Transfert inconscient

Modèle:Ébauche

Le transfert inconscient (oblivious transfer, en anglais) est une primitive cryptographique où un expéditeur transmet une information, sélectionnée parmi plusieurs envois possibles, à un destinataire, sans que l'expéditeur puisse connaître le choix du destinataire, ni que le destinataire puisse connaître les informations qu'il n'a pas demandées. Par exemple, Wikipédia propose plusieurs articles ; avec le transfert inconscient, un utilisateur peut demander à consulter un article sans que Wikipédia puisse savoir quel article a été consulté.

Cette primitive a été introduite en 1981 par Michael Rabin, dans un manuscrit intitulé Modèle:LangueModèle:Sfn. Dans la version de Rabin, basée sur le chiffrement RSA, l’expéditeur transmet un message que le destinataire reçoit avec une probabilité de 1/2, sans que l'expéditeur puisse savoir si la réception a eu lieu ou non. En 1985, les travaux de Even, Goldreich et Lempel ont proposé une version améliorée du transfert inconscient 1 parmi 2 qui permettait de réaliser de manière sécurisée du calcul multipartite sécurisé Modèle:Sfn. Ce résultat a ensuite été amélioré par KillianModèle:Sfn, en montrant que le transfert inconscient 1 parmi 2 suffisait à évaluer de manière multipartite n’importe quelle fonction en temps polynomial. Ce résultat est une des raisons de l’intérêt existant autour de cette primitive.

Définition

La définition de Michael Rabin consistait en un protocole tel que l'expéditeur envoyait un message M au destinataire, mais avec une probabilité 1/2 de perdre le message. L’expéditeur ne savait pas si son message était arrivé à bon port. Claude Crépeau a montré que cette définition était équivalente à celle utilisée dans sa définition courante: le transfert inconscient 1 parmi 2Modèle:Sfn. Des résultats similaires ont été montrés par Khurana, Maji et Sahai, en utilisant un canal bruité Modèle:Sfn (avec un taux d'erreur strictement inférieur à 1/2).

Transfert inconscient 1 parmi 2

Un schéma de transfert inconscient est donné par deux algorithmes interactifsModèle:Sfn Modèle:,Modèle:Sfn: l’expéditeur $S$ et le destinataire $R$ . L’expéditeur prend en entrée deux messages $M_{0}$ et $M_{1}$ , tandis que de destinataire prend en entrée un bit σ. L’interaction entre les deux partis est notée $S^{M_{0}, M_{1}} ⇆ R^{σ}$ .

Les notions de sécurité associées sont la sécurité de l’expéditeur et la sécurité du destinataire.

La sécurité du destinataire requiert que les distributions $S^{M_{0}, M_{1}} ⇆ R^{0}$ et $S^{M_{0}, M_{1}} ⇆ R^{1}$ soient indistinguables. Ce qui traduit le fait que l’expéditeur est incapable de savoir quel message le destinataire a demandé.
La sécurité de l’expéditeur quant-à-elle traduit le fait que l’expéditeur ayant demandé $M_{σ}$ ne doit pas être capable de savoir quoi que ce soit sur le message $M_{1 - σ}$ à l’issue de l’échange.

Alice ( $S$ )				Bob ( $R$ )
Calculs	Secret	Public		Public	Secret	Calculs
Messages à envoyer	$M_{0}, M_{1}$
Création d'une paire de clefs RSA et envoi de la clef publique à Bob	$d$	$N, e$	$\Rightarrow$	$N, e$		Réception de la clef publique d'Alice
Génération de deux messages aléatoires		$x_{0}, x_{1}$	$\Rightarrow$	$x_{0}, x_{1}$		Réception de deux messages aléatoires
					$k, σ$	Choix de $σ \in {0, 1}$ et génération d'un nombre aléatoire $k$
		$v$	$\Leftarrow$	$v = (x_{σ} + k^{e}) mod N$		Calcul du chiffrement de $k$ avec $x_{σ}$ et envoi du résultat à Alice
Calcul des deux valeurs possibles pour $k$ , dont une seule correspond à celle de Bob	$\begin{matrix} k_{0} & = (v - x_{0})^{d} mod N \\ k_{1} & = (v - x_{1})^{d} mod N \end{matrix}$
Envoi des deux messages à Bob		$\begin{matrix} M'_{0} = M_{0} + k_{0} \\ M'_{1} = M_{1} + k_{1} \end{matrix}$	$\Rightarrow$	$M'_{0}, M'_{1}$		Réception des deux messages
					$M_{σ} = M'_{σ} - k$	Déchiffrement du message $M'_{σ}$ , grâce au $x_{σ}$ choisi précédemment .

Alice propose d'envoyer a Bob un message parmi deux disponibles $M_{0}$ et $M_{1}$ . Bob souhaite choisir l'un des deux messages à recevoir, sans qu'Alice puisse savoir lequel.
Alice génère une paire de clefs RSA, c'est-à-dire un modulo $N$ , un exposant public $e$ et un exposant privé $d$ .
Elle génère également deux messages aléatoires $x_{0}$ et $x_{1}$ qu'elle envoie à Bob en même temps que sa clef publique $(N, e)$ .
Bob choisit le message qu'il souhaite recevoir, indiqué par $σ \in {0, 1}$ . Il sélectionne donc la valeur correspondante $x_{σ}$ .
Bob génère un nombre aléatoire $k$ et chiffre $k$ avec $x_{σ}$ en calculant $v = (x_{σ} + k^{e}) mod N$ , qu'il envoie à Alice.
Pour Alice, il est impossible de déterminer si Bob a choisi $x_{0}$ ou $x_{1}$ pour calculer $v$ , car elle ignore le nombre $k$ généré par Bob . Elle calcule donc les deux valeurs possibles pour $k$ à partir de $v$ : $k_{0} = (v - x_{0})^{d} mod N$ et $k_{1} = (v - x_{1})^{d} mod N$ . L'une de ces deux valeurs est égale au $k$ choisi par Bob (sans qu'Alice sache lequel) et l'autre est une valeur aléatoire qui ne fournit aucune information sur $k$ .Ceci garantit la sécurité du destinataire.
Alice masque les messages $M_{0}$ et $M_{1}$ avec les deux clefs possibles $k_{0}$ et $k_{1}$ pour donner $M'_{0} = M_{0} + k_{0}$ et $M'_{1} = M_{1} + k_{1}$ . Ces deux messages sont envoyés à Bob.
Bob déchiffre le message $M'_{σ}$ avec le $k$ qu'il a choisi, pour obtenir $M_{σ} = M'_{σ} - k$ . Bob est par ailleurs incapable de déchiffrer l'autre message. En effet, il faudrait qu'il puisse calculer l'autre valeur de $k$ , c'est-à-dire $k_{1 - σ}$ , ce qu'il ne peut faire sans la clef privée d'Alice. Ceci garantit la sécurité de l'expéditeur.

Transfert inconscient 1 parmi n et k parmi n

Modèle:... Le transfert inconscient 1 parmi n peut être généralisé à partir du protocole 1 parmi 2 détaillé ci-dessus. L’expéditeur dispose de n messages et le destinataire choisit un indice i entre 0 et n - 1 correspondant au message qu'il souhaite recevoir, toujours sans que l'expéditeur puisse savoir quel message a été choisi, ni que le destinataire puisse prendre connaissance d'un autre message que celui qu'il a sélectionné. D'autres implémentations sont également possibles.

Autre exemple d'implémentation de 1 parmi n

On suppose qu'Alice possède $m$ secrets $s_{1}, \dots, s_{m}$ binaires valant tous soit 0 soit 1^{[note 1]}. On suppose que Bob souhaite connaître le secret $s_{i}$ . Un protocole de transfert inconscient peut être le suivant^[1]Modèle:,^{[note 2]}:

Alice choisit deux nombres premiers $p$ et $q$ et un nombre $a$ qui n'est pas un résidu quadratique modulo $n = p q$ et tel que le symbole de Jacobi $(\frac{a}{n})$ soit égal à 1^{[note 3]};
Alice publie $a$ et $n$ ;
Alice associe un nombre aléatoire $x_{i} \neq 0$ à chaque secret $s_{i}$ et envoie à Bob les $m$ nombres $y_{i} : = x_{i}^{2} a^{s_{i}} mod n$ ;
Bob génère un nombre aléatoire $r$ ainsi qu'un bit aléatoire $b \in {0, 1}$ et envoie à Alice le nombre $δ_{i} = y_{i} r^{2} a^{b}$ ^{[note 4]};
Alice dit à Bob si le nombre $δ_{i}$ est un résidu quadratique modulo $n$ . Si oui, alors $s_{i} = b$ sinon $s_{i} = 1 - b$ ^{[note 5]}.

Ce protocole repose essentiellement sur l'idée que décider si l'entier $δ_{i}$ est un résidu quadratique modulo $n$ est aisé si les facteurs premiers de $n$ sont connus^[2], comme c'est le cas d'Alice, et impossible en un temps raisonnable sinon^[2], comme dans le cas de Bob.

Comparaison avec les PIR

Le transfert inconscient 1 parmi n est donc plus restrictif que les protocoles PIR (Modèle:Lien) qui n'exigent que la sécurité du destinataire (l'expéditeur ne peut savoir quel message a bien été transmis). En revanche, les protocoles PIR sont généralement plus économes en ce qui concerne la quantité de données effectivement transmises. En effet, dans le protocole 1 parmi n, Alice envoie nécessairement les n messages à Bob (même s'il ne peut en lire qu'un seul), alors que les protocoles PIR sont souvent sous-linéaire en n.

Généralisation

Gilles Brassard, Claude Crépeau et Jean-Marc Robert ont proposé une généralisation au transfert k parmi n^[3], dans laquelle le destinataire peut sélectionner plus d'un message parmi ceux proposés par l'expéditeur. Les k messages peuvent être reçus simultanément ou consécutivement, chaque nouveau message pouvant être choisi selon les messages reçus précédemment

Requêtes adaptatives

Modèle:Sources de section Modèle:...

Notes et références

Notes

Modèle:Traduction/Référence Modèle:Références

Références

Modèle:Références

Annexes

Bibliographie

Articles connexes

Modèle:Portail

Erreur de référence : Des balises <ref> existent pour un groupe nommé « note », mais aucune balise <references group="note"/> correspondante n’a été trouvée

[2] Modèle:Ouvrage

[shoup-7] 2,0 et ^2,1 Modèle:Ouvrage.

[8] Modèle:Article

[note 1]

[1]

[note 2]

[note 3]

[note 4]

[note 5]

[2]

[3]

Transfert inconscient

Sommaire

Définition

Transfert inconscient 1 parmi 2

Transfert inconscient 1 parmi n et k parmi n

Autre exemple d'implémentation de 1 parmi n

Comparaison avec les PIR

Généralisation

Requêtes adaptatives

Notes et références

Notes

Références

Annexes

Bibliographie

Articles connexes

Menu de navigation

Transfert inconscient

Définition

Transfert inconscient 1 parmi 2

Transfert inconscient 1 parmi n et k parmi n

Autre exemple d'implémentation de 1 parmi n

Comparaison avec les PIR

Généralisation

Requêtes adaptatives

Notes et références

Notes

Références

Annexes

Bibliographie

Articles connexes

Menu de navigation

Rechercher