anne-sophie tirloy julien armenti 1. sommaire introduction pré requis présentation du schéma...
TRANSCRIPT
1
Schéma d’identification de Cayrel-Véron- ElYousfi
Anne-Sophie Tirloy
Julien Armenti
2
SommaireIntroductionPré requis Présentation du schémaSécurité et propriétésConclusion
3
Introduction
Schéma d’identification de Cayrel-Véron-ElYousfi :
Système d’identification à divulgation nulle de connaissance
Probabilité de triche à chaque tour de ½
Protocole en 5 passes
4
Pré-requis
Existe-il « s» vecteur de de F2
n de poids « ω » tel que
H* t s = y ?
Problème NP-complet
Démontré en 1978
H: matrice de taille r * n
y: vecteur de F2
n
ω :entier positif
Problème du décodage par syndrome binaire :
55
Problème du décodage par syndrome q-aire :
H: matrice de taille r * n
y: vecteur de Fq
n
ω :entier positif
Problème NP-complet
Elargissement du problème précédent de F2
n à
Fq
n
Démontré en 1994
Existe-il « s» vecteur de de Fq
n de poids « ω » tel que
H* t s = y ?
666
Borne de Gilbert-Varshamov q-aire
On choisit ω =d0 de façon à optimiser la complexité de l’algorithme d’attaque par ensemble d’information et ainsi rendre plus difficile le décodage.
7
Présentation du schémaLa fonction
:
Avec une permutation de l’ensemble
telle que
Avec pour propriété :
où, wt(x) est le poids de x
8
Génération de la clé :
Choix de n, k, ω et q rendu public
H et s choisit aléatoirement
Calcul de y
On obtient :
9
Identification:
Prouveur P
Vérifieur V
P veut prouver à V qu’il connait bien le secret.
10
Identification:
Prouveur P
Vérifieur V
P veut prouver à V qu’il connait bien le secret.
11
Identification:
Prouveur P
Vérifieur Vc1, c2
12
Identification:
Prouveur P
Vérifieur Vc1, c2
α
13
Identification:
Prouveur P
Vérifieur Vc1, c2
α
β
14
Identification:
Prouveur P
Vérifieur Vc1, c2
α
β
Challenge b
15
Identification:
Prouveur P
Vérifieur Vc1, c2
α
β
Challenge b
Σ, γSi b = 0 :
16
Identification:
Prouveur P
Vérifieur Vc1, c2
α
β
Challenge b
Σ, γ
Πγ,Σ(e)Si b = 1 :
Si b = 0 :
17
Sécurité et propriétés
Completeness
Zero-Knowledge
18
Completeness
Prouveur P honnête
H* t s = y
wt(s) = ω (y de poids ω)
b = 0
b = 1
ET
100% de réussite d’identification
19
Zero-Knowledge
Un utilisateur malhonnête peut tricher lors de l’identification mais il n’obtiendra pas d’information sur le secret.
20
Prouveur P
malhonnête
2 possibilités de triche
H* t s = y
wt(s) = ω (y de poids ω)
Probabilité de triche = 1/2
b = 0
b = 1
OU
21
Stratégie 0
Choisit u, γ, et Σ au hasard
Résout H* t s = y sans satisfaire la condition wt(s) = ω
Reconstruit c1
Génère c2 au hasard
Peut donc répondre au challenge b = 0
22
Stratégie 0
α
β
b=0
Σ, γ
c1, c2
23
Stratégie 1
Choisit u, γ, et Σ au hasard
Choisit y tel que wt(s) = ωsans satisfaire la condition H* t s = y
Génère c1 au hasard
Reconstruit c2
Peut donc répondre au challenge b = 1
24
Stratégie 1
α
β
b=1
c1, c2
Πγ,Σ(e)
2525
Taille de la communication
26
c1, c2
26
c1 et c2 de longueur ℓh
27
c1, c2
α
27
c1 et c2 de longueur ℓh
Element de Fq de longueur N
28
c1, c2
α
β
28
c1 et c2 de longueur ℓh
De longueur N*n
Element de Fq de longueur N
29
c1, c2
α
β
29
c1 et c2 de longueur ℓh
De longueur N*n
Challenge b0 ou 1 1 bit
Element de Fq de longueur N
30
c1, c2
α
β
30
c1 et c2 de longueur ℓh
Element de Fq de longueur N
De longueur N*n
Challenge b0 ou 1 1 bit
Σ, γ
Πγ,Σ(e)De longueur N*n
De longueur ℓΣ +
ℓγ
31
δ : Nombre de tours
32
Taille de la communication réduite
Sécurité plus élevée
Clé publique plus petite
Conclusion
En comparaison avec le protocole de Stern :
33
Comparaison de la probabilité de triche avec d’autres schémas :
34
Amélioration possible :
• La connaissance, et donc la transmission des paramètres publics est primordiale au schéma.
• La taille de H peut être diminuée : -> matrice spéciale, calcul plus facile algorithmiquement -> Transmission plus rapide
35
36363636
Décodage par ensemble d’information : Algorithme de Stern (1989)
On cherche « y » de longueur « n » et de poids inférieur ou égal à « t » satisfaisant H*ty = S