Argument hybride

Un argument hybride est une méthode de preuve en cryptographie permettant de montrer l'indistinguabilité calculatoire de deux distributions de probabilité.

Description

Pour montrer que deux distributions $D_{0}$ et $D_{1}$ sont calculatoirement indistinguables, il est parfois possible d'exhiber une réduction d'un problème difficile à la sécurité du cryptosystème. Néanmoins, cette méthode n'est pas toujours facilement utilisable, et il existe des cas où il est plus facile d'exhiber une suite polynomialement bornée de distributions (dites hybrides) telles que $D_{0}=H_{0},H_{1},\ldots ,H_{n}=D_{1}$ et telles que pour tout $0\leq i<n$ , on ait $H_{i}$ qui soit calculatoirement indistinguable de $H_{i+1}$ (une preuve qui a pu être faite par le biais d'une réduction par exemple).

L'argument hybride est alors la conséquence de l'inégalité triangulaire, puisque pour n'importe quel adversaire efficace (qui fonctionne en temps polynomial probabiliste) ${\mathcal {A}}$ , l'avantage de ${\mathcal {A}}$ pour distinguer deux distributions $D$ et $D'$ est défini par:

\displaystyle \mathrm {Advt} ^{D,D'}({\mathcal {A}})=\left|\Pr _{x\hookleftarrow D}[{\mathcal {A}}(x)=1]-\Pr _{x\hookleftarrow D'}[{\mathcal {A}}(x)=1]\right|

Ainsi dans notre cas, l'application de l'inégalité triangulaire nous donne que :

\displaystyle \mathrm {Advt} ^{D_{0},D_{1}}({\mathcal {A}})\leq \sum _{i=0}^{n-1}\mathrm {Advt} ^{H_{i},H_{i+1}}({\mathcal {A}})

Ainsi il existe nécessairement un indice $k$ tel que :

\displaystyle \mathrm {Advt} ^{H_{k},H_{k+1}}({\mathcal {A}})\geq {\frac {\mathrm {Advt} ^{D_{0},D_{1}}({\mathcal {A}})}{n}}

Comme $n$ est polynomialement borné (par hypothèse), alors si on peut montrer que l'avantage de n'importe quel adversaire fonctionnant en temps polynomial pour distinguer deux distributions hybrides successives est négligeable, alors l'avantage de n'importe quel adversaire pour distinguer les deux distributions initiales $D_{0}$ et $D_{1}$ est lui-même négligeable [1].

Utilisations

Il existe des exemples de l'utilisation de l'argument hybride en cryptographie [2], généralement présenté sous forme de preuves par jeux. On peut citer parmi celles-ci les preuves simples suivantes:

Si un générateur de bits est imprédictible, alors il s'agit d'un générateur pseudo-aléatoire [3].
On peut étendre un générateur pseudo-aléatoire $G:\{0,1\}^{s}\to \{0,1\}^{s+1}$ pour construire un générateur pseudo-aléatoire dont la sortie est polynomialement plus grande que l'entrée [4].

Prédicteur à partir d'un distingueur pour un générateur pseudo-aléatoire

La sécurité d'un générateur pseudo-aléatoire est donnée par l'indistinguabilité de la distribution « $G\triangleq G(x)\in \{0,1\}^{n}:x\hookleftarrow {\mathcal {U}}(\{0,1\}^{s})$ » de la distribution uniforme sur les chaînes de longueur $n$ [5]. Une définition alternative est donnée par l'imprédictabilité du bit suivant, c'est-à-dire qu'il n'existe pas d'algorithme efficace permettant de prédire $G(x)_{i}$ sachant $G(x)_{<i}$ [note 1] avec une probabilité significativement différente de 1/2.

Andrew Yao a montré en 1982 que ces deux définitions sont équivalentes [3], on donne dans la suite une preuve de l'implication qui fait intervenir l'argument hybride.

Démonstration

Ainsi si les bits de $G(x)$ sont indistinguables de l'uniforme, alors il ne peut exister de prédicteur. Cela se fait par la construction de distributions hybrides, en posant les distributions hybrides $H_{i}=G(x)_{<n-i}\|{\mathcal {U}}(\{0,1\}^{i})$ , qui est telle que $H_{0}=G$ et $H_{n}={\mathcal {U}}(\{0,1\}^{n})$ .

L'argument hybride donne donc l'existence d'un indice $k^{\star }$ tel que

\displaystyle \mathrm {Advt} ^{H_{k^{\star }},H_{k^{\star }+1}}({\mathcal {A}})\geq {\frac {\mathrm {Advt} ^{G,{\mathcal {U}}(\{0,1\}^{n})}({\mathcal {A}})}{n}}

Par conséquent, un distingueur entre la distribution $G$ et la distribution uniforme sur les chaînes de bits de longueur n est aussi un distingueur entre les distributions $H_{k}$ et $H_{k+1}$ .

On construit ensuite le prédicteur suivant qui utilise de manière boîte noire un distingueur entre les distributions $G$ et la distribution uniforme sur n bits:

${\begin{array}{c c c c c}{\mbox{Distingueur }}(G,U)=D&&{\mbox{Predicteur de bit}}=P&&{\mbox{Challenger}}\\\hline &&{\text{Tire }}k\hookleftarrow {\mathcal {U}}(\{0,1,\ldots ,n-1\})&&{\text{Tire }}x\hookleftarrow {\mathcal {U}}(\{0,1\}^{s})\\&&&{\xrightarrow {k}}&\\&&&{\xleftarrow {G(x)_{<k+1}}}&\\&&{\text{Construit }}y=G(x)_{<k+1}\|{\mathcal {U}}(\{0,1\}^{n-k})&&\\&{\xleftarrow {y}}&&&\\&{\xrightarrow {b}}&&&\\&&{\text{Si }}b=1{\text{, alors on a probablement envoye }}H_{k+1}.&&\\&&{\text{On assigne }}p=y_{k+1}&&\\&&{\text{Si }}b=0{\text{, ça signifie qu'on a probablement envoye }}H_{k}.&&\\&&{\text{On assigne }}p=1-y_{k+1}&&\\&&&{\xrightarrow {p}}&\end{array}}$

Il ne reste plus qu'à calculer la probabilité pour notre prédicteur d'avoir donné le bon bit.

\displaystyle {\begin{aligned}\Pr _{x\in {\mathcal {U}}(\{0,1\}^{s})}[P(G(x)_{<k+1})=G(x)_{k+1}]&=\Pr[P(y)=y_{k+1}\land G(x)_{k+1}=y_{k+1}]+\Pr[P(y)=1-y_{k+1}\land G(x)_{k+1}=1-y_{k+1}]\\&=\Pr[G(x)_{k+1}=y_{k+1}]\cdot \Pr[P(y)=y_{k+1}\mid G(x)_{k+1}=y_{k+1}]+\Pr[G(x)_{k+1}=1-y_{k+1}]\cdot \Pr[P(y)=1-y_{k+1}\mid G(x)_{k+1}=1-y_{k+1}]\\&=\Pr[G(x)_{k+1}=y_{k+1}]\cdot \Pr[D(y)=1\mid G(x)_{k+1}=y_{k+1}]+\Pr[G(x)_{k+1}=1-y_{k+1}]\cdot \Pr[D(y)=0\mid G(x)_{k+1}=1-y_{k+1}]\\&={\frac {1}{2}}\cdot \left(\Pr[D(y)=1\mid G(x)_{k+1}=y_{k+1}]+\Pr[D(y)=0\mid G(x)_{k+1}=1-y_{k+1}]\right)\\&={\frac {1}{2}}\cdot \left(1+\Pr[D(y)=1\mid G(x)_{k+1}=y_{k+1}]-\Pr[D(y)=1\mid G(x)_{k+1}=1-y_{k+1}]\right)\\&\geq {\frac {1}{2}}\pm \mathrm {Advt} ^{H_{k^{\star }},H_{k^{\star }+1}}(A)\cdot \Pr[k=k^{\star }]\end{aligned}}

Ce qui donne une borne inférieure sur la distance de cette probabilité comme ${\frac {1}{2}}$ par ${\frac {\mathrm {Advt} ^{G,U(\{0,1\}^{n})}}{n^{2}}}$ , qui est non négligeable si le distingueur a un avantage significatif.

Notes et références

Notes

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Hybrid argument » (voir la liste des auteurs).

Les i premiers bits de la chaîne G(x).

Annexes

Bibliographie

[Goldreich, Goldwasser et Micali 1984] (en) Oded Goldreich, Shafi Goldwasser et Silvio Micali, « How to Construct Random Functions », FOCS,‎ 1984 (DOI 10.1109/SFCS.1984.715949).
[Katz et Lindell 2014] (en) Jonathan Katz et Yehuda Lindell, Introduction to Modern Cryptography, 2nd Edition, Boca Raton, Chapman and Hall, 2014, 583 p. (ISBN 978-1-4665-7026-9, notice BnF n^o FRBNF44284474), « Constructions of Pseudorandom Generators ».
[Shoup 2004] (en) Victor Shoup, « Sequences of games: a tool for taming complexity in security proofs », ePrint Reports,‎ 2004 (lire en ligne).
[Yao 1982] (en) Andrew Yao, « Theory and application of trapdoor functions », FOCS,‎ 1982 (DOI 10.1109/SFCS.1982.45, lire en ligne [PDF], consulté le 24 février 2017).

Articles connexes

Liens externes

[Dodis 2008] (en) Yevgeniy Dodis, « Introduction to Cryptography » [« Cours d'introduction à la cryptographie »] [PDF], 30 septembre 2008.

Portail de la cryptologie
Portail de l'informatique théorique

Cet article est issu de Wikipedia. Le texte est sous licence Creative Commons - Attribution - Partage dans les Mêmes. Des conditions supplémentaires peuvent s'appliquer aux fichiers multimédias.

[6] Les i premiers bits de la chaîne G(x).

[Dodis2008-1] Dodis 2008.

[Shoup2004-2] Shoup 2004.

[Yao1982-3] Yao 1982.

[GoldreichGoldwasserMicali1984-4] Goldreich, Goldwasser et Micali 1984.

[KatzLindell2014-5] Katz et Lindell 2014.