description = "Quelques notes sur l'algorithme bLSAG de signature en anneau sur courbe elliptique"
insert_anchor_links = "left"
[taxonomies]
tags = ["cryptographie", "mathématiques"]
[extra]
katex = true
+++
Une signature en anneau (_ring signature_) est une preuve cryptographique qu'un message est intègre et a été authentifié par une personne parmi une assemblée donnée, sans révéler son identité.
Par exemple, les membres d'un jury pourraient chacun annoncer son verdict anonymement, de sorte que ni les autres juré·es ni le public ne puissent établir un lien entre un verdict et une personne. Afin de s'assurer de l'authenticité des verdicts, chaque verdict est accompagné d'une signature en anneau qui permet de prouver qu'il a bien été émis par un membre du jury.
Il existe plusieurs algorithmes de signature en anneau. Sera présenté ici bLSAG, qui a la propriété de permettre de détecter le cas où deux signatures auraient été émises par la même personne. Dans l'exemple du jury, on s'assure ainsi que personne n'a voté deux fois.
Ce résumé de bLSAG prend comme source le document [Zero to Monero 2.0.0](https://www.getmonero.org/library/Zero-to-Monero-2-0-0.pdf) (page 29) ainsi que la bibliothèque Rust [nazgul](https://github.com/edwinhere/nazgul/) qui implémente plusieurs schémas de signature en anneau dont bLSAG. Il sert de documentation supplémentaire à la bibliothèque Rust [orodruin](https://git.duniter.org/tuxmain/orodruin-rs/) que j'ai développée pour implémenter les transactions anonymes dans [Duniter](https://duniter.org).
**Prérequis** : bases d'algèbre et de cryptologie. La connaissance des courbes elliptiques n'est pas nécessaire.
## Notations
* $\mathbb{Z}/l\mathbb{Z}$ les nombres entiers modulo $l$
* $H$ une fonction de hachage cryptographique (en fonction du contexte, son image est dans $\mathbb{Z}/l\mathbb{Z}$ ou dans $E$)
* On parlera d'anneau $\mathcal{R}$, au sens d'un ensemble ordonné de clés publiques, et non de la structure algébrique d'anneau. C'est ambigü mais c'est le terme consacré, comme en anglais _ring_.
## Signature
La signature $\sigma(m)$ d'un message $m$, par la clé secrète $k_\pi$ dont la clé publique $K_\pi$ est dans l'anneau $\mathcal{R}=\\\{K_1,\ldots,K_n\\\}$, est obtenue comme suit :
* $k_\pi \in \mathbb{Z}/l\mathbb{Z}$ la clé privée d'Alice
* $K_\pi = G k_\pi \in E$ la clé publique d'Alice
* $\tilde K_\pi = k_\pi H(K_\pi) \in E$ l'image de la clé d'Alice
* $r_1,\ldots,r_{\pi-1},\alpha,r_{\pi+1},\ldots,r_n$ nombres aléatoires dans $\mathbb{Z}/l\mathbb{Z}$
* $c_{\pi+1} = H(m \mathbin\Vert \alpha G \mathbin\Vert \alpha H(K_\pi))$
On comprend maintenant l'explication du nom de signature en _anneau_. On forme un anneau, ou un cercle, avec toutes les clés, et on fait faire un tour de l'anneau au challenge. Chaque clé le modifie à son tour. Pour retomber sur le même challenge à la fin, il faut qu'une clé quelque part dans l'anneau, sans qu'on puisse savoir où, ait fait la bonne modification qui annule le bruit créé par les autres.
## Correction
Montrons que l'algorithme de vérification est correct. Rappelons les définitions suivantes :
* $k_\pi$ la clé privée d'Alice
* $K_\pi = G k_\pi$ la clé publique d'Alice
* $\tilde K_\pi = k_\pi H(K_\pi)$ l'image de la clé d'Alice
* $c_{\pi+1} = H(m \mathbin\Vert \alpha G \mathbin\Vert \alpha H(K_\pi))$
Sans faire de preuve de sécurité, ayons une intuition de ce pourquoi le système est sûr :
La signature est-elle **infalsifiable**, c'est-à-dire que la forger nécessite bien de connaître $k_\pi$ ? On voit que les preuves de (1) et (2) utilisent $r_\pi = \alpha - c_\pi k_\pi$, donc la clé privée.
La signature est-elle **anonyme**, c'est-à-dire qu'on ne peut pas retrouver $\pi$ ? On a que $r_\pi$ est bruité par $\alpha$. On ne peut pas distinguer $r_\pi$ des autres $r_i$, puisqu'ils sont aléatoires uniformes comme $\alpha$ et $c_\pi$ (qui est un hash), et que $k_\pi$ est secret.