FR2890269A1 - Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification - Google Patents

Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification Download PDF

Info

Publication number
FR2890269A1
FR2890269A1 FR0552653A FR0552653A FR2890269A1 FR 2890269 A1 FR2890269 A1 FR 2890269A1 FR 0552653 A FR0552653 A FR 0552653A FR 0552653 A FR0552653 A FR 0552653A FR 2890269 A1 FR2890269 A1 FR 2890269A1
Authority
FR
France
Prior art keywords
identifier
cryptogram
electronic object
function
authentication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0552653A
Other languages
English (en)
Inventor
Henri Gilbert
Olivier Billet
Come Berbain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0552653A priority Critical patent/FR2890269A1/fr
Priority to PCT/FR2006/050805 priority patent/WO2007026092A1/fr
Publication of FR2890269A1 publication Critical patent/FR2890269A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • Algebra (AREA)
  • Storage Device Security (AREA)

Abstract

Une entité d'authentification tel qu'un serveur (SA) génère un aléa et le transmet à un objet électronique tel qu'une étiquette électronique (E).Afin d'interdire une authentification anonyme et traçable rétroactivement de l'objet électronique, l'objet électronique (E) chiffre un nombre prédéterminé (N1d) au moyen d'une première fonction à sens unique (f), détermine un cryptogramme (X) à partir dudit identificateur (IS), du premier nombre chiffré et de l'aléa (R), et transmet le cryptogramme à l'entité d'authentification.L'entité d'authentification (SA) déchiffre le cryptogramme transmis par application d'une fonction de déchiffrement (h, ⊕) au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et cherche dans une base de données (BD) un identificateur égal audit identificateur déchiffré.

Description

Authentification anonyme et non traçable
rétroactivement d'un objet électronique par une entité d'authentification La présente invention est relative à l'authentification d'un objet électronique par une entité d'authentification. Plus particulièrement elle a trait à une authentification anonyme non traçable rétroactivement à partir d'un algorithme de cryptographie asymétrique d'un objet électronique par une entité d'authentification comme par exemple un serveur d'authentification.
Les objets électroniques sont selon une réalisation préférée de l'invention des étiquettes électroniques de type RFID (Radio Frequency IDentifier) comportant une mémoire de petite taille, un minimum de câblage et des éléments ne sollicitant que des opérations simples, le tout implanté dans un circuit intégré. Un objet électronique peut être également une carte à puce incluant un microcontrôleur présentant une faible capacité de calcul.
L'utilisation massive et croissante des étiquettes électroniques pose de nouveaux problèmes de sécurité. En particulier, elle soulève le problème de la protection de la vie privée des porteurs de ces étiquettes. La détection d'une étiquette par un lecteur ou un serveur peut se faire sans action particulière de l'utilisateur portant son étiquette, par exemple par simple proximité. Combinée à une interaction croissante entre les lecteurs et les serveurs, l'identification fréquente des étiquettes contribue à la constitution de bases de données qui servent à tracer les utilisations des étiquettes au détriment de l'anonymat des porteurs des étiquettes. Par exemple une étiquette électronique utilisée comme un passe électronique dans les transports en commun permet de tracer une partie du déplacement du porteur d'étiquette; selon un autre exemple, une étiquette électronique supportée par un vêtement permet de suivre le cheminement du vêtement et donc de tracer une partie du déplacement du porteur du vêtement.
Des procédés d'authentification basés sur un algorithme de cryptographie asymétrique sont connus dans le domaine des réseaux de télécommunication et se déclinent de la manière suivante en référence à la figure 1: lors d'une authentification d'une entité cliente de type étiquette électronique A auprès d'une entité d'authentification de type serveur B, l'étiquette A transmet son identité IA en clair au serveur B pour initialiser l'authentification. Le serveur B envoie un nombre aléatoire appelé aléa RA à l'étiquette A. L'étiquette A chiffre l'aléa RA par un algorithme de chiffrement utilisant une clé privée pour obtenir un cryptogramme C(RA) que l'étiquette envoie au serveur B. Le serveur vérifie l'exactitude du chiffrement en réalisant une opération inverse basée sur un algorithme de déchiffrement à clé publique pour déchiffrer le cryptogramme C(RA) en un aléa à comparer à l'aléa initial RA.
Il est possible à un attaquant se faisant passer pour le serveur B de connaître l'identité IA de l'étiquette A simplement en la lui demandant pendant l'initialisation d'une phase d'authentification.
L'attaquant peut relier des authentifications ultérieures de l'étiquette A en se faisant passer pour le serveur B et en proposant le même aléa RA.
Un attaquant est aussi capable de connaître l'étiquette A en analysant le comportement de l'étiquette déduit de réponses caractéristiques de l'étiquette à des entrées connues, telles que l'aléa RA, et de l'observation d'authentifications antérieures.
Ces inconvénients peuvent être surmontés en assurant l'anonymat d'une authentification d'une étiquette électronique dans un réseau de la façon suivante: l'étiquette électronique ne fournit pas son identité, mais envoie à l'entité d'authentification un cryptogramme calculé, entre autres, à partir d'une valeur de compteur d'authentification garantissant le non rejeu de l'authentification. Cependant, cette génération de cryptogramme expose encore l'étiquette à sa traçabilité rétroactive par un attaquant qui en possession de l'étiquette et accédant à son contenu est en mesure de corréler le contenu de l'étiquette avec des communications passées entre l'étiquette et des entités d'authentification.
Pour remédier à la traçabilité rétroactive, une étiquette électronique est authentifiée par un serveur dans lequel est mise en oeuvre une classe d'algorithmes de chiffrement stable par composition à clé publique dont la clé privée est connue du serveur. La stabilité par composition signifie que l'utilisation successive d'au moins deux algorithmes de cette classe équivaut à l'utilisation d'un algorithme de ladite classe. L'étiquette comporte un identificateur secret accessible également par le serveur. L'étiquette chiffre l'identificateur secret par itération de l'algorithme de cryptographie selon un compteur d'itération. L'étiquette chiffre ensuite un résultat retourné par une fonction bijective, ayant comme paramètres d'entrée un aléa émis par le serveur et une concaténation de l'identificateur secret chiffré et du nombre d'itérations. Le résultat est transmis au serveur qui le déchiffre par utilisation d'une fonction bijective inverse et de l'aléa pour extraire l'identificateur secret chiffré et le nombre d'itérations. Le serveur déchiffre ensuite l'identificateur secret par itération de l'algorithme de cryptographie inverse et vérifie l'exactitude du résultat avec l'identificateur secret mémorisé dans le serveur.
Le chiffrement dans l'étiquette de l'identificateur secret par itération d'un algorithme de cryptographie selon un compteur d'itération dont la valeur est modifiée à chaque chiffrement, interdit un tiers non autorisé s'emparant de l'étiquette et accédant à son contenu de déchiffrer l'identité secrète sans connaître la valeur du compteur d'itération.
Cependant l'utilisation d'une classe d'algorithmes de chiffrement stable par composition implique actuellement le choix de l'algorithme RSA (Rivest Shamir Adleman). Ce choix est relativement éloigné des contraintes d'implémentations dans des étiquettes de très petites tailles.
L'invention a pour objectif de s'affranchir de l'inconvénient précité en proposant une authentification anonyme et non traçable rétroactivement d'un objet électronique par une entité d'authentification. L'authentification recourt à un algorithme cryptographique asymétrique dont la relative simplicité facilite son implémentation dans des objets électroniques de petite taille.
Pour atteindre cet objectif, l'invention est dirigée vers un procédé pour authentifier un objet électronique, comme par exemple une étiquette électronique, par une entité d'authentification, comme par exemple un serveur. Un identificateur de l'objet électronique est mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d'authentification, et un aléa est généré par l'entité d'authentification et transmis à l'objet électronique. Le procédé est caractérisé en ce qu'il comprend les étapes suivantes de dans l'objet électronique, chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et transmettre le cryptogramme à l'entité d'authentification, et dans l'entité d'authentification, déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et chercher dans la base de données un identificateur égal audit identificateur déchiffré.
Selon l'invention, l'identificateur de l'objet électronique n'est jamais révélé au cours de l'authentification de l'objet électronique. Seule une entité d'authentification ayant préalablement mémorisé l'identificateur de l'objet électronique est capable de reconnaître celui-ci à l'étape de chercher l'identificateur dans la base de données. Par conséquent deux objets électroniques différents sont indiscernables par un tiers attaquant.
L'invention interdit toute reconnaissance de l'objet électronique par observation de valeurs caractéristiques reflétant le comportement de l'objet électronique.
Conformément à l'objectif de l'invention, même en possession de l'objet électronique, toute authentification traçable rétroactivement est impossible, et le tiers attaquant ne peut identifier les authentifications précédentes entre l'objet électronique et n'importe quelle entité d'authentification. Le chiffrement du premier nombre au moyen de la première fonction à sens unique interdit le tiers attaquant qui connaît le contenu de l'objet électronique de déduire la valeur du premier nombre issu du chiffrement au début de l'authentification précédente.
Le procédé d'authentification selon l'invention ne comprend pas de chiffrement par itérations successives de l'identificateur secret pour obtenir une authentification non traçable rétroactivement ce qui rend moins complexe le circuit intégré inclus dans l'objet électronique.
Selon une caractéristique de l'invention, la détermination du cryptogramme dans l'objet électronique comprend les étapes suivantes de: appliquer une première fonction bijective à l'identificateur mémorisé et à l'aléa transmis pour produire un deuxième nombre, concaténer le premier nombre et le deuxième nombre déterminé en un troisième nombre, et déterminer l'identificateur chiffré par application au troisième nombre déterminé d'une deuxième fonction à sens unique, qui est une fonction à sens unique à trappe.
La fonction bijective peut être un OU-Exclusif qui est appliqué notamment à un aléa prédéterminé.
Une fonction à sens unique est une fonction facile à calculer mais difficile à inverser. Une fonction à sens unique à trappe est une fonction facile à calculer, difficile à inverser si l'on ne connaît pas la trappe, et facile à inverser si l'on connaît la trappe.
Selon une autre caractéristique de l'invention, la fonction de déchiffrement dans l'entité d'authentification comprend les étapes suivantes de: déterminer un quatrième nombre par application d'une fonction de résolution au cryptogramme, et déterminer l'identificateur déchiffré par application d'une deuxième fonction bijective au quatrième nombre déterminé et à l'aléa généré.
L'invention a aussi pour objet un système d'authentification pour la mise en oeuvre du procédé selon l'invention, comprenant l'objet électronique et l'entité d'authentification. Le système est caractérisé en ce qu'il comprend: dans l'objet électronique, un moyen pour chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, un moyen pour déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et un moyen pour transmettre le cryptogramme à l'entité d'authentification, et dans l'entité d'authentification, un moyen pour déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et un moyen pour chercher dans la base de données un identificateur égal audit identificateur déchiffré.
Enfin, l'invention se rapporte à un programme d'ordinateur pour authentifier un objet électronique auprès d'une entité d'authentification, un identificateur de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d'authentification, et un aléa étant généré par l'entité d'authentification et transmis à l'objet électronique. Le programme est caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique et ladite entité d'authentification, réalisent les étapes selon le procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels: - la figure 1 est un bloc diagramme schématique d'un système d'authentification connu déjà commenté; - la figure 2 est un bloc-diagramme schématique d'un système d'authentification mettant en oeuvre un procédé d'authentification anonyme et non traçable rétroactivement selon l'invention; et - la figure 3 est un algorithme d'un procédé d'authentification anonyme et non traçable rétroactivement selon l'invention.
En référence à la figure 2, un système d'authentification selon l'invention comprend un serveur d'authentification SA par exemple de type lecteur d'étiquette en tant qu'entité d'authentification, et une étiquette électronique E en tant qu'objet électronique communiquant avec ou sans contact avec le serveur.
L'étiquette E comprend un microcontrôleur incluant de manière connue un processeur, des mémoires et des registres ainsi que des modules logiciels. Certains d'entre eux sont propres à l'invention et sont notamment une mémoire ME qui peut être de petite taille, un registre interne RI, des modules de chiffrement F et G implémentés en mémoire ROM dans le microcontrôleur, et une interface de communication ICE. Un identificateur secret IS de l'étiquette E est mémorisé dans la mémoire ME. Le registre interne RI inclut un premier nombre Nid dont une valeur initiale est prédéterminée soit à l'initiative du porteur de l'étiquette, soit à l'initiative du constructeur de l'étiquette. La valeur du premier nombre change à chaque authentification de l'étiquette, c'est-à-dire le premier module de chiffrement F détermine un autre premier nombre Nid+1 à partir du premier nombre Nid précédemment enregistré dans le registre RI et auquel est appliquée une première fonction à sens unique f à chaque authentification de l'étiquette. Le deuxième module de chiffrement G inclut une première fonction bijective O de type OU-Exclusif, une fonction de concaténation C et une fonction à sens unique à trappe g afin de déterminer à partir de l'identificateur d'étiquette IS et du premier nombre Nid+1 un cryptogramme X. Le cryptogramme X est transmis au serveur SA par l'intermédiaire de l'interface de communication ICE de l'étiquette électronique E. De même que dans l'étiquette électronique E, à la figure 1 ne sont montrés schématiquement dans le serveur d'authentification SA que des blocs fonctionnels assurant des fonctions ayant un lien avec l'invention et correspondant à des modules logiciels et/ou matériels. En particulier le serveur SA comprend une interface de communication ICS, un module de génération d'aléa GR, un module de déchiffrement H, une base de données BD et un module de vérification V. L'interface de communication ICS transmet vers l'étiquette E un aléa R utilisé par le deuxième module de chiffrement G de l'étiquette et en réponse reçoit le cryptogramme X transmis par l'étiquette E. Le module de déchiffrement H inclut une fonction h, appelée par commodité "fonction de résolution" h, et une deuxième fonction bijective O de type OU-Exclusif, et déchiffre le cryptogramme à partir de l'aléa généré R pour obtenir un identificateur secret. La base de données BD inclut des identificateurs secrets d'étiquettes électroniques à authentifier et notamment comprend l'identificateur IS de l'étiquette électronique en cours d'authentification. Le module de vérification V du serveur SA vérifie l'exactitude du résultat du déchiffrement à partir de l'identificateur secret IS de l'étiquette mémorisé dans la base de données BD pour authentifier l'étiquette électronique E. L'entité d'authentification peut être, outre un serveur, un ordinateur incorporant ou accédant localement ou à travers un réseau de télécommunications à une base de données. L'ordinateur peut être un dispositif électronique de télécommunications personnel à l'utilisateur de l'étiquette, par exemple un assistant numérique personnel communicant PDA. L'entité d'authentification peut être également tout autre terminal domestique portable ou non tel qu'une console de jeux vidéo, ou un récepteur de télévision intelligent.
En référence à la figure 3, le procédé d'authentification selon l'invention comprend des étapes S1 à S15.
A l'étape S1, lorsque l'étiquette est connectée au serveur d'authentification, avec ou sans contact, l'interface de communication ICE de l'étiquette électronique E transmet une requête d'authentification RQAU au serveur d'authentification SA. L'interface de communication ICS dans le serveur SA reçoit la requête RQAU à l'étape S2 et active le module de génération GR du serveur. A l'étape S3, le module GR génère aléatoirement l'aléa R et l'interface ICS transmet l'aléa R à l'étiquette E qui le mémorise.
En variante, les étapes S1 et S2 sont supprimées et le serveur SA génère l'aléa R et transmet directement une requête d'authentification incluant l'aléa R à l'étiquette E. A la réception de l'aléa R à l'étape S4, le premier module de chiffrement F dans l'étiquette E chiffre le premier nombre Nid mémorisé dans le registre interne RI de l'étiquette au moyen de la première fonction à sens unique f et produit un autre premier nombre Nid+1, à l'étape S5. L'autre premier nombre Nid+1 est mémorisé dans le registre interne RI par écrasement de l'ancien premier nombre Nid, devient le premier nombre Nid et est utilisé dans l'étape suivante S7 du procédé.
Dans une variante, l'étape S5 de chiffrement et de mémorisation du premier nombre Nid est effectuée avant l'étape S4 de réception de l'aléa R. A l'étape S6, le deuxième module de chiffrement G dans l'étiquette E détermine un deuxième nombre N2 = IS R par application de la première fonction bijective OU-Exclusif O à l'identificateur secret IS lu dans la mémoire ME de l'étiquette et à l'aléa reçu R généré et transmis par le serveur SA. Le deuxième module de chiffrement G exécute la fonction de concaténation C en concaténant le premier nombre Nid mémorisé dans le registre RI et le deuxième nombre N2 précédemment déterminé et produit un troisième nombre N3 = Nid I N2 à l'étape S7. A l'étape S8, le deuxième module de chiffrement G de l'étiquette détermine finalement le cryptogramme X en appliquant la fonction à sens unique g avec trappe au troisième nombre N3. La deuxième fonction à sens unique g avec trappe est une fonction à clé publique dont la clé est directement incorporée dans les coefficients de la fonction. Une réalisation des fonctions à sens unique f et g, de la fonction de concaténation C et de la première fonction bijective O est présentée dans la suite de la description.
L'interface de communication ICE de l'étiquette transmet ensuite à l'étape S9 le cryptogramme X à l'interface de communication ICS du serveur.
A la réception du cryptogramme X par l'interface de communication ICS du serveur SA à l'étape S10, le module de déchiffrement H du serveur SA déchiffre le cryptogramme X aux étapes S11 et S12. A l'étape S11, le module H applique sur le cryptogramme X une fonction de résolution h ayant pour propriété d'être exécutée partiellement ou en totalité par le module de déchiffrement H pour déterminer un quatrième nombre N4. La fonction de résolution h est appliquée au cryptogramme X, sans que le serveur SA ne connaisse la valeur du premier nombre Nid. La fonction de résolution h est une fonction à clé privée dont la clé correspond à la clé publique utilisée pour la deuxième fonction à sens unique g, et est directement incorporée dans les coefficients de la fonction. Par exemple, dans le mode de réalisation où la fonction g est un système d'équations quadratiques, la fonction h effectue une résolution partielle de ce système.
A l'étape S12, le module de déchiffrement H détermine un identificateur déchiffré IS' représentatif de l'identificateur IS mémorisé dans l'étiquette E par application de la deuxième fonction bijective OUExclusif O entre le quatrième nombre N4 déterminé précédemment et l'aléa R généré à l'étape S3. Le fait d'appliquer deux fois, à l'étape S6 et à l'étape S12, la fonction OU-Exclusif en utilisant le même opérande R revient à faire une opération d'identité . IS = IS R R. A l'étape S13, le module de vérification V compare l'identificateur déterminé IS' aux identificateurs d'étiquette lus dans la base de données BD du serveur SA. Si l'identificateur déterminé IS' est identique à l'un IS des identificateurs lus IS, alors l'étiquette E est authentifiée à l'étape S14. Dans le cas contraire à l'étape S15, l'étiquette E n'est pas authentifiée.
Une réalisation d'une fonction de déchiffrement basée sur la fonction de résolution h et la deuxième fonction bijective est présentée dans la suite de la
description.
L'authentification non traçable rétroactivement de l'étiquette électronique E selon l'objectif de l'invention est atteinte grâce à l'étape S5.
L'application de la première fonction à sens unique f au premier nombre Nid+1 empêche un attaquant possédant l'étiquette et connaissant son contenu d'appliquer une fonction inverse de la première fonction à sens unique f sur le premier nombre Nid+1 pour obtenir la valeur du premier nombre Nid de l'authentification précédente. Ainsi, l'attaquant est incapable d'en déduire la valeur des cryptogrammes échangés entre l'étiquette et des serveurs d'authentification lors de communications antérieures et donc de tracer des échanges entre l'étiquette et les serveurs.
Selon une variante de l'invention, la base de données BD ne comprend pas les identificateurs secrets des étiquettes à authentifier. La base de données BD comprend une image U de chaque identificateur déterminée par une troisième fonction à sens unique u: U = u(IS). Dès que le module de vérification V du serveur SA a déchiffré l'identificateur IS' à l'étape S12, il applique la troisième fonction à sens unique u sur l'identificateur IS' afin d'en obtenir une image U'. Le module de vérification V recherche ensuite dans la base de données BD si l'une des images d'étiquettes mémorisées dans la base de données est identique à l'image U' déterminée.
La troisième fonction à sens unique u peut être une fonction de condensation de type algorithme de hachage sûr SHA (Secure Hash Algorithm) , ou un chiffrement de l'identificateur IS avec une constante 2890269 15 au moyen d'un algorithme de chiffrement symétrique de type AES (Advanced Encryption Standard).
Selon une réalisation préférée de l'invention, la première fonction à sens unique f mise en oeuvre dans l'étiquette E est un premier système de T équations quadratiques à T inconnues, dont les coefficients sont tirés par exemple aléatoirement par le constructeur de l'étiquette. Une équation quadratique est du type: ft = L ai, i xi xi + L Ri xi + CST, avec 1 t T, 1 I, 1 j J, ai, i et coefficients aléatoires et CST une constante.
Le premier nombre Nid comporte T bits de N1d,0 à Nid, T. Les bits Nid, t du premier nombre Nid sont des opérandes xi, xi de chaque première fonction à sens unique ft du premier système afin d'obtenir comme résultat final l'autre premier nombre Nid+1 comportant T bits de N1d+1,0 à Nid+1,TÉ Ce nombre Nid+1 est ensuite mémorisé dans le registre RI de l'étiquette E et remplace l'ancien premier nombre Nid.
Le troisième nombre N3 = Nid 1 IS R est un nombre à m bits N30 à N3M bits, avec l'entier M supérieur à l'entier T. Les T premiers bits N30 A N3T-1 correspondent au premier nombre Nid et les bits restants N3T à N3M correspondent au deuxième nombre N2 = IS R. La deuxième fonction à sens unique g est un deuxième système d'équations à clé publique basé sur M équations quadratiques à m inconnues g1 à gm. Une équation quadratique gm du deuxième système avec l'indice m où 1 m M est du type: gm = km O+ am, 1 p1 0 am,2 p2 0... 0 am,r pr, où Ri des k1 à km sont M polynômes quadratiques à m inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à une clé publique de chiffrement; p1 à pr sont des polynômes quadratiques dont les coefficients sont des valeurs tirées aléatoirement; et (a1,1, a1,2, a1,r), (am,1, am,2, am,r), (am, l, am,2, am, r) sont un ensemble de M listes à r coefficients tirés aléatoirement.
Afin de déterminer le cryptogramme X, le deuxième module de chiffrement G de l'étiquette électronique E applique à chaque bit N3m du troisième nombre N3, une équation gm du deuxième système avec l'indice m tel que 1 m M Xm = gm (N3m). Le cryptogramme X comprend ainsi M bits de x0 à xM avec les T premiers bits x0 à xT_1 déterminés à partir du premier nombre Nid et les bits restants xT+1 à xM déterminés en fonction du nombre N2 = IS R. La fonction de résolution h comprise dans le module de déchiffrement H du serveur SA est un troisième système d'équation à clé de déchiffrement privée qui est basé sur M équations quadratiques h1 à hm à m inconnues. Une équation hm du troisième système avec 1 m M, est du type: hm = k-lm am, 1 p1 0 am,2 p2 0 ÉÉÉ 0 am,r pr où : k 11 à k-1M sont M polynômes quadratiques à m inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à la clé de déchiffrement privée; p1 à pr sont les polynômes quadratiques identiques aux polynômes quadratiques du système g; et (a1,1, a1,2, a1,r) (am,1, am, 2, am,r) (aM,1, aM,2, aM,r) sont également un ensemble de M listes à r coefficients identique à l'ensemble de M listes du système g.
Dans cette réalisation, le module de déchiffrement H applique uniquement les hT à hm équations respectivement aux xT à xM bits du cryptogramme X. Ainsi il n'est pas utile au module de déchiffrement H de connaître le premier nombre Nid.
Cette réalisation a pour avantage de pouvoir être implémentée dans des étiquettes électroniques offrant une faible capacité de calcul. En effet, cette réalisation ne met pas en oeuvre un chiffrement comportant plusieurs itérations nécessitant une capacité de calcul importante. Les modules de chiffrement F et G exécutant respectivement les fonctions à sens unique f et g décrites dans la réalisation précédente peuvent être implémentés en logique câblée dans l'étiquette E. Afin de diminuer le nombre de portes logiques dans l'implémentation précédente, les polynômes quadratiques des fonctions à sens unique f et g et de la fonction de résolution h sont, de préférence, des polynômes creux dont des monômes ont des coefficients nuls.
L'invention décrite ici concerne un procédé et un système d'authentification. Elle concerne également l'implémentation des modules F, G et H de l'objet électronique E et du serveur d'authentification SA sous la forme d'un programme d'ordinateur. Les étapes du procédé de l'invention sont alors déterminées par les instructions du programme d'ordinateur incorporé au moins pour partie dans le serveur d'authentification SA. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans un système comprenant l'objet électronique E et l'entité d'authentification SA, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en oeuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source etcode objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement sur lequel est stocké le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon l'invention.
On notera que la base de données BD n'est pas nécessairement sur le serveur. Elle peut être accessible à distance.

Claims (8)

REVENDICATIONS
1 - Procédé pour authentifier un objet électronique (E) par une entité d'authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d'authentification (SA), et un aléa (R) étant généré (S3) par l'entité d'authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend les étapes suivantes de: dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (Nid) au moyen d'une première fonction à sens unique (f) , déterminer (S6, S8) un cryptogramme (X) à partir dudit identificateur (IS), dudit premier nombre chiffré (Nid) et dudit aléa transmis (R), et transmettre (S9) le cryptogramme (X) à l'entité d'authentification, et dans l'entité d'authentification (SA), déchiffrer (S11 - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, O+) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').
2 - Procédé conforme à la revendication 1, selon lequel la première fonction à sens unique (f) est un système d'équations quadratiques à coefficients aléatoires.
3 - Procédé conforme à la revendication 1 ou 2, selon lequel la détermination du cryptogramme (X) dans l'objet électronique (E) comprend les étapes suivantes de: appliquer (S6) une première fonction bijective à l'identificateur mémorisé (IS) et à l'aléa transmis (R) pour produire un deuxième nombre (N2), concaténer (S7) le premier nombre (Nid) et le deuxième nombre déterminé (N2) en un troisième nombre (N3), et déterminer (S8) l'identificateur chiffré (X) par application au troisième nombre déterminé (N3) d'une deuxième fonction (g) à sens unique, qui est une fonction à sens unique à trappe.
4 - Procédé conforme à la revendication 3, selon lequel la deuxième fonction à sens unique (g) est un système d'équations quadratiques.
- Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel la fonction de déchiffrement (h, O+) dans l'entité d'authentification (SA) comprend les étapes suivantes de.
déterminer un quatrième nombre (N4) par application d'une fonction de résolution (h) au cryptogramme (X), et déterminer l'identificateur déchiffré (IS') par application d'une deuxième fonction bijective au quatrième nombre déterminé (N4) et à l'aléa généré (R).
6 - Procédé conforme à la revendication 3 ou 4 et à la revendication 5, selon lequel les première et deuxième fonctions bijectives sont des fonctions OU-Exclusif.
7 - Système pour authentifier un objet électronique (E) par une entité d'authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d'authentification (SA), et un aléa (R) étant généré (S3) par l'entité d'authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend: dans l'objet électronique (E), un moyen (F, RI) pour chiffrer et mémoriser un premier nombre (Nid) au moyen d'une première fonction à sens unique (f), un moyen (G) pour déterminer un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nid) et dudit aléa transmis (R), et un moyen (ICE) pour transmettre le cryptogramme (X) à l'entité d'authentification, et dans l'entité d'authentification (SA), un moyen (H) pour déchiffrer le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, O+) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et un moyen (V) pour chercher dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').
8 - Système d'authentification conforme à la revendication 7, dans lequel les moyens pour chiffrer (F, G) de l'objet électronique (E) sont implémentés en logique câblée.
9 - Programme d'ordinateur pour authentifier un objet électronique (E) auprès d'une entité d'authentification (SA), un identificateur (IS) de l'objet électronique (E) étant mémorisé dans l'objet électronique (E) et dans une base de données (BD) qui est accessible à l'entité d'authentification (SA), et un aléa (R) étant généré (S3) par l'entité d'authentification (SA) et transmis à l'objet électronique (E), ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique (E) et ladite entité d'authentification (SA), réalisent les étapes suivantes de: dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (Nid) au moyen d'une première fonction à sens unique (f), déterminer (S6, S8) un cryptogramme (X) à partir dudit identificateur (IS), dudit premier nombre chiffré (Nid) et dudit aléa transmis (R), et transmettre (S9) le cryptogramme (X) à l'entité d'authentification, et dans l'entité d'authentification (SA), déchiffrer (S11 - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, O+) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').
FR0552653A 2005-09-01 2005-09-01 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification Withdrawn FR2890269A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0552653A FR2890269A1 (fr) 2005-09-01 2005-09-01 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification
PCT/FR2006/050805 WO2007026092A1 (fr) 2005-09-01 2006-08-17 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0552653A FR2890269A1 (fr) 2005-09-01 2005-09-01 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification

Publications (1)

Publication Number Publication Date
FR2890269A1 true FR2890269A1 (fr) 2007-03-02

Family

ID=36390272

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0552653A Withdrawn FR2890269A1 (fr) 2005-09-01 2005-09-01 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification

Country Status (2)

Country Link
FR (1) FR2890269A1 (fr)
WO (1) WO2007026092A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
FR2757723A1 (fr) * 1996-12-24 1998-06-26 France Telecom Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
FR2757723A1 (fr) * 1996-12-24 1998-06-26 France Telecom Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Also Published As

Publication number Publication date
WO2007026092A1 (fr) 2007-03-08

Similar Documents

Publication Publication Date Title
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
FR2930390A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise.
EP2953291B1 (fr) Stockage distribue securise par calcul multipartite
WO2009153519A1 (fr) Procède d'authentification d'une entité auprès d'un vérifieur
FR2964812A1 (fr) Procede d'authentification pour l'acces a un site web
EP2301187A1 (fr) Terminal d'authentification forte d'un utilisateur
WO2018104114A1 (fr) Procédé d'enregistrement d'un contenu multimédia, procédé de détection d'une marque au sein d'un contenu multimédia, dispositifs et programme d'ordinateurs correspondants
FR3091941A1 (fr) Procédé de vérification d’une authentification biométrique
EP2568406B1 (fr) Procédé de mise en oeuvre, a partir d'un terminal, de données cryptographiques d'un utilisateur stockées dans une base de données
Catuogno et al. Off-line enterprise rights management leveraging biometric key binding and secure hardware
FR2890269A1 (fr) Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification
EP3673633B1 (fr) Procédé d'authentification d'un utilisateur auprès d'un serveur d'authentification
Lei et al. A practical privacy-preserving face authentication scheme with revocability and reusability
EP4078893A1 (fr) Procédé et dispositif de contrôle d'accès anonyme à une plateforme collaborative d'anonymisation
FR3057374B1 (fr) Procede de chiffrement, procede de dechiffrement, dispositif et programme d'ordinateur correspondant.
EP3842970B1 (fr) Procédé de vérification du mot de passe d'un dongle, programme d'ordinateur, dongle et terminal utilisateur associés
FR2985337A1 (fr) Procede de calcul cryptographique resilient aux attaques par injection de fautes, produit programme d'ordinateur et composant electronique correspondant.
FR2908194A1 (fr) Entite electronique portable et procede de blocage, a distance, d'une fonctionnalite d'une telle entite electronique portable
FR3038414A1 (fr) Procede et systeme de controle d'acces a un service via un media mobile.
KR20230135490A (ko) 클라우드와 허가형 블록체인 환경의 세부 접근 제어 시스템 및 그 방법
FR3020888A1 (fr) Chiffrement d'une cle de protection de secrets protegeant au moins un element sensible d'une application
EP4070502A1 (fr) Procédé de cogénération d'un matériel cryptographique partagé, dispositifs, système et programme d'ordinateur correspondant
CA3183198A1 (fr) Dispositif, methode et programme pour une communication securisee entre boites blanches
FR3118225A1 (fr) Procédé et dispositif de génération d'informations d'authentification pour une entité sécurisée et procédé et dispositif de contrôle d'identité associés
EP2180654A1 (fr) Procédé de sécurisation des messages destinés à un terminal évolué dans une architecture distribuée

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20070531