Transfert inconscient

Modèle:Ébauche

Le transfert inconscient (oblivious transfer, en anglais) est une primitive cryptographique où un expéditeur transmet une information, sélectionnée parmi plusieurs envois possibles, à un destinataire, sans que l'expéditeur puisse connaître le choix du destinataire, ni que le destinataire puisse connaître les informations qu'il n'a pas demandées. Par exemple, Wikipédia propose plusieurs articles ; avec le transfert inconscient, un utilisateur peut demander à consulter un article sans que Wikipédia puisse savoir quel article a été consulté.

Cette primitive a été introduite en 1981 par Michael Rabin, dans un manuscrit intitulé Modèle:LangueModèle:Sfn. Dans la version de Rabin, basée sur le chiffrement RSA, l’expéditeur transmet un message que le destinataire reçoit avec une probabilité de 1/2, sans que l'expéditeur puisse savoir si la réception a eu lieu ou non. En 1985, les travaux de Even, Goldreich et Lempel ont proposé une version améliorée du transfert inconscient 1 parmi 2 qui permettait de réaliser de manière sécurisée du calcul multipartite sécuriséModèle:Sfn. Ce résultat a ensuite été amélioré par KillianModèle:Sfn, en montrant que le transfert inconscient 1 parmi 2 suffisait à évaluer de manière multipartite n’importe quelle fonction en temps polynomial. Ce résultat est une des raisons de l’intérêt existant autour de cette primitive.

La définition de Michael Rabin consistait en un protocole tel que l'expéditeur envoyait un message M au destinataire, mais avec une probabilité 1/2 de perdre le message. L’expéditeur ne savait pas si son message était arrivé à bon port. Claude Crépeau a montré que cette définition était équivalente à celle utilisée dans sa définition courante: le transfert inconscient 1 parmi 2Modèle:Sfn. Des résultats similaires ont été montrés par Khurana, Maji et Sahai, en utilisant un canal bruitéModèle:Sfn (avec un taux d'erreur strictement inférieur à 1/2).

Un schéma de transfert inconscient est donné par deux algorithmes interactifsModèle:SfnModèle:,Modèle:Sfn: l’expéditeur ${\displaystyle S}$ et le destinataire ${\displaystyle R}$. L’expéditeur prend en entrée deux messages ${\displaystyle M_0}$ et ${\displaystyle M_1}$, tandis que de destinataire prend en entrée un bit σ. L’interaction entre les deux partis est notée ${\displaystyle S^{M_0,M_1}\leftrightarrows R^{\sigma }}$.

Les notions de sécurité associées sont la sécurité de l’expéditeur et la sécurité du destinataire.

• La sécurité du destinataire requiert que les distributions ${\displaystyle S^{M_0,M_1}\leftrightarrows R^0}$ et ${\displaystyle S^{M_0,M_1}\leftrightarrows R^1}$ soient indistinguables. Ce qui traduit le fait que l’expéditeur est incapable de savoir quel message le destinataire a demandé.
• La sécurité de l’expéditeur quant-à-elle traduit le fait que l’expéditeur ayant demandé ${\displaystyle M_{\sigma }}$ ne doit pas être capable de savoir quoi que ce soit sur le message ${\displaystyle M_{1-\sigma }}$ à l’issue de l’échange.

Alice (${\displaystyle S}$)				Bob (${\displaystyle R}$)
Calculs	Secret	Public		Public	Secret	Calculs
Messages à envoyer	${\displaystyle M_0,M_1}$
Création d'une paire de clefs RSA et envoi de la clef publique à Bob	${\displaystyle d}$	${\displaystyle N,e}$	${\displaystyle \Rightarrow }$	${\displaystyle N,e}$		Réception de la clef publique d'Alice
Génération de deux messages aléatoires		${\displaystyle x_0,x_1}$	${\displaystyle \Rightarrow }$	${\displaystyle x_0,x_1}$		Réception de deux messages aléatoires
					${\displaystyle k,\sigma }$	Choix de ${\displaystyle \sigma \in \{0,1\}}$ et génération d'un nombre aléatoire ${\displaystyle k}$
		${\displaystyle v}$	${\displaystyle \Leftarrow }$	${\displaystyle v=(x_{\sigma }+k^e)modN}$		Calcul du chiffrement de ${\displaystyle k}$ avec ${\displaystyle x_{\sigma }}$ et envoi du résultat à Alice
Calcul des deux valeurs possibles pour ${\displaystyle k}$, dont une seule correspond à celle de Bob	${\displaystyle \begin{array}{cc}{k}_0& =(v-x_0{)}^{d}modN\\ k_1& =(v-x_1{)}^{d}modN\end{array}}$
Envoi des deux messages à Bob		${\displaystyle \begin{array}{c}M{\text{'}}_0=M_0+k_0\\ M{\text{'}}_1=M_1+k_1\end{array}}$	${\displaystyle \Rightarrow }$	${\displaystyle M{\text{'}}_0,M{\text{'}}_1}$		Réception des deux messages
					${\displaystyle M_{\sigma }=M{\text{'}}_{\sigma }-k}$	Déchiffrement du message ${\displaystyle M{\text{'}}_{\sigma }}$, grâce au ${\displaystyle x_{\sigma }}$ choisi précédemment .

1. Alice propose d'envoyer a Bob un message parmi deux disponibles ${\displaystyle M_0}$ et ${\displaystyle M_1}$. Bob souhaite choisir l'un des deux messages à recevoir, sans qu'Alice puisse savoir lequel.
2. Alice génère une paire de clefs RSA, c'est-à-dire un modulo ${\displaystyle N}$, un exposant public ${\displaystyle e}$ et un exposant privé ${\displaystyle d}$.
3. Elle génère également deux messages aléatoires ${\displaystyle x_0}$ et ${\displaystyle x_1}$ qu'elle envoie à Bob en même temps que sa clef publique ${\displaystyle (N,e)}$.
4. Bob choisit le message qu'il souhaite recevoir, indiqué par ${\displaystyle \sigma \in \{0,1\}}$. Il sélectionne donc la valeur correspondante ${\displaystyle x_{\sigma }}$.
5. Bob génère un nombre aléatoire ${\displaystyle k}$ et chiffre ${\displaystyle k}$ avec ${\displaystyle x_{\sigma }}$ en calculant ${\displaystyle v=(x_{\sigma }+k^e)modN}$, qu'il envoie à Alice.
6. Pour Alice, il est impossible de déterminer si Bob a choisi ${\displaystyle x_0}$ ou ${\displaystyle x_1}$ pour calculer ${\displaystyle v}$, car elle ignore le nombre ${\displaystyle k}$ généré par Bob . Elle calcule donc les deux valeurs possibles pour ${\displaystyle k}$ à partir de ${\displaystyle v}$: ${\displaystyle k_0=(v-x_0{)}^{d}modN}$ et ${\displaystyle k_1=(v-x_1{)}^{d}modN}$. L'une de ces deux valeurs est égale au ${\displaystyle k}$ choisi par Bob (sans qu'Alice sache lequel) et l'autre est une valeur aléatoire qui ne fournit aucune information sur ${\displaystyle k}$.Ceci garantit la sécurité du destinataire.
7. Alice masque les messages ${\displaystyle M_0}$ et ${\displaystyle M_1}$ avec les deux clefs possibles ${\displaystyle k_0}$ et ${\displaystyle k_1}$ pour donner ${\displaystyle M{\text{'}}_0=M_0+k_0}$ et ${\displaystyle M{\text{'}}_1=M_1+k_1}$. Ces deux messages sont envoyés à Bob.
8. Bob déchiffre le message ${\displaystyle M{\text{'}}_{\sigma }}$ avec le ${\displaystyle k}$ qu'il a choisi, pour obtenir ${\displaystyle M_{\sigma }=M{\text{'}}_{\sigma }-k}$. Bob est par ailleurs incapable de déchiffrer l'autre message. En effet, il faudrait qu'il puisse calculer l'autre valeur de ${\displaystyle k}$, c'est-à-dire ${\displaystyle k_{1-\sigma }}$, ce qu'il ne peut faire sans la clef privée d'Alice. Ceci garantit la sécurité de l'expéditeur.

Modèle:... Le transfert inconscient 1 parmi n peut être généralisé à partir du protocole 1 parmi 2 détaillé ci-dessus. L’expéditeur dispose de n messages et le destinataire choisit un indice i entre 0 et n - 1 correspondant au message qu'il souhaite recevoir, toujours sans que l'expéditeur puisse savoir quel message a été choisi, ni que le destinataire puisse prendre connaissance d'un autre message que celui qu'il a sélectionné. D'autres implémentations sont également possibles.

On suppose qu'Alice possède ${\displaystyle m}$ secrets ${\displaystyle s_1,\dots ,s_m}$ binaires valant tous soit 0 soit 1^{[note 1]}. On suppose que Bob souhaite connaître le secret ${\displaystyle s_i}$. Un protocole de transfert inconscient peut être le suivant^[1]Modèle:,^{[note 2]}:

1. Alice choisit deux nombres premiers ${\displaystyle p}$ et ${\displaystyle q}$ et un nombre ${\displaystyle a}$ qui n'est pas un résidu quadratique modulo ${\displaystyle n=pq}$ et tel que le symbole de Jacobi ${\displaystyle \left(\frac{a}{n}\right)}$ soit égal à 1^{[note 3]};
2. Alice publie ${\displaystyle a}$ et ${\displaystyle n}$ ;
3. Alice associe un nombre aléatoire ${\displaystyle x_i\ne 0}$ à chaque secret ${\displaystyle s_i}$ et envoie à Bob les ${\displaystyle m}$ nombres ${\displaystyle y_i:=x_i^2{a}^{s_i}modn}$ ;
4. Bob génère un nombre aléatoire ${\displaystyle r}$ ainsi qu'un bit aléatoire ${\displaystyle b\in \{0,1\}}$ et envoie à Alice le nombre ${\displaystyle {\delta }_i=y_i{r}^2{a}^b}$^{[note 4]};
5. Alice dit à Bob si le nombre ${\displaystyle {\delta }_i}$ est un résidu quadratique modulo ${\displaystyle n}$. Si oui, alors ${\displaystyle s_i=b}$ sinon ${\displaystyle s_i=1-b}$^{[note 5]}.

Ce protocole repose essentiellement sur l'idée que décider si l'entier ${\displaystyle {\delta }_i}$ est un résidu quadratique modulo ${\displaystyle n}$ est aisé si les facteurs premiers de ${\displaystyle n}$ sont connus^[2], comme c'est le cas d'Alice, et impossible en un temps raisonnable sinon^[2], comme dans le cas de Bob.

Le transfert inconscient 1 parmi n est donc plus restrictif que les protocoles PIR (Modèle:Lien) qui n'exigent que la sécurité du destinataire (l'expéditeur ne peut savoir quel message a bien été transmis). En revanche, les protocoles PIR sont généralement plus économes en ce qui concerne la quantité de données effectivement transmises. En effet, dans le protocole 1 parmi n, Alice envoie nécessairement les n messages à Bob (même s'il ne peut en lire qu'un seul), alors que les protocoles PIR sont souvent sous-linéaire en n.

Gilles Brassard, Claude Crépeau et Jean-Marc Robert ont proposé une généralisation au transfert k parmi n^[3], dans laquelle le destinataire peut sélectionner plus d'un message parmi ceux proposés par l'expéditeur. Les k messages peuvent être reçus simultanément ou consécutivement, chaque nouveau message pouvant être choisi selon les messages reçus précédemment

Modèle:Sources de section Modèle:...

Modèle:Traduction/Référence Modèle:Références

Modèle:Références

• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article
• Modèle:Article

• Preuve à divulgation nulle de connaissance
• Cryptographie à clef secrète
• Calcul multipartite sécurisé

Modèle:Portail

Erreur de référence : Des balises <ref> existent pour un groupe nommé « note », mais aucune balise <references group="note"/> correspondante n’a été trouvée