FR2911024A1 - Procede de signature de liste anonyme et correlable - Google Patents

Procede de signature de liste anonyme et correlable Download PDF

Info

Publication number
FR2911024A1
FR2911024A1 FR0655983A FR0655983A FR2911024A1 FR 2911024 A1 FR2911024 A1 FR 2911024A1 FR 0655983 A FR0655983 A FR 0655983A FR 0655983 A FR0655983 A FR 0655983A FR 2911024 A1 FR2911024 A1 FR 2911024A1
Authority
FR
France
Prior art keywords
list
secret key
sequence
phase
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0655983A
Other languages
English (en)
Inventor
Sebastien Canard
Cecile Delerablee
Herve Sibert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0655983A priority Critical patent/FR2911024A1/fr
Priority to PCT/FR2007/052568 priority patent/WO2008081151A2/fr
Publication of FR2911024A1 publication Critical patent/FR2911024A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

L'invention propose un procédé de signature de liste, comprenant :- une phase d'organisation consistant, pour une autorité (1) de confiance détenant une clé secrète gamma, à définir une paire de clés publiques (W, g) caractéristique de ladite liste et telle que W=g<Y>,- une phase d'enregistrement comprenant les étapes consistant. pour au moins un membre (Mi) (où i =1,2,... ) de la liste, à définir une première clé secrète yi et à transmettre à l'autorité (1) de confiance une donnée où h est un élément public,. pour l'autorité (1) de confiance, à choisir une deuxième clé secrète xi associée au membre (Mi) et à transmettre audit membre la deuxième clé secrète xi et un certificat Ai tel que - une phase de définition de séquence consistant pour une autorité habilitée (3) à fournir un identifiant s de séquence devant être utilisé par les membres de la liste pour ladite séquence, et- une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (Mi) fournit des données qui comprennent une donnée d'authentification Ti,s calculée selon où g est un élément public, et mettant en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi, sans toutefois divulguer ces clés secrètes.Application au vote électronique.

Description

La présente invention concerne un procédé de signature de liste, anonyme
et corrélable. L'invention s'applique au domaine général de la sécurité des services accessibles par un réseau de communication de données numériques, et plus précisément le domaine de la signature électronique anonyme. Dans ce contexte, l'invention trouve une application particulièrement avantageuse, mais non exclusive, au vote électronique ou encore à la pétition électronique. io La plupart des schémas connus de signature électronique mettent en oeuvre des mécanismes relevant de la cryptographie dite à clé publique. En substance, ce type de mécanismes fonctionne de la façon suivante. Une personne possédant une clé publique et une clé secrète associée produit une signature d'un message à l'aide de la clé secrète. Pour authentifier la 15 signature, il suffit à l'entité vérificatrice de posséder la clé publique, sans avoir à connaître la clé sécrète. Cette technique met en oeuvre un mécanisme de preuve de connaissance. L'entité vérificatrice peut alors conclure que le signataire du message est bien la personne titulaire de la clé publique. Ce "mécanisme de preuve de connaissance" consiste pour le signataire 20 à prouver à l'entité vérificatrice, à travers un protocole approprié, qu'il détient la clé secrète associée à la clé publique, sans pour autant dévoiler cette clé secrète à l'entité vérificatrice ; pour plus de détails sur les protocoles de preuve dits "sans transfert de connaissance" (en anglais, "zero-knowledge proof"), on se référera à la norme ISO/IEC 9798-5. 25 Dans le schéma d'authentification d'un signataire au moyen d'un mécanisme de preuve de connaissance, l'anonymat du signataire est garanti du fait que les données d'authentification (dont on vérifie qu'elles sont valablement formées au moyen dudit mécanisme de preuve de connaissance), ne permettent pas à l'entité vérificatrice d'obtenir l'identité du signataire. 30 Un concept plus particulier de signature anonyme, appelé signature de groupe, a été proposé dans le cadre d'applications spécifiques, comme les enchères électroniques par exemple.
On peut trouver par exemple un schéma de signature de groupe dans l'article de G. Ataniese, J. Camenisch, M. Joye and G. Tsudik intitulé "A Practical and Provably Secure Coalition-Resistant Group Signature Scheme", in M. Bellare éditeur, Advances in Cryptology - CRYPTO 2000, vol. 1880 of LNCS, pages 255 à 270, Springer-Verlag 2000. Selon ce mécanisme, l'entité vérificatrice peut authentifier un signataire comme appartenant au groupe constitué dans une circonstance donnée, par exemple un groupe d'enchérisseurs lors d'une vente aux enchères. On connaît, d'après l'article de D. Boneh, X. Boyen et H. Shacham io intitulé "Short Group Signatures", Advances in Cryptology û CRYPTO 2004, Springer-Verlag 2004, un autre mécanisme de signature de groupe, dit "BBS" d'après les initiales de ses inventeurs. Ce mécanisme fonctionne de la façon suivante. Un certificat Ai tel que Ai z+r =g est fourni par l'autorité de confiance à chaque membre M; de la liste ; dans cette formule, la quantité xi 15 est la clé secrète propre au membre M;, choisie par l'autorité de confiance, et y est la clé secrète de l'autorité de confiance associée à une paire de clés publiques (W, g), avec W = g7 . La signature de groupe du schéma BBS utilise trois composantes notées Tl, T2 et T3 permettant à une entité vérificatrice de vérifier que le 20 signataire est bien membre du groupe. La composante T3 est calculée en fonction du certificat A ainsi que de deux aléas (pris au hasard par le signataire au moment de la signature), Tl est calculée en fonction d'un élément public et d'un aléa (parmi les deux cités précédemment), et T2 est calculée en fonction d'un élément public et du deuxième aléa. 25 Les trois composantes de la signature ainsi réalisée vérifient une relation d'authentification servant de base à un mécanisme de preuve de connaissance, par le membre M;, du certificat A ainsi que de la clé secrète xi . L'entité vérificatrice est alors assurée que le signataire fait bien partie du groupe et que les composantes Tl, T2, et T3 sont bien formées. De plus, 30 l'autorité de confiance détient un secret permettant à tout moment de lever l'anonymat d'une signature. Un tel mécanisme est appelé "ouverture d'une signature", et est possible même s'il n'y a pas de fraude.
En effet, de tels schémas doivent prévoir la possibilité de lever à tout moment l'anonymat des membres du groupe, afin par exemple de déterminer l'identité du vainqueur d'une vente aux enchères. Par ailleurs, un même membre du groupe peut utiliser les mêmes données d'authentification pour effectuer plusieurs signatures au cours de la même séquence sans que cela puisse être détecté, la signature permettant uniquement de vérifier que le signataire appartient bien au groupe (la notion de "séquence" qui vient d'être introduite en liaison avec le concept de signature de groupe se réfère a une période de temps, par exemple un jour ou un mois, au cours de laquelle un io identifiant caractérisant la séquence est valide). Dans le cadre de la présente invention, on dira qu'un mécanisme de signature de groupe dans lequel un membre du groupe peut effectuer plusieurs signatures au cours de la même séquence sans que cela puisse être détecté, est "non-corrélable". Le seul moyen de corréler deux signatures 15 émises par un même membre du groupe est de lever l'anonymat des signataires. Cette absence de "corrélabilité" ne présente aucun inconvénient pour une vente aux enchères, mais n'est évidement pas acceptable pour un vote électronique puisque, dans ce cas, on doit pouvoir s'assurer qu'un membre du 20 groupe, comme un électeur inscrit sur une liste électorale, ne puisse voter plus d'une fois, et ceci sans lever son anonymat. C'est pourquoi il a été proposé un autre schéma de signature électronique, connu sous le nom de signature de liste, qui permet de satisfaire aux exigences précitées relativement au vote électronique. De même que pour 25 la signature de groupe, on dira dans le cadre de la présente invention qu'un mécanisme de signature de liste permettant de détecter qu'un membre de la liste a effectué plusieurs signatures au cours de la même séquence (définie comme ci-dessus), est "corrélable". La demande internationale n 2004/010642 décrit le principe général du 30 procédé de signature de liste. Ce procédé peut être décomposé en plusieurs phases successives.
Une première phase dite d'organisation consiste pour une autorité de confiance à définir au moins un élément cryptographique caractéristique de la liste. Suit une phase d'enregistrement au cours de laquelle un membre reçoit de l'autorité de confiance un certificat caractéristique dudit membre et de la liste. Ce certificat est calculé à partir dudit élément cryptographique et d'une clé secrète propre audit membre. Lors d'une phase de définition de séquence, une autorité habilitée fournit au moins un identifiant caractéristique de la séquence devant être io utilisé par les membres de la liste pour ladite séquence. La phase suivante de signature consiste pour un membre de la liste à fournir à une entité vérificatrice, lors de la séquence, une signature construite de manière à contenir la preuve que le membre signataire connaît le certificat de membre de la liste et que l'identifiant de séquence a été utilisé pour générer 15 la signature. Enfin, une phase de vérification permet à une entité vérificatrice de s'assurer que le signataire est en possession du certificat de membre. La signature permet également de savoir si le même identifiant de séquence a été utilisé plus d'une fois par un certain membre. 20 La demande internationale précitée fournit en outre un mode de réalisation particulier mettant en oeuvre une signature utilisant quatre composantes. Les trois premières composantes, notées Tl , T2 et T3, font intervenir des données d'appartenance du signataire à la liste considérée (liste électorale par exemple) ; en particulier, la composante Tl est de la forme 25 Tl = A • hr , où A est un certificat fourni par l'autorité de confiance à chaque membre de la liste, h est un élément public, et r est un aléa choisi par le membre pour cette séquence. Quant à la quatrième composante, notée T4, elle constitue l'élément de corrélabilité requis pour une application du type vote électronique. Plus précisément, la composante T4 est de la forme g!, où gs 30 est l'identifiant caractéristique de la séquence envisagée et y une clé secrète propre au signataire (on notera en passant que tous les calculs décrits pour la présente invention, notamment les exponentiations, se déroulent au sein de groupes cycliques multiplicatifs d'ordre premier). La donnée gs est valable le temps de la séquence. De manière plus précise, les différentes composantes utilisées pour la signature électronique ainsi que les éléments secrets, propres à chaque membre, satisfont une certaine relation d'authentification. L'entité vérificatrice doit vérifier, au moyen d'un mécanisme de preuve de connaissance, que le membre de la liste connaît ces éléments secrets et qu'ils vérifient ladite relation d'authentification. Si c'est le cas, l'entité vérificatrice est assurée que les quatre composantes de la signature sont bien formées et que le signataire io appartient bien à la liste considérée. De plus, connaissant la valeur de T4, l'entité vérificatrice peut également contrôler que le signataire n'a pas voté deux fois ; en effet, au cours d'une séquence donnée, deux signatures produites par le même membre auront en commun l'élément T4 , qui dépend uniquement de la séquence et de la clé secrète dudit membre. 15 On notera qu'une fraude consistant à voter à l'aide d'une fausse clé secrète serait facilement détectée car dans ce cas la relation d'authentification ne serait pas vérifiée et le vote serait invalidé. Enfin, lors d'une autre séquence, autre scrutin par exemple, la valeur de la donnée gs sera changée. Il ne sera alors plus possible de relier deux votes 20 effectués par un même membre de la liste, comme il sied naturellement à des élections. La notion de "séquence" définie ci-dessus en liaison avec le concept de signature de liste se réfère à une période de temps au cours de laquelle un identifiant caractérisant la séquence est valide. Cependant, il est utile, dans le 25 cadre de la présente invention, de généraliser cette notion de la façon suivante : une "séquence" sera caractérisée par un identifiant de séquence (par exemple, un scrutin lors d'une élection) associé à une donnée d'un type prédéterminé (dans le même exemple, les candidats à cette élection) dont un nombre limité de représentants (chaque représentant étant, dans le même 30 exemple, un vote pour un candidat ou un groupe de candidats particulier) sont destinés à être signés au sein de cette séquence. Dans le cadre d'une élection, la restriction sur le nombre de signatures porte évidemment sur le nombre de votes. Mais dans le cadre, pour prendre un autre exemple, d'un contenu audiovisuel payant téléchargé auprès d'un fournisseur de ressources, la restriction porte sur le nombre de contenus téléchargeables conformément au contrat établi entre le consommateur (signataire) et le fournisseur de contenu.
On connaît aussi, d'après l'article de J. Camenish, S. Hohenberger et A. Lysyanskaya intitulé "Compact E-Cash", in Ronald Cramer, éditeur, Eurocrypt '05, vol. 3494, pages 302 à 321, Springer 2005, un système de monnaie électronique permettant à un utilisateur de signer de manière anonyme un nombre de fois déterminé durant la phase d'enregistrement, par io l'incrémentation d'un compteur, un élément du compteur caractérisant une pièce de monnaie au sein d'un porte-monnaie donné. L'utilisateur dispose donc au départ d'un certain nombre de pièces de monnaie notées j,, j2, et ainsi de suite. Une séquence est ici caractérisée par l'utilisation d'une pièce et a pour identifiant de séquence le numéro jk d'une pièce, et la signature 15 comprend trois composantes ; en particulier, la deuxième composante de signature est fonction de jk et d'une clé secrète de l'utilisateur. Le schéma général de signature de liste permet alors de savoir si une même pièce a été utilisée plus d'une fois. Cependant, si l'on veut démasquer un fraudeur ainsi détecté et éventuellement lui interdire d'utiliser les pièces qui lui restent, il est 20 nécessaire de recourir à un mécanisme de levée d'anonymat puisque la corrélabilité de la signature de liste ne s'étend pas d'une séquence à une autre, c'est-à-dire, ici, d'une pièce à une autre. L'identité du fraudeur étant connue, il est possible d'établir une "liste noire" des pièces restantes et ainsi d'en interdire une utilisation ultérieure. 25 On remarquera cependant que les modes de réalisation d'une signature de liste qui viennent d'être décrits impliquent au moins trois composantes de signature différentes, ce qui nécessite de nombreux calculs coûteux en temps et en puissance. Aussi, la présente invention propose un procédé de signature de liste, 30 comprenant : - une phase d'organisation consistant, pour une autorité de confiance détenant une clé secrète y, à définir une paire de clés publiques (W, g) caractéristique de ladite liste et telle que W=g'' , - une phase d'enregistrement comprenant les étapes consistant • pour au moins un membre (M;) (où i =1,2,...) de la liste, à définir une première clé secrète yi et à transmettre à l'autorité de confiance une donnée hyz , où h est un élément public, • pour l'autorité de confiance, à choisir une deuxième clé secrète xi associée au membre (M;) et à transmettre audit membre la deuxième clé secrète xi et un certificat Ai tel que Ai"' = g • hyz , - une phase de définition de séquence consistant pour une autorité habilitée à fournir un identifiant s de séquence devant être utilisé par les membres de la io liste pour ladite séquence, et - une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (M;) fournit des données qui comprennent une donnée d'authentification Ti,s calculée selon I ;,s = Ai • gvcyz+s> où C. est un élément public, et mettant en oeuvre sa première clé secrète yi et sa deuxième clé 15 secrète xi, sans toutefois divulguer ces clés secrètes. Ainsi, cette phase de signature (au cours de laquelle le membre de la liste signe, par exemple, le nom d'un candidat à une élection pour marquer son choix de ce candidat) met en oeuvre un protocole sans transfert de connaissance. 20 Grâce à l'invention, il n'est nécessaire de calculer qu'une seule composante de signature, à savoir la donnée d'authentification Ti,s, au lieu de trois ou même quatre dans les procédés connus décrits plus haut. La simplification de mise en oeuvre recherchée est donc bien obtenue par l'invention. 25 D'autre part, on montrera ci-dessous que les conditions requises, à savoir préservation de l'anonymat et corrélabilité des signatures, sont effectivement réalisées par le procédé selon l'invention. On notera toutefois que la présente invention n'exclut nullement, dans des cas où cela s'avérerait souhaitable (par exemple dans une application de l'invention au porte-monnaie 30 électronique, ou aux enchères électroniques), la mise en place, en parallèle avec l'invention, d'un mécanisme de levée d'anonymat en cas de besoin. Selon des caractéristiques particulières, une entité vérificatrice peut vérifier, sur la base des données fournies par le membre M; au cours de la phase de signature, que ledit membre connaît une première clé secrète yi, une seconde clé secrète x, et un certificat Ai tels que la relation d'authentification suivante : e(T s,g)x` "+s) e(T s,W)Yi+s . e(h,g)-Yi(Yt+s) . e(g,g)-(YZ+s) . e(g,g x~ = e(, W )
où e est une application bilinéaire, soit vérifiée. On notera que la phase de signature peut être mise en oeuvre de manière non-interactive ; dans ce cas, la phase de vérification de signature par io une entité vérificatrice intervient postérieurement à la phase de signature. Mais on peut également envisager une phase unique de signature/vérification interactive mise en oeuvre en commun par le membre de la liste et l'entité vérificatrice (de tels protocoles interactifs sont quelquefois appelés "authentifications de message") ; cependant, dans ce dernier cas, il faudra être 15 particulièrement vigilant dans le choix des détails dudit protocole interactif, de manière à préserver l'anonymat des membres de la liste. L'invention concerne également un programme d'ordinateur pour la mise en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des 20 étapes consistant à : - définir une première clé secrète yi (où i =1,2,...) et à transmettre à une autorité de confiance une donnée h' , h étant un élément public, - recevoir de ladite autorité de confiance une deuxième clé secrète xi et un certificat Ai correspondant à xi et h' , 25 - recevoir d'une autorité habilitée un identifiant s de séquence, - fournir, au cours d'une phase de signature incluse dans ladite séquence, une donnée d'authentification Ti,s définie par T s = Ai • glI(Yi+s), où g est un élément public, et - utiliser la première clé secrète yi et la deuxième clé secrète xi sans toutefois 30 divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur d'un membre de ladite liste.
L'invention concerne également un programme d'ordinateur pour la mise en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à : - recevoir, au cours d'une phase de signature exécutée par un membre M; (où i =1,2,...) de la liste, des données comprenant une donnée d'authentification Ti,s, et - vérifier, sur la base desdites données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé io secrète yi, une seconde clé secrète xi et un certificat Ai tels qu'une relation d'authentification soit vérifiée, lorsque ledit programme est exécuté par un ordinateur d'une entité vérificatrice. L'invention vise également : - un moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus, et - un moyen de stockage de données partiellement ou totalement 15 amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus. Les avantages de ces programmes d'ordinateur et de ces moyens de stockage sont essentiellement les mêmes que ceux des procédés corrélatifs 20 succinctement exposés ci-dessus. La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée. La figure 1 est un schéma d'un système pour la mise en oeuvre du 25 procédé selon l'invention. La figure 2 est un diagramme des échanges de données entre les entités représentées sur la figure 1. i0 Le système de la figure 1 est destiné à mettre en oeuvre un procédé pour authentifier un membre M; d'une liste de N >1 membres M1,..., MN au moyen d'une signature de liste anonyme et corrélable.
Comme le montre la figure 1, ce système met en jeu une autorité 1 de confiance, une autorité habilitée 3 à fournir un élément caractéristique d'une séquence et une entité vérificatrice 2 chargée des opérations d'authentification. Bien entendu, ces différentes entités peuvent être distinctes ou, au contraire, être toutes ou partiellement identiques. Chaque membre M; dispose d'un terminal permettant de communiquer avec les entités
io précédentes à travers un réseau R de communication. Un exemple typique de séquence est celui d'un scrutin lors d'une élection.
Sur la figure 2 sont représentées les différentes phases du procédé conforme à l'invention ainsi que les échanges de données correspondantes. 15 La phase (1) est une phase d'organisation au cours de laquelle l'autorité 1 de confiance définit un jeu de clés publiques W et g reliées entre elles par une clé secrète y selon la formule W=g''. Ces clés sont caractéristiques de la liste gérée par l'autorité 1 de confiance. Au cours de cette phase sont également définis deux éléments publics h et g.
20 Au cours de la phase (2) d'enregistrement des membres sur la liste, liste électorale par exemple, au moins un membre M; définit une première clé secrète yi qui lui est propre, l'autorité 1 de confiance n'ayant pas connaissance de cette première clé. Chacun des membres de la liste calcule alors la donnée hYi à partir de l'élément public h et de sa première clé secrète yi. Cette 25 donnée hYz est transmise à l'autorité 1 de confiance.
Toujours au cours de la phase (2) d'enregistrement, l'autorité 1 de confiance choisit une deuxième clé secrète xi associée au membre M. L'autorité 1 de confiance est alors en mesure d'établir pour le membre M; un certificat Ai vérifiant la relation : 30 dxi+y _ g hYi ~ 2911024 Il Le certificat Ai ainsi que la deuxième clé secrète xi sont ensuite transmis au membre M; de la liste par l'autorité 1 de confiance. On notera que ce certificat est caractéristique du membre M; et de la liste considérée. On notera également que les propriétés des exponentielles dans un groupe fini 5 (connues sous le nom de "problème du logarithme discret") empêchent le membre M; de déduire de la relation ci-dessus l'exposant (xi + y), et donc la clé secrète y de l'autorité 1 de confiance. Lorsqu'une séquence est ouverte, se produit une phase (3) de définition de séquence consistant pour une autorité habilitée 3 à transmettre aux io membres enregistrés sur la liste un élément public s, ou identifiant de séquence, caractéristique de la séquence et qui doit être utilisée par les membres de la liste pendant toute la durée de la séquence. Au cas où une nouvelle séquence devait être ouverte, lors d'un deuxième scrutin par exemple, un nouvel identifiant s' serait fourni par l'autorité habilitée 3. 15 Si, au cours d'une séquence définie par un identifiant s, un membre M; souhaite signer un message à destination de l'entité vérificatrice 2, il entre dans une phase (4) de signature au cours de laquelle le membre M; établit la donnée d'authentification unique Ti,s définie par la relation :
20 Ti,s =Ai•g 1/(vi +s)
Cette donnée d'authentification Ti,s est alors fournie par le membre M; à l'entité vérificatrice 2. Les considérations ci-dessous font intervenir une application bilinéaire. 25 On rappelle ici la définition d'une application bilinéaire e : - Gl et G2 étant deux groupes cycliques multiplicatifs, distincts ou non, de même ordre premier, - gl étant un générateur de Gl et g2 étant un générateur de G2, - e est une application calculable ayant les propriétés suivantes : 30 • bilinéarité : e(U`, Vb) = e(U, V)ab pour tout U dans G1, tout V dans G2 et tout a et tout b dans Z , et • non-dégénérescence : e(gl,g2) ≠ 1. La relation Aixz+7 = g • h' peut également s'écrire sous la forme e(Ai,g)x` • e(Ai,W) • e(h,g)-Yz = e(g,g) , ce qui, couplé à la relation T s = Ai • glI(Yi+S), conduit à la relation d'authentification suivante : e(T s,g)x`(Yz+s) ,e(T s,W)Yi+s e(h,g)-Yi(Yi+S) .e(g,g)-(Yz+S) .e(g,g)-xl =e(g,W)
La phase (5) de vérification consiste pour l'entité vérificatrice 2 à vérifier, en utilisant un mécanisme de preuve de connaissance standard, que le signataire connaît une première clé secrète yi, une deuxième clé secrète xi et un certificat Ai tels que ladite relation d'authentification soit vérifiée. Comme seuls les membres de la liste connaissent les couples d'éléments secrets (yi, xi) vérifiant cette relation, on comprend que, si la preuve de la connaissance d'un tel couple est apportée à partir, notamment, de la donnée d'authentification Ti,s, il est possible de conclure que cette donnée émane d'un membre de la liste et qu'elle a été correctement formée. De plus, l'authentification du signataire étant établie au moyen d'un procédé dans lequel tous les membres de la liste possèdent le même type de signatures et au moyen d'un mécanisme de preuve de connaissance telle que définie ci-dessus, l'anonymat des membres est préservé.
Au regard de la relation T s = Ai • g1t(Yi+s), on peut également observer que pour un membre M; donné, caractérisé dans cette relation par le certificat Ai et la clé secrète yi, la donnée d'authentification Ti,s reste la même tout au long de la séquence caractérisée par l'identifiant s. L'entité vérificatrice 2 a donc la possibilité de s'assurer qu'aucun membre n'a utilisé sa clé secrète pour effectuer plusieurs signatures au cours d'une même séquence. On notera en revanche que le corrélabilité s'arrête à la fin d'une séquence puisque, si une nouvelle séquence est ouverte, l'identifiant s change et la signature change nécessairement. Un procédé de signature de liste dans lequel on ne peut corréler deux signatures effectuées respectivement au cours de deux séquences différentes est dit "non-traçable" ; lorsqu'un mécanisme de signature de liste permet de lever l'anonymat en cas de fraude, on peut empêcher le fraudeur de signer lors d'une séquence ultérieure : un tel mécanisme est alors "traçable".
En résumé, outre le fait qu'elle n'exige le calcul que d'une composante de signature unique, l'invention permet, d'une part, de s'assurer que cette signature provient d'un membre de la liste et qu'elle a été correctement formée et, d'autre part de corréler deux signatures de ce membre pour une séquence donnée, tout en préservant son anonymat et l'impossibilité de le tracer pour deux séquences différentes.

Claims (6)

REVENDICATIONS
1. Procédé de signature de liste, comprenant : - une phase d'organisation consistant, pour une autorité (1) de confiance détenant une clé secrète y, à définir une paire de clés publiques (W, g) caractéristique de ladite liste et telle que W=gy, - une phase d'enregistrement comprenant les étapes consistant • pour au moins un membre (M;) (où i =1,2,...) de la liste, à définir une première clé secrète yi et à transmettre à l'autorité (1) de confiance une donnée hYi , où h est un élément public, • pour l'autorité (1) de confiance, à choisir une deuxième clé secrète xi associée au membre (M;) et à transmettre audit membre la deuxième clé secrète xi et un certificat Ai tel que Aixi+y = g . hYi , -une phase de définition de séquence consistant pour une autorité habilitée (3) à fournir un identifiant s de séquence devant être utilisé par les membres de la liste pour ladite séquence, et - une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (M;) fournit des données qui comprennent une donnée d'authentification Ti,s calculée selon I ;,s = Ai • g1I(Yi+s) où g est un élément public, et mettant en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi, sans toutefois divulguer ces clés secrètes.
2. Procédé de signature de liste selon la revendication 1, dans lequel une entité vérificatrice (2) vérifie, sur la base des données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yi, une seconde clé secrète xi et un certificat Ai tels que la relation d'authentification suivante : e(T ,s,g)xi (Yi+s) e(T s,W)vi+s . e(h,g)-Yi (Yi+s) . e(g,g)-(Yi+s) = e(g,W) où e est une application bilinéaire, soit vérifiée.
3. Programme d'ordinateur pour la mise en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à : - définir une clé secrète y; (où i =1,2,...) et à transmettre à une autorité (1) de confiance une donnée hyz , h étant un élément public, - recevoir de ladite autorité (1) de confiance une deuxième clé secrète x; et un certificat A; correspondant à x; et hyz , - recevoir d'une autorité habilitée (3) un identifiant s de séquence, - fournir, au cours d'une phase de signature incluse dans ladite séquence, une donnée d'authentification T1,s définie par T s = 4 • glI(yz+s)où C. est un élément public, et - utiliser la première clé secrète y; et la deuxième clé secrète x; sans toutefois divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur d'un membre (M;) de ladite liste.
4. Programme d'ordinateur pour la mise en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à : - recevoir, au cours d'une phase de signature exécutée par un membre (M;) (où i =1,2,...) de ladite liste, des données comprenant une donnée d'authentification T,,s, et -vérifier, sur la base desdites données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète y;, une seconde clé secrète x; et un certificat A; tels qu'une relation d'authentification soit vérifiée, lorsque ledit programme est exécuté par un ordinateur d'une entité vérificatrice (2).
5. Moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé de signature de liste selon la revendication 1 ou la revendication 2.
6. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatiquepour l'exécution des étapes d'un procédé de signature de liste selon la revendication 1 ou la revendication 2.
FR0655983A 2006-12-27 2006-12-27 Procede de signature de liste anonyme et correlable Pending FR2911024A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0655983A FR2911024A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et correlable
PCT/FR2007/052568 WO2008081151A2 (fr) 2006-12-27 2007-12-19 Procede de signature de liste anonyme et correlable

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0655983A FR2911024A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et correlable

Publications (1)

Publication Number Publication Date
FR2911024A1 true FR2911024A1 (fr) 2008-07-04

Family

ID=38291282

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0655983A Pending FR2911024A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et correlable

Country Status (2)

Country Link
FR (1) FR2911024A1 (fr)
WO (1) WO2008081151A2 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
WO2004010642A1 (fr) * 2002-07-19 2004-01-29 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
WO2004010642A1 (fr) * 2002-07-19 2004-01-29 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CAMENISCH J ET AL: "Compact e-cash", ADVANCES IN CRYPTOLOGY-EUROCRYPT 2005. 24TH ANNUAL INTERNATIONAL CONFERENCE ON THE THEORY AND APPLICATIONS OF CRYPTOGRAPHIC TECHNIQUES. PROCEEDINGS SPRINGER-VERLAG BERLIN, GERMANY, 2005, pages 302 - 321, XP002445217, ISBN: 3-540-25910-4 *
CANARD ET AL: "List signature schemes", DISCRETE APPLIED MATHEMATICS, ELSEVIER SCIENCE, AMSTERDAM, NL, vol. 154, no. 2, 1 February 2006 (2006-02-01), pages 189 - 201, XP005222269, ISSN: 0166-218X *

Also Published As

Publication number Publication date
WO2008081151A3 (fr) 2008-10-09
WO2008081151A2 (fr) 2008-07-10

Similar Documents

Publication Publication Date Title
EP3010177B1 (fr) Procédé d&#39;authentification d&#39;un dispositif client auprès d&#39;un serveur à l&#39;aide d&#39;un élément secret
EP2116000B1 (fr) Procéée d&#39;authentification unique d&#39;un utilisateur auprès de fournisseurs de service
EP2656538B1 (fr) Accès anonyme a un service au moyen de certificats agrégés
FR3076420A1 (fr) Methode d&#39;echange de cles par contrat intelligent deploye sur une chaine de blocs
CA2895189C (fr) Signature de groupe utilisant un pseudonyme
WO2003061193A1 (fr) Procede et dispositif de signature anonyme au moyen d&#39;une cle privee partagee
WO2010142923A1 (fr) Procede cryptographique d&#39;authentification anonyme et d&#39;identification separee d&#39;un utilisateur
EP2345202A2 (fr) Procédé de signature numérique en deux étapes
WO2005122466A1 (fr) Abrege descriptif procede et systeme de signature de liste
CA2553176A1 (fr) Procedes et dispositifs cryptographiques sans transfert de connaissance
FR2842680A1 (fr) Procede de signature de liste et application au vote electronique
EP3965361A1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
FR2911024A1 (fr) Procede de signature de liste anonyme et correlable
WO2019122679A1 (fr) Procédé cryptographique de signature de groupe
FR2911025A1 (fr) Procede de signature de liste anonyme et tracable sans levee d&#39;anonymat
EP3063898B1 (fr) Signature à pseudonyme pour carte à puce
FR3102024A1 (fr) Procédé de gestion d’une base de données de clés publiques, procédé d’authentification de clés publiques, et dispositifs serveur et client mettant en œuvre ces procédés
FR2949932A1 (fr) Procede cryptographique d&#39;abonnement anonyme a un service
EP3008851A1 (fr) Procede et systeme de delegation d&#39;un calcul d&#39;une valeur de couplage bilineaire a un serveur de calcul
EP1989819B1 (fr) Procéde de certification de clé publique par un prestataire non accrédité
WO2012001272A1 (fr) Procede d&#39;authentification permettant de renforcer l&#39;anonymat entre un fournisseur d&#39;identites et un fournisseur de services