La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Partage de secret DEVES Nicolas ROGER Rémi. 03/02/2004 2 Plan de la présentation Secret « morcelé » (secret splitting) Secret « réparti » (secret sharing)

Présentations similaires


Présentation au sujet: "Partage de secret DEVES Nicolas ROGER Rémi. 03/02/2004 2 Plan de la présentation Secret « morcelé » (secret splitting) Secret « réparti » (secret sharing)"— Transcription de la présentation:

1 Partage de secret DEVES Nicolas ROGER Rémi

2 03/02/ Plan de la présentation Secret « morcelé » (secret splitting) Secret « réparti » (secret sharing) : schéma à seuil (threshold scheme) Secret réparti généralisé

3 Secret morcelé (secret splitting)

4 03/02/ Secret morcelé : introduction Idée : créer des morceaux à partir dun message secret, tels quaucun morceau na de signification, mais en les réunissant tous le message est retrouvé Motivations : utiliser une confiance distribuée, partagée, pour des activités critiques –Ex : signature de chèques dune entreprise, ouverture dun coffre de banque, …

5 03/02/ Secret morcelé : principe Soit M le message secret à partager Tirer une chaîne aléatoire de bits, R, de même longueur que M Calculer S = M R R et S sont les deux morceaux du message M R et S séparés nont aucune signification car ce sont des chaînes aléatoires Pour retrouver le message : M = R S

6 03/02/ Secret morcelé : principe Il est aisé détendre ce schéma à plusieurs personnes : il suffit de combiner dautres chaînes aléatoires avec le message Pour partager en 4 morceaux : –Engendrer 3 chaînes aléatoires de bits, R, S, T de même longueur que M –Calculer U = M R S T –Distribuer R, S, T, U –Reconstitution du message : M = U R S T

7 03/02/ Secret morcelé : principe A la place des « Ou exclusif », il est possible dutiliser des additions modulaires Soit M le nombre secret à partager, tel que 0 =< M < m, m entier quelconque Générer un nombre aléatoire R, tel que 0 =< R < m Les 2 morceaux sont R et (M – R) mod m

8 03/02/ Secret morcelé : remarques Autre idée de partage de secret : Couper un message de longueur L en n morceaux de longueur L / n –Très mauvaise idée car cela réduit le nombre dessais pour trouver le secret par la force brute : –Une clé de longueur L = 56 bits, 2 morceaux de 28 bits –2 28 essais chacun au lieu de 2 56

9 Secret réparti (secret sharing)

10 03/02/ Secret réparti : introduction Dans le mécanisme précédent, si un morceau est perdu, il nest plus possible de reconstituer le secret Dans ce schéma, le secret est réparti entre n personnes, et il suffit que t dentre elles mettent en commun leur part pour reconstituer le secret : ceci est appelé un schéma à seuil (t,n)

11 03/02/ Secret réparti : introduction Il est possible de donner plus simportance à certaines personnes en leur confiant plusieurs parts Ex : Un général peut lancer des missiles mais il faut deux colonels pour faire la même chose, un seul ne peut rien faire Solution : utiliser un schéma à seuil (2,4), donner 1 part à chaque colonel et 2 parts au général

12 03/02/ Critères de qualité des systèmes de partage de secret Sytème parfait : La connaissance de t-1parts napporte aucune information Taux dinformation : (taille en bits du secret) / (taille en bits dune part) Schéma idéal : Taux dinformation = 1, cest-à-dire taille dune part = taille du secret Extensible à de nouveaux utilisateurs Possibilité de donner plus dimportance à certaines personnes Ne repose pas sur des choses non prouvées ou difficiles à faire

13 03/02/ Mécanisme de Shamir Basé sur linterpolation des polynômes et sur le fait quun polynôme de degré t-1 est déterminé de façon unique par t points distincts

14 03/02/ Soit S un entier > 0, le secret à partager entre n personnes Choisir un nombre premier p > max(S,n) Définir a 0 = S Choisir t-1 coefficients aléatoires a 1,…,a t-1 compris entre 0 et p-1 Mécanisme de Shamir : partage du secret

15 03/02/ Les coefficients a 0,…,a t-1 définissent un polynôme aléatoire sur Z p : Calculer les points S i = f(i) mod p, 1 =< i =< n Donner une part S i à chacune des n personnes concernées Mécanisme de Shamir : partage du secret (suite)

16 03/02/ Mécanisme de Shamir : reconstitution du secret Nimporte quel groupe de t personnes qui mettent en commun leur part peuvent reconstituer le secret Les t parts fournissent t points distincts (x,y) = (i,S i ) qui vont permettre de calculer les coefficients a 0,…,a t-1 du polynôme f(x) par linterpolation de Lagrange Le secret S est a 0 = f(0)

17 03/02/ Mécanisme de Shamir : interpolation de Lagrange Les coefficients dun polynôme f(x) de degré inférieur à t, défini par les points (x i,y i ), 1 =< i =< t, sont donnés par la formule de linterpolation de Lagrange :

18 03/02/ Mécanisme de Shamir : reconstitution du secret (suite) S = a 0 = f(0), donc daprès la formule précédente : S sexprime donc comme une combinaison linéaire des t parts y i puisque les c i sont des constantes non secrètes (qui peuvent être calculées à lavance pour un groupe de t personnes) avec

19 03/02/ Mécanisme de Shamir : exemple Schéma à seuil (3,5) : n = 5, t = 3 Secret : S = 11 p = 13 a 0 = S = 11 a 1 = 8 et a 2 = 7 choisis aléatoirement f(x) = (7x² + 8x + 11) mod 13

20 03/02/ Mécanisme de Shamir : exemple (suite) Calcul des 5 parts : –S 1 = f(1) = ( ) mod 13 = 0 –S 2 = f(2) = ( ) mod 13 = 3 –S 3 = f(3) = ( ) mod 13 = 7 –S 4 = f(4) = ( ) mod 13 = 12 –S 5 = f(5) = ( ) mod 13 = 5

21 03/02/ Mécanisme de Shamir : exemple (suite) Reconstitution du secret à partir de S 2, S 3 et S 5 avec linterpolation de Laplace: –c 2 = 5 –c 3 = -5 –c 5 = 1 –S = (c 2 *S 2 + c 3 *S 3 + c 5 *S 5 ) mod 13 = -15 mod 13 = 11

22 03/02/ Schéma vectoriel de Blakley Le message secret est défini comme un point dans un espace à t dimensions Chaque part est léquation dun hyperplan de m-1 dimensions qui inclut ce point Lintersection de nimporte quel ensemble de m de ces hyperplans détermine exactement le point secret

23 03/02/ Répartition de secret avec Tricheurs Comment tricher avec schéma à seuil? –Révélation dune partie non valide Impossible de savoir qui empêche décodage –Envoi dun faux message Possibilité de découvrir toutes les parts Possibilité de sintégrer au secret La personne attend les parts, fabrique une part valide et peut faire semblant dêtre dans le secret

24 03/02/ Répartir un secret sans que personne ne connaisse le secret complet Schéma type dune banque: –Il faut n clés tournées en même temps pour ouvrir la porte –Exemple : 3 employés parmi 5 = seuil(3,5) –Personne ne connaît secret entier Protocole : N acteurs, N parts distribuées

25 03/02/ Répartir un secret sans révélation des parts Problème : quand on veut reconstruire le secret, on doit révéler sa partie Comment éviter cela? Exemple: –Secret partagé est une clé privée –Les acteurs signent partiellement un document –Clé révélée après dernière signature partielle –Document utilisé sans opérateur de confiance

26 03/02/ Secret réparti vérifiable Problème: –On a un secret réparti à N personnes –Comment savoir si chacun à une part valide sans reconstruire le secret? Impossible Existe protocole ou chaque individu peut savoir si il possède une part valide sans reconstruire secret complet

27 03/02/ Secret réparti avec veto Problème : –Secret réparti sur X acteurs sachant que moins de M acteurs nécessaires pour reconstituer le secret –Comment réaliser un veto? Principe : –Chacun reçoit deux parts, un « oui », un « non » –Au moment de reconstruire, chacun donne une de ses parts –Si au moins M parts « oui » et au plus N parts « non », alors secret reconstruit Inconvénient: Acteurs du « oui » peuvent se voir sans les autres Parades : tous les acteurs doivent sexprimer

28 03/02/ Secret réparti avec désistement Exemple: Comment exclure quelquun dun système de secret réparti sans instaurer un nouveau schéma? Existe méthodes pour: –Copier le système actuel –Activer instantanément nouveau schéma

29 Secret réparti généralisé Principe Extensions

30 03/02/ Secret réparti généralisé Principe: –Secret partagé sur plusieurs acteurs –Détermine les sous groupes dacteurs qui peuvent reconstruire le secret complet –Détermine les sous groupes dacteurs qui ne peuvent pas reconstruire le secret complet Si un acteur non autorisé donne sa partie, le secret, ni une de ses parties, nest pas révélé

31 03/02/ Secret réparti généralisé

32 03/02/ Secret réparti généralisé Extension: –Clé dactivation : une partie envoyée à la fin pour activer le secret –Secret dynamique: le secret révélé varie selon les parties mises en commun –Détection de tricheurs –Secret vérifiable –Secret avec désistement

33 03/02/ Bibliographie La Cryptographie appliquée – 2e édition, Bruce Schneier : chapitres 3 et 23 Handbook of Applied Cryptography, chapter 12 (http://www.cacr.math.uwaterloo.ca/hac/)http://www.cacr.math.uwaterloo.ca/hac/ Cryptographie, Théorie et Pratique – 1e édition, Douglas Stinson : chapitre 11 (Chapitre supprimé dans la 2e édition)

34 03/02/ Merci de votre attention….


Télécharger ppt "Partage de secret DEVES Nicolas ROGER Rémi. 03/02/2004 2 Plan de la présentation Secret « morcelé » (secret splitting) Secret « réparti » (secret sharing)"

Présentations similaires


Annonces Google