Signature de Boneh-Lynn-Shacham

En cryptologie, le schéma de signature de Boneh-Lynn-Shacham (BLS) est un mécanisme de signature numérique inventé en 2001 par Dan Boneh, Ben Lynn et Hovav Shacham^[1]. Il s'agit du premier exemple de signature construit en cryptographie à base de couplages, s'appuyant sur l'accouplement de Weil pour obtenir des signatures très courtes^[2]. Son introduction a motivé de nombreuses questions théoriques et pratiques (groupes « gap Diffie-Hellman », hachage vers les courbes elliptiques, etc. voir plus bas) et il a permis la conception de nouvelles primitives efficaces^[3].

Description[modifier | modifier le code]

Groupe gap Diffie-Hellman[modifier | modifier le code]

La construction BLS s'appuie sur un groupe dans lequel résoudre la version décisionnelle du problème de Diffie-Hellman est facile, mais résoudre la version calculatoire est difficile^{[Note 1]}. Un tel écart (en anglais, gap) n'est pas connu pour les groupes classiques utilisés en cryptographie, tels que les groupes multiplicatifs des corps finis $\mathbb {F} _{q}^{\times }$ .

En revanche, la situation est différente pour le groupe des points rationnels d'une courbe elliptique^{[Note 2]} : le problème calculatoire peut demeurer difficile, mais l'existence de l'accouplement de Weil rend trivial le problème décisionnel de Diffie-Hellman. Autrement dit, il est possible d'exhiber un groupe $G$ et un générateur $g$ et une fonction $e:G\times G\to G_{T}$ tels que :

Étant donnés $(g,g^{x},g^{y})$ il soit difficile de calculer $g^{xy}$ ;
Étant donnés $(g^{z},g^{x},g^{y})$ , on a $e(g^{x},g^{y})=e(g,g)^{xy}$ et $e(g,g^{z})=e(g,g)^{z}$ . En comparant ces deux valeurs, on détermine si $xy=z$ .

Un groupe de ce type est dit « gap Diffie-Hellman ».

Le groupe $G_{T}$ dans lequel $e$ prend ses valeurs n'est autre que le groupe des racines $n$ -ièmes de l'unité, pour un entier $n$ fixé. La fonction $e$ est obtenue à partir de l'accouplement de Weil^{[Note 3]}, lequel se calcule via l'algorithme de Miller.

Signature BLS[modifier | modifier le code]

Paramètres publics[modifier | modifier le code]

Le schéma de signature BLS repose sur trois algorithmes décrits ci-dessous. On se donne préalablement un groupe gap Diffie-Hellman $(G,G_{T},e)$ de générateur $g$ et d'ordre premier $p$ . On se donne également une fonction de hachage cryptographique $H:\{0,1\}\to G$ ^{[Note 4]}.

En principe, le groupe et la fonction de hachage sont choisis en fonction d'un paramètre de sécurité donné $1^{\lambda }$ . Le groupe, la fonction $H$ , et le paramètre de sécurité sont implicitement partagés avec tous les algorithmes.

Génération de clés[modifier | modifier le code]

Un nombre $x\in \mathbb {Z} /(p)$ est choisi et constitue la clé privée. Le point $v=g^{x}$ constitue la clé publique.

Signature[modifier | modifier le code]

Soit $M\in \{0,1\}^{*}$ un message, la signature est $\sigma =H(M)^{x}$ .

Vérification[modifier | modifier le code]

Cet algorithme prend en entrée la clé publique $v$ , un message $M$ et une signature $\sigma$ et renvoie une erreur si $(g,v,H(M),\sigma )$ n'est pas un 4-uplet de Diffie-Hellman, autrement dit si $e(v,H(M))\neq e(g,\sigma )$ . Sinon la signature est valide.

En effet, on a pour une signature générée honnêtement

{\begin{aligned}e(v,H(M))&=e(g^{x},H(M))\\&=e(g,H(M))^{x}\\&=e(g,H(M)^{x})\\&=e(g,\sigma )\end{aligned}}

Une particularité inhabituelle de ce schéma de signature est que la vérification (qui invoque le calcul de

e

, c'est-à-dire de l'algorithme de Miller) est plus lente que la signature (qui n'est qu'une multiplication sur la courbe).

Aspects techniques[modifier | modifier le code]

Choix du groupe[modifier | modifier le code]

La construction de Boneh-Lynn-Shacham repose sur un groupe gap Diffie-Hellman, et propose d'obtenir un tel groupe à partir de courbes elliptiques. La difficulté est de construire une courbe sur laquelle le problème calculatoire de Diffie-Hellman (CDH) est difficile (donc, a fortiori, le problème du logarithme discret), mais le problème décisionnel (DDH) est facile. On décrit ici la démarche adoptée pour BLS.

Soit $E$ une courbe elliptique définie sur un corps fini $\mathbb {F} _{q}$ , possédant $m$ points, et soit $n$ un entier premier tel que $n^{2}\nmid m$ . S'il existe un point $P$ sur $E$ d'ordre $n$ , on dit que le groupe $\langle P\rangle$ engendré par $P$ a pour « degré de plongement » $k$ , où $k$ est le plus petit entier satisfaisant :

n\mid q^{k}-1\qquad {\text{mais}}\qquad n\nmid q^{\ell }-1{\text{ pour tout }}\ell =1,\dotsc ,k-1

Essentiellement,

k

mesure la taille de la plus petite extension de

\mathbb {F} _{q}

dans laquelle toutes les racines

n

-ièmes de l'unité existent. Le calcul de l'accouplement de Weil est efficace lorsque

k

est petit, ce qui permet de résoudre DDH. Mais si

k

est trop petit, le problème du logarithme discret sur

E

peut être plongé comme un problème de logarithme discret dans l'extension

\mathbb {F} _{q^{k}}

, où des algorithmes plus efficaces sont disponibles (par exemple GNFS), ce qui casse CDH^{[Note 5]}. Il s'agit donc de trouver un compromis, c'est-à-dire une courbe telle que la valeur de

k

assez grande pour que CDH soit difficile, mais assez petite pour que DDH soit toujours facile.

BLS proposent d'utiliser les courbes $E^{\pm }:y^{2}=x^{3}+2x\pm 1$ définie sur $\mathbb {F} _{3^{\ell }}$ avec $\ell$ premier^{[Note 6]}^,^[4]^,^[5]. Il s'agit de courbes supersingulières, de degré de plongement 6^{[Note 7]}, sur lesquelles CDH est au plus aussi difficile que le logarithme discret dans $\mathbb {F} _{3^{6\ell }}$ . Depuis ces travaux, plusieurs courbes ont été proposées qui possèdent de meilleures propriétés^[6]^,^[7]^,^[8] ainsi que d'autre accouplements plus faciles à calculer (notamment ceux de Tate)..

Hachage vers les courbes elliptiques[modifier | modifier le code]

Un autre ingrédient des signatures BLS est la fonction de hachage $H:\{0,1\}\to G$ , qui prend ses valeurs dans le groupe, c'est-à-dire ici dans une courbe elliptique. Il s'agit d'un problème ardu en général, qui n'était pas résolu au moment de la publication de BLS. La première construction d'une fonction de hachage de ce type a été proposée en 2010^[9]^,^[10].

Sécurité[modifier | modifier le code]

Le schéma de signature BLS est prouvé sûr contre les contrefaçons existentielles dans les attaques adaptatives à message choisi (EF-CMA2), par réduction dans le modèle de l'oracle aléatoire à la résolution du problème calculatoire de Diffie-Hellman dans le groupe $G$ ^[1].

Application[modifier | modifier le code]

Les signatures du BLS sont largement utilisées dans la version 2 (Eth2) de la blockchain Ethereum pour garantir de manière cryptographique qu'un validateur Eth2 spécifique a effectivement vérifié une transaction particulière^[11].

Notes et références[modifier | modifier le code]

Notes[modifier | modifier le code]

↑ Au sens habituel qu'il n'existe pas d'algorithme en temps polynomial pour résoudre ce problème.
↑ On utilise ici, en suivant BLS, une notation multiplicative pour le groupe des points de la courbe elliptique.
↑ Ce n'est pas l'accouplement de Weil lui-même, puisqu'il s'agit d'une forme alternante i.e. $e_{W}(g,h)=e_{W}(g,h)^{-1}$ , ce qui donnerait un résultat trivial lorsque $h=g^{u}$ .
↑ On exige que la fonction $H$ ne prenne jamais pour valeur l'élément neutre de $G$ .
↑ Il s'agit exactement de l'attaque de Menezes-Okamoto-Vanstone.
↑ Ce choix permet d'éviter les attaques basées sur la descente de Weil, voir références ci-après.
↑ Une courbe supersingulière ne peut pas avoir une valeur de $k$ plus grande.

Références[modifier | modifier le code]

↑ ^{a et b} (en) Dan Boneh, Ben Lynn et Hovav Shacham, « Short Signatures from the Weil Pairing », dans Advances in Cryptology — ASIACRYPT 2001, Springer Berlin Heidelberg, 2001 (ISBN 9783540429876, DOI 10.1007/3-540-45682-1_30, lire en ligne), p. 514–532
↑ (en) Dan Boneh, « BLS Short Digital Signatures », dans Encyclopedia of Cryptography and Security, Springer US, 2011 (ISBN 9781441959058, DOI 10.1007/978-1-4419-5906-5_140, lire en ligne), p. 158–159
↑ (en) Dan Boneh, Craig Gentry, Ben Lynn et Hovav Shacham, « Aggregate and Verifiably Encrypted Signatures from Bilinear Maps », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2003 (ISBN 9783540140399, DOI 10.1007/3-540-39200-9_26, lire en ligne), p. 416–432
↑ (en) Steven D. Galbraith⋆ et Nigel P. Smart, « A Cryptographic Application of Weil Descent », dans Cryptography and Coding, Springer Berlin Heidelberg, 1999 (ISBN 9783540668879, DOI 10.1007/3-540-46665-7_23, lire en ligne), p. 191–200
↑ (en) P. Gaudry, F. Hess et N. P. Smart, « Constructive and destructive facets of Weil descent on elliptic curves », Journal of Cryptology, vol. 15, n^o 1,‎ mars 2002, p. 19–46 (ISSN 0933-2790 et 1432-1378, DOI 10.1007/s00145-001-0011-x, lire en ligne, consulté le 20 septembre 2018)
↑ (en) Paulo S. L. M. Barreto, Ben Lynn et Michael Scott, « Constructing Elliptic Curves with Prescribed Embedding Degrees », dans Security in Communication Networks, Springer Berlin Heidelberg, 2003 (ISBN 9783540004202, DOI 10.1007/3-540-36413-7_19, lire en ligne), p. 257–267
↑ (en) David Freeman, « Constructing Pairing-Friendly Elliptic Curves with Embedding Degree 10 », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2006 (ISBN 9783540360759, DOI 10.1007/11792086_32, lire en ligne), p. 452–465
↑ (en) David Freeman, Peter Stevenhagen et Marco Streng, « Abelian Varieties with Prescribed Embedding Degree », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2008 (ISBN 9783540794554, DOI 10.1007/978-3-540-79456-1_3, lire en ligne), p. 60–73
↑ (en) Eric Brier, Jean-Sébastien Coron, Thomas Icart et David Madore, « Efficient Indifferentiable Hashing into Ordinary Elliptic Curves », dans Advances in Cryptology – CRYPTO 2010, Springer Berlin Heidelberg, 2010 (ISBN 9783642146220, DOI 10.1007/978-3-642-14623-7_13, lire en ligne), p. 237–254
↑ (en) Reza R. Farashahi, Pierre-Alain Fouque, Igor Shparlinski et Mehdi Tibouchi, « Indifferentiable deterministic hashing to elliptic and hyperelliptic curves », Mathematics of Computation, vol. 82, n^o 281,‎ 2013, p. 491–512 (ISSN 0025-5718 et 1088-6842, DOI 10.1090/S0025-5718-2012-02606-8, lire en ligne, consulté le 20 septembre 2018)
↑ (en) « ethereum/eth2.0-specs », sur GitHub (consulté le 22 novembre 2020)

Portail de la cryptologie

[4] Au sens habituel qu'il n'existe pas d'algorithme en temps polynomial pour résoudre ce problème.

[5] On utilise ici, en suivant BLS, une notation multiplicative pour le groupe des points de la courbe elliptique.

[6] Ce n'est pas l'accouplement de Weil lui-même, puisqu'il s'agit d'une forme alternante i.e. $e_{W}(g,h)=e_{W}(g,h)^{-1}$ , ce qui donnerait un résultat trivial lorsque $h=g^{u}$ .

[7] On exige que la fonction $H$ ne prenne jamais pour valeur l'élément neutre de $G$ .

[8] Il s'agit exactement de l'attaque de Menezes-Okamoto-Vanstone.

[9] Ce choix permet d'éviter les attaques basées sur la descente de Weil, voir références ci-après.

[12] Une courbe supersingulière ne peut pas avoir une valeur de $k$ plus grande.

[:0-1] {a et b} (en) Dan Boneh, Ben Lynn et Hovav Shacham, « Short Signatures from the Weil Pairing », dans Advances in Cryptology — ASIACRYPT 2001, Springer Berlin Heidelberg, 2001 (ISBN 9783540429876, DOI 10.1007/3-540-45682-1_30, lire en ligne), p. 514–532

[2] (en) Dan Boneh, « BLS Short Digital Signatures », dans Encyclopedia of Cryptography and Security, Springer US, 2011 (ISBN 9781441959058, DOI 10.1007/978-1-4419-5906-5_140, lire en ligne), p. 158–159

[3] (en) Dan Boneh, Craig Gentry, Ben Lynn et Hovav Shacham, « Aggregate and Verifiably Encrypted Signatures from Bilinear Maps », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2003 (ISBN 9783540140399, DOI 10.1007/3-540-39200-9_26, lire en ligne), p. 416–432

[10] (en) Steven D. Galbraith⋆ et Nigel P. Smart, « A Cryptographic Application of Weil Descent », dans Cryptography and Coding, Springer Berlin Heidelberg, 1999 (ISBN 9783540668879, DOI 10.1007/3-540-46665-7_23, lire en ligne), p. 191–200

[11] (en) P. Gaudry, F. Hess et N. P. Smart, « Constructive and destructive facets of Weil descent on elliptic curves », Journal of Cryptology, vol. 15, n^o 1,‎ mars 2002, p. 19–46 (ISSN 0933-2790 et 1432-1378, DOI 10.1007/s00145-001-0011-x, lire en ligne, consulté le 20 septembre 2018)

[13] (en) Paulo S. L. M. Barreto, Ben Lynn et Michael Scott, « Constructing Elliptic Curves with Prescribed Embedding Degrees », dans Security in Communication Networks, Springer Berlin Heidelberg, 2003 (ISBN 9783540004202, DOI 10.1007/3-540-36413-7_19, lire en ligne), p. 257–267

[14] (en) David Freeman, « Constructing Pairing-Friendly Elliptic Curves with Embedding Degree 10 », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2006 (ISBN 9783540360759, DOI 10.1007/11792086_32, lire en ligne), p. 452–465

[15] (en) David Freeman, Peter Stevenhagen et Marco Streng, « Abelian Varieties with Prescribed Embedding Degree », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2008 (ISBN 9783540794554, DOI 10.1007/978-3-540-79456-1_3, lire en ligne), p. 60–73

[16] (en) Eric Brier, Jean-Sébastien Coron, Thomas Icart et David Madore, « Efficient Indifferentiable Hashing into Ordinary Elliptic Curves », dans Advances in Cryptology – CRYPTO 2010, Springer Berlin Heidelberg, 2010 (ISBN 9783642146220, DOI 10.1007/978-3-642-14623-7_13, lire en ligne), p. 237–254

[17] (en) Reza R. Farashahi, Pierre-Alain Fouque, Igor Shparlinski et Mehdi Tibouchi, « Indifferentiable deterministic hashing to elliptic and hyperelliptic curves », Mathematics of Computation, vol. 82, n^o 281,‎ 2013, p. 491–512 (ISSN 0025-5718 et 1088-6842, DOI 10.1090/S0025-5718-2012-02606-8, lire en ligne, consulté le 20 septembre 2018)

[18] (en) « ethereum/eth2.0-specs », sur GitHub (consulté le 22 novembre 2020)

[1]

[2]

[3]

[Note 1]

[Note 2]

[Note 3]

[Note 4]

[Note 5]

[Note 6]

[4]

[5]

[Note 7]

[6]

[7]

[8]

[9]

[10]

[11]