WO2007026092A1 - Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification - Google Patents

Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification Download PDF

Info

Publication number
WO2007026092A1
WO2007026092A1 PCT/FR2006/050805 FR2006050805W WO2007026092A1 WO 2007026092 A1 WO2007026092 A1 WO 2007026092A1 FR 2006050805 W FR2006050805 W FR 2006050805W WO 2007026092 A1 WO2007026092 A1 WO 2007026092A1
Authority
WO
WIPO (PCT)
Prior art keywords
identifier
cryptogram
authentication
electronic object
function
Prior art date
Application number
PCT/FR2006/050805
Other languages
English (en)
Inventor
Henri Gilbert
Olivier Billet
Côme BERBAIN
Original Assignee
France Telecom
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom filed Critical France Telecom
Publication of WO2007026092A1 publication Critical patent/WO2007026092A1/fr

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Definitions

  • the present invention relates to the authentication of an electronic object by an authentication entity. More particularly, it relates to anonymous authentication that is not traceable retroactively from an asymmetric cryptographic algorithm of an electronic object by an authentication entity such as an authentication server.
  • the electronic objects are according to a preferred embodiment of the invention electronic tags of RFID type (Radio Frequency
  • An electronic object having a small memory, a minimum of wiring and elements soliciting only simple operations, all implanted in an integrated circuit.
  • An electronic object can also be a smart card including a microcontroller having a low computing capacity.
  • Authentication methods based on an asymmetric cryptographic algorithm are known in the field of telecommunication networks and are described in the following manner with reference to FIG. 1: during authentication of an electronic tag type client entity A at a server B authentication entity, the label A transmits its identity IA in clear to the server B to initialize the authentication.
  • the server B sends a random number called random RA to the label A.
  • the label A encrypts the randomness RA by an encryption algorithm using a private key to obtain a cryptogram C (RA) that the label sends to the server B
  • the server verifies the accuracy of the encryption by performing a reverse operation based on a public key decryption algorithm for decrypting the cryptogram C (RA) into a random to compare to the initial randomness RA.
  • the attacker can link subsequent authentications of the label A by pretending to be the server B and proposing the same RA randomness.
  • An attacker is also able to know the label A by analyzing the behavior of the label deduced from characteristic responses of the label to known inputs, such as RA randomness, and the observation of previous authentications.
  • an electronic tag is authenticated by a server in which is implemented a class of stable encryption algorithms by public key composition whose private key is known to the server. Stability by composition means that the successive use of at least two algorithms of this class is equivalent to the use of an algorithm of said class.
  • the tag has a secret identifier also accessible by the server. The tag encrypts the secret identifier by iteration of the cryptographic algorithm according to an iteration counter. The label then a result returned by a bijective function, having as input parameters a random error emitted by the server and a concatenation of the encrypted secret identifier and the number of iterations.
  • the result is transmitted to the server that decrypts it by using a reverse bijective function and the random to extract the encrypted secret identifier and the number of iterations.
  • the server then decrypts the secret identifier by iteration of the inverse cryptographic algorithm and verifies the accuracy of the result with the secret identifier stored in the server.
  • composition-based stable encryption algorithm class currently involves the choice of the Rivest Shamir Adleman (RSA) algorithm. This choice is relatively far from the constraints of implementations in labels of very small sizes.
  • RSA Rivest Shamir Adleman
  • the invention aims to overcome the aforementioned drawback by providing anonymous authentication and non-traceable retroactively an electronic object by an authentication entity.
  • Authentication uses an asymmetric cryptographic algorithm whose relative simplicity facilitates its implementation in small electronic objects.
  • the invention is directed to a method for authenticating an electronic object, such as an electronic tag, an entity authentication dpf, such as a server.
  • An identifier of the electronic object is stored in the electronic object and in a database that is accessible to the authentication entity, and a hazard is generated by the authentication entity and transmitted to the electronic object. .
  • the method is characterized in that it comprises the following steps of: in the electronic object, encrypting and storing a first number by means of a first one-way function, determining a cryptogram from said identifier, said first number encrypted and said transmitted hazard, and transmitting the cryptogram to the authentication entity, and in the authentication entity, decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated random to produce a identifier decrypted, and search the database for an identifier equal to said decrypted identifier.
  • the identifier of the electronic object is never revealed during the authentication of the electronic object. Only an authentication entity having previously stored the identifier of the electronic object is able to recognize it in the step of searching for the identifier in the database. Therefore two different electronic objects are indistinguishable from an attacking third party.
  • the invention prohibits any recognition of the electronic object by observing characteristic values reflecting the behavior of the electronic object.
  • any retroactively traceable authentication is impossible, and the attacking third party can not identify the previous authentications between the electronic object and any authentication entity. .
  • Encrypting the first number using the first one-way function prevents the attacking third party who knows the contents of the electronic object from deducing the value of the first number from the encryption at the beginning of the previous authentication.
  • the authentication method according to the invention does not include encryption by successive iterations of the secret identifier to obtain an authentication that is not traceable retroactively, which makes the integrated circuit included in the electronic object less complex.
  • the determination of the cryptogram in the electronic object comprises the following steps of: applying a first bijective function to the stored identifier and the transmitted random to produce a second number, concatenating the first number and the second number determined in a third number, and determining the number encrypted by application to the third determined number of a second one-way function, which is a one-way trap function.
  • the bijective function can be an exclusive-OR that is applied in particular to a predetermined hazard.
  • a one-way function is a function that is easy to calculate but difficult to reverse.
  • a one-way hatch function is a function easy to calculate, difficult to reverse if we do not know the hatch, and easy to reverse if we know the hatch.
  • the decryption function in the authentication entity comprises the following steps: determining a fourth number by applying a resolution function to the cryptogram, and determining the decrypted identifier by application of a second bijective function at the fourth predetermined number and the generated randomness.
  • the invention also relates to an authentication system for implementing the method according to the invention, comprising the electronic object and the authentication entity.
  • the system is characterized in that it comprises: in the electronic object, means for encrypting and storing a first number by means of a first one-way function, means for determining a cryptogram from said identifier, said first an encrypted number and said transmitted hazard, and means for transmitting the cryptogram to the authentication entity, and in the authentication entity, means for decrypting the transmitted cryptogram by applying a decryption function to the cryptogram and the generated randomness to produce a decrypted identifier, and a means to search the database for data an identifier equal to said decrypted identifier.
  • the invention relates to a computer program for authenticating an electronic object with an authentication entity, an identifier of the electronic object being stored in the electronic object and in a database that is accessible. to the authentication entity, and a hazard being generated by the authentication entity and transmitted to the electronic object.
  • the program is characterized in that it comprises instructions which, when the program is executed in a system comprising said electronic object and said authentication entity, perform the steps according to the method of the invention.
  • FIG. 1 is a schematic block diagram of a known authentication system already commented
  • FIG. 2 is a schematic block diagram of an authentication system implementing an anonymous authentication method and non-traceable retroactively according to the invention
  • FIG. 3 is an algorithm of an anonymous authentication method that is not traceable retroactively according to the invention.
  • an authentication system comprises a f authentication server SA for example of the tag reader as an entity authentication, and an electronic tag as an object E e communicating with or without contact with the server.
  • the label E comprises a microcontroller including in known manner a processor, memories and registers as well as software modules. Some of them are specific to the invention and are in particular a memory ME which may be small, an internal register RI, encryption modules F and G implemented in ROM memory in the microcontroller, and an ICE communication interface .
  • a secret identifier IS of the label E is stored in the memory ME.
  • the internal register RI includes a first number Nl ⁇ whose initial value is predetermined either on the initiative of the label holder or on the initiative of the manufacturer of the label. The value of the first number changes with each authentication of the tag, i.e.
  • the first encryption module F determines another first number N1 + 1 from the first number N1 + previously registered in the register R1 and to which a first one-way function f is applied at each authentication of the tag.
  • the second encryption module G includes a first bijective function X of the exclusive-OR type, a concatenation function C and a one-way trap function g to determine from the label identifier IS and the first number N1. d + i cryptogram X.
  • the cryptogram X is transmitted to the server SA via the communication interface ICE of the electronic tag E.
  • the electronic tag E in Figure 2 are shown schematically in the authentication server f SA as functional blocks performing functions related to the invention and corresponding software modules and / or hardware.
  • the server SA comprises an ICS communication interface, a GR random generation module, a decryption module H, a database BD and a verification module V.
  • the ICS communication interface transmits to the label E an R random used by the second encryption module G of the label and in response receives the cryptogram X transmitted by the label E.
  • the decryption module H includes a function h, called for convenience "resolution function" h, and a second OR-exclusive bijective function ®, and decrypts the cryptogram from the random generated R to obtain a secret identifier.
  • the database BD includes secret identifiers of electronic tags to be authenticated and in particular includes the identifier IS of the electronic tag being authenticated.
  • the verification module V of the server SA verifies the accuracy of the result of decryption from the secret identifier IS of the tag stored in the database BD to authenticate the electronic tag E.
  • the authentication entity may be, in addition to a server, a computer incorporating or accessing locally or through a telecommunications network to a database.
  • the computer may be an electronic personal telecommunications device to the user of the label, for example a personal digital assistant PDA.
  • the entity d f authentication can be also other portable domestic terminal or not, such as a video game console, or smart television receiver.
  • the authentication method f comprises steps Sl to S15.
  • step S1 when the tag is connected to the authentication server, with or without contact, the ICE communication interface of the electronic tag E transmits an authentication request RQAU to the authentication server SA.
  • the ICS communication interface in the server SA receives the request RQAU in step S2 and activates the generation module GR of the server.
  • step S3 the module GR randomly generates the hazard R and the ICS interface transmits the random R to the label E which stores it.
  • the steps S1 and S2 are deleted and the server SA generates the randomness R and directly transmits an authentication request including the randomness R to the label E.
  • the first encryption module F in the label E Upon receipt of the randomness R in step S4, the first encryption module F in the label E encrypts the first number N1 stored in the internal register RI of the label by means of the first one-way function. and produces another first number N1 + 1 in step S5.
  • the other first number N1 + 1 is stored in the internal register R1 by overwriting the former first number Ni d , becomes the first number N1 ⁇ and is used in the next step S7 of the method.
  • the step S5 for encrypting and storing the first number N1 is performed before the step S4 for receiving the random R.
  • step S8 the second encryption module G of the label finally determines the cryptogram X by applying the one-way function g with trap to the third number N3.
  • the second one-way gate function g is a public key function whose key is directly incorporated in the function coefficients.
  • An embodiment of the one-way functions f and g, the concatenation function C and the first bijective function est is presented in the following description.
  • the ICE communication interface of the tag then transmits in step S9 the cryptogram X to the ICS communication interface of the server.
  • the decryption module H of the server SA Upon reception of the cryptogram X by the communication interface ICS of the server SA at step SlO, the decryption module H of the server SA decrypts the cryptogram X at the steps S11 and S12.
  • the module H applies on the cryptogram X a resolution function h having the property of being executed partially or entirely by the module decryption H to determine a fourth number N4.
  • the resolution function h is applied to the cryptogram X, without the SA server knowing the value of the first number Nl ⁇ .
  • the resolution function h is a private key function whose key corresponds to the public key used for the second one-way function g, and is directly incorporated into the coefficients of the function. For example, in the embodiment where the function g is a system of quadratic equations, the function h performs a partial resolution of this system.
  • step S12 the decryption module H determines a decrypted identifier IS 'representative of the identifier IS stored in the label E by application of the second bijective function OR-Exclusive ® between the fourth number N4 determined previously and the randomness R generated in step S3. Applying twice, at step S6 and at step S12, the exclusive-OR function using the same operand R amounts to performing an identity operation:
  • IS IS ® R ® R.
  • step S13 the verification module V compares the determined identifier IS 'with the label identifiers read in the database BD of the server SA. If the determined identifier IS 'is identical to the one IS of the read identifiers IS, then the label E is authenticated in step S14. In the opposite case in step S15, the label E is not authenticated.
  • the non-traceable authentication of the electronic tag E according to the objective of the invention is achieved by the step S5.
  • Applying the first one-way function f to the first number Nl d + i prevents an attacker with the tag and knowing its contents from applying a function inverse to the first one-way function f on the first number Nl ⁇ + i to obtain the value of the first number Nl ⁇ of the previous authentication.
  • the attacker is unable to deduce the value of the cryptograms exchanged between the label and authentication servers during previous communications and therefore to trace exchanges between the label and the servers.
  • the database BD does not include the secret identifiers of the tags to be authenticated.
  • U u (IS)
  • the verification module V of the server SA applies the third one-way function u on the identifier IS' in order to obtain an image U '.
  • the verification module V searches in the database BD if one of the tag images stored in the database is identical to the image U 'determined.
  • the third one-way function u can be a SHA (Secure Hash Algorithm) secure hashing function, or IS identifier encryption with a constant using an Advanced Encryption Standard (AES) symmetric encryption algorithm.
  • SHA Secure Hash Algorithm
  • AES Advanced Encryption Standard
  • the first one-way function f implemented in the label E is a first system of T quadratic equations with unknown T, whose coefficients are drawn for example randomly by the manufacturer of the label.
  • a quadratic equation is of the type:
  • the first number Ni d comprises T bits Nl d, 0 to Ni d, T - Bits Nl d, t of the first number N d are operands Xi, Xj of each first one-way function ft of the first system to obtaining as a final result the further first number Nl d + i having T bit Nld + 1.0 to + Nld i, ⁇ - This number Nl of t + 1 are then stored in the register RI of the label E and replaces the former first number
  • the third number N3 Ni d
  • IS ® R is an M-bit number in N3O N3M bits, with the integer M greater than the first integer T.
  • resolution function h included in the decryption module H of the server SA is a third system of private key decryption key equation which is based on M quadratic equations and IIM to M unknown.
  • the decryption module H applies only the h. ⁇ to hyi equations to the XT XM bits respectively of the cryptogram X. Thus it is not useful for the decryption module H to know the first number Nl ⁇ .
  • This embodiment has the advantage of being implemented in electronic tags with low computing capacity. Indeed, this embodiment does not implement an encryption comprising several iterations requiring a large calculation capacity.
  • the encryption modules F and G respectively executing the one-way functions f and g described in the previous embodiment can be implemented in hard-wired logic in the label E.
  • the quadratic polynomials of the one-way functions f and g and of the resolution function h are preferably "hollow" polynomials whose monomials have zero coefficients.
  • the invention described herein relates to a method and an authentication system. It also relates to the implementation of the modules F, G and H of the electronic object E and the authentication server SA in the form of a computer program. The steps of the method of the invention are then determined by the instructions of the computer program incorporated at least in part in the authentication server SA.
  • the program includes program instructions which, when said program is executed in a system comprising the electronic object E and the authentication entity SA, carry out the steps of the method according to the invention.
  • the invention also applies to a computer program, including a computer program on or in an information carrier, adapted to implement the invention.
  • This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code such as in a partially compiled form, or in any other form desirable to implement the method according to the invention.
  • the information carrier may be any entity or device capable of storing the program.
  • the medium may comprise storage means or recording medium on which is stored the computer program according to the invention, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a USB key, or a magnetic recording means, for example a floppy disk or a hard disk.
  • the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
  • the program according to the invention can in particular be downloaded to an Internet type network.
  • the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method according to the invention.
  • the database BD is not necessarily on the server. It can be accessed remotely.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

Une entité d'authentification tel qu'un serveur (SA) génère un aléa et le transmet à un objet électronique tel qu'une étiquette électronique (E). Afin d'interdire une authentification anonyme et traçable rétroactivement de l'objet électronique, l'objet électronique (E) chiffre un nombre prédéterminé (N1d) au moyen d'une première fonction à sens unique (f) , détermine un cryptogramme (X) à partir dudit identificateur (IS) , du premier nombre chiffré et de l'aléa (R), et transmet le cryptogramme à l'entité dr authentification. L'entité d' authentification (SA) déchiffre le cryptogramme transmis par application d'une fonction de déchiffrement (h, ⊕) au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et cherche dans une base de données (BD) un identificateur égal audit identificateur déchiffré.

Description

Authentification anonyme et non traçable rétroactivement d'un objet électronique par une entité d' authentification
La présente invention est relative à 1 ' authentification d'un objet électronique par une entité d' authentification. Plus particulièrement elle a trait à une authentification anonyme non traçable rétroactivement à partir d'un algorithme de cryptographie asymétrique d'un objet électronique par une entité d' authentification comme par exemple un serveur d' authentification.
Les objets électroniques sont selon une réalisation préférée de l'invention des étiquettes électroniques de type RFID (Radio Frequency
IDentifier) comportant une mémoire de petite taille, un minimum de câblage et des éléments ne sollicitant que des opérations simples, le tout implanté dans un circuit intégré. Un objet électronique peut être également une carte à puce incluant un microcontrôleur présentant une faible capacité de calcul .
L'utilisation massive et croissante des étiquettes électroniques pose de nouveaux problèmes de sécurité. En particulier, elle soulève le problème de la protection de la vie privée des porteurs de ces étiquettes. La détection d'une étiquette par un lecteur ou un serveur peut se faire sans action particulière de l'utilisateur portant son étiquette, par exemple par simple proximité. Combinée à une interaction croissante entre les lecteurs et les serveurs, l'identification fréquente des étiquettes contribue à la constitution de bases de données qui servent à tracer les utilisations des étiquettes au détriment de l'anonymat des porteurs des étiquettes. Par exemple une étiquette électronique utilisée comme un passe électronique dans les transports en commun permet de tracer une partie du déplacement du porteur d'étiquette; selon un autre exemple, une étiquette électronique supportée par un vêtement permet de suivre le cheminement du vêtement et donc de tracer une partie du déplacement du porteur du vêtement. Des procédés d' authentification basés sur un algorithme de cryptographie asymétrique sont connus dans le domaine des réseaux de télécommunication et se déclinent de la manière suivante en référence à la figure 1 : lors d'une authentification d'une entité cliente de type étiquette électronique A auprès d'une entité d' authentification de type serveur B, l'étiquette A transmet son identité IA en clair au serveur B pour initialiser l ' authentification. Le serveur B envoie un nombre aléatoire appelé aléa RA à l'étiquette A. L'étiquette A chiffre l'aléa RA par un algorithme de chiffrement utilisant une clé privée pour obtenir un cryptogramme C(RA) que l'étiquette envoie au serveur B. Le serveur vérifie l'exactitude du chiffrement en réalisant une opération inverse basée sur un algorithme de déchiffrement à clé publique pour déchiffrer le cryptogramme C (RA) en un aléa à comparer à l'aléa initial RA.
Il est possible à un attaquant se faisant passer pour le serveur B de connaître l'identité IA de l'étiquette A simplement en la lui demandant pendant l'initialisation d'une phase d' authentification.
L'attaquant peut relier des authentifications ultérieures de l'étiquette A en se faisant passer pour le serveur B et en proposant le même aléa RA. Un attaquant est aussi capable de connaître l'étiquette A en analysant le comportement de l'étiquette déduit de réponses caractéristiques de l'étiquette à des entrées connues, telles que l'aléa RA, et de l'observation d' authentifications antérieures .
Ces inconvénients peuvent être surmontés en assurant l'anonymat d'une authentification d'une étiquette électronique dans un réseau de la façon suivante : l'étiquette électronique ne fournit pas son identité, mais envoie à l'entité d' authentification un cryptogramme calculé, entre autres, à partir d'une valeur de compteur d' authentification garantissant le non rejeu de 1 ' authentification. Cependant, cette génération de cryptogramme expose encore l'étiquette à sa traçabilité rétroactive par un attaquant qui en possession de l'étiquette et accédant à son contenu est en mesure de corréler le contenu de l'étiquette avec des communications passées entre l'étiquette et des entités d' authentification.
Pour remédier à la traçabilité rétroactive, une étiquette électronique est authentifiée par un serveur dans lequel est mise en œuvre une classe d'algorithmes de chiffrement stable par composition à clé publique dont la clé privée est connue du serveur. La stabilité par composition signifie que l'utilisation successive d'au moins deux algorithmes de cette classe équivaut à l'utilisation d'un algorithme de ladite classe. L'étiquette comporte un identificateur secret accessible également par le serveur. L'étiquette chiffre l'identificateur secret par itération de l'algorithme de cryptographie selon un compteur d'itération. L'étiquette chiffre ensuite un résultat retourné par une fonction bijective, ayant comme paramètres d'entrée un aléa émis par le serveur et une concaténation de l'identificateur secret chiffré et du nombre d'itérations. Le résultat est transmis au serveur qui le déchiffre par utilisation d'une fonction bijective inverse et de l'aléa pour extraire l'identificateur secret chiffré et le nombre d'itérations. Le serveur déchiffre ensuite l'identificateur secret par itération de l'algorithme de cryptographie inverse et vérifie l'exactitude du résultat avec l'identificateur secret mémorisé dans le serveur.
Le chiffrement dans l'étiquette de l'identificateur secret par itération d'un algorithme de cryptographie selon un compteur d'itération dont la valeur est modifiée à chaque chiffrement, interdit un tiers non autorisé s ' emparant de l'étiquette et accédant à son contenu de déchiffrer l'identité secrète sans connaître la valeur du compteur d'itération.
Cependant l'utilisation d'une classe d'algorithmes de chiffrement stable par composition implique actuellement le choix de l'algorithme RSA (Rivest Shamir Adleman) . Ce choix est relativement éloigné des contraintes d' implémentations dans des étiquettes de très petites tailles .
L'invention a pour objectif de s'affranchir de l'inconvénient précité en proposant une authentification anonyme et non traçable rétroactivement d'un objet électronique par une entité d' authentification. L' authentification recourt à un algorithme cryptographique asymétrique dont la relative simplicité facilite son implémentation dans des objets électroniques de petite taille. Pour atteindre cet objectif, l'invention est dirigée vers un procédé pour authentifier un objet électronique, comme par exemple une étiquette électronique, par une entité df authentification, comme par exemple un serveur. Un identificateur de l'objet électronique est mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d' authentification, et un aléa est généré par l'entité d' authentification et transmis à l'objet électronique. Le procédé est caractérisé en ce qu'il comprend les étapes suivantes de : dans l'objet électronique, chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et transmettre le cryptogramme à l'entité d' authentification, et dans l'entité d' authentification, déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et chercher dans la base de données un identificateur égal audit identificateur déchiffré.
Selon l'invention, l'identificateur de l'objet électronique n'est jamais révélé au cours de 1 ' authentification de l'objet électronique. Seule une entité d' authentification ayant préalablement mémorisé l'identificateur de l'objet électronique est capable de reconnaître celui-ci à l'étape de chercher l'identificateur dans la base de données. Par conséquent deux objets électroniques différents sont indiscernables par un tiers attaquant. L'invention interdit toute reconnaissance de l'objet électronique par observation de valeurs caractéristiques reflétant le comportement de l'objet électronique . Conformément à l'objectif de l'invention, même en possession de l'objet électronique, toute authentification traçable rétroactivement est impossible, et le tiers attaquant ne peut identifier les authentifications précédentes entre l'objet électronique et n'importe quelle entité d' authentification . Le chiffrement du premier nombre au moyen de la première fonction à sens unique interdit le tiers attaquant qui connaît le contenu de l'objet électronique de déduire la valeur du premier nombre issu du chiffrement au début de 1 ' authentification précédente.
Le procédé d' authentification selon l'invention ne comprend pas de chiffrement par itérations successives de l'identificateur secret pour obtenir une authentification non traçable rétroactivement ce qui rend moins complexe le circuit intégré inclus dans l'objet électronique.
Selon une caractéristique de l'invention, la détermination du cryptogramme dans l'objet électronique comprend les étapes suivantes de : appliquer une première fonction bijective à l'identificateur mémorisé et à l'aléa transmis pour produire un deuxième nombre, concaténer le premier nombre et le deuxième nombre déterminé en un troisième nombre, et déterminer l'identificateur chiffré par application au troisième nombre déterminé d'une deuxième fonction à sens unique, qui est une fonction à sens unique à trappe. La fonction bijective peut être un OU-Exclusif qui est appliqué notamment à un aléa prédéterminé.
Une fonction à sens unique est une fonction facile à calculer mais difficile à inverser. Une fonction à sens unique à trappe est une fonction facile à calculer, difficile à inverser si l'on ne connaît pas la trappe, et facile à inverser si l'on connaît la trappe.
Selon une autre caractéristique de l'invention, la fonction de déchiffrement dans l'entité d' authentification comprend les étapes suivantes de : déterminer un quatrième nombre par application d'une fonction de résolution au cryptogramme, et déterminer l'identificateur déchiffré par application d'une deuxième fonction bijective au quatrième nombre déterminé et à l'aléa généré.
L'invention a aussi pour objet un système d' authentification pour la mise en œuvre du procédé selon l'invention, comprenant l'objet électronique et l'entité d' authentification. Le système est caractérisé en ce qu'il comprend : dans l'objet électronique, un moyen pour chiffrer et mémoriser un premier nombre au moyen d'une première fonction à sens unique, un moyen pour déterminer un cryptogramme à partir dudit identificateur, dudit premier nombre chiffré et dudit aléa transmis, et un moyen pour transmettre le cryptogramme à l'entité d' authentification, et dans l'entité d' authentification, un moyen pour déchiffrer le cryptogramme transmis par application d'une fonction de déchiffrement au cryptogramme et à l'aléa généré afin de produire un identificateur déchiffré, et un moyen pour chercher dans la base de données un identificateur égal audit identificateur déchiffré .
Enfin, l'invention se rapporte à un programme d'ordinateur pour authentifier un objet électronique auprès d'une entité d' authentification, un identificateur de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données qui est accessible à l'entité d' authentification, et un aléa étant généré par l'entité d' authentification et transmis à l'objet électronique. Le programme est caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique et ladite entité d' authentification, réalisent les étapes selon le procédé de l'invention.
D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante de plusieurs réalisations préférées de l'invention, données à titre d'exemples non limitatifs, en référence aux dessins annexés correspondants dans lesquels :
- la figure 1 est un bloc diagramme schématique d'un système d' authentification connu déjà commenté;
- la figure 2 est un bloc-diagramme schématique d'un système d' authentification mettant en œuvre un procédé d' authentification anonyme et non traçable rétroactivement selon l'invention; et - la figure 3 est un algorithme d'un procédé d' authentification anonyme et non traçable rétroactivement selon l'invention.
En référence à la figure 2, un système d' authentification selon l'invention comprend un serveur df authentification SA par exemple de type lecteur d'étiquette en tant qu'entité d' authentification, et une étiquette électronique E en tant qu'objet électronique communiquant avec ou sans contact avec le serveur.
L'étiquette E comprend un microcontrôleur incluant de manière connue un processeur, des mémoires et des registres ainsi que des modules logiciels. Certains d'entre eux sont propres à l'invention et sont notamment une mémoire ME qui peut être de petite taille, un registre interne RI, des modules de chiffrement F et G implémentés en mémoire ROM dans le microcontrôleur, et une interface de communication ICE. Un identificateur secret IS de l'étiquette E est mémorisé dans la mémoire ME. Le registre interne RI inclut un premier nombre Nl^ dont une valeur initiale est prédéterminée soit à l'initiative du porteur de l'étiquette, soit à l'initiative du constructeur de l'étiquette. La valeur du premier nombre change à chaque authentification de l'étiquette, c'est-à-dire le premier module de chiffrement F détermine un autre premier nombre Nl^+i à partir du premier nombre Nl^ précédemment enregistré dans le registre RI et auquel est appliquée une première fonction à sens unique f à chaque authentification de l'étiquette. Le deuxième module de chiffrement G inclut une première fonction bijective ® de type OU-Exclusif, une fonction de concaténation C et une fonction à sens unique à trappe g afin de déterminer à partir de l'identificateur d'étiquette IS et du premier nombre Nld+i un cryptogramme X. Le cryptogramme X est transmis au serveur SA par l'intermédiaire de l'interface de communication ICE de l'étiquette électronique E. De même que dans l'étiquette électronique E, à la figure 2 ne sont montrés schématiquement dans le serveur df authentification SA que des blocs fonctionnels assurant des fonctions ayant un lien avec l'invention et correspondant à des modules logiciels et/ou matériels. En particulier le serveur SA comprend une interface de communication ICS, un module de génération d'aléa GR, un module de déchiffrement H, une base de données BD et un module de vérification V. L'interface de communication ICS transmet vers l'étiquette E un aléa R utilisé par le deuxième module de chiffrement G de l'étiquette et en réponse reçoit le cryptogramme X transmis par l'étiquette E. Le module de déchiffrement H inclut une fonction h, appelée par commodité "fonction de résolution" h, et une deuxième fonction bijective ® de type OU-Exclusif, et déchiffre le cryptogramme à partir de l'aléa généré R pour obtenir un identificateur secret. La base de données BD inclut des identificateurs secrets d'étiquettes électroniques à authentifier et notamment comprend l'identificateur IS de l'étiquette électronique en cours d' authentification . Le module de vérification V du serveur SA vérifie l'exactitude du résultat du déchiffrement à partir de l'identificateur secret IS de l'étiquette mémorisé dans la base de données BD pour authentifier l'étiquette électronique E.
L'entité d' authentification peut être, outre un serveur, un ordinateur incorporant ou accédant localement ou à travers un réseau de télécommunications à une base de données . L'ordinateur peut être un dispositif électronique de télécommunications personnel à l'utilisateur de l'étiquette, par exemple un assistant numérique personnel communicant PDA. L'entité df authentification peut être également tout autre terminal domestique portable ou non tel qu'une console de jeux vidéo, ou un récepteur de télévision intelligent .
En référence à la figure 3, le procédé df authentification selon l'invention comprend des étapes Sl à S15.
A l'étape Sl, lorsque l'étiquette est connectée au serveur d' authentification, avec ou sans contact, l'interface de communication ICE de l'étiquette électronique E transmet une requête d' authentification RQAU au serveur d' authentification SA. L'interface de communication ICS dans le serveur SA reçoit la requête RQAU à l'étape S2 et active le module de génération GR du serveur. A l'étape S3, le module GR génère aléatoirement l'aléa R et l'interface ICS transmet l'aléa R à l'étiquette E qui le mémorise. En variante, les étapes Sl et S2 sont supprimées et le serveur SA génère l'aléa R et transmet directement une requête d' authentification incluant l'aléa R à l'étiquette E.
A la réception de l'aléa R à l'étape S4, le premier module de chiffrement F dans l'étiquette E chiffre le premier nombre Nl^ mémorisé dans le registre interne RI de l'étiquette au moyen de la première fonction à sens unique f et produit un autre premier nombre Nl^+i, à l'étape S5. L'autre premier nombre Nl^+i est mémorisé dans le registre interne RI par écrasement de l'ancien premier nombre Nid, devient le premier nombre Nl^ et est utilisé dans l'étape suivante S7 du procédé. Dans une variante, l'étape S5 de chiffrement et de mémorisation du premier nombre Nl^ est effectuée avant l'étape S4 de réception de l'aléa R.
A l'étape S6, le deuxième module de chiffrement G dans l'étiquette E détermine un deuxième nombre N2 = IS ® R par application de la première fonction bijective OU-Exclusif ® à l'identificateur secret IS lu dans la mémoire ME de l'étiquette et à l'aléa reçu R généré et transmis par le serveur SA. Le deuxième module de chiffrement G exécute la fonction de concaténation C en concaténant le premier nombre Nl^ mémorisé dans le registre RI et le deuxième nombre N2 précédemment déterminé et produit un troisième nombre N3 = NId I N2 à l'étape S7. A l'étape S8, le deuxième module de chiffrement G de l'étiquette détermine finalement le cryptogramme X en appliquant la fonction à sens unique g avec trappe au troisième nombre N3. La deuxième fonction à sens unique g avec trappe est une fonction à clé publique dont la clé est directement incorporée dans les coefficients de la fonction. Une réalisation des fonctions à sens unique f et g, de la fonction de concaténation C et de la première fonction bijective ® est présentée dans la suite de la description. L'interface de communication ICE de l'étiquette transmet ensuite à l'étape S9 le cryptogramme X à l'interface de communication ICS du serveur.
A la réception du cryptogramme X par l ' interface de communication ICS du serveur SA à l'étape SlO, le module de déchiffrement H du serveur SA déchiffre le cryptogramme X aux étapes SIl et S12. A l'étape SIl, le module H applique sur le cryptogramme X une fonction de résolution h ayant pour propriété d'être exécutée partiellement ou en totalité par le module de déchiffrement H pour déterminer un quatrième nombre N4. La fonction de résolution h est appliquée au cryptogramme X, sans que le serveur SA ne connaisse la valeur du premier nombre Nl^. La fonction de résolution h est une fonction à clé privée dont la clé correspond à la clé publique utilisée pour la deuxième fonction à sens unique g, et est directement incorporée dans les coefficients de la fonction. Par exemple, dans le mode de réalisation où la fonction g est un système d'équations quadratiques, la fonction h effectue une résolution partielle de ce système.
A l'étape S12, le module de déchiffrement H détermine un identificateur déchiffré IS' représentatif de l'identificateur IS mémorisé dans l'étiquette E par application de la deuxième fonction bijective OU-Exclusif ® entre le quatrième nombre N4 déterminé précédemment et l'aléa R généré à l'étape S3. Le fait d'appliquer deux fois, à l'étape S6 et à l'étape S12, la fonction OU-Exclusif en utilisant le même opérande R revient à faire une opération d'identité :
IS = IS ® R ® R.
A l'étape S13, le module de vérification V compare l'identificateur déterminé IS' aux identificateurs d'étiquette lus dans la base de données BD du serveur SA. Si l'identificateur déterminé IS' est identique à l'un IS des identificateurs lus IS, alors l'étiquette E est authentifiée à l'étape S14. Dans le cas contraire à l'étape S15, l'étiquette E n'est pas authentifiée.
Une réalisation d'une fonction de déchiffrement basée sur la fonction de résolution h et la deuxième fonction bijective est présentée dans la suite de la description. L ' authentification non traçable rétroactivement de l'étiquette électronique E selon l'objectif de l'invention est atteinte grâce à l'étape S5. L'application de la première fonction à sens unique f au premier nombre Nld+i empêche un attaquant possédant l'étiquette et connaissant son contenu d'appliquer une fonction inverse de la première fonction à sens unique f sur le premier nombre Nl^+i pour obtenir la valeur du premier nombre Nl^ de 1 ' authentification précédente. Ainsi, l'attaquant est incapable d'en déduire la valeur des cryptogrammes échangés entre l'étiquette et des serveurs d' authentification lors de communications antérieures et donc de tracer des échanges entre l'étiquette et les serveurs .
Selon une variante de l'invention, la base de données BD ne comprend pas les identificateurs secrets des étiquettes à authentifier. La base de données BD comprend une image U de chaque identificateur déterminée par une troisième fonction à sens unique u : U = u(IS) . Dès que le module de vérification V du serveur SA a déchiffré l'identificateur IS' à l'étape S12, il applique la troisième fonction à sens unique u sur l'identificateur IS' afin d'en obtenir une image U'. Le module de vérification V recherche ensuite dans la base de données BD si l'une des images d'étiquettes mémorisées dans la base de données est identique à l'image U' déterminée.
La troisième fonction à sens unique u peut être une fonction de condensation de type algorithme de hachage sûr SHA (Secure Hash Algorithm) , ou un chiffrement de l'identificateur IS avec une constante au moyen d'un algorithme de chiffrement symétrique de type AES (Advanced Encryption Standard) .
Selon une réalisation préférée de l'invention, la première fonction à sens unique f mise en œuvre dans l'étiquette E est un premier système de T équations quadratiques à T inconnues, dont les coefficients sont tirés par exemple aléatoirement par le constructeur de l'étiquette. Une équation quadratique est du type :
ft = ∑ OCi, j Xi Xj + ∑ βi Xi + CST,
avec l ≤ t ≤ T, l ≤ i ≤ I, l ≤ j ≤ J , OCi, j et βi des coefficients aléatoires et CST une constante. Le premier nombre Nid comporte T bits de Nld,0 à Nid, T- Les bits Nld,t du premier nombre Nid sont des opérandes Xi, Xj de chaque première fonction à sens unique ft du premier système afin d'obtenir comme résultat final l'autre premier nombre Nld+i comportant T bits de Nld+1,0 à Nld+i,τ- Ce nombre Nld+1 est ensuite mémorisé dans le registre RI de l'étiquette E et remplace l'ancien premier nombre
NId-
Le troisième nombre N3 = Nid | IS ® R est un nombre à M bits N3o à N3M bits, avec l'entier M supérieur à l'entier T. Les T premiers bits N3o à N3τ-i correspondent au premier nombre Nid et les bits restants N3τ à N3M correspondent au deuxième nombre N2 = IS ® R. La deuxième fonction à sens unique g est un deuxième système d'équations à clé publique basé sur M équations quadratiques à M inconnues gi à gM- Une équation quadratique gm du deuxième système avec l'indice m où 1 < m < M est du type : gm = km ® am,i pi θ am,2 P2 ® - ® am,r Pr. où : ki à kM sont M polynômes quadratiques à M inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à une clé publique de chiffrement; pi à pr sont des polynômes quadratiques dont les coefficients sont des valeurs tirées aléatoirement ; et
(a.1,1, a.i,2r - a-l,r) r - (am, 1, am,2, - am,r) , - (a-M, Ir 3-M,2r - &M, r) sont un ensemble de M listes à r coefficients tirés aléatoirement.
Afin de déterminer le cryptogramme X, le deuxième module de chiffrement G de l'étiquette électronique E applique à chaque bit N3m du troisième nombre N3, une équation gm du deuxième système avec l'indice m tel que 1 < m < M : Xm = gm (N3m) . Le cryptogramme X comprend ainsi M bits de xo à XM avec les T premiers bits xo à xτ-1 déterminés à partir du premier nombre Nl^ et les bits restants xτ+1 à XM déterminés en fonction du nombre N2 = IS ® R. La fonction de résolution h comprise dans le module de déchiffrement H du serveur SA est un troisième système d'équation à clé de déchiffrement privée qui est basé sur M équations quadratiques ni à ÏIM à M inconnues. Une équation hm du troisième système avec 1 < m < M, est du type : hm = k'V ® am, i pi ® am,2 P2 ® - ® am,r Pr où : k"1 ! à k"X M sont M polynômes quadratiques à M inconnues formant un système public de polynômes, les coefficients de ces polynômes étant relatifs à la clé de déchiffrement privée; pi à pr sont les polynômes quadratiques identiques aux polynômes quadratiques du système g; et
(ai,i, ai, 2, ». ai,r), - (am, i, am,2, - am,r) r - (aM, Ir 3-M,2r - &M, r) sont également un ensemble de M listes à r coefficients identique à l'ensemble de M listes du système g.
Dans cette réalisation, le module de déchiffrement H applique uniquement les h.τ à hyi équations respectivement aux XT à XM bits du cryptogramme X. Ainsi il n'est pas utile au module de déchiffrement H de connaître le premier nombre Nl^.
Cette réalisation a pour avantage de pouvoir être implémentée dans des étiquettes électroniques offrant une faible capacité de calcul. En effet, cette réalisation ne met pas en œuvre un chiffrement comportant plusieurs itérations nécessitant une capacité de calcul importante. Les modules de chiffrement F et G exécutant respectivement les fonctions à sens unique f et g décrites dans la réalisation précédente peuvent être implémentés en logique câblée dans l'étiquette E.
Afin de diminuer le nombre de portes logiques dans l ' implémentation précédente, les polynômes quadratiques des fonctions à sens unique f et g et de la fonction de résolution h sont, de préférence, des polynômes « creux » dont des monômes ont des coefficients nuls.
L'invention décrite ici concerne un procédé et un système d' authentification. Elle concerne également l ' implémentation des modules F, G et H de l'objet électronique E et du serveur d' authentification SA sous la forme d'un programme d'ordinateur. Les étapes du procédé de l'invention sont alors déterminées par les instructions du programme d'ordinateur incorporé au moins pour partie dans le serveur d' authentification SA. Le programme comporte des instructions de programme qui, lorsque ledit programme est exécuté dans un système comprenant l'objet électronique E et l'entité d' authentification SA, réalisent les étapes du procédé selon l'invention.
En conséquence, l'invention s'applique également à un programme d'ordinateur, notamment un programme d'ordinateur sur ou dans un support d'informations, adapté à mettre en œuvre l'invention. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable pour implémenter le procédé selon l'invention. Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage ou support d'enregistrement sur lequel est stocké le programme d'ordinateur selon l'invention, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore une clé USB, ou un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé selon l'invention. On notera que la base de données BD n'est pas nécessairement sur le serveur. Elle peut être accessible à distance.

Claims

REVENDICATIONS
1 - Procédé pour authentifier un objet électronique (E) par une entité d' authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré
(S3) par l'entité d' authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend les étapes suivantes de : dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (Nl^) au moyen d'une première fonction à sens unique (f) , déterminer (S6, S8) un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nl^) et dudit aléa transmis (R) , et transmettre (S9) le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), déchiffrer (SIl - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, Θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS"), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS') .
2 - Procédé conforme à la revendication 1, selon lequel la première fonction à sens unique (f) est un système d'équations quadratiques à coefficients aléatoires .
3 - Procédé conforme à la revendication 1 ou 2, selon lequel la détermination du cryptogramme (X) dans l'objet électronique (E) comprend les étapes suivantes de : appliquer (S6) une première fonction bijective à l'identificateur mémorisé (IS) et à l'aléa transmis (R) pour produire un deuxième nombre (N2), concaténer (S7) le premier nombre (Nl^) et le deuxième nombre déterminé (N2) en un troisième nombre (N3), et déterminer (S8) l'identificateur chiffré (X) par application au troisième nombre déterminé (N3) d'une deuxième fonction (g) à sens unique, qui est une fonction à sens unique à trappe.
4 - Procédé conforme à la revendication 3, selon lequel la deuxième fonction à sens unique (g) est un système d'équations quadratiques.
5 - Procédé conforme à l'une quelconque des revendications 1 à 4, selon lequel la fonction de déchiffrement (h, θ) dans l'entité d' authentification (SA) comprend les étapes suivantes de : déterminer un quatrième nombre (N4) par application d'une fonction de résolution (h) au cryptogramme (X) , et déterminer l'identificateur déchiffré (IS') par application d'une deuxième fonction bijective au quatrième nombre déterminé (N4) et à l'aléa généré
(R) •
β - Procédé conforme à la revendication 3 ou 4 et à la revendication 5, selon lequel les première et deuxième fonctions bijectives sont des fonctions OU-
Exclusif. 7 - Système pour authentifier un objet électronique (E) par une entité d' authentification (SA), un identificateur (IS) de l'objet électronique étant mémorisé dans l'objet électronique et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré (S3) par l'entité d' authentification (SA) et transmis à l'objet électronique, caractérisé en ce qu'il comprend : dans l'objet électronique (E), un moyen (F, RI) pour chiffrer et mémoriser un premier nombre (Nid) au moyen d'une première fonction à sens unique (f) , un moyen (G) pour déterminer un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nl^) et dudit aléa transmis (R) , et un moyen (ICE) pour transmettre le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), un moyen (H) pour déchiffrer le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et un moyen (V) pour chercher dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').
8 - Système d' authentification conforme à la revendication 7, dans lequel les moyens pour chiffrer (F, G) de l'objet électronique (E) sont implémentés en logique câblée.
9 - Programme d'ordinateur pour authentifier un objet électronique (E) auprès d'une entité d' authentification (SA), un identificateur (IS) de l'objet électronique (E) étant mémorisé dans l'objet électronique (E) et dans une base de données (BD) qui est accessible à l'entité d' authentification (SA), et un aléa (R) étant généré (S3) par l'entité d' authentification (SA) et transmis à l'objet électronique (E) , ledit programme étant caractérisé en ce qu'il comprend des instructions qui, lorsque le programme est exécuté dans un système comprenant ledit objet électronique (E) et ladite entité d' authentification (SA), réalisent les étapes suivantes de: dans l'objet électronique (E), chiffrer et mémoriser (S5) un premier nombre (NId) au moyen d'une première fonction à sens unique (f) , déterminer (Sβ, S8) un cryptogramme (X) à partir dudit identificateur (IS) , dudit premier nombre chiffré (Nid) et dudit aléa transmis (R) , et transmettre (S9) le cryptogramme (X) à l'entité d' authentification, et dans l'entité d' authentification (SA), déchiffrer (SIl - S12) le cryptogramme (X) transmis par application d'une fonction de déchiffrement (h, Θ) au cryptogramme et à l'aléa généré (R) afin de produire un identificateur déchiffré (IS'), et chercher (S13) dans la base de données (BD) un identificateur égal audit identificateur déchiffré (IS').
PCT/FR2006/050805 2005-09-01 2006-08-17 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification WO2007026092A1 (fr)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR0552653A FR2890269A1 (fr) 2005-09-01 2005-09-01 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification
FR0552653 2005-09-01

Publications (1)

Publication Number Publication Date
WO2007026092A1 true WO2007026092A1 (fr) 2007-03-08

Family

ID=36390272

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/FR2006/050805 WO2007026092A1 (fr) 2005-09-01 2006-08-17 Authentification anonyme et non tracable retroactivement d'un objet electronique par une entite d'authentification

Country Status (2)

Country Link
FR (1) FR2890269A1 (fr)
WO (1) WO2007026092A1 (fr)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
FR2757723A1 (fr) * 1996-12-24 1998-06-26 France Telecom Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5384846A (en) * 1993-04-26 1995-01-24 Pitney Bowes Inc. System and apparatus for controlled production of a secure identification card
DE19527715A1 (de) * 1995-07-31 1997-02-06 Deutsche Telekom Mobil Verfahren zur Nutzeridentifikation und -authentifikation bei Datenfunkverbindungen, zugehörige Chipkarten und Endgeräte
FR2757723A1 (fr) * 1996-12-24 1998-06-26 France Telecom Procede d'authentification aupres d'un systeme de controle d'acces et/ou de paiement
US20030028771A1 (en) * 1998-01-02 2003-02-06 Cryptography Research, Inc. Leak-resistant cryptographic payment smartcard

Also Published As

Publication number Publication date
FR2890269A1 (fr) 2007-03-02

Similar Documents

Publication Publication Date Title
FR2930390A1 (fr) Procede de diffusion securisee de donnees numeriques vers un tiers autorise.
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
EP2301188A1 (fr) Procède d&#39;authentification d&#39;une entité auprès d&#39;un vérifieur
EP2953291B1 (fr) Stockage distribue securise par calcul multipartite
FR2964812A1 (fr) Procede d&#39;authentification pour l&#39;acces a un site web
CA2816933C (fr) Protection contre les ecoutes passives
EP2301187A1 (fr) Terminal d&#39;authentification forte d&#39;un utilisateur
FR3091941A1 (fr) Procédé de vérification d’une authentification biométrique
EP2509025A1 (fr) Procédé d&#39;accès à une ressource protégée d&#39;un dispositif personnel sécurisé
EP1851901A1 (fr) Procede de pre-authentification rapide par reconnaissance de la distance
EP2568406B1 (fr) Procédé de mise en oeuvre, a partir d&#39;un terminal, de données cryptographiques d&#39;un utilisateur stockées dans une base de données
FR3113800A1 (fr) Echange de données entre un client et un dispositif distant, par exemple un module sécurisé
EP3731116A1 (fr) Procédé d&#39;authentification d&#39;un document d&#39;identité d&#39;un individu et d&#39;authentification dudit individu
EP3673633B1 (fr) Procédé d&#39;authentification d&#39;un utilisateur auprès d&#39;un serveur d&#39;authentification
WO2007026092A1 (fr) Authentification anonyme et non tracable retroactivement d&#39;un objet electronique par une entite d&#39;authentification
WO2003036865A1 (fr) Procede et dispositif de la verification de la detention d&#39;une donnee confidentielle sans communication de celle-ci, selon un processus dit &#39;a divulgation nulle&#39;
FR3057374B1 (fr) Procede de chiffrement, procede de dechiffrement, dispositif et programme d&#39;ordinateur correspondant.
EP3842970B1 (fr) Procédé de vérification du mot de passe d&#39;un dongle, programme d&#39;ordinateur, dongle et terminal utilisateur associés
FR2985337A1 (fr) Procede de calcul cryptographique resilient aux attaques par injection de fautes, produit programme d&#39;ordinateur et composant electronique correspondant.
FR3038414A1 (fr) Procede et systeme de controle d&#39;acces a un service via un media mobile.
WO2022135952A1 (fr) Procédé et dispositif de génération d&#39;informations d&#39;authentification pour une entité sécurisée et procédé et dispositif de contrôle d&#39;identité associés
CA3183198A1 (fr) Dispositif, methode et programme pour une communication securisee entre boites blanches
EP4070502A1 (fr) Procédé de cogénération d&#39;un matériel cryptographique partagé, dispositifs, système et programme d&#39;ordinateur correspondant
EP2180654A1 (fr) Procédé de sécurisation des messages destinés à un terminal évolué dans une architecture distribuée
FR2882209A1 (fr) Procede d&#39;authentification d&#39;une etiquette electonique par utilisation d&#39;un algorithme cryptographique a cle publique

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application
NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 06808246

Country of ref document: EP

Kind code of ref document: A1