[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

FR3091107A1 - Procédé et système de génération de clés pour un schéma de signatures anonymes - Google Patents

Procédé et système de génération de clés pour un schéma de signatures anonymes Download PDF

Info

Publication number
FR3091107A1
FR3091107A1 FR1874108A FR1874108A FR3091107A1 FR 3091107 A1 FR3091107 A1 FR 3091107A1 FR 1874108 A FR1874108 A FR 1874108A FR 1874108 A FR1874108 A FR 1874108A FR 3091107 A1 FR3091107 A1 FR 3091107A1
Authority
FR
France
Prior art keywords
entity
group
trace
anonymous
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
FR1874108A
Other languages
English (en)
Inventor
Jacques Traore
Nicolas Desmoulins
Guillaume ODRIOSOLO
Adam OUOROU
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
Orange SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Orange SA filed Critical Orange SA
Priority to FR1874108A priority Critical patent/FR3091107A1/fr
Priority to EP19845598.2A priority patent/EP3903443A1/fr
Priority to PCT/FR2019/053114 priority patent/WO2020136320A1/fr
Priority to CN201980085929.XA priority patent/CN113383512B/zh
Priority to US17/418,033 priority patent/US11936795B2/en
Publication of FR3091107A1 publication Critical patent/FR3091107A1/fr
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/46Secure multiparty computation, e.g. millionaire problem
    • H04L2209/463Electronic voting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

Ce procédé de génération de clés pour un schéma de signatures anonymes (SigA2) comporte : - une étape (F2, F4, F6) de calcul, par au moins une entité de révocation (Rj) d'une paire de clés de révocation (xjR, Pj), comprenant une clé publique et une clé privée (xjR) ladite clé privée pouvant être utilisée par ladite entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma (SigA2) ; - une étape d'enregistrement, par une entité (A) d'administration de groupe, d'au moins une entité membre (Vi) auprès dudit groupe ; - une étape (F2, F4, F6) de calcul, à partir de la clé publique (Pj) de ladite au moins une paire de clés de révocation, d'un générateur de trace (Pt), ledit générateur de trace (Pt) étant destiné à être utilisé par chaque dite entité membre (Vi) pour générer une trace (Ti) représentative de ladite entité membre (Vi), ladite trace (Ti), étant invariante par rapport aux signatures anonymes (σt) générées par ladite entité membre conformément audit schéma ; - ladite entité membre (Vi) étant configurée pour obtenir de façon aveugle une clé privée (SKiG) de groupe, ladite clé privée (SKiG) étant utilisée par ladite entité membre (Vi) pour générer des signatures anonymes (σi) conformes audit schéma, lesdites signatures anonymes (σi) comportant ladite trace (Ti).

Description

Description
Titre de {'invention : Procédé et système de génération de ciés pour un schéma de signatures anonymes
Technique antérieure
L'invention se situe dans le contexte de la cryptographie et plus précisément dans celui de la signature de groupe.
On rappelle qu'un schéma de signature de groupe permet à un utilisateur de prouver son appartenance à un groupe (par exemple d'enchérisseurs, de personnes ayant souscrit à un service, etc.) sans révéler son identité exacte. Les signatures de groupe ont la particularité d'être anonymes car il n'est pas possible d'identifier le signataire. Les signatures de groupe sont dites non traçables car on ne peut pas déterminer si deux signatures ont été émises par la même personne ou par deux personnes distinctes.
La validité d’une signature de groupe peut être vérifiée par quiconque grâce à une clé publique caractérisant le groupe appelée clé publique de groupe. Pour faire partie du groupe, un membre doit au préalable s'enregistrer auprès d'une entité d'administration du groupe. Lors de cette phase d'enregistrement, le futur membre obtient, de manière aveugle, une clé privée de groupe qui lui permet de signer des messages au nom du groupe. Seule une autorité de confiance de révocation, ou entité de révocation, a le pouvoir de révoquer l'anonymat d'une signature de groupe, grâce à une clé privée appelée « trappe » qu'elle seule possède. En pratique, cette trappe peut en fait être partagée entre plusieurs autorités de révocation ; il est alors nécessaire qu'elles coopèrent toutes pour lever l'anonymat d'une signature. Le membre du groupe se voit ainsi protéger contre des levées d'anonymat abusives.
Le concept de signature de groupe est décrit par exemple dans l'article de Dan Boneh, Xavier Boyen et Hovav Shacham: « Short Group Signatures. CRYPTO 2004: 41-55 ».
Pour certaines applications nécessitant de préserver l'anonymat des utilisateurs, comme le vote ou la pétition électronique, il est préférable de mettre en oeuvre une variante des signatures de groupe, appelée attestation anonyme directe (pour DAA, Direct Anonymous Attestation en anglais). Le concept de DAA est décrit par exemple dans l'article d'Ernie Brickell, Liqun Chen, et Jiangtao Li: « A New Direct Anonymous Attestation Scheme from Bilinear Maps. TRUST 2008: 166178 ».
Les attestations anonymes directes anonymes DAA, à la différence des signatures de groupe, sont, bien qu'anonymes, traçables : il est donc possible de déterminer si deux signatures DAA ont été émises par la même personne ou par deux personnes distinctes. Dans le contexte du vote ou d'une pétition électronique, cette traçabilité permettrait de s'assurer qu'un électeur n'a voté qu'une seule fois ou que la pétition électronique a bien été signée par des pétitionnaires différents.
Malheureusement on ne connaît pas de solution pour lever l'anonymat d'une signature DAA et donc identifier un signataire. Cela pose des problèmes pour certaines applications, comme le vote électronique, notamment dans les pays dans lesquels une liste d'émargement permettant d'identifier les électeurs ayant voté doit être accessible à tous les électeurs.
L'invention propose une solution de signature électronique qui ne présente pas les inconvénients des solutions mentionnées ci-dessus.
Objet et résumé de l'invention
Ainsi, et selon un premier aspect, l'invention concerne un procédé de génération de clés pour un schéma de signatures anonymes, ce procédé comportant :
- une étape de calcul, par au moins une entité de révocation, d'une paire de clés de révocation comportant une clé publique et une clé privée, cette, clé privée pouvant être utilisée par cette entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma ;
- une étape d'enregistrement, par une entité d'administration d'un groupe, d'au moins une entité membre auprès du groupe;
- une étape de calcul, à partir de la dé publique de la paire de clé de révocation, d'un générateur de trace, ledit générateur de trace étant destiné à être utilisé par chaque entité membre enregistrée dans le groupe pour générer une trace représentative de cette entité membre et invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma ;
- chaque entité membre étant configurée pour obtenir de façon aveugle une clé privée de groupe, cette clé privée étant utilisée par cette entité membre pour générer des signatures anonymes conformes au schéma, ces signatures anonymes comportant la trace.
Corrélativement, l'invention concerne un système de génération de clés pour un schéma de signatures anonymes, ce système comportant :
- au moins une entité de révocation configurée pour calculer une paire de clés de révocation comprenant une clé publique et une clé privée, cette clé privée pouvant être utilisée par l'entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma ;
- une entité d'administration de groupe configurée pour enregistrer au moins une entité membre auprès dudit groupe;
- l'entité de révocation étant configurée pour calculer, à partir d'une clé publique de la paire de clés de révocation, un générateur de trace, ce générateur de trace étant destiné à être utilisé par chaque entité membre pour générer une trace représentative de cette entité membre, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément audit schéma ;
- chaque entité membre étant configurée pour obtenir de façon aveugle une clé privée de groupe, cette clé privée étant utilisée par l'entité membre pour générer des signatures anonymes conformes au schéma, ces signatures anonymes comportant la trace.
Ainsi, et d'une façon générale, l'invention propose un procédé cryptographique de signatures anonymes dans lequel les signatures de groupe sont traçabies.
De façon avantageuse, et contrairement aux attestations anonymes directes, l'anonymat d'une signature anonyme générée par les membres du groupe conformément au schéma peut être levé par les entités de révocation.
Ce procédé cryptographique s'avère par ailleurs plus efficace, en particulier en termes de temps de calcul, que les schémas d'attestations anonymes directes DAA ou de signatures de groupe de l'état de la technique. La sécurité de ce schéma de signatures anonymes s'appuie par ailleurs sur une hypothèse de sécurité dite « non-interactive » considérée comme plus « standard » par la communauté cryptographique qu'une hypothèse de sécurité dite « interactive » (par exemple faisant appel à un oracle) sur lesquelles s'appuient les schémas d'attestations anonymes directes les plus efficaces de l'état de la technique. Un tel schéma de signatures anonymes offre ainsi une meilleure sécurité.
Dans un mode particulier de réalisation, le procédé de génération de clés proposé comporte :
- une étape de génération d'une paire de clés du schéma pour l'entité d'administration du groupe ; - la clé publique de la paire de clé de révocation étant calculée à partir d'une clé publique de cette paire de clés.
Dans un mode particulier de réalisation, le générateur de trace est renouvelé périodiquement.
Dans un mode particulier de réalisation, le générateur de trace est spécifique à un service donné. Le service correspond par exemple à un scrutin spécifique.
En effet, de par ces fonctionnalités, le procédé de génération de clés proposé peut s'appliquer au vote électronique. Il offre en effet un schéma de signature : - anonyme ce qui permet d'assurer le secret du vote ;
- traçable ce qui permet de s'assurer qu'un électeur ne vote pas deux fois ;
- dans lequel les anonymats des signatures sont révocables, permettant ainsi à des entités de révocation, en cas de recours par exemple, d'établir une liste d'émargement du scrutin.
L'invention vise aussi un procédé de signature anonyme d'un message, ce procédé étant mis en œuvre par une entité membre d'un groupe et comportant :
- une étape d'enregistrement de ce membre auprès d'une entité d'administration du groupe ;
- une étape de génération d'une trace à partir d'un générateur de trace calculé par au moins une entité de révocation et compris dans une clé publique du groupe, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma ; - une étape d'obtention, de manière aveugle d'une clé privée de groupe ;
- une étape de génération d'au moins une signature conformément à un schéma de signatures anonymes en utilisant la clé privée de groupe, la signature comportant la trace.
Corrélativement, l'invention vise un dispositif de signature anonyme d'un message mis en œuvre par une entité membre d'un groupe et comportant :
- un module d'enregistrement de cette entité membre auprès d'une entité d'administration du groupe ;
- un module de génération d'une trace à partir d'un générateur de trace calculé par au moins une entité de révocation et compris dans une clé publique du groupe, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma ; - un module d'obtention, de manière aveugle, d'une clé privée de groupe ;
- une étape de génération d'au moins une signature en utilisant cette clé privée de groupe, cette signature comportant la trace.
Dans un mode particulier de réalisation, les différentes étapes du procédé de génération de clés et du procédé de vote selon l'invention sont déterminées par des instructions de programmes d'ordinateurs.
En conséquence, l'invention vise aussi un programme d'ordinateur, sur un support d'informations, ce programme comportant des instructions adaptées à la mise en oeuvre d'au moins un procédé tel que mentionné ci-dessus.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.
L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
Brève description des dessins
D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite cidessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :
[Fig. 1] la figure 1 représente un système de génération de clés et un dispositif de signature anonyme conformes à un mode de réalisation de l'invention ;
[Fig. 2] !a figure 2 représente sous forme d'organigramme les principales étapes d'un procédé de génération de clés conforme à l'invention ;
[Fig. 3] la figure 3 représente sous forme d'organigramme les principales étapes d'un procédé de signature conforme à l'invention ;
[Fig. 4] la figure 4 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature pouvant être utilisé dans l'invention ;
[Fig. 5] la figure 5 représente, sous forme d'organigramme, les principales étapes d'un procédé de levée d'anonymat pouvant être utilisé dans l'invention ;
[Fig. 6] la figure 6 représente un système de vote électronique conforme à un mode de réalisation de l'invention ;
[Fig. 7] la figure 7 représente sous forme d'organigramme les principales étapes d'un procédé de génération de clés dans le système de vote de la figure 6;
[Fig. 8] la figure 8 représente sous forme d'organigramme les principales étapes d'un procédé de vote conforme à l'invention ;
[Fig. 9] la figure 9 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature pouvant être utilisé dans le système de vote de la figure 6;
[Fig. 10] la figure 10 représente, sous forme d'organigramme, les principales étapes d'un procédé de levée d'anonymat pouvant être utilisé dans le système de vote de la figure 6 ;
[Fig. 11] la figure 11 représente l'architecture matérielle des dispositifs utilisés dans l'invention, dans un mode particulier de réalisation.
Description détaillée des modes de réalisation
Notations et hypothèses :
Dans la suite de ce document, nous utiliserons la notation ΡοΚ(α1, α2,..., αη : 32(<Χχ, α2,..., an)) pour désigner une preuve de connaissance à divulgation nulle de connaissance d'éléments αχ, α2,..., αη satisfaisant la relation J2. Ainsi une preuve de connaissance des deux facteurs premiers d'un module RSA (du nom des inventeurs, « Rivest-Shamir-Adleman ») public N serait notée : ΡοΚ(αχ, α2 ; N = αχ - α2 Λ («ι * 1) Λ ( α2 Φ 1) ).
Dans la description à venir, p est un nombre premier ;
les groupes G1; G2 et GT sont des groupes cycliques d'ordre p ;
g, h désignent deux générateurs, choisis aléatoirement, de Gx;
h est un générateur, choisi aléatoirement, de G2;
e est un couplage bilinéaire de type 2 ou 3, défini sur l'ensemble Gx x G2 vers l'ensemble GT.
On rappelle qu'un couplage bilinéaire, noté e, est une application définie sur un ensemble Gj x G2 vers un ensemble GT où Glz G2 et GT désignent des groupes cycliques d'ordre p. Cette application e vérifie les propriétés suivantes :
- Bilinéarité : Vgj e Glz v g2 e G2 et v (a, b) e Zp, e(g?,g£) = e(g1;g2)ab.
- Non dégénérée : Pour g! φ 1G1 et g2 Φ 1G2, e(gt,g2) Φ 1Gt., dans lequel 1G1 et 1G2 désignent respectivement l'élément neutre des groupes Glz G2.
- Calculable : Vgj e Gj, Vg2 e G2, il existe un algorithme efficace pour calculer e(g1,g2).
En pratique, les groupes Glx G2 et GT seront choisis de telle sorte qu'il n'existe pas d'isomorphisme calculable efficacement entre G! et G2. De tels couplages sont connus sous le nom de couplages de « Type 3 » dans la littérature. En pratique, et pour un niveau de sécurité de 128 bits, les tailles recommandées des paramètres d'un couplage de « Type 3 » sont les suivantes : 256 bits pour le nombre premier p ainsi que pour les éléments de G1( 512 pour ceux de G2 et 3072 pour ceux de GT.
La sécurité du schéma repose en partie sur l'hypothèse que les problèmes ci-dessous sont difficiles. En d'autres termes, si un attaquant est en mesure de mettre en défaut la sécurité du schéma cryptographique, alors il est également à même de résoudre ces problèmes pourtant réputés « difficiles ».
Problème DDH. Soit G un groupe cyclique d'ordre premier p. Étant donné un générateur g e G, deux éléments quelconques ga, gb e G et un candidat X e G, le problème Diffie-Hellman décisionnel (DDH) consiste à déterminer si X = gab ou non.
Dans le cas des schémas fondés sur des couplages bilinéaires, des problèmes difficiles spécifiques existent. Pour les couplages utilisés dans l'invention, les inventeurs font l'hypothèse que le problème DDH est difficile dans les groupes Gi et G2. Cette hypothèse est connue sous le nom d'hypothèse de Diffie-Hellman symétrique externe (SXDH).
Pour le procédé selon l'invention, il peut être démontré que si un tiers (ne disposant pas des clés des autorités de révocation) arrive à identifier le signataire de n'importe quelle signature anonyme alors c'est qu'il est également en mesure de résoudre le problème SXDH.
Problème q-MSDH. Soit (p,Gj, G2,GT,e) un environnement bilinéaire de « Type 3 » et g (respectivement g) un générateur de Gi (respectivement de G2). Étant donné {(gx‘ ,gx‘jQ ainsi que (ga,ga, gax) où a et x sont deux éléments quelconques de Z*, le problème q-MSDH consiste à trouver un quadruplet (ω, P, h^hw) où h e G], P est un polynôme de degré au maximum q et ω un élément de Zp tel que les polynômes P(X) et (X + ω) sont premiers entre eux.
Il peut être démontré que si un tiers réussit à « forger » des signatures du schéma de signatures anonymes selon l'invention, alors c'est qu'il est également en mesure de résoudre le problème q-MSDH.
Dans le mode de réalisation décrit ici, l'invention met en oeuvre, au moins dans certains de ces aspects :
- une ou piusieurs entités £c4 d'administration d'un groupe ;
- des autorités de révocation avec (t > 1) ;
- des entités J membres du groupe, g désigne le groupe des n entités membres.
La figure 1 représente un système SGC de génération de clés pour un schéma de signatures anonymes SigA2 et une entité V) membre d'un groupe g conformes à l'invention. Elle représente en outre un dispositif de vérification DV.
L'entité membre J comporte un module de communication COM et un dispositif DSA de signature anonyme conforme à l'invention.
Le système SGC de génération de clés comporte une entité EA d'administration du groupe, et des autorités de révocation avec (t > 1).
L'entité d'administration ΕΛ du groupe comporte un module de communication COM, un module cryptographique MCR et un module d'enregistrement ERG configuré pour enregistrer au moins une entité membre 1/ dans le groupe.
A cet effet, le dispositif DSA de l'entité membre L comporte un module d'enregistrement ERG configuré pour enregistrer l'entité membre F, auprès de l'entité EA d'administration du groupe.
Dans le mode de réalisation décrit ici, chaque entité de révocation comporte un module cryptographique MCR configuré pour calculer une paire de clés de révocation (x£, P J , cette paire comprenant une clé publique Pj et une clé privée x^ pouvant être utilisée par l'entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA2.
Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation est configuré pour calculer, à partir des clés privées de la paire de clés de π£·révocation, un générateur de trace Pt = Χτ 7-1 x , où X1 désigne un paramètre public produit par le système de génération de clés SGC.
Dans le mode de réalisation décrit ici, le dispositif DSA de chaque entité membre K comporte un module cryptographique MCR configuré pour générer une trace T, = Pt Si représentant l'entité membre 1) en utilisant ce générateur de trace à partir de la clé privée de l'entité membre J. Cette trace η est invariante par rapport aux signatures anonymes σ, générées par l'entité membre conformément au schéma SigA2.
Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre 1) est configuré pour obtenir, de manière aveugle, une clé privée 5/¾ de groupe.
Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre 1) est configuré pour générer des signatures de messages, en utilisant la clé privée de groupe, ces signatures comportant la trace 7).
Le dispositif de vérification DV est configuré pour vérifier si une signature anonyme est conforme au schéma de signatures anonymes SigA2. Il met en œuvre un algorithme de vérification qui prend en entrée un message msg, une signature σ, et la clé publique du groupe PKG. Il détermine si la signature σ, est valide ou non.
Dans le mode de réalisation décrit ici, le dispositif de vérification DV comporte des moyens de communication COM et un module cryptographique MCR.
Le module de communication COM du dispositif de vérification DV est configuré pour obtenir une signature anonyme σ, telle que σ, = (w, wr, γΤ,ΡΠ'; ).
Le module cryptographique MCR du dispositif de vérification DV est configuré pour déterminer que la signature anonyme σ, d'un message msg est valide si :
- w Φ 1G1
- T Ψ 1G1;
Pn'j est valide ; et
- e(w, X„) e(c1?Xi) = e(w', h).
Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation est configuré pour mettre en œuvre le procédé de levée d'anonymat d'une signature décrit ultérieurement en référence à la figure 5.
La figure 2 représente sous forme d'organigramme les principales étapes d'un procédé de 15 génération de clés du groupe conforme à l'invention.
Au cours d'une étape E2, le module cryptographique MCR de l'entité d'administration ΕΛ tire aléatoirement trois valeurs, χο,χο,Χΐ de Zp.
Au cours d'une étape E4, le module cryptographique MCR de l'entité d'administration EM calcule c = hX1,X0 = fixo,X1 = [? .
Au cours d'une étape E6, le module cryptographique MCR de l'entité d'administration EM constitue une paire de clés dans laquelle :
la clé privée SK;.:A est constituée des trois valeurs (x0 ,x0 ,x1) qui ont été tirées aléatoirement ; et la clé publique PK£M est constituée des éléments calculés à l'étape E4: PK^ = (C ΛΛΛ)·
Au cours d'une étape E8, le module cryptographique MCR de l'entité d'administration EM génère une preuve ΡΠ2 à divulgation nulle de connaissance pour prouver qu'il connaît la clé privée associée à sa clé publique. ΡΠ2 = ΡοΚ(α α2, α3 ·· C - gaih“2 Λ = h“2 Λ Xo = h®1 Λ = h“s ).
Au cours d'une étape F2, le module cryptographique MCR de chacune des entités de révocation {727}J=1 tire aléatoirement une valeur xj de Zp. Cette valeur aléatoire xÈ constitue une clé privée de i'entité de révocation Rj pour lever l'anonymat d'une signature.
Au cours d'une étape F4, les modules cryptographiques MCR des entités de révocation Rj calculent tour à tour une clé publique Pj associée à cette dé privée x£. Plus précisément, dans le 35 mode de réalisation décrit ici :
l'entité de révocation JU calcule P± - Xf® et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de Pr dans la base Xk.
l'entité de révocation T-, calcule P2 = Pf^ et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P2 dans la base Pv l'entité de révocation P,, pour t > j > 2, calcule P7 = Pj-ix>x et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de Pj dans la base
Au cours d'une étape F6, lorsque toutes les entités de révocation ont calculé leur clé publique Pjt le module cryptographique MCR de l'entité de révocation Rt constitue la clé publique du groupe PKG = (Ε^,Χ^Χο,Χ^Ρ^. Elle comporte le générateur de trace Pt - Xk J~l x obtenu à partir des clés privées de chacune des entités de révocation La clé privée associée à la clé publique de groupe est SKG = (x0,x0#X1,xs = Π[=ιΧχ)· Dans le mode de réalisation décrit ici, chaque entité membre Ιή possède un identifiant unique IDV. ainsi qu'une paire de clés privée, publique (SK,, PKO, d'un algorithme de signature numérique, la clé publique PK, ayant été certifiée par une entité de certification reconnue, par exemple par l'entité d'administration Edi. Des exemples d'algorithmes de signature numérique pouvant être utilisés à cet effet sont : RSA, DSA, ECDSA,...
Pour obtenir sa clé privée de groupe, l'entité membre V, interagit avec l'entité d'administration Edi. Au cours d'une étape G2, le module cryptographique MCR de l'entité membre K tire aléatoirement une valeur Xj e Zp et calcule C, = X**. Il génère ensuite une preuve ΡΠ; à divulgation nulle de connaissance qu'il connaît χ, le logarithme discret de C, en base Xi : Prij = PoKfcg : Q - x”1). L'exemple d'une telle preuve est fourni dans le document Claus-Peter Schnorr, « Efficient Identification and Signature for Smart Cards », Theory and Application of Cryptology, Springer, 1989.
Au cours d'une étape G4, le module cryptographique de l'entité membre L génère une signature σν. sur Cj : σν. - SignSK.(Ci) où SK, désigne la clé privée de ίζ. L'entité membre ^.transmet ensuite ces trois valeurs C, ,Pni; σν., à l'entité d'administration Edi.
Au cours d'une étape E10, le module cryptographique MCR de l'entité d'administration Edi vérifie que C, ψ 1 et que la signature σν. et que la preuve ΡΠ, sont toutes les deux valides.
Si c'est le cas, au cours d'une étape E12, le module cryptographique MCR de l'entité d'administration Edi génère deux valeurs aléatoires b et x' de Zp et calcule E - Xf ainsi qu'une paire (u, u') où u = hb et u' = uXv(Ci Xf)b = u*o+(xi+^)-vi. n prouve que la paire (u, u') a été calculée de manière conforme et notamment à partir des clés privées xQ et xk :
Π3 = ΡοΚ((Ζι, a2, α34 ; u = hai/\ u' = Λ Cïo = ga2ha3 l\E = X“4)
Au cours d'une étape E14, le module cryptographique MCR de l'entité d'administration Edi transmet E, u, u’ et la preuve ΡΠ3 à l'entité membre Vj.
Au cours d'une étape G6, le module cryptographique de l'entité membre L vérifie que u φ 1 et que la preuve ΡΠ3 est valide. Si ces deux vérifications sont concluantes, le module cryptographique de l'entité membre L génère, au cours d'une étape G7 une signature Sigv. sur C, et E : Sigv - SignSK.(Ci,E'), où SKi désigne la clé privée de l'entité membre Vj.
Au cours d'une étape G75, l'entité membre Vj transmet la signature SigVi à l'entité d'administration EX.
Au cours d'une étape E13, l'entité d'administration E<A vérifie que la signature Sigv. est valide, et si c'est le cas, transmet x' à l'entité membre Vj.
L'entité d'administration Edi maintient un registre REG contenant pour chaque entité membre Vi du groupe les valeurs suivantes :
C;, C'i — Ci E — Ci - X* , x'JL, lDt, PKi et Sigv. : REG — {Cit C'^x', Yiit lDit PKit Sigv. }” où n désigne le nombre de membres dûment enregistrés.
Au cours d'une étape G8, l'entité membre V, vérifie que E = Xfi et constitue, si cette vérification est concluante sa clé privée de groupe SK^. Celle-ci est constituée par le triplet SK}; = (Sj,u, u’) où s, = x, + x'mod p.
Dans un mode de réalisation particulier, le générateur de trace Pc est renouvelé périodiquement (toutes les heures, tous les jours, en début de mois, etc.). Il suffit pour cela que les entités de révocation renouvellent leur clé privée et recalculent selon le procédé de génération décrit précédemment le générateur de trace correspondant Pt.
Dans un mode de réalisation particulier, le générateur de trace Pt est spécifique à un service donné. Typiquement un générateur de trace Pt peut être généré pour une élection spécifique. Pour un nouveau scrutin, les entités de révocation doivent calculer de nouvelles clés privées x'^ pour en déduire un nouveau générateur de trace P't.
La figure 3 représente sous forme d'organigramme, les principales étapes d'un procédé de signature conforme à l'invention. Ce procédé de signature utilise le schéma de signatures anonymes SigA2. Ce schéma utilise un algorithme qui à partir d'un message msg, de la clé publique de groupe PKC et de la clé privée de groupe SK,j d'une entité membre, produit une signature σ, du message msg.
Conformément au schéma de signatures anonymes SigA2, pour signer anonymement un message quelconque msg e {0,1}* avec sa clé privée de groupe SK), le module cryptographique MCR de l'entité membre L tire aléatoirement, au cours d'une étape H2 une valeur l e Zp . Il calcule, à l'étape H4 la valeur w - ul et à l'étape H6 la valeur w' - (u’)'.
Au cours d'une étape H8, le module cryptographique MCR de l'entité membre Vj calcule la valeur Ci = wSi et la trace Ί\ = PtSi. Cette trace 7} calculée à partir du générateur de trace Pt et de l'élément Sj de la clé privée de groupe de l'entité membre V, ne dépend pas du message msg. Autrement dit, la trace 7} constitue un invariant des signatures émises par l'entité membre V,.
L'entité membre η prouve que le logarithme discret de dans la base w est le même que le logarithme discret de T, dans la base Pt : ΡΠ', = PoK(cq: q - w1 ^Ti = P1).
Dans le mode de réalisation de l'invention décrit ici, la preuve ΡΠ', est la paire (c,r) dans laquelle : z est une valeur aléatoire de Zp tirée par l'entité membre L ;
- T\ = wz ;
- T2 = Pt z;
- c = TfCTpl^P^rnsg);
r = z — cSj mod p
La preuve est valide si c - H(wr c[, Ptr Tf, Pt, m).
Au cours d'une étape H10, le module cryptographique MCR de l'entité membre η génère la signature anonyme σ, du message msg, celle-ci étant constituée des cinq éléments suivants : (w, w', cr, T,, PR',). Elle comporte la trace T, qui permet de tracer toutes les signatures émises par l'entité membre V).
La figure 4 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature anonyme pouvant être utilisé dans l'invention. Ce procédé est mis en oeuvre par le dispositif de vérification DV de la figure 1. Il met en œuvre un algorithme de vérification qui prend en entrée un message msg, une signature a, et la clé publique du groupe PKC. Il détermine si la signature a, est valide ou non.
Au cours d'une étape K2, le dispositif de vérification d'une signature anonyme obtient une signature anonyme σ, = (w, w', c^T^PTij).
Au cours d'une étape K4, le dispositif de vérification considère que la signature anonyme σ, d'un message msg est valide si :
w Ψ 1G1
- T * iCl;
ΡΠ'ί est valide ; et e(n', ,Ÿ0) ejc^Xf) — e(w',h).
La figure 5 représente sous forme d'organigramme les principales étapes d'un procédé de levée d'anonymat d'une signature valide σ, = (w, w', clt Tit Π', ) d'un message msg. Ce procédé ne peut être mis en œuvre que par les entités de révocation .72;. Il utilise un algorithme qui prend en entrée un message msg, une signature σίΛ la clé publique du groupe PKG et les clés privées xj des autorités de révocation et retourne 1DV. l'identité d'un entité membre L ainsi qu'une preuve que L est bien l'auteur de cette signature
Au cours d'une étape Z2, chacune des entités de révocation 52; obtient la signature anonyme σ, d'un message msg.
Au cours d'une étape Z4, les autorités de révocation {52;};=1 calculent successivement, f - ' avec To = T,.
Autrement dit :
7?! calcule Ί\ - 1 et prouve (PnJ?) que le logarithme discret de 1\ dans la base Ί\ est égal au logarithme discret de Xr dans la base Pr.
Jl2 calcule T2 - 1 et prouve (ΡΠ|) que le logarithme discret de T2 dans la base 1\ est égal au logarithme discret de Pi dans la base P2.
'R., pour t > j > 2, calcule Tj - 1 et prouve (ΡΠ2,) que le logarithme discret de 7} dans la base Tj_r est égal au logarithme discret de P7_! dans la base Pj.
Il est rappelé ici qu'il peut n'y avoir qu'une seule entité de révocation.
Si toutes les preuves produites par les autorités de révocation sont valides, Tt = 1 = x*i = c’,.
Au cours d'une étape Z6, les autorités de révocation transmettent Tt et l'ensemble des preuves {ΡΠ)?: =1 à l'entité d'administration ε<Α.
Au cours d'une étape Z8, l'entité d'administration retrouve dans son registre REG l'entrée correspondant à C', : {c^C'^x', Π,,/Ώ,, PKi,Sigv.}.
Au cours d'une étape Z10, l'entité d'administration 8cA fournit en retour à l'entité de révocation demanderesse de la levée d'anonymat, l'identifiant IDVj, les preuves {ΡΠ^}[=1 ainsi que Cj.C'j.x', PKj et Sigvj- Si toutes les preuves {ΡΠ^}·=1 sont valides, que C', = C, · X*' et que la signature Sigv. est valide alors l'entité d'administration 8<A considère que l'entité membre L dont l'identifiant est IDV. est bien l'auteur de la signature σ, du message ms#.
Lorsque le service est un vote électronique, il est alors possible de constituer une liste d'émargement à partir des identifiants obtenus par la mise en œuvre du procédé.
Description d'un deuxième mode de réalisation de l'invention
Le schéma de signatures anonymes SigA2 peut en particulier être utilisé pour mettre en œuvre une solution de vote électronique.
La figure 6 représente un système de vote électronique SVE2 conforme à l'invention. Ce système comporte un système SGC de génération de clés pour un schéma de signatures anonymes SigA2 et une entité Vt membre d'un groupe g conformes à l'invention. Il comporte en outre un dispositif de vérification DV.
Dans ce mode de réalisation, les entités membres de groupe E sont des entités électeurs.
Dans ce mode de réalisation, le système SGC de génération de clés comporte une entité d'enregistrement Jl et une entité organisateur O. Chacune fait à la fois office d'entité d'administration du groupe et d'entité de révocation du groupe. Il est bien entendu qu'il s'agit ici d'un exemple illustratif et que dans d'autres exemples la distribution des rôles attribuée aux différentes entités peut être différente. L'entité d'enregistrement <A et l'entité organisateur O comportent chacune un module de communication COM et un module cryptographique MCR. L'entité d'enregistrement <A et l'entité organisateur O comportent en outre chacune un module d'enregistrement ERG configuré pour enregistrer au moins une entité électeur dans le groupe.
Ainsi, dans ce mode de réalisation de l'invention, une entité électeur s'enregistre à la fois auprès de l'entité d'enregistrement A et auprès de l'entité organisateur O. Ce mode de réalisation permet de répartir le rôle d'administrateur de groupe entre deux entités de sorte à éviter qu'une seule entité ne soit en mesure de créer de fausses entités électeurs.
L'entité électeur V, comporte un module de communication COM et un dispositif DSA de signature anonyme conforme à l'invention.
Le dispositif DSA de l'entité électeur T comporte un module d'enregistrement ERG configuré pour enregistrer l'entité électeur T auprès de l'entité d'enregistrement A.
Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité de révocation A, O est configuré pour calculer une paire de clés de révocation dont la clé privée peut être utilisée pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA2 et pour calculer, à partir d'une clé publique de la paire de clés de révocation, un générateur de trace.
Le dispositif DSA de chaque entité électeur K comporte un module cryptographique MCR configuré pour générer une trace Tt - Pf en utilisant ce générateur de trace, cette trace T, étant invariante par rapport aux signatures anonymes σ; générées par l'entité électeur conformément au schéma SigA2.
Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité électeur V, est configuré pour obtenir, de manière aveugle, une clé privée SK) de groupe, notée s, par la suite.
Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité électeur V, est configuré pour générer des signatures σ£ de messages, en utilisant la clé privée de groupe, ces signatures comportant la trace 7).
Le dispositif de vérification DV est configuré pour vérifier si une signature anonyme σ, est conforme au schéma de signatures anonymes SigA2. Il met en œuvre un algorithme de vérification qui prend en entrée un message msg, une signature σ, et la clé publique du groupe PKG. Il détermine si la signature σ, est valide ou non.
Dans le mode de réalisation décrit ici, le dispositif de vérification DV comporte des moyens de communication COM et un module cryptographique MCR.
Le module de communication COM est apte à obtenir une signature anonyme σ; telle que σ, = (w, w', cb,Γ,,ΡΓί',· ).
Le module cryptographique MCR est configuré pour déterminer que la signature anonyme σ, d'un message msg est valide si :
- w Φ 1G1
T + IgT
ΡΠ', est valide ; et e(w, Xo) = e(w',h).
Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation A , O est configuré pour mettre en œuvre ie procédé de levée d'anonymat d'une signature décrit ultérieurement en référence à la figure 10.
La figure 7 représente sous forme d'organigramme un procédé de génération des clés des entités électeurs conforme à ce mode de réalisation de l'invention.
Au cours d'une étape VE2, ie module cryptographique MCR de l'entité organisateur O tire aléatoirement quatre valeurs x%, xg,xg,xf de Zp . Dans ce mode de réalisation, xj est une clé privée utilisée par l'entité organisateur O pour lever l'anonymat d'une entité électeur.
Au cours d'une étape VE4, le module cryptographique MCR de l'entité organisateur O calcule Cxo = gx»hs«,Xf - hx*,x£ = hx«,X? = hxi, Po = X**.
Au cours d'une étape VE6, ie module cryptographique MCR de l'entité organisateur O constitue une paire de clés dans laquelle :
la clé privée SK0 est constituée des quatre valeurs (xæ,x£,x$,xf) qui ont été tirées aléatoirement ; et la clé publique PK0 est constituée des éléments calculés à l'étape VE4: PK0 = (Cxg,Xf,X« x?,p0).
Au cours d'une étape VE8, le module cryptographique MCR de l'entité organisateur O génère une preuve VOPn2 qu'il connaît la clé privée associée à sa clé publique en générant une preuve à divulgation nulle de connaissance définie comme suit : νοπ2 = ΡοΚ(α1; a2, «3, a4: Cxo g«ih«2 A Xf = h“3 Λ Xo = h011 Λ Xf = h“3 Λ R, = X®4).
L'entité d'enregistrement A procède de la même façon.
Au cours d'une étape VE2, le module cryptographique MCR de l'entité d'enregistrement A tire aléatoirement quatre valeurs xft, x’q, x'q, xf de Zp . Dans ce mode de réalisation, xf est une clé privée utilisée par l'entité d'enregistrement A pour lever l'anonymat d'une entité électeur.
Au cours d'une étape VE4, ie module cryptographique MCR de l'entité d'enregistrement A calcule Cxf = gF'h^.Xf = h^.Xf1 = hx°,X? = hx? ,ΡΛ = xf.
Au cours d'une étape VE6, le module cryptographique MCR de l'entité d'enregistrement A constitue une paire de clés dans laquelle :
la clé privée SKA est constituée des quatre valeurs (xft, Xq, Xg, xf) qui ont été tirées aléatoirement ; et la clé publique 5ΚΛ, ΡΚΛ est constituée des éléments calculés à l'étape VE4: PK0 = (C^XiW,^).
Au cours d'une étape VE8, le module cryptographique MCR de l'entité d'enregistrement A génère une preuve VAPnz qu'il connaît la clé privée associée à sa clé publique. Cette preuve est définie comme suit :
VAPn2= ΡοΚζαχ, α2, α3, α4: (Ιχλ = gaUia2 K Xf = h3 A Xf = hai Λ Xf = ha* ΚΡΛ = Χβ)
Au cours d'une étape VF4, les modules cryptographiques MCR de l'entité organisateur O et de l'entité d'enregistrement <A, après avoir rendu publiques leurs clés publiques Po et PMl calculent
Λ χΟ χΟ chacun de leur coté un générateur de trace Pt - X/ K - P0'li = P/.
Au cours d'une étape VF6, lorsque toutes les entités de révocation, à savoir l'entité d'enregistrement Λ et l'entité organisateur O dans ce mode de réalisation, ont calculé leur clé publique, elles calculent la clé publique du groupe PKC. Elle comporte le générateur de trace Pt χ.Λ x°
- X'C χ obtenu à partir des clés privées de ces entités de révocation .A et O.
PKG = (CXo, Χχ,Χο,Χχ, Pt) où CXo = Cxo · Cxÿ, X, = Xf· xA Xo = Xg · Xf et Χχ = X? Xf.
La clé privée associée à la clé publique de groupe est
C* ZZ (y --- V D .]. y cÆ y '~γ·Ο .1. y cÆ y y O , I, y cÆ y ~~ ydl y O \ — \Λ·θ — Xq T Xq , Xq — Xq T Xq ,Χ± — X^ Ψ Xi ,Χβ — Xft X^J
Dans ce mode de réalisation, chaque entité électeur L possède un identifiant unique IDV. ainsi qu'une paire de clés, privée et publique (SKpPKj), d'un algorithme de signature numérique , la clé publique PK, ayant été certifiée au préalable par une autorité de certification reconnue, par exemple par l'entité d'enregistrement eA et par l'entité organisateur O.
Dans le mode de réalisation décrit ici, pour obtenir sa clé privée de groupe, l'entité électeur V, doit interagir avec l'entité d'administration Λ et avec l'entité organisateur O. Au cours d'une étape VG2, le module cryptographique MCR de l'entité membre L tire aléatoirement une valeur x, e Zp et calcule Q - Χ*1. Il génère ensuite une preuve VEPIT, à divulgation nulle de connaissance qu'il connaît x, le logarithme discret de C, en base Χχ : VEPIL = ΡοΚ(αχ : C, = X1).
Au cours d'une étape VG4, le module cryptographique MCR de l'entité électeur L génère une signature σν. sur C, : σν. - SignSK.(Ci) où SK; désigne la clé privée de % L'entité électeur L transmet ensuite ces trois valeurs Cj ,νΕΡΠίΛ σν., à l'entité d'administration et à l'entité organisateur O.
Au cours d'une étape VE10, le module cryptographique MCR de l'entité d'administration cA et le module cryptographique MCR de l'entité organisateur O vérifient Q ψ 1 et que la signature σν. et que la preuve PII, sont toutes les deux valides.
Si c'est le cas, au cours d'une étape VE12, le module cryptographique MCR de l'entité d'administration cA et le module cryptographique MCR de l'entité organisateur O génèrent conjointement deux valeurs aléatoires b et x’ de Zp et calculent E = X?’ ainsi qu'une paire (u, u’) où u = hb et u’ - ux°(Cî · Xx‘)h - uXo+(Xî+x')X1 . Ils prouvent que la paire (u, u’) a été calculée de manière conforme et notamment à partir des clés privées xQ et x1 :
V0An3 = ΡοΚ(αχ, a2, a3, a4 : u = ha^ Λ u' = w2(Q · Χ/'Τ'Λ CXo = f2iAÎ\E = Χβ)
On rappelle, que pour générer conjointement une valeur, par exemple la valeur x', l'entité d'administration <A et l'entité organisateur O peuvent utiliser des techniques connues de cryptographie distribuée. Par exemple, i'entité d'administration A (respectivement l'entité organisateur O) génère aléatoirement une valeur x'^ de Zp (respectivement x'° de Zp) et calcule E'M r<A >0 >
= X± (respectivement ). On obtient ainsi E = E,,A. E'° = X( où χ' = χ + x’° (mod p).
Dans ce mode de réalisation, au cours d'une étape VE14, le module cryptographique MCR de l'entité d'administration A ou de l'entité organisateur O transmet E, u, u’ et la preuve ΡΕΡΠ3 à l'entité électeur V,. En variante ces valeurs sont envoyées par l'entité d'administration A et par l'entité organisateur O et l'entité électeur V, vérifie que les valeurs reçues des deux entités A et O sont identiques.
Au cours d'une étape VG6, le module cryptographique de l'entité électeur 1/ vérifie que u φ 1 et que la preuve VOAPn3 est valide. Si ces deux vérifications sont concluantes, le module cryptographique de l'entité électeur L génère, au cours d'une étape VG7 une signature Sigv. sur C, et E : Sigv. = Sign^fC^ E), où S/ί, désigne la clé privée de l'entité électeur γ Au cours d'une étape VG75, l'entité électeur L transmet la signature SigVi à i'entité d'administration A et à l'entité organisateur O.
Au cours d'une étape VE13, I'entité d'administration A et I'entité organisateur O vérifient que la signature Sigv. est valide, et si c'est le cas, I'entité d'administration A transmet x’ à I'entité électeur η.
L'entité d'administration A maintient un registre REG non représenté contenant pour chaque entité membre V, du groupe les valeurs suivantes :
C,, C', = C, · , x', Pïlj, IDj, PR, et Sig^ : REG = {Cj, CL,χ', Pni( IDV., PKi( Sigv. }“ où n désigne le nombre d'entités électeurs dûment enregistrées.
Au cours d'une étape VG8, I'entité électeur 1/ vérifie que E - Xf et constitue, si cette vérification est concluante sa clé privée de groupe SKj;. Celle-ci est constituée par le triplet SK‘G = (Sj,u, u’) OÙ Sj - Xj + x'mod p.
La figure 8 représente sous forme d'organigramme les principales étapes d'un procédé de vote conforme à ce mode de réalisation de l'invention.
Conformément au schéma de signatures anonymes SigA2, pour signer anonymement un message quelconque msg e {0,1}* avec sa dé privée de groupe SK^, le module cryptographique MCR de I'entité électeur 1/ tire aléatoirement, au cours d'une étape VH2 une valeur 1 e Zp et calcule (étape VH4) la valeur w - u1 ainsi (étape VH6) que la valeur w' = (u')1.
Dans le cas d'un scrutin uninominal majoritaire, le message peut être constitué par le vote de I'entité électeur, éventuellement sous forme chiffrée, le chiffrement pouvant être calculé en utilisant une clé publique dont la clé privée serait partagée entre plusieurs entités assesseurs configurées pour procéder au dépouillement du vote.
Au cours d'une étape VH8, le module cryptographique MCR de I'entité électeur P] calcule la valeur q = wSi et la trace 1) = PtSi. Cette trace 1} calculée à partir du générateur de trace Pt et de l'élément s, de la clé privée de groupe de l'entité électeur P, ne dépend pas du message msg. Autrement dit, la trace Ί\ constitue donc un invariant des signatures émises par l'entité électeur V,.
L'entité électeur 1/ prouve que le logarithme discret de q dans la base w est le même que le logarithme discret de 7) dans la base Pt : νΕΡΠ', = ΡοΚζα, : q = wai Λ 7} = P1
Dans le mode de réalisation de l'invention décrit ici, la preuve VEPn'j est la paire (c,r) dans laquelle :
z est une valeur aléatoire de Zp tirée par l'entité électeur 7, ;
- Λ = wz ;
- T2 = Pt z;
- c = 7£( T1( T2, Pt, msg); r — z — es, mod p
La preuve est valide si c = wr cj, Ptr Tf, Pt,m).
Au cours d'une étape VH10, le module cryptographique MCR de l'entité électeur L génère la signature anonyme σ, du message msg, celle-ci étant constituée des cinq éléments suivants : (w, w’, clt Ί\, νΕΡΠ', ). Elle comporte la trace 7) qui permet de tracer toutes les signatures émises par l'entité électeur 1/.
La figure 9 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature anonyme conformément à l'invention.
Au cours d'une étape VK2, le dispositif de vérification d'une signature anonyme obtient une signature anonyme σ; = (w, w', c1: Ti.VEPn',).
Au cours d'une étape VK4, elle considère que la signature anonyme σ,- d'un message msg est valide si :
w Φ 1G1
- Τι Φ 1G1;
VEPn'j est valide ; et e(n', ,Ÿ0) eÇcAi) — e(w',h).
La figure 10 représente sous forme d'organigramme les principales étapes d'un procédé de levée d'anonymat de la signature valide σ, = 7),11^) d'un message msg conformément à ce deuxième mode de réalisation de l'invention. Ce procédé est mis en œuvre par l'entité d'enregistrement <A et l'entité organisateur O.
Au cours d'une étape VZ2, chacune de ces entités ·Α et O obtient la signature σ,.
Au cours d'une étape VZ4, les entités <A et O calculent successivement, 7} = 1 avec To - Tt.
O calcule TL = 1 et prouve (VOPn|) que le logarithme discret de T\ dans la base 7) est égal au logarithme discret de Xj dans la base Pp cA calcule T2 - TfXx} et prouve (VAPfl^) que le logarithme discret de T2 dans la base T\ est égal au logarithme discret de P4 dans la base P2.
Si toutes les preuves produites par les autorités de révocation sont valides, • p _ ρ (.%% ) _χδί__c'·
Dans ce mode de réalisation, au cours d'une étape VZ6, l'entité organisateur O transmet la preuve VOPH^ à l'entité d'enregistrement A.
Au cours d'une étape VZ8, l'entité d'enregistrement <A retrouve dans son registre REG l'entrée correspondant à C) : {ρ,ίΑ,χ',ΡΠί, 11),, PKpSigy.}.
Au cours d'une étape VZ10, l'entité d'enregistrement <A retourne l'identifiant IDVj, les preuves VOPfl^ ainsi et VAPII| que C^C'^x', PKj et SigVi- Si toutes les preuves sont valides, que C) = C, · Xÿ et que la signature Sigv. est valide alors l'entité d'enregistrement A considère que l'entité électeur 1/ dont l'identifiant est IDV. est bien l'auteur de la signature C; du message msg.
Dans le mode de réalisation décrit ici, l'entité d'administration 8<A, les entités de révocation fo, l'entité organisateur O, l'entité d'enregistrement <A, le dispositif de vérification DV les entités membres ou électeurs V, ont l'architecture matérielle d'un ordinateur ORD tel que représenté schématiquement à la figure 11.
L'ordinateur ORD comprend notamment un processeur 7, une mémoire morte 8, une mémoire vive 9, une mémoire non volatile 10 et des moyens de communication COM. Ces moyens de communication COM permettent aux différentes entités de communiquer entre eux notamment. Ils peuvent comprendre une ou plusieurs interfaces de communication sur un ou plusieurs réseaux de télécommunication (fixes ou mobiles, avec ou sans fil, etc.).
La mémoire morte 8 de l'ordinateur ORD constitue un support d'enregistrement conforme à l'invention, lisible par le processeur et sur lequel est enregistré un programme d'ordinateur conforme à l'invention, désigné de façon générale ici par PROG, comportant des instructions pour l'exécution de l'un des procédés objets de l'invention. Ainsi :
— pour l'entité d'administration 8A, le programme PROG est un programme PROG1 comportant des instructions pour l'exécution des étapes E2 à E12 d'un procédé de génération de clé conforme à l'invention, et des étapes Z8 à Z10 d'un procédé de levée d'anonymat conforme à l'invention, — pour les entités de révocation fo, le programme PROG est un programme PROG1 comportant des instructions pour l'exécution des étapes F2 à F6 d'un procédé de génération de clé conforme à l'invention, et des étapes Z2 à Z6 d'un procédé de levée d'anonymat conforme à l'invention, — pour l'entité organisateur O, le programme PROG est un programme PROG2 comportant des instructions pour l'exécution des étapes VE2 à VE12 d'un procédé de génération de clé conforme à l'invention et des étapes VZ2 à VZ6 d'un procédé de levée d'anonymat conforme à l'invention, — pour l'entité d'enregistrement A, le programme PROG est un programme PROG3, comportant des instructions pour l'exécution des étapes VE2 à VE12 d'un procédé de génération de clé conforme à l'invention et des étapes VZ2 à VZ10 d'un procédé de levée d'anonymat conforme à l'invention, — pour le dispositif de vérification DV, le programme PROG est un programme PROG4 comportant des instructions pour l'exécution des étapes K2 à K4 ou VK2 à VK4 d'un procédé de vérification de signature conforme à l'invention, — pour les entités membres Vi; le programme PROG est un programme PROG5, comportant des instructions pour l'exécution des étapes G2 à G8 ou VG2 à VG8 du procédé de génération de clé conforme à l'invention, des étapes H2 à H10 ou VH2 à VH10 d'un procédé de signature conforme à l'invention.
Chacun de ces programmes définit, de façon équivalente, des modules fonctionnels du dispositif ou du module sur lequel il est installé, aptes à mettre en œuvre les étapes du procédé concerné et s'appuyant sur les éléments matériels 7-10 de l'ordinateur ORD.

Claims (1)

  1. Revendications [Revendication 1] Procédé de génération de clés pour un schéma de signatures anonymes (SigA2), ledit procédé comportant :
    - une étape (F2, F4, F6) de calcul, par au moins une entité de révocation (¾) d'une paire de clés de révocation (xfPj), comprenant une clé publique et une clé privée (xf) ladite clé privée pouvant être utilisée par ladite entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma (SigA2) ;
    - une étape d'enregistrement, par une entité (cÆ) d'administration de groupe, d'au moins une entité membre (F) auprès dudit groupe;
    - une étape (F2, F4, F6) de calcul, à partir de la clé publique (P;) de ladite au moins une paire de clés de révocation, d'un générateur de trace (Pt), ledit générateur de trace (Pt) étant destiné à être utilisé par chaque dite entité membre (½) pour générer une trace (T,) représentative de ladite entité membre (P)), ladite trace (T.), étant invariante par rapport aux signatures anonymes (σέ) générées par ladite entité membre conformément audit schéma ;
    - ladite entité membre (½) étant configurée pour obtenir de façon aveugle une clé privée (SK)) de groupe, ladite clé privée (SK)) étant utilisée par ladite entité membre (K) pour générer des signatures anonymes (σ,) conformes audit schéma, lesdites signatures anonymes (σ,) comportant ladite trace (η).
    [Revendication 2] Procédé de génération de clés selon la revendication 1 , ledit procédé comportant : - une étape (E2, E4, E6, VE2, VE4) de génération, par au moins une entité (A) d'administration du groupe, d'une paire de clés (SKA,PKM) dudit schéma pour au moins une entité (A.) d'administration du groupe ;
    - la clé publique (P,) de ladite au moins une entité de révocation (R.) étant calculée (F2, F4, F6) à partir d’une clé publique (Ά3) de ladite paire de clés (ska,pka).
    [Revendication 3] Procédé de génération de clés selon la revendication 1 ou 2 dans lequel ledit générateur de trace (Pt) est renouvelé périodiquement.
    [Revendication 4] Procédé selon l'une quelconque des revendications 1 à 3 dans lequel ledit générateur de trace (Pt) est spécifique à un service donné.
    [Revendication 5] Procédé de signature anonyme d’un message (msg) mis en œuvre par une entité membre (½) d'un groupe et comportant :
    - une étape d'enregistrement dudit membre (½) auprès d'une entité (A) d'administration du groupe ; - une étape (H8) de génération, par ladite entité membre (V·), d'une trace (Ί}), à partir d'un générateur de trace (Pt) calculé par au moins une entité de révocation (Æy) et compris dans une clé publique (PKG) dudit groupe, ladite trace (7)) étant invariante par rapport aux signatures anonymes (σέ) générées par ladite entité membre conformément audit schéma ;
    - une étape d'obtention, de manière aveugle, par ladite entité membre (7), d'une clé privée (SK^) de groupe ;
    - une étape (H10) de génération d'au moins une signature (σέ), conformément à un schéma de signatures anonymes (SigA2) en utilisant ladite clé privée, ladite signature comportant ladite trace (Tt)· [Revendication 6] Système de génération de clés pour un schéma de signatures anonymes (SigA2), ce système comportant :
    - au moins une entité de révocation (¾) configurée pour calculer une paire de clés de révocation (χ.^,β) comprenant une clé publique et une clé privée (x£), ladite clé privée (x£) pouvant être utilisée par ladite entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma (SigA2) ;
    - une entité (Λ) d'administration de groupe configurée pour enregistrer au moins une entité membre (½) auprès dudit groupe;
    - ladite au moins une entité de révocation (32,·) étant configurée pour calculer, à partir d’une clé publique (P,·) de ladite au moins une paire de clés de révocation, un générateur de trace (Pt), ledit générateur de trace (Pt) étant destiné à être utilisé par chaque dite entité membre (V)) pour générer une trace représentative de ladite entité membre (7,:), ladite trace (7)) étant invariante par rapport aux signatures anonymes (σέ) générées par ladite entité membre conformément audit schéma ;
    - ladite entité membre (½) étant configurée pour obtenir de façon aveugle une clé privée (SKl G) de groupe, ladite clé privée (5¾ ) étant utilisée par ladite entité membre (7) pour générer des signatures anonymes (σ<) conformes audit schéma, lesdites signatures anonymes (oy) comportant ladite trace CA)· [Revendication 7] Dispositif de signature anonyme (DSA) d'un message mis en œuvre par une entité membre (VJ) d'un groupe et comportant :
    - un module d'enregistrement de ladite entité membre (7) auprès d'une entité (<A.) d'administration du groupe ;
    - un module de génération d'une trace (7)) à partir d'un générateur de trace calculé par au moins une entité de révocation (æj et compris dans une clé publique (PKG) dudit groupe, ladite trace (7)) étant invariante par rapport aux signatures anonymes (σέ) générées par ladite entité membre conformément audit schéma ;
    - un module d’obtention, de manière aveugle, d'une clé privée (SK^) de groupe ;
    - une étape (H10) de génération d'au moins une signature (σέ) en utilisant ladite clé privée de groupe, ladite signature comportant ladite trace (7)).
    [Revendication 8] Système de vote électronique (SVE) comportant un système de génération de clés selon la revendication 6 et au moins un dispositif de signature anonyme selon la revendication 7.
    [Revendication 9] Programme d'ordinateur comprenant des instructions pour mettre en œuvre un 5 procédé de génération de clés selon l'une quelconque des revendications 1 à 4 lorsqu'il est exécuté par un ordinateur.
    [Revendication 10] Programme d'ordinateur comprenant des instructions pour mettre en œuvre un procédé de signatures anonymes selon la revendication 5 lorsqu'il est exécuté par un ordinateur/
FR1874108A 2018-12-24 2018-12-24 Procédé et système de génération de clés pour un schéma de signatures anonymes Withdrawn FR3091107A1 (fr)

Priority Applications (5)

Application Number Priority Date Filing Date Title
FR1874108A FR3091107A1 (fr) 2018-12-24 2018-12-24 Procédé et système de génération de clés pour un schéma de signatures anonymes
EP19845598.2A EP3903443A1 (fr) 2018-12-24 2019-12-17 Procédé et système de génération de clés pour un schéma de signatures anonymes
PCT/FR2019/053114 WO2020136320A1 (fr) 2018-12-24 2019-12-17 Procédé et système de génération de clés pour un schéma de signatures anonymes
CN201980085929.XA CN113383512B (zh) 2018-12-24 2019-12-17 用于生成匿名签名方案的密钥的方法和系统
US17/418,033 US11936795B2 (en) 2018-12-24 2019-12-17 Method and system for generating keys for an anonymous signature scheme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1874108A FR3091107A1 (fr) 2018-12-24 2018-12-24 Procédé et système de génération de clés pour un schéma de signatures anonymes

Publications (1)

Publication Number Publication Date
FR3091107A1 true FR3091107A1 (fr) 2020-06-26

Family

ID=67441203

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1874108A Withdrawn FR3091107A1 (fr) 2018-12-24 2018-12-24 Procédé et système de génération de clés pour un schéma de signatures anonymes

Country Status (5)

Country Link
US (1) US11936795B2 (fr)
EP (1) EP3903443A1 (fr)
CN (1) CN113383512B (fr)
FR (1) FR3091107A1 (fr)
WO (1) WO2020136320A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4049406A1 (fr) * 2019-10-23 2022-08-31 "Enkri Holding", Limited Liability Company Procédé et système d'identification anonyme d'un utilisateur

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050268103A1 (en) * 2004-05-28 2005-12-01 International Business Machines Corporation Anonymity revocation
FR2940726A1 (fr) * 2008-12-30 2010-07-02 France Telecom Signature de groupe a verification locale de revocation avec capacite de levee d'anonymat

Family Cites Families (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6446052B1 (en) * 1997-11-19 2002-09-03 Rsa Security Inc. Digital coin tracing using trustee tokens
US7234059B1 (en) * 2001-08-09 2007-06-19 Sandia Corporation Anonymous authenticated communications
AU2002332671A1 (en) * 2001-08-13 2003-03-03 Board Of Trustees Of The Leland Stanford Junior University Systems and methods for identity-based encryption and related cryptographic techniques
FR2834598B1 (fr) * 2002-01-04 2004-02-20 France Telecom Procede et dispositif de signature anonyme au moyen d'une cle privee partagee
FR2834841B1 (fr) * 2002-01-17 2004-05-28 France Telecom Procede cryptographique de revocation a l'aide d'une carte a puce
FR2842680A1 (fr) * 2002-07-19 2004-01-23 France Telecom Procede de signature de liste et application au vote electronique
JP2005537711A (ja) * 2002-08-28 2005-12-08 ドコモ コミュニケーションズ ラボラトリーズ ユー・エス・エー インコーポレーティッド 証明書に基づく暗号化および公開鍵構造基盤
FR2847401A1 (fr) * 2002-11-14 2004-05-21 France Telecom Procede d'acces a un service avec authentification rapide et anonymat revocable et systeme d'ouverture et de maintien de session
FR2855343B1 (fr) * 2003-05-20 2005-10-07 France Telecom Procede de signature electronique de groupe avec anonymat revocable, equipements et programmes pour la mise en oeuvre du procede
US8689000B2 (en) * 2003-05-21 2014-04-01 Hewlett-Packard Development Company, L.P. Use of certified secrets in communication
JP4692284B2 (ja) * 2004-01-23 2011-06-01 日本電気株式会社 グループ署名システム、方法、装置、およびプログラム
DE602004006373T2 (de) * 2004-03-02 2008-01-17 France Telecom Verfahren und Vorrichtungen zur Erstellung fairer Blindunterschriften
JP4818264B2 (ja) * 2004-05-19 2011-11-16 フランス テレコム リスト署名を生成する方法及びシステム
US20080091941A1 (en) * 2004-09-03 2008-04-17 Nec Corporation Group Signature System, Member Status Judging Device, Group Signature Method And Member Status Judging Program
JP4768979B2 (ja) * 2004-10-19 2011-09-07 株式会社東芝 匿名注文システム、装置及びプログラム
JP4218760B2 (ja) * 2005-07-01 2009-02-04 インターナショナル・ビジネス・マシーンズ・コーポレーション トレーサビリティ検証システム、方法、プログラム
FR2892252B1 (fr) * 2005-10-17 2008-01-25 Oberthur Card Syst Sa Procede et dispositif de creation d'une signature de groupe et procede et dispositif de verification d'une signature de groupe associes.
US7958057B2 (en) * 2007-03-28 2011-06-07 King Fahd University Of Petroleum And Minerals Virtual account based new digital cash protocols with combined blind digital signature and pseudonym authentication
US7844614B2 (en) * 2007-04-30 2010-11-30 Intel Corporation Apparatus and method for enhanced revocation of direct proof and direct anonymous attestation
CN101359986B (zh) * 2007-04-30 2013-05-29 英特尔公司 用于根据双线性映射的直接匿名证明的装置和方法
US8078876B2 (en) * 2007-04-30 2011-12-13 Intel Corporation Apparatus and method for direct anonymous attestation from bilinear maps
US20080307223A1 (en) * 2007-06-08 2008-12-11 Brickell Ernest F Apparatus and method for issuer based revocation of direct proof and direct anonymous attestation
KR101099814B1 (ko) * 2007-07-11 2011-12-27 도시바 솔루션 가부시끼가이샤 그룹 서명 시스템, 장치 및 기록 매체
CA2693371C (fr) * 2007-07-19 2013-12-10 Telcordia Technologies, Inc. Procede pour une infrastructure de cle publique fournissant integrite et anonymat de communication tout en detectant une communication malveillante
US8356181B2 (en) * 2007-11-15 2013-01-15 Intel Corporation Apparatus and method for a direct anonymous attestation scheme from short-group signatures
GB0801662D0 (en) * 2008-01-30 2008-03-05 Hewlett Packard Development Co Direct anonymous attestation using bilinear maps
US8499149B2 (en) * 2008-02-20 2013-07-30 Hewlett-Packard Development Company, L.P. Revocation for direct anonymous attestation
JP4764447B2 (ja) * 2008-03-19 2011-09-07 株式会社東芝 グループ署名システム、装置及びプログラム
WO2010013699A1 (fr) * 2008-07-28 2010-02-04 日本電気株式会社 Système de signature
US8145897B2 (en) * 2008-09-29 2012-03-27 Intel Corporation Direct anonymous attestation scheme with outsourcing capability
WO2010137508A1 (fr) * 2009-05-29 2010-12-02 日本電気株式会社 Dispositif de signature, dispositif de vérification de signature, système d'authentification anonyme, procédé de signature, procédé d'authentification de signature et programmes correspondants
EP2441207B8 (fr) * 2009-06-12 2020-08-05 Orange Procédé cryptographique d'authentification anonyme et d'identification séparée d'un utilisateur
FR2970357B1 (fr) * 2011-01-07 2013-01-11 Oridao Dispositif et procede de tracage
US8707046B2 (en) * 2011-05-03 2014-04-22 Intel Corporation Method of anonymous entity authentication using group-based anonymous signatures
WO2014141202A1 (fr) * 2013-03-15 2014-09-18 Ologn Technologies Ag Systèmes, procédés et appareils de stockage et de fourniture sécurisés d'informations de paiement
FR3003713B1 (fr) * 2013-03-25 2016-10-07 Morpho Signature de groupe utilisant un pseudonyme
EP2846492A1 (fr) * 2013-09-05 2015-03-11 Thomson Licensing Procédés et dispositifs de signature de groupe cryptographique
CN104753683B (zh) * 2015-04-08 2018-04-17 西安电子科技大学 车联网中具有高效撤销的群签名方法
WO2017049111A1 (fr) * 2015-09-18 2017-03-23 Jung-Min Park Signatures de groupe avec révocation probabiliste
US10742413B2 (en) * 2017-04-25 2020-08-11 International Business Machines Corporation Flexible verifiable encryption from lattices
GB201800493D0 (en) * 2018-01-11 2018-02-28 Univ Oxford Innovation Ltd Computer-implemented method for managing user-submitted reviews using anonymous reputation system
US10320569B1 (en) * 2018-04-05 2019-06-11 HOTYB, Inc. Systems and methods for authenticating a digitally signed assertion using verified evaluators
WO2020082031A1 (fr) * 2018-10-18 2020-04-23 Eian Labs Inc. Audit de transaction confidentielle à l'aide d'une structure de données authentifiées

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050268103A1 (en) * 2004-05-28 2005-12-01 International Business Machines Corporation Anonymity revocation
FR2940726A1 (fr) * 2008-12-30 2010-07-02 France Telecom Signature de groupe a verification locale de revocation avec capacite de levee d'anonymat

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
DAN BONEHXAVIER BOYENHOVAV SHACHAM: "Short Group Signatures", 2004, CRYPTO, pages: 41 - 55
DESMOULINS NICOLAS ET AL: "Direct Anonymous Attestations with Dependent Basename Opening", 22 October 2014, INTERNATIONAL CONFERENCE ON COMPUTER ANALYSIS OF IMAGES AND PATTERNS. CAIP 2017: COMPUTER ANALYSIS OF IMAGES AND PATTERNS; [LECTURE NOTES IN COMPUTER SCIENCE; LECT.NOTES COMPUTER], SPRINGER, BERLIN, HEIDELBERG, PAGE(S) 206 - 221, ISBN: 978-3-642-17318-9, XP047302160 *
ERNIE BRICKELLLIQUN CHENJIANGTAO LI: "A New Direct Anonymous Attestation Scheme from Bilinear Maps", 2008, TRUST, pages: 166 - 178
SCHNORR: "Theory and Application", 1989, CRYPTOLOGY, SPRINGER, article "Efficient Identification and Signature for Smart Cards"

Also Published As

Publication number Publication date
WO2020136320A1 (fr) 2020-07-02
EP3903443A1 (fr) 2021-11-03
US11936795B2 (en) 2024-03-19
CN113383512B (zh) 2024-09-10
CN113383512A (zh) 2021-09-10
US20220103377A1 (en) 2022-03-31

Similar Documents

Publication Publication Date Title
EP3010177B1 (fr) Procédé d&#39;authentification d&#39;un dispositif client auprès d&#39;un serveur à l&#39;aide d&#39;un élément secret
JP4639084B2 (ja) セキュア認証の暗号方法および暗号装置
EP3506557A1 (fr) Méthode d&#39;échange de clés par contrat intelligent déployé sur une chaine de blocs
FR3091108A1 (fr) Procédé et système de vote électronique
EP1523824B1 (fr) Procede de signature de liste et application au vote electronique
WO2007045745A1 (fr) Procede et dispositif de creation d&#39;une signature de groupe et procede et dispositif de verification d&#39;une signature de groupe associes
CA2895189C (fr) Signature de groupe utilisant un pseudonyme
Neji et al. Distributed key generation protocol with a new complaint management strategy
EP2371083B1 (fr) Signature de groupe a vérification locale de révocation avec capacité de levée d&#39;anonymat
WO2019110399A1 (fr) Dispositif et procédé de signature bipartite
WO2005122466A1 (fr) Abrege descriptif procede et systeme de signature de liste
Petit et al. On the potential of PUF for pseudonym generation in vehicular networks
EP3965361A1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
FR3091107A1 (fr) Procédé et système de génération de clés pour un schéma de signatures anonymes
Crites et al. Syra: Sybil-resilient anonymous signatures with applications to decentralized identity
FR3102024A1 (fr) Procédé de gestion d’une base de données de clés publiques, procédé d’authentification de clés publiques, et dispositifs serveur et client mettant en œuvre ces procédés
EP3008851B1 (fr) Procédé et système de délégation d&#39;un calcul d&#39;une valeur de couplage bilinéaire à un serveur de calcul
Strefler Broadcast Encryption with Traitor Tracing
EP1989819B1 (fr) Procéde de certification de clé publique par un prestataire non accrédité
Kobayashi An evaluation of the secret voting method using a one-way homomorphic function for network meetings
WO2008081151A2 (fr) Procede de signature de liste anonyme et correlable
FR2911025A1 (fr) Procede de signature de liste anonyme et tracable sans levee d&#39;anonymat
WO2011027071A1 (fr) Procédé cryptographique d&#39;abonnement anonyme a un service
FR3029667A1 (fr) Procede d&#39;encapsulation d&#39;une cle de session
EP3063898A1 (fr) Signature a pseudonyme pour carte a puce

Legal Events

Date Code Title Description
PLFP Fee payment

Year of fee payment: 2

PLSC Publication of the preliminary search report

Effective date: 20200626

ST Notification of lapse

Effective date: 20210806