Signature de Lamport

Modèle:Voir homonymes

En cryptologie, le schéma de signature de Lamport^{[alpha 1]}Modèle:,^[1] est un mécanisme à usage unique^{[alpha 2]} permettant de signer numériquement un document^[2]. Il a été introduit en 1979 par l'informaticien américain Leslie Lamport^[3]. La construction des signatures de Lamport repose uniquement sur les fonctions à sens unique, une approche qui a inspiré plusieurs constructions cryptographiques et qui s'avère être un candidat post-quantique^[4].

Les signatures de Lamport souffrent de nombreux désavantages techniques, en particulier leur usage unique, la taille des clés et des signatures^[5], qui ont motivé la création d'algorithmes plus efficaces (par Merkle et d'autres).

Le schéma de signature de Lamport est composé de trois algorithmes : génération de clés, signature et vérification.

L'algorithme de génération de clés prend en entrées un paramètre de sécurité ${\displaystyle \lambda }$ et une taille de messages ${\displaystyle n}$, puis détermine deux entiers ${\displaystyle k,\ell }$, et une fonction à sens unique ${\displaystyle H:\{0,1{\}}^k\to \{0,1{\}}^{\ell }}$. L'algorithme de génération de clés tire ensuite ${\displaystyle 2n}$ éléments uniformément au hasard ${\displaystyle y_{i,b}}$ pour ${\displaystyle i\in \{1,\dots ,n\}}$ et ${\displaystyle b\in \{0,1\}}$.

L'algorithme retourne la clé privée ${\displaystyle 𝗌𝗄=\{y_{i,b}\}}$, la clé publique ${\displaystyle 𝗉𝗄=\{z_{i,b}=H(y_{i,b})\}}$ et les paramètres publics ${\displaystyle 𝗉𝗉=\{\lambda ,n,k,\ell ,H\}}$.

L'algorithme de signature prend en entrées les paramètres publics, la clé privée, et ${\displaystyle m=(m_1,\dots ,m_n)\in \{0,1{\}}^n}$ un message à signer. La signature correspondante est ${\displaystyle \sigma =\{{\sigma }_i=y_{i,m_i}{\}}_{i=1}^n}$.

L'algorithme de vérification prend en entrées les paramètres publics, la clé publique, un message ${\displaystyle m}$ et une signature ${\displaystyle \sigma }$. S'il existe un indice ${\displaystyle i}$ tel que ${\displaystyle H({\sigma }_i)\ne z_{i,m_i}}$ alors l'algorithme retourne une erreur. Sinon, il renvoie un succès.

La sécurité du schéma de signature de Lamport face aux contrefaçons existentielles se ramène immédiatement (et dans le modèle standard) à la difficulté de calculer une préimage pour ${\displaystyle H}$^[6]Modèle:,^{[alpha 3]}. Cependant, le schéma ne peut être utilisé que pour signer un seul message. En effet, la signature révèle par construction une partie (50%) de la clé privée.

Un calculateur quantique facilite la recherche d'une préimage (au moyen de l'algorithme de Grover), divisant par deux le niveau de sécurité par rapport à un adversaire classique. Ce phénomène est aisément compensé en doublant les paramètres de la fonction ${\displaystyle H}$ ; pour cette raison, le schéma de Lamport est considéré comme un candidat post-quantique^[4]Modèle:,^[7].

Modèle:Références

Modèle:Références Modèle:Portail

Erreur de référence : Des balises <ref> existent pour un groupe nommé « alpha », mais aucune balise <references group="alpha"/> correspondante n’a été trouvée