Cryptosystème homomorphe de Naccache-Stern

Modèle:Ne pas confondre

En cryptologie, le cryptosystème homomorphe de Naccache-Stern est un chiffrement à clé publique introduit en 1998 par les cryptologues David Naccache et Jacques Stern^[1]. La sécurité sémantique de ce cryptosystème repose sur le problème de la résiduosité supérieure^[2], et il s'agit d'un système de chiffrement additivement homomorphe.

D'un point de vue historique, le cryptosystème de Naccache-Stern est une amélioration du cryptosystème de Benaloh-Fischer^[3], lui-même une extension de celui de Goldwasser-Micali^[4], dans une succession d'améliorations de bande passante de chiffrements homomorphes.

Le cryptosystème s'appuie sur trois algorithmes ${\displaystyle (G,E,D)}$ correspondant respectivement à la génération de clés, au chiffrement, et au déchiffrement.

L'algorithme de génération de clé prend en entrée un paramètre de sécurité ${\displaystyle 1^{\lambda }}$ et retourne un couple de clés obtenues de la manière suivante^{[Note 1]}Modèle:,^[5] :

• Deux ensembles de nombres premiers^{[Note 2]} ${\displaystyle p_1,\dots ,p_k}$ et ${\displaystyle q_1,\dots ,q_k}$ sont choisis, tous distincts. Le nombre ${\displaystyle k}$ est déterminé par l'algorithme en fonction de ${\displaystyle \lambda }$, et les premiers sont choisis « petits », en un sens précisé plus tard.
• Le produit des ${\displaystyle p_i}$ (resp. des ${\displaystyle q_i}$) est calculé et noté ${\displaystyle u}$ (resp. ${\displaystyle v}$)
• Deux grands premiers ${\displaystyle a,b}$ sont alors choisis de sorte que ${\displaystyle p=2au+1}$ et ${\displaystyle q=2bv+1}$ soient simultanément premiers.
• Le produit ${\displaystyle n=pq}$ et calculé, et un élément ${\displaystyle g\in \mathbb{Z}/n\mathbb{Z}}$ d'ordre ${\displaystyle \phi (n)/4}$ est choisi, où ${\displaystyle \phi }$ est la fonction d'Euler^{[Note 3]}.

La clé publique est alors définie comme ${\displaystyle 𝗉𝗄=\{g,n,\sigma =uv\}}$ et la clé privée correspondante est donnée par ${\displaystyle 𝗌𝗄=p}$ (ou ${\displaystyle q}$, ce qui est équivalent).

Les nombreux tests de primalité intervenant lors de la génération de clés sont relativement coûteux, mais peuvent être en partie absorbés par une implémentation appropriée^[1].

L'algorithme de chiffrement prend en entrée un message ${\displaystyle m\in \mathbb{Z}/\sigma \mathbb{Z}}$ et la clé publique ${\displaystyle 𝗉𝗄}$. Un élément aléatoire ${\displaystyle x\in \mathbb{Z}/n\mathbb{Z}}$ est choisi^{[Note 4]}, puis le chiffré est obtenu en calculant ${\displaystyle E(m)=x^{\sigma }{g}^{m}modn}$.

L'algorithme de déchiffrement prend en entrée un chiffré ${\displaystyle c\in \mathbb{Z}/n\mathbb{Z}}$ et la clé privée ${\displaystyle 𝗌𝗄}$. On calcule alors pour chaque ${\displaystyle i,j=1,\dots ,k}$$${\displaystyle \begin{array}{cc}{c}_i& =c^{\phi (n)/p_i}modn\\ c_j& =c^{\phi (n)/q_j}modn\end{array}}$$On peut écrire ces équations en prenant pour base le générateur ${\displaystyle g}$, à savoir$${\displaystyle \begin{array}{cc}{c}_i& =g^{u_i}modn\\ c_j& =g^{v_j}modn\end{array}}$$Pour un message chiffré, on a ${\displaystyle u_i=m_i\phi (n)/p_i}$ (resp. ${\displaystyle v_j=m_j\phi (n)/q_j}$) où ${\displaystyle m_i=m{modp}_i}$ (resp. ${\displaystyle m_j=m{modp}_j}$). En résolvant un logarithme discret modulo ${\displaystyle n}$on obtient alors ${\displaystyle m_i,m_j}$ ce qui permet via le théorème chinois des restes de retrouver ${\displaystyle m}$. Résoudre le logarithme discret est en général considéré difficile : c'est pourquoi les premiers ${\displaystyle p_i,q_j}$ ont été choisis petits, au sens qu'une recherche exhaustive de ${\displaystyle m_i,m_j}$ est possible.

Le cryptosystème de Naccache-Stern jouit d'une propriété supplémentaire : il s'agit d'un chiffrement additivement homomorphe. En effet, on a pour tous messages ${\displaystyle m_1,m_2\in \mathbb{Z}/\sigma \mathbb{Z}}$,$${\displaystyle \begin{array}{cc}E(m_1)& =x_1^{\sigma }{g}^{m_1}modn\\ E(m_2)& =x_2^{\sigma }{g}^{m_2}modn\end{array}}$$de sorte que$${\displaystyle \begin{array}{cc}E(m_1)E(m_2)& =x_1^{\sigma }{g}^{m_1}{x}_2^{\sigma }{g}^{m_2}modn\\ & =(x_1{x}_2{)}^{\sigma }{g}^{m_1+m_2}modn\end{array}}$$qui se déchiffre en ${\displaystyle m_1+m_2}$. Contrairement au cryptosystème de Paillier, également additivement homomorphe, l'intérêt de la construction de Naccache-Stern est sa bande passante : on travaille modulo ${\displaystyle n}$ et non pas modulo ${\displaystyle n^2}$ comme Paillier.

Le cryptosystème de Naccache-Stern est sémantiquement sûr (IND-CPA) sous l'hypothèse de la difficulté du problème de la résiduosité supérieure^[2]. En réalité on peut montrer qu'il repose sur une hypothèse légèrement moins forte de résiduosité des premiers choisis^[4]. Dans un cas comme dans l'autre, la meilleure approche connue (en 2018) pour résoudre ces problèmes est d'obtenir une factorisation de ${\displaystyle n}$. Les meilleurs algorithmes classiques connus (i.e., GNFS et ses variantes) permettent alors de fixer les paramètres pour viser un niveau de sécurité donné.

En revanche, s'agissant d'un chiffrement homomorphe, ce cryptosystème est malléable et ne peut donc pas prétendre aux notions plus fortes de sécurité (IND-CCA notamment).

De plus, on connait pour le problème de la factorisation un algorithme quantique efficace : l'algorithme de Shor. Le cryptosystème de Naccache-Stern n'est donc pas un candidat post-quantique.

Modèle:Portail