[go: up one dir, main page]

FR2903258A1 - CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY - Google Patents

CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY Download PDF

Info

Publication number
FR2903258A1
FR2903258A1 FR0652749A FR0652749A FR2903258A1 FR 2903258 A1 FR2903258 A1 FR 2903258A1 FR 0652749 A FR0652749 A FR 0652749A FR 0652749 A FR0652749 A FR 0652749A FR 2903258 A1 FR2903258 A1 FR 2903258A1
Authority
FR
France
Prior art keywords
entity
equal
public key
primitive
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0652749A
Other languages
French (fr)
Inventor
David Lefranc
Herve Sibert
Marc Girault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0652749A priority Critical patent/FR2903258A1/en
Priority to PCT/FR2007/051534 priority patent/WO2008001009A1/en
Publication of FR2903258A1 publication Critical patent/FR2903258A1/en
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

L'invention concerne un système et un procédé cryptographique à clé publique pour l'authentification d'une première entité (E1) possédant une clé secrète S associée à une clé publique P par une seconde entité (E2) possédant ladite clé publique P, ladite clé secrète S appartenant à un premier ou à un deuxième groupes (G1, G2) respectivement engendrés par des premier et deuxième primitifs g, et g2 d'ordre premier q, ledit procédé comprenant les étapes suivantes:- envoi d'un défi par la seconde entité (E2) à la première entité (E1),- calcul par la première entité (E1) d'une réponse prenant en compte ledit défi et ladite clé secrète S,- envoi par la première entité (E1) de ladite réponse à la seconde entité, et- vérification de la réponse par la seconde entité (E2) à l'aide dudit défi et de la clé publique P,ladite clé publique P comportant, d'une part, une valeur publique v=e(g1, S) ou v = e(S, g2) égale à l'image par une application bilinéaire e définie sur lesdits premier et deuxième groupes (G1, G2) d'un couple d'éléments formé par la clé secrète S et le primitif appartenant à l'autre des premier et deuxième groupes (G1, G2) que celui auquel appartient la clé secrète S, et d'autre part ce primitif.A public key cryptographic system and method for authenticating a first entity (E1) having a secret key S associated with a public key P by a second entity (E2) having said public key P, said secret key S belonging to a first or a second group (G1, G2) respectively generated by first and second primitive g, and g2 of first order q, said method comprising the following steps: - sending a challenge by the second entity (E2) to the first entity (E1), - computation by the first entity (E1) of a response taking into account said challenge and said secret key S, - sending by the first entity (E1) of said response to the second entity, and- checking the response by the second entity (E2) using said challenge and the public key P, said public key P comprising, on the one hand, a public value v = e (g1, S) or v = e (S, g2) equal to the image by a bile application n is defined on said first and second groups (G1, G2) of a pair of elements formed by the secret key S and the primitive belonging to the other of the first and second groups (G1, G2) than that to which the secret key S, and on the other hand this primitive.

Description

1 Titre de l'invention Système et procédé cryptographique à clé publiqueTitle of the Invention Public Key System and Cryptographic Method

pour l'authentification d'une première entité par une seconde entité.  for authentication of a first entity by a second entity.

Domaine technique de l'invention L'invention se rapporte au domaine de la cryptographie. Plus particulièrement, celui de la cryptographie à clé publique pour l'authentification d'une première entité possédant une clé secrète associée à une clé publique par une seconde entité possédant la clé publique. A titre d'exemple, l'invention peut être utilisée pour la protection contre la fraude d'une puce électronique dans des transactions entre une application et la puce. Arrière-plan de l'invention Actuellement, les cartes à puce sont susceptibles de subir différents types de fraude. Un premier type de fraude consiste à dupliquer sans autorisation la carte, le terme clonage étant souvent utilisé pour caractériser cette opération. Un deuxième type de fraude consiste à modifier les données attachées à une carte, en particulier le montant du crédit inscrit dans la carte. Pour lutter contre ces fraudes, il est fait appel à la cryptographie, d'une part pour assurer l'authentification de la carte au moyen d'une authentification et/ou pour assurer l'authentification des données au moyen d'une signature numérique, et d'autre part pour assurer le cas échéant la confidentialité des données au moyen d'un chiffrement. De manière générale, la cryptographie met en jeu deux entités, qui sont dans le cas de l'authentification un vérificateur et un objet à vérifier, et elle peut être soit symétrique, soit asymétrique. Lorsqu'elle est symétrique (ou "à clé secrète", les deux termes étant synonymes), les deux entités partagent exactement la même information, en particulier 2903258 2 une clé secrète. Lorsqu'elle est asymétrique (ou "à clé publique", les deux termes étant synonymes) une des deux entités possède une paire de clés dont l'une est secrète et l'autre est publique; il n'y a pas de clé secrète partagée.  TECHNICAL FIELD OF THE INVENTION The invention relates to the field of cryptography. More particularly, that of public key cryptography for the authentication of a first entity having a secret key associated with a public key by a second entity having the public key. By way of example, the invention can be used for the protection against the fraud of an electronic chip in transactions between an application and the chip. BACKGROUND OF THE INVENTION Currently, smart cards are susceptible to different types of fraud. A first type of fraud involves duplicating the card without authorization, the term cloning being often used to characterize this operation. A second type of fraud consists of modifying the data attached to a card, in particular the amount of the credit entered in the card. To fight against these frauds, cryptography is used, on the one hand to ensure the authentication of the card by means of authentication and / or to authenticate the data by means of a digital signature, and on the other hand to ensure the confidentiality of the data by means of encryption. In general, cryptography involves two entities, which are in the case of authentication a verifier and an object to be verified, and it can be either symmetrical or asymmetrical. When it is symmetric (or "secret key", the two terms being synonymous), the two entities share exactly the same information, in particular a secret key. When it is asymmetric (or "public key", the two terms being synonymous) one of the two entities has a pair of keys, one of which is secret and the other is public; there is no shared secret key.

5 Les premiers mécanismes d'authentification développés en cryptographie symétrique consistent à calculer une fois pour toutes une valeur d'authentification, différente pour chaque carte, à la stocker dans la mémoire de la carte, à la lire à chaque transaction et à la vérifier en interrogeant une application du réseau apte à mettre en oeuvre la 10 transaction, où les valeurs d'authentification déjà attribuées sont soit stockées soit recalculées. Ces mécanismes assurent une protection insuffisante parce que la valeur d'authentification peut être espionnée, reproduite et rejouée frauduleusement étant donné qu'elle est toujours la même pour une carte donnée ; un fraudeur peut ainsi réaliser un clone de 15 cette carte. Pour lutter contre les clones, les mécanismes d'authentification passifs de cartes sont remplacés par des mécanismes d'authentification actifs qui peuvent en outre assurer l'intégrité des données. Le principe général des mécanismes d'authentification actifs 20 symétriques est le suivant : lors d'une authentification, la puce électronique et l'application calculent une valeur d'authentification qui est le résultat d'une fonction appliquée à une liste d'arguments déterminée à chaque authentification ; la liste d'arguments peut comprendre un aléa (l'aléa étant une donnée déterminée par l'application à chaque 25 authentification), une donnée contenue dans la puce électronique et une clé secrète connue de la puce électronique et de l'application. Lorsque la valeur d'authentification calculée par la puce électronique est identique à la valeur d'authentification calculée par l'application, la puce électronique est jugée authentique et la transaction entre la puce électronique et 30 l'application est autorisée.The first authentication mechanisms developed in symmetric cryptography consist in calculating once and for all an authentication value, different for each card, in storing it in the memory of the card, in reading it at each transaction and in verifying it in querying a network application capable of implementing the transaction, where the previously assigned authentication values are either stored or recalculated. These mechanisms provide insufficient protection because the authentication value can be spied upon, reproduced and replayed fraudulently since it is always the same for a given card; a fraudster can thus make a clone of this card. To combat clones, passive card authentication mechanisms are replaced by active authentication mechanisms that can further ensure the integrity of the data. The general principle of the symmetric active authentication mechanisms is as follows: during an authentication, the electronic chip and the application calculate an authentication value which is the result of a function applied to a given list of arguments at each authentication; the argument list may comprise a hazard (the hazard being a piece of data determined by the application at each authentication), a piece of data contained in the electronic chip and a known secret key of the electronic chip and the application. When the authentication value calculated by the electronic chip is identical to the authentication value calculated by the application, the electronic chip is deemed authentic and the transaction between the electronic chip and the application is authorized.

2903258 3 Cependant, les mécanismes à clé secrète imposent que le dispositif de vérification, en charge de l'authentification de la puce, tel que ceux présents dans un téléphone public, un terminal de paiement électronique, ou encore un portillon de transport en commun, connaisse la 5 clé secrète détenue par ladite puce. Il en découle un inconvénient majeur, à savoir que, si l'on souhaite que ledit dispositif puisse authentifier n'importe quelle puce émise en relation avec l'application, soit il doit stocker les clés secrètes de toutes les puces, soit il doit stocker une clé de base, appelée aussi clé-mère ou clé-maître, permettant de retrouver la clé 10 secrète de n'importe quelle puce. Dans les deux cas, chacun de ces dispositifs stocke suffisamment d'information pour pouvoir retrouver les clés secrètes de toutes les puces émises, et stocke donc suffisamment d'information pour pouvoir fabriquer des clones de n'importe laquelle d'entre elles. Il s'ensuit qu'une intrusion réussie contre n'importe lequel 15 des dispositifs de vérification anéantirait la sécurité de l'application dans son ensemble. Ainsi, des solutions à base de cryptographie à clé publique peuvent être préférées aux mécanismes à clé secrète. Le principe de fonctionnement de mécanismes d'authentification à clés publiques est 20 alors le suivant : la puce cherchant à s'authentifier calcule des valeurs dépendant de sa clé privée (qui est associée à sa clé publique) et d'éventuels paramètres aléatoires ; l'application vérifie ensuite la cohérence des valeurs calculées par la puce sans nécessiter la connaissance de la clé privée de la puce; seule l'utilisation de la clé 25 publique de la carte à puce est nécessaire ainsi que d'éventuels autres paramètres non secrets. Il est alors aussi envisageable que la puce s'authentifie auprès de l'application mais aussi que la puce authentifie l'application avec laquelle elle communique. Dans ce cas, le terme "authentification 30 mutuelle" est utilisé. Ce type d'authentification mutuelle se fait en 2903258 4 exécutant simultanément deux procédés d'authentification classiques où la puce et l'application intervertissent les rôles dans les deux protocoles. Les solutions les plus connues permettant de réaliser de tels mécanismes d'authentification reposent généralement sur des problèmes 5 mathématiques difficiles tels que la factorisation ou le logarithme discret, ces deux problèmes engendrent dans leur réalisation des calculs d'exponentiations modulaires, c'est à dire des calculs du type xe modn où "mod" correspond à la fonction mathématique de réduction modulaire. Ce type de calculs est à priori l'opération la plus complexe pouvant être 10 réalisée en temps raisonnable (sans hypothèse particulière sur la puissance de calcul) par une carte à puce. Cependant, au cas où l'on trouverait des algorithmes efficaces pour résoudre ces problèmes, alors ces derniers deviendraient inutilisables en cryptographie. C'est pourquoi il est indispensable de partir à la 15 recherche de problèmes mathématiques d'une autre nature et de mécanismes d'authentification utilisant ces nouveaux problèmes. Depuis quelques années, les applications bilinéaires, bien connues des mathématiciens, ont fait leur apparition dans le domaine de la cryptographie. Considérons par exemple une application f définie sur 20 l'ensemble G, xG2 dans G où G,,G, et G sont des groupes (notion mathématique). Supposons g, et g, des générateurs (ou primitifs) respectivement de G, et G2, la fonction f est dite bilinéaire de G, xG2 dans G si f(g, ,g = f(gäg,)ah. Le problème actuel lié à ces applications bilinéaires est que 25 leurs évaluations engendrent d'énormes calculs, bien plus complexes que le calcul d'une (simple) exponentiation modulaire. D'où la difficulté dans un cadre classique, de réaliser de tels calculs. De plus, les solutions existantes semblent très peu efficaces pour permettre de les utiliser pour l'authentification mutuelle.However, the secret key mechanisms require that the verification device, in charge of the authentication of the chip, such as those present in a public telephone, an electronic payment terminal, or even a public transit gate, know the secret key held by said chip. A major disadvantage is that, if it is desired that said device can authenticate any chip issued in connection with the application, or it must store the secret keys of all chips, or it must store a basic key, also called mother-key or master key, to find the secret key 10 of any chip. In both cases, each of these devices stores enough information to be able to retrieve the secret keys of all the chips issued, and thus stores enough information to be able to make clones of any of them. It follows that a successful intrusion against any of the verification devices would destroy the security of the application as a whole. Thus, solutions based on public key cryptography may be preferred over secret key mechanisms. The operating principle of public key authentication mechanisms is then as follows: the chip seeking to authenticate calculates values depending on its private key (which is associated with its public key) and possible random parameters; the application then checks the consistency of the values calculated by the chip without requiring knowledge of the private key of the chip; only the use of the public key of the smart card is necessary as well as any other non-secret parameters. It is also possible that the chip is authenticated to the application but also that the chip authenticates the application with which it communicates. In this case, the term "mutual authentication" is used. This type of mutual authentication is done simultaneously running two conventional authentication methods where the chip and the application interchange roles in both protocols. The most known solutions making it possible to carry out such authentication mechanisms are generally based on difficult mathematical problems such as factoring or discrete logarithm, these two problems generate in their realization calculations of modular exponentiations, that is to say calculations of the type xe modn where "mod" corresponds to the mathematical function of modular reduction. This type of calculation is a priori the most complex operation that can be performed in a reasonable time (without any particular assumption on computing power) by a smart card. However, if we find efficient algorithms to solve these problems, then these problems would become unusable in cryptography. Therefore, it is essential to start looking for mathematical problems of another nature and authentication mechanisms using these new problems. In recent years, bilinear applications, well known to mathematicians, have appeared in the field of cryptography. Consider, for example, an mapping f defined on the set G, xG2 in G where G ,, G, and G are groups (mathematical notion). Suppose g, and g, generators (or primitives) respectively of G, and G2, the function f is bilinear of G, xG2 in G if f (g,, g = f (gag,) ah. these bilinear applications are that their evaluations generate enormous computations, much more complex than the computation of a (simple) modular exponentiation, hence the difficulty in a classical framework of making such calculations. Existing solutions appear to be very inefficient in allowing them to be used for mutual authentication.

2903258 5 Actuellement, il existe deux schémas d'authentification utilisant les applications bilinéaires. Le premier protocole est décrit dans l'article de G. Yao, G. Wang, et Y. Wang intitulé "An Improved Identification Scheme", Progress in Computer Science and Applied Logic, Berkhauser- 5 Verlag, novembre 2003. Le second protocole est décrit dans l'article de M. Kim et K. Kim intitulé "A New Identification Scheme Based on the Bilinear Diffie-Hellman Problem", 7th Australian Conference on Information Security and Privacy, ACISP '02, pages 362 à 378, Springer-Verlag, 2002. La figure 4 illustre un tableau détaillant les caractéristiques du 10 protocole de Wang et Wang (référencé Ml) et celui de Kim et Kim (référencé M2). Chaque protocole M1 ou M2 peut être caractérisé par le nombre d'opérations mathématiques nécessaire pour réaliser une itération entre une puce électronique E101 et une application E102. Ces opérations 15 comportent le nombre de phases (référencé NP) de transfert de données, le nombre d'exponentiations (référencé NE) par un exposant de même taille que celle de l'ordre du primitif g et le nombre d'évaluations (référencé NB) d'une application bilinéaire. En effet, la première colonne du tableau indique le type de 20 protocole M1 ou M2, la deuxième colonne indique l'entité EN (c'est-à-dire, la puce E101 ou l'application E102), la troisième colonne indique le nombre d'évaluations NB d'une application bilinéaire, la quatrième colonne indique le nombre d'exponentiations NE par un exposant de même taille que celle de l'ordre de g et la cinquième colonne indique le nombre de 25 phases NP de transfert de données. On notera que les valeurs données sont des valeurs moyennes. De plus, ces valeurs sont données pour des méthodes ne réalisant pas des précalculs, qui restent une possibilité très contextuelle. Ceci permet de rendre objective et de faciliter la comparaison entre les différentes 30 méthodes.Currently, there are two authentication schemes using bilinear applications. The first protocol is described in the article by G. Yao, G. Wang, and Y. Wang titled "An Improved Identification Scheme," Progress in Computer Science and Applied Logic, Berkhauser-Verlag, November 2003. The second protocol is described in the article by Kim and K. Kim entitled "A New Identification Scheme Based on the Bilinear Diffie-Hellman Problem", 7th Australian Conference on Information Security and Privacy, ACISP '02, pages 362-378, Springer-Verlag 2002. Figure 4 illustrates a table detailing the characteristics of the Wang and Wang protocol (referenced M1) and that of Kim and Kim (M2 referenced). Each protocol M1 or M2 can be characterized by the number of mathematical operations necessary to carry out an iteration between an electronic chip E101 and an application E102. These operations comprise the number of phases (referenced NP) of data transfer, the number of exponentiations (referenced NE) by an exponent of the same size as that of the order of the primitive g and the number of evaluations (referenced NB ) a bilinear application. In fact, the first column of the table indicates the type of protocol M1 or M2, the second column indicates the entity EN (that is to say, the chip E101 or the application E102), the third column indicates the number of evaluations NB of a bilinear application, the fourth column indicates the number of exponences NE by an exponent of the same size as that of the order of g and the fifth column indicates the number of 25 phases NP of data transfer . It should be noted that the values given are average values. In addition, these values are given for methods that do not perform precalculations, which remain a very contextual possibility. This makes it possible to make the comparison between the different methods objective and easy.

2903258 6 Ces protocoles présentent des propriétés de sécurité fort intéressantes mais nécessitent en pratique beaucoup de calculs. Ceci présente un très grand frein à leur développement.These protocols have very interesting security properties but in practice require a lot of calculations. This presents a great obstacle to their development.

5 Objet et résumé de l'invention La présente invention concerne un procédé cryptographique à clé publique pour l'authentification d'une première entité possédant une clé secrète S associée à une clé publique P par une seconde entité possédant ladite clé publique P, ladite clé secrète S appartenant à un 10 premier ou à un deuxième groupes (G,,G,) respectivement engendrés par des premier et deuxième primitifs g, et g, d'ordre premier q, ledit procédé comprenant les étapes suivantes : - envoi d'un défi par la seconde entité à la première entité, - calcul par la première entité d'une réponse prenant en compte ledit défi 15 et ladite clé secrète S , - envoi par la première entité de ladite réponse à la seconde entité, et - vérification de la réponse par la seconde entité à l'aide dudit défi et de la clé publique P. Ledit procédé est remarquable en ce que ladite clé publique P 20 comporte, d'une part, une valeur publique v = e(g, , S) ou v = e(S, g,) égale à l'image par une application bilinéaire e définie sur lesdits premier et deuxième groupes (G,,G,) d'un couple d'éléments formé par la clé secrète S et le primitif appartenant à l'autre des premier et deuxième groupes (G,,G,) que celui auquel appartient la clé secrète S, et d'autre 25 part ce primitif. Ainsi, le protocole d'authentification de la présente invention permet l'utilisation d'une application bilinéaire avec un coût de calcul inférieur aux schémas existants, ce qui permet une authentification sécurisée et efficace entre les deux entités. Ce protocole trouve une 2903258 7 application très avantageuse dans l'utilisation de nouveaux procédés à l'heure actuelle jugés trop coûteux en temps de calcul. La présente invention a donc pour but de proposer une nouvelle solution afin de diminuer efficacement ce temps de calcul.OBJECT AND SUMMARY OF THE INVENTION The present invention relates to a public key cryptographic method for authenticating a first entity having a secret key S associated with a public key P by a second entity having said public key P, said key secret S belonging to a first or a second group (G 1, G 1) respectively generated by first and second primitives g, and g, of first order q, said method comprising the following steps: - sending a challenge by the second entity to the first entity, - calculation by the first entity of a response taking into account said challenge 15 and said secret key S, - sending by the first entity of said response to the second entity, and - verification of the response by the second entity using said challenge and the public key P. Said method is remarkable in that said public key P 20 comprises, on the one hand, a public value v = e (g, S) or v = e (S, g,) equal to the image by a bilinear application e defined on said first and second groups (G ,, G,) of a pair of elements formed by the secret key S and the primitive belonging to the other of the first and second groups (G ,, G,) than the one to which the secret key S belongs, and on the other hand this primitive. Thus, the authentication protocol of the present invention allows the use of a bilinear application with a calculation cost lower than existing schemas, which allows secure and efficient authentication between the two entities. This protocol finds a very advantageous application in the use of new processes currently considered too expensive in computing time. The present invention therefore aims to propose a new solution to effectively reduce this computing time.

5 Avantageusement, ladite clé publique P comporte en outre des paramètres publics identiques pour toute première entité, lesdits paramètres publics comprenant un premier paramètre égal au premier primitif gä un deuxième paramètre égal au deuxième primitif g2, et un troisième paramètre v = e(g,,g2) égal à l'image par ladite application 10 bilinéaire e desdits premier et deuxième primitifs g, et g2 . Le fait de fixer ces paramètres de manière universelle et de les publier permet de simplifier les calculs. Selon un mode de réalisation, le procédé selon l'invention comprend les étapes suivantes : 15 -choix par la première entité d'un premier nombre naturel r, -envoi par la première entité à la seconde entité d'une première valeur W =e(g,,g,)' égale à l'image par l'application bilinéaire e du couple (g,,g_) formé par lesdits premier et deuxième primitifs portée à la puissance dudit premier nombre naturel r, 20 -choix par la seconde entité d'un second nombre naturel c définissant ledit défi, - envoi dudit second nombre naturel c à la première entité, -calcul par la première entité d'une seconde valeur Y = g,rS` ou Y = g, S` définissant ladite réponse, ladite seconde valeur étant égale au produit 25 entre un premier terme g' ou g,r, et un second terme S`, ledit premier terme g; ou g; étant égal au primitif appartenant au même groupe que celui de la clé secrète porté à la puissance dudit premier nombre naturel r, et ledit second terme S` étant égal à la clé secrète S portée à la puissance dudit second nombre naturel c, 2903258 8 -envoi de ladite seconde valeur Y à la seconde entité, et -vérification par la seconde entité si l'image e(g,,Y) ou e(Y,g,) par l'application bilinéaire e du couple formé par ledit primitif appartenant à l'autre des premier et deuxième groupes (G,,G,) et ladite seconde valeur 5 Y est égale au produit Wv` entre ladite première valeur W et ladite clé publique v portée à la puissance dudit second nombre naturel c . Ainsi, la validation ou la non-validation de l'étape de vérification permet de considérer que l'authentification est réussie ou non réussie respectivement. Dans l'un ou l'autre des cas, les opérations de calcul entre 10 les première et seconde entités peuvent être réalisées avec seulement une évaluation d'application linéaire, quatre exponentiations et trois phases de transfert, ce qui représente un coût de calcul global inférieur aux schémas actuels d'authentification. Avantageusement, ladite première valeur W = e(g,,g, )r et/ou 15 ledit premier terme gz ou g; sont précalculés. Ceci permet de rendre plus rapide l'exécution en ligne du protocole, puisque les premières valeurs ont déjà pu être calculées hors ligne. Selon une particularité de l'invention, lesdites étapes sont 20 réitérées un nombre prédéterminé de fois de manière parallèle ou séquentielle. Ainsi, la sécurité de l'authentification est augmentée. Selon une variante, les premier et deuxième groupes (G,,G,) sont égaux et comportent un primitif commun g les primitifs g, et g, étant alors tout deux égaux à g . Ceci permet de réduire le nombre de 25 données à publier. L'invention vise aussi un système cryptographique à clé publique comportant une première entité possédant une clé secrète S associée à une clé publique P et une seconde entité possédant ladite clé 2903258 9 publique P, ledit système étant adapté pour la mise en oeuvre du procédé cryptographique selon au moins l'une des caractéristiques ci-dessus. L'invention vise également une carte à puce électronique adaptée pour la mise en oeuvre du procédé cryptographique selon au 5 moins l'une des caractéristiques ci-dessus. L'invention vise aussi un programme informatique téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par une puce électronique, comprenant des instructions de codes pour l'exécution des étapes du 10 procédé cryptographique selon au moins l'une des caractéristiques ci- dessus, lorsqu'il est exécuté sur un ordinateur ou une puce électronique. Brève description des dessins D'autres particularités et avantages de l'invention ressortiront à 15 la lecture de la description faite, ci-après, à titre indicatif mais non limitatif, en référence aux dessins annexés, sur lesquels : -la figure 1 illustre schématiquement un système cryptographique à clé publique comportant une première entité et une seconde entité, selon l'invention ; 20 -la figure 2 illustre un tableau détaillant les caractéristiques du procédé cryptographique selon l'invention ; -la figure 3 est un exemple illustrant de manière schématique les principales étapes de l'authentification de la première entité par la seconde entité ; et 25 la figure 4 illustre un tableau détaillant les caractéristiques des procédés cryptographiques selon l'art antérieur. Description détaillée de modes de réalisation 2903258 10 Conformément à l'invention, la figure 1 illustre de manière schématique un système cryptographique à clé publique comportant une première entité El et une seconde entité E2. La première entité El et la seconde entité E2 peuvent être 5 reliés entre elles par l'intermédiaire d'une ligne de communication 3 par contact ou à distance ou via un réseau de communication. La première entité El peut être un objet à vérifier tel qu'une puce électronique d'une carte de téléphone, carte de crédit ou titre de transport. La seconde entité E2 peut être une application ou un dispositif 10 de vérification, en charge de l'authentification de la première entité El, tel que ceux présents dans un téléphone public, un terminal de paiement électronique ou un portillon de transport en commun. La première entité El possède une clé publique P ainsi qu'une clé secrète S associée à cette clé publique P, et la seconde entité E2 15 possède la clé publique P. La clé secrète S appartient à un premier ou à un deuxième groupes (G,,G,) respectivement engendrés par des premier et deuxième générateurs ou primitifs g, et g2 d'ordre y, où y est un nombre premier de préférence grand (par exemple q > 2160 ) 20 En effet, on suppose l'existence d'une application bilinéaire e définie sur G1 xG2 et à valeur dans un troisième groupe G, de sorte que les groupes G, et G, sont respectivement engendrés par les éléments g, et g2 d'ordre q (c'est-à- dire e(g;,g;)=e(g1,g,Y) pour tout a et tout b). Conformément à l'invention, la clé publique P comporte d'une 25 part une valeur publique v égale à l'image par l'application bilinéaire e définie sur les premier et deuxième groupes (G1,G2) d'un couple d'éléments formé par la clé secrète S et le primitif appartenant à l'autre des premier et deuxième groupes (G,,G,) que celui auquel appartient la 2903258 11 clé secrète 5(c'est-à-dire v = e(g,, S) ou v = e(S, g2) et d'autre part, ce primitif (c'est-à-dire g, ou g, respectivement). Plus particulièrement, la clé publique peut correspondre à un quadruplet comportant trois paramètres en plus de la valeur publique 5 v = e(g, , S) ou v = e(S, g,) . A titre d'exemple, le premier paramètre est égal au premier primitif g, , le deuxième paramètre est égal au deuxième primitif g2 et le troisième paramètre v = e(g,, g,) est égal à l'image par l'application bilinéaire e des premier et deuxième primitifs g, et g2. Autrement dit, la clé publique P peut être constituée d'un quadruplet de 10 la forme (g1,g2,e(g,,g2), v=e(g,,S)) ou (g,,g,,e(gl,g2), v=e(S,g2)) Avantageusement, les premier g!, deuxième g2, et troisième v = e(gä g,) paramètres publics sont identiques pour toute première entité El. Ainsi, les variables ou paramètres g, , g, et e(g,, g,) peuvent 15 être fixées "universellement", c'est-à-dire qu'elles sont fixées égales pour tous les acteurs du protocole et publiées comme paramètres universels du protocole. Dans ce cas la clé publique, propre à chaque entité, est alors réduite à v = e(g, ,S' ) ou v = e(S, g, ) On notera que la figure 1 est également une illustration des 20 principales étapes du procédé cryptographique selon l'invention pour l'authentification de la première entité El (entité à vérifier) par la seconde entité E2 (entité vérificatrice). En effet, afin de vérifier l'authenticité de la première entité El, la seconde entité E2 envoie (étape N4) un défi à cette dernière. En 25 recevant ce défi, la première entité El calcule (étape N5) une réponse qui prend en compte le défi et la clé secrète S. A l'étape N6, la première entité El envoi cette réponse à la seconde entité E2.Advantageously, said public key P further comprises identical public parameters for any first entity, said public parameters comprising a first parameter equal to the first primitive g a second parameter equal to the second primitive g2, and a third parameter v = e (g, , g2) equal to the image by said bilinear application e of said first and second primitives g, and g2. Setting these parameters universally and publishing them simplifies calculations. According to one embodiment, the method according to the invention comprises the following steps: -choice by the first entity of a first natural number r, -send by the first entity to the second entity of a first value W = e (g ,, g)) 'equal to the image by the bilinear application e of the pair (g ,, g_) formed by said first and second primitives brought to the power of said first natural number r, 20 -choice by the second entity of a second natural number c defining said challenge, - sending said second natural number c to the first entity, - calculating by the first entity a second value Y = g, rS` or Y = g, S` defining said response, said second value being equal to the product between a first term g 'or g, r, and a second term S`, said first term g; or g; being equal to the primitive belonging to the same group as that of the secret key brought to the power of said first natural number r, and said second term S` being equal to the secret key S brought to the power of said second natural number c, 2903258 8 - sending said second value Y to the second entity, and -checking by the second entity if the image e (g, Y) or e (Y, g) by the bilinear application e of the pair formed by said primitive belonging to to the other of the first and second groups (G ,, G,) and said second value Y is equal to the product Wv` between said first value W and said public key v brought to the power of said second natural number c. Thus, the validation or the non-validation of the verification step makes it possible to consider that the authentication is successful or not successful respectively. In either case, the calculation operations between the first and second entities can be performed with only one linear application evaluation, four exponentiations and three transfer phases, which represents a global computational cost. less than the current authentication schemes. Advantageously, said first value W = e (g, g,) r and / or said first term gz or g; are precalculated. This makes the online execution of the protocol faster, since the first values have already been calculated offline. According to a feature of the invention, said steps are repeated a predetermined number of times in parallel or sequential manner. Thus, the security of the authentication is increased. According to a variant, the first and second groups (G 1, G 1) are equal and comprise a common primitive g the primitives g, and g, then being both equal to g. This reduces the number of data to be published. The invention also relates to a public key cryptosystem comprising a first entity having a secret key S associated with a public key P and a second entity having said public key P, said system being adapted for implementing the cryptographic method according to at least one of the above features. The invention also relates to an electronic chip card adapted for implementing the cryptographic method according to at least one of the above characteristics. The invention also relates to a computer program downloadable from a communication network and / or stored on a computer readable medium and / or executable by an electronic chip, comprising code instructions for executing the steps of the cryptographic method according to unless one of the above features, when executed on a computer or an electronic chip. BRIEF DESCRIPTION OF THE DRAWINGS Other features and advantages of the invention will emerge from a reading of the description given below, by way of indication but without limitation, with reference to the appended drawings, in which: FIG. 1 schematically illustrates a public key cryptosystem comprising a first entity and a second entity, according to the invention; FIG. 2 illustrates a table detailing the characteristics of the cryptographic method according to the invention; FIG. 3 is an example schematically illustrating the main steps of the authentication of the first entity by the second entity; and FIG. 4 illustrates a table detailing the characteristics of the cryptographic methods according to the prior art. DETAILED DESCRIPTION OF EMBODIMENTS In accordance with the invention, Figure 1 schematically illustrates a public key cryptosystem having a first entity El and a second entity E2. The first entity El and the second entity E2 can be interconnected via a communication line 3 by contact or remotely or via a communication network. The first entity El can be an object to check such as a chip of a phone card, credit card or ticket. The second entity E2 may be an application or a verification device 10, in charge of the authentication of the first entity El, such as those present in a public telephone, an electronic payment terminal or a transit gate. The first entity El has a public key P and a secret key S associated with this public key P, and the second entity E2 has the public key P. The secret key S belongs to a first group or a second group (G ,, G,) respectively generated by first and second generators or primitives g, and g2 of order y, where y is a prime number preferably large (for example q> 2160) 20 Indeed, we assume the existence of a bilinear mapping e defined on G1 xG2 and with a value in a third group G, so that the groups G, and G, are respectively generated by the elements g, and g2 of order q (that is to say e (g;, g;) = e (g1, g, Y) for all a and all b). According to the invention, the public key P comprises on the one hand a public value v equal to the image by the bilinear application e defined on the first and second groups (G1, G2) of a pair of elements. formed by the secret key S and the primitive belonging to the other of the first and second groups (G ,, G,) than that to which the secret key 5 belongs (i.e. v = e (g, , S) or v = e (S, g2) and on the other hand, this primitive (i.e., g, or g, respectively), More particularly, the public key may correspond to a quadruplet having three parameters in addition to the public value 5 v = e (g,, S) or v = e (S, g), for example, the first parameter is equal to the first primitive g, the second parameter is equal to second primitive g2 and the third parameter v = e (g ,, g,) is equal to the image by the bilinear application e of the first and second primitives g, and g2, that is, the public key P may be of a quadruplet of the form (g1, g2, e (g1, g2), v = e (g ,, S)) or (g ,, g ,, e (g1, g2), v = e (S, g2)) Advantageously, the first g !, second g2, and third v = e (g g), public parameters are identical for any first entity El. Thus, the variables or parameters g,, g, and e ( g ,, g,) can be set "universally", i.e. they are set equal for all protocol actors and published as universal parameters of the protocol. In this case, the public key, specific to each entity, is then reduced to v = e (g, S ') or v = e (S, g). It will be noted that FIG. 1 is also an illustration of the main steps. the cryptographic method according to the invention for the authentication of the first entity El (entity to be verified) by the second entity E2 (audit entity). Indeed, in order to verify the authenticity of the first entity El, the second entity E2 sends (step N4) a challenge to the latter. Upon receiving this challenge, the first entity El calculates (step N5) a response that takes into account the challenge and the secret key S. In step N6, the first entity El sends this response to the second entity E2.

2903258 12 A la réception de la réponse, la seconde entité E2 vérifie (étape N7) cette réponse à l'aide du défi et de la clé publique P. La figure 2 illustre un tableau détaillant les caractéristiques du protocole selon le schéma d'authentification de la présente invention.On receiving the response, the second entity E2 checks (step N7) this response using the challenge and the public key P. FIG. 2 illustrates a table detailing the characteristics of the protocol according to the authentication scheme of the present invention.

5 Ce tableau indique que pour la première entité El le nombre d'évaluations NB d'une application bilinéaire est égal à zéro , le nombre d'exponentiations NE par un exposant de même taille que celle de l'ordre du primitif g est égal à trois . En outre, ce tableau indique que pour la seconde entité E2 le nombre d'évaluations NB d'une application bilinéaire 10 est égal à un , le nombre d'exponentiations NE par un exposant de même taille que celle de l'ordre de g est égal à un . Le tableau indique également que le nombre de phases NP de transfert de données entre la première entité El et la seconde entité E2 est égal à trois . Ainsi, ce tableau montre que le nombre moyen d'opérations 15 pour une itération entre la première entité El et la seconde entité E2 peut être réalisé avec seulement une évaluation d'application linéaire, quatre exponentiations et trois phases de transfert, ce qui représente un coût de calcul global inférieur aux schémas d'authentification de l'art antérieur (voir figure 4). En particulier, on notera que le nombre global 20 d'exponentiations (qui nécessitent beaucoup de temps de calcul) est petit par rapport à cet art antérieur. La figure 3 est un exemple illustrant les principales étapes de l'authentification de la première entité El par la seconde entité E2. A l'étape N11, la première entité El choisit un premier nombre 25 naturel r . Ce nombre naturel r est avantageusement choisi de manière aléatoire parmi les entiers strictement inférieurs à l'ordre premier q du primitif g, ou g, (c'est-à-dire 0<r <q). La première entité El calcule alors une première valeur W = e(g, ,g2) égale à l'image par l'application bilinéaire e du couple (g,,g,) formé par les premier et deuxième primitifs 2903258 13 portée à la puissance du premier nombre naturel r . Avantageusement, la première valeur W = e(g,, g,) peut être précalculée. A l'étape N12, la première entité El envoie cette première valeur W = e(g,, g2) à la seconde entité E2.This table indicates that for the first entity E the number of NB evaluations of a bilinear application is equal to zero, the number of exponents NE by an exponent of the same size as that of the order of the primitive g is equal to three. In addition, this table indicates that for the second entity E2 the number of NB evaluations of a bilinear application 10 is equal to one, the number of exponences NE by an exponent of the same size as that of the order of g is equal to one. The table also indicates that the number of data transfer phases NP between the first entity El and the second entity E2 is equal to three. Thus, this table shows that the average number of operations for an iteration between the first entity El and the second entity E2 can be achieved with only a linear application evaluation, four exponentiations and three transfer phases, which represents a overall computation cost lower than the authentication schemes of the prior art (see FIG. 4). In particular, it will be noted that the overall number of exponentiations (which require a great deal of computing time) is small compared with this prior art. FIG. 3 is an example illustrating the main steps of the authentication of the first entity El by the second entity E2. In step N11, the first entity El chooses a first natural number r. This natural number r is advantageously chosen randomly from the integers strictly smaller than the first order q of the primitive g, or g, (that is to say 0 <r <q). The first entity El then calculates a first value W = e (g,, g2) equal to the image by the bilinear application e of the pair (g ,, g,) formed by the first and second primitives 2903258 13 brought to the power of the first natural number r. Advantageously, the first value W = e (g ,, g) can be precalculated. In step N12, the first entity El sends this first value W = e (g1, g2) to the second entity E2.

5 Alors, à l'étape N13, la seconde entité E2 choisit un second nombre naturel c définissant un défi ou une question (voir étape N3 de la figure 1). Ce second nombre naturel c peut être choisi dans un intervalle d'entier [0,2k[ où k est une valeur qui dépend de la valeur publique v = e(g,, S) ou v = e(S, g,). On notera que plus k est grand et moins il y 10 a de risques que le système cryptographique soit "cassé". A l'étape N14, la seconde entité E2 envoie ce second nombre naturel c à la première entité El. A l'étape N15, après la réception de ce second nombre naturel c, la première entité El calcule une seconde valeur Y = g;S`ou Y = 15 définissant la réponse au défi (voir étape N5 de la figure 1). Cette seconde valeur est égale au produit entre un premier terme g; ou g; , et un second terme S` . Le premier terme g; ou g; est égal au primitif appartenant au même groupe que celui de la clé secrète porté à la puissance du premier nombre naturel r . Le second terme S` est égal à la 20 clé secrète S portée à la puissance du second nombre naturel c. Avantageusement, le premier terme g; ou g; peut être précalculé. A l'étape N16, la première entité El envoie cette seconde valeur Yà la seconde entité E2. Enfin, à l'étape N17, la seconde entité vérifie si l'image 25 e(g,,Y) ou e(Y,g2) par l'application bilinéaire e du couple formé par le primitif appartenant à l'autre des premier et deuxième groupes (G,. G2) et la seconde valeur Y est égale au produit Wvc entre la première valeur 2903258 14 W et la clé publique v portée à la puissance du second nombre naturel c (c'est-à-dire, e(g,, Y) = Wvc ou respectivement e(Y, g,) = Wvc) . Ainsi, si l'égalité est vérifiée, l'authentification de la première entité El est validée. Par contre, si l'égalité n'est pas vérifiée, 5 l'authentification n'est pas validée. On notera que les étapes ci-dessus peuvent être réitérées un nombre prédéterminé de fois. En effet, lorsque l'égalité de l'étape N17 est vérifiée, l'ensemble des étapes N11 à N17 est validé, et les première et seconde entités El et 10 E2 commencent une nouvelle exécution de ces étapes. Il est aussi possible d'exécuter plusieurs fois ces étapes de manière parallèle, en exécutant simultanément un ensemble de ces étapes Nil à N17. En effet, dans le cas parallèle, l'ensemble des valeurs calculées durant une des exécutions parallèles n'est pas nécessaire à une 15 autre des exécutions parallèles. Dans ce cas, l'ensemble des exécutions se poursuit. Ainsi, les étapes N11 à N17 peuvent être réitérées un nombre prédéterminé de fois de manière parallèle ou séquentielle. Dans les deux cas, l'authentification est réussie lorsque l'égalité de l'étape N17 a été 20 vérifiée le nombre déterminé de fois, sans qu'il y ait eu une exécution dans laquelle elle n'ait pas été vérifiée. Cet exemple montre que la clé secrète S peut appartenir au premier groupe G, ou au deuxième groupe G2. Lorsqu'on choisit la clé secrète S dans le deuxième groupe G2, la valeur publique v est égale à 25 e(g,, S). En revanche, lorsqu'on choisit la clé secrète S dans le premier groupe G1, la valeur publique v est égale à e(S, g2). On notera que les premier et deuxième groupes (G,. G2) peuvent être choisis égaux ou distincts.Then, in step N13, the second entity E2 chooses a second natural number c defining a challenge or a question (see step N3 of FIG. 1). This second natural number c can be chosen in an interval of integer [0,2k [where k is a value which depends on the public value v = e (g ,, S) or v = e (S, g,). It should be noted that the larger the k, the less likely it is that the cryptographic system will be "broken". In step N14, the second entity E2 sends this second natural number c to the first entity El. In step N15, after the reception of this second natural number c, the first entity El calculates a second value Y = g; S y Y = 15 defining the answer to the challenge (see step N5 of Figure 1). This second value is equal to the product between a first term g; or g; , and a second term S`. The first term g; or g; is equal to the primitive belonging to the same group as that of the secret key brought to the power of the first natural number r. The second term S` is equal to the secret key S brought to the power of the second natural number c. Advantageously, the first term g; or g; can be precalculated. In step N16, the first entity El sends this second value Y to the second entity E2. Finally, in step N17, the second entity checks whether the image 25 e (g ,, Y) or e (Y, g2) by the bilinear application e of the pair formed by the primitive belonging to the other of the first and second groups (G1, G2) and the second value Y is equal to the product Wvc between the first value 2903258 14 W and the public key v brought to the power of the second natural number c (i.e. (g ,, Y) = Wvc or respectively e (Y, g,) = Wvc). Thus, if the equality is verified, the authentication of the first entity El is validated. On the other hand, if the equality is not verified, the authentication is not validated. Note that the above steps can be repeated a predetermined number of times. Indeed, when the equality of step N17 is verified, the set of steps N11 to N17 is validated, and the first and second entities E1 and E2 start a new execution of these steps. It is also possible to execute these steps several times in parallel manner, simultaneously executing a set of these steps Nil to N17. In fact, in the parallel case, the set of values calculated during one of the parallel executions is not necessary for another of the parallel executions. In this case, all executions continue. Thus, steps N11 to N17 can be repeated a predetermined number of times in parallel or sequential manner. In both cases, the authentication is successful when the equality of the step N17 has been checked the specified number of times, without there having been an execution in which it has not been verified. This example shows that the secret key S can belong to the first group G, or to the second group G2. When choosing the secret key S in the second group G2, the public value v is equal to 25 e (g ,, S). On the other hand, when the secret key S is chosen in the first group G1, the public value v is equal to e (S, g2). It should be noted that the first and second groups (G 1, G 2) can be chosen equal or distinct.

2903258 15 En effet, pour des choix de clés de taille standard, il est facile de trouver un groupe tel que, en prenant G, et G2 égaux à ce même groupe, les calculs soient efficaces. Dans ce cas, il est avantageux de choisir le premier groupe G, égal au deuxième groupe G2 (G, =G2) et 5 comportant un primitif commun g. Les primitifs g, et g2 sont alors tout deux égaux à g. Ceci permet de réduire le nombre de données à publier. En revanche, pour des choix de clés de taille élevée, il est difficile dans l'état des connaissances actuel de trouver un groupe tel que, en prenant GI et G2 égaux à ce même groupe, les calculs soient 10 efficaces. Il est donc dans ce cas plus avantageux de prendre deux groupes distincts. L'invention vise aussi un programme informatique téléchargeable depuis un réseau de communication comprenant des instructions de codes pour l'exécution des étapes du procédé 15 cryptographique selon l'invention lorsqu'il est exécuté sur un ordinateur, un microprocesseur ou une puce électronique. Ce programme informatique peut être stocké sur un support lisible par ordinateur. Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de 20 code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur 25 tel que mentionné ci-dessus. Le support d'informations peut être n'importe quel objet ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen 2903258 16 d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur. D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être 5 acheminé via uncâble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet. Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté 10 pour exécuter ou pour être utilisé dans l'exécution du procédé en question. L'invention vise également une carte à puce électronique pouvant comprendre de manière classique une unité de traitement, une mémoire, une unité d'entrée et une unité de sortie et adaptée pour la 15 mise en oeuvre du procédé cryptographique selon l'invention.Indeed, for choices of keys of standard size, it is easy to find a group such that, taking G, and G2 equal to the same group, the calculations are effective. In this case, it is advantageous to choose the first group G equal to the second group G2 (G1 = G2) and having a common primitive g. The primitives g, and g2 are then both equal to g. This reduces the number of data to be published. On the other hand, for high key choices, it is difficult in the current state of knowledge to find a group such that, taking GI and G2 equal to that same group, the calculations are effective. It is therefore in this case more advantageous to take two distinct groups. The invention also relates to a computer program downloadable from a communication network comprising code instructions for executing the steps of the cryptographic method according to the invention when it is executed on a computer, a microprocessor or an electronic chip. This computer program can be stored on a computer readable medium. This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any another desirable form. The invention is also directed to a computer-readable information carrier having instructions of a computer program as mentioned above. The information carrier may be any object or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a diskette (floppy disc) or a hard disc. On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electric or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet type network. Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question. The invention also relates to an electronic chip card which can conventionally comprise a processing unit, a memory, an input unit and an output unit and adapted for implementing the cryptographic method according to the invention.

Claims (9)

REVENDICATIONS 1. Procédé cryptographique à clé publique pour l'authentification d'une première entité (El) possédant une clé secrète S associée à une clé publique P par une seconde entité (E2) possédant ladite clé publique P, ladite clé secrète S appartenant à un premier ou à un deuxième groupes (G,, G2) respectivement engendrés par des premier et deuxième primitifs g, et g2 d'ordre premier q, ledit procédé comprenant les étapes suivantes: -envoi d'un défi par la seconde entité (E2) à la première entité (El), -calcul par la première entité (El) d'une réponse prenant en compte ledit défi et ladite clé secrète s, - envoi par la première entité (El) de ladite réponse à la seconde entité, et - vérification de la réponse par la seconde entité (E2) à l'aide dudit défi et de la clé publique P, ledit procédé étant caractérisé en ce que ladite clé publique P comporte, d'une part, une valeur publique v= e(g,, S) ou v = e(S, g,) égale à l'image par une application bilinéaire e définie sur lesdits premier et deuxième groupes (G,, G,) d'un couple d'éléments formé par la clé secrète S et le primitif appartenant à l'autre des premier et deuxième groupes (G,, G2) que celui auquel appartient la clé secrète S, et d'autre part ce primitif.  A public key cryptographic method for authenticating a first entity (El) having a secret key S associated with a public key P by a second entity (E2) having said public key P, said secret key S belonging to a first or second groups (G 1, G 2) respectively generated by first and second primitive g, and g 2 of prime order q, said method comprising the following steps: sending a challenge by the second entity (E 2) at the first entity (E1), - calculating by the first entity (E1) a response taking into account said challenge and said secret key s - sending by the first entity (E1) of said response to the second entity, and verification of the response by the second entity (E2) using said challenge and the public key P, said method being characterized in that said public key P comprises, on the one hand, a public value v = e ( g ,, S) or v = e (S, g,) equal to the image by an app bilinear equation e defined on said first and second groups (G 1, G 2) of a pair of elements formed by the secret key S and the primitive belonging to the other of the first and second groups (G 1, G 2) that the one to which the secret key S belongs, and on the other hand that primitive. 2. Procédé selon la revendication 1, caractérisé en ce que ladite clé publique P comporte en outre des paramètres publics identiques pour toute première entité, lesdits paramètres publics comprenant un premier paramètre égal au premier primitif g, , un deuxième paramètre égal au deuxième primitif g,, et un troisième paramètre v=e(g,,g,) égal à 2903258 18 l'image par ladite application bilinéaire e desdits premier et deuxième primitifs g, , g2.  2. Method according to claim 1, characterized in that said public key P further comprises identical public parameters for any first entity, said public parameters comprising a first parameter equal to the first primitive g, a second parameter equal to the second primitive g , and a third parameter v = e (g ,, g) equal to the image by said bilinear application e of said first and second primitives g,, g2. 3. Procédé selon la revendication 1 ou la revendication 2, caractérisé en ce 5 qu'il comprend les étapes suivantes : -choix par la première entité (El) d'un premier nombre naturel r, -envoi par la première entité (E1) à la seconde entité (E2) d'une première valeur W = e(g,, g2) égale à l'image par l'application bilinéaire e du couple (g, , g2) formé par lesdits premier et deuxième primitifs portée à la 10 puissance dudit premier nombre naturel r, -choix par la seconde entité (E2) d'un second nombre naturel c définissant ledit défi, -envoi dudit second nombre naturel c à la première entité (El), -calcul par la première entité (El) d'une seconde valeur Y = g;S` ou 15 Y = g; S' définissant ladite réponse, ladite seconde valeur étant égale au produit entre un premier terme g2 ou g; , et un second terme S`, ledit premier terme g; ou g; étant égal au primitif appartenant au même groupe que celui de la clé secrète porté à la puissance dudit premier nombre naturel r, et ledit second terme S` étant égal à la clé secrète S 20 portée à la puissance dudit second nombre naturel c, - envoi de ladite seconde valeur Y à la seconde entité (E2), et - vérification par la seconde entité (E2) si l'image e(gi, Y) ou e(Y, g2) par l'application bilinéaire e du couple formé par ledit primitif appartenant à l'autre des premier et deuxième groupes (G1, G2) et ladite seconde valeur 25 Y est égale au produit WV` entre ladite première valeur W et ladite clé publique v portée à la puissance dudit second nombre naturel c. 2903258 19  3. Method according to claim 1 or claim 2, characterized in that it comprises the following steps: -choice by the first entity (El) of a first natural number r, -send by the first entity (E1) at the second entity (E2) of a first value W = e (g1, g2) equal to the image by the bilinear application e of the pair (g, g2) formed by said first and second primitives brought to the 10 power of said first natural number r, -choice by the second entity (E2) of a second natural number c defining said challenge, -sending of said second natural number c to the first entity (El), -calculated by the first entity ( El) of a second value Y = g; S` or Y = g; S 'defining said response, said second value being equal to the product between a first term g2 or g; , and a second term S`, said first term g; or g; being equal to the primitive belonging to the same group as that of the secret key brought to the power of said first natural number r, and said second term S` being equal to the secret key S 20 brought to the power of said second natural number c, - sending from said second value Y to the second entity (E2), and - checking by the second entity (E2) if the image e (gi, Y) or e (Y, g2) by the bilinear application e of the pair formed by said primitive belonging to the other of the first and second groups (G1, G2) and said second value Y is equal to the product WV` between said first value W and said public key v brought to the power of said second natural number c. 2903258 19 4. Procédé selon la revendication 3, caractérisé en ce que ladite première valeur W = e(g, ,g, ) et/ou ledit premier terme g, ou g; sont précalculés.  4. Method according to claim 3, characterized in that said first value W = e (g,, g,) and / or said first term g, or g; are precalculated. 5. Procédé selon la revendication 3 ou 4, caractérisé en ce que lesdites 5 étapes sont réitérées un nombre prédéterminé de fois de manière parallèle ou séquentielle.  5. Method according to claim 3 or 4, characterized in that said five steps are repeated a predetermined number of times in parallel or sequential manner. 6. Procédé selon l'une quelconque des revendications 1 à 5, caractérisé en ce que les premier et deuxième groupes (G,, G2) sont égaux et 10 comportent un primitif commun g, les primitifs g, et g, étant alors tout deux égaux à g.  6. Process according to any one of claims 1 to 5, characterized in that the first and second groups (G 1, G 2) are equal and 10 have a common primitive g, the primitives g and g being then both equal to g. 7. Système cryptographique à clé publique comportant une première entité possédant une clé secrète S associée à une clé publique Pet une 15 seconde entité possédant ladite clé publique P, ledit système étant adapté pour la mise en oeuvre du procédé cryptographique selon au moins l'une des revendications 1 à 6.  7. Public key cryptosystem comprising a first entity having a secret key S associated with a public key P 1 a second entity having said public key P, said system being adapted for implementing the cryptographic method according to at least one Claims 1 to 6. 8. Carte à puce électronique adaptée pour la mise en oeuvre du procédé 20 cryptographique selon au moins l'une des revendications 1 à 6.  An electronic chip card adapted for carrying out the cryptographic method according to at least one of claims 1 to 6. 9. Programme informatique téléchargeable depuis un réseau de communication et/ou stocké sur un support lisible par ordinateur et/ou exécutable par une puce électronique, caractérisé en ce qu'il comprend 25 des instructions de codes pour l'exécution des étapes du procédé cryptographique selon au moins l'une des revendications 1 à 6, lorsqu'il est exécuté sur un ordinateur ou une puce électronique.  9. Computer program downloadable from a communication network and / or stored on a computer-readable medium and / or executable by an electronic chip, characterized in that it comprises code instructions for the execution of the steps of the cryptographic method according to at least one of claims 1 to 6, when executed on a computer or an electronic chip.
FR0652749A 2006-06-30 2006-06-30 CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY Pending FR2903258A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
FR0652749A FR2903258A1 (en) 2006-06-30 2006-06-30 CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY
PCT/FR2007/051534 WO2008001009A1 (en) 2006-06-30 2007-06-26 Public-key cryptographic system and method for the authentication of a first entity by a second entity

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0652749A FR2903258A1 (en) 2006-06-30 2006-06-30 CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY

Publications (1)

Publication Number Publication Date
FR2903258A1 true FR2903258A1 (en) 2008-01-04

Family

ID=37613907

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0652749A Pending FR2903258A1 (en) 2006-06-30 2006-06-30 CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY

Country Status (2)

Country Link
FR (1) FR2903258A1 (en)
WO (1) WO2008001009A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1675299A1 (en) * 2004-12-23 2006-06-28 Hewlett-Packard Development Company, L.P. Authentication method using bilinear mappings

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1675299A1 (en) * 2004-12-23 2006-06-28 Hewlett-Packard Development Company, L.P. Authentication method using bilinear mappings

Non-Patent Citations (5)

* Cited by examiner, † Cited by third party
Title
DAS ET AL: "A novel remote user authentication scheme using bilinear pairings", COMPUTERS & SECURITY, ELSEVIER SCIENCE PUBLISHERS. AMSTERDAM, NL, vol. 25, no. 3, May 2006 (2006-05-01), pages 184 - 189, XP005477985, ISSN: 0167-4048 *
LU ET AL: "A new deniable authentication protocol from bilinear pairings", APPLIED MATHEMATICS AND COMPUTATION, ELSEVIER, vol. 168, no. 2, 15 September 2005 (2005-09-15), pages 954 - 961, XP005099227, ISSN: 0096-3003 *
M.KIM ET AL: "A New Identification Scheme Based on the Bilinear Diffie-Hellman Problem", 7TH AUSTRALIAN CONFERENCE ON INFORMATION SECURITY AND PRIVACY, ACISP'02, 2002, pages 362 - 378, XP002415284 *
SONGWON LEE ET AL: "Threshold Password-Based Authentication Using Bilinear Pairings", EURO PKI 2004, 2004, pages 350 - 363, XP019007640 *
YAO ET AL: "An Improvred Identification Scheme", PROGRESS IN COMPUTER SCIENCE AND APPLIED LOGIC, November 2003 (2003-11-01), pages 1 - 9, XP002415283 *

Also Published As

Publication number Publication date
WO2008001009A1 (en) 2008-01-03

Similar Documents

Publication Publication Date Title
EP1441313B1 (en) Public key cryptographical method for protecting an electronic chip against fraud
WO2003056750A2 (en) Cryptographic system for group signature
EP0766894A1 (en) Process for generating electronic signatures, in particular for smart cards
WO2002005152A1 (en) System and method for managing micropayment transactions, corresponding client terminal and trader equipment
EP1166496A1 (en) Authentication and signature method for messages using reduced size of binary units of information content and corresponding systems
EP1266364B1 (en) Cryptographic method for protection against fraud
EP0909495B1 (en) Public key cryptography method
EP1807967B1 (en) Method for secure delegation of calculation of a bilinear application
CA2451034C (en) Cryptographic method of protecting an electronic chip against fraud
EP0769768B1 (en) Cryptographic method to protect against fraud
EP1721246B1 (en) Method and device for performing a cryptographic operation
WO2003055134A9 (en) Cryptographic method for distributing load among several entities and devices therefor
FR2903258A1 (en) CRYPTOGRAPHIC SYSTEM AND METHOD WITH A PUBLIC KEY FOR THE AUTHENTICATION OF A FIRST ENTITY BY A SECOND ENTITY
FR2830146A1 (en) Implementation of cryptography algorithms in an electronic chip card or component whereby a value for use in the encryption algorithm is first selected in such a manner that differential power attacks are frustrated
WO2008017765A1 (en) Public key cryptographic system and method
WO2001075821A1 (en) Method for protecting an electronic chip against fraud
FR3145222A1 (en) Protection against side-channel attacks of a cryptographic algorithm involving a substitution table
FR2871914A1 (en) SYSTEM OF PAYMENT BY SUITE OF TOKENS
WO2005088438A1 (en) Public-key cryptographic method
WO2003023606A1 (en) Method of calculating the exponentiation in a group and the application thereof for user authentication
EP3284209A1 (en) Methods of generating and verifying a security key of a virtual monetary unit
FR2850502A1 (en) Method of authenticating digital signatures using a low cost computer, used in authenticating bankcards or credit cards etc., allows a verifier system to exchange data with a signature system