WO2003060841A1 - Procede cryptographique de revocation a l'aide d'une carte a puce - Google Patents

Procede cryptographique de revocation a l'aide d'une carte a puce Download PDF

Info

Publication number
WO2003060841A1
WO2003060841A1 PCT/FR2003/000112 FR0300112W WO03060841A1 WO 2003060841 A1 WO2003060841 A1 WO 2003060841A1 FR 0300112 W FR0300112 W FR 0300112W WO 03060841 A1 WO03060841 A1 WO 03060841A1
Authority
WO
WIPO (PCT)
Prior art keywords
chip
calculation
entity
signature
list
Prior art date
Application number
PCT/FR2003/000112
Other languages
English (en)
Inventor
Sébastien CANARD
Marc Girault
Jacques Traore
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Priority to AU2003215703A priority Critical patent/AU2003215703A1/en
Priority to US10/501,823 priority patent/US7356842B2/en
Priority to EP03729506A priority patent/EP1466304A1/fr
Publication of WO2003060841A1 publication Critical patent/WO2003060841A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/409Device specific authentication in transaction processing
    • G06Q20/4097Device specific authentication in transaction processing using mutual authentication between devices and transaction partners
    • G06Q20/40975Device specific authentication in transaction processing using mutual authentication between devices and transaction partners using encryption therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Definitions

  • the present invention relates to the field of telecommunications and more particularly to the securing of transmissions, in particular for services, which uses cryptography.
  • electronic signature mechanisms To authenticate the origin of a document transmitted by telecommunication means, electronic signature mechanisms have been developed. It should be noted that the terms transmission in electronic form are commonly used to qualify a transmission of a document by telecommunication means.
  • the documents in question in the context of the invention must be presented in digital form as opposed to a presentation in paper form; the term message is used later in the request to designate this type of document.
  • the most common electronic signature mechanisms are based on so-called public key cryptography techniques which involve an entity called a trusted authority.
  • this trusted authority generates certificates on behalf of users of common public key processes; these certificates establish a link between a public key and the identity of the owner of this key.
  • the individual signing the message must first obtain certification from the trusted authority by communicating at least their public key and identity.
  • the signature method calculates an electronic signature of the message taking into account on the one hand the content of the message and on the other hand the private key of the individual.
  • the signatory transmits the message, the signature and his certificate to the recipient.
  • the recipient of the message verifies the electronic signature of the message using at least the public key and the content of the message. For specific applications, such as electronic voting, electronic auctions or anonymous electronic payment, it is necessary to have an electronic signature known as anonymous.
  • An anonymous electronic signature has the same characteristics as an electronic signature except that the recipient cannot determine the identity of the signatory; the signatory remains anonymous. However, the recipient may apply to the trusted authority, which has, for example through the certificate, a means of lifting anonymity.
  • the trusted authority which has, for example through the certificate, a means of lifting anonymity.
  • An anonymous group signature process allows each member of a group to produce an electronic signature that is characteristic of the group. The recipient of a message accompanied by an anonymous group signature can verify that the signature was produced by one of the group members. However, he cannot determine, among the various members of the group, the member in question.
  • a group is a set of individuals who declare themselves to an authority as belonging to the same group. During this declaration, each individual interacts with the trusted authority according to a determined protocol at the end of which the individual obtains a private key, associated with a group public key previously determined by the trusted authority, and the authority and the individual obtain an identifier of the individual associated with this private key. Each of these individuals is in the continuation of the request designated by the term of member.
  • An example of such a protocol is described in the article by J. Camenisch and M. Michels which has for reference "Efficient group signature signature schemes for large groups", In B.
  • Kaliski editor, Advances in Cryptology - CRYPTO97, volume 1296 of LNCS, pages 410 to 424, Springer-Verlag, 1997.
  • the same interaction occurs when a new member arrives.
  • the existence of a group translates on the side of the authority of trust by the attribution to the group of a public key known as of group and by the attribution to each member of a private key associated with the public key, different for each member, and an identifier.
  • a member can produce an anonymous group signature of a message of their choice. Any recipient can verify that this signature has been produced by one of the members of the group, provided that the group public key is used.
  • the recipient is certain that the signature has been produced, or not, by a member of the group, but he does not obtain any information on the identifier of this member; the signature is anonymous.
  • the recipient has the option of contacting the trusted authority, which can determine the identity of the signatory from the encrypted identifier, using a public key from the trusted authority, which accompanies the signature. anonymous group.
  • the trusted authority can therefore lift anonymity at any time.
  • a group After constitution with the trusted authority, a group can evolve. According to a first type of evolution, new individuals can become members of the group. According to a second type of evolution, limbs can disappear, either by the departure of an individual from the group, or by the exclusion of an individual from the group; for this type of development, we speak of revocation.
  • the trusted authority is faced with the problem of giving or withdrawing a member of the group the means to produce an anonymous signature of the group.
  • the first problem posed which lies in allocating the means to produce an anonymous signature of the group to a new member, is resolved by using one of the known public key / private key generation algorithms which make it possible to associate with the same key. public as many private keys as necessary.
  • the recipient uses the determined elements and the quantified results to verify on the one hand that the divisions were correctly carried out and on the other hand that all the results are different from 1; that is, to ensure that the signature was produced by an unrevoked member.
  • the disadvantage of this method is that it generates an anonymous group signature, the length and time of calculation of which increases in proportion to the number of dismissed members, given that there are as many quantified results and determined elements as there are dismissed members.
  • the trusted authority modifies the public ownership key and the renewal key.
  • Each remaining member of the group modifies their own private ownership key using the renewal key and checks its validity using the public ownership key.
  • the signatory member uses their private property key.
  • the recipient can verify the electronic signature using the public ownership key.
  • One of the objectives of the invention is to remedy the drawbacks of the known and previously described methods.
  • the subject of the invention is a cryptographic method implemented by a smart card of a set of smart cards each belonging to a first entity which can be different for each smart card, each smart card being equipped with a chip comprising a storage means in which a secret key and an identifier of the first entity owning the smart card are stored and comprising a calculation means in which is implemented a cryptography algorithm having as input arguments at least the secret key.
  • the cryptographic method according to the invention comprises the steps which consist:
  • the invention further relates to a smart card for the implementation of such a method.
  • the method according to the invention consists in prohibiting by the chip of the chip card any cryptographic calculation implanted in the chip, when the owner of the chip card is in a state positioned to be revoked by the second entity. Otherwise, the owner of the chip card is in a position set to not revoked, the chip authorizes the calculation.
  • the second entity which is typically a trusted authority, updates a list of identifiers for each smart card owner whose status is revoked or not revoked. This hste is stored by the second entity in a storage means connected to a telecommunications network. This means is accessible by the smart card via a smart card reader associated with a computer such as a personal computer, itself connected to the telecommunications network.
  • a revoked member cannot perform cryptographic calculation if he is revoked. If the cryptography algorithm implemented in the chip is an anonymous signature calculation algorithm, the owner of the smart card cannot sign a file using his smart card if he is revoked.
  • the method according to the invention can be carried out in a particular way; some achievements are listed below in a non-exhaustive manner.
  • the list includes the identifiers of the revoked entities, in this case the Hste is said to be black Hste.
  • the list includes the identifiers of the non-revoked entities, in this case the Hste is said to be white Hste.
  • the Hste is signed by the second entity; the second entity calculates this signature using a signature algorithm.
  • This algorithm may be an asymmetric public key algorithm such as RSA, RSA being the initials of the inventors
  • the chip checks the validity of the signature.
  • the chip verifies the signature using the same asymmetric algorithm taking as argument the public key. This verification makes it possible to authenticate the Hste as a whole and therefore to verify its integrity.
  • each identifier in the list is associated with a count value, each set formed by the identifier and the associated count value being signed by the second entity; the list includes a value of the number of Hstés identifiers in the list as well as the signature of this value.
  • Each signature is calculated in the same way as in the previous embodiment.
  • the chip checks the validity of each signature. This verification makes it possible to authenticate each identifier in the list, the associated count value and the value read from the number of identifiers.
  • the chip increments a counter each time an identifier is read, taking into account the count value associated with the identifier read, then it compares this counter to the authenticated value before any authorization for calculation by the chip. This comparison makes it possible to verify the integrity of the number of identifiers read.
  • FIG. 1 is a flow diagram of a cryptographic method according to the invention.
  • FIG. 2 is a flowchart of a first embodiment of a cryptographic method according to the invention.
  • FIG. 3 is a flow diagram of a second embodiment of a cryptographic method according to the invention.
  • FIG. 4 is a flow diagram of an example of implementation by a chip of the second embodiment of a cryptographic method according to the invention.
  • FIG. 5 is a diagram of a smart card according to the invention.
  • FIG. 1 is a flow diagram of a cryptographic method according to the invention. Detailed description of embodiments of the invention
  • the method is implemented by a smart card of a set of smart cards each belonging to a first entity.
  • Each first entity typically a natural person, can be different for each smart card.
  • Each chip card is equipped with a chip which includes a storage means and a calculation means.
  • a secret key and an identifier of the first entity owning the card to chip are stored in the storage means.
  • a cryptography algorithm having as input arguments at least the secret key is implemented in the calculation means.
  • This cryptography algorithm can just as easily be a group signature calculation algorithm, an encryption algorithm or a decryption algorithm.
  • the chip activates the calculation means which calculates an output data as a function of input arguments presented at the input of the cryptography algorithm.
  • the method Before any calculation 1 by the means for calculating the chip of the smart card, the method consists in reading 2 by the chip in a means of memorizing a second entity a Hste of identifiers in integral form of the first entities owning d 'a smart card. In a completely equivalent manner, the method can write in the chip a list read in the storage means of a second entity. In the following description, any read operation can be replaced in a completely equivalent manner by a write operation.
  • the Hste is Hée in each state assigned to each of the first entities by the second entity; the state is set to revoked or not revoked by the second entity.
  • the list contains either the first revoked entities, it is a black list, or the first non-revoked entities, it is a white Hste.
  • the second entity stores this Hste in a storage means which is accessible via a telecommunications network. It can be a memory space on a server or on a mass memory for example.
  • the method then consists in comparing 3 with the chip the identifier stored in the chip storage means and the content of the list. If, after the comparison, the chip finds that the first entity is revoked then the chip prohibits 4 any calculation of the calculation means. On the other hand, if, after the comparison, the chip finds that the first entity is not revoked so the chip authorizes any calculation of the calculation means.
  • the process is as follows.
  • the chip initializes a cookie to one. Eue successively compares each identifier read with the identifier stored in the chip; if there is no identity the chip sets the witness to one otherwise it sets the witness to zero. At the end of the comparison between each identifier read and the identifier stored in the chip, the chip prohibits any calculation of the calculation means if the witness is one. On the other hand, if the indicator is at zero, the chip authorizes any calculation of the calculation means.
  • FIG. 2 A first mode of realizing a cryptographic method according to the invention is illustrated in FIG. 2. This mode includes the steps described with regard to FIG. 1, they are not re-described, and additional steps below described .
  • the Ht 10 chip also, along with the list and in the same memory area, a signature of this Hste.
  • the signature is calculated beforehand by a means of calculating the second entity.
  • the chip checks 11 the validity of the signature to authenticate the Hste and to check its integrity. If the signature is not valid, the chip prohibits 4 any calculation of the calculation means, otherwise eHe authorizes the calculation.
  • FIG. 3 A second embodiment of a cryptographic method according to the invention is illustrated in FIG. 3. This mode includes the steps described with reference to FIG. 1, they are not re-described, and additional steps below described .
  • the chip reads 12, 13, 14 in addition, at the same time as the Hste and in the same memory area, a count value associated with each identifier, a signature for each set composed of an identifier of this Hste and of a associated count value, the value of the number of identifiers of this Hste as well as a signature of this value.
  • the signature of each identifier and its associated count value, the value of the number of identifiers and the signature of this value are calculated beforehand by a means of calculating the second entity and stored in the same memory area as the Hste.
  • the chip increments a counter on each reading by the chip of an identifier taking into account the count value associated with the identifier, in order to count the number of identifiers.
  • the chip checks 16, 17 the validity of each of the signatures to respectively authenticate each identifier of the Hste and the number of identifiers. If one of the signatures is not valid, the chip prohibits the calculation. After reading the list of identifiers, the chip compares 18 the value of its counter with the value read of the number of identifiers. If these values are different, the chip prohibits 4 any calculation of the calculation means. If these values are identical, the chip checks 17 the validity of the signature of the value of the number of identifiers. FIG.
  • the chip initializes 19 a witness to one and a counter to zero.
  • the chip reads an identifier from the list and the associated count value, reads their signature and increments the counter.
  • the chip compares the witness to zero. If the indicator is other than zero, the chip compares the identifier read with the identifier stored in the chip; if there is no identity, the chip positions 23 the witness at one otherwise it positions 24 the witness at zero.
  • the chip checks the validity of the signature of the assembly composed of the identifier read and of the associated count value.
  • the chip prohibits 4 any calculation of the calculation means. However, if the signature is valid, the chip waits for the next identifier or 26, if there is no more identifier in the list, the chip reads 27 the value of the number of identifiers and its signature. The chip compares 18 the value of the number of identifiers with the value of its counter. If these values are different, the chip prohibits 4 any calculation of the calculation means, otherwise the chip checks 17 the validity of the signature of the value of the number read. If the signature is not valid, the chip prohibits 4 any calculation of the calculation means. On the other hand, if the signature is valid, the chip tests 28 the value of the number of identifiers. If the indicator is different from one, the chip prohibits 4 any calculation of the calculation means; the member is revoked. Otherwise, the chip authorizes any calculation of the calculation means.
  • FIG. 5 schematically illustrates a smart card according to the invention.
  • the chip card 30 is equipped with a chip 31 which comprises at least one means
  • the storage means 32 stores a secret key and an identifier of a first entity owning the smart card.
  • calculation means 33 is implemented a cryptography algorithm having as input arguments at least the secret key.
  • the calculation means 33 is linked to the storage means 32.
  • the reading means 34 makes it possible to read a list of identifiers in the storage means of a second entity, via a telecommunications network.
  • the medium 34 of reading transmits the data read to the means 33 of calculation or / and to the means 35 of authorization by Haisons with each of these means.
  • the authorization means 35 authorizes any calculation by the calculation means 33 as a function of the result of a comparison between the identifier and the content of the Hste. Such a smart card allows the implementation of a method according to the invention.
  • a first application of a method according to the invention is electronic voting.
  • Electronic voting takes place in two phases:
  • a registration on an electoral Hste with an administrative authority - a voting operation with a ballot box connected via a communication network to a server of a voting administration.
  • the voter obtains a personal private key and a private group key in a smart card.
  • the anonymous signature that the voter can produce by means of his smart card, and from his personal private key is said to be "correlable”. This means that, in the event that the voter attempts to anonymously sign a second ballot by producing an anonymous signature, that ballot will be rejected by the ballot box. Indeed, the anonymous signature being correlable, the ballot box is able to verify that it is a second anonymous signature.
  • a malicious voter cannot claim to have lost their group private key, receive another, and be able to vote twice. Indeed, the implementation of a method according to the invention makes it possible to prohibit the use of the first group private key; this group private key is updated when he declares having lost the first group private key. This loss is managed by the implementation of a process according to the invention such as a revocation of the member.
  • a second application of a method according to the invention is an electronic auction service. The auctions involve three protagonists: an auction server, a trusted authority and a client. All of the customers form a group called the group of people. A user wishing to register with the group of cHents must contact the trusted authority which provides him with his personal private key in a smart card. He thus obtains the right to produce an anonymous group signature.
  • each member of the group of bids can bid by signing a message containing in particular the product put up for sale and the amount of its bid.
  • the auction server can verify group membership and therefore the validity of the auction by verifying the signature anonymous group.
  • the winner is the one who gives the last bid before the auction.
  • the last message received by the auction server is therefore that of the winner.
  • the server then addresses this message and the corresponding anonymous group signature to the trusted authority, which is the only one capable of lifting anonymity and therefore of determining the physical identity of the buyer of the product being auctioned.
  • the auctions involve dynamic groups: new people can join the group every day, a member can leave the group or be excluded for fraud at any time. It is therefore essential to set up a revocation system to prevent a revoked member from being able to use their signature fraudulently. Indeed, the revoked member could continue to use his key to participate in the auctions and distort the smooth running of the latter for example by raising the amount. And, if he takes care to withdraw early enough from the process so as not to win the auction in question, then this fraud is not detected since only the identity of the winner is finally revealed.
  • the implementation of a method according to the invention makes it possible to solve the problem of revocation of one or of member (s) of the group.
  • a third application of a method according to the invention is electronic payment.
  • EUe involves four protagonists: a chent, a merchant, a bank and a trusted authority.
  • Each customer must be identified by the system and obtain a private group key stored in a smart card, before being able to make their first transaction.
  • To make a payment the customer must withdraw electronic documents from his bank.
  • the coins he removes are anonymous thanks to the use of a mechanism known as blind signature.
  • the expenditure of a C-piece at a merchant is done as follows: the customer generates by means of his smart card a group signature relating to C-pieces and transmits the signature and C-pieces to the merchant.
  • the merchant verifies the signature of the bank attached to each piece C and verifies the group signature.
  • the merchant accepts the transaction.
  • the merchant forwards to his bank the signatures and the documents received in payment for transfer to his account.
  • the bank sends the group signature relating to the document in question to the trusted authority so that it identifies the undecided customer and sanctions the offender.
  • a reliable mechanism for revoking compromised keys is necessary in order to avoid fraud of the following type: a dishonest customer reports to the authority of trust the loss of his private key s and then declines any responsibility for the frauds which could be committed with s. The cHent gives his key to his accomplice, who can then use s to sign the coins c that he has legitimately withdrawn from the bank, then spend them as many times as he wishes.
  • a method according to the invention makes it possible to solve the problem of revoking the keys s.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)

Abstract

La présente invention se rapporte à un procédé cryptographique et à une carte à puce pour la mise oeuvre du procédé. Le procédé cryptographique consiste avant tout calcul par un moyen de calcul de la carte à puce, à lire (2) par la carte à puce dans un moyen de mémorisation d'une seconde entité une liste d'identifiants sous forme intégrale de premières entités propriétaires d'une carte à puce, cette liste étant liée à chaque état attribué à chacune des premières entités par la seconde entité, à comparer (3), par la carte à puce, l'identifiant mémorisé dans un moyen de mémorisation de la carte à puce et le contenu de la liste, pour autoriser (5) ou interdire (4) tout calcul du moyen de calcul en fonction du résultat de la comparaison.

Description

PROCEDE CRYPTOGRAPHIQUE DE REVOCATION A L'AIDE D'UNE CARTE A PUCE
Domaine de l'invention
La présente invention se rapporte au domaine des télécommunications et plus particulièrement à la sécurisation des transmissions, en particulier pour des services, qui fait appel à la cryptographie. Etat de l'art Pour authentifier l'origine d'un document transmis par des moyens de télécommunication, il a été développé des mécanismes de signature électronique. Il faut noter que les termes transmission sous forme électronique sont couramment utilisés pour qualifier une transmission d'un document par des moyens de télécommunication. Les documents dont il est question dans le contexte de l'invention se présentent obligatoirement sous forme numérique par opposition à une présentation sous forme papier ; le terme message est utilisé dans la suite de la demande pour désigner ce type de document. Les mécanismes de signature électronique les plus courants reposent sur des techniques de cryptographie dites à clé publique qui mettent enjeu une entité dite autorité de confiance. Habituellement, cette autorité de confiance génère des certificats pour le compte d'utilisateurs des procédés courants à clé publique ; ces certificats établissent un lien entre une clé publique et l'identité du propriétaire de cette clé. Pour mettre en œuvre un tel procédé, l'individu signataire du message doit préalablement se faire certifier auprès de l'autorité de confiance en lui communiquant au moins sa clé publique et son identité. Lors de sa mise en oeuvre, le procédé de signature calcule une signature électronique du message en prenant en compte d'une part le contenu du message et d'autre part la clé privée de l'individu. Le signataire transmet au destinataire le message, la signature et son certificat. Le destinataire du message vérifie la signature électronique du message à l'aide d'au moins la clé publique et du contenu du message. Pour des applications particulières, telles que le vote électronique, les enchères électroniques ou le paiement électronique anonyme, il est nécessaire de pouvoir disposer d'une signature électronique dite anonyme. Une signature électronique anonyme a les mêmes caractéristiques qu'une signature électronique sauf que le destinataire ne peut déterminer l'identité du signataire ; le signataire garde l'anonymat. Toutefois, le destinataire peut s'adresser à l'autorité de confiance qui dispose, par l'intermédiaire du certificat, d'un moyen pour lever l'anonymat. Parmi les différents types de signature anonyme, il existe un type particulier appelé signature anonyme de groupe. Un procédé de signature anonyme de groupe permet à chaque membre d'un groupe de produire une signature électronique qui soit caractéristique du groupe. Le destinataire d'un message accompagné d'une signature anonyme de groupe peut vérifier que la signature a été produite par un des membres du groupe. Toutefois il ne peut déterminer, parmi les différents membres du groupe, le membre dont il s'agit.
Dans le contexte de l'invention, un groupe est un ensemble d'individus qui se déclarent auprès d'une autorité comme appartenant à un même groupe. Lors de cette déclaration, chaque individu interagit avec l'autorité de confiance selon un protocole déterminé à l'issue duquel l'individu obtient une clé privée, associée à une clé publique de groupe préalablement déterminée par l'autorité de confiance, et l'autorité et l'individu obtiennent un identifiant de l'individu associé à cette clé privée. Chacun de ces individus est dans la suite de la demande désigné par le terme de membre. Un exemple d'un tel protocole est décrit dans l'article de J.Camenisch et M.Michels qui a pour référence "Efficient group signature signature schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - CRYPTO97, volume 1296 of LNCS, pages 410 à 424, Springer-Verlag, 1997. La même interaction intervient lors de l'arrivée d'un nouveau membre. L'existence d'un groupe se traduit du côté de l'autorité de confiance par l'attribution au groupe d'une clé publique dite de groupe et par l'attribution à chaque membre d'une clé privée associée à la clé publique, différente pour chaque membre, et d'un identifiant. A l'aide de sa clé privée, un membre peut produire une signature anonyme de groupe d'un message de son choix. Un destinataire quelconque peut vérifier que cette signature a bien été produite par un des membres du groupe à condition d'utiliser la clé publique de groupe. A l'issue de la vérification, le destinataire a la certitude que la signature a été produite, ou pas, par un membre du groupe, mais il n'obtient aucune information sur l'identifiant de ce membre ; la signature est anonyme. Le destinataire a toutefois la possibilité de s'adresser à l'autorité de confiance qui peut déterminer l'identité du signataire à partir de l'identifiant chiffré, au moyen d'une clé publique de l'autorité de confiance, qui accompagne la signature anonyme de groupe. L'autorité de confiance peut donc lever l'anonymat à tout moment.
Après constitution auprès de l'autorité de confiance, un groupe peut évoluer. Selon un premier type d'évolution, de nouveaux individus peuvent devenir membres du groupe. Selon un deuxième type d'évolution, des membres peuvent disparaître, soit par le départ d'un individu du groupe, soit par l'exclusion d'un individu du groupe ; pour ce type d'évolution, on parle de révocation. A chaque évolution du groupe, l'autorité de confiance est confrontée au problème de donner ou de retirer à un membre du groupe les moyens de produire une signature anonyme du groupe. Le premier problème posé, qui réside dans l'attribution des moyens de produire une signature anonyme du groupe à un nouveau membre, est résolu en utilisant un des algorithmes de génération de clé publique/clé privée connus qui permettent d'associer à une même clé publique autant de clés privés que nécessaire. Un exemple d'un tel algorithme est décrit dans l'article de J.Camenisch et M.Michels qui a pour référence "Efficient group signature signature schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - CRYPTO97, volume 1296 of LNCS, pages 410 à 424, Springer-Verlag, 1997.
Art antérieur
Le second problème posé, qui réside dans le fait de retirer à un individu ces moyens, présente différentes solutions connues qui sont des procédés de révocation.
Un premier de ces procédés est décrit dans l'article suivant de E. Bresson et J.
Stern, « Efficient Revocation in group Signatures », in K. Kim, editor, Public Key
Cryptography - PKC 2001, volume 1992 of LNCS, pages 190-206, Springer-Verlag,
2001. Ce procédé repose sur le fait que chaque membre d'un groupe possède un identifiant qui lui est propre. Etant donné que la signature doit rester anonyme, il n'est pas possible de dévoiler cet identifiant. Toutefois, selon le procédé, l'identifiant du signataire est divisé par celui de chaque membre révoqué ; le résultat de la division est toujours différent de 1 si et seulement si le signataire n'est pas lui-même un membre révoqué. Ensuite, le procédé chiffre, avec un algorithme de chiffrement, chacun des résultats de ces divisions et transmet au destinataire ces résultats chiffrés accompagnés d'éléments déterminés. Le destinataire exploite les éléments déterminés et les résultats chiffrés pour vérifier d'une part que les divisions ont été correctement effectuées et d'autre part que tous les résultats sont différents de 1 ; c'est-à-dire pour s'assurer que la signature a été produite par un membre non révoqué. Ce procédé a pour inconvénient de générer une signature anonyme de groupe dont la longueur et le temps de calcul augmentent proportionnellement au nombre de membres révoqués, étant donné qu'il y a autant de résultats chiffrés et d'éléments déterminés que de membres révoqués.
Un deuxième de ces procédés de révocation est décrit dans l'article de H.J. Kim, J.I. Lim et D.H. Lee qui a pour référence « Efficient and Secure Me ber Deletion in Group Signature Schemes », In D. Won, editor. Information Security and Cryptology - ICISC 2000, volume 2015 of LNCS, pages 150 et s. Springer-Verlag 2000. Ce procédé consiste à utiliser trois clés supplémentaires en plus des clés nécessaires à la réussite de la signature de groupe : une clé privée de propriété pour chaque membre, une clé publique de propriété pour permettre à chaque membre de vérifier la validité de sa clé et une clé publique de renouvellement permettant à chaque membre de modifier sa clé privée de propriété à chaque fois qu'un membre rejoint ou quitte le groupe. Pour chaque nouveau membre et pour chaque révocation d'un membre, l'autorité de confiance modifie la clé publique de propriété et la clé de renouvellement. Chaque membre restant du groupe modifie sa propre clé privée de propriété à l'aide de la clé de renouvellement et vérifie sa validité grâce à la clé publique de propriété. Lors de la signature électronique d'un message, le membre signataire utilise sa clé privée de propriété. Ainsi, le destinataire peut vérifier la signature électronique à l'aide de la clé publique de propriété. Ce procédé a pour inconvénient d'être d'application particulière car il est prouvé sûre uniquement dans un schéma de signature de groupe particulier qui correspond à celui présenté dans l'article de J. Cameniseh, M. Michels, ayant pour référence « A group Signature Scheme with Improved Effîciency », In K. Ohta et D. Pei, editors, Advances in Cryptology - ASIACRYPT'98, volume 1514 of LNCS, pages 160-174. Springler-Verlag, 1998. En outre, ce procédé est désavantageux en ce qu'il impose des calculs à chaque membre à chaque fois qu'un membre rejoint ou quitte le groupe ; or, ces calculs peuvent devenir fréquents si la dynamique du groupe est importante.
Un des objectifs de l'invention est de remédier aux inconvénients des méthodes connues et précédemment décrites. Exposé de l'invention
A cet effet, l'invention a pour objet un procédé cryptographique mis en œuvre par une carte à puce d'un ensemble de cartes à puce appartenant chacune à une première entité qui peut être différente pour chaque carte à puce, chaque carte à puce étant équipée d'une puce comprenant un moyen de mémorisation dans lequel sont mémorisés une clé secrète et un identifiant de la première entité propriétaire de la carte à puce et comprenant un moyen de calcul dans lequel est implanté un algorithme de cryptographie ayant pour arguments d'entrée au moins la clé secrète. Le procédé cryptographique selon l'invention comprend les étapes qui consistent :
- avant tout calcul par le moyen de calcul de la puce de la carte à puce, à lire par la puce dans un moyen de mémorisation d'une seconde entité une liste d'identifiants sous forme intégrale des premières entités propriétaires d'une carte à puce, cette liste étant liée à chaque état attribué à chacune des premières entités par la seconde entité, - à comparer par la puce l'identifiant mémorisé dans le moyen de mémorisation de la puce et le contenu de la liste, pour autoriser ou interdire tout calcul du moyen de calcul en fonction du résultat de la comparaison. L'invention a en outre pour objet une carte à puce pour la mise en œuvre d'un tel procédé.
Le procédé selon l'invention consiste à interdire par la puce de la carte à puce tout calcul cryptographique implanté dans la puce, lorsque le propriétaire de la carte à puce est dans un état positionné à révoqué par la seconde entité. Dans le cas contraire, le propriétaire de la carte à puce est dans un état positionné à non révoqué, la puce autorise le calcul. La seconde entité, qui est typiquement une autorité de confiance, met à jour une liste des identifiants de chaque propriétaire de carte à puce dont l'état est révoqué ou non révoqué. Cette hste est mémorisée par la seconde entité dans un moyen de mémorisation connecté à un réseau de télécommunication. Ce moyen est accessible par la carte à puce via un lecteur de carte à puce associé à un ordinateur tel un ordinateur personnel, lui-même connecté au réseau de télécommunication.
Ainsi, un membre révoqué ne peut pas effectuer de calcul cryptographique s'il est révoqué. Si l'algorithme de cryptographie implanté dans la puce est un algorithme de calcul de signature anonyme, le propriétaire de la carte à puce ne peut pas signer un fichier au moyen de sa carte à puce s'il est révoqué.
Le procédé selon l'invention peut être réalisé de manière particulière ; certaines réalisations sont listées ci-après de façon non-exhaustive. Selon une réalisation particulière, la liste comprend les identifiants des entités révoquées, dans ce cas la Hste est dite Hste noire.
Selon une autre réaHsation particulière, la liste comprend les identifiants des entités non révoquées, dans ce cas la Hste est dite Hste blanche.
Selon une autre réaHsation particuHère, la Hste est signée par la seconde entité ; la seconde entité calcule cette signature au moyen d'un algorithme de signature. Cet algorithme peut-être un algorithme asymétrique à clé pubHque tel que RSA, RSA étant les initiales des inventeurs Avant toute autorisation, la puce vérifie la validité de la signature. Dans le cas d'un algorithme de signature à clé pubHque, la puce vérifie la signature au moyen du même algorithme asymétrique en prenant comme argument d'entrée la clé pubHque. Cette vérification permet d'authentifier la Hste dans son ensemble et donc de vérifier son intégrité
Selon une autre réaHsation particulière, chaque identifiant de la liste est associé à une valeur de comptage, chaque ensemble formé de l'identifiant et de la valeur de comptage associé étant signé par la seconde entité ; la liste comprend une valeur du nombre d'identifiants Hstés dans la liste ainsi que la signature de cette valeur. Chaque signature est calculée de la même manière que dans la réalisation précédente. Avant toute autorisation, la puce vérifie la validité de chaque signature. Cette vérification permet d'authentifier chaque identifiant de la liste, la valeur de comptage associé et la valeur lue du nombre d'identifiants. En outre, la puce incrémente un compteur à chaque lecture d'un identifiant en prenant en compte la valeur de comptage associée à l'identifiant lu puis elle compare ce compteur à la valeur authentifiée avant toute autorisation de calcul par la puce. Cette comparaison permet de vérifier l'intégrité du nombre d'identifiants lus. D'autres caractéristiques et avantages de l'invention apparaîtront lors de la description qui suit et qui est faite en regard des figures suivantes annexées de modes particuliers de réaHsation donnés à titre d'exemples non limitatifs.
Brève description des figures
La figure 1 est un organigramme d'un procédé cryptographique selon l'invention.
La figure 2 est un organigramme d'un premier mode de réaHsation d'un procédé cryptographique selon l'invention.
La figure 3 est un organigramme d'un deuxième mode de réalisation d'un procédé cryptographique selon l'invention. La figure 4 est un organigramme d'un exemple de mise en œuvre par une puce du deuxième mode de réaHsation d'un procédé cryptographique selon l'invention. La figure 5 est un schéma d'une carte à puce selon l'invention. La figure 1 est un organigramme d'un procédé cryptographique selon l'invention. Description détaillée de modes de réaHsation de l'invention
Le procédé est mis en œuvre par une carte à puce d'un ensemble de cartes à puce appartenant chacune à une première entité. Chaque première entité, typiquement une personne physique, peut être différente pour chaque carte à puce. Chaque carte à puce est équipée d'une puce qui comprend un moyen de mémorisation et un moyen de calcul. Une clé secrète et un identifiant de la première entité propriétaire de la carte à puce sont mémorisés dans le moyen de mémorisation. Un algorithme de cryptographie ayant pour arguments d'entrée au moins la clé secrète est implanté dans le moyen de calcul.
Cet algorithme de cryptographie peut tout aussi bien être un algorithme de calcul de signature de groupe, un algorithme de chiffrement ou un algorithme de déchiffrement.
Un exemple d'algorithme de calcul de signature de groupe est décrit dans l'article de J.Camenisch et MStadler qui a pour référence "Efficient group signature schemes for large groups", In B.Kaliski, editor, Advances in Cryptology - CRYPTO97, volume 1296 of LNCS, pages 410 à 424, Springer-Verlag, 1997. Une autre description est donnée dans l'article de J.Camenisch et M.Michels qui a pour référence "A group signature scheme with improved efficiency. In KOhta et D.Pei, editors, Advances in cryptology- ASIACRYPT'98, volume 1514 of LNCS, pages 160- 174. Springer-Verlag, 1998. L'algorithme RSA peut être utilisé comme algorithme de chiffrement / déchiffrement.
Le procédé comprend plusieurs étapes ci-après décrites. Pour signer, chiffrer ou déchiffrer, la puce active le moyen de calcul qui calcule une donnée de sortie en fonction d'arguments d'entrée présentés en entrée de l'algorithme de cryptographie.
Avant tout calcul 1 par le moyen de calcul de la puce de la carte à puce, le procédé consiste à lire 2 par la puce dans un moyen de mémorisation d'une seconde entité une Hste d'identifiants sous forme intégrale des premières entités propriétaires d'une carte à puce. De manière totalement équivalente, le procédé peut écrire dans la puce une liste lue dans le moyen de mémorisation d'une seconde entité. Dans la suite de la description, toute opération de lecture peut être remplacée de manière totalement équivalente par une opération d'écriture. La Hste est Hée à chaque état attribué à chacune des premières entités par la seconde entité ; l'état est positionné à révoqué ou non révoqué par la seconde entité. La liste contient soit les premières entités révoquées, il s'agit d'une liste noire, soit les premières entités non révoquées, il s'agit d'une Hste blanche. La seconde entité mémorise cette Hste dans un moyen de mémorisation qui est accessible via un réseau de télécommunication. Il peut s'agir d'un espace mémoire sur un serveur ou sur une mémoire de masse par exemple.
Le procédé consiste ensuite à comparer 3 par la puce l'identifiant mémorisé dans le moyen de mémorisation de la puce et le contenu de la liste. Si, à l'issue de la comparaison, la puce trouve que la première entité est révoquée alors la puce interdit 4 tout calcul du moyen de calcul. Par contre, si, à l'issue de la comparaison, la puce trouve que la première entité est non révoquée alors la puce autorise 5 tout calcul du moyen de calcul.
Pour mettre en œuvre par une puce la comparaison, le processus est le suivant. La puce initialise un témoin à un. Eue compare successivement chaque identifiant lu à l'identifiant mémorisé dans la puce ; s'il n'y a pas identité la puce positionne le témoin à un sinon elle positionne le témoin à zéro. A l'issue de la comparaison entre chaque identifiant lu et l'identifiant mémorisé dans la puce, la puce interdit tout calcul du moyen de calcul si le témoin est à un. Par contre si le témoin est à zéro, la puce autorise tout calcul du moyen de calcul. Un premier mode de réaHsation d'un procédé cryptographique selon l'invention est illustré par la figure 2. Ce mode comprend les étapes décrites en regard de la figure 1, eUes ne sont pas re-décrites, et des étapes complémentaires ci-après décrites. La puce Ht 10 en outre, en même temps que la liste et dans la même zone mémoire, une signature de cette Hste. La signature est préalablement calculée par un moyen de calcul de la seconde entité. Avant autorisation 5 par la puce de tout calcul du moyen de calcul, la puce vérifie 11 la validité de la signature pour authentifier la Hste et pour vérifier son intégrité. Si la signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul, sinon eHe autorise 5 le calcul.
Un deuxième mode de réalisation d'un procédé cryptographique selon l'invention est illustré par la figure 3. Ce mode comprend les étapes décrites en regard de la figure 1, elle ne sont pas re-décrites, et des étapes complémentaires ci-après décrites. La puce lit 12, 13, 14 en outre, en même temps que la Hste et dans la même zone mémoire, une valeur de comptage associée à chaque identifiant, une signature pour chaque ensemble composé d'un identifiant de cette Hste et d'une valeur de comptage associée, la valeur du nombre d'identifiants de cette Hste ainsi qu'une signature de cette valeur. La signature de chaque identifiant et de sa valeur de comptage associée, la valeur du nombre d'identifiants et la signature de cette valeur sont préalablement calculées par un moyen de calcul de la seconde entité et mémorisées dans la même zone mémoire que la Hste. La puce incrémente 15 un compteur à chaque lecture par la puce d'un identifiant en prenant en compte la valeur de comptage associée à l'identifiant, pour compter le nombre d'identifiants. Avant autorisation 5 par la puce de tout calcul du moyen de calcul, la puce vérifie 16, 17 la validité de chacune des signatures pour authentifier respectivement chaque identifiant de la Hste et le nombre d'identifiants. Si une des signatures n'est pas valide, la puce interdit 4 le calcul. A l'issue de la lecture de la liste des identifiants, la puce compare 18 la valeur de son compteur à la valeur lue du nombre d'identifiants. Si ces valeurs sont différentes, la puce interdit 4 tout calcul du moyen de calcul. Si ces valeurs sont identiques, la puce vérifie 17 la validité de la signature de la valeur du nombre d'identifiants.La figure 4 illustre une mise en œuvre par une puce de ce deuxième mode. La puce initialise 19 un témoin à un et un compteur à zéro. La puce lit 20 un identifiant de la liste et la valeur de comptage associée, lit leur signature et incrémente le compteur. La puce compare 21 le témoin à zéro. Si le témoin est différent de zéro, la puce compare 22 l'identifiant lu à l'identifiant mémorisé dans la puce ; s'il n'y a pas identité la puce positionne 23 le témoin à un sinon elle positionne 24 le témoin à zéro. A l'issue de la comparaison entre l'identifiant lu et l'identifiant mémorisé dans la puce ou si le témoin est égal à zéro, la puce vérifie 25 la validité de la signature de l'ensemble composé de l'identifiant lu et de la valeur de comptage associée. Si la signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Par contre si la signature est valide, la puce se met en attente de l'identifiant suivant ou 26, s'il n'y a plus d'identifiant dans la liste, la puce lit 27 la valeur du nombre d'identifiants et sa signature. La puce compare 18 la valeur du nombre d'identifiants avec la valeur de son compteur. Si ces valeurs sont différentes, la puce interdit 4 tout calcul du moyen de calcul, sinon la puce vérifie 17 la validité de la signature de la valeur du nombre lu. Si la signature n'est pas valide, la puce interdit 4 tout calcul du moyen de calcul. Par contre si la signature est valide, la puce teste 28 la valeur du nombre d'identifiants. Si le témoin est différent de un, la puce interdit 4 tout calcul du moyen de calcul ; le membre est révoqué. Sinon, la puce autorise 5 tout calcul du moyen de calcul.
La figure 5 illustre de manière schématique une carte à puce selon l'invention. La carte 30 à puce est équipée d'une puce 31 qui comprend au moins un moyen
32 de mémorisation, un moyen 33 de calcul et un moyen 34 de lecture dans un moyen de mémorisation d'une seconde entité via un réseau de télécommunication et un moyen 35 d'autorisation du moyen de calcul.
Le moyen 32 de mémorisation mémorise une clé secrète et un identifiant d'une première entité propriétaire de la carte à puce.
Dans le moyen 33 de calcul est implanté un algorithme de cryptographie ayant pour arguments d'entrée au moins la clé secrète. Le moyen 33 de calcul est en liaison avec le moyen 32 de mémorisation.
Le moyen 34 de lecture permet de lire une liste d'identifiants dans le moyen de mémorisation d'une seconde entité, via un réseau de télécommunication. Le moyen 34 de lecture transmet les données lues au moyen 33 de calcul ou/et au moyen 35 d'autorisation par des Haisons avec chacun de ces moyens.
Le moyen 35 d'autorisation autorise tout calcul par le moyen 33 de calcul en fonction du résultat d'une comparaison entre l'identifiant et le contenu de la Hste. Une teUe carte 30 à puce permet la mise en œuvre d'un procédé selon l'invention.
Une première appHcation d'un procédé selon l'invention est le vote électronique. Le vote électronique se déroule en deux phases :
- une inscription sur une Hste électorale auprès d'une autorité administrative, - une opération de vote auprès d'une urne connectée via un réseau de communication à un serveur d'une administration des votes. Lors de l'inscription, l'électeur obtient dans une carte à puce, une clé privée personnelle et une clé privée de groupe. La signature anonyme que peut produire l'électeur au moyen de sa carte à puce, et à partir de sa clé privée personnelle, est dite "corrélable". Ceci signifie que, dans le cas où l'électeur tenterait de signer de manière anonyme un second bulletin de vote en produisant une signature anonyme, ce bulletin serait rejeté par l'urne. En effet, la signature anonyme étant corrélable, l'urne est en mesure de vérifier qu'il s'agit d'une seconde signature anonyme.
Un électeur malveillant ne peut pas prétendre avoir perdu sa clé privée de groupe, en recevoir une autre et être en mesure de voter deux fois. En effet, la mise en œuvre d'un procédé selon l'invention permet de lui interdire l'utilisation de la première clé privée de groupe ; cette clé privée de groupe est mise à jour au moment où il déclare avoir perdu la première clé privée de groupe. Cette perte est gérée par la mise en œuvre d'un procédé selon l'invention comme une révocation du membre. Une seconde application d'un procédé selon l'invention est un service d'enchères électroniques. Les enchères font appel à trois protagonistes : un serveur d'enchères, une autorité de confiance et un client. L'ensemble des clients forme un groupe dit groupe des cHents. Un utilisateur désirant s'inscrire au groupe des cHents doit s'adresser à l'autorité de confiance qui lui fournit sa clé privée personnelle dans une carte à puce. Il obtient ainsi le droit de produire une signature anonyme de groupe.
Muni de ce droit, il peut signer à l'aide de sa carte à puce chacune de ses enchères de manière anonyme. Lors d'une enchère pour un certain produit, chaque membre du groupe des cHents peut enchérir en signant un message contenant notamment le produit mis en vente et le montant de son enchère. Le serveur d'enchères peut vérifier l'appartenance au groupe et donc la validité de l'enchère en vérifiant la signature anonyme de groupe. Le vainqueur est celui qui donne la dernière enchère avant l'adjudication. Le dernier message reçu par le serveur d'enchères est donc celui du vainqueur. Le serveur adresse alors ce message et la signature anonyme de groupe correspondante à l'autorité de confiance qui est la seule capable d'en lever l'anonymat et donc de déterminer l'identité physique de l'acheteur du produit mis aux enchères.
Les enchères mettent en jeu des groupes dynamiques : de nouvelles personnes peuvent chaque jour s'inscrire au groupe, un membre peut quitter le groupe ou être exclu pour fraude à tout moment. Il est donc indispensable de mettre en place un système de révocation pour empêcher qu'un membre révoqué ne puisse se servir de sa signature de manière frauduleuse. En effet, le membre révoqué pourrait continuer à utiliser sa clé pour participer aux enchères et fausser le bon déroulement de ces dernières par exemple en faisant monter le montant. Et, s'il prend soin de se retirer suffisamment tôt du processus de façon à ne pas remporter les enchères en question, alors cette fraude n'est pas détectée puisque seule l'identité du gagnant est finalement révélée. La mise en œuvre d'un procédé selon l'invention permet de résoudre le problème de révocation d'un ou de membre(s) du groupe.
Une troisième appHcation d'un procédé selon l'invention est le paiement électronique. EUe met en jeu quatre protagoniste : un chent, un commerçant, une banque et une autorité de confiance. Chaque client doit se faire identifier par le système et obtenir une clé privée de groupe mémorisée dans une carte à puce, avant de pouvoir effectuer sa première transaction. Pour effectuer un paiement, le client doit retirer des pièces électroniques auprès de sa banque. Les pièces qu'il retire sont anonymes grâce à l'utiHsation d'un mécanisme dit de signature aveugle. La dépense d'une pièce C chez un commerçant se fait de la manière suivante : le client génère au moyen de sa carte à puce une signature de groupe portant sur les pièces C et transmet l'ensemble signature et pièces C au commerçant. Le commerçant vérifie la signature de la banque attachée à chaque pièce C et vérifie la signature de groupe. Si chacune des deux signatures est valide, le commerçant accepte la transaction. A un moment donné du jour, le commerçant transmet à sa banque les signatures et les pièces reçues en paiement pour virement à son compte. En cas de fraude, par exemple par la réutiHsation d'une même pièce dans plusieurs transactions, la banque envoie la signature de groupe portant sur la pièce litigieuse à l'autorité de confiance afin qu'elle identifie le client indéUcat et sanctionne le contrevenant.
Un mécanisme fiable de révocation des clés compromises est nécessaire afin d'éviter une fraude du type suivant : un client malhonnête signale à l'autorité de confiance la perte de sa clé privée s et décline alors toute responsabilité pour les fraudes qui pourraient être commises avec s. Le cHent remet sa clé à son complice, lequel peut alors utiliser s pour signer les pièces c qu'il a légitimement retirées à la banque, puis les dépenser autant de fois qu'il le souhaite. Un procédé selon l'invention permet de résoudre le problème de la révocation des clés s.

Claims

REVENDICATIONS
1. Procédé cryptographique mis en œuvre par une carte (30) à puce d'un ensemble de cartes à puce appartenant chacune à une première entité qui peut être différente pour chaque carte à puce, chaque carte à puce étant équipée d'une puce (31) comprenant un moyen (32) de mémorisation dans lequel sont mémorisés une clé secrète et un identifiant de la première entité propriétaire de la carte (30) à puce et comprenant un moyen (33) de calcul dans lequel est implanté un algorithme de cryptographie ayant pour arguments d'entrée au moins la clé secrète, caractérisé en ce qu'il comprend les étapes qui consistent :
- avant tout calcul par le moyen (33) de calcul de la puce (31) de la carte (30) à puce, à lire (2) par la puce (31) dans un moyen de mémorisation d'une seconde entité une liste d'identifiants sous forme intégrale des premières entités propriétaires d'une carte à puce, cette Hste étant Hée à chaque état attribué à chacune des premières entités par la seconde entité,
- à comparer (3) par la puce (31) l'identifiant mémorisé dans le moyen (32) de mémorisation de la puce (31) et le contenu de la Hste, pour autoriser (5) ou interdire (4) tout calcul du moyen (33) de calcul en fonction du résultat de la comparaison.
2. Procédé cryptographique selon la revendication 1, dans lequel la liste comprend l'ensemble des premières entités dont l'état est positionné à révoqué par la seconde entité et dans lequel l'autorisation (5) de calcul est donnée par la puce (31) uniquement si l'identifiant mémorisé dans le moyen (32) de mémorisation de la puce (31) n'appartient pas à la Hste.
3. Procédé cryptographique selon la revendication 1, dans lequel la liste comprend l'ensemble des premières entités dont l'état est positionné à non révoqué par la seconde entité et dans lequel l'autorisation (5) de calcul est donnée par la puce (31) uniquement si l'identifiant mémorisé dans le moyen (32) de mémorisation de la puce (31) appartient à la liste.
4. Procédé cryptographique selon l'une des revendications 1 à 3, comprenant en outre les étapes qui consistent : - en même temps que la lecture (2) de la Hste, à lire (10) une signature de cette Hste par la puce (31) dans le moyen de mémorisation de la seconde entité, la signature ayant été préalablement calculée par un moyen de calcul de la seconde entité, - avant autorisation (5) par la puce de tout calcul du moyen (33) de calcul, à vérifier (11) par la puce (31) la vahdité de la signature.
5. Procédé cryptographique selon l'une des revendications 1 et 2, comprenant en outre les étapes qui consistent : - en même temps que la lecture (2) de la Hste, à lire (12) des signatures des identifiants de la liste par la puce (31) dans le moyen de mémorisation de la seconde entité, chaque identifiant ayant donné Heu à une signature préalablement calculée par un moyen de calcul de la seconde entité,
- en même temps que la lecture (2) de la liste, à lire (13, 14) par la puce (31) dans le moyen de mémorisation de la seconde entité, une valeur du nombre d'identifiants listés dans cette Hste ainsi qu'une signature de cette valeur, la valeur et sa signature ayant été préalablement calculées par un moyen de calcul de la seconde entité,
- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de calcul, à vérifier (16, 17) par la puce (31) la validité de chacune des signatures,
- à compter (15) par la puce (31) le nombre d'identifiants contenus dans la liste lue,
- avant autorisation (5) par la puce (31) de tout calcul du moyen (33) de calcul, à vérifier (18) l'égahté entre la valeur du compteur et la valeur lue.
6. Carte (30) à puce pour la mise en œuvre d'un procédé selon l'une des revendications 1 à 5, caractérisée en ce qu'elle (30) est équipée d'une puce (31) qui comprend au moins : - un moyen (32) de mémorisation d'une clé secrète et d'un identifiant d'une première entité propriétaire de la carte à puce,
- un moyen (33) de calcul dans lequel est implanté un algorithme de cryptographie ayant pour arguments d'entrée au moins la clé secrète, un moyen (34) pour lire une Hste d'identifiants sous forme intégrale dans un moyen de mémorisation d'une seconde entité, via un réseau de télécommunication, un moyen (35) pour autoriser tout calcul par le moyen (33) de calcul en fonction du résultat d'une comparaison entre l'identifiant et le contenu de la liste.
PCT/FR2003/000112 2002-01-17 2003-01-15 Procede cryptographique de revocation a l'aide d'une carte a puce WO2003060841A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
AU2003215703A AU2003215703A1 (en) 2002-01-17 2003-01-15 Cryptographic revocation method using a chip card
US10/501,823 US7356842B2 (en) 2002-01-17 2003-01-15 Cryptographic revocation method using a chip card
EP03729506A EP1466304A1 (fr) 2002-01-17 2003-01-15 Procede cryptographique de revocation a l'aide d'une carte a puce

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR02/00569 2002-01-17
FR0200569A FR2834841B1 (fr) 2002-01-17 2002-01-17 Procede cryptographique de revocation a l'aide d'une carte a puce

Publications (1)

Publication Number Publication Date
WO2003060841A1 true WO2003060841A1 (fr) 2003-07-24

Family

ID=8871337

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2003/000112 WO2003060841A1 (fr) 2002-01-17 2003-01-15 Procede cryptographique de revocation a l'aide d'une carte a puce

Country Status (5)

Country Link
US (1) US7356842B2 (fr)
EP (1) EP1466304A1 (fr)
AU (1) AU2003215703A1 (fr)
FR (1) FR2834841B1 (fr)
WO (1) WO2003060841A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1786139A1 (fr) * 2004-09-03 2007-05-16 NEC Corporation Systeme de signature de groupe, dispositif d evaluation de l etat d un membre, procede de signature de groupe et programme d evaluation de l etat d un membre
US8032745B2 (en) 2005-12-20 2011-10-04 International Business Machines Corporation Authentication of I2C bus transactions

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050934A1 (fr) * 2003-11-17 2005-06-02 Fotta Keith A Procede et appareil de regulation de courrier electronique non sollicite
US7711965B2 (en) 2004-10-20 2010-05-04 Intel Corporation Data security
JP2007004461A (ja) * 2005-06-23 2007-01-11 Nec Corp サービス提供システム、アウトソーシング業者装置、サービス提供方法およびプログラム
FR2895608B1 (fr) * 2005-12-23 2008-03-21 Trusted Logic Sa Procede pour la realisation d'un compteur securise sur un systeme informatique embarque disposant d'une carte a puce
WO2008146667A1 (fr) * 2007-05-24 2008-12-04 Nec Corporation Système d'authentification anonyme et procédé d'authentification anonyme
KR101543711B1 (ko) * 2011-10-11 2015-08-12 한국전자통신연구원 짧은 서명을 제공하는 경량 그룹서명 방법 및 장치
FR3091107A1 (fr) * 2018-12-24 2020-06-26 Orange Procédé et système de génération de clés pour un schéma de signatures anonymes
US10790990B2 (en) 2019-06-26 2020-09-29 Alibaba Group Holding Limited Ring signature-based anonymous transaction
US11783342B1 (en) * 2019-07-09 2023-10-10 Wells Fargo Bank, N.A. Blockchain blacklist anti-money laundering system (BBAMLS)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3696335A (en) * 1970-04-21 1972-10-03 Jerome H Lemelson Credit verification system
EP0378349A2 (fr) * 1989-01-10 1990-07-18 Visa International Service Association Système d'approbation de transaction
EP0427465A2 (fr) * 1989-11-09 1991-05-15 AT&T Corp. Système de sécurité sans base de données
US5191193A (en) * 1989-10-13 1993-03-02 Gemplus Card International System of payment or information transfer by money card with electronic memory
WO2000008610A1 (fr) * 1998-08-03 2000-02-17 Microsoft Corporation Verification en differe de carte a circuit integre au moyen d'une liste d'annulation hachee

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4734564A (en) * 1985-05-02 1988-03-29 Visa International Service Association Transaction system with off-line risk assessment
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
US6715078B1 (en) * 2000-03-28 2004-03-30 Ncr Corporation Methods and apparatus for secure personal identification number and data encryption

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3696335A (en) * 1970-04-21 1972-10-03 Jerome H Lemelson Credit verification system
EP0378349A2 (fr) * 1989-01-10 1990-07-18 Visa International Service Association Système d'approbation de transaction
US5191193A (en) * 1989-10-13 1993-03-02 Gemplus Card International System of payment or information transfer by money card with electronic memory
EP0427465A2 (fr) * 1989-11-09 1991-05-15 AT&T Corp. Système de sécurité sans base de données
WO2000008610A1 (fr) * 1998-08-03 2000-02-17 Microsoft Corporation Verification en differe de carte a circuit integre au moyen d'une liste d'annulation hachee

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1786139A1 (fr) * 2004-09-03 2007-05-16 NEC Corporation Systeme de signature de groupe, dispositif d evaluation de l etat d un membre, procede de signature de groupe et programme d evaluation de l etat d un membre
EP1786139A4 (fr) * 2004-09-03 2011-07-06 Nec Corp Systeme de signature de groupe, dispositif d evaluation de l etat d un membre, procede de signature de groupe et programme d evaluation de l etat d un membre
US8032745B2 (en) 2005-12-20 2011-10-04 International Business Machines Corporation Authentication of I2C bus transactions

Also Published As

Publication number Publication date
FR2834841B1 (fr) 2004-05-28
US7356842B2 (en) 2008-04-08
FR2834841A1 (fr) 2003-07-18
AU2003215703A1 (en) 2003-07-30
US20050097336A1 (en) 2005-05-05
EP1466304A1 (fr) 2004-10-13

Similar Documents

Publication Publication Date Title
CN109359974B (zh) 区块链交易方法及装置、电子设备
EP1461898A1 (fr) Procede et dispositif de signature anonyme au moyen d une clef privee partagee
Franco Understanding Bitcoin: Cryptography, engineering and economics
JP7482982B2 (ja) ブロックチェーンにおけるコンピュータ実行方法、システム及び記憶媒体
Barber et al. Bitter to better—how to make bitcoin a better currency
EP0055986B1 (fr) Procédé et dispositif de sécurité pour communication tripartite de données confidentielles
EP2441207B1 (fr) Procédé cryptographique d'authentification anonyme et d'identification séparée d'un utilisateur
EP1459479A2 (fr) Systeme cryptographique de signature de groupe
EP1908215A1 (fr) Procédé de contrôle de transactions sécurisées mettant en oeuvre un dispositif physique unique à bi-clés multiples, dispositif physique, système et programme d'ordinateur correspondants
FR2847401A1 (fr) Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
EP1612991A1 (fr) Procédé et système de vote électronique en réseau à haute sécurité
EP1911194A1 (fr) Procede de controle de transactions securisees mettant en oeuvre un dispositif physique unique, dispositif physique, systeme, et programme d'ordinateur correspondants
FR2892252A1 (fr) Procede et dispositif de creation d'une signature de groupe et procede et dispositif de verification d'une signature de groupe associes.
Küpçü Official arbitration with secure cloud storage application
WO2006048524A1 (fr) Procede de delegation securisee de calcul d'une application bilineaire
EP1466304A1 (fr) Procede cryptographique de revocation a l'aide d'une carte a puce
EP3262553A1 (fr) Procede de transaction sans support physique d'un identifiant de securite et sans jeton, securise par le decouplage structurel des identifiants personnels et de services
EP0731580B1 (fr) Procédé de paiement dans une application télématique et dispositif de mise en oeuvre de ce procédé
WO2002005226A1 (fr) Systeme et procede de gestion de transaction de micropaiement dispositifs client, marchand et intermediaire financier
Bektaş On secure electronic auction process of government domestic debt securities in Turkey
Vasco et al. Flexible anonymous subscription schemes
EP2689552A1 (fr) Infrastructure non hiérarchique de gestion de bi-clés de sécurité de personnes physiques ou d'éléments (igcp/pki).
FR2949932A1 (fr) Procede cryptographique d'abonnement anonyme a un service
Barber et al. Bitter to Better—How to Make Bitcoin
Barber et al. This file was downloaded from: http://eprints. qut. edu. au/69169

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KP KR KZ LC LK LR LS LT LU LV MA MD MG MK MN MW MX MZ NO NZ OM PH PL PT RO RU SC SD SE SG SK SL TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): GH GM KE LS MW MZ SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IT LU MC NL PT SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG

121 Ep: the epo has been informed by wipo that ep was designated in this application
DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
WWE Wipo information: entry into national phase

Ref document number: 2003729506

Country of ref document: EP

WWP Wipo information: published in national office

Ref document number: 2003729506

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 10501823

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: JP

WWW Wipo information: withdrawn in national office

Country of ref document: JP