Argument hybride

Un argument hybride est une méthode de preuve en cryptographie permettant de montrer l'indistinguabilité calculatoire de deux distributions de probabilité.

Pour montrer que deux distributions ${\displaystyle D_0}$ et ${\displaystyle D_1}$ sont calculatoirement indistinguables, la stratégie habituelle est d'exhiber une réduction d'un problème difficile à la sécurité du cryptosystème. Néanmoins, cette méthode n'est pas toujours facilement utilisable, et il existe des cas où il est plus facile d'exhiber une succession de distributions ${\displaystyle H_0,\dots ,H_n}$ telle que ${\displaystyle D_0=H_0}$ et ${\displaystyle H_n=D_1}$. Ainsi, en montrant que, pour tout ${\displaystyle 0\le i<n}$, ${\displaystyle H_i}$ est calculatoirement indistinguable de ${\displaystyle H_{i+1}}$ (une preuve qui a pu être faite par le biais d'une réduction par exemple), on obtient que ${\displaystyle D_0}$ et ${\displaystyle D_1}$ sont calculatoirement indistinguables: c'est une conséquence de l'inégalité triangulaire.

En effet, pour tout adversaire efficace (qui fonctionne en temps polynomial probabiliste) ${\displaystyle 𝒜}$, l'avantage de ${\displaystyle 𝒜}$ pour distinguer deux distributions ${\displaystyle D}$ et ${\displaystyle D^{\prime }}$ peut être défini par :

${\displaystyle {\displaystyle {\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{D,D^{\prime }}(𝒜)=|\underset{x\hookleftarrow D}{\mathrm{Pr}}[𝒜(x)=1]-\underset{x\hookleftarrow D^{\prime }}{\mathrm{Pr}}[𝒜(x)=1]|.}}$

Ainsi, dans notre cas, l'application de l'inégalité triangulaire nous donne :

${\displaystyle {\displaystyle {\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{D_0,D_1}(𝒜)\le {\displaystyle \sum _{i=0}^{n-1}}{\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{H_i,H_{i+1}}(𝒜).}}$

Comme ${\displaystyle H_i}$ et ${\displaystyle H_{i+1}}$ sont calculatoirement indistinguables pour tout ${\displaystyle i}$, ${\displaystyle {\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{H_i,H_{i+1}}(𝒜)}$ est négligeable pour tout ${\displaystyle i}$ et donc ${\displaystyle {\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{D_0,D_1}(𝒜)}$ est négligeable. Cependant, cet argument n'est valable que lorsque ${\displaystyle n}$ est fixé et borné : si un nombre polynomial de distributions intermédiaires est nécessaire, l'inégalité triangulaire ne permet plus de conclure. En effet, une somme polynomiale de fonctions négligeables n'est pas nécessairement négligeable. Par exemple, si on prend ${\displaystyle {\mu }_i(\lambda )=2^{i-\lambda }}$ pour tout ${\displaystyle i}$, alors chaque ${\displaystyle {\mu }_i}$ est négligeable en ${\displaystyle \lambda }$ et pourtant ${\displaystyle {\displaystyle \sum _{i=1}^{\lambda }}{\mu }_i}$ n'est pas négligeable. Pour cette raison, on utilise à la place un argument hybride.

Soient deux distributions ${\displaystyle X}$ et ${\displaystyle Y}$ qui sont calculatoirement indistinguables, et soient deux distributions ${\displaystyle D_0}$ et ${\displaystyle D_1}$. Pour fixer les idées, ${\displaystyle D_0}$ peut être une distribution sur des suites arbitrairement longues de la forme ${\displaystyle (X,X,X,\dots )}$ tandis que ${\displaystyle D_1}$ serait une distribution sur des suites de la forme ${\displaystyle (Y,Y,Y,\dots )}$. Pour montrer que les deux distributions sont calculatoirement indistinguables, l'idée est d'introduire une suite de distributions hybrides ${\displaystyle (H_i{)}_{i\in \mathbb{N}}}$ telle que ${\displaystyle H_0=D_1}$ (dans notre exemple, ${\displaystyle H_i}$ serait une distribution sur des suites obtenue en faisant ${\displaystyle i}$ copies de ${\displaystyle X}$ puis des copies de ${\displaystyle Y}$), qui permet de transformer petit à petit la distribution ${\displaystyle D_1}$ en la distribution ${\displaystyle D_0}$. Ainsi, pour tout adversaire polynomial ${\displaystyle 𝒜}$, on demande à ce qu'il existe un entier ${\displaystyle n_{𝒜}}$ au plus polynomial tel que ${\displaystyle {\mathrm{A}\mathrm{d}\mathrm{v}\mathrm{t}}^{H_{n_{𝒜}},D_0}(𝒜)=0}$. Dans notre exemple, cela vient du fait que ${\displaystyle 𝒜}$ ne peut lire que les ${\displaystyle n_{𝒜}}$ premiers éléments de la suite. Dans ce contexte, l'argument hybride permet de conclure. Il s'énonce comme suit Modèle:Sfn:

Modèle:Théorème

Il existe des exemples de l'utilisation de l'argument hybride en cryptographie Modèle:Sfn, généralement présenté sous forme de preuves par jeux. On peut citer parmi celles-ci les preuves simples suivantes :

• Si un générateur de bits est imprédictible, alors il s'agit d'un générateur pseudo-aléatoire Modèle:Sfn.
• On peut étendre un générateur pseudo-aléatoire ${\displaystyle G:\{0,1{\}}^s\to \{0,1{\}}^{s+1}}$ pour construire un générateur pseudo-aléatoire dont la sortie est polynomialement plus grande que l'entrée Modèle:Sfn.

La sécurité d'un générateur pseudo-aléatoire est donnée par l'indistinguabilité de la distribution « ${\displaystyle G\triangleq G(x)\in \{0,1{\}}^n:x\hookleftarrow 𝒰(\{0,1{\}}^s)}$ » de la distribution uniforme sur les chaînes de longueur ${\displaystyle n}$ Modèle:Sfn. Une définition alternative est donnée par l'imprédictabilité du bit suivant, c'est-à-dire qu'il n'existe pas d'algorithme efficace permettant de prédire ${\displaystyle G(x{)}_i}$ sachant ${\displaystyle G(x{)}_{<i}}$Modèle:Note avec une probabilité significativement différente de 1/2.

Andrew Yao a montré en 1982 que ces deux définitions sont équivalentes Modèle:Sfn, on donne dans la suite une preuve de l'implication qui fait intervenir l'argument hybride.

Modèle:Démonstration

Modèle:Traduction/Référence Modèle:Références

Modèle:Références

• Modèle:Article.
• Modèle:Ouvrage.
• Modèle:Article.
• Modèle:Article.
• Modèle:Ouvrage.

• Preuve de sécurité
• Cryptanalyse
• Générateur pseudo-aléatoire

• Modèle:Lien web.

Modèle:Portail