Cryptographie avancée

Extraits

[...] Cette approche présente l'inconvénient de ne pas offrir de protection contre le manageur de groupe lui-même. En effet, le manageur de groupe est en mesure de délivrer des certificats de membre à des personnes qui ne sont pas réellement des membres du groupe. Ainsi, il peut signer des messages au nom du groupe en utilisant les certificats de membre de personnes qui ne sont pas autorisées à le faire. Pour remédier à cette faiblesse, on peut utiliser une version dynamique du schéma de signature de groupe, dans laquelle le manageur de groupe n'est plus responsable de la délivrance des certificats de membre. [...]

[...] des engagements R2, R3, R4, R5) liés aux équations qui sont vérifiées ; une question c = H(T1∥T2∥T3∥R1∥R2∥R3∥R4∥R5∥m) où H est une fonction de hachage, m le message à signer et ∥ l'opération de concaténation ; et des réponses liées aux secrets dont on prouve la connaissance Donner les engagements et les réponses liées à cette preuve de connaissance Voici les engagements liés aux équations qui doivent être vérifiées dans la preuve de connaissance : R1 est lié à l'équation T1 = [α]U R2 est lié à l'équation T2 = [β]V R3 est lié à l'équation [x]T1 - [δ1]U = 0 R4 est lié à l'équation [x]T2 - [δ2]V = 0 R5 est lié à l'équation e([δ1]T1 + [δ2]T2 + P2) = W Voici les réponses liées aux secrets dont on prouve la connaissance : α est la réponse liée à la secret δ1 β est la réponse liée au secret δ2 x est la réponse liée au secret x Ces réponses sont utilisées pour générer la réponse c à la question posée dans la preuve de connaissance. La fonction de hachage H est utilisée pour associer la réponse c à la valeur T1∥T2∥T3∥R1∥R2∥R3∥R4∥R5∥m. La preuve de connaissance est considérée comme valide si la réponse c est correcte. Version dynamique Version dynamique Dans ce schéma de signature de groupe, le certificat de membre est calculé au préalable par le manageur de groupe. Quelle est la propriété de sécurité qui n'est pas vérifiée, de façon évidente, par ce schéma ? [...]

[...] Reprendre l'équation trouvée à la première question et exprimez-la en enlevant mais en rajoutant T1 ou T2, et l'aléa utilisé pour chiffrer A dans T2). L'équation de vérification du certificat de membre, sans A mais en utilisant T1 et T2, peut être obtenue en remplaçant A par son expression en termes de T1 et T2 dans l'équation originale. On a : A = T2 - [θ]T1 On peut donc remplacer A dans l'équation de vérification du certificat de membre par sa valeur en termes de T1 et T2 pour obtenir : e(T2 - [θ]T1, P2) = W·e(P1, P2)^x En utilisant la bilinéarité de l'application on peut écrire : e(T2, P2)·e([-θ]T1, P2) = W·e(P1, P2)^x En utilisant la propriété ii) de l'application bilinéaire admissible, qui stipule que e(P1, P2) on peut simplifier l'équation ci-dessus en divisant par e(T1, P2) pour obtenir : e(T2, P2)·e([-θ]T1, P2)·e(T1, = W·e(P1, P2)^x·e(T1, En regroupant les termes, on obtient l'équation suivante : e(T2, P2)·e([-θ]T1, P2)·e(P1, = W Cette équation relie les valeurs e(P1, T1 et T2, ainsi que l'aléa k utilisé pour chiffrer A dans mais ne contient pas A. [...]

[...] Utiliser un schéma de signature dans lequel le certificat de membre est généré de manière aléatoire et ne contient aucune information sur l'identité du membre. Cela permet de garantir l'anonymat des signatures produites, mais implique que le manageur de groupe doit être en mesure de vérifier la validité du certificat de membre sans connaître l'identité du membre. Il est important de noter que chacune de ces approches a ses propres avantages et inconvénients et qu'il est important de choisir la solution la plus adaptée à chaque cas d'utilisation spécifique. [...]

[...] Voici quelques exemples de modifications de la structure du certificat qui peuvent être utilisées pour améliorer la confidentialité des signatures : Utiliser un système de chiffrement homomorphique pour chiffrer les informations contenues dans le certificat de membre. Cela permet de masquer l'identité du membre tout en permettant de vérifier la validité du certificat de membre. Ajouter un masque au certificat de membre qui masque l'identité du membre. Cela permet de rendre difficile l'identification du membre à partir du certificat de membre, tout en permettant de vérifier la validité du certificat. [...]