Identity-based identification and signature schemes using correcting codes. KLEIN Pauline - COUTUROU Jeanne

Introduction La cryptographie basée sur l’identité : clé publique Alice (ID) clé privée à partir ID AUTORITE Prouver qu’elle connait sa clé privée sans la dévoiler KLEIN Pauline - COUTUROU Jeanne

Sommaire : Introduction. I/ Schémas nécessaires à la réalisation du protocole. II/ Protocole d’identification basé sur l’identité. III/ Sécurité du protocole. Conclusion. KLEIN Pauline - COUTUROU Jeanne

I / Schémas nécessaires à la réalisation du protocole. Combinaison de deux schémas : CFS + Stern On cherche à montrer à Bob que l’on connait un « s » tel que H*s=IDalice sans le dévoiler. Le protocole IBS (identity based signature) IBI (identity based identification) KLEIN Pauline - COUTUROU Jeanne

I / Schémas nécessaires à la réalisation du protocole. Signature CFS : M message à signer, h fonction de hachage dans On cherche s de poids t tel que Algorithme : On a le couple {s,j} tel que KLEIN Pauline - COUTUROU Jeanne

I / Schémas nécessaires à la réalisation du protocole. Clé publique : (H, t) Ia Clé privée : Sa Stern : divulgation nulle de connaissance Etape 1 : reçoit Sa de n bits et de poids t: AUTORITE Alice calcule Ia = H*Sa Alice choisit : y de n bits aléatoire une permutation σ de {1,2,…n} KLEIN Pauline - COUTUROU Jeanne

I / Schémas nécessaires à la réalisation du protocole. Clé publique : (H, t) Ia Clé privée : (Sa) y, σ Etape 2: b Є {0,1,2} b=0 => y, σ b=1 => (y+Sa), σ b=2 => σ (y), σ (Sa) H(y+Sa)+Ia=H(y+Sa) + H(Sa) = H(y) C1 et C2 <= b=0 C1 et C3 <= b=1 C2,C3 et poids de σ (Sa)=t <= b=2 KLEIN Pauline - COUTUROU Jeanne

II/ Protocole d’identification basé sur l’identité. idA Ida : identité d’Alice. Protocole : Alice s’authentifie auprès de Bob. Au lieu d’utiliser une matrice quelconque H on utilise une matrice non aléatoire fournie par l’autorité telle que Ida, H’ : publiques. Décomposition de H’ : privée. KLEIN Pauline - COUTUROU Jeanne

II/ Protocole d’identification basé sur l’identité. Etape 1 : Alice récupère sa clé auprès de l’autorité à partir de son identité (sa clé publique).  h fonction de hachage, on veut trouver s tel que KLEIN Pauline - COUTUROU Jeanne

II/ Protocole d’identification basé sur l’identité. On obtient la clé privée de la façon suivante en appliquant l’algorithme CFS : Couple clé privée : (s,j) tel que Clé publique d’Alice KLEIN Pauline - COUTUROU Jeanne

II/ Protocole d’identification basé sur l’identité. Etape 2 : Alice s’identifie auprès de Bob  Stern. et j. b Є {0,1,2} b=0 => y, σ b=1 => (y+S), σ b=2 => σ (y), σ (S) C1 et C2 <= b=0 C1 et C3 <= b=1 C2,C3 et poids de σ (S)=t <= b=2 KLEIN Pauline - COUTUROU Jeanne

III/ Sécurité du protocole Sécurité est liée au choix des paramètres du CFS : - difficile de retrouver {Sa,j} tels que h(ida+j)= *Sa Sans connaitre la décomposition de - Limiter le nombre d’essais pour déterminer j (on veut diminuer le coût de calcul de Sa) KLEIN Pauline - COUTUROU Jeanne

III/ Sécurité du protocole On cherche le coût pour que l’autorité retrouve {Sa,j} tels que h(ida+j)= *Sa Elle connait =QHP t!*t²*m²*(1/2 + 2 + 6/m) opérations En corrigeant t erreurs, on a 1/t! chance de tomber dans une boule ! On répète donc t! fois l’expérience pour pouvoir être dans une boule à coup sûr On compare au coût pour retrouver {Sa,j} sans connaitre QHP : 2^(t*m*(1/2+o(1))) KLEIN Pauline - COUTUROU Jeanne

III/ Sécurité du protocole On utilise la famille de code de Goppa pour résoudre le Schéma de CFS => matrices de la forme : h(ida+j)= *Sa Clé privée Clé publique KLEIN Pauline - COUTUROU Jeanne

Conclusion. 1er Schéma proposé sans utiliser de problème basé sur la théorie des nombres Mais : Grande taille de signature code utilisé dans CFS est très long (2^16 au lieu de 2^9) (≠ Stern) - Coût de communication important KLEIN Pauline - COUTUROU Jeanne