Mécanisme d'encapsulation de clé

En cryptologie, un mécanisme d'encapsulation de clé ou KEM^{[Note 1]} (aussi parfois appelé transport de clé) est un protocole permettant de transmettre de manière sûre une clé de session à un interlocuteur au moyen d'un canal non sécurisé^[1]. L'encapsulation de clé est l'une des composantes d'un schéma de cryptographie hybride, l'autre étant l'encapsulation de données (au moyen de la clé ainsi transmise)^[2]. L'encapsulation sert la même fonction qu'un protocole d'échange de clé, à la différence que la clé est ici entièrement générée par l'une des parties^{[Note 2]}Modèle:,^[3]Modèle:,^[4], ce qui permet entre autres de commencer à transmettre les données chiffrées directement avec la clé encapsulée^[2].

Le mécanisme a été proposé par le cryptologue Victor Shoup autour de 2001, et considéré pour standardisation ISO^[5]. Parmi les mécanismes d'encapsulation standardisés (ISO/IEC 18033-2^[6]), on compte RSA-OAEP^[7] et RSA-KEM^[8].

En règle générale, le mécanisme d'encapsulation de clé consiste à chiffrer, au moyen d'une clé publique, un message aléatoire. Le message chiffré est transmis et le destinataire le déchiffre au moyen de la clé privée correspondante. Émetteur et destinataire possèdent alors un même secret partagé, d'où ils peuvent dériver une même clé de session. Ainsi, tout chiffrement à clé publique donne immédiatement un mécanisme d'encapsulation de clé. En pratique, il est également nécessaire de protéger la clé encapsulée contre des manipulations, par exemple en adjoignant un code d'authentification^[9]Modèle:,^[10]Modèle:,^{[Note 3]}. En combinant chiffrement et authentification, il est possible de construire des encapsulations plus compactes ^[11]Modèle:,^[12]Modèle:,^[13]Modèle:,^[14].

Un mécanisme d'encapsulation de clé (KEM) est un triplet d'algorithmes^{[Note 4]} ${\displaystyle (G,E,D)}$ de syntaxe suivante^[15] :

• L'algorithme de « génération de clés » ${\displaystyle G}$ prend en entrée un paramètre de sécurité en représentation unaire ${\displaystyle 1^{\lambda }}$ et retourne un couple de clés ${\displaystyle (𝗉𝗄,𝗌𝗄)}$;
• L'algorithme d'« encapsulation » ${\displaystyle E}$ prend en entrée le paramètre de sécurité et ${\displaystyle 𝗉𝗄}$ et renvoie un couple d'éléments ${\displaystyle c,k\in 𝒞\times 𝒦}$;
• L'algorithme de « décapsulation » ${\displaystyle D}$ prend en entrée le paramètre de sécurité, ${\displaystyle 𝗌𝗄}$ et un élément ${\displaystyle c\in 𝒞}$, et renvoie un élément ${\displaystyle k\in 𝒦\bigsqcup \{\mathrm{\perp }\}}$.

On demande qu'un KEM satisfasse les propriétés suivantes :

• Le mécanisme est correct, c'est-à-dire que pour toutes les sorties possibles ${\displaystyle (𝗉𝗄,𝗌𝗄)}$ de ${\displaystyle G}$, et toutes les sorties possibles ${\displaystyle (c,k)}$ de ${\displaystyle E(𝗉𝗄)}$, on a ${\displaystyle D(𝗌𝗄,c)=k}$.
• La sécurité sémantique (IND-CPA) est satisfaite, c'est-à-dire que l'avantage d'un adversaire dans le jeu consistant à distinguer un élément ${\displaystyle k}$ obtenu en sortie de ${\displaystyle E(𝗉𝗄)}$ d'un élément tiré uniformément au hasard de ${\displaystyle 𝒦}$ est négligeable.

Modèle:Portail