Cryptographie à base de couplages

La cryptographie à base de couplages désigne une branche de la cryptographie qui s'intéresse aux constructions utilisant les accouplements ou couplages. Un couplage est une application bilinéaire non dégénérée, c'est-à-dire qui n'est pas identiquement nulle. L'utilisation de ces objets permet de débloquer des constructions que l'on ne sait pas faire en utilisant uniquement un groupe vérifiant des propriétés cryptographiques, comme l'hypothèse décisionnelle de Diffie-Hellman. Par exemple, le chiffrement par attributs.

L'utilisation des couplages en cryptographie a été popularisé par Antoine Joux en 2002Modèle:Sfn.

Un couplage est une application ${\displaystyle e:G_1\times G_2\to G_T}$, qui est bilinéaire, c'est-à-dire qui vérifie pour tout entiers ${\displaystyle (a,b)\in {\mathbb{Z}}^2}$ et tous éléments de groupes ${\displaystyle (g,h)\in G_1,G_2}$ l'égalité ${\displaystyle e(g^a,h^b)=e(g,h{)}^{ab}}$. De plus le couplage ne doit pas être dégénéré, c'est-à-dire que ${\displaystyle e(g,h)=1⟺g=1}$ ou ${\displaystyle h=1}$. Finalement, comme on souhaite utiliser cette primitive en cryptographie, on souhaite finalement que le calcul de la fonction ${\displaystyle e}$ puisse être évalué par un algorithme fonctionnant en temps polynomial.

On distingue principalement deux grandes familles de couplages: les couplage symétriques, lorsque les deux groupes sources sont les mêmes : ${\displaystyle G_1=G_2}$, et les couplages asymétriques lorsqu'ils sont différents.

Usuellement, les cryptographes distinguent de plus les couplages asymétriques forts, où il est difficile d’établir un homomorphisme entre ${\displaystyle G_1}$ et ${\displaystyle G_2}$, et faibles dans le cas contraire. Cette taxonomie est résumée en trois typesModèle:Sfn :

• Type 1 : les couplages symétriques, ${\displaystyle G_1=G_2}$ ;
• Type 2 : les couplages asymétriques faibles, lorsqu'il existe un homomorphisme calculable en temps polynomial ${\displaystyle \phi :G_2\to G_1}$ ;
• Type 3 : les couplages asymétriques forts, lorsqu'on ne connaît pas un tel homomorphisme entre ${\displaystyle G_1}$ et ${\displaystyle G_2}$.

Les couplages sont associés à des hypothèses de sécurité, comme une généralisation de l'hypothèse décisionnelle de Diffie-Hellman dans les groupes d'origine ${\displaystyle G_1}$ et ${\displaystyle G_2}$, appelé « Hypothèse de Diffie-Hellman symétrique externe » (SXDH en anglais)Modèle:Sfn.

À l'heure actuelle, ces hypothèses servent de base pour construire des cryptosystèmes, comme le chiffrement fondé sur l'identité de Boneh et FranklinModèle:Sfn.

Le protocole d’échange de clefs Diffie-Hellman permet à deux utilisateurs de s’entendre sur une clef privée qui reste secrète aux yeux d’un observateur extérieur et qui pourra ensuite être utilisée pour commencer un échange secret. La sécurité de cette primitive repose sur la sécurité de l'hypothèse calculatoire de Diffie-Hellman. Le principe est le suivant : Alice souhaite échanger une clef secrète avec Bob. Pour cela ils commencent tous les deux par générer un entier ${\displaystyle a}$ pour Alice et ${\displaystyle b}$ pour Bob. Alice calcule ensuite ${\displaystyle A=g^a}$ et Bob de son côté calcule ${\displaystyle B=g^b}$. Ces deux valeurs sont ensuite échangées entre les deux partis. Ainsi Alice peut calculer ${\displaystyle g^{ab}=B^a}$ et Bob peut calculer ${\displaystyle g^{ab}=A^b}$ ; mais un observateur qui ne dispose ni de ${\displaystyle a}$ ni de ${\displaystyle b}$ ne peut déterminer ${\displaystyle g^{ab}}$, auquel cas il résout l'hypothèse calculatoire de Diffie-Hellman. Ainsi ${\displaystyle g^{ab}}$ consistue la clef secrète partagée par Alice et Bob.

Ce protocole peut être étendu à trois utilisateurs en un seul tour à l'aide d'un couplage symétriqueModèle:Sfn. En effet, si Alice partage ${\displaystyle A=g^a\in 𝔾}$, Bob partage ${\displaystyle B=g^b}$ et Charles partage ${\displaystyle C=g^c}$ pour un entier aléatoire et secret ${\displaystyle c}$, alors Alice peut calculer ${\displaystyle 𝗌𝗄=e(g,g{)}^{abc}=e(g^b,g^c{)}^a=e(B,C{)}^a}$, Bob peut calculer ${\displaystyle e(g,g{)}^{abc}=e(A,C{)}^b}$ et Charles peut finalement calculer la même valeur ${\displaystyle e(g,g{)}^{abc}=e(A,B{)}^c}$.

Modèle:Traduction/Référence

Modèle:Références

• Schéma fondé sur l'identité

• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article

Modèle:Portail