WO2008113952A2 - Chiffrement base sur identite - Google Patents
Chiffrement base sur identite Download PDFInfo
- Publication number
- WO2008113952A2 WO2008113952A2 PCT/FR2008/050307 FR2008050307W WO2008113952A2 WO 2008113952 A2 WO2008113952 A2 WO 2008113952A2 FR 2008050307 W FR2008050307 W FR 2008050307W WO 2008113952 A2 WO2008113952 A2 WO 2008113952A2
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- group
- key
- integer
- entity
- cryptogram
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
- H04L9/0847—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving identity based encryption [IBE] schemes
Definitions
- the present invention relates to data encryption techniques or identity-based messages.
- IBE identity-based encryption
- An IBE scheme allows a sender to encrypt a message for a recipient, without having to memorize a recipient's certificate or a public key decorrelated from its identity. The recipient's public key is indeed deduced from his identity.
- An IBE scheme can be used in particular to encrypt electronic messages.
- a person A wanting to send a message to a recipient B typically uses the email address of B to obtain the encryption key to use.
- a trusted authority provides each user who authenticates a decryption private key corresponding to his email address that is to say his public key. Therefore, B does not need to make A know a public key, certified or not, so that A can encrypt messages. This greatly simplifies the management of the system. It is even possible that A encrypts a message for B before B has obtained his decryption private key.
- One aspect of the invention relates to an identity-based cryptographic method (IBE) in which a secret key includes an element g of a cyclic group G 1 of order p and an integer ⁇ selected between 1 and p-1 , where p denotes a prime number.
- IBE identity-based cryptographic method
- a public key accessible to an issuing entity and to at least one receiving entity has representative components:
- a decryption private key that can be associated with each receiving entity has a component representative of an element Aj of the group G 1 of the form
- Aj g 1 / ( ⁇ + ⁇ j + r j ⁇ ) where Xj is an integer determined by public identity parameters of this receiving entity and Tj is an integer chosen for this receiving entity if ⁇ > 0. If ⁇ > 0, the decryption private key associated with this receiving entity has representative components:
- the cryptographic method comprises an operation for encrypting a message destined for receiving entities, s being a number at least equal to 1 and at most equal to m.
- the encryption operation comprises the following steps:
- the public key is reduced to components representative of the element w of the group G 1 , elements h and h ⁇ of the group G 2 and of the element v of the group G ⁇
- Broadcast encryption refers to cryptographic techniques used to broadcast content on an unsecured public channel so that only legitimate users are able to read that content. For example, legitimate users are those who have paid a fee. The broadcasting entity that broadcasts content wants this content to remain confidential to illegitimate users, which requires a particular encryption scheme.
- An example of broadcast encryption is described in "Broadcast encryption", A. Fiat and M. Naor, CRYPTO'93, Lecture Notes in Computer Science, Vol. 773, pp. 480-491, Santa Barbara, CA, USA, August 22-26, 1994. Springer-Verlag, Berlin.
- Each second phase comprises the drawing of an integer k and the calculation of a symmetric encryption key K and the elements C 1 and C 2 of the cryptogram according to
- This decryption operation comprises a recalculation of the symmetric encryption key from the element e (C-
- , Z j ) .e (A, ⁇ i, C 2 ) of the group G j if ⁇ 0 and from of the element e (C-
- the security of the method can be established with reference to the model of the random oracle.
- ⁇ 0 and each integer X j is determined by applying a cryptographic hash function to the identity parameters of the corresponding receiving entity.
- Tj introduce randomness into private keys.
- Computer programs are also provided for encryption and decryption devices constituting transmitting and receiving entities in an identity-based cryptographic method as presented above.
- the program includes instructions for implementing the steps of a process encryption operation during program execution by a processing unit of an encryption device.
- the program comprises instructions for implementing the steps of a process decryption operation during a program execution by a processing unit of a decryption device.
- Another aspect of the invention relates to an encryption device comprising:
- Yet another aspect of the invention relates to a decryption device comprising:
- a memory for containing a public key defined as indicated above in an IBE schema as well as a private key associated with the decryption device and having, in accordance with the IBE scheme, a component representative of an element A, of the group G 1 of the form
- a calculator for recovering a symmetric encryption key using a cryptogram received with an encrypted message the cryptogram having components representative of a element C 1 of the group G 1 , a element C 2 of the group G 2 and, if ⁇ > 0, of another element C 3 of the group G 2 , the symmetric encryption key being recovered from the element e (C-
- , Z j ) .e (A j ⁇ i, C 2 ) of the group G j if ⁇ 0 and from the element e ⁇ C 1, Z j ) .e (A j x ', C 2 ) .e (A j r ⁇ , C 3 ) of group G ⁇ if ⁇ > 0, where z, is the element of group G 2 equal to h if the encrypted message is not intended
- FIG. 1 is a block diagram of an encryption system for implementing an embodiment of the invention
- FIG. 2 is a block diagram of an exemplary encryption device
- FIG. 3 is a block diagram of an exemplary decryption device.
- the cryptographic method considered here involves an authority 1 on which confidence is based.
- This authority is basically the only entity that has a secret key or master key MSK. It keeps it for example in a protected memory 10.
- a public key generator 1 1 of the authority 1 determines a public key PK and broadcasts it so that it is available to all users of the system.
- the public key PK is calculated based on the secret key MSK and system parameters representing the mathematical structure underlying the encryption scheme.
- the authority 1 also has a private key generator 12 serving to provide a private key specific to a receiving entity 3 that has been able to authenticate with the authority 1.
- the private keys can be issued during the initialization. However, according to a characteristic of the IBE schemes, they are advantageously generated and delivered to their holders as and when required.
- An entity may in particular receive encrypted messages to its attention without having yet a private key decryption. By authenticating with the authority 1, this entity will be able to obtain its private key and decipher the message a posteriori.
- the authority 1 has a module 13 implementing an authentication technique of the receiving entities 3 which request their private key. Once the entity 3 authenticated, its identity IDj is provided to the key generator private 12 which returns the corresponding private key skj calculated according to IDj, secret key MSK and system parameters and sent to the entity via a protected channel.
- the identity IDj of a receiving entity 3 consists of one or more parameters associated publicly with the entity. Any identity used in known IBE schemes can be adopted (see A. Shamir, "Identity-based cryptosystems and signature schemes", Advances in Cryptology - CRYPTO'84, Vol 196, Lecture Notes in Computer Science, pages 47-53, Santa Barbara, CA, USA, August 19-23, 1985. Springer-Verlag, Berlin). A typical example of identity is the e-mail address. Other parameters may be added at the choice of the entity concerned, such as an indication of the period of validity of the private key associated with the entity. A hash function can be applied to the identity to obtain a desired size data.
- the public key PK made available to each allows an issuing entity 2 to encrypt messages M for one or more receiving entities 3 each designated by their identity. We denote s the number of receiving entities receiving a given message (s ⁇ 1).
- the issuing entity 2 uses any technique of symmetric encryption using a key K that it generates, and broadcasts the encrypted message CM accompanied by a header or cryptogram Hdr.
- This cryptogram Hdr is constructed to give access to the symmetric encryption key K to any entity that has:
- Each recipient receiving entity can thus use its private key sk, to retrieve the symmetric encryption key K and then decrypt the message
- the cryptogram Hdr has a constant size and independent of the number s, which avoids having too much information to transmit with the encrypted messages when the number of recipients becomes important.
- Private keys sk can also have a constant size and independent of the number s.
- FIG. 2 diagrammatically illustrates the organization of an encryption device 2 constituting an issuing entity in an exemplary embodiment of the cryptographic method.
- the device 2 comprises a memory 20 where in particular are recorded the public key PK and the identities I Dj,..., ID S of the receiving entities which will be the addressees of one or more encrypted messages C ⁇ (s ⁇ 1).
- the messages originating from a source 21 are encrypted in a circuit 22 by means of a symmetric encryption key K produced by a generator 23.
- the identities IDj can notably be part of the address book of an email application. electronic.
- the encryption key generator 23 From the public key PK and identities ID-],..., ID S , the encryption key generator 23 produces not only a symmetric encryption key K, but also an associated cryptogram Hdr.
- the production of the pair (K, Hdr) involves the drawing of a random number k by a random number generator 25.
- a module 24 of the encryption key generator 23 calculates a vector of intermediate values PK 5 as a function of the public key PK and the identities ID j of the receiving entities, and stores this vector PK 5 .
- a module 26 calculates a new pair (K, Hdr) as a function of k and Note that, since the calculation of PKs only involves public parameters, this vector PKs could be calculated outside the encryption device 2 and received by it on a channel that does not need to be protected. (the vector PKs can be published).
- FIG. 3 schematically illustrates the organization of a decryption device 3 constituting an identity receiving entity ID j in an exemplary embodiment of the cryptographic method.
- the device 3 comprises a memory 30 which include recorded public key PK, the private key sk, the device and the identities ID 1, ..., ID _i ID
- IDj identities can be included in the address book of an e-mail application.
- a computer 33 retrieves a symmetric encryption key K from the cryptogram Hdr received with an encrypted message C ⁇ .
- a module 34 of the computer 33 calculates an intermediate value z ⁇ as a function of the public key PK and identities IDj of the receiving entities, and stores this value Z j .
- a module 36 calculates the symmetric encryption key K from the cryptogram Hdr received with the encrypted message CM and the intermediate value z,. It is again noted that, since the calculation of z ⁇ involves only public parameters, this value z ⁇ could be calculated outside the decryption device 3 and received by it on a channel that does not need to be protected.
- two cyclic groups G 1 and G 2 are defined, each of order p, where p and a prime number, typically having a base representation. 2 of more than one hundred bits.
- a non-degenerate bilinear map of G 1 * G 2 in another cyclic group G ⁇ is further defined.
- a possible example for this bilinear application e is the coupling of Tate.
- the system parameters mentioned above then comprise the number p and descriptors of the groups G 1 , G 2 and G ⁇ and the bilinear map e (.,.).
- G 2 h ⁇ , h ⁇ 2 ht TM, where m is an integer representing the maximum size of the set of receiving entities 3 to which an encrypted message can be addressed. In other words, the size s of a set of recipients can not be greater than m.
- the public key PK is then:
- PK (w, v, h, h? H? 2 , ..., h ⁇ m ).
- m 1
- H function is also described in the known system parameters of the different entities.
- the key K can be
- the BIBE schema example described above uses a random oracle since a cryptographic hash function H is used to ensure the random character of the keys. Since the random oracle model is a theoretical notion, a hash function could only be used to compact the identity data, without the need for the hypothesis that one has a random oracle. Note that other schema implementations do not use random oracles. An example based on similar mathematical objects is described below. Here we do not need the hypothesis mentioned above, but it is still possible to use a hash function. The level of security offered by the hash function is then less important.
- the private key sk; an ID identity entity 3; is generated by first calculating two elements A; and B; groups G ⁇
- Sk 1 (A 11 T 11 B 11 B 1 ⁇ B 1 Y 2 B, Y m - 1 ) is valid, then e (C-
- , Zi) .e (Ai ⁇ i, C 2 ) .e (A , H 1 C 3 ) v k - (Y + ⁇ i) - ( ⁇ + ⁇ s).
- K FIe (C 1 , Zi ) .e (Ai ⁇ i, C 2 ) .e (A i, r i, C 3 )].
- K F [e (C-
- a ' j is representative of A j
- the encryption and decryption devices represented on the FIGS. 2 and 3 can be realized by means of specific circuits or programmed logical components of the FPGA type or the like. A current embodiment, however, will use general purpose processors executing programs according to the invention written to implement the cryptographic calculations described above.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
Une clé publique (PK) dépendant d'une clé secrète est accessible à une entité émettrice (2) et à une ou plusieurs entités réceptrices. Une clé privée associable à une entité réceptrice dépend de la clé secrète et d'un paramètre d'identité (IDj) de cette entité. Le chiffrement d'un message (M) à destination d'un ensemble de s entités réceptrices (s ≥ 1 ) comprend la génération d'une clé de chiffrement symétrique (K) et un cryptogramme (Hdr) associé, en fonction de la clé publique, des paramètres d'identité des s entités réceptrices et d'un nombre choisi par l'entité émettrice. Le cryptogramme donne accès à la clé de chiffrement associée par combinaison avec la clé publique, les paramètres d'identité des s entités réceptrices et la clé privée d'une entité réceptrice identifiée de l'ensemble. Le message est chiffré dans l'entité émettrice avec la clé de chiffrement générée et diffusé sous cette forme chiffrée, accompagné dudit cryptogramme.
Description
CHIFFREMENT BASE SUR IDENTITE
La présente invention concerne les techniques de chiffrement de données ou de messages basées sur identité.
Les schémas de chiffrement basés sur l'identité, ci-après appelés schémas IBE ("identity-based encryption"), ont été introduits afin de faciliter la phase de chiffrement de messages.
Un schéma IBE permet à un expéditeur de chiffrer un message pour un destinataire, sans avoir à mémoriser un certificat de ce destinataire ou une clé publique décorrélée de son identité. La clé publique du destinataire est en effet déduite de son identité.
Un schéma IBE peut notamment servir au chiffrement de messages électroniques. Une personne A voulant envoyer un message à un destinataire B utilise typiquement l'adresse électronique de B pour obtenir la clé de chiffrement à employer. Une autorité de confiance fournit à chaque utilisateur qui s'authentifie une clé privée de déchiffrement correspondant à son adresse électronique c'est-à-dire à sa clé publique. De ce fait, B n'a pas besoin de faire connaître à A une clé publique, certifiée ou non, afin que A puisse lui chiffrer des messages. Ceci simplifie beaucoup la gestion du système. Il est même possible que A chiffre un message pour B avant que B ait obtenu sa clé privée de déchiffrement.
Certains schémas IBE exploitent les propriétés des applications bilinéaires, par exemple celui décrit dans "Practical Identity-Based Encryption Without Random Oracles", C. Gentry, Eurocrypt 2006, Vol. 196, Lecture Notes in Computer Science 4004, pages 445-464.
Un aspect de l'invention se rapporte à un procédé cryptographique basé sur identité (IBE) dans lequel une clé secrète inclut un élément g d'un groupe cyclique G1 d'ordre p et un nombre entier γ choisi entre 1 et p-1 , où p
désigne un nombre premier. Une clé publique accessible à une entité émettrice et à au moins une entité réceptrice a des composantes représentatives:
• de l'élément w = g^ du groupe G1 ;
• d'éléments h et h2 d'un groupe cyclique G2 d'ordre p, avec h2 = hα, α étant un entier compris entre O et p-1 inclus dans la clé secrète (MSK) si α > O;
• d'un élément v d'un groupe cyclique Gτ d'ordre p, de la forme v = e(g, h), où e(., .) désigne une application bilinéaire de G1XG2 dans Gτ; et
• des éléments h? h^2, ..., h^"1 et IV, h/2, ..., h/1 du groupe G2, où m désigne un entier au moins égal à 1 .
Une clé privée de déchiffrement associable à chaque entité réceptrice a une composante représentative d'un élément Aj du groupe G1 de la forme
Aj = g1/(γ+χj+rj α) où Xj est un entier déterminé par des paramètres publics d'identité de cette entité réceptrice et Tj est un entier choisi pour cette entité réceptrice si α > 0. Si α > 0, la clé privée de déchiffrement associable à cette entité réceptrice a des composantes représentatives:
• de l'élément Aj rj du groupe G1 ;
• de l'élément Bj = h.h2-rJ/(Y+xj+rj α) du groupe G2;et
• des m-1 éléments B^, B^- 2, ..., BjYm~1 du groupe G2,
Le procédé cryptographique comprend une opération de chiffrement d'un message à destination de s entités réceptrices, s étant un nombre au moins égal à 1 et au plus égal à m. L'opération de chiffrement comprend les étapes suivantes:
- générer une clé de chiffrement symétrique déterminée par l'élément vk.(γ+xi).. (y+χ s) (J1J groupe Gτ, où k est un entier choisi par l'entité émettrice et X1 xs sont les entiers déterminés par les paramètres d'identité respectifs des s entités réceptrices;
- générer un cryptogramme ayant une composante représentative de l'élément C1 = wk du groupe G1 , une composante représentative de l'élément C2 = hk (Y+XI) -- -^+χs) du groupe G2 et, si α > O, une composante représentative de l'élément C3 = h2 k -^+χi)- --(τ+χs) du groupe G2;
- chiffrer le message avec la clé de chiffrement symétrique dans l'entité émettrice; et
- diffuser le cryptogramme et le message chiffré depuis l'entité émettrice.
On obtient ainsi un schéma IBE performant, bien adapté au cadre défini par A. Shamir dans "Identity-based cryptosystems and signature schemes", Advances in Cryptology - CRYPTO'84, Vol. 196, Lecture Notes in Computer Science, pages 47-53, Santa Barbara, CA, USA, August 19-23, 1985. Springer-Verlag, Berlin.
Ce schéma IBE convient notamment dans le cas où m = 1 (s = 1 ). Il suffit alors que la clé publique ait des composantes représentatives de l'élément w du groupe G1, des éléments h, h2, h ^ et h2 γ du groupe G2 et de l'élément v du groupe Gτ. La clé privée associable à une entité réceptrice dont les paramètres d'identité IDj donnent lieu à un paramètre entier Xj a des composantes représentatives des éléments A, = g1/(τ+xi+rj α) et AjI du groupe G1 et de l'élément Bj =
du groupe G2. Pour chiffrer un message à l'attention d'une entité réceptrice dont les paramètres d'identité IDj donnent lieu à un paramètre entier Xj, il suffit de générer une clé de chiffrement symétrique déterminée par l'élément vk-^+χi) du groupe Gτ, et un cryptogramme associé dont les composantes sont représentatives de l'élément C1 = wk du groupe G1 et des éléments C2 = hk-fr+χi) et C3 = h2 k -(γ+X|) du groupe G2.
Dans le cas où m = 1 et α = 0, la clé publique se ramène à des composantes représentatives de l'élément w du groupe G1 , des éléments h et
h^ du groupe G2 et de l'élément v du groupe Gτ, la clé privée peut se ramener à une composante représentative de l'élément Aj = g1/(γ+χj) du groupe Gi , et il suffit que le cryptogramme ait des composantes représentatives de l'élément C1 = wk du groupe G1 et de l'élément C2 = hk -^+χi) du groupe G2.
Lorsque s > 1 (m > 1 ), on réussit à obtenir un schéma IBE dans le contexte d'un chiffrement broadcast. Le "chiffrement broadcast" fait référence à des techniques cryptographiques employées pour diffuser un contenu sur un canal public, non sécurisé, de telle sorte que seuls des utilisateurs légitimes soient capables de lire ce contenu. Les utilisateurs légitimes sont par exemple ceux qui ont payé un droit d'accès. L'entité émettrice qui diffuse un contenu désire que ce contenu reste confidentiel auprès des utilisateurs illégitimes, ce qui requiert un schéma de chiffrement particulier. Un exemple de chiffrement broadcast est décrit dans "Broadcast encryption", A. Fiat et M. Naor, CRYPTO'93, Lecture Notes in Computer Science, Vol. 773, pages 480-491 , Santa Barbara, CA, USA, August 22-26, 1994. Springer-Verlag, Berlin.
En conciliant schéma IBE et chiffrement broadcast, on obtient un schéma, ci-après nommé BIBE ("broadcast identity-based encryption"), bien adapté à divers contextes d'applications comme par exemple la constitution efficace de listes de diffusion de messages électroniques chiffrés.
Dans le cas où m > 1 et α = 0, la clé publique a des composantes représentatives de l'élément w = g Y du groupe G1, de l'élément h du groupe G2, de l'élément v = e(g, h) du groupe Gτ et des éléments W, h"^2 h"*"11 du groupe G2. La clé privée associable à une entité réceptrice dont les paramètres d'identité IDj donnent lieu à un paramètre entier Xj peut se ramener à une composante représentative de l'élément Aj = g1/(Y+xj) du groupe G1. Enfin, le cryptogramme associé à une clé de chiffrement symétrique déterminée par l'élément vk (v+χi) du groupe Gτ peut se ramener à des composantes représentatives de l'élément C1 = wk du groupe G1 et de l'élément C2 = hk-fr+χi)
du groupe G2.
Dans un mode de réalisation, l'entité émettrice obtient les valeurs des éléments a = h(ï+χi) - fr+χs) du groupe G2 et b = vfr+χi) - -fr+χs) du groupe G1- dans une première phase, puis exécute une seconde phase pour au moins un message à chiffrer à destination de la ou des entités réceptrices. Chaque seconde phase comprend le tirage d'un nombre entier k et le calcul d'une clé de chiffrement symétrique K et des éléments C^ et C2 du cryptogramme selon
K = F[bk], C1 = wk et C2 = ak, où F[.] est la fonction déterminant la clé de chiffrement symétrique en fonction de l'élément vk-^+χi)---^+χs) du groupe Gτ. Si α >0, la première phase comprend en outre l'obtention de la valeur de l'élément a2 = h2^γ+Xi^ --fr+χs) du groupe G2, et la seconde phase comprend en outre le calcul de l'élément C3 du cryptogramme selon C3 = a2 k.
Le procédé cryptographique peut en outre comprendre une opération de déchiffrement effectuée par une des s entités réceptrices dont la clé privée a une composante représentative de l'élément Aj = g1%+χi). Cette opération de déchiffrement comprend un recalcul de la clé de chiffrement symétrique à partir de l'élément e(C-|, Zj).e(A,χi, C2) du groupe Gj si α = 0 et à partir de l'élément e(C-| , Zj).e(Ajχi, C2).e(A| ri, C3) du groupe Gj si α > 0, où Zj est l'élément du
groupe G2 égal à h j=1 J≠i Y+Xj si s > 1 et α = 0, égal à B,πti .M(γ+xP si s > 1 et α > 0 et égal à h si s = 1.
Dans un mode de réalisation, la sécurité du procédé peut être établie en référence au modèle de l'oracle aléatoire. Dans ce cas, on prend α = 0 et chaque entier Xj est déterminé en appliquant une fonction de hachage cryptographique aux paramètres d'identité de l'entité réceptrice correspondante. Lorsque α > 0, on ne se fie pas à un oracle aléatoire et les entiers Tj introduisent de l'aléa dans les clés privées.
II est également proposé des programmes d'ordinateur pour des dispositifs de chiffrement et de déchiffrement constituant des entités émettrice et réceptrice dans un procédé cryptographique basé sur identité tel que présenté ci-dessus. Du côté émetteur, le programme comprend des instructions pour mettre en œuvre les étapes d'une opération de chiffrement du procédé lors d'une exécution du programme par une unité de traitement d'un dispositif de chiffrement. Du côté récepteur, le programme comprend des instructions pour mettre en œuvre les étapes d'une opération de déchiffrement du procédé lors d'une exécution du programme par une unité de traitement d'un dispositif de déchiffrement.
Un autre aspect de l'invention se rapporte à un dispositif de chiffrement comprenant:
- une mémoire pour contenir une clé publique définie comme indiqué précédemment dans un schéma IBE
- un générateur d'au moins une clé de chiffrement symétrique et d'un cryptogramme associé, la clé de chiffrement symétrique étant déterminée par l'élément yk-(y+x^---(y+χs) du groupe Gτ, où k est un entier choisi localement et X1 , ..., xs sont des entiers déterminés par les paramètres d'identité respectifs de s entités réceptrices (1 < s ≤ m), le cryptogramme ayant une composante représentative de l'élément C1 = wk du groupe G1 , une composante représentative de l'élément
C2 = hk-^+x^ - (Y+XS) du groupe G2 et, si α > 0, une composante représentative de l'élément C3 = h2 k fr+χi) -- -(τ+χs) du groupe G2; et
- un circuit de chiffrement du message avec ladite clé de chiffrement symétrique, le message chiffré étant diffusé avec le cryptogramme.
Un autre aspect encore de l'invention se rapporte à un dispositif de déchiffrement comprenant:
- une mémoire pour contenir une clé publique définie comme indiqué précédemment dans un schéma IBE ainsi qu'une clé privée associée au
dispositif de déchiffrement et ayant, conformément au schéma IBE, une composante représentative d'un élément A, du groupe G1 de la forme
Aj = g1/(γ+χι+|ï-°O où Xj est un entier déterminé par des paramètres publics d'identité du dispositif de déchiffrement et η est un entier choisi pour ce dispositif si α > 0, et la clé privée ayant encore, si α > 0, des composantes représentatives:
• de l'élément Ajri du groupe G1 ;
• de l'élément B1 = h.h2-η/^+Xi+ri α> du groupe G2; et
• des m-1 éléments BjY, BjY2, ..., B,Ym~1 du groupe G2,
- un calculateur pour récupérer une clé de chiffrement symétrique à l'aide d'un cryptogramme reçu avec un message chiffré, le cryptogramme ayant des composantes représentatives d'un élément C1 du groupe G1, d'un élément C2 du groupe G2 et, si α > 0, d'un autre élément C3 du groupe G2, la clé de chiffrement symétrique étant récupérée à partir de l'élément e(C-| , Zj).e(Aj χi, C2) du groupe Gj si α = 0 et à partir de l'élément e{C>\ , Zj).e(Aj x', C2).e(Aj rι, C3) du groupe Gτ si α > 0, où z, est l'élément du groupe G2 égal à h si le message chiffré n'est destiné
qu'audit dispositif, égal à h >=^'i≠t ] si α = 0 et le message chiffré est destiné à un nombre s > 1 d'entités réceptrices incluant le dispositif de déchiffrement et égal à
,j≠i(γ+xj ) si α > 0 et le message chiffré est destiné à un nombre s > 1 d'entités réceptrices incluant le dispositif de déchiffrement, Xj désignant un entier déterminé par des paramètres publics d'identité d'une autre entité réceptrice destinataire du message chiffré; et
- un circuit de déchiffrement du message avec la clé de chiffrement symétrique.
D'autres particularités et avantages de l'invention apparaîtront dans la
description ci-après d'exemples de réalisation non limitatifs, en référence aux dessins annexés, dans lesquels :
- la figure 1 est un schéma synoptique d'un système de chiffrement pour la mise en oeuvre d'un mode de réalisation de l'invention;
- la figure 2 est un schéma synoptique d'un exemple de dispositif de chiffrement; et
- la figure 3 est un schéma synoptique d'un exemple de dispositif de déchiffrement.
Le procédé cryptographique considéré ici met en jeu une autorité 1 sur laquelle repose la confiance. Cette autorité est en principe la seule entité qui dispose d'une clé secrète ou clé maître MSK. Elle la conserve par exemple dans une mémoire protégée 10.
Lors de l'initialisation du système, un générateur de clé publique 1 1 de l'autorité 1 détermine une clé publique PK et la diffuse pour qu'elle soit disponible à tous les utilisateurs du système. La clé publique PK est calculée en fonction de la clé secrète MSK et de paramètres système représentant la structure mathématique sous-jacente au schéma de chiffrement.
L'autorité 1 possède d'autre part un générateur de clés privées 12 servant à fournir une clé privée propre à une entité réceptrice 3 qui a pu s'authentifier auprès de l'autorité 1. Les clés privées peuvent être délivrées lors de l'initialisation. Cependant, conformément à une caractéristique des schémas IBE, elles sont avantageusement générées et remises à leurs titulaires au fur et à mesure des besoins. Une entité peut notamment recevoir des messages chiffrés à son attention sans disposer encore d'une clé privée de déchiffrement. En s'authentifiant auprès de l'autorité 1 , cette entité pourra obtenir sa clé privée et déchiffrer le message a posteriori.
L'autorité 1 possède un module 13 mettant en œuvre une technique d'authentification des entités réceptrices 3 qui demandent leur clé privée. Une fois l'entité 3 authentifiée, son identité IDj est fournie au générateur de clés
privées 12 qui retourne la clé privée correspondante skj calculée en fonction de IDj, de la clé secrète MSK et des paramètres système et envoyée à l'entité via un canal protégé.
L'identité IDj d'une entité réceptrice 3 consiste en un ou plusieurs paramètres associés de manière publique à l'entité. Toute identité employée dans les schémas IBE connus peut être adoptée (voir A. Shamir, "Identity- based cryptosystems and signature schemes", Advances in Cryptology - CRYPTO'84, Vol. 196, Lecture Notes in Computer Science, pages 47-53, Santa Barbara, CA, USA, August 19-23, 1985. Springer-Verlag, Berlin). Un exemple typique d'identité est l'adresse de messagerie électronique. Il peut y être adjoint d'autres paramètres au choix de l'entité concernée, comme par exemple une indication de période de validité de la clé privée associée à l'entité. Une fonction de hachage peut être appliquée à l'identité afin d'obtenir une donnée de taille souhaitée.
La clé publique PK mise à disposition de chacun permet à une entité émettrice 2 de chiffrer des messages M pour une ou plusieurs entités réceptrices 3 désignées chacune par leur identité. On note s le nombre d'entités réceptrices destinataires d'un message donné (s ≥ 1 ). L'entité émettrice 2 utilise une technique quelconque de chiffrement symétrique à l'aide d'une clé K qu'elle génère, et diffuse le message chiffré CM accompagné d'un en-tête ou cryptogramme Hdr.
Ce cryptogramme Hdr est construit de manière à donner accès à la clé de chiffrement symétrique K à toute entité qui dispose:
- de la clé publique PK (et des paramètres système);
- des paramètres d'identité IDj des s entités réceptrices destinataires du message chiffré; et
- de la clé privée skj de l'une de ces entités réceptrices.
Chaque entité réceptrice destinataire peut ainsi utiliser sa clé privée sk, pour récupérer la clé de chiffrement symétrique K puis déchiffrer le message
Dans certaines réalisations, le cryptogramme Hdr a une taille constante et indépendante du nombre s, ce qui évite d'avoir trop d'informations à transmettre avec les messages chiffrés lorsque le nombre de destinataires devient important. Les clés privées sk; pourront elles aussi avoir une taille constante et indépendante du nombre s.
La figure 2 illustre schématiquement l'organisation d'un dispositif de chiffrement 2 constituant une entité émettrice dans un exemple de réalisation du procédé cryptographique. Le dispositif 2 comporte une mémoire 20 où sont notamment enregistrées la clé publique PK et les identités I D-j , ...,IDS des s entités réceptrices qui seront les destinataires d'un ou plusieurs messages chiffrés C^ (s ≥ 1 ). Les messages issus d'une source 21 sont chiffrés dans un circuit 22 à l'aide d'une clé de chiffrement symétrique K produite par un générateur 23. Les identités IDj peuvent notamment faire partie du carnet d'adresses d'une application de messagerie électronique.
A partir de la clé publique PK et des identités ID-] , ...,IDS, le générateur de clé de chiffrement 23 produit non seulement une clé de chiffrement symétrique K, mais aussi un cryptogramme associé Hdr. La production du couple (K, Hdr) met en jeu le tirage d'un nombre aléatoire k par un générateur de nombres aléatoires 25.
Il est possible de faire en sorte que les calculs prenant en compte les identités IDj des s entités réceptrices de l'ensemble soient exécutés une seule fois pour toutes les transmissions de messages chiffrés vers cet ensemble de s entités réceptrices. Pour cela, dans une première phase, un module 24 du générateur de clé de chiffrement 23 calcule un vecteur de valeurs intermédiaires PK5 en fonction de la clé publique PK et des identités IDj des s entités réceptrices, et mémorise ce vecteur PK5. Ensuite, chaque fois qu'il y a un nouveau message à chiffrer vers ces s entités réceptrices, un nombre k est tiré et un module 26 calcule un nouveau couple (K, Hdr) en fonction de k et
On remarque que, comme le calcul de PKs ne fait intervenir que des paramètres publics, ce vecteur PKs pourrait être calculé à l'extérieur du dispositif de chiffrement 2 et reçu par celui-ci sur un canal n'ayant pas besoin d'être protégé (le vecteur PKs peut être publié).
La figure 3 illustre schématiquement l'organisation d'un dispositif de déchiffrement 3 constituant une entité réceptrice d'identité IDj dans un exemple de réalisation du procédé cryptographique. Le dispositif 3 comporte une mémoire 30 où sont notamment enregistrées la clé publique PK, la clé privée sk, du dispositif et les identités ID1 , ..., ID,_i , ID|+1, ..., IDS des s-1 entités réceptrices qui seront, avec le dispositif 3, les destinataires d'un ou plusieurs messages chiffrés C^. Les identités IDj peuvent notamment faire partie du carnet d'adresses d'une application de messagerie électronique.
A partir de la clé publique PK et des identités IDj, un calculateur 33 récupère une clé de chiffrement symétrique K à partir du cryptogramme Hdr reçu avec un message chiffré C^. Lorsque s > 1 , il est possible de faire en sorte que les calculs prenant en compte les identités ID; soient exécutés une seule fois pour toutes les réceptions de messages chiffrés qui seront destinés au même ensemble de s entités réceptrices. Pour cela, dans une première phase, un module 34 du calculateur 33 calcule une valeur intermédiaire z\ en fonction de la clé publique PK et des identités IDj des s entités réceptrices, et mémorise cette valeur Zj. Ensuite, chaque fois qu'il y a un nouveau message à déchiffrer destiné à ces s entités réceptrices, un module 36 calcule la clé de chiffrement symétrique K à partir du cryptogramme Hdr reçu avec le message chiffré CM et de la valeur intermédiaire z,. On remarque à nouveau que, comme le calcul de z\ ne fait intervenir que des paramètres publics, cette valeur z\ pourrait être calculée à l'extérieur du dispositif de déchiffrement 3 et reçue par celui-ci sur un canal n'ayant pas besoin d'être protégé.
Dans un exemple d'environnement mathématique utilisable dans le procédé ci-dessus, deux groupes cycliques G1 et G2 (distincts ou non) sont définis, chacun d'ordre p, où p et un nombre premier, ayant typiquement une représentation en base 2 de plus de cent bits. Une application bilinéaire non dégénérée e de G1 * G2 dans un autre groupe cyclique Gτ est en outre définie. Par bilinéaire, on entend que pour toute paire d'entiers (a, b), tout élément u de G1 et tout élément v de G2, on a e(ua, vb) = e(u, v)ab. Un exemple possible pour cette application bilinéaire e est le couplage de Tate. Les paramètres système mentionnés ci-dessus comprennent alors le nombre p et des descripteurs des groupes G1 , G2 et Gτ et de l'application bilinéaire e(., .).
Dans cet exemple, la clé secrète MSK consiste en un élément g que l'autorité 1 tire au hasard dans le groupe G1 et en un entier γ compris entre 1 et p-1 : MSK = (g, γ). Le générateur de clé publique 11 calcule l'élément w = gY du groupe G-j et tire au hasard un élément h du groupe G2. Il calcule en outre l'élément v = e(g, h) du groupe Gj et des puissances de l'élément h du groupe
G2: h^, h^2 ht™, où m est un nombre entier représentant la taille maximum de l'ensemble d'entités réceptrices 3 auquel un message chiffré pourra être adressé. En d'autres termes la taille s d'un ensemble de destinataires ne pourra pas être supérieure à m. La clé publique PK est alors:
PK = (w, v, h, h? h?2, ..., hτm). Lorsque m = 1 , la clé publique se réduit à PK = (w, v, h, hï).
La clé privée skj d'une entité 3 d'identité IDj consiste dans ce cas en un élément A'; du groupe G1 représentatif de l'élément A; = g1/(Y+xj), où x; est un entier déterminé uniquement par IDj. Cet élément A'j est donné par A'j = Ajxi =
Typiquement, Xj est obtenu en appliquant une fonction de hachage cryptographique H à la représentation binaire de l'identité: Xj = H(IDj). La fonction H est aussi décrite dans les paramètres système connus des
différentes entités.
Dans cet exemple, la clé de chiffrement symétrique K générée pour chiffrer un message M à destination de s entités réceptrices d'identités ID-|
ID5, après tirage d'un nombre aléatoire k, est déterminée par l'élément vk.(γ+x1)...(γ +xs) du groupe Q1, avec X1 = H(ID1), ..., xs = H(ID5). La clé K peut
être égale à v k (Y+χi) - ^+χs) ou plus généralement à F[vk fr+χi) - ^+χs)], où F[.] désigne une fonction quelconque connue des différentes entités grâce aux informations système. Le calcul de l'élément vk-(Y+Xi)---('y+Xs) par le dispositif de chiffrement fait intervenir les puissances de h incluses dans la clé publique PK, et tire parti de l'égalité v^ = e(w, h^q~1) résultant de la propriété de l'application bilinéaire e(., .), pour 0 < q ≤ m.
Pour donner accès à cette clé K aux entités autorisées, le cryptogramme Hdr calculé par le générateur 23 pour être transmis avec le message C^ chiffré avec K inclut l'élément C1 = wk du groupe G1 et l'élément
C2 = hk (τ+χi) - (τ+χs) du groupe G2: Hdr = (C1, C2).
Une entité réceptrice 3 de l'ensemble de s entités destinataires du message chiffré C^, ayant pour clé privée skj = A'j, est capable de récupérer la clé K employée en calculant d'abord l'élément Zj du groupe G2 égal à h si s = 1
et à h >=^'i≠t ι si s > 1 , puis, à partir du cryptogramme Hdr = (C1 , C2) reçu avec le message chiffré, l'élément e(C<| , z,).e(A'|, C2) du groupe Gτ. Grâce aux propriétés de l'application bilinéaire e(., .), on peut vérifier que si la clé privée skj = A'j est valide, cet élément e(C<| , z,).e(A'j, C2) du groupe Gj est égal à vk .(γ+χi) ...(γ+χ s)_ |_a C|é de chiffrement symétrique K est donc récupérée selon:
En variante, on peut prendre les clés privées skj égales aux éléments Aj = g1/^+xj), et faire calculer l'exponentiation par les entités réceptrices 3 lors
du déchiffrement: K = FIe(C1, Z|).e(A,χi, C2)]. Il est cependant plus efficace de calculer l'exponentiation une fois pour toutes lors de la génération de la clé privée.
Lorsqu'un vecteur de valeurs intermédiaires PKs est calculé par un module 24 du dispositif de chiffrement comme représenté sur la figure 2, ce vecteur PK3 inclut les trois éléments w, a et b des groupes G1, G2 et Gj, avec a = hfr+χi) - -fr+χs) et b = v(y+χi) - (τ+χs). Les éléments a et b sont calculables par le module 24 à partir de la clé publique PK = (w, v, h, h?, h^2 h^m) et des entiers X1 , ...: xs déduits des identités ID-] , ..., ID3 des entités réceptrices de l'ensemble visé. Après avoir obtenu le nombre aléatoire k, le module 26 calcule K et Hdr = (C1, C2) selon: K = bk, C1 = wk et C2 = ak.
Du fait que les groupes G1 , G2 et Gj sont cycliques d'ordre p, les sommes d'entiers dans les exposants indiqués ci-dessus peuvent s'entendre comme des sommes modulo p.
L'exemple de schéma BIBE décrit ci-dessus utilise un oracle aléatoire puisqu'une fonction de hachage cryptographique H est utilisée pour assurer le caractère aléatoire des clés. Le modèle de l'oracle aléatoire étant une notion théorique, on pourrait utiliser une fonction de hachage uniquement pour compacter les données d'identité, sans avoir besoin de l'hypothèse qu'on a un oracle aléatoire. On notera que d'autres réalisations du schéma n'utilisent pas d'oracle aléatoire. Un exemple reposant sur des objets mathématiques similaires est décrit ci-après. Ici nous n'avons pas besoin de l'hypothèse mentionnée plus haut, mais il est quand même possible d'utiliser une fonction de hachage. Le niveau de sécurité offert par la fonction de hachage est alors moins important.
Partant du nombre p, des groupes cycliques G1, G2 et Gτ et de l'application bilinéaire e(., .) évoqués précédemment, on prend une clé secrète MSK = (g, γ, α) avec g choisi au hasard dans le groupe G1 , γ et α entiers
compris entre 1 et p-1. La clé publique PK est construite en choisissant un élément h du groupe G2, en calculant h2 = hα puis
PK = (w, v, h, hï, hY2, ..., hΛ h2, h2Y, h2τ2, ..., h/71), le nombre m étant défini comme précédemment (si m = 1 , la clé publique se réduit à PK = (w, v, h, hï, h2, h/)).
La clé privée sk; d'une entité 3 d'identité ID; est générée en commençant par calculer deux éléments A; et B; des groupes G<| et G2, donnés par Aj = gi/ly+xj+rj-α) et Bj = h.h2-|"j/(y+χj+rj-(χ), où ij est un nombre que le générateur de clés privées 12 tire au hasard entre 1 et p-1 pour l'entité réceptrice, et Xj est un entier déterminé uniquement par IDj. Cet entier Xj n'a pas besoin d'être généré à l'aide d'une fonction de hachage cryptographique. Il peut être pris égal à l'identité IDj en représentation binaire: Xj = IDj. Des puissances de l'élément Bj sont calculées afin de produire la clé privée skj = (Aj, rj, Bj, BjY, BjY2, ..., BjTm~1) (si m = 1 , la clé privée se réduit à
Dans cet exemple, la clé de chiffrement symétrique K générée pour chiffrer un message M à destination d'une ou plusieurs entités réceptrices d'identités ID-] , ..., ID5, après tirage d'un nombre aléatoire k, est de la forme K = F[VMy+ X 1)^(Y+ X 3)] avec X1 = ID1 , ..., xs = IDs et F[.] étant une fonction quelconque connue des différentes entités.
Pour donner accès à cette clé K aux entités autorisées, le cryptogramme Hdr calculé par le générateur 23 pour être transmis avec le message C^ chiffré avec K inclut l'élément C1 = wk du groupe G1 et deux éléments C2 = hk ^+χi) - ^+χs) et C3 = h2 k ^+χi)- fr+χs) du groupe G2: Hdr = (C1 , C2, C3).
Une entité réceptrice 3 de l'ensemble de s entités destinataires du message chiffré C^ est capable de récupérer la clé K employée en calculant
d'abord l'élément z, du groupe G2 égal à
, j≠i (Y+XJ ) pUjS a pa rtj r du cryptogramme Hdr = (C-], C2, C3) reçu avec le message chiffré, l'élément e(C-| , Zj).e(Ajχi, C2).e(A| ri, C3) du groupe Gj. Grâce aux propriétés de l'application bilinéaire e(., .), on peut de nouveau vérifier que si la clé privée
Sk1 = (A11 T11 B11 B1^ B1Y2 B,Ym-1) est valide, alors e(C-| , Zi).e(Aiχi, C2).e(A, H1 C3) = vk-(Y+χi) - (ï+χs). La clé de chiffrement symétrique K est donc récupérée par la formule: K = FIe(C1 , Zi).e(Aiχi, C2).e(Airi, C3)].
En variante, on peut prendre les clés privées skj de la forme skj = (A'j, A"j, Bj, BjY, BjY2, ..., BjYm~1) avec A'j = Ajxi et A"j = AJΓJ. Dans ce cas, l'entité réceptrice 3 détenant la clé privée skj récupère la clé de chiffrement symétrique K selon K = F[e(C-| , Zj).e(A'j, C2).e(A"j, C3)], sans avoir à recalculer les puissances de A,. Dans cette variante, A'j est représentatif de Aj, tandis que dans la variante précédente, η, jumelé à Aj est représentatif de A'\ = AjI.
Lorsqu'un vecteur de valeurs intermédiaires PK5 est calculé par un module 24 du dispositif de chiffrement comme représenté sur la figure 2, ce vecteur PKs inclut les quatre éléments w, a, a2 et b des groupes G-] , G2 et Gj, avec a = h(Y+χi)---(Y+χs), a2 = h2(Y+χi) - -<Y+XS) et b = V(Y+XI ) - (Y+XS). Après avoir obtenu le nombre aléatoire k, le module 26 calcule K et Hdr = (C-|, C2, C3) selon: K = bk, C1 = wk, C2 = ak et C3 = a2 k.
On remarque que si on prend α = O dans le schéma sans oracle aléatoire ci-dessus, on retombe sur le schéma avec oracle aléatoire décrit précédemment, les Tj n'étant plus nécessaires. Les clés sont rendues aléatoires par le fait que les entiers Xj dépendent alors des identités IDj à travers une fonction de hachage cryptographique.
Les dispositifs de chiffrement et de déchiffrement représentés sur les
figures 2 et 3 peuvent être réalisés au moyen de circuits spécifiques ou de composants logiques programmés de type FPGA ou analogues. Une réalisation courante utilisera cependant des processeurs d'usage général exécutant des programmes selon l'invention, écrits de façon à mettre en œuvre les calculs cryptographiques décrits ci-dessus.
Claims
1. Procédé cryptographique basé sur identité, dans lequel une clé secrète (MSK) inclut un élément g d'un groupe cyclique G1 d'ordre p et un nombre entier γ choisi entre 1 et p-1 , où p désigne un nombre premier, dans lequel une clé publique (PK) accessible à une entité émettrice (2) et à au moins une entité réceptrice (3) a des composantes représentatives:
• de l'élément w = gY du groupe G1 ;
• d'éléments h et h2 d'un groupe cyclique G2 d'ordre p, avec h2 = hα, α étant un entier compris entre 0 et p-1 inclus dans la clé secrète (MSK) si α > O;
• d'un élément v d'un groupe cyclique Gτ d'ordre p, de la forme v = e(g, h), où e(., .) désigne une application bilinéaire de G1XG2 dans Gy; et
• des éléments h Y h^2, ..., hYm et IV, h/, ..., h/1 du groupe G2, où m désigne un entier au moins égal à 1 , dans lequel une clé privée de déchiffrement (skj) associable à chaque entité réceptrice (3) a une composante représentative d'un élément Aj du groupe G1 de la forme A; = g1/(γ+χj+rj α) où x; est un entier déterminé par des paramètres publics d'identité (IDj) de ladite entité réceptrice et I-J est un entier choisi pour ladite entité réceptrice si α > 0, et dans lequel, si α > 0, la clé privée de déchiffrement (skj) associable à ladite entité réceptrice a des composantes représentatives:
• de l'élément Aj ΓJ du groupe G1 ;
• de l'élément Bj = h.h2 →il{y+x^a) du groupe G2;et
• des m-1 éléments B^, Bj^2 Bj^m~1 du groupe G2, le procédé comprenant une opération de chiffrement d'un message (M) à destination de s entités réceptrices, s étant un nombre au moins égal à 1 et au plus égal à m, l'opération de chiffrement comprenant les étapes suivantes:
- générer une clé de chiffrement symétrique (K) déterminée par l'élément vk.(γ+x1)...(γ+xs) (J11 gr0Upe GT, où k est un entier choisi par l'entité émettrice (2) et X1 , ..., xs sont les entiers déterminés par les paramètres d'identité respectifs (IDi , ..., ID3) des s entités réceptrices (3);
- générer un cryptogramme (Hdr) ayant une composante représentative de l'élément C1 = wk du groupe G1 , une composante représentative de l'élément C2 = hk-(Y+χi)---(y+χs) du groupe G2 et, si α > 0, une composante représentative de l'élément C3 = h2 k (Y+XI )- --(τ+χs) du groupe G2;
- chiffrer le message avec ladite clé de chiffrement symétrique dans l'entité émettrice; et
- diffuser le cryptogramme et le message chiffré (CM) depuis l'entité émettrice.
2. Procédé cryptographique selon la revendication 1 , dans lequel l'entité émettrice (2) obtient les valeurs des éléments a = h^+χi) -- -(τ+χs) du groupe G2 et b = 
du groupe Gτ dans une première phase, puis exécute une seconde phase pour au moins un message (M) à chiffrer à destination des s entités réceptrices (3), dans lequel chaque seconde phase comprend le tirage d'un nombre entier k et le calcul d'une clé de chiffrement symétrique K et des éléments C1 et C2 du cryptogramme (Hdr) selon K = F[bk],
C1 = wk et C2 = ak, où F[.] est la fonction déterminant la clé de chiffrement symétrique en fonction de l'élément y^-(i+x^---(y+χs) du groupe Gτ, et dans lequel, si α >0, ladite première phase comprend en outre l'obtention de la valeur de l'élément a2 = h2^γ+X1^ --^+χs) du groupe G2 et ladite seconde phase comprend en outre le calcul de l'élément C3 du cryptogramme (Hdr) selon C3 = a2 k.
3. Procédé cryptographique selon la revendication 2, dans lequel l'opération de chiffrement comporte plusieurs itérations de la seconde phase pour le chiffrement et la diffusion de messages successifs par l'entité émettrice (2).
4. Procédé cryptographique selon l'une quelconque des revendications précédentes, comprenant une opération de déchiffrement effectuée par une des s entités réceptrices (3) ayant une clé privée (skj) ayant une composante représentative de l'élément Aj = g1/(γ+χι), l'opération de déchiffrement comprenant un recalcul de la clé de chiffrement symétrique (K) à partir de l'élément e(C<| , Zj).e(Ajχι, C2) du groupe Gj si α = 0 et à partir de l'élément e(C-| , Zj).e(Ajχι, C2).e(A| rι, C3) du groupe Gτ si α > 0, où z\ est l'élément du
groupe G2 égal à h j=1'j≠l Y+Xj si s > 1 et a = 0, égal à B,πH,H(γ+xj) si s > 1 et α > 0 et égal à h si s = 1.
5. Procédé cryptographique selon la revendication 4, dans lequel ladite entité réceptrice (3) obtient l'élément Zj du groupe G2 dans une première phase, puis exécute une seconde phase pour au moins un message chiffré (CM) reçu en provenance de l'entité émettrice (2) avec un cryptogramme (Hdr) ayant des composantes représentatives d'éléments C1 et C2 des groupes G1 et G2, chaque seconde phase comprenant le recalcul de la clé de chiffrement symétrique K selon K = F[e(C-| , Zj).e(Ajχi, C2)] si α = 0 et selon K = FIe(C1 , Zi).e(A| χi, C2).e(A| ri, C3)] si α > 0, où F[.] est la fonction déterminant la clé de chiffrement symétrique en fonction de l'élément vk ^+x^- (Y+XS) du groupe Gτ.
6. Procédé cryptographique selon l'une quelconque des revendications précédentes, dans lequel α = 0 et chaque entier Xj est déterminé en appliquant une fonction de hachage cryptographique aux paramètres d'identité (IDj) de l'entité réceptrice correspondante (3).
7. Dispositif de chiffrement, comprenant:
- une mémoire (20) pour contenir une clé publique (PK) d'un schéma de chiffrement basé sur identité, la clé publique ayant des composantes représentatives:
• d'un élément w d'un groupe cyclique G1 d'ordre premier p, de la forme w = gv du groupe G1 où g est un élément du groupe G1 et γ un nombre entier compris entre 1 et p-1 , g et γ faisant partie d'une clé secrète (MSK);
• d'éléments h et h2 d'un groupe cyclique G2 d'ordre p, avec h2 = hα, α étant un entier compris entre 0 et p-1 inclus dans la clé secrète (MSK) si α > 0;
• d'un élément v d'un groupe cyclique Gτ d'ordre p, de la forme v = e(g, h), où e(., .) désigne une application bilinéaire de G1XG2 dans Gτ; et
• des éléments W, W2, ..., Wm et h2τ, h2^2, ..., h/"1 du groupe G2, où m désigne un entier au moins égal à 1 ;
- un générateur (23) d'au moins une clé de chiffrement symétrique (K) et d'un cryptogramme (Hdr) associé à ladite clé de chiffrement symétrique, la clé de chiffrement symétrique étant déterminée par l'élément vk.(γ+x1)...(γ+xs) (jy gr0Upe GT! OÙ k est Up entier choisi localement et X1,
..., xs sont des entiers déterminés par les paramètres d'identité respectifs (ID1 ID5) de s entités réceptrices (3), s étant un nombre au moins égal à 1 et au plus égal à m, le cryptogramme ayant une composante représentative de l'élément C1 = wk du groupe G1, une composante représentative de l'élément C2 = hk-fr+χi)---fr+χs) du groupe G2 et, si α > O, une composante représentative de l'élément
C3 = h2 k -fr+χi) - -fr+χs) du groupe G2; et
- un circuit (22) de chiffrement du message avec ladite clé de chiffrement symétrique, le message chiffré (CM) étant diffusé avec le cryptogramme.
8. Dispositif de chiffrement selon la revendication 7, dans lequel le générateur (23) est agencé pour obtenir les valeurs des éléments a = h(r+χi) - (Y+χs) du groupe G2 et b = V(Y+XI ) - (τ+χs) du groupe Gτ dans une première phase, et pour exécuter une seconde phase pour au moins un message (M) à chiffrer à destination des s entités réceptrices, dans lequel chaque seconde phase comprend le tirage d'un nombre entier k et le calcul d'une clé de chiffrement symétrique K et des éléments C1 et C2 du cryptogramme associé selon K = F[bk], C1 = wk et C2 = ak, où F[.] est la fonction déterminant la clé de chiffrement symétrique en fonction de l'élément vk.(γ+x1)...(γ+xs) ς|u groupe Gj, et dans lequel, si a >0, ladite première phase
comprend en outre l'obtention de la valeur de l'élément a2 = h2fr+χi) -- -^+χs) du groupe G2 et ladite seconde phase comprend en outre le calcul de l'élément C3 du cryptogramme (Hdr) selon C3 = a2 k.
9. Dispositif de chiffrement selon la revendication 7 ou 8, dans lequel α = 0 et chaque entier Xj est déterminé en appliquant une fonction de hachage cryptographique aux paramètres d'identité (IDj) de l'entité réceptrice correspondante (3).
10. Dispositif de déchiffrement, comprenant: une mémoire (30) pour contenir une clé publique (PK) d'un schéma de chiffrement basé sur identité ainsi qu'une clé privée (Sk1) associée audit dispositif, la clé publique (PK) ayant des composantes représentatives:
• d'un élément w d'un groupe cyclique G1 d'ordre premier p, de la forme w = gY du groupe G1 où g est un élément du groupe G1 et γ un nombre entier compris entre 1 et p-1 , g et γ faisant partie d'une clé secrète (MSK);
• d'éléments h et h2 d'un groupe cyclique G2 d'ordre p, avec h2 = hα, α étant un entier compris entre 0 et p-1 inclus dans la clé secrète (MSK) si α > 0;
• d'un élément v d'un groupe cyclique Gτ d'ordre p, de la forme v = e(g, h), où e(., .) désigne une application bilinéaire de G1XG2 dans G-|-; et
• des éléments h? h^2 h^m et h2* h2v2 h/" du groupe G2, où m désigne un entier au moins égal à 1 , la clé privée (skj) ayant, conformément au schéma de chiffrement basé sur identité, une composante représentative d'un élément Aj du groupe
Gi de la forme Aj = g1/(τ+χi+rι α) où Xj est un entier déterminé par des paramètres publics d'identité (ID,) dudit dispositif et η est un entier choisi pour ledit dispositif si α > 0, et la clé privée ayant encore, si α > 0, des composantes représentatives:
• de l'élément Ajri du groupe G1 ;
• de l'élément B1 = h.h2-ri/(γ+χi+n «) du groupe G2; et
• des m-1 éléments B1T, BjY2 B,Ym~1 du groupe G2, un calculateur (33) pour récupérer une clé de chiffrement symétrique (K) à l'aide d'un cryptogramme (Hdr) reçu avec un message chiffré (CM), le cryptogramme ayant des composantes représentatives d'un élément C1 du groupe G1 , d'un élément C2 du groupe G2 et, si α > 0, d'un autre élément C3 du groupe G2, la clé de chiffrement symétrique étant récupérée à partir de l'élément e(C-| , Zj).e(Aj χι, C2) du groupe Gj si α = 0 et à partir de l'élément e{C-\ , Z1^e(A1*', C2).e(Aj ri, C3) du groupe Gτ si α > 0, où Zj est l'élément du groupe G2 égal à h si le message chiffré
n'est destiné qu'audit dispositif, égal à h ^≠l ] si α = 0 et le message chiffré est destiné à un nombre s > 1 d'entités réceptrices incluant ledit dispositif et égal à 
,j≠rγ+)y si α > 0 et le message chiffré est destiné à un nombre s > 1 d'entités réceptrices incluant ledit dispositif, Xj désignant un entier déterminé par des paramètres publics d'identité (ID;) d'une autre entité réceptrice destinataire du message chiffré; et
- un circuit (32) de déchiffrement du message avec la clé de chiffrement symétrique.
11. Dispositif de déchiffrement selon la revendication 10, dans lequel le calculateur (33) est agencé pour obtenir l'élément z\ du groupe G2 dans une première phase, et pour exécuter une seconde phase pour au moins un message chiffré (CM) reçu avec un cryptogramme (Hdr) ayant des composantes représentatives d'éléments C1 et C2 des groupes G1 et G2, chaque seconde phase comprenant la récupération de la clé de chiffrement symétrique K selon K = F[e(C-| , Zj).e(Ajx', C2)] si α = 0 et selon
K = F[e(C<| , Zj).e(Ajχi, C2).e(Ajri, C3)] si α > 0, où F[.] est la fonction déterminant la clé de chiffrement symétrique en fonction de l'élément 
-(y+χs) du groupe G1-.
12. Dispositif de déchiffrement selon la revendication 10 ou 11 , dans lequel α = 0 et l'entier Xj est déterminé en appliquant une fonction de hachage cryptographique aux paramètres d'identité (IDj) du dispositif (3) et, si s > 1 , chaque entier Xj est déterminé en appliquant la même fonction de hachage cryptographique aux paramètres d'identité (IDj) de l'entité destinataire correspondante (3).
13. Programme d'ordinateur pour un dispositif de chiffrement (2) constituant une entité émettrice dans un procédé cryptographique basé sur identité selon l'une quelconque des revendications 1 à 6, le programme comprenant des instructions pour mettre en œuvre les étapes d'une opération de chiffrement dudit procédé lors d'une exécution du programme par une unité de traitement du dispositif de chiffrement.
14. Programme d'ordinateur pour un dispositif de déchiffrement (3) constituant une entité réceptrice dans un procédé cryptographique basé sur identité selon la revendication 4 ou 5, le programme comprenant des instructions pour mettre en œuvre les étapes d'une opération de déchiffrement dudit procédé lors d'une exécution du programme par une unité de traitement du dispositif de déchiffrement.
15. Support de données lisible par ordinateur, sur lequel est enregistré un programme conforme à la revendication 13 ou à la revendication 14.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0701450 | 2007-02-28 | ||
| FR0701450A FR2913153A1 (fr) | 2007-02-28 | 2007-02-28 | Chiffrement base sur identite |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| WO2008113952A2 true WO2008113952A2 (fr) | 2008-09-25 |
| WO2008113952A3 WO2008113952A3 (fr) | 2008-11-06 |
Family
ID=38515795
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR2008/050307 WO2008113952A2 (fr) | 2007-02-28 | 2008-02-25 | Chiffrement base sur identite |
Country Status (2)
| Country | Link |
|---|---|
| FR (1) | FR2913153A1 (fr) |
| WO (1) | WO2008113952A2 (fr) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9025767B2 (en) | 2010-03-24 | 2015-05-05 | Nokia Corporation | Method and apparatus for querying content protected by identity-based encryption |
| WO2022135399A1 (fr) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | Procédé d'authentification d'identité, contrôleur d'accès d'authentification, dispositif de demande, support de stockage, programme et produit de programme |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111865578B (zh) * | 2020-07-09 | 2022-11-29 | 暨南大学 | 一种基于sm2的多接收方公钥加密方法 |
-
2007
- 2007-02-28 FR FR0701450A patent/FR2913153A1/fr not_active Withdrawn
-
2008
- 2008-02-25 WO PCT/FR2008/050307 patent/WO2008113952A2/fr active Application Filing
Non-Patent Citations (4)
| Title |
|---|
| DU X ET AL: "An ID-Based Broadcast Encryption Scheme for Key Distribution" IEEE TRANSACTIONS ON BROADCASTING, IEEE SERVICE CENTER, PISCATAWAY, NJ, US, vol. 51, no. 2, juin 2005 (2005-06), pages 264-266, XP011132562 ISSN: 0018-9316 * |
| HWANG T ET AL: "Identity-based conference key broadcast systems" IEE PROCEEDINGS: COMPUTERS AND DIGITAL TECHNIQUES, IEE, GB, vol. 141, no. 1, 1 janvier 1994 (1994-01-01), pages 57-60, XP006001573 ISSN: 1350-2387 * |
| J.BAEK ET AL: "Efficient multi-receiver identity-based encryption and its application to broadcast encryption" PUBLIC KEY CRYPTOGRAPHY-PKC 2005. 8TH INTERNATIONAL WORKSHOP ON THEORY AND PRACTICE IN PUBLIC KEY CRYPTOGRAPHY.PROCEEDINGS(LECTURE NOTES IN COMPUTER SCIENCE), 23 janvier 2005 (2005-01-23), - 26 janvier 2005 (2005-01-26) pages 380-397, XP002452635 BERLIN DE * |
| ZHENCHUAN CHAI ET AL: "Efficient ID-based Broadcast Threshold Decryption in Ad Hoc Network" COMPUTER AND COMPUTATIONAL SCIENCES, 2006. IMSCCS '06. FIRST INTERNATIONAL MULTI-SYMPOSIUMS ON HANGZHOU, ZHEJIANG, CHINA 20-24 APRIL 2006, PISCATAWAY, NJ, USA,IEEE, 20 avril 2006 (2006-04-20), pages 148-154, XP010925280 ISBN: 0-7695-2581-4 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9025767B2 (en) | 2010-03-24 | 2015-05-05 | Nokia Corporation | Method and apparatus for querying content protected by identity-based encryption |
| WO2022135399A1 (fr) * | 2020-12-26 | 2022-06-30 | 西安西电捷通无线网络通信股份有限公司 | Procédé d'authentification d'identité, contrôleur d'accès d'authentification, dispositif de demande, support de stockage, programme et produit de programme |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2008113952A3 (fr) | 2008-11-06 |
| FR2913153A1 (fr) | 2008-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2127197A2 (fr) | Chiffrement broadcast base sur identite | |
| EP3010177B1 (fr) | Procédé d'authentification d'un dispositif client auprès d'un serveur à l'aide d'un élément secret | |
| US20060177051A1 (en) | Cryptographic applications of the Cartier pairing | |
| EP2348452B1 (fr) | Procédé implémenté par ordinateur pour générer un pseudonyme, support de stockage lisible sur ordinateur et système informatique | |
| FR2952778A1 (fr) | Procede de transmission de donnees securise et systeme de chiffrement et de dechiffrement permettant une telle transmission | |
| FR2937484A1 (fr) | Procede de signature numerique en deux etapes | |
| CN105763528B (zh) | 一种混合机制下多重接收者匿名的加密装置 | |
| EP1254534A1 (fr) | Procede de communication avec sequestre et recuperation de cle de chiffrement | |
| Sun et al. | Privacy-aware and security-enhanced efficient matchmaking encryption | |
| EP4144042A1 (fr) | Chiffrement symétrique distribué résistant aux attaques adaptatif | |
| Bangera et al. | Multilayer security using RSA cryptography and dual audio steganography | |
| Li et al. | Cryptographic algorithms for privacy-preserving online applications. | |
| Rastogi et al. | Cloud computing security and homomorphic encryption | |
| WO2019180335A1 (fr) | Procede d'emission de donnees depuis un vehicule automobile et procede de reception desdites donnees par un autre vehicule, a travers un canal de communication radio | |
| WO2008113952A2 (fr) | Chiffrement base sur identite | |
| CN107070900B (zh) | 基于混淆的可搜索重加密方法 | |
| Sulaiman et al. | Extensive analysis on images encryption using hybrid elliptic curve cryptosystem and hill cipher | |
| Chalkias et al. | Timed release cryptography from bilinear pairings using hash chains | |
| EP0962069B1 (fr) | Systeme cryptographique comprenant un systeme de chiffrement et de dechiffrement et un systeme de sequestre de cles | |
| Peng | Efficient and general PVSS based on ElGamal encryption | |
| Zucca | Towards efficient arithmetic for Ring-LWE based homomorphic encryption | |
| Singh et al. | Cloud assisted semi-static secure accountable authority identity-based broadcast encryption featuring public traceability without random oracles | |
| WO2007042419A1 (fr) | Procede cryptographique mettant en oeuvre un systeme de chiffrement base sur l'identite | |
| FR2786049A1 (fr) | Procede de cryptographie a cle dynamique | |
| CN116401452A (zh) | 一种基于安全内积的加密数据隐私范围查询系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 08762148 Country of ref document: EP Kind code of ref document: A2 |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 08762148 Country of ref document: EP Kind code of ref document: A2 |