Traçabilité publique dans le traçage de traîtres
À Eurocrypt ’02, Kiayias et Yung [73] ont proposé un schéma de traçage de traîtres à taux de transmission constant (noté KY dans la suite) : le taux de texte chiffré (le ratio entre la taille du chiffré et celle du clair) est 3, le taux de la clef de chiffrement (le ratio entre la taille de la clef de chiffrement et celle du clair) est 4 et le taux de la clef de l’usager (le ratio entre la taille de la clef d’usager et celle du clair) est 2. Dans ce chapitre, nous apportons quelques propositions qui améliorent ces taux : letaux de texte chiffré est réduit au taux optimal de 1 (asymptotiquement) ; le taux de la clef de chiffrement est réduit à 1 et le taux de la clef de l’usager reste inchangé. Remarquons que ces taux de transmission sont considérés dans le cas de plusieurs usagers, lorsque le nombre d’usagers et la taille du texte clair sont grands. Ces améliorations sont obtenues tout en préservant deux propriétés extrêmement précieuses pour un schéma de traçage de traîtres, comme dans le schéma KY : De plus, nous proposons une nouvelle fonctionnalité intéressante : la traçabilité pu- blique. Dans les schémas précédents, on a besoin d’informations privées (importantes) pour retrouver les traîtres. Dans notre schéma, le centre peut publier des informations de telle sorte que n’importe qui est capable d’exécuter la procédure de traçage, au moins dans la phase la plus coûteuse d’interaction avec le décodeur pirate.
Hypothèses calculatoires
On montre d’abord l’inégalité de gauche. Considérons un attaquant A qui peut résoudre le problème CBDH1−M avec au moins une probabilité de succès ε. On peut alors construire un algorithme B qui résout le problème CBDH1 avec au moins une probabilité Considérons d’abord la sécurité sémantique du schéma de chiffrement, i.e. la confi- dentialité vis-à-vis des non-abonnée. Dans le modèle de l’oracle aléatoire, la sécurité est assurée sous l’hypothèse MCDH. Dans le modèle standard, la sécurité est assurée sous une hypothèse plus forte : l’hypothèse MDDH. En ce qui concerne le traçage de traîtres, on considère d’abord une propriété plus faible : la non-incrimination, i.e. un traître ne peut pas incriminer un innocent. On montre que, sous l’hypothèse CDH, notre schéma atteint cette propriété. La propriété de traçabilité de traîtres, i.e. dénoncer un véritable traître sans se tromper, est assurée sous l’hypothèse DBDH1−M.Notre schéma apporte la nouvelle propriété intéressante de traçabilité publique. Cepen- dant, pour l’obtenir, nous avons besoin d’hypothèses plus fortes car l’attaquant dispose de beaucoup plus d’informations.
Notre construction est inspirée du schéma de Kiayias et Yung [73], qui est, à son tour, considéré comme un cas particulier du schéma de Boneh et Franklin [22]. Nous allons modifier le schéma KY pour rendre possible l’utilisation des couplages. Dans cette section, nous montrons comment on peut utiliser les applications bilinéaires pour améliorer ce schéma. Plus précisément, nous introduisons la notion de traçage de traîtres à clef publique avec « sous-clef de déchiffrement équivalente » : l’autorité génère pour chaque usager une clef et une sous-clef de déchiffrement équivalente qui lui corres- pond. L’autorité conserve la clef d’usager et ne donne à l’usager que la seule sous-clef (de déchiffrement équivalente) qui est suffisante pour le déchiffrement. La clef d’usager sera ultérieurement utilisée pour le traçage.(telle que αb + aβb = z mod q) ? ». Ce schéma serait plus simple et serait, en effet, une transformation directe du schéma KY en utilisant les couplages. Cependant, de la même façon que l’attaque contre le schéma TSZ, présentée dans le chapitre précédent, l’attaquant pourrait profiter des propriétés des couplages pour casser le schéma. En effet, même s’il ne peut pas produire une nouvelle clef, il peut produire et distribuer un décodeur anonyme : (X = αP − uQ, Y = βP + uP ),oùu est aléatoirement choisi dans Zq.