soutenance

Université de NgaoundéréFaculté des Sciences

Département de Mathématiques etInformatique

The University of NgaoundereFaculty of Science

Department of Mathematics andComputer Science

Élaboration d’un système de vote électronique à créditanonyme résistant à la coercition

Présenté par: AMBASSA PACÔME LANDRY

Soutenance de mémoire de Master rechercheMention: Ingénierie Informatique

Parcours: Systèmes et Logiciels en Environnements Distribués

11 janvier 2013

Sous la direction de :

Pr. TIEUDJO Daniel Maitre de Conférences

Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 11 janvier 2013 1 / 38

1 Introduction

2 Système de vote électroniqueGénéralitésPropriétés du e-vote

3 Présentation de quelques schémas de vote électroniqueSchéma de Juels, Catalano et Jakobsson (JCJ), 2005Courbes elliptiques

Schéma de Porkodi, Arumuganathan et Vidya, 2011

4 Proposition d’un schéma de vote électroniqueOutils cryptographiques utilisésDescription détaillée du schémaIllustration numérique avec SAGE

5 Conclusion et Perspectives

1 Introduction

3 Présentation de quelques schémas de vote électroniqueSchéma de Juels, Catalano et Jakobsson (JCJ), 2005Courbes elliptiquesSchéma de Porkodi, Arumuganathan et Vidya, 2011

1 Introduction

Introduction

Définition du vote [Connes, 2006]

Technique permettant à un groupe de personnes de faire, parmi plusieurs propositions,un choix collectif en agrégeant des préférences individuelles.

Régime démocratique : augmentation du nombre de consultations électorales⇒coût organisationnel

Condition de participation difficile⇒ Longue filed’attente devant les bureaux de voteFraude électorale⇒ désintérêt la population

Problème : Comment rendre le vote plus sûr, rapide, moins couteux et moinscontraignant ?

solution

Rapprocher l’urne des électeurs puisque ceux-ci ne vont pas vers elle : le voteélectronique

Introduction

Condition de participation difficile⇒ Longue filed’attente devant les bureaux de voteFraude électorale⇒ désintérêt la population

solution

Rapprocher l’urne des électeurs puisque ceux-ci ne vont pas vers elle : le voteélectronique

Introduction

Condition de participation difficile⇒ Longue filed’attente devant les bureaux de vote

Fraude électorale⇒ désintérêt la population

solution

Rapprocher l’urne des électeurs puisque ceux-ci ne vont pas vers elle : le voteélectroniquePrésenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 11 janvier 2013 3 / 38

Introduction

solution

Introduction

solution

Introduction

solution

Introduction

[Juel et al, 2005 ]

En 2005, Juel et al, introduisent la notion de résistance à la coercition et proposent unschéma de vote électronique qui assure cette propriété.Problème : il n’est pas efficient et n’assure pas la complétude

Une nouvelle approche :

[Porkodi et al, 2011 ]

En 2011, Porkodi et al, propose un schéma de vote électronique basé sur les courbeselliptiques. Problème : il n’est pas résistant à la coercition

Problématique

Conception d’un système de vote par internet qui utilise le crédit anonyme pour assurerla résistance à la coercition et repose sur les systèmes cryptographiques de la théoriedes courbes elliptiques

Introduction

[Juel et al, 2005 ]

Problématique

Introduction

[Juel et al, 2005 ]

Problématique

Introduction

[Juel et al, 2005 ]

Problématique

Système de vote électronique Généralités

Vote Électronique

FIGURE 1: E-vote

Vote Électronique

Définition [rapport UCL, 2007]

Le vote électronique (e-vote) est un système électoral ou référendum électronique quiimplique le recours à des moyens électroniques au moins lors de l’enregistrement dusuffrage.

On distingue deux types de vote électronique :

1 Le vote hors ligne

utilisation des bureaux de vote et des isoloirs

utilisation d’urnes électronique : machine à voter2 Le vote a distance

par internet :via un site Internet auquel l’électeur se connectepar téléphone :via un serveur vocal interactif

Avantages du i-vote

à Plus pratique pour les électeurs

à Réduction des coûts (bureaux et matériel)

à Le décompte rapide des voix

Vote Électronique

utilisation d’urnes électronique : machine à voter

2 Le vote a distancepar internet :via un site Internet auquel l’électeur se connectepar téléphone :via un serveur vocal interactif

Avantages du i-vote

à Le décompte rapide des voixPrésenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 11 janvier 2013 6 / 38

Vote Électronique

Avantages du i-vote

Vote Électronique

Avantages du i-vote

Déroulement

Le vote électronique (par internet) sesubdivise en 5 phases :

+ Première phase : configuration ;

+ Deuxième phase : enregistrement ;

+ Troisième phase : vote ;

+ Quatrième phase : décompte ;

+ Cinquième phase : publication desrésultats.

Acteurs

Les principaux intervenants d’un tel système sont :

+ Les votants ou électeurs ;

+ Les autorités électorales.

Déroulement

Le vote électronique (par internet) sesubdivise en 5 phases :

+ Première phase : configuration ;

+ Deuxième phase : enregistrement ;

+ Troisième phase : vote ;

+ Quatrième phase : décompte ;

+ Cinquième phase : publication desrésultats.

Acteurs

Les principaux intervenants d’un tel système sont :

+ Les votants ou électeurs ;

+ Les autorités électorales.

Système de vote électronique Propriétés du e-vote

Propriétés du e-vote

Un système de vote pour être utilisable doit vérifier un ensemble de propriétés [Meng,2010] :

Propriétés de sécurité du e-vote

De base

ò Éligibilité

ò Secret

ò Précision

ò Vérifiabilité individuelle

ò Pas de double vote

ò Complétude

Étendu

ò Vérifiabilité universelle

ò Receipt-freeness

ò Résistance à la coercition

Les propriétés de sécurité à satisfaire sont :

très nombreuses ;

à première vue contradictoires.

De base

ò Éligibilité

ò Secret

ò Précision

ò Complétude

Étendu

ò Receipt-freeness

très nombreuses ;

De base

ò Éligibilité

ò Secret

ò Précision

ò Complétude

Étendu

ò Receipt-freeness

très nombreuses ;

De base

ò Éligibilité

ò Secret

ò Précision

ò Complétude

Étendu

ò Receipt-freeness

très nombreuses ;

Propriétés du vote et lien cryptographique

TABLE 1: Tableau récapitulatif des propriétés d’un e-vote et lien cryptographique

Propriétés d’un e-vote Services de sécurité Primitives cryptographiques Exemples de primitivesSecret des votes Confidentialité Chiffrement homomorphique Elgamal, Paillier,...Receipt-freenes RechiffrementÉligibilité Authentification Technique symétrique Mot de passe

Technique asymétrique SignaturePrécision Intégrité Fonction de hachage SHA

Non répudiation Signature ElgamalMixnet Déchiffrement

Secret des votes Anonymat RechiffrementSignature aveugle RSA

Confidentialité Chaine de caractèresRésistance à la coercition Crédit anonyme Mot de vote

Anonymat SignatureVérifiabilité individuelle Preuves ValiditéVérifiabilité universelle Chaum Pedersen

Définition des concepts

crédit anonyme (credential en anglais)

Jeton cryptographique unique. permettant de prouver une propriété ou un droit lié àson possesseur, sans révéler l’identité de celui-ci. Protège les informations privées deson possesseur en fournissant le service d’anonymat.

Résistance à la coercition

⇒ receipt-freeness

Suppose qu’aucun attaquant ne doit forcer un électeur à voter d’une manièreparticulière ou à s’abstenir de voter.

protection contre

ò Attaque par randomisation ;

ò Attaque par abstention forcé ;

ò Attaque par simulation ;

protection contre

Présentation de quelques schémas de vote électronique Schéma de Juels, Catalano et Jakobsson (JCJ), 2005

Fonctionnement

TABLE 2: Description détaillé du schéma

Phases de vote Actions Primitives cryptographiqueEnregistrement R vérifie l’éligibilité de Vi

Génération et transmission à Vi d’un crédit anonymeEnregistrement de la paire (identifiant, crédit chiffré)

Vote Identification de Vi et construction du vote vi = (A,B,C)A = chiff T candidat, B = chiffcredit Chiffrement ElGamalC = preuve Preuve de validitéTransmission de vi sur BB

Décompte Exclusion des votes invalideÉlimination des crédits dupliqués PETMixer des votes muni de leur crédit Mixnet à rechiffrementÉlimination des votes accompagnés de crédit non valide PETDéchiffrer le reste des votes et compter les voix Déchiffrement ElGamal

Publication Vérifier et publier le résultat

Limites

Inefficience du schéma car le décompte est effectué en temps quadratique [weber, 2006]

Présentation de quelques schémas de vote électronique Schéma de Juels, Catalano et Jakobsson (JCJ), 2005

Fonctionnement

TABLE 2: Description détaillé du schéma

Phases de vote Actions Primitives cryptographiqueEnregistrement R vérifie l’éligibilité de Vi

Génération et transmission à Vi d’un crédit anonymeEnregistrement de la paire (identifiant, crédit chiffré)

Vote Identification de Vi et construction du vote vi = (A,B,C)A = chiff T candidat, B = chiffcredit Chiffrement ElGamalC = preuve Preuve de validitéTransmission de vi sur BB

Décompte Exclusion des votes invalideÉlimination des crédits dupliqués PETMixer des votes muni de leur crédit Mixnet à rechiffrementÉlimination des votes accompagnés de crédit non valide PETDéchiffrer le reste des votes et compter les voix Déchiffrement ElGamal

Publication Vérifier et publier le résultat

Limites

Manque de complétude : suppression des votes valides

Présentation de quelques schémas de vote électronique Courbes elliptiques

Courbe elliptique sur un corps quelconque

Definition

Soit k un corps, une courbe elliptique E définie sur le corps k est donné par l’équationde Weierstrass :

E : y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 (1)

où ai ∈ k et ∆ 6= 0 avec ∆ le discriminant de E

FIGURE 2: Courbe d’équationy2 = x3−3x + 4 sur R

FIGURE 3: Courbe d’équationy2 + y = x3−7x + 6 sur R

Courbes elliptiques définies sur un corps fini

Représentation est constituée d’un ensemble de point discret

FIGURE 4: Courbe d’équationy2 = x3 + 2x + 3 sur F997

FIGURE 5: Courbe d’équationy2 = x3 + 10x + 4 sur F13

Problème du logarithme discret sur les courbeselliptiques (PLD)

Definition (PLD sur les courbes elliptiques)

Soient E une courbe elliptique définie sur un corps fini Fp, 〈P〉 un sous-groupecyclique de E(Fp) d’ordre premier n engendré par le point P et un point Q ∈ 〈P〉,chercher l’entier k ∈ [0,n−1] tel que Q = [k ]P. L’entier k est le logarithme discret deQ en base P.

Definition (Multiplication scalaire)

Soient E une courbe elliptique, P un point de E(Fq) et k ∈ Z. La multiplication scalaire,notée [k ]P, est la fonction définie comme suit :

E(Fp)×Z −→ E(Fp)(P,k) 7−→ [k ]P = P + P + ...+ P︸︷︷︸

k fois

avec [0]P = O et [k ]P = [−k ] (−P)

Fonction à calculer pour concevoir un cryptosystéme sur les courbes elliptiques

Fonction est « à sens unique »

E(Fp)×Z −→ E(Fp)(P,k) 7−→ [k ]P = P + P + ...+ P︸︷︷︸

k fois

avec [0]P = O et [k ]P = [−k ] (−P)

E(Fp)×Z −→ E(Fp)(P,k) 7−→ [k ]P = P + P + ...+ P︸︷︷︸

k fois

avec [0]P = O et [k ]P = [−k ] (−P)

Présentation de quelques schémas de vote électronique Schéma de Porkodi, Arumuganathan et Vidya, 2011

Schéma de Porkodi et al 2011 (version simplifiée)

Phase de vote

ò l’électeur Vi choisit aléatoirement (αi ) et construit son bulletin de vote vi = (C,P) où

C = (ci,1,ci,2) = ([αi ]G, [αi ]h + Pj ) est le chiffrement du candidat choisit représentépar PjP est la preuve de validité du vote

ò transmission de vi sur le tableau de vote publique ;

Phase de décompte

ò calculer :

c = (c1,c2) = (m

∑i=1

ci,1,m

∑i=1

ci,2) = (

∑i=1

]h + (

∑j=1

[dj ]Pj ))

ò Les autorités Aj envoient wj = [sj ]c1 ;

ò Calculent c2− [s]c1

ò Déterminent (d1, ...,dr ) pour cela calculer ∑rj=1 [dj ]Pj et comparer avec c2− [s]c1

Limite

Ce schéma n’est pas résistant à la coercition car ne satisfait pas le receipt-freeness

Phase de vote

Phase de décompte

ò calculer :

c = (c1,c2) = (m

∑i=1

ci,1,m

∑i=1

ci,2) = (

∑i=1

]h + (

∑j=1

[dj ]Pj ))

Limite

Phase de vote

Phase de décompte

ò calculer :

c = (c1,c2) = (m

∑i=1

ci,1,m

∑i=1

ci,2) = (

∑i=1

]h + (

∑j=1

[dj ]Pj ))

Limite

Phase de vote

Phase de décompte

ò calculer :

c = (c1,c2) = (m

∑i=1

ci,1,m

∑i=1

ci,2) = (

∑i=1

]h + (

∑j=1

[dj ]Pj ))

Limite

Proposition d’un schéma de vote électronique

Notre schéma

schéma

ò Basé sur la théorie des courbes elliptiques ;

ò le crédit anonyme construit sur une signature agrégée ;

participants

+ les électeurs Vi avec i ∈ [1,m] ;

+ les candidats c1, ...,ck ;

+ les autorités :d’enregistrement Rj avec j ∈ [1, l]de décompte Tj avec j ∈ [1,n]

Comment résisté à la coercition ?

Pour le faire l’électeur crée un faux crédit

Pour l’attaquant : faux ≈ vrai

Les votes associés à un faux crédit sont éliminés lors du décompte

Notre schéma

schéma

participants

Notre schéma

schéma

participants

Proposition d’un schéma de vote électronique Outils cryptographiques utilisés

Chiffrement ElGamal distribué

Génération des clés distribuées

choisir une courbe elliptique E(Fp) et G un point de E d’ordre q

Choisir un entier aléatoire s ∈ [1,q−1] et calculer h = [s]G.

Exécuter le partage de secret à seuil (t,n) de Shamir.

Générer un polynôme P(x) = a0 + a1x + ...+ at−1x t−1, a0 = P(0) = sPartager sj = P(j) aux Tj grâce au partage de clé de Diffie Hellman.

Chiffrement

Pour chiffrer un message m ∈ E(Fp), choisir un nombre aléatoire k ∈ [1,n−1]calculer c = (c1,c2) avec c1 = [k]G et c2 = [k]h + m

Déchiffrement distribué

Un sous-ensemble ∆ à t autorités retrouve m en utilisant l’interpolation de Lagrange :

m = c2− [s]c1 où [s]c1 = ∑j∈∆

λj wj et λj = ∏k∈∆,k 6=j

k− j)

Chiffrement

m = c2− [s]c1 où [s]c1 = ∑j∈∆

k− j)

Chiffrement

m = c2− [s]c1 où [s]c1 = ∑j∈∆

k− j)

Chiffrement

m = c2− [s]c1 où [s]c1 = ∑j∈∆

k− j)

Autres outils

Mixnet à rechiffrement universellement vérifiable

2 Crée un canal anonyme pour la transmission des votes ;

2 Correspondance entrée / sortie difficile ;

2 Preuve de rechiffrement après permutation

Preuves à divulgation nulle de connaissance

2 Égalité de logarithme discret :

Protocole de Chaum-PedersenProuveur connait x et veut montrer que B = [x]G et C = [x]H

2 Validité du contenu d’un message chiffré :Méthode de Byoungcheon Lee [Lee, 2000] version elliptiqueSoit M = m1, ...,mn le prouveur chiffre mi en (c1,c2) et veut montrer que le plaintext(message en clair) est un élément de M sans dévoiler mi

Autres outils

Mixnet à rechiffrement universellement vérifiable

2 Crée un canal anonyme pour la transmission des votes ;

2 Correspondance entrée / sortie difficile ;

2 Preuve de rechiffrement après permutation

Preuves à divulgation nulle de connaissance

2 Égalité de logarithme discret :

Protocole de Chaum-PedersenProuveur connait x et veut montrer que B = [x]G et C = [x]H

2 Validité du contenu d’un message chiffré :Méthode de Byoungcheon Lee [Lee, 2000] version elliptiqueSoit M = m1, ...,mn le prouveur chiffre mi en (c1,c2) et veut montrer que le plaintext(message en clair) est un élément de M sans dévoiler mi

Construction du crédit anonyme

ä Le crédit anonyme est généré par les Rj et transmis à l’électeur ;

ä Ces autorités, ne doivent pas connaitre son contenu ;

Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures).

signatures agrégées [Boneh et al, 2003]

ä Introduite par Boneh et al en 2003 ;

ä Une signature agrégée est une signature électronique qui permet à plusieurssignataires de signer des messages différents et ensuite d’agréger ces différentessignatures en une seule ;

ä Étant donné n signatures de n messages provenant de n signataires. Il estpossible d’agréger ces signatures en une seule ;

Construction du crédit anonyme

ä Le crédit anonyme est généré par les Rj et transmis à l’électeur ;

ä Ces autorités, ne doivent pas connaitre son contenu ;

Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures).

signatures agrégées [Boneh et al, 2003]

ä Introduite par Boneh et al en 2003 ;

ä Une signature agrégée est une signature électronique qui permet à plusieurssignataires de signer des messages différents et ensuite d’agréger ces différentessignatures en une seule ;

ä Étant donné n signatures de n messages provenant de n signataires. Il estpossible d’agréger ces signatures en une seule ;

Schéma de signature agrégée basé sur les courbeselliptiques

Soient F = E(Fp) le groupe de points de E définie sur un corps Fp, P un générateurde F d’ordre q , H : {0,1}∗→ F une fonction de hachage.

Génération des clés

Chaque entité crée la clé publique et la clé privée correspondante

1 choisir aléatoirement x ∈ Z∗q et calculer v = [x]P ;

2 la clé publique est v et la clé privée x ;

Signature

pour chaque signataire avec la clé publique v , la clé privée x et le message m ∈ {0,1}∗ :

1 calculer h = H(m) où h ∈ F ;

2 calculer σ = [x]h c’est la signature ;

Agrégation

pour un ensemble de signataire Si (i ∈ [1,n]) :

1 le signataire i fournit une signature σi de mi ∈ {0,1}∗ ;

2 calculer δ = ∑ni=1 σi la signature agrégé est δ ;

Signature

Agrégation

Signature

Agrégation

Signature

Agrégation

Proposition d’un schéma de vote électronique Description détaillée du schéma

Phase 1 et 2 : Configuration Enregistrement

Première phase : Configuration

¶ choisir : une courbe elliptique d’équation y2 = x3 + ax + b et G un générateur deE(Fp) d’ordre q ;

· Coopération de Tj pour la génération des paramètres d’un systèmecryptographique ElGamal distribué à seuil (t,n) ;

¸ génération des clés privées et publiques des autorités d’enregistrement ;

¹ représentation des candidats comme k points Pr = [(m + 1)r ]P ∈ E(Fp).Abstention=candidat ;

illustration

Deuxième phase : enregistrement

¶ Chaque électeur Vi potentiel se rend dans un bureau et prouve son éligibilité ;

· Transmission à l’électeur du crédit anonyme δ = ∑ni=1 σi ;

¸ L’électeur Vi génère Si = chiff R(δi ) et l’envoie à Rj ;

¹ Les autorités Rj rechiffrent Si ,

º Choix par Vi d’un identifiant et d’un mot de passe qu’il utilisera pour s’authentifier ;

illustration enregistrementPrésenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 11 janvier 2013 22 / 38

illustration

Troisième phase : vote

¶ Authentification de l’électeur à l’aide de l’identifiant et du mot de passe générésprécédemment ;

· l’électeur Vi choisit aléatoirement (αi ,βi ,εi ) et construit son vote vi = (C,A,B,P)où

C = (ci1,ci2) = ([αi ]G, [αi ]h + Pr ) est le chiffrement du candidat choisit représentépar PrA est le chiffrement du crédit anonyme δiB = ∆i = [εi ]δ

P est la preuve de validité du vote

¸ transmission de vi sur le tableau de vote publique via un canal anonyme (mixnet àrechiffrement universellement vérifiable) ;

illustration

Quatrième phase : décompte

¶ Vérification des preuves de validité par Tj et élimination des entrées où elle estincorrect ;

· Rechercher les valeurs dupliquées de ∆i et élimination des votes non valides

¸ Combiner les chiffrés des choix des candidats Pr contenus dans le tableau desvotes valides ;

ct = (c1,c2) =

∑i=1

(αi )

∑r=1

[dr ]Pr

¹ Coopération de Tj pour déchiffrer ct .

Reconstruction de la clé privée s pour calculer [s]c1

[P(0)]c1 =

ti=1 si ∏1≤i≤t

jj−i

)c1⇒ [P(0)]c1 =

ti=1 si

]c1 ∏1≤i≤t

jj−i

)calculer c2− [s]c1

ct = (c1,c2) =

∑i=1

(αi )

∑r=1

[dr ]Pr

[P(0)]c1 =

jj−i

)c1⇒ [P(0)]c1 =

ti=1 si

]c1 ∏1≤i≤t

jj−i

ct = (c1,c2) =

∑i=1

(αi )

∑r=1

[dr ]Pr

[P(0)]c1 =

jj−i

)c1⇒ [P(0)]c1 =

ti=1 si

]c1 ∏1≤i≤t

jj−i

ct = (c1,c2) =

∑i=1

(αi )

∑r=1

[dr ]Pr

[P(0)]c1 =

jj−i

)c1⇒ [P(0)]c1 =

ti=1 si

]c1 ∏1≤i≤t

jj−i

Quatrième phase : décompte (suite)

º compter les voix.

Calculer la somme ∑r [dr ]PrComparer le résultat à celui du calcul de c2− [s]c1.lorsque les deux valeurs coïncident en déduire dr , (r ∈ [1,k ])

Remarque

Pour k ≥ 3 la détermination de dr lors du calcule de la somme ∑kr=0 [dr ]Pr dans E(Fp)

est une instance du problème de sac à dos ou problème de la somme desous-ensemble qui est NP-complet.

Cinquième phase : publication des résultats.

1 Vérifier que le chiffrement ct est correct.2 Vérifier que le déchiffrement distribué de ct est correct

Après vérifications, le résultat final est publié.

illustration Décompte

Analyse du Schéma

Le schéma assure les propriétés suivantes :

Éligibilité

Secret des votes

Précision

Équité

Complétude

Pas de double vote

Vérifiabilité universelle

Receipt freeness

Limites

Pas de vérifiabilité individuelle : la possibilité n’est pas offerte aux électeurs de vérifier le contenu de leur vote

TABLE 3: Comparaisons des schémas de JCJ, Porkodi et notre schéma

Propriétés JCJ Porkodi notre schémaComplétude non oui oui

Vérifiabilité universelle oui oui ouiVérifiabilité individuelle non oui non

Résistance à la coercition oui non oui

Go to conclusion

Analyse du Schéma

Éligibilité

Secret des votes

Précision

Équité

Complétude

Pas de double vote

Receipt freeness

Limites

N’est pas approprié pour une élection à un nombre de candidat k ≥ 3

Go to conclusion

Analyse du Schéma

Éligibilité

Secret des votes

Précision

Équité

Complétude

Pas de double vote

Receipt freeness

Limites

Go to conclusion

Analyse du Schéma

Éligibilité

Secret des votes

Précision

Équité

Complétude

Pas de double vote

Receipt freeness

Limites

Go to conclusion

Proposition d’un schéma de vote électronique Illustration numérique avec SAGE

Première phase : configuration

Supposons que nous avons pour l’élection 8 autorités (3 d’enregistrements et 5 dedécomptes), 10 électeurs et 4 candidats. Le but est d’illustrer les différentes phases denotre schéma de vote.

Phase de configuration

¬ Nous choisissons une courbe elliptique E définie sur le corps Fp d’équationy2 = x3 + 4x + 20 (mod 10007) avec p = 10007 et un point de base G decoordonnées (2,6) d’ordre 2011,

Nous générons les clés pour un système cryptographique ElGamal distribué.

Nous choisissons la clé privée s = 248 et calculons une clé publiqueh = [s]G = (5919,4268)Nous exécutons la fonction secret-share partage (partage à seuil(3,5)

génération du polynôme secret P(x) = 215x2 + 139x + 248 (mod 257)calcul des paires (i,si ) = (i,P(i)) soit (1,s1) = (1,88), (2,s2) = (2,101),(3,s3) = (3,30), (4,s4) = (4,132), (5,s5) = (5,150) et partage à Tj grâce au partagede clé de Diffie- Hellman.

Seuls 3 autorités sur les 5 seront nécessaires pour « reconstruire la clé privée.

® Nous générons les clés des autorités d’enregistrement la clé privéeSkR = n = 329 et la clé publique correspondante est PkR = [n]G = (8850,665)

Phase de configuration (suite)

¯ Enregistrement des candidats cr et représentation de ceux-ci comme des pointsde E(Fp). Nos 4 candidats sont représentés par :

Tableau des candidats

Numéros Nom encodage0 Abstention P0 = P (372,441)1 Candidat 1 P1 = [(10 + 1)]P = [11]P (7587,5187)2 Candidat 2 P2 =

[(10 + 1)2

]P = [121]P (4158,1719)

3 Candidat 3 P3 =[(10 + 1)3

]P = [1331]P (2057,5956)

Retour.

¬ Enregistrement des électeurs par Rj j ∈ [1,3] dans un bureau d’enregistrement.

Transmission du crédit anonyme δ

Pour 10 électeurs nous obtenons les valeurs suivantes :

Tableau des électeurs

Identifiant votant crédit(δi )1 V1 (3363 , 649 )2 V2 (8909 , 9177 )3 V3 (2637 , 6635 )4 V4 (3988 , 7365 )5 V5 (5331 , 9187 )6 V6 (2128 , 3659 )7 V7 (1840 , 4566 )8 V8 (942 , 7912 )9 V9 (1842 , 9216 )

10 V10 (9445 , 3839 )

Retour.

construction de vi représenté par : chiff T (Pr ) = (ci1,ci2) = ([αi ]G, [αi ]h + Pr ) oùPr ∈ {P0,P1,P2,P3} , chiff R(δi ), ∆i = [εi ]δi .Les votes de 10 électeurs sont donnés dans le tableau suivant

TABLE 4: Valeurs numériques des votes chiffrés de 10 électeurs

chiffrement candidat chiffrement créditci1 = [αi ]G ci2 = [αi ]h + Pr [βi ]G [βi ]h + δi ∆i = [εi ]δi

1 (755 ,5751 ) (6282 ,4084) (8266 , 8509) (682 , 5185 ) (2052 , 9153 )2 (6398,7981) (79, 3699) (8452, 9255) (1501, 5053) (6499,6674)3 (292,8254) (2829, 7423) (1286, 6603) (6298, 8735) (738, 2180)4 (5328, 262) (6618, 5577) (2546, 1912) (952, 7400) (1284, 4271)5 (7233, 3289) (8155, 4502) (9936,7976) (3141, 623) (7039, 7012)6 (2758, 2407) (8290, 2404) (4213, 633) (1255, 3720) (9740, 2390)7 (1501, 4954) (4893, 515) (1536, 3970) (3467, 4297) (8266, 1498)8 (8494, 4038) (9804, 2913) (426, 6193) (3880, 1072) (7759, 8044)9 (7775, 706) (5617, 9050) (6455, 9969) (2291, 3627) (7088, 9113)10 (6656, 6110) (2433, 1433) (2885 : 7192) (8266, 1498) (5055, 7047)11 (2597, 2974) (6141, 3797) (7692, 1505) (2057, 4051) (738 ,2180)12 (5305, 503) (8728, 8426) (9127, 481) (3820, 9194) (738, 2180)13 (4349, 2593) (5463, 471) (7160, 8309) (7780, 1857) (1284, 4271)14 (9078, 2582) (5386, 9200) (5404, 6462) (9332, 4147) (6499, 6674)15 (2229, 6908) (8455, 9906) (1363, 6474) (8276, 19) (7039, 7012)

Rechiffrement

Rechiffrement du vote lors de la transmission des votes pour assurer le receiptfreeness.

TABLE 5: Valeurs numérique des votes rechiffrés de 10 électeurs

rechiffrement candidat rechiffrement créditci1 = [γi ]G ci2 = [γi ]h + Pr [λi ]G [λi ]h + δi ∆i = [ωi ]δi

1 (5787, 3794) (662, 1280) (3569, 53 ) (9086, 2549) (4681, 8556)2 (850, 3576) (7433, 7140) (4598, 8374) (9239, 7897) (2031, 7870 )3 (3644, 6345) (3833, 5853) (3013,3711) (4435,3965 ) (5755, 4552 )4 (9064, 5957) (161, 8646) (1048, 5603) (6409, 3499) (6836, 8203)5 (9167, 7773) (3093, 721) (5755, 4552) (216, 1262) (4453, 8742)6 (8601, 5258) (4130, 8767) (3985, 6905) (4732, 1991) (8839, 8576)7 (7170, 30) (2030, 8942) (2597, 7033) (4095, 5743) (3467, 5710)8 (6108, 4734) (4252, 7785) (6452, 5050) (3283, 7764) (9086, 7458)9 (8051, 9792) (6820,4660) (8671 ,1234) (9100, 8126) (150 , 9556)10 (4997, 8577) (8991, 8514) (1303,6131) (3675,3756) (6355, 5304)11 (439, 3284) (1228, 1351) (5100, 1175) (3031, 439) (5755, 4552)12 (2829,7423) (2234, 6486) (8671 ,1234) (4215, 6891) (5755, 4552)13 (3000, 3982) (8732, 5994) (7603, 3516) (9863, 1816 ) (6836, 8203)14 (6035, 3650) (8665, 2226) (8591,5200 ) (9830, 4351) (2031, 7870)15 (9402,9125) (1255,6287) (2714 , 4636) (9386 , 2769 ) (4453,8742)

Retour.Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 11 janvier 2013 31 / 38

¬ Rechercher les valeurs dupliquées de ∆i et élimination des votes non valides etdes doubles vote

TABLE 6: Identification des valeurs dupliquées de ∆i

rechiffrement candidat rechiffrement créditci1 = [γi ]G ci2 = [γi ]h + Pr [λi ]G [λi ]h + δi ∆i = [ωi ]δi(5787, 3794) (662, 1280) (3569, 53 ) (9086, 2549) (4681, 8556)(850, 3576) (7433, 7140) (4598, 8374) (9239, 7897) (2031, 7870 )(3644, 6345) (3833, 5853) (3013,3711) (4435,3965 ) (5755, 4552 )(9064, 5957) (161, 8646) (1048, 5603) (6409, 3499) (6836, 8203)(9167, 7773) (3093, 721) (5755, 4552) (216, 1262) (4453, 8742)(8601, 5258) (4130, 8767) (3985, 6905) (4732, 1991) (8839, 8576)(7170, 30) (2030, 8942) (2597, 7033) (4095, 5743) (3467, 5710)(6108, 4734) (4252, 7785) (6452, 5050) (3283, 7764) (9086, 7458)(8051, 9792) (6820,4660) (8671 ,1234) (9100, 8126) (150 , 9556)(4997, 8577) (8991, 8514) (1303,6131) (3675,3756) (6355, 5304)(439, 3284) (1228, 1351) (5100, 1175) (3031, 439) (5755, 4552)(2829,7423) (2234, 6486) (8671 ,1234) (4215, 6891) (5755, 4552)(3000, 3982) (8732, 5994) (7603, 3516) (9863, 1816 ) (6836, 8203)(6035, 3650) (8665, 2226) (8591,5200 ) (9830, 4351) (2031, 7870)(9402,9125) (1255,6287) (2714 , 4636) (9386 , 2769 ) (4453,8742)

Quatrième phase

TABLE 7: Élimination des double votes

rechiffrement candidat rechiffrement créditci1 = [γi ]G ci2 = [γi ]h + Pr [λi ]G [λi ]h + δi ∆i = [ωi ]δi(5787, 3794) (662, 1280) (3569, 53 ) (9086, 2549) (4681, 8556)(850, 3576) (7433, 7140) (4598, 8374) (9239, 7897) (2031, 7870 )////////(3644,/////////6345) ////////(3833,/////////5853) ////////////////(3013,3711) ///////////////(4435,3965//) ////////(5755,////////4552 /)(9064, 5957) (161, 8646) (1048, 5603) (6409, 3499) (6836, 8203)////////(9167,/////////7773) ////////(3093,///////721) ////////(5755,/////////4552) ///////(216,////////1262) ////////(4453,/////////8742)(8601, 5258) (4130, 8767) (3985, 6905) (4732, 1991) (8839, 8576)(7170, 30) (2030, 8942) (2597, 7033) (4095, 5743) (3467, 5710)(6108, 4734) (4252, 7785) (6452, 5050) (3283, 7764) (9086, 7458)(8051, 9792) (6820,4660) (8671 ,1234) (9100, 8126) (150 , 9556)(4997, 8577) (8991, 8514) (1303,6131) (3675,3756) (6355, 5304)(439, 3284) (1228, 1351) (5100, 1175) (3031, 439) (5755, 4552)////////////////(2829,7423) ////////(2234,/////////6486) ////////(8671 /////////,1234) ////////(4215,/////////6891) ////////(5755,/////////4552)////////(3000,/////////3982) ////////(8732,/////////5994) ////////(7603,/////////3516) ////////(9863,////////1816 /) ////////(6836,/////////8203)////////(6035,/////////3650) ////////(8665,/////////2226) ///////////////(8591,5200//) ////////(9830,/////////4351) ////////(2031,/////////7870)(9402,9125) (1255,6287) (2714 , 4636) (9386 , 2769 ) (4453,8742)

Il résulte un tableau de votes unique et valide représenter par

TABLE 8: Tableau de vote unique et valide

rechiffrement candidat rechiffrement créditci1 = [γi ]G ci2 = [γi ]h + Pr [λi ]G λi h + δi ∆i = [ωi ]δi

(5787, 3794) (662, 1280) (3569, 53 ) (9086, 2549) (4681, 8556)(850, 3576) (7433, 7140) (4598, 8374) (9239, 7897) (2031, 7870 )(9064, 5957) (161, 8646) (1048, 5603) (6409, 3499) (6836, 8203)(8601, 5258) (4130, 8767) (3985, 6905) (4732, 1991) (8839, 8576)(7170, 30) (2030, 8942) (2597, 7033) (4095, 5743) (3467, 5710)(6108, 4734) (4252, 7785) (6452, 5050) (3283, 7764) (9086, 7458)(8051, 9792) (6820,4660) (8671 ,1234) (9100, 8126) (150 , 9556)(4997, 8577) (8991, 8514) (1303,6131) (3675,3756) (6355, 5304)(439, 3284) (1228, 1351) (5100, 1175) (3031, 439) (5755, 4552)(9402,9125) (1255,6287) (2714 , 4636) (9386 , 2769 ) (4453,8742)

Quatrième phase : décompte (fin)

® Combiner les chiffrés des choix des candidats Pr

C = (c1,c2)

∑i=1

ci1,10

∑i=1

(γi )

∑i=1

(γi )

∑r=0

[dr ]Pr

On obtient c1 = ∑10i=1 ci1 = (1556,6700) et c2 = ∑

10i=1 ci2 = (9839,3723)

¯ Déchiffrer les votes.

Reconstruction de la clé : supposons que nous avons les parts des 3 premièresautorités (1,88), (2,101), (3,30). Nous calculons

[P(0)]c1 = [s1]c12·3

(2−1)(3−1)+ [s2]c1

1·3(1−2)(3−2)

+ [s3]c11·2

(1−3)(2−3)

= [88]c1( 6

)+ [101]c1

( 3−1

)+ [30]c1 mod 257

= [264]c1− [46]c1 + [30]c1 = [248]c1= (6163,6689)

Nous obtenons [s]c1 = (6163,6689),

le déchiffrement s’obtient en calculant c2− [s]c1 = (3647,9144).

° compter les voix. calculer ∑3r=0 [dr ]Pr en comparant le résultat à celui du calcul de

c2− [s]c1. Pour notre exemple après calcul nous obtenons∑

3r=0 [dr ]Pr = [3]P0 + [2]P1 + [4]P2 + P3 = (3647,9144)

Cinquième phase : publication des résultats

Après le décompte des voix et la vérification, les résultats sont publiés

Tableau des résultats

Numéros Nom nombre de voix0 Abstention 31 Candidat 1 22 Candidat 2 43 Candidat 3 1

Le vainqueur est le candidat 2.

Retour.

Conclusion et Perspectives

Conclusion

+ Vote électronique : système cryptographique.

+ Présentation de deux schémas de vote électronique et leurs limites.

+ Construction d’un crédit anonyme et utilisation proposition d’un schéma de voterésistant à la coercition.

+ Illustration numérique de ce système grâce à SAGE.

Perspectives

+ Utiliser un algorithme efficient pour la résolution du problème de sac à dos

+ Implémenter un prototype du système de vote ;

+ Faire une preuve de sécurité formelle ;

+ Gérer les attaques induite par Internet ;

+ Adapter le système pour l’utiliser sur équipement légers ;

Conclusion et Perspectives

Conclusion

+ Vote électronique : système cryptographique.

+ Présentation de deux schémas de vote électronique et leurs limites.

+ Construction d’un crédit anonyme et utilisation proposition d’un schéma de voterésistant à la coercition.

+ Illustration numérique de ce système grâce à SAGE.

Perspectives

+ Utiliser un algorithme efficient pour la résolution du problème de sac à dos

+ Implémenter un prototype du système de vote ;

+ Faire une preuve de sécurité formelle ;

+ Gérer les attaques induite par Internet ;

+ Adapter le système pour l’utiliser sur équipement légers ;

soutenance

Presentations & Public Speaking

vote lectroniqueschma

vote connes

ambassa pacme landry

proposition dun schma

schmaillustration numrique

ambassa pacme landrysoutenance

sage5 conclusion

vote3 prsentation