Identity - based identification and signature schemes using correcting codes.

1. Identity-based identification and signature schemesusingcorrecting codes. KLEIN Pauline - COUTUROU Jeanne

2. Introduction • La cryptographie basée sur l’identité : clé publique Alice (ID) clé privée à partir ID AUTORITE Prouver qu’elle connait sa clé privée sans la dévoiler KLEIN Pauline - COUTUROU Jeanne

3. Sommaire : • Introduction. • I/ Schémas nécessaires à la réalisation du protocole. • II/ Protocole d’identification basé sur l’identité. • III/ Sécurité du protocole. • Conclusion. KLEIN Pauline - COUTUROU Jeanne

4. I / Schémas nécessaires à la réalisation du protocole. • Combinaison de deux schémas : • CFS + Stern • On cherche à montrer à Bob que l’on connait un « s » tel que H*s=IDalice sans le dévoiler. Leprotocole IBS (identitybased signature) IBI (identitybased identification) KLEIN Pauline - COUTUROU Jeanne

5. I / Schémas nécessaires à la réalisation du protocole. • Signature CFS : M message à signer, h fonction de hachage dans On cherche s de poids t tel que Algorithme : On a le couple {s,j} tel que KLEIN Pauline - COUTUROU Jeanne

6. I / Schémas nécessaires à la réalisation du protocole. Clé publique : (H, t) Ia Clé privée : Sa • Stern : divulgation nulle de connaissance Etape 1 : reçoit Sa de n bits et de poids t: AUTORITE Alice calcule Ia = H*Sa Alice choisit : y de n bits aléatoire une permutation σde {1,2,…n} KLEIN Pauline - COUTUROU Jeanne

7. I / Schémas nécessaires à la réalisation du protocole. Clé publique : (H, t) Ia Clé privée : (Sa) y, σ Etape 2: b Є {0,1,2} b=0 => y, σ b=1 => (y+Sa), σ b=2 => σ (y), σ (Sa) C1 et C2 <= b=0 C1 et C3 <= b=1 C2,C3 et poids de σ (Sa)=t <= b=2 KLEIN Pauline - COUTUROU Jeanne

8. II/ Protocole d’identification basé sur l’identité. idA • Ida : identité d’Alice. • Protocole : Alice s’authentifie auprès de Bob. Au lieu d’utiliser une matrice quelconque H on utilise une matrice non aléatoire fournie par l’autorité telle que Ida, H’ : publiques. Décomposition de H’ : privée. KLEIN Pauline - COUTUROU Jeanne

9. II/ Protocole d’identification basé sur l’identité. Etape 1 : Alice récupère sa clé auprès de l’autorité à partir de son identité (sa clé publique).  h fonction de hachage, on veut trouver s tel que KLEIN Pauline - COUTUROU Jeanne

10. II/ Protocole d’identification basé sur l’identité. On obtient la clé privée de la façon suivante en appliquant l’algorithme CFS : Couple clé privée : (s,j) tel que Clé publique d’Alice KLEIN Pauline - COUTUROU Jeanne

11. II/ Protocole d’identification basé sur l’identité. Etape 2 : Alice s’identifie auprès de Bob  Stern. et j. b Є {0,1,2} b=0 => y, σ b=1 => (y+S), σ b=2 => σ (y), σ (S) C1 et C2 <= b=0 C1 et C3 <= b=1 C2,C3 et poids de σ (S)=t <= b=2 KLEIN Pauline - COUTUROU Jeanne

12. III/ Sécurité du protocole • Sécurité est liée au choix des paramètres du CFS : - difficile de retrouver {Sa,j} tels que h(ida+j)= *Sa Sans connaitre la décomposition de - Limiter le nombre d’essais pour déterminer j (on veut diminuer le coût de calcul de Sa) KLEIN Pauline - COUTUROU Jeanne

13. III/ Sécurité du protocole On cherche le coût pour que l’autorité retrouve {Sa,j} tels que h(ida+j)= *Sa Elle connait =QHP t!*t²*m²*(1/2 + 2 + 6/m) opérations En corrigeant t erreurs, on a 1/t! chance de tomber dans une boule ! On répète donc t! fois l’expérience pour pouvoir être dans une boule à coup sûr On compare au coût pour retrouver {Sa,j} sans connaitre QHP : 2^(t*m*(1/2+o(1))) KLEIN Pauline - COUTUROU Jeanne

14. III/ Sécurité du protocole • On utilise la famille de code de Goppa pour résoudre le Schéma de CFS => matrices de la forme : h(ida+j)= *Sa Clé privée Clé publique KLEIN Pauline - COUTUROU Jeanne

15. Conclusion. • 1er Schéma proposé sans utiliser de problème basé sur la théorie des nombres • Mais : • Grande taille de signature • code utilisé dans CFS est très long • (2^16 au lieu de 2^9) (≠ Stern) • - Coût de communication important KLEIN Pauline - COUTUROU Jeanne