FR3035293A1

FR3035293A1 -

Info

Publication number: FR3035293A1
Application number: FR1500759A
Authority: FR
Inventors: Valroger Thibault De
Original assignee: Individual
Current assignee: Individual
Priority date: 2015-04-14
Filing date: 2015-04-14
Publication date: 2016-10-21
Anticipated expiration: 2035-04-14
Also published as: US10396983B2; CN108093680B; WO2016166426A1; US20180287781A1; CN108093680A; FR3035293B1; EP3284208A1

Abstract

Le procédé permet à deux entités reliées par un canal de communication non sûr, et ne partageant initialement aucune donnée secrète, de convenir d'une information secrète partagée de manière inconditionnellement sure. Chacune de de ces entités a la capacité de générer une nouvelle forme d'information aléatoire, appelé Hasard Profond, telle que toute entité autre qu'elle même ne peut connaître sa distribution de probabilité, en dehors d'un ensemble de caractéristiques publiques. Le système interne de chaque entité est constitué : (1) d'un Générateur de Hasard Profond (GHP) capable de générer un signal aléatoir en Hasard Profond, et d'effectuer des traitements à partir du signal généré ; et (2) d'un Module de Communication Interactive (MCI) capable de publier et de lire des informations sur le canal de communication non sûr. Ces deux entités exécutent un protocole de communication tel que : (i) elles peuvent chacune calculer leur estimation respective de l'information secrète partagée, qui soit aussi proche que souhaité de l'égalité parfaite, et (ii) toute entité passive ayant un accès complet et illimité aux informations échangées sur le canal de communication, et ayant des capacités de calcul et de stockage de données illimitées, ne peut calculer qu'une estimation de l'information secrète partagée qui peut être rendue statistiquement aussi proche que souhaité de l'incertitude absolue.

Description

Description 1. Domaine technique de l'invention L'invention appartient au domaine des systèmes de communication cryptographiques. 2. Etat de la technique antérieure La cryptographie moderne repose en majorité sur des problèmes mathématiques très difficiles à résoudre dans l'état actuel des connaissance et des moyens de calcul, tels que par exemple la factorisation de grands nombres premiers, ou le calcul de logarithmes discrets, appartenant à la théorie de la complexité. Du fait qu'aucune certitude n'existe quant à la difficulté réelle de ces problèmes, pas même la fameuse conjecture 134\IP, d'autres méthodes ont été développées depuis le début des années 90. Ces méthodes s'appuient sur des hypothèses relatives à l'adversaire (comme « l'adversaire à mémoire limitée » [6]) ou relatives au canal de communication (comme les « canaux bruités indépendants » [5]) ; malheureusement, s'il a été montré que la confidentialité parfaite pouvait être atteinte pour ces méthodes sous certaines hypothèses données, aucune de ces hypothèses n'est facile à garantir en pratique. Enfin, d'autres méthodes, basées elles sur des théories physiques, telles que l'indétermination quantique [3] ou les systèmes dynamiques chaotiques ont été décrites et expérimentées, mais elles sont complexes à mettre en oeuvre et, là encore, elles reposent sur des théories non prouvées. Considérant cette situation théorique non satisfaisante, nous proposons une nouvelle méthode, grâce à laquelle la confidentialité parfaite peut être atteinte et prouvée, sans aucune hypothèse relative à l'adversaire, qui est supposé doté de capacités de calcul et de stockage de données illimitées, ni au canal de communication, qui est supposé 25 parfaitement public et équivalent pour tous les participants (partenaires légitimes et adversaires). L'adversaire considéré est passif, ce qui veut dire qu'il n'interfère pas dans le protocole de communication entre les partenaires légitimes en ajoutant, modifiant ou supprimant des données aux informations échangées ; il a en revanche un accès total à ces informations. Les adversaires actifs peuvent également être 30 considérés en ajoutant au protocole un schéma d'authentification des messages entre les partenaires légitimes. Références [1] C. E. Shannon, « Communication theory of secrecy systems », Bell Syst. Tech. J., Vol. 28, pp. 656-715, Oct. 1949 35 [2] A. N. Kolmogorov, « On Tables of Random Numbers », Sankhya. Indian Journal of Statistics A, 25(4) :369-376 [3] C. H. Bennet and G. Brassard, « Quantum cryptography and its application to provable secure key expansion, public-key distribution and coin-tossing », Proc. - 2 - 3035293 IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India, pp. 175-179, Dec. 1984 [4] C. H. Bennet, G. Brassard and J.-M. Robert, « Privacy Amplification by Public Discussion », SIAM J. COMPUT., Vol. 17, No. 2, Apr. 1988 5 [5] U. M. Maurer, « Secret Key Agreement by Public Discussion from Common Information », IEEE Transactions on Information Theory, Vol. 39, No. 3, May 1993 [6] C. Cachin and U. M. Maurer, « Unconditional Security Against MemoryBounded Adversaries », Proceeding of CRYPTO '97, Lecture Notes in Computer Science, Springer, 1997 10 3. Exposé de l'invention Nous considérons deux Entités Autonomes (EA), appelées correspondants EA légitimes, désirant communiquer sur un canal de communication public non sûr. Comme dans toute modélisation de protocole de communication, ces EA sont des 15 entités capables de générer des séquences de bits aléatoires, de publier des séquences de bits, de lire des séquences de bits publiées par d'autres EA, de stocker des séquences de bits, d'effectuer des calculs sur des séquences de bits. La principale différence de notre procédé est que la génération aléatoire de séquences de bits inclut la génération de Hasard Profond. Le Hasard Profond est une source d'information 20 numérique aléatoire telle qu'un observateur extérieur ne peut pas connaître la distribution de probabilité de la variable aléatoire associée à cette source d'information, à part un ensemble de caractéristiques publiques. De ce fait, de telles variables aléatoires par Hasard Profond ne sont pas sujettes à une évaluation par inférence bayesienne.

Une EA est constituée (Fig. 1) des 2 composants suivants : - Le Générateur de Hasard Profond (GHP). Un GHP est capable de : o Produire de manière continue de nouvelles distributions de probabilités, appelées distributions par Hasard Profond, dont les caractéristiques sont décrites ci-après o Générer et stocker, sur requête d'un MCI autorisé, une information numérique aléatoire en utilisant ses distributions par Hasard Profond, ces informations devant rester secrètes pour assurer la confidentialité de la communication o Réaliser, sur requête d'un MCI autorisé, des calculs sur les dites informations numériques aléatoires - Le Module de Communication Interactive (MCI). Un MCI est capable de : o Publier de l'information sur le canal de communication public (à l'attention du correspondant EA légitime) o Lire de l'information sur le canal de communication 3035293 - 3 - o Exécuter un type particulier de protocole de communication appelé Protocole à Confidentialité Parfaite, dont les caractéristiques sont décrites ci-après Les deux caractéristiques principales de la présente invention sont (i) la génération 5 de distributions par Hasard Profond, et (ii) l'exécution de Protocole à Confidentialité Parfaite. Ils sont conçus (GHP et MCI) pour fonctionner ensemble, ce qui donne l'unicité de l'invention. Ils permettent d'obtenir une confidentialité parfaite sans besoin de distribution préalable d'une clé secrète et sans condition ou limitation sur le canal de communication ou sur les capacités de l'adversaire, ce qui donne l'utilité 10 et le caractère innovant de l'invention. Ils peuvent être réalisés sous différentes formes, sachant qu'au moins une est décrite à la section 5 de la présente description ci-après, ce qui assure que l'invention peut faire l'objet d'application industrielle. De plus, l'inventeur a obtenu une preuve mathématique de la parfaite confidentialité, ce qui n'est pas le cas de la plupart des autres procédés de communication 15 cryptographique brevetés précédamment ; toutefois, les détails de cette preuve mathématique sont complexes et ne sont pas présentés dans la présente description par souci de concision. Caractéristiques du Générateur de Hasard Profond : 20 Le Hasard Profond généré par une EA appelée A est une source de hasard telle que sa distribution de probabilité est inconnaissable (ou cachée) pour un ensemble donné d'EA appelées adversaires, chacune notée En pratique, cet ensemble d'EA est généralement toute EA autre que A. Plus généralement, la distribution de probabilité peut être cachée à part un ensemble de caractéristiques publiques I (on note SZ/ 25 l'ensemble des distributions de probabilité qui vérifient les caractéristiques I). De telles sources de hasard ont la propriété suivante : Si X et Y sont deux variables aléatoires, et si X a une distribution de probabilité cachée pour e en dehors des caractéristiques I, alors : E kp (X) I Yje ne dépend pas de la distribution de probabilité de X au sein de 30 (H) où Elcp(X)Ine- désigne l'espérence conditionnelle de (XX) à partir de la connaissance réduite à Y par .. (p étant une fonction déterministe quelconque. Nous pouvons donner une formulation plus faible mais plus concrète de cette propriété, avec les variables engendrées. A titre de défintion, si V est une variable 35 aléatoire à valeurs dans un ensemble E, une variable aléatoire V' à valeurs dans l'ensemble F est dite engendrée par V s'il existe une distribution d'engendrement 3035293 -4- r E x F 1-> [0,1] telle que Vx E E, EyEF x)ôy = 1 et correspondant à la distribution de probabilité de 1/' : P(V' = yiV = x) = tp(y,x) La formulation affaiblie de la propriété est alors : soit Y une variable aléatoire à 5 valeurs dans un ensemble F, engendrée par n'importe quelle variable aléatoire à valeur dans E par la même distribution d'engendrement tp: E x F 1-9 [0,1]. Si X et X' sont deux variables aléatoires à valeurs dans E dont les distributions de probabilité sont dans II/ chacune cachée pour e en dehors des caractéristiques I, alors : = E[e(x')Ille 10 (H') Vu de l'EA pour qui la distribution de probabilité d'une variable aléatoire est cachée, la capacité d'estimation relative à cette variable est bien sûr plus limitée que pour une variable aléatoire traditionnelle dont la distribution est connue. Le concept de pondération des valeurs possibles est remplacé par le concept de simple existence de 15 telles valeurs. Il est important de comprendre que le fait d'affirmer que la distribution d'une variable aléatoire est inconnaissable pour une EA ne veut pas dire que cette distribution n'existe pas. Cela veut simplement dire qu'elle est cachée pour cette EA. Pour toute autre EA (connaissant la distribution), la variable aléatoire reste 20 gouvernée par la théorie des probabilités traditionelle. Il peut apparaître comme un non sens de vouloir générer du Hasard Profond à l'aide de ressources informatiques programmables. Dans le monde réel, même un ordinateur a accès à des sources de hasard dont les distributions de probabilité sont au moins partiellement inconnues, mais cela ne veut pas dire qu'il est possible 25 d'obtenir du Hasard profond directement à partir de ces sources, utilisable pour une application de communication cryptographique. 3 méthodes existent pour générer programmatiquement du Hasard profond au sein d'une EA : 1) La programmation sécurisée : dans le cadre de cette méthode, le 30 programme qui génère le Hasard Profond (GHP) est élaboré secrètement au sein d'un processus industriel isolé, et est gardé secret à toute EA exterieure. Pour les applications industrielles, le programme est embarqué dans un dispositif résistant à l'investigation, et ne peut être sollicité que pour fournir un signal de sortie généré de manière interne à l'aide dudit programme. 35 2) La génération récursive : dans le cadre de cette méthode, le programme de GHP exécute une suite récursive continue de génération, dans laquelle, à chaque étape m + 1, la distribution de probabilité est créée / sélectionnée pour mettre en 3035293 - 5 - échec la stratégie d'estimation optimale pour les distributions des étapes 5_ m. Cette méthode peut être implémentée dans un programme qui s'exécute de manière continu au sein d'un environnement d'exécution, et qui puisse être sollicité à tout moment par l'EA pour fournir un signal aléatoire généré à l'aide d'un tirage aléatoire basé sur 5 la valeur courante de la suite de distribution. Une telle implémentation peut être réalisée en logiciel ou en matériel pour améliorer la confidentialité de l'état courant de la suite. Pour qu'une telle méthode soit sure, l'entropie du signal aléatoire de sortie ne devrait pas être plus grande que l'entropie de la valeur de l'indice de la suite. Un exemple d'une telle méthode est donné à la section 5 de la présente 10 description. 3) La combinaison : dans le cadre de cette méthode, différentes sources de Hasard Profond sont combinées. Ces sources peuvent provenir d'une EA externe collaborative, comme représenté en Fig. 3. Dans ce cas, un Protocole à 15 Confidentialité Parfaite est utilisé pour échanger les paramètres de la distribution de probabilité, d'une ou plusieurs EA collaboratives de niveau 1 vers l'EA de niveau 2 considérée. Les méthodes de combinaison sont telles que si au moins une des sources est réellement du Hasard Profond, alors la résultante de la combinaison est encore du Hasard Profond, autrement dit que la distribution de probabilité obtenue reste cachée 20 pour les adversaires. Concernant la génération récursive, si un observateur ne connaît ni la date de démarrage ni la vitesse d'exécution d'un compteur incrémental infini, aucune distribution de probabilité ne peut estimer même approximativement la valeur courante du compteur à un instant donné, de part sa nature illimitée. De plus, s'il 25 s'exécute dans un dispositif informatique, la vitesse réelle du compteur est impactée par des tâches et des événements externes au sein des processeurs, pour lesquels aucune distribution de probabilité fiable ne peut être utilisée ; la seule chose qu'un adversaire puisse faire est d'estimer une borne supérieure très approximative de la valeur du compteur et de sa vitesse. 30 (ii) Caractéristiques d'un Protocole de Confidentialité Parfaite : Définissons d'abord notre modèle général de protocoles de communication. Un protocole de communication est une procédure impliquant 2 correspondants EA légitimes (A et B); qui peut être décomposée en un nombre fini d'étapes t1, , tR 35 telles que, à chaque étape r < R : a) A et B génèrent respectivement une nouvelle information xr et y, (en utilisant potentiellement du hasard classique ou du Hasard Profond grâce à leur GHP comme représenté en Fig. 1 - interaction 100 & 101), impliquant potentiellement la connaissance respectivement de txm}1<m<r, tim,Jmli<m<,, et bim}1<m<re {lm,Jm}1<_m<r- Pour cela, le GHP peut être 3035293 -6- sollicité par le MCI comme représenté en Fig. 1 - interaction 101, et le MCI lit l'information publiée par l'autre partie lors de l'étape précédante comme représenté en Fig. 1- interaction 103. b) A et B publient respectivement une information et jr qui peut dépendre 5 resptivement de [xml. ,1<m<rp finvimIl<m<r, et fier' et (peut Pour cela, le MCI écrit l'information sur le canal public comme représenté en Fig. 1 - interaction 102. A la dernière étape R, A et B réalisent uniquement des calculs basés sur la connaissance respective de {xm}i<m<R, i J m,15m<R et {Ym}i<m<R 9 10 timjinji<m<R. L'un des résultats de ces calculs (comme représenté en Fig. 1 interaction 104) est une estimation de l'information secrète partagée. Ces estimations sont respectivement notées VA et VB. {g),}, est appelé un protocole configurable, avec v un vecteur de paramètres numériques fixé avant l'exécution du protocole, si la description de l'implémentation 15 du protocole (incluant la capacité de générer du Hasard Profond) a une taille majorée par H(v) + K, où H représente la fonction d'entropie et K est une constante indépendante de y. Les Protocoles à Confiddentialité Parfaite sont un type spécial de protocoles appartenant au modèle général décrit ci-dessus, pour lesquels, en supposant les 20 hypothèses (H) et (H') présentées ci-avant vraies pour des signaux générés par des GHP, la stratégie de l'adversaire la plus efficace (espérence conditionnelle) pour estimer par exemple VA est strictement moins performante que VB (Distillation d'Avantage [4]). De tels protocoles incluent également des méthodes, déjà connues et largement étudiées dans la littérature publique, de Réconciliation et 25 d'Amplification de Confidentialité [4] pour transformer ledit Avantage en une information secrète et partagée exclusivement entre les correspondants légitimes. Cette information secrète partagée, qui peut être d'une taille aussi longue que souhaité (par exemple par répétition du protocole), peut être utilisée pour échanger entre les correspondants légitimes de manière parfaitement sécurisée un message 30 signifiant, soit directement (utilisation d'un masque jetable XOR) ou en échangeant une clé cryptographique symétrique, utilisable ensuite avec un système de chiffrement par bloc ou un système de chiffrement en continu. De manière plus formelle, si l'on considère un protocole P, l'ensemble total des informations aléatoires générées respectivement par A et B obéit à des distributions de probablité appartenant 35 respectivement à des ensembles que l'on note LA(P) et LB(P). L'usage du Hasard Profond permet de considérer, dépendant de P, plusieurs sous-ensembles de .2A(P) x .2B(P) : (Hl , Hi),... tels qu'ils contiennent seulement des distributions qui sont non distinguables les unes des autres pour l'adversaire. Ces sous-ensembles sont supposés être maximaux (parceque sinon on peut les compléter). On peut considérer le groupe des transformations réversibles fh,n(s)),, (supposé être 40 dénombrable) de .2,4(33) x LB(P) H .2,1(33) x LB(P), qui laisse (e He) stable. Chacune de ces transformations induit également une transformation réversible min(s) dans l'ensemble des stratégies possibles de l'adversaire kirmir}} = 12p. On note alors f2, (s) le sous-ensemble de flp qui contient les stratégies invariantes par l'action du groupe induit {ulin(s)}, Les hypothèses du Hasard 3035293 - 7 - Profond (H) et (H') permet alors de restreindre le choix de la stratégie de l'adversaire à un élément quelconque du sous-ensemble 14(s). On note Hy(E,E') la quantité minimale d'information (nombre de bits) devant être échangée à travers P pour obtenir : 5 (i) dh(VA-VB) < EH(VB) (ii) infs (sup,,,,03,widh(w,VB) -1 H (VB)I)< E' H (VB) où dh désigne la distance de Hamming, et H(-) désigne l'entropie de Shannon Si les 2 conditions ci-dessus ne peuvent pas être satisfaites, alors Hp(E,E) = 00. Un protocole configurable (1112, est appelé un Protocole à Confidentialité Parfaite si, V E, E' > 0, il existe v(E, E') sous les hypothèses du 10 Hasard Profond (H) et (H'), tel que : Heti (E, Ei) < 00 Les trois caractéristiques minimales d'un Protocole à Confidentialité Parfaite : 1) Le Hasard Profond (HP) : Les 2 correspondants légitimes impliqués dans le protocole font usage du Hasard Profond 15 2) La Dégradation : Pour chacun des 2 correspondants légitimes impliqués dans le protocole, l'information qu'il publie est au moins partiellement dégradée à partir du signal de sortie généré par son GHP. Cela signifie que l'information publiée est le résultat d'une variable aléatoire engendrée à partir dudit signal de sortie généré par le GHP, telle que la précision du signal de 20 sortie de ladite variable engendrée est rendue strictement plus faible (à travers ce processus de Dégradation) que la précision du signal de sortie généré par le GHP. 3) La Distillation d'Avantage sous les hypothèses du Hasard Profond ((H) et (H')): Sous les hypothèses (H) et (H'), aucune stratégie de l'adversaire ne 25 peut être considérée plus efficace qu'au moins une autre stratégie appartenant à un ensemble donné .0, appelé sous-ensemble de restriction pour le protocole ; et pour toute stratégie de .0 adoptée par l'adversaire, l'estimation de l'information secrète partagée donnée par ladite stratégie est strictement moins précise que les estimations des correspondants légitimes.

30 Pour illustrer le phénomène de Dégradation, donnons un exemple simple : considérons une EA observant une épreuve d'une variable aléatoire binaire V de paramètre 8 E [0,1]. Si I 'EA veut générer une nouvelle variable aléatoire binaire basée sur le résultat de l'épreuve, elle peut uniquement affecter des paramètres (00,01) dépendant du résultat binaire (0,1) de l'épreuve de V. Le paramètre de cette nouvelle variable aléatoire binaire V' est alors : 35 00 + (01 - 00)0 Si maintenant on remplace 0 par 0/k où k est un nombre > 1; il est alors impossible d'engendrer à partir de V une nouvelle variable aléatoire binaire de paramètre 0 (parce que 101- 001 < 1). L'EA qui observe peut bien sûr multiplier le résultat par k (engendrant ainsi une variable à valeur cette fois dans (0, k) au lieu de (0,1)), pour obtenir une variable engendrée avec la même moyenne (moment 40 d'ordre 1) que V, mais alors la variance (moment d'ordre 2, représentant la précision) de cette variable engendrée est strictement plus élevée que celle de V, autrement dit sa précision est 3035293 - 8 - strictement plus faible. L'EA doit donc « faire un choix » entre moment d'ordre 1 et moment d'ordre 2, mais ne peut pas égaler les deux moments dans une même variable engendrée. Un exemple de Protocole à Confidentialité Parfaire est donné dans la section 5 de la présente description, comme mode de réalisation spécifique pour cette invention. 5 4. Brève présentation des dessins La Fig. 1 montre le modèle général d'un Protocole à Confidentialité Parfaite basé sur le Hasard Profond, dans lequel chaque EA impliquée dans le protocole (désignées par A et B), dispose d'un GHP fonctionnant en continu, et d'un MCI. Les MCI de A 10 et de B sont connectés par un canal de communication public, sans erreur, sur lequel une EA (dite « adversaire ») est supposée avoir un accès total en lecture. La Fig. 2 montre le mode de réalisation spécifique d'un Protocole à Confidentialité Parfaire basé sur le Hasard Profond (correspondant à la section 5) avec les interactions successives exécutées entre les EA impliquées dans le protocole 15 (désignées par A et B). Chacune de ces interactions est décrite dans la section 5. La Fig. 3 montre un modèle de collaboration entre 2 Générateurs de Hasard Profond, dans lequel une ou plusieurs EA de niveau 1 (désignées par A. x, A. y) peuvent transmettre de manière sécurisée les paramètres de leur distribution de probablité à Hasard Profond à une EA de niveau 2 (désignée par B). B peut alors combiner ces 20 sources potentiellement ensemble et / ou avec les siennes propres, pour générer de nouvelles sources de Hasard Profond. La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs. Le GHP est implémenté dans un environnement physique résistant aux intrusions 25 informatiques ou électromagnétiques et est logiquement constitué de 4 sous-modules : le Générateur Récursif Interne de Hasard Profond (GRIHP), le Générateur Interne de Hasard Standard, la Mémoire Interne, et l'Interface de Communication, qui est le seul des 4 sous-modules à pouvoir communiquer avec l'environnement extérieur. 30 5. Description d'un mode de réalisation spécifique i) Description d'un mode de réalisation spécifique d'un Générateur de Hasard Profond 35 Le mode de réalisation spécifique présenté dans cette section correspond à avec la méthode de génération continue récursive, comme décrit dans la section 3. (i) 2), associée à une méthode par combinaison, comme décrit dans la section 3. (i) 3). Il 3035293 - 9 - peut être implémenté sous forme logicielle ou dans un dispositif matériel résistant aux intrusions informatiques ou électromagnétiques. La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs.

5 Le GHP est logiquement constitué de 4 sous-modules : - le Générateur Récursif Interne de Hasard Profond (GRIHP), qui produit [Fig4-400] une suite continue et récursive de distributions de probabilité et est capable de mettre à disposition, sur sollicitation de l'Interface de Communication [Fig4-420] une épreuve obtenue à partir de la valeur courante 10 de la suite de distributions de probabilité - le Générateur Interne de Hasard Standard, qui produit et met à disposition sur sollicitation de l'Interface de Communication [Fig4-430] une épreuve à partir d'une distribution de probabilité connue ; cette distribution de probablité peut nécessiter un paramètre d'entrée tel que par exemple le signal de sortie du 15 GRIHP (auquel cas il génère une variable aléatoire engendrée par la distribution de probablité à Hasard Profond) - l'Interface de Communication, qui permet de recevoir un ordre d'un MCI associé au GHP, et de donner un signal de sortie en retour [Fig4-410, 411, 412] 20 - la Mémoire Interne, qui permet à l'Interface de Communication de stocker, retrouver ou effacer [Fig4-440, 441, 442] un signal de sortie du GRIHP. Dans la suite de cette section 5.i), on présente plus particulièrement un exemple de GRIHP. On définit les notations suivantes; considérant x = (x1, xn) et y = yn) des 25 vecteurs de paramètres de [0,1]n et i = (i1, ..., in) et j = Ui, ...,jn) des vecteurs d'épreuve de (0,1r, 1, r E N,K, deux entiers, et 0 E [0,1], on définit : x. y (resp. i. j) le produit scalaire de x et y (resp. i et j) Ixl'Eslxs; E.751=1 is On manipulera également des opérateurs de permutation sur les vecteurs. Pour a E 30 Sn, on écrit supp(a) = ker(a - ide?) = fi, cr(i) # i} et lai = card(supp(o-)). La permutation de vecteur correspond à l'application linéaire suivante : E Sn, 0-(x) A. (x,(1), , x,(n)) où Sn représente le groupe symétrique (1),', désignent des distributions de probabilité à valeurs dans [0,1]n. Pour une telle distribution cl), (I) 0 a désigne une autre distribution à valeurs dans [0,1]n telle que : 35 Prohe.,(x) = Prob4,(61(x)) La matrice quadratique d'une telle distribution 1:13 est : 3035293 - 10 - Mi:1)(u, v) = f xux,EP(x)dx Sn désigne l'ensemble des sous-ensembles I de (1, ...,n) de taille n/2 ; on définit 11 .11,, appelée la norme-c, par : VI E Sn, c/(M,D) = Mo(u, y) ; in/Eaxsnic/(114" u,vE/xi 5 A chaque distribution de matrice quadratique Mo est associée la matrice Mci, définie par : (0 1 1 Mo i---> Mc, = Mo : :) OÙ Mc!, = n(n-1) m (u' 1 0 On notera dans la suite : (u), EP, EP') -±.- E t(coij - x 31)21 nk Jcr, ci, 10 (w, cl)) (w, cl)) Ao(cP, (13') lxIIYI x.Y)2 (1)(x)1:1)' (y) dxdy n 2 fx,yE[0,1]n -n où w désigne toute stratégie de l'adversaire, dépendant des informations publiques i,j (cet ensemble de stratégies possibles est noté fi), pour estimer le plus précisément possible la quantité -x-1 nk. 15 i, j sont des vecteurs d'épreuves de {0,1}n générés par une distribution de Bernoulli à partir respectivement des vecteurs de paramètres ,-Y-k. La transformation (x, y) 1-> (x' k) est la Dégradation (comme introduite au 3.(ii)) utilisée pour le présent mode de réalisation, à la fois pour le GHP et le Protocole à Confidentialité Parfaite décrit ci-après en section 5.ii).

20 Enfin, on note : «a) -4 1(1111Mo -Mollc -Nrct} où a E [0,1] est une borne inférieure scalaire choisie comme un paramètre de configuration, sa valeur est un compromis entre importance de l'entropie de l'ensemble des distributions possibles, et efficacité de l'étape de Synchronisation du 25 Protocole à Confidentialité Parfaire présenté ci-après. «a) correspond à l'ensemble des distributions qui sont « loin » d'être symétriques. Seules de telles distributions peuvent être considérées dans le Protocole à Confidentialité Parfaite présenté ci-après pour être capable d'assurer l'efficacité de l'étape de Synchronisation (Etape 4).

3035293 Ayant défini ces notations, il est maintenant possible de décrire précisément le processus de construction de la suite récursive de distributions {cr[p],'}peN.N,,,EN exécuté par le GRIHP du GHP objet du présent mode de réalisation de GHP, appelé 5 dans la suite GHP(N, n, k) : Processus de Génération Récursive Unitaire : L'ensemble des matrices quadratiques de distributions possibles (en supposant (I) restreinte à l'ensemble des distributions à valeurs dans (0,1r) est l'enveloppe convexe de toutes les matrices de l'ensemble : 10 {0-(sr)10- e en, r E Nn} où Sr (u, y) = 11 si u < r et v < r qui correspond à la matrice quadratique de la 0 sinon distribution de Dirac pour le vecteur (1, ..., 1,, 0, ...,0}. Il est facile de calculer que, pour tout r pas trop proche de 0 ou 1 : Ils, - sAc = r(r - 1) <=> r < -2 n(n - 1) (n - r)(n - r - 1) 4=> r > - n(n - 1) - 2 15 et donc de déterminer si une distribution de Dirac 82, E «a) . L'amorce initiale cl)c, du processus est choisie parmi tout sous-ensemble prédéfmi de «a) qui puisse être parcouru algorithmiquement. Dans le présent mode de réalisation, on considère par exemple le sous-ensemble des combinaisons linéaires convexes des distributions qui restent dans (a) . 20 61 = IdGn (D1=cP0°61 63in réalise le minium : min (co, L 2.m,s les) WEn S=1 OÙ tÂntsjs<in est appelée fonction caractéristique du GHP, qui vérifie 0, et 25 n s--14,s = 1 ; IP est choisie au hasard dans le sous-ensemble initial, et il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'il est possible de choisir am+1 telle que : 3035293 - 12 - (@m,11/ ° am+1) ' On détermine alors cDm+1 par : cpm+1 = W ° am+1 Com et o-m+1 peuvent être ainsi déterminés (en utilisant également du hasard classique 5 pour W et (Ym+i) à chaque étape par le GRIHP. On peut également utiliser une méthode pour combiner les distributions dans «a) : Processus de Combinaison Interne : On commence par sélectionner W dans «a), et un ensemble flPs}sED.,...,NI de distributions « à combiner », toutes également dans (a). Soit cr s une permutation telle 2 10 que Ao(W,Ws cri) > (24 -4 (-1j) , il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'une telle permutation existe toujours. De ce fait, ixo as) ° as) a f 1\ 2 1 VI (1/' NLw, 1 VI = N L s=1 s=1 1 et la distribution combinée est alors : (13 = -NEs=N ilifs ° OS.

15 L'association du Processus de Génération Récursive Unitaire et du Processus de Combinaison Interne présentés plus haut donne la description suivante du GRIHP de GHP(N, n, k) (comme représenté en [Fig4-400]) : L'EA exécute un processus de génération continu et récursif dans lequel N suites continues t(1)[p]m}peNk,meN progressent en parallèle en suivant chacune un Processus 20 de Génération Récursive Unitaire tel que présenté ci-dessus. Il peut également être décidé (sur décision aléatoire) de mettre à jour la valeur courante d'une suite donnée par une combinaison des valeurs courantes des suites en utilisant le Processus de Combinaison Interne tel que présenté ci-dessus. La qualité du Hasard Profond dépend de la variété du sous-ensemble initial ainsi que du nombre grandissant d'itérations 25 exécutés sur chaque suite. Le GRIHP devrait exécuter au moins n x N itérations avant de commencer à recevoir des requêtes d'un MCI. N devrait être approximativement de l'ordre de ln(n!)-nln(n), qui représente l'entropie nécessaire pour encoder un élément de l'ensemble des permutations Sri. Au moment où un MCI sollicite la sélection d'une distribution auprès du GHP (comme 30 représenté en [Fig4-410]), un traitement supplémentaire est réalisé pour la sélection de la distribution par l'Interface de Communication (comme représenté en [Fig4-420]) : l'Interface de Communication choisit aléatoirement ([Fig4-430]) un entier c parmi C (a) 3035293 - 13 - ..., N} ; la probabilité de choisir c est de N/c(c + 1)(N + 1) ; de telle manière qu'ainsi la distribution de probabilité de 1/c est équirépartie sur [0,1]. L'EA sélectionne ensuite aléatoirement c suites parmi N ([Fig4-430]) et établit sa distribution (1) comme la combinaison linéaire , Er=1 rn 1 ole - Li-r,mr(t) ; où t désigne l'instant d'exécution 5 du processus, (pi, , pr} désignent les indices des c suites sélectionnées, mr(t) désigne la valeur courante du compteur de la suite c13[pr] à l'instant de l'exécution. La justification de ce traitement supplémentaire est que la distribution finalement choisie doit appartenir à un ensemble quasi convexe, et donc doit aussi avoir son paramètre-a dans un segment convexe. En effet, l'étape de Dispersion (Etape 2) du Protocole à 10 Confidentialité Parfaite présenté ci-après utilise la transformation convexe cl) e-> 2 - Océ + IP), et cette transformation diminue la valeur du paramètre-a ; de manière générale une transformation linéaire convexe avec c distributions sommées diminue la valeur du paramètre-a d'une constante multiplicative de l'ordre de 1/c. Bien sûr, même si ce processus permet alors de pouvoir appliquer de manière effective les hypothèses 15 (H) et (H') présentée dans l'exposé de l'invention, le prix à payer est qu'il introduit l'apparition d'occurrences à faible probablité pour lesquelles l'adversaire pkeliutfiestimer efficacement l'information secrète partagée avec la stratégie séparable w = n2n car, en diminuant la valeur du paramètre-a, on obtient une distribution qui se rapproche d'une distribution symétrique. Ces occurrences à faible probabilité correspondent donc aux 20 cas de plus grandes valeurs de c, ce qui correspond également aux plus faibles valeurs du paramètre-a. Enfin, la distribution choisie cl) est également transformée (toujours dans le cadre de l'interaction [Fig4-420]) par une transformation dite de « lissage permutatif » : 1213H Ty[0] y(Iai)(13 0 o- cres, 25 où y, appelé noyau de lissage permutatif, est une fonction de Nn* --+ [0,1] (remarquez qu'il est impossible que lui = 1 et donc la composante d'indice 1 peut être ignorée) qui vérifie : y(IaI) = crESn Cette transformation finale est nécessaire pour « adoucir » les distributions de Dirac, et 30 éviter des biais spécifiques à certaines distributions à variation trop rapide (les détails techniques sont trop complexes pour être présentés dans cette description). Le noyau de lissage permutatif y est choisi comme un paramètre fixe du GHP. Sans rentrer dans la justification théorique complète qui dépasse le cadre de cette 35 description, l'explication du choix de conception du Processus de Génération 3035293 - 14 - Récursive Unitaire dans le cadre du mode de réalisation spécifique GHP (N, n, k) est la suivante : Avec un compteur inifini s'incrémentant de manière isolée et sécurisée au sein du GRIHP, les instants m et m + 1 sont non distinguables pour l'adversaire Ç. Si un 5 ensemble nin de stratégies permettant une estimation précise de l'information secrète partagée existait à l'instant m pour e, alors pour toute distribution cl) : 111.1 (``) ')> w'43) coEftm coEfint et donc, en choisissant à l'instant m + 1 la distribution (1),n+1 telle que : 1 (inin oi tem+i) (dEarn 10 (ce qui est toujours possible comme expliqué ci-avant) l'EA guarantit que, pourvu que -k « C, aucune stratégie absolue n'existe pour estimer de manière précise à tout instant l'information secrète partagée -x2-' car les instants d'observation ne peuvent nk être distingués par l'adversaire comme étant plutôt m ou m + 1. Et d'autre part, en notant VA = VB =, où x, y correspondraient à des épreuves 15 indépendantes suivant la même distribution cl), on peut calculer que : EPx. y\21 ri x. y\21 < 1 (E) IA k) E 1_0 B 7-irc k Ce processus génère donc en effet du Hasard Profond car, sinon, l'adversaire serait capable par inférence bayesienne d'estimer l'information secrète partagée .71 .-1c31 à partir des informations publiques i, j avec une précision égale ou supérieure à celle de VA 20 ou de VB. ii) Description d'un mode de réalisation spécifique de Protocole à Confidentialité Parfaite La Fig 2. montre un mode de réalisation spécifique d'un Protocole à Confidentialité 25 Parfaite noté P(2., 0, N ,n, k) à l'aide d'un diagramme de blocs, où (À, 9, N ,n, k) sont des paramètres publics du protocole, dont les correspondants légitimes sont notés A et B. A et B sont deux EA équipées chacune d'un GHP et d'un MCI. Les 2 MCI sont connectés par un canal de communication public et sans erreur, de telle manière que 30 A et B peuvent publier de l'information sur le canal et y lire de l'information publiée par l'autre partie. 3035293 - 15 - 'Les étapes du protocole P (À, 0, N, n, k) sont les suivantes : Etape 1 - Génération de Hasard Profond : A et B exécutent chacun de manière indépendante un processus de génération continue et récursive de distributions de probabilité à Hasard Profond [Fig2-200] en 5 utilisant typiquement un générateur GHP(N, n, k) tel que décrit ci-avant dans la sous-section 5.i). A et B desirent entrer en communication sécurisée et démarrent le protocole en choisissant chacun de manière indépendante une distribution de probabilité, respectivement (D et 1:13' en sollicitant leur GHP(N, n, k) comme représenté en [Fig2-210&211&213&214, Fig4-410&420]. Le résultat de cette étape 10 est que A (resp. B) génère aléatoirement le vecteur de paramètre xo E [0,1]n à partir de cl) (resp. yo E [0,1]n à partir de (13'), et stocke xo (resp. yo) dans la mémoire interne de son GHP comme représenté en [Fig4-440]. Etape 2 - Dispersion : A choisit également une seconde distribution 111 toujours en solliciatnt son 15 GHP(N, n, k) comme représenté en [Fig2-210&211&213&214]. Y est utilisée pour « brouiller » les épreuves répétées à partir de (I). A sollicite encore son GHP(N, n, k) pour générer aléatoirement N vecteurs de paramètres tx1, E [0,1]nr à partir de la distribution combinée 1/2 (cl) + 111). B génère aléatoirement N vecteurs de paramètres (y1, , yN) E {[0,1]n}N à partir de (13'. A (resp. B) stocke {xl, xN} 20 (resp. yN)) dans la mémoire interne de son GHP comme représenté en [Fig4- 440]. Etape 3 - Dégradation : A génère N + 1 vecteurs d'épreuves de Bernoulli ttio, iN} E ({0,1}n}N+1 respectivement à partir des vecteurs de paramètres te-ce, ... Akv} comme représenté en 25 [Fig2-210&211, Fig4-430&441]. A publie fi°, iN1 comme représenté en [Fig2- 220]. Etape 4 - Synchronisation : B lit tio, ..., iN1 sur le canal public comme représenté en [Fig2-221] et calcule une permutation de synchronisation criR = tgB [tisr, bisnsEhlk E Sn qui satisfasse la 30 condition : ICard s E N;,/ (iisilYsi is-0s-1(Ys) 2> 0 > ÀN n2 puis génère un vecteur d'épreuves de Bernoulli jo E (0,11n à partir de eB(Y°) B publie jo comme représenté en [Fig2-230&231&232&240]. Etape 5 - Distillation d'Avantage : 3035293 - 16 - À lit jo sur la canal public comme représenté en [Fig2-241] et calcule VA = comme représenté en [Fig2-253&254&255, Fig4-412&441&442], B calcule VB = io.Yo comme représenté en [Fig2-250&251&252, Fig4-412&441&442] Etape 6 - Réconciliation et Amplification de Confidentialité : 5 Enfin, un processus classique de Réconciliation et d'Amplification de Confidentialité [4] permet d'obtenir à la fois une précision aussi proche que souhaité de la perfection pour les correspondants légitimes, et une connaissance de l'information secrète aussi proche que souhaité du néant pour tout adversaire doté de puissances de calcul et de stockage illimitées.

10 Il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'un choix approprié des paramètres (À, 0, N, n, k) permet de rendre possible les étapes 4 et 6 sous les hyporthèses du Hasard Profond (H) et (H'), ce qui constitue le coeur de la présente invention. Nous donnons toutefois maintenant 15 quelques explications. L'utilisation du Hasard Profond telle que décrite aux étapes 1 et 2 permet de restreindre l'ensemble des stratégies de l'adversaire comme suit : - L'étape de Dispersion du protocole permet de restreindre une première fois l'ensemble des stratégies de l'adversaire aux stratégies cojo,i0 ne dépendant que des informations publiques jo, io 20 - L'étape de Synchronisation conduit à restreindre une seconde fois l'ensemble des stratégies de l'adversaire à l'ensemble des stratégies telles que oi = coa(i),,u), E Sn, autrement dit l'ensemble des stratégies invariantes par permutation commune sur io,j0. Ces deux restrictions conduisant finalement à l'ensemble des stratégies restreint fl# : 25 SZ# = tw E [0,1]22n =f(IiI,Iji,i.j),Vf:N1[0,1]) L'étape 4 est nécessaire pour garantir que l'adversaire ne peut pas tirer avantage de l'indépendance entre les processus de sélection de D et 4' par A et B, ce qui pourrait lui permettre d'estimer efficacement en utilisant la stratégie séparable I nk n2 Grâce à l'étape de synchronisation, une telle stratégie devient inefficace, du fait de la 30 nature de l'amorce initiale 430 utilisée dans le GHP(N, n, k). Les tirages aléatoires répétés à partir de (I) sont utilisés pour « synchroniser » 43 et (13', mais ne peuvent pas être utilisés par l'adversaire Ç pour obtenir une connaissance accrue de la distribution (I). C'est le rôle de l'étape de Dispersion 3. Il est important de remarquer que le calcul de la permutation de synchronisation 35 (YB = a-BRU* ,(y.,}1 à l'étape 4 ne dépend que des indices s E donc excluant 0. En effet, le choix de (rB doit demeurer indépendant de io, de telle sorte que io et jo 3035293 - 17 - 'demeurent des épreuves indépendantes de variables de Bernoulli, permettant ainsi d'appliquer la majoration (E) pour les correspondants légitimes. L'explication pour ce mode de réalisation spécifique est la suivante : il peut être prouvé que (les détails sont complexes et ne sont pas présentés dans cette 5 description), quelle que soit la stratégie de l'adversaire a) dans l'ensemble restreint x. y)21 C' E - > - nk n où C' est une constante. Et d'autre part, on a toujours : (E) 1 E [(y, xn.kY )21 E [(v, _nk)21 nk 10 et donc, pourvu que1.2,- « C', une Distillation d'Avantage est obtenue à l'étape 5. Il est également obtenu par l'analyse théorique du protocole que N doit encore être de l'ordre de ln(n!)-'nln(n), pour avoir une probabilité satisfaisante de satisfaire à la consdition de synchronisation de l'étape 4 avec le choix 6B. 15 6. Applications industrielles Une réalisation industrielle d'un Protocole à Confidentialité Parfaite permet à deux entités communiquant au travers d'un canal de communication non sûr, de générer une information secrète partagée. Cette information, qui peut être d'une longueur en bits aussi grande que souhaité (en répétant par exemple le protocole de manière 20 séquentielle) peut être utilisée soit pour échanger directement de manière parfaitement sure un message signifiant entre les correspondants légitimes, (en utilisant l'information secrète comme masque jetable combinée par XOR au message signifiant), soit pour échanger une clé de chiffrement partagée utilisable avec un algorithme de chiffrement par blocs ou un algorithme de chiffrement en continu.

25 Elle peut donc être utilisée pour sécuriser des communications très sensibles, pour lesquelles des méthodes cryptographiques dont la sécurité n'est pas prouvée, ou n'est pas résistante à un adversaire doté d'une puissance de calcul importante, peuvent apparaître comme insuffisantes. Elle permet également de s'affranchir des processus non automatisés de distribution de clés partagées dans les équipements de 30 communication sécurisée ; ces processus étant difficiles à mettre en oeuvre, coûteux et susceptibles de failles de sécurité. Une telle réalisation peut être faite sous forme de programme ou de librairie logiciels, pouvant être embarqués dans des équipement de communication ou intégrés dans des applications IT. Elle peut également être faite sous forme d'un 'équipement de communication spécialement protégé, conçu pour être déployé en coupure, résistant aux intrusions informatiques et électromagnétiques.

Claims

REVENDICATIONS1. Procédé de communication numérique permettant d'échanger des données de manière confidentielle entre deux entités correspondantes, appelées A et B ou ensemble les correspondants légitimes, ne partageant initialement aucune information secrète, basé sur un protocole de communication au travers d'un canal de communication numérique public non sûr, caractérisé par le fait que : (i) les deux entités disposent d'une source de hasard, appelée Générateur de Hasard Profond (GHP), telle que la distribution de probabilité utilisée par cette source à tout instant est inconnue et non distinguable de toute autre distribution de probabilité au sein d'un ensemble de distributions de probabilité .2A pour A (resp. LB pour B) pour toute entité autre que celle qui dispose de ladite source, empêchant ainsi toute estimation fiable basée sur l'inférence bayesienne ; (ii) les deux entités exécutent un protocole de communication incluant une dégradation de l'information secrète générée par leur GHP, et permettant à chacune de calculer, à partir de leur information secrète et de l'information échangée sur le canal non sûr, leur estimation, appelée respectivement, VA et VB, de l'information secrète partagée ; ledit protocole étant conçu de telle manière qu'un adversaire ayant un accès total à toute l'information échangée sur le canal de communication non sûr, puisse au mieux générer une estimation de l'informtion secrète partagée qui soit strictement moins précise que VA et soit strictement moins précise que VB sous l'hypothèse que les distributions de probabilités utilisées respectivement par A et B sont non distinguables respectivement au sein de LA et .2B ; (iii) une fois qu'un avantage entre les correspondants légitimes a été obtenu comme décrit plus haut, ledit protocole est complété par un procédé classique de Récononciliation puis d'Amplifiation de Confidentialité pour garantir que les estimations des correspondants légitimes peuvent être renudues aussi proches que souhaité de l'égalité, et que l'estimation de l'adversaire peut être rendu aussi proche que souhaité de l'incertitude totale.
2) Procédé selon la revendication 1, caractérisé par le fait que l'information secrète partagée estimée par chaque correspondant est ensuite utilisée par lui comme clé secrète pour l'exécution d'un procédé classique de chiffrement à clé secrète, en vue d'échanger ensuite un flux ou un bloc d'information numérique de manière confidentielle.
3) Procédé selon la revendication 1, caractérisé par le fait que le protocole d'échange confidentiel de données est répété plusieurs fois pour générer une chaîne de bits S dite « masque jetable » partagée entre A et B et telle que, (i) A puisse combiner S par une opération XOR, ou par tout autre combinaison bijective, avec un message en clair M, (ii) A puisse envoyer à B le résultat de cette combinaison entre S 3035293 -20- ' et M, (iii) B puisse obtenir le message M en exécutant l'opération de combinaison inverse en utilisant S.
4) Procédé selon l'une quelconque des revendications précédantes, caractérisé 5 par le fait qu'il comprend de plus un procédé d'authentification entre A et B pour authentifier l'expéditeur de chaque message au cours de l'exécution du protocole, et permettant ainsi audit protocole d'être également résistant aux adversaires actifs, qui seraient capables d'introduire des messages sur le canal de communication non sûr. 10
5) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé par le fait qu'il est utilisé pour échanger de manière sécurisée les paramètres d'une distribution de probabilité produite par un GHP, d'une entité exécutant un GHP dit de niveau 1 vers une entité exécutant un GHP dit de niveau 2, ladite distribution pouvant alors être combinée avec d'autres par le GHP de niveau 2. 15
6) Procédé selon la revendication 1, caractérisé par le fait que le protocole se compose plus spécifiquement de 6 étapes : dans une première étape - dite de génération de hasard profond - , A et B choisissent chacun à l'aide de leur Générateur de Hasard Profond (GHP) une distribution de probabilité à valeur dans 20 [0,1]n, 40 pour A et (1)' pour B, les GHP étant réalisés de telle manière qu'ils ne permettent de choisir que des distributions éloignées de leur projection symétrique, c'est-à-dire éloignée pour cl) de Ecreen a, A et B génèrent ensuite chacun respectivement les vecteurs xo et yo E [0,1]n à partir de leurs distributions respectives et gardent chacun secrète cette donnée ; dans une deuxième étape - dite 25 de Dispersion - , A choisit une seconde distribution W à l'aide de son GHP et génère N vecteurs {x1, , xN} à partir de tirages répétés selon la distribution 112 (1 + W), B génère quant à lui N vecteurs {yi, , ye,} à partir de tirages répétés selon la distribution 43', ils gardent chacun secrète leur série de vecteurs ; dans une troisième étape - dite de Dégradation - , A génère N + 1 vecteurs d'épreuves de Bernoulli 30 tio, iNj E ([0,1}71}N+1 respectivement à partir des vecteurs de paramètres k k j_v} où k est un paramètre de Dégradation strictement supérieur à 1, A publie {ic» , iN} à destination de B sur le canal public non sûr ; dans une quatrième étape - dite de Synchronisation - , B lit les vecteurs d'épreuves {in, iN} depuis le canal non sûr et calcule la permutation de synchronisation cr5 = 0-13[fisr tYsrlsEN7v E en 35 qui satisfasse la condition Card E N* (lisllysl N n2 is"crB-1n(3112 sont des paramètres numériques positifs, puis B génère le vecteur d'épreuve de Bernoulli jo à partir du vecteur de paramètre e2CY°1 et publie jo à destination de A sur le canal non sûr ; dans une cinquième étape - dite de Distillation d'Avantage - , A lit jo depuis le canal non sûr, et calcule VA = n11° son estimation de l'information 40 secrète partagée, B quant à lui calcule VB = 210-2--.0 son estimation de l'information 3035293 -21- secrète partagée ; dans une sixième étape - dite de Réconciliation et d'Amplification de Confidentialité - , A et B utilisent des techniques classiques de Réconciliation et d'Amplification de Confidentialité afin d'obtenir à la fois une précision aussi proche que souhaité de la perfection pour leurs estimations de l'information secrète 5 partagée, tout en rendant l'estimation de l'adversaire aussi proche que souhaité de l'incertitude totale.
7) Procédé de génération de hasard profond ayant vocation à être utilisé pour mettre en oeuvre un procédé selon la revendication 6, caractérisé par le fait qu'il 10 s'appuie plus spécifiquement sur 4 sous-processus : (i) un processus de Génération Récursive Interne de Hasard Profond (GRIHP) s'exécutant de manière continue et récursive, de telle manière qu'à chaque étape m + 1, ledit processus génère une distribution de probabilité 43m.fi à valeur dans [0,1]n éloignée de sa projection symétrique, c'est-à- dire de 71, E,Een (Dm+1 0 a, et une permutation crm+i, telles que 2 C où 15 (63m, eP 0 o-m+i) A E [(14 - -n, OU C est un paramètre nk lerim+1°0"m+1,(Dm+i°0in+i du GRIHP, et (4 désignant la stratégie optimale de l'adversaire à l'étape m, définie comme vérifiant min(w, Es='14,sebs), où f2.,,,}.s.em est un paramètre du générateur appelée fonction caractéristique vérifiant 2,,,s > 0 et Es7=1 Âm,s = 1 ; un processus de mémorisation interne ; (iii) un processus de génération de signal 20 aléatoire classique ; (iv) un processus de communication pouvant être sollicité à tout moment par un Module de Communication Interactive externe pour effectuer un calcul sur un signal issu du GRIHP et mémorisé par le processus de mémorisation interne (ii), ou pour supprimer un signal mémorisé, ou pour faire générer un signal issu du GRIHP, dans ce dernier cas ledit processus de communication (iv) obtient 25 auprès du GRIHP l'état courant de sa suite récurive de distributions de probabilité et mémorise à l'aide du processus de mémorisation interne (ii) : ou bien les paramètres de la distribution correspondant à cet état courant, ou bien un signal généré aléatoirement à partir de la distribution correspondant à cet état courant. 30
8) Dispositif de communication réseau servant à transmettre et recevoir de l'information de manière sécurisée en mettant en oeuvre un procédé selon l'une quelconque des revendications 1 à 6, caractérisé par le fait qu'il comprend un GHP résistant aux intrusions informatiques et électromagnétiques, et un Module de Communication Interactive (MCI) capable de solliciter le GHP et d'exécuter le 35 protocole ; ledit dispositif étant capable d'exécuter le protocole soit dans le rôle de A soit dans le rôle de B, et deux tels dispositifs utilisés par deux entités A et B les utilisant avec les rôles respectifs A et B, étant capables d'exécuter le protocole entre A et B. 40
9) Dispositif permettant de générer du Hasard Profond, et pouvant être associé à un Module de Communication Interactif (MCI) capable de mettre en oeuvre un protocole d'échange confidentiel de données associé à un procédé d'échange 3035293 -22- confidentiel de données selon l'une quelconque des revendications 1 à 4, caractérisé par le fait que (i) la méthode de génération de Hasard Profond s'appuie sur la génération récursive et continue de distributions de probabilité mettant en échec à chaque étape la meilleure stratégie d'estimation de l'étape précédante au sens du 5 protocole exécuté par le MCI, et (ii) le signal généré par le Générateur Récursif Interne de Hasard Profond (GRIHP) puisse rester dans l'enceinte résistante aux intrusions informatiques et électromagnétiques dudit dispositif, du fait que seules les opérations de demande de génération, de demande de calcul et de demande de suppression associées audit signal puissent être soumises audit dispositif par un MCI 10 externe.
10) Dispositif de génération de hasard profond ayant vocation à être utilisé pour mettre en oeuvre un procédé selon la revendication 6, caractérisé par le fait qu'il est composé d'un module de Génération Récursive Interne de Hasard Profond (GRIHP), 15 d'un module d'Interface de Communication, d'un module de Génération Aléatoire Standard Interne, et d'un module de Mémoire Interne, lesdits modules étant (i) protégés au sein d'une enceinte résistante aux intrusions informatiques et électromagnétiques, (ii) réalisés et agencés de manière à pouvoir mettre en oeuvre un procédé de génération de hasard profond selon la revendication 7, et (iii) capables 20 d'exécuter le protocole mis en oeuvre dans le procédé selon la revendication 6 soit dans le rôle de A soit dans celui de B, et de telle manière que deux tels dispositifs utilisés par deux entités A et B dans les rôles respectifs de A et B, leur permettent d'exécuter ledit protocole.