FR2906095A1 - Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. - Google Patents
Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. Download PDFInfo
- Publication number
- FR2906095A1 FR2906095A1 FR0608163A FR0608163A FR2906095A1 FR 2906095 A1 FR2906095 A1 FR 2906095A1 FR 0608163 A FR0608163 A FR 0608163A FR 0608163 A FR0608163 A FR 0608163A FR 2906095 A1 FR2906095 A1 FR 2906095A1
- Authority
- FR
- France
- Prior art keywords
- encryption
- decryption
- data
- receivers
- modulo
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
Abstract
Le domaine de l'invention est celui de la cryptographie. L' invention concerne un procédé de cryptage comportant une étape d'initialisation (101), une étape de cryptage (102) et une étape de décryptage (103) et permettant à un émetteur, disposant d'une donnée de cryptage secrète Ke inconnue des récepteurs, de crypter des messages à destination d'au moins deux récepteurs, disposant chacun d'une donnée de décryptage Kdi constituée de secrets partiels choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet d'obtenir la donnée de cryptage Ke de l'émetteur à partir desdits secrets partiels et que cette fonction de composition de secrets partiels est inconnue des récepteurs. L'invention concerne aussi un dispositif de cryptage et un dispositif de décryptage pour crypter et décrypter des messages selon le procédé de l'invention.
Description
1 Procédé de cryptage de messages à destination d'au moins deux
récepteurs, dispositif de cryptage et dispositif de décryptage associés. Domaine technique Le domaine de l'invention est celui de la cryptographie. Art antérieur La cryptographie trouve application dans la sécurisation des échanges entre au moins deux entités. Parmi ces applications, on trouve des schémas de chiffrement de messages. Le chiffrement d'un message consiste à le transformer, par exemple en appliquant une fonction à ce message, de manière à le rendre inintelligible à toute entité autre que le destinataire légitime ou les destinataires légitimes du message. On peut représenter le chiffrement par une fonction E qui prend comme argument un message M, une clé de chiffrement k et qui retourne un message chiffré C : C=E(M, k) Inversement, le déchiffrement d'un message consiste à transformer un message chiffré de manière à obtenir le message d'origine. On peut représenter le déchiffrement par une fonction D qui prend comme argument un message chiffré C, une clé de déchiffrement k' et qui retourne le message d'origine M : M=D(C, k' ) Un schéma de chiffrement de message est dit symétrique si la clé servant à déchiffrer un message est la même que celle qui a servi à le chiffrer (k=k'). Cette clé doit rester secrète.
Dans un schéma de chiffrement asymétrique, la clé utilisée pour déchiffrer un message peut être différente de celle qui a servi à son chiffrement (k≠k'). Dans ce cas, seule la clé de déchiffrement k' doit être secrète.
2906095 2 Le chiffrement d'un même message à destination de plusieurs récepteurs, disposant chacun d'une clé de déchiffrement secrète k;' propre, l'indice i désignant le récepteur concerné, nécessite que l'émetteur procède à autant de chiffrements qu'il y a de récepteurs. Cette solution devient rapidement impraticable dans le cas où le 5 nombre de récepteurs est important. Pour pallier ce problème de multiplication des chiffrements, une solution consiste à mettre à disposition de tous les récepteurs une même clé de déchiffrement secrète k'. Dans ce cas, l'émetteur peut se contenter de ne chiffrer son message qu'une seule fois, mais il n'est plus possible d'identifier un traitre, c'est-à dire un récepteur légitime qui a illicitement divulgué la clé de 10 déchiffrement secrète commune k'. Plus précisément, le domaine de l'invention est celui de la traque des traitres (traitor tracing, en Anglais). La traque des traitres trouve application dans la sécurisation des envois de messages d'un émetteur vers au moins deux récepteurs.
15 Dans un schéma de traque des traitres, l'émetteur ne crypte qu'une seule fois le message à émettre à destination de récepteurs qui disposent chacun d'une donnée de décryptage différente pour décrypter le message reçu. Dans le schéma de traque des traitres, crypter est l'opération qui consiste à rendre inintelligible un message à toute entité autre que les récepteurs qui sont les destinataires légitimes du message.
20 On appellera message crypté le résultat du cryptage d'un message. Dans le schéma de traque des traitres, décrypter est l'opération qui consiste à transformer un message crypté de façon à obtenir le message d'origine. La principale différence entre chiffrer et déchiffrer d'une part et crypter et 25 décrypter d'autre part est qu'un message chiffré ne peut être déchiffré qu'avec une seule clé de déchiffrement alors qu'un message crypté peut être décrypté avec des données de décryptage différentes. Un traitre est un récepteur légitime qui a divulgué tout ou partie de sa donnée de 30 décryptage de manière à permettre à une ou plusieurs entités non destinataires 2906095 3 légitimes des messages de pouvoir décrypter des messages à l'insu de l'émetteur. Un traitre peut agir seul et dans ce cas il divulgue tout ou partie de sa donnée de décryptage à une ou plusieurs entités. Des traitres peuvent aussi se coaliser afin de construire une donnée de décryptage illégitime (possiblement différente des 5 données de décryptage de chacun des traitres de la coalition) qui permet de décrypter les messages de l'émetteur. Un procédé de traque des traitres est dit m-résilient si la connaissance d'une donnée de décryptage illégitime permet l'identification d'au moins un membre de la coalition de traitres qui a permis la construction de cette donnée de décryptage illégitime, à la condition que cette 10 coalition ne comporte pas plus de m traitres. Un traitre agissant seul peut être vu comme un cas particulier de coalition ne comportant qu'un seul membre. Dans le schéma de traque des traitres, l'émetteur dispose d'une donnée de cryptage Ke et chaque récepteur i dispose d'une donnée de décryptage Kd; différente pour 15 chaque récepteur. Le schéma de traque des traitres comprend deux procédés distincts : • un procédé de cryptage de messages ; • un procédé d'identification des traitres à partir de la connaissance d'au moins une donnée de décryptage illégitime.
20 Nous décrivons, plus particulièrement, dans ce qui suit le procédé de cryptage de messages. Un procédé de cryptage de messages comporte trois étapes : l'initialisation, le 25 cryptage et le décryptage. L'initialisation consiste à déterminer les paramètres du procédé et, en particulier, à déterminer la donnée de cryptage Ke de l'émetteur et pour chaque récepteur i, sa donnée de décryptage Kd;.
2906095 4 Le cryptage d'un message M consiste à construire un message crypté <H, C> où : • C désigne le message chiffré résultat du chiffrement du message M avec une clé de chiffrement k : C=E(M, k) ; • H désigne un en-tête qui est fonction de la donnée de cryptage Ke du 5 diffuseur et de la clé de chiffrement k. Une nouvelle clé de déchiffrement peut être avantageusement utilisée à chaque nouveau cryptage. La forme du message crypté n'a pas d'importance. En particulier, l'en-tête peut 10 être indifféremment placé devant ou derrière le message chiffré dans un message crypté. Le décryptage d'un message consiste, pour le récepteur i, à obtenir le message M à partir d'un message crypté <H, C> en : 15 • calculant une clé de déchiffrement secrète k' à partir de la donnée de décryptage Kd; du récepteur i et de l'en-tête H ; • reconstruisant le message M en déchiffrant le message chiffré C à l'aide de la clé de déchiffrement k' : M=D(C, k').
20 Dans les schémas de traque des traitres proposés dans la littérature (cf Tracing Traitors , Benny Chor, Amos Fiat & Moni Naor, Lecture Notes in Computer Science, volume 839, pages 257-270, 1994), la donnée de cryptage Ke de l'émetteur est un ensemble de clés (utilisées aussi bien pour le chiffrement que pour le déchiffrement) et chaque donnée de décryptage Kd; est un sous-ensemble 25 distinct de la donnée de cryptage Ke. Le cryptage d'un message M donne le message crypté <H, C> où : • le message chiffré C est le résultat du chiffrement du message M avec une clé de chiffrement k composée de plusieurs parties ; 2906095 5 • l'entête H est constitué des résultats des chiffrements des parties de la clé de chiffrement k avec chacune des clés constituant la donnée de cryptage Ke de l'émetteur. Dans un schéma m-résilient , le nombre de clés constituant la donnée de 5 cryptage de l'émetteur et le nombre de clés constituant la donnée de décryptage de chaque récepteur sont dépendants de m. Pour un nombre donné de récepteurs, plus on voudra résister à des coalitions importantes de pirates (plus m est grand) et plus le nombre de clés constituant la donnée de cryptage de l'émetteur et le nombre de clés constituant la donnée de décryptage de chaque récepteur sont grands.
10 Le principal défaut des schémas de traques des traitres existants est qu'ils ne résistent qu'à des coalitions de traitres de taille limitée et dont ladite taille sera d'autant plus contrainte que la taille de la donnée de cryptage de l'émetteur, la taille de l'en-tête d'un message crypté ou la taille de la donnée de décryptage de 15 chaque récepteur seront contraintes. La taille d'une coalition est le nombre de traitres qu'elle comporte. La taille de la donnée de cryptage de l'émetteur ou la taille d'une donnée de décryptage d'un récepteur est le nombre de clés qu'elle comporte. La taille de l'en-tête est, en général, égale à la taille de la donnée de cryptage de l'émetteur.
20 Un des objectifs de la présente invention est de définir un nouveau procédé de cryptage de messages à destination d'au moins deux récepteurs qui résiste à des coalitions de traitres arbitrairement grandes, c'est-à-dire que même si tous les récepteurs se coalisaient, ils ne seraient pas capables de générer une donnée de 25 décryptage illégitime différente des données de décryptage des récepteurs de la coalition permettant de déchiffrer les messages de l'émetteur. Résumé de l'invention Selon un premier aspect, la présente invention propose un procédé de cryptage 30 permettant à un émetteur, disposant d'une donnée de cryptage Ke, de crypter des 2906095 6 messages à destination d'au moins deux récepteurs, chaque récepteur i disposant d'une donnée de décryptage Kd;. Le procédé de cryptage comporte les étapes suivantes : • une initialisation, qui consiste à déterminer la donnée de cryptage Ke de 5 l'émetteur et à déterminer pour chaque récepteur i sa donnée de décryptage Kd; ; • un cryptage d'un message M, qui consiste à construire un message crypté constitué d'un en-tête H et d'un message chiffré C résultat du chiffrement du message M avec une clé de chiffrement k ; 10 • un décryptage d'un message crypté, qui consiste à déchiffrer le message chiffré C avec une clé de déchiffrement k' obtenue à partir de l'en-tête H et de la donnée de décryptage Kd; du récepteur i. Dans le procédé • la donnée de cryptage Ke de l'émetteur est une information secrète inconnue 15 des récepteurs ; • la donnée de décryptage Kd; du récepteur i est constituée de secrets partiels choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet d'obtenir la donnée de cryptage Ke de l'émetteur à partir desdits secrets partiels et que cette fonction de composition de secrets partiels est 20 inconnue des récepteurs ; et • la clé de chiffrement k dépend de la donnée de cryptage Ke de l'émetteur et d'un aléa r. Le fait que la fonction de composition de secrets partiels soit une fonction 25 inconnue des récepteurs fait que la connaissance éventuelle de la donnée de décryptage d'un récepteur (voire de tous les récepteurs) ne permet pas de déduire la donnée de cryptage Ke de l'émetteur par l'utilisation de cette fonction. Les caractéristiques décrites ci-dessus du procédé selon l'invention font que celui-30 ci résiste à des coalitions de pirates arbitrairement grandes. En effet, même si tous 2906095 7 les récepteurs se coalisaient, ils ne seraient pas capables de générer des secrets partiels valides, c'est-à-dire qui permettent de décrypter les messages cryptés, et nouveaux, c'est-à-dire différents des secrets partiels constituants les données de décryptage des traitres de la coalition. En effet, déterminer de tels secrets partiels 5 nécessite au moins la connaissance de la donnée de cryptage Ke de l'émetteur ou la connaissance de la fonction de composition de secrets partiels. Or la fonction de composition de secrets partiels et la donnée de cryptage Ke de l'émetteur sont inconnues des récepteurs.
10 Selon un deuxième aspect, l'invention propose un dispositif de cryptage pour crypter des messages selon le procédé décrit ci-dessus, et comprenant : • des moyens de stockage de la donnée de cryptage Ke de l'émetteur ; • des moyens de génération d'aléas ; • des moyens de calcul agencés pour : calculer la clé de chiffrement k en 15 fonction de la donnée de cryptage Ke de l'émetteur et d'un aléa r ; chiffrer un message avec la clé de chiffrement k ; calculer l'en-tête H en fonction du même aléa r ; • des moyens de communication.
20 Selon un troisième aspect, l'invention propose un dispositif de décryptage pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon le procédé décrit plus haut, et comprenant : • des moyens de stockage des secrets partiels constituant la donnée de décryptage Kd; du récepteur i ; 25 • des moyens de calcul agencés pour : calculer la clé de déchiffrement k' en fonction de la donnée de décryptage Kd; du récepteur i et de l'en-tête H ; déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; • des moyens de communication.
30 Brève description des figures 2906095 8 L'invention ainsi que les avantages qu'elle procure seront mieux compris à la lumière de la description suivante faite en référence aux figures annexées dans lesquelles : • FIG 1. représente un procédé de cryptage selon l'invention dans un exemple 5 de mode de réalisation spécifique ; • FIG 2. illustre un dispositif de cryptage selon un exemple de mode de réalisation de l'invention ; • FIG 3. illustre un dispositif de décryptage selon un exemple de mode de réalisation de l'invention.
10 Exemple de modes de réalisation de l'invention Faisant référence à la FIG 1, le procédé selon l'invention est décrit sur la base d'un exemple où un émetteur souhaite transmettre de façon confidentielle à un grand nombre de récepteurs une série de messages M, MM, etc.
15 Etape d'initialisation (101). L'émetteur choisit une donnée de cryptage Ke secrète puis choisit pour chaque récepteur i les secrets partiels qui vont constituer sa donnée de décryptage Kd;. Ces secrets partiels sont choisis de sorte qu'il existe une fonction de composition de 20 secrets partiels qui permet de calculer la donnée de cryptage Ke de l'émetteur en fonctions des secrets partiels de chaque récepteur. Avantageusement, les données de décryptage sont uniques par récepteur, c'est-à-dire que deux récepteurs différents ont des données de décryptage différentes. La 25 connaissance d'une donnée de décryptage permet ainsi l'identification univoque du récepteur à qui elle a été attribuée. La donnée de décryptage Kd; du récepteur i comprend deux secrets partiels A; et Bi.
30 2906095 9 Si de nouveaux récepteurs apparaissent, il suffit de choisir de nouveaux secrets partiels pour chacun de ces nouveaux récepteurs sans obligation de changer les données de décryptage des autres récepteurs.
5 La donnée de cryptage Ke de l'émetteur et les secrets partiels A; et B; sont des éléments d'un groupe fini G (cf. la définition d'un groupe au chapitre 2.5.1 de Handbook of Applied Cryptography , Alfred J. Menezes, Paul C. van Oorschot & Scott A. Vanstone, CRC Press, ISBN: 0-8493-8523-7.).
10 Plus, particulièrement, le groupe fini G est l'ensemble des entiers non nuls modulo n, noté Zn*, où n est le produit de deux nombres premiers p et q inconnus des récepteurs. La donnée de cryptage Ke de l'émetteur est égale à g(e*S) modulo n, le secret partiel 15 A; est égal à g(e*fia'+l modulo n et le secret partiel B; est égal à b; où : • g est un élément de 2 inconnu des récepteurs ; • s est un élément de In inconnu des récepteurs ; • a; et b; sont des éléments de Zn* et a; est inconnu des récepteurs tels que s=ai*b; modulo X et tels que le plus grand diviseur commun de deux b; 20 quelconques est égal à c et où X désigne le plus petit multiple commun de p- 1 et q-1 et c un élément de 'n* supérieur à 1 ; • e est un élément de * inconnu des récepteurs et choisi conjointement avec d, un autre élément de e*d=1 modulo X. inconnu aussi des récepteurs de sorte que n 25 On peut vérifier que (Ai/ge)B' modulo n est égal à g(e*S) modulo n. L'image des secrets partiels A; et B; par la fonction de composition de secrets partiels est donc (A;/ge)B' modulo n. La fonction de composition de secrets partiels est inconnue des récepteurs car les éléments g et e du groupe `gin* ne sont pas connus des récepteurs.
30 Un récepteur i, ne connaissant pas la fonction de composition de secrets partiels, 2906095 10 est donc dans l'in capacité d'utiliser cette fonction pour calculer la donnée de cryptage Ke de l'émetteur à partir des ses secrets partiels A; et B. Il est aussi important qu'une coalition de récepteurs ne puisse pas déduire la 5 donnée de cryptage Ke de l'émetteur à partir des données de décryptage de récepteurs de cette coalition. Or deux récepteurs, i et j, peuvent en mettant en commun leurs secrets partiels respectifs calculer d'une part la valeur ge*s*(b'-b') modulo n et d'autre part la valeur 10 (b1-b;) modulo n (on considère ici que bj est plus grand que b;) que l'on notera S. Pour calculer la valeur ge*s modulo n, il faut calculer l'inverse de S modulo X. puis élever ge*s*(b'-b') à la puissance de cet inverse. Or les récepteurs ne sont pas capables de calculer un inverse modulo a, car X, étant le produit de deux entiers p et q tous deux inconnus des récepteurs, est inconnu des récepteurs. Il est donc impossible à 15 une coalition de deux récepteurs de déduire la donnée de cryptage Ke de l'émetteur. Une coalition plus grande de récepteurs (au moins trois récepteurs) peut calculer selon le schéma décrit plus haut les valeurs suivantes ge*s*s' modulo n, S1, 20 ge*s*s2 modulo n et S2 où S1 et S2 sont des différences de b;. La mise en oeuvre de l'attaque du modulus commun (cf la description de Common Modulus Attack on RSA dans le chapitre 19.3 de Cryptanalysis of RSA-type cryptosystems: a visit , Marc Joye & Jean-Jacques Quisquater, R. Whright and P. Neumann, Eds., Network Threats, DIMACS Series in Discrete Mathematics and 25 Theoretical Computer Science, vol. 38, pp. 21-31, American Mathematical Society, 1998) pourraient permettre de déduire la valeur g(e*S) modulo n si le plus grand diviseur commun de S1 et S2 était égal à 1. Or le plus grand diviseur commun de S1 et S2 est égal à c, le plus grand diviseur commun de tous les b; et est, de ce fait, supérieur à 1. Il est donc impossible à une coalition de plus de deux récepteurs 30 de déduire la donnée de cryptage Ke de l'émetteur.
2906095 1 1 A la fin de cette étape d'initialisation l'émetteur possède sa donnée de cryptage Ke et chaque récepteur possède sa donnée de décryptage, la donnée de décryptage Kd; du récepteur i étant constituée des secrets partiels A; et B;. Etape de cryptage (102). Le cryptage du premier message M consiste à construire le message crypté <H, C> où H est l'en-tête du message crypté et C un message chiffré résultat du chiffrement du message M avec une clé de chiffrement k. La clé de chiffrement k est fonction de la donnée de cryptage Ke de l'émetteur et d'un aléa r. Nous entendons par aléa une information choisie arbitrairement, de façon déterministe ou indéterministe, et dont la valeur n'est pas prédictible par les récepteurs.
15 L'aléa r est un élément du groupe fini G et est, de ce fait, un élément du groupe ,77 La clé de chiffrement k est obtenue en élevant la donnée de cryptage Ke de 20 l'émetteur à la puissance du produit de l'aléa r avec d. La clé de chiffrement k est donc égale à (Ke)(d*r) modulo n, qui est égal à g(s*r) modulo n. L'en-tête H du message crypté est constitué d'une première partie HI, qui est égale à d*r modulo X, et d'une deuxième partie H2, qui est égale à gr modulo n. En définitive, le cryptage du message M donne le message crypté <(HI, H2), C> où étant donné l'aléa r : • la première partie de l'en-tête HI est égale à d*r modulo a, ; • la deuxième partie de l'en-tête H2 est égale à gr modulo n ; 5 10 25 2906095 12 • le message chiffré C est le résultat du chiffrement du message M avec la clé de chiffrement k, qui est égale à g(s*r) modulo n. Un autre avantage du procédé de cryptage selon l'invention est qu'il ne nécessite 5 pas une deuxième phase d'initialisation pour le cryptage des messages suivants. Pour crypter le message MM, par exemple, il suffit, de tirer un nouvel aléa rr puis de calculer le message <(HH1, HH2), CC> où : • la première partie de l'en-tête HH1 est égale à d*rr modulo X ; • la deuxième partie de l'en-tête HH2 est égale à grr modulo n ; 10 • le message chiffré CC est le résultat du chiffrement du message MM avec la clé de chiffrement kk, qui est égale à g(s*rra modulo n. Etape de décryptage (103). Le décryptage du message crypté <H, C> par le récepteur i consiste à déchiffrer le 15 message chiffré C avec une clé de déchiffrement k' obtenue à partir de l'en-tête H et de la donnée de décryptage Kd; du récepteur i. Comme décrit dans l'étape de cryptage, l'en-tête H est constitué de deux parties Hi et H2 et le message crypté peut être représenté sous la forme : <(HI, H2), C>.
20 La clé de déchiffrement k' est égale à (A;H'/H2)B' modulo n où A; et B, sont les deux secrets partiels constituants la donnée de décryptage Kd; du récepteur i. En remplaçant chaque élément de l'expression (A,H'/H2)B' modulo n par sa valeur, il est facile de vérifier que la valeur de la clé de déchiffrement k' est g(s*r> modulo n.
25 On peut constater que la clé de chiffrement k et la clé de déchiffrement k' sont égales. Une fois la clé de déchiffrement k' connue, il suffit de déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' pour obtenir le message d'origine M.
30 2906095 13 Le décryptage du message crypté correspondant au cryptage du message MM ainsi que tous les décryptages suivants ne nécessitent pas une nouvelle étape d'initialisation.
5 Un autre avantage du procédé selon l'invention est que la taille de la donnée de cryptage de l'émetteur, la taille de l'en-tête et la taille des données de décryptage sont fixes, c'est à dire qu'elles ne dépendent pas du nombre de récepteurs. De plus, cette taille est relativement raisonnable. En effet, la donnée de cryptage Ke de l'émetteur est constituée d'un seul élément du groupe Zn*, la donnée de décryptage 10 Kd; d'un récepteur i est constituée de deux éléments du groupe Zn* et l'en-tête H d'un message crypté est aussi constitué de deux éléments, HI et H2, du groupe Zn*. Dispositif de cryptage (200). L'invention concerne aussi un dispositif de cryptage (200) illustré dans la FIG 2, 15 pour crypter des messages selon le procédé décrit plus haut, le dispositif comprenant : • des moyens de stockage (201) de la donnée de cryptage Ke de l'émetteur ; • des moyens de génération d'aléas (204) ; • des moyens de calcul agencés (202) pour : 20 o calculer la clé de chiffrement k en fonction de la donnée de cryptage Ke de l'émetteur et d'un aléa r ; o chiffrer un message avec la clé de chiffrement k ; o calculer l'en-tête H en fonction du même aléa r ; • des moyens de communication (203).
25 Ce dispositif de cryptage (200) peut être, par exemple, un ordinateur, une carte à puce ou tout autre appareil cryptographique.
30 Dispositif de décryptage (300).
2906095 14 L'invention concerne enfin un dispositif de décryptage (300) illustré dans la FIG 3, pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon le procédé décrit plus haut, le dispositif comprenant : • des moyens de stockage (301) des secrets partiels qui constituent la donnée 5 de décryptage Kd; du récepteur i ; • des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage Kd; du récepteur i et de l'en-tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; 10 • des moyens de communication (303). Ce dispositif de décryptage (300) peut être, par exemple, l'un des éléments suivants : • un ordinateur ; 15 • une carte à puce ou tout autre appareil cryptographique ; • un décodeur de télévision numérique, un téléphone mobile, un assistant personnel numérique, et plus généralement tout appareil permettant de recevoir ou de visualiser des données multimédia numériques.
20 Le dispositif de décryptage peut aussi être une combinaison des éléments cités ci-dessus. Le dispositif de décryptage peut être, par exemple, constitué par un décodeur de télévision numérique et une carte à puce. Le décodeur de télévision numérique stockant, par exemple, le secret partiel A; et la carte à puce stockant le secret partiel B;.
25 Application industrielle possible. Une application industrielle possible, mais non exclusive, de la présente invention est l'accès conditionnel dans un système de télévision à péage. Un système d'accès conditionnel dans la télévision à péage assure que les contenus audiovisuels ne 30 sont accessibles qu'aux seuls abonnés qui en ont acquis les droits. Les systèmes 2906095 15 d'accès conditionnel actuels n'utilisent pas des schémas de traque des pirates car l'encombrement induit par ces derniers est incompatible avec les contraintes de diffusion de contenus audiovisuels. L'utilisation de secrets communs à tous les abonnés rend difficile l'identification de la source d'une contrefaçon dans le cas 5 d'un piratage. Le faible encombrement (les faibles tailles des données de cryptage, de décryptage et des en-têtes) engendré par le procédé selon la présente invention rend parfaitement possible son utilisation dans un système d'accès conditionnel pour la télévision à péage rendant ainsi l'identification des pirates plus aisée.
10 Les modes de réalisation présentés ne constituent que des exemples de réalisation de l'invention non limitatifs de la portée de l'invention. D'autres modes de réalisation sont possibles dans des variations qui sont à la portée d'un homme du métier à la lecture de la présente description. La portée de l'invention est déterminée par les revendications annexées à la présente description.
Claims (11)
1. Procédé de cryptage permettant à un émetteur, disposant d'une donnée de cryptage (Ke), de crypter des messages à destination d'au moins deux récepteurs, 5 chaque récepteur (i) disposant d'une donnée de décryptage (Kd;), le procédé de cryptage comportant les étapes suivantes : • une initialisation (101), qui consiste à déterminer la donnée de cryptage (Ke) de l'émetteur et à déterminer pour chaque récepteur (i) sa donnée de décryptage (Kd;) ; 10 • un cryptage d'un message M (102), qui consiste à construire un message crypté constitué d'un en-tête H et d'un message chiffré C résultat du chiffrement du message M avec une clé de chiffrement k ; • un décryptage d'un message crypté (103), qui consiste à déchiffrer le message chiffré C avec une clé de déchiffrement k' obtenue à partir de l'en-15 tête H et de la donnée de décryptage (Kd;) du récepteur (i) ; le procédé de cryptage étant caractérisé en ce que : • la donnée de cryptage (Ke) de l'émetteur est une information secrète inconnue des récepteurs ; • la donnée de décryptage (Kd;) du récepteur (i) est constituée de secrets 20 partiels choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet d'obtenir la donnée de cryptage Ke de l'émetteur à partir desdits secrets partiels et que cette fonction de composition de secrets partiels est inconnue des récepteurs ; • la clé de chiffrement k dépend de la donnée de cryptage (Ke) de l'émetteur 25 et d'un aléa r.
2. Procédé selon la revendication 1 caractérisé en ce que les données de décryptages sont uniques par récepteur. 2906095 17
3. Procédé selon la revendication 2 caractérisé en ce que la donnée de décryptage (Kd;) du récepteur (i) comprend un premier secret partiel (Ai) et un deuxième secret partiel (B;).
4. Procédé selon la revendication 3 caractérisé en ce que la donnée de cryptage (Ke) de l'émetteur, les premier et deuxième secrets partiels (Ai, B;) et l'aléa r sont des éléments d'un groupe fini (G).
5. Procédé selon la revendication 4 caractérisé en ce que le groupe fini (G) est 10 l'ensemble des entiers non nuls modulo n où n est le produit de deux nombres premiers p et q inconnus des récepteurs.
6. Procédé selon la revendication 5 caractérisé en ce que la donnée de cryptage (Ke) de l'émetteur est égale à g(e*S) modulo n, le premier secret partiel (Ai) est égal 15 à g(e*(a;+1)) modulo n et le deuxième secret partiel (Bi) est égal à b; où : • g est un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs ; • s est un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs ; 20 • a; et b; sont des éléments de l'ensemble des entiers non nuls modulo n, et a; est inconnu des récepteurs tels que s=a;*b; modulo a, et tels que le plus grand diviseur commun de deux b; quelconques est égal à c et où ?, désigne le plus petit multiple commun de p- l et q-1 et c un élément de l'ensemble des entiers non nuls modulo n, supérieur à 1 ; 25 • e un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs et choisi conjointement avec d, un autre élément de l'ensemble des entiers non nuls modulo n, inconnu aussi des récepteurs de sorte que e*d=1 modulo ~. 2906095 18
7. Procédé selon la revendication 6 caractérisé en ce que la clé de chiffrement k est égale à (Ke)@*r) modulo n.
8. Procédé selon la revendication 7 caractérisé en ce que l'en-tête H du message 5 crypté est constitué d'une première partie H1, égale à d*r modulo X, et d'une deuxième partie H2, égale à gr modulo n.
9. Procédé selon la revendication 8 caractérisé en ce que la clé de déchiffrement k' est égale à (A;H'/H2)B' modulo n.
10. Dispositif de cryptage (200) pour crypter des messages selon l'une quelconque des revendications de 1 à 9 et caractérisé en ce qu'il comprend : • des moyens de stockage (301) des secrets partiels constituants la donnée de décryptage (Kd;) du récepteur (i) ; • des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage (Kd;) du récepteur (i) et de l'en-tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; • des moyens de communication (303).
11. Dispositif de décryptage (300) pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon l'une quelconque des revendications de 1 à 9 caractérisé en ce qu'il comprend : • des moyens de stockage (301) des secrets partiels qui constituent la donnée 25 de décryptage (Kd;) du récepteur (i) ; • des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage (Kd;) du récepteur (i) et de l'en- tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; 30 o des moyens de communication (303).
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0608163A FR2906095B1 (fr) | 2006-09-19 | 2006-09-19 | Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. |
| PCT/FR2007/001510 WO2008034971A2 (fr) | 2006-09-19 | 2007-09-18 | Procede de cryptage de messages a destination d'au moins deux recepteurs, dispositif de cryptage et dispositif de decryptage associes |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0608163A FR2906095B1 (fr) | 2006-09-19 | 2006-09-19 | Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2906095A1 true FR2906095A1 (fr) | 2008-03-21 |
| FR2906095B1 FR2906095B1 (fr) | 2009-04-03 |
Family
ID=38124146
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0608163A Expired - Fee Related FR2906095B1 (fr) | 2006-09-19 | 2006-09-19 | Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR2906095B1 (fr) |
| WO (1) | WO2008034971A2 (fr) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020141371A1 (en) * | 2001-03-28 | 2002-10-03 | Hsu Raymond T. | Method and apparatus for transmission framing in a wireless communication system |
| US20030039361A1 (en) * | 2001-08-20 | 2003-02-27 | Hawkes Philip Michael | Method and apparatus for security in a data processing system |
| US20050141706A1 (en) * | 2003-12-31 | 2005-06-30 | Regli William C. | System and method for secure ad hoc mobile communications and applications |
| US20060177067A1 (en) * | 2005-02-03 | 2006-08-10 | Samsung Electronics Co., Ltd. | Hybrid broadcast encryption method |
-
2006
- 2006-09-19 FR FR0608163A patent/FR2906095B1/fr not_active Expired - Fee Related
-
2007
- 2007-09-18 WO PCT/FR2007/001510 patent/WO2008034971A2/fr active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020141371A1 (en) * | 2001-03-28 | 2002-10-03 | Hsu Raymond T. | Method and apparatus for transmission framing in a wireless communication system |
| US20030039361A1 (en) * | 2001-08-20 | 2003-02-27 | Hawkes Philip Michael | Method and apparatus for security in a data processing system |
| US20050141706A1 (en) * | 2003-12-31 | 2005-06-30 | Regli William C. | System and method for secure ad hoc mobile communications and applications |
| US20060177067A1 (en) * | 2005-02-03 | 2006-08-10 | Samsung Electronics Co., Ltd. | Hybrid broadcast encryption method |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008034971A2 (fr) | 2008-03-27 |
| FR2906095B1 (fr) | 2009-04-03 |
| WO2008034971A3 (fr) | 2008-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3091689B1 (fr) | Procédé de génération d'une signature de message à partir d'un jeton de signature chiffré à l'aide d'une fonction de chiffrement homomorphique | |
| EP1305948B1 (fr) | Methode de distribution securisee de donnees numeriques representatives d'un contenu multimedia | |
| EP2127197A2 (fr) | Chiffrement broadcast base sur identite | |
| Qureshi et al. | Framework for preserving security and privacy in peer-to-peer content distribution systems | |
| EP1634405B1 (fr) | Procede, systeme et supports d'enregistrement de chiffrement et/ou de dechiffrement traçable | |
| FR2788650A1 (fr) | Procede cryptographique a cles publique et privee | |
| EP1254534A1 (fr) | Procede de communication avec sequestre et recuperation de cle de chiffrement | |
| Goi et al. | Cryptanalysis of two anonymous buyer-seller watermarking protocols and an improvement for true anonymity | |
| EP1479233B1 (fr) | Dispositif de traitement et procede de transmission de donnees chiffrees pour un premier domaine dans un reseau appartenant a un second domaine | |
| US20050060545A1 (en) | Secure provision of image data | |
| EP1479234B1 (fr) | Procede de traitement de donnees chiffrees pour un premier domaine et recues dans un reseau appartenant a un second domaine | |
| Yi et al. | ID-based key agreement for multimedia encryption | |
| EP1419640A2 (fr) | Reseau numerique local, procedes d'installation de nouveaux dispositifs et procedes de diffusion et de reception de donnees dans un tel reseau | |
| FR2906095A1 (fr) | Procede de cryptage de messages a destination d'au moins deux recepteurs,dispositif de cryptage et dispositif de decryptage associes. | |
| Sulaiman et al. | Extensive analysis on images encryption using hybrid elliptic curve cryptosystem and hill cipher | |
| WO2021222272A1 (fr) | Chiffrement symétrique distribué résistant aux attaques adaptatif | |
| EP2652899B1 (fr) | Procédé et système d'accès conditionnel à un contenu numérique, terminal et dispositif d'abonné associés | |
| WO2008113952A2 (fr) | Chiffrement base sur identite | |
| FR2899750A1 (fr) | Procede et terminal pour securiser la generation d'une cle de chiffrement | |
| Bao et al. | Secure and private distribution of online video and some related cryptographic issues | |
| EP1642413B1 (fr) | Procede de chiffrement/dechiffrement d un message et disposi tif associe | |
| JPH11340962A (ja) | 鍵配送方法及び装置 | |
| WO2007042419A1 (fr) | Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite | |
| Rahma et al. | Hybrid Model For Securing E-Commerce Transaction | |
| Elkamchouchi et al. | Digital Rights Management system design and implementation issues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| ST | Notification of lapse |
Effective date: 20130531 |