Narrativa e quadrinhos 33

La s´ecurit´e des sch´emas d’IBE bas´es sur les couplages repose sur les trois points suivants : 1. S´ecurit´e des fonctions de hachage.

2. Celle de EDLP c `ad PDL sur les courbes elliptiques.

3. S´ecurit´e du couplage.

La s´ecurit´e des fonctions de hachage a ´et´e bien ´etudi´ee dans la la litt´erature elle est derni`erement couronn´ee par la s´electon de Keccak pour la candidature SHA3, cette derni`ere est surement s´ecuris´e. Mais pour appliquer les fonctions de hachage aux sch´emas des IBE sous Random Oracle, nous faisons soit : des concat´enations, des r´eductions modulaires ou autres tech- niques. Effectivement, cela demande d’´etudier la s´ecurit´e de ces fonctions selon ces chan- gements. Malheureusement, nous remarquons que personne n’a pris l’initiative pour ´etudier ce genre de fonctions et nous av´erons que la pr´esente th`ese n’apporte aucune solution `a ce probl`eme.

Quant `a la s´ecurit´e du deuxi`eme point, il concerne tous les sch´emas cryptographiques. Pour attaquer un EDLP, nous pouvons utiliser l’un des algorithmes suivants :

— Pollard Rho qui a une complexit´e exponentielle.

— Pohling Hellman, qui a une complexit´e polynˆomiale. Pour lui r´esister, il suffit de prendre un nombre premier.

— FFS (Function Field Sieve), qui a une complexit´e sous exponentielle, cet algorithme adresse uniquement la carct´eristique 2 et 3 et les courbes supersinguli`eres.

— NFS (Number Field Sieve), cet algorithme `a une complexit´e sous exponentielle.

Nous renvoyons `a la th`ese [47] pour un panorama et une discussion `a propos de ces quatres algorithmes.

Concernant le troisi`eme point, les attaques les plus affront´ees dans la litt´erature sont connues par MOV [134](utilisation du couplage de Weil) ou encore FR [78] (utilisation du couplage de Tate). Le principe de ces deux attaques est d’apr`es ce qui suit :

Attaquer r `a partir de rP, peut se faire apr`es l’avoir attaqu´e lors de son utilisation dans le cou- plage. En effet, pour assurer la s´ecurit´e d’un couplage il faut tenir en compte le logarithme discret rP et aussi la s´ecurit´e de pk _{o `u vive le r´esultat e(rP,Q). Le fait que e(rP,Q)=e(P, Q)}r

permettent de travailler dans un niveau de s´ecurit´e ´equivalent `a celui de la cryptographie sym´etrique (par exemple le protocole AES) sont donn´es dans le tableau 5.3.

Niveau de s´ecurit´e (en bits) 80 128 192 256 Nombre minimal de bits de r 160 256 384 512 Nombre minimal de bits de pk _{1,024 3,072 7,680 15,360}

TABLE5.3 – Niveau de s´ecurit´e n´ecessaire pour r l’ordre du premier coordonn´ee du couplage

et pk

La s´ecurit´e de la cryptographie bas´ee sur les couplages ne se base pas uniquement sur EDLP et PDL ; mais les probl`emes tels que CDHP et BDHP et d’autres (probl`emes bilin`eaires de Diffie-Hellman) peuvent influencer sur sa s´ecurit´e.

Pour ´etudier la s´ecurit´e de CDHP et BDHP, certains chercheurs utilisent ce qu’on appelle pairing inversion.

5.3.1

Difficult´es d’inverser les couplages (pairing inversion) selon Gal-

braith et al [85]

Selon [31], Verheul et Satoh [172][157] ont ´etudi´e la s´ecurit´e de CDHP et BDHP sous les couplages (m´ethodes connues dans la litt´erature par Pairing Inversion), ils d´eclarent [172][157] que si on peut trouver en mˆeme temps RPI et LPI c `ad attaquer GPI, on peut r´esoudre CDHP. Avec :

D ´efinition 5.3.1 : Right Pairing Inversion problem (RPI).

´

Etant donn ´e P ∈ G1et ζ ∈ GT, trouver Q ∈ G2 qui satisfait e(P,Q) = ζ.

D ´efinition 5.3.2 : Left Pairing Inversion problem (LPI).

´

Etant donn ´e Q ∈ G2et ζ ∈ GT, trouver P ∈ G1qui satisfait e(P,Q) = ζ.

D ´efinition 5.3.3 : General Pairing Inversion problem (GPI).

´

Etant donn ´e ζ ∈ GT, trouver (P,Q) ∈ G1× G2sachant que e(P,Q) = ζ.

La d´efinition 5.3.3 g´en´eralise les deux premi`eres. Si on r´eussit l’attaque de GRI, on peut aussi briser CDHP. Verheul [172] trouve que cette tˆache n’est pas possible. Galbraith et al [85] ont ensuite ´etudi´e la performance et la possibilit´e des approches [172][157], selon les cas suivants :

• Cas o `u les groupes sont cycliques :

En utilisant des homomorphismes, Galbraith et al [85] ont r´eduit le besoin de RPI et LPI `a un seul. Leurs r´esultats se r´esument ainsi :

Theor`eme 5.3.1 : Soit e : G1× G2−→ GT un couplage non-d ´eg ´en ´er ´e, les G1, G2et GT des

groupes d’ordre premier r. Les assertions suivantes sont ´equivalentes. 1. R ´esoudre LPI et RPI dans un temps polynˆomial.

2. R ´esoudre LPI dans un temps polynˆomial et tout homomorphism G1 −→ G2 peut ˆetre

calculer dans un temps polynˆomial.

3. R ´esoudre RPI dans un temps polynˆomial et tout homomorphism G2 −→ G1 peut ˆetre

aussi calculer dans un temps polynˆomial.

Si on trouve une de ces ´equivalences (voir [85] pour la preuve) dans un temps polynˆomial, on peut aussi r´esoudre le CDHP dans le mˆeme temps. Mais cela, n’est pas ´evident d’apr`es [85].

• Cas g´en´eral :

C¸ a veut dire, cas o `u les groupes qui rentrent dans la construction ont une forme g´en´erale. Dans ce cas, les d´efinitions de LPI, RPI et GPI sont les mˆemes sauf que cette fois, nous prenons ζ dans µr et nous formalisons les d´efinitions suivant des diviseurs

(voir [85]). Ainsi, lors des d´emonstrations, Galbraith et al ont ajout´e la d´efinition de Miller Inverse (MI).

D ´efinition 5.3.4 : Soit D1 un diviseur fix ´e et soit S un ensemble des diviseurs. Soit z

∈ Fqk, r ´eussir un MI est d’apr `es le fait de calculer un diviseur D2∈ S tel que z = fr,D1(D2).

Si aucun diviseur n’existe, faire sortir ’aucune solution’.

Les auteurs ont examin´e l’inverse des couplages sous forme exponentiation (Tate et ses va- riantes), qui demande d’inverser l’exponentiation et le MI. Galbraith et al [85] ont remarqu´e que si on sait inverser MI (cas du couplage de Ate muni d’un param`etre petit), l’exponentia- tion nous bloque et si on g`ere le probl`eme de l’exponentiation (prendre n’importe quelle racine [85]), le MI nous bloque. Dans tous les cas l’inverse des accouplements n’est pas possible. Nous pr´esentons par la suite une m´ethode o `u on peut attaquer CDHP et BDHP, si on ne prend pas quelques pr´ecautions.