360 likes | 438 Views
Schéma d’identification de Cayrel - Véron - ElYousfi. Anne-Sophie Tirloy Julien Armenti . Sommaire. Introduction Pré requis Présentation du schéma Sécurité et propriétés Conclusion. Introduction. Schéma d’identification de Cayrel - Véron - ElYousfi :.
E N D
Schéma d’identification de Cayrel-Véron- ElYousfi Anne-Sophie Tirloy Julien Armenti
Sommaire • Introduction • Pré requis • Présentation du schéma • Sécurité et propriétés • Conclusion
Introduction Schéma d’identification de Cayrel-Véron-ElYousfi : • Système d’identification à divulgation nulle de connaissance • Probabilité de triche à chaque tour de ½ • Protocole en 5 passes
Pré-requis H: matrice de taille r * n y: vecteur de F2n ω :entier positif Problème du décodage par syndrome binaire : Existe-il « s» vecteur de de F2n de poids « ω » tel que H* t s = y ? Problème NP-complet Démontré en 1978
Elargissement du problème précédent de F2n à Fqn H: matrice de taille r * n y: vecteur de Fqn ω :entier positif Problème du décodage par syndrome q-aire : Existe-il « s» vecteur de de Fqnde poids « ω » tel que H* t s = y ? Problème NP-complet Démontré en 1994 5
Borne de Gilbert-Varshamov q-aire On choisit ω=d0 de façon à optimiser la complexité de l’algorithme d’attaque par ensemble d’information et ainsi rendre plus difficile le décodage. 6 6
Présentation du schéma La fonction : Avec une permutation de l’ensemble telle que Avec pour propriété : où, wt(x) est le poids de x
Génération de la clé : Choix de n, k, ωet q rendu public H et s choisit aléatoirement Calcul de y On obtient :
Identification: Prouveur P Vérifieur V P veut prouver à V qu’il connait bien le secret.
Identification: Prouveur P Vérifieur V P veut prouver à V qu’il connait bien le secret.
Identification: Prouveur P Vérifieur V c1, c2
Identification: Prouveur P Vérifieur V c1, c2 α
Identification: Prouveur P Vérifieur V c1, c2 α β
Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b
Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b Σ, γ Si b = 0 :
Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b Σ, γ Si b = 0 : Πγ,Σ(e) Si b = 1 :
Sécurité et propriétés • Completeness • Zero-Knowledge
Completeness Prouveur P honnête b = 0 H* t s = y wt(s) = ω (y de poids ω) ET b = 1 100% de réussite d’identification
Zero-Knowledge Un utilisateur malhonnête peut tricher lors de l’identification mais il n’obtiendra pas d’information sur le secret.
2 possibilités de triche Prouveur P malhonnête b = 0 H* t s = y wt(s) = ω (y de poids ω) OU b = 1 Probabilité de triche = 1/2
Stratégie 0 • Choisit u, γ, et Σ au hasard • Résout H* t s = y • sans satisfaire la condition wt(s) = ω • Reconstruit c1 • Génère c2 au hasard • Peut donc répondre au challenge b = 0
Stratégie 0 c1, c2 α β b=0 Σ, γ
Stratégie 1 • Choisit u, γ, et Σ au hasard • Choisit y tel que wt(s) = ω • sans satisfaire la condition H* t s = y • Génère c1 au hasard • Reconstruit c2 • Peut donc répondre au challenge b = 1
Stratégie 1 c1, c2 α β b=1 Πγ,Σ(e)
c1, c2 c1 et c2 de longueur ℓh 26
c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N 27
c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n 28
c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n Challenge b 1 bit 0 ou 1 29
c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n Challenge b 1 bit 0 ou 1 Σ, γ De longueur ℓΣ +ℓγ Πγ,Σ(e) De longueur N*n 30
Conclusion En comparaison avec le protocole de Stern : • Taille de la communication réduite • Sécurité plus élevée • Clé publique plus petite
Comparaison de la probabilité de triche avec d’autres schémas :
Amélioration possible : • La connaissance, et donc la transmission des paramètres publics est primordiale au schéma. • La taille de H peut être diminuée : • -> matrice spéciale, calcul plus facile algorithmiquement • -> Transmission plus rapide
Décodage par ensemble d’information : Algorithme de Stern (1989) On cherche « y » de longueur « n » et de poids inférieur ou égal à « t » satisfaisant H*ty = S 36 36 36