Mécanisme d'encapsulation de clé

En cryptologie, un mécanisme d'encapsulation de clé ou KEM^{[Note 1]} (aussi parfois appelé transport de clé) est un protocole permettant de transmettre de manière sûre une clé de session à un interlocuteur au moyen d'un canal non sécurisé^[1]. L'encapsulation de clé est l'une des composantes d'un schéma de cryptographie hybride, l'autre étant l'encapsulation de données (au moyen de la clé ainsi transmise)^[2]. L'encapsulation sert la même fonction qu'un protocole d'échange de clé, à la différence que la clé est ici entièrement générée par l'une des parties^{[Note 2],[3],[4]}, ce qui permet entre autres de commencer à transmettre les données chiffrées directement avec la clé encapsulée^[2].

Le mécanisme a été proposé par le cryptologue Victor Shoup autour de 2001, et considéré pour standardisation ISO^[5]. Parmi les mécanismes d'encapsulation standardisés (ISO/IEC 18033-2^[6]), on compte RSA-OAEP^[7] et RSA-KEM^[8].

En règle générale, le mécanisme d'encapsulation de clé consiste à chiffrer, au moyen d'une clé publique, un message aléatoire. Le message chiffré est transmis et le destinataire le déchiffre au moyen de la clé privée correspondante. Émetteur et destinataire possèdent alors un même secret partagé, d'où ils peuvent dériver une même clé de session. Ainsi, tout chiffrement à clé publique donne immédiatement un mécanisme d'encapsulation de clé. En pratique, il est également nécessaire de protéger la clé encapsulée contre des manipulations, par exemple en adjoignant un code d'authentification^{[9],[10],[Note 3]}. En combinant chiffrement et authentification, il est possible de construire des encapsulations plus compactes ^{[11],[12],[13],[14]}.

Définition

Un mécanisme d'encapsulation de clé (KEM) est un triplet d'algorithmes^{[Note 4]} ${\displaystyle (G,E,D)}$  de syntaxe suivante^[15] :

• L'algorithme de « génération de clés » ${\displaystyle G}$  prend en entrée un paramètre de sécurité en représentation unaire ${\displaystyle 1^{\lambda }}$  et retourne un couple de clés ${\displaystyle ({\mathsf {pk}},{\mathsf {sk}})}$ ;
• L'algorithme d'« encapsulation » ${\displaystyle E}$  prend en entrée le paramètre de sécurité et ${\displaystyle {\mathsf {pk}}}$  et renvoie un couple d'éléments ${\displaystyle c,k\in {\mathcal {C}}\times {\mathcal {K}}}$ ;
• L'algorithme de « décapsulation » ${\displaystyle D}$  prend en entrée le paramètre de sécurité, ${\displaystyle {\mathsf {sk}}}$  et un élément ${\displaystyle c\in {\mathcal {C}}}$ , et renvoie un élément ${\displaystyle k\in {\mathcal {K}}\sqcup \{\bot \}}$ .

On demande qu'un KEM satisfasse les propriétés suivantes :

• Le mécanisme est correct, c'est-à-dire que pour toutes les sorties possibles ${\displaystyle ({\mathsf {pk}},{\mathsf {sk}})}$  de ${\displaystyle G}$ , et toutes les sorties possibles ${\displaystyle (c,k)}$  de ${\displaystyle E({\mathsf {pk}})}$ , on a ${\displaystyle D({\mathsf {sk}},c)=k}$ .
• La sécurité sémantique (IND-CPA) est satisfaite, c'est-à-dire que l'avantage d'un adversaire dans le jeu consistant à distinguer un élément ${\displaystyle k}$  obtenu en sortie de ${\displaystyle E({\mathsf {pk}})}$  d'un élément tiré uniformément au hasard de ${\displaystyle {\mathcal {K}}}$  est négligeable.

Notes et références

Notes

1. Pour l'anglais key encapsulation mechanism.
2. En particulier, la confidentialité du canal n'est garantie qu'à condition que l'entité ayant généré la clé soit de confiance. Ce problème ne disparaît pas nécessairement avec un protocole d'échange de clé. Voir notamment (Desmedt 1988) et (Yung 2001).
3. Cela n'est pas nécessaire si le chiffrement est déjà résistant aux attaques à chiffrés choisis (IND-CCA), voir (Hanaoka et coll. 2012).
4. C'est-à-dire des machines de Turing probabilistes.

Références

1. (en) Eiichiro Fujisaki et Tatsuaki Okamoto, « Secure Integration of Asymmetric and Symmetric Encryption Schemes », Journal of Cryptology, vol. 26, n^o 1,‎ 2 décembre 2011, p. 80–101 (ISSN 0933-2790 et 1432-1378, DOI 10.1007/s00145-011-9114-1, lire en ligne, consulté le 31 août 2018)
2. (en) Victor Shoup, « Using Hash Functions as a Hedge against Chosen Ciphertext Attack », dans Advances in Cryptology — EUROCRYPT 2000, Springer Berlin Heidelberg, 2000 (ISBN 9783540675174, DOI 10.1007/3-540-45539-6_19, lire en ligne), p. 275–288
3. (en) Yvo Desmedt, « Abuses in Cryptography and How to Fight Them », dans Advances in Cryptology — CRYPTO’ 88, Springer New York, 21 août 1988 (ISBN 9780387971964, DOI 10.1007/0-387-34799-2_29, lire en ligne), p. 375–389
4. (en) Adam Young et Moti Yung, « Kleptography: Using Cryptography Against Cryptography », dans Advances in Cryptology — EUROCRYPT ’97, Springer Berlin Heidelberg, 1997 (ISBN 9783540629757, DOI 10.1007/3-540-69053-0_6, lire en ligne), p. 62–74
5. (en) Victor Shoup, « A Proposal for an ISO Standard for Public Key Encryption », sur eprint.iacr.org, 2001 (consulté le 31 août 2018)
6. (en) « ISO/IEC 18033-2:2006 - Information technology -- Security techniques -- Encryption algorithms -- Part 2: Asymmetric ciphers », sur www.iso.org (consulté le 31 août 2018)
7. (en) Elaine Barker, Lily Chen et Dustin Moody, « Recommendation for Pair-Wise Key-Establishment Schemes Using Integer Factorization Cryptography », NIST Special Publication 800-56B, National Institute of Standards and Technology,‎ octobre 2014 (DOI 10.6028/nist.sp.800-56br1, lire en ligne, consulté le 31 août 2018)
8. (en) Kaliski Burton et Sean Turner, « RFC 5990 : Use of the RSA-KEM Key Transport Algorithm in the Cryptographic Message Syntax (CMS) », sur tools.ietf.org (consulté le 31 août 2018)
9. (en) Goichiro Hanaoka, Takahiro Matsuda et Jacob C. N. Schuldt, « On the Impossibility of Constructing Efficient Key Encapsulation and Programmable Hash Functions in Prime Order Groups », dans Lecture Notes in Computer Science, Springer Berlin Heidelberg, 2012 (ISBN 9783642320088, DOI 10.1007/978-3-642-32009-5_47, lire en ligne), p. 812–831
10. (en) Dennis Hofheinz et Eike Kiltz, « Secure Hybrid Encryption from Weakened Key Encapsulation », dans Advances in Cryptology - CRYPTO 2007, Springer Berlin Heidelberg, 19 août 2007 (ISBN 9783540741428, DOI 10.1007/978-3-540-74143-5_31, lire en ligne), p. 553–571
11. (en) Eike Kiltz, « Chosen-Ciphertext Secure Key-Encapsulation Based on Gap Hashed Diffie-Hellman », dans Public Key Cryptography – PKC 2007, Springer Berlin Heidelberg, 16 avril 2007 (ISBN 9783540716761, DOI 10.1007/978-3-540-71677-8_19, lire en ligne), p. 282–297
12. (en) Goichiro Hanaoka et Kaoru Kurosawa, « Efficient Chosen Ciphertext Secure Public Key Encryption under the Computational Diffie-Hellman Assumption », dans Advances in Cryptology - ASIACRYPT 2008, Springer Berlin Heidelberg, 2008 (ISBN 9783540892540, DOI 10.1007/978-3-540-89255-7_19, lire en ligne), p. 308–325
13. (en-US) Ronald Cramer et Victor Shoup, « Design and Analysis of Practical Public-Key Encryption Schemes Secure against Adaptive Chosen Ciphertext Attack », SIAM Journal on Computing, vol. 33, n^o 1,‎ janvier 2003, p. 167–226 (ISSN 0097-5397 et 1095-7111, DOI 10.1137/s0097539702403773, lire en ligne, consulté le 31 août 2018)
14. (en) Xavier Boyen, Qixiang Mei et Brent Waters, « Direct chosen ciphertext security from identity-based techniques », CCS '05 Proceedings of the 12th ACM conference on Computer and communications security, ACM,‎ 7 novembre 2005, p. 320–329 (ISBN 1595932267, DOI 10.1145/1102120.1102162, lire en ligne, consulté le 31 août 2018)
15. (en) Dan Boneh et Victor Shoup, « A Graduate Course in Applied Cryptography », sur crypto.stanford.edu, 2017 (consulté le 31 août 2018)

•   Portail de la cryptologie