WO2016166426A1 - Procédé de communication cryptographique basé sur le hasard profond - Google Patents

Procédé de communication cryptographique basé sur le hasard profond Download PDF

Info

Publication number
WO2016166426A1
WO2016166426A1 PCT/FR2016/000070 FR2016000070W WO2016166426A1 WO 2016166426 A1 WO2016166426 A1 WO 2016166426A1 FR 2016000070 W FR2016000070 W FR 2016000070W WO 2016166426 A1 WO2016166426 A1 WO 2016166426A1
Authority
WO
WIPO (PCT)
Prior art keywords
protocol
ghp
deep
called
distribution
Prior art date
Application number
PCT/FR2016/000070
Other languages
English (en)
Inventor
Thibault DE VALROGER
Original Assignee
De Valroger Thibault
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by De Valroger Thibault filed Critical De Valroger Thibault
Priority to CN201680030035.7A priority Critical patent/CN108093680B/zh
Priority to US15/562,799 priority patent/US10396983B2/en
Priority to EP16723793.2A priority patent/EP3284208A1/fr
Publication of WO2016166426A1 publication Critical patent/WO2016166426A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N7/00Computing arrangements based on specific mathematical models
    • G06N7/01Probabilistic graphical models, e.g. probabilistic networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0875Generation of secret information including derivation or calculation of cryptographic keys or passwords based on channel impulse response [CIR]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Definitions

  • the invention belongs to the field of cryptographic communication systems.
  • EAs Autonomous Entities
  • these EAs are entities capable of generating random bit sequences, publishing bit sequences, reading bit sequences published by other EAs, storing bit sequences, to perform calculations on bit sequences.
  • the main difference of our method is that the random generation of bit sequences includes the generation of Deep Hazard. Deep Hazard is a source of random digital information such that an outside observer can not know the probability distribution of the random variable associated with that information source, except for a set of public characteristics. As a result, such Random Random Random variables are not subject to Bayesian inference evaluation.
  • GHP Deep Random Generator
  • MCI The Interactive Communication Module
  • the two main features of the present invention are (i) the generation of Deep Random distributions, and (ii) the execution of Perfect Privacy Protocol. They are designed (GHP and MCI) to work together, giving the uniqueness of the invention. They make it possible to obtain perfect confidentiality without the need for prior distribution of a secret key and without condition or limitation on the communication channel or on the capabilities of the adversary, which gives the utility and the innovative character of the invention. They can be made in different forms, knowing that at least one is described in section 5 of the present description below, which ensures that the invention can be industrially applied. In addition, the inventor has obtained a mathematical proof of perfect confidentiality, which is not the case for most other previously patented cryptographic communication methods; however, the details of this mathematical proof are complex and are not presented in the present description for the sake of brevity.
  • the Deep Random generated by an EA called A is a source of chance such that its probability distribution is unknowable (or hidden) for a given set of EAs called opponents, each denoted by ⁇ .
  • this set of EA is generally all EA other than A.
  • the probability distribution can be hidden from a set of public features / (note the s £ all probability distributions that check characteristics /).
  • Such sources of chance have the following property:
  • ⁇ , ] denotes the conditional expectation of ⁇ p (X) from knowledge reduced to Y by ⁇ .
  • being any deterministic function.
  • V is a random variable with values in a set E
  • V is said to be generated by V if there is a generational distribution ⁇ E x F ⁇ > [0,1] such that Vx GE, ⁇ y £ ip (y, x) dy-1 and corresponding to the probability distribution of V:
  • the weakened formulation of the property is then: let Y be a random variable with values in a set F, generated by any random variable with value in E by the same generation distribution xp: E x F ⁇ [0,1 ] ⁇ If X and X 'are two random variables with values in E whose probability distributions are in ⁇ ; each hidden for ⁇ outside the characteristics /, then:
  • GTP Deep Hazard
  • the GHP program executes a continuous recursive generation sequence, in which, at each step m + 1, the probability distribution is created / selected to implement failure the optimal estimation strategy for distributions of steps ⁇ m.
  • This method can be implemented in a program that runs continuously within a runtime environment, and can be requested at any time by ⁇ to provide a random signal generated using a random draw. based on the current value of the distribution suite. Such an implementation can be done in software or hardware to improve the confidentiality of the current state of the suite. For such a method to be safe, the entropy of the random output signal should not be larger than the entropy of the index value of the sequence. An example of such a method is given in section 5 of the present description.
  • a communication protocol is a procedure involving 2 corresponding legitimate EAs 04 and ⁇ ); which can be decomposed into a finite number of steps t 1 ( ..., t R such that, at each step r ⁇ R:
  • a and B respectively generate a new information x r and y r (potentially using classical chance or Deep Hazard thanks to their GHP as shown in Fig. 1 - 100 & 101 interaction), potentially involving the knowledge respectively of ⁇ Xm ⁇ i ⁇ m ⁇ r > ⁇ im m ⁇ i ⁇ m ⁇ r, and ⁇ y m ⁇ 1 ⁇ m ⁇ r , ⁇ t m , j m ) i ⁇ m ⁇ r .
  • the GHP can be requested by the MCI as shown in FIG. 1 - interaction 101, and the MCI reads the information published by the other party in the preceding step as shown in FIG. 1 - interaction 103.
  • a and B respectively publish information t r and j r which can depend respectively on ⁇ 1 ⁇ 2) i ⁇ m ⁇ r , ⁇ 'mJm ⁇ l ⁇ 7n ⁇ r> and ⁇ m ⁇ l ⁇ ? ⁇ > ⁇ 1 ⁇ 2Jm ⁇ l ⁇ ? n ⁇ r-
  • the MCI writes the information on the public channel as shown in FIG. 1 - interaction 102.
  • a and B perform only calculations based on the respective knowledge of ⁇ Xm) i ⁇ m ⁇ K > ⁇ im > jm i ⁇ m ⁇ R > and ⁇ y m ⁇ i ⁇ i m , Tn ⁇ i ⁇ m ⁇ / i -
  • V A and V B are respectively denoted.
  • ⁇ v ] v is called a configurable protocol, with v a numeric parameter vector set before the protocol execution, if the protocol implementation description (including the ability to generate Deep Random) has a size larger by H (y) + K, where H represents the entropy function and K is a constant independent of v.
  • This shared secret information which can be of a size as long as desired (for example by repetition of the protocol), can be used to exchange between the legitimate correspondents in a perfectly secure way a signifying message, either directly (use of a mask disposable XOR) or by exchanging a symmetric cryptographic key, which can then be used with a block cipher system or a continuous ciphering system.
  • ⁇ ⁇ ( ⁇ , ⁇ ') ⁇ .
  • a configurable protocol ⁇ ⁇ ⁇ ⁇ is called a Perfect Privacy Protocol if, ⁇ , ⁇ '> 0, there exist ⁇ ( ⁇ , ⁇ ') under the assumptions of the Deep Hazard (H) and (W), such as:
  • Fig. Figure 1 shows the general model of a Deep Hazard-based Perfect Privacy Protocol, in which each EA involved in the protocol (designated A and ⁇ ), has a continuous GHP, and an MCI.
  • the MCIs of A and B are connected by an error-free public communication channel on which an EA (called "adversary") is assumed to have full read access.
  • FIG. Figure 2 shows the specific embodiment of a Deep Hazard-Based Parfisk Protocol (corresponding to Section 5) with the successive interactions performed between the EAs involved in the protocol (referred to as A and B). Each of these interactions is described in section 5.
  • Fig. Figure 3 shows a collaboration model between 2 Deep Random Generators, in which one or more Level 1 EAs (denoted by A. x, A. y) can securely transmit the parameters of their Probablity distribution to Deep Random at a given time. Level 2 EA (designated B). B can then combine these sources potentially together and / or with his own, to generate new sources of Deep Hazard.
  • Level 1 EAs denoted by A. x, A. y
  • Level 2 EA designated B
  • B can then combine these sources potentially together and / or with his own, to generate new sources of Deep Hazard.
  • Fig. 4 shows a Deep Random Generator operating with the recursive continuous generation method, schematized in the form of a block diagram.
  • the GHP is implemented in a physical environment resistant to computer or electromagnetic intrusions and logically consists of 4 sub-modules: the Internal Recursive Generator Deep Random (GRIHP), the Internal Standard Random Generator, the Internal Memory, and the Interface Communication, which is the only one of the 4 sub-modules that can communicate with the external environment.
  • GPIHP Internal Recursive Generator Deep Random
  • the Internal Standard Random Generator the Internal Standard Random Generator
  • Internal Memory Internal Memory
  • Interface Communication which is the only one of the 4 sub-modules that can communicate with the external environment.
  • Fig. 4 shows a Deep Random Generator operating with the recursive continuous generation method, schematized in the form of a block diagram.
  • the GHP logically consists of 4 sub-modules:
  • ⁇ , ⁇ ⁇ denote probability distributions with values in [0,1] ⁇ ⁇
  • ⁇ ° ⁇ is another distribution with values in [0, l] n such that:
  • Probtp aCx Prob ⁇ t > (a 1 ())
  • the quadratic matrix of such a distribution ⁇ is:
  • V / G 5 ⁇ , ⁇ ; ( ⁇ ⁇ ) ⁇ M ⁇ t> ( u > v ;
  • max
  • denotes any strategy of the adversary, depending on the public information i, j (this set of possible strategies is denoted by ⁇ ), to estimate as precisely as possible the quantity i, j are vectors of proofs of ⁇ 0, l ⁇ n generated by a Bernoulli distribution at xy
  • the transformation (x, y) ⁇ ⁇ (-, -) is the Degradation (as introduced in 3. (ii)) used for the present embodiment, for both the GHP and the Protocol. to Perfect Confidentiality described below in section 5.ii).
  • the set of quadratic matrices of possible distributions (assuming ⁇ restricted to the set of distributions with values in ⁇ 0, l ⁇ n ) is the convex envelope of all matrices in the set:
  • the initial primer ⁇ 0 of the process is chosen from any predefined subset of ⁇ ( ⁇ ) that can be traversed algorithmically.
  • cu m o and m + 1 may be thus determined (also using the random vector for ⁇ o and m + 1) at each stage by the GRIHP.
  • the EA executes a continuous and recursive generation process in which N continuous continuations ⁇ [ ⁇ ] ⁇ ⁇ 3 ⁇ 4, 77 ⁇ progress in parallel each by following a Unit Recursive Generation Process as presented above. It may also be decided (randomly decided) to update the current value of a given sequence by a combination of the current values of the suites using the Internal Combination Process as presented above.
  • the quality of the Deep Random depends on the variety of the initial subset as well as the growing number of iterations executed on each sequence.
  • the GRIHP should execute at least nx N iterations before starting to receive requests from an MCI.
  • N should be approximately of the order of ln (n!) ⁇ Nln (n), which represents the entropy necessary to encode an element of the set of permutations S n .
  • the Communication Interface randomly chooses ([Fig4-430]) an integer c among ⁇ 1, ..., N]; the probability of choosing c is N / c (c + 1) (iV + 1); so that the probability distribution of 1 / c is evenly distributed over [0,1].
  • the EA then randomly selects c suites from N ([Fig4-430]) and establishes its distribution
  • xy capable by Bayesian inference of estimating shared secret information -j- from public information i, j with a precision equal to or greater than that of V A or V B.
  • Fig. 2 shows a specific embodiment of a Perfect Privacy Protocol noted ⁇ ( ⁇ , ⁇ , ⁇ , n, k) using a block diagram, where (A, ⁇ , N, n , k) are public parameters of the protocol, whose legitimate correspondents are denoted by A and fi.
  • a and B are two EAs each equipped with a GHP and an MCI.
  • the 2 MCIs are connected by a public and error-free communication channel, so that A and B can publish information on the channel and read information published by the other party.
  • Step 1 - Generation of Deep Hazard
  • a and B each independently perform a process of continuous and recursive generation of deep random probability distributions [Fig2-200] typically using a GHP generator (N, n, k) as described hereinabove in FIG.
  • a and B wish to enter into secure communication and start the protocol by independently choosing a probability distribution, respectively ⁇ and ⁇ 'by soliciting their GHP (, n, / c) as represented in [Fig2-210 & 211 & 213 & 214, Fig4-410 & 420 ].
  • the result of this step is that A (resp.B) randomly generates the parameter vector x 0 G [0,1] "from
  • A also chooses a second distribution ⁇ always requesting its GHP (N, n, k) as represented in [Fig2-210 & 211 & 213 & 214].
  • is used to
  • A further solicits its GHP (N, n, k) to randomly generate N parameter vectors ⁇ x lr ..., x N ⁇ G ⁇ [0, l] n ⁇ w from the combined distribution ⁇ ( ⁇ + ⁇ ).
  • B randomly generates N parameter vectors ⁇ y ll ..., y N ) G ⁇ [0,1] " ⁇ ⁇ from ⁇ '.
  • a (resp. B) stores ⁇ ⁇ ...; ⁇ ⁇ ⁇ (resp. ⁇ y 1 , ..., yw ⁇ ) in the internal memory of its GHP as represented in [Fig4-
  • A generates N + 1 Bernoulli proof vectors ⁇ i 0 , ..., i N ] € ⁇ 0, l ⁇ n ⁇ N + 1 respectively from the parameter vectors -z ⁇ j ⁇ j as represented in
  • B publishes y ' 0 as represented in [Fig2-230 & 231 & 232 & 240].
  • Step 6 Reconciliation and Amplification of Privacy:
  • Step 4 is necessary to ensure that the adversary can not take advantage of the independence between the selection processes of ⁇ and ⁇ by A and B, which could enable him to estimate efficiently using the strategy. separable fc ⁇ ° ⁇ Jo ⁇ .
  • step 4 the calculation of the synchronization permutation ⁇ ⁇ - ⁇ 3 ⁇ 4 [0 s] * > ⁇ ) 3 ⁇ 4 ⁇ * ] in step 4 depends only on the indices s £ N N * , thus excluding 0. Indeed, the choice of ⁇ ⁇ must remain independent of i 0 , so that i 0 and j 0 remain independent tests of Bernoulli variables, thus making it possible to apply the increase (E) for the legitimate correspondents.
  • An industrial implementation of a Perfect Privacy Protocol allows two entities communicating through an unsafe communication channel to generate shared secret information.
  • This information which can be of a length in bits as large as desired (for example by repeating the protocol in a sequential manner) can be used either to exchange directly a perfectly secure message signifying between the legitimate correspondents, (using the secret information as a disposable mask XOR combined with the signifying message), or for exchanging a shared encryption key usable with a block cipher algorithm or a continuous encryption algorithm.
  • Such an embodiment may be in the form of a program or software library, which can be embedded in communication equipment or integrated into applications ⁇ . It can also be made in the form of a specially protected communication equipment, designed to be deployed in cut, resistant to computer and electromagnetic intrusions.

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Data Mining & Analysis (AREA)
  • Software Systems (AREA)
  • Artificial Intelligence (AREA)
  • Evolutionary Computation (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Computational Linguistics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computational Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Mathematical Analysis (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Le procédé permet à deux entités reliées par un canal de communication non sûr, et ne partageant initialement aucune donnée secrète, de convenir d'une information secrète partagée de manière inconditionnellement sure. Chacune de ces entités a la capacité de générer une nouvelle forme d'information aléatoire, appelé Hasard Profond, telle que toute entité autre qu'elle même ne peut connaître sa distribution de probabilité, en dehors d'un ensemble de caractéristiques publiques. Le système interne de chaque entité est constitué : (1) d'un Générateur de Hasard Profond (GHP) capable de générer un signal aléatoire en Hasard Profond, et d'effectuer des traitements à partir du signal généré; et (2) d'un Module de Communication Interactive (MCI) capable de publier et de lire des informations sur le canal de communication non sûr. Ces deux entités exécutent un protocole de communication tel que : (i) elles peuvent chacune calculer leur estimation respective de l'information secrète partagée, qui soit aussi proche que souhaité de l'égalité parfaite, et (ii) toute entité passive ayant un accès complet et illimité aux informations échangées sur le canal de communication, et ayant des capacités de calcul et de stockage de données illimitées, ne peut calculer qu'une estimation de l'information secrète partagée qui peut être rendue statistiquement aussi proche que souhaité de l'incertitude absolue.

Description

PROCEDE DE COMMUNICATION CRYPTOGRAPHIQUE BASE SUR LE HASARD PROFOND
1. Domaine technique de l'invention
L'invention appartient au domaine des systèmes de communication cryptographiques.
2. Etat de la technique antérieure
La cryptographie moderne repose en majorité sur des problèmes mathématiques très difficiles à résoudre dans l'état actuel des connaissance et des moyens de calcul, tels que par exemple la factorisation de grands nombres premiers, ou le calcul de logarithmes discrets, appartenant à la théorie de la complexité. Du fait qu'aucune certitude n'existe quant à la difficulté réelle de ces problèmes, pas même la fameuse conjecture P≠NP, d'autres méthodes ont été développées depuis le début des années 90. Ces méthodes s'appuient sur des hypothèses relatives à l'adversaire (comme « l'adversaire à mémoire limitée » [6]) ou relatives au canal de communication (comme les « canaux bruités indépendants » [5]) ; malheureusement, s'il a été montré que la confidentialité parfaite pouvait être atteinte pour ces méthodes sous certaines hypothèses données, aucune de ces hypothèses n'est facile à garantir en pratique. Enfin, d'autres méthodes, basées elles sur des théories physiques, telles que l'indétermination quantique [3] ou les systèmes dynamiques chaotiques ont été décrites et expérimentées, mais elles sont complexes à mettre en œuvre et, là encore, elles reposent sur des théories non prouvées.
Considérant cette situation théorique non satisfaisante, nous proposons une nouvelle méthode, grâce à laquelle la confidentialité parfaite peut être atteinte et prouvée, sans aucune hypothèse relative à l'adversaire, qui est supposé doté de capacités de calcul et de stockage de données illimitées, ni au canal de communication, qui est supposé parfaitement public et équivalent pour tous les participants (partenaires légitimes et adversaires). L'adversaire considéré est passif, ce qui veut dire qu'il n'interfère pas dans le protocole de communication entre les partenaires légitimes en ajoutant, modifiant ou supprimant des données aux informations échangées ; il a en revanche un accès total à ces informations. Les adversaires actifs peuvent également être considérés en ajoutant au protocole un schéma d'authentification des messages entre les partenaires légitimes.
Références
[1] C E. Shannon, « Communication theory of secrecy Systems », Bell Syst. Tech. J., Vol. 28, pp. 656-715, Oct. 1949
[2] A. N. Kolmogorov, « On Tables of Random Numbers », Sankhya. Indian Journal of Statistics A, 25(4) :369-376
[3] C. H. Bennet and G. Brassard, « Quantum cryptography and its application to provable secure key expansion, public-key distribution and coin-tossing », Proc. ΓΕΕΕ International Conférence on Computers, Systems and Signal Processing, Bangalore, India, pp. 175-179, Dec. 1984
[4] C. H. Bennet, G. Brassard and J.-M. Robert, « Privacy Amplification by Public Discussion », SIAM J. COMPUT., Vol. 17, No. 2, Apr. 1988
[5] U. M. Maurer, « Secret Key Agreement by Public Discussion from Common Information », ΓΕΕΕ Transactions on Information Theory, Vol. 39, No. 3, May 1993
[6] C. Cachin and U. M. Maurer, « Unconditional Security Against Memory- Bounded Àdversaries », Proceeding of CRYPTO '97, Lecture Notes in Computer Science, Springer, 1997
3. Exposé de l'invention
Nous considérons deux Entités Autonomes (EA), appelées correspondants EA légitimes, désirant communiquer sur un canal de communication public non sûr. Comme dans toute modélisation de protocole de communication, ces EA sont des entités capables de générer des séquences de bits aléatoires, de publier des séquences de bits, de lire des séquences de bits publiées par d'autres EA, de stocker des séquences de bits, d'effectuer des calculs sur des séquences de bits. La principale différence de notre procédé est que la génération aléatoire de séquences de bits inclut la génération de Hasard Profond. Le Hasard Profond est une source d'information numérique aléatoire telle qu'un observateur extérieur ne peut pas connaître la distribution de probabilité de la variable aléatoire associée à cette source d'information, à part un ensemble de caractéristiques publiques. De ce fait, de telles variables aléatoires par Hasard Profond ne sont pas sujettes à une évaluation par inférence bayesienne.
Une EA est constituée (Fig. 1) des 2 composants suivants :
• Le Générateur de Hasard Profond (GHP). Un GHP est capable de :
o Produire de manière continue de nouvelles distributions de probabilités, appelées distributions par Hasard Profond, dont les caractéristiques sont décrites ci-après
o Générer et stocker, sur requête d'un MCI autorisé, une information numérique aléatoire en utilisant ses distributions par Hasard Profond, ces informations devant rester secrètes pour assurer la confidentialité de la communication
o Réaliser, sur requête d'un MCI autorisé, des calculs sur les dites informations numériques aléatoires
• Le Module de Communication Interactive (MCI). Un MCI est capable de :
o Publier de l'information sur le canal de communication public (à l'attention du correspondant E A légitime)
o Lire de l'information sur le canal de communication o Exécuter un type particulier de protocole de communication appelé Protocole à Confidentialité Parfaite, dont les caractéristiques sont décrites ci-après
Les deux caractéristiques principales de la présente invention sont (i) la génération de distributions par Hasard Profond, et (ii) l'exécution de Protocole à Confidentialité Parfaite. Ils sont conçus (GHP et MCI) pour fonctionner ensemble, ce qui donne l'unicité de l'invention. Ils permettent d'obtenir une confidentialité parfaite sans besoin de distribution préalable d'une clé secrète et sans condition ou limitation sur le canal de communication ou sur les capacités de l'adversaire, ce qui donne l'utilité et le caractère innovant de l'invention. Ils peuvent être réalisés sous différentes formes, sachant qu'au moins une est décrite à la section 5 de la présente description ci-après, ce qui assure que l'invention peut faire l'objet d'application industrielle. De plus, l'inventeur a obtenu une preuve mathématique de la parfaite confidentialité, ce qui n'est pas le cas de la plupart des autres procédés de communication cryptographique brevetés précédamment ; toutefois, les détails de cette preuve mathématique sont complexes et ne sont pas présentés dans la présente description par souci de concision.
(i) Caractéristiques du Générateur de Hasard Profond :
Le Hasard Profond généré par une EA appelée A est une source de hasard telle que sa distribution de probabilité est inconnaissable (ou cachée) pour un ensemble donné d'EA appelées adversaires, chacune notée ξ. En pratique, cet ensemble d'EA est généralement toute EA autre que A. Plus généralement, la distribution de probabilité peut être cachée à part un ensemble de caractéristiques publiques / (on note £ll l'ensemble des distributions de probabilité qui vérifient les caractéristiques /). De telles sources de hasard ont la propriété suivante :
Si X et Y sont deux variables aléatoires, et si X a une distribution de probabilité cachée pour ξ en dehors des caractéristiques /, alors :
Ε[φ(Χ) \Υ]ξ ne dépend pas de la distribution de probabilité de X au sein de il;
où £'[φ(.Χ,) | ν,] désigne l'espérence conditionnelle de <p(X) à partir de la connaissance réduite à Y par ξ. φ étant une fonction déterministe quelconque.
Nous pouvons donner une formulation plus faible mais plus concrète de cette propriété, avec les variables engendrées. A titre de défintion, si V est une variable aléatoire à valeurs dans un ensemble E, une variable aléatoire V à valeurs dans l'ensemble F est dite engendrée par V s'il existe une distribution d'engendrement ψ E x F κ> [0,1] telle que Vx G E ,∑y£p ip(y, x)dy— 1 et correspondant à la distribution de probabilité de V :
Figure imgf000006_0001
La formulation affaiblie de la propriété est alors : soit Y une variable aléatoire à valeurs dans un ensemble F, engendrée par n'importe quelle variable aléatoire à valeur dans E par la même distribution d'engendrement xp: E x F ^ [0,1]· Si X et X' sont deux variables aléatoires à valeurs dans E dont les distributions de probabilité sont dans Ω; chacune cachée pour ξ en dehors des caractéristiques /, alors :
Ε[φ(Χ) \Υ]ξ = Ε[φ(Χ') \Υ]ξ
m
Vu de 1ΈΑ pour qui la distribution de probabilité d'une variable aléatoire est cachée, la capacité d'estimation relative à cette variable est bien sûr plus limitée que pour une variable aléatoire traditionnelle dont la distribution est connue. Le concept de pondération des valeurs possibles est remplacé par le concept de simple existence de telles valeurs.
Il est important de comprendre que le fait d'affirmer que la distribution d'une variable aléatoire est inconnaissable pour une EA ne veut pas dire que cette distribution n'existe pas. Cela veut simplement dire qu'elle est cachée pour cette EA. Pour toute autre EA (connaissant la distribution), la variable aléatoire reste gouvernée par la théorie des probabilités traditionelle.
Il peut apparaître comme un non sens de vouloir générer du Hasard Profond à l'aide de ressources informatiques programmables. Dans le monde réel, même un ordinateur a accès à des sources de hasard dont les distributions de probabilité sont au moins partiellement inconnues, mais cela ne veut pas dire qu'il est possible d'obtenir du Hasard profond directement à partir de ces sources, utilisable pour une application de communication cryptographique.
3 méthodes existent pour générer programmatiquement du Hasard profond au sein d'une EA :
1) La programmation sécurisée : dans le cadre de cette méthode, le programme qui génère le Hasard Profond (GHP) est élaboré secrètement au sein d'un processus industriel isolé, et est gardé secret à toute EA extérieure. Pour les applications industrielles, le programme est embarqué dans un dispositif résistant à l'investigation, et ne peut être sollicité que pour fournir un signal de sortie généré de manière interne à l'aide dudit programme.
2) La génération récursive : dans le cadre de cette méthode, le programme de GHP exécute une suite récursive continue de génération, dans laquelle, à chaque étape m + 1, la distribution de probabilité est créée / sélectionnée pour mettre en échec la stratégie d'estimation optimale pour les distributions des étapes < m. Cette méthode peut être implémentée dans un programme qui s'exécute de manière continu au sein d'un environnement d'exécution, et qui puisse être sollicité à tout moment par ΕΑ pour fournir un signal aléatoire généré à l'aide d'un tirage aléatoire basé sur la valeur courante de la suite de distribution. Une telle implémentation peut être réalisée en logiciel ou en matériel pour améliorer la confidentialité de l'état courant de la suite. Pour qu'une telle méthode soit sure, l'entropie du signal aléatoire de sortie ne devrait pas être plus grande que l'entropie de la valeur de l'indice de la suite. Un exemple d'une telle méthode est donné à la section 5 de la présente description.
3) La combinaison : dans le cadre de cette méthode, différentes sources de Hasard Profond sont combinées. Ces sources peuvent provenir d'une EA externe collaborative, comme représenté en Fig. 3. Dans ce cas, un Protocole à Confidentialité Parfaite est utilisé pour échanger les paramètres de la distribution de probabilité, d'une ou plusieurs EA collaboratives de niveau 1 vers ΓΕΑ de niveau 2 considérée. Les méthodes de combinaison sont telles que si au moins une des sources est réellement du Hasard Profond, alors la résultante de la combinaison est encore du Hasard Profond, autrement dit que la distribution de probabilité obtenue reste cachée pour les adversaires.
Concernant la génération récursive, si un observateur ne connaît ni la date de démarrage ni la vitesse d'exécution d'un compteur incrémental infini, aucune distribution de probabilité ne peut estimer même approximativement la valeur courante du compteur à un instant donné, de part sa nature illimitée. De plus, s'il s'exécute dans un dispositif informatique, la vitesse réelle du compteur est impactée par des tâches et des événements externes au sein des processeurs, pour lesquels aucune distribution de probabilité fiable ne peut être utilisée ; la seule chose qu'un adversaire puisse faire est d'estimer une borne supérieure très approximative de la valeur du compteur et de sa vitesse.
(ii) Caractéristiques d'un Protocole de Confidentialité Parfaite :
Définissons d'abord notre modèle général de protocoles de communication.
Un protocole de communication est une procédure impliquant 2 correspondants EA légitimes 04 et β) ; qui peut être décomposée en un nombre fini d'étapes t1( ... , tR telles que, à chaque étape r < R :
a) : A et B génèrent respectivement une nouvelle information xr et yr (en utilisant potentiellement du hasard classique ou du Hasard Profond grâce à leur GHP comme représenté en Fig. 1 - interaction 100 & 101), impliquant potentiellement la connaissance respectivement de {Xm}i≤m<r> {im m}i≤m<r, et {ym}1≤m<r, {tm,jm)i<m<r. Pour cela, le GHP peut être sollicité par le MCI comme représenté en Fig. 1 - interaction 101, et le MCI lit Tinformation publiée par l'autre partie lors de l'étape précédante comme représenté en Fig. 1 - interaction 103.
b) A et B publient respectivement une information tr et jr qui peut dépendre resptivement de {½)i<m≤r, {'mJm}l≤7n<r> et { m}l≤? ≤ > {½Jm}l≤?n<r-
Pour cela, le MCI écrit l'information sur le canal public comme représenté en Fig. 1 - interaction 102.
A la dernière étape R, A et B réalisent uniquement des calculs basés sur la connaissance respective de {Xm)i≤m<K> {im>jm i≤m<R > et {ym}i {im, Tn}i<m< - L'un des résultats de ces calculs (comme représenté en Fig. 1 - interaction 104) est une estimation de l'information secrète partagée. Ces estimations sont respectivement notées VA et VB.
{ v]v est appelé un protocole configurable, avec v un vecteur de paramètres numériques fixé avant l'exécution du protocole, si la description de l'implémentation du protocole (incluant la capacité de générer du Hasard Profond) a une taille majorée par H (y) + K, où H représente la fonction d'entropie et K est une constante indépendante de v.
Les Protocoles à Confiddentialité Parfaite sont un type spécial de protocoles appartenant au modèle général décrit ci-dessus, pour lesquels, en supposant les hypothèses (H) et (//') présentées ci-avant vraies pour des signaux générés par des GHP, la stratégie de l'adversaire la plus efficace (espérence conditionnelle) pour estimer par exemple VA est strictement moins performante que VB (Distillation d'Avantage [4]). De tels protocoles incluent également des méthodes, déjà connues et largement étudiées dans la littérature publique, de Réconciliation et d'Amplification de Confidentialité [4] pour transformer ledit Avantage en une information secrète et partagée exclusivement entre les correspondants légitimes. Cette information secrète partagée, qui peut être d'une taille aussi longue que souhaité (par exemple par répétition du protocole), peut être utilisée pour échanger entre les correspondants légitimes de manière parfaitement sécurisée un message signifiant, soit directement (utilisation d'un masque jetable XOR) ou en échangeant une clé cryptographique symétrique, utilisable ensuite avec un système de chiffrement par bloc ou un système de chiffrement en continu.
De manière plus formelle, si l'on considère un protocole T, l 'ensemble total des informations aléatoires générées respectivement par A et B obéit à des distributions de probablité appartenant respectivement à des ensembles que l'on note ¾CP) et ΆΒ( ). L 'usage du Hasard Profond permet de considérer, dépendant de T, plusieurs sous-ensembles de QA P) X &B(P)■' (Ηι · H ), ... tels qu 'ils contiennent seulement des distributions qui sont non distinguables les unes des autres pour l'adversaire. Ces sous-ensembles sont supposés être maximaux (parceque sinon on peut les compléter). On peut considérer le groupe des transformations réversibles {/im(s)}m (supposé être dénombrable) de &A P) x ΆΒ (Τ) >→ QA P) X QB(P). qui laisse (β^, Ηξ) stable. Chacune de ces transformations induit également une transformation réversible mm(s dans l'ensemble des stratégies possibles de l 'adversaire
Figure imgf000008_0001
= Ωρ. On note alors Ωφ(β) le sous-ensemble de Ωγ qui contient les stratégies invariantes par l 'action du groupe induit vsm{s) }m. Les hypothèses du Hasard Profond (H) et (Η') permet alors de restreindre le choix de la stratégie de l 'adversaire à un élément quelconque du sous-ensemble i¾>(s).
On note ΗΡ ε, ε') la quantité minimale d'information (nombre de bits) devant être échangée à travers T pour obtenir :
(i) dh(VA, VB)≤ EH(VB)
(ii) infs (suPcùesl s) E'H(VB)
Figure imgf000009_0001
où dh désigne la distance de Hamming, et H(-) désigne l'entropie de Shannon [1]. Si les 2 conditions ci-dessus ne peuvent pas être satisfaites, alors ΗΡ(ε, ε') =∞. Un protocole configurable {Ρυ}υ est appelé un Protocole à Confidentialité Parfaite si, νε, ε' > 0, il existe ν(ε, ε') sous les hypothèses du Hasard Profond (H) et (W), tel que :
ΗΡν ε, ε') <∞
Les trois caractéristiques minimales d'un Protocole à Confidentialité Parfaite :
1) Le Hasard Profond (HP) : Les 2 correspondants légitimes impliqués dans le protocole font usage du Hasard Profond
2) La Dégradation : Pour chacun des 2 correspondants légitimes impliqués dans le protocole, l'information qu'il publie est au moins partiellement dégradée à partir du signal de sortie généré par son GHP. Cela signifie que l'information publiée est le résultat d'une variable aléatoire engendrée à partir dudit signal de sortie généré par le GHP, telle que la précision du signal de sortie de ladite variable engendrée est rendue strictement plus faible (à travers ce processus de Dégradation) que la précision du signal de sortie généré par le
GHP.
3) La Distillation d'Avantage sous les hypothèses du Hasard Profond ((H) et (H')) : Sous les hypothèses (H) et (Η'), aucune stratégie de l'adversaire ne peut être considérée plus efficace qu'au moins une autre stratégie appartenant à un ensemble donné Ω, appelé sous-ensemble de restriction pour le protocole ; et pour toute stratégie de Ω adoptée par l'adversaire, l'estimation de l'information secrète partagée donnée par ladite stratégie est strictement moins précise que les estimations des correspondants légitimes.
Pour illustrer le phénomène de Dégradation, donnons un exemple simple : considérons une EA observant une épreuve d'une variable aléatoire binaire V de paramètre Θ 6 [0,1]· Si l 'EA veut générer une nouvelle variable aléatoire binaire basée sur le résultat de l'épreuve, elle peut uniquement affecter des paramètres [θ0, dépendant du résultat binaire {0,1} de l'épreuve de V. Le paramètre de cette nouvelle variable aléatoire binaire V est alors :
0„ + («, - θ0
Si maintenant on remplace Θ par θ/k où k est un nombre > 1 ; est alors impossible d'engendrer à partir de V une nouvelle variable aléatoire binaire de paramètre Θ (parce que \θ-ι— θ0 \ < 1). L 'EA qui observe peut bien sûr multiplier le résultat par k (engendrant ainsi une variable à valeur cette fois dans {0, k] au lieu de {0,1},), pour obtenir une variable engendrée avec la même moyenne (moment d'ordre 1) que V, mais alors la variance (moment d'ordre 2, représentant la précision) de cette variable engendrée est strictement plus élevée que celle de V, autrement dit sa précision est strictement plus faible. L ΈΑ doit donc «faire un choix » entre moment d'ordre 1 et moment d'o dre 2, mais ne peut pas égaler les deux moments dans une même variable engendrée.
Un exemple de Protocole à Confidentialité Parfaire est donné dans la section 5 de la présente description, comme mode de réalisation spécifique pour cette invention.
4. Brève présentation des dessins
La Fig. 1 montre le modèle général d'un Protocole à Confidentialité Parfaite basé sur le Hasard Profond, dans lequel chaque EA impliquée dans le protocole (désignées par A et β), dispose d'un GHP fonctionnant en continu, et d'un MCI. Les MCI de A et de B sont connectés par un canal de communication public, sans erreur, sur lequel une EA (dite « adversaire ») est supposée avoir un accès total en lecture.
La Fig. 2 montre le mode de réalisation spécifique d'un Protocole à Confidentialité Parfaire basé sur le Hasard Profond (correspondant à la section 5) avec les interactions successives exécutées entre les EA impliquées dans le protocole (désignées par A et B). Chacune de ces interactions est décrite dans la section 5.
La Fig. 3 montre un modèle de collaboration entre 2 Générateurs de Hasard Profond, dans lequel une ou plusieurs EA de niveau 1 (désignées par A. x, A. y) peuvent transmettre de manière sécurisée les paramètres de leur distribution de probablité à Hasard Profond à une EA de niveau 2 (désignée par B). B peut alors combiner ces sources potentiellement ensemble et / ou avec les siennes propres, pour générer de nouvelles sources de Hasard Profond.
La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs. Le GHP est implémenté dans un environnement physique résistant aux intrusions informatiques ou électromagnétiques et est logiquement constitué de 4 sous- modules : le Générateur Récursif Interne de Hasard Profond (GRIHP), le Générateur Interne de Hasard Standard, la Mémoire Interne, et l'Interface de Communication, qui est le seul des 4 sous-modules à pouvoir communiquer avec l'environnement extérieur.
5. Description d'un mode de réalisation spécifique i) Description d'un mode de réalisation spécifique d'un Générateur de Hasard Profond
Le mode de réalisation spécifique présenté dans cette section correspond à avec la méthode de génération continue récursive, comme décrit dans la section 3. (i) 2), associée à une méthode par combinaison, comme décrit dans la section 3. (i) 3). Il peut être implémenté sous forme logicielle ou dans un dispositif matériel résistant aux intrusions informatiques ou électromagnétiques.
La Fig 4. montre un Générateur de Hasard Profond fonctionant avec la méthode de génération continue récursive, schématisé sous la forme d'un diagramme de blocs. Le GHP est logiquement constitué de 4 sous-modules :
• le Générateur Récursif Interne de Hasard Profond (GRIHP), qui produit [Fig4-400] une suite continue et récursive de distributions de probabilité et est capable de mettre à disposition, sur sollicitation de l'Interface de Communication [Fig4-420] une épreuve obtenue à partir de la valeur courante de la suite de distributions de probabilité
• le Générateur Interne de Hasard Standard, qui produit et met à disposition sur sollicitation de l'Interface de Communication [Fig4-430] une épreuve à partir d'une distribution de probabilité connue ; cette distribution de probablité peut nécessiter un paramètre d'entrée tel que par exemple le signal de sortie du GRIHP (auquel cas il génère une variable aléatoire engendrée par la distribution de probablité à Hasard Profond)
• l'Interface de Communication, qui permet de recevoir un ordre d'un MCI associé au GHP, et de donner un signal de sortie en retour [Fig4-410, 411, 412]
· la Mémoire Interne, qui permet à l'Interface de Communication de stocker, retrouver ou effacer [Fig4-440, 441, 442] un signal de sortie du GRIHP.
Dans la suite de cette section 5.i), on présente plus particulièrement un exemple de GRIHP.
On définit les notations suivantes; considérant x— (xlt ... , xn) et y = (y1( ... , yn) des vecteurs de paramètres de [0,l]n et i— ... , in) et = (Ji, - ,jn) des vecteurs d'épreuve de {0,l}n, l,r £ deux entiers, et Θ G [0,1], on définit :
x. y (resp. i.j) le produit scalaire de x et y (resp. i et j)
Figure imgf000011_0001
On manipulera également des opérateurs de permutation sur les vecteurs. Pour σ G Sn, on écrit supp(a) = ker(cr— idSn) = {i, σ(ί)≠ i] et |σ| = card(supp(a)). La permutation de vecteur correspond à l'application linéaire suivante :
\ σ G Qn, σ(χ) = (*σ ΐ), ... , χσ(η)) où Qn représente le groupe symétrique
Φ, Φτη désignent des distributions de probabilité à valeurs dans [0,1]η· Pour une telle distribution Φ, Φ ° σ désigne une autre distribution à valeurs dans [0,l]n telle que :
Probtp aCx = Prob<t>(a 1( )) La matrice quadratique d'une telle distribution Φ est :
ΜΛ χ η χ νΦ(χ)άχ
Sn désigne l'ensemble des sous-ensembles / de {1, ...,n] de taille n/2 ; on définit Il Il c, appelée la norme-c, par :
V/ G 5η,ί;(Μφ) = Τ M<t>(u>v ; ||Μφ||ε = max|C/(M )|
ηΔ L-i _ i€Sn
u.v&lxl
A chaque distribution de matrice quadratique Μφ est associée la matrice φ définie par : Φ Η→¾ =™Φ|: joùmφ =~—^∑u≠vM(u,v) On notera dans la suite :
<ω,Φ,Φ')^[(ωυ2]φφ, <ω,Φ> ê, (ω,Φ,Φ)
Figure imgf000012_0001
où ω désigne toute stratégie de l'adversaire, dépendant des informations publiques i,j (cet ensemble de stratégies possibles est noté Ω), pour estimer le plus précisément possible la quantité i,j sont des vecteurs d'épreuves de {0,l}n générés par une distribution de Bernoulli à x y
partir respectivément des vecteurs de paramètres La transformation (x, y) ·→ (-,-) est la Dégradation (comme introduite au 3.(ii)) utilisée pour le présent mode de réalisation, à la fois pour le GHP et le Protocole à Confidentialité Parfaite décrit ci- après en section 5.ii).
Enfin, on note :
Figure imgf000012_0002
Protocole à Confidentialité Parfaire présenté ci-après, ((a) correspond à l'ensemble des distributions qui sont « loin » d'être symétriques. Seules de telles distributions peuvent être considérées dans le Protocole à Confidentialité Parfaite présenté ci- après pour être capable d'assurer l'efficacité de l'étape de Synchronisation (Etape 4).
Ayant défini ces notations, il est maintenant possible de décrire précisément le processus de construction de la suite récursive de distributions {Φ[ρ]τη}ρε¾,ηιεΝ exécuté par le GRIHP du GHP objet du présent mode de réalisation de GHP, appelé dans la suite GHP(iV, n, k) :
Processus de Génération Récursive Unitaire :
L'ensemble des matrices quadratiques de distributions possibles (en supposant Φ restreinte à l'ensemble des distributions à valeurs dans {0,l}n) est l'enveloppe convexe de toutes les matrices de l'ensemble :
{a(Sr) \a e en) r e Mn}
{1 si 1 * 7" 6t V < T
„ . qui correspond à la matrice quadratique de la
0 sinon
distribution de Dirac pour le vecteur {1, lr, 0, ... ,0}.
Il est facile de calculer que, pour tout r pas trop proche de 0 ou 1 :
Figure imgf000013_0001
et donc de déterminer si une distribution de Dirac δχ e ζ(α).
L'amorce initiale Φ0 du processus est choisie parmi tout sous-ensemble prédéfini de ζ(α) qui puisse être parcouru algorithmiquement. Dans le présent mode de réalisation, on considère par exemple le sous-ensemble des combinaisons linéaires convexes des distributions qui restent dans ζ μ). σ. = IdSn Φι = Φο ° σι
tom réalise le minium :
Figure imgf000013_0002
où { m<s} ^ est appelée fonction caractéristique du GHP, qui vérifie Àm s > 0, et
∑m T _ Λ .
s=l Λπι,ε ~ ± ' Ψ est choisie au hasard dans le sous-ensemble initial, et il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'il est possible de choisir m+1 telle que :
ιη, ψ ο στιι+1> >
n
On détermine alors m+1 par :
Figure imgf000014_0001
m et om+1 peuvent être ainsi déterminés (en utilisant également du hasard classique pour Ψ et om+1) à chaque étape par le GRIHP.
On peut également utiliser une méthode pour combiner les distributions dans ζ(α) : Processus de Combinaison Interne :
On commence par sélectionner Ψ dans ζ( ), et un ensemble {Ψ5}ΪΕ{Ι,...,Ν} de distributions « à combiner », toutes également dans ζ(α). Soit as une permutation telle que Δ0(Ψ, Ψ5 o as)≥ (^— < (^j , il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'une telle permutation existe toujours. De ce fait,
Figure imgf000014_0002
et la distribution combinée est alors : Φ— ∑^=1 Ψ5 ° rs. L'association du Processus de Génération Récursive Unitaire et du Processus de Combinaison Interne présentés plus haut donne la description suivante du GRIHP de GHP(N, n, k) (comme représenté en [Fig4-400]) :
L'EA exécute un processus de génération continu et récursif dans lequel N suites continues {Φ[ρ]τη}ρερ¾,77ΐεΝ progressent en parallèle en suivant chacune un Processus de Génération Récursive Unitaire tel que présenté ci-dessus. Il peut également être décidé (sur décision aléatoire) de mettre à jour la valeur courante d'une suite donnée par une combinaison des valeurs courantes des suites en utilisant le Processus de Combinaison Interne tel que présenté ci-dessus. La qualité du Hasard Profond dépend de la- variété du sous-ensemble initial ainsi que du nombre grandissant d'itérations exécutés sur chaque suite. Le GRIHP devrait exécuter au moins n x N itérations avant de commencer à recevoir des requêtes d'un MCI. N devrait être approximativement de l'ordre de ln(n!)~nln(n), qui représente l'entropie nécessaire pour encoder un élément de l'ensemble des permutations Sn. Au moment où un MCI sollicite la sélection d'une distribution auprès du GHP (comme représenté en [Fig4-410]), un traitement supplémentaire est réalisé pour la sélection de la distribution par l'Interface de Communication (comme représenté en [Fig4-420]) : l'Interface de Communication choisit aléatoirement ([Fig4-430]) un entier c parmi {1, ... , N] ; la probabilité de choisir c est de N /c(c + l)(iV + 1) ; de telle manière qu'ainsi la distribution de probabilité de 1/c est équirépartie sur [0,1]. L'EA sélectionne ensuite aléatoirement c suites parmi N ([Fig4-430]) et établit sa distribution
Φ comme la combinaison linéaire ~∑r=i Φ[ τ·]ηιΓ(£) ; ou t désigne l'instant d'exécution du processus, [p1, ... , pr] désignent les indices des c suites sélectionnées, mr(t) désigne la valeur courante du compteur de la suite Φ [ρΓ] à l'instant de l'exécution. La justification de ce traitement supplémentaire est que la distribution finalement choisie doit appartenir à un ensemble quasi convexe, et donc doit aussi avoir son paramètre-a dans un segment convexe. En effet, l'étape de Dispersion (Etape 2) du Protocole à
Confidentialité Parfaite présenté ci-après utilise la transformation convexe Φ >→ i
- (Φ + Ψ), et cette transformation diminue la valeur du paramètre-a ; de manière générale une transformation linéaire convexe avec c distributions sommées diminue la valeur du paramètre-α d'une constante multiplicative de l'ordre de 1/c. Bien sûr, même si ce processus permet alors de pouvoir appliquer de manière effective les hypothèses (H) et ( /') présentée dans l'exposé de l'invention, le prix à payer est qu'il introduit l'apparition d'occurrences à faible probablité pour lesquelles l'adversaire peut estimer efficacement l'information secrète partagée avec la stratégie séparable ω = -^j^ car, en diminuant la valeur du paramètre-a, on obtient une distribution qui se rapproche d'une distribution symétrique. Ces occurrences à faible probabilité correspondent donc aux cas de plus grandes valeurs de c, ce qui correspond également aux plus faibles valeurs du paramètre-a.
Enfin, la distribution choisie Φ est également transformée (toujours dans le cadre de l'interaction [Fig4-420]) par une transformation dite de « lissage permutatif » :
Figure imgf000015_0001
où y, appelé noyau de lissage permutatif, est une fonction de → [0,1] (remarquez qu'il est impossible que \σ\ = 1 et donc la composante d'indice 1 peut être ignorée) qui vérifie :
Figure imgf000015_0002
Cette transformation finale est nécessaire pour « adoucir » les distributions de Dirac, et éviter des biais spécifiques à certaines distributions à variation trop rapide (les détails techniques sont trop complexes pour être présentés dans cette description). Le noyau de lissage permutatif y est choisi comme un paramètre fixe du GHP. Sans rentrer dans la justification théorique complète qui dépasse le cadre de cette description, l'explication du choix de conception du Processus de Génération Récursive Unitaire dans le cadre du mode de réalisation spécifique GHP(N, n, k) est la suivante :
Avec un compteur inifïni s'incrémentant de manière isolée et sécurisée au sein du GRIHP, les instants m et m + 1 sont non distinguables pour l'adversaire ξ. Si un ensemble Hm de stratégies permettant une estimation précise de l'information secrète partagée existait à l'instant m our ξ , alors pour toute distribution Φ :
Figure imgf000016_0001
et donc, en choisissant à l'instant m + 1 la distribution ,η+ι telle que :
Figure imgf000016_0002
(ce qui est toujours possible comme expliqué ci-avant) ΓΕΑ guarantit que, pourvu que ^ « C, aucune stratégie absolue n'existe pour estimer de manière précise à tout x y .
instant l'information secrète partagée -^, car les instants d'observation ne peuvent être distingués par l'adversaire comme étant plutôt m ou m + 1.
x j i y
Et d'autre part, en notant VA— VB— où x, y correspondraient à des épreuves indépendantes suivant la même distribution peut calculer que :
Figure imgf000016_0003
Ce processus génère donc en effet du Hasard Profond car, sinon, l'adversaire serait
. x y capable par inférence bayesienne d'estimer l'information secrète partagée -j— à partir des informations publiques i,j avec une précision égale ou supérieure à celle de VA ou de VB.
ii) Description d'un mode de réalisation spécifique de Protocole à Confidentialité Parfaite
La Fig 2. montre un mode de réalisation spécifique d'un Protocole à Confidentialité Parfaite noté Ρ(λ, Θ, Ν, n, k) à l'aide d'un diagramme de blocs, où (A, θ, N, n, k) sont des paramètres publics du protocole, dont les correspondants légitimes sont notés A et fi. A et B sont deux EA équipées chacune d'un GHP et d'un MCI. Les 2 MCI sont connectés par un canal de communication public et sans erreur, de telle manière que A et B peuvent publier de l'information sur le canal et y lire de l'information publiée par l'autre partie.
5 Les étapes du protocole Τ(λ, θ, N, n, k) sont les suivantes :
Etape 1 - Génération de Hasard Profond :
A et B exécutent chacun de manière indépendante un processus de génération continue et récursive de distributions de probabilité à Hasard Profond [Fig2-200] en utilisant typiquement un générateur GHP(N, n, k) tel que décrit ci-avant dans la
10 sous-section 5.i). A et B désirent entrer en communication sécurisée et démarrent le protocole en choisissant chacun de manière indépendante une distribution de probabilité, respectivement Φ et Φ' en sollicitant leur GHP( , n, /c) comme représenté en [Fig2-210&211&213&214, Fig4-410&420]. Le résultat de cette étape est que A (resp. B) génère aléatoirement le vecteur de paramètre x0 G [0,1]" à partir
15 de Φ (resp. y0 £ [0,1]" à partir de Φ'), et stocke x0 (resp. y0) dans la mémoire interne de son GHP comme représenté en [Fig4-440].
Etape 2 - Dispersion :
A choisit également une seconde distribution Ψ toujours en solliciatnt son GHP(N, n, k) comme représenté en [Fig2-210&211&213&214]. Ψ est utilisée pour
20 « brouiller » les épreuves répétées à partir de Φ. A sollicite encore son GHP(N, n, k) pour générer aléatoirement N vecteurs de paramètres {xlr ... , xN} G {[0,l]n}w à partir de la distribution combinée ^ (Φ + Ψ). B génère aléatoirement N vecteurs de paramètres {yll ... , yN) G {[0,1]"}^ à partir de Φ'. A (resp. B) stocke {χΐΊ ...; ΧΝ} (resp. {y1, ... , yw}) dans la mémoire interne de son GHP comme représenté en [Fig4-
25 440].
Etape 3 - Dégradation :
A génère N + 1 vecteurs d'épreuves de Bernoulli {i0, ... , iN]€ {{0,l}n}N+1 respectivement à partir des vecteurs de paramètres —z ~j~j comme représenté en
[Fig2-210&211, Fig4-430&441]. A publie {i0l ... , iN} comme représenté en [Fig2- 30 220].
Etape 4 - Synchronisation :
B lit {i0, ... , iN} sur le canal public comme représenté en [Fig2-221] et calcule une permutation de synchronisation σβ = σβ [{ί5}*, { s}*]s6M^ G Sn qui satisfasse la condition :
Figure imgf000017_0001
puis génère un vecteur d'épreuves de Bernoulli j0 G {0,l}n à partir de— ^2-. B publie y' 0 comme représenté en [Fig2-230&231&232&240].
Etape 5 - Distillation d'Avantage :
A lit o sur la canal public comme représenté en [Fig2-241] et calcule VA = comme représenté en [Fig2-253&254&255, Fig4-412&441&442], B calcule VB = ^ comme représenté en [Fig2-250&251&252, Fig4-412&441&442]
Etape 6 - Réconciliation et Amplification de Confidentialité :
Enfin, un processus classique de Réconciliation et d'Amplification de Confidentialité [4] permet d'obtenir à la fois une précision aussi proche que souhaité de la perfection pour les correspondants légitimes, et une connaissance de l'information secrète aussi proche que souhaité du néant pour tout adversaire doté de puissances de calcul et de stockage illimitées.
Il peut être prouvé (les détails sont complexes et ne sont pas présentés dans cette description) qu'un choix approprié des paramètres (λ, θ, N, n, k) permet de rendre possible les étapes 4 et 6 sous les hyporthèses du Hasard Profond (H) et (//'), ce qui constitue le cœur de la présente invention. Nous donnons toutefois maintenant quelques explications. L'utilisation du Hasard Profond telle que décrite aux étapes 1 et 2 permet de restreindre l'ensemble des stratégies de l'adversaire comme suit : · L'étape de Dispersion du protocole permet de restreindre une première fois l'ensemble des stratégies de l'adversaire aux stratégies ( j0ii0 ne dépendant que des informations publiques j0, iQ
• L'étape de Synchronisation conduit à restreindre une seconde fois l'ensemble des stratégies de l'adversaire à l'ensemble des stratégies telles que ωέ = ωσ(; σ(; , Va G Qn, autrement dit l'ensemble des stratégies invariantes par permutation commune sur i0,;0.
Ces deux restrictions conduisant finalement à l'ensemble des stratégies restreint Ω# : Ω# = [ω G [0,1]22η ; = Vf Nn 3 [0,1]}
L'étape 4 est nécessaire pour garantir que l'adversaire ne peut pas tirer avantage de l'indépendance entre les processus de sélection de Φ et Φ' par A et B, ce qui pourrait lui permettre d'estimer efficacement ^ en utilisant la stratégie séparable fc^°^Jo^.
Grâce à l'étape de synchronisation, une telle stratégie devient inefficace, du fait de la nature de l'amorce initiale Φ0 utilisée dans le GHP(iV, n, k). Les tirages aléatoires répétés à partir de Φ sont utilisés pour « synchroniser » Φ et Φ', mais ne peuvent pas être utilisés par l'adversaire ξ pour obtenir une connaissance accrue de la distribution Φ. C'est le rôle de l'étape de Dispersion 3.
Il est important de remarquer que le calcul de la permutation de synchronisation σΒ — <¾[0s}*> {)¾}*] à l'étape 4 ne dépend que des indices s £ NN * , donc excluant 0. En effet, le choix de σΒ doit demeurer indépendant de i0, de telle sorte que i0 et j0 demeurent des épreuves indépendantes de variables de Bernoulli, permettant ainsi d'appliquer la majoration (E) pour les correspondants légitimes.
L'explication pour ce mode de réalisation spécifique est la suivante : il peut être prouvé que (les détails sont complexes et ne sont pas présentés dans cette description), quelle que soit la stratégie de l'adversaire ω dans l'ensemble restreint Ω(( :
Figure imgf000019_0001
où C' est une constante. Et d'autre part, on a toujours :
Figure imgf000019_0002
et donc, pourvu que - « C', une Distillation d'Avantage est obtenue à l'étape 5.
Il est également obtenu par l'analyse théorique du protocole que N doit encore être de l'ordre de ln(n!)~nln(n), pour avoir une probabilité satisfaisante de satisfaire à la consdition de synchronisation de l'étape 4 avec le choix σΒ.
6. Applications industrielles
Une réalisation industrielle d'un Protocole à Confidentialité Parfaite permet à deux entités communiquant au travers d'un canal de communication non sûr, de générer une information secrète partagée. Cette information, qui peut être d'une longueur en bits aussi grande que souhaité (en répétant par exemple le protocole de manière séquentielle) peut être utilisée soit pour échanger directement de manière parfaitement sure un message signifiant entre les correspondants légitimes, (en utilisant l'information secrète comme masque jetable combinée par XOR au message signifiant), soit pour échanger une clé de chiffrement partagée utilisable avec un algorithme de chiffrement par blocs ou un algorithme de chiffrement en continu.
Elle peut donc être utilisée pour sécuriser des communications très sensibles, pour lesquelles des méthodes cryptographiques dont la sécurité n'est pas prouvée, ou n'est pas résistante à un adversaire doté d'une puissance de calcul importante, peuvent apparaître comme insuffisantes. Elle permet également de s'affranchir des processus non automatisés de distribution de clés partagées dans les équipements de communication sécurisée ; ces processus étant difficiles à mettre en œuvre, coûteux et susceptibles de failles de sécurité.
Une telle réalisation peut être faite sous forme de programme ou de librairie logiciels, pouvant être embarqués dans des équipement de communication ou intégrés dans des applications Γ. Elle peut également être faite sous forme d'un équipement de communication spécialement protégé, conçu pour être déployé en coupure, résistant aux intrusions informatiques et électromagnétiques.

Claims

Revendications
1) Procédé de communication numérique permettant d'échanger des données de manière confidentielle entre deux entités correspondantes, appelées A et B ou ensemble les correspondants légitimes, ne partageant initialement aucune information secrète, basé sur un protocole de communication au travers d'un canal de communication numérique public non sûr, caractérisé par le fait que : (i) les deux entités disposent d'une source de hasard, appelée Générateur de Hasard Profond (GHP) et adapté pour un protocole de communication donné, telle que la distribution de probabilité utilisée par cette source à tout instant est inconnue et non distinguable de toute autre distribution de probabilité au sein d'un ensemble de distributions de probabilité 2A pour A (resp. QB pour B) pour toute entité autre que celle qui dispose de ladite source, empêchant: ainsi toute estimation fiable basée sur l'inférence bayesienne, le dit générateur pouvant être réalisé (a) en générant de manière continue et récursive des distributions de probabilité mettant en défaut à chaque étape la stratégie d'inférence optimale correspondant aux distributions des étapes précédantes dans le cadre d'une émulation locale dudit protocole, ou (b) en utilisant des distributions de probabilité exécutées au sein de programmes résistant à l'investigation, ou (c) par une combinaison de plusieurs soucres de source de hasard profond de type (a) ou (b) ; (ii) les deux entités exécutent un protocole de communication associé audit GHP, incluant une dégradation de l'information secrète générée par leur GHP, aussi appelée signal de sortie du GHP, avant que ledit signal de sortie ainsi dégradé soit utilisé pour générer un signal pouvant être publié par le partenaire, et ceci afin de rendre nécessaire un processus d'inférence bayesienne pour retrouver le signal issu du GHP à partir du signal dégradé publié, ledit protocole permettant ensuite à chacune des entités de calculer, à partir de leur information secrète et des signaux publiés sur le canal non sûr, leur estimation, appelée respectivement, VA et VB, de l'information secrète partagée ; ledit protocole étant conçu de telle manière qu'un adversaire ayant un accès total à toute l'information échangée sur le canal de communication non sûr, puisse au mieux générer une estimation de l'informtion secrète partagée qui soit strictement moins précise que VA et soit strictement moins précise que VB grâce à (a) ladite dégradation et (b) sous l'hypothèse que les distributions de probabilités utilisées respectivement par A et B sont non distinguables respectivement au sein de QA et QB ; (iii) une fois qu'un avantage entre les correspondants légitimes a été obtenu comme décrit plus haut, ledit protocole est complété par un procédé classique de Récononciliation puis d'Amplifiation de Confidentialité pour garantir que les estimations des correspondants légitimes peuvent être renudues aussi proches que souhaité de l'égalité, et que l'estimation de l'adversaire peut être rendu aussi proche que souhaité de l'incertitude totale. 2) Procédé selon la revendication 1 , caractérisé par le fait que l'information secrète partagée estimée par chaque correspondant est ensuite utilisée par lui comme clé secrète pour l'exécution d'un procédé classique de chiffrement à clé secrète, en vue d'échanger ensuite un flux ou un bloc d'information numérique de manière confidentielle.
3) Procédé selon la revendication 1, caractérisé par le fait que le protocole d'échange confidentiel de données est répété plusieurs fois pour générer une chaîne de bits S dite « masque jetable » partagée entre A et B et telle que, (i) A puisse combiner S par une opération XOR, ou par tout autre combinaison bijective, avec un message en clair M, (ii) A puisse envoyer à B le résultat de cette combinaison entre S et M, (iii) B puisse obtenir le message M en exécutant l'opération de combinaison inverse en utilisant S. 4) Procédé selon l'une quelconque des revendications précédantes, caractérisé par le fait qu'il comprend de plus un procédé d'authentification entre A et B pour authentifier l'expéditeur de chaque message au cours de l'exécution du protocole, et permettant ainsi audit protocole d'être également résistant aux adversaires actifs, qui seraient capables d'introduire des messages sur le canal de communication non sûr.
5) Procédé selon l'une quelconque des revendications 1 à 4, caractérisé par le fait qu'il est utilisé pour échanger de manière sécurisée les paramètres d'une distribution de probabilité produite par un GHP, d'une entité exécutant un GHP dit de niveau 1 vers une entité exécutant un GHP dit de niveau 2, ladite distribution pouvant alors être combinée avec d'autres par le GHP de niveau 2.
6) Procédé selon la revendication 1, caractérisé par le fait que le protocole se compose plus spécifiquement de 6 étapes : dans une première étape - dite de génération de hasard profond - , A et B choisissent chacun à l'aide de leur Générateur de Hasard Profond (GHP) une distribution de probabilité à valeur dans [0,l]n, Φ pour A et Φ' pour B, les GHP étant réalisés de telle manière qu'ils ne permettent de choisir que des distributions éloignées de leur projection symétrique, c'est-à-dire éloignée pour Φ de—∑σε ° σ, A et B génèrent ensuite chacun respectivement les vecteurs x0 et y0 G [0,l]n à partir de leurs distributions respectives et gardent chacun secrète cette donnée ; dans une deuxième étape - dite de Dispersion - , A choisit une seconde distribution Ψ à l'aide de son GHP et génère
N vecteurs {xlt ... , xN] à partir de tirages répétés selon la distribution (Φ + Ψ), B génère quant à lui N vecteurs {ylt ... , yN} à partir de tirages répétés selon la distribution Φ', ils gardent chacun secrète leur série de vecteurs ; dans une troisième étape - dite de Dégradation - , A génère N + 1 vecteurs d'épreuves de Bernoulli [i0, ... , iN} £ {{0,ï}n}N+1 respectivement à partir des vecteurs de paramètres où k est un paramètre de Dégradation strictement supérieur à 1, A publie {t0, ... , iN} à destination de B sur le canal public non sûr ; dans une quatrième étape - dite de Synchronisation - , B lit les vecteurs d'épreuves {i0, ... , tw} depuis le canal non sûr et calcule la permutation de synchronisation σΒ— GB [{is}*, {ys}*]senN* e ®n qui satisfasse la condition Card js G NN * - £ l^∑ > ^N, où Θ et λ sont des paramètres numériques positifs, puis B génère le vecteur d'épreuve de Bernoulli j0 à partir du vecteur de paramètre ffB^ et publie j0 à destination de A sur le canal non sûr ; dans une cinquième étape - dite de Distillation d'Avantage - , A lit j0 depuis le canal non sûr, et calcule VA = son estimation de l'information secrète partagée, B quant à lui calcule VB = son estimation de l'information secrète partagée ; dans une sixième étape - dite de Réconciliation et d'Amplification de Confidentialité - , A et B utilisent des techniques classiques de Réconciliation et d'Amplification de Confidentialité afin d'obtenir à la fois une précision aussi proche que souhaité de la perfection pour leurs estimations de l'information secrète partagée, tout en rendant l'estimation de l'adversaire aussi proche que souhaité de l'incertitude totale.
7) Procédé de génération de hasard profond ayant vocation à être utilisé pour mettre en œuvre un procédé selon la revendication 6, caractérisé par le fait qu'il s'appuie plus spécifiquement sur 4 sous -procès sus : (i) un processus de Génération Récursive Interne de Hasard Profond (GRIHP) s 'exécutant de manière continue et récursive, de telle manière qu'à chaque étape m + 1, ledit processus génère une distribution de probabilité Om+i à valeur dans [0,l]n éloignée de sa projection symétrique, c'est-à- dire de ^∑σ££η τη+ι ° σ·> et une permutation am+1, telles que
Figure imgf000023_0001
(à½, Φ o am+1) A E - ¾ 1 ≥ où C est un paramètre du GRIHP, et 6½ désignant la stratégie optimale de l'adversaire à l'étape m, définie comme vérifiant minil)(w,∑^=1 lni)SOs), où {Am>s} ' est un paramètre du générateur appelée fonction caractéristique vérifiant Àm s > 0 et∑™ ! Am s = 1 ; (ii) un processus de mémorisation interne ; (iii) un processus de génération de signal aléatoire classique ; (iv) un processus de communication pouvant être sollicité à tout moment par un Module de Communication Interactive externe pour effectuer un calcul sur un signal issu du GRIHP et mémorisé par le processus de mémorisation interne (ii), ou pour supprimer un signal mémorisé, ou pour faire générer un signal issu du GRIHP, dans ce dernier cas ledit processus de communication (iv) obtient auprès du GRIHP l'état courant de sa suite récurive de distributions de probabilité et mémorise à l'aide du processus de mémorisation interne (ii) : ou bien les paramètres de la distribution correspondant à cet état courant, ou bien un signal généré aléatoirement à partir de la distribution correspondant à cet état courant. 8) Dispositif de communication réseau servant à transmettre et recevoir de l'information de manière sécurisée en mettant en œuvre un procédé selon l'une quelconque des revendications 1 à 6, caractérisé par le fait qu'il comprend un GHP résistant aux intrusions informatiques et électromagnétiques, et un Module de
5 Communication Interactive (MCI) capable de solliciter le GHP et d'exécuter le protocole ; ledit dispositif étant capable d'exécuter le protocole soit dans le rôle de A soit dans le rôle de B, et deux tels dispositifs utilisés par deux entités A et B les utilisant avec les rôles respectifs A et B, étant capables d'exécuter le protocole entre A. et B.
10
9) Dispositif permettant de générer du Hasard Profond, et pouvant être associé à un Module de Communication Interactif (MCI) capable de mettre en œuvre un protocole d'échange confidentiel de données associé à un procédé d'échange confidentiel de données selon l'une quelconque des revendications 1 à 4, caractérisé
15 par le fait que (i) la méthode de génération de Hasard Profond s'appuie sur la génération récursive et continue de distributions de probabilité mettant en échec à chaque étape la meilleure stratégie d'estimation de l'étape précédante au sens du protocole exécuté par le MCI, et (ii) le signal généré par le Générateur Récursif Interne de Hasard Profond (GRIHP) puisse rester dans l'enceinte résistante aux
20 intrusions informatiques et électromagnétiques dudit dispositif, du fait que seules les opérations de demande de génération, de demande de calcul et de demande de suppression associées audit signal puissent être soumises audit dispositif par un MCI externe.
25 10) Dispositif de génération de hasard profond ayant vocation à être utilisé pour mettre en œuvre un procédé selon la revendication 6, caractérisé par le fait qu'il est composé d'un module de Génération Récursive Interne de Hasard Profond (GRIHP), d'un module d'Interface de Communication, d'un module de Génération Aléatoire Standard Interne, et d'un module de Mémoire Interne, lesdits modules étant (i)
30 protégés au sein d'une enceinte résistante aux intrusions informatiques et électromagnétiques, (ii) réalisés et agencés de manière à pouvoir mettre en œuvre un procédé de génération de hasard profond selon la revendication 7, et (iii) capables d'exécuter le protocole mis en œuvre dans le procédé selon la revendication 6 soit dans le rôle de A soit dans celui de B, et de telle manière que deux tels dispositifs
35 utilisés par deux entités A et B dans les rôles respectifs de A et B, leur permettent d'exécuter ledit protocole.
PCT/FR2016/000070 2015-04-14 2016-04-06 Procédé de communication cryptographique basé sur le hasard profond WO2016166426A1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201680030035.7A CN108093680B (zh) 2015-04-14 2016-04-06 基于纯随机加密通信方法
US15/562,799 US10396983B2 (en) 2015-04-14 2016-04-06 Method for cryptographic communication based on pure chance
EP16723793.2A EP3284208A1 (fr) 2015-04-14 2016-04-06 Procédé de communication cryptographique basé sur le hasard profond

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR15/00759 2015-04-14
FR1500759A FR3035293B1 (fr) 2015-04-14 2015-04-14 Procede de communication cryptographique base sur le hasard profond

Publications (1)

Publication Number Publication Date
WO2016166426A1 true WO2016166426A1 (fr) 2016-10-20

Family

ID=54291322

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2016/000070 WO2016166426A1 (fr) 2015-04-14 2016-04-06 Procédé de communication cryptographique basé sur le hasard profond

Country Status (5)

Country Link
US (1) US10396983B2 (fr)
EP (1) EP3284208A1 (fr)
CN (1) CN108093680B (fr)
FR (1) FR3035293B1 (fr)
WO (1) WO2016166426A1 (fr)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112150581B (zh) * 2020-08-19 2022-09-30 中国海洋大学 一种分布式的自适应图顶点着色方法及系统
GB2620973A (en) * 2022-07-28 2024-01-31 Univ Leeds Innovations Ltd Secure communication

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3002349A1 (fr) * 2013-02-20 2014-08-22 Arnaud Pernel Procede de cryptographie ordinale : methode de base n°5 et systeme d'identification associe, procede d'echange de cle

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7983422B2 (en) * 2003-07-25 2011-07-19 Hewlett-Packard Development Company, L.P. Quantum cryptography
US7526414B2 (en) * 2003-07-25 2009-04-28 Siemens Corporate Research, Inc. Density morphing and mode propagation for Bayesian filtering
US20060200660A1 (en) * 2004-12-29 2006-09-07 My-T Llc Apparatus, method, and computer program product for secured communication channel
US20070106754A1 (en) * 2005-09-10 2007-05-10 Moore James F Security facility for maintaining health care data pools
US8874477B2 (en) * 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
CN101018125B (zh) * 2007-03-02 2010-06-16 中兴通讯股份有限公司 一种基于椭圆曲线公钥密码的无线终端安全锁网锁卡方法
CN101977112B (zh) * 2010-11-04 2013-10-09 厦门大学 一种基于神经网络混沌吸引子的公钥密码加密和解密方法
WO2012177282A1 (fr) * 2011-06-23 2012-12-27 Intel Corporation Tramage stochastique avec élimination sélective
CA2840958C (fr) * 2011-07-06 2018-03-27 D-Wave Systems Inc. Systemes bases sur un processeur quantique et methodes minimisant une fonction economique
US9367815B2 (en) * 2013-03-15 2016-06-14 Microsoft Technology Licensing, Llc Monte-Carlo approach to computing value of information
CN103281259B (zh) * 2013-05-20 2016-05-18 中国科学院信息工程研究所 一种基于动态自调节的域间访问控制方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR3002349A1 (fr) * 2013-02-20 2014-08-22 Arnaud Pernel Procede de cryptographie ordinale : methode de base n°5 et systeme d'identification associe, procede d'echange de cle

Non-Patent Citations (17)

* Cited by examiner, † Cited by third party
Title
"Les groupes finis et leurs représentation, Chapitre 3: Les théorèmes de Sylow; le groupe symétrique", 1 January 2000, ISBN: 978-2-72-980180-9, article GÉRARD RAUCH: "Les groupes finis et leurs représentation, Chapitre 3: Les théorèmes de Sylow; le groupe symétrique", pages: 25 - 38, XP055140577 *
A. N. KOLMOGOROV: "On Tables of Random Numbers", SANKHYA. INDIAN JOURNAL OF STATISTICS A, vol. 25, no. 4, pages 369 - 376
C. CACHIN; U. M. MAURER: "Proceeding of CRYPTO '97, Lecture Notes in Computer Science", 1997, SPRINGER, article "Unconditional Security Against Memory-Bounded Adversaries"
C. E. SHANNON: "Communication theory of secrecy systems", BELL SYST. TECH. J., vol. 28, October 1949 (1949-10-01), pages 656 - 715, XP011629986, DOI: doi:10.1002/j.1538-7305.1949.tb00928.x
C. H. BENNET; G. BRASSARD: "Quantum cryptography and its application to provable secure key expansion, public-key distribution and coin-tossing", PROC. IEEE INTERNATIONAL CONFÉRENCE ON COMPUTERS, SYSTEMS AND SIGNAL PROCESSING, December 1984 (1984-12-01), pages 175 - 179
C. H. BENNET; G. BRASSARD; J.-M. ROBERT: "Privacy Amplification by Public Discussion", SIAM J. COMPUT., vol. 17, no. 2, April 1988 (1988-04-01), XP008060433, DOI: doi:10.1137/0217014
ISHAI Y ET AL: "Extracting Correlations", FOUNDATIONS OF COMPUTER SCIENCE, 2009. FOCS '09. 50TH ANNUAL IEEE SYMPOSIUM ON, IEEE, PISCATAWAY, NJ, USA, 25 October 2009 (2009-10-25), pages 261 - 270, XP031653199, ISBN: 978-1-4244-5116-6 *
JEAN-ETIENNE ROMBALDI: "Propriété 2.2.3 L'ordre d'un k1 ... kr-cycle est égal au ppcm des ordres des cycles composant ce k1 ... kr-cycle.", 9 January 2012 (2012-01-09), XP055154081, Retrieved from the Internet <URL:http://www-fourier.ujf-grenoble.fr/~rombaldi/AgregInterne/Oral1/102.pdf> [retrieved on 20141119] *
KHIABANI YAHYA SOWTI ET AL: "Exponential secrecy against unbounded adversary using joint encryption and privacy amplification", 2013 IEEE CONFERENCE ON COMMUNICATIONS AND NETWORK SECURITY (CNS), IEEE, 14 October 2013 (2013-10-14), pages 198 - 206, XP032529027, DOI: 10.1109/CNS.2013.6682708 *
MARCUS HUTTER: "Universal Algorithmic Intelligence: A mathematical top->down approach", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 20 January 2007 (2007-01-20), XP080269648 *
MASAHITO HAYASHI: "Exponential decreasing rate of leaked information in universal random privacy amplification", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 2 April 2009 (2009-04-02), XP080318076 *
PAUL M B VITANYI: "Randomness", ARXIV.ORG, CORNELL UNIVERSITY LIBRARY, 201 OLIN LIBRARY CORNELL UNIVERSITY ITHACA, NY 14853, 8 October 2001 (2001-10-08), XP080063589 *
THIBAULT DE VALROGER: "Perfect Secrecy under Deep Random assumption", 29 July 2015 (2015-07-29), XP055255573, Retrieved from the Internet <URL:http://arxiv.org/ftp/arxiv/papers/1507/1507.08258.pdf> [retrieved on 20160304] *
U. M. MAURER: "Secret Key Agreement by Public Discussion from Common Information", IEEE TRANSACTIONS ON INFORMATION THEORY, vol. 39, no. 3, May 1993 (1993-05-01), XP000383018, DOI: doi:10.1109/18.256484
U. MAURER ET AL: "Secret-key agreement over unauthenticated public channels-part III: privacy amplification", IEEE TRANSACTIONS ON INFORMATION THEORY, vol. 49, no. 4, 1 April 2003 (2003-04-01), USA, pages 839 - 851, XP055256222, ISSN: 0018-9448, DOI: 10.1109/TIT.2003.809559 *
YAHYA SOWTI ET AL: "ACHIEVABLE SECRECY ENHANCEMENT THROUGH JOINT ENCRYPTION AND PRIVACY AMPLIFICATION", 1 January 2007 (2007-01-01), XP055255973, Retrieved from the Internet <URL:http://etd.lsu.edu/docs/available/etd-06042013-134734/unrestricted/Diss_Sowti_Yahya.pdf> *
YAHYA SOWTI KHIABANI ET AL: "ARQ-Based Symmetric-Key Generation Over Correlated Erasure Channels", IEEE TRANSACTIONS ON INFORMATION FORENSICS AND SECURITY, IEEE, PISCATAWAY, NJ, US, vol. 8, no. 7, 1 July 2013 (2013-07-01), pages 1152 - 1161, XP011514862, ISSN: 1556-6013, DOI: 10.1109/TIFS.2013.2264461 *

Also Published As

Publication number Publication date
FR3035293B1 (fr) 2021-10-08
CN108093680B (zh) 2021-07-13
US10396983B2 (en) 2019-08-27
FR3035293A1 (fr) 2016-10-21
EP3284208A1 (fr) 2018-02-21
US20180287781A1 (en) 2018-10-04
CN108093680A (zh) 2018-05-29

Similar Documents

Publication Publication Date Title
EP3010177B1 (fr) Procédé d&#39;authentification d&#39;un dispositif client auprès d&#39;un serveur à l&#39;aide d&#39;un élément secret
EP3506556B1 (fr) Méthode d&#39;échange de clés authentifié par chaine de blocs
JP7564868B2 (ja) メッセージの署名のためのシステムおよび方法
EP3751468A1 (fr) Méthode d&#39;apprentissage collaboratif d&#39;un réseau de neurones artificiels sans divulgation des données d&#39;apprentissage
CN112232527A (zh) 安全的分布式联邦深度学习方法
JP7316283B2 (ja) デジタル署名されたデータを取得するためのコンピュータにより実施される方法及びシステム
EP3091689A1 (fr) Procédé de génération d&#39;une signature de message à partir d&#39;un jeton de signature chiffré à l&#39;aide d&#39;une fonction de chiffrement homomorphique
FR3076420A1 (fr) Methode d&#39;echange de cles par contrat intelligent deploye sur une chaine de blocs
EP2947642A1 (fr) Système de calcul sécurisé, dispositif informatique, procédé de calcul sécurisé et programme
EP2891268B1 (fr) Signature de groupe utilisant un pseudonyme
CN112865953B (zh) 基于辅助服务器的安全多方计算方法、装置和系统
CN111291411B (zh) 基于卷积神经网络的安全视频异常检测系统及方法
CN112597542B (zh) 目标资产数据的聚合方法及装置、存储介质、电子装置
EP2707989A1 (fr) Dispositif et procede de generation de cles a securite renforcee pour algorithme de chiffrement pleinement homomorphique
Clementi et al. Classical multiparty computation using quantum resources
WO2011083232A1 (fr) Procede de chiffrement et de dechiffrement
EP3284208A1 (fr) Procédé de communication cryptographique basé sur le hasard profond
Krasnoselskii et al. Distributed random number generator on Hedera Hashgraph
WO2019228853A1 (fr) Methode d&#39;etablissement de cles pour le controle d&#39;acces a un service ou une ressource
EP2936302B1 (fr) Generateur de sequences chaotiques
EP3526946B1 (fr) Procédé de chiffrement, procédé de déchiffrement, dispositif et programme d&#39;ordinateur correspondant
EP2652899B1 (fr) Procédé et système d&#39;accès conditionnel à un contenu numérique, terminal et dispositif d&#39;abonné associés
EP3777007A1 (fr) Procédés, dispositifs et programmes d&#39;ordinateur pour le chiffrement et le déchiffrement de données pour la transmission ou le stockage de données
WO2017009067A1 (fr) Méthode de délégation sécurisée de calculs coûteux pour algorithmes de chiffrement à clé publique
EP3008851B1 (fr) Procédé et système de délégation d&#39;un calcul d&#39;une valeur de couplage bilinéaire à un serveur de calcul

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16723793

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 15562799

Country of ref document: US

NENP Non-entry into the national phase

Ref country code: DE