FR2911025A1 - Procede de signature de liste anonyme et tracable sans levee d'anonymat - Google Patents

Procede de signature de liste anonyme et tracable sans levee d'anonymat Download PDF

Info

Publication number
FR2911025A1
FR2911025A1 FR0655987A FR0655987A FR2911025A1 FR 2911025 A1 FR2911025 A1 FR 2911025A1 FR 0655987 A FR0655987 A FR 0655987A FR 0655987 A FR0655987 A FR 0655987A FR 2911025 A1 FR2911025 A1 FR 2911025A1
Authority
FR
France
Prior art keywords
list
sequence
secret key
data
identifier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR0655987A
Other languages
English (en)
Inventor
Cecile Delerablee
Sebastien Canard
Herve Sibert
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0655987A priority Critical patent/FR2911025A1/fr
Priority to PCT/FR2007/052622 priority patent/WO2008087359A2/fr
Publication of FR2911025A1 publication Critical patent/FR2911025A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

La présente invention propose un procédé de signature de liste, comprenant : une phase d'organisation consistant, pour une entité (1) de confiance, à définir au moins un élément cryptographique (W, g2) caractéristique de ladite liste ; une phase d'enregistrement au cours de laquelle au moins un membre (Mi) (où i =1,2,... ) de la liste définit une clé secrète yi et reçoit de l'autorité (1) de confiance un certificat Ai propre audit membre (Mi) dans ladite liste, calculé à partir dudit élément cryptographique et de ladite clé secrète yi ; une phase de définition de séquence consistant pour une autorité habilitée (3) à fournir au moins un identifiant (hs, s) de séquence devant être utilisé par les membres de la liste pour ladite séquence ; et une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (Mi) fournit des données comprenant une première composante d'authentification Si caractéristique de l'appartenance dudit membre à la liste pour la séquence, calculée à partir du certificat Ai et d'un élément secret ri choisi par le membre pour la séquence, et une deuxième composante d'authentification Ti caractéristique de l'utilisation dudit identifiant de séquence par ledit membre, calculée à partir de ladite clé secrète yi et de l'identifiant (hs, s) de séquence. Selon l'invention, lesdites données comprennent également une troisième composante d'authentification Ui destinée à déterminer, le cas échéant, au moins une donnée anonyme du membre (Mi) ayant utilisé ledit identifiant (hs, s) de séquence plus d'une fois au cours de ladite séquence, ladite donnée anonyme étant fonction de la clé sécrète yi dudit membre et indépendante de l'identifiant de séquence, et mettent en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi , sans toutefois divulguer ces clés secrètes.Application au vote électronique.

Description

La présente invention concerne un procédé de signature de liste, anonyme
et traçable sans levée d'anonymat. L'invention s'applique au domaine général de la sécurité des services accessibles par un réseau de communication de données numériques, et plus précisément le domaine de la signature électronique anonyme. Dans ce contexte, l'invention trouve une application particulièrement avantageuse, mais non exclusive, au vote électronique ou encore à la pétition électronique. io La plupart des schémas connus de signature électronique mettent en oeuvre des mécanismes relevant de la cryptographie dite à clé publique. En substance, ce type de mécanisme fonctionne de la façon suivante. Une personne possédant une clé publique et une clé secrète associée produit une signature d'un message à l'aide de la clé secrète. Pour authentifier la 15 signature, il suffit à l'entité vérificatrice de posséder la clé publique, sans avoir à connaître la clé sécrète. Cette technique met en oeuvre un mécanisme de preuve de connaissance. L'entité vérificatrice peut alors conclure que le signataire du message est bien la personne titulaire de la clé publique. Ce "mécanisme de preuve de connaissance" consiste pour le signataire 20 à prouver à l'entité vérificatrice, à travers un protocole approprié, qu'il détient la clé secrète associée à la clé publique, sans pour autant dévoiler cette clé secrète à l'entité vérificatrice ; pour plus de détails sur les protocoles de preuve dits "sans transfert de connaissance" (en anglais, "zero-knowledge proof), on se référera à la norme ISO/IEC 9798-5. 25 Dans le schéma d'authentification d'un signataire au moyen d'un mécanisme de preuve de connaissance, l'anonymat du signataire est garanti du fait que les données d'authentification (dont on vérifie qu'elles sont valablement formées au moyen dudit mécanisme de preuve de connaissance), ne permettent pas à l'entité vérificatrice d'obtenir l'identité du signataire.
Un concept plus particulier de signature anonyme, appelé signature de groupe, a été proposé dans le cadre d'applications spécifiques, comme les enchères électroniques par exemple. On peut trouver par exemple un schéma de signature de groupe dans l'article de G. Ataniese, J. Camenisch, M. Joye et G. Tsudik intitulé "A Practical and Provably Secure Coalition-Resistant Group Signature Scheme", in M. Bellare éditeur, Advances in Cryptology - CRYPTO 2000, vol. 1880, pages 255 à 270, Springer-Verlag 2000. Selon ce mécanisme, l'entité vérificatrice peut authentifier un signataire io comme appartenant au groupe constitué dans une circonstance donnée, par exemple un groupe d'enchérisseurs lors d'une vente aux enchères. Cependant, un tel schéma doit prévoir la possibilité de lever à tout moment l'anonymat des membres du groupe afin par exemple de déterminer l'identité du vainqueur de la vente aux enchères. Par ailleurs, un même 15 membre du groupe peut utiliser les mêmes données d'authentification pour effectuer plusieurs signatures au cours de la même séquence sans que cela puisse être détecté, la signature permettant uniquement de vérifier que le signataire appartient bien au groupe (la notion de "séquence" qui vient d'être introduite en liaison avec le concept de signature de groupe se réfère à une 20 période de temps, par exemple un jour ou un mois, au cours de laquelle un identifiant caractérisant la séquence est valide). Dans le cadre de la présente invention, on dira qu'un mécanisme de signature de groupe dans lequel un membre du groupe peut effectuer plusieurs signatures au cours du même évènement sans que cela puisse être détecté, est "non-corrélable". Le seul 25 moyen de corréler deux signatures émises par un même membre du groupe est de lever l'anonymat des signataires. Cette absence de "corrélabilité" ne présente aucun inconvénient pour une vente aux enchères, mais n'est évidement pas acceptable pour un vote électronique puisque, dans ce cas, on doit pouvoir s'assurer qu'un membre du 30 groupe, comme un électeur inscrit sur une liste électorale, ne puisse voter plus d'une fois, et ceci sans lever son anonymat. C'est pourquoi il a été proposé un autre schéma de signature électronique, connu sous le nom de signature de liste, qui permet de satisfaire aux exigences précitées relativement au vote électronique. De même que pour la signature de groupe, on dira dans le cadre de la présente invention qu'un mécanisme de signature de liste permettant de détecter qu'un membre de la liste a effectué plusieurs signatures au cours de la même séquence (définie comme ci-dessus), est "corrélable". Par ailleurs, un procédé de signature de liste dans lequel on ne peut corréler deux signatures effectuées respectivement au cours de deux séquences différentes, est dit "non-traçable" ; par exemple, lorsqu'un mécanisme de signature de liste permet de lever l'anonymat en cas de fraude, io on peut empêcher le fraudeur de signer lors d'une séquence ultérieure : un tel mécanisme est alors "traçable". La demande internationale n 2004/010642 décrit le principe général du procédé de signature de liste. Ce procédé peut être décomposé en plusieurs phases successives. 15 Une première phase dite d'organisation consiste pour une autorité de confiance à définir au moins un élément cryptographique caractéristique de la liste. Suit une phase d'enregistrement au cours de laquelle un membre reçoit de l'autorité de confiance un certificat caractéristique dudit membre et de la 20 liste. Ce certificat est calculé à partir dudit élément cryptographique et d'une clé secrète propre audit membre. Lors d'une phase de définition de séquence, une autorité habilitée fournit au moins un identifiant caractéristique de la séquence devant être utilisé par les membres de la liste pour ladite séquence. 25 La phase suivante de signature consiste pour un membre de la liste à fournir à une entité vérificatrice, lors de la séquence, une signature construite de manière à contenir la preuve que le membre signataire connaît le certificat de membre de la liste et que l'identifiant de séquence a été utilisé pour générer la signature. Plus précisément, la signature de liste comprend, au moins, une 30 première composante calculée à partir du certificat et d'un élément secret choisi par le membre pour la séquence considérée, et une deuxième composante calculée à partir de la clé secrète propre audit membre et de l'identifiant de séquence.
Enfin, une phase de vérification permet à une entité vérificatrice de s'assurer que le signataire est en possession du certificat de membre. La deuxième composante de la signature permet également de savoir si le même identifiant de séquence a été utilisé plus d'une fois par un certain membre.
La demande internationale précitée fournit en outre un mode de réalisation particulier mettant en oeuvre une signature utilisant quatre composantes. Les trois premières composantes, notées Tl, T2 et T3, font intervenir des données d'appartenance du signataire à la liste considérée (liste électorale par exemple) ; en particulier, la composante Tl est de la forme io Tl = A • hr , où A est un certificat fourni par l'autorité de confiance à chaque membre de la liste, h est un élément public, et r est un aléa choisi par le membre pour cette séquence. Quant à la quatrième composante, notée T4, elle constitue l'élément de corrélabilité requis pour une application du type vote électronique. Plus précisément, la composante T4 est de la forme gsY, où gs 15 est l'identifiant caractéristique de la séquence envisagée et y une clé secrète propre au membre de la liste (on notera en passant que tous les calculs décrits pour la présente invention, notamment les exponentiations, se déroulent au sein de groupes cycliques multiplicatifs d'ordre premier). La donnée gs est valable le temps de la séquence. 20 De manière plus précise, les différentes composantes utilisées pour la signature électronique ainsi que les éléments secrets, propres à chaque membre, satisfont une certaine relation d'authentification. L'entité vérificatrice doit vérifier, au moyen d'un mécanisme de preuve de connaissance, que le membre de la liste connaît ces éléments secrets et qu'ils vérifient ladite 25 relation d'authentification. Si c'est le cas, l'entité vérificatrice est assurée que les quatre composantes de la signature sont bien formées et que le signataire appartient bien à la liste considérée. De plus, connaissant la valeur de T4, l'entité vérificatrice peut également contrôler que le signataire n'a pas voté deux fois ; en effet, au cours d'une séquence donnée, deux signatures 30 produites par le même membre auront en commun l'élément T4, qui dépend uniquement de la séquence et de la clé secrète dudit membre.
On notera qu'une fraude consistant à voter à l'aide d'une fausse clé secrète serait facilement détectée car dans ce cas la relation d'authentification ne serait pas vérifiée et le vote serait invalidé. Enfin, lors d'une autre séquence, autre scrutin par exemple, la valeur de la donnée gs sera changée. Il ne sera alors plus possible de relier deux votes effectués par un même membre de la liste, comme il sied naturellement à des élections. En résumé, les applications mettant en oeuvre une signature de liste permettent à un utilisateur de signer un certain nombre de fois, limité ou non, io en utilisant un même identifiant de séquence ; les applications dites corrélables offrent la possibilité de relier deux signatures provenant du même couple utilisateur/identifiant si l'utilisateur signe plus d'une fois avec le même identifiant de séquence. Bien entendu, ce comportement est jugé frauduleux lorsqu'il s'agit du vote électronique. 15 Toutefois, dans la perspective de sanctionner un fraudeur ou de l'empêcher de frauder à nouveau, on constate que les mécanismes de signature de liste connus sont impuissants car ils ne permettent pas de tracer un utilisateur au-delà d'une même séquence, sauf à procéder à une levée d'anonymat et à établir une "liste noire". En d'autres termes, il n'est pas 20 possible d'empêcher un fraudeur de frauder à nouveau, à moins de lever son anonymat, avec les inconvénients que cela représente en termes de vie privée. Aussi, la présente invention propose un procédé de signature de liste, comprenant : 25 - une phase d'organisation consistant, pour une entité de confiance, à définir au moins un élément cryptographique (W , g2) caractéristique de ladite liste, - une phase d'enregistrement au cours de laquelle au moins un membre (M;) (où i =1,2,...) de la liste définit une clé secrète yi et reçoit de l'autorité de confiance un certificat Ai propre audit membre (M;) dans ladite liste, calculé à 30 partir dudit élément cryptographique et de ladite clé secrète yi , - une phase de définition de séquence consistant pour une autorité habilitée à fournir au moins un identifiant (hs, s) de séquence devant être utilisé par les membres de la liste pour ladite séquence, et - une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (M;) fournit des données comprenant une première composante d'authentification Si caractéristique de l'appartenance dudit membre à la liste pour la séquence, calculée à partir du certificat Ai et d'un élément secret r choisi par le membre pour la séquence, et une deuxième composante d'authentification Ti caractéristique de l'utilisation dudit identifiant de séquence par ledit membre, calculée à partir de ladite clé secrète yi et de l'identifiant (hs , s) de séquence, ledit procédé étant remarquable en ce que lesdites données comprennent io également une troisième composante d'authentification Ui destinée à déterminer, le cas échéant, au moins une donnée anonyme (h0 g Yi) du membre (M;) ayant utilisé ledit identifiant (hs, s) de séquence plus d'une fois au cours de ladite séquence, ladite donnée anonyme étant fonction de la clé sécrète yi dudit membre et indépendante de l'identifiant de séquence, et 15 mettent en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi , sans toutefois divulguer ces clés secrètes. Ainsi, cette phase de signature (au cours de laquelle le membre de la liste signe, par exemple, le nom d'un candidat à une élection pour marquer son choix de ce candidat) met en oeuvre un protocole sans transfert de 20 connaissance. Grâce à l'invention, on peut, dans un premier temps, détecter qu'un membre de la liste signe plus d'une fois au cours de la même séquence, puis tracer ce membre lors de séquences ultérieures, sans pour autant lever son anonymat. 25 Selon des caractéristiques particulières, une entité vérificatrice vérifie, sur la base des données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yi , une seconde clé secrète xi et un certificat Ai tels qu'une relation d'authentification prédéterminée soit vérifiée. 30 On notera que la phase de signature peut être mise en oeuvre de manière non-interactive ; dans ce cas, la phase de vérification de signature par une entité vérificatrice intervient postérieurement à la phase de signature. Mais on peut également envisager une phase unique de signature/vérification interactive mise en oeuvre en commun par le membre de la liste et l'entité vérificatrice (de tels protocoles interactifs sont quelquefois appelés "authentifications de message") ; cependant, dans ce dernier cas, il faudra être particulièrement vigilant dans le choix des détails dudit protocole interactif, de manière à préserver l'anonymat des membres de la liste. Ainsi, le procédé conforme à l'invention permet de détecter un membre ayant utilisé un identifiant de séquence plus d'une fois lors d'une même séquence au moyen d'une seule donnée caractéristique de ce membre et indépendante de tout identifiant de séquence. Pour le tracer au cours de io séquences ultérieures, il suffit de vérifier que cette donnée est présente ou non dans la troisième composante des signatures reçues de la part des membres de la liste. De plus, par la façon dont est construite la donnée de traçabilité, le procédé proposé par l'invention est absolument anonyme. Selon d'autres caractéristiques particulières, ledit procédé comprend en 15 outre : - une phase de constitution d'une liste noire comprenant lesdites données anonymes (ho Yi g yti) caractéristiques de membres ayant utilisé ledit identifiant de séquence plus d'une fois au cours de la séquence, et - une phase de vérification au cours de laquelle une entité vérificatrice teste si 20 la troisième composante (Uk) d'authentification fournie par un membre (Mk) contient une donnée anonyme (ho Yi g yti) de ladite liste noire. Ce schéma de construction de liste noire est très simple puisque la liste noire ne comprend qu'une seule donnée pour chaque fraudeur. L'invention concerne en outre un programme d'ordinateur pour la mise 25 en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions pour l'exécution d'une phase de signature, incluse dans ladite séquence, au cours de laquelle un membre (M;) (où i =1,2,...) de ladite liste fournit des données qui comprennent une première composante d'authentification Si caractéristique de l'appartenance dudit membre à la liste 30 pour la séquence, calculée à partir d'un certificat Ai fourni par une autorité de confiance et d'un élément secret r choisi par le membre pour la séquence, une deuxième composante d'authentification Ti caractéristique de l'utilisation par ledit membre d'un identifiant de séquence fournie par une autorité habilitée, ladite deuxième composante d'authentification Ti étant calculée à partir de ladite clé secrète yi et de l'identifiant de séquence, et, au moins, une troisième composante d'authentification Ui destinée à déterminer, le cas échéant, au moins une donnée anonyme (ho yti , g yti) d'un membre (M;) ayant utilisé ledit identifiant de séquence plus d'une fois au cours de ladite séquence, ladite donnée étant fonction de la clé sécrète yi dudit membre et indépendante de l'identifiant de séquence, et mettent en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi sans toutefois divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur du membre io (M;) de la liste. Selon des caractéristiques particulières, ledit programme comprend des instructions pour l'exécution d'une phase de vérification au cours de laquelle une entité vérificatrice vérifie, sur la base des données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une 15 première clé secrète yi , une seconde clé secrète xi et un certificat Ai tels qu'une relation d'authentification prédéterminée soit vérifiée, lorsque ledit programme est exécuté par un ordinateur de l'entité vérificatrice. Selon d'autres caractéristiques particulières, ledit programme comprend des instructions pour l'exécution d'une phase de test au cours de laquelle une 20 entité vérificatrice teste si ladite troisième composante d'authentification Uk fournie par ledit membre (Mk) contient une donnée anonyme (ho yti g yti) (où i =1,2,...) présente dans les données d'une liste noire comprenant des données anonymes (ho yti , g yti) caractéristiques de membres ayant utilisé ledit identifiant de séquence plus d'une fois au cours de la séquence, lorsque 25 ledit programme est exécuté par un ordinateur de l'entité vérificatrice. L'invention vise également : - un moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus, et - un moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus. Les avantages de ces programmes d'ordinateur et de ces moyens de stockage sont essentiellement les mêmes que ceux des procédés corrélatifs 5 succinctement exposés ci-dessus. La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée. La figure 1 est un schéma d'un système pour la mise en oeuvre du io procédé selon l'invention. La figure 2 est un diagramme des échanges de données entre les entités représentées sur la figure 1. Le système de la figure 1 est destiné à mettre en oeuvre un procédé pour authentifier un membre M; d'une liste de N >1 membres M1,..., MN au 15 moyen d'une signature de liste anonyme et traçable sans levée d'anonymat. Comme le montre la figure 1, ce système met en jeu une autorité 1 de confiance, une autorité habilitée 3 à fournir au moins un élément caractéristique d'une séquence et une entité vérificatrice 2 chargée des opérations d'authentification. Bien entendu, ces différentes entités peuvent 20 être distinctes ou, au contraire, être toutes ou partiellement identiques. Chaque membre M; dispose d'un terminal permettant de communiquer avec les entités précédentes à travers un réseau R de communication. Un exemple typique de séquence est celui d'un scrutin lors d'une élection. 25 Sur la figure 2 sont représentées les différentes phases du procédé conforme à l'invention ainsi que les échanges de données correspondantes. La phase (1) est une phase d'organisation au cours de laquelle l'autorité 1 de confiance définit un jeu de clés publiques W et g2 reliées entre elles par une clé secrète y selon la formule W = g27. Ces clés sont caractéristiques 30 de la liste gérée par l'autorité 1 de confiance. Au cours de la phase (2) d'enregistrement des membres sur la liste, liste électorale par exemple, au moins un membre M; définit une première clé secrète yi qui lui est propre, l'autorité 1 de confiance n'ayant pas i0 connaissance de cette première clé. Chacun des membres de la liste calcule alors une donnée hyti à partir d'un élément public h et de sa première clé secrète yi . Cette donnée hyti est transmise à l'autorité 1 de confiance. Toujours au cours de la phase (2) d'enregistrement, l'autorité 1 de confiance choisit une deuxième clé secrète xi associée au membre M. L'autorité 1 de confiance est alors en mesure d'établir pour le membre M; un certificat Ai vérifiant la relation :
7 = gr , hyti i0 gl étant un élément public pouvant être pris égal à g2 . Le certificat A est ensuite transmis au membre M; de la liste par l'autorité 1 de confiance. On notera que ce certificat est caractéristique du membre M; et de la liste considérée. On notera également que les propriétés 15 des exponentielles dans un groupe fini (connues sous le nom de "problème du logarithme discret") empêchent le membre M; de déduire de la relation ci-dessus l'exposant (xi + y), et donc la clé secrète y de l'autorité 1 de confiance. Lorsqu'une séquence est ouverte, se produit une phase (3) de définition 20 de séquence consistant pour une autorité habilitée 3 à transmettre aux membres enregistrés sur la liste deux éléments publics hs et s , ou identifiants de séquence, caractéristiques de la séquence et qui doivent être utilisés par les membres de la liste pendant toute la durée de la séquence. Au cas où une nouvelle séquence devait être ouverte, lors d'un deuxième scrutin par 25 exemple, de nouveaux identifiants hs, et s' seraient fournis par l'autorité habilitée 3. Si, au cours d'une séquence définie par les identifiants hs et s , un membre M; souhaite signer un message à destination de l'entité vérificatrice 2, il entre dans une phase (4) de signature/authentification qui consiste pour le 30 membre M; à établir une donnée d'authentification comprenant les quatre composantes suivantes :
Si=A •h' , Il yi .ci .s où ho et g sont des éléments publics, et r et ci sont des aléas choisis par le membre pour cette séquence. Ces composantes d'authentification (Si,Ti,ci,U.) sont alors fournies par le membre M; à l'entité vérificatrice 2. Les considérations ci-dessous font intervenir une application bilinéaire. io On rappelle ici la définition d'une application bilinéaire e : - G1 et G2 étant deux groupes cycliques multiplicatifs, distincts ou non, de même ordre premier, - gl étant un générateur de G1 et g2 étant un générateur de G2, - e est une application calculable ayant les propriétés suivantes : 15 • bilinéarité : e(Ua, Vb) = e(U, V)ab pour tout U dans G1, tout V dans G2 et tout a et tout b dans Z , et • non-dégénérescence : e(gl,g2) ≠ 1. La relation Aixi+7 = gr hyi peut également s'écrire sous la forme e(Ai, g2)xi e(Ai,W) = e(gi, g2) . e(h, g2)Yi , 20 ce qui, couplé à la relation Si = Ai • hri , conduit à la relation d'authentification suivante : e(Si, g2)xi • e(Si ,W) = e(gi, g2) • e(h, g2)"ri xi • e(h,W )ri .
25 La phase (5) de vérification consiste pour l'entité vérificatrice 2 à vérifier, en utilisant un mécanisme de preuve de connaissance standard, que le signataire M; connaît des clés secrètes xi, yi et un certificat Ai tels que la relation d'authentification ci-dessus soit vérifiée. Cette vérification permet de garantir à l'entité vérificatrice 2 que la signature reçue provient bien d'un 30 membre de la liste pour la séquence en cours et que ses composantes Si , Ti et Ui ont été correctement formées. On remarquera que, dans ce schéma, un membre a, matériellement parlant, la possibilité de signer une nouvelle fois au cours de la même séquence. Il lui suffit de choisir deux autres données r'i et c'i et de fournir à l'entité vérificatrice 2 une nouvelle signature comprenant les composantes d'authentification suivantes : S'i=Ai •hr` Ti=hsyt c'i , et U'i = hoy`
lo On observera que T'i = Ti , ce qui permet à l'entité vérificatrice de déceler qu'un même membre de la liste a signé une deuxième fois avec l'identifiant hs de séquence. Pour repérer le membre fraudeur, on calcule la quantité suivante :
15 (Uac ` /U'ici )1/(c'.-ci) qui vaut hoy` Cette donnée hoy` est caractéristique du membre fraudeur et indépendante de la séquence puisqu'elle ne fait intervenir que la clé secrète 20 yi du membre, ce qui garantit l'anonymat du procédé. Les données caractéristiques des membres fraudeurs sont inscrites sur une liste noire. Pour empêcher les fraudeurs ainsi identifiés de signer lors d'une séquence ultérieure, il suffit pour l'entité vérificatrice de tester la présence d'une donnée de la liste noire dans les signatures reçues. 25 Dans un mode de réalisation particulier, on peut stocker dans la liste noire non seulement la donnée hoy` mais également la donnée g y` , laquelle se déduit de hoy` par la connaissance de la composante Ui ou Ui', s , ci ou ci' étant également connus. Ainsi, lors d'une séquence caractérisée par un identifiant s , l'entité 30 vérificatrice 2 peut tester si une composante Uk reçue implique une donnée {hoy` , g yti } de la liste noire en vérifiant l'égalité suivante :
Uk = hoy • (gYi )ck s En résumé, on comprend qu'une application particulièrement avantageuse de la présente invention est le vote électronique, dans la mesure où ce dernier requiert un haut degré d'anonymat. Les mécanismes connus fonctionnant sur une levée d'anonymat sont de ce fait peu adaptés à ce type d'application, et les procédés de signature de liste conçus pour réaliser des systèmes de vote électronique, s'ils permettent de déceler un double vote, n'empêchent pas un électeur fraudeur de voter par la suite. L'invention présente donc l'avantage de détecter les votes ultérieurs lo d'un électeur préalablement identifié comme fraudeur, tout en conservant le degré d'anonymat requis pour cette application.

Claims (10)

REVENDICATIONS
1. Procédé de signature de liste, comprenant : - une phase d'organisation consistant, pour une entité (1) de confiance, à 5 définir au moins un élément cryptographique (W , g2) caractéristique de ladite liste, - une phase d'enregistrement au cours de laquelle au moins un membre (M;) (où i =1,2,...) de la liste définit une clé secrète yi et reçoit de l'autorité (1) de confiance un certificat Ai propre audit membre (M;) dans ladite liste, calculé à lo partir dudit élément cryptographique et de ladite clé secrète yi , - une phase de définition de séquence consistant pour une autorité habilitée (3) à fournir au moins un identifiant (hs, s) de séquence devant être utilisé par les membres de la liste pour ladite séquence, et - une phase de signature, incluse dans ladite séquence, au cours de laquelle 15 le membre (M;) fournit des données comprenant une première composante d'authentification Si caractéristique de l'appartenance dudit membre à la liste pour la séquence, calculée à partir du certificat Ai et d'un élément secret r choisi par le membre pour la séquence, et une deuxième composante d'authentification Ti caractéristique de l'utilisation dudit identifiant de séquence 20 par ledit membre, calculée à partir de ladite clé secrète yi et de l'identifiant (hs , s) de séquence, ledit procédé étant caractérisé en ce que lesdites données comprennent également une troisième composante d'authentification Ui destinée à déterminer, le cas échéant, au moins une donnée anonyme (h0 , gYi) du 25 membre (M;) ayant utilisé ledit identifiant (hs, s) de séquence plus d'une fois au cours de ladite séquence, ladite donnée anonyme étant fonction de la clé sécrète yi dudit membre et indépendante de l'identifiant de séquence, et mettent en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi , sans toutefois divulguer ces clés secrètes. 30
2. Procédé de signature de liste selon la revendication 1, dans lequel une entité vérificatrice (2) vérifie, sur la base des données fournies par lemembre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yi , une seconde clé secrète xi et un certificat Ai tels qu'une relation d'authentification prédéterminée soit vérifiée.
3. Procédé selon la revendication 1 ou la revendication 2, dans lequel : s - ledit au moins un élément cryptographique caractéristique de la liste est constitué d'une paire de clés publiques (W , g2) telle que W = g2 Y , où y est une clé secrète de l'entité (1) de confiance, - ledit certificat Ai vérifie Ai ti+y = gl • hyti où xi est une clé secrète associée au membre (M;) choisie par l'autorité (1) de confiance, gl et h étant des 10 éléments publics, - l'autorité habilitée (3) fournit un premier hs et un deuxième s identifiants de séquence, - ledit membre (M;) choisit pour la séquence un élément secret r et un élément ci , et calcule une première composante d'authentification 15 Si = Ai • hrti , une deuxième composante d'authentification Ti = hsyti et une troisième composante d'authentification Ui = hoyti • g yti *yti .s ho et g étant des éléments publics, et ci étant un aléa choisi par le membre, et - ledit membre (M;) fournit à une entité vérificatrice (2) des données comprenant, au moins, les trois composantes Si, Ti, Ui et une quatrième 20 composante égale à l'élément ci .
4. Procédé selon la revendication 2 et la revendication 3, dans lequel ladite relation d'authentification prédéterminée est la suivante : e(Si, g2)xti e(Si,W) = e(g1, g2) • e(h, g2)yti+rtixti e(h,W)rti , 25 où e est une application bilinéaire.
5. Procédé selon l'une quelconque des revendications précédentes, comprenant en outre : - une phase de constitution d'une liste noire comprenant lesdites données 30 anonymes (hoy` , g yti) caractéristiques de membres ayant utilisé ledit identifiant de séquence plus d'une fois au cours de la séquence, et- une phase de vérification au cours de laquelle une entité vérificatrice (2) teste si la troisième composante (Uk) d'authentification fournie par un membre (Mk) contient une donnée anonyme (ho Yi , g yti) de ladite liste noire.
6. Programme d'ordinateur pour la mise en oeuvre d'un procédé de signature de liste, ledit programme comprenant des instructions pour l'exécution d'une phase de signature, incluse dans ladite séquence, au cours de laquelle un membre (M;) (où i =1,2,...) de ladite liste fournit des données qui comprennent une première composante d'authentification Si caractéristique de l'appartenance dudit membre à la liste pour la séquence, io calculée à partir d'un certificat Ai fourni par une autorité (1) de confiance et d'un élément secret r choisi par le membre pour la séquence, une deuxième composante d'authentification Ti caractéristique de l'utilisation par ledit membre d'un identifiant de séquence fournie par une autorité habilitée (3), ladite deuxième composante d'authentification Ti étant calculée à partir de 15 ladite clé secrète yi et de l'identifiant de séquence, et, au moins, une troisième composante d'authentification Ui destinée à déterminer, le cas échéant, au moins une donnée anonyme (ho Yi g yti) d'un membre (M;) ayant utilisé ledit identifiant de séquence plus d'une fois au cours de ladite séquence, ladite donnée étant fonction de la clé sécrète yi dudit membre et 20 indépendante de l'identifiant de séquence, et mettent en oeuvre sa première clé secrète yi et sa deuxième clé secrète xi sans toutefois divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur du membre (M;) de la liste.
7. Programme d'ordinateur selon la revendication 6, ledit programme 25 comprenant des instructions pour l'exécution d'une phase de vérification au cours de laquelle une entité vérificatrice (2) vérifie, sur la base des données fournies par le membre (M;) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yi , une seconde clé secrète xi et un certificat Ai tels qu'une relation d'authentification prédéterminée soit 30 vérifiée, lorsque ledit programme est exécuté par un ordinateur de l'entité vérificatrice (2).
8. Programme d'ordinateur selon la revendication 6 ou la revendication 7, ledit programme comprenant des instructions pour l'exécution d'une phasede test au cours de laquelle une entité vérificatrice (2) teste si ladite troisième composante d'authentification Uk fournie par ledit membre (Mk) contient une donnée anonyme (ho Yi , g yti) (où i =1,2,...) présente dans les données d'une liste noire comprenant des données anonymes (ho Yi , g yti) caractéristiques de membres ayant utilisé ledit identifiant de séquence plus d'une fois au cours de la séquence, lorsque ledit programme est exécuté par un ordinateur de l'entité vérificatrice (2).
9. Moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé de signature de liste selon l'une quelconque des revendications 1 à 5.
10. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé de signature de liste selon l'une quelconque des revendications 1 à 5.
FR0655987A 2006-12-27 2006-12-27 Procede de signature de liste anonyme et tracable sans levee d'anonymat Withdrawn FR2911025A1 (fr)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0655987A FR2911025A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et tracable sans levee d'anonymat
PCT/FR2007/052622 WO2008087359A2 (fr) 2006-12-27 2007-12-26 Procédé de signature de liste anonyme et traçable sans levée d'anonymat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0655987A FR2911025A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et tracable sans levee d'anonymat

Publications (1)

Publication Number Publication Date
FR2911025A1 true FR2911025A1 (fr) 2008-07-04

Family

ID=38263075

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0655987A Withdrawn FR2911025A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et tracable sans levee d'anonymat

Country Status (2)

Country Link
FR (1) FR2911025A1 (fr)
WO (1) WO2008087359A2 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
FR2842680A1 (fr) * 2002-07-19 2004-01-23 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
FR2842680A1 (fr) * 2002-07-19 2004-01-23 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
CHEN Y-Y ET AL: "The design of a secure anonymous Internet voting system", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 23, no. 4, June 2004 (2004-06-01), pages 330 - 337, XP004515522, ISSN: 0167-4048 *

Also Published As

Publication number Publication date
WO2008087359A2 (fr) 2008-07-24
WO2008087359A3 (fr) 2008-09-25

Similar Documents

Publication Publication Date Title
EP3506557B1 (fr) Méthode d'échange de clés par contrat intelligent déployé sur une chaine de blocs
JP4639084B2 (ja) セキュア認証の暗号方法および暗号装置
EP1480375A1 (fr) Procédé de signature électronique de groupe avec anonymat révocable, équipements et programmes pour la mise en oeuvre du procédé
CA2895189C (fr) Signature de groupe utilisant un pseudonyme
EP1461898A1 (fr) Procede et dispositif de signature anonyme au moyen d une clef privee partagee
EP1747639A1 (fr) Abrege descriptif procede et systeme de signature de liste
EP1523824B1 (fr) Procede de signature de liste et application au vote electronique
WO2020136319A1 (fr) Procédé et système de vote électronique
EP2742645B1 (fr) Procédé de gestion et de contrôle de données de différents domaines d'identité organisés en ensemble structure
EP3965361B1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
FR2911025A1 (fr) Procede de signature de liste anonyme et tracable sans levee d'anonymat
WO2020136320A1 (fr) Procédé et système de génération de clés pour un schéma de signatures anonymes
WO2019122679A1 (fr) Procédé cryptographique de signature de groupe
FR3102024A1 (fr) Procédé de gestion d’une base de données de clés publiques, procédé d’authentification de clés publiques, et dispositifs serveur et client mettant en œuvre ces procédés
EP3008851B1 (fr) Procédé et système de délégation d'un calcul d'une valeur de couplage bilinéaire à un serveur de calcul
FR2911024A1 (fr) Procede de signature de liste anonyme et correlable
EP1989819B1 (fr) Procéde de certification de clé publique par un prestataire non accrédité
WO2007048969A1 (fr) Serveur, systeme et procede pour le chiffrement de donnees numeriques, en particulier pour la signature electronique de donnees numeriques au nom d'un groupe d'utilisateurs
EP3063898B1 (fr) Signature à pseudonyme pour carte à puce
WO2011027071A1 (fr) Procédé cryptographique d'abonnement anonyme a un service
FR2892582A1 (fr) Serveur, systeme et procede pour le chiffrement de donnees numeriques, en particulier pour la signature electronique de donnees numeriques an nom d'un groupe d'utilisateurs

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20081020