FR3029667A1 - Procede d'encapsulation d'une cle de session - Google Patents

Procede d'encapsulation d'une cle de session Download PDF

Info

Publication number
FR3029667A1
FR3029667A1 FR1461923A FR1461923A FR3029667A1 FR 3029667 A1 FR3029667 A1 FR 3029667A1 FR 1461923 A FR1461923 A FR 1461923A FR 1461923 A FR1461923 A FR 1461923A FR 3029667 A1 FR3029667 A1 FR 3029667A1
Authority
FR
France
Prior art keywords
key
signature
secret
encapsulation
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1461923A
Other languages
English (en)
Inventor
Sebastien Canard
Olivier Sanders
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1461923A priority Critical patent/FR3029667A1/fr
Publication of FR3029667A1 publication Critical patent/FR3029667A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution
    • H04L2209/606Traitor tracing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Physics & Mathematics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Algebra (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

L'invention concerne un procédé d'encapsulation d'une clé de session, un premier dispositif (10) possédant une clé secrète d'encapsulation (Sk) obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le procédé étant caractérisé en ce qu'il est généré et distribué à au moins un deuxième dispositif (20j), une clé secrète (mj, Sj), ladite clé secrète comprenant un message généré aléatoirement (mj) et une signature (Sj) de ce message, ladite signature étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation (Sk) au message (mj), et dans lequel le premier dispositif : - génère (E4) aléatoirement une première valeur (k), - envoie (E5) au moins une deuxième valeur (uki) obtenue en appliquant une opération mathématique à la première valeur et à un élément utilisé pour construire une clé de vérification d'encapsulation (Vk) associée à la clé secrète d'encapsulation, ladite clé de session étant obtenue (E8) par le premier dispositif en appliquant l'opération mathématique à une troisième une valeur (T1. T2 ... Tr) indépendante de la clé secrète distribuée audit deuxième dispositif et appartenant à un groupe d'arrivée de l'application bilinéaire.

Description

1 Procédé d'encapsulation d'une clé de session La présente invention concerne le domaine général de la protection des données numériques et de la cryptographie.
Elle concerne plus particulièrement un procédé d'encapsulation d'une clé de session. La clé de session est destinée à être utilisée par une première entité pour chiffrer un contenu et par une deuxième entité pour déchiffrer le contenu reçu chiffré de la première entité. Le procédé d'encapsulation décrit comment la première et la deuxième entité conviennent de la même clé de session.
L'invention trouve une application particulièrement intéressante dans la diffusion sécurisée de contenus numériques, comme dans un service de télévision à péage. Dans un service de diffusion sécurisée de contenus numériques, une première entité est adaptée pour chiffrer des contenus qu'elle diffuse ensuite sur un canal public à l'attention d'une pluralité d'abonnés. Un abonné au service est équipé d'un deuxième dispositif qui mémorise une clé secrète lui permettant de déchiffrer le contenu. La lenteur des mécanismes de chiffrement à clé publique par rapport à ceux à clé secrète a conduit à l'utilisation de mécanismes dits « hybrides » où la première entité utilise un mécanisme de chiffrement à clé publique pour envoyer de manière sécurisée une clé de session qui est utilisée pour chiffrer les contenus au moyen d'un mécanisme de chiffrement symétrique, la clé de session étant déchiffrée au moyen de la clé secrète mémorisée dans chacun des dispositifs d'abonné. Cependant, la distribution d'un très grand nombre de décodeurs contenant chacun une clé secrète permettant de retrouver la clé de session pose un problème de sécurité. En effet, il suffit qu'un utilisateur récupère la clé secrète d'un dispositif d'abonné, la publie ou s'en serve pour fabriquer des décodeurs pirates pour qu'un grand nombre d'utilisateurs illégitimes accèdent au contenu. Il est donc souhaitable de pouvoir retrouver, à partir d'une clé publiée ou d'un décodeur pirate, l'identité de l'utilisateur à l'origine de la fraude (on parle de traçage de traîtres ou de « traitor tracing » en anglais). Il est par ailleurs souhaitable que la connaissance de plusieurs clés secrètes ne permette pas d'en fabriquer une nouvelle, d'autant plus que celle-ci ne serait alors associée à aucun abonné.
De nombreux schémas d'encapsulation de clés de session avec identification de traîtres existent. Cependant de tels schémas souffrent soit d'une résistante réduite aux collusions, c'est-à-dire que la sécurité n'est garantie que tant que le nombre d'utilisateurs fraudeurs ne dépasse pas une valeur donnée, soit d'une complexité importante, les rendant incompatibles dans un contexte de déchiffrement de flux en temps réel.
3029667 2 Un exemple de schéma d'encapsulation de clés de session avec traçage de traîtres est décrit dans le document « Optimal Public Key Traitor Tracing Scheme in Non-Black Box Model », Ph.Guillot et al., Africacrypt 2012. Ce schéma est l'un des plus efficaces actuellement. Il est défini par plusieurs primitives cryptographiques : une primitive de génération de clés 5 destinée à générer les clés secrètes d'utilisateurs, une primitive de chiffrement et une primitive de déchiffrement. Il utilise des outils mathématiques complexes que sont les couplages bilinéaires (ou « pairings » en anglais). Pour rappel, un couplage bilinéaire, noté e est une application définie sur un ensemble G1xG2 vers un ensemble GT, où Gl, G2 et GT désignent généralement des groupes cycliques 10 d'ordre p, p étant un nombre premier. Cette application e vérifie les propriétés suivantes : (1) Bilinéarité : V X1 E G1, V X2 E G2, V (a, b) E 7Lp,e(aX1, bX2) = e(X1,X2)ab, où Zp désigne l'ensemble des entiers relatifs inférieurs à p. (2) Non dégénérée : Pour X1 # 1Gi et X2 # 1G2, e(X1, X2) # 1GT où 1G1, 1G2 et 1GT désignent respectivement les unités des ensembles Gl, G2 et GT. 15 (3) Calculable : V X1 E G1,VX2 E G2, il existe un algorithme efficace pour calculer e (X1, X2). Les couplages bilinéaires sont des techniques prometteuses en cryptographie : ils permettent d' améliorer les fonctionnalités de protocoles existants et procurent un même niveau de sécurité avec des paramètres de taille nettement inférieure.
20 La mise en oeuvre du schéma d'encapsulation de Ph.Guillot et al. nécessite l'envoi entre les entités impliquées de six informations et le calcul de six exponentiations. En outre, la primitive de déchiffrement reste relativement complexe. Cette complexité peut être pénalisante en termes de performances dans le cadre d'un service temps réel de diffusion de contenus au cours duquel une clé de session est renouvelée à intervalles réguliers, de l'ordre de quelques 25 dizaines de secondes. Un des buts de l'invention est de remédier à des insuffisances/inconvénients de l'état de la technique et/ou d'y apporter des améliorations. A cette fin l'invention propose un procédé d'encapsulation d'une clé de session, un 30 premier dispositif possédant une clé secrète d'encapsulation obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le procédé étant caractérisé en ce qu'il est généré et distribué à au moins un deuxième dispositif, une clé secrète, ladite clé secrète comprenant un message généré aléatoirement et une signature de ce message, ladite signature 3029667 3 étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation au message, et dans lequel le premier dispositif : - génère aléatoirement une première valeur, - envoie au moins une deuxième valeur obtenue en appliquant une opération 5 mathématique à la première valeur et à un élément utilisé pour construire une clé de vérification d'encapsulation associée à la clé secrète d'encapsulation, ladite clé de session étant obtenue par le premier dispositif en appliquant l'opération mathématique à une troisième une valeur indépendante de la clé secrète distribuée audit deuxième dispositif et appartenant à un groupe d' arrivée de l' application bilinéaire.
10 Le procédé d'encapsulation décrit ici utilise astucieusement un schéma de signature numérique basé sur un couplage bilinéaire et les propriétés connues d'un tel couplage. L'équation de vérification de signature qui est l'une des caractéristiques qui définit le schéma de signature est utilisée ici pour obtenir la clé de session destinée à être partagée par le premier et les deuxièmes dispositifs. De manière classique, cette équation dépend d'un message et d'une 15 signature de ce message. Ici, un tel message et sa signature associée forment une clé secrète distribuée et mémorisée par chacun des deuxièmes dispositifs. Grâce à cette équation et aux propriétés du couplage, le premier dispositif peut partager avec les deuxièmes dispositifs autant de clés de session que nécessaire en randomisant l'équation de vérification. Le premier dispositif peut obtenir la clé de session en calculant le membre de droite de l'équation élevé à la 20 puissance k, qu'il a généré aléatoirement. La clé de session n'est ainsi pas transmise du premier dispositif aux deuxièmes dispositifs. Seuls quelques éléments d'informations sont envoyés puis utilisés par les deuxièmes dispositifs pour calculer la clé de session. Dans un exemple de réalisation, ces éléments d'informations sont des éléments de la clé publique élevés à la puissance k. Ainsi, non seulement l'encapsulation nécessite l'envoi de très peu d'informations, 25 mais ces informations, issues de la clé publique, ne nécessitent pas de mesures de sécurité spécifiques lors de cet envoi. Par ailleurs, l'obtention de la clé de session par les premier et deuxièmes dispositifs ne nécessite pas beaucoup de calculs. Le procédé d' encapsulation décrit ici est basé sur des mécanismes de signatures numériques, qui font partie des primitives cryptographiques à clé publique réputées pour être les 30 plus efficaces. Ce procédé est moins complexe que des solutions connues et offre de meilleures performances. Par exemple, si l'on compare au schéma décrit dans l'article de Guillot et al, qui est connu comme étant l'un des plus efficaces actuellement, la complexité des différents algorithmes du schéma de signature qui est à la base du procédé d'encapsulation, ainsi que la taille des encapsulations sont moindres que la complexité des algorithmes et la taille des encapsulations du schéma.
3029667 4 Le procédé offre par ailleurs des garanties de sécurité importantes. Il repose sur des mécanismes de signatures éprouvés d'un point de vue sécurité. Les clés secrètes sont construites comme des couples (message, signature). La sécurité inhérente au schéma de signature sous-jacent garantit l'impossibilité de créer de nouvelles signatures valides à partir de signatures 5 existantes. Ainsi, avec ce procédé d'encapsulation, il est impossible de créer de nouvelles clés secrètes à partir de clés secrètes générées de manière légitime. Cela renforce la sécurité des services basés sur ce procédé d'encapsulation. Selon un exemple de réalisation, l'algorithme de vérification du schéma de signature consiste à vérifier que : 10 e (gi, hi). e (g2, h2) = T1. T2 Tr , où T1, T2, . , Tr sont des éléments d'un groupe GT, publics et indépendants du message à signer et de la signature de ce message à vérifier et où, pour chaque paire (gi, h1) l'un des éléments est de la forme u ci'. avec a E Zp, avec ut un élément issu de la clé publique. Dans un exemple de réalisation, le premier dispositif, suite à la détection qu'une clé 15 secrète d'un des deuxièmes dispositifs est illégitimement utilisée : - modifie avant de l'envoyer, une des au moins deuxième valeur, au moyen d'un terme parasite, ledit terme parasite générant une valeur parasite dans un algorithme de vérification du schéma de signature, - envoie au moins la deuxième valeur, 20 - identifie la clé secrète illégitimement utilisée parmi les clés secrètes distribuées, en calculant pour chaque clé secrète distribuée une valeur courante au moyen de l' algorithme de vérification, la clé secrète illégitimement utilisée étant égale à la clé secrète pour laquelle la valeur courante est égale à la valeur parasite. La construction du schéma d'encapsulation facilite le traçage de traîtres. En effet, pour 25 identifier un traître, le fournisseur de services qui dispose d'un dispositif illégitime d'abonné ou des clés de session publiées illégitimement sur Internet diffuse une valeur parasite et identifie par calcul la clé secrète utilisée pour calculer la clé de session. Selon un premier exemple de réalisation, le procédé d'encapsulation utilise un premier schéma de signature, dit schéma de Boneh et Boyen. Ce schéma les primitives comme suit : 30 génération de clés : soit les générateurs aléatoires Yi E G1, g2 E G2, et un entier aléatoire x E Zp, il est calculé y <- gz E G2 et z e(gi, g2) E GT, la clé publique de signature étant le tuple (gi, 92,y, z) et la clé secrète de signature étant (gi, x), une primitive de signature: soit une clé secrète (gi, x) et un message m E Zp la signature du message m au moyen de la clé secrète (gi, x) est de la forme 6 3029667 5 gi 1/(x+m) /(x + m) avec 1 calculé modulo p, et avec 1/0 défini par convention comme étant égal à 0 afin d' avoir o- <- 1 E G1 dans le cas où x + m = 0 ; et - une primitive de vérification : soit une clé publique (91, 92, v, z), un message m, et une signature o-, vérifier l'égalité e (o-, v. gT) = z et si l'égalité est vérifiée, ou si 5 o- = 1 et y. gz = 1, la signature du message m est valide, sinon, la signature est invalide. Le procédé d'encapsulation utilise ici un schéma de signature dit schéma de Boneh et Boyen, défini dans « Short Signatures Without Random Oracles and the SDH Assumption in Bilinear Groups », Journal of Cryptology 2008. Dans cet exemple, seuls deux éléments 10 d'information, y1 et y2, sont transmis par le premier dispositif. Par exemple, ces éléments ont une taille de 256 bits pour un niveau de sécurité de 128 bits. On comprend que l'envoi de ces éléments est rapide et peu consommateur de bande passante. L'application du procédé d'encapsulation à ce schéma illustre l'efficacité du schéma d'encapsulation, en termes de complexité.
15 Selon un deuxième exemple de réalisation, le procédé d'encapsulation utilise un deuxième schéma de signature dit schéma de Waters. Le schéma de Waters définit les primitives comme suit : - génération de clés dans lequel la clé publique est définie comme suit : un secret a E Zpest choisi aléatoirement et soit un générateur aléatoire g E G = G1 = G2, il 20 est défini Yi = ga , il est choisi aléatoirement 92 dans G et il est choisi aléatoirement u' E G et un vecteur aléatoire de longueur N, U = (ui), dont les éléments sont choisis aléatoirement dans G, la clé publique publiée étant g, g1i 92,u' , et U, et la clé secrète étant 0 , - signature : soit m un message de N-bit à signer mi étant le i-ième bit de m, et 25 l'ensemble .7t/f S {1, , N} des i pour lesquels mi = 1, une signature de m est générée comme suit : un aléa r E Zp est choisi et la signature est ensuite construite comme - 6m = (u' rii,,''ui )r, gr), et - vérification : o- = o-2) est une signature acceptée pour un message m si e(o-i, g)/ e (o-2, mem. ui) = e (g 1, g2).
30 Dans cet exemple, le procédé d'encapsulation utilise un schéma de signature dit schéma de Waters, défini dans « Efficient Identity-Based Encryption Without Random Oracles » publié à Eurocrypt 2005. Bien que les performances de ce schéma soient moins bonnes que le schéma dit de Boneh et Boyen, il offre une meilleure sécurité.
3029667 6 Avantageusement, le procédé d'encapsulation est utilisé dans un service de diffusion de contenus, un contenu étant chiffré au moyen de la clé de session et diffusé chiffré par le premier dispositif à l'attention d'au moins le deuxième dispositif. Contrairement à certaines solutions connues, le mécanisme d'encapsulation est 5 applicable à grande échelle (on parle de « scalability » en anglais). D' une part il ne nécessite pas d'envoyer beaucoup d'informations et ne nécessite pas non plus énormément de calculs. Il est donc très intéressant d'utiliser un tel schéma dans un service de diffusion de contenus à une pluralité d'abonnés. L'invention concerne aussi un procédé de calcul d'une clé de session par au moins un 10 premier dispositif, ladite clé de session étant déterminée par un deuxième dispositif, possédant une clé secrète d'encapsulation obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, ledit procédé étant caractérisé en ce qu'il a été préalablement généré par le deuxième dispositif et distribué au premier dispositif une clé secrète, ladite clé 15 secrète comprenant un message généré aléatoirement et une signature de ce message, ladite signature étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation au message, et dans lequel le premier dispositif reçoit au moins une valeur obtenue en appliquant une opération mathématique à une deuxième valeur (k) générée aléatoirement par le deuxième dispositif et à un élément utilisé 20 pour construire une clé de vérification d'encapsulation associée à la clé secrète d'encapsulation, ladite clé de session étant calculée par le premier dispositif comme le résultat d'un algorithme de vérification de signature du schéma de signature numérique appliqué à ladite au moins une valeur reçue et à au moins une partie de la clé secrète. L'invention porte également sur un dispositif d'encapsulation d'une clé de session, ledit 25 dispositif comprenant une clé secrète d' encapsulation obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le dispositif d' encapsulation comprenant : - des moyens de génération, agencés pour générer aléatoirement une première valeur, - des moyens d'envoi, agencés pour envoyer à au moins un dispositif de calcul au moins 30 une deuxième valeur obtenue en appliquant une opération mathématique à la première valeur et à un élément utilisé pour construire une clé de vérification d'encapsulation associée à la clé secrète d' encapsulation, - des moyens d'obtention de la clé de session, ladite clé de session étant obtenue en appliquant l'opération mathématique à une troisième valeur indépendante d'une clé secrète 35 distribuée à au moins un deuxième dispositif, ladite clé secrète comprenant un message généré 3029667 7 aléatoirement et une signature de ce message, ladite signature étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation au message, ladite troisième valeur appartenant à un groupe d'arrivée de l'application bilinéaire. L'invention porte également sur un dispositif de calcul d'une clé de session, ladite clé 5 de session étant déterminée par un dispositif d'encapsulation possédant une clé secrète d'encapsulation obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le dispositif de calcul comprenant : - des moyens de réception et de mémorisation d'une clé secrète, agencés pour recevoir 10 et mémoriser une clé secrète comprenant un message généré aléatoirement et une signature de ce message, ladite signature étant obtenue par le dispositif d'encapsulation en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation au message, - des moyens de réception, agencés pour recevoir au moins une valeur obtenue en 15 appliquant une opération mathématique à une deuxième valeur générée aléatoirement par le deuxième dispositif et à un élément utilisé pour construire une clé de vérification d'encapsulation associée à la clé secrète d'encapsulation, - des moyens de calcul, agencés pour calculer la clé de session comme le résultat d'un algorithme de vérification de signature du schéma de signature numérique appliqué à ladite au 20 moins une valeur reçue et à au moins une partie de la clé secrète. L'invention concerne aussi un système d'encapsulation d'une clé de session comprenant : - un dispositif d'encapsulation selon l'invention, - au moins un dispositif de calcul selon l'invention.
25 L'invention porte également sur un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un dispositif d'encapsulation, le programme comprenant des instructions de code pour l'exécution des étapes du procédé d' encapsulation d'une clé de session, lorsque le programme est exécuté sur ledit dispositif. L'invention concerne aussi un support de données dans lequel est enregistré le 30 programme décrit ci-dessus. L'invention concerne également un programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un dispositif de calcul, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de calcul d'une clé de session selon l'invention, lorsque le programme est exécuté sur ledit dispositif.
3029667 8 L'invention concerne aussi un support de données dans lequel est enregistré le programme décrit ci-dessus. D'autres caractéristiques et avantages de la présente invention seront mieux compris de 5 la description et des dessins annexés parmi lesquels : - la figure 1 présente les étapes d'un procédé d'encapsulation d'une clé de session, selon un premier exemple de réalisation de l'invention ; - la figure 2 présente les étapes d'un procédé d'identification de traîtres dans le cadre du procédé d'encapsulation, selon un exemple de réalisation de l'invention ; 10 - la figure 3 est une représentation schématique fonctionnelle d'un dispositif d'encapsulation d'une clé de session, selon un premier exemple de réalisation de l'invention ; - la figure 4 est une représentation schématique d'un dispositif de calcul d'une clé de session, selon un exemple de réalisation de l'invention.
15 Les étapes d'un procédé d'encapsulation d'une clé de session, selon un exemple de réalisation, vont maintenant être décrites en relation avec la figure 1. Le procédé est illustré ici dans le cadre d'un service de diffusion de contenus proposé par un fournisseur de services, dans lequel un premier dispositif, ou dispositif d'émission 10, ou encore dispositif d'encapsulation, diffuse un contenu pour une pluralité d'abonnés au service 20 avec j = 1 à q, équipés de deuxièmes dispositifs, ou dispositifs de réception 20,, ou encore dispositifs de calcul de la clé de session. De manière classique, pour mettre en oeuvre un tel service, il est habituel que le contenu soit chiffré par le premier dispositif 10 et diffusé sur un canal public à l'attention des deuxièmes dispositifs 20,. Le contenu reçu chiffré par les deuxièmes dispositifs 20, est alors déchiffré par ces dispositifs afin que les abonnés A, y 25 accèdent en clair. Il est habituel que les opérations de chiffrement et de déchiffrement soient réalisées au moyen d'un algorithme de cryptographie symétrique, paramétré par une clé de session, renouvelée à intervalles réguliers et connue du premier 10 et des deuxièmes dispositifs 20,. Parmi les algorithmes symétriques, on peut citer « 3DES » (de l' anglais « Triple Data Encryption Standard ») et « AES » (de l' anglais « Advanced Encryption Standard »). La façon 30 dont les premier 10 et deuxièmes 20, dispositifs conviennent de la clé de session est conforme aux étapes décrites ci-dessous. On suppose par ailleurs que le fournisseur de services est entité de confiance et que le premier dispositif 10 est utilisé par le fournisseur de services également pour des opérations de confiance, telles que la génération de clés secrètes d'abonnés. Dans une variante de réalisation, le fournisseur de services dispose de plusieurs dispositifs, un étant dédié 3029667 9 à certaines opérations de confiance, comme la génération de clés secrètes, un autre au calcul de clés de session successives, un autre à la diffusion des contenus. Le procédé d'encapsulation de la clé de session repose sur des techniques mathématiques complexes que sont les applications bilinéaires. Dans un exemple de réalisation, 5 ces applications sont des couplages bilinéaires (ou « pairings » en anglais). Les couplages bilinéaires sont intéressants en cryptographie notamment car ils permettent d' améliorer les fonctionnalités de protocoles existants et procurent un même niveau de sécurité avec des paramètres de taille nettement inférieure. Un couplage bilinéaire, noté e est une application définie sur un ensemble G1 x G2 vers 10 un ensemble GT, contenu dans un groupe G, où G1, G2 et GT désignent généralement des groupes cycliques d'ordre p, p étant un nombre premier. L'application e vérifie les propriétés suivantes : (1) Bilinéarité : VX1 E G1, VX2 E G2, V(a,b) E Ep,e(aX1,bX2) = e(X1,X2)ab , OÙ 7Z désigne l'ensemble des entiers relatifs inférieurs à p. 15 (2) Non dégénérée : pour X1 # 1Gi et X2 # 1G2,e(X1, X2) #1GT où 1G1, 1G2 et 1GT désignent respectivement les unités des ensembles G1, G2 et GT. (3) Calculable : il existe un algorithme efficace pour calculer e(X1,X2), V X1 E G1, V X2 E G2. Le procédé d' encapsulation décrit ici repose sur des mécanismes de signature numérique 20 qui utilisent les couplages bilinéaires. Le procédé d'encapsulation est défini dans un premier temps de manière générique, c'est-à-dire qu'il peut s'appliquer à différents schémas de signature. Des applications à des schémas de signature existants sont ensuite fournies à titre d' exemple. Un schéma de signature numérique est classiquement défini au moyen de trois 25 algorithmes : un algorithme de génération de clés, un algorithme de signature, et un algorithme de vérification de signatures. L'algorithme de génération de clés est utilisé pour générer un couple clé privée sk et clé de vérification pk. La clé de vérification est également appelée clé publique. L' algorithme de signature prend en entrée un message m à signer et la clé privée sk pour générer une signature S du message m. L'algorithme de vérification de signature prend en 30 entrée un message m, la signature de ce message S et retourne 1 si la signature sur m est valide, et 0 sinon. Dans une phase PO de configuration initiale, il est défini les différents algorithmes et clés du schéma de signature, et il est généré et distribué des clés secrètes aux abonnés. Ainsi, dans une étape initiale E0 de définition, il est défini l'algorithme de génération de clés noté 35 KeyGen du schéma de signature et il est généré au moyen de cet algorithme le couple clé privée 3029667 10 sk et clé de vérification, ou clé publique pk, du schéma de signature. Il est également défini l'algorithme de signature noté Sign et l'algorithme de vérification noté Veri f y. Il est habituel que les algorithmes de vérification de signatures numériques définies au moyen d'un couplage bilinéaire, se présentent sous la forme de relations mathématiques à 5 vérifier. Ces relations mathématiques sont en général de la forme : e(g1,h1).e(g2,h2) ....e(gn,hn) = T1.T2 (1) où Ti, T2,Trsont des éléments publics du groupe d'arrivée GT du couplage e, indépendants d'un message m à signer et de la signature S de ce message à vérifier et où, pour chaque paire (gi, h1) l'un des éléments est de la forme itiL, avec a E Ep, et ut un élément issu 10 de la clé publique, i = 1 à n, avec n indépendant du nombre d'abonnés. L'autre élément de la paire (gi, h1) dépend de la signature S du message m, et donc du message m. On suppose ici que les éléments h1, h2, , hn sont ceux issus de la clé publique. L'équation de vérification de signatures Verify du schéma de signature s'écrit donc : un n) 2 ) ....e(gn,unn) = Ti. T2Tr(1') 15 Il est par ailleurs défini un couple clé secrète maîtresse Sk et clé de vérification maîtresse Vk du schéma d'encapsulation. La clé de vérification maîtresse Vk du schéma d'encapsulation est définie de manière générale par l'ensemble (u1, , un, T1, , Ti-) d'éléments publics. Cet ensemble correspond à une partie de la clé publique pk du schéma de signature. La clé privée maîtresse Sk du schéma d'encapsulation est définie comme l'union de la clé privée sk 20 du schéma de signature et de la clé publique pk du schéma de signature. En d'autres termes, Sk = Sk U Vk. Typiquement, le couple de clés maîtresses Sk et Vk du schéma d'encapsulation est détenu par l'entité de confiance qui propose le service de diffusion de contenus et qui gère le dispositif 10 de diffusion. Dans cet exemple, l'entité de confiance est le fournisseur de services 25 qui propose le service de diffusion et le couple de clés maîtresses est mémorisé dans le premier dispositif 10. Dans une étape suivante El de génération de clés secrètes, il est généré par le fournisseur de service pour chaque abonné A, au service une clé secrète ski. A cette fin, le fournisseur de services, plus précisément le premier dispositif 10, génère un message aléatoire 30 mi et signe ce message en appliquant l'algorithme de signature Sign du schéma de signature au message mi et à la clé secrète maîtresse Sk du schéma d'encapsulation. La signature ainsi obtenue est notée Si. En d'autres termes, le fournisseur de services génère Si = Sign (mi, Sk) pour chaque abonné A,. La clé secrète de l'abonné A, comprend le message mi et la signature Si obtenue. En d'autres termes, ski = (mi, Si).
3029667 11 Dans une étape E2 de distribution des clés secrètes, le fournisseur de services distribue aux abonnés A, leur clé secrète ski = (mi,SJ). Ces clés sont distribuées via un canal sécurisé. Dans cet exemple de réalisation, le canal de distribution est indépendant du canal public sur lequel les contenus sont habituellement distribués. Par exemple, les clés secrètes sont transmises 5 par courrier. La clé secrète ski = (mi, Si) est installée dans le dispositif des abonnés A, dans une étape E3 de mémorisation de la clé, de préférence dans une zone sécurisée du dispositif de l'abonné. Dans un autre exemple de réalisation, les clés secrètes sont inscrites par le fournisseur de service dans une zone mémoire sécurisé d'un dispositif portatif qui est distribué aux utilisateurs. Un tel dispositif portatif est par exemple une carte à puce, etc., destinée à être 10 insérée dans le dispositif de réception 20, de l'abonné A,. Dans cet exemple, les étapes E2 de distribution et E3 de mémorisation sont alors mises en oeuvre simultanément. Les étapes E0, El, E2 et E3 sont des étapes de la phase de configuration P0. Elles peuvent n'être exécutées qu'une fois durant la vie du système. En tout état de cause, ces étapes sont mises en oeuvre pour chaque nouvel abonné. L'arrivée d'un nouvel abonné ne nécessite pas 15 de redistribuer de nouvelles clés secrètes à l'ensemble des abonnés. Dans une étape suivante E4 d'encapsulation, le fournisseur de service, plus précisément le premier dispositif 10, génère aléatoirement une première valeur k et applique une opération mathématique à la première valeur et à l'élément ui. Par exemple, le premier dispositif 10 calcule vi = te, pour i = 1 à n. L'opération mathématique est dans cet exemple une élévation 20 de l'élément ui à la puissance k. On rappelle que ui est un élément issu de la clé publique de vérification 17k du schéma d'encapsulation. Dans une étape suivante E5 d'envoi d'informations relatives à la clé de session, le premier dispositif 10 diffuse sur le canal public les éléments d'informations vi = te, pour i = 1 à n. Les éléments d'informations sont reçus par les abonnés A, dans une étape de réception E6.
25 Dans une étape suivante E7 de calcul de la clé de session K'', l'abonné Ai, plus précisément le dispositif 20, de l'abonné A,, applique l'algorithme de vérification Verif y aux éléments vi reçus et à la signature Si du message mi qui constituent la clé secrète qui lui a été distribuée afin d'obtenir le membre de droite de l'équation de vérification (1') et d'obtenir ainsi la clé de session. Plus précisément, le dispositif A, calcule le membre de gauche de l'équation 30 de vérification (1'). On rappelle que pour calculer le membre de gauche, il est nécessaire de connaître un message et sa signature. En d'autres termes, le deuxième dispositif 20, calcule : e (gi, e (g2, u2a2k) e (g n, unank) Du fait des propriétés de bilinéarité des couplages bilinéaires, le calcul de cette valeur est facile. En effet : 3029667 12 e (g1, e (g2, u2a2k) e (g n, unank = (e (g1, uc»). e (g2, U2a2 ) e(g,,,u,a,n)) k = T2 ... Tr)k Le deuxième dispositif 20, sait calculer le membre de gauche qui dépend d'une part des éléments uial issus de la clé publique et d'autre part d'un message et de sa signature qui est la clé secrète de l' abonné A,. La clé de session K'' est la valeur ainsi calculée, et est égale à (T1. T2 ... Tr)k. La clé de session est indépendante des messages et des signatures de ces 5 messages ; elle est donc commune à l'ensemble des abonnés. Dans une deuxième étape E8 de calcul de la clé de session, le premier dispositif 10 calcule la clé de session K''. Dans cet exemple de réalisation, le premier dispositif 10 qui connaît k et les éléments publics T1, T2, , Tr calcule le membre de droite de l'équation de vérification (1'), soit (T1. T2 ... Tr)k. L'étape E8 est indépendante de l'étape E7 ; elle peut par 10 ailleurs être exécutée après l'étape E4 d'encapsulation. En tout état de cause, le premier dispositif 10 et les deuxièmes dispositifs 20, calculent la même clé de session Ksess. La clé de session Ksess peut alors être utilisée par le premier dispositif 10 pour chiffrer un contenu. Le contenu chiffré peut ensuite être diffusé à l' attention des deuxièmes dispositifs 20, qui peuvent accéder à ce contenu en clair par déchiffrement au moyen 15 de la clé de session Ksess qu'ils ont calculée. La clé de session Ksess n'a ainsi pas besoin d'être transmise du premier dispositif 10 aux deuxièmes dispositifs 20,. Une telle transmission nécessiterait d'être sécurisée. Seuls quelques éléments publics, en l'espèce les éléments u talk, u22k, Unank sont transmis. Ces éléments, issus de la clé publique ne nécessitent pas de précaution particulière en termes de sécurité lors 20 de leur diffusion. Ainsi, les performances d'un tel procédé sont améliorées par rapport à des protocoles existants qui consistent à diffuser la clé de session de manière sécurisée. L'amélioration des performances est d'autant plus intéressante pour des services temps réels dans lesquels une clé de session est renouvelée à intervalles réguliers. Le procédé d'encapsulation repose donc d'une part sur un schéma de signature qui 25 propose par construction un algorithme de vérification. Le but de cet algorithme, qui nécessite de connaître un message et sa signature est détourné ici pour obtenir une clé de session. Le procédé d'encapsulation repose d'autre part sur les propriétés d'une application bilinéaire de type couplage bilinéaire que le schéma utilise et qui permettent, par envois successifs d'éléments issus de la clé publique, de générer autant de clés de session différentes que 30 nécessaire. Ainsi, les abonnés A, qui connaissent une signature Si d'un message mi, ce message mi et la clé publique de l'autorité de confiance sont capables d'obtenir la clé de session Ksess par 3029667 13 calcul. L'idée est donc de transmettre des informations qui permettent aux abonnés de calculer la clé de session, sans transmettre celle-ci, en utilisant des éléments de la clé publique du schéma d'encapsulation et la clé secrète d'abonné qui est définie par une signature sur un message. Par ailleurs, à partir d'un couple (message, signature) il est possible d'obtenir de 5 nombreuses clés de session, une pour chaque valeur de k. Le procédé d'encapsulation d'une clé de session a été décrit de manière générique. Une illustration de ce procédé dans le cadre de deux schémas de signature existants est présentée ci-dessous.
10 Un premier exemple de réalisation de l'invention est illustré au moyen du schéma de signature numérique de D.Boneh et X.Boyen tel que défini dans « Short Signatures Without Random Oracles and the SDH Assumption in Bilinear Groups », Journal of Cryptology 2008, section 4.3. Dans l'étape E0 de définition, il est défini trois primitives cryptographiques de base pour 15 le schéma de signature : - une primitive de génération de clé, notée KeyGen : soit les générateurs aléatoires g1 E G1,92 E G2, et un entier aléatoire x E Zp. Il est calculé y <- gf E G2 et z <- e(gi, 92) E GT. La clé publique est le tuple (gi, g2, v, z). La clé secrète est (91, x)- 20 - une primitive de signature Sign : soit une clé secrète (gi, x) et un message m E Zp. La signature du message m au moyen de la clé secrète (91,x) est de la forme , (x+m) / a <- gi1 Ici, 1/(x + m) est calculé modulo p. Par convention dans ce contexte, on définit 1/0 comme étant égal à 0. Ainsi, dans le cas où x + m = 0, on a o- <- 1 E G1. 25 - une primitive de vérification Verif y : soit une clé publique (91, 92, v, z), un message m, et une signature o-, vérifier l'égalité e(o-, y. g1211) = z. Si l'égalité est vérifiée, ou si o- = 1 et y. gr' = 1, la signature du message m est valide. Sinon, la signature est invalide. Ainsi, si l'on pose : n = 2, et r = 1, S = o-,ui = v, u2 = g2, et Ti = z, la clé publique 30 d'encapsulation Vk est définie par (v,g2, Ti), la clé privée d'encapsulation Sk est définie par (gi, 92,v, z, x) et en utilisant les propriétés de bilinéarité des couplages, l'équation de vérification Verify de Boneh et Boyen devient : 3029667 14 e(S,u1.uT) = e(S,u1).e(S,uT) = Ti ; selon la définition donnée de la clé publique, on remarque que dans cette équation, u1 et u2 (y et 92) sont bien issus de la clé publique définie par la primitive KeyGen. Dans l'étape El de génération de clés, il est généré et distribué des clés secrètes (mi, Si) 5 aux abonnés A. Ces clés secrètes sont distribuées dans l'étape E2 de distribution et installées dans les dispositifs 20; au cours de l'étape E3 de mémorisation. Dans l'étape E4 d'encapsulation, le premier dispositif 10 génère un entier aléatoire k et calcule vi = t4c, où ui est un élément issu de la clé publique. En d'autres termes il calcule y1 = ulk et y2 = u2k.
10 Dans l'étape suivante E5 d'envoi d'informations relatives à la clé de session, le premier dispositif 10 diffuse sur le canal public les éléments v1 = tii et y2 = u/2c. Les éléments d'informations v1 et v2sont reçus par les abonnés Ai, plus précisément par les dispositifs 20; d'abonnés dans l'étape E6 de réception. Dans l'étape suivante E7 de calcul de la clé de session K'', l'abonné Ai, plus 15 précisément le dispositif 20; de l'abonné, détenteur de la clé secrète (mi,Si) applique l'algorithme de vérification V erif y du schéma de signature aux éléments d'informations reçus et à la signature Si du message mi qui constitue la clé secrète qui lui a été distribuée afin de trouver le membre de droite de l'équation de vérification (1') et d'obtenir ainsi la clé de session. En d'autres termes, le dispositif 20, calcule : e (Si, un. e (Si, ue) 20 Du fait des propriétés de bilinéarité des couplages bilinéaires, il est facile pour un dispositif 20; de calculer cette valeur. En effet : e(Si, un. e ur) = (e (Si, u1). e (Si, uT)) k = Tic La clé de session K'' est donc ici T. Cette clé n'est pas envoyée par le premier dispositif 10 et seuls les deuxièmes dispositifs 20, qui connaissent le message mi et la signature Si de ce message peuvent calculer cette clé de session.
25 Dans la deuxième étape E8 de calcul de la clé de session, le premier dispositif 10 obtient la clé de session K'' en calculant T. Le premier dispositif connaît en effet Ti et k. Un deuxième exemple de réalisation de l'invention est illustré au moyen du schéma de signature numérique de B.Waters tel que défini dans « Efficient Identity-Based Encryption Without Random Oracles » publié à Eurocrypt 2005, section 7.1. B.Waters se place dans un cas 30 particulier où les groupes G1 et G2 sont égaux. Ces groupes sont notés G. Dans une étape initiale E0 de configuration, il est défini trois primitives cryptographiques de base pour le schéma de signature : 3029667 15 une primitive de génération de clé, notée Setup dans laquelle la clé publique est définie comme suit : un secret a E Zpest choisi aléatoirement. Soit un générateur aléatoire g E G, il est défini gi = ga , et il est choisi aléatoirement 92 dans G. Il est par ailleurs choisi aléatoirement u' E G et un vecteur aléatoire de longueur N, 5 U = (ui), avec i = 1 à N, dont les éléments sont choisis aléatoirement dans G. La clé publique publiée est g, 91,92, et U. La clé secrète est g' 2 une primitive de signature notée Sign : soit m un message de N-bit à signer et mi le i-ième bit de m, et l'ensemble .7t/f S {1, , N} des i pour lesquels mi = 1. Une signature de m est générée comme suit : un aléa r E Zp est choisi. La signature est 10 ensuite construite comme - am = (9'2' (u' 11icM ui )r, gr). une primitive de vérification V erif y : supposons que l'on souhaite vérifier que a = a2) est une signature pour un message m. La signature est acceptée si e (ai, g)/ e (o-2, u' 11iEM ui) = e (gi, 92). En utilisant les propriétés de bilinéarité des couplages, cette équation s'écrit également : 15 e g). e (o-2, u'-i). e (o-2, e(o-2,um-mN) = e (91, 92), où mi est le i-ième bit du message m. Ainsi, si l'on pose : n = N + 2, r = 1, gi = 6i, 92 = 93 = - - - = gn = 62, hi = g, h2 = = , hn = un-mN et Ti = e(91, 92), la clé publique du schéma d'encapsulation Vk est définie par g, , U et la clé privée d'encapsulation Sk est définie par 20 g, 91,92,u',U, e. En utilisant les propriétés de bilinéarité des couplages, l'équation de vérification de Waters devient : e(o-i, g). e(o-2,u'-1). = Selon la définition de la clé publique, on remarque par ailleurs que dans cette équation, g, u', U sont issus de la clé publique. On rappelle que U = (ui, u2, , UN). Dans l'étape E2 d'encapsulation, le premier dispositif 10 génère un entier aléatoire k et 25 calcule vi = -ttc, où ui est un élément issu de la clé publique. En d'autres termes, il calcule k I-k -k 171 = g ,v2 = u ,v3 = ui --- ,vN+2 Dans l'étape El de génération de clés, il est généré et distribué des clés secrètes (mi, Si) aux abonnés A,. Ces clés secrètes sont distribuées dans l'étape E2 de distribution et installées dans les dispositifs 20, au cours de l'étape E3 de mémorisation.
30 Dans l'étape suivante E4 d'encapsulation, le premier dispositif 10 génère un entier aléatoire k et calcule les éléments vi = g k,V2 = 11-k,V3 = 'N+2 où g, u' ,et ui, i = 1 à N, sont des éléments issus de la clé publique.
3029667 16 Dans l'étape E5 d'envoi d'informations relatives à la clé de session, le premier dispositif 10 diffuse sur le canal public les éléments v1 = gk,y2 = 11-k,y3 = ui k, ...," 'N+2 uli;j- calculés précédemment. Les éléments d'informations y1 à vN+2 sont reçus par les deuxièmes dispositifs 20, dans l'étape de réception E6.
5 Dans l'étape suivante E7 de calcul de la clé de session K'', l' abonné Ai, plus précisément le dispositif 20, de l'abonné, détenteur de la clé secrète (mi,Si) applique l'algorithme de vérification Verif y du schéma de signature aux éléments d'informations reçus et à la signature Si du message mi qui constitue la clé secrète qui lui a été distribuée afin de trouver le membre de droite de l'équation de vérification (1') et d'obtenir ainsi la clé de session 10 K''. En d' autres termes, le deuxième dispositif 20, calcule : e(o-i, g k). e(62,u'-1k).e(62,ui-m1k) e (o-2,uN-mNk) Du fait des propriétés de bilinéarité des couplages bilinéaires, il est facile pour un deuxième dispositif 20, de calculer cette valeur. En effet : e(o-i, g k).e e(62,ui-m1k) ....e(o-2,uN-mNk) = (e(o-i, g). e (o-2, e e(o-2,urN)) - T1k La clé de session K'' est donc ici T. Cette clé n'est pas envoyée par le premier dispositif 10 et seuls les deuxièmes dispositifs 20, qui connaissent le message mi et la signature 15 Si de ce message peuvent retrouver le membre de droite de l'équation. Dans la deuxième étape E8 de calcul de la clé de session, le premier dispositif 10 obtient la clé de session K'' en calculant T. Le schéma d'encapsulation générique défini précédemment se décline donc facilement sur des schémas de signature existants. Ainsi, si un schéma de signature utilisé pour encapsuler 20 des clés de session est cassé alors le schéma d'encapsulation peut être appliqué à un autre schéma de signature, plus résistant en termes de sécurité. Le schéma d'encapsulation de clés de session tel que défini en relation avec la figure 1 présente des propriétés de sécurité intéressantes. En effet, ce schéma repose sur les mécanismes de signature numérique qui font partie des primitives cryptographiques à clé publique connues 25 comme étant les plus efficaces. Le coût pour un dispositif de réception 20, pour retrouver une clé de session à partir de son encapsulation, est similaire au coût de mise en oeuvre de l'algorithme de vérification du schéma de signature. Ici, seul le membre de gauche de l'équation de vérification est calculé. Par ailleurs, dans le schéma d'encapsulation, les clés secrètes sont construites comme 30 des couples (message m, signature du message m). La sécurité inhérente aux schémas de 3029667 17 signature existants garantit l'impossibilité de créer de nouvelles signatures à partir de signatures existantes. Ainsi, il n'est pas possible de créer une nouvelle clé secrète à partir de clés secrètes de différents dispositifs 20,. La collusion entre différents récepteurs pour créer une nouvelle clé, qui ne serait alors rattachée à aucun abonné est donc, par construction, impossible.
5 Un procédé de traçage de traître selon un exemple de réalisation va maintenant être décrit en relation avec la figure 2. Le schéma d'encapsulation d'une clé de session décrit ici facilite le traçage de traîtres. Un tel procédé de traçage de traîtres est mis en oeuvre lorsqu'une clé privée d'abonné 10 (mj, Si) qui a été transmise à une personne malveillante par un abonné légitime, ou subtilisée à l'insu de l'abonné légitime, a permis la mise en oeuvre de dispositifs de décodage pirate, c'est-à-dire non distribués légitimement par le fournisseur de services. Il peut également être mis en oeuvre dans un cas où la clé privée d'un abonné légitime est utilisée frauduleusement afin de publier en temps réel sur un site Internet des clés de session successives, permettant à des 15 utilisateurs de déchiffrer de manière illégitime le contenu diffusé chiffré avec ces clés de session. On suppose que le fournisseur de services, qui a détecté qu'une clé était illégitimement utilisée, dispose soit d'un décodeur pirate, soit des clés de session successives publiées frauduleusement sur le site Internet. Pour mémoire, une clé de session est calculée entre autres à partir d'une clé secrète d'abonné. Ainsi, le fournisseur de services qui souhaite identifier 20 l'origine d'un décodeur pirate ou l'origine de la publication des clés de session va identifier la clé secrète utilisée pour le calcul de la clé de session et identifier l'abonné malveillant associé à cette clé. Le procédé de traçage de traîtres est illustré ici dans le cas du schéma de signature dit de Boneh et Boyen. Dans une étape initiale E20 d'encapsulation, suite à la détection par le fournisseur de 25 services qu'une clé secrète est illégitimement utilisée, le premier dispositif 10 génère un entier aléatoire k et calcule vi = te, où ui est un élément issu de la clé publique. En d'autres termes, dans le cas du schéma de Boneh et Boyen, il calcule v1 = te et v2 = ui2c. Le premier dispositif 10 modifie légèrement l'un des éléments, par exemple v1 au moyen d'un terme parasite w. Par exemple, il multiplie le terme v1 par le terme w et obtient l'élément légèrement modifié 30 vi = w. Dans un autre exemple de réalisation, il additionne le terme w au terme v1. Dans une étape suivante E21 d'envoi d'informations relatives à la clé de session en vue d'identifier un traître, le premier dispositif 10 diffuse sur le canal public l'ensemble des éléments calculés dont l'élément légèrement modifié. Par exemple, le fournisseur de services diffuse au moyen du premier dispositif 10 l'élément vl = w qui correspond à l'élément 35 légèrement modifié et l'élément v2 = ui2c.
3029667 18 Les éléments ainsi publiés sont destinés à être utilisés pour calculer la clé de session à partir de l'équation de vérification suivante, qui en tenant compte des propriétés de bilinéarité des couplages s'écrit : e (Sm- , v1) e (Si , v2) = e (g , h)k.e(Sjm- , w) 5 Le membre de droite comprend ici une valeur parasite, en l'espèce e(S1m- , w). Le fournisseur de services connaît k ainsi que e (g, h), et w. Il peut donc retrouver la valeur parasite e (Si - , w) qui dépend de la clé secrète (Si, mi). Le fournisseur de services a généré et distribué les clés secrètes d'abonnés. Il peut donc identifier l'abonné A, dont la clé secrète a été utilisée pour calculer la clé de session installée sur le décodeur pirate ou publiée sur le site Internet.
10 Dans une étape suivante E22 d'identification du traître, le fournisseur de service identifie la clé secrète pour laquelle l'équation est vérifiée. A cette fin le premier dispositif 10 calcule par exemple les valeurs e(Simi, w) pour chaque clé secrète (Sti, mi) qu'il a distribuée jusqu'à retrouver la valeur parasite e(S1m- , w). Une fois la clé secrète identifiée, il identifie l'abonné A, à qui la clé appartient. Le traître est ainsi identifié.
15 Le procédé de traçage de traîtres décrit ici dans le cas particulier du schéma de signature dit de Boneh et Boyen s'applique de la même façon dans le cas du schéma d'encapsulation décrit de façon générique. L'invention est décrite ici dans le cadre d'un service de diffusion de contenus. On comprend qu'un tel procédé d'encapsulation peut s'appliquer également à tout service qui 20 utilise des clés de session, et en particulier à des services qui nécessitent un renouvellement régulier de ces clés de session. Un dispositif d'encapsulation, selon un exemple de réalisation, va maintenant être décrit en relation avec la figure 3.
25 Un dispositif d'encapsulation 10 est un dispositif informatique, tel un ordinateur adapté pour encapsuler une clé de session et transmettre des informations qui permettent à des dispositifs 20, de calcul de la clé de session (non représentés sur la figure 3) de calculer la clé de session. La clé de session est ensuite utilisée pour déchiffrer un contenu reçu chiffré au moyen de la clé de session. Un tel dispositif 10 est par exemple un dispositif de diffusion de 30 contenus, agencé pour diffuser un contenu chiffré à l'attention de dispositifs de réception. Dans un tel contexte d'utilisation, il est habituel que le dispositif de diffusion renouvelle la clé de session à intervalle régulier. Plus précisément, le dispositif d'encapsulation 10 comprend : 3029667 19 - un microprocesseur 110, ou « CPU » (de l'anglais « Central Processing Unit »), destiné à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ; - un ensemble de mémoires, dont une mémoire volatile 111, ou « RAM » (pour « Random Access Memory ») utilisée pour exécuter des instructions de code, stocker des 5 variables, etc., une mémoire de stockage 112 de type « ROM » ou « EEPROM » (de l'anglais « Read Only Memory » et « « Electronically-Erasable Programmable Read-Only Memory »). La mémoire de stockage 122 est agencée pour mémoriser une application qui comprend des instructions de code pour mettre en oeuvre les étapes du procédé d'encapsulation d'une clé de session tel que décrit précédemment. Elle est également agencée pour mémoriser une clé secrète 10 d'encapsulation Sk, générée au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, Le dispositif d'encapsulation 10 comprend également : - un module de génération 113, agencé pour générer aléatoirement une première valeur 15 k. Dans un exemple de réalisation, le module de génération 113 génère un exposant entier k. Typiquement les moyens de génération sont un générateur pseudo-aléatoire. Le module de génération 113 est agencé pour mettre en oeuvre l'étape E4 du procédé d' encapsulation décrit précédemment ; - un module d'envoi 114, agencé pour envoyer à au moins un dispositif de calcul de la 20 clé de session au moins une deuxième valeur t4c obtenue en appliquant une opération mathématique à la première valeur k et à un élément ui utilisé pour construire la clé de vérification d'encapsulation 17k associée à la clé secrète d'encapsulation Sk. Dans un exemple de réalisation, l'opération mathématique consiste à élever à la puissance k l'élément ui. Le module d'envoi 114 est agencé pour mettre en oeuvre l'étape E5 du procédé d'encapsulation décrit 25 précédemment ; - un module 115 d'obtention de la clé de session, agencé pour obtenir la clé de session en appliquant l'opération mathématique à une troisième valeur T1. T2.... Tr indépendante d'une clé secrète (mi,SJ) distribuée à un au moins dispositif de calcul, ladite clé secrète comprenant un message généré aléatoirement mi et une signature Si de ce message. La signature Si est 30 obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation Sk au message mi, ladite troisième valeur appartenant à un groupe d'arrivée de l'application bilinéaire. Le module 115 d'obtention de la clé de session est agencé pour mettre en oeuvre l'étape E8 du procédé d'encapsulation tel que décrit précédemment. Dans un exemple de réalisation, le dispositif d'encapsulation obtient la clé de session en calculant 35 (Ti. T2.... Tr)k 3029667 20 Les modules de génération 113, d'envoi 114, 115 d'obtention de la clé de session sont de préférence des modules logiciels comprenant des instructions de code logicielles pour faire exécuter celles des étapes du procédé d'encapsulation qui sont mises en oeuvre par le dispositif 10 d'encapsulation.
5 L'invention concerne donc aussi : - un programme d'ordinateur comportant des instructions pour la mise en oeuvre du procédé d'encapsulation tel que décrit précédemment, lorsque ce programme est exécuté par un processeur ; - un support d'enregistrement lisible par un lecteur sur lequel est enregistré le 10 programme d'ordinateur décrit ci-dessus. Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunications.
15 Dans un exemple de réalisation, le dispositif 10 d'encapsulation est également agencé pour chiffrer un contenu au moyen de la clé de session ainsi calculée et diffuser ce contenu sur un canal public. Un dispositif de calcul d'une clé de session, selon un exemple de réalisation, va 20 maintenant être décrit en relation avec la figure 4. Un dispositif 20, de calcul d'une clé de session est un dispositif informatique, tel un ordinateur adapté pour recevoir des contenus envoyés chiffrés au moyen d'une clé de session par le dispositif 10 d'encapsulation décrit précédemment et pour calculer la clé de session afin de déchiffrer le contenu reçu chiffré. Dans un exemple de réalisation, le dispositif 20, de calcul 25 d'une clé de session est également agencé pour déchiffrer un contenu reçu chiffré au moyen de la clé de session ainsi calculée. Plus précisément, le dispositif 20, de calcul d'une clé de session comprend : - un microprocesseur 210, destiné à charger des instructions en mémoire, à les exécuter, à effectuer des opérations ; 30 - un ensemble de mémoires, dont une mémoire volatile 211 de type RAM, utilisée pour exécuter des instructions de code, stocker des variables, etc., une mémoire de stockage 212 de type ROM ou EEPROM. La mémoire de stockage 212 est agencée pour mémoriser une application qui comprend des instructions de code pour mettre en oeuvre les étapes du procédé d'encapsulation d'une clé de session tel que décrit précédemment. Le dispositif 20 de calcul 35 d'une clé de session comprend également : 3029667 21 - un module 213 de réception et de mémorisation, agencé pour recevoir et mémoriser une clé secrète (mj,Sj) comprenant un message généré aléatoirement mj et une signature Sj de ce message. La signature Sj est obtenue par le dispositif d'encapsulation 10 en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation Sk 5 au message mj. La clé secrète (mj,Sj) est mémorisée dans la mémoire de stockage 212, plus précisément dans une zone sécurisée de la mémoire de stockage 212. Le module 213 de réception et de mémorisation est agencé pour mettre en oeuvre l'étape E3 du procédé d'encapsulation décrit précédemment ; - un module de réception 214, agencé pour recevoir au moins une valeur /4' obtenue en 10 appliquant une opération mathématique à une deuxième valeur k générée aléatoirement par le dispositif d'encapsulation 10 et à un élément ui utilisé pour construire la clé de vérification d'encapsulation 17k associée à la clé secrète d'encapsulation Sk. Le module de réception 214 est agencé pour mettre en oeuvre l'étape E6 de réception du procédé d'encapsulation décrit précédemment ; 15 - un module de calcul 215, agencé pour calculer la clé de session comme le résultat d'un algorithme de vérification de signature du schéma de signature numérique appliqué à ladite au moins une valeur reçue /4' et à au moins une partie de la clé secrète (mj,Sj). Le module de calcul 215 est agencé pour mettre en oeuvre l'étape E7 du procédé d'encapsulation décrit précédemment.
20 Les modules 213 de réception et de mémorisation, de réception 114, de calcul 215 sont de préférence des modules logiciels comprenant des instructions de code logicielles pour faire exécuter celles des étapes du procédé d'encapsulation qui sont mises en oeuvre par le dispositif 20, de calcul d'une clé de session. L'invention concerne donc aussi : 25 - un programme d'ordinateur comportant des instructions pour la mise en oeuvre du procédé d'encapsulation tel que décrit précédemment, lorsque ce programme est exécuté par un processeur ; - un support d'enregistrement lisible par un lecteur sur lequel est enregistré le programme d'ordinateur décrit ci-dessus.
30 Les modules logiciels peuvent être stockés dans, ou transmis par un support de données. Celui-ci peut être un support matériel de stockage, par exemple un CD-ROM, une disquette ou un disque dur, ou bien un support de transmission tel qu'un signal ou un réseau de télécommunications.
3029667 22 L'invention concerne également un système de diffusion de contenus qui comprend un dispositif d'émission 10 agencé pour diffuser un contenu chiffrer au moyen d'une clé de session et pour envoyer des éléments d'information relatifs à la clé de session et une pluralité de dispositifs 20, de calcul de la clé de session, agencés pour utiliser les informations relatives à la 5 clé de session. Les dispositifs de calcul de la clé de session sont agencés pour calculer la clé de session et déchiffrer un contenu reçu chiffré au moyen de cette clé de session.

Claims (14)

  1. REVENDICATIONS1. Procédé d'encapsulation d'une clé de session, un premier dispositif (10) possédant une clé secrète d'encapsulation (Sk) obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le procédé étant caractérisé en ce qu'il est généré et distribué à au moins un deuxième dispositif (20i), une clé secrète (mi, Si), ladite clé secrète comprenant un message généré aléatoirement (mi) et une signature (Si) de ce message, ladite signature étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation (Sk) au message (mi), et dans lequel le premier dispositif : - génère (E4) aléatoirement une première valeur (k), - envoie (E5) au moins une deuxième valeur (ub obtenue en appliquant une opération mathématique à la première valeur et à un élément utilisé pour construire une clé de vérification d'encapsulation (17k) associée à la clé secrète d'encapsulation, ladite clé de session étant obtenue (E8) par le premier dispositif en appliquant l'opération mathématique à une troisième une valeur (T1. T2 ... Tr) indépendante de la clé secrète distribuée audit deuxième dispositif et appartenant à un groupe d'arrivée de l'application bilinéaire.
  2. 2. Procédé d'encapsulation d'une clé de session selon la revendication 1, dans lequel l'algorithme de vérification du schéma de signature consiste à vérifier que : e (g1, hi). e (g2, h2) . e (gn, Fin) = T1. T2 Tr , où T1, T2, . , T r sont des éléments d'un groupe GT, publics et indépendants du message à signer et de la signature de ce message à vérifier et où, pour chaque paire (gi, h1) l'un des éléments est de la forme u ci'. avec a E Zp, avec ut un élément issu de la clé publique.
  3. 3. Procédé d'encapsulation selon la revendication 2, dans lequel le premier dispositif, suite à la détection qu'une clé secrète (mj,Sj) d'un des deuxièmes dispositifs est illégitimement utilisée : - modifie (E20) avant de l'envoyer, une des au moins deuxième valeur, au moyen d'un terme parasite (w), ledit terme parasite générant une valeur parasite dans un algorithme de vérification du schéma de signature, - envoie (E21) au moins la deuxième valeur, - identifie (E22) la clé secrète illégitimement utilisée parmi les clés secrètes distribuées, en calculant pour chaque clé secrète distribuée une valeur courante au moyen de l'algorithme de 3029667 24 vérification, la clé secrète illégitimement utilisée étant égale à la clé secrète pour laquelle la valeur courante est égale à la valeur parasite.
  4. 4. Procédé d'encapsulation d'une clé de session selon l'une des revendications 5 précédentes, dans lequel un premier schéma de signature, dit schéma de Boneh et Boyen, définit les primitives de : - génération de clés : soit les générateurs aléatoires Yi E G1, 92 E G2, et un entier aléatoire x E Zp, il est calculé y <- gz E G2 et z e(gi, g2) E GT, la clé publique de signature étant le tuple (gi, 92, 17, z) et la clé secrète de signature étant (91, x), 10 - une primitive de signature: soit une clé secrète (91, x) et un message m E Zp la signature du message m au moyen de la clé secrète (91, x) est de la forme ogi /(x+m) /(x + m) avec 1 calculé modulo p, et avec 110 défini par convention comme étant égal à 0 afin d' avoir o- <- 1 E G1 dans le cas où x + m = 0 ; et - une primitive de vérification : soit une clé publique (91, 92, y, z), un message m, et 15 une signature o-, vérifier l'égalité e (o -, v. gT) = z et si l'égalité est vérifiée, ou si o- = 1 et y. gr- = 1, la signature du message m est valide, sinon, la signature est invalide.
  5. 5. Procédé d' encapsulation selon l'une des revendications 1 à 3, dans lequel un 20 deuxième schéma de signature, dit schéma de Waters, définit les primitives de : - génération de clés dans lequel la clé publique est définie comme suit : un secret a E Zpest choisi aléatoirement et soit un générateur aléatoire g E G = G1 = G2, il est défini Yi = ga, il est choisi aléatoirement 92 dans G et il est choisi aléatoirement u' E G et un vecteur aléatoire de longueur N, U = (ui), dont les 25 éléments sont choisis aléatoirement dans G, la clé publique publiée étant g, gi, 92,u' , et U, et la clé secrète étant g' 2 , - signature : soit m un message de N-bit à signer mi étant le i-ième bit de m, et l'ensemble M S {1, , N} des i pour lesquels mi = 1, une signature de m est générée comme suit : un aléa r E Zp est choisi et la signature est ensuite construite 30 comme - o-m = (g2 (u'11jEM ui )r, gr), et - vérification : o- = 62) est une signature acceptée pour un message m si e(o-i, g)/ e (o-2, u' mem. ui) = e (g 1, g2). 3029667 25
  6. 6. Utilisation du procédé d'encapsulation selon l'une des revendications précédentes, dans un service de diffusion de contenus, un contenu étant chiffré au moyen de la clé de session et diffusé chiffré par le premier dispositif à l'attention d'au moins le deuxième dispositif. 5
  7. 7. Procédé de calcul d'une clé de session par au moins un premier dispositif, ladite clé de session étant déterminée par un deuxième dispositif, possédant une clé secrète d'encapsulation (Sk) obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, ledit procédé étant caractérisé en ce qu'il a été préalablement généré par 10 le deuxième dispositif et distribué au premier dispositif une clé secrète (mi,Si), ladite clé secrète comprenant un message généré aléatoirement (mi) et une signature (Si) de ce message, ladite signature étant obtenue en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation (Sk) au message (mi), et dans lequel le premier dispositif reçoit au moins une valeur (ub obtenue en appliquant une opération mathématique à 15 une deuxième valeur (k) générée aléatoirement par le deuxième dispositif et à un élément (ui) utilisé pour construire une clé de vérification d'encapsulation (17k) associée à la clé secrète d'encapsulation, ladite clé de session étant calculée par le premier dispositif comme le résultat d'un algorithme de vérification de signature du schéma de signature numérique appliqué à ladite au moins une valeur reçue et à au moins une partie de la clé secrète. 20
  8. 8. Dispositif (10) d'encapsulation d'une clé de session, ledit dispositif comprenant une clé secrète d'encapsulation (Sk) obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le dispositif d' encapsulation comprenant : 25 - des moyens (113) de génération, agencés pour générer aléatoirement une première valeur (k), - des moyens (114) d'envoi, agencés pour envoyer à au moins un dispositif de calcul (20,) au moins une deuxième valeur (ub obtenue en appliquant une opération mathématique à la première valeur et à un élément (ui) utilisé pour construire une clé de 30 vérification d'encapsulation (17k) associée à la clé secrète d'encapsulation, - des moyens (115) d'obtention de la clé de session, ladite clé de session étant obtenue en appliquant l'opération mathématique à une troisième valeur (T1. T2 ... Tr) indépendante d'une clé secrète (mi,Si) distribuée à au moins un deuxième dispositif, ladite clé secrète comprenant un message généré aléatoirement (mi) et une signature (Si) de ce message, ladite signature étant obtenue en appliquant un algorithme de signature 3029667 26 du schéma de signature paramétré par la clé secrète d'encapsulation (Sk) au message (mi), ladite troisième valeur appartenant à un groupe d'arrivée de l'application bilinéaire. 5
  9. 9. Dispositif (20,) de calcul d'une clé de session, ladite clé de session étant déterminée par un dispositif d'encapsulation (10) possédant une clé secrète d'encapsulation (Sk) obtenue au moyen d'un algorithme de génération de clés d'un schéma de signature numérique, ledit schéma de signature numérique étant construit à partir d'une application bilinéaire, le dispositif de calcul comprenant :
  10. 10 - des moyens (213) de réception et de mémorisation d'une clé secrète (mi, Si), agencés pour recevoir et mémoriser une clé secrète comprenant un message généré aléatoirement (mi) et une signature (Si) de ce message, ladite signature étant obtenue par le dispositif d'encapsulation en appliquant un algorithme de signature du schéma de signature paramétré par la clé secrète d'encapsulation (Sk) au message (mi), 15 - des moyens de réception (214), agencés pour recevoir au moins une valeur (ub obtenue en appliquant une opération mathématique à une deuxième valeur (k) générée aléatoirement par le deuxième dispositif et à un élément (ui) utilisé pour construire une clé de vérification d'encapsulation (17k) associée à la clé secrète d'encapsulation, - des moyens de calcul (215), agencés pour calculer la clé de session comme le résultat 20 d'un algorithme de vérification de signature du schéma de signature numérique appliqué à ladite au moins une valeur reçue et à au moins une partie de la clé secrète. 10. Système d'encapsulation d'une clé de session comprenant : - un dispositif d' encapsulation selon la revendication 8, 25 - au moins un dispositif de calcul selon la revendication 9.
  11. 11. Programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un dispositif d'encapsulation, le programme comprenant des instructions de code pour l'exécution des étapes du procédé d'encapsulation d'une clé de session selon l'une des 30 revendications 1 à 5, lorsque le programme est exécuté sur ledit dispositif.
  12. 12. Support de données dans lequel est enregistré le programme selon la revendication 10. 3029667 27
  13. 13. Programme d'ordinateur sur un support de données et chargeable dans la mémoire d'un dispositif de calcul, le programme comprenant des instructions de code pour l'exécution des étapes du procédé de calcul d'une clé de session selon la revendication 7, lorsque le programme est exécuté sur ledit dispositif.
  14. 14. Support de données dans lequel est enregistré le programme selon la revendication 13. 5 10
FR1461923A 2014-12-04 2014-12-04 Procede d'encapsulation d'une cle de session Pending FR3029667A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1461923A FR3029667A1 (fr) 2014-12-04 2014-12-04 Procede d'encapsulation d'une cle de session

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1461923A FR3029667A1 (fr) 2014-12-04 2014-12-04 Procede d'encapsulation d'une cle de session

Publications (1)

Publication Number Publication Date
FR3029667A1 true FR3029667A1 (fr) 2016-06-10

Family

ID=53177540

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1461923A Pending FR3029667A1 (fr) 2014-12-04 2014-12-04 Procede d'encapsulation d'une cle de session

Country Status (1)

Country Link
FR (1) FR3029667A1 (fr)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DAN BONEH ET AL: "Short Signatures Without Random Oracles and the SDH Assumption in Bilinear Groups", JOURNAL OF CRYPTOLOGY, SPRINGER-VERLAG, NE, vol. 21, no. 2, 11 September 2007 (2007-09-11), pages 149 - 177, XP019583405, ISSN: 1432-1378 *
MICHEL ABDALLA ET AL: "Identity-Based Traitor Tracing", 16 April 2007, PUBLIC KEY CRYPTOGRAPHY - PKC 2007; [LECTURE NOTES IN COMPUTER SCIENCE;;LNCS], SPRINGER BERLIN HEIDELBERG, BERLIN, HEIDELBERG, PAGE(S) 361 - 376, ISBN: 978-3-540-71676-1, XP047029619 *
TO V D ET AL: "NEW TRAITOR TRACING SCHEMES USING BILINEAR MAP", PROCEEDINGS OF THE 3RD. ACM WORKSHOP ON DIGITAL RIGHTS MANAGEMENT. DRM 2003. WASHINGTON, DC, OCT. 27, 2003; [PROCEEDINGS OF THE ACM WORKSHOP ON DIGITAL RIGHTS MANAGEMENT. (DRM)], NEW YORK, NY : ACM, US, 27 October 2003 (2003-10-27), pages 67 - 76, XP001238176, ISBN: 978-1-58113-786-6, DOI: 10.1145/947380.947389 *

Similar Documents

Publication Publication Date Title
EP1072124B1 (fr) Procede de verification de l&#39;usage de cles publiques engendrees par un systeme embarque
EP2052539B1 (fr) Méthode de révocation de modules de sécurité utilisés pour sécuriser des messages diffusés
FR2913154A1 (fr) Chiffrement broadcast base sur identite
FR2952778A1 (fr) Procede de transmission de donnees securise et systeme de chiffrement et de dechiffrement permettant une telle transmission
EP2457344B1 (fr) Procede de conversion d&#39;un premier chiffre en un deuxieme chiffre
EP2643943B1 (fr) Procédé et système d&#39;accès conditionnel à un contenu numérique, terminal et dispositif d&#39;abonné associés
WO2019115943A1 (fr) Technique de protection d&#39;une clé cryptographique au moyen d&#39;un mot de passe utilisateur
WO2011083232A1 (fr) Procede de chiffrement et de dechiffrement
FR2742617A1 (fr) Procedes de reduction et de mise a disposition de cles de chiffrage, et structure et support de donnees pour leur mise en oeuvre
FR3113800A1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
KR20060078768A (ko) 사용자 개인키의 분산 등록을 이용한 키 복구 시스템 및그 방법
WO2019228853A1 (fr) Methode d&#39;etablissement de cles pour le controle d&#39;acces a un service ou une ressource
WO2009053605A2 (fr) Systeme traçable de chiffrement/dechiffrement de donnees numeriques diffusees
FR3079045A1 (fr) Procede d’emission de donnees depuis un vehicule automobile et procede de reception desdites donnees par un autre vehicule, a travers un canal de communication radio.
FR3029667A1 (fr) Procede d&#39;encapsulation d&#39;une cle de session
EP1723791B1 (fr) Methode de securisation d&#39;un evenement telediffuse
WO2011030069A1 (fr) Procede de generation d&#39;un certificat numerique
FR2913153A1 (fr) Chiffrement base sur identite
EP2728791A1 (fr) Procédé et système de fourniture de services sécurisés à un utilisateur
EP2652899A2 (fr) Procédé et système d&#39;accès conditionnel à un contenu numérique, terminal et dispositif d&#39;abonné associés
EP2294750B1 (fr) Procede et systeme tracables de diffusion de donnees numeriques
EP2550766B1 (fr) Procede pour identifier un dispositif mis en oeuvre par un terminal pirate et dispositif associe
EP1670172A1 (fr) Procédé et système d&#39;encryption par un proxy.
EP1992104B1 (fr) Authentification d&#39;un dispositif informatique au niveau utilisateur
Lee et al. ID-based key management scheme using threshold decryption for OPMD environment

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20160610