Je fais une étude pratique sur les systèmes de partage de secret à seuil S
parmi N.
J'ai une petite question au niveau de la facilité de mise en oeuvre vs
résistance à la tricherie.
Soit un secret en N parts, et S le nombre de parts suffisant pour le
révéler.
On veur donc que, étant données K parts présentes :
- si K < S, aucune information sur le secret ne peut en être déduite,
- si S =< K =< N, le secret s'en déduit sans ambiguïté.
Donc pour S parts, il n'y a déjà plus d'ambiguïté. Quelle est la bonne
pratique pour S < K <= N ?
- On peut mettre de côté les parts excédentaires, et travailler avec K
parts,
- On peut se forcer à faire intervenir toutes les parts présentes.
Le premier choix introduit une faille, car un usurpateur se présentant avec
une clé factice peut s'arranger (forçage humain) pour être le laissé à part,
et donc profiter des clés légitimes des autres.
Le second choix implique que pour S =< K =< N, toute part invalide fausse
complètement le résultat, dénonçant la présence d'un intrus. Ceci donc même
pour (N-1) parts valides et 1 invalide.
J'ai un peu de mal à concevoir un tel codage.
Auriez-vous des références (en ligne si possible) sur le traitement de ce
problème ?
Je fais une étude pratique sur les systèmes de partage de secret à seuil S parmi N.
J'ai une petite question au niveau de la facilité de mise en oeuvre vs résistance à la tricherie.
Soit un secret en N parts, et S le nombre de parts suffisant pour le révéler. On veur donc que, étant données K parts présentes : - si K < S, aucune information sur le secret ne peut en être déduite, - si S =< K =< N, le secret s'en déduit sans ambiguïté.
Donc pour S parts, il n'y a déjà plus d'ambiguïté. Quelle est la bonne pratique pour S < K <= N ? - On peut mettre de côté les parts excédentaires, et travailler avec K parts, - On peut se forcer à faire intervenir toutes les parts présentes.
Le premier choix introduit une faille, car un usurpateur se présentant avec une clé factice peut s'arranger (forçage humain) pour être le laissé à part, et donc profiter des clés légitimes des autres.
Le second choix implique que pour S =< K =< N, toute part invalide fausse complètement le résultat, dénonçant la présence d'un intrus. Ceci donc même pour (N-1) parts valides et 1 invalide.
Il me sembe possible d'étendre le système à seuil de Shamir pour détecter les usurpateurs - on rend le secret redondant (en y ajoutant un hash du secret); si un usurpateur fait partie du groupe de S parmis K utilisé pour reconstituer le secret, la vérification du hash va échouer. - une fois le bon secret reconstitué, il est facile de détecter les usurpateurs; ce sont ceux dont le secret partiel n'est pas un point du polynôme (ou de manière équivalente, dont l'utilisation du secret partiel fait échouer la reconstitution)
Toutefois, avec cette technique, le coût pour trouver les non usurpateurs croit rapidement avec le nombre d'usurpateurs. Il est peut-être préférable, et plus simple, que les secrets partiels soient signés avec une clé publique, et rejetés si la vérification de leur signature échoue.
Auriez-vous des références (en ligne si possible) sur le traitement de ce problème ?
Sur le secret sharing en général: Handbook of Applied Cryptography, chapitre 12. <http://www.cacr.math.uwaterloo.ca/hac>
Je fais une étude pratique sur les systèmes de partage de secret à
seuil S parmi N.
J'ai une petite question au niveau de la facilité de mise en oeuvre vs
résistance à la tricherie.
Soit un secret en N parts, et S le nombre de parts suffisant pour le
révéler.
On veur donc que, étant données K parts présentes :
- si K < S, aucune information sur le secret ne peut en être déduite,
- si S =< K =< N, le secret s'en déduit sans ambiguïté.
Donc pour S parts, il n'y a déjà plus d'ambiguïté. Quelle est la bonne
pratique pour S < K <= N ?
- On peut mettre de côté les parts excédentaires, et travailler avec K
parts,
- On peut se forcer à faire intervenir toutes les parts présentes.
Le premier choix introduit une faille, car un usurpateur se présentant avec
une clé factice peut s'arranger (forçage humain) pour être le laissé à part,
et donc profiter des clés légitimes des autres.
Le second choix implique que pour S =< K =< N, toute part invalide fausse
complètement le résultat, dénonçant la présence d'un intrus. Ceci donc même
pour (N-1) parts valides et 1 invalide.
Il me sembe possible d'étendre le système à seuil de Shamir pour détecter
les usurpateurs
- on rend le secret redondant (en y ajoutant un hash du secret); si un
usurpateur fait partie du groupe de S parmis K utilisé pour reconstituer
le secret, la vérification du hash va échouer.
- une fois le bon secret reconstitué, il est facile de détecter les
usurpateurs; ce sont ceux dont le secret partiel n'est pas un point
du polynôme (ou de manière équivalente, dont l'utilisation du secret
partiel fait échouer la reconstitution)
Toutefois, avec cette technique, le coût pour trouver les non usurpateurs
croit rapidement avec le nombre d'usurpateurs. Il est peut-être préférable,
et plus simple, que les secrets partiels soient signés avec une clé
publique, et rejetés si la vérification de leur signature échoue.
Auriez-vous des références (en ligne si possible) sur le traitement de ce
problème ?
Sur le secret sharing en général:
Handbook of Applied Cryptography, chapitre 12.
<http://www.cacr.math.uwaterloo.ca/hac>
Je fais une étude pratique sur les systèmes de partage de secret à seuil S parmi N.
J'ai une petite question au niveau de la facilité de mise en oeuvre vs résistance à la tricherie.
Soit un secret en N parts, et S le nombre de parts suffisant pour le révéler. On veur donc que, étant données K parts présentes : - si K < S, aucune information sur le secret ne peut en être déduite, - si S =< K =< N, le secret s'en déduit sans ambiguïté.
Donc pour S parts, il n'y a déjà plus d'ambiguïté. Quelle est la bonne pratique pour S < K <= N ? - On peut mettre de côté les parts excédentaires, et travailler avec K parts, - On peut se forcer à faire intervenir toutes les parts présentes.
Le premier choix introduit une faille, car un usurpateur se présentant avec une clé factice peut s'arranger (forçage humain) pour être le laissé à part, et donc profiter des clés légitimes des autres.
Le second choix implique que pour S =< K =< N, toute part invalide fausse complètement le résultat, dénonçant la présence d'un intrus. Ceci donc même pour (N-1) parts valides et 1 invalide.
Il me sembe possible d'étendre le système à seuil de Shamir pour détecter les usurpateurs - on rend le secret redondant (en y ajoutant un hash du secret); si un usurpateur fait partie du groupe de S parmis K utilisé pour reconstituer le secret, la vérification du hash va échouer. - une fois le bon secret reconstitué, il est facile de détecter les usurpateurs; ce sont ceux dont le secret partiel n'est pas un point du polynôme (ou de manière équivalente, dont l'utilisation du secret partiel fait échouer la reconstitution)
Toutefois, avec cette technique, le coût pour trouver les non usurpateurs croit rapidement avec le nombre d'usurpateurs. Il est peut-être préférable, et plus simple, que les secrets partiels soient signés avec une clé publique, et rejetés si la vérification de leur signature échoue.
Auriez-vous des références (en ligne si possible) sur le traitement de ce problème ?
Sur le secret sharing en général: Handbook of Applied Cryptography, chapitre 12. <http://www.cacr.math.uwaterloo.ca/hac>
Auriez-vous des références (en ligne si possible) sur le traitement de ce
problème ?
Sur le secret sharing en général: Handbook of Applied Cryptography, chapitre 12. <http://www.cacr.math.uwaterloo.ca/hac>
François Grieu
Merci beaucoup pour ces références. Je vais creuser encore le problème avant de reprendre cette discussion.
Donc a priori, il faut que tous les présents participent, et il faut qu'une part erronnée empêche effectivement la bonne reconstitution du secret. Je me demande dans quelle mesure cette détection est réalisable dans un contexte réduit (visual secret sharing d'ordre 5 parmi 8 pour un pattern binaire par exemple)...
Cordialement, PZB
Bonjour.
"Francois Grieu" <fgrieu@francenet.fr> a écrit dans le message de
news:fgrieu-2637AC.12340819072004@individual.net...
Auriez-vous des références (en ligne si possible) sur le traitement de
ce
problème ?
Sur le secret sharing en général:
Handbook of Applied Cryptography, chapitre 12.
<http://www.cacr.math.uwaterloo.ca/hac>
François Grieu
Merci beaucoup pour ces références.
Je vais creuser encore le problème avant de reprendre cette discussion.
Donc a priori, il faut que tous les présents participent, et il faut qu'une
part erronnée empêche effectivement la bonne reconstitution du secret.
Je me demande dans quelle mesure cette détection est réalisable dans un
contexte réduit (visual secret sharing d'ordre 5 parmi 8 pour un pattern
binaire par exemple)...
Auriez-vous des références (en ligne si possible) sur le traitement de ce
problème ?
Sur le secret sharing en général: Handbook of Applied Cryptography, chapitre 12. <http://www.cacr.math.uwaterloo.ca/hac>
François Grieu
Merci beaucoup pour ces références. Je vais creuser encore le problème avant de reprendre cette discussion.
Donc a priori, il faut que tous les présents participent, et il faut qu'une part erronnée empêche effectivement la bonne reconstitution du secret. Je me demande dans quelle mesure cette détection est réalisable dans un contexte réduit (visual secret sharing d'ordre 5 parmi 8 pour un pattern binaire par exemple)...
