WO2007042419A1

WO2007042419A1 - Cryptographic method using an identity-based encryption system

Info

Publication number: WO2007042419A1
Application number: PCT/EP2006/066955
Authority: WO
Inventors: David Naccache
Original assignee: Gemplus
Priority date: 2005-10-14
Filing date: 2006-10-02
Publication date: 2007-04-19
Also published as: FR2892251A1

Abstract

The invention concerns a method for generating keys designed for a public key cryptographic algorithm used in the context of a cryptographic system based on the identity of a user of the system and including the following steps: obtaining (10, 50) a set of public (g, g1, g2, u', U) and private (g2a ) parameters associated with said identity-based cryptographic system; selecting a public identifier (ID) comprising an information of said user's identity and determining (20) an identity vector (v) representing said identifier pertaining to said user; generating (30, 60) a public (PKID)/key private (dv)key pair associated with said user's identity, based on said public and private parameters and on said identity vector (v). The invention is characterized in that the elements (vi) of said identity vector (v) are encoded each on k bits, with k>1.

Description

PROCEDE CRYPTOGRAPHIQUE METTANT EN ŒUVRE UN SYSTEME DE CHIFFREMENT BASE SUR L'IDENTITE CRYPTOGRAPHIC METHOD IMPLEMENTING AN IDENTITY-BASED ENCRYPTION SYSTEM

La présente invention concerne un procédé de génération de clés destinées à un algorithme cryptographique à clé publique mis en œuvre dans le cadre d'un système cryptographique basé sur l'identité, dit IBE (de l'acronyme anglais « Identity-Based Encryption ») . L' invention est notamment intéressante pour la mise en œuvre d' algorithmes cryptographiques pour le chiffrement et le déchiffrement ou la signature et la vérification de signature dans un objet électronique portable de type carte à puce.The present invention relates to a method for generating keys for a public key cryptographic algorithm implemented in the context of an identity-based cryptographic system, called IBE (Identity-Based Encryption). . The invention is particularly interesting for the implementation of cryptographic algorithms for encryption and decryption or signature and verification of signature in a portable electronic object of the smart card type.

Parmi les schémas de sécurité à clé publique, la technologie IBE présente un certain nombre d'avantages. Ainsi, dans les schémas d'infrastructure à clé publique classique, la clé publique est souvent un nombre calculé de façon aléatoire, devant être liée à l'identité de l'utilisateur par un certificat. Avec l'IBE, la clé publique peut être choisie en toute liberté et est directement égale à l'identité de l'utilisateur, sans l'échange de certificats ni la coûteuse infrastructure correspondante.Among public-key security schemes, IBE has a number of advantages. Thus, in conventional public key infrastructure schemes, the public key is often a randomly calculated number to be linked to the user's identity by a certificate. With the IBE, the public key can be chosen freely and is directly equal to the identity of the user, without the exchange of certificates or the expensive infrastructure.

Le schéma d' IBE proposé par la présente invention est mis en œuvre au moyen de fonctions de couplage sur des courbes elliptiques. Un tel schéma d' IBE utilise le couplage bilinéaire sur des courbes elliptiques pour obtenir un algorithme permettant de transformer une simple identité en une paire de clés publique/privée. Pour rappel, une courbe elliptique est un ensemble de points ayant des caractéristiques communes et dont les coordonnées peuvent notamment être calculées à partir des coordonnées de certains points de la courbe, dits points générateurs, par des opérations simples telles qu'une multiplication par un scalaire. Le lecteur pourra se reporter au document « Identity based encryption from the Weil pairing » d. Boneh et M. Frankin, dans « proceedings of crypto '01, Springer- Verlag, 2001 » pour plus de détails sur les systèmes de chiffrement basés sur l'identité qui utilisent de telles techniques cryptographiques.The IBE scheme proposed by the present invention is implemented by means of coupling functions on elliptic curves. Such an IBE scheme uses bilinear coupling on elliptic curves to obtain an algorithm for transforming a simple identity into a public / private key pair. As a reminder, an elliptic curve is a set of points with common characteristics and whose In particular, coordinates can be calculated from the coordinates of certain points of the curve, called generating points, by simple operations such as multiplication by a scalar. The reader can refer to the document "Identity based encryption from the Weil pairing" d. Boneh and M. Frankin, in "Proceedings of Crypto '01, Springer-Verlag, 2001" for more details on identity-based encryption systems that use such cryptographic techniques.

D'une manière générale, la sécurité de tout protocole cryptographique repose sur la difficulté d'un problème algorithmique donné. La présente invention consiste plus précisément en une amélioration du système cryptographique basé sur l'identité proposé par Waters, qu'on appellera dans la suite de la description schéma de Waters, dont la preuve de sécurité ne fait pas appel à des oracles aléatoires mais est basée sur le problème DBDH (acronyme anglais pour « Decisional Bilinear Diffie-Hellman ») . Le lecteur pourra utilement se reporter pour plus de détails sur ce schéma d' IBE dit complètement sécurisé dans le modèle standard, à la publication « Efficient Identity-Based Encryption Without Random Oracles » par Brent Waters, dans « Proceedings of Eurocrypt 2005, Springer-Verlag, 2005 ».In general, the security of any cryptographic protocol is based on the difficulty of a given algorithmic problem. The present invention is more specifically an enhancement of the identity-based cryptographic system proposed by Waters, which will be referred to in the following description of the Waters scheme, whose security evidence does not rely on random oracles but is based on the problem DBDH (acronym for Decisional Bilinear Diffie-Hellman). The reader can usefully refer for more details on this diagram of IBE said completely secure in the standard model, the publication "Efficient Identity-Based Encryption Without Random Oracles" by Brent Waters, in "Proceedings of Eurocrypt 2005, Springer- Verlag, 2005 ".

L' inconvénient du schéma d' IBE de Waters est qu' il nécessite d'employer une clé publique dont la taille, typiquement de l'ordre de 165 Ko, est incompatible avec les environnements contraints tels que les cartes à puce. Aussi, si ce protocole a montré son efficacité tout en faisant preuve de sa sécurité, il a cependant l'inconvénient d'être particulièrement coûteux, en termes de ressources matérielles de calcul nécessaires à sa mise en œuvre. Notamment, certaines opérations élémentaires utilisées dans ce protocole sont particulièrement coûteuses, comme par exemple les opérations de couplage (« pairing » en anglais ») sur courbes elliptiques, d'autant plus si la clé publique possède une taille importante. Parce que certaines opérations sont coûteuses du fait de la longueur de la clé publique, le schéma d' IBE de Waters est particulièrement difficile à implémenter dans une carte à puce, car les temps de calcul deviennent prohibitifs, les ressources matérielles de la carte étant nécessairement limitées.The drawback of the Waters IBE scheme is that it requires the use of a public key whose size, typically of the order of 165 KB, is incompatible with constrained environments such as smart cards. Also, if this protocol has shown its effectiveness while demonstrating its security, it has the disadvantage of being particularly expensive, in terms of the material resources of calculation necessary for its implementation. In particular, certain elementary operations used in this protocol are particularly expensive, such as for example "pairing" operations on elliptic curves, especially if the public key has a large size. Because some operations are expensive because of the length of the public key, the IBE scheme of Waters is particularly difficult to implement in a smart card, because computing times become prohibitive, the hardware resources of the card being necessarily limited.

L' invention a donc pour but de remédier à cet inconvénient en permettant la mise en œuvre d'algorithmes de chiffrement à clé publique basés sur l'identité, qui présentent un fort niveau de sécurité tout en se servant d'une clé publique dont la taille est fortement réduite par rapport aux schémas d' IBE précédemment décrits, rendant ainsi plus aisée leur incorporation dans des environnements contraints en ressources de calcul. Avec cet objectif en vue, l'invention a notamment pour objet un procédé de génération de clés destinées à un algorithme cryptographique à clé publique mis en œuvre dans le cadre d'un système cryptographique basé sur l'identité d'un utilisateur dudit système et comprenant des étapes de : - obtention d'un ensemble de paramètres publics et privés associés audit système cryptographique basé sur 1' identité ;The object of the invention is therefore to remedy this drawback by enabling the implementation of identity-based public key encryption algorithms, which have a high level of security while using a public key whose size is greatly reduced compared to the previously described IBE schemes, thus making their incorporation easier in constrained computing resource environments. With this object in view, the invention particularly relates to a method for generating keys for a public key cryptographic algorithm implemented in the context of a cryptographic system based on the identity of a user of said system and comprising steps of: obtaining a set of public and private parameters associated with said identity-based cryptographic system;

- sélection d'un identifiant public comprenant une information d' identité dudit utilisateur et de détermination d'un vecteur identité représentatif dudit identifiant propre audit utilisateur; génération d'un couple clé publique/clé privé associé à l'identité dudit utilisateur, à partir desdits paramètres publics et privés et dudit vecteur identité .selection of a public identifier comprising identity information of said user and determination of an identity vector representative of said own identifier of said user; generating a public key / private key pair associated with the identity of said user, from said public and private parameters and said identity vector.

Ce procédé est caractérisé en ce que les éléments dudit vecteur identité sont codés chacun sur k bits, avec k>l .This method is characterized in that the elements of said identity vector are each coded on k bits, with k> l.

Avantageusement, l'algorithme cryptographique mis en œuvre est un algorithme de chiffrement d'un message pour l'émission du message chiffré d'un émetteur vers l'utilisateur destinataire, ledit procédé comprenant une étape de calcul du message chiffré à partir du message en clair, des paramètres publics et du vecteur identité .Advantageously, the cryptographic algorithm implemented is an algorithm for encrypting a message for sending the encrypted message from a sender to the recipient user, said method comprising a step of calculating the encrypted message from the message in question. clear, public parameters and identity vector.

De préférence, l'étape de calcul du message chiffré comprend l'utilisation de la clé publique associée au destinataire, définie par le produit nPreferably, the step of calculating the encrypted message comprises the use of the public key associated with the recipient, defined by the product n

U ITiTiU_j ^v' , u' et U₁ faisant partie des paramètres publics i=l du système et les V₁ étant les éléments du vecteur identité . Avantageusement, le déchiffrement du message chiffré comprend une étape de calcul du message en clair à partir dudit message chiffré en utilisant ladite clé privée dudit utilisateur destinataire.U ITiTiU _j ^v ', u' and U ₁ being part of the public parameters i = l of the system and the V ₁ being the elements of the identity vector. Advantageously, the decryption of the encrypted message comprises a step of calculating the plaintext message from said encrypted message using said private key of said recipient user.

L'algorithme cryptographique mis en œuvre peut être un algorithme de signature à clé publique.The cryptographic algorithm implemented may be a public key signature algorithm.

Le procédé peut être mis en œuvre dans le cadre du système cryptographique de Waters, dans lequel lesdits paramètres publics et privé sont issus d'un groupe algébrique dérivé d'une courbe elliptique.The method can be implemented within the framework of the Waters cryptographic system, wherein said public and private parameters come from an algebraic group derived from an elliptic curve.

L' identifiant public dudit utilisateur peut comprendre le nom dudit utilisateur ou son adresse électronique .The public identifier of said user may include the name of said user or his email address.

D'autres caractéristiques et avantages de la présente invention apparaîtront plus clairement à la lecture de la description suivante donnée à titre d'exemple illustratif et non limitatif et faite en référence aux figures annexées dans lesquelles :Other characteristics and advantages of the present invention will emerge more clearly on reading the following description given by way of illustrative and nonlimiting example and with reference to the appended figures in which:

-la figure 1 illustre de façon schématique un système cryptographique basé sur l'identité dans lequel la présente invention est mise en œuvre ;FIG. 1 schematically illustrates a cryptographic system based on the identity in which the present invention is implemented;

-la figure 2 illustre schématiquement la suite d'étapes mises en œuvre pour chiffrer un message selon la présente invention, et -la figure 3 illustre schématiquement la suite d'étapes mises en œuvre pour déchiffrer ledit message selon la présente invention.FIG. 2 diagrammatically illustrates the sequence of steps implemented to encrypt a message according to the present invention, and FIG 3 schematically illustrates the sequence of steps implemented to decrypt said message according to the present invention.

Selon l'exemple de réalisation, l'invention est mise en œuvre dans un système cryptographique basé sur l'identité (IBE), permettant à un utilisateur de chiffrer un message devant être émis en se servant de données personnelles du destinataire comme clé publique. Ainsi, de manière générale, dans un tel système cryptographique représenté à la figure 1, lorsqu'un émetteur A souhaite envoyer un message m sous forme chiffrée à un destinataire B, le message est chiffré en utilisant une clé publique reliée directement à un identifiant public ID comprenant une information d'identité du destinataire B. Cette information d' identité du destinataire est par exemple constituée du nom du destinataire, ou encore de son adresse électronique, ou de toute autre information permettant d'identifier le destinataire. Lorsque le destinataire B reçoit le message c ainsi chiffré, il s'adresse à une autorité PKG, dont le rôle est de fournir au destinataire sa clé privée d_v, qui est calculée comme une fonction de l'identité du destinataire. Le destinataire B peut alors déchiffrer le message chiffré c qu'il a reçu, à l'aide de la clé privée ainsi obtenue auprès de l'autorité PKG.According to the exemplary embodiment, the invention is implemented in an identity-based cryptographic system (IBE), enabling a user to encrypt a message to be transmitted using the recipient's personal data as a public key. Thus, in general, in such a cryptographic system shown in FIG. 1, when a transmitter A wishes to send a message m in encrypted form to a recipient B, the message is encrypted using a public key linked directly to a public identifier ID comprising recipient identification information B. This identity information of the recipient is for example the name of the recipient, or its email address, or any other information to identify the recipient. When the recipient B receives the message c and encrypted, it addresses a PKG authority, whose role is to provide the recipient's private key _dv , which is calculated as a function of the identity of the recipient. The recipient B can then decrypt the encrypted message c he has received, using the private key thus obtained from the PKG authority.

Le principe de fonctionnement va maintenant être décrit plus en détail en référence au schéma d' IBE de Waters, auquel la présente invention propose une amélioration significative. Un schéma d' IBE est décrit typiquement par quatre algorithmes, dénommés « Setup », « extract », « encrypt » et « decrypt » dans la littérature anglaise . La première phase, mise en œuvre par l'algorithme « Setup », est une phase de génération de paramètres du système. Pour ce faire, l'algorithme travaille sur un groupe G d'ordre premier, constitué des points d'une courbe elliptique. Un générateur g pour le groupe G est défini ainsi qu'une application e bilinéaire admissible sur G, bénéficiant donc des propriétés de bilinéarité, qui sont connues en elle mêmes.The operating principle will now be described in more detail with reference to the Waters IBE scheme, to which the present invention proposes a significant improvement. An IBE scheme is typically described by four algorithms, referred to as "Setup", "extract", "encrypt" and "decrypt" in the English literature. The first phase, implemented by the "Setup" algorithm, is a phase of generating system parameters. To do this, the algorithm works on a group G of prime order, consisting of the points of an elliptic curve. A generator g for the group G is defined as well as a bilinear e application on G, thus benefiting from bilinear properties, which are known per se.

Tout d'abord, un nombre secret α est choisi de manière aléatoire dans l'ensemble prédéfini Z_p, avec p un nombre premier, puis on définit q_lr tel que gi=g^α.First, a secret number α is randomly selected from the predefined set Z _p , with p a prime number, then we define q _lr such that gi = g ^α .

Un élément g2 est également choisi de manière aléatoire dans le groupe G. Puis, on choisit une valeur aléatoire u' appartenant au groupe G, ainsi qu'un vecteur U=(U₁) de longueur n, dont les éléments U₁ sont choisis de manière aléatoire dans le groupe G. Dans ce cas, des identités de longueur binaire n pourront être supportées par ce schéma d'IBE.An element g2 is also randomly chosen in the group G. Then, a random value u 'belonging to the group G is chosen, as well as a vector U = (U ₁ ) of length n, whose elements U ₁ are chosen. randomly in group G. In this case, identities of bit length n can be supported by this scheme of IBE.

Les paramètres publics du système sont alors constitués par les éléments précédemment définis g, gi, g₂, u' et U. Ces paramètres sont encore appelés clé publique maître PK_maître : PK_maître = ( g, gi, g₂, u' , U). Par ailleurs, on définit un paramètre privé, dit clé privée maître SK_maître : SK_maître = g₂ ^α The public parameters of the system are then constituted by the previously defined elements g, g ₁ , g ₂ , u 'and U. These parameters are also called master PK _master public key: PK _master = (g, gi, g ₂ , u', U). Moreover, a private parameter is defined, referred to as the master SK _master private key: SK _master = g ₂ ^α

La phase suivante consiste, à partir des paramètres du système ainsi obtenus, en la génération du couple clé publique et clé privée, associé à l'identité de l'utilisateur. On détermine tout d'abord un vecteur identité v représentatif d'un identifiant propre à l'utilisateur, en l'occurrence le destinataire du message. Comme on l'a vu, cet identifiant comprend une information d'identité du destinataire, par exemple son nom.The next phase consists, from the parameters of the system thus obtained, in the generation of the public key and private key pair associated with the identity of the user. Firstly, an identity vector v representative of an identifier specific to the user, in this case the recipient of the message, is determined. As we have seen, this identifier includes identity information of the recipient, for example his name.

Selon la variante améliorée du schéma de Waters proposé par l'invention, l'identité est représentée par un vecteur identité de longueur n, v = (v_x, . . .,V_n), où chaque élément V₁ est un entier codé sur k bits, avec k>l . On prendra par exemple k = 32 bits. Dans le schéma de Waters classique, le vecteur identité est une chaîne de bits où chaque élément du vecteur identité est au contraire codé sur un seul bit. Comme illustré à la figure 2, après avoir obtenu les paramètres publics du système (étape 10) et déterminé le vecteur identité v selon les principes exposés ci-dessus (étape 20), une clé publique PKi_D du destinataire est générée (étape 30), à partir du vecteur public U et du vecteur identité v. Pour ce faire, le calcul suivant est mis en œuvre :According to the improved variant of the Waters scheme proposed by the invention, the identity is represented by an identity vector of length n, v = (v _x , ..., V _n ), where each element V ₁ is a coded integer on k bits, with k> l. We will take for example k = 32 bits. In the classical Waters scheme, the identity vector is a bit string where each element of the identity vector is instead coded on a single bit. As illustrated in FIG. 2, after obtaining the public parameters of the system (step 10) and determining the identity vector v according to the principles explained above (step 20), a public key PKi _D of the recipient is generated (step 30) , from the public vector U and the identity vector v. To do this, the following calculation is implemented:

La nouvelle construction du vecteur identité v permet alors avantageusement de réduire la taille du vecteur public U d'un facteur k. Ainsi, si on définit par n' la taille du vecteur U dans le schéma de Waters classique, avec le vecteur identité constitué alors classiquement de n' éléments chacun codé sur un bit, la taille du vecteur U est maintenant ramenée à n=n' /k, en prenant la configuration particulière selon l'invention du vecteur identité v. Selon l'exemple avec k = 32, on passe alors d'une taille de vecteur public égale à 160Ko dans le schéma de Waters classique à une taille égale à 5Ko selon l'invention. Une fois la clé publique PKi_D du destinataire calculée pour l'identité v déterminée, le message m peut être chiffré (étape 40) côté émetteur pour être transmis sous forme chiffrée c au destinataire. Pour ce faire, l'algorithme « encrypt » de chiffrement prend en entrées les paramètres publics, la clé publique du destinataire, le message en clair m, ainsi qu'un nombre t, choisi de manière aléatoire dans l'ensemble Z_p. Le message chiffré c fourni par l'algorithme pour être transmis au destinataire est construit de la façon suivante sous forme d'un triplet: c = (cl, c2, c3), avec cl = e (gi, g₂)^t.m, e étant l'opération de couplage mis en œuvre entre les deux paramètres publics gl et g2 ; c2 = g^t ;The new construction of the vector identity v then advantageously makes it possible to reduce the size of the public vector U by a factor k. Thus, if n is defined as the size of the vector U in the classical Waters scheme, with the identity vector then conventionally consisting of n 'elements each coded on a bit, the size of the vector U is now reduced to n = n' / k, taking the particular configuration according to the invention identity vector v. According to the example with k = 32, we then go from a public vector size equal to 160Ko in the classic Waters scheme to a size equal to 5Ko according to the invention. Once the public key PKi _D of the recipient calculated for the identity v determined, the message m can be encrypted (step 40) issuer side to be transmitted in encrypted form c to the recipient. To do this, the "encrypt" encryption algorithm takes as inputs the public parameters, the public key of the recipient, the message in clear m, and a number t, chosen randomly in the set Z _p . The encrypted message c provided by the algorithm to be transmitted to the recipient is constructed in the following manner as a triplet: c = (cl, c2, c3), with cl = e (gi, g ₂ ) ^t .m , e being the coupling operation implemented between the two public parameters gl and g2; c2 = g ^t ;

Les trois éléments cl, c2 et c3 sont donc envoyés en tant que message chiffré.The three elements cl, c2 and c3 are sent as an encrypted message.

Pour pouvoir mettre en œuvre le déchiffrement côté destinataire, l'algorithme « decrypt » doit prendre en entrées le triplet chiffré reçu c = (cl, c2, c3) et la clé privée du destinataire, calculée comme une fonction de l'identifiant ID du destinataire.In order to implement decryption on the receiving side, the "decrypt" algorithm must take as inputs the encrypted triplet received c = (cl, c2, c3) and the recipient's private key, calculated as a function of the identifier ID of the recipient. recipient.

La réalisation de ce calcul nécessite tout d' abord d' obtenir la clé privé d_v correspondant au vecteur identité v représentatif de l'identité du destinataire. La clef privée dv est construite (étape 60) par l'autorité en utilisant l'algorithme "extract" et en connaissant la clef secrète maitre, de la façon suivante :The realization of this computation requires first of all to obtain the private key d _v corresponding to the vector identity v representative of the identity of the recipient. The private key dv is built (step 60) by the authority using the algorithm "extract" and knowing the secret key master, as follows:

On définit dl = g₂ ^α {u'f[u ^*[ι])^r ,We define dl = g ₂ ^α {u'f [u ^{* [ι]} ) ^r ,

et d2 = g^r r étant un nombre aléatoire choisi dans l'ensemble Z_p.and d2 = g ^r being a random number selected from the set Z _p .

L'étape de déchiffrement proprement dite (étapeThe deciphering step proper (step

70) peut alors être mise en œuvre. Soient donc c =70) can then be implemented. So, c =

(cl,c2,c3), le triplet représentant la forme chiffrée du message m en utilisant l'identité du destinataire représentée par le vecteur identité v, et d_v = (dl,d2), la clé privée du destinataire correspondant à son identité, l'algorithme « decrypt » fournit alors le message m déchiffré en appliquant les calculs suivants : e(d_rc₃) _t e(g'iu'γιu ^vi )')(cl, c2, c3), the triplet representing the encrypted form of the message m using the identity of the recipient represented by the identity vector v, and d _v = (dl, d2), the recipient's private key corresponding to his identity , the algorithm "decrypt" then provides the message m decrypted by applying the following calculations: e (d _r c ₃ ) _t e (g'iu'γιu ^v i) ')

II ressort donc de ce qui précède, que la nouvelle amélioration du schéma de Waters selon la présente invention, consistant à écrire l'identité de l'utilisateur comme un vecteur v à n éléments v = (vl,It follows from the foregoing that the new improvement of the Waters scheme according to the present invention of writing the identity of the user as a vector v to n elements v = (vl,

. , vn) où chaque vi est un entier codé sur k bits avec k > 1, tel que n.k = n' , où n' serait la taille du vecteur public U dans le schéma antérieur classique de n Waters, et à calculer le produit modifié U ]_]_^- ' , i=l conduit à considérer un vecteur public U possédant dorénavant une longueur n, sa taille ayant donc été réduite d'un facteur n' /n = k. En effet, selon l'invention, chaque élément u_± du vecteur U peut maintenant supporter k bits, au lieu d'un seul bit dans le schéma antérieur. Pour une taille d'identité identique, la taille du vecteur U est donc divisée par un facteur k.. , vn) where each vi is a k-bit-encoded integer with k> 1, such that nk = n ', where n' would be the size of the public vector U in the classical classical scheme of n Waters, and calculate the modified product U] _] _ ^ - ', i = 1 leads to considering a public vector U now having a length n, its size having therefore been reduced by a factor n' / n = k. Indeed, according to the invention, each u _± element of the vector U can now support k bits, instead of a single bit in the previous scheme. For an identical identity size, the size of the vector U is therefore divided by a factor k.

Bien que la taille du paramètre public U puisse être réduite de façon conséquente, par un facteur k, le schéma d' IBE selon la présente invention bénéficie toujours d'une sécurité prouvée dans le modèle de sécurité le plus strict, appelé modèle standard. Les calculs illustrant la preuve de cette sécurité étant accessibles à l'homme de l'art, ils ne seront pas développés dans le cadre de la présente demande. Although the size of the public parameter U can be significantly reduced by a factor k, the IBE scheme according to the present invention always benefits from a proven security in the strictest security model, called the standard model. The calculations illustrating the proof of this security being accessible to those skilled in the art, they will not be developed in the context of the present application.

Claims

REVENDICATIONS

1. Procédé de génération de clés destinées à un algorithme cryptographique à clé publique mis en œuvre dans le cadre d'un système cryptographique basé sur l'identité d'un utilisateur dudit système et comprenant des étapes de :A key generation method for a public key cryptographic algorithm implemented in the context of a cryptographic system based on the identity of a user of said system and comprising steps of:

- obtention (10, 50) d'un ensemble de paramètres publics (g, q_lr g2, u' , U) et privés (g2^α ) associés audit système cryptographique basé sur l'identité ; sélection d'un identifiant public (ID) comprenant une information d' identité dudit utilisateur et de détermination (20) d'un vecteur identité (v) représentatif dudit identifiant propre audit utilisateur; génération (30, 60) d'un couple clé publique (PKi_D) /clé privé (d_v) associé à l'identité dudit utilisateur, à partir desdits paramètres publics et privés et dudit vecteur identité (v) ; ledit procédé étant caractérisé en ce que les éléments (V₁) dudit vecteur identité (v) sont codés chacun sur k bits, avec k>l .obtaining (10, 50) a set of public (g, q _lr g2, u ', U) and private (g2 ^α ) parameters associated with said identity-based cryptographic system; selecting a public identifier (ID) comprising an identity information of said user and determining (20) an identity vector (v) representative of said own identifier of said user; generation (30, 60) of a public key pair (PKi _D ) / private key (d _v ) associated with the identity of said user, from said public and private parameters and said identity vector (v); said method being characterized in that the elements (V ₁ ) of said identity vector (v) are each coded on k bits, with k> l.

2. Procédé selon la revendication 1, caractérisé en ce que l'algorithme cryptographique mis en œuvre est un algorithme de chiffrement d'un message (m) pour l'émission du message chiffré (c) d'un émetteur (A) vers l'utilisateur destinataire (B), ledit procédé comprenant une étape de calcul (40) du message chiffré à partir du message en clair, des paramètres publics et du vecteur identité (v) .2. Method according to claim 1, characterized in that the cryptographic algorithm implemented is an encryption algorithm of a message (m) for the transmission of the encrypted message (c) from a transmitter (A) to the recipient user (B), said method comprising a step of calculating (40) the encrypted message from the plaintext message, public parameters and the identity vector (v).

3. Procédé selon la revendication 2, caractérisé en ce que l'étape de calcul du message chiffré (c) comprend l'utilisation de la clé publique (PKi_D) associée au destinataire, définie par le produit n3. Method according to claim 2, characterized in that the step of calculating the encrypted message (c) comprises the use of the public key (PKi _D ) associated with the recipient, defined by the product n

U ITiTiU_j ^v' , u' et U₁ faisant partie des paramètres publics i=l du système et les V₁ étant les éléments du vecteur identité.U ITiTiU _j ^v ', u' and U ₁ being part of the public parameters i = l of the system and the V ₁ being the elements of the identity vector.

4. Procédé selon la revendication 2 ou 3, caractérisé en ce que le déchiffrement du message chiffré (c) comprend une étape de calcul (70) du message en clair (m) à partir dudit message chiffré (c) en utilisant ladite clé privée dudit utilisateur destinataire .4. Method according to claim 2 or 3, characterized in that the decryption of the encrypted message (c) comprises a calculation step (70) of the message in clear (m) from said encrypted message (c) using said private key said recipient user.

5. Procédé selon la revendication 1, caractérisé en ce que l'algorithme cryptographique mis en œuvre est un algorithme de signature à clé publique.5. Method according to claim 1, characterized in that the cryptographic algorithm implemented is a public key signature algorithm.

6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il est mis en œuvre dans le cadre du système cryptographique de Waters, dans lequel lesdits paramètres publics et privé sont issus d'un groupe algébrique dérivé d'une courbe elliptique. 6. Method according to any one of the preceding claims, characterized in that it is implemented in the context of the cryptographic system of Waters, wherein said public and private parameters come from an algebraic group derived from a curve. elliptical.

7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'identifiant public (ID) dudit utilisateur comprend le nom dudit utilisateur ou son adresse électronique. 7. Method according to any one of the preceding claims, characterized in that the public identifier (ID) of said user comprises the name of said user or his email address.