Outils de cryptographie, uses cases, bonne pratiques... les experts de la CNIL et du CNRS s'associent à l'occasion d'un webinar consacré à la cryptographie.
6. Protégez les données de vos utilisateurs
avec la cryptographie
David Pointcheval
CNRS/ENS-PSL/Inria
26 avril 2021
David Pointcheval – CNRS/ENS-PSL/Inria 1/23
7. Outline
1 Cryptographie
Introduction
Chiffrement symétrique
Chiffrement asymétrique
2 Respect de la vie privée
Introduction
Preuves Zero-Knowledge
Chiffrement homomorphe
Chiffrement complètement homomorphe
Chiffrement fonctionnel
Calcul multi-parties
3 Conclusion
David Pointcheval – CNRS/ENS-PSL/Inria 2/23
8. Outline
1 Cryptographie
Introduction
Chiffrement symétrique
Chiffrement asymétrique
2 Respect de la vie privée
Introduction
Preuves Zero-Knowledge
Chiffrement homomorphe
Chiffrement complètement homomorphe
Chiffrement fonctionnel
Calcul multi-parties
3 Conclusion
David Pointcheval – CNRS/ENS-PSL/Inria 3/23
9. Chiffrement symétrique : clé commune partagée
Alice
Bob
The treasure
is under
…/...
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
10. Chiffrement symétrique : clé commune partagée
Alice
Bob
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
11. Chiffrement symétrique : clé commune partagée
Alice
Bob
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
12. Chiffrement symétrique : clé commune partagée
Alice
Bob
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
13. Chiffrement symétrique : clé commune partagée
Alice
Bob
The treasure
is under
…/...
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
14. Chiffrement symétrique : clé commune partagée
Alice
Bob
The treasure
is under
…/...
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
15. Chiffrement symétrique : clé commune partagée
Alice
Bob
The treasure
is under
…/...
Chiffrement symétrique
Alice et Bob partagent une clé secrète commune
Sécurité raisonnable, mais heuristique
Grande efficacité
Mais comment (ou pourquoi) partager un secret préalable?
David Pointcheval – CNRS/ENS-PSL/Inria 4/23
16. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
17. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
Alice
Bob
The treasure
is under
…/...
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
18. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
Alice
Bob
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
19. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
Alice
Bob
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
20. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
Alice
Bob
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
21. Chiffrement asymétrique : intuition
Confidentialité (Diffie-Hellman – 1976)
Seul le destinataire peut prendre connaissance du contenu
Aucune contrainte sur l’émetteur
Pourquoi avoir besoin d’un secret pour chiffrer un message?
Alice
Bob
The treasure
is under
…/...
David Pointcheval – CNRS/ENS-PSL/Inria 5/23
22. Chiffrement RSA
RSA = Rivest-Shamir-Adleman – 1978
Clés de Bob
Clé publique : n = p × q, exposant e
Clé privée : p et q
Algorithmes
Chiffrement pour Bob : c = me
mod n
Décryptement de c : racine e-ième modulaire
Difficile sans la factorisation du module
Déchiffrement par Bob : racine e-ième modulaire
Facile avec la factorisation du module
Recommandations : 617 chiffres (soit 2048 bits)
David Pointcheval – CNRS/ENS-PSL/Inria 6/23
23. Chiffrement RSA
RSA = Rivest-Shamir-Adleman – 1978
Clés de Bob
Clé publique : n = p × q, exposant e
Clé privée : p et q
Algorithmes
Chiffrement pour Bob : c = me
mod n
Décryptement de c : racine e-ième modulaire
Difficile sans la factorisation du module
Déchiffrement par Bob : racine e-ième modulaire
Facile avec la factorisation du module
Recommandations : 617 chiffres (soit 2048 bits)
David Pointcheval – CNRS/ENS-PSL/Inria 6/23
24. Chiffrement RSA
RSA = Rivest-Shamir-Adleman – 1978
Clés de Bob
Clé publique : n = p × q, exposant e
Clé privée : p et q
Algorithmes
Chiffrement pour Bob : c = me
mod n
Décryptement de c : racine e-ième modulaire
Difficile sans la factorisation du module
Déchiffrement par Bob : racine e-ième modulaire
Facile avec la factorisation du module
Recommandations : 617 chiffres (soit 2048 bits)
David Pointcheval – CNRS/ENS-PSL/Inria 6/23
25. Chiffrement RSA
RSA = Rivest-Shamir-Adleman – 1978
Clés de Bob
Clé publique : n = p × q, exposant e
Clé privée : p et q
Algorithmes
Chiffrement pour Bob : c = me
mod n
Décryptement de c : racine e-ième modulaire
Difficile sans la factorisation du module
Déchiffrement par Bob : racine e-ième modulaire
Facile avec la factorisation du module
Recommandations : 617 chiffres (soit 2048 bits)
David Pointcheval – CNRS/ENS-PSL/Inria 6/23
26. Cryptographie asymétrique : garanties apportées
Chiffrement = confidentialité de données
Nul ne peut apprendre un bit d’information sur m à la vue de c,
même s’il a pu demander le déchiffrement de tout chiffré c0 6= c
Signature = authentification de données
Nul ne peut générer une nouvelle signature valide,
même s’il a pu demander les signatures de messages de son choix
Sécurité prouvée
Si un adversaire peut mettre en défaut ces notions
Alors on peut résoudre un problème difficile sous-jacent
tel que le problème de la factorisation
David Pointcheval – CNRS/ENS-PSL/Inria 7/23
27. Cryptographie asymétrique : garanties apportées
Chiffrement = confidentialité de données
Nul ne peut apprendre un bit d’information sur m à la vue de c,
même s’il a pu demander le déchiffrement de tout chiffré c0 6= c
Signature = authentification de données
Nul ne peut générer une nouvelle signature valide,
même s’il a pu demander les signatures de messages de son choix
Sécurité prouvée
Si un adversaire peut mettre en défaut ces notions
Alors on peut résoudre un problème difficile sous-jacent
tel que le problème de la factorisation
David Pointcheval – CNRS/ENS-PSL/Inria 7/23
28. Cryptographie asymétrique : garanties apportées
Chiffrement = confidentialité de données
Nul ne peut apprendre un bit d’information sur m à la vue de c,
même s’il a pu demander le déchiffrement de tout chiffré c0 6= c
Signature = authentification de données
Nul ne peut générer une nouvelle signature valide,
même s’il a pu demander les signatures de messages de son choix
Sécurité prouvée
Si un adversaire peut mettre en défaut ces notions
Alors on peut résoudre un problème difficile sous-jacent
tel que le problème de la factorisation
David Pointcheval – CNRS/ENS-PSL/Inria 7/23
29. Outline
1 Cryptographie
Introduction
Chiffrement symétrique
Chiffrement asymétrique
2 Respect de la vie privée
Introduction
Preuves Zero-Knowledge
Chiffrement homomorphe
Chiffrement complètement homomorphe
Chiffrement fonctionnel
Calcul multi-parties
3 Conclusion
David Pointcheval – CNRS/ENS-PSL/Inria 8/23
30. Respect de la vie privée : besoins
Confidentialité des données
Seules les personnes légitimes ont accès aux données
En contradiction avec l’intégrité des données?
Anonymat des individus
Nul ne sait qui est connecté
En contradiction avec le contrôle d’accès?
Secret des requêtes
Nul ne connaı̂t les questions posées
En contradiction avec la pertinence des réponses?
Comment répondre à des questions?
David Pointcheval – CNRS/ENS-PSL/Inria 9/23
31. Respect de la vie privée : besoins
Confidentialité des données
Seules les personnes légitimes ont accès aux données
En contradiction avec l’intégrité des données?
Anonymat des individus
Nul ne sait qui est connecté
En contradiction avec le contrôle d’accès?
Secret des requêtes
Nul ne connaı̂t les questions posées
En contradiction avec la pertinence des réponses?
Comment répondre à des questions?
David Pointcheval – CNRS/ENS-PSL/Inria 9/23
32. Respect de la vie privée : besoins
Confidentialité des données
Seules les personnes légitimes ont accès aux données
En contradiction avec l’intégrité des données?
Anonymat des individus
Nul ne sait qui est connecté
En contradiction avec le contrôle d’accès?
Secret des requêtes
Nul ne connaı̂t les questions posées
En contradiction avec la pertinence des réponses?
Comment répondre à des questions?
David Pointcheval – CNRS/ENS-PSL/Inria 9/23
33. Respect de la vie privée : besoins
Confidentialité des données
Seules les personnes légitimes ont accès aux données
En contradiction avec l’intégrité des données?
Anonymat des individus
Nul ne sait qui est connecté
En contradiction avec le contrôle d’accès?
Secret des requêtes
Nul ne connaı̂t les questions posées
En contradiction avec la pertinence des réponses?
Comment répondre à des questions?
David Pointcheval – CNRS/ENS-PSL/Inria 9/23
34. Contrôle d’accès et anonymat
Respect de la vie privée
Pourquoi fournir son identité pour accéder à un service?
Prouver que l’on a droit à cet accès est suffisant
Inscription : le service remet un certificat personnel (et secret)
de droit d’accès
Accès au service : on prouve la possession/connaissance
d’un certificat
Peut-on prouver sa connaissance d’un certificat secret
sans révéler ce certificat (anonymat)?
David Pointcheval – CNRS/ENS-PSL/Inria 10/23
35. Contrôle d’accès et anonymat
Respect de la vie privée
Pourquoi fournir son identité pour accéder à un service?
Prouver que l’on a droit à cet accès est suffisant
Inscription : le service remet un certificat personnel (et secret)
de droit d’accès
Accès au service : on prouve la possession/connaissance
d’un certificat
Peut-on prouver sa connaissance d’un certificat secret
sans révéler ce certificat (anonymat)?
David Pointcheval – CNRS/ENS-PSL/Inria 10/23
36. Contrôle d’accès et anonymat
Respect de la vie privée
Pourquoi fournir son identité pour accéder à un service?
Prouver que l’on a droit à cet accès est suffisant
Inscription : le service remet un certificat personnel (et secret)
de droit d’accès
Accès au service : on prouve la possession/connaissance
d’un certificat
Peut-on prouver sa connaissance d’un certificat secret
sans révéler ce certificat (anonymat)?
David Pointcheval – CNRS/ENS-PSL/Inria 10/23
38. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
Je choisis une permutation sur les couleurs
David Pointcheval – CNRS/ENS-PSL/Inria 11/23
39. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
Je choisis une permutation sur les couleurs
et l’applique aux sommets
David Pointcheval – CNRS/ENS-PSL/Inria 11/23
40. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
Je choisis une permutation sur les couleurs
et l’applique aux sommets
Puis je masque les sommets
David Pointcheval – CNRS/ENS-PSL/Inria 11/23
41. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
Je communique le graphe masqué au vérifieur
David Pointcheval – CNRS/ENS-PSL/Inria 12/23
42. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
(a)
Je communique le graphe masqué au vérifieur
Le vérifieur désigne une arête (2 sommets adjacents)
David Pointcheval – CNRS/ENS-PSL/Inria 12/23
43. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
(a)
J’enlève les masques
David Pointcheval – CNRS/ENS-PSL/Inria 13/23
44. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
(a)
J’enlève les masques
Le vérifieur vérifie qu’il y a 2 couleurs différentes
David Pointcheval – CNRS/ENS-PSL/Inria 13/23
45. Preuves Zero-Knowledge
Comment prouver que je connais ce 3-coloriage,
sans le révéler?
(a)
J’enlève les masques
Le vérifieur vérifie qu’il y a 2 couleurs différentes
Il est alors convaincu. . .
David Pointcheval – CNRS/ENS-PSL/Inria 13/23
46. Preuves Zero-Knowledge
Preuves de connaissance Zero-Knowledge
Goldwasser-Micali-Rackoff –1985
Ces protocoles garantissent que
sans solution : difficile de se faire accepter
le vérifieur n’apprend aucune information sur la solution
Applications
Ces preuves ont de nombreuses applications à l’anonymat :
signature de groupe
attestations anonymes
vote électronique universellement vérifiable
etc. . .
Possibilité de révocation d’anonymat (traçabilité)
David Pointcheval – CNRS/ENS-PSL/Inria 14/23
47. Preuves Zero-Knowledge
Preuves de connaissance Zero-Knowledge
Goldwasser-Micali-Rackoff –1985
Ces protocoles garantissent que
sans solution : difficile de se faire accepter
le vérifieur n’apprend aucune information sur la solution
Applications
Ces preuves ont de nombreuses applications à l’anonymat :
signature de groupe
attestations anonymes
vote électronique universellement vérifiable
etc. . .
Possibilité de révocation d’anonymat (traçabilité)
David Pointcheval – CNRS/ENS-PSL/Inria 14/23
48. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
49. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
x1
x2
x3
xn
…
Interactivity
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
50. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
x1
x2
x3
xn
…
Interactivity
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
51. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
…
x1
x2
x3
xn
…
Interactivity
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
52. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
…
i
x1
x2
x3
xn
…
Interactivity
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
53. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
…
i
xi
x1
x2
x3
xn
…
Interactivity
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
54. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
…
i
xi
x1
x2
x3
xn
…
Interactivity
Chiffrement homomorphe
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2, et des scalaires a, b
→ chiffré de a × m1 + b × m2
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
55. Interrogation confidentielle de bases de données
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
F
…
i
xi
x1
x2
x3
xn
…
Interactivity
Chiffrement homomorphe
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2, et des scalaires a, b
→ chiffré de a × m1 + b × m2
E(xi) =
X
j
xj × E(qj), où qi = 1 et qj = 0 pour j 6= i
David Pointcheval – CNRS/ENS-PSL/Inria 15/23
56. Exécution confidentielle d’un programme
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
Pourquoi fournir ses entrées en clair à un programme?
Chiffrement complètement homomorphe Gentry – 2009
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2 → chiffré de m1 × m2
David Pointcheval – CNRS/ENS-PSL/Inria 16/23
57. Exécution confidentielle d’un programme
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
Pourquoi fournir ses entrées en clair à un programme?
Chiffrement complètement homomorphe Gentry – 2009
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2 → chiffré de m1 × m2
David Pointcheval – CNRS/ENS-PSL/Inria 16/23
58. Exécution confidentielle d’un programme
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
Pourquoi fournir ses entrées en clair à un programme?
Chiffrement complètement homomorphe Gentry – 2009
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2 → chiffré de m1 × m2
Sorties
en Clair
Entrées
en Clair
Circuit
AND
OR
NOT
OR
AND
NOT
David Pointcheval – CNRS/ENS-PSL/Inria 16/23
59. Exécution confidentielle d’un programme
Respect de la vie privée
Pourquoi révéler nos questions pour avoir des réponses?
Pourquoi fournir ses entrées en clair à un programme?
Chiffrement complètement homomorphe Gentry – 2009
A partir de chiffrés de m1 et m2 → chiffré de m1 + m2
A partir de chiffrés de m1 et m2 → chiffré de m1 × m2
Sorties
Chiffrées
Entrées
Chiffrées
Circuit
EAND
EOR
ENOT
EOR
EAND
ENOT
David Pointcheval – CNRS/ENS-PSL/Inria 16/23
60. Calculs externalisés sur des données secrètes
Entrées
Chiffrées
Entrées
Circuit
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
61. Calculs externalisés sur des données secrètes
Sorties
Chiffrées
Entrées
Chiffrées
Entrées
Circuit
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
62. Calculs externalisés sur des données secrètes
Sorties
Sorties
Chiffrées
Entrées
Chiffrées
Entrées
Circuit
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
63. Calculs externalisés sur des données secrètes
Sorties
Sorties
Chiffrées
Entrées
Chiffrées
Entrées
Circuit
Aucune information
sur les entrées/sorties
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
64. Calculs externalisés sur des données secrètes
Sorties
Sorties
Chiffrées
Entrées
Chiffrées
Entrées
Circuit
Aucune information
sur les entrées/sorties
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
Données “manipulées” chiffrées et résultat retourné chiffré
⇒ seul l’utilisateur légitime peut retrouver le résultat en clair
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
65. Calculs externalisés sur des données secrètes
Sorties
Sorties
Chiffrées
Entrées
Chiffrées
Entrées
Circuit
Aucune information
sur les entrées/sorties
EAND
EOR
ENOT
EOR
EAND
ENOT
Some Approaches
Données “manipulées” chiffrées et résultat retourné chiffré
⇒ seul l’utilisateur légitime peut retrouver le résultat en clair
Permet des recherches “google” sans révéler la question!
David Pointcheval – CNRS/ENS-PSL/Inria 17/23
66. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
67. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
68. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Name English CS Math
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Total
Name Total
Year 1
Year 2
Year 3
Name Total
3Years
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
69. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Name English CS Math
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Avg
Name Avg
Year 1
Year 2
Year 3
Name Avg
3Years
Name English CS Math
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Avg
Name Avg
Year 1
Year 2
Year 3
Name Avg
3Years
Name English CS Math
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Avg
Name Avg
Year 1
Year 2
Year 3
Name Avg
3Years
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Name English CS Math
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Total
Name Total
Year 1
Year 2
Year 3
Name Total
3Years
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
70. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Class English CS Math
Year 1
Year 2
Year 3
Class
English CS Math
Written Spoken Theory Practice Algebra Analysis
Total
Class Total
Year 1
Year 2
Year 3
Class Total
3Years
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
71. Diffusion contrôlée de données agrégées
L’accès à une base de données chiffrées doit contrôler les calculs
pour éviter la diffusion de données personnelles
⇒ contrôle d’accès “by design”
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Student
Name
English CS Math
Written Spoken Theory Practice Algebra Analysis
Year 1
Year 2
Year 3
Class English CS Math
Year 1
Year 2
Year 3
Class
English CS Math
Written Spoken Theory Practice Algebra Analysis
Total
Class Total
Year 1
Year 2
Year 3
Class Total
3Years
Pour chaque nouvelle case, v =
−
→
x ·
−
→
y
(
−
→
x = vecteur des valeurs initiales,
−
→
y = vecteur des pondérations)
David Pointcheval – CNRS/ENS-PSL/Inria 18/23
76. Chiffrement fonctionnel
Chaque clé de déchiffrement n’autorise qu’un déchiffrement agrégé
des solutions concrètes existent pour des moyennes pondérées
étend aussi Identity-Based Encryption (IBE), Attribute-Based
Encryption (ABE) et Broadcast Encryption
coût algorithmique raisonnable
David Pointcheval – CNRS/ENS-PSL/Inria 19/23
77. Chiffrement fonctionnel multi-clients
Il est également possible de combiner des sources différentes
En laissant à chacun le contrôle de la fonction calculée
David Pointcheval – CNRS/ENS-PSL/Inria 20/23
78. Chiffrement fonctionnel multi-clients
Il est également possible de combiner des sources différentes
En laissant à chacun le contrôle de la fonction calculée
David Pointcheval – CNRS/ENS-PSL/Inria 20/23
79. Chiffrement fonctionnel multi-clients
Il est également possible de combiner des sources différentes
En laissant à chacun le contrôle de la fonction calculée
f
f
David Pointcheval – CNRS/ENS-PSL/Inria 20/23
80. Chiffrement fonctionnel multi-clients
Il est également possible de combiner des sources différentes
En laissant à chacun le contrôle de la fonction calculée
f
f
f
David Pointcheval – CNRS/ENS-PSL/Inria 20/23
81. Chiffrement fonctionnel multi-clients
Il est également possible de combiner des sources différentes
En laissant à chacun le contrôle de la fonction calculée
f
f
f
f
David Pointcheval – CNRS/ENS-PSL/Inria 20/23
82. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
input
input input
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
83. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
input
input
input
input
input input
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
84. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
input
input
input
output
output
output
input
input input
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
85. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
output
output output
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
86. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
input
input input
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
87. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
input
input input
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
88. Calculs secrets entre plusieurs participants
Plusieurs individus veulent évaluer une fonction sur leurs données
secrètes, sans rien apprendre/révéler plus que le résultat
output
output output
David Pointcheval – CNRS/ENS-PSL/Inria 21/23
89. Outline
1 Cryptographie
Introduction
Chiffrement symétrique
Chiffrement asymétrique
2 Respect de la vie privée
Introduction
Preuves Zero-Knowledge
Chiffrement homomorphe
Chiffrement complètement homomorphe
Chiffrement fonctionnel
Calcul multi-parties
3 Conclusion
David Pointcheval – CNRS/ENS-PSL/Inria 22/23
90. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
91. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
92. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
93. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
94. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
95. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
96. Conclusion
La cryptographie permet d’atteindre des objectifs a priori
paradoxaux
envoyer des données secrètes sur un canal public
s’authentifier anonymement
prouver que l’on sait, sans ne rien révéler
répondre sans connaı̂tre la question
manipuler des données sans les voir
contraindre la diffusion de données sous forme agrégée
. . .
Respect de la vie privée
David Pointcheval – CNRS/ENS-PSL/Inria 23/23
97. Protégez les données de vos
utilisateurs avec la cryptographie
Amandine Jambert, CNIL
David Pointcheval, CNRS
26/04/2021
2