HAL多学科开放获取档案库的作用及代理重加密和认证委托的研究

0HAL编号：tel-038172580https://theses.hal.science/tel-038172580提交日期：2022年10月17日0HAL是一个多学科开放获取档案库，用于存储和传播科学研究文档，无论其是否发表。这些文档可以来自法国或国外的教育和研究机构，也可以来自公共或私人研究中心。0HAL多学科开放获取档案库旨在存储和传播法国或国外的教育和研究机构、公共或私人实验室发表或未发表的研究文档。0代理重加密和认证委托的贡献0Anass Sbai0引用此版本：0Anass Sbai. 代理重加密和认证委托的贡献. 离散数学[cs.DM]. 皮卡第朱尔大学, 2021. 法语. �NNT:2021AMIE0032�. �tel-03817258�0博士学位论文0专业“计算机科学”0提交给科技与健康学院博士学位学校0皮卡第朱尔大学0由0Anass SBAI0获得皮卡第朱尔大学博士学位0代理重加密和认证委托的贡献0于2021年7月5日，在评审人的意见后，面向考试委员会进行答辩：0Michaël Krajecki，大学教授，DGA/URCA，兰斯 主席 Mostafa AZIZI，大学教授，ESTO/UMF，乌季达 报告人 LuizAngelo Steffenel，高级讲师，LICIIS/URCA，兰斯 报告人 Laurent-StéphaneDidier，大学教授，IMATH/USTV，土伦 评审员 Sorina Ionica，讲师，MIS/UPJV，亚眠 评审员 NesrineKaaniche，讲师，SAMOVAR/Télécom SudParis 评审员 Gilles Dequen，大学教授，MIS/UPJV，亚眠 导师 CyrilDROCOURT，高级讲师，MIS/UPJV，亚眠 协导师0iiiii0致谢0首先，我要感谢"阿拉"给了我足够的勇气、力量、健康和幸福来开展和展示这项谦卑的工作。0我也非常感激我的亲爱父母、兄弟和姐妹，他们在整个冒险过程中给予了我支持。0博士学位的工作不仅仅是建立在理论、方程和测试之上。在这些年的博士学位期间，与各种人的合作和友好氛围不仅给我带来了科学知识，还给我带来了个人贡献。因此，我要感谢所有帮助我完成博士学位的人。0我要向GillesDequen先生表达我深深的感激之情，感谢他在他的实验室里对我的接待，以及在密码学领域的研究中对我的启发。他对我们职业的严谨和正直将成为我学习的榜样。0我要衷心感谢CyrilDrocourt给予我的非凡建议和支持。他对我的研究给予的鼓励和慷慨投入的时间对我完成工作起到了重要作用。在这里，我要表达我深深的感激之情。0我要向SorinaIonica女士表示衷心的感谢，感谢她在GOC团队会议或会议之外与我进行的各种研究交流，并且还感谢她同意成为评委会成员。0我要感谢评审人Azizi Mostafa先生和Steffenel LuizAngelo先生接受评估这篇论文，并提供宝贵的意见和讨论。0我还要感谢Nesrine Kaaniche女士，Michaël Krajecki先生和Laurent-StéphaneDidier先生，他们接受成为评审委员会成员，并花时间阅读和评估这项工作。0我还要感谢VertPom项目的所有合作伙伴，特别是LTI实验室的HumbertoHenao-Fernandez先生和CIAC-IT的Laeticia Kergozou女士。0我还要感谢ADEME提供的财务支持，使我能够全身心地进行高质量的研究。ivv0目录0致谢 iii0目录 v0图表目录 vii0表格目录 ix0总体介绍 10背景和问题 501 引言 901.1 密码学 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001.2 技术工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101.3 对称加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1401.4 非对称加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1601.5 功能性密码学： . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1901.6 其他密码学原语 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2001.7 定义、目标和安全模型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2201.8 安全证明 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2702 用于智能电网的重新加密代理 3102.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3202.2 重新加密代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3302.3 PREaaS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3902.4 实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4502.5 结论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5103 PRE的分析和设计 5303.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5403.2 PRE的安全性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5403.3 公开可验证性和PRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5603.4 Chow的PRE的安全分析 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5803.5 标准模型中的PRE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6303.6 结论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714.3Contribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .764.4Preuve et complétude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .824.5Preuve formelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .834.6Exemple d’analyse sur l’échange de clés de Diffie-Hellman. . . . . . . . . . . . . . .874.7Analyse de sécurité de notre protocole. . . . . . . . . . . . . . . . . . . . . . . . . . .904.8Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94Conclusion générale97Références99Liste des publications1050目录 vi04 身份验证委托 7304.1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7404.2 身份验证委托解决方案：. . . . . . . . . . . . . . . . . . . . . . . . 75Liste des figures1Acteurs du marché de l’énergie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52Systèmes de comptage intelligent. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63Modèle architecturale de la banque de l’énergie.. . . . . . . . . . . . . . . . . . . . .71.1Chiffrement à clé secrète. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141.2Un tour du réseau de Feistel FEISTEL [1974]. . . . . . . . . . . . . . . . . . . . . . . . .141.3Structure du mode opératoire CCM. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151.4Échange de clé de Diffie-Hellman. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .161.5Attaque d’homme du milieu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171.6Chiffrement à clé publique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171.7Niveau de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221.8Total break . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231.9Sens unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231.10 Indistangabilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .231.11 Non malléabilité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .241.12 Relations entre les différents niveaux de sécurité. . . . . . . . . . . . . . . . . . . . .251.13 Légende courte pour la figure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .261.14 Jeu IND-CPA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .281.15 Jeu IND-CCA-2. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .292.1Proxy de re-chiffrement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .332.2Principaux acteurs dans un scénario de partage de données . . . . . . . . . . . . . . .402.3Proxy Re-Encryption pour la BE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .412.4Deuxième approche : PRE pour chaque entité . . . . . . . . . . . . . . . . . . . . . . .422.5PRE en tant que service. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .422.6Processus d’initialisation entre le DO, CSP et DP . . . . . . . . . . . . . . . . . . . . . .432.7Processus de partage entre le DO, CSP et DC . . . . . . . . . . . . . . . . . . . . . . . .442.8Flux de données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .442.9Distribution des tâches entre les différents environnements. . . . . . . . . . . . . .513.1Relations entre les différents niveaux de sécurité. . . . . . . . . . . . . . . . . . . . .563.2jeu IND-CCA-2 pour ZHANG et collab. [2013] PRE . . . . . . . . . . . . . . . . . . . . .654.1Principaux acteurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .74viiLISTE DES FIGURESviii4.2Principaux acteurs et interactions du protocole . . . . . . . . . . . . . . . . . . . . . .774.3Principaux acteurs et interactions du protocole . . . . . . . . . . . . . . . . . . . . . .804.4Diagramme de séquence du diagramme proposé . . . . . . . . . . . . . . . . . . . . .81Liste des tableaux2.1PRE dans la littérature . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .382.2Performance de l’algorithme de Chow en terme de temps de calcul et de stockage.513.1Différents niveaux d’attaques contre les PRE . . . . . . . . . . . . . . . . . . . . . . . .564.1Informations d’identification des utilisateurs stockées par l’IDP . . . . . . . . . . . . .804.2Clés publiques, clés de re-chiffrement et paires de clés secrètes asymétriques sto-ckées par l’IDP.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .804.3Clés publiques et clés de re-chiffrements stockées par le SP. . . . . . . . . . . . . . . .80ixLISTE DES TABLEAUXxIntroduction généraleLa cryptologie a considérablement évoluée, notamment durant les trois dernières décennies.Initialement, la cryptologie était toujours associée à l’armée du fait de son importance en tempsde guerre. Par exemple, pendant la seconde guerre mondiale, les cryptographes allemands avaientainsi conçu une machine de chiffrement qui joua un rôle crucial. Connu sous le nom d’Enigma,cet ensemble de machines était un atout stratégique inestimable pour l’armée allemande, leurpermettant de communiquer en toute sécurité. Du côté des alliés, Turing mit au point en 1940 lesplans de la première machine permettant de casser la méthode de chiffrement des Allemands. Lacryptanalyse d’Enigma a donné alors un grand avantage et a contribué au changement de balancedes forces.Depuis lors, la cryptologie a été confrontée à un statut restrictif au sein des agences gouverne-mentales. En France par exemple, l’usage civile des méthodes de chiffrement de bout en bout étaitstrictement interdit jusqu’en 1996. Avec l’arrivée d’internet au début des années 70, les besoins ducommerce en matière de confidentialité sur les canaux de communication électronique se sontmultipliés. L’étude publique de la cryptologie pour satisfaire ces besoins fait que la cryptologie afinalement pu sortir de ses cloîtres et devenir une science. C’est ainsi que son champ d’applications’est élargi pour couvrir actuellement de nombreuses applications (cartes bancaires, commerceélectronique, objets connectés... ).L’évolution de la cryptologie, engendrée en partie par la compétition économique et militaireinternationale, a été possible grâce, d’une part, au progrès théorique concrétisé par l’élaborationd’outils mathématiques très puissants structurant nos notions de calcul, de preuve et de croyance,et d’autre part, au progrès technologique concrétisé par la mise au point des systèmes électro-niques et informatiques avancés, permettant la mise en œuvre des nouveaux outils théoriques àdes coûts très compétitifs. Par la suite, une multitude de scénarios de la vie quotidienne ont puêtre réalisés d’un point de vue numérique, au travers de canaux de communication, au-delà del’échelle des interactions humaines.10物联网（IdO）和云计算已成为我们时代的关键技术。它们用于数字化数据的接收、存储、处理和传输。此外，它们还可以通过消除运输、购买和安装基础设施的限制来降低成本。IdO被PERERA等人[2015]定义为一个网络，其中大量的物体、传感器或设备连接在一起，提供增值服务。IdO可以改善情报，促进人与环境的互动，同时提高可靠性、能源效率和资源消耗。我们预计到2025年，将有750亿台设备连接在一起，产生大量数据用于分析和知识提取。0例如，在健康领域，当前的Covid-19大流行需要新的要求，并且需要提供远程护理，远离医疗机构。物联网可以远程监测患者，并改善个性化和预防性护理。当前市场上存在多种物联网设备，如可穿戴生物传感器，用于监测患者的活动和心率，自动胰岛素输送系统（AID）用于糖尿病患者...所收集的数据20通过这些设备收集的数据必须与相关利益相关者共享，包括患者、医生和护士。0然而，数据不仅庞大，还包含敏感数据，特别是根据应用类型和数据来源的不同，可能包含个人信息。因此，必须小心处理这些数据，以避免侵犯用户的隐私。云端必须被设计用于存储、处理和分析来自物联网设备的数据，以发现新的知识或做出关键决策。然而，由于这些技术是最近研究的，它们在安全性和隐私保护方面存在许多缺陷。0今天面临的最大挑战之一是如何安全地收集、存储、共享和处理数据。为此，必须回答与隐私、真实性、信任以及如何处理这些概念相关的问题。回答这些问题需要研究、使用和设计新的密码协议。0在VertPom项目中，主要目标是通过智能城市创造环境和社会财富。智能城市依赖于其智能网络，也被称为智能电网。这是一个利用信息技术、通信技术和电力网络来优化电力生产和供应的分布网络。不同的传感器和智能计量器用于实时收集有关电力网络状态以及实时消费和生产水平的必要信息。在智能电网层面上，收集的数据必须在能源网络的各个参与者之间共享。然而，消费数据被视为敏感数据。事实上，这些数据可以揭示客户日常生活的详细信息。它们还可能成为针对能源生产中心的破坏性攻击的来源。最后，数据的机密性和完整性必须在所有阶段得到保证，并符合GDPR和互联网自由法规定的规则。0正是在这个背景下，为了满足该项目中提出的需求，撰写了本论文。0在第一章中，我们首先介绍了构建我们的加密工具所需的各种技术工具。提供了一些定义，以帮助读者理解后续章节。定义的第一部分涉及不同的密码工具，而第二部分涉及加密系统的安全性和鲁棒性证明的概念。0在第二章中，介绍了一些解决上一章末尾提到的问题的方法。在众多现有解决方案中，我们介绍了最适合我们背景的解决方案，即代理重加密（PRE）。对文献中可用的不同算法进行了研究。然后提出了经过精心选择的算法，考虑到系统的效率和鲁棒性。最后，介绍了实现、使用的技术以及所获得的结果。0在第三章中，我们更加关注PRE的安全性。事实上，安全性的概念因所研究的密码系统类型而异。构建PRE主要依赖于具有特定属性的块。本章专门介绍了构建这些块的不同方法。然后分析了某些算法的鲁棒性，展示了它们在某些攻击下的脆弱性。最后，提出了一种新的构建方法，并基于本章开头定义的安全模型证明了其安全性。0第四章涉及身份验证委托的方法。30我们首先回顾了现有的主要方法，这些方法都有一定的局限性，我们试图克服这些局限性。首先提出了基于PRE的身份验证协议，并使用基于信念的逻辑模型（称为BAN逻辑）证明了其安全性。该模型已经存在，但需要进行一些调整以将PRE的不同功能集成到证明中。介绍和详细说明了基本方法和所做的修改。450背景和问题陈述。0本论文的工作是在VERTPOM项目（“Véritable énERgie du Territoire POsitif etModulaire”）[BORONAT2017]的框架下进行的。该项目旨在创建一个名为能源银行的实体，以实时跟踪能源的消费和生产，以优化能源流动。0该项目的出发点是能源需求持续增长，但旧的生产来源（核能、化石能源等）因造成的污染而越来越不受欢迎并趋于被放弃。可再生能源的使用变得更加重要和优先，但在优化方面面临着巨大挑战。0当前能源市场涉及多个参与者。如图1所示，我们首先找到能源生产商（例如：EDF）。他们是经营核电厂、火电厂、天然气储藏地或可再生能源生产商的企业。然后是网络运营商，他们管理能源分配的大型基础设施。在法国，我们有RTE负责高压电力公共输电网，而高压天然气输送由GRTgaz和Teréga负责。接下来是配电网络运营商，他们负责能源分配网络的建设、运营和维护（例如：Enedis、GRDF...）。最后，我们有能源供应商，他们负责销售他们生产或购买的能源。他们与最终消费者签订合同并负责计费（例如：ENGIE、Total directénergie、Energies duSanterre...）。还有一些地方分销公司（ELD），他们可以同时是能源供应商和分销商，为法国境内5%的地区提供服务（例如：Gazelec）。剩下的95%由GRDF和Enedis负责能源分配。0图1-能源市场的参与者。0需要使用精确的生产和消费管理，其中包括使用许多传感器，从智能计量系统开始。这涉及到安装整个基础设施和通信网络，包括这些智能电表。在Enedis管理的网络中，这些智能电表被称为"Linky"，并在近年来被部署在个人用户中。然而，ELD必须采用自己的技术，并部署自己的电表。在最初阶段，VERTPOM项目专注于研究名为Gazelec的特定ELD的流量，该ELD部署了名为Ibox的智能电表。60需要使用许多传感器，从智能计量系统开始。这涉及到安装整个基础设施和通信网络，包括这些智能电表。在Enedis管理的网络中，这些智能电表被称为"Linky"，并在近年来被部署在个人用户中。然而，ELD必须采用自己的技术，并部署自己的电表。在最初阶段，VERTPOM项目专注于研究名为Gazelec的特定ELD的流量，该ELD部署了名为Ibox的智能电表。0图2以简化的方式展示了智能计量系统的工作原理。0图2-智能计量系统。0在这个例子中，我们有两个主要实体：能源消费者和配电网络管理者。我们还有两个重要的对象，即智能电表和数据集中器。第一个被安装在客户处，用于测量能源消耗量，然后通过CPL（电力线载波）将其传输到数据集中器。CPL是一种通过现有电缆发送数据的通信技术。数据集中器位于社区变压器中，其目的是将智能电表的数据集中并传输给配电网络管理者的监控中心。这种传输主要通过GPRS网络进行。0这就诞生了智能电网的概念。实际上，它是一个由监控和通信工具支持和管理的能源传输和配送网络。它实现了从生产现场到商业、工业和住宅用户之间的能量和信息的实时交换。0然而，仍然存在许多挑战，主要是在安全方面，因为它涉及到多种不同设计的对象，并且资源消耗成本低。这是一个国家安全问题，需要高度关注，无论是确保消费数据的机密性，保持完整性以防止欺诈，还是防止针对生产系统的攻击。事实上，诸如STUXNET MATROSOV等攻击正是针对与名为SCADA的特定类型软件相关的数据。最近，RONEN等人利用ZLL协议中的漏洞，可以快速且不可见地在网络上传播蠕虫。它使攻击者能够打开或关闭城市的所有灯光。这样的连锁反应在一个大城市中可能会震动核电站。70在另一种情况下，BRINKHAUS等人[2011]表明，智能电表如果攻击者可以访问存储或传输的负荷曲线，它们可以成为监视设备。这些数据可以用于识别连接到电网的所有设备，如冰箱、微波炉、电视等。因此，通过对不同设备的能量消耗进行预测，可以寻找预测和实际数据之间的相关性，甚至可以推测出观看了哪部电影。0在VERTPOM项目中，我们负责大规模数据的安全管理，如图3所示。该项目目前正在开发中，旨在创建能源银行（BE），这是一个用于管理领土能源的工具。它旨在在生产（传统能源和可再生能源）和使用（消耗和损耗）之间保持最佳平衡，并与能源储存手段（B ORONAT[2017]）相关联。为此，能源银行使用预测算法和生产、消耗和能源损耗的模拟来实现。因此，能源网络必须更具反应性、更具灵活性，从而促进市场参与者之间的互动。通过传感器和遥控设备收集网络数据在一定程度上实现了这些目标。如图1所示，用于能源银行正常运行的数据由智能电表通过数据集中器发送到网络管理者的服务器。供应商（EP：能源提供商）管理的某些数据以及来自街道的其他信息（如光线传感器等）也被发送到能源银行。0我们的项目目标是建立必要的机制，以确保VERTPOM工具的所有软件模块具有高水平的安全性。越来越多的数据从能源供应商（FE）和配电网管理者（GRD）传输，这些数据必须在相对较长的时间内保留，这是由数据保留的法律框架所规定的，但更重要的是为了能够进行长期处理。此外，数据的机密性必须在各个阶段得到保证，并符合RGPD和CNIL的规定。事实上，为了符合信息技术和自由法律，客户仍然是其消费数据的唯一所有者，只有与客户的同意才能获取其负荷曲线。0为了解决这个问题，我们对加密数据共享的问题进行了研究。数据将以加密形式进行通信和存储，只有数据所有者的同意才能获得对该数据的访问权。0图3 - 能源银行的架构模型。0“该项目得到法国环境与能源管理局（ADEME）在未来投资计划（PIA）框架下的支持”890第1章0介绍0目录01.1 密码学  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001.2 技术工具  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101.2.1 数学回顾  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1101.2.2 复杂性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1201.2.3 密码假设 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1301.3 对称加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1401.3.1 定义  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1401.3.2 分组密码  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1401.3.3 操作模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1501.4 非对称密码学  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1601