Schéma basé sur l'identité - Définition

Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs de cet article est disponible ici.

- Introduction - Principe - Protocole de Shamir - Classification de Shamir des protocoles de reconnaissance - Protocole de Cocks

Classification de Shamir des protocoles de reconnaissance

En 1986, Fiat et Shamir ont classifié les différentes catégories de protocoles de reconnaissance. Ils distinguèrent alors trois niveaux de protections. Supposons qu'Alice veuille prouver son identité à Bob, les différents niveaux sont alors :

protocole d'authentification: Alice peut prouver à Bob qu'elle est véritablement Alice, mais personne d'autre ne peut prouver à Bob qu'elle est Alice.
protocole d'identification : Alice peut prouver à Bob qu'elle est véritablement Alice, et Bob ne peut extraire aucune information de cette preuve pour tenter de faire croire à quelqu'un d'autre qu'il est Alice.
protocole de signature (ou non-répudiation): ce protocole a les mêmes propriétés que le précédent mais, en plus, Alice ne peut pas dire qu'elle n'a pas prouvé son identité à Bob, ou que le message qu'elle a signé était différent de celui que Bob prétend avoir reçu (elle ne peut pas répudier sa signature). En d'autres termes, Bob ne peut pas faire croire qu'Alice lui a prouvé son identité alors qu'elle ne l'a pas fait.

En fait, le protocole d'authentification au sens de Fiat et Shamir ne sera utilisé que lorsqu’Alice et Bob ont leurs intérêts en communs, pour prévenir une attaque venue de l'extérieur. Par contre, lorsqu’Alice et Bob ont des intérêts divergents, l'un des deux autres types de schéma doit être employé. Avec un protocole d'authentification, Bob pourrait a posteriori se faire passer pour Alice auprès d'un troisième intervenant. Ceci n'est plus possible lorsque l'on a affaire à un schéma d'identification. En revanche, dans ce cas, comme dans le cas de l'authentification, Bob peut faire croire qu'il a reçu un message venant d'Alice (en quelque sorte en imitant sa signature), tandis qu'un protocole de signature l'en interdit.

Nous n'utiliserons cependant pas le vocabulaire de Shamir, en ne faisant pas de distinction entre authentification et identification. En effet l'authentification au sens de Shamir présuppose qu'Alice et Bob ne sont pas rivaux, ce qui arrive assez souvent dans la pratique, mais aussi, que personne ne peut écouter une preuve d'authentification entre Alice et Bob, car sinon l'indélicat personnage serait dans les mêmes conditions que Bob pour restituer la clef secrète d'Alice, et pourrait donc se faire passer pour Alice lors des conversations ultérieures. Or, la confidentialité physique est généralement loin d'être parfaitement assurée.

Protocole de Cocks

Soit $i$ l'ensemble d'informations représentant l'identité d'Alice. On suppose l'existence d'un procédé publique $h$ à base de fonctions de hachage tel que $(\frac{h(i)}{M})=1.$ On considérera dans la suite l'expression $a = h (i)$ comme étant l'identité de Alice.

Supposons que Bob veuille transmettre un courrier à Alice, d'identité $a .$ La valeur $M$ est publique. On supposera de plus sans perte de généralité que $a$ est un carré modulo $M .$ Bob va traiter son message bit à bit :

Chiffrement

Soit $x$ la représentation d'un bit à envoyer, $x = 1$ ou $- 1.$ Bob choisit un entier $t$ aléatoirement tel que $(\frac{t}{M})=x.$ Il peut alors envoyer le cryptogramme $s$ correspondant à $x :$

Déchiffrement

Conformément au principe des cryptosystèmes basés sur l'identité, Alice interagit avec l'autorité de manière à obtenir $r$ vérifiant $r 2 = a (mod M).$ On a vu que seule la connaissance de $P$ et $Q$ permet de calculer $r .$ Cette connaissance sera le secret de l'autorité et $r$ sera le clef secrète d'Alice, fourni par l'autorité. Ainsi, comme $s + 2 r = t (1 + r / t) 2 (mod M),$ Alice peut retrouver $x$ avec : $(\frac{s+2r}{M})=(\frac{t}{M})=x.$ Dans le cas où $- a$ est un carré modulo $M,$ on utilise $s = t - a / t (mod M).$