ANNÉE 2017 THÈSE / UNIVERSITÉ DE RENNES 1 sous le sceau de l’Université Bretagne Loire pour le grade de DOCTEUR DE L’UNIVERSITÉ DE RENNES 1 Mention : Informatique Ecole doctorale MathSTIC présentée par Solenn Brunet Préparée à l’unité de recherche CIDRe Confidentialité, Intégrité, Disponibilité et Répartition IRISA - UMR 6074 Thèse soutenue à Rennes Conception de le 27 novembre 2017 mécanismes devant le jury composé de : Benjamin NGUYEN d’accréditations Professeur, INSA Centre Val de Loire / rapporteur Olivier PEREIRA anonymes et Professeur, Université Catholique de Louvain / rapporteur d’anonymisation de Carlos AGUILAR MELCHOR Maître de conférences, Université de Toulouse / données examinateur Pierre-Alain FOUQUE Professeur, Université de Rennes 1 / examinateur Cristina ONETE Maître de conférences, Université de Limoges / examinatrice Jacques TRAORÉ Ingénieur de recherche, Orange Labs / examinateur Christophe BIDAN Professeur, CentraleSupélec / directeur de thèse Sébastien GAMBS Professeur, Université du Québec à Montréal / co- directeur de thèse Conception de mécanismes d’accréditations anonymes et d’anonymisation de données Solenn BRUNET Travaux effectués au sein de l’Applied Crypto Group, Orange Labs, et de l’Institut de Recherche en Informatique et Systèmes Aléatoires, Rennes Table des matières Introduction 3 I Préliminaires 9 1 Préliminaires mathématiques 11 1.1 Rappelsd’algèbre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1.1 Groupesetcorps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1.2 Courbeselliptiquesetcouplages . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.2 Fonctionsdebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.2.1 Notionsdecomplexité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.2.2 Fonctionsparticulières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.3 Sécuritéprouvée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.3.1 Problèmesdifficiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.3.2 Typesdepreuvesetmodèlesdesécurité . . . . . . . . . . . . . . . . . . . . 21 2 Outils cryptographiques 25 2.1 Confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.1.1 Chiffrementàclépublique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 2.1.2 Chiffrementsàclépublique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 2.2 Authentificationetintégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.2.1 Signaturesnumériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.2.2 Codesd’authentificationdemessages . . . . . . . . . . . . . . . . . . . . . . 36 2.3 Autresprimitives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.3.1 Miseengage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.3.2 Preuvesdeconnaissanceàdivulgationnulledeconnaissance . . . . . . . 39 2.3.3 Confidentialitédifférentielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 II Accréditations anonymes avec vérification par clé 47 3 Nouvelles primitives et accréditations anonymes 49 3.1 NotreMACalgébriqueamélioré . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.1.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3.1.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.2 NotreMACséquentiellementagrégé . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 iii iv TABLEDESMATIÈRES 3.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.2.2 Preuvedesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 3.3 Notresignaturepartiellementaveugle . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.3.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.3.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4 Conception d’un système d’accréditations anonymes avec vérification par clé 63 4.1 Accréditationsanonymesavecvérificationparclé . . . . . . . . . . . . . . . . . . . 63 4.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.1.2 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.2.2 Analysedeperformanceetdesécurité. . . . . . . . . . . . . . . . . . . . . . 74 4.2.3 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5 Conception d’un système de vote électronique 81 5.1 Voteélectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 5.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 5.1.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.2.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 6 Conception d’un système de paiement électronique privé 97 6.1 Paiementélectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 6.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 6.1.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 6.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 6.2.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 III Anonymisation de données 121 7 Anonymisation de graphes par la confidentialité différentielle 123 7.1 Confidentialitédifférentielleetgraphes . . . . . . . . . . . . . . . . . . . . . . . . . 123 7.1.1 Définitionsetnotations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 7.1.2 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 7.2 Notreprocédédeconfidentialitédifférentielleparblocs . . . . . . . . . . . . . . . 127 7.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 7.2.2 Autresmécanismespossibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 7.3 Évaluationexpérimentaleetpreuvesdesthéorèmes . . . . . . . . . . . . . . . . . . 135 7.3.1 Expérimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 7.3.2 Preuves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Conclusion 143 TABLEDESMATIÈRES v Publications et brevet 145 Bibliographie 147 Notations Z Ensembledesentiersrelatifs Z Ensembledesentiersentre0et n 1 n − Ensembledeschaînesdelongueurarbitrairecomposéesde0 0,1 ∗ { } etde1 0,1 k Ensembledeschaînesdelongueur k composéesde0etde1 { } Chaînedecaractèresvide ⊥ X Cardinaldel’ensemble X | | Opérateurlogique“et” ∧ Opérateurlogique“ou” ∨ a b Lavaleurde b estaffectéeà a ← R L’élément x estchoisialéatoirementdansl’ensemble X selon x X ← unedistributionuniforme x A(...) L’algorithmeAproduitl’élément x ensortie ← Protocole interactif Proto entre U et U avec in et in Proto(U (in ),U (in )) 1 2 1 2 1 1 2 2 commeentréerespective pgcd(a,b) Plusgrandcommundiviseurdesdeuxentiersnonnulsaet b ppcm(a,b) Pluspetitcommunmultipledesdeuxentiersnonnuls a et b P(S) Probabilitédel’évènementS Adversaire A avec l’entrée in, ayant accès aux oracles O AO1,O2(in) 1 etO 2 1 Introduction L’avènement de l’informatique puis celui de l’Internet ont entraîné de nouveaux usages, accompagnés de nouveaux défis en termes de sécurité et de vie privée. De nos jours, les nou- vellestechnologiessontadoptéesetplébiscitéesparlegrandpublicpourlesavantagesqu’elles apportent.Ainsi,ilestmaintenantpossibled’utiliserunecartebancaireoumêmeuntéléphone mobilepourréaliserdespaiements,sansavoirnécessairementdesespècesavecsoi.Unecarte d’abonnementauxtransportsnousévited’acheterdesticketsàusageuniqueetdelesstocker. Demême,grâceautélépéage,iln’estplusnécessairedes’arrêteràchaqueborne.L’utilisation des courriers électroniques ou d’applications de messagerie nous permet de communiquer en tempsréel avecl’étranger. Biend’autres applicationsémergent régulièrementet lacryptogra- phiejoueunrôleclépourleursécurité. La cryptographie est une science ancienne qui répond au besoin de protéger les commu- nications et qui est apparue dès l’invention de l’écriture. Son but initial est alors d’assurer la confidentialitédesmessageséchangés,essentiellementàdesfinsmilitaires.Lechiffrementest l’opération qui va permettre de rendre un texte inintelligible, sauf pour le destinataire choisi. Lespremiersmécanismesreposentsurlefaitquel’expéditeuretledestinatairepossèdentune même clé pour chiffrer et déchiffrer les messages grâce à un mélange de permutations et de substitutionsconnusd’euxuniquement. Dès la fin du XIXème siècle, KERCKHOFFS critique ce mode de fonctionnement qui repose sur le secret de l’algorithme de chiffrement. Il affirme que la sécurité d’un mécanisme cryp- tographique ne doit dépendre que de la clé utilisée alors que l’algorithme peut être connu de tous et garantissant un haut niveau de sécurité. Le développement des communications dé- montre ce besoin d’utiliser un même protocole entre plusieurs entités. Avoir des algorithmes publics, étudiés et éprouvés par la communauté scientifique, permet d’établir des standards cryptographiques à disposition de tous. Les premiers schémas publics considèrent alors que le secret est la clé, connue de l’expéditeur et du destinataire, pour chiffrer et déchiffrer. Ce type de cryptographie est dite symétrique ou à clé secrète, en référence à cette clé commune. Néanmoins,communiquerlacléentrelesentitésdevientpluscomplexedanslemondenumé- riqueoùl’utilisationd’unsupportphysiquepourlatransmettren’estplusréaliste.Enréponse àceproblèmed’échangedeclé,DIFFIEetHELLMAN[DH76]introduisentlacryptographiedite asymétriqueouàclépublique.Unmêmedestinatairedétientalorsuneclépublique,utilisable partousafindechiffrerunmessageluiétantdestiné,etunecléprivée,connuedeluiseul,qui permet de déchiffrer ses messages. Dans ce cas, connaître la clé publique ne représente pas de danger et ne dévoile aucune information. Ces deux modes de chiffrement, à clé publique et à clé secrète, peuvent alors être employés conjointement pour bénéficier de la sécurité du chiffrementàclépubliqueetdelarapiditéduchiffrementàclésecrète. 3