Schéma d’identification de Cayrel - Véron - ElYousfi

1. Schéma d’identification de Cayrel-Véron- ElYousfi Anne-Sophie Tirloy Julien Armenti

2. Sommaire • Introduction • Pré requis • Présentation du schéma • Sécurité et propriétés • Conclusion

3. Introduction Schéma d’identification de Cayrel-Véron-ElYousfi : • Système d’identification à divulgation nulle de connaissance • Probabilité de triche à chaque tour de ½ • Protocole en 5 passes

4. Pré-requis H: matrice de taille r * n y: vecteur de F2n ω :entier positif Problème du décodage par syndrome binaire : Existe-il « s» vecteur de de F2n de poids « ω » tel que H* t s = y ? Problème NP-complet Démontré en 1978

5. Elargissement du problème précédent de F2n à Fqn H: matrice de taille r * n y: vecteur de Fqn ω :entier positif Problème du décodage par syndrome q-aire : Existe-il « s» vecteur de de Fqnde poids « ω » tel que H* t s = y ? Problème NP-complet Démontré en 1994 5

6. Borne de Gilbert-Varshamov q-aire On choisit ω=d0 de façon à optimiser la complexité de l’algorithme d’attaque par ensemble d’information et ainsi rendre plus difficile le décodage. 6 6

7. Présentation du schéma La fonction : Avec une permutation de l’ensemble telle que Avec pour propriété : où, wt(x) est le poids de x

8. Génération de la clé : Choix de n, k, ωet q rendu public H et s choisit aléatoirement Calcul de y On obtient :

9. Identification: Prouveur P Vérifieur V P veut prouver à V qu’il connait bien le secret.

10. Identification: Prouveur P Vérifieur V P veut prouver à V qu’il connait bien le secret.

11. Identification: Prouveur P Vérifieur V c1, c2

12. Identification: Prouveur P Vérifieur V c1, c2 α

13. Identification: Prouveur P Vérifieur V c1, c2 α β

14. Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b

15. Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b Σ, γ Si b = 0 :

16. Identification: Prouveur P Vérifieur V c1, c2 α β Challenge b Σ, γ Si b = 0 : Πγ,Σ(e) Si b = 1 :

17. Sécurité et propriétés • Completeness • Zero-Knowledge

18. Completeness Prouveur P honnête b = 0 H* t s = y wt(s) = ω (y de poids ω) ET b = 1 100% de réussite d’identification

19. Zero-Knowledge Un utilisateur malhonnête peut tricher lors de l’identification mais il n’obtiendra pas d’information sur le secret.

20. 2 possibilités de triche Prouveur P malhonnête b = 0 H* t s = y wt(s) = ω (y de poids ω) OU b = 1 Probabilité de triche = 1/2

21. Stratégie 0 • Choisit u, γ, et Σ au hasard • Résout H* t s = y • sans satisfaire la condition wt(s) = ω • Reconstruit c1 • Génère c2 au hasard • Peut donc répondre au challenge b = 0

22. Stratégie 0 c1, c2 α β b=0 Σ, γ

23. Stratégie 1 • Choisit u, γ, et Σ au hasard • Choisit y tel que wt(s) = ω • sans satisfaire la condition H* t s = y • Génère c1 au hasard • Reconstruit c2 • Peut donc répondre au challenge b = 1

24. Stratégie 1 c1, c2 α β b=1 Πγ,Σ(e)

25. Taille de la communication 25

26. c1, c2 c1 et c2 de longueur ℓh 26

27. c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N 27

28. c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n 28

29. c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n Challenge b 1 bit 0 ou 1 29

30. c1, c2 c1 et c2 de longueur ℓh α Element de Fqde longueur N β De longueur N*n Challenge b 1 bit 0 ou 1 Σ, γ De longueur ℓΣ +ℓγ Πγ,Σ(e) De longueur N*n 30

31. δ : Nombre de tours

32. Conclusion En comparaison avec le protocole de Stern : • Taille de la communication réduite • Sécurité plus élevée • Clé publique plus petite

33. Comparaison de la probabilité de triche avec d’autres schémas :

34. Amélioration possible : • La connaissance, et donc la transmission des paramètres publics est primordiale au schéma. • La taille de H peut être diminuée : • -> matrice spéciale, calcul plus facile algorithmiquement • -> Transmission plus rapide

36. Décodage par ensemble d’information : Algorithme de Stern (1989) On cherche « y » de longueur « n » et de poids inférieur ou égal à « t » satisfaisant H*ty = S 36 36 36