1

Schéma d’identification de Cayrel-Véron- ElYousfi

Anne-Sophie Tirloy

Julien Armenti

2

SommaireIntroductionPré requis Présentation du schémaSécurité et propriétésConclusion

3

Introduction

Schéma d’identification de Cayrel-Véron-ElYousfi :

Système d’identification à divulgation nulle de connaissance

Probabilité de triche à chaque tour de ½

Protocole en 5 passes

4

Pré-requis

Existe-il « s» vecteur de de F2

n de poids « ω » tel que

H* t s = y ?

Problème NP-complet

Démontré en 1978

H: matrice de taille r * n

y: vecteur de F2

n

ω :entier positif

Problème du décodage par syndrome binaire :

55

Problème du décodage par syndrome q-aire :

H: matrice de taille r * n

y: vecteur de Fq

n

ω :entier positif

Problème NP-complet

Elargissement du problème précédent de F2

n à

Fq

n

Démontré en 1994

Existe-il « s» vecteur de de Fq

n de poids « ω » tel que

H* t s = y ?

666

Borne de Gilbert-Varshamov q-aire

On choisit ω =d0 de façon à optimiser la complexité de l’algorithme d’attaque par ensemble d’information et ainsi rendre plus difficile le décodage.

7

Présentation du schémaLa fonction

:

Avec une permutation de l’ensemble

telle que

Avec pour propriété :

où, wt(x) est le poids de x

8

Génération de la clé :

Choix de n, k, ω et q rendu public

H et s choisit aléatoirement

Calcul de y

On obtient :

9

Identification:

Prouveur P

Vérifieur V

P veut prouver à V qu’il connait bien le secret.

10

Identification:

Prouveur P

Vérifieur V

P veut prouver à V qu’il connait bien le secret.

11

Identification:

Prouveur P

Vérifieur Vc1, c2

12

Identification:

Prouveur P

Vérifieur Vc1, c2

α

13

Identification:

Prouveur P

Vérifieur Vc1, c2

α

β

14

Identification:

Prouveur P

Vérifieur Vc1, c2

α

β

Challenge b

15

Identification:

Prouveur P

Vérifieur Vc1, c2

α

β

Challenge b

Σ, γSi b = 0 :

16

Identification:

Prouveur P

Vérifieur Vc1, c2

α

β

Challenge b

Σ, γ

Πγ,Σ(e)Si b = 1 :

Si b = 0 :

17

Sécurité et propriétés

Completeness

Zero-Knowledge

18

Completeness

Prouveur P honnête

H* t s = y

wt(s) = ω (y de poids ω)

b = 0

b = 1

ET

100% de réussite d’identification

19

Zero-Knowledge

Un utilisateur malhonnête peut tricher lors de l’identification mais il n’obtiendra pas d’information sur le secret.

20

Prouveur P

malhonnête

2 possibilités de triche

H* t s = y

wt(s) = ω (y de poids ω)

Probabilité de triche = 1/2

b = 0

b = 1

OU

21

Stratégie 0

Choisit u, γ, et Σ au hasard

Résout H* t s = y sans satisfaire la condition wt(s) = ω

Reconstruit c1

Génère c2 au hasard

Peut donc répondre au challenge b = 0

22

Stratégie 0

α

β

b=0

Σ, γ

c1, c2

23

Stratégie 1

Choisit u, γ, et Σ au hasard

Choisit y tel que wt(s) = ωsans satisfaire la condition H* t s = y

Génère c1 au hasard

Reconstruit c2

Peut donc répondre au challenge b = 1

24

Stratégie 1

α

β

b=1

c1, c2

Πγ,Σ(e)

2525

Taille de la communication

26

c1, c2

26

c1 et c2 de longueur ℓh

27

c1, c2

α

27

c1 et c2 de longueur ℓh

Element de Fq de longueur N

28

c1, c2

α

β

28

c1 et c2 de longueur ℓh

De longueur N*n

Element de Fq de longueur N

29

c1, c2

α

β

29

c1 et c2 de longueur ℓh

De longueur N*n

Challenge b0 ou 1 1 bit

Element de Fq de longueur N

30

c1, c2

α

β

30

c1 et c2 de longueur ℓh

Element de Fq de longueur N

De longueur N*n

Challenge b0 ou 1 1 bit

Σ, γ

Πγ,Σ(e)De longueur N*n

De longueur ℓΣ +

ℓγ

31

δ : Nombre de tours

32

Taille de la communication réduite

Sécurité plus élevée

Clé publique plus petite

Conclusion

En comparaison avec le protocole de Stern :

33

Comparaison de la probabilité de triche avec d’autres schémas :

34

Amélioration possible :

• La connaissance, et donc la transmission des paramètres publics est primordiale au schéma.

• La taille de H peut être diminuée : -> matrice spéciale, calcul plus facile algorithmiquement -> Transmission plus rapide

35

36363636

Décodage par ensemble d’information : Algorithme de Stern (1989)

On cherche « y » de longueur « n » et de poids inférieur ou égal à « t » satisfaisant H*ty = S