PROCEDE DE COMMUNICATION CRYPTOGRAPHIQUE BASE SUR LE HASARD PROFOND CRYPTOGRAPHIC COMMUNICATION METHOD BASED ON DEEP HAZARD
1. Domaine technique de l'invention 1. Technical field of the invention
L'invention appartient au domaine des systèmes de communication cryptographiques. The invention belongs to the field of cryptographic communication systems.
2. Etat de la technique antérieure 2. State of the prior art
La cryptographie moderne repose en majorité sur des problèmes mathématiques très difficiles à résoudre dans l'état actuel des connaissance et des moyens de calcul, tels que par exemple la factorisation de grands nombres premiers, ou le calcul de logarithmes discrets, appartenant à la théorie de la complexité. Du fait qu'aucune certitude n'existe quant à la difficulté réelle de ces problèmes, pas même la fameuse conjecture P≠NP, d'autres méthodes ont été développées depuis le début des années 90. Ces méthodes s'appuient sur des hypothèses relatives à l'adversaire (comme « l'adversaire à mémoire limitée » [6]) ou relatives au canal de communication (comme les « canaux bruités indépendants » [5]) ; malheureusement, s'il a été montré que la confidentialité parfaite pouvait être atteinte pour ces méthodes sous certaines hypothèses données, aucune de ces hypothèses n'est facile à garantir en pratique. Enfin, d'autres méthodes, basées elles sur des théories physiques, telles que l'indétermination quantique [3] ou les systèmes dynamiques chaotiques ont été décrites et expérimentées, mais elles sont complexes à mettre en œuvre et, là encore, elles reposent sur des théories non prouvées. Most modern cryptography relies on mathematical problems that are very difficult to solve in the current state of knowledge and calculation means, such as for example the factorization of large prime numbers, or the calculation of discrete logarithms, belonging to the theory of the complexity. Since there is no certainty as to the real difficulty of these problems, not even the famous P ≠ NP conjecture, other methods have been developed since the early 1990s. These methods are based on assumptions about the adversary (such as "the limited-memory opponent" [6]) or the communication channel (such as "independent noise channels" [5]); unfortunately, while it has been shown that perfect confidentiality can be achieved for these methods under certain given assumptions, none of these assumptions is easily guaranteed in practice. Finally, other methods, based on physical theories, such as quantum indeterminacy [3] or chaotic dynamical systems have been described and experimented, but they are complex to implement and, again, they are based on unproven theories.
Considérant cette situation théorique non satisfaisante, nous proposons une nouvelle méthode, grâce à laquelle la confidentialité parfaite peut être atteinte et prouvée, sans aucune hypothèse relative à l'adversaire, qui est supposé doté de capacités de calcul et de stockage de données illimitées, ni au canal de communication, qui est supposé parfaitement public et équivalent pour tous les participants (partenaires légitimes et adversaires). L'adversaire considéré est passif, ce qui veut dire qu'il n'interfère pas dans le protocole de communication entre les partenaires légitimes en ajoutant, modifiant ou supprimant des données aux informations échangées ; il a en revanche un accès total à ces informations. Les adversaires actifs peuvent également être considérés en ajoutant au protocole un schéma d'authentification des messages entre les partenaires légitimes. Considering this unsatisfactory theoretical situation, we propose a new method, thanks to which the perfect confidentiality can be reached and proven, without any hypothesis relating to the adversary, which is supposed endowed with capacities of computation and storage of unlimited data, neither the communication channel, which is supposed to be perfectly public and equivalent for all participants (legitimate partners and opponents). The considered adversary is passive, which means that it does not interfere in the communication protocol between the legitimate partners by adding, modifying or deleting data to the information exchanged; however, he has full access to this information. Active adversaries can also be considered by adding to the protocol a message authentication scheme between legitimate partners.
Références References
[1] C E. Shannon, « Communication theory of secrecy Systems », Bell Syst. Tech. J., Vol. 28, pp. 656-715, Oct. 1949 [1] C E. Shannon, Communication System of Secrecy Systems, Bell Syst. Tech. J., Vol. 28, pp. 656-715, Oct. 1949
[2] A. N. Kolmogorov, « On Tables of Random Numbers », Sankhya. Indian Journal of Statistics A, 25(4) :369-376 [2] A. N. Kolmogorov, "On Tables of Random Numbers", Sankhya. Indian Journal of Statistics A, 25 (4): 369-376
[3] C. H. Bennet and G. Brassard, « Quantum cryptography and its application to provable secure key expansion, public-key distribution and coin-tossing », Proc.
ΓΕΕΕ International Conférence on Computers, Systems and Signal Processing, Bangalore, India, pp. 175-179, Dec. 1984 [3] CH Bennet and G. Brassard, "Quantum cryptography and its application to provable secure key expansion, public-key distribution and coin-tossing", Proc. ΓΕΕΕ International Conference on Computers, Systems and Signal Processing, Bangalore, India, pp. 175-179, Dec. 1984
[4] C. H. Bennet, G. Brassard and J.-M. Robert, « Privacy Amplification by Public Discussion », SIAM J. COMPUT., Vol. 17, No. 2, Apr. 1988 [4] C. H. Bennet, G. Brassard and J.-M. Robert, "Privacy Amplification by Public Discussion", SIAM J. COMPUT., Vol. 17, No. 2, Apr. 1988
[5] U. M. Maurer, « Secret Key Agreement by Public Discussion from Common Information », ΓΕΕΕ Transactions on Information Theory, Vol. 39, No. 3, May 1993[5] U. M. Maurer, "Secret Key Agreement by Public Discussion from Common Information," Transactions on Information Theory, Vol. 39, No. 3, May 1993
[6] C. Cachin and U. M. Maurer, « Unconditional Security Against Memory- Bounded Àdversaries », Proceeding of CRYPTO '97, Lecture Notes in Computer Science, Springer, 1997 [6] C. Cachin and U. M. Maurer, "Unconditional Security Against Memory-Bounded Inversaries," Proceeding of CRYPTO '97, Lecture Notes in Computer Science, Springer, 1997
3. Exposé de l'invention 3. Presentation of the invention
Nous considérons deux Entités Autonomes (EA), appelées correspondants EA légitimes, désirant communiquer sur un canal de communication public non sûr. Comme dans toute modélisation de protocole de communication, ces EA sont des entités capables de générer des séquences de bits aléatoires, de publier des séquences de bits, de lire des séquences de bits publiées par d'autres EA, de stocker des séquences de bits, d'effectuer des calculs sur des séquences de bits. La principale différence de notre procédé est que la génération aléatoire de séquences de bits inclut la génération de Hasard Profond. Le Hasard Profond est une source d'information numérique aléatoire telle qu'un observateur extérieur ne peut pas connaître la distribution de probabilité de la variable aléatoire associée à cette source d'information, à part un ensemble de caractéristiques publiques. De ce fait, de telles variables aléatoires par Hasard Profond ne sont pas sujettes à une évaluation par inférence bayesienne. We consider two Autonomous Entities (EAs), called legitimate EA correspondents, wishing to communicate over an unsafe public communication channel. As in any communication protocol modeling, these EAs are entities capable of generating random bit sequences, publishing bit sequences, reading bit sequences published by other EAs, storing bit sequences, to perform calculations on bit sequences. The main difference of our method is that the random generation of bit sequences includes the generation of Deep Hazard. Deep Hazard is a source of random digital information such that an outside observer can not know the probability distribution of the random variable associated with that information source, except for a set of public characteristics. As a result, such Random Random Random variables are not subject to Bayesian inference evaluation.
Une EA est constituée (Fig. 1) des 2 composants suivants : An EA consists of the following 2 components (Figure 1):
• Le Générateur de Hasard Profond (GHP). Un GHP est capable de : • The Deep Random Generator (GHP). A GHP is able to:
o Produire de manière continue de nouvelles distributions de probabilités, appelées distributions par Hasard Profond, dont les caractéristiques sont décrites ci-après o Produce continuously new distributions of probabilities, called distributions by Deep Hazard, the characteristics of which are described below.
o Générer et stocker, sur requête d'un MCI autorisé, une information numérique aléatoire en utilisant ses distributions par Hasard Profond, ces informations devant rester secrètes pour assurer la confidentialité de la communication o Generate and store, at the request of an authorized MCI, a random digital information using its distributions by Deep Hazard, this information must remain secret to ensure the confidentiality of the communication
o Réaliser, sur requête d'un MCI autorisé, des calculs sur les dites informations numériques aléatoires o Perform, on request of an authorized MCI, calculations on said random digital information
• Le Module de Communication Interactive (MCI). Un MCI est capable de : • The Interactive Communication Module (MCI). An MCI is able to:
o Publier de l'information sur le canal de communication public (à l'attention du correspondant E A légitime) o Publish information on the public communication channel (for the attention of the legitimate E A correspondent)
o Lire de l'information sur le canal de communication
o Exécuter un type particulier de protocole de communication appelé Protocole à Confidentialité Parfaite, dont les caractéristiques sont décrites ci-après o Read information on the communication channel o Execute a particular type of communication protocol called Perfect Privacy Protocol, the characteristics of which are described below.
Les deux caractéristiques principales de la présente invention sont (i) la génération de distributions par Hasard Profond, et (ii) l'exécution de Protocole à Confidentialité Parfaite. Ils sont conçus (GHP et MCI) pour fonctionner ensemble, ce qui donne l'unicité de l'invention. Ils permettent d'obtenir une confidentialité parfaite sans besoin de distribution préalable d'une clé secrète et sans condition ou limitation sur le canal de communication ou sur les capacités de l'adversaire, ce qui donne l'utilité et le caractère innovant de l'invention. Ils peuvent être réalisés sous différentes formes, sachant qu'au moins une est décrite à la section 5 de la présente description ci-après, ce qui assure que l'invention peut faire l'objet d'application industrielle. De plus, l'inventeur a obtenu une preuve mathématique de la parfaite confidentialité, ce qui n'est pas le cas de la plupart des autres procédés de communication cryptographique brevetés précédamment ; toutefois, les détails de cette preuve mathématique sont complexes et ne sont pas présentés dans la présente description par souci de concision. The two main features of the present invention are (i) the generation of Deep Random distributions, and (ii) the execution of Perfect Privacy Protocol. They are designed (GHP and MCI) to work together, giving the uniqueness of the invention. They make it possible to obtain perfect confidentiality without the need for prior distribution of a secret key and without condition or limitation on the communication channel or on the capabilities of the adversary, which gives the utility and the innovative character of the invention. They can be made in different forms, knowing that at least one is described in section 5 of the present description below, which ensures that the invention can be industrially applied. In addition, the inventor has obtained a mathematical proof of perfect confidentiality, which is not the case for most other previously patented cryptographic communication methods; however, the details of this mathematical proof are complex and are not presented in the present description for the sake of brevity.
(i) Caractéristiques du Générateur de Hasard Profond : (i) Characteristics of the Deep Random Generator:
Le Hasard Profond généré par une EA appelée A est une source de hasard telle que sa distribution de probabilité est inconnaissable (ou cachée) pour un ensemble donné d'EA appelées adversaires, chacune notée ξ. En pratique, cet ensemble d'EA est généralement toute EA autre que A. Plus généralement, la distribution de probabilité peut être cachée à part un ensemble de caractéristiques publiques / (on note £ll l'ensemble des distributions de probabilité qui vérifient les caractéristiques /). De telles sources de hasard ont la propriété suivante : The Deep Random generated by an EA called A is a source of chance such that its probability distribution is unknowable (or hidden) for a given set of EAs called opponents, each denoted by ξ. In practice, this set of EA is generally all EA other than A. More generally, the probability distribution can be hidden from a set of public features / (note the s £ all probability distributions that check characteristics /). Such sources of chance have the following property:
Si X et Y sont deux variables aléatoires, et si X a une distribution de probabilité cachée pour ξ en dehors des caractéristiques /, alors : If X and Y are two random variables, and if X has a hidden probability distribution for ξ outside the / characteristics, then:
Ε[φ(Χ) \Υ]ξ ne dépend pas de la distribution de probabilité de X au sein de il; Ε [φ (Χ) \ Υ] ξ does not depend on the probability distribution of X within it;
où £'[φ(.Χ,) | ν,] désigne l'espérence conditionnelle de <p(X) à partir de la connaissance réduite à Y par ξ. φ étant une fonction déterministe quelconque. where £ '[φ (.Χ , ) | ν , ] denotes the conditional expectation of <p (X) from knowledge reduced to Y by ξ. φ being any deterministic function.
Nous pouvons donner une formulation plus faible mais plus concrète de cette propriété, avec les variables engendrées. A titre de défintion, si V est une variable aléatoire à valeurs dans un ensemble E, une variable aléatoire V à valeurs dans l'ensemble F est dite engendrée par V s'il existe une distribution d'engendrement
ψ E x F κ> [0,1] telle que Vx G E ,∑y£p ip(y, x)dy— 1 et correspondant à la distribution de probabilité de V :
We can give a weaker but more concrete formulation of this property, with the generated variables. As a definition, if V is a random variable with values in a set E, a random variable V with values in the set F is said to be generated by V if there is a generational distribution ψ E x F κ> [0,1] such that Vx GE, Σy £ ip (y, x) dy-1 and corresponding to the probability distribution of V:
La formulation affaiblie de la propriété est alors : soit Y une variable aléatoire à valeurs dans un ensemble F, engendrée par n'importe quelle variable aléatoire à valeur dans E par la même distribution d'engendrement xp: E x F ^ [0,1]· Si X et X' sont deux variables aléatoires à valeurs dans E dont les distributions de probabilité sont dans Ω; chacune cachée pour ξ en dehors des caractéristiques /, alors : The weakened formulation of the property is then: let Y be a random variable with values in a set F, generated by any random variable with value in E by the same generation distribution xp: E x F ^ [0,1 ] · If X and X 'are two random variables with values in E whose probability distributions are in Ω ; each hidden for ξ outside the characteristics /, then:
Ε[φ(Χ) \Υ]ξ = Ε[φ(Χ') \Υ]ξ Ε [φ (Χ) \ Υ] ξ = Ε [φ (Χ ') \ Υ] ξ
m m
Vu de 1ΈΑ pour qui la distribution de probabilité d'une variable aléatoire est cachée, la capacité d'estimation relative à cette variable est bien sûr plus limitée que pour une variable aléatoire traditionnelle dont la distribution est connue. Le concept de pondération des valeurs possibles est remplacé par le concept de simple existence de telles valeurs. Considering 1ΈΑ for which the probability distribution of a random variable is hidden, the estimation capacity relating to this variable is of course more limited than for a traditional random variable whose distribution is known. The concept of weighting possible values is replaced by the concept of the mere existence of such values.
Il est important de comprendre que le fait d'affirmer que la distribution d'une variable aléatoire est inconnaissable pour une EA ne veut pas dire que cette distribution n'existe pas. Cela veut simplement dire qu'elle est cachée pour cette EA. Pour toute autre EA (connaissant la distribution), la variable aléatoire reste gouvernée par la théorie des probabilités traditionelle. It is important to understand that the assertion that the distribution of a random variable is unknowable for an EA does not mean that this distribution does not exist. It simply means that it is hidden for this EA. For any other EA (knowing the distribution), the random variable remains governed by the traditional probability theory.
Il peut apparaître comme un non sens de vouloir générer du Hasard Profond à l'aide de ressources informatiques programmables. Dans le monde réel, même un ordinateur a accès à des sources de hasard dont les distributions de probabilité sont au moins partiellement inconnues, mais cela ne veut pas dire qu'il est possible d'obtenir du Hasard profond directement à partir de ces sources, utilisable pour une application de communication cryptographique. It may seem like a nonsense to want to generate Deep Hazard using programmable computing resources. In the real world, even a computer has access to sources of chance whose probability distributions are at least partially unknown, but that does not mean that it is possible to obtain Deep Hazard directly from these sources, usable for a cryptographic communication application.
3 méthodes existent pour générer programmatiquement du Hasard profond au sein d'une EA : There are 3 methods for programmatically generating Deep Hazard within an EA:
1) La programmation sécurisée : dans le cadre de cette méthode, le programme qui génère le Hasard Profond (GHP) est élaboré secrètement au sein d'un processus industriel isolé, et est gardé secret à toute EA extérieure. Pour les applications industrielles, le programme est embarqué dans un dispositif résistant à l'investigation, et ne peut être sollicité que pour fournir un signal de sortie généré de manière interne à l'aide dudit programme. 1) Secure Programming: As part of this method, the program that generates the Deep Hazard (GHP) is secretly developed within an isolated industrial process, and is kept secret to any outside EA. For industrial applications, the program is embedded in a device resistant to investigation, and can be solicited only to provide an output generated internally using the program.
2) La génération récursive : dans le cadre de cette méthode, le programme de GHP exécute une suite récursive continue de génération, dans laquelle, à chaque étape m + 1, la distribution de probabilité est créée / sélectionnée pour mettre en
échec la stratégie d'estimation optimale pour les distributions des étapes < m. Cette méthode peut être implémentée dans un programme qui s'exécute de manière continu au sein d'un environnement d'exécution, et qui puisse être sollicité à tout moment par ΕΑ pour fournir un signal aléatoire généré à l'aide d'un tirage aléatoire basé sur la valeur courante de la suite de distribution. Une telle implémentation peut être réalisée en logiciel ou en matériel pour améliorer la confidentialité de l'état courant de la suite. Pour qu'une telle méthode soit sure, l'entropie du signal aléatoire de sortie ne devrait pas être plus grande que l'entropie de la valeur de l'indice de la suite. Un exemple d'une telle méthode est donné à la section 5 de la présente description. 2) Recursive generation: as part of this method, the GHP program executes a continuous recursive generation sequence, in which, at each step m + 1, the probability distribution is created / selected to implement failure the optimal estimation strategy for distributions of steps <m. This method can be implemented in a program that runs continuously within a runtime environment, and can be requested at any time by ΕΑ to provide a random signal generated using a random draw. based on the current value of the distribution suite. Such an implementation can be done in software or hardware to improve the confidentiality of the current state of the suite. For such a method to be safe, the entropy of the random output signal should not be larger than the entropy of the index value of the sequence. An example of such a method is given in section 5 of the present description.
3) La combinaison : dans le cadre de cette méthode, différentes sources de Hasard Profond sont combinées. Ces sources peuvent provenir d'une EA externe collaborative, comme représenté en Fig. 3. Dans ce cas, un Protocole à Confidentialité Parfaite est utilisé pour échanger les paramètres de la distribution de probabilité, d'une ou plusieurs EA collaboratives de niveau 1 vers ΓΕΑ de niveau 2 considérée. Les méthodes de combinaison sont telles que si au moins une des sources est réellement du Hasard Profond, alors la résultante de la combinaison est encore du Hasard Profond, autrement dit que la distribution de probabilité obtenue reste cachée pour les adversaires. 3) The combination: as part of this method, different sources of Deep Hazard are combined. These sources may come from a collaborative external EA, as shown in FIG. 3. In this case, a Perfect Privacy Protocol is used to exchange the parameters of the probability distribution, from one or more Level 1 to Level 2 collaborative EAs considered. Combination methods are such that if at least one of the sources is really Deep Random, then the result of the combination is still Deep Random, in other words the probability distribution obtained remains hidden for the opponents.
Concernant la génération récursive, si un observateur ne connaît ni la date de démarrage ni la vitesse d'exécution d'un compteur incrémental infini, aucune distribution de probabilité ne peut estimer même approximativement la valeur courante du compteur à un instant donné, de part sa nature illimitée. De plus, s'il s'exécute dans un dispositif informatique, la vitesse réelle du compteur est impactée par des tâches et des événements externes au sein des processeurs, pour lesquels aucune distribution de probabilité fiable ne peut être utilisée ; la seule chose qu'un adversaire puisse faire est d'estimer une borne supérieure très approximative de la valeur du compteur et de sa vitesse. With respect to recursive generation, if an observer does not know the start date or the execution speed of an infinite incremental counter, no probability distribution can even estimate the current value of the counter at a given instant, because of its unlimited nature. In addition, if it executes in a computing device, the actual speed of the counter is impacted by external tasks and events within the processors, for which no reliable probability distribution can be used; the only thing an adversary can do is to estimate a very approximate upper bound of the counter's value and speed.
(ii) Caractéristiques d'un Protocole de Confidentialité Parfaite : (ii) Characteristics of a Perfect Privacy Protocol:
Définissons d'abord notre modèle général de protocoles de communication. Let's first define our general model of communication protocols.
Un protocole de communication est une procédure impliquant 2 correspondants EA légitimes 04 et β) ; qui peut être décomposée en un nombre fini d'étapes t1( ... , tR telles que, à chaque étape r < R : A communication protocol is a procedure involving 2 corresponding legitimate EAs 04 and β); which can be decomposed into a finite number of steps t 1 ( ..., t R such that, at each step r <R:
a) : A et B génèrent respectivement une nouvelle information xr et yr (en utilisant potentiellement du hasard classique ou du Hasard Profond grâce à leur GHP comme représenté en Fig. 1 - interaction 100 & 101), impliquant potentiellement la connaissance respectivement de {Xm}i≤m<r> {im m}i≤m<r, et {ym}1≤m<r, {tm,jm)i<m<r. Pour cela, le GHP peut être
sollicité par le MCI comme représenté en Fig. 1 - interaction 101, et le MCI lit Tinformation publiée par l'autre partie lors de l'étape précédante comme représenté en Fig. 1 - interaction 103. a) : A and B respectively generate a new information x r and y r (potentially using classical chance or Deep Hazard thanks to their GHP as shown in Fig. 1 - 100 & 101 interaction), potentially involving the knowledge respectively of {Xm} i≤m <r > {im m} i≤m <r, and {y m } 1≤m <r , {t m , j m ) i < m <r . For this, the GHP can be requested by the MCI as shown in FIG. 1 - interaction 101, and the MCI reads the information published by the other party in the preceding step as shown in FIG. 1 - interaction 103.
b) A et B publient respectivement une information tr et jr qui peut dépendre resptivement de {½)i<m≤r, {'mJm}l≤7n<r> et { m}l≤? ≤ > {½Jm}l≤?n<r-b) A and B respectively publish information t r and j r which can depend respectively on {½) i < m≤r , {'mJm} l≤7n <r> and {m} l≤? ≤> {½Jm} l≤ ? n <r-
Pour cela, le MCI écrit l'information sur le canal public comme représenté en Fig. 1 - interaction 102. For this, the MCI writes the information on the public channel as shown in FIG. 1 - interaction 102.
A la dernière étape R, A et B réalisent uniquement des calculs basés sur la connaissance respective de {Xm)i≤m<K> {im>jm i≤m<R > et {ym}i {im, Tn}i<m</î - L'un des résultats de ces calculs (comme représenté en Fig. 1 - interaction 104) est une estimation de l'information secrète partagée. Ces estimations sont respectivement notées VA et VB. In the last step R, A and B perform only calculations based on the respective knowledge of {Xm) i≤m <K > {im > jm i≤m <R > and {y m } i {i m , Tn } i <m </ i - One of the results of these calculations (as shown in Fig. 1 - 104 interaction) is an estimate of the shared secret information. These estimates are respectively denoted V A and V B.
{ v]v est appelé un protocole configurable, avec v un vecteur de paramètres numériques fixé avant l'exécution du protocole, si la description de l'implémentation du protocole (incluant la capacité de générer du Hasard Profond) a une taille majorée par H (y) + K, où H représente la fonction d'entropie et K est une constante indépendante de v. { v ] v is called a configurable protocol, with v a numeric parameter vector set before the protocol execution, if the protocol implementation description (including the ability to generate Deep Random) has a size larger by H (y) + K, where H represents the entropy function and K is a constant independent of v.
Les Protocoles à Confiddentialité Parfaite sont un type spécial de protocoles appartenant au modèle général décrit ci-dessus, pour lesquels, en supposant les hypothèses (H) et (//') présentées ci-avant vraies pour des signaux générés par des GHP, la stratégie de l'adversaire la plus efficace (espérence conditionnelle) pour estimer par exemple VA est strictement moins performante que VB (Distillation d'Avantage [4]). De tels protocoles incluent également des méthodes, déjà connues et largement étudiées dans la littérature publique, de Réconciliation et d'Amplification de Confidentialité [4] pour transformer ledit Avantage en une information secrète et partagée exclusivement entre les correspondants légitimes. Cette information secrète partagée, qui peut être d'une taille aussi longue que souhaité (par exemple par répétition du protocole), peut être utilisée pour échanger entre les correspondants légitimes de manière parfaitement sécurisée un message signifiant, soit directement (utilisation d'un masque jetable XOR) ou en échangeant une clé cryptographique symétrique, utilisable ensuite avec un système de chiffrement par bloc ou un système de chiffrement en continu. Perfect Confidenentiality Protocols are a special type of protocol belonging to the general model described above, for which, assuming the assumptions (H) and (// ') presented above for GHP generated signals, the strategy of the most effective adversary (conditional expectation) to estimate for example V A is strictly less efficient than V B (Advantage Distillation [4]). Such protocols also include methods, already known and widely studied in the public literature, Reconciliation and Amplification of Confidentiality [4] to transform said Advantage into secret information and shared exclusively between legitimate correspondents. This shared secret information, which can be of a size as long as desired (for example by repetition of the protocol), can be used to exchange between the legitimate correspondents in a perfectly secure way a signifying message, either directly (use of a mask disposable XOR) or by exchanging a symmetric cryptographic key, which can then be used with a block cipher system or a continuous ciphering system.
De manière plus formelle, si l'on considère un protocole T, l 'ensemble total des informations aléatoires générées respectivement par A et B obéit à des distributions de probablité appartenant respectivement à des ensembles que l'on note ¾CP) et ΆΒ( ). L 'usage du Hasard Profond permet de considérer, dépendant de T, plusieurs sous-ensembles de QA P) X &B(P)■' (Ηι · H ), ... tels qu 'ils contiennent seulement des distributions qui sont non distinguables les unes des autres pour l'adversaire. Ces sous-ensembles sont supposés être maximaux (parceque sinon on peut les compléter). On peut considérer le groupe des transformations réversibles {/im(s)}m (supposé être dénombrable) de &A P) x ΆΒ (Τ) >→ QA P) X QB(P). qui laisse (β^, Ηξ) stable. Chacune de ces transformations induit également une transformation réversible mm(s dans l'ensemble des stratégies possibles de l 'adversaire
= Ωρ. On note alors Ωφ(β) le sous-ensemble de Ωγ qui contient les stratégies invariantes par l 'action du groupe induit vsm{s) }m. Les hypothèses du Hasard
Profond (H) et (Η') permet alors de restreindre le choix de la stratégie de l 'adversaire à un élément quelconque du sous-ensemble i¾>(s). More formally, if we consider a protocol T, the total set of random information generated respectively by A and B obeys probablity distributions belonging respectively to sets that are noted ¾CP) and Ά Β (). . The use of the Deep Randy makes it possible to consider, dependent on T, several subsets of Q A P) X & B (P) ■ '(Ηι · H), ... such that they contain only distributions that are non distinguishable from each other for the opponent. These subsets are supposed to be maximal (because otherwise we can complete them). We can consider the group of reversible transformations {/ im (s)} m (supposed to be countable) of & A P) x Ά Β (Τ)> → Q A P) XQ B (P). which leaves (β ^, Ηξ) stable. Each of these transformations also induces a reversible transformation m m (s) in the set of possible strategies of the adversary = Ωρ. We then denote Ωφ (β) the subset of Ωγ that contains the invariant strategies by the action of the induced group vs m {s)} m . Chance hypotheses Deep (H) and (Η ') allow to restrict the choice of the strategy of the opponent to any element of the subset i¾> (s).
On note ΗΡ ε, ε') la quantité minimale d'information (nombre de bits) devant être échangée à travers T pour obtenir : ■ We denote Η Ρ ε, ε ') the minimum amount of information (number of bits) to be exchanged through T to obtain: ■
(i) dh(VA, VB)≤ EH(VB) (i) d h (V A , V B ) ≤ EH (V B )
(ii) infs (suPcùesl s) E'H(VB)(ii) inf s (su Pcùesl s) E'H (V B)
où dh désigne la distance de Hamming, et H(-) désigne l'entropie de Shannon [1]. Si les 2 conditions ci-dessus ne peuvent pas être satisfaites, alors ΗΡ(ε, ε') =∞. Un protocole configurable {Ρυ}υ est appelé un Protocole à Confidentialité Parfaite si, νε, ε' > 0, il existe ν(ε, ε') sous les hypothèses du Hasard Profond (H) et (W), tel que : where d h denotes the Hamming distance, and H (-) denotes Shannon's entropy [1]. If the 2 conditions above can not be satisfied, then Η Ρ (ε, ε ') = ∞. A configurable protocol {Ρ υ } υ is called a Perfect Privacy Protocol if, νε, ε '> 0, there exist ν (ε, ε') under the assumptions of the Deep Hazard (H) and (W), such as:
ΗΡν ε, ε') <∞ Η Ρν ε, ε ') <∞
Les trois caractéristiques minimales d'un Protocole à Confidentialité Parfaite : The three minimum features of a Perfect Privacy Protocol:
1) Le Hasard Profond (HP) : Les 2 correspondants légitimes impliqués dans le protocole font usage du Hasard Profond 1) Deep Hazard (HP): The 2 legitimate correspondents involved in the protocol make use of the Deep Hazard
2) La Dégradation : Pour chacun des 2 correspondants légitimes impliqués dans le protocole, l'information qu'il publie est au moins partiellement dégradée à partir du signal de sortie généré par son GHP. Cela signifie que l'information publiée est le résultat d'une variable aléatoire engendrée à partir dudit signal de sortie généré par le GHP, telle que la précision du signal de sortie de ladite variable engendrée est rendue strictement plus faible (à travers ce processus de Dégradation) que la précision du signal de sortie généré par le 2) Degradation: For each of the 2 legitimate correspondents involved in the protocol, the information it publishes is at least partially degraded from the output signal generated by its GHP. This means that the published information is the result of a random variable generated from said output signal generated by the GHP, such that the accuracy of the output signal of said generated variable is made strictly lower (through this process of Degradation) that the accuracy of the output signal generated by the
GHP. GHP.
3) La Distillation d'Avantage sous les hypothèses du Hasard Profond ((H) et (H')) : Sous les hypothèses (H) et (Η'), aucune stratégie de l'adversaire ne peut être considérée plus efficace qu'au moins une autre stratégie appartenant à un ensemble donné Ω, appelé sous-ensemble de restriction pour le protocole ; et pour toute stratégie de Ω adoptée par l'adversaire, l'estimation de l'information secrète partagée donnée par ladite stratégie est strictement moins précise que les estimations des correspondants légitimes. 3) Distillation of Advantage under the assumptions of the Deep Hazard ((H) and (H ')): Under the assumptions (H) and (Η'), no strategy of the adversary can be considered more effective than at least one other strategy belonging to a given set Ω, called restriction subset for the protocol; and for any strategy of Ω adopted by the adversary, the estimation of the shared secret information given by said strategy is strictly less accurate than the estimates of the legitimate correspondents.
Pour illustrer le phénomène de Dégradation, donnons un exemple simple : considérons une EA observant une épreuve d'une variable aléatoire binaire V de paramètre Θ 6 [0,1]· Si l 'EA veut générer une nouvelle variable aléatoire binaire basée sur le résultat de l'épreuve, elle peut uniquement affecter des paramètres [θ0, dépendant du résultat binaire {0,1} de l'épreuve de V. Le paramètre de cette nouvelle variable aléatoire binaire V est alors : To illustrate the phenomenon of Degradation, let's give a simple example: consider an EA observing a test of a binary random variable V of parameter Θ 6 [0,1] · If the EA wants to generate a new binary random variable based on the result of the test, it can only affect parameters [θ 0 , depending on the binary result {0,1} of the test of V. The parameter of this new binary random variable V is then:
0„ + («, - θ0)ΰ 0 "+ («, - θ 0 ) ΰ
Si maintenant on remplace Θ par θ/k où k est un nombre > 1 ; est alors impossible d'engendrer à partir de V une nouvelle variable aléatoire binaire de paramètre Θ (parce que \θ-ι— θ0 \ < 1). L 'EA qui observe peut bien sûr multiplier le résultat par k (engendrant ainsi une variable à valeur cette fois dans {0, k] au lieu de {0,1},), pour obtenir une variable engendrée avec la même moyenne (moment d'ordre 1) que V, mais alors la variance (moment d'ordre 2, représentant la précision) de cette variable engendrée est strictement plus élevée que celle de V, autrement dit sa précision est
strictement plus faible. L ΈΑ doit donc «faire un choix » entre moment d'ordre 1 et moment d'o dre 2, mais ne peut pas égaler les deux moments dans une même variable engendrée. If now we replace Θ by θ / k where k is a number>1; it is impossible to generate from V a new binary random variable of parameter Θ (because \ θ-ι- θ 0 \ <1). The observing EA can of course multiply the result by k (thus generating a value variable this time in {0, k] instead of {0,1},), to obtain a variable generated with the same mean (moment of order 1) that V, but then the variance (moment of order 2, representing the precision) of this generated variable is strictly higher than that of V, in other words its precision is strictly lower. L ΈΑ must therefore "make a choice" between the moment of order 1 and the moment of o dre 2, but can not equal the two moments in the same generated variable.
Un exemple de Protocole à Confidentialité Parfaire est donné dans la section 5 de la présente description, comme mode de réalisation spécifique pour cette invention. An example of a Perfect Privacy Protocol is given in section 5 of the present disclosure as a specific embodiment for this invention.
4. Brève présentation des dessins 4. Brief presentation of the drawings
La Fig. 1 montre le modèle général d'un Protocole à Confidentialité Parfaite basé sur le Hasard Profond, dans lequel chaque EA impliquée dans le protocole (désignées par A et β), dispose d'un GHP fonctionnant en continu, et d'un MCI. Les MCI de A et de B sont connectés par un canal de communication public, sans erreur, sur lequel une EA (dite « adversaire ») est supposée avoir un accès total en lecture. Fig. Figure 1 shows the general model of a Deep Hazard-based Perfect Privacy Protocol, in which each EA involved in the protocol (designated A and β), has a continuous GHP, and an MCI. The MCIs of A and B are connected by an error-free public communication channel on which an EA (called "adversary") is assumed to have full read access.
La Fig. 2 montre le mode de réalisation spécifique d'un Protocole à Confidentialité Parfaire basé sur le Hasard Profond (correspondant à la section 5) avec les interactions successives exécutées entre les EA impliquées dans le protocole (désignées par A et B). Chacune de ces interactions est décrite dans la section 5. Fig. Figure 2 shows the specific embodiment of a Deep Hazard-Based Parfisk Protocol (corresponding to Section 5) with the successive interactions performed between the EAs involved in the protocol (referred to as A and B). Each of these interactions is described in section 5.
La Fig. 3 montre un modèle de collaboration entre 2 Générateurs de Hasard Profond, dans lequel une ou plusieurs EA de niveau 1 (désignées par A. x, A. y) peuvent transmettre de manière sécurisée les paramètres de leur distribution de probablité à Hasard Profond à une EA de niveau 2 (désignée par B). B peut alors combiner ces sources potentiellement ensemble et / ou avec les siennes propres, pour générer de nouvelles sources de Hasard Profond. Fig. Figure 3 shows a collaboration model between 2 Deep Random Generators, in which one or more Level 1 EAs (denoted by A. x, A. y) can securely transmit the parameters of their Probablity distribution to Deep Random at a given time. Level 2 EA (designated B). B can then combine these sources potentially together and / or with his own, to generate new sources of Deep Hazard.
La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs. Le GHP est implémenté dans un environnement physique résistant aux intrusions informatiques ou électromagnétiques et est logiquement constitué de 4 sous- modules : le Générateur Récursif Interne de Hasard Profond (GRIHP), le Générateur Interne de Hasard Standard, la Mémoire Interne, et l'Interface de Communication, qui est le seul des 4 sous-modules à pouvoir communiquer avec l'environnement extérieur. Fig. 4 shows a Deep Random Generator operating with the recursive continuous generation method, schematized in the form of a block diagram. The GHP is implemented in a physical environment resistant to computer or electromagnetic intrusions and logically consists of 4 sub-modules: the Internal Recursive Generator Deep Random (GRIHP), the Internal Standard Random Generator, the Internal Memory, and the Interface Communication, which is the only one of the 4 sub-modules that can communicate with the external environment.
5. Description d'un mode de réalisation spécifique i) Description d'un mode de réalisation spécifique d'un Générateur de Hasard Profond 5. Description of a specific embodiment i) Description of a specific embodiment of a Deep Random Generator
Le mode de réalisation spécifique présenté dans cette section correspond à avec la méthode de génération continue récursive, comme décrit dans la section 3. (i) 2), associée à une méthode par combinaison, comme décrit dans la section 3. (i) 3). Il
peut être implémenté sous forme logicielle ou dans un dispositif matériel résistant aux intrusions informatiques ou électromagnétiques. The specific embodiment presented in this section corresponds to the recursive continuous generation method, as described in section 3. (i) 2), associated with a combination method, as described in section 3. (i) 3 ). he can be implemented in software form or in a hardware device resistant to computer or electromagnetic intrusions.
La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs. Le GHP est logiquement constitué de 4 sous-modules : Fig. 4 shows a Deep Random Generator operating with the recursive continuous generation method, schematized in the form of a block diagram. The GHP logically consists of 4 sub-modules:
• le Générateur Récursif Interne de Hasard Profond (GRIHP), qui produit [Fig4-400] une suite continue et récursive de distributions de probabilité et est capable de mettre à disposition, sur sollicitation de l'Interface de Communication [Fig4-420] une épreuve obtenue à partir de la valeur courante de la suite de distributions de probabilité • The Internal Recursive Generator of Deep Hazard (GRIHP), which produces [Fig4-400] a continuous and recursive sequence of probability distributions and is able to make available, on request of the Communication Interface [Fig4-420] a proof obtained from the current value of the sequence of probability distributions
• le Générateur Interne de Hasard Standard, qui produit et met à disposition sur sollicitation de l'Interface de Communication [Fig4-430] une épreuve à partir d'une distribution de probabilité connue ; cette distribution de probablité peut nécessiter un paramètre d'entrée tel que par exemple le signal de sortie du GRIHP (auquel cas il génère une variable aléatoire engendrée par la distribution de probablité à Hasard Profond) • the Internal Hazard Generator Standard, which produces and makes available on request of the Communication Interface [Fig4-430] a proof from a known probability distribution; this probability distribution may require an input parameter such as, for example, the output signal of the GRIHP (in which case it generates a random variable generated by the Probablity distribution at Deep Hazard)
• l'Interface de Communication, qui permet de recevoir un ordre d'un MCI associé au GHP, et de donner un signal de sortie en retour [Fig4-410, 411, 412] • the Communication Interface, which allows to receive an order of a MCI associated with the GHP, and to give an output signal in return [Fig4-410, 411, 412]
· la Mémoire Interne, qui permet à l'Interface de Communication de stocker, retrouver ou effacer [Fig4-440, 441, 442] un signal de sortie du GRIHP.· Internal Memory, which allows the Communication Interface to store, retrieve or erase [Fig4-440, 441, 442] an output signal from the GRIHP.
Dans la suite de cette section 5.i), on présente plus particulièrement un exemple de GRIHP. In the remainder of this section 5.i), an example of GRIHP is presented more particularly.
On définit les notations suivantes; considérant x— (xlt ... , xn) et y = (y1( ... , yn) des vecteurs de paramètres de [0,l]n et i— ... , in) et = (Ji, - ,jn) des vecteurs d'épreuve de {0,l}n, l,r £ deux entiers, et Θ G [0,1], on définit : The following notations are defined; considering x- (x lt ..., x n ) and y = (y 1 ( ..., y n ) vectors of parameters of [0, l] n and i- ..., i n ) and = (Ji, -, jn) test vectors of {0, l} n , l, r, two integers, and Θ G [0,1], we define:
x. y (resp. i.j) le produit scalaire de x et y (resp. i et j)
x. y (resp, ij) the scalar product of x and y (respectively i and j)
On manipulera également des opérateurs de permutation sur les vecteurs. Pour σ G Sn, on écrit supp(a) = ker(cr— idSn) = {i, σ(ί)≠ i] et |σ| = card(supp(a)). La permutation de vecteur correspond à l'application linéaire suivante : We will also manipulate permutation operators on the vectors. For σ GS n , we write supp (a) = ker (cr-id Sn ) = {i, σ (ί) ≠ i] and | σ | = card (supp (a)). The vector permutation corresponds to the following linear application:
\ σ G Qn, σ(χ) = (*σ ΐ), ... , χσ(η)) où Qn représente le groupe symétrique\ σ GQ n , σ (χ) = (* σ ΐ) , ..., χ σ (η) ) where Q n represents the symmetric group
Φ, Φτη désignent des distributions de probabilité à valeurs dans [0,1]η· Pour une telle distribution Φ, Φ ° σ désigne une autre distribution à valeurs dans [0,l]n telle que : Φ, Φ τη denote probability distributions with values in [0,1] η · For such a distribution Φ, Φ ° σ is another distribution with values in [0, l] n such that:
Probtp aCx = Prob<t>(a 1( ))
La matrice quadratique d'une telle distribution Φ est : Probtp aCx = Prob < t > (a 1 ()) The quadratic matrix of such a distribution Φ is:
ΜΛ χ η χ νΦ(χ)άχ Μ Λ χ η χ ν Φ (χ) άχ
Sn désigne l'ensemble des sous-ensembles / de {1, ...,n] de taille n/2 ; on définit Il■ Il c, appelée la norme-c, par : S n denotes the set of subsets / of {1, ..., n] of size n / 2; we define Il ■ Il c , called the norm-c, by:
V/ G 5η,ί;(Μφ) = Τ M<t>(u>v ; ||Μφ||ε = max|C/(M )| V / G 5 η , ί; (Μ φ ) = Τ M <t> ( u >v; || Μ φ || ε = max | C / (M) |
ηΔ L-i _ i€Sn η Δ Li _ i € S n
u.v&lxl uv & lxl
A chaque distribution de matrice quadratique Μφ est associée la matrice φ définie par : Φ Η→¾ =™Φ|: joùmφ =~—^∑u≠vM(u,v) On notera dans la suite : To each quadratic matrix distribution Μ φ is associated the matrix φ defined by: Φ Η → ¾ = ™ Φ |: joùm φ = ~ - ^ Σ u ≠ v M (u, v) We will note in the following:
<ω,Φ,Φ')^[(ωυ-¾2]φφ, <ω,Φ> ê, (ω,Φ,Φ)
< ω , Φ, Φ ') ^ [( ωυ -¾ 2 ] φφ , <ω, Φ> ê, (ω, Φ, Φ)
où ω désigne toute stratégie de l'adversaire, dépendant des informations publiques i,j (cet ensemble de stratégies possibles est noté Ω), pour estimer le plus précisément possible la quantité i,j sont des vecteurs d'épreuves de {0,l}n générés par une distribution de Bernoulli à x y where ω denotes any strategy of the adversary, depending on the public information i, j (this set of possible strategies is denoted by Ω), to estimate as precisely as possible the quantity i, j are vectors of proofs of {0, l } n generated by a Bernoulli distribution at xy
partir respectivément des vecteurs de paramètres La transformation (x, y) ·→ (-,-) est la Dégradation (comme introduite au 3.(ii)) utilisée pour le présent mode de réalisation, à la fois pour le GHP et le Protocole à Confidentialité Parfaite décrit ci- après en section 5.ii). The transformation (x, y) · → (-, -) is the Degradation (as introduced in 3. (ii)) used for the present embodiment, for both the GHP and the Protocol. to Perfect Confidentiality described below in section 5.ii).
Enfin, on note : Finally, we note:
Protocole à Confidentialité Parfaire présenté ci-après, ((a) correspond à l'ensemble des distributions qui sont « loin » d'être symétriques. Seules de telles distributions
peuvent être considérées dans le Protocole à Confidentialité Parfaite présenté ci- après pour être capable d'assurer l'efficacité de l'étape de Synchronisation (Etape 4). Parfied Confidentiality Protocol presented hereafter, ((a) corresponds to all distributions that are "far" from being symmetrical. can be considered in the Perfect Privacy Protocol presented below to be able to ensure the effectiveness of the Synchronization step (Step 4).
Ayant défini ces notations, il est maintenant possible de décrire précisément le processus de construction de la suite récursive de distributions {Φ[ρ]τη}ρε¾,ηιεΝ exécuté par le GRIHP du GHP objet du présent mode de réalisation de GHP, appelé dans la suite GHP(iV, n, k) : Having defined these notations, it is now possible to describe precisely the process of construction of the recursive sequence of distributions {Φ [ρ] τη} ρε¾, ηι ε Ν executed by the GRIHP of the GHP object of the present embodiment of GHP, called in the following GHP (iV, n, k):
Processus de Génération Récursive Unitaire : Unit Recursive Generation Process:
L'ensemble des matrices quadratiques de distributions possibles (en supposant Φ restreinte à l'ensemble des distributions à valeurs dans {0,l}n) est l'enveloppe convexe de toutes les matrices de l'ensemble : The set of quadratic matrices of possible distributions (assuming Φ restricted to the set of distributions with values in {0, l} n ) is the convex envelope of all matrices in the set:
{a(Sr) \a e en) r e Mn} {a (S r ) \ ae n) re M n }
{1 si 1 * 7" 6t V < T {1 if 1 * 7 "6t V <T
„ . qui correspond à la matrice quadratique de la " which corresponds to the quadratic matrix of the
0 sinon 0 otherwise
distribution de Dirac pour le vecteur {1, lr, 0, ... ,0}. Dirac distribution for the vector {1, l r , 0, ..., 0}.
Il est facile de calculer que, pour tout r pas trop proche de 0 ou 1 : It is easy to calculate that for all r not too close to 0 or 1:
et donc de déterminer si une distribution de Dirac δχ e ζ(α). and thus to determine if a distribution of Dirac δ χ e ζ (α).
L'amorce initiale Φ0 du processus est choisie parmi tout sous-ensemble prédéfini de ζ(α) qui puisse être parcouru algorithmiquement. Dans le présent mode de réalisation, on considère par exemple le sous-ensemble des combinaisons linéaires convexes des distributions qui restent dans ζ μ). σ. = IdSn Φι = Φο ° σι The initial primer Φ 0 of the process is chosen from any predefined subset of ζ (α) that can be traversed algorithmically. In this embodiment, for example, the subset of the convex linear combinations of the distributions that remain in ζ μ) is considered. σ. = Sn Id Φι = Φο ° σ ι
tom réalise le minium :
to m realizes the minium:
où { m<s} ^ est appelée fonction caractéristique du GHP, qui vérifie Àm s > 0, etwhere { m <s } ^ is called the GHP characteristic function, which checks at ms > 0, and
∑m T _ Λ . Σm T _ Λ.
s=l Λπι,ε ~ ± '
Ψ est choisie au hasard dans le sous-ensemble initial, et il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'il est possible de choisir m+1 telle que : s = l Λπι, ε ~ ± ' Ψ is chosen at random from the initial subset, and it can be proved (the details are complex and are not presented in this description) that it is possible to choose m + 1 such that:
<ώιη, ψ ο στιι+1> > <ώ ιη , ψ ο σ τιι + 1 >>
n not
On détermine alors m+1 par :
We then determine m + 1 by:
cûm et om+1 peuvent être ainsi déterminés (en utilisant également du hasard classique pour Ψ et om+1) à chaque étape par le GRIHP. cu m o and m + 1 may be thus determined (also using the random vector for Ψ o and m + 1) at each stage by the GRIHP.
On peut également utiliser une méthode pour combiner les distributions dans ζ(α) : Processus de Combinaison Interne : One can also use a method to combine the distributions in ζ (α): Internal Combination Process:
On commence par sélectionner Ψ dans ζ( ), et un ensemble {Ψ5}ΪΕ{Ι,...,Ν} de distributions « à combiner », toutes également dans ζ(α). Soit as une permutation telle que Δ0(Ψ, Ψ5 o as)≥ (^— < (^j , il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'une telle permutation existe toujours. De ce fait,
We start by selecting Ψ in ζ (), and a set {Ψ 5 } ΪΕ {Ι, ..., Ν} of distributions "to combine", all also in ζ (α). Let a s be a permutation such that Δ 0 (Ψ, Ψ 5 oa s ) ≥ (^ - <(^ j, it can be proved (the details are complex and are not presented in this description) that such a permutation exists therefore,
et la distribution combinée est alors : Φ— ∑^=1 Ψ5 ° rs. L'association du Processus de Génération Récursive Unitaire et du Processus de Combinaison Interne présentés plus haut donne la description suivante du GRIHP de GHP(N, n, k) (comme représenté en [Fig4-400]) : and the combined distribution is then: Φ- Σ ^ = 1 Ψ 5 ° r s . The association of the Unit Recursive Generation Process and the Internal Combination Process presented above gives the following description of the GHP GRIHP (N, n, k) (as represented in [Fig4-400]):
L'EA exécute un processus de génération continu et récursif dans lequel N suites continues {Φ[ρ]τη}ρερ¾,77ΐεΝ progressent en parallèle en suivant chacune un Processus de Génération Récursive Unitaire tel que présenté ci-dessus. Il peut également être décidé (sur décision aléatoire) de mettre à jour la valeur courante d'une suite donnée par une combinaison des valeurs courantes des suites en utilisant le Processus de Combinaison Interne tel que présenté ci-dessus. La qualité du Hasard Profond dépend de la- variété du sous-ensemble initial ainsi que du nombre grandissant d'itérations exécutés sur chaque suite. Le GRIHP devrait exécuter au moins n x N itérations avant de commencer à recevoir des requêtes d'un MCI. N devrait être approximativement de l'ordre de ln(n!)~nln(n), qui représente l'entropie nécessaire pour encoder un élément de l'ensemble des permutations Sn.
Au moment où un MCI sollicite la sélection d'une distribution auprès du GHP (comme représenté en [Fig4-410]), un traitement supplémentaire est réalisé pour la sélection de la distribution par l'Interface de Communication (comme représenté en [Fig4-420]) : l'Interface de Communication choisit aléatoirement ([Fig4-430]) un entier c parmi {1, ... , N] ; la probabilité de choisir c est de N /c(c + l)(iV + 1) ; de telle manière qu'ainsi la distribution de probabilité de 1/c est équirépartie sur [0,1]. L'EA sélectionne ensuite aléatoirement c suites parmi N ([Fig4-430]) et établit sa distributionThe EA executes a continuous and recursive generation process in which N continuous continuations {Φ [ρ] τη} ρερ¾, 77ΐεΝ progress in parallel each by following a Unit Recursive Generation Process as presented above. It may also be decided (randomly decided) to update the current value of a given sequence by a combination of the current values of the suites using the Internal Combination Process as presented above. The quality of the Deep Random depends on the variety of the initial subset as well as the growing number of iterations executed on each sequence. The GRIHP should execute at least nx N iterations before starting to receive requests from an MCI. N should be approximately of the order of ln (n!) ~ Nln (n), which represents the entropy necessary to encode an element of the set of permutations S n . At the moment when an MCI requests the selection of a distribution from the GHP (as represented in [Fig4-410]), an additional processing is carried out for the selection of the distribution by the Communication Interface (as represented in [FIG. 420]): the Communication Interface randomly chooses ([Fig4-430]) an integer c among {1, ..., N]; the probability of choosing c is N / c (c + 1) (iV + 1); so that the probability distribution of 1 / c is evenly distributed over [0,1]. The EA then randomly selects c suites from N ([Fig4-430]) and establishes its distribution
Φ comme la combinaison linéaire ~∑r=i Φ[ τ·]ηιΓ(£) ; ou t désigne l'instant d'exécution du processus, [p1, ... , pr] désignent les indices des c suites sélectionnées, mr(t) désigne la valeur courante du compteur de la suite Φ [ρΓ] à l'instant de l'exécution. La justification de ce traitement supplémentaire est que la distribution finalement choisie doit appartenir à un ensemble quasi convexe, et donc doit aussi avoir son paramètre-a dans un segment convexe. En effet, l'étape de Dispersion (Etape 2) du Protocole àΦ as the linear combination ~ Σr = i Φ [τ ·] ηι Γ ( £ ); or t denotes the execution time of the process, [p 1 , ..., p r ] denote the indices of the selected c suites, m r (t) denotes the current value of the counter of the sequence Φ [ρ Γ ] at the moment of execution. The justification for this additional processing is that the finally chosen distribution must belong to a quasi-convex set, and therefore must also have its parameter-a in a convex segment. Indeed, the Dispersion step (Step 2) of the Protocol to
Confidentialité Parfaite présenté ci-après utilise la transformation convexe Φ >→ i Perfect Privacy presented below uses the convex transformation Φ> → i
- (Φ + Ψ), et cette transformation diminue la valeur du paramètre-a ; de manière générale une transformation linéaire convexe avec c distributions sommées diminue la valeur du paramètre-α d'une constante multiplicative de l'ordre de 1/c. Bien sûr, même si ce processus permet alors de pouvoir appliquer de manière effective les hypothèses (H) et ( /') présentée dans l'exposé de l'invention, le prix à payer est qu'il introduit l'apparition d'occurrences à faible probablité pour lesquelles l'adversaire peut estimer efficacement l'information secrète partagée avec la stratégie séparable ω = -^j^ car, en diminuant la valeur du paramètre-a, on obtient une distribution qui se rapproche d'une distribution symétrique. Ces occurrences à faible probabilité correspondent donc aux cas de plus grandes valeurs de c, ce qui correspond également aux plus faibles valeurs du paramètre-a. - (Φ + Ψ), and this transformation decreases the value of the -a parameter; in general, a convex linear transformation with c summed distributions decreases the value of the parameter-α by a multiplicative constant of the order of 1 / c. Of course, even if this process then makes it possible to be able to effectively apply the hypotheses (H) and (/ ') presented in the description of the invention, the price to be paid is that it introduces the appearance of occurrences low probablity for which the adversary can effectively estimate the secret information shared with separable strategy ω = - ^ j ^ because, by decreasing the value of the parameter-a, we obtain a distribution that is close to a symmetric distribution. These low probability occurrences therefore correspond to the case of larger values of c, which also corresponds to the lower values of the -a parameter.
Enfin, la distribution choisie Φ est également transformée (toujours dans le cadre de l'interaction [Fig4-420]) par une transformation dite de « lissage permutatif » :
Finally, the chosen distribution Φ is also transformed (always in the context of the interaction [Fig4-420]) by a transformation called "permutative smoothing":
où y, appelé noyau de lissage permutatif, est une fonction de → [0,1] (remarquez qu'il est impossible que \σ\ = 1 et donc la composante d'indice 1 peut être ignorée) qui vérifie :
where y, called the permutative smoothing nucleus, is a function of → [0,1] (note that it is impossible that \ σ \ = 1 and thus the index component 1 can be ignored) which verifies:
Cette transformation finale est nécessaire pour « adoucir » les distributions de Dirac, et éviter des biais spécifiques à certaines distributions à variation trop rapide (les détails techniques sont trop complexes pour être présentés dans cette description). Le noyau de lissage permutatif y est choisi comme un paramètre fixe du GHP.
Sans rentrer dans la justification théorique complète qui dépasse le cadre de cette description, l'explication du choix de conception du Processus de Génération Récursive Unitaire dans le cadre du mode de réalisation spécifique GHP(N, n, k) est la suivante : This final transformation is necessary to "soften"Dirac's distributions, and to avoid specific biases in certain fast-changing distributions (the technical details are too complex to be presented in this description). The permutative smoothing core is chosen as a fixed GHP parameter. Without going into the complete theoretical justification that goes beyond the scope of this description, the explanation of the design choice of the Unit Recursive Generation Process in the context of the specific embodiment GHP (N, n, k) is as follows:
Avec un compteur inifïni s'incrémentant de manière isolée et sécurisée au sein du GRIHP, les instants m et m + 1 sont non distinguables pour l'adversaire ξ. Si un ensemble Hm de stratégies permettant une estimation précise de l'information secrète partagée existait à l'instant m our ξ , alors pour toute distribution Φ :
With an unified counter incrementing in isolation and secure within the GRIHP, the moments m and m + 1 are indistinguishable for the opponent ξ. If a set H m of strategies allowing an accurate estimation of the shared secret information existed at the instant time, then for any distribution Φ:
et donc, en choisissant à l'instant m + 1 la distribution ,η+ι telle que :
and thus, by choosing at the moment m + 1 the distribution, η + ι such that:
(ce qui est toujours possible comme expliqué ci-avant) ΓΕΑ guarantit que, pourvu que ^ « C, aucune stratégie absolue n'existe pour estimer de manière précise à tout x y . (which is always possible as explained above) ΓΕΑ guarant that, provided that ^ C, no absolute strategy exists to accurately estimate all x y.
instant l'information secrète partagée -^, car les instants d'observation ne peuvent être distingués par l'adversaire comme étant plutôt m ou m + 1. instant the secret information shared - ^, because the observation instants can not be distinguished by the adversary as being rather m or m + 1.
x j i y x j i y
Et d'autre part, en notant VA— VB— où x, y correspondraient à des épreuves indépendantes suivant la même distribution peut calculer que :
And on the other hand, noting V A - V B - where x, y would correspond to independent proofs according to the same distribution can calculate that:
Ce processus génère donc en effet du Hasard Profond car, sinon, l'adversaire serait This process therefore generates Deep Hazard because, otherwise, the opponent would
. x y capable par inférence bayesienne d'estimer l'information secrète partagée -j— à partir des informations publiques i,j avec une précision égale ou supérieure à celle de VA ou de VB. . xy capable by Bayesian inference of estimating shared secret information -j- from public information i, j with a precision equal to or greater than that of V A or V B.
ii) Description d'un mode de réalisation spécifique de Protocole à Confidentialité Parfaite ii) Description of a specific embodiment of the Perfect Privacy Protocol
La Fig 2. montre un mode de réalisation spécifique d'un Protocole à Confidentialité Parfaite noté Ρ(λ, Θ, Ν, n, k) à l'aide d'un diagramme de blocs, où (A, θ, N, n, k) sont des paramètres publics du protocole, dont les correspondants légitimes sont notés A et fi.
A et B sont deux EA équipées chacune d'un GHP et d'un MCI. Les 2 MCI sont connectés par un canal de communication public et sans erreur, de telle manière que A et B peuvent publier de l'information sur le canal et y lire de l'information publiée par l'autre partie. Fig. 2 shows a specific embodiment of a Perfect Privacy Protocol noted Ρ (λ, Θ, Ν, n, k) using a block diagram, where (A, θ, N, n , k) are public parameters of the protocol, whose legitimate correspondents are denoted by A and fi. A and B are two EAs each equipped with a GHP and an MCI. The 2 MCIs are connected by a public and error-free communication channel, so that A and B can publish information on the channel and read information published by the other party.
5 Les étapes du protocole Τ(λ, θ, N, n, k) sont les suivantes : The steps of the protocol Τ (λ, θ, N, n, k) are as follows:
Etape 1 - Génération de Hasard Profond : Step 1 - Generation of Deep Hazard:
A et B exécutent chacun de manière indépendante un processus de génération continue et récursive de distributions de probabilité à Hasard Profond [Fig2-200] en utilisant typiquement un générateur GHP(N, n, k) tel que décrit ci-avant dans la A and B each independently perform a process of continuous and recursive generation of deep random probability distributions [Fig2-200] typically using a GHP generator (N, n, k) as described hereinabove in FIG.
10 sous-section 5.i). A et B désirent entrer en communication sécurisée et démarrent le protocole en choisissant chacun de manière indépendante une distribution de probabilité, respectivement Φ et Φ' en sollicitant leur GHP( , n, /c) comme représenté en [Fig2-210&211&213&214, Fig4-410&420]. Le résultat de cette étape est que A (resp. B) génère aléatoirement le vecteur de paramètre x0 G [0,1]" à partir10 subsection 5.i). A and B wish to enter into secure communication and start the protocol by independently choosing a probability distribution, respectively Φ and Φ 'by soliciting their GHP (, n, / c) as represented in [Fig2-210 & 211 & 213 & 214, Fig4-410 & 420 ]. The result of this step is that A (resp.B) randomly generates the parameter vector x 0 G [0,1] "from
15 de Φ (resp. y0 £ [0,1]" à partir de Φ'), et stocke x0 (resp. y0) dans la mémoire interne de son GHP comme représenté en [Fig4-440]. 15 of Φ (respectively y 0 [[0,1] "from Φ '), and stores x 0 (or y 0 ) in the internal memory of its GHP as shown in [Fig4-440].
Etape 2 - Dispersion : Step 2 - Dispersion:
A choisit également une seconde distribution Ψ toujours en solliciatnt son GHP(N, n, k) comme représenté en [Fig2-210&211&213&214]. Ψ est utilisée pour A also chooses a second distribution Ψ always requesting its GHP (N, n, k) as represented in [Fig2-210 & 211 & 213 & 214]. Ψ is used to
20 « brouiller » les épreuves répétées à partir de Φ. A sollicite encore son GHP(N, n, k) pour générer aléatoirement N vecteurs de paramètres {xlr ... , xN} G {[0,l]n}w à partir de la distribution combinée ^ (Φ + Ψ). B génère aléatoirement N vecteurs de paramètres {yll ... , yN) G {[0,1]"}^ à partir de Φ'. A (resp. B) stocke {χΐΊ ...; ΧΝ} (resp. {y1, ... , yw}) dans la mémoire interne de son GHP comme représenté en [Fig4-20 "scramble" the repeated tests from Φ. A further solicits its GHP (N, n, k) to randomly generate N parameter vectors {x lr ..., x N } G {[0, l] n } w from the combined distribution ^ (Φ + Ψ ). B randomly generates N parameter vectors {y ll ..., y N ) G {[0,1] "} ^ from Φ '. A (resp. B) stores {χ ΐΊ ...; Χ Ν } (resp. {y 1 , ..., yw}) in the internal memory of its GHP as represented in [Fig4-
25 440]. 440].
Etape 3 - Dégradation : Step 3 - Degradation:
A génère N + 1 vecteurs d'épreuves de Bernoulli {i0, ... , iN]€ {{0,l}n}N+1 respectivement à partir des vecteurs de paramètres —z ~j~j comme représenté enA generates N + 1 Bernoulli proof vectors {i 0 , ..., i N ] € {{0, l} n } N + 1 respectively from the parameter vectors -z ~ j ~ j as represented in
[Fig2-210&211, Fig4-430&441]. A publie {i0l ... , iN} comme représenté en [Fig2- 30 220]. [Fig2-210 & 211, Fig4-430 & 441]. A publishes {i 0l ..., i N } as shown in [FIG. 2-220].
Etape 4 - Synchronisation : Step 4 - Synchronization:
B lit {i0, ... , iN} sur le canal public comme représenté en [Fig2-221] et calcule une permutation de synchronisation σβ = σβ [{ί5}*, { s}*]s6M^ G Sn qui satisfasse la condition :
puis génère un vecteur d'épreuves de Bernoulli j0 G {0,l}n à partir de— ^2-. B publie y' 0 comme représenté en [Fig2-230&231&232&240]. B read {i 0 , ..., i N } on the public channel as represented in [Fig2-221] and calculate a synchronization permutation σ β = σ β [{ί 5 } * , { s } * ] s6M ^ GS n that satisfies the condition: then generates a proof vector of Bernoulli j 0 G {0, l} n from ^ 2 -. B publishes y ' 0 as represented in [Fig2-230 & 231 & 232 & 240].
Etape 5 - Distillation d'Avantage : Step 5 - Advantage Distillation:
A lit o sur la canal public comme représenté en [Fig2-241] et calcule VA = comme représenté en [Fig2-253&254&255, Fig4-412&441&442], B calcule VB = ^ comme représenté en [Fig2-250&251&252, Fig4-412&441&442] A lit o on the public canal as represented in [Fig2-241] and calculates V A = as represented in [Fig2-253 & 254 & 255, Fig4-412 & 441 & 442], B calculates V B = ^ as represented in [Fig2-250 & 251 & 252, Fig4-412 & 441 & 442 ]
Etape 6 - Réconciliation et Amplification de Confidentialité : Step 6 - Reconciliation and Amplification of Privacy:
Enfin, un processus classique de Réconciliation et d'Amplification de Confidentialité [4] permet d'obtenir à la fois une précision aussi proche que souhaité de la perfection pour les correspondants légitimes, et une connaissance de l'information secrète aussi proche que souhaité du néant pour tout adversaire doté de puissances de calcul et de stockage illimitées. Finally, a classic process of Reconciliation and Amplification of Confidentiality [4] provides both a precision as close as desired to perfection for legitimate correspondents, and a knowledge of secret information as close as desired to the nil for any opponent with unlimited computing and storage powers.
Il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'un choix approprié des paramètres (λ, θ, N, n, k) permet de rendre possible les étapes 4 et 6 sous les hyporthèses du Hasard Profond (H) et (//'), ce qui constitue le cœur de la présente invention. Nous donnons toutefois maintenant quelques explications. L'utilisation du Hasard Profond telle que décrite aux étapes 1 et 2 permet de restreindre l'ensemble des stratégies de l'adversaire comme suit : · L'étape de Dispersion du protocole permet de restreindre une première fois l'ensemble des stratégies de l'adversaire aux stratégies ( j0ii0 ne dépendant que des informations publiques j0, iQ It can be proved (the details are complex and are not presented in this description) that an appropriate choice of the parameters (λ, θ, N, n, k) makes it possible to make the steps 4 and 6 under the hybreneses of the hazard Deep (H) and (// '), which constitutes the heart of the present invention. However, we now give some explanations. The use of the Deep Hazard as described in steps 1 and 2 allows to restrict the set of strategies of the adversary as follows: · The stage of Dispersion of the protocol makes it possible to restrict a first time all the strategies of the opponent. opponent to strategies (j 0i i 0 depends only on public information j 0 , i Q
• L'étape de Synchronisation conduit à restreindre une seconde fois l'ensemble des stratégies de l'adversaire à l'ensemble des stratégies telles que ωέ = ωσ(; σ(; , Va G Qn, autrement dit l'ensemble des stratégies invariantes par permutation commune sur i0,;0. • The Synchronization step leads to restrict a second time the set of strategies of the opponent to the set of strategies such that ω έ = ω σ ( ; σ ( ;, Va GQ n , in other words all invariant strategies by common permutation on i 0 ,; 0 .
Ces deux restrictions conduisant finalement à l'ensemble des stratégies restreint Ω# : Ω# = [ω G [0,1]22η ; = Vf Nn 3 [0,1]}These two restrictions ultimately leading to the set of restricted strategies Ω # : Ω # = [ω G [0,1] 22η ; = Vf N n 3 [0,1]
L'étape 4 est nécessaire pour garantir que l'adversaire ne peut pas tirer avantage de l'indépendance entre les processus de sélection de Φ et Φ' par A et B, ce qui pourrait lui permettre d'estimer efficacement ^ en utilisant la stratégie séparable fc^°^Jo^.Step 4 is necessary to ensure that the adversary can not take advantage of the independence between the selection processes of Φ and Φ by A and B, which could enable him to estimate efficiently using the strategy. separable fc ^ ° ^ Jo ^.
Grâce à l'étape de synchronisation, une telle stratégie devient inefficace, du fait de la nature de l'amorce initiale Φ0 utilisée dans le GHP(iV, n, k). Les tirages aléatoires répétés à partir de Φ sont utilisés pour « synchroniser » Φ et Φ', mais ne peuvent pas
être utilisés par l'adversaire ξ pour obtenir une connaissance accrue de la distribution Φ. C'est le rôle de l'étape de Dispersion 3. Thanks to the synchronization step, such a strategy becomes ineffective, because of the nature of the initial primer Φ 0 used in the GHP (iV, n, k). Repeated random draws from Φ are used to "synchronize" Φ and Φ ', but can not be used by the opponent ξ to gain an increased knowledge of the distribution Φ. This is the role of the Dispersion 3 step.
Il est important de remarquer que le calcul de la permutation de synchronisation σΒ — <¾[0s}*> {)¾}*] à l'étape 4 ne dépend que des indices s £ NN * , donc excluant 0. En effet, le choix de σΒ doit demeurer indépendant de i0, de telle sorte que i0 et j0 demeurent des épreuves indépendantes de variables de Bernoulli, permettant ainsi d'appliquer la majoration (E) pour les correspondants légitimes. It is important to note that the calculation of the synchronization permutation σ Β - < ¾ [0 s] * > {) ¾} * ] in step 4 depends only on the indices s £ N N * , thus excluding 0. Indeed, the choice of σ Β must remain independent of i 0 , so that i 0 and j 0 remain independent tests of Bernoulli variables, thus making it possible to apply the increase (E) for the legitimate correspondents.
L'explication pour ce mode de réalisation spécifique est la suivante : il peut être prouvé que (les détails sont complexes et ne sont pas présentés dans cette description), quelle que soit la stratégie de l'adversaire ω dans l'ensemble restreint Ω(( :
The explanation for this specific embodiment is as follows: it can be proved that (the details are complex and are not presented in this description), whatever the strategy of the opponent ω in the restricted set Ω ( ( :
où C' est une constante. Et d'autre part, on a toujours :
where C 'is a constant. And on the other hand, we always have:
et donc, pourvu que - « C', une Distillation d'Avantage est obtenue à l'étape 5. and therefore, provided that - "C", an Advantage Distillation is obtained in step 5.
Il est également obtenu par l'analyse théorique du protocole que N doit encore être de l'ordre de ln(n!)~nln(n), pour avoir une probabilité satisfaisante de satisfaire à la consdition de synchronisation de l'étape 4 avec le choix σΒ. It is also obtained by the theoretical analysis of the protocol that N must still be of the order of ln (n!) ~ Nln (n), to have a satisfactory probability of satisfying the synchronization requirement of step 4 with the choice σ Β .
6. Applications industrielles 6. Industrial applications
Une réalisation industrielle d'un Protocole à Confidentialité Parfaite permet à deux entités communiquant au travers d'un canal de communication non sûr, de générer une information secrète partagée. Cette information, qui peut être d'une longueur en bits aussi grande que souhaité (en répétant par exemple le protocole de manière séquentielle) peut être utilisée soit pour échanger directement de manière parfaitement sure un message signifiant entre les correspondants légitimes, (en utilisant l'information secrète comme masque jetable combinée par XOR au message signifiant), soit pour échanger une clé de chiffrement partagée utilisable avec un algorithme de chiffrement par blocs ou un algorithme de chiffrement en continu. An industrial implementation of a Perfect Privacy Protocol allows two entities communicating through an unsafe communication channel to generate shared secret information. This information, which can be of a length in bits as large as desired (for example by repeating the protocol in a sequential manner) can be used either to exchange directly a perfectly secure message signifying between the legitimate correspondents, (using the secret information as a disposable mask XOR combined with the signifying message), or for exchanging a shared encryption key usable with a block cipher algorithm or a continuous encryption algorithm.
Elle peut donc être utilisée pour sécuriser des communications très sensibles, pour lesquelles des méthodes cryptographiques dont la sécurité n'est pas prouvée, ou n'est pas résistante à un adversaire doté d'une puissance de calcul importante, peuvent apparaître comme insuffisantes. Elle permet également de s'affranchir des processus non automatisés de distribution de clés partagées dans les équipements de
communication sécurisée ; ces processus étant difficiles à mettre en œuvre, coûteux et susceptibles de failles de sécurité. It can therefore be used to secure very sensitive communications, for which cryptographic methods whose security is not proven, or is not resistant to an adversary with a large computing power, may appear to be insufficient. It also eliminates non-automated shared key distribution processes in secure communication; these processes are difficult to implement, costly and susceptible to security breaches.
Une telle réalisation peut être faite sous forme de programme ou de librairie logiciels, pouvant être embarqués dans des équipement de communication ou intégrés dans des applications Γ. Elle peut également être faite sous forme d'un équipement de communication spécialement protégé, conçu pour être déployé en coupure, résistant aux intrusions informatiques et électromagnétiques.
Such an embodiment may be in the form of a program or software library, which can be embedded in communication equipment or integrated into applications Γ. It can also be made in the form of a specially protected communication equipment, designed to be deployed in cut, resistant to computer and electromagnetic intrusions.