WO2012085047A1 - Method of multimodal authentication with threshold and generation of unimodal key - Google Patents

Abstract

The invention relates to a method for authenticating one or more users in which sketches s(modi) are defined, the "key" to be used for a function for sharing a secret is determined, for each of the modalities Mod1 to Modn-1, the modality i is measured Modi 200i, then said measurement w'(modi) is processed 203i using the associated sketch s(modi) 202i, the value of s(modn) is retrieved 206 on the basis of said known key and on the basis of the (at least) k different values w(modi) which are valid and of a function f for sharing a secret 205 so as to reconstruct the sketch s(modn) of the modality n, the noisy value of the modality n is measured, so as to obtain w'(modn) 207, and said data item is processed so as to retrieve the value w(modn), 209, and on the basis of this value w(modn), a unimodal cryptographic key K is determined, 210.

Description

PROCEDE D'AUTHENTIFICATION MULTIMODALE A SEUIL ET GENERATION DE CLE UNIMODALE  METHOD FOR MULTIMODAL AUTHENTICATION AT THRESHOLD AND GENERATION OF UNIMODAL KEY

L'objet de l'invention concerne notamment un procédé permettant d'authentifier un ou plusieurs utilisateurs ou objets à partir de plusieurs modalités. The object of the invention relates in particular to a method for authenticating one or more users or objects from several modalities.

Le terme « modalité >> est utilisé dans la présente description pour désigner une donnée biométrique associée à un individu, un PUF associé à un objet ou tout autre type de données floues que l'on souhaite authentifier. Un PUF (Physical Unclonable Function) est, par exemple, une fonction réalisée sur un circuit électronique qui envoie des challenges et reçoit les réponses. La sortie du PUF correspond à une ou plusieurs de ces réponses. Les « challenges >> sont basés sur des éléments physiques aléatoires choisis de telle sorte qu'un PUF donnera des réponses similaires sur un même circuit et des réponses différentes sur deux circuits distincts. On utilise par exemple le temps de parcours sur des chemins différents, l'initialisation des transistors, des propriétés optiques...  The term "modality" is used in the present description to designate a biometric data associated with an individual, a PUF associated with an object or any other type of fuzzy data that is to be authenticated. A PUF (Physical Unclonable Function) is, for example, a function performed on an electronic circuit that sends challenges and receives responses. The output of the PUF corresponds to one or more of these responses. The "challenges" are based on random physical elements chosen so that a PUF will give similar responses on the same circuit and different responses on two separate circuits. For example, the travel time on different paths, the initialization of the transistors, the optical properties, etc. are used.

Les réponses peuvent faire office de modalités pour authentifier des composants sur des circuits électroniques.  Responses may serve as a means of authenticating components on electronic circuits.

Le mot « donnée biométrique », dans la suite de la description, couvre les empreintes digitales, l'iris, ... toutes les données biométriques connues aujourd'hui ou dans les années à venir.  The word "biometric data", in the following description, covers fingerprints, iris, ... all biometric data known today or in the years to come.

L'invention est notamment utilisée pour l'authentification : The invention is used in particular for authentication:

• d'un ou plusieurs supports en utilisant des PUFs, One or more supports using PUFs,

· d'une ou plusieurs personnes grâce à la biométrie multimodale, · One or more people through multimodal biometrics,

• de la combinaison de supports et de personnes, • the combination of supports and people,

• avec une modalité principale et des modalités secondaires  • with a main modality and secondary modalities

• dans le domaine de la téléphonie, la radio, les aéroports, de manière plus générale tous les systèmes d'authentification biométrique ou dans les systèmes nécessitant une authentification grâce aux PUFs Le problème de l'authentification d'un individu, d'un objet ou d'un système se rapporte souvent à l'extraction d'une donnée connue à partir d'une donnée floutée et la génération de données d'authentification ou de clés cryptographiques. Les fonctions associées sont généralement : l'identification et l'authentification, et la génération de clés cryptographiques. • in the field of telephony, radio, airports, more generally all biometric authentication systems or in systems requiring authentication thanks to PUFs The problem of authentication of an individual, an object or a system often relates to the extraction of known data from a blurred data and the generation of authentication data or keys cryptographic. The associated functions are generally: identification and authentication, and cryptographic key generation.

Le problème posé correspond à authentifier plusieurs modalités dont une a été définie comme principale.  The problem posed is to authenticate several modalities, one of which has been defined as principal.

Un exemple de critère permettant de définir la modalité principale est de considérer celle dont la sécurité lors de son utilisation dans un secure sketch est parfaitement maîtrisée. Un secure sketch est défini plus précisément dans l'article principal connu dans ce domaine publié par Dodis et al, intitulé « Fuzzy extractors : How to generate strong keys from biométries and other noisy data >> Eucrocypt 2004, LCNS, vol 3027, pp 523-540 qui traite du problème du caractère non uniforme des données mesurées et de la présence de bruit. Pour rendre les données stables malgré la présence de bruit, les auteurs de cet article proposent l'utilisation d'un extracteur flou. Une possibilité pour construire un extracteur flou est l'utilisation de deux primitives. Un premier module, désigné par l'expression anglo-saxonne « secure sketch >> permet la conciliation de l'information, c'est-à-dire le rétablissement d'une valeur systématiquement identique en sortie pour une même donnée d'entrée avec un bruit suffisamment faible, et un second module permet de rendre uniforme la sortie de l'extracteur flou par application d'une fonction d'extraction d'aléa sur ladite sortie, préalablement stabilisée. L'extracteur flou fonctionne en deux phases : l'enrôlement et la correction. La phase d'enrôlement peut n'être exécutée qu'une seule fois ; elle produit à partir d'une donnée de référence, notée w, issue d'une mesure d'une donnée confidentielle W fournie en entrée, une donnée publique, notée s et qualifiée dans la plupart du temps de « sketch ». Classiquement, la donnée de référence w peut être obtenue via une première mesure issue d'un traitement d'une donnée confidentielle W reçue par un capteur ou un composant électronique. A titre illustratif, la donnée confidentielle W est une empreinte digitale et la donnée de référence w est la donnée caractéristique obtenue par une première mesure de cette empreinte par un capteur. Seule la donnée publique s est enregistrée, la donnée de référence w étant confidentielle. La donnée publique joue donc un rôle dans la reconstruction de la mesure confidentielle de référence w à partir d'une donnée bruitée w '. An example of a criterion for defining the main modality is to consider the one whose security when used in a secure sketch is perfectly controlled. A secure sketch is defined more precisely in the main article known in this field published by Dodis et al, entitled "Fuzzy extractors: How to generate strong keys from biometrics and other noisy data". Eucrocypt 2004, LCNS, Vol 3027, pp 523 -540 which deals with the problem of non-uniformity of the measured data and the presence of noise. To make the data stable despite the presence of noise, the authors of this article propose the use of a fuzzy extractor. One possibility to build a fuzzy extractor is the use of two primitives. A first module, designated by the English expression "secure sketch" allows the conciliation of the information, that is to say the restoration of a systematically identical value in output for the same input data with a sufficiently low noise, and a second module makes uniform the output of the fuzzy extractor by applying a random extraction function on said output, previously stabilized. The fuzzy extractor operates in two phases: enrollment and correction. The enrollment phase can only be executed once; it produces from a reference datum, denoted w, resulting from a measurement of a confidential data W input, a public data, noted s and qualified in most of the time "sketch". Conventionally, the reference data w can be obtained via a first measurement resulting from a processing of confidential data W received by a sensor or an electronic component. As an illustration, the confidential data item W is a fingerprint and the reference datum w is the characteristic data obtained by a first measurement of this fingerprint by a sensor. Only the public data is recorded, the reference data w being confidential. The public data therefore plays a role in the reconstruction of the confidential reference measure w from a noisy data w '.

Les figures 1 A et 1 B schématisent respectivement la phase d'enrôlement et la phase de recouvrement. Sur ces figures, w est la donnée d'origine, s est le sketch, et w' la seconde donnée floue ou bruitée.  FIGS. 1A and 1B respectively diagrammate the enrollment phase and the recovery phase. In these figures, w is the original datum, s is the sketch, and w 'the second data is fuzzy or noisy.

Plus formellement, dans l'article précité, un secure sketch est défini de la façon suivante : soit M correspondant à un espace métrique muni d'une distance entre w et w' qui sont des mesures des données et m, m' des paramètres d'entropie ; un secure sketch de paramètres (M,m,m',t) est une paire de procédures 'sketch' ou enrôlement (Enrol) et 'recover' ou recouvrement (Rec) telles que : More formally, in the aforementioned article, a secure sketch is defined as follows: let M be a metric space provided with a distance between w and w 'which are measurements of the data and m, m' parameters of entropy; a parameter safe sketch (M, m, m ', t) is a pair of' sketch 'or enlist procedures and' recover 'or recovery (Rec) procedures such as:

1 . La procédure Enrol 100 prend en entrée we M et retourne une chaîne de bits s e {0;l}* . 1. The Enrol 100 procedure takes we M as input and returns a string of bits s e {0; l} *.

2. La procédure de recouvrement Rec 101 prend en entrée un élément w'e M et une chaîne de bits s e {0;l}* . La propriété de correction du secure sketch garantit que si dis(w,w')≤t alors Rec(w', SS(w)) = w. Si dis(w,w') > t, aucune garantie n'est donnée sur la sortie de Rec.  2. The recovery procedure Rec 101 takes as input an element w'e M and a string of bits s e {0; l} *. The correction property of the secure sketch guarantees that if dis (w, w ') ≤t then Rec (w', SS (w)) = w. If dis (w, w ')> t, no guarantee is given on the output of Rec.

3. La propriété de sécurité garantit que pour toute distribution W sur M de min-entropie m, la valeur de w ne peut être retrouvée par l'adversaire qu'avec une probabilité inférieure à 2^"m' : H_∞(W,SS(W)) > m' où H_∞(.) est la min-entropie.. 3. The security property ensures that for any W on M distribution of min-entropy m, the value of w can only be found by the adversary with a probability less than 2 ^{"m '} : H _∞ (W, SS (W))> m 'where H _∞ (.) Is the min-entropy ..

Comme expliqué précédemment, la donnée de référence w peut être obtenue via une première mesure issue d'un traitement d'une donnée confidentielle W reçue par un capteur ou un composant électronique. A titre illustratif, la donnée confidentielle W est une empreinte digitale et la donnée de référence w est la donnée caractéristique obtenue par une première mesure de cette empreinte par un capteur. Par la suite, la phase de correction est exécutée à chaque fois que l'on souhaite retrouver la donnée de référence w. A cette fin, une donnée bruitée w' provenant d'une mesure issue d'un traitement de la donnée confidentielle W - par exemple, une seconde mesure de la même empreinte digitale - est combinée à la donnée publique s. La donnée publique s joue donc un rôle dans la reconstruction de la mesure confidentielle de référence w à partir d'une donnée bruitée w'. Si la donnée bruitée w' est trop éloignée de la donnée de référence w, cette donnée de référence w ne peut être reconstruite. C'est le cas, par exemple, lorsque la donnée bruitée w' est obtenue par une mesure d'un traitement d'une donnée X différente de la donnée confidentielle W. As explained above, the reference data w can be obtained via a first measurement resulting from a processing of confidential data W received by a sensor or an electronic component. By way of illustration, the confidential datum W is a fingerprint and the reference datum w is the characteristic datum obtained by a first measurement of this impression by a sensor. Subsequently, the correction phase is executed each time that we want to find the reference data w. For this purpose, noisy data w 'coming from a measurement resulting from a processing of the confidential data W - for example, a second measurement of the same fingerprint - is combined with the public data s. The public data therefore plays a role in the reconstruction of the confidential reference measure w from a noisy data w '. If the noise data w 'is too far from the reference datum w, this reference datum w can not be reconstructed. This is the case, for example, when the noise data w 'is obtained by a measurement of a processing of a data X different from the confidential data W.

L'un des problèmes de l'art antérieur est que les solutions proposées ne permettent pas l'interopérabilité des différents types de modalités utilisées et que la sécurité repose sur le maillon qui possède la sécurité la plus faible.  One of the problems of the prior art is that the proposed solutions do not allow the interoperability of the different types of modalities used and that security is based on the link that has the weakest security.

Les solutions biométriques multimodales connues du Demandeur utilisent la combinaison des solutions dédiées à chaque type de biométrie.  The multimodal biometric solutions known to the Applicant use the combination of solutions dedicated to each type of biometrics.

Ainsi, l'art antérieur ne lie pas les secure sketches entre eux pour effectuer de l'authentification multimodale. Le problème résolu généralement dans l'art antérieur est de faire de l'authentification multimodale pour en déduire une clé multimodale, mais dans la plupart des cas, notamment dans le cas d'utilisation de PUFs, on maîtrise la sécurité de certains PUFs mais pas complètement ou nécessairement celle des autres.  Thus, the prior art does not bind the secure sketches between them to perform multimodal authentication. The problem generally solved in the prior art is to make multimodal authentication to deduce a multimodal key, but in most cases, especially in the case of using PUFs, we control the security of some PUFs but not completely or necessarily that of others.

L'un des problèmes posés dans la présente demande de brevet est de faire de l'authentification multimodale sur les modalités dont la sécurité n'est pas complètement maîtrisée à ce jour et d'en déduire une clé unimodale qui dépend de la modalité principale. Dans les applications envisagées la sécurité est le critère qui permet de déterminer la modalité dominante ou principale, rien n'empêche pour un autre type d'application d'utiliser un autre critère pour déterminer la modalité principale. Le document de Stelvio Cimato et al intitulé « Privacy-Aware Biométries : Design and Implementation of a Multimodal Vérification System », Computer Security applications conférence 2008, ACSAC 2008, pages 130-139, XP031376769 décrit un système mettant en œuvre des secure sketchs où les différents modules d'authentification sont combinés tels quel. One of the problems posed in the present patent application is to make multimodal authentication on the modalities whose security is not completely controlled to date and to deduce a unimodal key that depends on the main modality. In the envisaged applications, security is the criterion which makes it possible to determine the dominant or principal modality, nothing prevents another type of application from using another criterion to determine the principal modality. The document by Stelvio Cimato et al entitled "Privacy-Aware Biometrics: Design and Implementation of a Multimodal Verification System", Computer Security Applications Conference 2008, ACSAC 2008, pages 130-139, XP031376769 describes a system implementing secure sketches where the different authentication modules are combined as is.

La demande de brevet WO 2008/010773 divulgue un système de génération de clés à partir de données biométriques mettant en œuvre un système à seuil.  Patent application WO 2008/010773 discloses a system for generating keys from biometric data implementing a threshold system.

Le document de Voloshynovsky S et al intitulé « Multimodal authentification based on random projections and source coding », 22 septembre 2008 pages 1 -10, XP007919567 décrit l'impact de la présence de modalités additionnelles sur la performance de l'authentification.  Voloshynovsky S et al, "Multimodal authentication based on random projections and source coding", September 22, 2008 pages 1-10, XP007919567 describes the impact of the presence of additional modalities on the performance of authentication.

Dans la suite de la description, les références suivantes seront utilisées :  In the remainder of the description, the following references will be used:

• Mod i ou modi : la modalité d'indice i  • Mod i or modi: the index modality i

• s(modi) : sketch de la modalité modi qui est obtenu en mesurant la modalité modi et en la soumettant au secure sketch SSi  • s (modi): skit of the modi modi which is obtained by measuring the modi modi and submitting it to the secure sketch SSi

• SSi : secure sketch i  • SSi: secure sketch i

· w(modi) : mesure de la modalité i  · W (modi): measure of the modality i

• w'(modi) :mesure bruitée de la modalité i  • w '(modi): noise measurement of the modality i

• la fonction f est associée au partage de secret.  • the function f is associated with the secret sharing.

L'objet de la présente invention concerne un procédé pour authentifier un ou plusieurs utilisateurs ou objets, voire conjointement un ou plusieurs utilisateurs ou objets en utilisant un principe d'authentification multimodale,  The object of the present invention relates to a method for authenticating one or more users or objects, or even jointly one or more users or objects using a multimodal authentication principle,

a) phase d'initialisation : définir les valeurs des sketches s(modi) pour chacune des modalités modi utilisées pour l'authentification, et déterminer la valeur de la donnée « clé >> à utiliser pour une fonction de partage de secret, b) phase de correction : pour chacune des modalités modi à modn-1 , ledit procédé comporte au moins les étapes suivantes : b1 ) une étape de mesure de modalité i, Modi, ce qui correspond à w'(modi), puis une étape de traitement de la mesure w'(modi) en utilisant le sketch associé s(modi), on authentifie ainsi la donnée modi avec le secure sketch SSi pour obtenir la donnée w(modi) qui ne dépend que de Modi, a) initialization phase: define the values of the sketches s (modi) for each modi modi used for authentication, and determine the value of the "key" data to be used for a secret sharing function, b) correction phase: for each modi modn modn-1, said method comprises at least the following steps: b1) a modal measurement step i, Modi, which corresponds to w '(modi), then a step of processing the measure w' (modi) using the associated sketch s (modi), thus authenticating the data modi with the secure sketch SSi to obtain the data w (modi) which depends only on Modi,

b2) ces étapes sont exécutées pour toutes les modalités i choisies, i allant de 1 à n-1 ,  b2) these steps are executed for all i selected modalities, i ranging from 1 to n-1,

b3) l'étape suivante consiste à retrouver la valeur du sketch s (modn) de la modalité n à partir de ladite donnée clé connue et à partir des différentes valeurs w (modi) et d'une fonction f de partage de secret, puis b4) mesurer la valeur bruitée de la modalité n, c'est-à-dire obtenir w'(modn) 207, cette valeur étant ensuite traitée en utilisant le sketch s(modn) 206 et le secure sketch SSn afin de retrouver la valeur w(modn),  b3) the next step is to find the value of the sketch s (modn) of the modality n from said known key data and from the different values w (modi) and a function f of secret sharing, then b4) measure the noise value of the modality n, that is to say obtain w '(modn) 207, this value then being processed using the sketch s (modn) 206 and the secure sketch SSn in order to find the value w (mod n),

b5) à partir de cette valeur w(modn), déterminer une clé cryptographique unimodale K.  b5) from this value w (modn), determine a unimodal cryptographic key K.

selon un mode de réalisation, la phase a) d'initialisation comporte au moins les étapes suivantes :  according to one embodiment, the initialization phase a) comprises at least the following steps:

• effectuer des mesures de non bruitée w(modi) et exécuter un secure sketch associé dans sa phase d'enrôlement afin d'obtenir le sketch s(modi),  • make noiseless measurements w (modi) and execute an associated secure sketch in its enrollment phase to obtain the skit s (modi),

· mémoriser les n-1 premiers sketches s(modi) dans une mémoire, · Memorize the first n-1 sketches (modi) in a memory,

• pour trouver la valeur de « clé », utiliser les différentes valeurs mesurées w(modi) pour chacune des modalités, une fonction f de partage de secret et la valeur de sketch pour la modalité n : s(modn). • to find the "key" value, use the different measured values w (modi) for each of the modalities, a secret sharing function f and the sketch value for the modality n: s (modn).

Le procédé utilise, par exemple, une fonction de partage de secret à seuil. Tout schéma de partage de secret peut être vu comme un schéma de partage de secret à seuil au besoin avec un seuil égal au nombre total des modalités utilisées avec le partage de secret.  The method uses, for example, a threshold secret sharing function. Any secret sharing scheme can be seen as a threshold secret sharing scheme as needed with a threshold equal to the total number of modalities used with secret sharing.

Lors de la phase d'initialisation, la valeur de clé est obtenue à partir des n-1 premières modalités, du sketch s(mod_n) et du schéma de partage de secret de Shamir de la manière suivante : During the initialization phase, the key value is obtained from the first n-1 modalities, Shamir's sketch s (mod _n ) and secret sharing scheme as follows:

- Choisir une fonction de hachage h avec h = SHA-512. - Le secret étant S=s(mod_n), établir un seuil du partage de secret k compris entre 2 et n-1 , - Choose a hash function h with h = SHA-512. - Since the secret is S = s (mod _n ), establish a secret sharing threshold k between 2 and n-1,

- Choisir alors aléatoirement un polynôme f(x)= S + a-ιχ + ... + a_k-ix^k"1 - Then randomly choose a polynomial f (x) = S + a-χ + ... + a _k -ix ^{k "1}

- Pour chaque modalité, c'est-à-dire pour i=1 ,...,n-1 , associer le couple (h(Wi), f(h(Wi))) où w, = w(modi) - For each modality, that is, for i = 1, ..., n-1, associate the pair (h (Wi), f (h (w))) where w, = w (modi)

- Calculer pour i=1 à n-1 , Vi = h'(Wi) où h' est une fonction de hachage,  - Calculate for i = 1 to n-1, Vi = h '(Wi) where h' is a hash function,

- Dans clé, stocker f(h(w )), f(h(w_n--i)) et Vi ,...,V_n-i . - In key, store f (h (w)), f (h (w _n- -i)) and Vi, ..., V _n- i.

Lors de la phase de correction, ledit procédé comporte au moins les étapes suivantes :  During the correction phase, said method comprises at least the following steps:

à partir des n-1 premières modalités, retrouver en se servant des s(modi), i=1 ,...,n-1 et de la clé la valeur de s(mod_n). from the first n-1 modalities, find using s (modi), i = 1, ..., n-1 and the key the value of s (mod _n ).

- Soient au moins k modalités valides avec un seuil du partage de secret égal à k. Utiliser les Vi contenus dans clé pour trouver les modalités valides en comparant Vi au haché par h' de la donnée wi trouvée. Si plus de k modalités sont valides il est suffisant d'en utiliser k choisies par exemple aléatoirement ou par ordre d'apparition parmi les modalités valides. Il est néanmoins possible d'utiliser plus de modalités valides.  - At least k valid modalities with a secret sharing threshold equal to k. Use the Vi contained in key to find the valid modalities by comparing Vi to the hash by h 'of the data wi found. If more than k modalities are valid it is sufficient to use k chosen for example randomly or in order of appearance among the valid modalities. However, it is possible to use more valid terms.

- A partir de la donnée clé de la phase d'initialisation, former les couples (h(wi), f(h(wi))), (h(w_k), f(h(w_k))), - From the given key of the initialization phase, forming the pairs (h (wi), f (h (wi))), (h (w _k), f (h (w _k))),

- En utilisant l'interpolation de Lagrange avec ces couples, retrouver le polynôme f(x) et donc son ordonnée à l'origine S=s(mod_n). - Using the Lagrange interpolation with these pairs, find the polynomial f (x) and thus its intercept at the origin S = s (mod _n ).

retrouver w(mod_n) à partir de la dernière modalité ainsi que de s(mod_n). find w (mod _n ) from the last modality and from s (mod _n ).

Le procédé peut utiliser une fonction de hachage par exemple la fonction de hachage SHA-256 sur la donnée w(mod_n) pour obtenir la clé cryptographique K : K=SHA-256(w(mod_n)) The method can use a hash function, for example the hash function SHA-256 on the data w (mod _n ) to obtain the cryptographic key K: K = SHA-256 (w (mod _n ))

La fonction de partage de secret peut être réalisée par une fonction « XOR >> lorsque l'on utilise deux modalités et que les tailles de s(mod2) et w(mod1 ) sont choisies identiques. L'invention concerne aussi un dispositif pour authentifier un ou plusieurs utilisateurs ou objets, voire conjointement avec un ou plusieurs objets ou personnes en utilisant un principe d'authentification multimodale caractérisé en ce qu'il comporte en combinaison des moyens d'exécution des étapes du procédé présentant l'une des caractéristiques précitées, des moyens de mesure d'une ou plusieurs modalités associées à un ou plusieurs utilisateurs et des moyens de mémorisation. The secret sharing function can be performed by an "XOR" function when two modalities are used and the sizes of s (mod2) and w (mod1) are chosen identical. The invention also relates to a device for authenticating one or more users or objects, or even jointly with one or more objects or persons using a multimodal authentication principle characterized in that it comprises in combination means for executing the steps of the method having one of the aforementioned features, means for measuring one or more modes associated with one or more users and storage means.

D'autres caractéristiques et avantages du dispositif selon l'invention apparaîtront mieux à la lecture de la description qui suit d'un exemple de réalisation donné à titre illustratif et nullement limitatif annexé des figures qui représentent :  Other features and advantages of the device according to the invention will appear better on reading the description which follows of an example of embodiment given by way of illustration and in no way limiting attached to the figures which represent:

• Les figures 1 A et 1 B schématisent respectivement les phases d'enrôlement et de recouvrement,  FIGS. 1A and 1B respectively diagrammate the enrollment and recovery phases,

• La figure 2, un schéma de fonctionnement du procédé selon l'invention,  FIG. 2, an operating diagram of the method according to the invention,

• La figure 3, un détail de la phase d'initialisation,  • Figure 3, a detail of the initialization phase,

• La figure 4, la phase de correction d'un exemple du procédé selon l'invention en utilisant deux modalités et un schéma de partage de secret avec des Xor,  FIG. 4, the correction phase of an example of the method according to the invention using two modalities and a secret sharing scheme with Xor,

· La figure 5, la phase d'initialisation correspondant à la figure 4, FIG. 5, the initialization phase corresponding to FIG. 4,

• La figure 6, un exemple d'application mettant en œuvre n secure sketches en série et utilisant des schémas de partage de secret avec des Xor, • Figure 6, an example of an application implementing n secure sketches in series and using secret sharing schemes with Xor,

• La figure 7, un exemple de phase d'initialisation du schéma de la figure 6,  FIG. 7, an example of an initialization phase of the diagram of FIG. 6,

• La figure 8, une variante pour n secure sketches en parallèle, • Figure 8, a variant for n secure sketches in parallel,

• La figure 9, une variante de mise en œuvre de la figure 2 mettant en œuvre des fonctions de hachage, et FIG. 9, an implementation variant of FIG. 2 implementing hash functions, and

• La figure 10 un exemple de système permettant la mise en œuvre du procédé selon l'invention. Le procédé d'authentification selon l'invention repose notamment sur l'association d'un secure sketch avec une authentification multimodale. C'est-à-dire que l'authentification multimodale permet de retrouver la valeur du sketch associé au secure sketch SSn via une fonction f. La clé cryptographique est donc unimodale car la sortie du système ne dépend que de la modalité en entrée du dernier secure sketch (la modalité principale), l'authentification multimodale n'est utilisée dans un fonctionnement normal du procédé que pour permettre la correction de la donnée floutée dans le secure sketch (SSn). FIG. 10 is an exemplary system for implementing the method according to the invention. The authentication method according to the invention is based in particular on the association of a secure sketch with a multimodal authentication. That is to say that the multimodal authentication makes it possible to find the value of the sketch associated with the secure sketch SSn via a function f. The cryptographic key is therefore unimodal because the output of the system depends only on the input mode of the last secure sketch (the main modality), the multimodal authentication is used in a normal operation of the process only to allow the correction of the data blurred in the secure sketch (SSn).

La fonction f qui va être utilisée est basée sur un schéma de partage de secret tel que le schéma de partage de secret de Shamir connu de l'Homme du métier qui permet de retrouver le sketch du secure sketch à partir des n-1 premières modalités. La fonction f effectuée entre les sorties des traitements des modalités et le SS permet l'association de toutes les modalités en utilisant des protocoles de partage de secret connus de l'Homme du métier. Elle constitue donc un élément majeur de la solution proposée.  The function f that will be used is based on a secret sharing scheme such as Shamir's secret sharing scheme known to those skilled in the art that allows to find the sketch of the secure sketch from the first n-1 modalities . The function f performed between the outputs of the processing modalities and the SS allows the association of all modalities using secret sharing protocols known to those skilled in the art. It is therefore a major element of the proposed solution.

La figure 2 représente le schéma global du procédé selon l'invention, on peut la considérer en deux parties : la partie gauche relative aux modalités Mod1 , ...,Modn-1 , et la partie de droite qui comprend le traitement de la modalité Modn.  FIG. 2 represents the overall diagram of the method according to the invention, it can be considered in two parts: the left part relating to Mod1 modalities, ..., Modn-1, and the right part which includes the treatment of the modality. modn.

Les valeurs des sketches s (modi) pour chacune des modalités modi sont par exemple obtenues lors d'une phase d'initialisation précisée à la figure 3.  The values of the sketches s (modi) for each modi modality are for example obtained during an initialization phase specified in Figure 3.

Pour chacune des modalités Mod1 à Modn-1 , le procédé comporte par exemple les étapes suivantes :  For each of the modalities Mod1 to Modn-1, the method comprises for example the following steps:

Une étape de mesure de modalité i, Modi 200i, ce qui correspond à w'(modi) 201 i, puis une étape de traitement de la mesure w'(modi) 203i en utilisant le sketch associé s(modi) 202i. On authentifie ainsi la donnée modi avec le secure sketch SSi pour obtenir la donnée w(modi) 204i qui ne dépend que de modi. Ces étapes 200i à 204i sont exécutées pour toutes les modalités i choisies, de 1 à n-1 . A modi measurement step i, Modi 200i, which corresponds to w '(modi) 201 i, then a step of processing the measure w' (modi) 203i using the associated skit s (modi) 202i. We thus authenticate the data modi with the secure sketch SSi to obtain the data w (modi) 204i which depends only on modi. These steps 200i to 204i are executed for all the modalities i chosen, from 1 to n-1.

L'étape suivante consiste à retrouver la valeur de s(modn) 206 à partir d'une donnée que l'on appelle « clé >> connue et à partir des différentes valeurs w(modi) et d'une fonction f de partage de secret 205 connue de l'Homme du métier. Ceci permet de reconstruire le sketch s(modn) de la modalité n.  The next step is to find the value of s (modn) 206 from a data known as "key" and from the different values w (modi) and a function f of sharing of secret 205 known to those skilled in the art. This makes it possible to reconstruct the skit s (modn) of modality n.

Le procédé mesure la valeur bruitée de la modalité n, c'est-à-dire qu'il obtient w'(modn) 207, qu'il traite ensuite utilisant le sketch s(modn) 206 et le secure sketch SSn afin de retrouver la valeur w(modn), 209.  The process measures the noisy value of the modality n, that is to say that it obtains w '(modn) 207, which it then processes using the sketch s (modn) 206 and the secure sketch SSn in order to find the value w (modn), 209.

A partir de cette valeur w(modn), le procédé va déterminer une clé cryptographique unimodale K, 210.  From this value w (modn), the method will determine a unimodal cryptographic key K, 210.

La figure 3 représente un exemple d'étapes mises en œuvre pour la phase d'initialisation, effectuée avant utilisation du procédé selon l'invention. Elle permet d'effectuer les phases d'enrôlement des secure sketches ainsi que la distribution des secrets dans le partage de secret 205 et de générer une donnée « clé >> qui sera utilisée pour la reconstruction du sketch s(modn) lors de l'application du schéma de partage de secret.  FIG. 3 represents an example of steps implemented for the initialization phase, performed before use of the method according to the invention. It allows to perform the phases of recruitment of the secure sketches as well as the distribution of the secrets in the secret sharing 205 and to generate a data "key" which will be used for the reconstruction of the skit s (modn) during the application of the secret sharing scheme.

Sur la figure 3, la valeur mesurée non bruitée w(modi) 300i est traitée par le secure sketch dans sa phase d'enrôlement associé 301 i afin d'obtenir le sketch s(modi) 302i qui va être utilisé lors des étapes d'authentification et de génération de clé selon l'invention. Pour chacun des secure sketches SSi, la phase d'enrôlement est effectuée afin de connaître leurs sketches s(modi). Les n-1 premiers sketches s(modi) ainsi obtenus seront stockés dans une mémoire du dispositif selon l'invention. Le dernier sketch s(modn) sert au niveau du partage de secret pour trouver la valeur de la donnée clé en utilisant les différentes valeurs mesurées w(modi) pour chacune des modalités 1 à n-1 et une fonction f de partage de secret. Cette clé permet notamment au partage de secret de fonctionner et ne révèle pas d'informations sensibles ou confidentielles. Différentes fonctions de partage de secret peuvent être utilisées pour la mise en œuvre du procédé selon l'invention. In FIG. 3, the non-noise measured value w (modi) 300i is processed by the secure sketch in its associated enrollment phase 301 i in order to obtain the skit s (modi) 302i that will be used during the steps of authentication and key generation according to the invention. For each of SSi's secure sketches, the enrollment phase is carried out in order to know their skits s (modi). The first n-1 sketches s (modi) thus obtained will be stored in a memory of the device according to the invention. The last sketch s (modn) is used at the secret-sharing level to find the value of the key data by using the different measured values w (modi) for each of the modalities 1 to n-1 and a function f of secret sharing. This key allows secret sharing to work and does not reveal sensitive or confidential information. Various secret sharing functions can be used for the implementation of the method according to the invention.

Le schéma de partage de secret sera dit « à seuil >> dans le cas où le procédé permet qu'au moins k modalités parmi les n-1 soient valides pour que l'authentification soit un succès  The secret sharing scheme will be said to be "thresholded" in the case where the method allows at least k modalities among the n-1 to be valid for authentication to be successful

Le cas extrême où k=n-1 correspond à un schéma de partage de secret sans seuil, c'est-à-dire que l'on souhaite que toutes les modalités soient valides pour que l'authentification réussisse. Il peut également être vu comme un partage de secret à seuil égal à n-1 .  The extreme case where k = n-1 corresponds to a secret sharing scheme without threshold, that is to say that it is desired that all modalities are valid for the authentication to succeed. It can also be seen as a secret sharing with a threshold equal to n-1.

Un exemple de schéma de partage de secret connu de l'Homme du métier est celui de Shamir décrit dans l'article intitulé « How to Share a Secret » Communications of the ACM, 22:612-613, Nov.1979.  An example of a secret sharing scheme known to those skilled in the art is that of Shamir described in the article titled "How to Share a Secret" Communications of the ACM, 22: 612-613, Nov.1979.

Définition formelle Formal definition

Le principe proposé par Shamir se base sur l'interpolation polynômiale : étant donnés k points dans un plan de coordonnées (xi,yi), ...,(x_n,y_n), avec V i,j x,≠ Xj, il existe un unique polynôme q(x) de degré k-1 tel que V i q(Xi)=y,. The principle proposed by Shamir is based on the polynomial interpolation: given k points in a coordinate plane (xi, yi), ..., (x _n , y _n ), with V i, jx, ≠ Xj, there exists a unique polynomial q (x) of degree k-1 such that V iq (Xi) = y ,.

Soit D le secret que l'on veut partager en sous-secrets D,. Choisir un polynôme aléatoirement de degré k-1 avec a₀ = D, q(x) = a₀ + a-ιχ + ... + ak-ix^k"1 puis évaluer Di = q(xi), D_n = q(x_n)-Let D be the secret that we want to share in sub-secrets D ,. Choose a polynomial randomly of degree k-1 with a ₀ = D, q (x) = a ₀ + a-ιχ + ... + ak-ix ^{k "1} then evaluate Di = q (xi), D _n = q (x _n ) -

Etant donnés (au moins) k éléments dans l'ensemble des D,, par interpolation il est possible de retrouver les coefficients de q(x) et donc la valeur du secret D. La connaissance de seulement k-1 éléments ne permet de retrouver aucune information sur la valeur du secret D. Given (at least) k elements in the set of D ,, by interpolation it is possible to find the coefficients of q (x) and thus the value of the secret D. The knowledge of only k-1 elements can not find no information on the value of secrecy D.

Remarque, il est aussi possible de choisir p un nombre premier et de travailler dans Z/pZ.  Note, it is also possible to choose p prime and work in Z / pZ.

Le principe du schéma de partage de secret de Shamir est qu'il existe un secret et n utilisateurs. Chacun des n utilisateurs reçoit une part du secret et le partage de secret permet de retrouver le secret initial uniquement dans le cas où au moins k utilisateurs mettent leurs parts de secret en commun; s'ils ne sont que k-1 ou moins, ils ne pourront pas obtenir d'information sur le secret. The principle of Shamir's secret sharing scheme is that there is a secret and n users. Each of the n users receives a part of the secret and the secret sharing makes it possible to find the initial secret only in the case where at least k users put their secret shares in common; if they are only k-1 or less, they will not be able to get information about the secret.

Plus concrètement, Shamir explique que 2 points suffisent à décrire complètement une droite, 3 pour une parabole, etc. Il faut donc k points pour définir un polynôme de degré k-1 . Supposons que le secret est S dans un corps F. Il faut alors choisir k-1 éléments aléatoirement dans F : a-ι ; : .. . ; an et poser a₀ = S. Nous construisons ensuite le polynôme f(x) = a₀+a-|X+.. .+ak-ix^k"1. Il ne reste plus qu'à donner à chaque utilisateur un couple (i; f(i)). Pour retrouver le secret S, il suffit que (au moins) k utilisateurs mettent leurs couples en communs pour retrouver le polynôme et donc le secret. Pour cela, il est par exemple possible d'utiliser les polynômes interpolateurs de Lagrange. More concretely, Shamir explains that 2 points are enough to completely describe a straight line, 3 for a parable, etc. It is therefore necessary to have k points to define a polynomial of degree k-1. Suppose the secret is S in a field F. We must then choose k-1 elements randomly in F: a-ι; : ... ; year and set to ₀ = S. We then construct the polynomial f (x) = a ₀ + a- | X + ... + ak-ix ^{k "1.} It only remains to give each user a pair ( i; f (i)) To find the secret S, it is sufficient if (at least) k users put their pairs in common to find the polynomial and therefore the secret.For this, it is for example possible to use the polynomials interpolators of Lagrange.

Dans un cas un peu plus général, le partage de secret à seuil peut être défini de la manière suivante  In a slightly more general case, threshold secret sharing can be defined as follows

Définition : (partage de secret à seuil k-parmi-n) Definition: (secret sharing at threshold k-among-n)

Soient k et n deux entiers tels que 0<k≤n. Un partage de secret à seuil k-parmi-n est une méthode de distribution d'un secret se {0 ;1 }' en n morceaux Si ,...,s_n telle que pour tout sous-ensemble Se {1 ;... ;n} : Let k and n be two integers such that 0 <k≤n. A secret partition with threshold k-among-n is a method of distribution of a secret se {0; 1} 'in n pieces Si, ..., s _n such that for every subset Se {1; .. ;not} :

- si |S|≤k, pour toute machine polynomiale A, en I et n, et pour tout ε non-négligeable, P_be _{{0 ;}i},_ce {o _;i}' [A((Sj)_{ie s>}xo_>xi)=b | Xb=s, xi- b=c]<1 /2+e. - if | S | ≤k, for any polynomial machine A, in I and n, and for all ε non-negligible, P _b e _{0; i}, _c e {o _; i} '[A ((Sj) _{ie s>} xo _> xi) = b | Xb = s, xi- b = c] <1/2 + e.

- Si |S|>k, il existe une machine polynomiale A telle que : s= A((s,),_e s). If | S |> k, there exists a polynomial machine A such that: s = A ((s,), _e s).

D'autres schémas de partage de secret sont connus de l'art antérieur, dont certains vont être donnés à titre illustratif et nullement limitatif.  Other secret sharing schemes are known from the prior art, some of which will be given by way of illustration and in no way limitative.

Par exemple, il est possible d'utiliser le partage avec des Xor connu de l'Homme du métier : le secret se {0 ;1 }', choisir aléatoirement Si , ... ,s_n-i dans {0 ;1 }' puis calculer s_n = s Xor Si Xor ... Xor s_n-i . li ne reste plus qu'à distribuer les s,. Tous les participants doivent être présents pour retrouver le secret s (ce n'est pas un partage de secret à seuil). Une autre manière de procéder consiste à utiliser un partage de secret modulaire décrit dans ce même document: on travaille ce coup-ci dans Z/nZ et s_n = s -(s-i+...+s_n-i ) mod n (n'est pas non-plus un partage de secret à seuil). For example, it is possible to use the sharing with Xor known to those skilled in the art: the secret is {0; 1} ', randomly choose Si, ..., s _n -i in {0; 1} 'then calculate s _n = s Xor Si Xor ... Xor s _n -i. It remains only to distribute the s ,. All participants must be present to find the secret s (it is not a threshold secret sharing). Another way to proceed is to use a modular secret sharing described in this same document: we work this time in Z / nZ and s _n = s - (s-i + ... + s _n- i) mod n (is not no more a threshold secret share).

Quelques exemples de mise en œuvre du procédé selon l'invention vont maintenant être donnés en relation avec les figures 4 à 8.  Some examples of implementation of the method according to the invention will now be given in relation to FIGS. 4 to 8.

La figure 4 schématise le cas d'utilisation de deux secure sketches en utilisant un Xor pour le schéma de partage de secret.  Figure 4 schematizes the use case of two secure sketches using an Xor for the secret sharing scheme.

La phase de correction comporte au moins les étapes décrites ci- après.  The correction phase comprises at least the steps described below.

Une première étape consiste en une mesure de la modalité modl pour obtenir la valeur bruitée w'(mod1 ) et, en utilisant le sketch s(mod1 ) et le secure sketch SS1 , à retrouver la valeur de la donnée w(mod1 ). Le sketch s(mod2) est obtenu à partir de la valeur w(mod1 ) et de la donnée notée « clé ». Ensuite le sketch s(mod2) sera utilisé pour traiter la valeur w'(mod2) via l'utilisation du secure sketch SS2 afin d'obtenir la donnée w(mod2) qui permettra d'exécuter l'étape d'authentification.  A first step consists of a measurement of the modl modality to obtain the noise value w '(mod1) and, using the sketch s (mod1) and the secure sketch SS1, to find the value of the data w (mod1). The skit s (mod2) is obtained from the value w (mod1) and the data noted "key". Then the sketch s (mod2) will be used to treat the value w '(mod2) via the use of the SS2 secure sketch in order to obtain the data w (mod2) which will allow to execute the authentication step.

La sortie d'un tel système ne dépend que de la modalité 2 et, si la modalité 1 n'est pas valide, il est impossible de « déflouter >> la modalité 2 car le sketch s(mod2) ne peut être retrouvé que si w(mod1 ) est correct.  The output of such a system depends only on the modality 2 and, if the modality 1 is not valid, it is impossible to "unpack" the modality 2 because the sketch s (mod2) can be found only if w (mod1) is correct.

Un des avantages est que s'il est nécessaire que la modalité 2 soit plus importante que la première, il est possible de conserver l'authentification de la modalité 2 et changer la modalité 1 sans modifier la sortie du système (w(mod2)) : il suffira de stocker des valeurs différentes de s(mod1 ) et de clé en réalisant une nouvelle initialisation.  One of the advantages is that if it is necessary that the modality 2 is greater than the first, it is possible to maintain the authentication of the modality 2 and change the modality 1 without modifying the output of the system (w (mod2)) : it will be enough to store different values of s (mod1) and key by realizing a new initialization.

Si l'on considère un exemple dans le cadre de la biométrie, la modalité importante ou dont la sécurité du SS qui fait l'authentification est parfaitement maîtrisée, à savoir la modalité 2, est une mesure de l'empreinte digitale qui est associée à une modalité d'importance moindre (modalité 1 ) qui est par exemple la voix. A partir de la donnée w(mod2) une clé cryptographique est ensuite générée. S'il est décidé ensuite que la voix n'est pas appropriée pour le type d'authentification effectuée, la modalité modl peut représenter l'iris de la personne. Au niveau du procédé, il est alors nécessaire d'effectuer une nouvelle initialisation partielle pour trouver la nouvelle valeur de s(mod1 ) puis la nouvelle valeur de clé. La valeur de s(mod2) reste inchangée. Le scan de l'iris qui correspond à la mesure de la modalité 1 permet de retrouver avec la clé, la valeur de s(mod2) puis la mesure de l'empreinte digitale permet de retrouver w(mod2) puis la valeur de la clé cryptographique K. If we consider an example in the context of biometrics, the important modality or whose SS security that makes the authentication is perfectly mastered, namely modality 2, is a measure of the fingerprint that is associated with a modality of less importance (modality 1) which is for example the voice. From the data w (mod2) a cryptographic key is then generated. If it is then decided that the voice is not appropriate for the type of authentication performed, the modl modality may represent the iris of the person. At the process level, it is then necessary to carry out a new partial initialization to find the new value of s (mod1) then the new key value. The value of s (mod2) remains unchanged. The iris scan corresponding to the measurement of modality 1 allows to find with the key, the value of s (mod2) then the measurement of the fingerprint allows to find w (mod2) then the value of the key cryptographic K.

La clé cryptographique K associée à la personne reste inchangée, même si les biométries ou modalités utilisées sont différentes pour effectuer l'authentification.  The cryptographic key K associated with the person remains unchanged, even if the biometrics or modalities used are different to perform the authentication.

La figure 5 représente un exemple d'initialisation avec des modalités et un partage de secret utilisant les Xor. Cette dernière doit notamment fournir les sketches des modalités à utiliser et la clé. Pour cela, une façon de procéder consiste à effectuer une mesure de s(mod1 ) en utilisant la première modalité modl puis, pour trouver la clé, le procédé va commencer par calculer s(mod2) puis en détruire la valeur de clé correspondante avec le partage de secret.  Figure 5 shows an example of initialization with modalities and secret sharing using Xor. The latter must provide the skits modalities to use and the key. For this, one way to proceed is to perform a measurement of s (mod1) using the first modl modl then, to find the key, the process will start by calculating s (mod2) and then destroy the corresponding key value with the secret sharing.

La figure 6 schématise une généralisation de la figure 4 avec n secures sketches en série pour la phase de correction, dans lequel il y a (n- 1 ) xor utilisés et l'utilisation de plusieurs clés (clé i). La figure 7, la phase d'initialisation correspondante.  Figure 6 schematizes a generalization of Figure 4 with n secures sketches in series for the correction phase, in which there are (n- 1) xor used and the use of several keys (key i). Figure 7, the corresponding initialization phase.

Dans les exemples décrits aux figures 4 à 8, sans sortir du cadre de l'invention, il est possible d'utiliser en lieu et place d'un XOR un partage de secret choisi par exemple parmi ceux cités précédemment.  In the examples described in FIGS. 4 to 8, without departing from the scope of the invention, it is possible to use instead of an XOR a secret partition selected for example from those mentioned above.

La figure 8 représente un exemple de mise en œuvre du procédé selon l'invention pour la phase de correction dans lequel il y a un secure sketch central qui va être utilisé pour définir les n-1 clés utilisées par le procédé.  FIG. 8 represents an exemplary implementation of the method according to the invention for the correction phase in which there is a central secure sketch which will be used to define the n-1 keys used by the method.

La phase d'initialisation du système de la figure 8 est semblable à la phase d'initialisation décrite à la figure 7, excepté le fait que les différentes clés clé-ι , ...,clé_n-i sont déterminées dans ce cas en utilisant toujours la valeur de la modalité 1 , à savoir w(mod1 ). The initialization phase of the system of Figure 8 is similar to the initialization phase described in Figure 7, except that the different key-keys ι, ..., key _n- i are determined in this case by always using the value of modality 1, namely w (mod1).

Sans sortir du cadre de l'invention, en lieu et place des secure sketches il est possible d'utiliser des secure sketches généralisés tels que ceux décrits dans la demande de brevet du Demandeur FR09/03699 ou bien des secure sketches généralisés recentrés décrits dans la demande de brevet du Demandeur intitulée « Procédé de reconstruction d'une mesure de référence d'une donnée confidentielle à partir d'une mesure bruitée de cette donnée, notamment pour la génération de clés cryptographiques».  Without departing from the scope of the invention, instead of the secure sketches it is possible to use generalized secure sketches such as those described in the applicant's patent application FR09 / 03699 or generalized refocused secure sketches described in the Applicant's patent application entitled "Method for reconstructing a reference measurement of confidential data from a noisy measurement of this data, in particular for the generation of cryptographic keys".

La figure 9 schématise un exemple de mise en œuvre dans laquelle les secure sketches sont remplacés par des extracteurs flous, par exemple en ajoutant une fonction de hachage hi à la sortie du secure sketch i. Dans ce cas, il est possible d'utiliser directement la donnée h(wod(modn)) comme clé cryptographique.  Figure 9 shows an example of implementation in which the secure sketches are replaced by fuzzy extractors, for example by adding a hash function hi at the output of the secure sketch i. In this case, it is possible to directly use the data h (wod (modn)) as a cryptographic key.

II est possible de ne remplacer que k secure sketches par des extracteurs flous.  It is possible to replace only k secure sketches by fuzzy extractors.

Application aux PUFs (Physical Unclonable Functions)  Application to PUFs (Physical Unclonable Functions)

Un PUF est une fonction réalisée par exemple sur un circuit électronique qui envoie des challenges et reçoit les réponses, plus généralement elle dépend d'une structure physique. La sortie du PUF correspond à une ou plusieurs de ces réponses. Ces challenges sont basés sur des éléments physiques aléatoires choisis de telle sorte qu'un PUF donnera des réponses similaires sur un même circuit et des réponses différentes sur deux circuits distincts. On utilise par exemple le temps de parcours sur des chemins différents, l'initialisation des transistors, des propriétés optiques...  A PUF is a function performed for example on an electronic circuit that sends challenges and receives responses, more generally it depends on a physical structure. The output of the PUF corresponds to one or more of these responses. These challenges are based on random physical elements chosen so that a PUF will give similar responses on the same circuit and different responses on two separate circuits. For example, the travel time on different paths, the initialization of the transistors, the optical properties, etc. are used.

Ces réponses peuvent faire office de modalités pour authentifier des composants sur des circuits électroniques.  These answers may serve as modalities for authenticating components on electronic circuits.

Application à la biométrie Application to biometrics

Les modalités en entrée des secure sketches peuvent sans problème être des données biométriques comme par exemple la voix, les empreintes digitales, l'iris, la rétine, le visage... On peut par exemple authentifier une unique personne en mesurant plusieurs de ses données biométriques mais on peut aussi authentifier plusieurs personnes simultanément grâce à ce système. De plus, notre solution permet d'avoir une modalité biométrique principale avec la possibilité de changer facilement les autres modalités. The input modalities of secure sketches can easily be biometric data such as voice, fingerprints, the iris, the retina, the face ... One can for example authenticate a single person by measuring several of his biometric data but we can also authenticate several people simultaneously through this system. Moreover, our solution allows to have a main biometric modality with the possibility to easily change the other modalities.

Il est aussi important de se rendre compte que dans ce genre de cas on utilise des données qui sont de différentes tailles ainsi que différentes métriques ce qui implique l'emploi codes correcteurs différents.  It is also important to realize that in this kind of case we use data that are of different sizes as well as different metrics which implies the use of different correcting codes.

Application aux mots de passe Application to passwords

Les deux principaux types de modalités que nous utilisons sont les données biométriques et les réponses de PUFs mais nous pourrions en citer une troisième qui est de faire retenir un mot de passe très long à l'utilisateur. La modalité sera ce mot de passe, flouté car l'utilisateur ne se souvient pas exactement de la totalité du mot de passe.  The two main types of modalities we use are biometrics and PUF responses, but we could cite a third one, which is to have the user remember a very long password. The modality will be this password, blurred because the user does not remember exactly the entire password.

Il est aussi possible de lui faire retenir une liste (d'objets, de films...) et lui demander de la restituer pour former la modalité. Ensuite, nous utilisons la distance symétrique pour comparer à la liste initiale.  It is also possible to make him retain a list (objects, films ...) and ask him to return it to form the modality. Then we use the symmetric distance to compare to the initial list.

Exemple chiffré avec le partage de secret de Shamir Example encrypted with Shamir's Secret Sharing

Phase d'initialisation Initialization phase

Etape n °1 : Step 1:

Il y a n modalités à authentifier. Ces modalités peuvent être de tailles et de types différents. La première étape consiste à effectuer l'enrôlement pour chacun de ces n SS. Les sketches s(modi),...,s(mod_n) sont alors connus et peuvent être utilisés. There are modalities to authenticate. These modalities can be of different sizes and types. The first step is to enlist for each of these n SS. The sketches s (modi), ..., s (mod _n ) are then known and can be used.

Etape n °2 : Step 2:

A partir des n-1 premières modalités, du sketch s(mod_n) et du schéma de partage de secret de Shamir, on déduit la valeur de clé. From the first n-1 modalities, the sketch s (mod _n ) and Shamir's secret sharing scheme, we deduce the key value.

Détail du partage de secret adapté pour fonctionner avec la présente invention : - Choisir une fonction de hachage h. On prendra par exemple h = SHA-256, Detail of the secret sharing adapted to operate with the present invention: - Choose a hash function h. We will take for example h = SHA-256,

- Le secret est S=s(mod_n). On souhaite que le seuil du partage de secret soit k avec k compris entre 2 et n-1 ,. - The secret is S = s (mod _n ). We want the secret sharing threshold to be k with k between 2 and n-1.

- Choisir alors aléatoirement un polynôme f(x)= S + aix + ... + ak-ix^k"1.- Then randomly choose a polynomial f (x) = S + aix + ... + ak-ix ^{k "1} .

- Pour chaque modalité, c'est-à-dire pour i=1 ,...,n-1 , associer le couple (h(Wi), f(h(Wi))) où w, = w(modi), - For each modality, that is, for i = 1, ..., n-1, associate the pair (h (Wi), f (h (w))) where w, = w (modi) ,

- Calculer pour i=1 à n-1 , Vi = h'(Wi) où h' est une fonction de hachage,  - Calculate for i = 1 to n-1, Vi = h '(Wi) where h' is a hash function,

- Dans clé, stocker f(h(wi)), f(h(w_n-i)) et Vi ,...,V_n-i . - In key, store f (h (wi)), f (h (w _n- i)) and Vi, ..., V _n -i.

Remarque : la fonction de hachage est indispensable car sans elle, lorsque k « utilisateurs >> (qui sont ici les modalités) retrouvent le secret S, par calculs d'antécédents il est possible de retrouver les valeurs des autres modalités. Avec la fonction de hachage, ce même calcul d'antécédents permet de ne retrouver que des hachés des valeurs des autres modalités.  Note: the hash function is essential because without it, when k "users" (which are here the modalities) find the secret S, by calculation of antecedents it is possible to find the values of other modalities. With the hash function, this same calculation of antecedents makes it possible to find only hashes of the values of the other modalities.

Phase de correction Correction phase

Etape n °3 : Step 3:

Le système est maintenant correctement initialisé.  The system is now properly initialized.

Cette étape consiste à partir des n-1 premières modalités, à retrouver (en se servant des s(modi), i=1 ,...,n-1 et de clé) la valeur de s(mod_n). This step consists of starting from the first n-1 modalities, to find (using s (modi), i = 1, ..., n-1 and key) the value of s (mod _n ).

- Soient (au moins) k modalités valides (car il a été décidé que le seuil du partage de secret est k). Utiliser les Vi contenus dans clé pour trouver les modalités valides en comparant Vi au haché par h' de la donnée wi trouvée. Sans perdre de généralité, nous nous restreignons à exactement k modalité valides et supposons que ce sont les k premières modalités qui sont valides,  - (at least) k valid modalities (because it has been decided that the secret sharing threshold is k). Use the Vi contained in key to find the valid modalities by comparing Vi to the hash by h 'of the data wi found. Without losing any generality, we restrict ourselves to exactly valid modality and suppose that it is the first k modalities that are valid,

- A partir de clé, former les couples (h(w ), f(h(w ))), (h(w_k), f(h(w_k))). - From key, form the pairs (h (w), f (h (w))), (h (w _k ), f (h (w _k ))).

- En utilisant l'interpolation de Lagrange avec ces couples, retrouver le polynôme f(x) et donc son ordonnée à l'origine S=s(mod_n). A partir de la dernière modalité ainsi que de s(mod_n), il est possible alors de retrouver w(mod_n). - Using the Lagrange interpolation with these pairs, find the polynomial f (x) and thus its intercept at the origin S = s (mod _n ). From the last modality as well as from s (mod _n ), it is then possible to find w (mod _n ).

Etape n °4 : Step 4:

Il faut maintenant en déduire une clé cryptographique. Pour cela on applique par exemple la fonction de hachage SHA-256 sur la donnée w(modn) pour obtenir la clé cryptographique K : K=SHA-256(w(mod_n)). We must now deduce a cryptographic key. For this we apply for example the hash function SHA-256 on the data w (modn) to obtain the cryptographic key K: K = SHA-256 (w (mod _n )).

Lorsque n-1 modalités et un seuil k sont disponibles pour l'authentification des n-1 premières modalités, le problème se pose de savoir quelle sont les modalités valides. En effet, nous ne savons pas quelles modalités sont valides ou non ce qui fait qu'il est possible de tomber sur un secret (s(modn)) erroné alors que nous avons bien k modalités valides. Ce cas se produit si l'on prend au moins une modalité non valide dans les k qui servent à retrouver le secret grâce au schéma de partage de secret.  When n-1 modalities and a threshold k are available for the authentication of the first n-1 modalities, the problem is to know what are the valid modalities. Indeed, we do not know what modalities are valid or not, which makes it possible to find a secret (s (modn)) wrong when we have valid modalities. This case occurs if we take at least one invalid mode in the k which is used to find the secret thanks to the secret sharing scheme.

Deux solutions sont possibles représentées par les lettres A et B sur la figure 9: Two solutions are possible represented by the letters A and B in FIG. 9:

• La première (lettre A) et la plus facile à mettre en œuvre est de vérifier pour chaque modalité si elle est valide ou non. Pour cela on stocke un haché Vi de chacun des w(mod i) pour i allant de 1 à n-1 et on vérifie si les modalités sont valides. Si au moins k d'entre-elles le sont, alors on effectue le recouvrement du secret avec celles-ci. Sinon, il n'est pas nécessaire de tenter de retrouver le secret (ce n'est pas possible). • The first (letter A) and the easiest to implement is to check for each modality whether it is valid or not. For this we store a mined Vi of each w (mod i) for i ranging from 1 to n-1 and we check if the modalities are valid. If at least k of them are, then we carry out the recovery of the secret with them. Otherwise, it is not necessary to try to find the secret (it is not possible).

• La seconde solution (lettre B) est plus difficile à mettre en œuvre mais pourrait dans certains cas être utile. On commence par stocker un haché V de s(modn). Le principe est de prendre k modalités et d'essayer de retrouver le secret avec. On vérifie ensuite si ce secret est valide. On essaye cela pour les C_n ^k (coefficient binomial choix de k parmi n) choix possibles pour les k modalités. Si après avoir essayé toutes les possibilités le secret n'est pas retrouvé, cela signifie qu'il y a strictement moins de k modalités qui sont valides. • The second solution (letter B) is more difficult to implement but could in some cases be useful. We start by storing a chopped V of s (modn). The principle is to take k modalities and try to find the secret with. We then check if this secret is valid. We try this for the C _n ^k (binomial coefficient choice of k among n) possible choices for k modalities. If after having tried all the possibilities the secret is not found, it means that there are strictly fewer modalities that are valid.

La figure 10 décrit un exemple de système permettant la mise en œuvre du procédé selon l'invention. Le système comprend un capteur 601 relié au dispositif de mise en œuvre des étapes du procédé décrit précédemment, un support d'enregistrement 602 des clés et une mémoire de stockage des sketches. FIG. 10 describes an exemplary system for implementing the method according to the invention. The system includes a sensor 601 connected to the implementation device of the steps of the method described above, a recording medium 602 of the keys and a skits storage memory.

Le procédé selon l'invention offre notamment les avantages suivants : il résout notamment le problème de l'utilisation de formats et d'importances différents :  The process according to the invention notably offers the following advantages: it solves in particular the problem of the use of different formats and importance:

• Tailles ou types de données différents,  • Different sizes or types of data,

• Données primaires et secondaires (sécurité maîtrisée ou non) ;  • Primary and secondary data (safety controlled or not);

• Codes correcteurs différents,  • Different correction codes,

· Des métriques différentes (distance de Hamming, d'édition et symétrique) donc des secure sketches différents  · Different metrics (Hamming distance, editing and symmetry) so different secure sketches

Le procédé permet notamment :  The method makes it possible in particular:

• L'interopérabilité des différentes modalités (tailles, types, codes ou métriques utilisés différents) en entrée de la fonction de partage de secret et en entrée du SS.  • The interoperability of the different modalities (sizes, types, codes or metrics used different) at the input of the secret sharing function and input of the SS.

• La possibilité que chaque modalité soit traitée indépendamment des autres  • The possibility that each modality is treated independently of the others

• De baser la sécurité sur celle de la modalité la plus « robuste >> ou bien de privilégier une modalité pour une autre raison.  • Base security on the one of the most "robust" modality or to favor a modality for another reason.

Claims

REVENDICATIONS

1 - Procédé pour authentifier un ou plusieurs utilisateurs ou objets, voire conjointement un ou plusieurs objets ou utilisateurs en utilisant un principe d'authentification multimodale, 1 - Method for authenticating one or more users or objects, or even jointly one or more objects or users using a multimodal authentication principle,

a) phase d'initialisation : définir les valeurs des sketches s(modi) pour chacune des modalités modi utilisées pour l'authentification, et déterminer la valeur de la donnée clé à utiliser pour une fonction de partage de secret, b) phase de correction : pour chacune des modalités Mod1 à Modn-1 , ledit procédé comporte au moins les étapes suivantes : a) initialization phase: define the values of the skits s (modi) for each of modi modalities used for authentication, and determine the value of the key data to be used for a secret sharing function, b) correction phase for each modality Mod1 to Modn-1, said method comprises at least the following steps:

b1 ) une étape de mesure de modalité i, Modi (200i), ce qui correspond à w'(modi) (201 i), puis une étape de traitement de la mesure w'(modi) (203i) en utilisant le sketch associé s(modi) (202i), on authentifie ainsi la donnée modi avec le secure sketch SSi pour obtenir la donnée w(modi) 204i qui ne dépend que de modi,  b1) a modality measurement step i, Modi (200i), which corresponds to w '(modi) (201 i), then a step of processing the measure w' (modi) (203i) using the associated skit s (modi) (202i), one thus authenticates the data modi with the secure sketch SSi to obtain the data w (modi) 204i which depends only on modi,

b2) ces étapes (200i à 204i) sont exécutées pour toutes les modalités i choisies, i allant de 1 à n-1 ,  b2) these steps (200i to 204i) are executed for all i selected modalities, i ranging from 1 to n-1,

b3) l'étape suivante consiste à retrouver la valeur de s(modn) (206) à partir de ladite donnée clé connue et à partir des différentes valeurs w(modi) et d'une fonction f de partage de secret (205) afin de reconstruire le sketch s(modn) de la modalité n, puis  b3) the next step is to find the value of s (modn) (206) from said known key data and from the different values w (modi) and a secret sharing function f (205) so to reconstruct the sketch s (modn) of modality n, then

b4) mesurer la valeur bruitée de la modalité n, c'est-à-dire obtenir w'(modn) (207), cette valeur étant ensuite traitée en utilisant le sketch s(modn) (206) et le secure sketch SSn afin de retrouver la valeur w(modn), (209).  b4) measure the noise value of the modality n, that is to say obtain w '(modn) (207), this value then being processed using the skit s (modn) (206) and the secure sketch SSn so find the value w (modn), (209).

b5) à partir de cette valeur w(modn), déterminer une clé cryptographique unimodale K, (210).  b5) from this value w (modn), determine a unimodal cryptographic key K, (210).

2 - Procédé selon la revendication 1 caractérisé en ce que la phase a) d'initialisation comporte au moins les étapes suivantes : • effectuer des mesures non bruitées w(modi) (300i) et exécuter un secure sketch associé (301 i) dans sa phase d'enrôlement afin d'obtenir le sketch s(modi) (302i), 2 - Process according to claim 1 characterized in that the initialization phase a) comprises at least the following steps: • make non-noisy measurements w (modi) (300i) and execute an associated secure sketch (301 i) in its enrollment phase in order to obtain the skit s (modi) (302i),

• mémoriser les n-1 premiers sketches s(modi) dans une mémoire, · pour trouver la valeur de clé, utiliser les différentes valeurs mesurées w(modi) pour chacune des modalités, une fonction f de partage de secret et la valeur de sketch pour la modalité n : s(modn).  • memorize the first n-1 sketches s (modi) in a memory, · to find the key value, use the different measured values w (modi) for each modality, a secret sharing function f and the sketch value for the modality n: s (modn).

3 - Procédé selon la revendication 1 caractérisé en ce que le procédé utilise une fonction de partage de secret à seuil. 3 - Process according to claim 1 characterized in that the method uses a threshold secret sharing function.

4 - Procédé selon l'une des revendications précédentes caractérisé en ce que lors de la phase d'initialisation, la valeur de clé est obtenue à partir des n-1 premières modalités, du sketch s(mod_n) et du schéma de partage de secret de Shamir de la manière suivante : 4 - Method according to one of the preceding claims characterized in that during the initialization phase, the key value is obtained from the first n-1 modalities, skitch s (mod _n ) and sharing scheme of Shamir's secret as follows:

- Choisir une fonction de hachage h avec h = SHA-512.  - Choose a hash function h with h = SHA-512.

- Le secret étant S=s(mod_n), établir un seuil du partage de secret k compris entre 2 et n-1 , - Since the secret is S = s (mod _n ), establish a secret sharing threshold k between 2 and n-1,

- Choisir alors aléatoirement un polynôme f(x)= S + a-ιχ + ... + a_k-ix^k"1 - Pour chaque modalité, c'est-à-dire pour i=1 ,...,n-1 , associer le couple (h(Wi), f(h(Wi))) où w, = w(modi), - Then randomly choose a polynomial f (x) = S + a-ιχ + ... + a _k -ix ^{k "1} - For each modality, that is to say for i = 1, ..., n -1, associate the pair (h (Wi), f (h (w))) where w, = w (modi),

- Calculer pour i=1 à n-1 , Vi = h'(Wi) où h' est une fonction de hachage,  - Calculate for i = 1 to n-1, Vi = h '(Wi) where h' is a hash function,

- Dans clé, stocker f(h(w )), f(h(w_n-i)) et Vi ,...,V_n-i .. - In key, store f (h (w)), f (h (w _n- i)) and Vi, ..., V _n- i ..

5 - Procédé selon la revendication 4 caractérisé en ce que lors de la phase de correction, ledit procédé comporte au moins les étapes suivantes : 5 - Process according to claim 4 characterized in that during the correction phase, said method comprises at least the following steps:

à partir des n-1 premières modalités, retrouver en se servant des s(modi), i=1 ,...,n-1 et de la clé la valeur de s(mod_n). - Soient k modalités valides avec un seuil du partage de secret égal à k. Utiliser les Vi contenus dans clé pour trouver les modalités valides en comparant Vi au haché par h' de la donnée wi trouvée, from the first n-1 modalities, find using s (modi), i = 1, ..., n-1 and the key the value of s (mod _n ). - Let k valid modalities with a secret sharing threshold equal to k. Use the Vi contained in the key to find the valid modalities by comparing Vi to the hash by h 'of the data wi found,

- A partir de la donnée clé de la phase d'initialisation, former les couples (h(w-i ), f(h(w-i ))) , (h(Wk), f(h(Wk))) , avec les k premières modalités valides,  - From the key data of the initialization phase, form the pairs (h (wi), f (h (wi))), (h (Wk), f (h (Wk))), with the k first valid modalities,

- En utilisant l'interpolation de Lagrange avec ces couples, retrouver le polynôme f(x) et donc son ordonnée à l'origine S=s(mod_n), retrouver w(mod_n) à partir de la dernière modalité ainsi que de s(mod_n). - Using the Lagrange interpolation with these pairs, find the polynomial f (x) and thus its intercept at S = s (mod _n ), find w (mod _n ) from the last modality as well as from s (mod _n ).

6 - Procédé selon l'une des revendications précédentes caractérisé en ce qu'il utilise une fonction de hachage par exemple la fonction de hachage SHA-256 sur la donnée w(mod_n) pour obtenir la clé cryptographique K : K=SHA-256(w(mod_n)). 6 - Method according to one of the preceding claims characterized in that it uses a hash function, for example the hash function SHA-256 on the data w (mod _n ) to obtain the cryptographic key K: K = SHA-256 (w (mod _n )).

7 - Procédé selon la revendication 1 caractérisé en ce que la fonction de partage de secret est réalisée par une fonction « XOR >> lorsque l'on utilise deux modalités et en ce que les tailles de s(mod2) et w(mod1 ) sont choisies identiques. 7 - Process according to claim 1 characterized in that the secret sharing function is performed by a function "XOR" when using two modalities and in that the sizes of s (mod2) and w (mod1) are chosen identical.

8 - Dispositif pour authentifier un ou plusieurs utilisateurs ou objets, voire conjointement un ou plusieurs objets en utilisant un principe d'authentification multimodale caractérisé en ce qu'il comporte en combinaison des moyens d'exécution (600) des étapes du procédé selon l'une des revendications 1 à 7, des moyens de mesure (601 ) d'une ou plusieurs modalités associées à un ou plusieurs utilisateurs et des moyens de mémorisation (602, 603). 8 - Device for authenticating one or more users or objects, or even jointly one or more objects using a multimodal authentication principle characterized in that it comprises in combination means for executing (600) the steps of the method according to the one of claims 1 to 7, measuring means (601) of one or more modes associated with one or more users and storage means (602, 603).