fmouhart/thesis
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Corrections résumé en Français

Browse Source
This commit is contained in:
Fabrice Mouhartem 2018-10-26 10:36:53 +02:00
parent 201492adb7
commit 7c7f21ac6e
1 changed files with 74 additions and 70 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

144
chap-resume.tex
View File

@ -1,69 +1,70 @@
Les cinquante dernière années, l'utilisation de la cryptographie s'est éloignée de ses origines militaires et de son usage pour le secret commercial pour se démocratiser à un public plus large. Les cinquante dernière années, l'utilisation de la cryptographie s'est éloignée de ses origines militaires et de son usage pour le secret commercial afin de se démocratiser à un public plus large.
Par exemple, la machine Enigma initialement conçue pour un usage militaire a été déclinée pour un usage commerciale (la machine Enigma A26). Par exemple, la machine Enigma initialement conçue pour un usage militaire a été déclinée pour un usage commercial (la machine Enigma A26).
Aujourd'hui, environ $60\%$ du premier million des sites les plus visités propose une connexion chiffrée et authentifiée (à l'aide du protocole \texttt{https}), tout comme les canaux de communication des appareils électronique portatifs (comme la norme \texttt{WPA}, en anglais \textit{Wifi Protected Access}). Aujourd'hui, environ $60\%$ du premier million des sites les plus visités dans le monde propose une connexion chiffrée et authentifiée (à l'aide du protocole \texttt{https}), tout comme les canaux de communication des appareils électroniques portatifs (comme la norme \texttt{WPA}, en anglais \textit{Wifi Protected Access}).
Dans le même temps, la croissance des données échangée en ligne et la sensibilité de ces informations rend de plus en plus urgent la protection de ces canaux. Dans le même temps, la croissance des données échangée en ligne et la sensibilité de ces informations rendent de plus en plus urgent la protection de ces communications.
Pendant que la loi de Moore\footnote{La loi qui prédit la puissance de calcul des processeurs modernes.} atteint ses limites, d'autres menaces existent sur nos cryptosystèmes actuels. Pendant que la loi de Moore\footnote{La loi qui prédit la puissance de calcul des processeurs modernes.} atteint ses limites, d'autres menaces existent sur nos cryptosystèmes actuels.
Par exemple, l'existence d'un ordinateur quantique possédant suffisamment de mémoire~\cite{Sho99} casserait la majorité des constructions cryptographiques utilisées en pratique, puisqu'elles reposent sur des hypothèses d'arithmétique modulaire dont la structure peut-être exploitée par un adversaire quantique. Par exemple, l'existence d'un ordinateur quantique possédant suffisamment de mémoire~\cite{Sho99} rendrait risqué l'utilisation de la majorité des constructions cryptographiques actuellement déployées, puisqu'elles reposent sur des hypothèses issues de l'arithmétique modulaire classique dont la structure algébrique peut-être exploitée par un adversaire quantique.
Dans cette situation, il est crucial de construire des schémas cryptographiques qui résisteraient à une menace quantique. Dans cette situation, il devient alors crucial de construire des schémas cryptographiques qui résisteraient à une menace quantique.
Pour répondre à ce problème, la \textit{cryptographie post-quantique} est née au début des années 2000. Pour répondre à ce problème, la \textit{cryptographie post-quantique} est née au début des années 2000.
Les différents candidats reposent sur différents objets mathématiques, comme les réseaux euclidiens, les codes correcteurs d'erreurs, les systèmes polynomiaux multivariés, etc. Les différents candidats reposent sur différents objets mathématiques, comme les réseaux euclidiens, les codes, les systèmes polynomiaux multivariés, les isognénies, etc.
Récemment, le NIST (\textit{National Institude of Standards and Technology}) a organisé une compétition pour évaluer les différentes solutions post-quantiques en terme de chiffrement et de signature~\cite{NIS17}. Récemment, le NIST (\textit{National Institude of Standards and Technology}) a organisé une compétition pour évaluer les différentes solutions post-quantiques pour le chiffrement et la signature~\cite{NIS17}.
Dans cette compétition, 82 protocoles ont été proposés, parmi lesquels 28 reposent sur les réseaux euclidiens, 24 sur les codes correcteurs, 13 sur des systèmes multi-variés, 4 sur des fonctions de hachages et 13 sur d'autres objets. Dans cette compétition, 82 protocoles ont été proposés, parmi lesquels 28 reposent sur les réseaux euclidiens, 24 sur les codes correcteurs, 13 sur des systèmes multi-variés, 4 sur des fonctions de hachages et 13 sur d'autres objets.
Si la cryptographie pratique vise principalement à fournir des schémas de signatures et de chiffrement, comme l'atteste la compétition du NIST, Si la cryptographie pratique vise principalement à fournir des schémas de signature et de chiffrement, comme l'atteste la compétition du NIST,
la recherche théorique propose des solutions à des problèmes plus spécifiques, comme la construction de systèmes de monnaie électronique\footnote{À ne pas confondre avec les cryptomonnaies\ldots}~\cite{CFN88}, qui sont l'équivalent numérique de notre monnaies échangée. Les pièces sont délivrées par une autorité centrale (la banque), et les dépenses restent intraçables. En cas de comportement malhonnête (comme une double-dépense), l'identité de l'utilisateur malicieux est révélée. la recherche théorique propose des solutions à des problèmes plus précis, comme la construction de systèmes de monnaie électronique\footnote{À ne pas confondre avec les cryptomonnaies\ldots}~\cite{CFN88}, qui sont l'équivalent numérique de notre monnaie échangée. Les pièces sont délivrées par une autorité centrale (la banque), et les dépenses restent intraçables. En cas de comportement malhonnête (comme une double-dépense), l'identité de l'utilisateur malicieux est révélée.
Les constructions cryptographiques doivent en plus vérifier des propriétés de sécurités. Les constructions cryptographiques doivent en plus vérifier des propriétés de sécurités.
Par exemple, un schéma de chiffrement doit pouvoir cacher un message en présence d'un attaquant passif voire actif (c'est-à-dire qui peut modifier certains messages). Par exemple, un schéma de chiffrement doit être en mesure cacher un message en présence d'un attaquant passif voire actif (c'est-à-dire un attaquant qui est capable de modifier certains messages).
Pour garantir ces exigences, les cryptographes fournissent des preuves de sécurité dans le cadre de modèles de sécurité précis. Pour garantir ces exigences, les cryptographes fournissent des preuves de sécurité dans le cadre de modèles de sécurité précis.
Une preuve de sécurité précise principalement qu'une construction cryptographique est au moins aussi difficile qu'un problème supposé dur par la littérature. Une preuve de sécurité nous dit principalement qu'une construction cryptographique est au moins aussi difficile qu'un problème supposé difficile par la littérature.
Finalement, l'importance de la préservation de la vie privé et la protection des données a été un sujet qui a fait couler beaucoup d'encres, comme en atteste le développement du règlement général sur la protection des données (RGPD) en 2016, mise en application ce 25 mai. Finalement, l'importance de la préservation de la vie privé et la protection des données ont été des sujets qui ont fait couler beaucoup d'encres, comme en atteste le développement du règlement général sur la protection des données (RGPD) en 2016, mis en application ce 25 mai.
Il est donc intéressant pour les cryptographes de fournir des solutions qui resisteraient, dans le meilleurs des mondes, à un adversaire quantique. Il est donc intéressant pour les cryptographes de fournir des solutions qui resisteraient, dans le meilleurs des mondes, à un adversaire quantique.
Néanmoins, la construction de ces protocoles reposent de manière décisive sur les «\,preuves à divulgation nulles de connaissances\,». Ce sont des protocoles interactifs entre un prouveur et un vérificateur où le prouveur cherche à convaincre le vérificateur de la véracité d'une affirmation sans rien divulguer de plus que la valeur de vérité de cette affirmation. Néanmoins, la construction de ces protocoles repose de manière décisive sur les «\,preuves à divulgation nulles de connaissances\,».
Dans le contexte de la cryptographie post-quantique, de tels systèmes de preuves sont limités en expressivité ou en terme de coût de calcul (en temps ou en mémoire). Ce sont des protocoles interactifs entre un prouveur et un vérifieur où le prouveur cherche à convaincre le vérifieur d'une affirmation sans rien divulguer de plus sur celle-ci que sa valeur de vérité.
Dans le contexte de la cryptographie post-quantique, de tels systèmes de preuves sont limités en terme d'expressivité ou en terme de coût de calcul (en temps ou en mémoire).
\section*{Cryptographie préservant la vie privée} \section*{Cryptographie préservant la vie privée}
Dans ce contexte, la «\,préservation de la vie privée\,» décrit la capacité d'une primitive cryptographique à fournir certaines fonctionnalités tout en gardant certaines informations privée. Dans ce contexte, la «\,préservation de la vie privée\,» décrit la capacité d'une primitive cryptographique à fournir certaines fonctionnalités tout en gardant certaines informations privées.
Par exemple, l'accréditation anonyme~\cite{Cha85,CL01} est un exemple de telles primitives. Par exemple, l'accréditation anonyme~\cite{Cha85,CL01} est un exemple d'une telles primitives.
De manière informelle, cette primitive permet à un utilisateur de garantir ses droits d'accès à un vérificateur, sans lui divulguer son identité, ni le motif de ses accès. De manière informelle, cette primitive permet à un utilisateur de garantir ses droits d'accès à un vérifieur, sans lui divulguer son identité, ni le motif de ses accès.
Pour réaliser cette primitive, le système est composé d'un (ou plusieurs) fournisseur(s) d'accréditations ainsi qu'un ensemble d'utilisateurs qui possèdent leur propre clef secrète ainsi qu'un ensemble d'attributs. Pour réaliser cette primitive, le système est composé d'un (ou plusieurs) fournisseur(s) d'accréditations ainsi que d'un ensemble d'utilisateurs qui possèdent leurs propres clefs secrètes ainsi qu'un ensemble d'attributs.
Les utilisateurs peuvent obtenir ces accréditations dynamiquement depuis un fournisseur qui ne connaît d'eux qu'un pseudonyme et qui signe de manière inconsciente les clefs secrètes des utilisateurs, ainsi que leur attributs. Les utilisateurs peuvent obtenir ces accréditations dynamiquement depuis un fournisseur qui ne connaît d'eux qu'un pseudonyme et qui signe de manière inconsciente les clefs secrètes des utilisateurs ainsi que leur attributs.
Après avoir obtenu leurs accréditations, les utilisateurs peuvent s'authentifier sous un pseudonyme différent, et prouver la possession d'une certification de la part du/d'un fournisseur, sans divulguer ni la signature, ni la clef secrète. Après avoir obtenu leurs accréditations, les utilisateurs peuvent s'authentifier sous des pseudonymes différents, et prouver la possession d'une certification de la part du/d'un fournisseur, sans divulguer ni la signature, ni la clef secrète.
Cette primitive permet ainsi à un utilisateur de s'identifier vis-à-vis du système (par exemple dans le cadre d'un contrôle d'accès anonyme) tout en préservant l'anonymat des utilisateurs. Cette primitive permet ainsi à un utilisateur de s'identifier vis-à-vis du système (par exemple dans le cadre d'un contrôle d'accès anonyme) tout en préservant l'anonymat des utilisateurs.
De plus, ce système garantit que les utilisateurs possèdent un droit d'accès valide. De plus, ce système garantit que les utilisateurs possèdent un droit d'accès suffisant.
L'intérêt pour la cryptographie préservant la vie privée date du début de la cryptographie à clef publique~\cite{Rab81,Cha82,GM82,Cha85}. L'intérêt pour la cryptographie préservant la vie privée est contemporain de la naissance de la cryptographie à clef publique~\cite{Rab81,Cha82,GM82,Cha85}.
Une raison pour cela pourrait être les similitudes entre les motivations de la cryptographie et les exigences de la protection de la vie privée. Une raison pouvant expliquer cela serait la similitude entre les motivations de la cryptographie et les exigences de la protection de la vie privée.
De plus, le travail des cryptographes dans ce domaine ont des conséquences directes en terme de service apportés qui pourraient être développés dans le monde réel. De plus, le travail des cryptographes dans ce domaine ont des conséquences directes en terme de services qui pourraient être développés dans le monde réel.
En effet, un système d'accréditation anonyme pourrait débloquer le contrôle d'accès anonyme et limiter ainsi le risque de faille de sécurité. En effet, un système d'accréditation anonyme pourrait débloquer le contrôle d'accès anonyme et limiter ainsi le risque de brèches de sécurité.
Alors que, de nos jours, les systèmes mis en places reposent sur des briques de bases plus élémentaires, comme des signatures, dont la manipulation peut amener différents problèmes de sécurité~\cite{VP17}. Alors que, actuellement, les systèmes mis en places reposent sur des briques de bases plus élémentaires, comme des signatures, dont la manipulation peut amener différents problèmes de sécurité~\cite{VP17}.
De manière similaire, les \textit{primitives avancées} sont composés de briques de bases simples dans leur construction. De manière similaire, les \textit{primitives avancées} sont construites à partir de briques de bases simples.
La principale différence réside en le fait que leur sécurité a été prouvée, ce qui offre une confiance plus forte dans la sécurité de ces constructinons. La principale différence réside en le fait que leur sécurité a été prouvée, ce qui offre une confiance plus forte dans la sécurité de ces constructions.
Comme expliqué précédemment, ces preuves permettent de lier la sécurité des systèmes à des hypothèses de sécurité. Comme expliqué précédemment, ces preuves permettent de lier la sécurité des systèmes à des hypothèses de sécurité.
Ainsi, la sécurité repose sur la validité de ces hypothèses, qui peuvent être étudiées indépendamment du système par les cryptanalystes. Ainsi, la sécurité repose sur la validité de ces hypothèses, qui peuvent être étudiées indépendamment des systèmes cryptographiques par les \textit{cryptanalystes}.
Dans ce cas contraire, cela peut amener à différents problèmes, comme dans le cas de applications multilinéaires, dont plusieurs candidats ont été rendus caduques par~\cite{CHL+15}. Dans ce cas contraire, cela peut mener à différents problèmes, comme dans le cas de applications multilinéaires, dont plusieurs candidats ont été rendus caduques par~\cite{CHL+15}.
Cet exemple montre ainsi l'importance de faire reposer la cryptographie sur des hypothèses simples comme nous l'expliqueront dans le chapitre~\ref{ch:proofs}. Cet exemple montre ainsi l'importance pour la cryptographie de reposer sur des hypothèses simples et robustes comme nous l'expliqueront dans le chapitre~\ref{ch:proofs}.
Les schémas développés dans cette thèse reposent sur des hypothèses de réseaux euclidiens et des applications bilinéaires sur les groupes cycliques (ou couplages). Les schémas développés dans cette thèse reposent sur des hypothèses de réseaux euclidiens et des applications bilinéaires sur les groupes cycliques (ou couplages).
La cryptographie à base de réseaux euclidiens est utilisées pour aller d'avant vers la cryptographie post-quantique, tandis que les applications bilinéaires sont utiles pour la construction de schémas pratiques. La cryptographie à base de réseaux euclidiens est utilisées pour aller d'avant vers la cryptographie post-quantique, tandis que les applications bilinéaires sont utiles pour la réalisation de schémas pratiques.
Les détails de ces deux structures sont présentés dans le chapitre~\ref{ch:structures}. Les détails de ces deux structures sont présentés dans le chapitre~\ref{ch:structures}.
\subsection*{Preuves sans divulgation de connaissance} \subsection*{Preuves sans divulgation de connaissance}
Comme nous l'avons expliqué précédemment, les preuves sans divulgation de connaissances sont une brique de base pour la cryptographie préservant la vie privée. Comme nous l'avons expliqué précédemment, les preuves sans divulgation de connaissance sont une brique de base pour la cryptographie préservant la vie privée.
Elles exigent les propriétés de complétude, de robustesse et de non-divulgation de connaissance. Elles exigent les propriétés de complétude, de robustesse et de non divulgation de connaissance.
La complétude exprimes la correction du protocole dans le cas où tout le monde agit honnêtement. La complétude exprime la correction du protocole dans le cas où tout le monde agit honnêtement.
Dans le cas d'un prouveur malhonnête, la robustesse demande à ce que le vérifieur ne peut être convaincu qu'avec une probabilité négligeable. Dans le cas d'un prouveur malhonnête, la robustesse demande à ce que le vérifieur ne peut être convaincu qu'avec une probabilité négligeable.
Au contraire, si le vérifieur essaye de tricher, la non-divulgation de connaissance assure au prouveur que son secret reste protégé. Au contraire, si le vérifieur essaye de tricher, la non divulgation de connaissance assure au prouveur que son secret reste protégé.
Dans le cadre de l'identification, la nature du secret reste simple, et des solutions reposant sur différentes hypothèses de sécurité existent~\cite{Sch96,Ste96,KTX08,Lyu08}. Dans le cadre de l'identification, la nature du secret reste simple, et des solutions qui reposent sur différentes hypothèses de sécurité existent déjà~\cite{Sch96,Ste96,KTX08,Lyu08}.
Pour des affirmations plus complexes, tels que prouver l'exécution correcte d'un calcul, il existe un écart entre ce qu'on peut prouver dans le cadre de la cryptographie post-quantique et celle qui repose sur le l'arithmétique modulaire de manière plus directe. Pour des affirmations plus complexes, comme prouver l'exécution correcte d'un calcul, il existe un écart entre ce qu'on peut prouver dans le cadre de la cryptographie post-quantique et celle qui repose sur le l'arithmétique modulaire classique.
Dans le cadre des couplages, il existe des preuves sans divulgation de connaissance non-interactive qui permettent de prouver une large classe d'affirmation~\cite{GOS06,GS08} sans idéaliser le modèle de sécurité. Dans le cadre des couplages, il existe des preuves sans divulgation de connaissance non interactives qui permettent de prouver une large classe d'affirmation~\cite{GOS06,GS08} sans idéaliser le modèle de sécurité.
De telles preuves sont, à ce jour, manquantes dans le cadre de la cryptographie post-quantique. De telles preuves sont, à ce jour, manquantes dans le cadre de la cryptographie post-quantique.
Pour les réseaux euclidiens, il y a principalement deux familles de preuves: les preuves à la Schnorr~\cite{Sch96,Lyu09} et les preuves à la Stern~\cite{Ste96}, nommés d'après leurs découvreurs respectifs. Pour les réseaux euclidiens, il y a principalement deux familles de preuves: les preuves à la Schnorr~\cite{Sch96,Lyu09} et les preuves à la Stern~\cite{Ste96}, nommés d'après leurs découvreurs respectifs.
@ -75,69 +76,72 @@ Les preuves à divulgation nulle de connaissance sont détaillées dans le chapi
\subsection*{Signatures avec protocoles efficaces} \subsection*{Signatures avec protocoles efficaces}
Pour rendre possible la cryptographie à base de réseaux euclidiens, une approche possible est de coupler les preuves sans divulgation de connaissance avec des schéma de signature. Pour rendre possible la cryptographie à base de réseaux euclidiens, une approche possible est de coupler les preuves sans divulgation de connaissance avec un schéma de signature.
De telles signatures sont dites «\,avec protocoles efficaces\,». De telles signatures sont dites «\,avec protocoles efficaces\,».
Cette primitive étend la fonctionnalité des signatures traditionnelles de deux manière: (i)~Elle permet au signataire de signer oblieusement un message caché et (ii)~Les utilisateurs peuvent prouver sans divulgation de connaissance la connaissance d'une paire message-signature cachée. Cette primitive étend la fonctionnalité des signatures traditionnelles de deux manière: (i)~Elle permet au signataire de signer oublieusement un message caché et (ii)~Les utilisateurs peuvent prouver sans divulgation la connaissance d'un couple message-signature cachée.
Ces deux propriétés s'avèrent être extrêmement utiles dans la construction de protocoles protégeant l'anonymat tels que l'accréditation anonyme ou la monnaie électronique. Ces deux propriétés s'avèrent être extrêmement utiles dans la construction de protocoles préservant l'anonymat tels que l'accréditation anonyme ou la monnaie électronique.
La construction effective de ces signatures avec protocoles efficace est donc un point clef dans la cryptographie préservant la vie privée. La construction effective de ces signatures avec protocoles efficaces est donc un point clef dans la cryptographie protégeant la vie privée.
Dans cette thèse, nous proposons deux constructions de telles signatures. Dans cette thèse, nous proposons deux constructions de telles signatures.
Une première, décrite dans le chapitre~\ref{ch:sigmasig} qui repose sur les couplages. Une première, décrite dans le chapitre~\ref{ch:sigmasig}, repose sur les couplages.
C'est une traduction du schéma de~\cite{LPY15} dans un modèle idéalisé pour atteindre une efficacité raisonnable en pratique. Il s'agit d'une traduction du schéma de~\cite{LPY15} dans un modèle idéalisé pour obtenir une efficacité et une sécurité raisonnables en pratique.
L'autre, décrite dans le chapitre~\ref{ch:gs-lwe}, adapte une variante de la signature de Boyen~\cite{Boy10,BHJ+15} à la mise en gage de Kawachi-Tanaka-Xagawa~\cite{KTX08} pour proposer un schéma de signature à base de réseaux euclidiens compatible avec les preuves à la Stern. La seconde, décrite dans le chapitre~\ref{ch:gs-lwe}, adapte une variante de la signature de Boyen~\cite{Boy10,BHJ+15} à la mise en gage de Kawachi-Tanaka-Xagawa~\cite{KTX08} pour proposer un schéma de signature à base de réseaux euclidiens compatible avec les preuves à la Stern.
Ce schéma a aussi été relaxé dans le cadre du transfert inconscient, où, à certains endroits, seule la sécurité pour des messages aléatoire est requise. Cela est décrit dans le chapitre~\ref{ch:ot-lwe}. Ce schéma a aussi été relaxé dans le cadre du transfert inconscient, où, par endroits, seule la sécurité pour des messages aléatoires est requise.
Cela est décrit dans le chapitre~\ref{ch:ot-lwe}.
\section*{Nos résultats} \section*{Nos résultats}
Dans cette thèse sont présentées différentes constructions cryptographiques pour la préservation de la vie privée. Dans cette thèse sont présentées différentes constructions cryptographiques pour la préservation de la vie privée.
Ces constructions sont le résultat d'améliorations obtenues sur les preuves à divulgation nulle de connaissance et les preuves de sécurités liées aux constructions sous des hypothèses standards. Ces constructions sont le résultat d'améliorations successives des preuves à divulgation nulle de connaissance et des preuves de sécurités liées aux constructions sous des hypothèses calculatoires standards.
Nous pensons que ces avancées ont un intérêt indépendant, et que les schémas proposés sont un pas de plus vers la démocratisation de la cryptographie qui résisteraient à un adversaire quantique. Nous pensons que ces avancées ont un intérêt indépendant, et que les schémas proposés sont un pas de plus vers la démocratisation d'une cryptographie qui résisterait à un adversaire quantique.
Dans la suite, nous détaillons quatre constructions qui ont été développés dans cette thèse. Dans la suite, nous détaillons quatre constructions qui ont été développées dans cette thèse.
Ces résultats sont issues de ces quatre articles publiés: \cite{LMPY16,LLM+16,LLM+16a,LLM+17}. Ces résultats sont issues de ces quatre articles publiés durant ma thèse: \cite{LMPY16,LLM+16,LLM+16a,LLM+17}.
\subsection*{Signature de groupe dynamique et accréditation anonyme} \subsection*{Signatures de groupe dynamique et accréditation anonyme}
Dans la partie~\ref{pa:gs-ac} nous présentons deux primitives: les signatures de groupes dynamiques et l'accréditation anonyme. Dans la partie~\ref{pa:gs-ac} nous présentons deux primitives: les signatures de groupes dynamiques et l'accréditation anonyme.
Nous avons déjà décrit le comportement de l'accréditation anonyme plus haut. Nous avons déjà décrit le comportement de l'accréditation anonyme plus haut.
Pour les signatures de groupes, c'est une primitive qui permet à un utilisateur d'authentifier un message au nom d'un groupe, tout en restant anonyme au sein de ce groupe. Pour les signatures de groupes, il s'agit d'une primitive qui permet à un utilisateur d'authentifier un message au nom d'un groupe, tout en restant anonyme au sein de ce groupe.
Les utilisateurs restent responsables de leurs actions: une autorité tierce (par exemple un juge) disposant d'une information secrète est capable de lever l'anonymat des utilisateurs qui se comporteraient mal. Les utilisateurs restent responsables de leurs actions: une autorité tierce (par exemple un juge) disposant d'une information secrète est capable de lever l'anonymat des utilisateurs qui se comporteraient mal.
En tant que telle, cette primitive peut être utilisée pour fournir une authentification anonyme qui garantie la responsabilité de ses utilisateurs (ce qui n'est pas le cas avec l'accréditation anonyme). En tant que telle, cette primitive peut être utilisée pour fournir une authentification anonyme qui garantit la responsabilité de ses utilisateurs (ce qui n'est pas le cas avec l'accréditation anonyme).
Par exemple, dans l'internet des objets, comme les voitures intelligentes, il est important de fournir un canal de communication authentifié, alors que l'anonymat de chaque objet est important (puisqu'il possède beaucoup d'information sur son utilisateur). Par exemple, dans l'internet des objets, comme les voitures intelligentes, il est important de fournir un canal de communication authentifié, alors que l'anonymat de chaque objet est important (puisqu'il possède beaucoup d'information sur son utilisateur).
Dans cette thèse, nous présentons dans le chapitre~\cite{ch:sigmasig} un schéma de signature de groupe à base de couplages qui vise l'efficacité sous des hypothèses raisonnables. Cette construction est accompagnée d'une implantation en C pour soutenir sa practicité. Dans cette thèse, nous présentons dans le chapitre~\cite{ch:sigmasig} un schéma de signature de groupe à base de couplages qui vise l'efficacité sous des hypothèses raisonnables. Cette construction est accompagnée d'une implantation en C pour soutenir sa practicité.
Le schéma est décrit dans~\cite{LMPY16} conjointement avec Benoît Libert, Thomas Peters et Moti Yung, et a été présenté à la conférence AsiaCCS'16. Le schéma est décrit dans~\cite{LMPY16} conjointement avec Benoît Libert, Thomas Peters et Moti Yung, et a été présenté à la conférence AsiaCCS'16.
Le chapitre~\ref{ch:gs-lwe} présente le premier schéma de signature de groupe dynamique qui repose sur la sécurité des réseaux euclidiens. Le chapitre~\ref{ch:gs-lwe} présente le premier schéma de signature de groupe dynamique qui repose sur la sécurité des réseaux euclidiens.
Ces travaux sont décrits dans~\cite{LLM+16} avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang, présenté à Asiacrypt'16. Ces travaux sont décrits dans~\cite{LLM+16} avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang, et ont été présentés à Asiacrypt'16.
\subsection*{Chiffrement de groupe} \subsection*{Chiffrement de groupe}
Le chiffrement de groupe est l'analogue à la signature de groupe pour le chiffrement. Le chiffrement de groupe est l'analogue de la signature de groupe pour le chiffrement.
Dans ce contexte, un utilisateur souhaite envoyer un message à un membre du groupe, tout en gardant le destinataire du message caché au sein du groupe. Dans ce contexte, un utilisateur souhaite envoyer un message à un membre d'un groupe, tout en gardant le destinataire du message anonyme au sein de ce groupe.
De manière similaire, une autorité peut lever l'anonymat des message à l'aide d'une information secrète~\cite{KTY07}. De manière similaire, une autorité peut lever l'anonymat des message à l'aide d'une information secrète~\cite{KTY07,LYJP14}.
Une application du chiffrement de groupe est la construction d'un pare-feu d'entreprise, qui permet de garantir qu'un message possède bien un destinataire dans l'entreprise tout en garantissant des propriétés additionnelles comme l'absence de programme malicieux dans le message. Une application possible du chiffrement de groupe est la construction d'un pare-feu d'entreprise, qui permet de garantir qu'un message possède bien un destinataire dans l'entreprise tout en garantissant des propriétés additionnelles comme l'absence de programme malicieux dans le message.
En cas de doute, une autorité est capable de lever l'anonymat d'un message suspicieux. En cas de doute, une autorité est capable de lever l'anonymat d'un message suspicieux.
Pour réaliser cette construction dans le cadre des réseaux euclidiens, nous avons eu besoin de gérer des «\,relations quadratique\,». Pour réaliser cette construction dans le cadre des réseaux euclidiens, nous avons eu besoin de traiter des «\,relations quadratique\,».
Cela a été rendu possible en introduisant de nouvelles techniques de preuves pour les preuves à la Stern. Cela a été rendu possible en introduisant de techniques nouvelles sur les preuves à la Stern.
Ces techniques qui reposent sur une approche «\,diviser-pour-régner\,» sont décrites dans le chapitre~\ref{ch:ge-lwe}, ainsi que la construction du schéma de chiffrement de groupe prouvé sûr dans le modèle standard. Ces techniques, qui reposent sur une approche «\,diviser-pour-régner\,», sont décrites dans le chapitre~\ref{ch:ge-lwe}, ainsi que la construction du schéma de chiffrement de groupe prouvé sûr dans le modèle standard.
Ces travaux ont été présenté à Asiacrypt'16~\cite{LLM+16a} et ont été effectué avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang. Ces travaux ont été présentés à Asiacrypt'16~\cite{LLM+16a} et ont été effectués avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang.
\subsection*{Transfert inconscient adaptatif} \subsection*{Transfert inconscient adaptatif}
Le transfert inconscient est une primitive proposée par Rabin~\cite{Rab81} qui a ensuite été étendue par Even, Goldreich et Lempel~\cite{EGL85}. Le transfert inconscient est une primitive proposée par Rabin~\cite{Rab81} qui a ensuite été étendue par Even, Goldreich et Lempel~\cite{EGL85}.
Elle met en relation un serveur et un client qui veulent s'échanger des messages indexés de $1$ à $N$. Elle met en relation un serveur et un client qui veulent s'échanger des messages indexés de $1$ à $N$.
Le client souhaite dynamiquement obtenir des messages, tout en cachant l'indice des messages qu'il souhaite obtenir. Le client souhaite obtenir \textit{dynamiquement} des messages, tout en cachant l'indice des messages qu'il souhaite récupérer.
De son côté, la base de donnée a la garantie que le client n'obtient que les messages qu'il a demandé et n'apprend rien d'autre sur les autres messages. De son côté, la base de données a la garantie que le client n'obtient que les messages qu'il a demandé et n'apprend rien d'autre sur le reste des données.
Une autre propriété intéressante à obtenir est le contrôle d'accès~\cite{CDN09}, qui permet de protéger chaque messages par une politique d'accès.
Ainsi, un utilisateur ne peut récupérer un message que s'il en possède les droits.
Au delà de son intérêt théorique (le transfert inconscient est une brique de base \textit{complète} de la cryptographie, dans le sens où sa réalisation permet la construction de calcul multipartite sécurisé). Au delà de son intérêt théorique (le transfert inconscient est une brique de base \textit{complète} de la cryptographie, dans le sens où sa réalisation permet la construction de calcul multipartite sécurisé),
le transfert inconscient adaptatif (présenté dans le premier paragraphe), permet la protection des requêtes sur des bases de données sensibles, comme les bases de génomes.
Le transfert inconscient adaptatif (présenté dans le premier paragraphe), permet la protection des requêtes sur des bases de données sensibles, comme les bases de génomes. Nous avons proposé la première construction de schéma de transfert inconscient adaptatif avec contrôle d'accès qui repose sur des hypothèses de réseaux euclidien décrite dans le chapitre~\ref{ch:ot-lwe} et dans~\cite{LLM+17}.
Cette construction a été présentée à Asiacrypt'17. Ces travaux ont été réalisés avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang.
Nous avons proposé la première construction de schéma de transfert inconscient adaptatif avec contrôle d'accès qui repose sur des hypothèses de réseaux euclidien décrite dans le chapitre~\ref{ch:ot-lwe} et dans~\cite{LLM+17}, présenté à Asiacrypt'17. Ces travaux ont été réalisé avec Benoît Libert, San Ling, Khoa Nguyen et Huaxiong Wang.
\begin{comment} \begin{comment}
\section*{Couplages et réseaux} \section*{Couplages et réseaux}