Vie privée des fournisseurs de service

La vie privée des fournisseurs de service (propriété1) est préservée si l’expérience suivante renvoie 1 avec probabilité1/2+ neg(κ) :

Vie privée des fournisseurs

1: Setup(1κ)

2: (FS0,FS1) ← AOcorr(·), Ointer(·,·), Oinv(·)()

3: b←R{0,1}

4: b0← AOcorr(·), Ointer(·,·), Oinv(·)(FS_b,FS

¯b)

5: L’expérience renvoie 1 si b0_{= b, et 0 sinon}

Dans la deuxième étape de cette expérience, A peut faire interagir n’importe quels utilisa- teurs. A peut également corrompre n’importe quels utilisateurs. Les fournisseurs FS0et FS1

qu’il choisit doivent avoir une réputation équivalente, et ne pas avoir été corrompus. Dans la quatrième étape, A ne peut pas corrompre FS0, FS1, FSb ou FS¯b. Finalement, A peut faire in-

teragir les fournisseurs FSb et FS¯buniquement jusqu’à l’envoi du message m1par le client (voir

section5.4.2, page109) – après cette étape, le fournisseur révèle son identité.

Démonstration. Pour chaque interaction où A fait interagir FS_b ou FS¯b, il voit les éléments suivants :

nym_FS,CIdFS,CcertFS,πcertFS, rep_FS, (Cσ_ij,rep)16j6tSA,πrep, pre_inv,πpre_inv,Cr_{pre_inv},

CPP,sPP,ςFS, (CAj)16j6tPP,  ESi,πSi 16i6nPP.

Nous considérons n telles interactions, que nous modifions graduellement pour remplacer les éléments liés à FSb par ceux de FS¯b, et réciproquement. Nous montrons finalement que l’avan-

tage de A pour se rendre compte d’une telle modification est négligeable. Jeu 0 Le premier jeu considéré est celui où les interactions sont inchangées.

Jeu 1 Nous commençons par remplacer la crs du système de preuvesnizkpar une crs simulée (voir section2.5), ce qui permet de construire des preuves arbitraires avec la clé de trappe tk. Pour l’instant, les preuves concernent toujours des équations valides, et sont donc inchangées. L’avantage de l’adversaire pour distinguer ce jeu du jeu 0 est donc son avantage pour distinguer les crs, c’est-à-dire

6.1 Preuve du mécanisme de réputation classique préservant la vie privée des clients et des fournisseurs

Jeu 2 Cette étape vise à modifier les identifiants masqués dans les pré-invariants. Nous consi- dérons pour cela la séquence hybride suivante, dans laquelle nous transformons progressive- ment les pré-invariants calculés à partir de IdFSb en pré-invariants liés à IdFS¯b; le jeu Jeu2,k

modifie le pré-invariant de la k-ième interaction, et conserve la validité des preuves grâce à la clé de trappe : Jeu_2,1 pour 1 6 i 6 n, pré-invariants avec (FSb,FS¯b) Jeu_2,k pour 1 6 i < k, pré-invariants avec (FS¯b,FSb) pour k 6 i 6 n, pré-invariants avec (FSb,FS¯b) Jeu2,n pour 1 6 i 6 n, pré-invariants avec (FS¯b,FSb)

La seule différence entre deux jeux successifs est le pré-invariant d’une interaction, c’est-à-dire un chiffré Elgamal de l’identifiant du fournisseur. Comme l’algorithme de chiffrement Elgamal est sémantiquement sûr [GM84], l’avantage AvElgamal(κ) pour qu’un adversaire distingue deux

messages en connaissant uniquement leurs chiffrés est négligeable. C’est pourquoi l’avantage de A pour distinguer deux jeux successifs est AvElgamal(κ). L’avantage total pour que A dis-

tingue les jeux 1 et 2 est donc

Av2/1(κ) = (n − 1) · AvElgamal(κ).

Jeu 3 Ce jeu vise à modifier les parts du partage de secret – les E_Si – de sorte que le secret reconstruit, c’est-à-dire l’identifiant du fournisseur, soit permuté : IdFSdoit être transformé en

IdFS¯bet réciproquement. Considérons une interaction avec FSb où les parts déchiffrées sont les

Si = P (i) pour 1 6 i 6 n, où P est le polynôme dont les coefficients sont engagés dans CId_FSb et

les CAj. Soit P0un polynôme de même degré que P, c’est-à-dire (tPP−1), tel que

     P0(0) = IdFS_¯b

P0(i) = P (i) pour tout porteur de part PPi corrompu par A.

Tant que l’adversaire a corrompu (tPP−1) ou moins porteurs de part – ce qui, comme expliqué

en section 4.2, arrive avec une probabilité (1 − AvPP(κ)) pour chaque interaction –, au plus

tPP points de ce polynôme sont fixés. Comme un polynôme de degré (tPP−1) est fixé par tPP

points, un polynôme P0_{existe avec une probabilité (1 − Av}

PP(κ)). Nous notons (A0j)16j <tPP ses

coefficients.

Dans ce jeu, nous remplaçons les parts Sipar les S_i0= P0(i) ; elles sont ensuite chiffrées pour

obtenir les E0

Si. De plus, en reprenant la sécurité sémantique de l’algorithme de chiffrement

Elgamal, l’avantage de A pour se rendre compte de la modification d’une part est AvElgamal(κ).

Comme il y a au plus nPPparts modifiées pour n interactions, l’avantage de A pour distinguer

ce jeu du deuxième est

Av3/2(κ) 6 n · nPP·AvElgamal(κ) + n · AvPP(κ).

Rappelons que nPPdépend de la sécurité désirée, et donc de κ (voir section4.2) ; cependant, la

Jeu 4 Nous modifions maintenant les engagements en remplaçant les éléments liés à FS_bpour les remplacer par ceux de FS¯b, et inversement : nous remplaçons nymFSb par nymFS_¯b, CId_FSb par

CIdFS_¯b, Ccert_FSb par CcertFS_¯b, Cσ_{ij ,repb} par Cσ_{ij ,rep ¯b}, les engagements contenus dans ςFSb par des ςFS¯b,

et les (CAj)j par les (CA0j). Nous ajustons également les preuves afin qu’elles continuent à être

valides. Comme, avec la crs simulée, le schéma d’engagementsxdhest parfaitement masquant, Av4/3(κ) = 0.

Jeu 5 Maintenant que les engagements ont été modifiés, toutes les références à FS_b ont été remplacées par des références à FS¯b, et réciproquement. De plus, les preuves portent à nouveau

sur des équations valides ; la crs simulée et la clé de trappe ne sont donc plus nécessaires pour les construire. Nous pouvons alors repasser à une crs classique. L’avantage de l’adversaire est alors

Av5/4(κ) = Avcrs(κ).

Finalement, l’avantage de l’adversaire pour distinguer les interactions avec (FSb,FS¯b) de

celles impliquant (FS¯b,FSb) est

AvVP FS(κ,n) = Av1/0(κ) + Av2/1(κ) + Av3/2(κ) + Av4/3(κ) + Av5/4(κ)

6 2 · Avcrs(κ) + (n · nPP+ n + 1) · AvElgamal(κ) + n · AvPP(−κ),

où n est le nombre d’interactions observées par l’adversaire ; cet avantage est effectivement

négligeable