Verifiable Identity-based Encryption

Modèle:Langue du titre Modèle:Méta bandeau d'avertissement

Modèle:Lang (VIBE) est un chiffrement basé sur l'identité développé et breveté (aux États Unis, en Europe et en Chine) par la société VIBE Cybersecurity International LLC. Ce chiffrement est une version amélioréeModèle:En quoi de celui de Boneh et Franklin^[1], qui utilise une application bilinéaire nommée optimal ATE pairing^[2] agissant sur des courbes elliptiques. Ce type d'application a été analysé par l'organisme de standardisation américain NIST^[3].

L'algorithme de VIBE (décrit dans le brevet^[4]) permet de vérifier rapidement la cohérence entre les paramètres publics et une clé secrète, augmentant la confiance entre les utilisateurs et les administrateurs du systèmeModèle:Pas clair. De plus, VIBE permet une authentification de l'envoyeur du message pour un coût de communication négligeableModèle:Référence nécessaire.

VIBE en particulier a été analysé^[5] par le maitre de conférences de l'Université de Limoges Olivier Blazy. Ce dernier y rédige sa propre preuve de sécurité, il explique aussi que le schéma VIBE possède des avantages indéniables : il est prouvé sûr, les chiffrés sont courts, le nombre de calculs lourds est réduit et la propriété intrinsèque de vérifiabilité augmente la confiance envers tous les acteurs du systèmeModèle:Source secondaire nécessaire.

L'administrateur des clés du système (appelé Trusted Centre TC d'identité ${\displaystyle {\mathsf{\text{Id}}}_{TC}}$), choisi une application bilinéaire et trois groupes sur une courbe elliptique compatible avec cette application (respectivement ${\displaystyle e,{𝒢}_1,{𝒢}_2,{𝒢}_T}$). Il choisit ensuite aléatoirement un entier ${\displaystyle s\in {𝒵}_p^{*}}$ et fixe sa clé maître secrète: ${\displaystyle \mathsf{\text{msk}}=s}$ (${\displaystyle p}$ étant le cardinal du plus petit groupe choisi sur la courbe: ${\displaystyle {𝒢}_1}$).

4 fonctions de hachage sont choisies en vérifiant les conditions suivantes :

• ${\displaystyle {\mathscr{H}}_1}$ (respectivement ${\displaystyle {\mathscr{H}}_2}$) prend en entrée une chaîne binaire de taille arbitraire et retourne un élément du groupe ${\displaystyle {𝒢}_1}$ (respectivement ${\displaystyle {𝒢}_2}$).
• ${\displaystyle {\mathscr{H}}_3}$ prend en entrée une chaîne binaire de taille arbitraire et retourne un élément de ${\displaystyle {𝒵}_p^{*}}$.
• ${\displaystyle {\mathscr{H}}^{\prime }}$ prend en entrée un élément de ${\displaystyle {𝒢}_T}$ et retourne une chaîne binaire (cette dernière fonction de hachage peut être implémentée par SHA3 par exemple).

L'élément publique ${\displaystyle Pub}$ est calculée comme suit :

• ${\displaystyle Pub=s\cdot {\mathscr{H}}_1({\mathsf{\text{id}}}_{TC})}$

Les paramètres publics sont ensuite publiés : ${\displaystyle \mathsf{\text{mpk}}=({𝒢}_1,{𝒢}_2,{𝒢}_T,{\mathscr{H}}_1,{\mathscr{H}}_2,{\mathscr{H}}_3,{\mathscr{H}}^{\prime },e,Pub)}$

La clé publique d'un utilisateur est son identité ${\displaystyle \mathsf{\text{id}}}$, sa clé privée est calculée comme suit :

${\displaystyle \mathsf{\text{usk}}[\mathsf{\text{id}}]=(\mathsf{\text{usk}}[\mathsf{\text{id}}{]}_1,\mathsf{\text{usk}}[\mathsf{\text{id}}{]}_2)=(s^{-1}\cdot {\mathscr{H}}_1(\mathsf{\text{id}}),s^{-1}\cdot {\mathscr{H}}_2(\mathsf{\text{id}}))}$

La vérification rapide de la cohérence entre les paramètres publics et une clé secrète se fait en vérifiant l'égalité suivante :

${\displaystyle e(Pub,𝗎𝗌𝗄[𝗂𝖽{]}_2)==e({\mathscr{H}}_1({𝗂𝖽}_{TC}),{\mathscr{H}}_2(𝗂𝖽))}$

Le message ${\displaystyle M}$ pour le receveur d'identité ${\displaystyle {𝗂𝖽}_R}$ est chiffré en ${\displaystyle 𝖢=(U,V,Y)}$ par l'envoyeur d'identité ${\displaystyle {𝗂𝖽}_S}$ en calculant les valeurs suivantes :

${\displaystyle r\leftarrow {\mathscr{H}}_3(M)}$

${\displaystyle U=M\oplus {\mathscr{H}}^{\prime }(e({\mathscr{H}}_1({𝗂𝖽}_{TC}),{\mathscr{H}}_2({𝗂𝖽}_R){)}^r)}$

${\displaystyle V=r\cdot Pub}$

${\displaystyle Y={\mathscr{H}}^{\prime }(e({\mathscr{H}}_1({𝗂𝖽}_R),𝗎𝗌𝗄[{𝗂𝖽}_S{]}_2{)}^r)}$

${\displaystyle Y}$ est la valeur qui sert au receveur à authentifier l'envoyeur du message.

Le message chiffré ${\displaystyle 𝖢=(U,V,Y)}$ est déchiffré en un message clair ${\displaystyle M}$ par le receveur en calculant :

${\displaystyle M=U\oplus {\mathscr{H}}^{\prime }(e(V,𝗎𝗌𝗄[{𝗂𝖽}_R{]}_2))}$

${\displaystyle r\leftarrow {\mathscr{H}}_3(M)}$

L'authentification se fait en vérifiant l'égalité suivante : ${\displaystyle Y=={\mathscr{H}}^{\prime }(e(𝗎𝗌𝗄[{𝗂𝖽}_R{]}_1,{\mathscr{H}}_2({𝗂𝖽}_S){)}^r)}$

La sécurité du chiffrement basé sur l'identité VIBE repose sur une hypothèse classiqueModèle:En quoi de sécurité cryptographique proche du Problème Calculatoire de Diffie-HellmanModèle:Référence nécessaire. Ce problèmeModèle:En quoi se situe dans un contexte asymétrique, ce qui améliore la rapidité des algorithmes et la taille des objets mathématiques à manipulerModèle:Pas clair.

Modèle:Références

Modèle:Liens

Modèle:Portail