Sécurité - Master Ingénierie Informatique - Examen 2011-2012 - PPS

Exercice 3 (Signature RSA à anneau, 8 points) On décrit une version simplifiée d’unsystème de signature qui permet à un ensemble d’utilisateurs U = {1, . . . , m}, m ≥ 2 de signerun message de façon telle que :– le récepteur du message peut vérifier que le message a bien été signé par un des utilisateurssans savoir lequel et– chaque utilisateur peut signer sans la coopération des autres utilisateurs.Ce qui est demandé est simplement que chaque utilisateur ait une clef publique authentifiée.Hypothèses– Chaque utilisateur i ∈ U a une clef publique RSA (e i , n i ) et une clef privée RSA d ioù n i est un modulo sur au plus s bits. On écrit E i (x) pour (x e i) mod n i et D i (y) pour(y d i) mod n i .– On fixe une fonction de hachage h : 2 ∗ → 2 s .– Soit t = 2 s . On définit E ′ i : Z t → Z t parE ′ i(x) ={ni q + E i (r) si x = n i q + r, 0 ≤ r < n i , n i (q + 1) ≤ txautrementSignature pour m = 2 L’utilisateur i = 1 signe un message msg comme suit :– Il choisit x 2 ∈ Z t .– Il calcule y 2 = E ′ 2 (x 2).– Il calcule x 1 = D ′ 1 (h(msg) ⊕ y 2).– La signature est ({1, 2}, x 1 , x 2 ).Vérification pour m = 2 On vérifie que :h(msg) = E ′ 1(x 1 ) ⊕ E ′ 2(x 2 )1. Expliquez pourquoi E ′ i , i = 1, . . . , m, est une permutation sur Z t et définissez la permutationinverse D ′ i .2. Expliquez pourquoi un message correctement signé passe la vérification.3. Montrez que si h(msg) = h(msg ′ ) alors toute signature pour msg est aussi une signaturevalide pour msg ′ .4. Généralisez le schéma de signature et de vérification à m > 2 utilisateurs.2