Cryptographie et fonctions `a sens unique

Cryptographie et fonctions `a sens unique

Pierre Rouchon

Centre Automatique et Syst `emes Mines ParisTech, PSL Research University

pierre.rouchon@mines-paristech.fr

Octobre 2018

Plan

1 Fonction `a sens unique Notion intuitive

Stockage des mots de passe Pile ou face sur internet

2 Exponentielle modulaire D ´efinition

Le protocole de Diffie-Hellman Syst `eme d’El Gamal

DSS

3 Protocole RSA

Protocole di-sym ´etrique Signature

4 Monnaie ´electronique

Cryptographie moderne

La cryptographie moderne fond ´ee sur lesfonctions `a sens unique commence en 1976 o `u Diffie et Hellman proposent une solution `a un probl `eme consid ´er ´e alors comme insoluble :

Alice et Bob souhaitent ´echanger de fac¸on confidentielle des informations.

Alice et Bob ne disposent pour communiquer que d’une ligne de transmission ´ecout ´ee en permanence par lem ´echant Oscar; Oscar ne peut pas se faire passer pour Alice (resp. Bob) aupr `es de Bob (resp. Alice).

Un expos ´e d ´etaill ´e : l’excellent cours de Gilles Z ´emor de l’ENST.

Fonction `a sens unique

Soitn∈Ngrand. On poseA_n∼ {1, . . . ,n}etB_ndeux ensembles finis index ´es parnetf_n:A_n7→B_n.f_nest `a sens unique, si et seulement si,pourn devenant tr `es grand

1 Il est facile de calculerf_n(x)pour importe quelx ∈A_n.

fnfacile `a calculer: un algorithme ”rapide” pour calculerfn(x),

n ´ecessitant unequantit ´e polyn ˆomiale de calculsen fonction dunombre de bits n ´ecessaires pour coderx ∈An, `a savoir log₂(n). Si on noteCn(x) le nombre d’op ´erations ´el ´ementaires n ´ecessaires au calcul defn(x), cela veut dire qu’il existeM, α >0 tels que pour toutn∈N, et pour tout x ∈An,Cn(x) ≤M(logn)^α.

2 Il est difficile poury ∈fn(An)de trouver unx tel quefn(x) =y. fndifficile `a inverser :on ne connaˆıt pas d’algorithme rapide (.i.e. de complexit ´e polyn ˆomiale) qui permette de r ´esoudrefn(x) =y. Pourn grand, il est illusoire pour trouver un telx d’utiliser la m ´ethode ”brutale”

en testant tous lesx deA_nvia le calcul ”rapide” def_n(quantit ´e exponentielle de calculs)

3 Ordre de grandeur : 2¹⁰¹⁴≈10³⁰⁸. En 2016 le superordinateur chinois Sunway TaihuLight d ´epasse 100 petaflops (10¹⁷”op ´erations par seconde”). Un si `ecle≈ 3×10⁹s.

Stockage des mots de passe d’un compte utilisateur

Au lieu de stocker lesmots de passe en clairsur un fichier m ˆeme prot ´eg ´e du compte ”syst `eme”, il suffit destocker dans un fichier l’image des mots de passe via la fonctionf<sub>n</sub>.Lorsque l’on se connecte avec son mot de passe, disonsπ, la machine calculefn(π)et v ´erifie s’il est bien dans la liste qu’elle a sur son disque dur. Nous voyons qu’il est difficile m ˆeme connaissantn,f<sub>n</sub>et la liste des images parf<sub>n</sub> des mots de passe, de remonter `a ceux-ci.

Exo:Imaginer une extension qui garantit la s ´ecurit ´e de l’acc `es m ˆeme si le mot de passeπest ´ebruit ´e lors de la connexion (utiliser une suite du typeπ_k =f_n(π_k−1),k =1, . . . ,mavecmgrand et sup ´erieur au nombre total de connexion au cours de la vie d’un compte utilisateur).

Exo:Alice et Bob communiquent via internet. Ils disposent d’une m ˆeme fonction `a sens uniquef. Alice a une pi `ece de monnaie.

Imaginer un protocole pour qu’ils puissent jouer `a pile ou face sans possibilit ´e de fraude.

Pile ou face sur internet

Alice lance la pi `ece, Bob parie et Alice lui dit s’il a gagn ´e.Probl `eme :il ne faut pas qu’Alice puisse tricher.

Une solution reposant surl’engagementd’Alice (commitment) : une fonction a sens unique injective connue de Bob et d’Alice,f :A7→B, une partitionA=Ap∪A_f en deux parties de m ˆeme tailleA_f pour face etA_p pour pile.

Le protocole (Blum) est le suivant (ordre chronologique) :

1 Alice lance la pi `ece : si c’est face (resp. pile) elle choisit

al ´eatoirementx ∈A_f (resp.x ∈A_p), calculey =f(x)et envoiey `a Bob.Alice s’engageen communiquant le r ´esultaty sans

d ´evoilerx.

2 Bob d ´eclare son choix `a Alice, pile ou face.

3 Alice lui dit s’il a gagn ´e ou perdu en communiquant `a Bobx;Bob se persuade qu’Alice n’a pas trich ´e en v ´erifiant quef(x)est bien

´egal `ay.

Exponentielle modulaire

Soitpunnombre premier, a priori grand.

L’ensembleZ^∗p= (Z/pZ)\{0}, les entiers d ´efinis modulopet diff ´erents de z ´ero, forme ungroupe cyclique pour la multiplication : il est engendr ´e par les puissances de certains de ses ´el ´ements, dits ´el ´ements primitifs.

Soitα∈Z^∗primitif. Alors les gens s’accordent pour dire que la fonctionf d ´efinit par

Z^∗p → Z^∗p

x 7→ α^x

est `a sens unique. Pour le calcul deα<sup>x</sup> on identifiex ∈Z<sup>∗</sup>p `a l’ensemble des entiers entre 1 etp−1, et l’on calculα^x modulop.

Exo:

1 Monter quef(p−1) =1 quelque soitαprimitif modulop.

2 Donner un algorithme rapide de calcul de l’exponentielle.

Logarithme discret

Tous les algorithmes connus pour inverser cette fonction (lelogarithme discret) n ´ecessitent un temps de calcul non polyn ˆomial en log(p)et sont impraticables d `es quepest un nombre de quelques centaines de bits.

Pourquoi donc prendre un nombre premierpet un ´el ´ement primitif modulo-p. Tout d’abord,ppremier implique que tout entier non nul plus petit quepest inversible. Ensuiteαprimitif implique que l’applicationf est bijective :l’exponentielle modulairef est une permutation difficile `a inverser d’un ensemble `ap ´el ´ements.

Exo:Soitppremier etα∈Z^∗_pprimitif modulop. On note par log_α(y)l’unique x dansZ^∗ptel queα^x =y mod(p).

1 Montrer que∀β, γ∈Z^∗pet∀s∈N, on a log_α(β^s) =slog_α(β) mod(p)et log_α(βγ) =log_α(β) +log_α(γ) mod(p).

2 Montrer que, si l’on dispose d’un algorithme rapide pour calculer log_α, alors on dispose aussi d’un algorithme rapide pour calculer log_β.

3 Expliciter le protocole `a base d’exponentielles modulaires qui permet de jouer `a pile ou face sur internet tout en garantissant le fait qu’aucun des deux joueurs ne pourra tricher sans que l’autre ne le sache.

Le protocole de Diffie-Hellman

Pourcommuniquer de fac¸on confidentielle, Alice et Bob vont ´echanger sur un nombre secretSqui leur servira de cl ´e `a un syst `eme classique de chiffrement. En utilisant uniquementle canal public, ils doivent s’ ´echanger la cl ´e secr `eteS.

1 Alice et Bob ´echangent publiquementun nombre premierpet un

´el ´ement primitifαmodulo-p.

2 Alice choisit secr `etementaet Bobb. Alice et Bob calculent chacun une exponentielle (facile),A=α^a mod(p)pour Alice et B=α^b mod(p)pour Bob.

3 Alice et Bob ´echangent publiquementAetB.

4 Alice calculeS=B^a mod(p)et Bob calculeS =A^b mod(p).

La cl ´e secr `ete est alorsS=α^ab mod (p)

Syst `eme d’El Gamal

Di-sym ´etrie dans le chiffrement et le d ´echiffrement avec premierpetα primitif modulo-p.

Le destinataire Bob dispose dela cl ´e publique(p, α,P)etla cl ´e secr `etesavec laquelle il a calcul ´eP =α^s mod (p);

Alice souhaite envoyer le messageM `a Bob. Alice choisit alors un nombrek au hasard et calcule les deux exponentielles suivantes :

A=α^k mod(p), B=MP^k mod(p).

Alice envoie alors `a BobAetB :(A,B)forme le message chiffr ´e.

Pour le d ´ecodage, Bob connaissants, calculeA^s mod (p)qui n’est autre queP^k mod(p)et obtient le message en clair viaM=B/A^s mod (p).

Digital Signature Standard

DSS : Digital Signature Standard qui date de 1994 : authentification de messageM envoy ´e en clair avec unesignature publique(p, α,P).

1 Alice dispose d’un nombre premierpet deαprimitif modulo-p.

Elle choisie un nombresau hasard, une fois pour toute et calcule P =α^s mod (p). Elle communique de fac¸on officielle sa

signature par le triplet rendu public(p, α,P).

2 Connaissant la signature d’Alice(p, α,P), Bob rec¸oit un jour un message en clairM et il veut ˆetre bien s ˆur que c’est Alice qui lui a envoy ´e ce message. Pour cela Alice adjoint `aM deux nombres S= (u,v)qui authentifient le message et en forment une signaturetr `es difficile `a imiter et en plus li ´ee au contenu du messageM.

Digital Signature Standard (suite)

(u,v)sont construits de la fac¸on suivante : Alice choisit au hasard un nombrek premier avecp−1. Elle calcule ensuiteu=α^k mod(p)et alorsv est l’unique solution deM=us+kv mod(p−1)(k est inversible modulo-(p−1)).

Ainsi Bob recevantM avec la signatureS= (u,v)connaissant (p, α, α^s)v ´erifie par une simple exponentiation que seule Alice peut avoir envoy ´e ce message. En effet, le calcul deα^M donne

α^M =α^{us+kv+r(p−1)}= (α^s)^u(α^k)^v

o `ur est un certain entier et utilisant le petit th ´eor `eme de Fermat qui assure queα^p−1=1 mod(p)d `es quep est premier etα entre 1 etp−1. Comme(α^s)^u=P^u et(α^k)^v =u^v, Bob peut calculerP^u etu^v et s’assurer que leur produit donne bienα^M modulo-p.

Digital Signature Standard (fin)

Pour signer le messageMsans connaˆıtreson est face `a un probl `eme difficile : trouveru etv v ´erifiant

α^M =P^uu^v mod(p)

probl `eme qui n ´ecessite a priori le calcul d’un logarithme.

En conclusion, tout le monde sait certifier le message comme provenant d’Alice mais seule Alice peut authentifier ses

messages. Pour cela Alice utilise astucieusementl’exponentielle modulaire et le petit th ´eor `eme de Fermat.

Remarque :en g ´en ´eral, le messageM que signe Alice n’est pas le message en clair directement (il faudrait pour le coder un nombreM beaucoup trop grand). On utilise alors unefonction de hachagequi fait correspondre au message en clair (de grande taille) un nombreM de quelques milliers de bits.

Ce nombreM,”intriqu ´e”au message complet, est alors sign ´e par DSS.

RSA

RSA invent ´e par Rivest, Shamir et Adleman en 1977 : Ce syst `eme di-sym ´etrique s’appuie sur la difficult ´e de factoriser un grand nombren (plusieurs milliers de bits) qui est le produit de deux grands nombres premierspetq:cl ´e publique(n,e),aveceinversible modulo

ϕ(n) = (p−1)(q−1),cl ´e secr `eted, l’inverse deemodulo(p−1)(q−1). Chiffrement d’un message en clair d ´efini par un entierM mod(n)se fait par la transformation suivante :

M 7→M^e mod(n).

D ´echiffrement : Bob rec¸oit via un canal publicA=M^e. Pour d ´echiffrer, il lui suffit d’ ´eleverA`a la puissanced o `ud,la cl ´e secr `ete, est l’inverse de emoduloϕ(n) = (p−1)(q−1). On sait en utilisant leth ´eor `eme

d’Euler-Fermat et le th ´eor `eme chinoisqueM^kϕ(n)+1=M mod(n),donc A^d = (M^e)^d=M^ed=M mod(n)

cared=1+rϕ(n)pour un certainr.

RSA (fin)

Remarquons maintenant que le grand m ´echant Oscar doit trouver M v ´erifiant

A=M^e mod(n)

en ne connaissant queA,eetn. On ne sait pas comment faire un tel calcul en temps polyn ˆomial sans connaˆıtreϕ(n). Comme, ϕ(n) = (p−1)(q−1)etn=pqcela revient `a connaˆıtrep etq.

On ne sait pas `a l’heure actuelle d ´emontrer qu’il n’existe pas d’algorithme polyn ˆomial qui donne, quand c’est possible, un diviseur non trivial d’un nombren. Le premier qui donne la d ´emonstration de cette non existence empoche 1 Million de $ car il aura alors montr ´e la grande conjecture de la th ´eorie de la complexit ´e :P6=NP.

RSA en mode signature

En mode signature, il suffit de permuter le r ˆole deeetd. Ainsi, Alice choisitpetqdeux grands nombres premiers et communique sasignature officielle sous la forme de(n=pq,e)o `ueest

inversible par rapport `aϕ(n).

Alice garde bien-s ˆur sacl ´e secr `eted qui est l’inverse deemodulo ϕ(n). Pour signer son message Alice envoie `a BobMet sa

signatureM^d.

Alors Bob authentifie le message comme provenant d’Alice en v ´erifiant que(M^d)^e=M mod(n)qui signifie implicitement que l’exp ´editeur connaˆıt un inverse deemoduloϕ(n)et donc la factorisation den. Ce ne peut donc ˆetre qu’Alice.

Exo:Imaginer un syst `eme de monnaie ´electronique anonyme utilisant la fonction puissance de RSA (solution : voir la suite et aussi cours de Z ´emor).

Exercice : la monnaie ´electronique

Imaginer un syst `eme de monnaie ´electronique faisant intervenir trois acteurs, labanquequi ´emet la monnaie, l’utilisateurde la monnaie

´emise par la banque, levendeurqui est pay ´e avec la monnaie ´emise par la banque. Le syst `eme doit satisfaire au minimum les deux contraintes suivantes :

Assurer un paiement anonyme.

Impossibilit ´e de fausse monnaie.

On supposera que,

pour l’ ´emission de la monnaie, l’utilisateurcontacte labanqueo `u il a un compte approvisionn ´e.

lors du paiement levendeurcontacte labanquequi a ´emis la monnaie que lui donne l’utilisateuren ´echange du bien qu’il ach `ete.

Indication :utiliser la fonction puissance du RSA conjointement `a une fonction `a sens uniquef.

La monnaie ´electronique (solution de l’exercice)

La banque poss `eden=pqeteinversible moduloϕ(n), d’inversed.

Elle garde secretp,q etd. Elle ne communique quenete. On

dispose aussi d’unefonction `a sens uniquef de{1, . . . ,n−1}dans lui m ˆeme.Sont publics :n,eet la fonctionf.

L’utilisateur U souhaite une unit ´e de monnaie. Il choisit

al ´eatoirementr etx modulon, calculeY =r^ef(x) mod (n)et envoie uniquementY `a la banque.

La banque calculeZ =Y^d mod(n), pr ´el `eve le compte de U et communiqueZ `a U. Celui ci divise alorsZ parr pour en d ´eduire X =f(x)^d mod(n).

L’unit ´e demonnaie ´electroniqueest alors(x,X). Si U souhaite payer anonymement avec(x,X), le vendeur v ´erifie bien quef(x) =X^e mod (n)et contacte la banque pour savoir si le billet(x,X)n’a pas d ´ej `a ´et ´e utilis ´e. La banque est incapable de remonter `a l’utilisateur U (r joue le r ˆole demasque vis `a vis de la banque).

Exo:A quoi sert la fonction `a sens uniquef?

Identification et preuve sans transfert de connaissance

LeprouveurP d ´etient le secrets∈ {1, . . . ,p−1}et est identifi ´e parI=α^s mod(p)avecppremier etαprimitif modulo p. Il s’agit de convaincre le v ´erificateurV que P est bien celui qui connaˆıt le logarithme deI.

P choisitr mod(p−1)al ´eatoire, calculet=α^r mod(p)et envoiet `a V.

V choisit un bit al ´eatoire=0 ou 1 et l’envoie `a P. Si=0, P renvoie x =r mod(p−1)`a V ; si=1, P renvoiex =r+s mod(p−1)`a V.

V v ´erifie queα^x =It mod(p).

Apr `esk ´echanges de ce typeV est convaincu, avec la probabilit ´e de 1−2^−k queP est bien de d ´etenteur du logarithme discret deI. Maintenant,

l’information qu’a obtenueV n’est qu’une liste d’entiers al ´eatoiresx et leurs exponentiellesα^x mod(p), liste que V aurait pu construire sans passer par P.

Exo:Monnaie ´electroniqueEn d ´eduire une extension de la monnaie

´electronique pr ´ec ´edente qui ´evite au vendeur de contacter la banque au moment de la transaction et qui interdit aussi `a l’utilisateur d’utiliser plusieurs fois le m ˆeme couple(x,X)sans r ´ev ´eler du m ˆeme coup son identit ´e.

Monnaie ´electronique sans contact vendeur/banque (solution de l’exo) On reprend ce qui pr ´ec `ede avec comme donn ´ees publiques fournies par la banque ´emettrice : un entier RSAn, un exposant RSAeet une fonction `a sens uniquef. On d ´ecomposex = (u,v)en deux parties (uetv sont deux chaˆınes de bits de m ˆeme longueur formant l’ ´ecriture binaire dex). On consid `ere en plus une autre fonction `a sens uniquegtelle queuetv sont obtenus viagpar

u=g(a,b), v =g(a+U,c)

o `ua,b,c sont choisis au hasard (choix qui remplace le choix dex) et o `uU identifie celui qui poss `ede la monnaie, l’utilisateur.

En fait une unit ´e de monnaie ´electronique est caract ´eris ´ee par unk-uple (x_i,X_i)_1≤i≤k o `up^e

f(x_i) =X_i,x_i = (u_i,v_i),u_i =g(a_i,b_i),v_i =g(a_i+U,c_i)avec k assez grand (quelques dizaines). L’utilisateur connaˆıt pour chaquei, a_i,b_i,c_i. L’utilisateur paie le vendeur via le protocole suivant : le vendeur choisit al ´eatoirement(_i)_1≤i≤k dans{0,1}et communique son choix `a l’utilisateur. Pour chaquei, l’utilisateur communique au vendeur

(z_i¹,z_i²,z_i³,z_i⁴) =

(ai,bi,vi,Xi) si_i =0 ; (a_i+U,c_i,u_i,X_i) si_i =1 ;

qui en d ´eduitx_i et v ´erifie quef(x_i) =X_i^esans communiquer avec la banque.

Monnaie ´electronique sans contact vendeur/banque (suite)

Si l’utilisateur utilise deux fois la m ˆeme monnaie ´electronique (x_i,X_i)1≤i≤k aupr `es de deux vendeurs diff ´erents, il d ´evoile du m ˆeme coup son identit ´eU avec une probabilit ´e de 1−1/2<sup>k</sup>. Du d ´ep ˆot `a la banque de la m ˆeme monnaie ´electronique par deux vendeurs diff ´erents, les(z_i¹,z_i²,z_i³,z_i⁴, _i)pour le premier vendeur et les(¯z_i¹,z¯_i²,z¯_i³,z¯_i⁴,¯_i)pour le second, on n’a qu’une chance sur 1/2^k pour que∀i,i= ¯i. Avec une probabilit ´e de 1−1/2^k il existe unr tel quer 6= ¯r. Il est tr `es facile `a la banque de remonter `a l’utilisateurU avec la diff ´erence dez_r¹et¯z_r¹.

Monnaie ´electronique sans contact vendeur/banque (fin)

La banque doit cependant v ´erifier que lors de la fabrication des(x_i,X_i), l’utilisateur a bien mis son identifiantUet pas celui de son meilleur ennemi.

Pour cela on modifie le protocole d’ ´emission entre la Banque et l’utilisateurU.

L’utilisateurUchoisit al ´eatoirement(r_i,a_i,b_i,c_i), calculex_i = (u_i,v_i)avec u_i =g(a_i,b_i),v_i =g(a_i+U,c_i)et transmet `a la banque 2k entiers Y_i =r_i^ef(x_i) mod(n).

La banque calcule lesZ_i =√^e

Y_i =Y_i^d mod(n), pr ´el `eve le compte deU et communique lesZ<sub>i</sub> `aU. Celui ci divise alorsZ_i parr_i pour en d ´eduire X_i =p^e

f(x_i) mod(n).

La banque v ´erifie que l’utilisateur n’a pas trich ´e. Elle tire au hasardk entiers entre 1 et 2k, demande `aUpour chacun de cesk entiersi, (ri,ai,bi,ci), et v ´erifie que lesYi d ´ej `a communiqu ´es parUsont bien de la former_i^ef((g(ai,bi),g(ai +U,ci)).

A la fin de ce protocole, lesk entiers restant permettent de former la monnaie

´electronique anonyme queUne peut utiliser plusieurs fois sans ˆetre t ˆot ou tard d ´emasqu ´e par la banque (avec une probabilit ´e de 1−1/2^k).