WO2008081151A2 - Procede de signature de liste anonyme et correlable - Google Patents

Procede de signature de liste anonyme et correlable Download PDF

Info

Publication number
WO2008081151A2
WO2008081151A2 PCT/FR2007/052568 FR2007052568W WO2008081151A2 WO 2008081151 A2 WO2008081151 A2 WO 2008081151A2 FR 2007052568 W FR2007052568 W FR 2007052568W WO 2008081151 A2 WO2008081151 A2 WO 2008081151A2
Authority
WO
WIPO (PCT)
Prior art keywords
secret key
list
signature
sequence
phase
Prior art date
Application number
PCT/FR2007/052568
Other languages
English (en)
Other versions
WO2008081151A3 (fr
Inventor
Sébastien CANARD
Cécile DELERABLEE
Hervé SIBERT
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2008081151A2 publication Critical patent/WO2008081151A2/fr
Publication of WO2008081151A3 publication Critical patent/WO2008081151A3/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Definitions

  • the present invention relates to a list signing method, anonymous and correlable.
  • the invention applies to the general field of service security accessible by a digital data communication network, and more specifically the field of anonymous electronic signature.
  • the invention finds a particularly advantageous, but not exclusive, application to electronic voting or electronic petition.
  • Most known electronic signature schemes implement mechanisms related to so-called public key cryptography. In essence, this type of mechanism works as follows. A person having a public key and an associated secret key generates a signature of a message using the secret key. To authenticate the signature, it is sufficient for the verifier entity to have the public key, without having to know the secret key. This technique implements a mechanism of proof of knowledge. The auditing entity can then conclude that the signatory of the message is indeed the person holding the public key.
  • This "proof of knowledge mechanism” consists for the signatory to prove to the auditing entity, through an appropriate protocol, that he holds the secret key associated with the public key, without revealing this secret key to the entity. auditor; for more details on the so-called “zero-knowledge proof” proof protocols, reference is made to the ISO / IEC 9798-5 standard.
  • the anonymity of the signatory is guaranteed by the fact that the authentication data (which are verified to be validly formed by said mechanism proof of knowledge), do not allow the verifying entity to obtain the identity of the signatory.
  • a more specific concept of anonymous signature, called a group signature has been proposed in the context of specific applications, such as electronic auctions for example.
  • the auditing entity can authenticate a signatory as belonging to the group constituted in a given circumstance, for example a group of bidders at an auction.
  • the group signature of the BBS scheme uses three components rated T 1 , T 2 and T 3 allowing a verifier entity to verify that the signer is a member of the group.
  • the component T 3 is calculated according to the certificate A as well as two random events (taken at random by the signatory at the time of the signature), T ⁇ is calculated according to a public element and a hazard (among the two previously mentioned), and T 2 is calculated according to a public element and the second hazard.
  • the three components of the signature thus produced verify an authentication relation serving as a basis for a proof of knowledge mechanism, by the member Mj, of the certificate A as well as of the secret key.
  • the auditing entity is then assured that the signatory is part of the group and that the components T 1 , T 2 , and T 3 are well formed.
  • the authority of trust holds a secret allowing at any time to raise the anonymity of a signature. Such a mechanism is called "opening a signature", and is possible even if there is no fraud.
  • list signature Another electronic signature scheme, known as a list signature, which makes it possible to satisfy the aforementioned requirements regarding electronic voting.
  • group signature it will be said in the context of the present invention that a list signature mechanism for detecting that a member of the list has made several signatures during the same sequence (defined as above). above), is "correlable”.
  • an authorized authority provides at least one characteristic identifier of the sequence to be used by the members of the list for said sequence.
  • the next sign-on phase is for a member of the list to be provided to a verifying entity, during the sequence, a signature constructed to contain evidence that the signing member knows the member's certificate on the list and that the identifier sequence was used to generate the signature.
  • an audit phase allows an auditing entity to ensure that the signatory is in possession of the certificate of membership.
  • the signature also makes it possible to know if the same sequence identifier has been used more than once by a certain member.
  • the aforementioned international application also provides a particular embodiment implementing a signature using four components.
  • the fourth component noted T 4 , it constitutes the element of correlation required for an application of the electronic voting type. More precisely, the component T 4 is of the form g /, where g s is the characteristic identifier of the envisaged sequence and y is a secret key specific to the signatory (it will be noted in passing that all the calculations described for the present invention, in particular the exponentiations, take place at within first-order multiplicative cyclic groups). The data g s is valid for the time of the sequence.
  • the auditing entity shall verify, by means of a proof of knowledge mechanism, that the list member is aware of these secret elements and that they verify the said authentication relationship. If this is the case, the auditing entity is assured that the four components of the signature are well formed and that the signatory belongs to the list in question. Moreover, knowing the value of T 4 , the auditing entity can also control that the signatory has not voted twice; in fact, during a given sequence, two signatures produced by the same member will have in common the element T 4 , which depends solely on the sequence and the secret key of said member. Note that a fraud consisting of voting using a secret secret key would be easily detected because in this case the authentication relationship would not be verified and the vote would be invalidated.
  • sequence in connection with the concept of list signature refers to a period of time during which an identifier characterizing the sequence is valid.
  • a "sequence" will be characterized by a sequence identifier (for example, a poll during an election) associated with a given of a predetermined type (in the same example, candidates for this election) of which a limited number of representatives (each representative being, in the same example, a vote for a particular candidate or group of candidates) are intended to be signed within this sequence.
  • sequence identifier for example, a poll during an election
  • a predetermined type in the same example, candidates for this election
  • a limited number of representatives each representative being, in the same example, a vote for a particular candidate or group of candidates
  • the restriction relates to the number of downloadable content in accordance with the contract established between the consumer (signatory) and the content provider. It is also known from the article by J. Camenish, S. Hohenberger and A.
  • a sequence is here characterized by the use of a part and has as sequence identifier the number j k of a part, and the signature comprises three components; in particular, the second signature component is a function of j k and a secret key of the user.
  • the general scheme of list signature then makes it possible to know if the same part has been used more than once. However, if one wants to unmask a fraudster thus detected and possibly forbid him to use the pieces which remain to him, it is necessary to resort to a mechanism of lifting of anonymity since the correlability of the signature of list does not extend not from one sequence to another, that is to say, here, from one room to another.
  • the identity of the fraudster is known, it is possible to establish a "blacklist" of the remaining parts and thus to prohibit further use. It will be noted, however, that the embodiments of a list signature which have just been described involve at least three different signature components, which requires numerous calculations that are costly in terms of time and power.
  • the present invention provides a list signature method, comprising:
  • sequence definition phase consisting of an authority authorized to provide a sequence identifier to be used by the members of the list for said sequence
  • this signature phase (during which the member of the list signs, for example, the name of a candidate to an election to mark his choice of this candidate) implements a protocol without transfer of knowledge.
  • the invention it is necessary to calculate only one signature component, namely the authentication data T 1 s instead of three or even four in the known methods described above.
  • the simplification of implementation sought is therefore well obtained by the invention.
  • the required conditions namely preservation of anonymity and correlability of signatures, are effectively achieved by the method according to the invention.
  • the present invention does not exclude, in cases where it would be desirable (for example in an application of the invention to the electronic purse, or electronic auction), the establishment, in parallel with the invention, a mechanism for lifting anonymity when needed.
  • a verifier entity can verify, on the basis of the data provided by the Mj member during the signature phase, that said member knows a first secret key y i , a second secret key x ( and a certificate A 1 such as the following authentication relationship:
  • the signature phase can be implemented in a non-interactive manner; in this case, the verification phase of signature by a checking entity occurs after the signature phase.
  • the verification phase of signature by a checking entity occurs after the signature phase.
  • the invention also relates to a computer program for implementing a list signature method, said program comprising program code instructions for performing the steps of:
  • T est A 1 • g ⁇ ⁇ yi + s ⁇ where g is an audience member
  • the invention also relates to a computer program for implementing a list signature method, said program comprising program code instructions for performing the steps of:
  • the invention also aims at:
  • immovable data storage means having computer program code instructions for performing the steps of any of the list signature methods succinctly set forth above, and
  • Figure 1 is a diagram of a system for implementing the method according to the invention.
  • Figure 2 is a diagram of the data exchanges between the entities shown in Figure 1.
  • the system of FIG. 1 is intended to implement a method for authenticating a member Mj of a list of N> 1 members Mi, ..., M N by means of an anonymous and correlable list signature.
  • this system involves a trusted authority 1, an authorized authority 3 to provide a characteristic element of a sequence and a verifier entity 2 responsible for the authentication operations.
  • a trusted authority 1
  • an authorized authority 3 to provide a characteristic element of a sequence
  • a verifier entity 2 responsible for the authentication operations.
  • these different entities can be distinct or, on the contrary, be all or partially identical.
  • Each member Mj has a terminal for communicating with the previous entities through a communication network R.
  • FIG. 2 shows the various phases of the method according to the invention as well as the corresponding data exchanges.
  • the phase (1) is an organization phase during which the trusted authority 1 defines a set of public keys W and g interconnected by a secret key ⁇ according to the formula W - g Y. These keys are characteristic of the list managed by the trusted authority 1. During this phase are also defined two public elements h and g.
  • step (2) registration of members on the list, electoral roll for example, at least one Mi member defines a first secret key is ⁇ that own, the authority 1 of confidence not having knowledge of this first key.
  • Each member of the list then computes the data h y> from the public element h and its first secret key y t . This data h y 'is sent to the authority one of trust.
  • the trusted authority 1 chooses a second secret key x t associated with the member Mj. The trusted authority 1 is then able to establish for the member Mi a certificate A s verifying the relation:
  • a *> + ⁇ g - h yi .
  • the certificate A 1 and the second secret key X 1 are then transmitted to the member M of the list by the trusted authority 1. It should be noted that this certificate is characteristic of the member M, and of the list considered. Note also that the properties of exponentials in a finite group (known as the "discrete logarithm problem") prevent the member M 1 from deducing from the above relation the exponent (X 1 + ⁇ ), and therefore the secret key ⁇ of the trusted authority 1.
  • sequence definition phase (3) consisting of an authorized authority 3 to transmit to the members registered on the list a public element s, or sequence identifier, characteristic of the sequence and which must be used by members of the list for the duration of the sequence.
  • a new identifier would be provided by the authorized authority 3.
  • a member Mj wishes to sign a message destined for the verifier entity 2, it enters a signature phase (4) during which the member M establishes the unique authentication data T 1 s defined by the relation:
  • This authentication data T 1 s is then provided by the member M to the auditing entity 2.
  • the considerations below involve a bilinear application.
  • G 1 and G 2 being two cyclic groups multiplicative, distinct or not, of the same order first
  • the verification phase (5) consists for the verification entity 2 to check, using a standard knowledge proof mechanism, that the signer knows a first secret key y t , a second secret key x t and a certificate A 1 such that said authentication relation is verified. Since only the members of the list know the pairs of secret elements (y ⁇ x.) Verifying this relation, we understand that, if the proof of the knowledge of such a pair is brought from, in particular, the data of T Us authentication, it is possible to conclude that this data emanates from a member of the list and that it has been correctly formed.
  • the authentication of the signatory being established by means of a method in which all the members of the list have the same type of signatures and by means of a proof of knowledge mechanism as defined above, the anonymity of members is preserved.
  • the authentication datum T 1 s remains the same throughout the sequence characterized by the identifier s .
  • the verification entity 2 therefore has the possibility of ensuring that no member has used his secret key to make several signatures during the same sequence.
  • the invention makes it possible, on the one hand, to ensure that this signature comes from a member of the list and that it has been correctly formed and, on the other hand, to correlate two signatures of this member for a given sequence, while preserving its anonymity and the impossibility of drawing it for two different sequences.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)

Abstract

L'invention propose un procédé de signature de liste, comprenant : - une phase d'organisation consistant, pour une autorité (1 ) de confiance détenant une clé secrète ? , à définir une paire de clés publiques ( W, g ) caractéristique de ladite liste et telle que W = g

Description

Procédé de signature de liste anonyme et corrélable
La présente invention concerne un procédé de signature de liste, anonyme et corrélable.
L'invention s'applique au domaine général de la sécurité des services accessibles par un réseau de communication de données numériques, et plus précisément le domaine de la signature électronique anonyme.
Dans ce contexte, l'invention trouve une application particulièrement avantageuse, mais non exclusive, au vote électronique ou encore à la pétition électronique. La plupart des schémas connus de signature électronique mettent en œuvre des mécanismes relevant de la cryptographie dite à clé publique. En substance, ce type de mécanismes fonctionne de la façon suivante. Une personne possédant une clé publique et une clé secrète associée produit une signature d'un message à l'aide de la clé secrète. Pour authentifier la signature, il suffit à l'entité vérificatrice de posséder la clé publique, sans avoir à connaître la clé sécrète. Cette technique met en œuvre un mécanisme de preuve de connaissance. L'entité vérificatrice peut alors conclure que le signataire du message est bien la personne titulaire de la clé publique.
Ce "mécanisme de preuve de connaissance" consiste pour le signataire à prouver à l'entité vérificatrice, à travers un protocole approprié, qu'il détient la clé secrète associée à la clé publique, sans pour autant dévoiler cette clé secrète à l'entité vérificatrice ; pour plus de détails sur les protocoles de preuve dits "sans transfert de connaissance" (en anglais, "zero-knowledge proof" ), on se référera à la norme ISO/IEC 9798-5. Dans le schéma d'authentification d'un signataire au moyen d'un mécanisme de preuve de connaissance, l'anonymat du signataire est garanti du fait que les données d'authentification (dont on vérifie qu'elles sont valablement formées au moyen dudit mécanisme de preuve de connaissance), ne permettent pas à l'entité vérificatrice d'obtenir l'identité du signataire. Un concept plus particulier de signature anonyme, appelé signature de groupe, a été proposé dans le cadre d'applications spécifiques, comme les enchères électroniques par exemple.
On peut trouver par exemple un schéma de signature de groupe dans l'article de G. Ataniese, J. Camenisch, M. Joye and G. Tsudik intitulé "A
Practical and Provably Secure Coalition-Résistant Group Signature Scheme", in M. Bellare éditeur, Advances in Cryptology - CRYPTO 2000, vol. 1880 of
LNCS, pages 255 à 270, Springer-Verlag 2000.
Selon ce mécanisme, l'entité vérificatrice peut authentifier un signataire comme appartenant au groupe constitué dans une circonstance donnée, par exemple un groupe d'enchérisseurs lors d'une vente aux enchères.
On connaît, d'après l'article de D. Boneh, X. Boyen et H. Shacham intitulé "Short Group Signatures", Advances in Cryptology - CRYPTO 2004,
Springer-Verlag 2004, un autre mécanisme de signature de groupe, dit "BBS" d'après les initiales de ses inventeurs. Ce mécanisme fonctionne de la façon suivante. Un certificat A{ tel que Â?l+γ = g est fourni par l'autorité de confiance à chaque membre Mj de la liste ; dans cette formule, la quantité xt est la clé secrète propre au membre Mj, choisie par l'autorité de confiance, et γ est la clé secrète de l'autorité de confiance associée à une paire de clés publiques (W, g), avec W = gr .
La signature de groupe du schéma BBS utilise trois composantes notées T1, T2 et T3 permettant à une entité vérificatrice de vérifier que le signataire est bien membre du groupe. La composante T3 est calculée en fonction du certificat A ainsi que de deux aléas (pris au hasard par le signataire au moment de la signature), Tλ est calculée en fonction d'un élément public et d'un aléa (parmi les deux cités précédemment), et T2 est calculée en fonction d'un élément public et du deuxième aléa.
Les trois composantes de la signature ainsi réalisée vérifient une relation d'authentification servant de base à un mécanisme de preuve de connaissance, par le membre Mj, du certificat A ainsi que de la clé secrète^ . L'entité vérificatrice est alors assurée que le signataire fait bien partie du groupe et que les composantes T1 , T2 , et T3 sont bien formées. De plus, l'autorité de confiance détient un secret permettant à tout moment de lever l'anonymat d'une signature. Un tel mécanisme est appelé "ouverture d'une signature", et est possible même s'il n'y a pas de fraude.
En effet, de tels schémas doivent prévoir la possibilité de lever à tout moment l'anonymat des membres du groupe, afin par exemple de déterminer l'identité du vainqueur d'une vente aux enchères. Par ailleurs, un même membre du groupe peut utiliser les mêmes données d'authentification pour effectuer plusieurs signatures au cours de la même séquence sans que cela puisse être détecté, la signature permettant uniquement de vérifier que le signataire appartient bien au groupe (la notion de "séquence" qui vient d'être introduite en liaison avec le concept de signature de groupe se réfère a une période de temps, par exemple un jour ou un mois, au cours de laquelle un identifiant caractérisant la séquence est valide).
Dans le cadre de la présente invention, on dira qu'un mécanisme de signature de groupe dans lequel un membre du groupe peut effectuer plusieurs signatures au cours de la même séquence sans que cela puisse être détecté, est "non-corrélable". Le seul moyen de corréler deux signatures émises par un même membre du groupe est de lever l'anonymat des signataires.
Cette absence de "corrélabilité" ne présente aucun inconvénient pour une vente aux enchères, mais n'est évidement pas acceptable pour un vote électronique puisque, dans ce cas, on doit pouvoir s'assurer qu'un membre du groupe, comme un électeur inscrit sur une liste électorale, ne puisse voter plus d'une fois, et ceci sans lever son anonymat.
C'est pourquoi il a été proposé un autre schéma de signature électronique, connu sous le nom de signature de liste, qui permet de satisfaire aux exigences précitées relativement au vote électronique. De même que pour la signature de groupe, on dira dans le cadre de la présente invention qu'un mécanisme de signature de liste permettant de détecter qu'un membre de la liste a effectué plusieurs signatures au cours de la même séquence (définie comme ci-dessus), est "corrélable".
La demande internationale n° 2004/010642 décrit le principe général du procédé de signature de liste. Ce procédé peut être décomposé en plusieurs phases successives. Une première phase dite d'organisation consiste pour une autorité de confiance à définir au moins un élément cryptographique caractéristique de la liste.
Suit une phase d'enregistrement au cours de laquelle un membre reçoit de l'autorité de confiance un certificat caractéristique dudit membre et de la liste. Ce certificat est calculé à partir dudit élément cryptographique et d'une clé secrète propre audit membre.
Lors d'une phase de définition de séquence, une autorité habilitée fournit au moins un identifiant caractéristique de la séquence devant être utilisé par les membres de la liste pour ladite séquence.
La phase suivante de signature consiste pour un membre de la liste à fournir à une entité vérificatrice, lors de la séquence, une signature construite de manière à contenir la preuve que le membre signataire connaît le certificat de membre de la liste et que l'identifiant de séquence a été utilisé pour générer la signature.
Enfin, une phase de vérification permet à une entité vérificatrice de s'assurer que le signataire est en possession du certificat de membre. La signature permet également de savoir si le même identifiant de séquence a été utilisé plus d'une fois par un certain membre. La demande internationale précitée fournit en outre un mode de réalisation particulier mettant en œuvre une signature utilisant quatre composantes. Les trois premières composantes, notées T1 , T2 et T3 , font intervenir des données d'appartenance du signataire à la liste considérée (liste électorale par exemple) ; en particulier, la composante Tx est de la forme Tx = A-hr , où A est un certificat fourni par l'autorité de confiance à chaque membre de la liste, h est un élément public, et r est un aléa choisi par le membre pour cette séquence. Quant à la quatrième composante, notée T4 , elle constitue l'élément de corrélabilité requis pour une application du type vote électronique. Plus précisément, la composante T4 est de la forme g/, où gs est l'identifiant caractéristique de la séquence envisagée et y une clé secrète propre au signataire (on notera en passant que tous les calculs décrits pour la présente invention, notamment les exponentiations, se déroulent au sein de groupes cycliques multiplicatifs d'ordre premier). La donnée gs est valable le temps de la séquence.
De manière plus précise, les différentes composantes utilisées pour la signature électronique ainsi que les éléments secrets, propres à chaque membre, satisfont une certaine relation d'authentification. L'entité vérificatrice doit vérifier, au moyen d'un mécanisme de preuve de connaissance, que le membre de la liste connaît ces éléments secrets et qu'ils vérifient ladite relation d'authentification. Si c'est le cas, l'entité vérificatrice est assurée que les quatre composantes de la signature sont bien formées et que le signataire appartient bien à la liste considérée. De plus, connaissant la valeur de T4 , l'entité vérificatrice peut également contrôler que le signataire n'a pas voté deux fois ; en effet, au cours d'une séquence donnée, deux signatures produites par le même membre auront en commun l'élément T4 , qui dépend uniquement de la séquence et de la clé secrète dudit membre. On notera qu'une fraude consistant à voter à l'aide d'une fausse clé secrète serait facilement détectée car dans ce cas la relation d'authentification ne serait pas vérifiée et le vote serait invalidé.
Enfin, lors d'une autre séquence, autre scrutin par exemple, la valeur de la donnée gs sera changée. Il ne sera alors plus possible de relier deux votes effectués par un même membre de la liste, comme il sied naturellement à des élections.
La notion de "séquence" définie ci-dessus en liaison avec le concept de signature de liste se réfère à une période de temps au cours de laquelle un identifiant caractérisant la séquence est valide. Cependant, il est utile, dans le cadre de la présente invention, de généraliser cette notion de la façon suivante : une "séquence" sera caractérisée par un identifiant de séquence (par exemple, un scrutin lors d'une élection) associé à une donnée d'un type prédéterminé (dans le même exemple, les candidats à cette élection) dont un nombre limité de représentants (chaque représentant étant, dans le même exemple, un vote pour un candidat ou un groupe de candidats particulier) sont destinés à être signés au sein de cette séquence. Dans le cadre d'une élection, la restriction sur le nombre de signatures porte évidemment sur le nombre de votes. Mais dans le cadre, pour prendre un autre exemple, d'un contenu audiovisuel payant téléchargé auprès d'un fournisseur de ressources, la restriction porte sur le nombre de contenus téléchargeables conformément au contrat établi entre le consommateur (signataire) et le fournisseur de contenu. On connaît aussi, d'après l'article de J. Camenish, S. Hohenberger et A.
Lysyanskaya intitulé "Compact E-Cash", in Ronald Cramer, éditeur, Eurocrypt '05, vol. 3494, pages 302 à 321 , Springer 2005, un système de monnaie électronique permettant à un utilisateur de signer de manière anonyme un nombre de fois déterminé durant la phase d'enregistrement, par l'incrémentation d'un compteur, un élément du compteur caractérisant une pièce de monnaie au sein d'un porte-monnaie donné. L'utilisateur dispose donc au départ d'un certain nombre de pièces de monnaie notées ji, J2, et ainsi de suite. Une séquence est ici caractérisée par l'utilisation d'une pièce et a pour identifiant de séquence le numéro jk d'une pièce, et la signature comprend trois composantes ; en particulier, la deuxième composante de signature est fonction de jk et d'une clé secrète de l'utilisateur. Le schéma général de signature de liste permet alors de savoir si une même pièce a été utilisée plus d'une fois. Cependant, si l'on veut démasquer un fraudeur ainsi détecté et éventuellement lui interdire d'utiliser les pièces qui lui restent, il est nécessaire de recourir à un mécanisme de levée d'anonymat puisque la corrélabilité de la signature de liste ne s'étend pas d'une séquence à une autre, c'est-à-dire, ici, d'une pièce à une autre. L'identité du fraudeur étant connue, il est possible d'établir une "liste noire" des pièces restantes et ainsi d'en interdire une utilisation ultérieure. On remarquera cependant que les modes de réalisation d'une signature de liste qui viennent d'être décrits impliquent au moins trois composantes de signature différentes, ce qui nécessite de nombreux calculs coûteux en temps et en puissance.
Aussi, la présente invention propose un procédé de signature de liste, comprenant :
- une phase d'organisation consistant, pour une autorité de confiance détenant une clé secrète χ , à définir une paire de clés publiques (W , g ) caractéristique de ladite liste et telle que W = gγ , - une phase d'enregistrement comprenant les étapes consistant
• pour au moins un membre (M,) (où i = 1,2,...) de la liste, à définir une première clé secrète yt et à transmettre à l'autorité de confiance une donnée hy' , où h est un élément public, • pour l'autorité de confiance, à choisir une deuxième clé secrète x; associée au membre (M,) et à transmettre audit membre la deuxième clé secrète X1 et un certificat A1 tel que Aζι +r = g - hy> ,
- une phase de définition de séquence consistant pour une autorité habilitée à fournir un identifiant s de séquence devant être utilisé par les membres de la liste pour ladite séquence, et
- une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (M,) fournit des données qui comprennent une donnée d'authentification T1 s calculée selon T1 5 =
Figure imgf000009_0001
A1 où g est un élément public, et mettant en œuvre sa première clé secrète yt et sa deuxième clé secrète X1 , sans toutefois divulguer ces clés secrètes.
Ainsi, cette phase de signature (au cours de laquelle le membre de la liste signe, par exemple, le nom d'un candidat à une élection pour marquer son choix de ce candidat) met en œuvre un protocole sans transfert de connaissance. Grâce à l'invention, il n'est nécessaire de calculer qu'une seule composante de signature, à savoir la donnée d'authentification T1 s au lieu de trois ou même quatre dans les procédés connus décrits plus haut. La simplification de mise en œuvre recherchée est donc bien obtenue par l'invention. D'autre part, on montrera ci-dessous que les conditions requises, à savoir préservation de l'anonymat et corrélabilité des signatures, sont effectivement réalisées par le procédé selon l'invention. On notera toutefois que la présente invention n'exclut nullement, dans des cas où cela s'avérerait souhaitable (par exemple dans une application de l'invention au porte- monnaie électronique, ou aux enchères électroniques), la mise en place, en parallèle avec l'invention, d'un mécanisme de levée d'anonymat en cas de besoin. Selon des caractéristiques particulières, une entité vérificatrice peut vérifier, sur la base des données fournies par le membre Mj au cours de la phase de signature, que ledit membre connaît une première clé secrète yi , une seconde clé secrète x( et un certificat A1 tels que la relation d'authentification suivante :
e(T,s,g)Xι{yi+s) - e(TltS,WY'+s - e(h,g)-^>+s) • e(g,gT^+s) • e(g,gr> = e(g,W)
où e est une application bilinéaire, soit vérifiée. On notera que la phase de signature peut être mise en œuvre de manière non-interactive ; dans ce cas, la phase de vérification de signature par une entité vérificatrice intervient postérieurement à la phase de signature. Mais on peut également envisager une phase unique de signature/vérification interactive mise en œuvre en commun par le membre de la liste et l'entité vérificatrice (de tels protocoles interactifs sont quelquefois appelés "authentifications de message") ; cependant, dans ce dernier cas, il faudra être particulièrement vigilant dans le choix des détails dudit protocole interactif, de manière à préserver l'anonymat des membres de la liste.
L'invention concerne également un programme d'ordinateur pour la mise en œuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à :
- définir une clé secrète yi (où i - 1,2,... ) et à transmettre à une autorité de confiance une donnée hy' , h étant un élément public, - recevoir de ladite autorité de confiance une deuxième clé secrète X1 et un certificat Ax correspondant à xt et hy' ,
- recevoir d'une autorité habilitée un identifiant s de séquence,
- fournir, au cours d'une phase de signature incluse dans ladite séquence, une donnée d'authentification T1 s calculée selon Ti s = A1 • gυ<^yi +s\ où g est un élément public, et
- utiliser la première clé secrète yt et la deuxième clé secrète X1 sans toutefois divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur d'un membre (Mj) de ladite liste.
L'invention concerne également un programme d'ordinateur pour la mise en œuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à :
- recevoir, au cours d'une phase de signature exécutée par un membre (Mi) (où i = 1,2,... ) de ladite liste, des données comprenant une donnée d'authentification T . , et - vérifier, sur la base desdites données fournies par le membre (M,) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yι t une seconde clé secrète Jt1 et un certificat A1 tels que ladite donnée d'authentification vérifie T1 s = A1 . g1/(Λ +j5), où g est un élément public et s un identifiant d'une séquence incluant ladite phase de signature, et tels qu'une relation d'authentification soit vérifiée, lorsque ledit programme est exécuté par un ordinateur d'une entité vérificatrice.
L'invention vise également :
- un moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus, et
- un moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes de l'un quelconque des procédés de signature de liste succinctement exposés ci-dessus.
Les avantages de ces programmes d'ordinateur et de ces moyens de stockage sont essentiellement les mêmes que ceux des procédés corrélatifs succinctement exposés ci-dessus. La description qui va suivre en regard des dessins annexés, donnés à titre d'exemples non limitatifs, fera bien comprendre en quoi consiste l'invention et comment elle peut être réalisée.
La figure 1 est un schéma d'un système pour la mise en œuvre du procédé selon l'invention. La figure 2 est un diagramme des échanges de données entre les entités représentées sur la figure 1.
Le système de la figure 1 est destiné à mettre en œuvre un procédé pour authentifier un membre Mj d'une liste de N > 1 membres M-i,..., MN au moyen d'une signature de liste anonyme et corrélable.
Comme le montre la figure 1 , ce système met en jeu une autorité 1 de confiance, une autorité habilitée 3 à fournir un élément caractéristique d'une séquence et une entité vérificatrice 2 chargée des opérations d'authentification. Bien entendu, ces différentes entités peuvent être distinctes ou, au contraire, être toutes ou partiellement identiques. Chaque membre Mj dispose d'un terminal permettant de communiquer avec les entités précédentes à travers un réseau R de communication.
Un exemple typique de séquence est celui d'un scrutin lors d'une élection. Sur la figure 2 sont représentées les différentes phases du procédé conforme à l'invention ainsi que les échanges de données correspondantes.
La phase (1) est une phase d'organisation au cours de laquelle l'autorité 1 de confiance définit un jeu de clés publiques W et g reliées entre elles par une clé secrète γ selon la formule W - gY . Ces clés sont caractéristiques de la liste gérée par l'autorité 1 de confiance. Au cours de cette phase sont également définis deux éléments publics h et g .
Au cours de la phase (2) d'enregistrement des membres sur la liste, liste électorale par exemple, au moins un membre Mi définit une première clé secrète y{ qui lui est propre, l'autorité 1 de confiance n'ayant pas connaissance de cette première clé. Chacun des membres de la liste calcule alors la donnée hy> à partir de l'élément public h et de sa première clé secrète yt . Cette donnée hy' est transmise à l'autorité 1 de confiance.
Toujours au cours de la phase (2) d'enregistrement, l'autorité 1 de confiance choisit une deuxième clé secrète xt associée au membre Mj. L'autorité 1 de confiance est alors en mesure d'établir pour le membre Mi un certificat As vérifiant la relation :
A*> +γ = g - hyi . Le certificat A1 ainsi que la deuxième clé secrète X1 sont ensuite transmis au membre M, de la liste par l'autorité 1 de confiance. On notera que ce certificat est caractéristique du membre M, et de la liste considérée. On notera également que les propriétés des exponentielles dans un groupe fini (connues sous le nom de "problème du logarithme discret") empêchent le membre M1 de déduire de la relation ci-dessus l'exposant (X1 + γ ), et donc la clé secrète γ de l'autorité 1 de confiance.
Lorsqu'une séquence est ouverte, se produit une phase (3) de définition de séquence consistant pour une autorité habilitée 3 à transmettre aux membres enregistrés sur la liste un élément public s , ou identifiant de séquence, caractéristique de la séquence et qui doit être utilisée par les membres de la liste pendant toute la durée de la séquence. Au cas où une nouvelle séquence devait être ouverte, lors d'un deuxième scrutin par exemple, un nouvel identifiant s' serait fourni par l'autorité habilitée 3.
Si, au cours d'une séquence définie par un identifiant s , un membre Mj souhaite signer un message à destination de l'entité vérificatrice 2, il entre dans une phase (4) de signature au cours de laquelle le membre M, établit la donnée d'authentification unique T1 s définie par la relation :
M ι,s ^h <5
Cette donnée d'authentification T1 s est alors fournie par le membre M, à l'entité vérificatrice 2. Les considérations ci-dessous font intervenir une application bilinéaire.
On rappelle ici la définition d'une application bilinéaire e :
- G1 et G2 étant deux groupes cycliques multiplicatifs, distincts ou non, de même ordre premier,
- ^1 étant un générateur de G1 et g2 étant un générateur de G2 , - e est une application calculable ayant les propriétés suivantes :
• bilinéarité : e(Ua,Vb) = e(U,V)ab pour tout U dans G1 , tout V dans G2 et tout a et tout b dans Z , et
• non-dégénérescence : e(gι,g2) ≠ 1. La relation A*'+r = g - hy' peut également s'écrire sous la forme e(4,gr< -e(At,W)-e(h,gr' = e(g,g) , ce qui, couplé à la relation Ti s = Ai - gi (-y'+s\ conduit à la relation d'authentification suivante :
e(T,s,grΛy'+s) - e(Tι>s,WY'+s - e
Figure imgf000014_0001
(h,g)-y>^s) - - e(g,gyx- = e(g,W)
La phase (5) de vérification consiste pour l'entité vérificatrice 2 à vérifier, en utilisant un mécanisme de preuve de connaissance standard, que le signataire connaît une première clé secrète yt , une deuxième clé secrète xt et un certificat A1 tels que ladite relation d'authentification soit vérifiée. Comme seuls les membres de la liste connaissent les couples d'éléments secrets (y^ x. ) vérifiant cette relation, on comprend que, si la preuve de la connaissance d'un tel couple est apportée à partir, notamment, de la donnée d'authentification TUs , il est possible de conclure que cette donnée émane d'un membre de la liste et qu'elle a été correctement formée. De plus, l'authentification du signataire étant établie au moyen d'un procédé dans lequel tous les membres de la liste possèdent le même type de signatures et au moyen d'un mécanisme de preuve de connaissance telle que définie ci- dessus, l'anonymat des membres est préservé.
Au regard de la relation T1 s - A1
Figure imgf000014_0002
on peut également observer que pour un membre Mi donné, caractérisé dans cette relation par le certificat A1 et la clé secrète yi , la donnée d'authentification T1 s reste la même tout au long de la séquence caractérisée par l'identifiant s . L'entité vérificatrice 2 a donc la possibilité de s'assurer qu'aucun membre n'a utilisé sa clé secrète pour effectuer plusieurs signatures au cours d'une même séquence.
On notera en revanche que le corrélabilité s'arrête à la fin d'une séquence puisque, si une nouvelle séquence est ouverte, l'identifiant s change et la signature change nécessairement. Un procédé de signature de liste dans lequel on ne peut corréler deux signatures effectuées respectivement au cours de deux séquences différentes est dit "non-traçable" ; lorsqu'un mécanisme de signature de liste permet de lever l'anonymat en cas de fraude, on peut empêcher le fraudeur de signer lors d'une séquence ultérieure : un tel mécanisme est alors "traçable".
En résumé, outre le fait qu'elle n'exige le calcul que d'une composante de signature unique, l'invention permet, d'une part, de s'assurer que cette signature provient d'un membre de la liste et qu'elle a été correctement formée et, d'autre part de corréler deux signatures de ce membre pour une séquence donnée, tout en préservant son anonymat et l'impossibilité de le tracer pour deux séquences différentes.

Claims

REVENDICATIONS
1. Procédé de signature de liste, comprenant :
- une phase d'organisation consistant, pour une autorité (1) de confiance détenant une clé secrète γ , à définir une paire de clés publiques (W , g) caractéristique de ladite liste et telle que W = g7 ,
- une phase d'enregistrement comprenant les étapes consistant
• pour au moins un membre (M1) (où i = 1,2,...) de la liste, à définir une première clé secrète yi et à transmettre à l'autorité (1) de confiance une donnée hy' , où h est un élément public, • pour l'autorité (1) de confiance, à choisir une deuxième clé secrète X1 associée au membre (Mj) et à transmettre audit membre la deuxième clé secrète xt et un certificat A1 tel que A*'+r - g -hy' ,
- une phase de définition de séquence consistant pour une autorité habilitée (3) à fournir un identifiant s de séquence devant être utilisé par les membres de la liste pour ladite séquence, et
- une phase de signature, incluse dans ladite séquence, au cours de laquelle le membre (Mj) fournit des données qui comprennent une donnée d'authentification Ti s calculée selon Ti s = Ai .
Figure imgf000016_0001
où g est un élément public, et mettant en œuvre sa première clé secrète yt et sa deuxième clé secrète xt , sans toutefois divulguer ces clés secrètes.
2. Procédé de signature de liste selon la revendication 1 , dans lequel une entité vérificatrice (2) vérifie, sur la base des données fournies par le membre (Mj) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète y{ , une seconde clé secrète x{ et un certificat A1 tels que la relation d'authentification suivante :
e(Ths,g)x'iy-+s) - e(Ti<s,WY'+s - e(h,gyy'{y'+s) - e^g)-^ - e(g,gr' = e(g,W) où e est une application bilinéaire, soit vérifiée.
3. Programme d'ordinateur pour la mise en œuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à :
- définir une clé secrète yι (où / = 1,2,... ) et à transmettre à une autorité (1 ) de confiance une donnée hy> , h étant un élément public,
- recevoir de ladite autorité (1) de confiance une deuxième clé secrète X1 et un certificat A1 correspondant à X1 et hy> ,
- recevoir d'une autorité habilitée (3) un identifiant 5 de séquence,
- fournir, au cours d'une phase de signature incluse dans ladite séquence, une donnée d'authentification T1 s calculée selon T1 3 = A1 . gi/(-y< +s\ où g est un élément public, et
- utiliser la première clé secrète yt et la deuxième clé secrète X1 sans toutefois divulguer ces clés secrètes, lorsque ledit programme est exécuté par un ordinateur d'un membre (M1) de ladite liste.
4. Programme d'ordinateur pour la mise en œuvre d'un procédé de signature de liste, ledit programme comprenant des instructions de code de programme pour l'exécution des étapes consistant à :
- recevoir, au cours d'une phase de signature exécutée par un membre (M,) (où / = 1,2,... ) de ladite liste, des données comprenant une donnée d'authentification T v , et
- vérifier, sur la base desdites données fournies par le membre (M1) au cours de ladite phase de signature, que ledit membre connaît une première clé secrète yt , une seconde clé secrète X1 et un certificat A1 tels que ladite donnée d'authentification vérifie T1 s = A1 .
Figure imgf000017_0001
où g est un élément public et 5 un identifiant d'une séquence incluant ladite phase de signature, et tels qu'une relation d'authentification soit vérifiée, lorsque ledit programme est exécuté par un ordinateur d'une entité vérificatrice (2).
5. Moyen de stockage de données inamovible comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé de signature de liste selon la revendication 1 ou la revendication 2.
6. Moyen de stockage de données partiellement ou totalement amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé de signature de liste selon la revendication 1 ou la revendication 2.
PCT/FR2007/052568 2006-12-27 2007-12-19 Procede de signature de liste anonyme et correlable WO2008081151A2 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0655983A FR2911024A1 (fr) 2006-12-27 2006-12-27 Procede de signature de liste anonyme et correlable
FR0655983 2006-12-27

Publications (2)

Publication Number Publication Date
WO2008081151A2 true WO2008081151A2 (fr) 2008-07-10
WO2008081151A3 WO2008081151A3 (fr) 2008-10-09

Family

ID=38291282

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/052568 WO2008081151A2 (fr) 2006-12-27 2007-12-19 Procede de signature de liste anonyme et correlable

Country Status (2)

Country Link
FR (1) FR2911024A1 (fr)
WO (1) WO2008081151A2 (fr)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
WO2004010642A1 (fr) * 2002-07-19 2004-01-29 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010011351A1 (en) * 2000-01-21 2001-08-02 Nec Corporation Anonymous participation authority management system
WO2004010642A1 (fr) * 2002-07-19 2004-01-29 France Telecom Procede de signature de liste et application au vote electronique
WO2005122466A1 (fr) * 2004-05-19 2005-12-22 France Telecom Abrege descriptif procede et systeme de signature de liste

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CAMENISCH J ET AL: "Compact e-cash" ADVANCES IN CRYPTOLOGY-EUROCRYPT 2005. 24TH ANNUAL INTERNATIONAL CONFERENCE ON THE THEORY AND APPLICATIONS OF CRYPTOGRAPHIC TECHNIQUES. PROCEEDINGS SPRINGER-VERLAG BERLIN, GERMANY, 2005, pages 302-321, XP002445217 ISBN: 3-540-25910-4 cité dans la demande *
CANARD ET AL: "List signature schemes" DISCRETE APPLIED MATHEMATICS, ELSEVIER SCIENCE, AMSTERDAM, NL, vol. 154, no. 2, 1 février 2006 (2006-02-01), pages 189-201, XP005222269 ISSN: 0166-218X *

Also Published As

Publication number Publication date
WO2008081151A3 (fr) 2008-10-09
FR2911024A1 (fr) 2008-07-04

Similar Documents

Publication Publication Date Title
EP3010177B1 (fr) Procédé d&#39;authentification d&#39;un dispositif client auprès d&#39;un serveur à l&#39;aide d&#39;un élément secret
EP3506556B1 (fr) Méthode d&#39;échange de clés authentifié par chaine de blocs
EP2441207B1 (fr) Procédé cryptographique d&#39;authentification anonyme et d&#39;identification séparée d&#39;un utilisateur
EP2116000B1 (fr) Procéée d&#39;authentification unique d&#39;un utilisateur auprès de fournisseurs de service
EP1072124B1 (fr) Procede de verification de l&#39;usage de cles publiques engendrees par un systeme embarque
EP2656538B1 (fr) Accès anonyme a un service au moyen de certificats agrégés
EP1461898A1 (fr) Procede et dispositif de signature anonyme au moyen d une clef privee partagee
EP1738517B1 (fr) Procedes et dispositifs cryptographiques sans transfert de connaissance
FR2822002A1 (fr) Authentification cryptographique par modules ephemeres
EP1747639A1 (fr) Abrege descriptif procede et systeme de signature de liste
CA2895189C (fr) Signature de groupe utilisant un pseudonyme
EP2345202A2 (fr) Procédé de signature numérique en deux étapes
EP1523824B1 (fr) Procede de signature de liste et application au vote electronique
EP1807967B1 (fr) Procede de delegation securisee de calcul d&#39;une application bilineaire
EP3965361A1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
FR2788909A1 (fr) Procede d&#39;authentification ou de signature a nombre de calculs reduit
FR2834841A1 (fr) Procede cryptographique de revocation a l&#39;aide d&#39;une carte a puce
WO2008081151A2 (fr) Procede de signature de liste anonyme et correlable
FR3102024A1 (fr) Procédé de gestion d’une base de données de clés publiques, procédé d’authentification de clés publiques, et dispositifs serveur et client mettant en œuvre ces procédés
FR3091107A1 (fr) Procédé et système de génération de clés pour un schéma de signatures anonymes
WO2008087359A2 (fr) Procédé de signature de liste anonyme et traçable sans levée d&#39;anonymat
EP3063898B1 (fr) Signature à pseudonyme pour carte à puce
EP1989819B1 (fr) Procéde de certification de clé publique par un prestataire non accrédité
FR2949932A1 (fr) Procede cryptographique d&#39;abonnement anonyme a un service

Legal Events

Date Code Title Description
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07871981

Country of ref document: EP

Kind code of ref document: A2