WO2008034971A2 - Method for encrypting messages for at least two receivers and related encryption device and decryption device - Google Patents

Method for encrypting messages for at least two receivers and related encryption device and decryption device Download PDF

Info

Publication number
WO2008034971A2
WO2008034971A2 PCT/FR2007/001510 FR2007001510W WO2008034971A2 WO 2008034971 A2 WO2008034971 A2 WO 2008034971A2 FR 2007001510 W FR2007001510 W FR 2007001510W WO 2008034971 A2 WO2008034971 A2 WO 2008034971A2
Authority
WO
WIPO (PCT)
Prior art keywords
encryption
decryption
data
receivers
modulo
Prior art date
Application number
PCT/FR2007/001510
Other languages
French (fr)
Other versions
WO2008034971A3 (en
Inventor
Abdelkader Nimour
Original Assignee
Abdelkader Nimour
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Abdelkader Nimour filed Critical Abdelkader Nimour
Publication of WO2008034971A2 publication Critical patent/WO2008034971A2/en
Publication of WO2008034971A3 publication Critical patent/WO2008034971A3/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes

Definitions

  • Cryptography finds application in securing exchanges between two or more entities.
  • message encryption schemes The encryption of a message consists in transforming it, for example by applying a function to this message, so as to make it unintelligible to any entity other than the legitimate recipient or the legitimate recipients of the message.
  • the encryption can be represented by a function E which takes as argument a message M, an encryption key k and which returns an encrypted message C:
  • the decryption of a message consists in transforming an encrypted message so as to obtain the original message.
  • Decryption can be represented by a function D which takes as argument an encrypted message C, a decryption key k 'and which returns the original message M:
  • the key used to decrypt a message may be different from that used for its encryption (k ⁇ k '). In this case, only the decryption key k 'must be secret.
  • the encryption of the same message destined for several receivers, each having a secret decryption key kj ', the index i designating the receiver concerned, requires the transmitter to make as many ciphers as there are receivers. This solution quickly becomes impractical in the case where the number of receivers is important.
  • one solution is to make available to all receivers the same secret decryption key k
  • the sender can be content to encrypt his message only once, but it is no longer possible to identify a traitor, that is, a legitimate receiver who has unlawfully disclosed the secret secret decryption key k '.
  • the field of the invention is that of traitor tracing (in English). Traitor hunt finds application in securing the sending of messages from a transmitter to at least two receivers.
  • the transmitter encrypts only once the message to be sent to receivers which each have different decryption data to decrypt the received message.
  • encrypting is the operation of making a message unintelligible to any entity other than the receivers who are the legitimate recipients of the message.
  • the encrypted message will be called the result of encrypting a message.
  • decrypting is the operation of transforming an encrypted message to obtain the original message.
  • the main difference between encrypting and decrypting on the one hand and encrypting and decrypting on the other hand is that an encrypted message can only be decrypted with a single decryption key while an encrypted message can be decrypted with data of different decryption.
  • a traitor is a legitimate receiver who has disclosed all or part of his decryption data so as to allow one or more non-addressee entities legitimate messages can decrypt messages without the knowledge of the issuer.
  • a traitor can act alone and in this case he discloses all or part of his decryption data to one or more entities. Traitors can also coalesce to build an illegitimate decryption data (possibly different from the decryption data of each of the traitors of the coalition) that can decrypt the messages of the issuer.
  • a process of tracking traitors is said to be "resilient” if the knowledge of an illegitimate decryption data allows the identification of at least one member of the coalition of traitors that allowed the construction of this illegitimate decryption data, provided that this coalition does not include more mtragers.
  • a traitor acting alone can be seen as a particular case of coalition with only one member.
  • the transmitter has an encryption data Ke and each receiver i has a different decryption data Kdj for each receiver.
  • the traitor tracking scheme includes two distinct processes:
  • a process for identifying traitors from the knowledge of at least one illegitimate decryption data item is a process for identifying traitors from the knowledge of at least one illegitimate decryption data item.
  • a message encryption method has three steps: initialization, encryption, and decryption.
  • the initialization consists in determining the parameters of the method and, in particular, in determining the encryption data item Ke of the transmitter and for each receiver i, its decryption data item Kdi.
  • the encryption of a message M consists of constructing an encrypted message ⁇ H, where:
  • C denotes the encrypted message result of the encryption of the message M with an encryption key k:
  • C E (M, k);
  • H denotes a header which is a function of the encryption data Ke of the broadcaster and the encryption key k.
  • a new decryption key can be advantageously used with each new encryption.
  • the form of the encrypted message does not matter.
  • the header can be indifferently placed in front of or behind the encrypted message in an encrypted message.
  • the decryption of a message consists, for the receiver i, in obtaining the message M from an encrypted message ⁇ H, C> by: • computing a secret decryption key k 'from the decryption data Kdi of receiver i and header H;
  • the encryption data Ke of the transmitter is a set of keys (used for both encryption and decryption) and each decryption data Kdj is a separate subset of the encryption data Ke.
  • Encrypting a message M gives the encrypted message ⁇ H, C> where:
  • the encrypted message C is the result of the encryption of the message M with an encryption key k composed of several parts;
  • the header H consists of the results of the ciphers of the parts of the encryption key k with each of the keys constituting the encryption data Ke of the transmitter.
  • the number of keys constituting the encryption data of the transmitter and the number of keys constituting the decryption data of each receiver are dependent on m. For a given number of receivers, the more one will want to resist large coalitions of hackers (plus m is large) and the number of keys constituting the encryption data of the sender and the number of keys constituting the decryption data of each receiver are great.
  • the main drawback of existing traitor trapping schemes is that they only withstand trailing coalitions of limited size and whose size will be all the more constrained by the size of the transmitter's encryption data.
  • size of the header of an encrypted message or the size of the decryption data of each receiver will be constrained.
  • the size of a coalition is the number of traitors it has.
  • the size of the encryption data of the transmitter or the size of a decryption data of a receiver is the number of keys that it contains.
  • the size of the header is, in general, equal to the size of the encryption data of the transmitter.
  • One of the objectives of the present invention is to define a new method of encrypting messages intended for at least two receivers that resists arbitrarily large coalitions of trajectories, that is to say that even if all the receivers coalesced , they would not be able to generate an illegitimate decryption data different from the decryption data of the receivers of the coalition making it possible to decipher the messages of the transmitter.
  • the present invention proposes an encryption method enabling a transmitter, having encryption data Ke, to encrypt messages destined for at least two receivers, each receiver having a decryption data Kdj.
  • the encryption method comprises the following steps:
  • An initialization which consists in determining the encryption data Ke of the transmitter and in determining for each receiver i its decryption data
  • An encryption of a message M which consists in constructing an encrypted message consisting of a header H and an encrypted message C resulting from the encryption of the message M with an encryption key k;
  • a decryption of an encrypted message which consists of decrypting the encrypted message C with a decryption key k 'obtained from the header H and the decryption data Kdj of the receiver i.
  • the decryption data Kd; of the receiver i consists of selected partial secrets so that there exists a partial secret composition function which makes it possible to obtain the encryption data item Ke of the sender from said partial secrets and that this function of composition of partial secrets is unknown to the receptors;
  • the encryption key k depends on the encryption data Ke of the transmitter and on a randomness r.
  • the invention proposes an encryption device for encrypting messages according to the method described above, and comprising:
  • Calculating means arranged for: calculating the encryption key k according to the encryption data Ke of the transmitter and a randomness r; encrypt a message with the encryption key k; calculate the H header according to the same hazard r;
  • the invention proposes a decryption device for decrypting encrypted messages consisting of an H header and an encrypted message C according to the method described above, and comprising:
  • FIG. 1 represents an encryption method according to the invention in an example of a specific embodiment
  • FIG. 2 illustrates an encryption device according to an exemplary embodiment of the invention
  • FIG. 3 illustrates a decryption device according to an exemplary embodiment of the invention.
  • the method according to the invention is described on the basis of an example where a transmitter wishes to transmit in confidence to a large number of receivers a series of messages M, MM, etc.
  • the transmitter chooses secret encryption data Ke then chooses for each receiver i the partial secrets that will constitute its decryption data Kdj. These partial secrets are chosen so that there exists a partial secret composition function which makes it possible to calculate the encryption data Ke of the transmitter according to the partial secrets of each receiver.
  • the decryption data is unique per receiver, that is to say that two different receivers have different decryption data.
  • the knowledge of a decryption data thus allows unambiguous identification of the receiver to whom it has been attributed.
  • the decryption data Kdi of the receiver i comprises two partial secrets Aj and B 1 . If new receivers appear, it is enough to choose new partial secrets for each of these new receivers without obligation to change the decryption data of the other receivers.
  • the encryption data Ke of the sender and the partial secrets Aj and Bi are elements of a finite group G (see the definition of a group in chapter 2.5.1 of "Handbook of Applied Cryptography", Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, CRC Press, ISBN: 0-8493-8523-7.).
  • the finite group G is the set of non-zero integers modulo n, denoted Z n , where n is the product of two prime numbers p and q unknown to the receivers.
  • the encryption data Ke of the transmitter is equal to g (e * s ⁇ modulo n, the partial secret A; is equal to g (e * (ai + 1)) modulo n and the partial secret Bj is equal to bj or :
  • two receivers i and j, can by pooling their respective partial secrets calculate on the one hand the value g e * s * (bj "bl) modulo n and on the other hand the value (b j -b;) modulo n (it is considered that b j is greater than b ⁇ ) will be denoted by ⁇ .
  • calculate the value g s modulo n calculate the inverse modulo ⁇ ⁇ then raise g es ⁇ bj "bl ⁇ to the power of this inverse.
  • the receivers are not able to compute a modulo inverse ⁇ because ⁇ , being the product of two integers p and q both unknown to the receivers, is unknown to the receivers. It is therefore impossible for a coalition of two receivers to deduce the encryption data Ke from the transmitter.
  • a larger coalition of receivers can calculate according to the scheme described above the following values g e * s * ⁇ l modulo n, ⁇ i, g es ⁇ 2 modulo n and ⁇ 2 where O 1 and ⁇ 2 are differences of bj.
  • the implementation of the "common modulus” attack see the description of "Common Modulus Attack on RSA” in chapter 19.3 of “Cryptanalysis of RSA-type cryptosystems: a visit", Marc Joye & Jean-Jacques Quisquater , R. Whright and P. Neumann, Eds., Network Threats, DIMACS Series in Discrete Mathematics and Theoretical Computer Science, Vol 38, pp.
  • the encryption of the first message M consists in constructing the encrypted message ⁇ H, where H is the header of the encrypted message and C is an encrypted message resulting from the encryption of the message M with an encryption key k.
  • the encryption key k is a function of the encryption data Ke of the transmitter and a random number r.
  • random we mean information chosen arbitrarily, deterministically or indeterministically, whose value is not predictable by the receivers.
  • the hazard r is an element of the finite group G and is, therefore, an element of the group
  • the encryption key k is obtained by raising the encryption data Ke of the transmitter to the power of the product of the hazard r with d.
  • the encryption key k is therefore equal to (Ke) (d * r) modulo n, which is equal to g (s * r) modulo n.
  • the header H of the encrypted message consists of a first part Hi, which is equal to d * r modulo ⁇ , and a second part H 2 , which is equal to g r modulo n.
  • the second part of the header H 2 is equal to g r modulo n;
  • the encrypted message C is the result of the encryption of the message M with the encryption key k, which is equal to g (s * r) modulo n.
  • Another advantage of the encryption method according to the invention is that it does not require a second initialization phase for the encryption of the following messages.
  • To encrypt the message MM for example, it is enough, to draw a new hazard rr and then calculate the message ⁇ (HHi, HH 2 ), CO where:
  • the encrypted message CC is the result of the encryption of the message MM with the encryption key kk, which is equal to g (s * rr) modulo n.
  • the decryption of the encrypted message ⁇ H, C> by the receiver i consists in decrypting the encrypted message C with a decryption key k 'obtained from the header H and the decryption data Kdi of the receiver i.
  • the H header consists of two parts Hi and H 2 and the encrypted message can be represented as: ⁇ (Hi, H 2 ), C>.
  • the decryption key k ' is equal to (Ai H 7H 2 ) B modulo n where Aj and Bj are the two partial secrets constituting the decryption data Kdj of the receiver i.
  • Aj and Bj are the two partial secrets constituting the decryption data Kdj of the receiver i.
  • the size of the encryption data of the transmitter, the size of the header and the size of the decryption data are fixed, ie they do not do not depend on the number of receivers. In addition, this size is relatively reasonable.
  • the encryption data Ke of the transmitter consists of a single element of the group Z n *
  • the decryption data Kdj of a receiver i consists of two elements of the group Z n
  • the header H of an encrypted message is also made up of two elements, Hi and H 2 , of the group Z n .
  • the invention also relates to an encryption device (200) illustrated in FIG. 2, for encrypting messages according to the method described above, the device comprising:
  • Randomness generating means (204)
  • Ke of the transmitter and a hazard r o encrypt a message with the encryption key k; o calculate the H header according to the same hazard r;
  • This encryption device (200) can be, for example, a computer, a smart card or other cryptographic apparatus.
  • the invention finally relates to a decryption device (300) illustrated in FIG. 3, for decrypting encrypted messages consisting of an H header and an encrypted message C according to the method described above, the device comprising:
  • • computing means arranged (302) for: calculating the decryption key k 'as a function of the decryption data Kd 1 of the receiver i and of the header H; o decrypting the encrypted message C using the decryption key k '; • communication means (303).
  • This decryption device (300) may be, for example, one of the following elements:
  • a digital television decoder • a digital television decoder, a mobile phone, a personal digital assistant, and more generally any device for receiving or viewing digital media data.
  • the decryption device may also be a combination of the elements mentioned above.
  • the decryption device may be, for example, constituted by a digital television decoder and a smart card.
  • the digital television decoder stores, for example, the partial secret Aj and the smart card storing the partial secret B 1 .
  • a possible, but not exclusive, industrial application of the present invention is conditional access in a pay-TV system.
  • a conditional access system in pay-TV ensures that audiovisual content is accessible only to subscribers who have acquired the rights.
  • Systems conditional access channels do not use piracy tracking schemes because the congestion induced by these is incompatible with the constraints of broadcasting audiovisual content.
  • the use of secrets common to all subscribers makes it difficult to identify the source of counterfeiting in the case of piracy.
  • the small size (the small sizes of the encryption, decryption data and headers) generated by the method according to the present invention makes it perfectly possible to use it in a conditional access system for pay television thus making the identification more affluent pirates.

Abstract

The present invention pertains to the field of cryptography, and relates to an encryption device that comprises an initialisation step (101), an encryption step (102), and an decryption step (103); the device allows a transmitter provided with secret encryption data Ke unknown to receivers, to encrypt messages for at least two receivers each comprising decryption data Fdi made of partial secrets selected so that a partial secret composition function can be used for obtaining the transmitter encryption data Ke from said partial secrets, said partial secret composition function being unknown to the receivers. The invention also relates to an encryption device and to a decryption device for encrypting and decrypting messages according to the method of the present invention.

Description

Procédé de cryptage de messages à destination d'au moins deux récepteurs, dispositif de cryptage et dispositif de décryptage associés. Method for encrypting messages to at least two receivers, encryption device and associated decryption device
Domaine technique Le domaine de l'invention est celui de la cryptographie.Technical Field The field of the invention is that of cryptography.
Art antérieurPrior art
La cryptographie trouve application dans la sécurisation des échanges entre au moins deux entités. Parmi ces applications, on trouve des schémas de chiffrement de messages. Le chiffrement d'un message consiste à le transformer, par exemple en appliquant une fonction à ce message, de manière à le rendre inintelligible à toute entité autre que le destinataire légitime ou les destinataires légitimes du message. On peut représenter le chiffrement par une fonction E qui prend comme argument un message M, une clé de chiffrement k et qui retourne un message chiffré C :Cryptography finds application in securing exchanges between two or more entities. Among these applications are message encryption schemes. The encryption of a message consists in transforming it, for example by applying a function to this message, so as to make it unintelligible to any entity other than the legitimate recipient or the legitimate recipients of the message. The encryption can be represented by a function E which takes as argument a message M, an encryption key k and which returns an encrypted message C:
C=E(M, k)C = E (M, k)
Inversement, le déchiffrement d'un message consiste à transformer un message chiffré de manière à obtenir le message d'origine. On peut représenter le déchiffrement par une fonction D qui prend comme argument un message chiffré C, une clé de déchiffrement k' et qui retourne le message d'origine M :Conversely, the decryption of a message consists in transforming an encrypted message so as to obtain the original message. Decryption can be represented by a function D which takes as argument an encrypted message C, a decryption key k 'and which returns the original message M:
M=D(C, k')M = D (C, k ')
Un schéma de chiffrement de message est dit symétrique si la clé servant à déchiffrer un message est la même que celle qui a servi à le chiffrer (k=k'). Cette clé doit rester secrète.A message encryption scheme is said to be symmetrical if the key used to decrypt a message is the same as that used to encrypt it (k = k '). This key must remain secret.
Dans un schéma de chiffrement asymétrique, la clé utilisée pour déchiffrer un message peut être différente de celle qui a servi à son chiffrement (k≠k'). Dans ce cas, seule la clé de déchiffrement k' doit être secrète. Le chiffrement d'un même message à destination de plusieurs récepteurs, disposant chacun d'une clé de déchiffrement secrète kj' propre, l'indice i désignant le récepteur concerné, nécessite que l'émetteur procède à autant de chiffrements qu'il y a de récepteurs. Cette solution devient rapidement impraticable dans le cas où le nombre de récepteurs est important. Pour pallier ce problème de multiplication des chiffrements, une solution consiste à mettre à disposition de tous les récepteurs une même clé de déchiffrement secrète k\ Dans ce cas, l'émetteur peut se contenter de ne chiffrer son message qu'une seule fois, mais il n'est plus possible d'identifier un traitre, c'est-à dire un récepteur légitime qui a illicitement divulgué la clé de déchiffrement secrète commune k' .In an asymmetric encryption scheme, the key used to decrypt a message may be different from that used for its encryption (k ≠ k '). In this case, only the decryption key k 'must be secret. The encryption of the same message destined for several receivers, each having a secret decryption key kj ', the index i designating the receiver concerned, requires the transmitter to make as many ciphers as there are receivers. This solution quickly becomes impractical in the case where the number of receivers is important. To overcome this problem of multiplication of ciphers, one solution is to make available to all receivers the same secret decryption key k In this case, the sender can be content to encrypt his message only once, but it is no longer possible to identify a traitor, that is, a legitimate receiver who has unlawfully disclosed the secret secret decryption key k '.
Plus précisément, le domaine de l'invention est celui de la «traque des traitres» (traitor tracing, en Anglais). La traque des traitres trouve application dans la sécurisation des envois de messages d'un émetteur vers au moins deux récepteurs. Dans un schéma de traque des traitres, l'émetteur ne crypte qu'une seule fois le message à émettre à destination de récepteurs qui disposent chacun d'une donnée de décryptage différente pour décrypter le message reçu. Dans le schéma de traque des traitres, crypter est l'opération qui consiste à rendre inintelligible un message à toute entité autre que les récepteurs qui sont les destinataires légitimes du message. On appellera message crypté le résultat du cryptage d'un message. Dans le schéma de traque des traitres, décrypter est l'opération qui consiste à transformer un message crypté de façon à obtenir le message d'origine.More specifically, the field of the invention is that of traitor tracing (in English). Traitor hunt finds application in securing the sending of messages from a transmitter to at least two receivers. In a traitor tracking scheme, the transmitter encrypts only once the message to be sent to receivers which each have different decryption data to decrypt the received message. In the traitor tracking scheme, encrypting is the operation of making a message unintelligible to any entity other than the receivers who are the legitimate recipients of the message. The encrypted message will be called the result of encrypting a message. In the traitor tracking scheme, decrypting is the operation of transforming an encrypted message to obtain the original message.
La principale différence entre chiffrer et déchiffrer d'une part et crypter et décrypter d'autre part est qu'un message chiffré ne peut être déchiffré qu'avec une seule clé de déchiffrement alors qu'un message crypté peut être décrypté avec des données de décryptage différentes.The main difference between encrypting and decrypting on the one hand and encrypting and decrypting on the other hand is that an encrypted message can only be decrypted with a single decryption key while an encrypted message can be decrypted with data of different decryption.
Un traitre est un récepteur légitime qui a divulgué tout ou partie de sa donnée de décryptage de manière à permettre à une ou plusieurs entités non destinataires légitimes des messages de pouvoir décrypter des messages à l'insu de l'émetteur. Un traitre peut agir seul et dans ce cas il divulgue tout ou partie de sa donnée de décryptage à une ou plusieurs entités. Des traitres peuvent aussi se coaliser afin de construire une donnée de décryptage illégitime (possiblement différente des données de décryptage de chacun des traitres de la coalition) qui permet de décrypter les messages de l'émetteur. Un procédé de traque des traitres est dit « m- résilient » si la connaissance d'une donnée de décryptage illégitime permet l'identification d'au moins un membre de la coalition de traitres qui a permis la construction de cette donnée de décryptage illégitime, à la condition que cette coalition ne comporte pas plus de m traitres. Un traitre agissant seul peut être vu comme un cas particulier de coalition ne comportant qu'un seul membre.A traitor is a legitimate receiver who has disclosed all or part of his decryption data so as to allow one or more non-addressee entities legitimate messages can decrypt messages without the knowledge of the issuer. A traitor can act alone and in this case he discloses all or part of his decryption data to one or more entities. Traitors can also coalesce to build an illegitimate decryption data (possibly different from the decryption data of each of the traitors of the coalition) that can decrypt the messages of the issuer. A process of tracking traitors is said to be "resilient" if the knowledge of an illegitimate decryption data allows the identification of at least one member of the coalition of traitors that allowed the construction of this illegitimate decryption data, provided that this coalition does not include more mtragers. A traitor acting alone can be seen as a particular case of coalition with only one member.
Dans le schéma de traque des traitres, l'émetteur dispose d'une donnée de cryptage Ke et chaque récepteur i dispose d'une donnée de décryptage Kdj différente pour chaque récepteur. Le schéma de traque des traitres comprend deux procédés distincts :In the traitor tracking scheme, the transmitter has an encryption data Ke and each receiver i has a different decryption data Kdj for each receiver. The traitor tracking scheme includes two distinct processes:
• un procédé de cryptage de messages ;• a method of encrypting messages;
• un procédé d'identification des traitres à partir de la connaissance d'au moins une donnée de décryptage illégitime.A process for identifying traitors from the knowledge of at least one illegitimate decryption data item.
Nous décrivons, plus particulièrement, dans ce qui suit le procédé de cryptage de messages.We describe, more particularly, in what follows the method of encrypting messages.
Un procédé de cryptage de messages comporte trois étapes : l'initialisation, le cryptage et le décryptage.A message encryption method has three steps: initialization, encryption, and decryption.
L'initialisation consiste à déterminer les paramètres du procédé et, en particulier, à déterminer la donnée de cryptage Ke de l'émetteur et pour chaque récepteur i, sa donnée de décryptage Kdi. Le cryptage d'un message M consiste à construire un message ciypté <H, O où :The initialization consists in determining the parameters of the method and, in particular, in determining the encryption data item Ke of the transmitter and for each receiver i, its decryption data item Kdi. The encryption of a message M consists of constructing an encrypted message <H, where:
• C désigne le message chiffré résultat du chiffrement du message M avec une clé de chiffrement k : C=E(M, k) ;C denotes the encrypted message result of the encryption of the message M with an encryption key k: C = E (M, k);
• H désigne un en-tête qui est fonction de la donnée de cryptage Ke du diffuseur et de la clé de chiffrement k.• H denotes a header which is a function of the encryption data Ke of the broadcaster and the encryption key k.
Une nouvelle clé de déchiffrement peut être avantageusement utilisée à chaque nouveau cryptage.A new decryption key can be advantageously used with each new encryption.
La forme du message crypté n'a pas d'importance. En particulier, l' en-tête peut être indifféremment placé devant ou derrière le message chiffré dans un message crypté.The form of the encrypted message does not matter. In particular, the header can be indifferently placed in front of or behind the encrypted message in an encrypted message.
Le décryptage d'un message consiste, pour le récepteur i, à obtenir le message M à partir d'un message crypté <H, C> en : • calculant une clé de déchiffrement secrète k' à partir de la donnée de décryptage Kdi du récepteur i et de l' en-tête H ;The decryption of a message consists, for the receiver i, in obtaining the message M from an encrypted message <H, C> by: • computing a secret decryption key k 'from the decryption data Kdi of receiver i and header H;
• reconstruisant le message M en déchiffrant le message chiffré C à l'aide de la clé de déchiffrement k' : M=D(C, k').Reconstructing the message M by decrypting the encrypted message C using the decryption key k ': M = D (C, k').
Dans les schémas de traque des traitres proposés dans la littérature (cf. « Tracing Traitors », Benny Chor, Amos Fiat & Moni Naor, Lecture Notes in Computer Science, volume 839, pages 257-270, 1994), la donnée de cryptage Ke de l'émetteur est un ensemble de clés (utilisées aussi bien pour le chiffrement que pour le déchiffrement) et chaque donnée de décryptage Kdj est un sous-ensemble distinct de la donnée de cryptage Ke. Le cryptage d'un message M donne le message crypté <H, C> où :In the traitor tracking schemes proposed in the literature (see "Tracing Traitors", Benny Chor, Amos Fiat & Moni Naor, Lecture Notes in Computer Science, Volume 839, pages 257-270, 1994), the encryption data Ke of the transmitter is a set of keys (used for both encryption and decryption) and each decryption data Kdj is a separate subset of the encryption data Ke. Encrypting a message M gives the encrypted message <H, C> where:
• le message chiffré C est le résultat du chiffrement du message M avec une clé de chiffrement k composée de plusieurs parties ; • l'entête H est constitué des résultats des chiffrements des parties de la clé de chiffrement k avec chacune des clés constituant la donnée de cryptage Ke de l'émetteur.The encrypted message C is the result of the encryption of the message M with an encryption key k composed of several parts; The header H consists of the results of the ciphers of the parts of the encryption key k with each of the keys constituting the encryption data Ke of the transmitter.
Dans un schéma « m-résilient », le nombre de clés constituant la donnée de cryptage de l'émetteur et le nombre de clés constituant la donnée de décryptage de chaque récepteur sont dépendants de m. Pour un nombre donné de récepteurs, plus on voudra résister à des coalitions importantes de pirates (plus m est grand) et plus le nombre de clés constituant la donnée de cryptage de l'émetteur et le nombre de clés constituant la donnée de décryptage de chaque récepteur sont grands.In an "m-resilient" scheme, the number of keys constituting the encryption data of the transmitter and the number of keys constituting the decryption data of each receiver are dependent on m. For a given number of receivers, the more one will want to resist large coalitions of hackers (plus m is large) and the number of keys constituting the encryption data of the sender and the number of keys constituting the decryption data of each receiver are great.
Le principal défaut des schémas de traques des traîtres existants est qu'ils ne résistent qu'à des coalitions de traitres de taille limitée et dont ladite taille sera d'autant plus contrainte que la taille de la donnée de cryptage de l'émetteur, la taille de l'en-tête d'un message crypté ou la taille de la donnée de décryptage de chaque récepteur seront contraintes. La taille d'une coalition est le nombre de traitres qu'elle comporte. La taille de la donnée de cryptage de l'émetteur ou la taille d'une donnée de décryptage d'un récepteur est le nombre de clés qu'elle comporte. La taille de l'en-tête est, en général, égale à la taille de la donnée de cryptage de l'émetteur.The main drawback of existing traitor trapping schemes is that they only withstand trailing coalitions of limited size and whose size will be all the more constrained by the size of the transmitter's encryption data. size of the header of an encrypted message or the size of the decryption data of each receiver will be constrained. The size of a coalition is the number of traitors it has. The size of the encryption data of the transmitter or the size of a decryption data of a receiver is the number of keys that it contains. The size of the header is, in general, equal to the size of the encryption data of the transmitter.
Un des objectifs de la présente invention est de définir un nouveau procédé de cryptage de messages à destination d'au moins deux récepteurs qui résiste à des coalitions de traitres arbitrairement grandes, c'est-à-dire que même si tous les récepteurs se coalisaient, ils ne seraient pas capables de générer une donnée de décryptage illégitime différente des données de décryptage des récepteurs de la coalition permettant de déchiffrer les messages de l'émetteur.One of the objectives of the present invention is to define a new method of encrypting messages intended for at least two receivers that resists arbitrarily large coalitions of trajectories, that is to say that even if all the receivers coalesced , they would not be able to generate an illegitimate decryption data different from the decryption data of the receivers of the coalition making it possible to decipher the messages of the transmitter.
Résumé de l'inventionSummary of the invention
Selon un premier aspect, la présente invention propose un procédé de cryptage permettant à un émetteur, disposant d'une donnée de cryptage Ke, de crypter des messages à destination d'au moins deux récepteurs, chaque récepteur î disposant d'une donnée de décryptage Kdj. Le procédé de cryptage comporte les étapes suivantes :According to a first aspect, the present invention proposes an encryption method enabling a transmitter, having encryption data Ke, to encrypt messages destined for at least two receivers, each receiver having a decryption data Kdj. The encryption method comprises the following steps:
• une initialisation, qui consiste à déterminer la donnée de cryptage Ke de l'émetteur et à déterminer pour chaque récepteur i sa donnée de décryptageAn initialization, which consists in determining the encryption data Ke of the transmitter and in determining for each receiver i its decryption data
Kd1 ;Kd 1 ;
• un cryptage d'un message M, qui consiste à construire un message crypté constitué d'un en-tête H et d'un message chiffré C résultat du chiffrement du message M avec une clé de chiffrement k ; • un décryptage d'un message crypté, qui consiste à déchiffrer le message chiffré C avec une clé de déchiffrement k' obtenue à partir de l' en-tête H et de la donnée de décryptage Kdj du récepteur i. Dans le procédéAn encryption of a message M, which consists in constructing an encrypted message consisting of a header H and an encrypted message C resulting from the encryption of the message M with an encryption key k; A decryption of an encrypted message, which consists of decrypting the encrypted message C with a decryption key k 'obtained from the header H and the decryption data Kdj of the receiver i. In the process
• la donnée de cryptage Ke de l'émetteur est une information secrète inconnue des récepteurs ;• the encryption data Ke of the transmitter is secret information unknown to the receivers;
• la donnée de décryptage Kd; du récepteur i est constituée de secrets partiels choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet d'obtenir la donnée de cryptage Ke de l'émetteur à partir desdits secrets partiels et que cette fonction de composition de secrets partiels est inconnue des récepteurs ; etThe decryption data Kd; of the receiver i consists of selected partial secrets so that there exists a partial secret composition function which makes it possible to obtain the encryption data item Ke of the sender from said partial secrets and that this function of composition of partial secrets is unknown to the receptors; and
• la clé de chiffrement k dépend de la donnée de cryptage Ke de l'émetteur et d'un aléa r.The encryption key k depends on the encryption data Ke of the transmitter and on a randomness r.
Le fait que la fonction de composition de secrets partiels soit une fonction inconnue des récepteurs fait que la connaissance éventuelle de la donnée de décryptage d'un récepteur (voire de tous les récepteurs) ne permet pas de déduire la donnée de cryptage Ke de l'émetteur par l'utilisation de cette fonction.The fact that the function of composition of partial secrets is a function unknown to the receivers makes the possible knowledge of the decryption data of a receiver (or all receivers) does not allow to deduce the encryption data Ke of the transmitter by the use of this function.
Les caractéristiques décrites ci-dessus du procédé selon l'invention font que celui- ci résiste à des coalitions de pirates arbitrairement grandes. En effet, même si tous les récepteurs se coalisaient, ils ne seraient pas capables de générer des secrets partiels valides, c'est-à-dire qui permettent de décrypter les messages ciyptés, et nouveaux, c'est-à-dire différents des secrets partiels constituants les données de décryptage des traitres de la coalition. En effet, déterminer de tels secrets partiels nécessite au moins la connaissance de la donnée de cryptage Ke de l'émetteur ou la connaissance de la fonction de composition de secrets partiels. Or la fonction de composition de secrets partiels et la donnée de cryptage Ke de l'émetteur sont inconnues des récepteurs.The features described above of the method according to the invention make it resistant to coalitions of arbitrarily large hackers. Indeed, even if all the receivers were coalescing, they would not be able to generate valid partial secrets, that is to say that allow to decrypt the encrypted messages, and new, that is to say different from the partial secrets constituting the data of deciphering the traitors of the coalition. Indeed, to determine such partial secrets requires at least knowledge of the encryption data Ke of the issuer or the knowledge of the composition function of partial secrets. However, the function of composition of partial secrets and the encryption data Ke of the transmitter are unknown to the receivers.
Selon un deuxième aspect, l'invention propose un dispositif de cryptage pour crypter des messages selon le procédé décrit ci-dessus, et comprenant :According to a second aspect, the invention proposes an encryption device for encrypting messages according to the method described above, and comprising:
• des moyens de stockage de la donnée de cryptage Ke de l'émetteur ;Means for storing the encryption data Ke of the transmitter;
• des moyens de génération d'aléas ;• random generation means;
• des moyens de calcul agencés pour : calculer la clé de chiffrement k en fonction de la donnée de cryptage Ke de l'émetteur et d'un aléa r ; chiffrer un message avec la clé de chiffrement k ; calculer l' en-tête H en fonction du même aléa r ;Calculating means arranged for: calculating the encryption key k according to the encryption data Ke of the transmitter and a randomness r; encrypt a message with the encryption key k; calculate the H header according to the same hazard r;
• des moyens de communication.• means of communication.
Selon un troisième aspect, l'invention propose un dispositif de décryptage pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon le procédé décrit plus haut, et comprenant :According to a third aspect, the invention proposes a decryption device for decrypting encrypted messages consisting of an H header and an encrypted message C according to the method described above, and comprising:
• des moyens de stockage des secrets partiels constituant la donnée de décryptage Kdi du récepteur i ; • des moyens de calcul agencés pour : calculer la clé de déchiffrement k' en fonction de la donnée de décryptage Kdj du récepteur i et de l' en-tête H ; déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ;Means for storing the partial secrets constituting the decryption data Kdi of the receiver i; Calculating means arranged to: calculate the decryption key k 'as a function of the decryption data Kdj of the receiver i and of the header H; decrypting the encrypted message C using the decryption key k ';
• des moyens de communication.• means of communication.
Brève description des figures L'invention ainsi que les avantages qu'elle procure seront mieux compris à la lumière de la description suivante faite en référence aux figures annexées dans lesquelles :Brief description of the figures The invention as well as the advantages that it provides will be better understood in the light of the following description given with reference to the appended figures in which:
• FIG 1. représente un procédé de cryptage selon l'invention dans un exemple de mode de réalisation spécifique ;FIG. 1 represents an encryption method according to the invention in an example of a specific embodiment;
• FIG 2. illustre un dispositif de cryptage selon un exemple de mode de réalisation de l'invention ;FIG. 2 illustrates an encryption device according to an exemplary embodiment of the invention;
• FIG 3. illustre un dispositif de décryptage selon un exemple de mode de réalisation de l'invention.FIG. 3 illustrates a decryption device according to an exemplary embodiment of the invention.
Exemple de modes de réalisation de l'inventionExample of embodiments of the invention
Faisant référence à la FIG 1, le procédé selon l'invention est décrit sur la base d'un exemple où un émetteur souhaite transmettre de façon confidentielle à un grand nombre de récepteurs une série de messages M, MM, etc.Referring to FIG. 1, the method according to the invention is described on the basis of an example where a transmitter wishes to transmit in confidence to a large number of receivers a series of messages M, MM, etc.
Etape d'initialisation (101).Initialization step (101).
L'émetteur choisit une donnée de cryptage Ke secrète puis choisit pour chaque récepteur i les secrets partiels qui vont constituer sa donnée de décryptage Kdj. Ces secrets partiels sont choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet de calculer la donnée de cryptage Ke de l'émetteur en fonctions des secrets partiels de chaque récepteur.The transmitter chooses secret encryption data Ke then chooses for each receiver i the partial secrets that will constitute its decryption data Kdj. These partial secrets are chosen so that there exists a partial secret composition function which makes it possible to calculate the encryption data Ke of the transmitter according to the partial secrets of each receiver.
Avantageusement, les données de décryptage sont uniques par récepteur, c'est-à- dire que deux récepteurs différents ont des données de décryptage différentes. La connaissance d'une donnée de décryptage permet ainsi l'identification univoque du récepteur à qui elle a été attribuée.Advantageously, the decryption data is unique per receiver, that is to say that two different receivers have different decryption data. The knowledge of a decryption data thus allows unambiguous identification of the receiver to whom it has been attributed.
La donnée de décryptage Kdi du récepteur i comprend deux secrets partiels Aj et B1. Si de nouveaux récepteurs apparaissent, il suffit de choisir de nouveaux secrets partiels pour chacun de ces nouveaux récepteurs sans obligation de changer les données de décryptage des autres récepteurs.The decryption data Kdi of the receiver i comprises two partial secrets Aj and B 1 . If new receivers appear, it is enough to choose new partial secrets for each of these new receivers without obligation to change the decryption data of the other receivers.
La donnée de cryptage Ke de l'émetteur et les secrets partiels Aj et Bi sont des éléments d'un groupe fini G (cf. la définition d'un groupe au chapitre 2.5.1 de « Handbook of Applied Cryptography », Alfred J. Menezes, Paul C. van Oorschot & Scott A. Vanstone, CRC Press, ISBN: 0-8493-8523-7.).The encryption data Ke of the sender and the partial secrets Aj and Bi are elements of a finite group G (see the definition of a group in chapter 2.5.1 of "Handbook of Applied Cryptography", Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, CRC Press, ISBN: 0-8493-8523-7.).
Plus, particulièrement, le groupe fini G est l'ensemble des entiers non nuls modulo n, noté Zn , où n est le produit de deux nombres premiers p et q inconnus des récepteurs.More, especially, the finite group G is the set of non-zero integers modulo n, denoted Z n , where n is the product of two prime numbers p and q unknown to the receivers.
La donnée de cryptage Ke de l'émetteur est égale à g(e*s^ modulo n, le secret partiel A; est égal à g(e*(ai+1)) modulo n et le secret partiel Bj est égal à bj où :The encryption data Ke of the transmitter is equal to g (e * s ^ modulo n, the partial secret A; is equal to g (e * (ai + 1)) modulo n and the partial secret Bj is equal to bj or :
• g est un élément de Zn * inconnu des récepteurs ;• g is an element of Z n * unknown to the receivers;
• s est un élément de Zn inconnu des récepteurs ;• s is an element of Z n unknown to the receivers;
• aj et b; sont des éléments de Zn * et ai est inconnu des récepteurs tels que modulo λ et tels que le plus grand diviseur commun de deux bj quelconques est égal à c et où λ désigne le plus petit multiple commun de p-• aj and b ; are elements of Z n * and ai is unknown to receivers such as modulo λ and such that the greatest common divisor of any two bj is equal to c and where λ is the smallest common multiple of p-
1 et q-1 et c un élément de Zn supérieur à 1 ;1 and q-1 and c an element of Z n greater than 1;
• e est un élément de Zn inconnu des récepteurs et choisi conjointement avec d, un autre élément de Zn * inconnu aussi des récepteurs de sorte que e*d=l modulo λ.• e is an element of Z n unknown to the receivers and chosen together with d, another element of Z n * also unknown receivers so that e * d = l modulo λ.
On peut vérifier que (Ai/ge)Bl modulo n est égal à g(e*s) modulo n. L'image des secrets partiels A1 et Bi par la fonction de composition de secrets partiels est donc (A/g6)6' modulo n. La fonction de composition de secrets partiels est inconnue des récepteurs car les éléments g et e du groupe Zn ne sont pas connus des récepteurs. Un récepteur i, ne connaissant pas la fonction de composition de secrets partiels, est donc dans l'in capacité d'utiliser cette fonction pour calculer la donnée de cryptage Ke de l'émetteur à partir des ses secrets partiels Aj et Bj.We can verify that (Ai / g e ) B modulo n is equal to g (e * s) modulo n. The image of the partial secrets A 1 and Bi by the function of composition of partial secrets is therefore (A / g 6 ) 6 'modulo n. The function of partial secret composition is unknown to the receivers because the elements g and e of the group Z n are not known to the receivers. A receiver i, not knowing the function of composition of partial secrets, is therefore in the inability to use this function to calculate the encryption data Ke of the transmitter from its partial secrets Aj and Bj.
Il est aussi important qu'une coalition de récepteurs ne puisse pas déduire la donnée de cryptage Ke de l'émetteur à partir des données de décryptage de récepteurs de cette coalition.It is also important for a receiver coalition not to be able to deduce the transmitter's encryption data Ke from the receiver's decryption data.
Or deux récepteurs, i et j, peuvent en mettant en commun leurs secrets partiels respectifs calculer d'une part la valeur ge*s*(bJ"bl) modulo n et d'autre part la valeur (bj-b;) modulo n (on considère ici que bj est plus grand que b}) que l'on notera δ. Pour calculer la valeur ge s modulo n, il faut calculer l'inverse de δ modulo λ puis élever ge s ^bj"bl^ à la puissance de cet inverse. Or les récepteurs ne sont pas capables de calculer un inverse modulo λ car λ, étant le produit de deux entiers p et q tous deux inconnus des récepteurs, est inconnu des récepteurs. Il est donc impossible à une coalition de deux récepteurs de déduire la donnée de cryptage Ke de l'émetteur.Now two receivers, i and j, can by pooling their respective partial secrets calculate on the one hand the value g e * s * (bj "bl) modulo n and on the other hand the value (b j -b;) modulo n (it is considered that b j is greater than b}) will be denoted by δ. to calculate the value g s modulo n, calculate the inverse modulo λ δ then raise g es ^ bj "bl ^ to the power of this inverse. But the receivers are not able to compute a modulo inverse λ because λ, being the product of two integers p and q both unknown to the receivers, is unknown to the receivers. It is therefore impossible for a coalition of two receivers to deduce the encryption data Ke from the transmitter.
Une coalition plus grande de récepteurs (au moins trois récepteurs) peut calculer selon le schéma décrit plus haut les valeurs suivantes ge*s*δl modulo n, δi, ge s δ2 modulo n et δ2 où O1 et δ2 sont des différences de bj. La mise en œuvre de l'attaque du « modulus commun » (cf. la description de « Common Modulus Attack on RSA » dans le chapitre 19.3 de « Cryptanalysis of RSA-type cryptosystems: a visit », Marc Joye & Jean- Jacques Quisquater, R. Whright and P. Neumann, Eds., Network Threats, DIMACS Séries in Discrète Mathematics and Theoretical Computer Science, vol. 38, pp. 21-31, American Mathematical Society, 1998) pourraient permettre de déduire la valeur g(e*s) modulo n si le plus grand diviseur commun de δi etδ2 était égal à 1. Or le plus grand diviseur commun de δi et δ2 est égal à c, le plus grand diviseur commun de tous les bj et est, de ce fait, supérieur à 1. Il est donc impossible à une coalition de plus de deux récepteurs de déduire la donnée de cryptage Ke de l'émetteur. A la fin de cette étape d'initialisation l'émetteur possède sa donnée de cryptage Ke et chaque récepteur possède sa donnée de décryptage, la donnée de décryptage Kd1 du récepteur i étant constituée des secrets partiels Ai et Bj.A larger coalition of receivers (at least three receivers) can calculate according to the scheme described above the following values g e * s * δl modulo n, δi, g es δ2 modulo n and δ 2 where O 1 and δ 2 are differences of bj. The implementation of the "common modulus" attack (see the description of "Common Modulus Attack on RSA" in chapter 19.3 of "Cryptanalysis of RSA-type cryptosystems: a visit", Marc Joye & Jean-Jacques Quisquater , R. Whright and P. Neumann, Eds., Network Threats, DIMACS Series in Discrete Mathematics and Theoretical Computer Science, Vol 38, pp. 21-31, American Mathematical Society, 1998) could infer the value of g (e * s) modulo n if the largest common divisor of δi andδ 2 was equal to 1. Now the largest common divisor of δi and δ 2 is equal to c, the largest common divisor of all bj and is, of this fact, greater than 1. It is therefore impossible for a coalition of more than two receivers to deduce the encryption data Ke from the transmitter. At the end of this initialization step, the transmitter has its encryption data Ke and each receiver has its decryption data, the decryption data Kd 1 of the receiver i consisting of the partial secrets Ai and Bj.
Etape de cryptage (102).Encryption step (102).
Le cryptage du premier message M consiste à construire le message crypté <H, O où H est P en-tête du message crypté et C un message chiffré résultat du chiffrement du message M avec une clé de chiffrement k.The encryption of the first message M consists in constructing the encrypted message <H, where H is the header of the encrypted message and C is an encrypted message resulting from the encryption of the message M with an encryption key k.
La clé de chiffrement k est fonction de la donnée de cryptage Ke de l'émetteur et d'un aléa r. Nous entendons par aléa une information choisie arbitrairement, de façon déterministe ou indéterministe, et dont la valeur n'est pas prédictible par les récepteurs.The encryption key k is a function of the encryption data Ke of the transmitter and a random number r. By random we mean information chosen arbitrarily, deterministically or indeterministically, whose value is not predictable by the receivers.
L'aléa r est un élément du groupe fini G et est, de ce fait, un élément du groupeThe hazard r is an element of the finite group G and is, therefore, an element of the group
Zn *.Z n * .
La clé de chiffrement k est obtenue en élevant la donnée de cryptage Ke de l'émetteur à la puissance du produit de l'aléa r avec d. La clé de chiffrement k est donc égale à (Ke)(d*r) modulo n, qui est égal à g(s*r) modulo n.The encryption key k is obtained by raising the encryption data Ke of the transmitter to the power of the product of the hazard r with d. The encryption key k is therefore equal to (Ke) (d * r) modulo n, which is equal to g (s * r) modulo n.
L'en-tête H du message crypté est constitué d'une première partie Hi, qui est égale à d*r modulo λ, et d'une deuxième partie H2, qui est égale à gr modulo n.The header H of the encrypted message consists of a first part Hi, which is equal to d * r modulo λ, and a second part H 2 , which is equal to g r modulo n.
En définitive, le cryptage du message M donne le message crypté <(Hi, H2), O où étant donné l'aléa r :Finally, the encryption of the message M gives the encrypted message <(Hi, H 2 ), where O is given the hazard r:
• la première partie de l'en-tête Hi est égale à d*r modulo λ ;• the first part of the header Hi is equal to d * r modulo λ;
• la deuxième partie de l'en-tête H2 est égale à gr modulo n ; • le message chiffré C est le résultat du chiffrement du message M avec la clé de chiffrement k, qui est égale à g(s*r) modulo n.The second part of the header H 2 is equal to g r modulo n; The encrypted message C is the result of the encryption of the message M with the encryption key k, which is equal to g (s * r) modulo n.
Un autre avantage du procédé de cryptage selon l'invention est qu'il ne nécessite pas une deuxième phase d'initialisation pour le cryptage des messages suivants. Pour crypter le message MM, par exemple, il suffît, de tirer un nouvel aléa rr puis de calculer le message <(HHi , HH2), CO où :Another advantage of the encryption method according to the invention is that it does not require a second initialization phase for the encryption of the following messages. To encrypt the message MM, for example, it is enough, to draw a new hazard rr and then calculate the message <(HHi, HH 2 ), CO where:
• la première partie de l' en-tête HHi est égale à d*rr modulo λ ;• the first part of the HHi header is equal to d * rr modulo λ;
• la deuxième partie de l' en-tête HH2 est égale à grr modulo n ; • le message chiffré CC est le résultat du chiffrement du message MM avec la clé de chiffrement kk, qui est égale à g(s*rr) modulo n.• the second part of the HH 2 header is equal to grr modulo n; The encrypted message CC is the result of the encryption of the message MM with the encryption key kk, which is equal to g (s * rr) modulo n.
Etape de décryptage (103).Decryption step (103).
Le décryptage du message crypté <H, C> par le récepteur i consiste à déchiffrer le message chiffré C avec une clé de déchiffrement k' obtenue à partir de l' en-tête H et de la donnée de décryptage Kdi du récepteur i.The decryption of the encrypted message <H, C> by the receiver i consists in decrypting the encrypted message C with a decryption key k 'obtained from the header H and the decryption data Kdi of the receiver i.
Comme décrit dans l'étape de cryptage, l' en-tête H est constitué de deux parties Hi et H2 et le message crypté peut être représenté sous la forme : <(Hi, H2), C>.As described in the encryption step, the H header consists of two parts Hi and H 2 and the encrypted message can be represented as: <(Hi, H 2 ), C>.
La clé de déchiffrement k' est égale à (AiH7H2)Bl modulo n où Aj et Bj sont les deux secrets partiels constituants la donnée de décryptage Kdj du récepteur i. En remplaçant chaque élément de l'expression (AjHl/H2)Bl modulo n par sa valeur, il est facile de vérifier que la valeur de la clé de déchiffrement k' est g(s*r) modulo n. On peut constater que la clé de chiffrement k et la clé de déchiffrement k' sont égales.The decryption key k 'is equal to (Ai H 7H 2 ) B modulo n where Aj and Bj are the two partial secrets constituting the decryption data Kdj of the receiver i. By replacing each element of the expression (Aj Hl / H 2 ) B modulo n by its value, it is easy to check that the value of the decryption key k 'is g (s * r) modulo n. It can be seen that the encryption key k and the decryption key k 'are equal.
Une fois la clé de déchiffrement k' connue, il suffit de déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' pour obtenir le message d'origine M. Le décryptage du message crypté correspondant au cryptage du message MM ainsi que tous les décryptages suivants ne nécessitent pas une nouvelle étape d'initialisation.Once the decryption key k 'is known, it suffices to decrypt the encrypted message C using the decryption key k' to obtain the original message M. The decryption of the encrypted message corresponding to the encryption of the message MM and all subsequent decryptions do not require a new initialization step.
Un autre avantage du procédé selon l'invention est que la taille de la donnée de cryptage de l'émetteur, la taille de l' en-tête et la taille des données de décryptage sont fixes, c'est à dire qu'elles ne dépendent pas du nombre de récepteurs. De plus, cette taille est relativement raisonnable. En effet, la donnée de cryptage Ke de l'émetteur est constituée d'un seul élément du groupe Zn *, la donnée de décryptage Kdj d'un récepteur i est constituée de deux éléments du groupe Zn et l' en-tête H d'un message crypté est aussi constitué de deux éléments, Hi et H2, du groupe Zn .Another advantage of the method according to the invention is that the size of the encryption data of the transmitter, the size of the header and the size of the decryption data are fixed, ie they do not do not depend on the number of receivers. In addition, this size is relatively reasonable. Indeed, the encryption data Ke of the transmitter consists of a single element of the group Z n * , the decryption data Kdj of a receiver i consists of two elements of the group Z n and the header H of an encrypted message is also made up of two elements, Hi and H 2 , of the group Z n .
Dispositif de cryptage (200).Encryption device (200)
L'invention concerne aussi un dispositif de cryptage (200) illustré dans la FIG 2, pour crypter des messages selon le procédé décrit plus haut, le dispositif comprenant :The invention also relates to an encryption device (200) illustrated in FIG. 2, for encrypting messages according to the method described above, the device comprising:
• des moyens de stockage (201) de la donnée de cryptage Ke de l'émetteur ;Means for storing (201) the encryption data item Ke of the issuer;
• des moyens de génération d'aléas (204) ;Randomness generating means (204);
• des moyens de calcul agencés (202) pour : o calculer la clé de chiffrement k en fonction de la donnée de cryptageAn arithmetic means (202) for calculating the encryption key k as a function of the encryption data
Ke de l'émetteur et d'un aléa r ; o chiffrer un message avec la clé de chiffrement k ; o calculer l' en-tête H en fonction du même aléa r ;Ke of the transmitter and a hazard r; o encrypt a message with the encryption key k; o calculate the H header according to the same hazard r;
• des moyens de communication (203).• communication means (203).
Ce dispositif de cryptage (200) peut être, par exemple, un ordinateur, une carte à puce ou tout autre appareil cryptographique.This encryption device (200) can be, for example, a computer, a smart card or other cryptographic apparatus.
Dispositif de décryptage (300). L'invention concerne enfin un dispositif de décryptage (300) illustré dans la FIG 3, pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon le procédé décrit plus haut, le dispositif comprenant :Decryption device (300). The invention finally relates to a decryption device (300) illustrated in FIG. 3, for decrypting encrypted messages consisting of an H header and an encrypted message C according to the method described above, the device comprising:
• des moyens de stockage (301) des secrets partiels qui constituent la donnée de décryptage Kd1 du récepteur i ;Storage means (301) for the partial secrets that constitute the decryption data Kd 1 of the receiver i;
• des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage Kd1 du récepteur i et de l' en-tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; • des moyens de communication (303).• computing means arranged (302) for: calculating the decryption key k 'as a function of the decryption data Kd 1 of the receiver i and of the header H; o decrypting the encrypted message C using the decryption key k '; • communication means (303).
Ce dispositif de décryptage (300) peut être, par exemple, l'un des éléments suivants :This decryption device (300) may be, for example, one of the following elements:
• un ordinateur ; • une carte à puce ou tout autre appareil cryptographique ;• a computer ; • a smart card or other cryptographic device;
• un décodeur de télévision numérique, un téléphone mobile, un assistant personnel numérique, et plus généralement tout appareil permettant de recevoir ou de visualiser des données multimédia numériques.• a digital television decoder, a mobile phone, a personal digital assistant, and more generally any device for receiving or viewing digital media data.
Le dispositif de décryptage peut aussi être une combinaison des éléments cités ci- dessus. Le dispositif de décryptage peut être, par exemple, constitué par un décodeur de télévision numérique et une carte à puce. Le décodeur de télévision numérique stockant, par exemple, le secret partiel Aj et la carte à puce stockant le secret partiel B1.The decryption device may also be a combination of the elements mentioned above. The decryption device may be, for example, constituted by a digital television decoder and a smart card. The digital television decoder stores, for example, the partial secret Aj and the smart card storing the partial secret B 1 .
Application industrielle possible.Industrial application possible.
Une application industrielle possible, mais non exclusive, de la présente invention est l'accès conditionnel dans un système de télévision à péage. Un système d'accès conditionnel dans la télévision à péage assure que les contenus audiovisuels ne sont accessibles qu'aux seuls abonnés qui en ont acquis les droits. Les systèmes d'accès conditionnel actuels n'utilisent pas des schémas de traque des pirates car l'encombrement induit par ces derniers est incompatible avec les contraintes de diffusion de contenus audiovisuels. L'utilisation de secrets communs à tous les abonnés rend difficile l'identification de la source d'une contrefaçon dans le cas d'un piratage. Le faible encombrement (les faibles tailles des données de cryptage, de décryptage et des en-têtes) engendré par le procédé selon la présente invention rend parfaitement possible son utilisation dans un système d'accès conditionnel pour la télévision à péage rendant ainsi l'identification des pirates plus aisée.A possible, but not exclusive, industrial application of the present invention is conditional access in a pay-TV system. A conditional access system in pay-TV ensures that audiovisual content is accessible only to subscribers who have acquired the rights. Systems conditional access channels do not use piracy tracking schemes because the congestion induced by these is incompatible with the constraints of broadcasting audiovisual content. The use of secrets common to all subscribers makes it difficult to identify the source of counterfeiting in the case of piracy. The small size (the small sizes of the encryption, decryption data and headers) generated by the method according to the present invention makes it perfectly possible to use it in a conditional access system for pay television thus making the identification more affluent pirates.
Les modes de réalisation présentés ne constituent que des exemples de réalisation de l'invention non limitatifs de la portée de l'invention. D'autres modes de réalisation sont possibles dans des variations qui sont à la portée d'un homme du métier à la lecture de la présente description. La portée de l'invention est déterminée par les revendications annexées à la présente description. The embodiments presented are only exemplary embodiments of the invention without limiting the scope of the invention. Other embodiments are possible in variations that are within the abilities of those skilled in the art upon reading the present description. The scope of the invention is determined by the claims appended to this description.

Claims

REVENDICATIONS
1. Procédé de cryptage permettant à un émetteur, disposant d'une donnée de cryptage (Ke), de crypter des messages à destination d'au moins deux récepteurs, chaque récepteur (i) disposant d'une donnée de décryptage (Kdi), le procédé de cryptage comportant les étapes suivantes :An encryption method enabling a transmitter, having encryption data (Ke), to encrypt messages intended for at least two receivers, each receiver (i) having a decryption data item (Kdi), the encryption method comprising the following steps:
• une initialisation (101), qui consiste à déterminer la donnée de cryptage (Ke) de l'émetteur et à déterminer pour chaque récepteur (i) sa donnée de décryptage (Kdi) ; • un cryptage d'un message M (102), qui consiste à construire un message crypté constitué d'un en-tête H et d'un message chiffré C résultat du chiffrement du message M avec une clé de chiffrement k ;An initialization (101), which consists of determining the encryption data (Ke) of the transmitter and determining for each receiver (i) its decryption data (Kdi); An encryption of an M message (102), which consists of constructing an encrypted message consisting of a header H and an encrypted message C resulting from the encryption of the message M with an encryption key k;
• un décryptage d'un message crypté (103), qui consiste à déchiffrer le message chiffré C avec une clé de déchiffrement k' obtenue à partir de l'en- tête H et de la donnée de décryptage (Kd;) du récepteur (i) ; le procédé de cryptage étant caractérisé en ce que :A decryption of an encrypted message (103), which consists in decrypting the encrypted message C with a decryption key k 'obtained from the header H and the decryption data (Kd;) of the receiver ( i); the encryption method being characterized in that:
• la donnée de cryptage (Ke) de l'émetteur est une information secrète inconnue des récepteurs ;• the encryption data (Ke) of the transmitter is secret information unknown to the receivers;
• la donnée de décryptage (Kd^ du récepteur (i) est constituée de secrets partiels choisis de sorte qu'il existe une fonction de composition de secrets partiels qui permet d'obtenir la donnée de cryptage Ke de l'émetteur à partir desdits secrets partiels et que cette fonction de composition de secrets partiels est inconnue des récepteurs ;The decryption data (Kd) of the receiver (i) consists of partial secrets chosen so that there exists a function of partial secret composition which makes it possible to obtain the encryption data item Ke of the sender from the said secrets and that this function of partial secret composition is unknown to the receivers;
• la clé de chiffrement k dépend de la donnée de cryptage (Ke) de l'émetteur et d'un aléa r.• The encryption key k depends on the encryption data (Ke) of the transmitter and a random r.
2. Procédé selon la revendication 1 caractérisé en ce que les données de décryptages sont uniques par récepteur. 2. Method according to claim 1 characterized in that the decryption data are unique per receiver.
3. Procédé selon la revendication 2 caractérisé en ce que la donnée de décryptage (Kd;) du récepteur (i) comprend un premier secret partiel (Ai) et un deuxième secret partiel (Bj).3. Method according to claim 2 characterized in that the decryption data (Kd;) of the receiver (i) comprises a first partial secret (Ai) and a second partial secret (Bj).
4. Procédé selon la revendication 3 caractérisé en ce que la donnée de cryptage (Ke) de l'émetteur, les premier et deuxième secrets partiels (A;, Bj) et l'aléa r sont des éléments d'un groupe fini (G).4. Method according to claim 3 characterized in that the encryption data (Ke) of the transmitter, the first and second partial secrets (A ;, Bj) and the random r are elements of a finite group (G ).
5. Procédé selon la revendication 4 caractérisé en ce que le groupe fini (G) est l'ensemble des entiers non nuls modulo n (Zn *), où n est le produit de deux nombres premiers p et q inconnus des récepteurs.5. Method according to claim 4, characterized in that the finite group (G) is the set of non-zero integers modulo n (Z n * ), where n is the product of two prime numbers p and q unknown to the receivers.
6. Procédé selon la revendication 5 caractérisé en ce que la donnée de cryptage (Ke) de l'émetteur est égale à g(e*s^ modulo n, le premier secret partiel (Aj) est égal à g(e*(ai+1)) modulo n et le deuxième secret partiel (B;) est égal à b; où :6. Method according to claim 5, characterized in that the encryption data (Ke) of the transmitter is equal to g (e * s ^ modulo n, the first partial secret (Aj) is equal to g (e * (ai +1)) modulo n and the second partial secret (B;) is equal to b, where:
• g est un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs ;• g is an element of the set of non-zero integers modulo n, unknown to the receivers;
• s est un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs ; • a; et bj sont des éléments de l'ensemble des entiers non nuls modulo n, et aj est inconnu des récepteurs tels que
Figure imgf000019_0001
modulo λ et tels que le plus grand diviseur commun de deux bj quelconques est égal à c et où λ désigne le plus petit multiple commun de p-1 et q-1 et c un élément de l'ensemble des entiers non nuls modulo n, supérieur à 1 ; • e un élément de l'ensemble des entiers non nuls modulo n, inconnu des récepteurs et choisi conjointement avec d, un autre élément de l'ensemble des entiers non nuls modulo n, inconnu aussi des récepteurs de sorte que e*d=l modulo λ. • s is an element of the set of non-zero integers modulo n, unknown to the receivers; • at; and bj are elements of the set of non-zero integers modulo n, and aj is unknown to receivers such as
Figure imgf000019_0001
modulo λ and such that the greatest common divisor of any two bj is equal to c and where λ denotes the smallest common multiple of p-1 and q-1 and c an element of the set of non-zero integers modulo n, greater than 1; • e an element of the set of non-zero integers modulo n, unknown to the receivers and chosen together with d, another element of the set of non-zero integers modulo n, also unknown to the receivers so that e * d = l modulo λ.
7. Procédé selon la revendication 6 caractérisé en ce que la clé de chiffrement k est égale à (Ke)(d*r) modulo n.7. Method according to claim 6 characterized in that the encryption key k is equal to (Ke) (d * r) modulo n.
8. Procédé selon la revendication 7 caractérisé en ce que l' en-tête H du message crypté est constitué d'une première partie Hi, égale à d*r modulo λ, et d'une deuxième partie H2, égale à gr modulo n.8. Method according to claim 7, characterized in that the header H of the encrypted message consists of a first part Hi, equal to d * r modulo λ, and a second part H 2 , equal to g r modulo n.
9. Procédé selon la revendication 8 caractérisé en ce que la clé de déchiffrement k' est égale à (AiHl/H2)Bi modulo n.9. The method of claim 8 characterized in that the decryption key k 'is equal to (Ai Hl / H 2 ) Bi modulo n.
10. Dispositif de cryptage (200) pour crypter des messages selon l'une quelconque des revendications de 1 à 9 et caractérisé en ce qu'il comprend :An encryption device (200) for encrypting messages according to any one of claims 1 to 9 and characterized in that it comprises:
• des moyens de stockage (301) des secrets partiels constituants la donnée de décryptage (Kd1) du récepteur (i) ; • des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage (Kdj) du récepteur (i) et de l' en-tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ;Storage means (301) for the partial secrets constituting the decryption data item (Kd 1 ) of the receiver (i); • computing means arranged (302) for: calculating the decryption key k 'as a function of the decryption data (Kdj) of the receiver (i) and of the header H; o decrypting the encrypted message C using the decryption key k ';
• des moyens de communication (303).• communication means (303).
11. Dispositif de décryptage (300) pour décrypter des messages cryptés constitués d'un en-tête H et d'un message chiffré C selon l'une quelconque des revendications de 1 à 9 caractérisé en ce qu'il comprend :11. decryption device (300) for decrypting encrypted messages consisting of an H header and an encrypted message C according to any one of claims 1 to 9 characterized in that it comprises:
• des moyens de stockage (301) des secrets partiels qui constituent la donnée de décryptage (Kd1) du récepteur (i) ;Storage means (301) for the partial secrets which constitute the decryption data item (Kd 1 ) of the receiver (i);
• des moyens de calcul agencés (302) pour : o calculer la clé de déchiffrement k' en fonction de la donnée de décryptage (Kdi) du récepteur (i) et de l' en-tête H ; o déchiffrer le message chiffré C à l'aide de la clé de déchiffrement k' ; o des moyens de communication (303). • computing means arranged (302) for: calculating the decryption key k 'as a function of the decryption data (Kdi) of the receiver (i) and of the header H; o decrypting the encrypted message C using the decryption key k '; o communication means (303).
PCT/FR2007/001510 2006-09-19 2007-09-18 Method for encrypting messages for at least two receivers and related encryption device and decryption device WO2008034971A2 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0608163 2006-09-19
FR0608163A FR2906095B1 (en) 2006-09-19 2006-09-19 METHOD OF ENCRYPTING MESSAGES TO AT LEAST TWO RECEIVERS, ENCRYPTION DEVICE AND ASSOCIATED DECRYPTION DEVICE.

Publications (2)

Publication Number Publication Date
WO2008034971A2 true WO2008034971A2 (en) 2008-03-27
WO2008034971A3 WO2008034971A3 (en) 2008-05-08

Family

ID=38124146

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2007/001510 WO2008034971A2 (en) 2006-09-19 2007-09-18 Method for encrypting messages for at least two receivers and related encryption device and decryption device

Country Status (2)

Country Link
FR (1) FR2906095B1 (en)
WO (1) WO2008034971A2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020141371A1 (en) * 2001-03-28 2002-10-03 Hsu Raymond T. Method and apparatus for transmission framing in a wireless communication system
US20030039361A1 (en) * 2001-08-20 2003-02-27 Hawkes Philip Michael Method and apparatus for security in a data processing system
US20050141706A1 (en) * 2003-12-31 2005-06-30 Regli William C. System and method for secure ad hoc mobile communications and applications
US20060177067A1 (en) * 2005-02-03 2006-08-10 Samsung Electronics Co., Ltd. Hybrid broadcast encryption method

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020141371A1 (en) * 2001-03-28 2002-10-03 Hsu Raymond T. Method and apparatus for transmission framing in a wireless communication system
US20030039361A1 (en) * 2001-08-20 2003-02-27 Hawkes Philip Michael Method and apparatus for security in a data processing system
US20050141706A1 (en) * 2003-12-31 2005-06-30 Regli William C. System and method for secure ad hoc mobile communications and applications
US20060177067A1 (en) * 2005-02-03 2006-08-10 Samsung Electronics Co., Ltd. Hybrid broadcast encryption method

Also Published As

Publication number Publication date
FR2906095A1 (en) 2008-03-21
FR2906095B1 (en) 2009-04-03
WO2008034971A3 (en) 2008-05-08

Similar Documents

Publication Publication Date Title
EP3091689B1 (en) Method for generating a message signature from a signature token encrypted by means of an homomorphic encryption function
EP1151576B1 (en) Public and private key cryptographic method
WO2008113950A2 (en) Identity based broadcast encryption
Qureshi et al. Framework for preserving security and privacy in peer-to-peer content distribution systems
EP1634405B1 (en) Traceable method and system for encrypting and/or decrypting data, and recording media therefor
EP1254534A1 (en) Communication method with encryption key escrow and recovery
Goi et al. Cryptanalysis of two anonymous buyer-seller watermarking protocols and an improvement for true anonymity
EP1479233B1 (en) Device for processing and method for transmission of encoded data for a first domain in a network pertaining to a second domain
US20050060545A1 (en) Secure provision of image data
EP1479234B1 (en) Method for processing encoded data for a first domain received in a network pertaining to a second domain
FR2752122A1 (en) Reduced bit authentification method for zero knowledge public key encryption
EP1419640A2 (en) Local digital network, methods for installing new devices and data broadcast and reception methods in such a network
Sulaiman et al. Extensive analysis on images encryption using hybrid elliptic curve cryptosystem and hill cipher
WO2008034971A2 (en) Method for encrypting messages for at least two receivers and related encryption device and decryption device
EP1723791B1 (en) Method of securing a scrambled content sent by a broadcaster
WO2021222272A1 (en) Adaptive attack resistant distributed symmetric encryption
FR2899750A1 (en) Common encryption key generating method for e.g. voice over Internet protocol application, involves verifying correspondence between control data displayed on terminal of one user and control data received from another user by latter user
WO2008113952A2 (en) Identity based encryption
EP2652899B1 (en) Method and system for conditional access to a digital content, associated terminal and subscriber device
Bao et al. Secure and private distribution of online video and some related cryptographic issues
EP1642413B1 (en) Method for encoding/decoding a message and associated device
EP2294750B1 (en) Traceable method and system for broadcasting digital data
WO2007042419A1 (en) Cryptographic method using an identity-based encryption system
Strefler Broadcast Encryption with Traitor Tracing
Sun et al. Copyright protection of multimedia content using homomorphic public key cryptosystems

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07848247

Country of ref document: EP

Kind code of ref document: A2

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 07848247

Country of ref document: EP

Kind code of ref document: A2