ANNÉE 2017 THÈSE / UNIVERSITÉ DE RENNES 1 sous le sceau de l’Université Bretagne Loire pour le grade de DOCTEUR DE L’UNIVERSITÉ DE RENNES 1 Mention : Informatique Ecole doctorale MathSTIC présentée par Solenn Brunet Préparée à l’unité de recherche CIDRe Confidentialité, Intégrité, Disponibilité et Répartition IRISA - UMR 6074 Thèse soutenue à Rennes Conception de le 27 novembre 2017 mécanismes devant le jury composé de : Benjamin NGUYEN d’accréditations Professeur, INSA Centre Val de Loire / rapporteur Olivier PEREIRA anonymes et Professeur, Université Catholique de Louvain / rapporteur d’anonymisation de Carlos AGUILAR MELCHOR Maître de conférences, Université de Toulouse / données examinateur Pierre-Alain FOUQUE Professeur, Université de Rennes 1 / examinateur Cristina ONETE Maître de conférences, Université de Limoges / examinatrice Jacques TRAORÉ Ingénieur de recherche, Orange Labs / examinateur Christophe BIDAN Professeur, CentraleSupélec / directeur de thèse Sébastien GAMBS Professeur, Université du Québec à Montréal / co- directeur de thèse Conception de mécanismes d’accréditations anonymes et d’anonymisation de données Solenn BRUNET Travaux effectués au sein de l’Applied Crypto Group, Orange Labs, et de l’Institut de Recherche en Informatique et Systèmes Aléatoires, Rennes Table des matières Introduction 3 I Préliminaires 9 1 Préliminaires mathématiques 11 1.1 Rappelsd’algèbre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1.1 Groupesetcorps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 1.1.2 Courbeselliptiquesetcouplages . . . . . . . . . . . . . . . . . . . . . . . . . 13 1.2 Fonctionsdebases . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.2.1 Notionsdecomplexité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.2.2 Fonctionsparticulières . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 1.3 Sécuritéprouvée . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 1.3.1 Problèmesdifficiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 1.3.2 Typesdepreuvesetmodèlesdesécurité . . . . . . . . . . . . . . . . . . . . 21 2 Outils cryptographiques 25 2.1 Confidentialité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2.1.1 Chiffrementàclépublique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 2.1.2 Exemplesdeschémasdechiffrementàclépublique . . . . . . . . . . . . . 28 2.2 Authentificationetintégrité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.2.1 Signaturesnumériques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 2.2.2 Codesd’authentificationdemessages . . . . . . . . . . . . . . . . . . . . . . 36 2.3 Autresprimitives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.3.1 Miseengage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 2.3.2 Preuvesdeconnaissanceàdivulgationnulledeconnaissance . . . . . . . 39 2.3.3 Confidentialitédifférentielle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 II Accréditations anonymes avec vérification par clé 47 3 Nouvelles primitives 49 3.1 NotreMACalgébriqueamélioré . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.1.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3.1.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 3.2 NotreMACséquentiellementagrégé . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 iii iv TABLEDESMATIÈRES 3.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 3.2.2 Preuvedesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 3.3 Notresignaturepartiellementaveugle . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.3.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 3.3.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 4 Conception d’un système d’accréditations anonymes avec vérification par clé 63 4.1 Accréditationsanonymesavecvérificationparclé . . . . . . . . . . . . . . . . . . . 63 4.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 4.1.2 Définition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 4.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 4.2.2 Analysedeperformanceetdesécurité. . . . . . . . . . . . . . . . . . . . . . 74 4.2.3 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 5 Conception d’un système de vote électronique 81 5.1 Voteélectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81 5.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 5.1.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.2.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 6 Conception d’un système de paiement électronique privé 97 6.1 Paiementélectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 6.1.1 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 6.1.2 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99 6.2 Notresystème . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 6.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 6.2.2 Preuvesdesécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111 III Anonymisation de données 121 7 Anonymisation de graphes par la confidentialité différentielle 123 7.1 Confidentialitédifférentielleetgraphes . . . . . . . . . . . . . . . . . . . . . . . . . 123 7.1.1 Définitionsetnotations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 7.1.2 Étatdel’art . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 7.2 Notreprocédédeconfidentialitédifférentielleparblocs . . . . . . . . . . . . . . . 127 7.2.1 Description . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 7.2.2 Autresmécanismespossibles . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 7.3 Évaluationexpérimentaleetpreuvesdesthéorèmes . . . . . . . . . . . . . . . . . . 135 7.3.1 Expérimentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 7.3.2 Preuves. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 Conclusion 143 TABLEDESMATIÈRES v Publications et brevet 145 Bibliographie 147 Notations (cid:90) Ensembledesentiersrelatifs (cid:90) Ensembledesentiersentre0et n−1 n Ensembledeschaînesdelongueurarbitrairecomposéesde0 {0,1}∗ etde1 {0,1}k Ensembledeschaînesdelongueur k composéesde0etde1 ⊥ Chaînedecaractèresvide |X| Cardinaldel’ensemble X ∧ Opérateurlogique“et” ∨ Opérateurlogique“ou” a← b Lavaleurde b estaffectéeà a x ←R X L’élément x estchoisialéatoirementdansl’ensemble X selon unedistributionuniforme x ←A(...) L’algorithmeAproduitl’élément x ensortie Protocole interactif Proto entre U et U avec in et in Proto(U (in ),U (in )) 1 2 1 2 1 1 2 2 commeentréerespective pgcd(a,b) Plusgrandcommundiviseurdesdeuxentiersnonnulsaet b ppcm(a,b) Pluspetitcommunmultipledesdeuxentiersnonnuls a et b (cid:80)(S) Probabilitédel’évènementS Adversaire A avec l’entrée in, ayant accès aux oracles O AO1,O2(in) 1 etO 2 1