lutter d’une mani`ere indirecte contre ces pratiques, en identifiant la cl´e de d´echiffrement utilis´ee. On peut d`es lors identifier le responsable de la fuite des donn´ees vers des utilisateurs non-destinataires. Si une coalition de destinataires l´egitimes «m´elange» les cl´es de d´echiffrement dont elle dispose, il doit ˆetre possible d’identifier l’un des membres de la coalition. Des actions diverses peuvent alors ˆetre entreprises contre ce destinataire : il s’agit moins de «sanctionner» l’utilisateur identifi´e que de dissuader des utilisateurs a priori honnˆetes de r´ev´eler leurs cl´es de d´echiffrement.
L’objectif de cette ´etude est de proposer un sch´ema de tra¸cage de traˆıtres sˆur, mˆeme lorsque certaines mesures sont utilis´ees pour masquer les cl´es de d´echiffrement utilis´ees. On consid`ere donc un mod`ele de s´ecurit´e fort, o`u les donn´ees envoy´ees ne sont pas n´ecessairement d´echiffr´ees, et o`u le tra¸cage doit ˆetre ind´etectable. Le sch´ema propos´e dans ce mod`ele utilise le marquage des donn´ees (watermarking) pour permettre l’iden-tification d’un traˆıtre. En termes de performance, il a des chiffr´es de taille constante, c’est-`a-dire ind´ependante du nombre d’utilisateurs ou de la taille maximale de la coa-lition pr´evue. Par rapport aux autres sch´emas de tra¸cage de traˆıtres `a chiffr´es de taille constante (non-sˆurs dans le mod`ele pr´esent´e ici), il pr´esente ´egalement l’avantage de per-mettre aux destinataires de d´echiffrer les messages progressivement : dans les sch´emas pr´ec´edents, on ne peut d´echiffrer les donn´ees qu’en blocs de taille tr`es importante.
98 Tra¸cage de traˆıtres