La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

DEVES Nicolas ROGER Rémi

Présentations similaires


Présentation au sujet: "DEVES Nicolas ROGER Rémi"— Transcription de la présentation:

1 DEVES Nicolas ROGER Rémi
Partage de secret DEVES Nicolas ROGER Rémi

2 Plan de la présentation
Secret « morcelé » (secret splitting) Secret « réparti » (secret sharing) : schéma à seuil (threshold scheme) Secret réparti généralisé 03/02/2004

3 Secret morcelé (secret splitting)

4 Secret morcelé : introduction
Idée : créer des morceaux à partir d’un message secret, tels qu’aucun morceau n’a de signification, mais en les réunissant tous le message est retrouvé Motivations : utiliser une confiance distribuée, partagée, pour des activités critiques Ex : signature de chèques d’une entreprise, ouverture d’un coffre de banque, … Principe vu en cours à propos de la fragmentation des clefs 03/02/2004

5 Secret morcelé : principe
Soit M le message secret à partager Tirer une chaîne aléatoire de bits, R, de même longueur que M Calculer S = M  R R et S sont les deux morceaux du message M R et S séparés n’ont aucune signification car ce sont des chaînes aléatoires Pour retrouver le message : M = R  S 03/02/2004

6 Secret morcelé : principe
Il est aisé d’étendre ce schéma à plusieurs personnes : il suffit de combiner d’autres chaînes aléatoires avec le message Pour partager en 4 morceaux : Engendrer 3 chaînes aléatoires de bits, R, S, T de même longueur que M Calculer U = M  R  S  T Distribuer R, S, T, U Reconstitution du message : M = U  R  S  T 03/02/2004

7 Secret morcelé : principe
A la place des « Ou exclusif », il est possible d’utiliser des additions modulaires Soit M le nombre secret à partager, tel que 0 =< M < m, m entier quelconque Générer un nombre aléatoire R, tel que 0 =< R < m Les 2 morceaux sont R et (M – R) mod m Exemple : M = 5, m = 12 R = 9 aléatoirement tiré entre 0 et 11 S = (5 – 9) mod 12 = 8 Reconstruction : (8 + 9) mod 12 = 5 03/02/2004

8 Secret morcelé : remarques
Autre idée de partage de secret : Couper un message de longueur L en n morceaux de longueur L / n Très mauvaise idée car cela réduit le nombre d’essais pour trouver le secret par la force brute : Une clé de longueur L = 56 bits, 2 morceaux de 28 bits 228 essais chacun au lieu de 256 03/02/2004

9 Secret réparti (secret sharing)

10 Secret réparti : introduction
Dans le mécanisme précédent, si un morceau est perdu, il n’est plus possible de reconstituer le secret Dans ce schéma, le secret est réparti entre n personnes, et il suffit que t d’entre elles mettent en commun leur part pour reconstituer le secret : ceci est appelé un schéma à seuil (t,n) D’après le « Time Magazine » du 4 mai 1992, un exemple réel d’utilisation de tels mécanismes est le contrôle du lancement des missiles nucléaires. Il faut que 2 des 3 personnes suivantes soient présentes : le Président, le Ministre de la Défense (Defense Minister) et le Ministère de la Défense (Defense Ministry). 03/02/2004

11 Secret réparti : introduction
Il est possible de donner plus s’importance à certaines personnes en leur confiant plusieurs parts Ex : Un général peut lancer des missiles mais il faut deux colonels pour faire la même chose, un seul ne peut rien faire Solution : utiliser un schéma à seuil (2,4), donner 1 part à chaque colonel et 2 parts au général 03/02/2004

12 Critères de qualité des systèmes de partage de secret
Sytème parfait : La connaissance de t-1parts n’apporte aucune information Taux d’information : (taille en bits du secret) / (taille en bits d’une part) Schéma idéal : Taux d’information = 1, c’est-à-dire taille d’une part = taille du secret Extensible à de nouveaux utilisateurs Possibilité de donner plus d’importance à certaines personnes Ne repose pas sur des choses non prouvées ou difficiles à faire 03/02/2004

13 Mécanisme de Shamir Basé sur l’interpolation des polynômes et sur le fait qu’un polynôme de degré t-1 est déterminé de façon unique par t points distincts Les t points distincts définissent t équations linéairement indépendantes à t inconnues 03/02/2004

14 Mécanisme de Shamir : partage du secret
Soit S un entier > 0, le secret à partager entre n personnes Choisir un nombre premier p > max(S,n) Définir a0 = S Choisir t-1 coefficients aléatoires a1,…,at-1 compris entre 0 et p-1 03/02/2004

15 Mécanisme de Shamir : partage du secret (suite)
Les coefficients a0,…,at-1 définissent un polynôme aléatoire sur Zp : Calculer les points Si = f(i) mod p, 1 =< i =< n Donner une part Si à chacune des n personnes concernées Détruire les coefficients aj une fois que les parts ont été distribuées 03/02/2004

16 Mécanisme de Shamir : reconstitution du secret
N’importe quel groupe de t personnes qui mettent en commun leur part peuvent reconstituer le secret Les t parts fournissent t points distincts (x,y) = (i,Si) qui vont permettre de calculer les coefficients a0,…,at-1 du polynôme f(x) par l’interpolation de Lagrange Le secret S est a0 = f(0) 03/02/2004

17 Mécanisme de Shamir : interpolation de Lagrange
Les coefficients d’un polynôme f(x) de degré inférieur à t, défini par les points (xi,yi), 1 =< i =< t, sont donnés par la formule de l’interpolation de Lagrange : 03/02/2004

18 Mécanisme de Shamir : reconstitution du secret (suite)
S = a0 = f(0), donc d’après la formule précédente : S s’exprime donc comme une combinaison linéaire des t parts yi puisque les ci sont des constantes non secrètes (qui peuvent être calculées à l’avance pour un groupe de t personnes) avec 03/02/2004

19 Mécanisme de Shamir : exemple
Schéma à seuil (3,5) : n = 5, t = 3 Secret : S = 11 p = 13 a0 = S = 11 a1 = 8 et a2 = 7 choisis aléatoirement f(x) = (7x² + 8x + 11) mod 13 03/02/2004

20 Mécanisme de Shamir : exemple (suite)
Calcul des 5 parts : S1 = f(1) = ( ) mod 13 = 0 S2 = f(2) = ( ) mod 13 = 3 S3 = f(3) = ( ) mod 13 = 7 S4 = f(4) = ( ) mod 13 = 12 S5 = f(5) = ( ) mod 13 = 5 03/02/2004

21 Mécanisme de Shamir : exemple (suite)
Reconstitution du secret à partir de S2, S3 et S5 avec l’interpolation de Laplace: c2 = 5 c3 = -5 c5 = 1 S = (c2*S2 + c3*S3 + c5*S5) mod 13 = -15 mod 13 = 11 A la place de l’interpolation de Laplace, on peut aussi résoudre le système linéaire à 3 équations et 3 inconnues formé par les coordonnées des 3 points : a2 * 2² + a1 * 2 + S = 3 mod 13 a2 * 3² + a1 * 3 + S = 7 mod 13 a2 * 5² + a1 * 5 + S = 5 mod 13 03/02/2004

22 Schéma vectoriel de Blakley
Le message secret est défini comme un point dans un espace à t dimensions Chaque part est l’équation d’un hyperplan de m-1 dimensions qui inclut ce point L’intersection de n’importe quel ensemble de m de ces hyperplans détermine exactement le point secret Un hyperplan est un ensemble de dimension inférieure de 1 à celle de l’espace Par exemple si 3 parts sont nécessaires pour reconstruire le message, alors c’est un point dans un espace de dimension 3. Les parts sont des plans différents. Avec une part, on sait que le point est dans le plan, avec 2 parts on sait que le point est sur la droite d’intersection, avec 3 parts le point est à l’intersection des 3 plans. 03/02/2004

23 Répartition de secret avec Tricheurs
Comment tricher avec schéma à seuil? Révélation d’une partie non valide  Impossible de savoir qui empêche décodage Envoi d’un faux message  Possibilité de découvrir toutes les parts  Possibilité de s’intégrer au secret La personne attend les parts, fabrique une part valide et peut faire semblant d’être dans le secret 03/02/2004

24 Répartir un secret sans que personne ne connaisse le secret complet
Schéma type d’une banque: Il faut n clés tournées en même temps pour ouvrir la porte Exemple : 3 employés parmi 5 = seuil(3,5) Personne ne connaît secret entier Protocole : N acteurs, N parts distribuées 03/02/2004

25 Répartir un secret sans révélation des parts
Problème : quand on veut reconstruire le secret, on doit révéler sa partie Comment éviter cela? Exemple: Secret partagé est une clé privée Les acteurs signent partiellement un document Clé révélée après dernière signature partielle Document utilisé sans opérateur de confiance 03/02/2004

26 Secret réparti vérifiable
Problème: On a un secret réparti à N personnes Comment savoir si chacun à une part valide sans reconstruire le secret?  Impossible Existe protocole ou chaque individu peut savoir si il possède une part valide sans reconstruire secret complet 03/02/2004

27 Secret réparti avec veto
Problème : Secret réparti sur X acteurs sachant que moins de M acteurs nécessaires pour reconstituer le secret Comment réaliser un veto? Principe : Chacun reçoit deux parts, un « oui », un « non » Au moment de reconstruire, chacun donne une de ses parts Si au moins M parts « oui » et au plus N parts « non », alors secret reconstruit Inconvénient: Acteurs du « oui » peuvent se voir sans les autres Parades : tous les acteurs doivent s’exprimer 03/02/2004

28 Secret réparti avec désistement
Exemple: Comment exclure quelqu’un d’un système de secret réparti sans instaurer un nouveau schéma? Existe méthodes pour: Copier le système actuel Activer instantanément nouveau schéma 03/02/2004

29 Secret réparti généralisé
Principe Extensions

30 Secret réparti généralisé
Principe: Secret partagé sur plusieurs acteurs Détermine les sous groupes d’acteurs qui peuvent reconstruire le secret complet Détermine les sous groupes d’acteurs qui ne peuvent pas reconstruire le secret complet  Si un acteur non autorisé donne sa partie, le secret, ni une de ses parties, n’est pas révélé 03/02/2004

31 Secret réparti généralisé
En vert permis, en rouge pas permis 03/02/2004

32 Secret réparti généralisé
Extension: Clé d’activation : une partie envoyée à la fin pour activer le secret Secret dynamique: le secret révélé varie selon les parties mises en commun Détection de tricheurs Secret vérifiable Secret avec désistement 03/02/2004

33 Bibliographie La Cryptographie appliquée – 2e édition, Bruce Schneier : chapitres 3 et 23 Handbook of Applied Cryptography, chapter 12 (http://www.cacr.math.uwaterloo.ca/hac/) Cryptographie, Théorie et Pratique – 1e édition, Douglas Stinson : chapitre 11 (Chapitre supprimé dans la 2e édition) 03/02/2004

34 Merci de votre attention….
03/02/2004


Télécharger ppt "DEVES Nicolas ROGER Rémi"

Présentations similaires


Annonces Google