Preuves de connaissances interactives et non-interactives Olivier Blazy To cite this version: Olivier Blazy. Preuves de connaissances interactives et non-interactives. Cryptographie et sécurité [cs.CR]. Université Paris-Diderot - Paris VII, 2012. Français. tel-00768787 HAL Id: tel-00768787 https://tel.archives-ouvertes.fr/tel-00768787 Submitted on 24 Dec 2012 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. Ecole´ Normale Sup´erieure D´epartement d’Informatique Universit´eParis 7 Denis Diderot Preuves de connaissance interactives et non-interactives Th`ese pr´esent´eeet soutenue publiquement le 27 septembre 2012 par Olivier Blazy pour l’obtention du Doctorat de l’Universit´eParis Diderot (sp´ecialit´einformatique) Devant le jury compos´ede : Directeur de th`ese: David Pointcheval (CNRS, Ecole´ Normale Sup´erieure) Rapporteurs : Jean-S´ebastien Coron (Universit´edu Luxembourg) Marc Fischlin (Universit´ede Darmstadt) Fabien Laguillaumie (CNRS, LIP) Examinateurs : Michel Abdalla (CNRS, Ecole´ Normale Sup´erieure) Antoine Joux (DGA, Universit´ede Versailles) Eike Kiltz (Universit´ede la Ruhr, Bochum) Damien Vergnaud (CNRS, Ecole´ Normale Sup´erieure) Travaux effectu´es au Laboratoire d’Informatique de l’Ecole´ Normale Sup´erieure Remerciements Bien des gens ont contribu´ede pr`es ou de loin `al’accomplissement de ce m´emoire. Je commencerai tout d’abord par remercier mon directeur de th`ese, David Pointcheval, qui m’a aid´eet soutenu tout au long de ma th`ese. Merci pour ta grande disponibilit´e, ta patience, tes pr´ecieux conseils, pour toutes ces discussions qui ont ´et´etr`es enrichissantes. Merci pour tes encouragements, ton optimisme. Ce fut un vrai plaisir d’ˆetre ton ´el`eve pendant ces ann´ees. Il ne faut pas non plus oublier Jean-S´ebastien Coron, Marc Fischlin et `aFabien Laguillaumie. Je leur suis extrˆemement reconnaissant d’avoir accept´ede sacrifier une partie de leur ´et´epour rapporter ma th`ese. Je remercie ´egalement Michel Abdalla, Antoine Joux, Eike Kiltz, et Damien Vergnaud de me faire l’honneur d’ˆetre dans le jury de ma soutenance. Sans un cadre ad´equat ce m´emoire n’aurait pas vu le jour. Merci `atoute l’´equipe Crypto de l’Ecole´ Normale Sup´erieure pass´ee et pr´esente. Merci `atous pour ces excellentes conditions de travail. Je n’oserai pas essayer de nommer tous les gens exceptionnels rencontr´es au sein de l’´equipe de peur d’involontairement en oublier. Merci `atous les permanents pour leur bonne humeur et leur conseil, merci aussi aux stagiaires, th´esards, post-docs pour l’ambiance qu’ils ont su cr´eer. Merci ´egalement `a toute l’´equipe administrative et au service informatique pour leur gentillesse et leur flexibilit´ece qui a rendu ces ann´ees ici si agr´eable. Merci aussi aux anciens de m’avoir montr´ela voie, j’esp`ere avoir l’occasion de pouvoir collaborer avec vous `anouveau. On dit que les voyages forment la jeunesse, mais aussi les th´esards. Je souhaite aussi remercier toutes les personnes que j’ai pu rencontrer au cours de mes stages que ce soit `a Louvain-la-Neuve en Belgique, ou `aMountain View en Californie, leur bonne humeur et leurs conseils divers m’ont confort´edans l’id´ee de faire une th`ese en cryptographie, et ´egalement tous les soutiens que j’ai pu trouver au cours des diverses conf´erences auxquelles j’ai pu participer. Une ANR a aussi ax´ema recherche. J’aimerai ´egalement exprimer ma gratitude `atout le reste de l’´equipe PACE pour m’avoir int´egr´eau projet et pour les divers ´echanges d’id´ees lors des r´eunions. N’oublions le plus important, je tiens `aremercier mes parents qui me soutiennent depuis le d´ebut mˆeme quand je me mets `aleur parler de choses incompr´ehensibles. On n’est pas constitu´euniquement de 0 ou de 1. Merci `atous les amis qui m’ont accompagn´ependant ces trois ann´ees, et qui m’ont support´emˆeme quand je leur racontais mon sujet de th`ese pour la ´eni`eme fois, ou qu’au milieu de conversation je d´eviais subtilement la discussion vers quelque chose de nettement plus cryptique. Sans chercher `aˆetre exhaustif, je tiens `a´evoquer mes colocataires qui ont permis `aces trois ann´ees de se passer dans de bonnes conditions1. Merci `atous mes comparses normaliens pour les bons moments pass´es et toutes ces ann´ees de souvenirs. Merci aux anciens des Lazos pour leur soutien depuis notre arriv´ee sur Paris. Une personne m´erite une place toute particuli`ere dans ces remerciements, sans son aide cette th`ese serait d´epourvue d’un certain je ne sais quoi : . Rassurez-vous ces remerciements arrivent `aleur fin. Il ne faut juste pas oublier celles et ceux qui ont relu cette th`ese de gr´eou de force ;) Sigles, acronymes pars`ement ce manuscrit, cependant certains n’ont pas trouv´es places dans cette th`ese, et je ne peux m’empˆecher de les laisser `ala sagacit´edu lecteur. Une journ´ee type peut se r´esumer, aux ordre de multiplicit´es pr`es, par MD, RER, ENS, DI, TS, SC. Il y a aussi des choses comme TBBT, DDR, HIMYM, GoT, COF, CDG, TSW. Sans oublier Team B2, TrTeam et les trop rares membres de Squirrel Corp. 1Merci surtout pour les discussions sur les articles `a3h du matin autour d’un verre de soupline i Contents 1 Introduction 1 1.1 A Brief History of Cryptography . 2 1.1.1 AncientTime...................................... 2 1.1.2 MedievalEra ...................................... 2 1.1.3 ModernEra....................................... 2 1.2 Digital Signatures Enhanced with NIZK . 3 1.2.1 Motivation . 3 1.2.2 Instantiations and Applications . 5 1.3 Smooth Projective Hash Function, and Implicit Proof of Knowledge . ........... 8 1.3.1 Motivation . 8 1.3.2 Results and Instantiations . 10 1.4 Extra-Tools ........................................ 12 2 Technical Introduction 15 2.1 Notations . 15 2.2 Definitions........................................ 17 2.2.1 Generalities..................................... 17 2.2.2 SecurityHypotheses ................................ 17 2.2.3 Universal Composability . 18 2.2.4 Standard Cryptographic Primitives . 19 2.3 Classical Instantiations . 25 2.3.1 Waters Signature . 25 2.3.2 PedersenCommitment............................... 26 2.3.3 ElGamal Encryption / Commitment . 26 2.3.4 Linear Encryption / Commitment . 27 2.4 Zero-Knowledge and Witness Indistinguishable Proofs . 29 2.4.1 Groth-Sahai Methodology . 29 2.4.2 Initial Optimization of Groth-Sahai Proofs . 33 2.5 Smooth Projective Hash Functions . 33 2.5.1 On a Linear Encryption . 33 2.5.2 On an ElGamal Encryption . 34 2.6 New Results on Standard Primitives . 35 2.6.1 Batch Groth-Sahai . 35 2.6.2 Application to Existing Protocols . 38 2.6.3 Asymmetric Waters Signature . 41 2.6.4 Waters Function Programmability . 42 2.6.5 Multi Cramer-Shoup Encryption . 46 2.6.6 Commitment `ala Lindell ................................ 52 I Groth-Sahai Based Protocols 53 3 Group Based Signatures 55 3.1 GroupSignatures..................................... 55 3.1.1 Security Notions . 56 3.2 Traceable Signatures . 57 3.2.1 Security Notions for Traceable Signatures . 57 ii 3.2.2 Traceable Group Signatures with Stepping Capabilities . 61 3.3 ListSignatures ...................................... 66 3.3.1 Security Notions for List Signatures . 66 3.3.2 List Signatures in the Standard Model . 67 4 Signatures on Randomizable Ciphertexts 70 4.1 Definition, and Security Notions . 70 4.2 Instantiations...................................... 73 4.2.1 A First Instantiation . 73 4.2.2 An Efficient Instantiation . 76 4.3 FirstApplications ................................... 79 4.3.1 Non-interactive Receipt-Free E-voting . 79 4.3.2 Blind Signatures and Variants . 80 4.4 To Further Applications of Signatures on Randomizable Ciphertexts . 82 4.4.1 To Perfectly Blind Signature with Partial Blindness . 82 4.4.2 Multi-BlindSignature .............................. 87 4.4.3 Other Applications . 89 II Using Smooth Projective Hash Functions to Create Implicit Proofs of Knowledge 91 5 Manageable Languages 93 5.1 First Languages . 94 5.1.1 Commitment of a Valid Signature . 94 5.1.2 Extended Commitment of a Message . 95 5.2 Linear Languages . 97 5.2.1 A Single Equation . 97 5.2.2 MultipleEquations................................. 98 5.2.3 Smoothness of a SPHF on Linear Pairing Product Equations . 99 5.3 WithOtherKindsofCommitments . 99 5.3.1 With a Multi-Linear Cramer-Shoup . 99 5.3.2 With our Equivocable Commitment `ala Lindell . 100 6 Applications 102 6.1 Oblivious Signature-Based Envelope . 102 6.1.1 Definition and Security Properties . 103 6.1.2 High Level Instantiation . 105 6.1.3 Concrete Instantiation . 109 6.2 Round-Optimal Blind Signature Revamped . 110 6.3 Language Authenticated Key Exchange . 111 6.3.1 Definitions ....................................... 112 6.3.2 The Ideal Functionality . 112 6.3.3 AFirstGenericConstruction . 113 6.3.4 Notations . 115 6.3.5 Description of the Simulators . 117 6.4 Efficient Instantiation of AKE protocols . 120 6.4.1 Useful Languages . 120 6.4.2 Password Authenticated Key Exchange . 120 6.4.3 Verifier-basedPAKE................................. 120 6.4.4 Complexity ....................................... 122 Je sers la science et c’est ma joie. Prolegom´ enes` Pendant tr`es longtemps la cryptologie, et plus particuli`erement la cryptographie se restreignait au chiffre- ment, c’est `adire s’int´eressait `ala transmission d’informations entre deux utilisateurs par l’interm´ediaire d’un canal non-s´ecuris´e.