Cryptosystème de Paillier

Le cryptosystème de Paillier est un cryptosystème basé sur un algorithme asymétrique conçu par Pascal Paillier en 1999. Son principe repose sur des travaux de Okamoto et Uchiyama présentés en 1998.

Le système est un homomorphisme additif; en d'autres termes, avec la clef publique et les chiffrés de ${\displaystyle m_{1}}$ et ${\displaystyle m_{2}}$, il est possible de calculer le chiffré de ${\displaystyle m_{1} m_{2}}$. Comme de plus ce chiffrement est prouvé sûr face à un attaquant passif, les chiffrés sont indistinguables, ce qui permet de remélanger un chiffré en rajoutant un chiffrement de zéro à un chiffré existant. Cette propriété est importante dans de nombreuses constructions visant à préserver la vie privée, étant donné qu'elle rend intraçable un message ainsi remélangé.

Fonctionnement

Génération des clefs

1. Choisir deux nombres premiers de grande taille, indépendants et aléatoires : ${\displaystyle p~}$ et ${\displaystyle q~}$;
2. Calculer la clef publique ${\displaystyle {\mathsf {pk}}\triangleq N=p\cdot q}$ (un module RSA) et la clé privée ${\displaystyle {\mathsf {sk}}\triangleq \varphi (N)=(p-1)\cdot (q-1)~}$.

Chiffrement

Soit ${\displaystyle m~}$ un message à chiffrer avec ${\displaystyle 0\leq m$. Soit ${\displaystyle r~}$, un entier aléatoire tel que ${\displaystyle 0$ (appelé l'aléa). Le chiffré est alors :

${\displaystyle c=(1 N)^{m}\cdot r^{N}\mod N^{2}}$

Déchiffrement

Pour retrouver le texte clair ${\displaystyle m}$, on commence par remarquer que :

${\displaystyle c\equiv r^{N}\mod N,}$

car

${\displaystyle {\begin{aligned}{\frac {c}{r^{N}}}&=(1 N)^{m}\mod N^{2}\\&=1 m\cdot N N^{2}\cdot \left(\sum _{i=2}^{m}{\binom {m}{i}}N^{i-2}\right)\mod N^{2}\\&=1 m\cdot N\mod N^{2}.\end{aligned}}}$

On obtient ainsi :

${\displaystyle r=c^{N^{-1}{\bmod {\varphi }}(N)}\mod N.}$

D’où :

${\displaystyle m={\frac {(c\cdot r^{-N}\mod N^{2})-1}{N}}.}$

On remarque que le calcul de ${\displaystyle r}$ n'est possible qu’à l'aide de la clef privée ${\displaystyle {\mathsf {sk}}=\varphi (N)}$, qui reste secrète sous l'hypothèse de la difficulté de la factorisation.

Homomorphisme

Le cryptosystème de Paillier est un homomorphisme additif, c'est-à-dire qu’avec la clef publique, un chiffré ${\displaystyle c_{1}={\mathsf {Chiffrer}}(m_{1})}$ et un chiffré ${\displaystyle c_{2}={\mathsf {Chiffrer}}(m_{2})}$, il est possible de construire un chiffré ${\displaystyle c_{1 2}={\mathsf {Chiffrer}}(m_{1} m_{2})}$ sans connaître ni ${\displaystyle m_{1}}$ ni ${\displaystyle m_{2}}$.

Cette opération s'effectue en multipliant ${\displaystyle c_{1}}$ et ${\displaystyle c_{2}}$, ce qui mène à:

${\displaystyle {\begin{aligned}c_{1}\cdot c_{2}&=(1 N)^{m_{1}}r_{1}^{N}\cdot (1 N)^{m_{2}}\cdot r_{2}^{N}{\bmod {N}}^{2}\\&=(1 N)^{m_{1} m_{2}}(r_{1}\cdot r_{2})^{N}{\bmod {N}}^{2}\end{aligned}}}$

Qui correspond à un chiffré de ${\displaystyle m_{1} m_{2}}$ sous l'aléa ${\displaystyle r_{1}\cdot r_{2}}$.

Notes et références

Annexes

Bibliographie

• [Okamoto et Uchiyama 1998] (en) Tatsuaki Okamoto et Shigenori Uchiyama, « A new public-key cryptosystem as secure as factoring », Eurocrypt,‎ 1998, p. 308–318 (DOI 10.1007/BFb0054135, lire en ligne)
• [Paillier 1999] (en) Pascal Paillier, « Public-Key Cryptosystems Based on Composite Degree Residuosity Classes », Eurocrypt,‎ 1999, p. 223–238 (DOI 10.1007/3-540-48910-X_16, lire en ligne [PDF])

Articles connexes

• Cryptographie asymétrique
• Chiffrement homomorphe
• Malléabilité

Liens externes

• (en) Paillier's Cryptosystem Revisited
• (en) Extensions to the Paillier Cryptosystem with Applications to Cryptological Protocols

• Portail de la cryptologie