Amphithéâtre Mireille Delmas-Marty (salle 5), Site Marcelin Berthelot
    En libre accès, dans la limite des places disponibles
    -

    Documents et médias

    Résumé

    Nous avons poursuivi l'exploration du calcul multipartite sécurisé en montrant comment les schémas de partage de secrets présentés dans le cours précédent permettent de partager des clés privées entre plusieurs tiers de confiance puis de déchiffrer conjointement des messages, sans jamais révéler entièrement la clé privée. Cela permet d'intégrer des étapes de calcul sur des chiffrements homomorphes dans des protocoles de calcul multipartite.

    Ensuite, nous avons étudié deux autres outils de base pour le calcul multipartite sécurisé : les circuits brouillés et les protocoles de transfert inconscient.

    Les circuits brouillés (garbled circuits), introduits par A. Yao en 1982, sont un protocole de calcul bipartite sécurisé encore très apprécié aujourd'hui car économe en communications et reposant sur du chiffrement symétrique peu coûteux. Le calcul est représenté par un circuit booléen qui est « brouillé » (afin de masquer les valeurs des bits sur les fils du circuit) par un des participants, puis exécuté par l'autre. Un protocole de transfert inconscient est utilisé pour brouiller les secrets du deuxième participant. Nous avons présenté plusieurs optimisations qui réduisent le temps d'exécution, et esquissé comment rendre l'approche résistante aux attaques actives par la technique du cut-and-choose.

    Le transfert inconscient (oblivious transfer) est une brique de base de nombreux protocoles cryptographiques, dont le schéma BGW présenté lors du cours précédent et les circuits brouillés étudiés dans ce cours. Un protocole de transfert inconscient permet au participant B de choisir une des valeurs parmi les N proposées par le participant A, sans rien apprendre sur les autres valeurs proposées par A, et sans que A apprenne le choix de B.  Nous avons décrit le protocole EGL de transfert inconscient « 1 parmi 2 », puis son extension à « 1 parmi N », puis l'approche de Naor et Pinkas pour rendre EGL résistant aux attaques actives du participant B.

    Enfin, nous avons évoqué le problème d'étendre un protocole de transfert inconscient afin de produire un grand nombre de transferts bon marché à la suite d'un petit nombre de transferts coûteux. Comme montré par D. Beaver en 1996, il est possible de dériver le transfert inconscient à partir du transfert inconscient aléatoire, et de réaliser ce dernier à l'aide d'un circuit brouillé pour un générateur pseudo-aléatoire.

    Intervenant(s)

    Événements

    Voir aussi

    Séminaire en relation avec le cours : Le calcul sécurisé : calculer sur des données chiffrées ou privées
    Xavier Leroy, chaire Sciences du logiciel
    Le calcul sécurisé : calculer sur des données chiffrées ou privées