Application du partage de secret au v ote [631920]

Application du partage de secret au v ote
électronqiue
W afa Neji
22 mai 2017

T able des matières
Liste des abréviations 4
Notations 5
In tro duction générale 8
1 État de l'art sur les proto coles de v ote électronique 11
1.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2 Généralités sur le v ote électronique . . . . . . . . . . . . . . . . . . . 12
1.2.1 P articipan ts et mo dèle de comm unication . . . . . . . . . . . . 13
1.2.2 Princip e général du pro cessus de v ote électronique . . . . . . . 14
1.2.3 T yp es des systèmes de v ote électronique . . . . . . . . . . . . 15
1.3 Exigences de sécurité d'un proto cole de v ote électronique . . . . . . . 16
1.4 Primitiv es cryptographiques . . . . . . . . . . . . . . . . . . . . . . . 17
1.4.1 Préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.4.2 Cryptosystèmes . . . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.3 F onction de hac hage . . . . . . . . . . . . . . . . . . . . . . . 23
1.4.4 Rec hiremen t . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.4.5 Preuv es à divulgation n ulle de connaissance . . . . . . . . . . 24
1.4.6 T est d'équiv alence en tre c hirés . . . . . . . . . . . . . . . . . 26
1.4.7 Creden tial anon yme . . . . . . . . . . . . . . . . . . . . . . . . 27
1.5 T ec hniques sp éciques p our le v ote électronique . . . . . . . . . . . . 27
1.5.1 Réseaux de mélangeurs . . . . . . . . . . . . . . . . . . . . . . 27
1.5.2 Chiremen t homomorphique . . . . . . . . . . . . . . . . . . . 29
1.5.3 Signature en a v eugle . . . . . . . . . . . . . . . . . . . . . . . 31
1.5.4 P artage de secret . . . . . . . . . . . . . . . . . . . . . . . . . 32
1.6 Quelques exp ériences pratiques . . . . . . . . . . . . . . . . . . . . . 32
1.6.1 Les mac hines de v ote DRE aux P a ys-Bas . . . . . . . . . . . . 34
1.6.2 Le système de v ote par In ternet en Estonie . . . . . . . . . . . 34
1.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
1

T ABLE DES MA TIÈRES
2 Le partage de secret et le v ote électronique 37
2.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.2 Les sc hémas de partage de secret . . . . . . . . . . . . . . . . . . . . 38
2.2.1 Les sc héma de partage de secret à seuil . . . . . . . . . . . . . 38
2.2.2 Les sc hémas de partage de secret publiquemen t v ériables . . 40
2.3 Classication des proto coles de v ote électronique basés sur le partage
de secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
2.3.1 Classe 1- Clé d'autorités partagée . . . . . . . . . . . . . . . . 45
2.3.2 Classe2- Bulletin de v ote partagé . . . . . . . . . . . . . . . . 48
2.3.3 Classe3- Clé de bulletin de v ote partagée . . . . . . . . . . . . 52
2.4 Classication : Analyse des propriétés de sécurité . . . . . . . . . . . 55
2.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3 Un proto cole DK G basé sur une nouv elle stratégie de gestion de
plain tes 62
3.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.2 Les tra v aux existan ts . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
3.3 La v ersion mo diée du proto cole DK G Join t-F eldman . . . . . . . . . 64
3.3.1 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . . . 65
3.3.2 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.3.3 Sécurité con tre l'attaque de Gennaro . . . . . . . . . . . . . . 67
3.4 Notre proto cole DK G . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
3.4.1 Mo dèle de comm unication et adv ersaires . . . . . . . . . . . . 69
3.4.2 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.5 Analyse de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
3.5.1 Exigences de sécurité d'un proto cole DK G . . . . . . . . . . . 72
3.5.2 Preuv es de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 73
3.6 Discussions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.7 Comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
4 Un proto cole de v ote électronique sans-reçu basé sur une nouv elle
fonction de cryptage 81
4.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.2 Quelques proto coles de v ote électronique . . . . . . . . . . . . . . . . 82
4.2.1 Le proto cole de v ote électronique de Sc ho enmak ers . . . . . . 83
4.2.2 Le proto cole de v ote électronique de Lee et Kim . . . . . . . . 84
4.3 Notre proto cole de v ote électronique . . . . . . . . . . . . . . . . . . 86
4.3.1 La mac hine sécurisée SE . . . . . . . . . . . . . . . . . . . . . 86
4.3.2 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . . . 86
4.3.3 Ap erçu sur notre proto cole de v ote électronique . . . . . . . . 87
2

T ABLE DES MA TIÈRES
4.3.4 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.3.5 Les preuv es ZKP de notre proto cole de v ote électronique . . . 90
4.4 Extension du proto cole p our une élection m ulti-candidats . . . . . . . 92
4.4.1 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.4.2 Les preuv es ZKP p our l'élection m ulti-candidats . . . . . . . . 93
4.5 Analyse de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
4.5.1 Preuv es de sécurité . . . . . . . . . . . . . . . . . . . . . . . . 94
4.5.2 Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . . . 96
4.6 Comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.6.1 Comparaison a v ec le proto cole de Sc ho enmak ers . . . . . . . . 97
4.6.2 Comparaison a v ec le proto cole de Lee et Kim . . . . . . . . . 98
4.6.3 Comparaison a v ec d'autres proto coles de v ote électronique . . 99
4.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
5 Un nouv eau proto cole de v ote électronique en ligne résistan t à la
co ercition 103
5.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.2 Le proto cole de Civitas . . . . . . . . . . . . . . . . . . . . . . . . . . 105
5.3 L'insécurité de la phase d'enregistremen t de Civitas . . . . . . . . . . 108
5.4 Notre proto cole de v ote électronique en ligne . . . . . . . . . . . . . . 109
5.4.1 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . . . 110
5.4.2 Capacités de l'adv ersaire . . . . . . . . . . . . . . . . . . . . . 110
5.4.3 Notations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
5.4.4 Notre proto cole sécurisé de la phase d'enregistremen t . . . . . 111
5.4.5 Phase de v ote . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.4.6 Phase de dép ouillemen t . . . . . . . . . . . . . . . . . . . . . 114
5.5 Analyse de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
5.5.1 Hyp othèses de sécurité . . . . . . . . . . . . . . . . . . . . . . 117
5.5.2 Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . . . 118
5.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
A Annexe 120
3

Liste des abréviations
BB Bulletin Board
BBB Ballot Bulletin Board
CBB Creden tial Bulletin Board
CDH Computational DieHellman
CR T Chinese Remainder Theorem
DDH Decisional DieHellman
DK G Distributed k ey generation
DLP Discrete Logarithm Problem
D VRP Designated V erier Re-encryption Pro of
NZKP Non-in teractiv e Zero-Kno wledge Pro of
PET Plain text Equiv alence T est
PVSS Publicly V eriable Secret Sharing
SE Secure Engine
VSS V eriable Secret Sharing
ZKP Zero-kno wledge pro of
4

Notations
EncG(m;pk;r ) cryptage d'un message m a v ec le cryptosystème d'ElGamal
Gq sous-group e cyclique de Z
p d'ordre premier q
L nom bre total des candidats
M nom bre total des v otan ts
N nom bre total des autorités électorales
N RA nom bre total des autorités électorales d'enregistremen t
N T A nom bre total des autorités électorales de dép ouillemen t
Z
p group e cyclique m uni de la m ultiplication mo dulo le nom bre premier p
g;h deux générateurs distincts du group e Gq
p;q deux grands nom bres premiers p etq tel queq divisep1 (qjp1 )
pk clé publique
r v ariable aléatoire c hoisie dans Zq
sk clé secrète
5

T able des gures
1.1 Cryptosystème symétrique : princip e de base . . . . . . . . . . . . . . 21
1.2 Cryptosystème asymétrique : princip e de base . . . . . . . . . . . . . 22
1.3 Ap erçu sur l'utilisation du v ote électronique dans le monde . . . . . . 33
2.1 Sc héma de Shamir construit sur une in terp olation de Lagrange . . . . 39
2.2 Sc héma de Blakley construit sur une in tersection de plans . . . . . . . 40
4.1 Ap erçu sur notre proto cole de v ote électronique . . . . . . . . . . . . 88
6

Liste des tableaux
2.1 Classe 1 : Analyse des propriétés de sécurité satisfaites . . . . . . . . 49
2.2 Classe 2 : Analyse des propriétés de sécurité satisfaites . . . . . . . . 52
2.3 Classe 3 : Analyse des propriétés de sécurité satisfaites . . . . . . . . 55
2.4 Classication : Analyse des propriétés de sécurité . . . . . . . . . . . 61
3.1 Comparaison de nos proto coles DK G a v ec les autres proto coles . . . . 79
4.1 Comparaison de notre proto cole a v ec les autres proto coles de v ote
électronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
A.1 Classe 1 : Primitiv es cryptographiques utilisées . . . . . . . . . . . . 120
A.2 Classe 2 : Primitiv es cryptographiques utilisées . . . . . . . . . . . . 120
A.3 Classe 3 : Primitiv es cryptographiques utilisées . . . . . . . . . . . . 121
7

In tro duction générale
L'histoire des élections remon te à l'ép o que de la Grèce an tique et de la Rome
an tique, où les cito y ens élisaien t les magistrats, les représen tan ts des assem blées du
p euple. La mise en ÷uvre des élections a c hangé au cours des ép o ques, du v ote à
main lev ée, au lancemen t des pierres et des pièces en argen t dans des sceaux, jusqu'à
remplir des bulletins en papier et les dép oser dans des urnes scellées.
Depuis les années 1960, les systèmes de v ote électroniques on t commencé à gagner
de l'in térêt grâce aux a v an tages m ultiples qu'ils oren t. Ces systèmes p ermetten t
d'assurer des élections précises, plus rapides et moins coûteuses. Seulemen t depuis les
années 1990, les systèmes de v ote électronique en ligne on t vu le jour. Ces systèmes
se rév èlen t être une solution prometteuse p our l'absen téisme des v otan ts car ils
p ermetten t aux v otan ts de v oter de n'imp orte quel endroit.
Les systèmes de v ote électronique doiv en t cep endan t rép ondre à un certain
nom bre de con train tes qui constituen t la garan tie de la v alidité du pro cessus de
v ote telles que la conden tialité du v ote, l'anon ymat des v otan ts, la résistance aux
manipulations, la v ériabilité des v otes, etc.. L`exp érimen tation des systèmes de
v ote électronique on t mon tré que ces derniers son t sujets à une v ariété d'attaques et
de failles de sécurité, bien plus imp ortan tes que celles considérées dans des élections
traditionnelles. La cryptographie p ermet de résoudre certains de ces problèmes de sé-
curité car elle app orte des garan ties et des briques de base sur lesquelles les systèmes
de v ote électronique p euv en t être construits. La cryptographie partagée p ermet à
son tour d'éliminer le b esoin de conance au niv eau des autorités électorales car elle
répartit le p ouv oir de prise de décision en tre plusieurs parties. Ceci p ermet d'évi-
ter qu'une seule autorité de conance ait le p ouv oir de décrypter ou de signer. P ar
exemple, il est plus pruden t de ne pas coner la clé de décryptage des bulletins de
v ote à une seule autorité électorale. Cette dernière p ourrait déc hirer les bulletins
de v ote et connaître le v ote de c haque v otan t. Elle p ourrait égalemen t obtenir des
informations à prop os du décompte partiel a v an t l'étap e de dép ouillemen t nal et
inuencer les in ten tions des v otan ts qui n'on t pas encore v oté.
Les tec hniques de partage de secret constituen t les briques de base de la crypto-
graphie partagée. Ils p ermetten t de diviser une donnée secrète, par exemple une clé
ou un mot de passe, en plusieurs parts réparties en tre un ensem ble de participan ts
de telle sorte que seule la coalition d'un certain nom bre d'en tre eux, mettan t en
8

INTR ODUCTION
comm un leurs informations, p ermet une reconstruction adéquate du secret original.
L'utilisation des tec hniques de partage de secret p ermet de répartir le p ouv oir
parmi les autorités électorales de telle sorte que plusieurs d'en tre elles soien t impli-
quées p our décrypter des bulletins de v ote, pro céder au dép ouillemen t ou prendre
une décision. Ceci p ermet de distribuer la conance p our atteindre un degré de sé-
curité plus imp ortan t : un attaquan t devra corrompre plus d'une seule autorité p our
récup érer certaines données secrètes.
L'ob jectif de cette thèse est de dénir des nouv eaux proto coles de v ote électro-
nique qui p ourron t ête utilisés p our mettre en place des systèmes de v ote électronique
sécurisés. La dénition de ces proto coles se base sur de nouv elles solutions de par-
tage de secret plus adéquates p our le v ote électronique. Nous exploitons ces solutions
p our remédier à certaines failles de sécurité dans les proto coles existan ts.
Dans un premier temps, nous nous p enc hons sur les proto coles de v ote électro-
niques existan ts en nous fo calisan t sur l'utilisation faite des tec hniques de partage de
secret dans ces proto coles. Nous prop osons une classication des proto coles de v ote
électronique en fonction des tec hniques de partage de secret utilisées. Nous cen trons
ensuite notre analyse sur les proto coles de génération de clé distribuée (DK G) qui
se basen t sur les tec hniques de partage de secret sans a v oir recours à une partie de
conance qui détien t initialemen t le secret partagé.
Nos tra v aux de rec herc hes nous on t conduits à dénir un nouv eau proto cole
DK G a v ec une nouv elle stratégie de gestion de plain tes qui iden tie clairemen t les
participan ts malhonnêtes. Notre prop osition émane d'une v olon té d'améliorer les
proto coles précéden ts qui se basen t sur une stratégie de gestion de plain tes inécasse,
utilisen t des canaux de comm unication secrets, et/ou utilisen t des calculs coûteux.
Dans un second temps, nous exploitons notre proto cole DK G p our dénir un
nouv eau proto cole de v ote électronique. Une clé secrète est partagée en tre les auto-
rités électorales a v ec le nouv eau proto cole DK G et elle est utilisée p our décrypter
les bulletins de v ote. Nous prop osons une nouv elle fonction simpliée et sûre p our
le cryptage des bulletins de v otes. Ce proto cole emp êc he l'ac hat et/ou la v en te des
v otes : il s'agit de la propriété de sans-reçu. Les v otan ts son t incapables de prouv er
la manière a v ec laquelle ils on t v oté. Notons que ce proto cole a été conçu p our être
destiné à des mac hines de v ote électronique (installées dans des bureaux de v ote ou
des endroits sécurisés).
P ar la suite, nous accordons un in térêt particulier aux proto coles de v ote électro-
niques en ligne car ils pro curen t b eaucoup de facilité, en p ermettan t aux v otan ts de
v oter à distance (de c hez eux par exemple). Ce t yp e de v ote a le grand a v an tage de
luter con tre l'absten tion des v otan ts. T outefois, les proto coles de v ote électroniques
en ligne devron t assurer que les v otan ts puissen t v oter sans crain te d'une menace de
la part d'un attaquan t. Il s'agit de la propriété de la résistance à la co ercition.
Nous analysons l'un des proto coles les plus conn us dans la littérature comme
9

INTR ODUCTION
étan t résistan ts à la co ercition. Il s'agit du proto cole de Civitas prop osé par Clark-
son et al. en 2008. Nous mon trons que ce proto cole est sujet à des attaques com-
promettan t le pro cessus d'enregistremen t des v otan ts. Nous prop osons à cet eet
un nouv eau proto cole de v ote en ligne basé sur une nouv elle phase d'enregistremen t
sécurisée con tre ces attaques tout en dimin uan t la complexité des calculs. Notre pro-
to cole garan tit la propriété de la résistance à la co ercition et p ermet à un v otan t de
soumettre un bulletin de v ote v alide malgré la présence d'un attaquan t qui l'oblige
à c hoisir un v ote particulier.
Le plan de ce mémoire s'articule autour de cinq c hapitres. Dans le premier c ha-
pitre, nous présen tons l'état de l'art des proto coles de v ote électronique. Dans le
deuxième c hapitre, nous étudions l'app ort de l'utilisation des tec hniques de partage
de secret dans les proto coles de v ote électronique et nous prop osons une classica-
tion à cet eet. Dans le troisième c hapitre, nous exp osons un proto cole DK G basé
sur une nouv elle stratégie de gestion de plain tes. Ce proto cole DK G est utilisé dans
le quatrième c hapitre comme brique de base p our dénir un nouv eau proto cole de
v ote électronique sans-reçu basé sur une nouv elle fonction de cryptage. Dans le der-
nier c hapitre, nous présen tons un nouv eau proto cole de v ote électronique en ligne
résistan t à la co ercition. Et nalemen t, nous clôturons ce mémoire par une conclu-
sion soulignan t les principaux app orts des tra v aux de rec herc he de cette thèse et les
p ersp ectiv es en visageables.
10

Chapitre 1
État de l'art sur les proto coles de
v ote électronique
Sommaire
1.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2 Généralités sur le v ote électronique . . . . . . . . . . . . 12
1.2.1 P articipan ts et mo dèle de comm unication . . . . . . . . . 13
1.2.2 Princip e général du pro cessus de v ote électronique . . . . 14
1.2.3 T yp es des systèmes de v ote électronique . . . . . . . . . . 15
1.3 Exigences de sécurité d'un proto cole de v ote électronique 16
1.4 Primitiv es cryptographiques . . . . . . . . . . . . . . . . . 17
1.4.1 Préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.4.2 Cryptosystèmes . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.3 F onction de hac hage . . . . . . . . . . . . . . . . . . . . . 23
1.4.4 Rec hiremen t . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.4.5 Preuv es à divulgation n ulle de connaissance . . . . . . . . 24
1.4.6 T est d'équiv alence en tre c hirés . . . . . . . . . . . . . . . 26
1.4.7 Creden tial anon yme . . . . . . . . . . . . . . . . . . . . . 27
1.5 T ec hniques sp éciques p our le v ote électronique . . . . . 27
1.5.1 Réseaux de mélangeurs . . . . . . . . . . . . . . . . . . . . 27
1.5.2 Chiremen t homomorphique . . . . . . . . . . . . . . . . 29
1.5.3 Signature en a v eugle . . . . . . . . . . . . . . . . . . . . . 31
1.5.4 P artage de secret . . . . . . . . . . . . . . . . . . . . . . . 32
1.6 Quelques exp ériences pratiques . . . . . . . . . . . . . . . 32
1.6.1 Les mac hines de v ote DRE aux P a ys-Bas . . . . . . . . . 34
1.6.2 Le système de v ote par In ternet en Estonie . . . . . . . . 34
1.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.1 In tro duction
Le v ote électronique, comme son nom l'indique, est un système électoral auto-
matisé à l'aide des mo y ens électroniques p our assurer le déroulemen t du pro cessus
complet de v ote. L'automatisation de ce pro cessus devrait préserv er le même ni-
v eau de sécurité que les élections traditionnelles. L'un des enjeux ma jeurs du v ote
électronique est d'assurer la sécurité du pro cessus complet du v ote. À cette n,
un ensem ble de tec hniques et de primitiv es cryptographiques son t utilisées an de
garan tir un certain niv eau de sécurité.
Ce premier c hapitre constitue une in tro duction au v ote électronique et aux primi-
tiv es cryptographiques utilisées dans ce domaine. Nous présen tons d'ab ord quelques
généralités sur le v ote électronique. Ensuite nous détaillons les propriétés de sécu-
rité que doiv en t satisfaire les proto coles de v ote électronique. Nous décriv ons par la
suite les principales primitiv es cryptographiques et les tec hniques sp éciques utili-
sées p our ces proto coles. Enn, nous présen tons quelques exp ériences pratiques du
v ote électronique dans diéren ts pa ys.
1.2 Généralités sur le v ote électronique
Comparé au v ote traditionnel, le v ote électronique est plus ecace rapide et
précis, moins coûteux, plus able (diculté de manipulation frauduleuse) et plus
démo cratique (les v otan ts p ourraien t v oter de n'imp orte où). Le v ote électronique
n'est pas destiné uniquemen t au v ote p olitique. Il est de plus en plus utilisé dans
les élections professionnelles (en treprises, banques, m utuelles, etc..), dans les conseils
d'administration, les conseils scien tiques on encore dans les c ham bres de commerce.
Comme le v ote traditionnel, le v ote électronique est un pro cessus qui p ermet de
préciser le c hoix d'une en tité v otan te, le v otan t, en tre plusieurs prop ositions. Cela
p eut aller d'une simple acceptation ou rejet d'une prop osition donnée, à un ou
plusieurs c hoix ordonnés ou non.
Il existe globalemen t deux t yp es de v ote électronique. Le premier t yp e est le v ote
hors ligne. Ce v ote est très similaire au v ote traditionnel car il conserv e les bureaux
de v ote et remplace les urnes et les bulletins de v ote par des mac hines électroniques.
Cette solution p ermet au v otan t d'a v oir la lib erté de v oter de n'imp orte quel bureau
de v ote. Ce t yp e de v ote assure égalemen t une rapidité et une plus grande ecacité
duran t la phase de dép ouillemen t des v otes. Le deuxième t yp e de v ote électronique
est le v ote en ligne. Il p ermet aux v otan ts de v oter à distance (de c hez eux par
exemple), soit par in ternet ou même par SMS. Ce t yp e de v ote à le grand a v an tage
de luter con tre l'absten tion des participan ts, d'économiser les frais de préparation
aux élections et bien évidemmen t d'accélérer le dép ouillemen t des v otes.
Les proto coles de v ote électronique fon t in terv enir diéren tes catégories de partici-
12

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
pan ts qui in téragissen t via un mo dèle de comm unication bien déterminé. Dans cette
section, nous commençons par une brèv e dénition des principaux in terv enan ts dans
le pro cessus d'un proto cole de v ote électronique et nous citons les diéren ts canaux
de comm unication adoptés par un tel proto cole. Nous présen tons par la suite le
princip e général du déroulemen t d'un pro cessus de v ote électronique. Enn, nous
exp osons les diéren ts t yp es des systèmes de v ote électronique existan ts.
1.2.1 P articipan ts et mo dèle de comm unication
Généralemen t, les principaux in terv enan ts dans un pro cessus de v ote électronique
son t les suiv an ts :
V otan t. Une p ersonne est considérée en tan t que v otan t si son iden tité gure
dans la liste électorale des v otan ts éligibles à v oter. Les v otan ts on t le droit de
v oter en expriman t leurs c hoix. Ils p euv en t égalemen t s'abstenir de v oter ou de
particip er au pro cessus du v ote. Dans ce cas, leurs v otes ne seron t pas pris en
considération.
Autorité électorale d'enregistremen t. Elle est c hargée d'autoriser les v otan ts
habilités à s'enregistrer. L'autorité d'enregistremen t détien t la liste électorale des
v otan ts légitimes.
Autorité électorale de dép ouillemen t. Elle est c hargée du dép ouillemen t des
bulletins de v ote. L'autorité de dép ouillemen t se c harge de comptabiliser les v otes
v alides exprimés par les v otan ts et de calculer le résultat nal des élections.
En général, p our éviter que le p ouv oir ne soit déten u par une seule autorité élec-
torale, l'aptitude à enregistrer les v otan ts habilités ou encore à calculer le résultat
nal de v ote est déléguée à plusieurs autorités électorales. A cet eet, la conance
et la puissance de calcul son t distribuées de telle sorte que le pro cessus de v ote
soit assuré par un sous-ensem ble d'autorités électorales honnêtes. Ainsi, les tec h-
niques de partage de secret son t utilisés an de distribuer la conance et d'orir un
mo y en forçan t la coalition d'un certain nom bre d'autorités électorales p our assurer
le b on déroulemen t du pro cessus global de v ote (v oir Chapitre 2). Ces tec hniques
p ermetten t d'atteindre un degré de sécurité plus imp ortan t : un attaquan t devra en
eet corrompre plus d'une autorité électorale p our altérer le pro cessus de v ote.
Les participan ts au pro cessus du v ote électronique in teragissen t à tra v ers des
canaux de comm unication sp éciques p our éc hanger et transmettre des messages
conden tiels. Un proto cole de v ote électronique rep ose habituellemen t sur les com-
p osan ts suiv an ts, à sa v oir :
Les canaux inobserv ables (un tappable c hannel). Un canal inobserv able
(ou inécoutable) est un canal secret à tra v ers lequel une en tité A p eut en v o y er un
message conden tiel à une autre en tité B en toute sécurité. Le message en v o y é
à tra v ers un canal inobserv able ne p eut être accessible par d'autres en tités. De
plus, les en tités A etB son t incapables de prouv er ce qui a été en v o y é ou reçu
13

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
à tra v ers ce canal. Dans le con texte du v ote électronique, on supp ose l'existence
d'un tel canal en tre le v otan t et les autorités électorales.
Les canaux anon ymes (anon ymous c hannels). Comme son nom l'indique,
un canal anon yme p ermet de garan tir l'anon ymat de l'exp éditeur. Le destinataire
à qui le message a été en v o y é est incapable d'iden tier l'iden tité de l'exp éditeur.
Ainsi, il n'est pas p ossible d'établir un lien en tre le message et son exp éditeur.
Dans le con texte du v ote électronique, on supp ose en général que le v otan t soumet
son v ote à tra v ers un canal anon yme. Ceci p ermet de préserv er l'anon ymat du
v otan t : p ersonne ne p ourra établir un lien en tre l'iden tité du v otan t et son
v ote. L'implémen tation de ces canaux p eut être eectuée a v ec des réseaux de
mélangeurs (v oir Section 1.5.1).
Le tableau de v ote (bulletin b oard). Un tableau de v ote est public : il est
accessible par tout le monde en lecture. T outefois, seules les en tités légitimes
disp osen t d'un accès en écriture ; par exemple, seuls les v otan ts éligibles à v oter
auron t le droit de publier leurs bulletins de v ote cryptés sur le tableau de v ote.
Aucune en tité n'a le droit de mo dier ou de supprimer les informations publiées
sur le tableau de v ote.
1.2.2 Princip e général du pro cessus de v ote électronique
Un proto cole de v ote électronique se déroule en diéren tes phases qui comp osen t
le pro cessus complet de v ote. Nous dénissons ces phases comme suit :
Phase1 : Initialisation. Duran t cette phase, une ou plusieurs autorités électo-
rales se c hargen t de générer les paramètres et les données nécessaires à l'op ération
électorale. Ils annoncen t les élections, form ulen t la liste des candidats et les p os-
sibilités de c hoix p our v oter, etc. . . .
Phase2 : Enregistremen t. Duran t cette phase, les v otan ts qui on t le droit de
v oter, s'enregistren t auprès des autorités électorales d'enregistremen t. Ces der-
nières créen t alors la liste de tous les v otan ts habilités qui se son t enregistrés et
la publien t.
Phase3 : Phase de v ote. Duran t cette phase, c haque v otan t doit crypter et
transmettre son bulletin de v ote aux autorités électorales. Il p eut égalemen t le
publier d'une façon anon yme sur le tableau de v ote public. Les bulletins de v ote
son t cryptés à l'aide d'un ensem ble de primitiv es cryptographiques. En général,
en plus de son bulletin de v ote, le v otan t devra égalemen t fournir une preuv e de
la v alidité de son v ote.
Phase4 : Dép ouillemen t. Duran t cette phase, les autorités de dép ouillemen t
utilisen t leurs informations publiques et secrètes p our décrypter les bulletins de
v ote v alides et compter les v otes. Ils publien t le résultat nal des élections a v ec
une preuv e de sa v alidité.
14

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.2.3 T yp es des systèmes de v ote électronique
Il existe diéren ts systèmes de v ote électronique [MAAS13]. Les premiers sys-
tèmes que nous p ouv ons citer son t les mac hines d'enregistremen t électronique directe
(ou Direct Recording Electronic (DRE) systems). Il s'agit d'un système électronique
hors ligne (tel qu'un système à écran tactile) placé dans un bureau de v ote an de
p ermettre à un v otan t de v oter. Les v otes son t sto c k és lo calemen t sur des disp ositifs
électroniques à mémoire (comme une carte mémoire ou un disque compact). A la n
du pro cessus de v ote, les autorités électorales transp orten t les disp ositifs mémoires
qui sto c k en t les v aleurs des v otes à un emplacemen t cen tralisé p our le comptage, de
la même façon qu'ils le feron t a v ec des bulletins de v ote sur papier.
Il existe d'autres systèmes de v ote électronique en ligne, qui se basen t sur l'utili-
sation d'une mac hine de v ote (ou un ordinateur p ersonnel) et d'un réseau, qui p eut
être un réseau priv é ou tout simplemen t In ternet. Ces systèmes de v ote p ermetten t
d'améliorer la commo dité du v ote et d'augmen ter la participation électorale. Ce t yp e
de système de v ote p eut être mis en place de diéren tes façons, à sa v oir :
Mac hines de v ote électronique dans les bureaux de v ote (P oll station
electronic v oting systems). Les systèmes utilisan t des mac hines de v ote pla-
cées dans les bureaux de v ote exigen t que les v otan ts se renden t aux bureaux
de v ote traditionnels an de v oter. Les bureaux de v ote son t surv eillés par un
p ersonnel électoral qui se c harge d'iden tier les v otan ts. A cet eet, les mac hines
ne s'o ccup en t pas de l'iden tication des v otan ts et se con ten ten t de comptabili-
ser leurs v otes. Les v otes son t comptés lo calemen t ou en v o y és à distance p our le
décompte. Un réseau est utilisé p our transférer les bulletins de v ote de c haque
bureau de v ote v ers un serv eur cen tralisé où les v otes seron t comptabilisés.
Kiosques de v ote électronique (Kiosk electronic v oting systems). Les
kiosques de v ote électronique p ermetten t aux électeurs de v oter en utilisan t des
mac hines de v ote installés par les autorités de v ote dans des endroits appropriés
tels que les bureaux de p oste ou les cen tres commerciaux. Dans ce cas, l'authen ti-
cation des v otan ts est assurée par les kiosques de v ote électroniques. Ces mac hines
son t connectées à un serv eur cen tral via In ternet ou un réseau priv é. Chaque v ote
sera immédiatemen t transmis à tra v ers le réseau au serv eur cen tralisé de comp-
tage. Les kiosques de v ote électronique ne son t pas surv eillés en p ermanence par
du p ersonnel électoral et p ermetten t parfois le v ote sur une p ério de s'étalan t sur
plusieurs jours ou plusieurs semaines.
V ote par In ternet (In ternet v oting). Les systèmes de v ote électronique par
In ternet p ermetten t aux v otan ts de ne plus se déplacer dans des bureaux de
v otes et de v oter à distance (à la maison ou au tra v ail par exemple) à partir de
n'imp orte quel ordinateur connecté à In ternet. Ainsi, ces systèmes p ermetten t
de luter con tre l'absten tion des v otan ts. T outefois, l'insécurité des ordinateurs à
domiciles et des réseaux publiques p ose le problème ma jeur de ces systèmes. Ces
15

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
derniers p einen t à satisfaire certaines propriétés de sécurité comme le secret de
v ote et la résistance à la co ercition. Il est très dicile d'emp êc her qu'on force un
v otan t de v oter d'une certaine manière.
1.3 Exigences de sécurité d'un proto cole de v ote
électronique
Les proto coles de v ote électronique doiv en t rép ondre à un certain nom bre d'exi-
gences de sécurité qui constituen t la garan tie de la v alidité du pro cessus de v ote.
Ceci constitue un enjeu ma jeur lors de la dénition d'un proto cole de v ote électro-
nique. Ces exigences on t été in tensémen t étudiées dans la littérature [QT07, Gri02,
MGK02, MAAS13, SP06] et plusieurs dénitions on t été prop osées à ce prop os. En
outre, certaines dénitions d'une même exigence son t parfois présen tées diérem-
men t par les auteurs comme décrit dans [FDL07].
Dans ce qui suit, nous présen tons les principales exigences de sécurité que nous
v oulons assurer lors de la dénition de nos proto coles de v ote électronique. Nous
hiérarc hisons ces exigences en deux catégories : les exigences de bases et les exigences
a v ancées [LK02].
Les exigences de base son t satisfaites dans la plupart des proto coles de v ote électro-
nique et leur mise en ÷uvre est relativ emen t facile. Les exigences de bases son t les
suiv an tes :
Secret du v ote. Cette exigence garan tit à la fois la conden tialité du v ote et
l'anon ymat du v otan t :
Conden tialité du v ote. T ous les v otes doiv en t être ten us secrets.
Anon ymat du v otan t. P ersonne ne doit être habilité à établir un lien en tre
l'iden tité du v otan t et son v ote.
Authen tication. Dans les proto cole de v ote électronique, nous distinguons
deux t yp es d'authen tication :
Authen tication du v otan t (Éligibilité). Cette propriété garan tit que
seuls les v otan ts légitimes, qui on t le droit de v oter, p euv en t particip er au
pro cessus de v ote.
Authen tication du v ote. Cette propriété est utilisée p our v érier que le
v ote émis émane bien de celui qui l'a en v o y é.
In tégrité. Cette propriété garan tit que le con ten u d'un v ote n'a pas été mo dié
ou altéré de façon non autorisée.
Double v ote. Aucun v otan t ne p eut v oter deux fois dans la même élection.
Résultat partiel. Aucun participan t ne p eut a v oir des informations, à l'excep-
tion de son v ote, à prop os du décompte (partiel) a v an t l'étap e du comptage nal.
La connaissance du décompte partiel p ourrait aecter les in ten tions des v otan ts
16

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
qui n'on t pas encore v oté.
Scalabilité : La complexité des proto coles utilisés dans un proto cole de v ote
est un facteur imp ortan t dans sa mise en ÷uvre pratique. Un proto cole de v ote
ecace doit être év olutif en ce qui concerne les b esoins de sto c k age, de calcul et
de comm unication p our accueillir un plus grand nom bre de v otan ts.
Les exigences a v ancées son t b eaucoup plus diciles à mettre en ÷uvre. Dans
de nom breux cas ils nécessiten t des comm unications et des calculs complexes. Les
exigences a v ancées son t les suiv an tes :
Robustesse Un comp ortemen t inadéquat de n-coalition d'autorités p eut être
toléré (n-Robustesse). Aucune coalition d'un sous-ensem ble d'autorités malhon-
nêtes ne p eut p erturb er l'élection.
Sans-reçu. La propriété de sans reçu assure qu'aucun v otan t ne doit être capable
de prouv er la manière a v ec laquelle il a v oté.
Résistance à la co ercition. La propriété de la résistance à la co ercition assure
qu'un attaquan t ne p eut pas forcer un v otan t de v oter d'une certaine manière et
de v érier le v ote soumis par la suite. Il s'agit d'une propriété plus forte que la
propriété de sans reçu.
Vériabilité. Il y a deux t yp es de v ériabilité :
Vériabilité individuelle. Chaque v otan t p eut v érier que son v ote a été
correctemen t comptabilisé.
Vériabilité univ erselle. N'imp orte qui p eut v érier le fait que le résultat
de décompte publié est correctemen t calculé à partir des bulletins de v ote
correctemen t collectés.
Il faut noter que certaines des exigences de sécurité requises sem blen t être con tradic-
toires. Comme men tionné dans [CMFP+10], il existe des propriétés incompatibles
dans les proto coles de v ote. P ar exemple, il n'est pas éviden t de satisfaire la v éri-
abilité univ erselle du résultat de v ote et le sans-reçu à la fois. En eet, les mes-
sages éc hangés et les données aléatoires c hoisis par le v otan t son t utiles p our v érier
que son v ote a été pris en compte, mais p euv en t être utilisés par ce dernier p our
construire un reçu prouv an t p our qui il a v oté. P our remédier à ce problème, il est
p ossible de fournir au v otan t un reçu qui reète son bulletin mais ne reète pas son
v ote. Il est égalemen t p ossible d'utiliser une preuv e destinée uniquemen t au v otan t
et qui est complètemen t in utile lorsqu'elle est transférée à toute autre partie.
1.4 Primitiv es cryptographiques
Les proto coles de v ote électroniques utilisen t comme briques de base des primi-
tiv es cryptographiques an de satisfaire les exigences de sécurité du pro cessus de
v ote. Dans cette section, nous présen tons les primitiv es cryptographiques les plus
utilisées dans le con texte du v ote électronique.
17

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.4.1 Préliminaires
P ar dénition, un problème est dit dicile s'il n'existe pas d'algorithme conn u
p olynomial p our le résoudre. Ainsi, comme nous p ouv ons le v oir, un problème est
dit dicile ou non suiv an t les connaissances scien tiques à un momen t donné. Au-
tremen t dit, l'év olution des sa v oirs p ourrait év en tuellemen t c hanger la nature de
certains problèmes.
a. Le problème du logarithme discret
Commençons par dénir ce qu'est le problème du logarithme discret, noté DLP
(Discrete Logarithm Problem). Soit G un group e cyclique1d'ordre premier p que
l'on note m ultiplicativ emen t. Soit g un générateur du group e G , on a donc G=
1;g1;g2;:::;g(p1). Ainsi, tout élémen t y du group e G s'écrit d'une unique façon
sous la forme :
y=gx; 0xp1
L'exp osan t x est app elé le logarithme discret de l'élémen t y dans la base g . Le
problème du logarithme discret dans G est de retrouv er x tel quey=gx. Cep endan t
ce problème n'a de sens que si G est c hoisi de tel façon que le calcul du logarithme
discret dans ce group e est infaisable. Dans ce qui suit, nous présen tons les group es
les plus utilisés où la résolution du problème du logarithme s'a v ère dicile.
Group es m ultiplicatifs de corps nis Le premier group e non trivial prop osé a
été le group e Z
p= (Z=pZ )lorsqu'il est cyclique, constitué des en tiers de l'in terv alle
1;:::;p1 et m uni de la m ultiplication mo dulo le nom bre premier p .
Le problème du logarithme discret est dicile dans ce group e, mais pas autan t
que dans un group e générique. En eet, on connaît des algorithmes sous-exp onen tiels
p our le résoudre. Ceci a des conséquences sur la taille du group e à utiliser de manière
à ce que le problème du logarithme discret soit infaisable. Le nom bre premier p doit
s'écrire au minim um sur 1024 bits, ce qui assure à p eu près la même sécurité qu'un
group e générique d'ordre 160 bits [Sti05]. On p eut remarquer qu'il est p ossible de
tra v ailler dans des sous-group es de group es m ultiplicatifs, si l'on disp ose p our ces
sous-group es d'une représen tation ecace. A cet eet, le second group e prop osé est
le sous group e cyclique d'ordre premier q deZ
p , tel queq divisep1 . Notons que
les élémen ts de ce sous-group e s'écriv en t naturellemen t dans le group e Z
p , comme
des nom bres de l'in terv alle 1;:::;p1 . Le sous group e cyclique d'ordre q deZ
p est
in téressan t car il se comp orte comme un group e générique. On disp ose donc de deux
métho des p our résoudre le problème du logarithme discret dans ce sous group e :
1. Un group e cyclique est un group e de cardinalité nie dans lequel il existe un élémen t g tel
que tout élémen t du group e puisse s'exprimer sous forme d'une puissance de g . L' élémen t g est
app elé générateur du group e.
18

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
soit utiliser un algorithme générique dans le sous-group e d'ordre q , soit utiliser un
algorithme sous-exp onen tiel dans le group e Z
p [Sti05]. On a tout in térêt à adapter
les tailles de p et deq p our que ces deux métho des soien t à p eu près du même ordre
de diculté. De ce fait, les nom bres p etq son t sélectionnés de façon à rendre en
pratique le calcul du logarithme discret infaisable (par exemple 1024 bits p our p et
160 bits p our q ).
L'a v an tage de l'utilisation de ce sous-group e est de dimin uer la taille des exp o-
san ts à utiliser. En eet, si on c hoisit un group e d'ordre q , les exp osan ts son t compris
en tre 0 etq1 . En rev anc he, on ne gagne rien au niv eau de la taille des élémen ts
puisqu' ils appartiennen t aux en tiers du group e Z
p .
Group e des p oin ts d'une courb e elliptique Un autre exemple de group e prop osé
est le group e des p oin ts des courb es elliptiques dénies sur les corps nis. Il n'y a pas
d'algorithme sous-exp onen tiel conn u p our résoudre le problème du logarithme discret
sur les courb es elliptiques en général. Elles constituen t donc d'excellen tes candidates
p our le group e G . L'a v an tage ici est double : on utilise non seulemen t des exp osan ts
plus p etits, mais aussi des représen tations des élémen ts qui son t naturellemen t plus
courtes. Notons que les group es m ultiplicatifs de corps nis oren t une moins grande
sécurité que les courb es elliptiques, à taille de clé sem blable. Ainsi, le calcul de
logarithmes discrets dans le group e des p oin ts d'une courb e elliptique dénie sur
un corps premier de 160 bits est de diculté à p eu près équiv alen te à un calcul de
logarithmes discrets dans un corps premier de 1024 bits [Sti05]. À niv eau de sécurité
égal, il est p ossible d'utiliser des clés de c hiremen t de taille inférieure à celles qui
son t nécessaires p our Z
p .
b. Le problème calculatoire de Die-Hellman : CDH
Le problème calculatoire de Die-Hellman noté CDH (Computational Die-
Hellman problem) revien t à calculer la v aleur gabconnaissan t gaetgb, a v eca;b2Zq .
Il est clair que ce problème est réductible au problème du logarithme discret. En eet,
si on sait résoudre le problème du logarithme discret, qui consiste à retrouv er a si on
connaît l'élémen t ga, alors on sait aussi résoudre le problème CDH en calculan t (gb)a.
Nous a v ons donc la réduction suiv an te : CDHpDLP . En rev anc he, dans l'autre
sens on ne sait pas si le problème du logarithme discret est en général réductible au
problème calculatoire de Die-Hellman [Mau94, MW99].
c. Le problème décisionnel de Die-Hellman : DDH
Une v ersion décisionnelle du problème DDH a été in tro duite en 1993 dans
[Bra93]. Il s'agit du problème décisionnel Die-Hellman noté DDH (Decisional
Die-Hellman problem) déni comme suit : étan t donnés les trois v aleurs ga,gbet
19

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
z , le problème DDH revien t à décider si z?=gab. Il est clair que le problème DDH
est réductible au problème CDH . Ce problème est plus simple que le problème cal-
culatoire de Die-Hellman qui consiste à calculer gab, mais il est dicile à résoudre
comme l'a prouv é Boneh dans [Bon98]. Nous obtenons donc la réduction suiv an te :
DDHpCDH . Nous p ouv ons donc conclure que la résolution du logarithme dis-
cret p ermet de résoudre les problèmes Die-Hellman. De même, la résolution du
problèmeCDH implique la résolution du problème DDH , il s'ensuit la réduction
suiv an te en tre DLP ,CDH etDDH :DDHpCDHpDLP .
1.4.2 Cryptosystèmes
Un cryptosystème est un système cryptographique p ermettan t à deux in terlo cu-
teurs, que l'on nomme con v en tionnellemen t A etB , d'éc hanger en toute sécurité des
messages conden tiels à tra v ers des canaux de comm unication non sécurisés. L'idée
étan t de cac her un message conden tiel m dans une sorte de b oîte fermée à clé de
telle sorte que seuls les p ersonnes habilitées auron t accès à la v aleur de m par la
connaissance d'une clé sp écique secrète.
Généralemen t, un cryptosystème est constitué d'une suite d'algorithmes cryptogra-
phiques notés (Gen;Enc;Dec ) , oùGen est un algorithme de génération de clé(s),
Enc est l'algorithme de cryptage et Dec est l'algorithme de décryptage corresp on-
dan t. A cet eet, p our en v o y er un message m àB ,A utilise l'algorithme de cryptage
Enc (paramétré a v ec les clés générées par Gen ) p our calculer le message crypté
c=Enc(m) . La v aleur de c ne donne aucune information quan t au con ten u du
message original m . P our décrypter c ,B utilise l'algorithme de décryptage Dec (pa-
ramétré a v ec les clés générées par Gen ) et retrouv e le message en clair m tel que
m=Dec(c) .
Il faut noter qu'il existe deux grandes familles de cryptosystèmes : les cryptosys-
tèmes symétriques et les cryptosystèmes asymétriques.
a. Cryptosystèmes symétriques
Les cryptosystèmes symétriques (ou à clé secrète) rep osen t sur l'utilisation d'une
seule clé. La même clé secrète est utilisée à la fois p our le cryptage et le décryptage
d'un message m . Soitsk la clé secrète d'un crytosystème symétrique générée a v ec
l'algorithme de génération de clé Gen . La clésk est conn ue à l'a v ance uniquemen t
par les in terlo cuteurs A etB souhaitan t éc hanger un message conden tiel m . P our
en v o y er le message m àB ,A utilisesk p our c hirer m et calculeEnc(m) =c .B
utilise la même clé secrète sk p our déc hirer le message m en calculan t Dec(c) =m .
Ici, les algorithmes cryptographiques de cryptage Enc et de décryptage Dec son t
paramétrées par la même clé secrète sk (v oir gure 4.1).
Un a v an tage imp ortan t de l'utilisation des cryptosystèmes symétriques est la
20

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Figure 1.1  Cryptosystème symétrique : princip e de base
rapidité d'exécution au niv eau des étap es de cryptage et de décryptage. T outefois,
l'incon v énien t ma jeur de l'utilisation de ces cryptosystèmes réside dans la gestion
de clés don t le nom bre augmen te en fonction du nom bre de participan ts. Dans un
système basé sur un c hiremen t symétrique a v ec n participan ts, il faudrait utiliser
n(n1)=2 clés secrètes [Ste03]. De plus, les cryptosystèmes symétriques nécessiten t
l'utilisation d'un canal secret p our éc hanger la clé secrète sk en tre les in terlo cuteurs.
b. Cryptosystèmes asymétriques
Les cryptosystèmes asymétriques (ou à clé publique) rep osen t sur l'utilisation
d'une paire de clés. La première clé est publique et est utilisée p our crypter le
messagem . La seconde clé est priv ée et sert à décrypter le message m .
Soitsk la clé secrète d'un cryptosystème symétrique, et pk la clé publique de ce
même système. La paire de clés (pk;sk ) est générée a v ec l'algorithme de génération
de clésGen . La clépk est conn ue à l'a v ance par tous le monde et p eut être diusée
par exemple sur un ann uaire électronique.
Seul le récepteur du message m p ossède la clé secrète sk . Ainsi, il est le seul à
a v oir l'aptitude à le décrypter. Reprenons l'exemple des deux in terlo cuteurs A etB
souhaitan t éc hanger un message m . La clé publique pk est conn ue par tout le monde,
en particulier A etB . P ar con tre, seul B (le récepteur du message m ) connait la clé
secrètesk . A cet eet, p our en v o y er le message m àB ,A utilisepk p our c hirer
m et calculeEnc(m) =c et l'en v oie à B . Ici, l'algorithme cryptographique de
cryptageEnc utilise comme paramètre la clé publique pk p our crypter m . P our
retrouv er le message original m ,B utilise sa clé secrète sk en calculan t Dec(c) =m .
Ici, l'algorithme cryptographique de déc hiremen t Dec est paramétrées par la clé
21

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
secrètesk (v oir gure 1.2).
Figure 1.2  Cryptosystème asymétrique : princip e de base
Un a v an tage imp ortan t des cryptosystèmes asymétriques par rapp ort aux cryp-
tosystèmes symétriques est qu'aucun canal secret n'est nécessaire p our éc hanger la
clé publique. De plus, les cryptosystèmes asymétriques relèv en t moins de problèmes
que les cryptosystèmes symétriques quan t à la gestion du nom bre de clés. Seulemen t
2n clés son t nécessaires p our n participan ts. P ar con tre, l'incon v énien t de l'utilisa-
tion des cryptosystèmes asymétriques, notammen t par rapp ort aux cryptosystèmes
symétriques, est la len teur de l'exécution des étap es de cryptage et de décryptage.
Dans ce qui suit, nous présen tons Le cryptosystème d' ElGamal. Ce dernier est
le cryptosystème le plus conn u et le plus utilisé des cryptosystèmes asymétriques.
Le cryptosystème d'ElGamal
Le cryptosystème d'ELGamal est un cryptosystème asymétrique qui a été in v en té
en 1985 par T aher ElGamal [ElG85]. La sécurité de ce cryptosystème se base sur
le problème du Logarithme Discret (DLP), ou plus précisémen t sur le problème de
Die-Hellman2. Le princip e du cryptosystème d'ElGamal p eut être résumé comme
suit : A et B, les deux parties de la comm unication se metten t d'accord et génèren t
deux grands nom bres premiers p etq (tel queqjp1 ) et un générateur g d'un sous-
group e cyclique Gq deZ
p d'ordre premier q . Dans ce qui suit, les calculs de la forme
gson t eectu ´ es dansZ
p . L'exp éditeur A v eut en v o y er un message conden tiel
m2Gq au destinataire B .B commence par c hoisir une clé secrète sk2RZq , et
2. L'in v ersion du c hiremen t du cryptosystème ElGamal est équiv alen te au problème Die-
Hellman Calculatoire (CDH). La sécurité séman tique du du cryptosystème ElGamal est équiv alen te
au problème Die-Hellman Décisionnel (DDH).
22

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
diuse sa clé publique pk=gsk. P our crypter un message m p our B, A utilise la
fonction de cryptage du cryptosystème d'ElGamal que l'on note EncG .A c hoisit
aléatoiremen t un en tier r2Zq et calculeEncG(m;pk;r ) , tel que :
EncG(m;pk;r ) = (X;Y) = (gr;m:pkr)
P our déc hirer le message m ,B utilise la fonction de décryptage du cryptosystème
ElGamal que l'on note DecG et calcule :
DecG(m) =Y
Xsk=m(pk)r
(gr)sk=m(gsk)r
(gr)sk=m
Notons que le cryptosystème d'ElGamal est un cryptosystème probabiliste : p our
un crypter un message m il faut utiliser à c haque fois un paramètre r2Zq aléatoire.
A cet eet, le même message m c hiré à deux momen ts diéren ts donnera deux
messages cryptés distincts.
Cryptosystèmes à seuil
En cryptographie, un cryptosystème est app elé cryptosystème à seuil, si, p our
déc hirer un message crypté, plusieurs parties (le nom bre de ces parties est sup érieur
à un certain seuil) doiv en t co op érer p our parv enir à décrypter le message c hiré. Ce
message est c hiré a v ec une clé publique. La clé priv ée corresp ondan te est partagée
en tre les parties participan tes en utilisan t les tec hniques de partage de secret (V oir
Chapitre 3). Soit n le nom bre total des parties participan tes et t le nom bre minimal
de parties qui doiv en t co op érer p our décrypter le message. Ce cryptosystème à seuil
est noté (t;n) , si au moins t de ces parties p euv en t décrypter le message c hiré, alors
que moins que t ne p ossèden t aucune information utile.
1.4.3 F onction de hac hage
Une fonction de hac hage H(m) est une fonction qui prend en en trée un message
m de taille arbitraire et le con v ertit en un message de taille xe (inférieure à la
taille initiale, t ypiquemen t 128, 160 ou 256 bits). Le message obten u en sortie est
app elé emprein te ou hac hé du message. Une fonction de hac hage doit satisfaire les
propriétés suiv an tes :
Sens unique. Il est facile de calculer l'emprein te d'un message m , par con tre
il est très dicile de retrouv er le message original m à partir de son emprein te
H(m) .
Résistance aux collisions. Il est très dicile de trouv er deux messages aléa-
toires a y an t le même hac hé ; c'est-à-dire qu'il est très dicile d'obtenir deux
messagesm1 etm2 tel queH(m1) =H(m2) (a v ecm16=m2 ).
23

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Résistance à une deuxième pré-image. À partir d'un message et de son
hac hé, il est très dicile de trouv er un autre message a y an t le même hac hé.
Autremen t dit, à partir de m1 et de son hac hé H(m1) , il est très dicile de
générer un autre message m2 tel queH(m1) =H(m2) .
Les fonctions de hac hage est d'une grande utilité dans le con texte de la signature
n umérique. En eet, signer de longs messages p eut s'a v érer coûteux en termes de
calcul. Étan t donné que le hashé d'un message m est de taille xe et inférieur au
message original, il serait plus pratique de signer le hashé du message, plutôt que le
message lui-même.
1.4.4 Rec hiremen t
SoitEnc une fonction de c hiremen t asymétrique probabiliste qui prend en en-
trée un message m et une v aleur aléatoire r et qui pro duit en sortie un c hiré c tel
quec=Enc(m;r) . Une fonction de rec hiremen t notée ReEnc prend en en trée le
c hiréc et une autre v aleur aléatoire r(diéren te de la v aleur r qui a été utilisée
p our calculer c ) et pro duit en sortie un autre c hiré noté cf tel que :
ReEnc (c;r) =Enc(m;r+r)
Prenons le cas d'un messages m c hiré a v ec le cryptosystème ElGamal el la v aleur
aléatoirer2RZq , tel queEncG(m;pk;r ) = (X;Y) = (gr;m:pkr) . En utilisan t la
fonction de rec hiremen t que nous notons ReEncG(m;r) a v ec la v aleur aléatoire
r2RZq , nous obtenons :
ReEncG(m;r) = (Xf;Yf) = (X:gr;Y:pkr) = (gr+r;m:pkr+r) =EncG(m;pk;r +r)
C'est sur ce princip e que se base le princip e rec hiremen t. Il p ermet de mo dier la
v aleur de la v ariable aléatoire utilisée par la fonction de c hiremen t, sans connais-
sance du message m . Ceci p ermet de mo dier la v aleur du c hiré sans mo dier le
con ten u du message original et sans en connaitre le con ten u. Ce mécanisme est utilisé
notammen t par les réseaux de mélangeurs (v oir section 1.5.1) p our lutter con tre la
traçabilité. Il est aussi utilisée dans certains proto coles de v ote, comme le proto cole
de Lee et Kim [LK02], p our assurer la propriété de sans-reçu.
1.4.5 Preuv es à divulgation n ulle de connaissance
Comme son nom l'indique, une preuv e à divulgation n ulle de connaissance notée
ZKP (Zero-Kno wledge Pro of ) consiste à prouv er à un v éricateur la connaissance
d'un secret, sans rien rév éler sur celui-ci. En pratique, ce sc héma se présen te souv en t
sous la forme d'un proto cole de t yp e stim ulation/rép onse (c hallenge/resp onse).
Le prouv eur et le v éricateur s'éc hangen t des informations p ermettan t à ce dernier
24

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
de s'assurer de la v alidité de la preuv e à la n de la comm unication. On distingue
en tre une preuv e in teractiv e dans laquelle le prouv eur et le v éricateur s'éc hangen t
plus d'un message en tre eux, et une preuv e non-in teractiv e au cours de laquelle le
prouv eur en v oie sa preuv e une fois p our toute et le v éricateur conclura en se basan t
uniquemen t sur les informations con ten ues dans la preuv e.
La dénition d'une solution du v ote électronique nécessite l'utilisation des preuv es
ZKP . Elles p ermetten t de v érier par exemple la v alidité du bulletin de v ote crypté
en v o y é par le v otan t, sans rien rév éler sur la v aleur de son v ote, ou encore de s'assurer
que les autorités de comptage on t publié un résultat qui corresp ond bien à la somme
des v otes qui on t été p ostés, sans dév oiler égalemen t la v aleur des v otes individuels
des v otan ts.
Nous présen tons dans ce qui suit les preuv es ZKP les plus utilisées p our la
dénition des proto coles de v ote électronique.
Preuv e qu' un message c hiré est dans un ensem ble donné de v aleurs
En 2002, Lee et Kim on t dénit une preuv e p ermettan t de sa v oir si un message
m c hiré est v alide et est dans un ensem ble donné de v aleurs sans rév éler aucune
information sur le con ten u du message [LK02]. La preuv e est basée sur la tec hnique
in tro duite dans [CDS94]. Soit SETM l'ensem ble de messages v alides tel que SETM=
m1;m 2;:::;mL . Le prouv eur P doit prouv er à un v éricateur V que son message m
est v alide, autremen t dit qu'il appartien t à l'ensem ble SETM sans dév oiler le con ten u
dem .
Dans les proto coles de v ote électronique, cette preuv e est utilisée p our garan tir
l'exactitude de la v aleur du v ote con ten u dans le bulletin crypté, sans dév oiler celui-
ci. Ainsi, il est p ossible de v érier la v alidité du c hoix du v otan t tout en préserv an t
la conden tialité du v ote.
Preuv e de l'égalité des logarithmes discrets
Cette preuv e se réalise par le proto cole de Chaum-P edersen [CP92] et p ermet
de prouv er l'égalité de deux logarithmes discrets dans deux bases diéren tes. Soit g
eth deux élémen ts indép endan ts du group e cyclique Z
p d'ordre premier q , tel que
le calcul du logarithme discret dans ce group e est infaisable. Un prouv eur P v eut
con v aincre un v éricateur V la connaissance d'une v aleur 2Z
p satisfaisan t x=g
ety=h. Autremen t dit, il v eut prouv er que logg() =logh() et quex ety on t le
même logarithme discret dans les base g eth , resp ectiv emen t, sans dév oiler la v aleur
de .
Dans les proto coles de v ote électronique, cette preuv e p eut être utilisée duran t
la phase de dép ouillemen t p our garan tir l'exactitude du résultat nal fourni par les
autorités électorales de dép ouillemen t.
25

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Preuv e de re-c hiremen t à v éricateur désigné
Une preuv e de re-c hiremen t à v éricateur désigné [JSI96] (D VRP) est une
preuv e qui con v ainc uniquemen t un v éricateur bien déterminé que le message re-
c hiré corresp ond b el et bien à un c hiremen t v alide du message original. Le v éri-
cateur, à qui la preuv e est destinée, est le seul qui puisse v érier la v alidité ou la non
v alidité du re-c hiremen t. La preuv e DVRP est calculée à l'aide de la clé publique
du v éricateur p our que seul ce dernier p ourra la v érier en utilisan t sa clé priv ée.
Cette preuv e est complètemen t in utile lorsqu'elle est transférée à toute autre en tité.
Dans le con texte du v ote électronique, la preuv e DVRP p eut s'utiliser en com bi-
naison a v ec la tec hnique de re-c hiremen t p our prouv er à un v otan t que son bulletin
de v ote à été correctemen t re-c hiré tout en évitan t de lui fournir un reçu prou-
v an t le con ten u de son v ote. La preuv e DVRP p eut être égalemen t utilisé a v ec les
réseaux de mélangeurs à re-c hiremen t (v oir section 1.5.1). Dans ce cas, c haque ser-
v eur dans le réseau de mélangeurs doit fournir au suiv an t une preuv e mon tran t que
les messages en sortie son t des re-c hiremen ts v alides p our les messages en en trée
sans dév oiler les v aleurs de ces messages et les v aleurs aléatoires utilisées p our le
re-c hiremen t. Ceci p ermet de garan tir l'in tégrité des messages et de rep érer les
serv eurs malhonnêtes.
1.4.6 T est d'équiv alence en tre c hirés
La comparaison de messages c hirés (ou PET, Plain text Equalit y T est), consiste
à comparer deux messages c hirés sans p our autan t a v oir à les décrypter. Prenons
le cas de deux messages m1 etm2 c hirés a v ec le cryptosystème ElGamal, tel que
(X1;Y1) = (gr1;m 1:pkr1) est le c hiré de m1 , et(X2;Y2) = (gr2;m 2:pkr2) est le c hiré
dem2 , etr1;r22RZq .
P our comparer m1 etm2 sans dév oiler les paramètres de c hiremen t et les v aleurs
des messages en clair, il sut de calculer les divisions des deux messages c hirés, ce
qui donne : (X1=X 2;Y1=Y2) = (gr1r2;(m1=m 2):pkr1r2) .
Sim1=m2 alorsm1=m 2= 1 et la division (X1=X 2;Y1=Y2) c hire la v aleur 1 par les
paramètres publics du cryptosystème ElGamal. Si le déc hiremen t de cette division
ne donne pas 1 , mais une autre v aleur, cette v aleur rév élera des informations sur les
messages originaux m1 etm2 . P ar conséquen t, p our masquer la v aleur de la division
a v an t de la déc hirer, les autorités de déc hiremen t du cryptosystème ElGamal
élèv en t le quotien t à un exp osan t aléatoire inconn u u2RZq . A cet eet, toute autre
v aleur diéren te de 1 sera randomisée.
Après le déc hiremen t, si (m1=m 2)u= 1u= 1 alorsm1=m2 , sinon les deux
messages son t diéren ts.
26

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.4.7 Creden tial anon yme
L'utilisation du concept des creden tials anon yme est apparue p our la première
fois en 2005 dans le proto cole JCJ [JCJ05] et a été amélioré en 2008 dans le proto-
cole Civitas [CCM08]. Ce concept rep ose sur l'utilisation de deux t yp es d'autorités
électorales indép endan tes : une (ou plusieurs) autorité(s) d'enregistremen t et une
(ou plusieurs) autorité(s) de comptage. Les autorités d'enregistremen t se c hargen t
de délivrer d'une manière sécurisée des creden tials anon ymes aux v otan ts éligibles à
v oter. P our v oter, c haque v otan t soumet son creden tial a v ec le bulletin de v ote p our
le v alider. Ni le v otan t, ni un attaquan t, ne p euv en t prouv er ou v érier la v alidité
ou l'in v alidité du creden tial soumis a v ec le bulletin de v ote. Ainsi, un attaquan t ne
p eut pas con trôler le c hoix du v otan t et reste confus quan t à la v alidité du bulletin
de v ote. De plus, le v otan t est incapable de prouv er la v alidité de son bulletin de
v ote. Seuls les autorités de comptages (ou une coalition d'un certain nom bre d'en tre
eux) p euv en t v érier d'une façon anon yme la v alidité des creden tials attac hés aux
bulletins de v ote.
Ainsi, l'utilisation du creden tial anon yme dans le v ote électronique p ermet d'as-
surer la propriété de sans-reçu et la résistance à la co ercition. Elle p ermet égalemen t
d'assurer l'authen tication du v ote d'une façon anon yme.
Le concept des creden tials anon ymes a été mis en place dans le système de
v ote par In ternet POL Y AS, qui a été utilisé en 2012 p our les élections GI (German
Computer Science So ciet y) [OKN+12].
1.5 T ec hniques sp éciques p our le v ote électronique
1.5.1 Réseaux de mélangeurs
Les réseaux de mélangeurs p ermetten t de p erm uter et/ou de mo dier une sé-
quence de données (en les déc hiran t ou en les re-c hiran t) an de dissip er le lien
en tre les élémen ts de la séquence en en trée et celle en sortie.
Un réseau de mélangeurs p eut être représen té par une b oite noire a v ec n serv eurs
qui dissim ulen t la corresp ondance en tre les données en en trée de la b oite et celles
pro duites en sortie. En 1981, Da vid Chaum a déni cette tec hnique an de prop oser
une implémen tation d'un canal anon yme [Cha81].
La métho de prop osé par Chaum p our dénir un réseau de mélangeurs se base sur
la tec hnique de déc hiremen t. Supp osons qu'il existe n serv eursS1:::Sn . Chaque
serv eurSj p our 1jn p ossède sa propre clé publique pkj et sa propre clé priv ée
skj . Quand une p ersonne v eut en v o y er un message m d'une façon anon yme à tra v ers
un réseau de mélangeurs, le message m est crypté en utilisan t les clés publiques de
tous les serv eurs du réseau, en commençan t par le dernier serv eur du réseau. Soit
Enc(pkj;m) la fonction de cryptage qui crypte le message m en utilisan t la clé
27

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
publiquepkj du serv eur Sj . Le message crypté noté Cn est cryptée comme suit :
Cn=Enc(pk1;(E(pk2;(:::E(pkn;m))))
La v aleur initiale Cn est en v o y ée au premier serv eur S1 du réseau de mélan-
geurs. Ce dernier utilise sa clé priv é sk1 p our amputer un niv eau de cryptage.
S1 attend l'arriv ée d'autres messages c hirés et pro cède au même traitemen t. En-
suite, il p erm ute les messages cryptés dans un ordre aléatoire, et les en v oie au ser-
v eur suiv an t S2 . Chaque serv eur Sj reçoit les messages c hirés, ampute un niv eau
de cryptage en utilisan t sa clé priv é skj , les p erm ute et en v oie la nouv elle v aleur
Cj=Enc(pkj+1;(Enc(pkj+2;(:::Enc (pkn;m)))) au serv eurSj+1 . Le dernier serv eur
Sn décrypte les messages et les en v oie à leurs destinataires. Les messages obten us
en sortie son t des messages déc hirés a v ec un ordre aléatoire, diéren t de celui qui
est en en trée au réseau de mélangeurs.
Cette métho de présen te certains incon v énien ts [AI03]. En eet, si l'un des ser-
v eurs se blo que ou devien t défaillan t, le pro cessus de mixage sera in terrompu. La
solution prop osée dans la littérature est l'utilisation de la métho de de re-c hiremen t
des messages au lieu du déc hiremen t [Nef01]. Le princip e de base est le même,
sauf qu'à c haque étap e les serv eurs pro cèden t à un re-c hiremen t des messages en
utilisan t des nom bres aléatoires. Les messages en en trée doiv en t être cryptés a v ec la
clé publique d'un cryptosystème (par exemple en utilisan t le cryptosystème d'ElGa-
mal). Les messages en sortie du réseau de mélangeurs son t décryptés par l'autorité
(ou les autorités) de décryptage a v ec la clé priv ée du cryptosystème utilisé.
Il faut noter qu'il est imp ortan t de s'assurer que c haque serv eur a correctemen t
fait son tra v ail, autremen t dit qu'il a eectué les op érations de déc hiremen t (ou de
re-c hiremen ts) et les p erm utations d'une manière v alide. Il faut égalemen t s'assurer
que les messages n'on t pas été mo diés, supprimés ou ra joutés. À cet eet, à c haque
étap e, c haque serv eur doit fournir une preuv e de la v alidité des op érations qu'il
a eectuées. On parle alors de réseaux de mélangeurs univ ersellemen t v ériables
[PIK93, BD VDG13] p ermettan t à n'imp orte quelle partie de s'assurer de la v alidité
du traitemen t eectué par les serv eurs du réseau de mélangeurs.
Les réseaux de mélangeurs son t utilisés dans le con texte du v ote électronique
p our assurer l'anon ymat des v otes. En eet, duran t la phase du dép ouillemen t d'un
pro cessus du v ote, p ersonne (même les autorités resp onsables du dép ouillemen t)
ne doit être en mesure de faire la corresp ondance en tre un v ote et son v otan t.
L'utilisation des réseaux de mélangeurs parviennen t à assurer ceci.
P our ce faire, des autorités électorales jouen t le rôle des serv eurs du réseau de mé-
langeurs. Ils reçoiv en t en en trée une liste ordonnée de bulletins de v ote cryptés et
pro cèden t au brassage de cette liste au mo y en de p erm utations secrètes en utilisan t
la tec hnique des réseaux de mélangeurs décrite précédemmen t. Ceci p ermet de mé-
langer l'ordre des bulletins de v ote et de dissim uler le lien en tre le v otan t et son
28

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
v ote.
T outefois, notons que l'utilisation des réseaux de mélangeurs dans le con texte du
v ote électronique présen te quelques incon v énien ts. En eet, la pro cédure du dé-
p ouillemen t ne p eut commencer que si tous les v otan ts on t déjà v oté. De plus, les
proto coles de v ote électronique utilisan t les réseaux de mélangeurs nécessiten t des
coûts de calcul et de comm unication assez imp ortan ts liés aux preuv es fournies à
c haque étap e p our assurer la v alidité des bulletins de v otes p erm utés.
1.5.2 Chiremen t homomorphique
Le c hiremen t homomorphique [Gro10] est une tec hnique cryptographique a y an t
des caractéristiques algébriques particulières. Cette appro c he p ermet de réaliser plu-
sieurs traitemen ts sur des messages c hirés sans a v oir à les déc hirer un par un. P ar
exemple, il est p ossible de calculer le c hiremen t de la somme de deux messages
en m ultiplian t les c hirés de c hacun d'en tre eux. Ce princip e p eut s'appliquer sur
certains cryptosystèmes asymétriques.
Soien tM l'espace des messages en clairs et C l'espace des c hirés tel que M etC
soien t m unis resp ectiv emen t des op érations  et
. Un cryptosystème asymétrique
est dit (;
) -homomorphe si étan t donnés deux messages m1 etm2 et leurs c hirés
corresp ondan ts c1=Enc(m1) etc2=Enc(m2) , il satisfait la propriété suiv an te :
c1
c2=Enc(m1)
Enc(m2) =Enc(m1m2)
P armi les cryptosystèmes homomorphiques les plus conn us, nous p ouv ons citer le
cryptosystème d' ElGamal [ElG85] ou encore le cryptosystème de P aillier [P ai99].
Le principal a v an tage de l'utilisation du c hiremen t homomorphique dans le
con texte du v ote électronique est la simplication de la pro cédure de dép ouillemen t.
En eet, il n'est pas nécessaire de décrypter c haque bulletin de v ote individuellemen t,
et il sut de m ultiplier les bulletins de v ote c hirés et de décrypter uniquemen t ce
pro duit p our obtenir la somme des v otes et calculer le résultat nal des élections.
Notons que ceci est p ossible si le cryptosystème utilisé satisfait la propriété homo-
morphique additiv e car elle p ermet d'obtenir la somme des v otes.
C'est le cas, par exemple, de la v arian te du cryptosystème d' ElGamal app elée
cryptosystème exp onen tiel d' ElGamal qui est utilisée dans plusieurs proto coles de
v otes électronique [CGS97, LK02, HS00, CCM08, PSO11, CCF G16]. Cette v arian te
satisfait la propriété homomorphique additiv e3.
Supp osons que l'on disp ose de deux messages m1 etm2 c hirés a v ec le crypto-
système exp onen tiel d'ElGamal. Les deux messages m1 etm2 son t représen tés par
gm1 etgm2 tel que :
3. La v ersion originale de cryptosystème d' ElGamal satisfait la propriété homomorphique m ul-
tiplicativ e et ne p eut pas être utilisé p our obtenir le somme des v otes à partir des bulletins cryptés.
29

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
EncG(m1;pk;r 1) = (X1;Y1) = (gr1;gm1:pkr1)
EncG(m2;pk;r 2) = (X2;Y2) = (gr2;gm2:pkr2)
, a v ecr1;r22RZq . Nous p ouv ons alors calculer la v aleur suiv an te :
EncG(m1+m2;pk;r 1+r2) = (X1X2;Y1Y2) = (gr1+r2;gm1+m2:pkr1+r2)
Cette v aleur corresp ond exactemen t au c hiremen t du message m=m1+m2 . Le
pro duit des messages c hirés est alors égal au c hiré de la somme des messages.
Ceci est assuré par la propriété homomorphique additiv e du cryptosystème utilisé.
Cette propriété est très utile dans le con texte le v ote électronique car elle p ermet de
m ultiplier les bulletins de v otes c hirés les uns après les autres sans a v oir b esoin de
les déc hirer individuellemen t. Nous aurons b esoin de déc hirer juste le résultat nal
p our obtenir la somme des v otes. Ceci p ermet de préserv er l'anon ymat du v otan t et
d'assurer la conden tialité du v ote.
Prenons par exemple le cas d'un v ote binaire où le v otan t doit rép ondre à une
question par un "oui" ou un "non". Le v ote v est alors représen té par un seul
bit : 0 ("non") ou 1 ("oui"). Chaque v otan t soumet son bulletin de v ote c hiré
a v ec son c hoix représen té par la v aleur 0 ou1 . Le bulletin de v ote est c hiré a v ec
le cryptosystème exp onen tiel d'ElGamal tel que EncG(v;pk;r ) = (gr;gv:pkr) , a v ec
r2RZq . Supp osons que M v otan ts éligibles à v oter soumetten t des bulletins de v ote
c hirés v alides. Le c hoix du v otan t Vi est notévi a v ecvi2f0;1g p our 1iN .
P our obtenir le résultat nal de v ote, il sut de calculer le résultat R tel que :
R=MY
i=1EncG(vi;pk;ri) = (gPM
i=1ri;gPN
i=1vi:pkPN
i=1ri)
, a v ecri2RZq p our 1iM .
La v aleurR est conée à une (ou plusieurs) autorité(s) qui en fait le déc hire-
men t p our calculer gPM
i=1vi . Enn, il est p ossible de retrouv er la v aleurPM
i=1vi par
rec herc he exhaustiv e [CGS97].
Notons que le plus grand a v an tage de l'utilisation du c hiremen t homomorphique
dans le con texte du v ote électronique est la simplication de la pro cédure du dé-
p ouillemen t. T outefois, les proto coles de v ote électronique basés sur les c hiremen ts
homomorphiques p einen t à assurer la propriété de sans-reçu. Plusieurs rec herc hes
on t été menées à ce prop os et des solutions on t été prop osées p our satisfaire cette
propriété. P armi ces solutions, nous p ouv ons citer l'utilisation de la tec hnique de
re-c hiremen t [LK02].
L' appro c he cryptographique basée sur le c hiremen t homomorphique a été mise
en ÷uvre dans le proto cole de v ote électronique Helios 2.0 [A di08] et a été utilisée
30

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
p our conduire les élections présiden tielles à l'Univ ersité catholique de Louv ain. Un
rapp ort tec hnique et une analyse complète de l'utilisation réelle p euv en t être trouv és
dans [ADMP+09].
1.5.3 Signature en a v eugle
La signature en a v eugle est une appro c he in tro duite par Chaum en 1983 [Cha83].
Il s'agit d'une forme sp écique d'une signature n umérique qui p ermet à un utilisateur
de faire signer son message par un signataire sans que ce dernier puisse en connaître
le con ten u.
Le pro cessus d'un proto cole de signature en a v eugle s'exécute en trois phases. Duran t
la première phase, l'utilisateur qui v eut faire signer son message commence par
masquer (ou a v eugler) le con ten u de son message et l'en v oie ensuite au signataire.
Duran t la seconde phase, le signataire signe le message masqué (ou a v euglé) sans en
connaitre le con ten u et le retourne à l'utilisateur. Finalemen t, l'utilisateur démasque
(ou désa v eugle) le message reçu et obtien t le message signé qui corresp ond à son
message initial.
A l'origine, les signatures en a v eugle on t été in tro duites p our implémen ter des
proto coles de paiemen t par monnaie électronique [Cha83]. Elles on t été exploitées
plus tard par les proto coles de v ote électronique [F OO92]. En 2000, une implémen-
tation simpliée basée sur les signatures en a v eugle a été utilisée dans les cartes à
puce p our les élections du parlemen t des étudian ts à l'Univ ersité d'Osnabrüc k, en
Allemagne [KK+06].
Selon [F OO92], l'utilisation des signatures en a v eugle dans le con texte du v ote
électronique se déroule comme suit : duran t la phase d'enregistremen t, le v otan t
commence par c hoisir son v ote et le masque. Il en v oie ensuite son v ote masqué à
une autorité d'enregistremen t. Cette dernière commence par v érier l'éligibilité du
v otan t, signe ensuite le v ote masqué et le retourne au v otan t. Le v otan t démasque
son v ote et obtien t ainsi un v ote signé ociellemen t de l'autorité d'enregistremen t.
Duran t la phase du v ote, le v otan t transmet son v ote signé à l'autorité de dé-
p ouillemen t. Cette dernière s'assure de la v alidité de la signature p ostée a v ec le v ote
sans p our autan t être capable d'établir le lien en tre le v ote et son v otan t. Seuls les
v otes v alides signés par l'autorité d'enregistremen t seron t comptabilisés. A cet eet,
la signature en a v eugle p ermet à la fois d'assurer l'authen tication du v ote et du
v otan t tout en préserv an t l'anon ymat.
T outefois, notons que les proto coles de v ote électronique basés sur les signatures
en a v eugle p einen t à assurer la propriété de la v ériabilité univ erselle et la propriété
de sans-reçu. Ceci est dû à l'incapacité à gérer les électeurs qui s'abstiennen t de v oter.
Dans ce cas, des autorités malv eillan tes p euv en t usurp er l'iden tité des v otan ts p our
p oster des v otes v alides qui seron t comptabilisés dans le résultat nal de v ote. De
plus la v aleur aléatoire utilisée par le v otan t p our masquer son v ote p eut dév oiler
31

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
la v aleur de son v ote et constitue un reçu qui p eut être utilisé par le v otan t p our
prouv er p our qui il a v oté.
1.5.4 P artage de secret
Il est parfois souhaitable d'éviter qu'une information ne soit conn ue ou qu'une
décision ne puisse être prise que par une seule p ersonne. Une solution réside dans la
division du secret : il est facile de découp er un secret en fragmen ts de telle manière
qu'il faille l'app ort de tous les déten teurs de fragmen ts p our le reconstituer. Ce
mécanisme est app elé lepartagedesecret : il s'agit de diviser une donnée secrète s ,
par exemple une clé ou un mot de passe, en plusieurs parts s1;:::;sn . Les parts du
secret son t réparties en tre n participan ts de telle sorte que seule la réunion de tous
ces participan ts, mettan t en comm un leurs informations, p ermet une reconstruction
conforme au secret original. Chaque sous-ensem ble de participan ts non éligible à
la reconstruction ne doit p osséder la moindre information sur le secret. De même,
les données que p ossède un seul participan t ne doiv en t rien lui apprendre sur le
secret. L'incon v énien t ma jeur de cette appro c he est que si une seule des parts vien t
à manquer, le secret sera dénitiv emen t inaccessible. De ce fait, une appro c he plus
sophistiquée consiste à pro duire les parts de secret de sorte que seul un nom bre
minim um de parts soit nécessaire p our reconstruire le secret inial. Nous dénissons
alors le sc héma de partage de secret à seuil (k;n) : il y an partss1;:::;sn distribuées
àn participan ts et seul un nom bre minimal k d'en tre eux son t autorisés à reconstruire
le secret. En d'autres termes la coalition de tout sous-ensem ble k1 de parts ne
fournit aucune information sur s , mais tout sous-ensem ble d'au moins k parts nous
amène à une reconstitution adéquate du secret s .
Notons que le partage de secret p eut être utilisé de diéren tes façons dans le
concept du v ote électronique. Nous rev enons a v ec plus de détails sur l'utilisation
des tec hniques de partage de secret dans le con texte du v ote électronique dans le
Chapitre 2.
1.6 Quelques exp ériences pratiques
Comme le mon tre la gure 1.3, de nom breux pa ys dans le monde on t exp érimen té
le v ote électronique. L'exp érience de c haque pa ys est diéren te : le v ote électronique
est toujours à l'essai dans de nom breux pa ys et est rejeté dans d'autres.
En F rance, le v ote électronique à été utilisé p our les élections législativ es en
2012 p our les français à l'étranger. En Australie, p our les élections de l'état de New
South W ales, plus de 280 000 v otan ts on utilisé le v ote électronique. En Estonie,
le v ote électronique est adopté p our les élections m unicipales depuis 2005, et p our
les élections nationales depuis 2007. En Suisse, de nom breux essais p our la mise en
32

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
place d'un système de v ote électronique on t été eectués. En 2013, une ordonnance
qui régit les conditions à remplir a été préparée. En Canada, le v ote électronique
est utilisé p our les élections m unicipales en On tario depuis 2003, et en No v a Scotia
depuis 2006.
P ar con tre, d'autre pa ys on t abandonné ou rejeté l'utilisation de v ote électro-
nique. En 2008 aux P a ys-Bas, le gouv ernemen t décide l'ab olition du v ote électro-
nique en in terdisan t l'utilisation des mac hines à v otee et du v ote par In ternet. En
2009, en Allemagne le gouv ernemen t a égalemen t décidé de rejeter l'utilisation des
mac hines à v oter jugées con traires à la réglemen tation du pro cessus de v ote : il
doit être p ossible p our un cito y en de v érier les étap es essen tielles d'un pro cessus
électoral, sans exp ertise particulière.
En Norv ège, l'année 2013 a marqué la n des essais p our la mise en place d'un
système de v ote électronique. La crain te des v otan ts que leur v ote puisse dev enir
public p ourrait compromettre le pro cessus démo cratique.
Figure 1.3  Ap erçu sur l'utilisation du v ote électronique dans le monde
Dans ce qui suit, nous présen tons brièv emen t deux exp ériences de mise en place
du v ote électronique dans deux pa ys diéren ts. La première concerne le système de
v ote électronique hors-ligne dans le P a ys-Bas. La deuxième présen te le pionner de
v ote électronique en ligne par In ternet : l'Estonie.
33

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.6.1 Les mac hines de v ote DRE aux P a ys-Bas
En 1965, la loi électorale néerlandaise a été mo diée p our p ermettre l'utilisation
du v ote électronique. En 1966, les premières mac hines de v ote on t été utilisées aux
P a ys-Bas [LC08]. Ces premières mac hines n'on t pas eues un réel succès et un rè-
glemen t a été créé p our sp écier les exigences supplémen taires de sécurité p our ces
mac hines. La ma jorité des mac hines de v ote p our les P a ys-Bas on t été fabriquées
par Nedap. Ces mac hines on t un b outon p our c haque candidat. Ils disp osen t de
deux écrans simples, un p our le v otan t et l'autre p our les autorités électorales (p our
activ er et paramétrer la mac hine). Les v otes son t sto c k és en mémoire de manière
redondan te, dans un ordre aléatoire [ABG09]. Malgré toutes sortes de problèmes ren-
con trés, y compris les erreurs de dép ouillemen t, le co de source inaccessible et non
v ériable et la dép endance à l'égard d'une tierce partie de conance (le monop ole
de Nedap / Gro enendaal : un bureau p our les résultats des élections), l'utilisation
de ces mac hines à été de plus en plus massif à tra v ers les années. En 2005, Nedap
ES3B a été utilisé par en viron 90% des v otan ts néerlandais [BdV16].
En 2006, l'organisation p our la sécurité et la co op ération en Europ e a en v o y é
une mission d'observ ation aux P a ys-Bas : plusieurs défaillances de sécurité on été
relev ées. P armi l'une d'en tre elles, nous p ouv ons citer l'utilisation d'une seule clé
ph ysique de dév errouillage qui est la même p our toutes les mac hines Nedap. De plus,
des clés de rec hange p euv en t être commandées séparémen t en ligne p our en viron un
euro c hacune [BdV16]. La solution à cette faille de sécurité p ourrait être résolue
d'une manière ecace, si la conception de ces clés se base sur le princip e de partage
de secret. A cet eet, le dév errouillage d'une seule mac hine ne p ourrait être eectué
que par plusieurs clés ph ysiques (ou v aleurs secrètes p ermettan t de reconstituer un
co de de dév errouillage) déten ues par un ensem ble d'autorités électorales. D'autres
attaques con tre le logiciel déplo y é sur les mac hines Nedaps on t été trouv é [Hal16].
P ar conséquen t, une pro cédure judiciaire con tre l'approbation de ces mac hines a été
lancée en 2007. L'utilisation des mac hines Nedap a été abandonnée. Quelques mois
plus tard, le gouv ernemen t annonce le retrait du règlemen t p our l'approbation des
mac hines de v ote. Ceci a emp êc hé la certication de nouv elles mac hines de v ote.
Malgré cette con tro v erse, le v ote électronique n'a jamais complètemen t disparu de
l'ordre du jour [Hal16]. En février 2015, le ministère des Aaires générales a annoncé
qu'ils souhaitaien t réin tro duire le v ote électronique . . .
1.6.2 Le système de v ote par In ternet en Estonie
Plusieurs pa ys on t exp érimen té le v ote par In ternet. L'Estonie a été le premier
pa ys au monde à utiliser le v ote par In ternet à l'éc helle nationale en 2005. Récem-
men t, duran t les élections parlemen taires nationales organisées en 2015 en Estonie,
plus de 30:5% des bulletins de v ote on t été transmis en ligne [Com15].
34

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Les cito y ens estoniens qui v eulen t v oter en ligne se connecten t à un site W eb du
gouv ernemen t p our téléc harger l'application du v ote électronique. Chaque v otan t
s'authen tie à cette application en utilisan t sa carte d'iden tité nationale électronique
estonienne (m unis d'une puce et d'un co de secret à quatre c hires, comme sur les
cartes de crédit) et un lecteur de cartes à puce USB connecté à sa mac hine clien te.
P our v oter, le v otan t sélectionne un candidat de son c hoix. Le c hoix du v otan t est
crypté en utilisan t un cryptosystème asymétrique [Com10] a v ec la clé publique de
l'élection et certaines données aléatoires4. Ensuite, p our signer son v ote, le v otan t
utilise de nouv eau sa carte d'iden tité électronique. Cette carte sto c k e une seconde
clé (diéren te de celle de l'authen tication) qui v a être utilisée p our signer le v ote.
L'application demande au v otan t de saisir le co de secret autorisan t la carte à app oser
la signature électronique sur le v ote déjà crypté.
Le v ote crypté et signé est main tenan t en v o y é au serv eur de v ote. Ce dernier ren v oie
à l'application du v otan t un jeton unique et aléatoire. L'application conrme au
v otan t que son v ote a été soumis et lui ac he un co de QR basé sur les données
aléatoires utilisées p our crypter le v ote et le jeton reçu du serv eur de v ote. À l'aide
d'une application mobile (p our smartphone), le v otan t p eut scanner ce co de QR.
L'application mobile en v oie alors le jeton au serv eur de v ote qui rép ond en ren v o y an t
le v ote crypté. L'application mobile compare le v ote crypté reçu a v ec celui qui a été
soumis initialemen t par le v otan t p our s'assurer que le v ote a été correctemen t
enregistré par le serv eur de v ote5.
À la n de la phase de v ote électronique, tous les v otes enregistrés son t à nouv eau
v ériés et les signatures son t ensuite retirées des v otes. La liste résultan te de v otes
anon ymes et cryptés est enregistrée sur des supp orts n umériques qui son t transférés
v ers le serv eur de dép ouillemen t. Il s'agit d'une mac hine qui sto c k e la clé secrète
de l'élection. Cette clé secrète est utilisée p our décrypter et compter les v otes. Le
résultat nal est la somme des v otes p our c haque candidat.
Notons que la conception de la solution du v ote électronique estonienne comp orte
plusieurs lacunes de sécurité [SFD+14, Hal16]. P armi lesquelles nous p ouv ons citer
l'utilisation d'un seul serv eur de conance qui sto c k e la clé secrète de décryptage
des bulletins de v ote et qui se c harge de l'op ération de dép ouillemen t. L'utilisation
d'un seul serv eur est un risque éviden t de sécurité. Si un attaquan t p ouv ait d'une
manière ou d'une autre manipuler cette mac hine, rien ne garan tit que les résultats
des élections corresp onden t eectiv emen t aux v otes exprimés par les utilisateurs.
Il sera donc plus judicieux de partager la clé secrète en tre plusieurs serv eurs de
dép ouillemen t en se basan t sur les tec hniques de partage de secret (v oir Chapitre2).
4. Les données aléatoires son t sto c k ées sur la mac hine clien te p endan t un certain laps temps.
Elles serv en t par la suite p our la v érication des v otes
5. Ce mécanisme de v érication est actif duran t tren te min utes. Ceci p ermet de limiter la
p ossibilité de co ercition par un attaquan t qui demande la preuv e qu'un v otan t a b el et bien v oté
p our un candidat sp écique.
35

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Ceci p ermet d'une part de sécuriser l'utilisation de la clé secrète en la partagean t
en tre plusieurs serv eurs, et garan tit d'autre part la récup ération de cette clé même
en cas de panne, de défaillance ou d'indisp onibilité d'un certain nom bre d'en tre eux.
Notons égalemen t que le proto cole de v ote estonien ne satisfait pas certaines pro-
priétés de sécurité fondamen tales, à sa v oir la propriété de sans reçu et la propriété de
résistance à la co ercition. En eet, le mécanisme de v érication individuelle a v ec le
co de QR p ermet à un v otan t de prouv er p our qui il a v oté. Ce même mécanisme rend
le v otan t sujet à des attaques de co ercition duran t les tren te min utes qui suiv en t son
v ote. De plus, aucun mo y en de défense n'a été prévu p our protéger le v otan t d'un
attaquan t qui v eut inuencer son c hoix au momen t du v ote en l'obligean t à sou-
mettre un v ote p our un candidat particulier. L'utilisation des creden tials anon ymes
[JCJ05, CCM08] est une alternativ e qui p eut app orter des solutions à ces failles de
sécurité.
1.7 Conclusion
Dans ce c hapitre nous a v ons présen té les notions de base liées au v ote électro-
nique. Ensuite, nous a v ons listé les propriétés de sécurité qu'un proto cole de v ote
doit satisfaire. Puis, nous a v ons in tro duit les primitiv es cryptographiques les plus
utilisées dans la plupart des proto coles de v ote électronique. Et nalemen t nous
a v ons donnée un ap erçu global sur l'utilisation du v ote électronique dans le monde.
Dans le c hapitre suiv an t, nous fo calisons notre analyse sur l'utilisation des tec h-
niques de le partage de secret dans le con texte du v ote électronque. Nous présen tons
à cet eet une classication des proto coles de v ote électronique en fonction des tec h-
niques de partage de secret utilisées. Cette étap e nous p ermettra par la suite de
concev oir de nouv elles solutions de partage se secret qui soien t plus adéquates p our
le v ote électronique.
36

Chapitre 2
Le partage de secret et le v ote
électronique
Sommaire
2.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 37
2.2 Les sc hémas de partage de secret . . . . . . . . . . . . . . 38
2.2.1 Les sc héma de partage de secret à seuil . . . . . . . . . . . 38
2.2.2 Les sc hémas de partage de secret publiquemen t v ériables 40
2.3 Classication des proto coles de v ote électronique basés
sur le partage de secret . . . . . . . . . . . . . . . . . . . . 43
2.3.1 Classe 1- Clé d'autorités partagée . . . . . . . . . . . . . . 45
2.3.2 Classe2- Bulletin de v ote partagé . . . . . . . . . . . . . . 48
2.3.3 Classe3- Clé de bulletin de v ote partagée . . . . . . . . . . 52
2.4 Classication : Analyse des propriétés de sécurité . . . . 55
2.5 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
2.1 In tro duction
Les tec hniques de partage de secret son t utilisés dans les proto coles de v ote élec-
tronique an d'éviter que le p ouv oir ne soit déten u par une seule autorité électorale.
Ils oren t un mo y en forçan t la coalition d'un certain nom bre d'autorités p our dé-
crypter les bulletins de v ote et calculer le résultat nal. Ceci p ermet de distribuer
la conance p our atteindre un degré de sécurité plus imp ortan t et dimin ue ainsi les
risques quan t à la présence d'év en tuelles autorités malhonnêtes.
Dans ce c hapitre nous présen tons tout d'ab ord les premiers sc hémas de partage de
secret. Nous mettons ensuite l'accen t sur l'imp ortance de l'appro c he de v érication
dans le cadre d'un partage de secret. P ar la suite, nous analysons les app orts de
l'utilisation du partage de secret dans les proto coles de v ote électroniques. À cet eet,
37

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
nous prop osons une classication des proto coles de v ote électroniques préexistan ts
basés sur les tec hniques de partage de secret et nous analysons leurs a v an tages et
incon v énien ts. Nous déterminons aussi les exigences de sécurité satisfaites grâce à
l'utilisation des diéren tes tec hniques de partage de secret.
2.2 Les sc hémas de partage de secret
2.2.1 Les sc héma de partage de secret à seuil
Les premiers sc hémas de partage de secret à seuil son t apparus à la n des années
70. Les premiers algorithmes on t été in tro duits en 1979 par Shamir dans [Sha79] et
par Blak ely dans [Bla79]. Ils on t prop osé sim ultanémen t une dénition d'un sc héma
de partage de secret. L'appro c he prop osée par Shamir se base sur l'in terp olation
p olynômiale alors que celle prop osée par Blakley utilise les h yp erplans. Les deux
sc hémas son t des sc hémas de partage de secret à seuil (k;n) . En 1983, d'autres
construction de sc hémas de partage de secret on t été prop osé par Asm uth-Blo om
[AB83] et Mignotte [Mig83]. Ces sc hémas son t basés sur le théorème des restes c hi-
nois (CR T) [Ift06]. L'application du CR T dans le partage secret à seuil présen te
certains incon v énien ts [GRS99, QPV02]. P ar exemple, le sc héma de Mignotte n'est
pas parfait : un sous-ensem ble inférieurs à k de parts v alides p eut fournir des infor-
mations sur le secret.
Le sc héma de partage de secret de Shamir
Le sc héma de partage de secret prop osé par Shamir rep ose sur l'in terp olation
p olynômiale. Il est déni comme suit :
 Phase d'initialisation. Le distributeur détermine un nom bre premier p suf-
sammen t grand tel que p>n , et c hoisit n élémen ts distincts, dans Z
p notés
xi p our 1in (il p eut prendre simplemen t xi=i ). Le distributeur se
c harge ensuite de publier les v aleurs des xi .
 Phase de distribution. Le distributeur v eut partager le secret s2Zp en tre
lesn participan ts. Il construit le p olynôme P(x) de degré au plus k1 et à
co ecien ts a1;:::;ak1 c hoisis aléatoiremen t dans Zp . Le p olynôme P est déni
par :P(x) =Pk1
i=0aixi. Ce p olynôme v érie a0=s , ainsi le terme constan t
du p olynôme généré représen te la donnée secrète s . P our c haque participan t
le distributeur calcule la part du secret qui lui sera asso ciée tel que si=P(xi)
p our 1in Il transmet ensuite discrètemen t les parts si aux participan ts.
 Phase de reconstruction du secret. Le secrets p eut être reconstruit à
partir d'un sous-ensem ble de k parmin v aleurs v alides de si . Supp osons que
les participan ts Pi fournissen t des parts cohéren tes si p our 1ik . Le secret
38

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
est reconstruit en retrouv an t le p olynôme P(x) par in terp olation p olynomiale
de Lagrange et à év aluer ensuite P(0) =s tel que :
s=P(0) =kX
i=1i:si
, a v eci=Q
j6=ij=(ji) est le co ecien t de Lagrange.
La gure 2.1 mon tre un exemple d'in terp olation de Lagrange : il s'agit d'une
représen tation graphique d'un p olynôme unitaire et des parts de secret qui
lui son t asso ciées. Ici deux p oin ts son t nécessaires p our dénir un p olynôme
unitaire (de manière plus générale, k p oin ts son t nécessaires p our dénir un
p olynôme de degré k1 ).
Figure 2.1  Sc héma de Shamir construit sur une in terp olation de Lagrange
Le sc héma de partage de secret de Blakley
Le sc héma de Blakley , dév elopp é en même temps que celui de Shamir, est construit
sur l'in tersection d'h yp erplans. Un secret est représen té par un p oin t dans l'espace.
Un h yp erplan de dimension k représen te une part du secret. Sac han t que k h yp er-
plans de dimension k se recoup en t en un seul p oin t dans l'espace, p our retrouv er un
secret il faut réunir k h yp erplans. La gure 2.2 décrit un tel sc héma dans un espace
à trois dimensions. Dans la gure 2.2(a) le plan désigne une part du secret. La gure
2.2(b) mon tre que deux plans son t insusan ts p our reconstruire le secret. Dans la
gure 2.2(c) trois plans se coup en t en un seul p oin t, le secret p eut être reconstruit.
Le sc héma de partage de secret de Blac kley se déroule comme suit :
 Phase d'initialisation. Le secret est un p oin t dans un espace de dimension
k , et lesn parts secrètes son t des h yp erplans anes passan t par ce p oin t. Un
h yp erplan dans un espace de dimension k à co ordonnées dans un corps ni F
39

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
Figure 2.2  Sc héma de Blakley construit sur une in tersection de plans
p eut être déni par une équation linéaire de la forme suiv an te :
y=a1x1+a2x2+:::+akxk
Le distributeur génère un p oin t x dansF , où la première co ordonnée de x est
le secret. Les autres v aleurs son t c hoisies aléatoiremen t dans F . Nous a v ons
donc le v ecteur x= (x1;x2;:::;xk) oux1 est le secret s .
 Phase de distribution. : SoitPi , p our 1in l'ensem ble des participan ts
p ouv an t recev oir une part du secret. Chaque participan t Pi , p our 1in ,
reçoit lors du partage de secret la part secrète si représen tan t un h yp erplan sur
F d'équation tel que si=ai1x1+ai2x2+:::+aikxk Les co ecien ts a(ij) son t
rendus publics.
 Phase de reconstruction. La phase de reconstruction consiste à réunir k par-
ticipan ts parmi n . L'op ération de construction du partage de secret consiste
alors à construire k équations linéaires d'h yp erplans de dimension k . Ils p euv en t
ainsi former un système linéaire d'équations d'h yp erplans et résoudre Akx=
sk , oùsk est le v ecteur de v aleurs des parts des participan ts. La première
co ordonnée de la solution est alors le secret.
Il faut noter que le sc héma de Blakley est b eaucoup moins utilisé que celui
de Shamir. Ceci est dû à la taille des parts utilisées : alors que la taille d'une
part dans le sc héma de Shamir est prop ortionnelle à la taille du secret original, la
taille d'une part fournie dans le sc héma de Blakley est k fois plus grande, ce qui
présen te un incon v énien t ma jeur p our l'utilisation de ce sc héma. De plus, le sc héma
de Blakley n'est pas un sc héma de partage de secret parfait car tout sous-ensem ble
k1 de participan ts mettan t en comm un leurs parts sa v en t que le secret appartien t
à l'in tersection de leurs h yp erplans.
2.2.2 Les sc hémas de partage de secret publiquemen t v éri-
ables
Les sc hémas de partage de secret prop osés à l'origine, comme celui de Shamir,
p ermetten t certes de reconstruire le secret à partir d'un partage initial de la don-
40

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
née secrète, mais ne p ermetten t pas toujours d'initialiser correctemen t le pro cessus,
c'est-à-dire de distribuer correctemen t le secret. Ces sc hémas fon t souv en t in ter-
v enir un distributeur app elé distributeur de conance car tous les utilisateurs lui
fon t conance p our qu'il leur transmette des parts de secret adéquates. De plus, ces
sc hémas utilisen t l'h yp othèse que tous les participan ts son t des joueurs honnêtes.
Le problème de telles supp ositions et h yp othèses, est que rien ne garan tit la re-
construction du secret si le distributeur tric he et génère un mauv ais partage ou si
les participan ts restituen t des parts in v alides. En eet, un distributeur malhonnête
p ourrait mettre en partage un secret de façon non cohéren te, c'est-à-dire de façon
à ce qu'une fois la phase de distribution terminée, un group e de participan ts qui
se regroup erait p our retrouv er le secret calculerait une v aleur s0tandis qu'un autre
group e calculerait une autre v aleur s6=s0. P our éviter ce genre de situations, il faut
p ermettre aux participan ts de v érier la v alidité de leurs parts duran t la phase de
distribution et de s'assurer ainsi que le secret a été distribué de façon cohéren te.
Il p eut aussi arriv er que certains participan ts ten ten t de corrompre la phase de re-
construction de secret en donnan t des parts qui ne pro viennen t pas réellemen t du
distributeur : la com binaison des parts dans ce cas ne redonne pas le secret, et resti-
tue un secret am bigu. A cet eet, la mise en place d'un mo y en de v érication s'a v ère
primordiale p our éluder de telles situations.
Les sc hémas de partage de secret v ériables app orten t une solution pragmatique
et cohéren te à ces problématiques et son t utilisés p our se prém unir con tre un distri-
buteur ou des participan ts malhonnêtes qui s'autorisen t à dévier du proto cole p our
arriv er à leurs ns. Dans [], nous a v ons mené une étude approfondie p ortan t sur
les sc hémas PVSS préexistan ts. La solution mise en ÷uvre par ces sc hémas consiste
à ra jouter des proto coles de v érication p ermettan t aux participan ts de s'assurer
d'une part que le distributeur leur a transmis des parts de secret v alides duran t la
phase de distribution, et de rep érer d'autre part la présence de participan ts malhon-
nêtes duran t la phase de reconstruction. Il faut noter que ces sc hémas prennen t le
nom de partages de secret publiquemen t v ériables que l'on note PVSS (Publicly v e-
riable secret sharing) quand non seulemen t les participan ts p euv en t s'assurer de la
v alidité de leurs propres parts de secret mais qu'un observ ateur externe quelconque
le p eut égalemen t. De ce fait, la v érication de la cohérence des parts diusées par
le distributeur p eut être eectuée par n'imp orte quelle partie et n'est plus limitée
aux participan ts qui reçoiv en t les parts.
Dans ce qui suit, nous présen tons le sc héma PVSS de F eldman. Il s'agit d'une
extension du sc héma de partage de secret de Shamir. Notons que nous nous sommes
servis et inspirés de ce sc héma dans le cadre de nos rec herc hes p our l'application des
tec hniques de partage de secret au v ote électronique (v oir Chapitre 3).
Le sc héma de partage de secret de F eldman
En 1987, F eldman a conçu un sc héma PVSS à seuil (k;n) qui est basé sur le
41

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
sc héma de partage de secret de Shamir [F el87]. L'idée de F eldman rep ose sur l'utili-
sation d'une fonction homomorphique notée f , assuran t la v érication de la v alidité
des parts de secrets.
Pro cédons à la description du sc héma prop osée par F eldman dans [F el87]. Soit le
group eZpd'ordre premier p tel que le calcul du logarithme discret dans ce group e
s'a v ère dicile, et soit g un générateur de ce group e. Le sc héma de partage de secret
de F eldman se déroule comme suit :
Distribution des parts du secret. Le sc héma prop osé par F eldman est basé sur
le sc héma de partage de secret à seuil (k;n) de Shamir. Le distributeur commence
donc par eectuer un partage à la Shamir du secret s . Il c hoisit le p olynôme
P(x) =Pk1
i=0aixide degré au plus k1 , tel quea1;:::;ak12Zp eta0=s . Il
calcule ensuite les parts si=P(xi) p our 0in (il p eut prendre simplemen t
xi=i ) et transmet c haque part si au ième participan t Pi en utilisan t un canal de
comm unication priv é. P our c haque part si , le distributeur calcule et publie l'image
Si , p our 0in , qui lui corresp ond par la fonction f tel queSi=f(si) =gsi .
Il calcule et publie égalemen t l'image des co ecien ts du p olynôme de Shamir Ai ,
p our 0ik1 , par la fonction f tel queAi=f(ai) =gai .
Vérication des parts du secret. Le participan t Pi v érie sa part en comparan t
la v aleur publique Si a v ec le résultat de gsi , calculé en utilisan t la part qu'il a
reçue, soit : Si?=gsi . Les autres participan ts, ou n'imp orte quelle autre partie
p euv en t v érier la v alidité de la part du participan t Pi en s'assuran t de l'égalité
suiv an te1
Si?=k1Y
j=0Ajij
Si cette égalité n'est pas v ériée, le participan t Pi p eut p orter plain te con tre le
distributeur. Les plain tes son t alors gérées par la stratégie suiv an te : si le nom bre
de participan ts qui accusen t le distributeur de leur a v oir transmis des parts de
secret incohéren tes dépasse un certain seuil t , le distributeur est clairemen t en
faute, ce dernier est alors disqualié.
Phase de reconstruction du secret. Supp osons que les participan ts Pi four-
nissen t des parts cohéren tes si p our 1ik . Le secret est reconstruit par
in terp olation p olynomiale de Lagrange en calculan t s=P(0) =Pk
i=1i:si , a v ec
i est le co ecien t de Lagrange.
1. Cette égalité découle immédiatemen t de la propriété homorphique de la fonction f . En eet
Qk1
j=0Aj(ij)=Qk1
j=0f(aj)(ij)=f(Pk1
j=0ajij) =gPk1
j=0ajij
=gsi=Si
42

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
2.3 Classication des proto coles de v ote électronique
basés sur le partage de secret
Dans les proto coles de v ote électronique, lorsqu'une seule autorité électorale
prend en c harge l'exécution du pro cessus de v ote, il n'est plus p ossible de garan tir
l'ensem ble des exigences de sécurité requises. En eet, la sécurité d'une clé priv ée,
p ermettan t de décrypter les bulletins de v ote par exemple, est faible si elle est dé-
ten ue par une seule autorité électorale. Cette dernière p eut déc hirer les bulletins
de v ote et connaître le v ote de c haque v otan t. P our éviter que le p ouv oir ne soit
déten u par une seule autorité électorale, il est plus judicieux de le partager parmi
plusieurs autorités don t la réunion est nécessaire p our reconstituer les bulletins de
v ote et/ou calculer le résultat nal de v ote. Ceci p ermet de distribuer la conance
p our atteindre un degré de sécurité plus imp ortan t, et dimin ue les risques quan t à
la présence d'év en tuelles autorités malhonnêtes.
Les tec hniques de partage de secret son t utilisées dans des applications critiques
où l'on souhaite éviter qu'une seule p ersonne puisse détenir une donnée secrète.
C'est tout à fait le cas des proto coles de v ote électronique, dans lesquels il est plus
pruden t de ne pas coner certaines données secrètes à une seule autorité électorale. Il
serait donc plus in téressan t d'utiliser les tec hniques de partage de secret de manière
à ce qu'il soit imp ossible p our une seule autorité de déc hirer les bulletins de v ote,
ou le résultat nal. Notons que le concept du partage de secret p eut être utilisé de
diéren tes façons dans le con texte du v ote électronique.
L'adaptation d'un sc héma de partage de secret au v ote électronique p eut s'ef-
fectuer par les autorités electorales duran t la phase d'initialisation du pro cessus de
v ote. Dans ce cas, le secret est une clé partagée en tre les autorités électorales de dé-
p ouillemen t. Les v otan ts utilisen t une clé publique asso ciée à cette clé secrète p our
crypter leurs bulletins de v ote. La clé secrète, partagée en tre les autorités électorales
de dép ouillemen t, est utilisée duran t la phase de décompte p our décrypter les bulle-
tins de v otes. P our calculer le résultat nal de v ote, la réunion d'un certain nom bre
d'autorités est nécessaire an de reconstituer la clé secrète et de déc hirer tous les
v otes.
L'adaptation d'un sc héma de partage de secret au v ote électronique p eut éga-
lemen t s'eectuer par le v otan t de deux manières diéren tes. Rapp elons que p our
v oter, c haque v otan t est in vité à pro céder à la construction et la transmission de son
bulletin v ote d'une façon secrète. A cet eet, le secret p eut être considéré comme
étan t le bulletin de v ote ou une clé qui p ermet de le déc hirer. Ainsi, c haque v otan t
utilise une instance d'un sc héma de partage de secret p our partager son bulletin de
v ote, ou la clé de déc hiremen t relativ e à son bulletin de v ote en tre les autorités
électorales.
A cet eet, duran t le pro cessus de v ote, le partage de secret p eut être utilisé de
43

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
trois façons diéren tes ; à sa v oir :
Le secret est une clé priv ée de déc hiremen t utilisée p our décrypter tous les v otes.
Cette clé est partagée en tre les autorités électorales en utilisan t une seule instance
d'un sc héma de partage de secret.
Le secret est le bulletin de v ote. Chaque v otan t utilise une instance d'un sc héma de
partage de secret p our partager son bulletin de v ote en tre les autorités électorales.
Le secret est une clé priv ée de déc hiremen t d'un seul bulletin de v ote. Chaque
v otan t utilise une instance d'un sc héma de partage de secret p our partager sa clé
secrète (relativ e à un seul bulletin de v ote) en tre les autorités électorales.
En se basan t sur ces trois appro c hes, nous classons les proto coles de v ote élec-
tronique en trois classes, à sa v oir :
Classe1 – Clé d'autorités partagée. Les proto coles de v ote électronique de
cette classe utilisen t une seule clé priv ée partagée en tre les autorités électorales
a v ec un sc héma de partage de secret. Les v otan ts crypten t leurs bulletins de
v ote a v ec la clé publique asso ciée à cette clé priv ée. P our calculer le résultat
nal de v ote, la coalition d'un certain nom bre d'autorités est nécessaire an de
reconstituer la clé secrète et de décrypter les bulletins de v ote. L'utilisation de
cette tec hnique est apparue dans [CGS97] et a été améliorée dans [HS00, BFP+01,
Dam01, LK02, A cq04, CCM08, PSO11, CZZ+15, CCF G16].
Classe2 – Bulletin de v ote partagé. Dans les proto coles de la deuxième classe,
p our v oter, c haque v otan t joue le rôle d'un distributeur dans un sc héma de partage
de secret. Il divise son v ote en plusieurs parts et les en v oie aux autorités. Chacune
des autorités reçoit une part diéren te (cryptée a v ec la clé publique de cette
autorité). Chaque autorité utilise alors la propriété homomorphique et m ultiplie
toutes les parts qu'elle a reçues des v otan ts p our obtenir la somme partielle
cryptée. Enn, les autorités co op èren t en utilisan t les sommes partielles p our
obtenir le résultat nal de v ote. Dans la littérature, une m ultitude de proto coles
de v ote utilisen t cette tec hnique [BT94, Ift07, SP, P A V11, NBK15].
Classe3 – Clé de bulletin de v ote partagée. Dans les proto coles de la troi-
sième classe, les v otan ts agissen t en tan t qu'autorités et particip en t à partager et
générer leurs clés secrètes en utilisan t un sc héma de partage de secret. Chaque clé
priv ée (relativ e à un seul v otan t) est partagée par les v otan ts en tre plusieurs auto-
rités électorales. P our v oter, le v otan t crypte son bulletin de v ote a v ec la clé priv ée
qu'il a préalablemen t partagée. La coalition d'un certain nom bre d'autorités est
nécessaire p our reconstituer les clés de décryptage des bulletins de v ote et retrou-
v er le résultat nal de v ote. Les proto coles prop osés dans [Sc h99, KY02, ZLS+14]
se basen t sur cette tec hnique.
44

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
2.3.1 Classe 1- Clé d'autorités partagée
a. Princip e général des proto coles de la Classe 1
P our les proto coles appartenan t à la Classe 1, le partage de secret est utilisé
duran t la phase d'initialisation du pro cessus de v ote. Dans ce cas, le secret est une
clé priv ée partagée en tre les autorités électorales de dép ouillemen t.
Dans ce qui suit, nous dénissons les étap es qui comp osen t le pro cessus complet
des proto coles de v ote appartenan t à la Classe 1.
Phase1- Initialisation : Génération et partage de la clé secrète La distri-
bution de la clé secrète partagée en tre les autorités électorales est habituellemen t
réalisée a v ec un sc héma de partage de secret. Dans ce cas, un unique distributeur
de conance se c harge de générer et partager la clé secrète. P our éviter d'a v oir
recours à une partie de conance, il est p ossible d'utiliser un proto cole DK G. No-
tons que les proto coles DK G son t basés sur des exécutions parallèles d'un sc héma
de partage de secret eectué par les autorités électorales.
Dans cette première étap e, nous dénissons deux sous-pro cessus :
Phase 1.1 : Distribution des parts de la clé secrète Cette étap e cor-
resp ond à la phase de distribution d'un sc héma de partage secret ou d'un
proto cole DK G. Dans le cas de l'utilisation d'un simple sc héma de partage
de secret, un distributeur de conance c hoisit une clé secrète et exécute le
pro cessus de distribution p our en v o y er les parts de la clé secrète aux autorités
électorales. Dans le cas de l'utilisation d'un proto cole DK G, c haque autorité
joue le rôle d'un distributeur de conance et exécute le pro cessus de distribu-
tion p our en v o y er les parts de sa clé secrète aux autres autorités.
Phase 1.2 : Vérication de la v alidité des parts distribuées de la
clé secrète Des preuv es de v érication doiv en t être a joutées p our assurer
la v alidité des parts distribuées. Ceci garan tit une reconstruction adéquate
de la clé secrète si une autorité malhonnête tric he et génère des parts de
secret in v alides duran t la Phase 1.1. Il faut noter que cette v érication est
assurée dans le cas de l'utilisation des sc hémas VSS ou PVSS (qui ra jouten t
des proto coles de v érication de la v alidité des parts) ou des proto coles DK G
basés sur ces t yp es de sc hémas.
Phase 2 : V ote Duran t cette étap e, c haque v otan t crypte et en v oie son bulletin
de v ote aux autorités électorales. Nous dénissons les sous-phases suiv an tes :
Phase 2.1 : Cryptage du bulletin de v ote P our crypter son bulletin de
v ote, le v otan t utilise la clé publique asso ciée à la clé priv ée générée duran t la
Phase 1.
Phase 2.2 : Vérication de la v alidité du bulletin de v ote crypté
Ce pro cessus fournit une preuv e de v alidité du c hoix crypté dans le bulletin
de v ote généré duran t la Phase 2.1. Ceci p eut être eectué au mo y en des
45

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
preuv es ZKP (exemple : la preuv e qu' un message c hiré est dans un ensem ble
donné de v aleurs [LK02]). Notons que certains proto coles de v ote électronique
utilisen t la tec hnique de rec hiremen t p our assurer la propriété de sans-reçu.
Dans ce cas, une preuv e supplémen taire de la v alidité du rec hiremen t doit
être a joutée.
Phase 3 : Dép ouillemen t P our calculer le résultat nal, les autorités de dé-
p ouillemen t co op èren t p our déc hirer les bulletins de v ote. Chaque autorité doit
restituer sa part de la clé secrète a v ec une preuv e de sa v alidité. Notons que la
reconstruction explicite de la clé secrète est facultativ e, et qu'il est p ossible de
calculer le résultat nal de v ote en com binan t les bulletins de v otes cryptés et les
parts v alides de la clé secrète.
P our la phase de dép ouillemen t, nous dénissons les deux sous-phases suiv an tes :
Phase 3.1 : Vérication de la v alidité des parts restituées par les
autorités Ce pro cessus prouv e la v alidité des parts secrètes (de la clé partagée)
restituées par les autorités électorales. Cette v érication p eut être eectuée
grâce aux sc hémas VSS ou PVSS.
Phase 3.2 : Calcul du résultat nal de v ote Le calcul du résultat nal
de v ote est eectué en utilisan t un décryptage distribué faisan t in terv enir un
sous-ensem ble d'autorités honnêtes qui on t restitué des v aleurs v alides duran t
la Phase 3.1. Ce calcul dép end de la tec hnique cryptographique utilisée p our
crypter les bulletins de v ote.
b. Ap erçu sur les proto coles de v ote électronique de la Classe 1
Dans la littérature, une m ultitude de proto coles de la Classe 1 utilisen t comme
brique de base le sc héma de partage de secret de Shamir [Dam01, FS01, A cq04,
P A V11]. L'incon v énien t ma jeur de l'utilisation du sc héma de Shamir (ou de tout
autre sc héma de partage de secret) est le fait de faire in terv enir un distributeur de
conance qui détien t initialemen t la clé secrète générée. Ceci compromet la sécurité
du pro cessus de v ote. Un autre incon v énien t de l'utilisation du sc héma de Shamir
(ou de tout autre sc héma de partage de secret non v ériable) est l'absence des
proto coles de v érication des parts distribuées et/ou restituées. Dans ce cas, il es
plus judicieux d'utiliser des sc hémas VSS ou PVSS qui incluen t des proto coles de
v érication p ermettan t d'une part de s'assurer de la v alidité des parts distribuées
par le distributeur de conance, et de v érier d'autre part l'exactitude des parts
restituées par les autorités. L'utilisation des sc hémas VSS ou PVSS con tribuen t
ainsi à satisfaire la propriété de v ériabilité que doit assurer un proto cole de v ote
électronique.
P our éviter d'a v oir recours à un seul distributeur de conance, plusieurs pro-
to coles de v ote électronique utilisen t les proto coles de génération de clés partagées
notés DK G (Distributed Key Generation proto col) qui impliquen t plusieurs parties
46

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
p our générer et partager conjoin temen t la clé secrète. Une m ultitude de proto coles
déns dans la littérature [CGS97, HS00, LK02, PSO11] de basen t sur le proto cole
DK G de P edersen [P ed91]. Ce proto cole DK G présen te à son tour certains incon-
v énien ts. D'une part, ce proto cole supp ose l'existence des canaux secrets duran t la
phase de distribution. D'autre part, Gennaro et al. on t prouv é dans [CGS97] que ce
proto cole n'est pas sûr et on t démon tré que des participan ts malhonnêtes p euv en t
biaiser la distribution des clés générées p our qu'elle ne soit plus uniforme. L'utilisa-
tion d'un proto cole DK G sûr lors de la dénition des proto coles de v ote appartenan t
à la Classe 1 s'a v ère primordiale.
Les rec herc hes que nous a v ons menées nous on t conduits à dénir dans [NBBR16]
un nouv eau proto cole DK G sécurisé con tre l'attaque prouv ée par Gennaro et sans
utiliser de canaux secrets. Notre proto cole DK G p eut être utilisé comme brique
de base p our dénir des proto coles de v ote électronique utilisan t la tec hnique du
partage de secret de la Classe 1 (v oir Chapitre 3).
Plusieurs auteurs qui prop osen t des proto coles de la classe1 [CGS97, HS00,
Dam01, FS01, LK02, A cq04, P A V11, PSO11], se basen t sur des proto coles DK G
p our prop oser de nouv elles v ersions de cryptosystèmes à seuil et les utilisen t par la
suite p our crypter les bulletins de v ote. L'utilisation des cryptosystèmes à seuil est
utile : les autorités co op èren t p our eectuer un décryptage m ultiple du résultat nal
(sans décrypter les bulletins un à un). Dans certain cas, la clé secrète des autorités
n'est jamais reconstruite et est utilisée implicitemen t dans le proto cole de dép ouille-
men t. Les proto coles de la Classe 1 utilisan t les cryptosystèmes à seuil prop osen t à
c haque fois deux v ersions de proto coles. La première utilise un v ote binaire (c hoix
parmi 0,1 ou -1,1), tandis que la seconde utilise un v ote m ulti-candidats. Notons que
dans les proto coles destinés aux élections m ulti-candidats, le total est plus grand que
dans les proto coles à v ote binaire. Ceci est dû à l'enco dage de plusieurs candidats
qui ne p eut pas être réduit, et au calcul de décompte nal qui devien t compliqué.
De plus, ceci implique l'utilisation de preuv es de v érication à complexité élev ée.
Notons que les v ersions partagées du crypto-systèmes El-Gamal appliqué aux pro-
to coles de v ote dans [CGS97, LK02, P A V11, PSO11] son t plus diciles à utiliser
dans le cadre des élections m ulti-candidats. L'utilisation des v ersions partagées du
crypto-système de P aillier prop osées dans [FS01, Dam01, A cq04] s'adapten t mieux
aux élections m ulti-candidats. T outefois, l'incon v énien t de l'utilisation du crypto-
système de P aillier est la gestion des clés qui est plus dicile que celui d'ELGamal.
An d'assurer les propriétés de sans-reçu et de résistance à la co ercition, les
solutions de v ote électronique prop osées dans la littérature com binen t l'utilisation
des tec hniques de partage de secret a v ec d'autres primitiv es et appro c hes crypto-
graphique. Dans [LK02], les auteurs utilisen t la tec hnique de rec hiremen t p our
satisfaire la propriété de sans-reçu. Ils supp osen t que c haque v otan t détien t un dis-
p ositif matériel sécurisé nommé TRR (une carte à puce par exemple) qu'il v a utiliser
47

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
p our v oter. Le TRR p ermet de rec hirer le bulletin de v ote et emp êc her le v otan t de
construire une preuv e qui p eut rév éler le con ten u de son v ote. Notons que l'utilisa-
tion de la tec hnique de rec hiremen t induit l'a jout de nouv elles preuv es de v alidités
p our prouv er au v otan t la v alidité du rec hiremen t eectué.
Les proto coles dénis dans [HS00, PSO11] utilisen t plusieurs autorités p our re-
c hirer c haque bulletin de v ote et garan tir ainsi la propriété de sans-reçu. Ceci est
équiv aut à l'utilisation des réseaux de mélangeurs à rec hiremen t v ériable (ou pu-
bliquemen t v ériables) dans lesquels c haque autorité joue le rôle d'un seul serv eur.
Cette appro c he p ermet de distribuer la conance en tre plusieurs parties et élimine
l'h yp othèse qui oblige les v otan ts à faire conance à un seul serv eur de rec hiremen t
[CCF G16] ou à un disp ositif sécurisé [LK02]. Cep endan t, l'utilisation de plusieurs
autorités (ou réseau de mélangeurs) p our rec hirer c haque bulletin de v ote augmen te
la complexité de comm unication et les coûts de calcul et rend le pro cessus de v ote
inapproprié aux élections à grande éc helle.
An de garan tir la propriété de la résistance à la co ercition, d'autres proto coles
comme ceux dénis dans [CCM08, JCJ10] com binen t l'utilisation des tec hniques
de partage de secret a v ec les creden tials anon ymes et les réseaux de mélangeurs.
Ces proto coles p ermetten t aux v otan ts de v oter même en présence d'un attaquan t
qui les oblige à v oter d'une certaine manière. Cep endan t, ces proto coles ne p euv en t
pas être utilisés p our des élections à grande éc helle à cause de la complexité du
proto cole de dép ouillemen t qui implique une complexité de temps quadratique de
O(N2) en fonction du nom bre des bulletins de v ote. De plus, la phase de génération
des creden tials est sujette à certaines attaques (v oir Chapitre 5).
Le T ableau 2.1 présen te un récapitulatif des propriétés de sécurité satisfaites par
les proto coles appartenan t à la Classe 1.
2.3.2 Classe2- Bulletin de v ote partagé
a. Princip e général des proto coles de la Classe 2
P our cette classe, la tec hnique de partage secret est utilisée p endan t la phase du
v ote. Dans ce cas, le secret est le bulletin de v ote partagé par le v otan t en tre les
autorités électorales. Chaque autorité n'a qu'une seule part de c haque bulletin de
v ote. Duran t la phase de dép ouillemen t, les autorités électorales fournissen t les parts
reçues des v otan ts, reconstituen t tous les bulletins de v ote et calculen t le résultat
nal de v ote.
1. La condition calculatoire rep ose sur des h yp othèse de diculté calculatoire. P ar exemple, la
diculté de résoudre le problème du logarithme discret DLP .
2. Sous condition que les autorités de dép ouillemen t ne v on t pas co op érer p our décrypter les
bulletins de v ote un par un.
48

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
T able 2.1  Classe 1 : Analyse des propriétés de sécurité satisfaites
Proto cole Con-
den tia-
litéAnon y-
matRésultat
partielRobus-
tesseSans-
reçuRésis-
tance à
la co erci-
tionVériabilité Scalabi-
lité
Indi-
vi-
duelleUni-
v er-
selle
Cramer et al.
(1997)SCC SC SC X X X X X X
Damgard and Jurik
(2000)SCC SC SC X X X X X X
Lee and Kim (2000) SCC SC SC X SC X X X X
Hirt and Sak o
(2000)SCC SC SC X X X X X X
F ouque et al. (2001) SCC SC SC X X X X X X
A cquisti (2004) SCC SC SC X AP AP X X X
Civitas/JCJ (2008) SCC SC SC X X X X X X
P ork o di et al.
(2011)SCC SC SC X X X X X X
Philip et al. (2011) SCC SC SC X X X X X X
Chondros et al.
(2015)SCC SC SC X SC X X X X
BeleniosRF (2016) SCC SC SC X X X X X X
SCC : propriété satisfaite sous condition calculatoire1, SC : propriété satisfaite sous condition2, AP : attaque prouv ée, X :
propriété satisfaite, X : propriété non satisfaite
P our les proto coles appartenan t à la Classe 2, nous dénissons les phases sui-
v an tes :
Phase 1 : Initialisation Duran t cette phase, les autorités électorales génèren t
les paramètres nécessaires au pro cessus complet de v ote.
Phase 2 : V ote P our v oter, c haque v otan t partage son bulletin de v ote en
plusieurs parts en tre les autorités électorales en utilisan t un sc héma de partage
de secret. Chaque v otan t doit fournir égalemen t une preuv e de la v alidité des
parts en v o y ées aux autorités et une preuv e de la v alidité du v ote con ten u dans le
bulletin de v ote partagé. P our cette étap e, nous dénissons les trois sous-phases
suiv an tes :
Phase 2.1 : P artage de bulletin de v ote Duran t cette phase, c haque v otan t
joue le rôle d'un distributeur et partage son bulletin de v ote en exécutan t la
phase de distribution d'un sc héma de partage secret. Le v otan t divise alors
son bulletin de v ote en n parts en utilisan t un sc héma de partage de secret à
seuil (k;n) et en v oie une part diéren te à c haque autorité électorale.
Phase 2.2 : Vérication de la v alidité des parts partagées du bulletin
de v ote Cette phase p ermet de v érier la v alidité des parts des bulletins
en v o y és par les v otan ts. En eet, duran t la Phase 2.1, un v otan t malhonnête
p eut en v o y er des parts non v alides aux autorités électorales. Cette v érication
est explicitemen t mise en ÷uvre par les sc hémas VSS ou PVSS qui ra jouten t
des preuv es p our assurer la v alidité des parts partagées. Cep endan t, notons
que l'utilisation des proto coles de v érication prop osés par les sc hémas VSS
49

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
ou PVSS n'est pas toujours p ossible duran t cette phase. En eet, étan t donné
que la v aleur du v ote appartien t à un ensem ble de v aleurs prédéterminées,
les v aleurs publiques utilisées p our prouv er la v alidité des parts risquen t de
compromettre la conden tialité du v ote et/ou l'anon ymat du v otan t. C'est
le cas par exemple du sc héma de partage de secret de F eldman dans lequel
le con ten u du v ote p eut être calculé à partir des engagemen ts publics des
co ecien ts du p olynôme de Shamir.
Phase2.3 : V erication de la v alidité du v ote Ce pro cessus fournit une
preuv e de la v alidité du v ote con ten u dans le bulletin partagé duran t la Phase
2.1. Ceci garan tit que c haque v otan t a partagé un v ote v alide duran t la Phase
2.2. Notons que les proto coles de v ote électroniques appartenan t à la Classe
2 p einen t à assurer cette phase de v érication. Ceci est du au fait que le v ote
n'est pas crypté et est plutôt sub divisé en plusieurs parts. Il est dicile de
prouv er la v alidité du con ten u partagé dans un sc héma de partage de secret
sans rév éler des informations relativ es au secret.
Phase 3 : Dép ouillemen t
A la n de la phase de v ote, c haque autorité com bine toutes les parts des bulletins
de v ote v alides qu'elle a reçues des v otan ts duran t la Phase 2.1. Elle obtien t alors
la somme partielle cryptée. Chaque autorités déc hire cette somme et la restitue
a v ec une preuv e de sa v alidité. Ensuite, un sous-ensem ble d'autorités honnêtes
co op ère p our reconstituer les bulletins de v ote v alides et calculer le résultat nal
de v ote.
Ce pro cessus est réalisé à tra v ers les étap es suiv an tes :
Phase3.2 : Vérication de la v alidités de parts des bulletins de v ote
restituées Duran t la phase de dép ouillemen t, une autorité malhonnête p eut
restituer des sommes partielles non v alides p our falsier le résultat nal. A
cet eet, des preuv es supplémen taires de la v alidité des parts des bulletins de
v ote restituées doiv en t être a joutées p our v érier leur exactitude. Ce pro cessus
est explicitemen t mis en ÷uvre par les sc hémas de partage de secret VSS ou
PVSS.
Phase3.3 : Calcul du résultat nal de v ote Le calcul du résultat nal
dép end de la tec hnique cryptographique utilisée p our crypter les bulletins
de v ote. En général, les autorités utilisen t la propriété homomorphique et
m ultiplien t leurs sommes partielles p our calculer la somme des v otes. A la n
de cette phase, les autorités publien t le résultat nal de v ote a v ec une preuv e
de sa v alidité.
b. Ap erçu sur les proto coles de v ote électronique de la Classe 2
Les proto coles de v ote électronique utilisan t la tec hnique de partage de secret
de la Classe 2 son t apparus dans [CF85, BY86, Ben87] et on t été améliorés par
50

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
la suite dans [CFSY96, Ift07, SP, OI10, NBK15]. Ces proto coles souren t toujours
de certains incon v énien ts. D'une part, la ma jorité d'en tre eux, comme ceux pro-
p osés dans [Ift07, SP, NBK15], p einen t à prouv er la v alidité de la v aleur de v ote
con ten ue dans le bulletin de v ote partagé. D'autre part, certain de ces proto coles
[Ift07, SP, NBK15] utilisen t comme brique de base des sc hémas de partage de secret
non v ériables comme celui de Shamir. Ces sc hémas n'oren t pas des mo y ens de
v érication de la v alidité des parts des bulletins de v otes distribuées par les v otan ts
et restituées par les autorités de dép ouillemen t. Ainsi, les v otan ts p euv en t en v o y er
des parts in v alides de leurs bulletins de v ote et biaiser le résultat nal. Il p eut aussi
arriv er que certaines autorités ten ten t de falsier le résultat du v ote en donnan t
des parts qui ne pro viennen t pas réellemen t des v otan ts. Au nal la com binaison
des parts des bulletins ne p ermet pas d'obtenir un résultat nal correct. Il n'est
plus p ossible de v érier si le résultat de décompte publié est correctemen t calculé à
partir des bulletins de v ote v alides. A cet eet, les proto coles de la Classes 2 basés
sur des sc hémas de partage de secret non v ériables n'assuren t pas la propriété de
v ériabilité.
La solution à cette problématique p eut être app ortée par les sc hémas VSS ou
PVSS [CFSY96, OI10] qui ra jouten t des proto coles de v érication p ermettan t de
v érier l'exactitude des parts des bulletins de v ote. C'est le cas par exemple du
proto cole de v ote qui a été prop osé par Cramer et al. dans [CFSY96] et qui est basé
sur le sc héma VSS de P edersen [P ed92].
Cep endan t, l'utilisation des sc hémas VSS ou PVSS dans un proto cole de v ote
électronique n'est pas p ossible dans tous les cas. Ceci est dû à l'utilisation des
proto coles de v érication qui comprometten t la conden tialité du v ote. C'est le cas
par exemple du sc héma VSS de F eldman dans lequel le con ten u du v ote p eut être
dév oilé à partir des engagemen ts publics des co ecien ts du p olynôme de Shamir en
utilisan t une simple rec herc he exhaustiv e (étan t donné que c haque v ote appartien t à
un ensem ble prédéni de v aleurs). L'utilisation du sc héma VSS de P edersen [P ed92]
est plus appropriée dans ce cas puisque les engagemen ts public utilisées p our assurer
la v érication des parts ne fournissen t aucune information sur la v aleur du v ote.
Otsku et Imai on prop osé dans [OI10] un sc héma PVSS et l'on utilisé comme brique
de base p our dénir un proto cole de v ote électronique. Les proto coles prop osés dans
[CFSY96, OI10] assuren t la v ériabilité univ erselle grâce à l'utilisation des sc hémas
VSS et PVSS.
A cet eet, les sc hémas de partage de secret les plus appropriés aux proto coles de
la Classe 2 son t les sc hémas VSS ou PVSS qui préserv en t la conden tialité du v ote
et qui on t une propriété homomorphique additiv e facilitan t le décompte du résultat
nal (an de ne pas être amené à reconstituer les bulletins de v ote un par un).
Les proto coles de la Classe 2 n'arriv en t pas à satisfaire la propriété de sans-reçu
car le v otan t p eut prouv er le con ten u de son v ote en rév élan t les v aleurs aléatoires
51

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
qu'il a utilisé p our partager son v ote. Les proto coles de la Classe 2 souren t égale-
men t d'un problème de scalabilité et ne p euv en t pas être appliqués p our des élections
à grande éc helle a v ec un très grand nom bre de v otan ts. Ceci est dû au fait que la
complexité et le cout des calculs eectués qui dép enden t du nom bre des v otan ts et
du nom bre des autorités.
Comparés aux proto coles de la Classe 1, les proto coles appartenan t à la Classe
2 nécessiten t des pro cédures de v érication plus complexes. En eet, si le bulletin
de v ote est partagé et que c haque part est en v o y ée à une autorité diéren te, il faut
s'assurer de de la v alidité de toutes les parts en v o y ées par c haque v otan t. De plus,
duran t la phase de décompte, il faut v érier l'exactitude des parts des bulletins de
v ote restituées par les autorités de dép ouillemen t.
Le T ableau 2.2 présen te un récapitulatif des propriétés de sécurité satisfaites par
les proto coles appartenan t à la Classe 2.
T able 2.2  Classe 2 : Analyse des propriétés de sécurité satisfaites
Proto cole Con-
den tia-
litéAnon y-
matRésultat
partielRobus-
tesseSans-
reçuRésis-
tance à
la co erci-
tionVériabilité Scalabi-
lité
Indi-
vi-
duelleUni-
v er-
selle
Cramer et al.
(1996)SCC SC SC X X X X X X
Iftene (2007) SCC SC SC X X X X X X
Spiridoncia et al.
(2010)SCC SC SC X X X X X X
Otsku and Imai
(2010)SCC SC SC X X X X X X
Mukhopadh y a y
(2014)SCC SC SC X X X X X X
Nair et al. (2015) SCC SC SC X X X X X X
SCC : propriété satisfaite sous condition calculatoire1, SC : propriété satisfaite sous condition2,X : propriété satisfaite, X :
propriété non satisfaite
2.3.3 Classe3- Clé de bulletin de v ote partagée
a. Princip e général des proto coles de la Classe 3
Les proto coles de v ote électronique appartenan t à la Classe 3 appliquen t le par-
tage secret p endan t la phase d'initialisation. Rapp elons que cette fois le secret est
une clé utilisée par c haque v otan t p our crypter son bulletin de v ote. Chaque clé
secrète (asso ciée à un seul bulletin de v ote) est partagée par le v otan t en tre les
autorités électorales.
P our les proto coles appartenan t à la Classe 3, nous dénissons les phases sui-
v an tes :
52

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
Phase 1- Initialisation : Génération des clés des bulletins de v ote Le
partage de secret est appliqué duran t la phase d'initialisation par c haque v otan t.
Nous dénissons les deux sous-phases suiv an tes :
Phase 1.1 : P artage des clés secrète des bulletins de v ote Duran t cette
phase, c haque v otan t joue le rôle d'un distributeur dans un sc héma de partage
de secret. Il partage une clé secrète de son c hoix. Cette clé v a être utilisée par
la suite p our crypter son bulletin de v ote.
Phase 1.2 : Vérication de la v alidité des parts distribuées P our
s'assurer de la v alidité des parts distribuées par le v otan t duran t la Phase 1.1,
des preuv es supplémen taires doiv en t être fournies par le v otan t p our assurer
la v alidité du partage qu'il a eectué. Comme p our la Classe 2, ceci p eut
etre eectué en utilisan t les sc hémas VSS ou PVSS. Notons ici que comparée
à la Classe 2, l'utilisation de ces sc hémas ne risque pas de compromettre la
conden tialité du v ote et/ou l'anon ymat du v otan t étan t donnée que la v aleur
de la clé secrète est c hoisie aléatoiremen t par le v otan t et ne p eut pas être
conn ue à l'a v ance.
Phase 2 :V ote
Phase 2.1 : Cryptage du bulletin de v ote Duran t cette phase, c haque
v otan t utilise la clé secrète qu'il a partagée duran t la Phase 1.1 p our crypter son
bulletin de v ote. Le cryptage est habituellemen t eectué a v ec un cryptosystème
asymétrique.
Phase 2.2 : Vérication de la v alidité du bulletin de v ote crypté Ce
pro cessus fournit une preuv e de v alidité du c hoix crypté dans le bulletin de
v ote généré duran t la Phase1.1. Comparé aux proto coles de la Classe 2, il est
plus facile de mettre en place des preuv es de v érication duran t cette phase.
En eet, étan t donné que la v aleur du v ote est cryptée, prouv er la v alidité du
v ote revien t en général à utiliser une preuv e ZKP prouv an t que le message
c hié appartien t à un ensem ble v alide de v aleurs [CDS94, LK02].
Phase 3 : Dép ouillemen t Cette phase est similaire à la phase du dép ouillemen t
des proto coles de la Classe 2. Cette fois, les autorités restituen t les parts des clés
de décryptage des bulletins de v ote (au lieu de restituer les parts des bulletins de
v ote). Ce pro cessus est réalisé à tra v ers les étap es suiv an tes :
Phase 3.1 : Vérication de la v alidités de parts des clés restituées
Duran t cette phase, des preuv es de la v alidité des clés des bulletins de v ote
restituées doiv en t être a joutées p our v érier leur exactitude. Ce pro cessus est
explicitemen t mis en ÷uvre par les sc hémas de partage de secret VSS ou PVSS.
Phase 3.2 : Calcul du résultat nal de v ote Duran t cette phase, les auto-
rités co op èren t p our eetuer de decryptage des bulletins de v ote et calculer le
résultat nal. Comme p our la Classe 2, en utilisan t la propriété homomorphi-
quele, le total p eut être calculé sans déc hirer c haque v ote individuellemen t.
53

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
La somme des clés de décryptage des bulletins de v ote p eut être utilisée an
de calculer la somme correcte des v otes.
b. Ap erçu sur les proto coles de v ote électronique de la Classe 3
L'utilisation du partage de secret dans les proto coles de la troisième classe est
similaire à celui de la deuxième classe. T outefois, duran t la pro cédure de partage de
secret, le v otan t n'est pas amené à prouv er l'exactitude du con ten u partagé puisque
le secret partagé est la clé du bulletin de v ote crypté et non le v ote en lui-même. A
cet eet, le v otan t se con ten te de fournir une preuv e de la v alidité de son bulletin de
v ote crypté. Comparé à la Classe 2, cette preuv e est plus facile à mettre en ÷uvre.
Notons égalemen t qu'a l'encon tre de la Classe 2, l'application d'un sc héma PVSS ou
VSS dans la Classe 3 ne compromet pas la conden tialité du v ote. Les proto coles de
v érication prouv en t la v alidité des parts distribuées et restituées relativ e à la clé
secrète qui crypte le bulletin de v ote.
Le premier proto cole de v ote électronique utilisan t la tec hnique de la Classe 3 a
été prop osé par Sc ho enmak ers en 1999. C'est le premier proto cole de v ote électro-
nique qui se base sur l'utilisation d'un sc héma PVSS p our dénir un proto cole de
v ote électronique. En 2002, Kia yias and Y ung [KY02] se son t inspiré du proto cole
de Sc ho enmak ers p our prop oser un proto cole p ermettan t aux v otan ts de partici-
p er à la phase de dép ouillemen t p our calculer le résultat nal de v ote. T outefois,
le proto cole déni dans [KY02] se base sur un partage de secret (m;m ) (a v ecm
est le nom bre total des v otan ts). En 2014, Zou et al. prop osen t égalemen t dans
[ZLS+14] un proto cole de v ote électronique basé sur un sc héma de partage de secret
(m;m ) . L'incon v énien t ma jeur cette appro c he est que si une seule des parts vien t
à manquer, le résultat de v ote sera dénitiv emen t inaccessible. De plus, le temps
et la complexité de la comm unication des proto coles déni dans [KY02, ZLS+14]
dép enden t du nom bre des v otan ts. Ces proto coles ne p euv en t pas être appliqués à
des élections a v ec un très grand nom bre de v otan ts. Malgré ces incon v énien ts, le pro-
to cole déni dans [ZLS+14] est original du p oin t de vue qu'il supp ose que toutes les
autorités électorales on t des conits d'in térêts et ne v on t pas partager leurs informa-
tions. Il faut noter que les proto coles de v ote électronique destinés aux élections a v ec
des parties a y an t des conits d'in térêts p euv en t être conçus en utilisan t la tec hnique
de la Classe 1 a v ec des proto coles DK G qui p ermetten t de résoudre ecacemen t
les conits en tre les autorités concernées. Dans le c hapitre suiv an t, nous prop osons
un proto cole DK G a v ec une stratégie ecace de gestion des plain tes qui iden tie
clairemen t les autorités malhonnêtes. Notre proto cole DK G p eut être utilisé comme
brique de base p our concev oir de nouv eaux proto coles de v ote électronique.
Le T ableau A.3 présen te un récapitulatif des primitiv es cryptographiques utilisées
par les proto coles appartenan t à la Classe 3.
Comme les proto coles de la Classe 2, les proto coles de la Classe 3 n'arriv en t
54

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
pas à satisfaire la propriété de sans-reçu et souren t égalemen t d'un problème de
scalabilité. En eet, un v otan t p eut construire un reçu de son v ote en rév élan t la clé
de décryptage de son bulletin de v ote, ou les v aleurs aléatoires qu'il a utilisé p our
la partager. Notons que ces proto coles son t plus appropriés à des élections de p etite
taille car la complexité et le cout des calculs eectués par le v otan t dép enden t du
nom bre des autorités.
Le T ableau 2.3 présen te un récapitulatif des propriétés de sécurité satisfaites par
les proto coles appartenan t à la Classe 3.
T able 2.3  Classe 3 : Analyse des propriétés de sécurité satisfaites
Proto cole Con-
den tia-
litéAnon y-
matRésultat
partielRobus-
tesseSans-
reçuRésis-
tance à
la co erci-
tionVériabilité Scalabi-
lité
Indi-
vi-
duelleUni-
v er-
selle
Sc ho enmak ers
(1999)SCC SC SC X X X X X X
Kia yias and Y ung
(2002)SCC SC SC X X X X X X
Zou et al. (2014) SCC SC SC X X X X X X
SCC : propriété satisfaite sous condition calculatoire1, SC : propriété satisfaite sous condition2, AP : attaque prouv ée, X :
propriété satisfaite, X : propriété non satisfaite
2.4 Classication : Analyse des propriétés de sécu-
rité
Les proto coles de v ote électronique utilisen t les tec hniques de partage de secret
p our assurer les propriétés de sécurité que doit satisfaire un pro cessus de v ote.
Dans cette section, nous concen trons notre analyse dans un premier temps sur les
propriétés de sécurité satisfaites par les proto coles de v ote basés uniquemen t sur les
tec hniques de partage de secret. Dans un second temps, nous analysons les propriétés
de sécurité satisfaites par la com binaison des tec hniques de partage de secret a v ec
d'autres appro c hes cryptographiques sp éciques p our le v ote électronique.
Il faut noter que les proto coles de v ote électroniques basés uniquemen t sur les
tec hniques de partage de secret n'arriv en t pas à satisfaire certaines exigences de
sécurités, notammen t la résistance à la co ercition et la propriété de sans-reçu. La
com binaison des tec hniques de partage de secret a v ec d'autres appro c hes crypto-
graphiques s'a v ère primordial p our rép ondre à un certain nom bre d'exigences de
sécurité et p our garan tir ainsi la v alidité du pro cessus de v ote.
En fonction des exigences de sécurité ciblées, cette analyse p ourra aider à sélec-
tionner les briques de base et les tec hniques cryptographiques adéquates qu'il faut
55

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
utiliser p our p ouv oir mettre en ÷uvre un système de v ote électronique sûr et décider
de ce qui con vien t le mieux à un t yp e particulier d'élection.
Conden tialité du v ote
Dans un pro cessus de v ote, tous les bulletins de v ote doiv en t être conden tiels.
L'utilisation des tec hniques de partage de secret p ermet de satisfaire cette propriété
de sécurité. En eet, rapp elons que p our les proto coles de la Classe 1, les bulletins
de v ote son t cryptés a v ec une seule clé secrète partagée en tre les autorités. P our
les proto coles de Classe 2, le bulletin de v ote est sub divisé en plusieurs parts et
est partagé en tre les autorités. Aucune part ne rév èle la moindre information sur la
v aleur du v ote. P our les proto coles de la Classe 3, c haque bulletin est crypté a v ec
une clé secrète diéren te partagée en tre les autorités électorale.
P our c hacune de ces classes, violer la conden tialité d'un bulletin de v ote im-
plique la p ossibilité p our un attaquan t de calculer la clé secrète partagée en tre les
autorités électorale (Classe 1), de reconstituer le bulletin de v ote à partir des parts
en v o y ées aux autorités électorales (Classe 2), ou de calculer la clé secrète relativ e au
bulletin de v ote à partir des parts en v o y ées aux autorités électorales (Classe 3). Dans
les trois cas, compromettre la conden tialité du v ote revien t à obtenir une donnée
secrète partagée en tre les autorités électorales a v ec un sc héma de partage de secret.
Obtenir cette information secrète nécessite la coalition de t autorités électorales.
La conden tialité du v ote dép end donc de la sécurité du sc héma de partage de
secret qui doit satisfaire la propriété de secret. Notons qu'un sc héma de partage
de secret v érie la propriété de secret p our une donnée secrète s si une p ersonne
malhonnête ne p eut pas obtenir s , ou certaines informations concernan t s . Ainsi, si
la propriété de secret est satisfaite, une partie malhonnête ne p eut pas décrypter les
bulletins de v ote, ou obtenir des informations relativ es aux v aleurs des v otes. Ceci
con tribue à assurer la conden tialité du v ote.
Constatation 1. L'utilisation d'un schéma de p artage de se cr et qui vérie la pr o-
priété de se cr et c ontribue à assur er la c ondentialité du vote.
A cet eet, les proto coles de v ote électronique basés sur les tec hniques de partage
de secret satisfon t la propriété de conden tialité de v ote sous condition que le sc héma
de partage de secret utilisé v érie la propriété de secret. Notons que les sc hémas
de partage de secret utilisen t un certain nom bre de primitiv es cryptographiques
p ermettan t d'assurer la propriété de secret. La plupart de ces primitiv es exploiten t
des problèmes diciles don t la sécurité rep ose sur la diculté calculatoire supp osée
de ces problèmes.
56

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
Anon ymat du v otan t
Dans un proto cole de v ote électronique, les v otan ts doiv en t transmettre anon y-
memen t leurs bulletins de v ote aux autorités de dép ouillemen t. En se basan t sur la
façon don t les v otan ts soumetten t leurs bulletins de v ote, nous iden tions trois ap-
pro c hes diéren tes p our assurer l'anon ymat du v otan t. Dans la première appro c he,
l'anon ymat est assuré en masquan t l'iden tité du v otan t. Les v otan ts soumetten t
anon ymemen t les bulletins de v otes. Dans la deuxième appro c he, la propriété d'ano-
n ymat est assurée en masquan t le v ote. Les v otan ts soumetten t ouv ertemen t des
bulletins de v otes cryptés. Dans la troisième appro c he, l'anon ymat est assuré en
masquan t l'iden tité du v otan t et le v ote. Les v otan ts soumetten t anon ymemen t des
bulletins de v ote cryptés.
Notons que les proto coles de v ote électronique qui se basen t uniquemen t sur les
tec hniques de partage de secret garan tissen t l'anon ymat du v otan t en se basan t sur
la deuxième appro c he : la propriété d'anon ymat est donc assurée en masquan t le
v ote.
Dans ce cas, assurer la propriété de l'anon ymat revien t à assurée la conden tialité
du v ote (v oir Constatation 1).
Constatation 2. Dans les pr oto c oles de vote éle ctr onique b asés uniquement sur les
te chniques de p artage de se cr et, la pr opriété de l'anonymat du votant est é quivalente
au pr opriété de c ondentialité du vote.
Il faut noter égalemen t que les proto coles appartenan t aux classes 1, 2 et 3
satisfon t la propriété d'anon ymat du v otan t en supp osan t l'honnêteté d'un sous-
ensem ble d'autorités de dép ouillemen t qui ne v on t pas co op érer p our décrypter les
bulletins de v ote individuels. P our les proto coles de la classe 1, ceci supp ose que
les autorités ne v on t pas co op érer p our reconstituer explicitemen t la clé secrète des
autorités et l'utiliser p our décrypter les bulletins un par un. P our les proto coles de
la Classe 2, ceci supp ose que les autorités ne v on t pas se réunir p our reconstituer
les bulletins de v ote individuels à partir des parts en v o y ées par c haque v otan t. De
même p our les proto coles de la Classe 3 : les autorités ne v on t pas reconstituer
explicitemen t la clé secrète relativ e à c haque bulletin et ne v on t pas ainsi décrypter
les v otes un par un.
Constatation 3. L'anonymat du votant ne p ourr ait êtr e satisfaite qu'en supp osant
l'honnêteté d'au moins t autorités de dép ouil lement qui ne vont p as dé crypter les
bul letins de vote un p ar un.
Sans-reçu
La raison principale p our laquelle les proto coles de v ote électroniques (ceux basés
sur les tec hniques de partage de secret en tre autres) n'arriv en t pas à satisfaire la
57

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
propriété de sans-reçu est la suiv an te : p our calculer et crypter son bulletin v ote, le
v otan t est amené à c hoisir une v aleur aléatoire. Le bulletin de v ote crypté est publié
sur un tableau d'ac hage public. Le v otan t p eut rév éler le con ten u de son v ote
en rév élan t la v aleur aléatoire qu'il a utilisé p our le cryptage. En général, dans un
pro cessus de v ote, quand le v otan t c hoisit une v aleur aléatoire p our c hirer son v ote,
le v otan t p eut facilemen t l'exploiter p our construire un reçu et prouv er la manière
a v ec laquelle il a v oté [HS00].
En analysan t les proto coles de v ote électronique appartenan t aux Classes 2 et
3, nous remarquons que ces proto coles n'arriv en t pas à satisfaire la propriété de
sans-reçu. En eet, dans c hacune de ces deux classes, le v otan t est amené à c hoisir
une v aleur aléatoire p our partager son v ote, ou la clé de décryptage de son bulletin
de v ote. Dans les proto coles de la Classe 2, le v otan t utilise un sc héma de partage
secret p our partager son bulletin de v ote. Le v otan t est amené à c hoisir des v aleurs
aléatoires p our exécuter la phase de distribution. Ces v aleurs aléatoires p euv en t
être utilisées par le v otan t p our construire un reçu prouv an t p our qui il a v oté
[HS00, LK02].
P our les proto coles de la Classe 3, le v otan t p eut égalemen t construire un reçu
prouv an t le con ten u de son v ote en utilisan t les v aleurs aléatoires c hoisies p our
partager la clé secrète relativ e à son bulletin de v ote. Le v otan t p eut rév éler la clé
secrète p ermettan t de décrypter son bulletin de v ote en rév élan t les v aleurs aléatoires
qu'il a utilisées p endan t la phase de distribution.
Constatation 4. L es pr oto c oles de vote éle ctr onique b asés sur les te chniques de
p artage de se cr et de la Classe 2 et la Classe 3 ne satisfont p as la pr opriété de sans-
r e çu.
Dans le proto cole de la Classe 1, le v otan t n'exécute pas le partage secret p our
crypter son bulletin de v ote. Il se con ten te plutôt d'utiliser la clé publique asso ciée
à la secrète des autorités p our crypter son bulletin de v ote. Si le v otan t doit c hoisir
en plus une v aleur aléatoire p our le cryptage, il est p ossible de rec hirer la v aleur du
bulletin de v ote. Le rec hiremen t p eut être eectué par un réseau de mélangeur, par
une (ou plusieurs) autorité(s) de conance ou par un disp ositif matériel sécurisé. Ce
pro cessus emp êc he le v otan t de conserv er les v aleurs aléatoires c hoisies. Le v otan t
est alors incapable de prouv er à un attaquan t le con ten u de son v ote.
Constatation 5. L a pr opriété de sans-r e çu p ourr ait êtr e satisfaite p ar les pr oto c oles
de vote éle ctr onique de la Classe 1 si la te chnique de p artage de se cr et utilisé e est
c ombiné e ave c la te chnique de r e chir ement.
T outefois, notons que la com binaison de ces tec hniques présen te quelques incon-
v énien ts. En utilisan t la tec hnique de rec hiremen t, de nouv elles preuv es de v érica-
tion doiv en t être ra joutées p our prouv er la v alidité du rec hiremen t eectuée. Ces
58

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
preuv es nécessiten t un coût supplémen taire de comm unications. Dans le cas d'utili-
sation d'un réseau de mélangeurs à rec hiremen t, ce dernier engendre une complexité
de comm unication et de calcul assez élev ée. De nouv elles preuv es de v alidité doiv en t
être égalemen t ra joutées.
Notons que le rec hiremen t ne p eut pas être appliqué aux proto coles de la Classe
2 parce que le v ote n'est pas initialemen t crypté et est plutôt sub divisé en plusieurs
parts a v ec un sc héma de partage de secret. L'utilisation du rec hiremen t ne p eut
pas égalemen t garan tir la propriété de sans-reçu p our les proto coles de la Classe 3.
Même si le v ote est rec hiré, le v otan t p eut tout simplemen t dév oiler la v aleur de la
clé secrète qu'il a utilisée p our crypter son bulletin de v ote.
Résistance à la co ercition
Dans les proto coles de v ote électroniques basés uniquemen t sur les tec hniques
de partage de secret, il n'est pas p ossible de satisfaire la propriété de résistance à
la co ercition. La présence d'un attaquan t a v ec le v otan t duran t la phase de v ote
p eut forcer ce dernier à v oter con tre ses désirs. P our éviter de telles situations, il
est p ossible d'a v oir recours à l'utilisation des creden tials anon ymes en com binaison
a v ec les tec hniques de partage de secret.
En eet, p our les proto coles de la Classe 1 et la Classe 3, p our v oter c haque
v otan t doit soumettre un creden tial a v ec son bulletin de v ote crypté p our le v alider.
P our les proto coles de la Classe 2, duran t la phase de distribution, c haque v otan t doit
soumettre son creden tial a v ec les parts du bulletin de v ote p our les v alider. Dans
tous les cas, en cas de présence d'un attaquan t qui force le v otan t à v oter d'une
certaine manière, le v otan t p eut soumettre un creden tial in v alide. Rapp elons que ni
le v otan t, ni l'attaquan t, ne p euv en t prouv er ou v érier la v alidité ou l'in v alidité du
creden tial soumis. Ainsi, nous obtenons la prop osition suiv an te :
Constatation 6. L a c ombinaison des te chniques de p artage de se cr et ave c les cr e-
dentials anonymes p ermet d'assur er la pr opriété de la r ésistanc e à la c o er cition.
Robustesse
La propriété de robustesse implique que le proto cole de v ote p eut tolérer un
certain nom bre de participan ts malhonnêtes. Les proto coles de v ote électroniques
basés sur les tec hniques de partage de secret assuren t cette propriété.
Ces proto coles supp osen t la présence d'un nom bre minimal d'autorités honnêtes
mettan t en comm un leurs informations p our construire la clé d'autorité partagée
(Classe 1), les bulletins de v ote (Classe 2) ou les clés des bulletins de v ote (Classe
59

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
3). Un comp ortemen t inadéquat de t1 coalition d'autorités p eut être toléré. Aucune
coalition de v otan ts malhonnêtes ne p eut p erturb er l'élection.
Constatation 7. L'utilisation des schémas de p artage de se cr et à seuil (k;n) p ermet
d'obtenir un pr oto c ole de vote éle ctr onique qui satisfait la pr opriété de r obustesse.
Vériabilité univ erselle
Dans les sc hémas PVSS, une preuv e de v alidité publique est a joutée p our p er-
mettre à toute partie de s'assurer de la v alidité des parts distribuées et restituées.
L'application d'un sc héma PVSS à un proto cole de v ote électronique p ermet d'as-
surer la v ériabilité univ erselle. En eet, n'imp orte quel participan t p eut s'assurer
que les bulletins de v ote on été comptés correctemen t en v érian t la v alidité des
parts des bulletins de v ote (Classe 2) ou les parts des clés de décryptage des bulle-
tins de v ote (Classe 3), distribuées par les v otan ts et restituées par les autorités. Le
décryptage qui conduit aux résultats naux à partir des bulletins de v ote v alides est
égalemen t v ériable. L'utilisation d'un sc héma PVSS ou d'un proto cole DK G basé
sur un PVSS dans les proto coles de la Classe 1 p ermet égalemen t à n'imp orte quel
participan t de v érier la v alidité du décryptage distribué eectuée par les autorités
de dép ouillemen t. Ainsi, nous obtenons la prop osition suiv an te :
Constatation 8. L'utilisation des te chniques de p artage de se cr ets b asés sur des
schémas PVSS p ourr ait c ontribuer à assur er la vériabilité universel le.
Scalabilité.
En examinan t la p erformance du pro cessus de v ote, il est bien clair que le tra v ail
accompli par le v otan t dans les proto coles de la Classe 1 nécessite moins d'op érations
de calcul que celui des Classes 2 et 3. Une propriété in téressan te des proto coles de
la Classe 1 est que la complexité et le temps de comm unication p our le v otan t
est indép endan t du nom bre des autorités. P our v oter, un v otan t v a tout simplemen t
en v o y er un seul message crypté accompagné d'une seule preuv e qui prouv e la v alidité
de son v ote, con trairemen t aux proto coles des Classe 2 et 3 duran t lesquels le v otan t
doit en v o y er plusieurs parts c hirées en fonction du nom bre des autorités et doit
prouv er la v alidité de c haque part en v o y ée. A cet eet, les proto coles des Classes 2
et 3 son t plus appropriés aux élections de p etite taille, vu la complexité des calculs
eectués duran t la phase de décompte et le nom bre imp ortan t de v érications à
eectuer. Les proto coles de la Classe 1 p euv en t être appliqués à des élections à
grande éc helle.
Constatation 9. L a pr opriété de sc alabilité p ourr ait êtr e assur é e p ar les pr oto c oles
de vote éle ctr onique de la Classe 1.
Le T ableau 2.4 présen te un récapitulatif des propriétés de sécurité qui p ourrait
être satisfaites par c haque classe.
60

CHAPITRE 2. LE P AR T A GE DE SECRET ET LE V OTE ÉLECTR ONIQUE
T able 2.4  Classication : Analyse des propriétés de sécurité
Con-
den tia-
litéAnon y-
matRésultat
partielRobus-
tesseSans-
reçuRésis-
tance à
la co er-
citionVéria-
bilité
univ er-
selleScala-
bilité
Classe1SCC SC SC X CA C CA C DK G
basé sur
PVSSX
Classe2SCC SC SC X X CA C PVSS X
Classe3SCC SC SC X X CA C PVSS X
SCC : propriété satisfaite sous condition calculatoire1, SC : propriété satisfaite sous condition2, CA C propriété
satisfaite en cas de com binaison a v ec d'autres appro c hes cryptographiques, X : propriété satisfaite, X : propriété
non satisfaite
2.5 Conclusion
Dans ce c hapitre nous a v ons étudié le rôle du partage de secret dans le v ote élec-
tronique. Nous a v ons égalemen t prop osé une classication des proto coles de v ote
électronique en fonction des tec hniques de partage de secret utilisées. Cette classi-
cation nous a conduits à établir un lien en tre les propriétés de sécurité qui p ourraien t
être satisfaites p our c haque tec hnique de partage de secret. Les proto coles de v ote
de la Classe 1 sem blen t les plus appropriés à être utilisés p our des elections à grande
éc helle. Il serait plus approprié qu'ils soien t conçus en se basan t sur des proto coles
DK G p our éviter d'a v oir recours à une seule autorité de conance. Dans le c hapitre
suiv an t, nous allons prop oser un proto cole DK G qui p ourrait être utilisé comme
brique de base p our dénir des nouv eaux proto coles de v ote electronique apparte-
nan t à Classe 1.
61

Chapitre 3
Un proto cole DK G basé sur une
nouv elle stratégie de gestion de
plain tes
Sommaire
3.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 62
3.2 Les tra v aux existan ts . . . . . . . . . . . . . . . . . . . . . 63
3.3 La v ersion mo diée du proto cole DK G Join t-F eldman . 64
3.3.1 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . 65
3.3.2 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.3.3 Sécurité con tre l'attaque de Gennaro . . . . . . . . . . . . 67
3.4 Notre proto cole DK G . . . . . . . . . . . . . . . . . . . . . 68
3.4.1 Mo dèle de comm unication et adv ersaires . . . . . . . . . . 69
3.4.2 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . 69
3.5 Analyse de la sécurité . . . . . . . . . . . . . . . . . . . . . 72
3.5.1 Exigences de sécurité d'un proto cole DK G . . . . . . . . 72
3.5.2 Preuv es de sécurité . . . . . . . . . . . . . . . . . . . . . . 73
3.6 Discussions . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.7 Comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . 77
3.8 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
3.1 In tro duction
Les proto coles de génération de clé distribuée (DK G) p euv en t être utilisés comme
brique de base p our concev oir des proto coles cryptographiques tels que les crypto-
systèmes à seuil, les sc hémas de signature à seuil, les sc hémas fondés sur l'iden tité
ou encore les proto coles de v ote électronique, Les proto coles DK G p ermetten t de
62

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
générer une clé secrète partagée sans a v oir recours à une partie de conance. P our
ce faire, plusieurs participan ts co op èren t p our générer et partager conjoin temen t
une clé secrète de telle sorte qu'à la n du pro cessus, tous les participan ts honnêtes
auron t une part v alide de cette clé secrète. Les proto coles DK G son t basés sur des
exécutions parallèles d'un sc héma de partage secret, eectuées par les participan ts.
En présence de participan ts malhonnêtes, les proto coles DK G doiv en t fournir
des solutions p our détecter les participan ts qui tric hen t en distribuan t des parts
in v alides de la clé secrète. Ceci est eectué en utilisan t une stratégie de gestion de
plain tes qui p ermet aux participan ts de p orter plain te s'ils reçoiv en t des parts non
v alides. Notons que la stratégie de gestion de plain tes utilisée dans les proto coles
DK G précéden ts [P ed91, GJKR99, CGJ+99, PNE15] présen te des incon v énien ts.
D'une part, elle oblige les participan ts à rév éler leurs parts secrètes p our prouv er leur
honnêteté. D'autre part, elle ne p ermet pas d'iden tier clairemen t les participan ts
malhonnêtes. Ainsi, il n'est pas p ossible de détecter si la partie malhonnête est le
participan t qui a en v o y é une part in v alide ou le participan t qui prétend a v oir reçu
une part in v alide.
Dans ce c hapitre, nous présen tons un proto cole DK G a v ec une nouv elle stratégie
de gestion de plain tes qui emp êc he les participan ts honnêtes de rév éler leurs parts
et qui iden tie clairemen t les participan ts malhonnêtes. Nous a joutons une phase
nomméeDisputation p our disqualier les participan ts malhonnêtes.
Ce c hapitre est organisé comme suit : T out d'ab ord, les proto coles DK G les
plus imp ortan ts son t in tro duits. Ensuite, nous présen tons une v ersion mo diée du
proto cole DK G de P edersen [P ed91]. Nous présen tons égalemen t un nouv eau pro-
to cole DK G basé sur un sc héma PVSS [AKR12]. Ce proto cole DK G est basé sur
une nouv elle stratégie de gestion de plain tes. Enn, nous étudions la sécurité de
notre proto cole et nous eectuons une comparaison a v ec les autres proto coles DK G
existan ts.
3.2 Les tra v aux existan ts
Le premier proto cole DK G a été in tro duit par P edersen en 1991 [P ed91]. Ce pro-
to cole reconn u sous le nom de Join t-F eldman DK G est basé sur plusieurs exécutions
en parallèle du sc héma VSS de F eldman [F el87]. Il a été utilisé p endan t plusieurs
années comme brique de base p our plusieurs implémen tations de proto coles crypto-
graphiques, tels que les cryptosystème à seuil ou les proto coles de v ote électronique
[CM93, GJKR96, HJJ+97, CK96, SG98, CGS97, PSO11, CZZ+15].
Cep endan t, en 1999, Gennaro et al. on t trouv é une attaque con tre le proto cole
DK G de P edersen [GJKR99]. Ils prouv en t que la présence de participan ts malhon-
nêtes emp êc he une distribution uniforme des clés générées. Ils on t égalemen t démon-
tré que tous les proto coles DK G basés sur celui de P edersen ne garan tissen t pas une
63

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
distribution uniforme des clés générées. En outre, ils on t prop osé un proto cole DK G
basé sur le sc héma VSS de P edersen et le sc héma VSS de F eldman. La solution pro-
p osée nécessite un tour de comm unication supplémen taire p our gérer les plain tes et
utilise des canaux de comm unication priv és en tre c haque paire de participan ts. Cela
rend leur proto cole complexe et dicile à utiliser dans des situations pratiques. En
fait, le b esoin d'un tour de comm unication supplémen taire est dû à l'utilisation des
canaux de comm unication priv és qui masquen t les participan ts malhonnêtes. Ainsi,
il n'est pas p ossible de sa v oir si la partie malhonnête est le participan t qui agit en
tan t que distributeur et a en v o y é une part in v alide, ou bien le participan t qui prétend
a v oir reçu une part in v alide. Malgré les défauts liés au proto cole DK G de Gennaro,
plusieurs publications récen tes l'on t utilisé p our construire des cryptosystèmes à
seuil [YZH+10, HRS14, BNO V13, W CH14, F ou13, PNE15]. Dans [CGJ+99], Ca-
netti et al. amélioren t la solution de Gennaro p our la rendre résistan te aux attaques
adaptativ es. La solution utilise égalemen t des canaux de comm unication priv és.
Dans [FS01], F ouque et Stern on t prop osé en 2001 un proto cole DK G en un seul
tour et sans utiliser des canaux de comm unication priv és. C'est le premier proto cole
DK G basé sur un sc héma de partage de secret publiquemen t v ériable (PVSS) et un
sc héma de cryptage publiquemen t v ériable (PVE). Cep endan t, dans le proto cole
déni dans [FS01], les auteurs utilisen t le cryptosystème de P aillier p our crypter les
v aleurs secrètes éc hangées en tre les participan ts. L'incon v énien t ici est le pro cessus
de gestion des clés de cryptosystème de P aillier qui est b eaucoup plus dicile que
celui d'ELGamal. En outre, dans leur proto cole, tous les participan ts doiv en t v érier
b eaucoup de preuv es. Cela augmen te la complexité du calcul relatif à leur proto cole.
Dans ce c hapitre, nous prop osons une v ersion mo diée du proto cole DK G Join t-
F eldman. Cette v ersion ore une solution simple p our éluder l'attaque prouv ée par
Gennaro dans [GJKR99]. P our éviter cette attaque, notre proto cole n'utilise pas
les v aleurs publiées duran t la phase de distribution p our calculer la clé publique. À
la n de la phase de distribution, les participan ts publien t des v aleurs p ermettan t
à c hacun d'en tre eux de calculer la clé publique a v ec des preuv es de v alidité p our
ces v aleurs. P ar conséquen t, la clé publique asso ciée à la clé secrète partagée est
rendue publique après la phase de distribution et l'adv ersaire ne p eut pas mo dier
la distribution des clés générées. Dans ce c hapitre, nous prop osons égalemen t un
proto cole DK G basé sur notre v ersion mo diée du proto cole DK G Join t-F eldman et
sur le sc héma PVSS déni en 2012 dans [AKR12].
3.3 La v ersion mo diée du proto cole DK G Join t-
F eldman
L'idée de base du proto cole DK G Join t-F eldman est d'a v oir n exécutions paral-
lèles du sc héma VSS de F eldman sans a v oir recours à un distributeur de conance
64

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
an de générer une clé secrète notée sk partagée en tre les participan ts. Notons que
la v aleur de sk n'est pas conn ue à l'a v ance. Elle est calculée à partir de la somme
des v aleurs secrètes c hoisies par c haque participan t.
Le proto cole se déroule comme suit : c haque participan t Pi p our 1in c hoisit
une v aleur aléatoire secrète s Pi2RZq et la partage en tre les n autres participan ts
en utilisan t le sc héma VSS de F eldman. La clé secrète partagée sk est dénie comme
étan t la somme des v aleurs aléatoires secrètes s Pi . Chaque participan t p eut calculer
sa part desk en additionnan t toutes les parts des v aleurs secrètes s Pi qu'il a reçues
d'autres participan ts. La clé publique pk asso ciée à la clé priv ée sk est calculée à
partir du pro duit des clés publiques asso ciées aux v aleurs aléatoires s Pi .
Comme indiqué précédemmen t, Gennaro a trouv é une attaque con tre ce proto-
cole [GJKR99]. Nous prop osons ici une v ersion mo diée du proto cole DK G Join t-
F eldman p our éviter cette attaque. Dans notre proto cole, la v aleur des clés publiques
asso ciées aux v aleurs aléatoires s Pi son t masquées tout au long de la phase de distri-
bution. La clé publique est calculée à partir d'autres v aleurs publiques diusées par
les participan ts après la phase de distribution. Cette stratégie de génération de clé
emp êc he les participan ts malhonnêtes de corrompre la distribution des clés générées.
3.3.1 Mo dèle de comm unication
Le proto cole comprend un ensem ble de n participan ts P1;P2;:::::;Pn qui v on t
générer la clé secrète partagée sk de telle sorte que tout sous-ensem ble t d'en tre
eux p eut facilemen t la reconstruire. On supp osera que n2t1 (la ma jorité
des participan ts son t honnêtes, au plus nous a v ons t1 participan ts malhonnêtes).
Nous supp osons l'existence de canaux secrets de comm unication relian t c haque paire
de participan ts. Nous supp osons égalemen t l'existence d'un canal de diusion qui
p ermet de transmettre le même message à plusieurs destinataires en même temps
sur des canaux de comm unication partiellemen t sync hrones.
3.3.2 Le proto cole
La v ersion mo diée du proto cole DK G Join t-F eldman s'exécute comme suit :
Étap e 1 : Initialisation Soien tp etq deux grands nom bres premiers, tels que
qj(p1) . SoitGq un sous-group e d'ordre q dansZ
p , tel que le calcul du logarithme
discret dans ce group e n'est pas faisable. Soien t g eth deux générateurs de Gq .
Étap e 2 : Phase de distribution
– Pro cessus de distribution Chaque participan t Pi c hoisit une v aleur secrète
aléatoires Pi2Zq et dénit le p olynôme fi(x) =a0;i+a1;ix+::::+at1;ixt1
a v eca0;i=s Pi est le secret à partager et a0;i=s Pi c hoisie aléatoiremen t dans Zq .
Chaque participan t Pi publieFk;i =gak;i p our 0kt1 . Ensuite, il calcule les
partssi;j=fi(j) p our 1jn et en v oiesi;j secrètemen t au participan t Pj . En
65

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
particulier, Pi conserv e sa part si;i .
– Pro cessus de v érication Chaque participan t Pj v érie les parts si;j qu'il a
reçu du participan t Pi en v érian t l'égalié suiv an te p our 1in :
gsi;j?=t1Y
k=0Fk;ijk
Si cette égalité est incorrecte, le participan t Pj p eut p orter con tre le participan t
Pi . Si plus de t participan ts p orten t plain te con tre le participan t Pi , ce dernier
est disqualié. Sinon, p our c haque plain te reçue de Pj , le participan t Pi rév èle la
partsi;j qui v érie l'égalité : gsi;j=Qt1
k=0Fk;ijk. Si la part rév élée ne satisfait pas
cette équation, Pi est disqualié. Nous dénissons l'ensem ble QUAL comme étan t
l'ensem ble des participan ts non-disqualiés. Notons que nous présen terons dans
le section 3.4 de ce c hapitre une stratégie plus ecace p our traiter les plain tes et
qui évite aux participan ts honnêtes de rév éler la v aleur de leurs parts.
– Calcul des parts de la clé secrète Duran t cette phase, c haque participan t Pi
calcule sa part Si de la clé secrète à partir de la somme de toutes les parts v alides
reçues des autres participan ts dans l'ensem ble QUAL , tel que :
Si=X
j2 QUALsj;i
– Calcul de la clé publique Chaque participan t non disqualié Pi2QUAL pu-
blie la v aleur publique hs Pi relativ e à sa v aleur secrète s Pi . Le participan t Pi
mon tre que la v aleur hs Pi est correcte en prouv an t publiquemen t que hs Pi etgs Pi
on t le même logarithme discret resp ectiv emen t dans les bases h andg , sans ré-
v élers Pi . Notons que gs Pi est calculé comme suit : gs Pi=ga0;i=F0;i . Nous
utilisons la preuv e ZKP de Chaum et P edersen [CP92] p our prouv er l'égalité de
deux logarithmes discrets. La preuv e se déroule comme suit :
Le participan t Pi :
1. Choisit aléatoiremen t !2RZ
q
2. Calculea=h!etb=g!
3. Calculec=H(h;hs Pi;g;gs Pi;a;b)
4. Calculeu=!c
s Pi
5. Publie (a;b;u ) .
Le v éricateur (ou n'imp orte quelle partie) :
1. Calculec=H(h;hs Pi;g;gs Pi;a;b)
2. V erie que a?=hu(hs Pi)cetb?=gu(gs Pi)c
Si cette v érication éc houe, les autres participan ts exécuten t la phase de recons-
truction du sc héma F eldman-VSS p our calculer s Pi eths Pi et le participan t mal-
66

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
honnêtePi est disqualié. P ar conséquen t, Pi est retiré de QUAL et a jouté à un
ensem ble nommé DISQUAL . C'est l'ensem ble de participan ts disqualiés p en-
dan t la phase de calcul de la clé publique. Notons que les participan ts disqualiés
p endan t la pro cédure de v érication ne seron t pas mem bres de QUAL ou de
DISQUAL .
Ensuite, la clé publique pk est calculée en utilisan t les v aleurs hs Pi publiées par
les participan ts honnêtes appartenan t à l'ensem ble QUAL et les v aleurs des par-
ticipan ts de l'ensem ble DISQUAL (ces v aleurs son t calculées par les participan ts
deQUAL ) comme suit :
pk=hsk=Y
i2 QUALhs Pi
Y
j2 DISQUALhs Pj
Étap e 3 : Phase de reconstruction Chaque participan t Pi soumet sa part Si .
Les autres participan ts v érien t la part de la clé secrète Si , en calculan t :
gSi?=Y
j2 QUALt1Y
k=0Fk;jik
Supp osons qu'au moins t participan ts Pi2QUAL soumetten t des parts v alides.
La clé secrète est reconstruite à partir des parts v alides, comme suit :
sk=tX
k=1Skk=tX
k=1X
i2 QUALsi;kk
a v eck=Q
j06=k(j0=j0k) est le co ecien t de Lagrange.
3.3.3 Sécurité con tre l'attaque de Gennaro
Gennaro a prouv é que la solution de P edersen ne garan tit pas une distribution
uniforme des clés générées. En eet, dans l'ancienne v ersion du proto cole Join t-
F eldman DK G, la clé publique pk est calculée à partir des v aleurs publiques Fi;0
publiées par les participan ts p endan t la phase de distribution. P our c haque partici-
pan t malhonnête, les autres participan ts de l'ensem ble QUAL exécuten t la phase de
reconstruction du sc héma P edersen-VSS p our calculer les v aleurs sPi etgsPi . Ainsi,
la clé publique pk est calculée comme suit :
pk=gsk=Y
i2 QUALgs Pi=Y
i2 QUALFi;0
Dans [GJKR99], Gennaro décrit une attaque dans laquelle deux participan ts mal-
honnêtes mo dien t le dernier bit de la clé publique pk . L'attaque se pro duit lorsque
67

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
les participan ts malhonnés P1 etP2 v eulen t c hanger la v aleur de pk de telle sorte
que le dernier bit de pk soit 0. Le participan t P1 exécute le pro cessus de distri-
bution du proto cole. À la n de cette phase, P1 etP2 calculen t=Qn
i=1gs Pi et
=Qn
i=2gs Pi . Si se termine par 0, P2 ne fera rien. Sinon, si  se termine par
1,P2 oblige la disqualication de P1 en p ortan t une plain te con tre lui. Ensuite, P1
rév élera une part in v alide p endan t la phase de v érication. Cette attaque force la
v aleur de la clé publique pk à être qui se termine par 0. L'attaque décrite p eut
être facilemen t étendue à une stratégie p ermettan t à un ensem ble de participan ts
malhonnêtes de c hoisir l'ensem ble des participan ts don t les v aleurs publiques Fi;0
seron t utilisées p our calculer la clé publique pk . L'attaque est due au fait que la
décision de sa v oir si un participan t est dans le set QUAL ou non se pro duit après
que les participan ts malhonnêtes aien t accès aux v aleurs publiques Fi;0=gs Pi de
tous les autres participan ts.
Dans notre v ersion mo diée de Join t-F eldman DK G, la v aleur publique pk est
calculée d'une manière diéren te. Nous supp osons que pk=hsk. Notons que les
v aleurshs Pi ne son t pas publiées p endan t la phase de distribution. Ainsi, les parti-
cipan ts malhonnêtes ne p euv en t pas calculer la v aleur de la clé publique pk a v an t la
n du pro cessus de distribution. L'adv ersaire n'a aucune information sur la nouv elle
v aleur de la clé publique pk s'il force la disqualication d'un participan t particulier
p endan t la phase de distribution. A cet eet, la décision prise par l'adv ersaire p our
qu'un participan t soit dans l'ensem ble QUAL ou non, ne fournit aucune d'informa-
tions sur la nouv elle v aleur de pk . L'adv ersaire ne p eut pas biaiser la distribution
des clés générées en se basan t sur un ob jectif sp écique. Dans ce cas, l'attaque prou-
v ée par Gennaro ne p eut pas être appliquée à notre la nouv elle v ersion mo diée de
Join t-F eldman DK G.
3.4 Notre proto cole DK G
La v ersion mo diée du proto cole Join t-F eldman DK G présen te quelques incon-
v énien ts. D'une part, c haque paire de participan ts est liée par des canaux de com-
m unication priv és. Ces canaux masquen t les participan ts malhonnêtes. En fait, il
n'est pas p ossible de sa v oir si le participan t malhonnête est celui qui a distribué une
part in v alide ou celui prétend a v oir reçu une part in v alide. D'autre part, la stratégie
de gestion des plain tes utilisée dans cette v ersion dép end du nom bre de plain tes et
exige que certains participan ts rév èlen t les v aleurs de leurs parts.
Dans cette section, nous dénissons un nouv eau proto cole DK G sans canaux de
comm unication priv ées. T outes les parts son t cryptées a v ec une fonction de cryp-
tage et en v o y ées via des canaux de comm unication publics. Notre proto cole DK G
se caractérise par une phase nommée Disputation p our résoudre les plain tes des
participan ts. Ce pro cessus iden tie clairemen t les participan ts malhonnêtes et ne
68

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
rév èle aucune information sur les parts déten ues par des participan ts honnêtes. De
plus, p endan t la phase de reconstruction, les participan ts p euv en t prouv er la v alidité
de leurs parts en utilisan t un proto cole nommé pro cessus de preuv e d'appartenance
(MembershipProof ) sans rév éler aucune l'information sur leurs parts.
3.4.1 Mo dèle de comm unication et adv ersaires
Comme la v ersion mo diée du Join t-F eldman DK G, notre nouv eau proto cole
DK G comprend un ensem ble de n participan ts P1;P2;:::::;Pn qui génèren t une clé
secrète partagée notée sk de telle sorte que tout sous-ensem ble t d'en tre eux p eut
facilemen t la reconstruire. Nous supp osons que n2t1 . Nous supp osons main-
tenan t que les participan ts son t connectés à tra v ers des canaux de comm unication
publics. Nous supp osons égalemen t que le mo dèle de comm unication est partielle-
men t sync hrone.
Nous suiv ons [GJKR99] p our décrire les capacités de l'adv ersaire. Nous supp o-
sons qu'un adv ersaire A p eut corrompre jusqu'à t1 desn participan ts tels que
(t1)n=2 . Cela signie que la ma jorité des participan ts son t honnêtes. Nous
supp osons que notre adv ersaire est statique. Il c hoisit les participan ts corrompus au
début du proto cole.
3.4.2 Le proto cole
L'idée de base de notre proto cole DK G est d'a v oir n exécutions parallèles du
sc héma PVSS déni dans [AKR12]. Dans notre proto cole DK G, nous utilisons les
mêmes notations adoptées dans la v ersion mo diée du Join t-F eldman DK G prop osée
dans la section 3.3.2. Le proto cole s'exécute comme suit :
Étap e 1 : Initialisation Chaque participan t Pi c hoisit une clé priv ée sk Pi2RZq
et publie sa clé publique pk Pi=gsk Pi . Cette clé sera utilisée p our crypter et sou-
mettre les parts.
Étap e 2 : Phase de distribution
-Pro cessus de distribution Chaque participan t Pi c hoisit une v aleur secrète
aléatoires Pi2Zq et dénit le p olynome fi(x) =a0;i+a1;ix+::::+at1;ixt1
a v eca0;i=s Pi est le secret à partager et a1;i;a2;i;:::;at1;i c hoisis aléatoiremen t
dansZq , puis il publie Fk;i=gak;i p our 0kt1 . Ensuite,Pi calcule les parts
si;j=fi(j) p our 1jn et en v oie la part cryptée Ei;j au participan t Pj tel
que :
Ei;j=si;j(pk Pj)si;j=si;j(gsk Pj)si;j
Notons que Pi conserv e sa part si;i .
69

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
-Pro cessus de v érication Le participan t Pj décrypte sa part Ei;j en calculan t :
si;j=Ei;j[(gsi;j)sk Pj]1
Ensuite,Pj v érie la v alidité de la part si;j en calculan t :
gsi;j?=t1Y
k=0Fk;ijk
Si la v érication éc houe, le participan t Pj p orte plain te con tre le participan t Pi . La
plain te est gérée a v ec le pro cessus de résolution de conits nommé Disputation .
– Pro cessus de résolution de conits : Disputation Le pro cessus de résolu-
tion de conits Disputation est utilisé dans le cas d'une plain te signalée par l'un
des participan ts. Nous nous inspirons de la tec hnique du proto cole Disputation
déni dans [AKR12]. Notons que dans le proto cole Disputation prop osé dans
[AKR12] fait in terv enir une partie de conance p our résoudre les conits. Dans
notre proto cole, nous éliminons cette partie de conance. Si le participan t Pj
p orte une plain te con tre le participan t Pi , les deux participan ts Pi etPj ten ten t
de prouv er leur honnêteté à tous les autres participan ts. Soit B l'ensem ble des
participan ts tel que B=ffP1;:::::;PngnfPi;Pjgg . Le proto cole Disputation se
déroule comme suit :
1.Pj c hoisita2RZq et publie sa clé publique ga.
2. Chaque participan t Pk2B c hoisitrk2RZq et publie sa clé publique grk .
3.Pi calcule et publie 1 et2 tel que :
1=si;j[ga
nY
k=1
Pk2Bgrk]si;j
2=si;j(ga)si;j
Nous notons la première équation par Eq1 et la seconde par Eq2 .
4. Chaque participan t Pk2B publie sa v aleur rk . Si un participan t tric he en
publian t une v aleur in v alide rk (qui ne corresp ond pas à grk ), il sera disqualié
et éliminé de l'ensem ble B . Dans ce cas, le pro cessus reprend à l'étap e 2.
5. Chaque participan t Pk2B calculer=Pn
k=1
Pk2Brk et=1=2 . Ensuite, il
v érie si :1=r=gsi;j=Qt1
k=0Fk;ijk. Si l'égalité n'est pas satisfaite, si;j n'est
pas v alide. Pk conclut que Pi est un participan t malhonnête et le pro cessus de
résolution de conits est arrêté.
70

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
6.Pj calculesi;j=2=(gsi;ja) et v érie si :
gsi;j?=t1Y
k=0Fk;ijk
Si l'égalité est satisfaite, Pj détien t une part v alide si;j , il en v oie une conrma-
tion à tous les participan ts dans l'ensem ble B et le proto cole est arrêté. Sinon,
Pj en v oie sa clé priv ée a à tous les participan ts dans l'ensem ble B .
7. Chaque participan t Pk2B v érie sigaest la clé publique de Pj . Si ce n'est
pas vrai,Pk conclut que Pj a men ti et que le proto cole est arrêté.
8. Chaque participan t Pk2B calculegsi;jaete=2=(gsi;j)a. Ensuite, il v érie si
Eq1 est v alide p our e=si;j . Si elle est vraie, Pj est malhonnête, sinon Pi est
malhonnête.
9. Chaque participan t Pk2B diuse le résultat de l'exécution des étap es précé-
den tes en indiquan t si le participan t malhonnête est Pi ouPj .
10. Le participan t malhonnête est sélectionné en fonction du nom bre d'élection de
Pi ouPj .
À la n de l'exécution du proto cole Disputation, les participan ts malhonnêtes
son t disqualiés. Nous dénissons l'ensem ble QUAL comme étan t l'ensem ble des
participan ts non disqualiés.
– Calcul des parts de la clé secrète Chaque participan t Pi calcule sa part Si
de la clé secrète à partir de la somme de toutes les parts v alides reçues des autres
participan ts dans l'ensem ble QUAL :
Si=X
j2 QUALsj;i
– Calcul de la clé publique Chaque participan t non disqualié Pi2QUAL pu-
blie la v aleur publique hs Pi relativ e à la v aleur secrète s Pi . Le participan t Pi prouv e
que la v aleur hs Pi est v alide en prouv an t publiquemen t que hs Pi etgs Pi on t le même
logarithme discret resp ectiv emen t dans les bases h etg , sans rév éler la v aleur de
s Pi . P our prouv er la v alidité des v aleurs publiées hs Pi , nous utilisons la même
preuv e décrite dans la v ersion mo diée de Join t-F eldman DK G. Ensuite, le calcul
de la clé publique est égalemen t eectué de la même manière (comme décrit dans
la section 3.3.2) comme suit :
pk=hsk=Y
i2 QUALhs Pi
Y
j2 DISQUALhs Pj
Étap e 3 : Phase de reconstruction La phase de reconstruction comp orte les deux
étap es suiv an tes :
– Pro cessus de preuv e d'appartenance Chaque participan t Pi p eut prouv er la
71

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
v alidité de sa part, implicitemen t, en prouv an t son appartenance à l'ensem ble de
participan ts honnêtes qui détiennen t une part v alide. Ceci se fait en utilisan t une
preuv e ZKP qui p eut être construite en se basan t sur la tec hnique de [AKR12]. Si
un v éricateur ou une autre partie v eut v érier que Pi est un participan t détenan t
une part v alide, Pi doit prouv er son appartenance en utilisan t le proto cole suiv an t :
1. Le v éricateur V c hoisitv2RZq et en v oiegvau participan t Pi .
2. Le participan t Pi calculeR Pi= (gv)P
j2QUALsj;i
et en v oieR Pi au v éricateur.
3. Le v éricateur V calcule :
Rv= (gP
j2 QUALsj;i
)v= (Y
j2 QUALt1Y
k=0Fk;jik)v
4. SiRv=Rp , le participan t Pi p ossède la part v alide Si .
– Regroup emen t des parts : Supp osons qu'au moins t participan ts Pi2QUAL
soumetten t des parts v alides. La clé secrète est reconstruite à partir des parts
v alides, comme suit :
sk=tX
k=1Skk=tX
k=1X
j2 QUALsj;kk
a v eck=Q
j6=k(j0=j0k) est le co ecien t de Lagrange.
3.5 Analyse de la sécurité
Nous nous basons sur les exigences de sécurité des proto coles DK G dénis dans
[GJKR07]. Ces exigences son t l'exactitude et le secret.
3.5.1 Exigences de sécurité d'un proto cole DK G
Un proto cole DK G est considéré sûr si les conditions suiv an tes son t satisfaites :
Exactitude La propriété de l'exactitude d'un proto cole DK G se comp ose des
quatre élémen ts suiv an ts :
(C1) : Un ensem ble de t parts v alides fournies par des participan ts honnêtes
dénit la même clé secrète unique sk .
(C1)0: Il existe un pro cessus ecace qui, p our n parts soumises par les partici-
pan ts duran t la phase de reconstruction, pro duit la clé secrète unique sk malgré
la soumission d'au plus t1 parts non v alides (restituées par des participan ts
malhonnêtes).
(C2) : T ous les participan ts honnêtes on t la même v aleur de la clé publique
pk=hsk, a v ecsk est la clé secrète unique garan tie par (C1) .
72

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
(C3) : La clé secrète sk est distribuée uniformémen t dans Zq . Ainsi,pk est
uniformémen t distribuée dans le sous-group e engendré par h .
Secret La clé secrète partagée sk est une information conden tielle qui ne doit pas
être découv erte par une partie qui n'est pas autorisée à la connaître. Un proto cole
DK G v érie la propriété du secret si une p ersonne malhonnête ne p eut pas obtenir
sk , ou certaines informations sur sk autre que les v aleurs publiques pk=hsket
y=gsk.
La propriété du secret p eut être exprimée plus formellemen t en terme de sim ulation.
La sim ulation prouv e qu'un adv ersaire qui corrompt au plus t1 participan ts et
qui est en p ossession de toutes leurs informations secrètes, ne p eut pas calculer la
v aleur de la clé secrète sk . Le sim ulateur noté S s'exécute en temps p olynomial et
sim ule le comp ortemen t des participan ts honnêtes. S prend en en trée les v aleurs
pk ety , et force la clé publique à a v oir la v aleur de pk en sortie. L'adv ersaire ne
p eut pas distinguer la distribution pro duite par le sim ulateur de celle pro duite par
une exécution réelle du proto cole DK G. Le sim ulateur ne connaît pas toutes les
informations secrètes liées à la clé secrète sk . Ainsi, l'adv ersaire qui ne p eut pas se
rendre compte que la distribution pro vien t d'une sim ulation et ne p eut pas utiliser
la sortie du sim ulateur p our calculer la clé secrète sk .
3.5.2 Preuv es de sécurité
Dans cette section nous prouv ons que notre proto cole DK G satisfait les exigences
de sécurité des proto coles DK G (v oir section 3.5.1).
Exactitude.
Théorème 1. L e pr oto c ole DK G pr op osé satisfait l'exigenc e de sé curité (C1). T outes
les p arts soumises p ar un sous-ensemble de p articip ants honnêtes dénissent la même
clé p artagé e se cr ète sk .
Démonstr ation. À la n de la phase Disputation , si le participan t Pi n'est pas
disqualié, cela implique que Pi2QUAL et qu'il a partagé correctemen t sa v aleur
aléatoires Pi a v ec le sc héma PVSS. Nous nous appuy ons sur le Lemme suiv an t du
sc héma PVSS de [AKR12] :
Lemme 1. L e p articip ant Pi ne p eut p as envoyer une p art invalide au p articip ant
Pj .
Ainsi, tous les participan ts honnêtes on t une part v alide si;j de c haque v aleur
secrète aléatoire s Pi . P our un ensem ble L det parts v alides, une v aleur unique s Pi
est calculée a v ec l'in terp olation de Lagrange tel que s Pi=P
j2Ljsi;j a v ecj est
le co ecien t de Lagrange. À cet eet, c haque participan t Pj p eut calculer sa part
Sj de la clé secrète sk à partir de la somme des parts v alides reçues des autres
73

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
participan ts tel que Sj=P
i2 QUALsi;j . P our tout sous-ensem ble de participan ts
honnêtesP1;P2;:::::PL a v ec leurs parts corresp ondan tes S1;S2;::::SL , la clé secrète
sk est dénie comme suit :
sk=X
i2 QUALs Pi=X
i2 QUAL(X
j2Ljsi;j)
=X
j2Lj(X
i2 QUALsi;j) =X
j2Ljs Pj
Cette équation est vraie p our tout sous-ensem ble Ln de parts v alides. Notons
que notre proto cole DK G satisfait la propriété de v érication au cours de la phase
de reconstruction. Ainsi, les parts utilisées duran t la phase de reconstruction son t
v alides et dénissen t la même unique clé secrète sk .
Théorème 2. L e pr oto c ole DK G pr op osé satisfait l'exigenc es de sé curité (C1)'.
Seules les p arts valides r estitué es p ar des p articip ants honnêtes, qui exé cutent c or-
r e ctement le pr o c essus de pr euve d'app artenanc e, sont utilisé es p our r e c onstruir e la
clé se cr ètesk .
Démonstr ation. A v an t la reconstruction de la clé secrète sk , le pro cessus de preuv e
d'appartenance est requis. Au cours de ce pro cessus, c haque participan t doit prouv er
qu'il p ossède une part v alide. Nous nous appuy ons sur le Lemme suiv an t du sc héma
PVSS de [AKR12] :
Lemme 2. Sous l'hyp othèse c alculatoir e de Die-Hel lman, une p artie non autorisé e
ne p eut p as p asser p our un p articip ant honnête.
Ainsi, seules les parts v alides des participan ts honnêtes qui passen t a v ec succès
le pro cessus de preuv e d'appartenance son t utilisées p our reconstruire la clé secrète
sk . En outre, il est p ossible de v érier la v alidité de c haque part Sj soumise par le
participan t Pj en utilisan t l'équation suiv an te :
gSj=Y
j2 QUALgsj;i?=Y
j2 QUALt1Y
k=0Fk;jik
Théorème 3. L e pr oto c ole DK G pr op osé satisfait l'exigenc e de sé curité (C2). T ous
les p articip ants non disqualiés de la phase Disputation c alculent la même valeur de
la clé publique pk=hskave csk est l'unique clé se cr ète gar antie p ar le thé or ème 1.
Démonstr ation. La v aleur de pk est calculée par des participan ts honnêtes apparte-
nan t à l'ensem ble QUAL tel quepk=hP
i2 QUALs Pi. Notons que les v aleurs hs Pi son t
publiques et que la v érication de la v alidité de ces v aleurs est égalemen t publique.
74

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
Ces v aleurs son t conn ues de tous les participan ts honnêtes. P ar conséquen t, tous les
participan ts calculen t la même v aleur pk .
Théorème 4. L e pr oto c ole DK G pr op osé satisfait l'exigenc e de sé curité (C3). En
d'autr es termes, la clé se cr ète sk est uniformément distribué e dans Zq , p ar c onsé-
quentpk est uniformément distribué e dans le sous-gr oup e engendr é p ar h .
Démonstr ation. À la n de la phase de distribution, seuls les participan ts honnêtes
de l'ensem ble QUAL ne son t pas disqualiés. Chacun c hoisit sa v aleur secrète s Pi
au hasard dans Zq . La clé secrète sk est dénie comme la somme de tous les s Pi . Ces
v aleurs son t déjà déterminées à la n de la phase de distribution de notre proto cole
DK G. Dans ce cas, ni les v aleurs des s Pi , ni l'ensem ble QUAL ne c hangen t plus
tard. Ainsi, la clé secrète sk est uniformémen t distribuée dans Zq . Notons que la
clé publique pk est calculée à partir de v aleurs publiques v alides hs Pi diusées par
les participan ts honnêtes après la phase de distribution. Les participan ts malhon-
nêtes n'on t pas accès à ces v aleurs tout au long de la phase de distribution et ne
p euv en t pas mo dier la distribution de la clé publique générée. La v aleur pk est ainsi
uniformémen t distribuée dans le sous-group e engendré par h .
Secret.
Théorème 5. Sous l'hyp othèse c alculatoir e de Die-Hel lman et de DLP1, notr e
pr oto c ole pr otè ge la c ondentialité du se cr et sk .
Démonstr ation. P our calculer la clé secrète sk , l'adv ersaire doit calculer la somme
des v aleurs secrètes aléatoires s Pi . Ceci revien t à calculer les parts si;j de c haque
v aleurs Pi à partir des v aleurs cryptés Ei;j . Briser le cryptage de Ei;j revien t à
résoudre le problème calculatoire de Die-Hellman. Nous nous appuy ons sur le
Lemme suiv an t du sc héma PVSS de [AKR12] :
Lemme 3. Sous l'hyp othèse c alculatoir e de Die-Hel lman, il est imp ossible de bri-
ser le chir ement des p arts.
Notons égalemen t qu'il est imp ossible d'extraire les v aleurs aléatoires s Pi p endan t
le proto cole Disputation . Nous nous appuy ons sur le Lemme suiv an t du sc héma
PVSS de [AKR12] :
Lemme 4. Sous l'hyp othèse c alculatoir e de Die-Hel lman, une p artie malhonnête
ne p eut p as extr air e la p art s Pi à p artir des valeurs publiques utilisé es dur ant le
pr o c essus de r ésolution de c onits Disputation .
Ainsi, l'adv ersaire ou la partie malhonnête n'est pas en mesure de calculer la clé
secrètesk à partir des parts c hirées. D'autre part, p our briser le c hiremen t de
sk , l'adv ersaire doit p ouv oir calculer sk à partir des v aleurs publiques pk=hskand
1. DLP : le problème du logarithme discret.
75

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
y=gsk. Ceci revien t à résoudre le problème dicile du logarithme discret (DLP).
Notons que le calcul du logarithme discret est infaisable dans Gq . Sous l'h yp othèse
de DLP , l'adv ersaire est incapable de calculer sk à partir de hsketgsk.
En outre, p our prouv er qu'un adv ersaire ne p eut pas violer la conden tialité de
la clé secrète sk , nous utilisons un sim ulateur S qui s'exécute en temps p olynomial
et qui pro duit en sortie une distribution qu'un adv ersaire noté A ne p eut pas la
distinguer d'une exécution réelle du proto cole. La sim ulation retourne à la n pk
comme clé publique. La sim ulation prouv e que l'adv ersaire A ne p eut rien apprendre
des v aleurs aléatoires secrètes s Pi des participan ts non corrompus. Le sim ulateur S
prend comme en trée deux élémen ts pk ety tel quepk ety on t le même logarithme
discret resp ectiv emen t dans les bases h etg . Le sim ulateur S v a sim uler une distri-
bution qui pro duira en sortie la clé publique pk . L'adv ersaire A c hoisit de corrompre
les participan ts P1;:::;Pt1 . Il connaît tous leurs secrets et il les con trôle activ emen t.
La sim ulation s'exécute comme suit :
1. Chaque participan t Pi , saufP
i c hoisit une v aleur secrète aléatoire s Pi2Zq et
dénitfi(x) =a0;i+a1;ix+:::+at1;ixt1a v eca0;i=s Pi est le secret à partager
eta1;i;a2;i;:::;at1;i son t c hoisis aléatoiremen t dans Zq , puis publien t Fk;i=gak;i
p our 0kt1 .
2. Chaque participan t Pi calcule les parts si;j=fi(j) p our 1jn et en v oie la
part c hirée Ei;j au participan t Pj , tel que :Ei;j=si;j(pk Pj)si;j=si;j(gsk Pj)si;j .
La distribution de ces v aleurs est iden tique à celle d'une exécution réelle de notre
proto cole DK G.
3. P our le participan t P
i , nous c hangeons les v aleurs à publier p our pro duire la
clé publique souhaitée pk tels quegs
Pi=yQ
i2 QUALnPi(gs Pi)1eths
Pi=
pkQ
i2 QUALnPi(hs Pi)1.
Notons que l'ensem ble QUAL est déni à la n du pro cessus de v érication
duran t la phase de distribution. Le participan t P
i c hoisitt1 v aleurs aléatoires
fi(xj)=s
i;j p our lest1 participan ts corrompus et les en v oie sous forme
cryptée.
4. Le participan t P
i calcule les v aleurs F
k;i=gak;ip our 1kt1 de telle
sorte que ces v aleurs soien t v alides et corresp onden t aux parts déten ues par les
participan ts malhonnêtes. Ceci est eectué via une in terp olation de Lagrange tel
que :
F
k;i= (gs
Pi)k;0t1Y
j=1(gs
i;j)k;xj
a v eck;xj=t1Q
j0=0
j06=j(kxj0)
(xjxj0)est le co ecien t de Lagrange.
À cet eet, la v érication de la v alidité des parts aléatoires en v o y ées par le
participan t P
i aux participan ts corrompus p eut être sim ulée. Le participan t P
i
76

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
sera dans l'ensem ble QUAL et sa v aleur secrète incohéren te s
Pisera utilisée p our
calculer la clé secrète sk . Notons que Pine connaît pas sa v aleur secrète s
Pi. Ainsi,
le sim ulateur S ne p eut pas calculer la v aleur secrète sk . Dans ce cas, la sortie
pro duite par le sim ulateur ne p eut pas être utilisée par l'adv ersaire p our calculer la
clé secrètesk .
3.6 Discussions
Dans notre proto cole DK G, nous a v ons prop osé une stratégie ecace p our ré-
soudre les plain tes. Cette stratégie iden tie clairemen t les participan ts malhonnêtes
et emp êc he les participan ts honnêtes de rév éler les v aleurs de leurs parts. Au cours
du proto cole Disputation , si le participan t Pj p orte une plain te con tre le participan t
Pi et signale qu'il a reçu une part non v alide, deux cas se présen ten t :
Premier cas : Le participan t Pi est malhonnête. Dans ce cas, si Pi publie des
v aleurs v alides 1 et2 , le participan t Pj détien t une part v alide à l'étap e 6
du proto cole Disputation . La part en v o y ée par Pi àPj n'est pas rév élée et sera
utilisée p our calculer la clé secrète. Sinon, si le participan t Pi publie des v aleurs
in v alides1 et2 , la part rév élée à l'étap e 8 est in v alide et ne sera pas utilisée p our
calculer la clé secrète. Ainsi, Pj est disqualié et il ne sera pas dans l'ensem ble
QUAL .
Deuxième cas : Le participan t Pj est malhonnête. Il a reçu une part v alide
et prétend a v oir reçu une part in v alide. Dans ce cas, à l'étap e 8 du proto cole
Disputation , la part v alide en v o y ée par Pi àPj sera rév élée. Cep endan t, dans
ce cas,Pj est disqualié et il ne sera pas dans l'ensem ble QUAL . Ainsi, la part
rév élée ne sera pas utilisée p our calculer la clé secrète.
Le deuxième cas est équiv alen t à la situation dans laquelle le participan t malhonnête
Pi rév èle sa part à tous les autres participan ts. Notons que si le participan t est
malhonnête, il n'y a aucun mo y en de l'emp êc her de rév éler sa part. T outefois, p our
assurer un meilleur niv eau de sécurité, il est p ossible d'utiliser la solution suiv an te :
si la part déten ue par le participan t malhonnête Pi est rév élée lors du proto cole
Disputation , le participan t Pi qui a en v o y é un partage v alide à Pj exécute de nouv eau
le pro cessus de distribution a v ec un nouv eau partage.
Il faut noter qu'à la n du proto cole Disputation , nous iden tions clairemen t la
partie malhonnête (le participan t Pi qui a en v o y é une part in v alide ou le participan t
Pj qui prétend a v oir reçu une part in v alide).
3.7 Comparaison
La v ersion mo diée du proto cole Join t-F eldman DK G que nous a v ons prop osé
est plus simple que la v ersion déni par Gennaro dans [GJKR99]. Ce dernier utilise
77

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
un p olynôme supplémen taire p our cac her la clé publique pk et p our éviter l'attaque
qu'il a prouv é con tre la v ersion initiale du proto cole Join t-F eldman DK G. Dans
notre solution, nous utilisons un seul p olynôme et nous calculons la clé publique de
manière diéren te p our la dissim uler. Notons que dans le deuxième tour, par rapp ort
au proto cole DK G de Gennaro [GJKR99], nous éliminons la phase de gestion des
plain tes et nous utilisons des preuv es publiques p our s'assurer de la v alidité des
v aleurs publiées.
Notre v ersion mo diée du proto cole DK G Join t-F eldman et les proto coles DK G
précédemmen t prop osés dans [P ed91, GJKR99, CGJ+99] utilisen t des canaux secrets
et ne garan tissen t pas une gestion ecace des plain tes. Ces proto coles utilisen t la
stratégie suiv an te p our résoudre les plain tes : à la n de la phase de v érication, si le
nom bre de participan ts qui on t p orté plain te con tre un participan t Pi est sup érieur
à un seuil t ,Pi est clairemen t disqualié. Sinon, p our c haque plain te p ortée par
Pj con trePi , le participan t Pi rév èle la part si;j en v o y ée àPj . Si la v aleur de la
partsi;j ne satisfait pas l'équation de v érication, Pi est disqualié, sinon il ne l'est
pas. Cette stratégie de gestion des plain tes n'iden tie pas clairemen t les participan ts
malhonnêtes. D'une part, le participan t Pi p eut en v o y er une part in v alide si;jàPj ,
puis il p ourra rév éler une part v alide si;j p endan t la phase de v érication. D'autre
part, le participan t Pj p eut recev oir une part v alide si;j et prétendre que sa part est
in v alide. Ceci oblige Pi à rév éler la part si;j . Dans les deux cas, aucun participan t
malhonnête ne sera disqualié.
Comparé aux proto coles DK G prop osés dans [P ed91, GJKR99, CGJ+99], notre
proto cole DK G n'utilise pas des canaux de comm unication priv és et gère con v enable-
men t les plain tes des participan ts grâce à une stratégie plus ecace. Cette stratégie
est indép endan te du nom bre de plain tes diusées par les participan ts. Elle p ermet
d'iden tier clairemen t les participan ts malhonnêtes. En eet, grâce à l'utilisation du
proto coleDisputation , une seul part in v alide en v o y ée par un participan t malhon-
nête en traîne sa disqualication. De plus, un participan t qui prétend a v oir reçu une
part in v alide (alors que ce n'est pas le cas) est égalemen t disqualié. En outre, p our
prouv er la v alidité de la part, les participan ts honnêtes ne rév èlen t pas les v aleurs
des parts diusées (v oir la section 3.6 p our plus de détails).
Comparé au proto cole DK G prop osé dans [FS01], notre proto cole DK G nécessite
moins d'op érations de calcul p our v érier la v alidité des parts p endan t la phase de
distribution. Dans le proto cole DK G de [FS01], toutes les parts distribuées doiv en t
être v ériées par tous les participan ts. Ceci est coûteux en termes de calcul parce
que tous les participan ts doiv en t s'assurer de la v alidité de toutes les parts des autres
participan ts. À cet eet, si le nom bre de participan ts est n et si c haque participan t
partage une v aleur aléatoire secrète en tre les n participan ts, nous aurons n2parts.
La complexité des calculs eectués par tous les participan ts est O(kn2) oùk est
un paramètre de sécurité. Dans notre proto cole, la v érication est assurée par la
78

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
phase de gestion des plain tes Disputation . Cette phase est utilisée uniquemen t si un
participan t diuse une plain te con tre un autre participan t. Ainsi, la complexité des
calculs que nous utilisons p our v érier la v alidité des parts distribuées est de O(kn)
et dép end du nom bre de plain tes diusées par les participan ts. De plus, duran t
de la phase d'initialisation du proto cole prop osé dans [FS01], c haque participan t
doit exécuter le pro cessus de génération de clés du cryptosystème de P aillier. Ceci
augmen te le nom bre de clés utilisées tout au long du proto cole. Dans notre proto cole,
p endan t la phase d'initialisation, c haque participan t c hoisit une clé secrète et publie
sa clé publique en utilisan t la fonction du logarithme discrète.
Dans notre proto cole DK G, duran t la phase de reconstruction, les participan ts
prouv en t la v alidité de leurs parts restituées en utilisan t le pro cessus de preuv e
d'appartenance. Cette preuv e ne rév èle aucune information autre que la v alidité de
la part restituée. Notons que cette v érication p eut être eectuée par une partie
externe. La complexité des calculs p endan t la phase de reconstruction est de O(n)
et dép end du nom bre de participan ts.
Le T ableau 3.1 résume la comparaison eectuée en tre les proto coles DK G que
nous a v ons prop osés et les autres proto coles existan ts. La comparaison est basée
sur la complexité des comm unications (nom bre de tours), la complexité du calcul
(rapp elons que nous utilisons les notations suiv an tes : n est le nom bre total de
participan ts et k est un paramètre de sécurité) et le mo dèle de comm unication (des
canaux secrets ou publics). La comparaison est égalemen t eectuée en fonction de la
stratégie de gestion des plain tes. Cette dernière est considérée comme étan t ecace si
elle emp êc he les participan ts honnêtes de rév éler leurs parts. De plus, nous sp écions
le nom bre de tours duran t lesquels la phase de gestion des plain tes est exécutée.
Enn, la comparaison est faite en fonction des exigences de sécurité obten ues. Nous
considérons qu'un proto cole DK G est sécurisé s'il satisfait les exigences de sécurité
des proto coles DK G et s'il assure une distribution uniforme des clés générées.
T able 3.1  Comparaison de nos proto coles DK G a v ec les autres proto coles
Proto cole Nom bre de
toursComplexité Mo dèle de
comm unica-
tionStratégie de
gestion des
plain tesSécu-
rité
Ecacité Nom bre
de tours
JF-DK G11 O(kn) Canaux
secretsX 1 X
Notre v ersion mo diée de
JF-DK G12 O(kn) Canaux
secretsX 1 X
Gennaro DK G 2 O(kn) Canaux
secretsX 2 X
F ouque DK G 1 O(kn2) Canaux
publicsX 0 X
Notre DK G 2 O(kn) Canaux
publicsX 1 X
1Join t-F eldman DK G
79

CHAPITRE 3. UN PR OTOCOLE DK G BASÉ SUR UNE NOUVELLE
STRA TÉGIE DE GESTION DE PLAINTES
3.8 Conclusion
Dans ce c hapitre, nous a v ons prop osé une v ersion mo diée du proto cole DK G
Join t-F eldman. Cette v ersion garan tit une distribution uniforme des clés générées.
Nous a v ons égalemen t prop osé un proto cole DK G a v ec une nouv elle stratégie de
gestion des plain tes qui iden tie clairemen t les participan ts malhonnêtes et qui em-
p êc he les participan ts honnêtes de rév éler les v aleurs de leurs parts. Notre proto cole
DK G p eut être utilisé comme brique de base p our de nom breuses applications cryp-
tographiques. Dans le c hapitre suiv an t, nous utilisons notre proto cole DK G comme
brique de base p our dénir un nouv eau proto cole de v ote électronique.
80

Chapitre 4
Un proto cole de v ote électronique
sans-reçu basé sur une nouv elle
fonction de cryptage
Sommaire
4.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 82
4.2 Quelques proto coles de v ote électronique . . . . . . . . . 82
4.2.1 Le proto cole de v ote électronique de Sc ho enmak ers . . . . 83
4.2.2 Le proto cole de v ote électronique de Lee et Kim . . . . . . 84
4.3 Notre proto cole de v ote électronique . . . . . . . . . . . . 86
4.3.1 La mac hine sécurisée SE . . . . . . . . . . . . . . . . . . 86
4.3.2 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . 86
4.3.3 Ap erçu sur notre proto cole de v ote électronique . . . . . . 87
4.3.4 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . 87
4.3.5 Les preuv es ZKP de notre proto cole de v ote électronique . 90
4.4 Extension du proto cole p our une élection m ulti-candidats 92
4.4.1 Le proto cole . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.4.2 Les preuv es ZKP p our l'élection m ulti-candidats . . . . . 93
4.5 Analyse de sécurité . . . . . . . . . . . . . . . . . . . . . . 94
4.5.1 Preuv es de sécurité . . . . . . . . . . . . . . . . . . . . . . 94
4.5.2 Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . 96
4.6 Comparaison . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4.6.1 Comparaison a v ec le proto cole de Sc ho enmak ers . . . . . 97
4.6.2 Comparaison a v ec le proto cole de Lee et Kim . . . . . . . 98
4.6.3 Comparaison a v ec d'autres proto coles de v ote électronique 99
4.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
81

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
4.1 In tro duction
Les proto coles de v ote électronique doiv en t garan tir non seulemen t la conden-
tialité des v otes mais doiv en t aussi emp êc her les v otan ts de prouv er p our qui ils on t
v oté. En d'autres termes, p ersonne ne doit apprendre commen t un v otan t a v oté et
le v otan t ne devrait pas p ouv oir prouv er à quiconque la façon a v ec laquelle il a v oté.
Il ne doit ni obtenir ni p ouv oir construire un reçu prouv an t le con ten u de son v ote :
il s'agit de la propriété de sans-reçu qui emp êc he l'ac hat et/ou la v en te des v otes.
La propriété de sans reçu est l'une des propriétés les plus diciles à assurer, no-
tammen t dans le cas où elle doit être satisfaite sim ultanémen t a v ec la propriété de v é-
riabilité. Ces deux propriétés de sécurité sem blen t être con tradictoires [CMFP+10].
Commen t p ermettre alors au v otan t de s'assurer que son v ote a été pris en compte
sans qu'il ne réussisse à prouv er p our qui il a v oté ?
Dans ce c hapitre, nous présen tons un nouv eau proto cole de v ote électronique
assuran t à la fois la propriété de sans-reçu et la v ériabilité. P our ce faire, nous
nous sommes basés sur le proto cole déni par Lee et Kim [LK02] et nous utilisons
une mac hine sécurisée nommée SE . Cette mac hine rec hire les bulletins de v ote
grâce à la tec hnique de randomisation an de garan tir la propriété de sans-reçu.
Le proto cole que nous prop osons est basé sur une fonction de cryptage simpliée
qui nécessite moins de coûts de calcul que celle utilisée par Lee et Kim [LK02].
Le proto cole prop osé utilise une v ersion mo diée de la fonction de cryptage de
Sc ho enmak ers [Sc h99] p our crypter les bulletins de v ote. Nous utilisons cette fonction
de cryptage d'une manière diéren te an de réduire le temps et la complexité des
calculs. Comparé au proto cole de Sc ho enmak ers, notre proto cole garan tit la propriété
de sans-reçu. Notons que nous c hoisissons de concev oir notre proto cole p our qu'il
soit destiné aux kiosques de v ote électronique ou aux mac hines de v ote électronique
dans les bureaux de v ote.
Ce c hapitre est organisé comme suit : T out d'ab ord, nous in tro duisons les pro-
to coles de v ote électronique sur lesquels nous nous sommes basés p our la dénition
de notre proto cole. Ensuite, nous présen tons un nouv eau proto cole de v ote élec-
tronique destiné à un v ote binaire (oui/non). Une extension dédiée aux élections
m ulti-candidats est prop osée par la suite. Enn nous étudions la sécurité du pro-
to cole prop osé et nous eectuons une comparaison a v ec d'autres proto coles de v ote
électroniques préexistan ts assuran t la propriété de sans-reçu.
4.2 Quelques proto coles de v ote électronique
Dans cette section, nous présen tons les proto coles sur lesquels se base notre
proto cole de v ote électronique.
82

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
4.2.1 Le proto cole de v ote électronique de Sc ho enmak ers
Dans [Sc h99], Sc ho enmak ers a prop osé un proto cole de v ote électronique basé
sur un sc héma PVSS. Dans ce proto cole, c haque v otan t partage la clé de décryptage
de son bulletin de v ote en tre les autorités électorales. P our ce faire, c haque v otan t
joue le rôle d'un distributeur dans le sc héma PVSS déni par Sc ho enmak ers dans
[Sc h99]. Le proto cole de v ote électronique de Sc ho enmak ers appartien t à la classe 3
(v oir Chapitre 2 Section 2.3.3). Ce proto cole se déroule comme suit :
Initialisation. Soien tp etq deux grands nom bres premiers, tels que qj(p1) . Soit
Gq un group e d'ordre premier q dansZ
p . En outre,g eth désignen t deux générateurs
deGq . Le proto cole met en jeu les participan ts suiv an ts : un ensem ble de M v otan ts
Vi p our 1iM et un ensem ble de N autorités électorales Aj p our 1jN .
Chaque autorité électorale c hoisit une clé priv ée skj2Z
q et publie sa clé publique
pkj=hskj .
V ote. Chaque v otan t c hoisit un v ote vi2 f0;1g et une v aleur secrète aléatoire
si2Zq . Il crypte son bulletin de v ote en calculan t les v aleurs publiques Ui=hsi+vi
etCi=gsi . Ensuite, c haque v otan t construit la preuv e PROOF U [CDS94, Sc h99]
prouv an t que Ui etCi c hiren t un v ote v alide vi2f0;1g . De plus, le v otan t partage
la v aleursi en tre les autorités électorales en exécutan t la phase de distribution du
sc héma PVSS de Sc ho enmak ers. La v aleur si est la clé de décryptage du bulletin de
v ote c hiré. Soit si;j la part desi en v o y ée par le v otan t Vi à l'autorité électorale Aj .
Le v otan tVi en v oie la part si;j àAj sous forme cryptée tel que Yi;j=pksi;j
j .
Dép ouillemen t. Supp osons que M v otan ts fournissen t des bulletins de v ote v alides.
Chaque autorité électorale Aj calcule le pro duit Y
j de toutes les parts cryptées
v alidesYi;j tel queY
j=QM
i=1Yi;j=pkPM
i=1si;j
j . Ensuite,Aj décrypteY
j en utilisan t
sa clé priv ée skj et calcule (Y
j)1=skj=hPM
i=1si;j . Les autorités électorales exécuten t
la phase de reconstruction du sc héma PVSS de Sheonmak ers p our calculer la v aleur
hPM
i=1si . Enn, le résultat du v ote R est calculé comme suit :
R=QM
i=1Ui
hPM
i=1si=hPM
i=1si+vi
hPM
i=1si=hPM
i=1vi
La v aleurT=PM
i=1vi p eut être calculée facilemen t par rec herc he exhaustiv e car
0TM .
Le proto cole de v ote électronique de Sc ho enmak ers présen te certains incon v é-
nien ts. D'une part, le proto cole ne satisfait pas la propriété de sans-reçu. Le v otan t
Vi p eut facilemen t construire un reçu de son bulletin de v ote et prouv er p our qui il a
v oté en utilisan t le secret si et les v aleurs publiques Ui=hsi+vi etCi=gsi . D'autre
part, le proto cole n'est pas approprié p our des élections à grande éc helle à cause de
83

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
la complexité des calculs eectués par les v otan ts et les autorités électorales. Ceci est
dû à l'utilisation de la tec hnique de partage de secret de la Classe 3 (v oir Chapitre
2 Section 2.3.3).
4.2.2 Le proto cole de v ote électronique de Lee et Kim
Dans [LK02], Lee et Kim on t prop osé un proto cole de v ote électronique qui assure
la propriété de sans-reçu grâce à l'utilisation d'un disp ositif matériel nommé TRR
(T amp er-Resistan t Randomizer) ou générateur-résistan t aléatoire. Il s'agit d'un dis-
p ositif matériel sécurisé (une carte à puce par exemple) qui in tervien t duran t la
phase de v ote p our emp êc her le v otan t de construire une preuv e qui p eut rév éler
le con ten u de son v ote. Ce proto cole utilise la tec hnique de partage de secret de la
Classe 1 (v oir Chapitre 2 Section 2.3.1) et se base sur le proto cole DK G de P eder-
sen p our générer une clé secrète sk partagée en tre les autorités électorales. La clé
publiquepk relativ e à la clé secrète sk est utilisée par les v otan ts p our crypter leurs
bulletins de v ote. Le proto cole de v ote de Lee et Kim se déroule comme suit :
Initialisation. Soien tp etq deux grands nom bres premiers, tel que qj(p1) . Soit
Gq un group e d'ordre premier q dansZ
p etg un générateur de Gq .
SoitM le nom bre total de v otan ts et N le nom bre d'autorités électorales. De
plus,L indique le nom bre total des candidats. Au cours de cette phase, les autorités
électorales exécuten t conjoin temen t la phase de génération du proto cole DK G de
P edersen p our générer la clé secrète sk . À la n de cette phase, la clé publique
pk=gskrelativ e à la clé secrète sk est publiée par les autorités électorales. En
outre, c haque autorité électorale détien t une part ski de la clé secrète sk .
Enregistremen t. Chaque v otan t éligible à v oter p eut s'enregistrer auprès d'un
administrateur A p our obtenir son certicat Certi et un TRR sp écique a v ec un
certicatCertTRR i . Les v aleurs de Certi etCertTRR i asso ciées au v otan t Vi son t
publiées par l'administrateur A .
V ote. P our v oter, c haque v outan t c hoisit un candidat j parmi lesL candidats.
Ensuite, il crypte son bulletin de v ote initial en utilisan t le cryptosystème d'ElGamal
tel que (X;Y) = (g;hgMj1) où est une v aleur aléatoire c hoisie par le v otan t. Le
v otan t transmet son bulletin de v ote c hiré à son TRR . Ce dernier c hoisit une v aleur
aléatoire et rec hire le bulletin de v ote initial en calculan t (Xf;Yf) = (X:g;Y:h) .
Ensuite,TRR prouv e la v alidité du bulletin de v ote rec hiré en fournissan t au v otan t
une preuv e DVRP [JSI96]. Enn, le v otan t et son TRR fournissen t conjoin temen t
la preuv e de v alidité relativ e au bulletin de v ote nal en utilisan t une preuv e ZKP
[CDS94, LK02]. Le bulletin de v ote crypté (Xf;Yf) et sa preuv e de v alidité son t
publiés par le v otan t sur le tableau d'ac hage.
Dép ouillemen t. Supp osons que les M v otan ts soumetten t des bulletins de v ote
v alides. Ainsi, l'administrateur A calcule le pro duit de ces bulletins (XR;YR) =
84

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
(QM
i=1Xfi;QM
i=1Yfi) et le publie sur le tableau d'ac hage. Ensuite, les autorités
électorales exécuten t la phase de décryptage du cryptosystème partagé ElGamal et
calculen t le résultat du v ote nal R tel que :
R=YR
XRsk
Notons que R=gr1M0+r2M1+:::+rLML1, a v ec (r1;:::;rL) est le résultat du v ote.
Cette v aleur p eut être calculée p our une taille raisonnable de M comme dans le
proto cole de v ote électronique déni par Cramer et al. dans [CGS97].
Le proto cole de Lee et Kim présen te certains incon v énien ts. D'une part, les au-
teurs utilisen t le proto cole DK G de P edersen comme brique de base p our générer la
clé secrètesk . Rapp elons que ce proto cole n'est pas sécurisé et ne garan tit pas une
distribution uniforme des clés générées [GJKR07]. D'autre part, p endan t la phase
de v ote, c haque v otan t en v oie son bulletin de v ote initial (X;Y) à sonTRR sans
preuv e de sa v alidité. Ainsi, un v otan t malhonnête p eut en v o y er un bulletin de v ote
qui con tien t un v ote in v alide.
De plus, dans le proto cole de Lee et Kim, les auteurs supp osen t que le TRR est
un disp ositif matériel délivré par une autorité de conance à c haque v otan t légitime.
En supp osan t que TRR est sécurisé et qu'il ne rév èle pas la v aleur aléatoire utilisée
p our le rec hiremen t, les auteurs supp osen t que le proto cole satisfait la propriété
de sans-reçu. Ceci n'est pas une stratégie de défense ecace p our emp êc her la v en te
et/ou l'ac hat des v otes. Un v otan t malhonnête p eut simplemen t transférer et v endre
sonTRR à un adv ersaire. Ce dernier sim ulera le comp ortemen t du v otan t et v otera
à sa place p endan t le pro cessus de v ote. Éviter ce comp ortemen t n'est pas p ossible :
il n'y a aucun mo y en qui p ermet d'emp êc her un v otan t de transférer ph ysiquemen t
sonTRR . Dans de telles circonstances, le proto cole ne p eut pas garan tir la propriété
de sans-reçu.
Dans ce qui suit, nous présen tons un nouv eau proto cole de v ote électronique
en utilisan t une v arian te de la fonction de cryptage dénie par Sho enmak ers dans
[Sc h99] p our c hirer les bulletins de v ote. Nous nous inspirons de la tec hnique pro-
p osée par Lee et Kim dans [LK02] p our assurer la propriété de sans-reçu. A cet eet,
nous remplaçons l'utilisation des TRR(s) individuels p our les v otan ts par plusieurs
mac hines sécurisés nommées SE (s) (Secure Engine) installées dans diéren ts em-
placemen ts. Chaque mac hine SE p eut être utilisée par plusieurs v otan ts et ne p eut
être déplacée ou transférée ph ysiquemen t. SE authen tie correctemen t les v otan ts
légitimes. Ceci emp êc he les v otan ts malhonnêtes de v endre leurs v otes. De plus, nous
nous basons sur le proto cole DK G sécurisé déni dans [NBBR16] p our générer une
clé secrète partagée en tre les autorités électorales. Notre proto cole est basé sur la
tec hnique de partage de secret de la Classe 1 (v oir Chapitre 2 Section 2.3.1).
85

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
4.3 Notre proto cole de v ote électronique
Dans cette section, nous présen tons notre proto cole de v ote électronique. Nous
commençons par expliquer la tec hnique utilisée p our assurer la propriété de sans-
reçu. Cette propriété est assurée grâce à l'utilisation de la mac hine sécurisée SE .
Ensuite, nous présen tons le mo dèle de comm unication adopté et nous décriv ons
brièv emen t le proto cole prop osé. Enn, nous présen tons le pro cessus complet de
notre proto cole de v ote électronique et les preuv es ZKP que nous a v ons utilisées.
4.3.1 La mac hine sécurisée SE
La propriété de sans-reçu est nécessaire p our emp êc her les v otan ts de v endre
leurs v otes. P our assurer cette propriété, nous nous sommes inspirés de la tec hnique
prop osée par Lee et Kim dans [LK02]. Les auteurs supp osen t qu'ils assuren t la
propriété de sans reçu grâce à l'utilisation du TRR qui rec hire les bulletins de v ote.
La tec hnique de rec hiremen t p ermet la randomisation des bulletins de v ote. Ainsi,
les v aleurs aléatoires utilisées lors du pro cessus de v ote ne seron t pas disp onibles et ne
p ourron t pas être utilisées par les v otan ts p our créer un reçu de leur bulletin de v ote.
Cep endan t, dans [LK02], les auteurs supp osen t que c haque v otan t légitime p ossède
son propre TRR (délivré par une partie de conance). Le TRR p eut être facilemen t
transféré ph ysiquemen t et v endu à un adv ersaire. Ceci compromet l'ob jectif d'assurer
la propriété de sans-reçu. Dans ce cas, p our éviter un tel incon v énien t, dans notre
proto cole nous remplaçons l'utilisation de TRR individuel p our c haque v otan t par
la mac hine sécurisée SE . Il s'agit d'une mac hine de v ote électronique qui p eut être
installée dans un bureau de v ote ou dans d'autres endroits appropriés et sécurisés
c hoisis par les autorités électorales. SE se c harge d'authen tier correctemen t les
v otan ts et emp êc he un adv ersaire de v oter à la place d'un v otan t légitime. Ainsi, SE
authen tie les v otan ts légitimes, les aide à v oter, rec hire leurs bulletins de v ote et
publie les bulletins de v ote v alides rec hirés sur le tableau d'ac hage public. Notons
que plusieurs SE s, fournies par diéren tes partis p olitiques ou par des organisations
de conance, p ourraien t être installées dans les bureaux de v ote ociels ou dans
d'autres emplacemen ts appropriés. Ainsi, c haque v otan t p eut utiliser un SE de son
c hoix p our v oter.
4.3.2 Mo dèle de comm unication
Notre proto cole de v ote électronique comprend une autorité d'enregistremen t
notéeRA , un ensem ble de M v otan tsV1;V2;:::::;VM etN autorités électorales
A1;A2;:::::;AN . Nous nous basons sur le mo dèle de comm unication déni par [Ben87].
Cep endan t, dans notre proto cole, la mac hine sécurisée SE se c harge de publier les
bulletins cryptés (a v ec les preuv es de leurs v alidité) sur le tableau d'ac hage public
86

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
à la place des v otan ts. Ainsi, c haque bulletin de v ote v alide sera immédiatemen t
ac hé sous forme cryptée a v ec sa preuv e de v alidité sur le tableau d'ac hage. N'im-
p orte quelle partie p eut uniquemen t consulter les v aleurs ac hées dans le tableau
d'ac hage. P ersonne n'a le droit de mo dier et/ou supprimer toute information pu-
bliée sur le tableau d'ac hage. Nous supp osons qu'un attaquan t ne p eut pas injecter
ou supprimer les messages transmis sur le canal qui lie SE au tableau d'ac hage.
Notons que nous supp osons que toutes les v aleurs éc hangées et publiées son t fournies
a v ec les signatures des v otan ts et de SE .
4.3.3 Ap erçu sur notre proto cole de v ote électronique
Dans cette section, nous donnons un ap erçu sur notre proto cole de v ote électro-
nique. Notre proto cole se déroule comme suit : tous d'ab ord, les autorités électorales
exécuten t les phases d'initialisation et de distribution du proto cole DK G déni par
[NBBR16] et génèren t conjoin temen t une clé publique notée pk . Ensuite, c haque v o-
tan t c hoisit son v ote et crypte son bulletin initial noté Ei en utilisan t la clé publique
pk . Nous utilisons la fonction de cryptage dénie par [Sc h99] mais d'une manière dif-
féren te. De plus, le v otan t calcule une v aleur supplémen taire notée Ci . Cette v aleur
sert à générer une preuv e de v alidité notée ProofEi p ermettan t de prouv er la v alidité
de son bulletin de v ote crypté. Nous utilisons une preuv e qu'un message c hiré est
dans un ensem ble donné de v aleurs [CDS94, Sc h99]. Chaque v otan t transmet son
bulletin de v ote crypté Ei etCi a v ec la preuv e de sa v alidité ProofEi àSE .SE
rec hire le bulletin de v ote et génère EFi a v ec la v aleur CFi .SE prouv e la v alidité du
bulletin de v ote rec hiré au v otan t en utilisan t une preuv e DVRP [JSI96]. Enn, le
v otan t etSE co op èren t p our générer la preuv e de v alidité du bulletin de v ote nal
notéeProofEFi[CDS94, LK02]. SE publie le bulletin de v ote nal EFi , la v aleur
CFi et la preuv e ProofEFisur le tableau d'ac hage. P our calculer le résultat nal
de v ote, les autorités électorales utilisen t leurs parts secrètes liées à sk et co op èren t
p our décrypter le pro duit de tous les bulletins v alides publiés sur le tableau d'af-
c hage. À la n du pro cessus de dép ouillemen t, les autorités électorales publien t
le résultat nal R a v ec une preuv e de sa v alidité notée ProofR . Nous utilisons la
preuv e de l'égalité de deux logarithmes discrets dénie par [CP92]. La gure 4.1
mon tre un ap erçu global sur le déroulemen t de notre proto cole de v ote électronique.
4.3.4 Le proto cole
Notre proto cole de v ote électronique se déroule selon les étap es suiv an tes :
Etap e 1 : Enregistremen t P our v oter, les v otan ts légitimes doiv en t s'inscrire
a v an t le début de l'élection. Chaque v otan t Vi demande un iden tian t de l'autorité
d'enregistremen t RA . Cette dernière utilise les informations de la carte d'iden tité
87

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
Figure 4.1  Ap erçu sur notre proto cole de v ote électroniquedeVi p our générer un iden tian t unique noté IDVi . En outre, c haque v otan t Vi doit
c hoisir un mot de passe secret qui sera utilisé p our s'authen tier à SE . A cet eet,
p our v oter, c haque v otan t doit se connecter à SE en utilisan t son iden tian t IDVi
et son mot de passe.
Notons que nous p ouv ons considérer l'utilisation des jetons biométriques [AA11,
JRP04] ou les emprein tes digitales [AB11, KB11] p our assurer un plus haut niv eau
de sécurité duran t la phase de l'authen tication.
Etap e 2 : Initialisation P endan t le pro cessus d'initialisation, les autorités élec-
torales co op èren t p our générer la clé publique pk=gskasso ciée à la clé secrète
partagéesk . P our cela, ils exécuten t les phases d'initialisation et de distribution du
proto cole DK G déni par [NBBR16]. La clé publique pk sera utilisée par les v otan ts
p our crypter leurs bulletins de v ote. Les parts liées à la clé secrète sk seron t utilisées
dans la phase de dép ouillemen t p our calculer le résultat nal.
Etap e 3 : V ote
Etap e 3.1 : Cryptage du bulletin de v ote T out d'ab ord, c haque v otan t Vi
c hoisit son v ote vi2f0;1g et calcule son bulletin de v ote crypté Ei en utilisan t la
clé publique pk et une v aleur aléatoire i2RZq tel que :
Ei=pk(vi+i)
Ensuite, c haque v otan t Vi doit prouv er la v alidité de son bulletin de v ote crypté Ei
en calculan t la v aleur Ci=gi et en fournissan t la preuv e ProofEi . Cette preuv e
88

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
est basée sur la tec hnique de [CDS94]. Ainsi, Vi fournit la preuv e que Ei crypte une
v aleur v alide2f0;1g sans rév éler le con ten u de son v ote. P our cela, nous utilisons
une preuv e qu'un message c hiré est dans un ensem ble donné de v aleur ProofEi
(v oir Section 4.3.5). Le v otan t transmet son bulletin de v ote crypté Ei etCi a v ec la
preuv eProofEi àSE .
Etap e 3.2 : Re-c hiremen t du bulletin de v ote La mac hine sécurisée SE
rec hire le bulletin initial fourni par le v otan t sans mo dier son con ten u. Soit Ei=
pk(vi+i)etCi=gi le bulletin de v ote initial crypté par le v otan t Vi .SE c hoisit
une v aleur aléatoire "i2RZq et calcule le bulletin de v ote rec hiré tel que :
EFi=Eipk"i
CFi=Cig"i
En plus du nouv eau bulletin de v ote rec hiré, SE prouv e que les nouv elles v aleurs
EFi etCFi c hiren t le v ote c hoisi par Vi . Cette preuv e ne doit pas être transférable
p our éviter de fournir au v otan t un reçu prouv an t le con ten u de son v ote. P our ce
faire, nous utilisons une preuv e DVRP [JSI96]. Cette preuv e con v ainc uniquemen t
le v otan t de la v alidité du rec hiremen t eectué et elle est complètemen t in utile
lorsqu'elle est transférée à une autre partie (v oir Section 4.3.5).
Enn,Vi etSE co op èren t p our générer conjoin temen t une preuv e notée ProofEFi
prouv an t la v alidité du bulletin de v ote nal rec hiré. Nous utilisons la même tec h-
nique dénie par [LK02] (v oir Section 4.3.5). Enn, SE publie les v aleurs EFi ,CFi
etProofEFisur le tableau d'ac hage.
Etap e 4 : Dép ouillemen t P our calculer le résultat nal du v ote, au moins t auto-
rités électorales honnêtes co op èren t p our décrypter les bulletins de v ote. Supp osons
queM v otan ts on t soumis des bulletins de v ote v alides. Chaque autorité électo-
raleAj utilise sa part secrète Sj (v oir Chapitre 3 Section 3.4.2) liée à sk et calcule
(QM
i=1CFi)Sj . Ensuite, les autorités électorales utilisen t l'in terp olation de Lagrange
p our calculer la v aleur (QM
i=1CFi)sk. Enn, ils calculen t R tel que :
R=QM
i=1EFi
(QM
i=1CFi)sk
Notons que R=pkv1+v2+:::+vM et queT=v1+v2+:::::vM est le résultat du v ote
nal. Calculer la v aleur de T revien t à résoudre le problème DLP . Ceci est p ossible
p our une taille raisonnable de M [CGS97]. Ainsi, le résultat nal T p eut être calculé
sac han t que la v aleur de T est comprise en tre 0 etM .
Si le proto cole de v ote est utilisé p our des élections à grande éc helle, nous p ouv ons
regroup er les bulletins de v ote v alides en plusieurs sous-group es de taille raisonnable
M . Ainsi, les autorités électorales p euv en t décrypter les pro duits partiels et trouv er
facilemen t le résultat nal.
89

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
P our prouv er la v alidité du résultat nal, les autorités mon tren t que R est v alide
en prouv an t queQM
i=1CFi etQM
i=1EFi=R on t le même logarithme discret resp ectiv e-
men t dans les bases g etpk . Nous utilisons le preuv e de l'égalité de deux logarithmes
discrets [CP92] noté ProofR (v oir Section 4.3.5).
4.3.5 Les preuv es ZKP de notre proto cole de v ote électro-
nique
Dans cette section, nous présen tons les preuv es ZKP utilisées dans les diéren tes
étap es de notre proto cole de v ote électronique. Notons que nous présen tons la v ersion
non in teractiv e des preuv es utilisées. La sécurité de ces preuv es est prouv ée dans le
mo dèle de l'oracle aléatoire.
Preuv e qu' un message c hiré est dans un ensem ble donné de v aleurs –
ProofEi .
P our prouv er la v alidité de son bulletin de v ote crypté Ei , le v otan t Vi doit
mon trer à un v éricateur (ou à SE ou n'imp orte quelle autre partie) que Ei=
pk(vi+i)etCi=gi crypte une v aleur v alide vi2f0;1g . Cette preuv e est basée sur
la tec hnique de [CDS94] et se déroule comme suit :
1. Le v otan t Vi c hoisit aléatoiremen t w2RZq et calculeavi=gwetbvi=pkw.
Ensuite,Vi c hoisitr1vi;d1vi2RZq et calculea1vi=gr1viCd1vi
i etb1vi=
pkr1vi(Ei=pk1vi)d1vi .
2. Le v otan t Vi calculec=H(a0;b0;a1;b1) .
3. Le v otan t Vi calculedvi=cd1vi etrvi=widvi . Il en v oie (d0;r0;d1;r1)
dans cet ordre au v éricateur.
4. Le v éricateur v érie si :
d0+d1?=H(gr0Cd0
i;pkr0Ed0
i;gr1Cd1
i;pkr1(Ei=pk)d1)
Preuv e de re-c hiremen t à v éricateur désigné – DVRP . Soien tEi=pk(vi+i)
etCi=gi les v aleurs relativ es au bulletin de v ote initial crypté par le v otan t Vi et
EFi=Eipk"i etCFi=Cig"i les v aleurs relativ es au bulletin de v ote rec hiré calculé
parSE . Soitpkvi=pkskvi la clé publique du v otan t Vi asso ciée à sa clé secrète skvi .
SE doit prouv er la v alidité du bulletin de v ote rec hiré à Vi . Cette preuv e doit être
complètemen t in utile lorsqu'elle est transférée à une autre partie.
SE prouv e que EFi=Ei etCFi=Ci on t le même logarithme discret resp ectiv emen t
dans les bases pk etg . Cette preuv e est basée sur la tec hnique dénie dans [JSI96]
et se comp ose des étap es suiv an tes :
1.SE c hoisit aléatoiremen t k;r;t2RZq et calculea=pkk;b=gketd=pkrpkt
vi.
90

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
2.SE calculec=H(a;b;d;E Fi;CFi) etu=k"i(c+r) . Il en v oie (c;r;t;u ) au
v otan tVi .
3. Le v otan t Vi v érie si :
c?=H(pku(EFi=Ei)c+r;gu(CFi=Ci)c+r;pkrpkt
vi;EFi;CFi)
Notons que la v aleur de d=pkrpkt
viest une trapp e qui p eut être utilisée p our
calculerr ett . En eet, le v otan t Vi p eut calculer d en utilisan t sa clé priv ée skvi et
les v aleurs aléatoires r0ett0tel quer0+skvit0=r+skvit . Il p eut générer une preuv e
v alide n'imp orte quelles v aleurs E0
FietC0
Fi. Ainsi,Vi c hoisit au hasard (;;u0) et
calculec0, tel que :
c0=H(pku0(EFi=Ei);gu0(CFi=Ci);pk;EFi;CFi)
Il calcule égalemen t r0=c0ett0= (r0)=skvi . Ainsi, (c0;r0;t0;u0) est une
preuv e acceptable p our tout bulletin de v ote crypté par le v otan t Vi . Dans ce cas,
la preuv e utilisée dans ce proto cole ne p eut être transférée à aucune partie.
Preuv e de la v alidité du bulletin de v ote nal – ProofEFi. Soien tEi=pk(vi+i)
etCi=gi les v aleurs relativ es au bulletin de v ote initial crypté par le v otan t Vi et
EFi=Eipk"i etCFi=Cig"i les v aleurs relaiv es au bulletin de v ote rec hiré calculé
paSE . Le v otan t Vi etSE co op èren t p our fournir une preuv e de la v alidité du
bulletin de v ote nal. Cette preuv e est basée sur la preuv e de dénie dans [LK02].
Elle se comp ose des étap es suiv an tes :
1. Le v otan t Vi c hoisit aléatoiremen t w2RZq et calculea0
vi=gwetb0
vi=pkw.
Ensuite, il c hoisit r0
1vi;d0
1vi2RZq et calculea0
1vi=gr0
1viCd0
1vi
i etb0
1vi=
pkr0
1vi(Ei=pk1vi)d0
1vi . Le v otan t en v oie a0
0;b0
0;a0
1;b0
1 àSE .
2.SE c hoisitr00
v;d00
v2RZq p ourv2f0;1g et calculeav=a0
vgr00
vCd00
v
i etbv=
b0
vpkr00
v(Ei=pkv)d00
v . Notons que l'égalité suiv an te doit être satisfaite : d00
0+d00
1= 0 .
SE en v oiea0;b0;a1;b1 àVi .
3. Le v otan t Vi calculec=H(a0;b0;a1;b1) .
4. Le v otanr Vi calculed0
vi=cd0
1vietr0
vi=wid0
viet en v oied0
0;r0
0;d0
1;r0
1 à
SE .
5.SE calculedv=d0
v+d00
v etrv=r0
v+r00
vdv"i p ourv2f0;1g .SE en v oie
d0;r0;d1;r1 au v otan tVi .
6. Le v otan t Vi (ou n'imp orte quelle autre partie) v erie si :
d0+d1?=H(gr0(CFi)d0;pkr0(EFi)d0;gr1(CFi)d1;pkr1(EFi=pk)d1)
91

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
Ainsi,SE etVi fournissen t la preuv e (a0;b0;a1;b1;d0;d1;r0;r1) de la v alidité du
bulletin de v ote nal.
Preuv e de l'égalité des logarithmes discrets – ProofR . Les autorités élec-
torales v eulen t prouv er si les deux élémen tsQM
i=1CFi etQM
i=1EFi=R on t le même
logarithme discret dans les bases g etpk . Autremen t dit, elles v eulen t prouv er que
logg(QM
i=1CFi) =logpk(QM
i=1EFi=R) . Notons que (g;pk;QM
i=1CFi;QM
i=1EFi=R) son t
les données en en trée. Nous utilisons la preuv e dénie dans [CP92] p our prouv er
l'égalité de deux logarithmes discrets. La preuv e comprend les étap es suiv an tes :
1. Les autorités électorales c hoisissen t aléatoiremen t k2RZq et calculen t a=gk
etb=pkk
2. Les autorités électorales calculen t c tel que :
c=H(g;MY
i=1CFi;pk;MY
i=1EFi=R;a;b )
3. Les autorités électorales calculen t u=kcPM
i=1(i+"i) et publien t (a;b;u ) .
4. Les v otan ts calculen t c=H(g;QM
i=1CFi;pk;QM
i=1EFi=R;a;b ) et v érien t si les
deux égalités suiv an tes son t satisfaites :
a?=gu(MY
i=1CFi)cb?=pku(MY
i=1EFi=R)c
4.4 Extension du proto cole p our une élection m ulti-
candidats
4.4.1 Le proto cole
Dans la v ersion initiale de notre proto cole de v ote électronique, c haque v otan t
doit c hoisir un v ote 2f0;1g . Dans ce cas, il s'agit d'un v ote binaire (oui/non). Cep en-
dan t, il est souv en t nécessaire qu'un v otan t puisse c hoisir en tre plusieurs candidats
au lieu de deux. Il s'agit d'un v ote m ulti-candidats : c haque v otan t a L p ossibilités et
p eut c hoisir l'une d'en tre elles. Nous prop osons dans cette section une extension de
notre proto cole destinée à une élection m ulti-candidats p our p ermettre aux v otan ts
de c hoisir en tre plusieurs candidats.
SoitM le nom bre maxim um de v otan ts et L le nom bre total de candidats. L'élec-
teurVi p eut v oter p our le candidat k tel que 1kL . Ensuite, il calcule son
bulletin de v ote c hiré Ei en utilisan t la clé publique pk et une v aleur aléatoire
92

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
i2RZq tel que :
Ei=pk(Mk1+i)
Le v otan tVi prouv e la v alidité de son bulletin de v ote c hiré Ei àSE en calculan t
la v aleurCi=gi et en utilisan t la preuv e ProofEi destinée p our une élection m ulti-
candidats (v oir Section 4.4.2). Ensuite, SE génère le bulletin rec hiré en utilisan t
une v aleur aléatoire "i2RZq tel queEFi=Eipk"i etCFi=Cig"i . En outre, SE
prouv e la v alidité du bulletin de v ote crypté au v otan t en utilisan t la même preuv e
DVRP dénie dans la v ersion initiale de notre proto cole (v oir Section 4.3.5). Enn,
le v otan t et SE collab oren t p our générer une preuv e de v alidité du bulletin de v ote
nalProofEFidestinée p our une élection m ulti-candidats (v oir Section 4.4.2).
Au cours de la phase de dép ouillemen t, les autorités électorales calculen t R=
pkt1M0+t2M1+:::::tLML1a v ec (t1;t2;:::;tL) est le résultat nal du v ote. Calculer la
v aleur de (t1;t2;:::;tL) revien t à résoudre le problème du logarithme discret. Ceci
est toujours p ossible p our une taille raisonnable de M etL [CGS97]. La preuv e de
v alidité du résultat du v ote nal est la même que celle dénie dans la v ersion initiale
de notre proto cole (v oir Section 4.3.5).
4.4.2 Les preuv es ZKP p our l'élection m ulti-candidats
Dans cette section, nous présen tons les preuv es ZKP mo diées de la v ersion
destinée à une élection m ulti-candidats.
Election m ulti-candidats – Preuv e qu' un message c hiré est dans un
ensem ble donné de v aleurs – ProofEi .
P our prouv er la v alidité de son bulletin de v ote crypté Ei , le v otan t Vi doit
prouv er à un v éricateur (ou à SE ou à n'imp orte quelle partie) que Ci=gi et
Ei=pk(Mk1+i)crypten t une v aleur v alide tel que 1kL sans dév oiler la v aleur
de son v ote. Cette preuv e est basée sur la tec hnique de [CDS94] et p eut être obten ue
en exécutan t les étap es suiv an tes :
1. Le v otan t Vi c hoisit aléatoiremen t w2RZq et calculeak=gwetbk=pkw.
2. P ourj= 1;:::;k1;k+ 1;:::;L , le v otan tVi c hoisitrj;dj2RZq et calcule
aj=grjCdj
i etbj=pkrj(Ei=pkMj1)dj .
3. Le v otan t Vi calculec=H(a1;b1;:::;aL;bL) .
4. Le v otan t Vi calculedk=cP
j6=kdj etrk=widk . Il en v oie (D;R) =
(d1;r1;:::;dL;rL) au v éricateur.
5. Le v éricateur v érie si :
d1+:::+dL?=H(gr1Cd1
i;pkr1(Ei=pk)d1;:::;grLCdL
i;pkrL(Ei=pkML1)dL
93

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
Election m ulti-candidats – Preuv e de la v alidité du bulletin de v ote
nal -ProofEFi: Soien ttEi=pk(Mk1+i)p our 1kL etCi=gi les v aleurs
relativ es au bulletin de v ote initial crypté par le v otan t Vi etEFi=Eipk"i etCFi=
Cig"i les v aleurs relativ es au bulletin de v ote rec hiré calculé par SE . L'électeur Vi
etSE co op èren t p our pro duire la preuv e de v alidité du bulletin de v ote nal. Cette
preuv e de v alidité est égalemen t basée sur la preuv e ZKP dénie par [LK02]. Elle se
déroule comme suit :
1. Le v otan t Vi c hoisit aléatoiremen t w2RZq et calculea0
k=gwandb0
k=pkw.
2. P ourj= 1;:::;k1;k+ 1;:::;L , le v otan tVi c hoisitr0
j;d0
j2RZq et calcule
a0
j=gr0
jCd0
j
i etb0
j=pkr0
j(Ei=pkMj1)d0
j .
Ensuite il en v oie (A0;B0) = (a0
0;b0
0;:::;a0
L;b0
L) àSE .
3. P ourj= 1;:::;L SE c hoisitr00
j;d00
j2RZq p ourv2f0;1g et calculeaj=
a0
jgr00
jCd00
j
i etbj=b0
jpkr00
j(Ei=pk(Mk1)d00
j . Notons que l'égalité suiv an te doit être
satisfaite 😛
jd00
j= 0 .SE en v oie (A;B) = (a1;b1;:::;aL;bL) àVi .
4. Le v otan t Vi calculec=H(a1;b1;:::;aL;bL) .
5. Le v otan t Vi calculed0
k=cP
j6=kd0
j etr0
k=wid0
k . Il en v oie (D0;R0) =
d0
1;r0
1;:::;d0
L;r0
L àSE .
6. P ourj= 1;:::;L SE calculedj=d0
j+d00
j etrj=r0
j+r00
jdj" .SE en v oie
(D;R) =d1;r1;:::;dL;rL àVi .
7. Le v otan t Vi (ou n'imp orte quelle autre partie) v érie si :
d1+:::+dL?=H(gr1(CFi)d1;pkr1(EFi)d1;:::;grL(CFi)dL;pkrL(EFi=pkL1)dL)
Ainsi,SE etVi pro duisen t la preuv e de v alidité (a1;b1;:::;aL;bL;d1;r1;:::;dL;rL)
du bulletin de v ote nal.
4.5 Analyse de sécurité
4.5.1 Preuv es de sécurité
Dans ce qui suit, nous mon trons d'ab ord que la clé secrète sk satisfait l'exigence
de conden tialité et ne p eut pas être conn ue par une partie malhonnête. P ar la suite,
nous prouv ons la sécurité de la fonction de cryptage du bulletin de v ote utilisée p our
crypter le v ote initial ( Ei etCi ) et le v ote rec hiré ( EFi etCFi ). Enn, nous prouv ons
que le v otan t ne p eut pas construire un reçu de son v ote à partir des v aleurs du
bulletin de v ote initial et du bulletin de v ote nal rec hiré.
Théorème 6. Sous l'hyp othèse DLP, notr e pr oto c ole assur e la c ondentialité de la
clé se cr ète sk . A insi, une p artie malhonnête ne p eut p as obtenir sk , ou c ertaines
informations sur sk autr e que la valeur publique pk=gsk.
94

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
Démonstr ation. P our briser le cryptage de la clé secrète sk , une partie malhonnête
doit calculer sk à partir de pk=gsk. Cela implique la résolution du problème du
logarithme discret. Étan t donné que le calcul du logarithme discret est infaisable
dansGq , la partie malhonnête n'est pas capable de calculer sk à parir degsk.
De plus, nous nous basons sur le Lemme suiv an t du proto cole DK G déni dans
[NBBR16] et utilisé p our générer sk :
Lemme 5. Sous l'hyp othèse c alculatoir e de Die-Hel lman et de DLP, le pr oto c ole
DK G pr otè ge la c ondentialité de la clé se cr ete sk .
La preuv e de sécurité de sk est fournie dans [NBBR16]. Ainsi, la clé secrète
sk est une information conden tielle qui ne p eut être découv erte par une partie
malhonnête.
Théorème 7. Sous l'hyp othèse Die-Hel lman Calculatoir e, il est imp ossible de
briser le cryptage du bul letin de vote initial.
Démonstr ation. P our une partie malhonnête connaissan t la clé publique pk=gsk
et les v aleurs Ei=pkvi+i=gsk(vi+i)etCi=gi éc hangé en tre le v otan t Vi etSE ,
briser le cryptage du bulletin implique calculer la v aleur gski . P our ce faire, il faut
calculergsk(vi)=Ei=gski partir des v aleurs Ei ,pk=gsketCi=gi . Ceci revien t à
calculergski à partir des v aleurs gsketgi . Rapp elons que l'h yp othèse calculatoire
de Die-Hellman implique qu'il est imp ossible de calculer gski étan t donnés gsket
gi . Ainsi, la partie malhonnête ne p eut pas briser le cryptage du bulletin de v ote
initial.
En outre, dans notre proto cole de v ote électronique, les bulletins de v ote son t
c hirés a v ec la clé secrète sk . Seul une partie p ossédan t sk p eut extraire la v aleur
de v ote du bulletin crypté Ei . Notons qu'au moins t des autorités électorales hon-
nêtes doiv en t co op érer p our reconstruire la clé secrète sk et décrypter les bulletins
de v ote. Ainsi, p our briser le cryptage des bulletins de v ote, la partie malhonnête
devrait p ouv oir calculer sk . Nous nous basons sur le théorème 6, qui stipule qu'il
est imp ossible d'obtenir sk ou certaines informations sur sk .
Théorème 8. Sous l'hyp othèse Die-Hel lman Calculatoir e, il est imp ossible de
briser le cryptage du bul letin de vote r e chir é.
Démonstr ation. P our une partie malhonnête connaissan t les v aleurs publiques EFi=
pk(vi+i+"i)=gsk(vi+i+"i),CFi=gi+"i etpk=gsk, briser le cryptage du bulletin
rec hiré implique calculer la v aleur gsk(i+"i). P our ce faire, il faut calculer gsk(vi)=
EFi=gsk(i+"i). Ceci revien t à calculer gsk(i+"i)à partir des v aleurs gsketgi+"i . Ceci
est infaisable sous l'h yp othèse calculatoire de Die-Hellman. De plus, p our briser
le cryptagedu bulletin rec hiré, une partie malhonnête devra calculer la clé secrète
95

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
sk . Nous nous basons sur le théorème 6, qui stipule qu'il est imp ossible d'obtenir sk
ou certaines informations sur sk .
Théorème 9. Sous l'hyp othèse DLP, il est imp ossible p our un votant de c onstruir e
un r e çu de son vote ou de pr ouver à toute p artie qu'il a voté d'une manièr e p articu-
lièr e.
Démonstr ation. Supp osons qu'un v otan t malhonnête v eut construire un reçu de son
v ote à partir des v aleurs Ei=pk(vi+i)=gsk(vi+i ,Ci=giEFi=pk(vi+i+"i)=
gsk(vi+i+"i),CFi=gi+"i etpk=gsk. Les informations supplémen taires que ce
v otan t p eut calculer son t EFi=Ei=pk"i etCFi=Ci=g"i P our construire un reçu
de son v ote, le v otan t doit calculer "i à partir de pk"i ou deg"i . Ceci implique la
résolution du problème du logarithme discret. Étan t donné que le calcul logarithme
discret est infaisable dans Gq , le v otan t malhonnête n'est pas capable de calculer "i
à partir de pk"i ou deg"i .
4.5.2 Exigences de sécurité
Le proto cole de v ote électronique prop osé satisfait les exigences de sécurité liés
au pro cessus de v ote. Nous concen trons notre analyse sur les exigences suiv an tes :
 Secret du v ote
Dans notre proto cole, une partie malhonnête ne p eut pas déterminer les v aleurs
des v otes à partir des bulletins cryptés publiés sur le tableau d'ac hage (v oir
Théorème ref T3). En outre, les preuv es de v alidité des bulletins de v ote
initiaux et naux son t des preuv es à divulgation n ulle de connaissance. Ainsi,
toute information relativ e à la v aleur des v otes p eut être conn ue de ces preuv es.
An de dissip er le lien en tre le v otan t et son bulletin de v ote, nous supp osons
queSE ac he les bulletins sur le tableau d'ac hage sans les iden tian ts des
v otan ts. Ainsi, p ersonne n'est capable d'établir un lien en tre le v otan t et son
bulletin de v ote.
 Sans-reçu Dans notre proto cole, SE rec hire les bulletins de v ote en a joutan t
la v aleur aléatoire "i . Le v otan t ne p eut obtenir la v aleur de "i c hoisie par SE .
P ar conséquen t, il ne p eut pas construire un reçu prouv an t le con ten u de son
v ote en utilisan t son bulletin de v ote rec hiré. En outre, la preuv e DVRP
fournie par SE est complètemen t in utilisable lorsqu'elle est transférée à une
autre partie. Elle ne p eut pas être utilisé p our construire un reçu. Notons que
la preuv e de v alidité du bulletin nal ProofEFiest égalemen t randomisée par
SE et ne p eut pas être utilisée par le v otan t p our prouv er le con ten u de son
v ote (v oir Théorème 9 ).
96

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
 Vériabilité Notre proto cole satisfait les deux sous-propriétés de v ériabilité ;
à sa v oir :
 Vériabilité individuelle. Après a v oir construit son bulletin de v ote
initial (Ei;Ci) , le v otan t reçoit de SE une preuv e DVRP prouv an t que
SE a rec hiré correctemen t son bulletin de v ote sans c hanger son con ten u.
La preuv eDVRP p ermet au v otan t de v érier que les nouv elles v aleurs
(EFi;CFi) c hiren t le v ote qu'il a c hoisi initialemen t dans (Ei;Ci) . De
plus, étan t donné que les bulletins de v ote rec hirés son t présen ts sur le
tableau d'ac hage public, c haque v otan t p eut v érier que son bulletin de
v ote rec hiré (EFi;CFi) à été correctemen t pris en compte.
 Vériabilité univ erselle. N'imp orte quelle partie p eut v érier la v ali-
dité de c haque bulletin de v ote (EFi;CFi) p osté sur le tableau d(ac hage
car il est publié a v ec une preuv e publique ProofEFide sa v alidité. En
outre, les autorités électorales fournissen t la preuv e publique ProofR de
la v alidité du résultat de v ote nal. Cette preuv e prouv e que le résultat
de décompte publié est correctemen t calculé à partir des bulletins de v ote
v alides.
4.6 Comparaison
Dans cette section, nous comparons d'ab ord notre proto cole de v ote électronique
a v ec le proto cole de Sc ho enmak ers. P ar la suite, la comparaison est eectuée a v ec le
proto cole de Lee et Kim. Enn, nous comparons notre proto cole a v ec des proto coles
basés sur d'autres appro c hes et primitiv es cryptographiques garan tissan t la propriété
de sans-reçu.
4.6.1 Comparaison a v ec le proto cole de Sc ho enmak ers
Notre nouv eau proto cole de v ote électronique est plus simple que le proto cole
déni par Sc ho enmak ers dans [Sc h99]. P ar rapp ort à ce dernier, notre proto cole
nécessite moins d'op érations de calcul p endan t le pro cessus de v ote.
Dans le proto cole de Sc ho enmak ers, c haque v otan t jour le rôle d'un distributeur
et partage son bulletin de v ote en tre les autorités électorales en utilisan t un sc héma
PVSS. Dans ce fait, il doit fournir une preuv e de v alidité de c haque part en v o y ée en
plus de la preuv e de v alidité du bulletin de v ote crypté. Chaque autorité électorale
doit v érier la v alidité de toutes les parts reçues de c haque électeur. Ainsi, la com-
plexité du calcul eectué par les v otan ts dép end du nom bre d'autorités électorales.
Dans notre proto cole, c haque électeur utilise une clé publique pk p our crypter son
bulletin de v ote et ne fournit qu'une unique preuv e de v alidité de son bulletin de v ote
crypté. Ainsi, par rapp ort au proto cole déni dans [Sc h99], la complexité du calcul
97

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
a été réduite tan t p our les v otan ts que p our les autorités électorales. Ceci est dû
à l'utilisation d'une tec hnique diéren te de partage secret p endan t les pro cessus de
v ote. Dans ce cas, le proto cole de Sc ho enmak ers est plus approprié p our les p etites
élections, alors que notre proto cole p eut être utilisé p our des élections à grande
éc helle.
Notons égalemen t que le proto cole de Sc ho enmak ers ne garan tit pas la propriété
de la réception. Ceci est dû aux v aleurs aléatoires c hoisies par le v otan t p our partager
son bulletin de v ote en utilisan t le sc héma PVSS p endan t le pro cessus de v ote.
Ainsi, un v otan t p eut construire un reçu qui p eut prouv er le con ten u de son v ote en
rév élan t les v aleurs aléatoires qu'il a utilisées p endan t la phase de distribution du
sc héma PVSS (v oir Section 4.2). P ar rapp ort au proto cole de Sc ho enmak ers, notre
proto cole de v ote électronique garan tit la propriété de sans-reçu grâce à l'utilisation
de la mac hine SE qui se c harge de rec hirer les bulletins de v ote.
4.6.2 Comparaison a v ec le proto cole de Lee et Kim
Le proto cole déni par Lee et Kim dans [LK02] utilise le cryptosystème ex-
p onen tiel d'ELGamal p our crypter les bulletins de v ote. Dans notre proto cole, le
cryptage des bulletins de v ote est eectué a v ec la fonction de cryptage mo diée de
Sho enmak ers don t la sécurité rep ose sur l'h yp othèse CDH.
Notons que, par rapp ort au proto cole de Lee et Kim, nous réduisons le coût
de calcul de la fonction de cryptage du bulletin de v ote. En eet, dans le proto-
cole de Lee et Kim, p our émettre un bulletin de v ote en utilisan t le cryptosystème
exp onen tial d'ELGamal, un électeur Vi c hoisit une v aleur aléatoire i et calcule
(Xi;Yi) = (gi;pkigvi) . Dans notre proto cole, p our v oter, un électeur Vi calcule
Ei=pkvi+i etCi=gi . Le cryptage exp onen tiel d'ELGamal prend une seule exp o-
nen tiation ( Xi ) et une m ulti-exp onen tiation ( Yi ) tandis que notre fonction de cryp-
tage implique 2 exp onen tiations simples ( Ei etCi ). P our comparer le coût de calcul
de notre fonction de cryptage a v ec le cryptage Exp onen tial d'ElGamal, nous nous
basons sur les résultats présen tés dans [K+14]. Dans [K+14], les auteurs prouv en t que
le coût d'une m ulti-exp onen tiation a v ec deux élémen ts p eut être compté comme en-
viron 20% que le coût d'une seule exp onen tiation grâce à l'utilisation d'algorithmes
sp éciques p our le calcul de m ulti-exp onen tiations. P ar conséquen t, la fonction de
cryptage de notre bulletin de v ote exige moins de coûts de calcul que celle utilisée
par Lee et Kim.
Comparé au proto cole de Lee et Kim, dans notre proto cole, nous a joutons une
preuv e de v alidité du bulletin de v ote initial. Cette preuv e garan tit qu'un v otan t
a c hoisit une v aleur v alide dans le bulletin de v ote crypté. De plus, nous utilisons
comme brique de base un proto cole DK G sécurisé déni par [NBBR16] p our partager
la clé secrète sk . Notons que Lee et Kim utilisen t le proto cole DK G de P edersen qui
n'est pas sécurisé et qui ne garan tit pas une distribution uniforme des clés générées
98

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
[GJKR07].
Notons que Lee et Kim on t conçu leur proto cole p our le v ote par In ternet. Ainsi,
ils supp osen t que c haque v otan t p ossède son propre TRR. La propriété de sans-
reçu ne p eut être assurée que si les v otan ts ne transmetten t pas ou ne v enden t pas
leurs TRR à un attaquan t. Étan t donné qu'il n'existe aucun mo y en d'emp êc her les
v otan ts de v endre leurs TRR, la propriété de sans-reçu ne p eut être satisfaite dans
ce cas. En rev anc he, notre proto cole est destiné aux systèmes de v ote électronique
utilisan t des mac hines de v ote placés dans les bureaux de v ote ou d'autres endroits
appropriés. P our assurer la propriété de sans-reçu, nous utilisons la mac hine sécurisé
SE . Ainsi, nous remplaçons l'utilisation de TRR individuels p our les v otan ts par
plusieursSE installés dans diéren ts endroits sécurisés. SE ne p eut être déplacé ou
transféré ph ysiquemen t à un attaquan t.
4.6.3 Comparaison a v ec d'autres proto coles de v ote électro-
nique
A l'encon tre de notre proto cole qui est basé sur un proto cole DK G sécurisé
[NBBR16], plusieurs proto coles de v ote électronique [CGS97, HS00, BFP+01, LK02,
PSO11] utilisen t comme brique de base le proto cole DK G de P edersen p our générer
la clé secrète partagée en tre les autorités électorales. Rapp elons que le proto cole
DK G de P edersen (nommé Join t-F eldman DK G) ne garan tit pas une distribution
uniforme des clés générées [GJKR07].
D'autres proto coles [A cq04, P A V11] utilisen t le sc héma de partage de secrte de
Shamir p our la distribution et la génération de la clé secrète de décryptage des
bulletins de v ote. Ceci présen te plusieurs incon v énien ts : d'une part, la clé secrète
sera initialemen t déten ue par une seule aurorité de conance. D'autre part, il n'est
pas p ossible de v érier la v alidité des parts distribuées asso ciées à la clé de secrète.
Dans ce cas, il faut noter que nous recommandons l'utilisation des sc hémas VSS ou
PVSS qui fournissen t une solution p our assurer la v alidité des parts distribuées (v oir
Chapitre 2). Il est encore préférable d'utiliser des proto coles DK G sécurisés basés
sur des sc hémas PVSS [NBBR16].
Dans [CCF G16], les auteurs on t prop osé un proto cole de v ote électronique ap-
p elé BeleniosRF. Ce proto cole assure la propriété de sans-reçu d'une manière non
in teractiv e. T outefois, le proto cole BeleniosRF supp ose qu'il existe un seul serv eur
de conance qui se c harge de rec hirer correctemen t les bulletins de v ote. Ainsi,
con trairemen t à notre proto cole, les bulletins son t rec hirés sans fournir une preuv e
de la v alidité du rec hiremen t eectué. Les v otan ts ne p euv en t pas v érier que leurs
bulletins de v ote on t été rec hiré sans c hanger leurs con ten us. En outre, dans le
proto cole BeleniosRF, si l'autorité d'enregistremen t et le serv eur c hargé du rec hif-
fremen t co op èren t, ils p euv en t mo dier les v otes des v otan ts. Les v otan ts ne p euv en t
99

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
pas détecter ceci. Dans ce cas, BeleniosRF ne garan tit pas la v ériabilité individuelle.
Les proto coles dénis par [HS00, PSO11] p ermetten t d'assurer la propriété de
sans-reçu en faisan t in terv enir plusieurs autorités qui rec hiren t les bulletins de
v ote. Ceci est équiv alen t à l'utilisation d'un réseau de mélangeurs à rec hiremen t
v ériable (ou publiquemen t v ériable) dans lequel c haque autorité joue le rôle d'un
seul serv eur. Cette appro c he distribue la conance en tre plusieurs parties et élimine
l'h yp othèse qui oblige les v otan ts à faire conance à un serv eur unique [CCF G16] ou
à un disp ositif matériel sp écique (comme SE dans notre proto cole ou TRR dans
le proto cole de Lee et Kim [LK02]). Cep endan t, l'utilisation de plusieurs parties (ou
d'un réseau de mélangeurs) p our rec hirer c haque bulletin augmen te considérable-
men t la complexité des comm unications et les coûts de calcul eectué et rend le
pro cessus de v ote pas inecace p our des élections à grande éc helle.
Rapp elons que nous a v ons conçu notre proto cole p our des kiosques de v ote élec-
tronique ou des mac hines de v ote électronique dans les bureaux de v ote. Ainsi, dans
notre proto cole, tous les v otan ts ne son t pas amenés à faire conance à une seule
mac hineSE . L'a v an tage ici est que nous supp osons qu'il y a div erses mac hines SE s
fournies par plusieurs organisations. Ainsi, les v otan ts p euv en t c hoisir la mac hine
SE fournie par l'organisation p our laquelle ils lui fon t conance.
Dans, [KZZ15], Kia yias et al. on t déni un proto cole nommé Demos basé sur la
tec hnique du v ote par co de [Cha01]. P ar rapp ort à notre proto cole, Demos garan tit
la propriété de sans-reçu et la v ériabilité dans le mo dèle standard et sans se baser
sur un disp ositif matériel sécurisé. Cep endan t, la propriété de sans-reçu n'est satis-
faite que p our les v otan ts honnêtes qui ne transmettron t pas leurs co des de v ote à
l'adv ersaire. En outre, le proto cole Demos soure d'un incon v énien t ma jeur car il
se base sur une seule autorité électorale duran t toutes les étap es du pro cessus de
v ote. Dans [CZZ+15], Chandros et al. on t prop osé une v ersion distribuée de De-
mos nommée D-Demos. Ce proto cole est basé sur le sc héma VSS de P edersen p our
distribuer la conance en tre les autorités de dép ouillemen t. Cep endan t, dans cette
v ersion distribuée, les auteurs supp osen t toujours qu'il existe une seule autorité de
conance qui initialise la pro cédure de v ote et transmet les co des de v ote aux v otan ts
légitimes. Notons que la conden tialité des v otan ts p ourrait être violée si l'autorité
de conance collab ore a v ec les autorités de dép ouillemen t en surv eillan t et en rév é-
lan t les v aleurs des co des de v ote en v o y és à c haque v otan t. C'est un incon v énien t
récurren t dans les proto coles de v ote électronique basés sur les sc hémas de v ote par
co de [JRF09, KZZ15, CZZ+15].
D'autres proto coles de v ote électronique com binen t l'utilisation des creden tials
anon ymes et des réseaux de mélangeurs an d'assurer la propriété de sans-reçu et la
résistance à la co ercition [A cq04, JCJ05, CCM08]. P ar rapp ort à notre proto cole, ils
garan tissen t la résistance à la co ercition, même en présence d'un attaquan t qui oblige
les v otan ts à v oter d'une certaine manière. Cep endan t, une attaque du proto cole de
100

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
v ote prop osé par A cquisti [A cq04] a été décrite dans [A T13]. En outre, les proto coles
dénis dans [JCJ05, CCM08] ne p euv en t pas être utilisés p our des élections à grande
éc helle en raison de la complexité du pro cessus de dép ouillemen t qui implique une
complexité de temps quadratique de O(N2) en fonction du nom bre des bulletins de
v ote soumis [AFT10, SKHS11].
Le tableau 4.1 résume la comparaison eectuée de notre proto cole a v ec les autres
proto coles de v ote électronique. La comparaison est eectué en se basan t sur la tec h-
nique de partage de secret utilisée (le proto cole DK G ou bien le sc héma de partage
secret (SS) sur lequel c haque proto cole est basé). P our c haque proto cole, nous sp é-
cions si les propriétés de sans-reçu et de v ériabilité son t satisfaites. Rapp elons
que ces deux propriétés de sécurité sem blen t être con tradictoire et son t diciles à
satisfaire sim ultanémen t [CMFP+10]. De plus, si la propriété de sans-reçu est satis-
faite, nous sp écions la tec hnique utilisée p our l'assurer. La propriété de sans-reçu
est considérée satisfaite sous-condition dans les proto coles qui supp osen t que les
v otan ts son t honnêtes duran t le pro cessus de v ote et in teragissen t a v ec l'attaquan t
uniquemen t après la phase du v ote.
Enn, la comparaison se fait en termes d'év olutivité. Nous considérons qu'un pro-
to cole est év olutif si la complexité du proto cole utilisé dans le pro cessus de v ote est
consacrée aux élections à grande éc helle. Notez qu'un proto cole de v ote ecace doit
être év olutif en fonction des b esoins de calcul et de complexité de la comm unication
en tan t que fraction du nom bre d'électeurs.
T able 4.1  Comparaison de notre proto cole a v ec les autres proto coles de v ote électronique
Proto col SS Sc heme / DK G
proto col Receipt-
F reenessT ec hnique to ensure
Receipt-F reenessV eriabilit y Scala-
bilit y
Ind. Uni.
Sc ho enmak ers (1999) Sc ho enmak ers PVSS X – X X X
Lee and Kim (2000) P edersen DK G SC T rusted TRR for eac h v oter X X X
Hirt and Sak o (2000) P edersen DK G X Multiple randomization
authoritiesX X X
A cquisti (2004) (k,n) Shamir SS AP Anon ymous Creden tials X X X
Civitas/JCJ (2008) Not sp ecied X Anon ymous Creden tials X X X
Philip et al. (2011) P edersen DK G X Multiple randomization
authoritiesX X X
Chondros et al. (2015) P edersen VSS SC Co de v oting X X X
BeleniosRF (2016) Not sp ecied X Single trusted randomization
serv erSC X X
Our proto col (2017) Neji et al. DK G X T rusted SE(s) for sev eral
v otersX X X
X : Propriété satisfaite, X : Propriété non satisfaite, SC : propriété satisfaite sous condition, AP : A ttaque Prouv ée.
4.7 Conclusion
Dans ce c hapitre, nous a v ons prop osé un proto cole de v ote électronique sécurisé
qui satisfait la plupart des exigences de sécurité du pro cessus de v ote, en particulier
101

CHAPITRE 4. UN PR OTOCOLE DE V OTE ÉLECTR ONIQUE SANS-REÇU
BASÉ SUR UNE NOUVELLE F ONCTION DE CR YPT A GE
le secret de v ote, le sans-reçu et la v ériabilité. En utilisan t la fonction de cryptage de
Sc ho enmak ers d'une manière diéren te, notre proto cole nécessite moins de coûts de
calcul que le proto cole déni par [Sc h99], et il est plus sécurisé que celui prop osé par
[LK02]. Cep endan t, le proto cole prop osé dans ce c hapitre n'assure pas la résistance
à la co ercision, et est destiné aux kiosques de v ote électronique ou aux mac hines
de v ote électronique dans les bureaux de v ote. Dans le c hapitre suiv an t, nous allons
présen ter un nouv eau proto cole de v ote électronique en ligne résistan t à la co ercition.
102

Chapitre 5
Un nouv eau proto cole de v ote
électronique en ligne résistan t à la
co ercition
Sommaire
5.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 103
5.2 Le proto cole de Civitas . . . . . . . . . . . . . . . . . . . . 105
5.3 L'insécurité de la phase d'enregistremen t de Civitas . . 108
5.4 Notre proto cole de v ote électronique en ligne . . . . . . 109
5.4.1 Mo dèle de comm unication . . . . . . . . . . . . . . . . . . 110
5.4.2 Capacités de l'adv ersaire . . . . . . . . . . . . . . . . . . . 110
5.4.3 Notations . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
5.4.4 Notre proto cole sécurisé de la phase d'enregistremen t . . . 111
5.4.5 Phase de v ote . . . . . . . . . . . . . . . . . . . . . . . . . 114
5.4.6 Phase de dép ouillemen t . . . . . . . . . . . . . . . . . . . 114
5.5 Analyse de sécurité . . . . . . . . . . . . . . . . . . . . . . 117
5.5.1 Hyp othèses de sécurité . . . . . . . . . . . . . . . . . . . . 117
5.5.2 Exigences de sécurité . . . . . . . . . . . . . . . . . . . . . 118
5.6 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
5.1 In tro duction
Les proto coles de v ote électronique en ligne p ermetten t aux v otan ts de v oter
n'imp orte où (au bureau, à la maison, à l'étranger, etc…). Ces proto coles doiv en t
satisfaire les exigences de sécurité liées au pro cessus de v ote. La propriété la plus
dicile à assurer dans le con texte d'un v ote en ligne est la résistance à la co ercition.
Commen t p ermettre alors aux v otan ts de v oter à distance malgré la présence d'un
attaquan t qui les menace et les force à v oter d'une certaine manière ?
103

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
En 2008, Clarkson et al. [CCM08] dénissen t le premier proto cole de v ote élec-
tronique en ligne, app elé Civitas, qui assure à la fois la résistance à la co ercition et
la v ériabilité. Le proto cole de Civitas est une amélioration du proto cole JCJ déni
par Juels et al. en 2005 [JCJ05].
Dans Civitas, p our assurer la résistance à la co ercition, c haque v otan t détien t
un creden tial anon yme délivré par des autorités d'enregistremen t. Ce creden tial est
soumis par le v otan t a v ec son bulletin de v ote p our le v alider. Ni le v otan t, ni
l'attaquan t ne p euv en t prouv er ou v érier la v alidité ou l'in v alidité du creden tial
soumis a v ec le bulletin de v ote. Ainsi, l'attaquan t ne p eut pas con trôler le c hoix du
v otan t et reste confus quan t à la v alidité du bulletin de v ote soumis.
Dans la littérature, plusieurs tra v aux de rec herc he se son t in téressés au proto cole
de Civitas et plusieurs améliorations on t été prop osées. Dans [AFT10, SKHS11], les
auteurs prop osen t une solution p our réduire la complexité de la phase de dép ouille-
men t de Civitas de quadratique à linéaire. Dans [NV12, NFVK13], les auteurs on t
prop osé une implémen tation de Civitas en se basan t sur l'utilisation des cartes à
puce. Cep endan t, leur solution est basée sur une phase d'enregistremen t partielle-
men t à distance. P our s'inscrire, un v otan t doit tout d'ab ord con tacter en p ersonne
une autorité d'enregistremen t de conance. Ensuite, il p oursuit le pro cessus d'en-
registremen t à distance a v ec d'autres autorités d'enregistremen t. Ceci se con tredit
a v ec l'ob jectif de dénir un proto cole de v ote électronique en tièremen t en ligne.
Dans [SNCV11], Shirazi et al. on t trouv é une attaque au cours de la phase d'en-
registremen t de Civitas. Cette faille de sécurité est due au pro cessus de gestion
des creden tials dans Civitas. P ar conséquen t, Shirazi et al. prop osen t deux v ersions
mo diées a v ec l'in ten tion de remédier à ce problème. Cep endan t, comme nous le
mon trerons dans ce c hapitre, leurs solutions ne p euv en t pas être utilisées dans des
situations pratiques et/ou n'assuren t pas la propriété de la résistance à la co ercition
dans certains cas.
Dans ce c hapitre, nous examinons les attaques trouv ées dans la phase d'enre-
gistremen t de Civitas et nous prop osons un nouv eau proto cole d'enregistremen t à
distance. Nous mon trons que notre proto cole d'enregistremen t est sécurisé con tre les
attaques trouv ées dans Civitas [SNCV11]. Nous présen tons égalemen t un nouv eau
proto cole de v ote électronique en ligne basé sur Civitas. L'idée de base de notre
proto cole est de séparer les données d'enregistremen t des données du v ote. En eet,
nous utilisons deux t yp es de tableaux d'ac hage. Le premier est nommé T ableau
d'Ac hage des Creden tials (T A C) et est utilisé p our l'enregistremen t et l'authen-
tication des v otan ts. Le second est app elé T ableau d'Ac hage des Bulletins de
v ote (T AB), et est utilisé p our la soumission des bulletins de v ote. Les autorités de
dép ouillemen t se c hargen t de fusionner les données de T AB et T A C p our iden tier
et comptabiliser les v otes v alides.
Notre proto cole satisfait les exigences de sécurité du pro cessus de v ote, en par-
104

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
ticulier la v ériabilité et la résistance à la co ercition. De plus, notre proto cole se
caractérise par le fait que les v otan ts p euv en t soumettre des bulletins de v ote v a-
lides malgré la présence d'un attaquan t qui les oblige à c hoisir un v ote particulier.
Ce c hapitre est organisé comme suit : tout d'ab ord, le proto cole CIVIT AS est
présen té. Ensuite, les attaques trouv ées duran t la phase d'enregistremen t de Civitas
son t détaillées. Nous présen tons par la suite notre proto cole de v ote électronique.
Enn, nous étudions la sécurité de notre proto cole.
5.2 Le proto cole de Civitas
Dans cette section, nous présen tons les diéren tes phases du proto cole de Civitas
[CCM08]. Ce proto cole met en jeu plusieurs participan ts, à sa v oir : le sup erviseur SA ,
un ensem ble de N RA autorités d'enregistremen t RA 1;RA 2;:::;RA N RA , un ensem ble
deN T A autorités de dép ouillemen t TA 1;TA 2;:::;TA N T A et un ensem ble de M
v otan tsV1;V2;:::;VM . Un tableau d'ac hage public est utilisé par ces participan ts
p our publier toutes les informations nécessaires tout au long du pro cessus de v ote.
Initialisation. En premier lieu, SA démarre l'élection en publian t sur le tableau
d'ac hage un message con tenan t les paramètres (p;q;g ) liés au cryptosystème d'El-
Gamal oùp etq son t deux grands nom bres premiers, tels que qj(p1) etg un
générateur d'ordre premier q du sous-group e de Z
p . Le proto cole de Civitas utilise
le cryptosystème à seuil d'ElGamal a v ec la clé secrète préétablie notée sk partagée
conjoin temen t en tre les autorités de dép ouillemen t. La clé publique relativ e à cette
clé secrète est notée pk=gsk. Dans ce qui suit, le cryptage d'un message m a v ec le
cryptosystème d' ELGamal en utilisan t la clé publique pk et une v aleur aléatoire r
est noté comme suit :
EncG(m;pk;r ) = (Xm;Ym) = (gr;m:pkr)
En second lieu, SA publie sur le tableau d'ac hage la liste des v otan ts légitimes
a v ec leurs clés publiques. Notons que c haque v otan t p ossède deux clés : une clé
d'enregistremen t et une clé de désignation. La clé d'enregistremen t du v otan t est
utilisée par les autorités d'enregistremen t p our authen tier les v otan ts p endan t la
phase d'enregistremen t. La clé de désignation est utilisée par le v otan t p our générer
un faux creden tial s'il est sous la menace d'un attaquan t p endan t la phase de v ote.
Ensuite, p our c haque v otan t, les autorités d'enregistremen t génèren t conjoin te-
men t un creden tial noté Cj utilisé p our prouv er la légitimité des v otan ts. P our ceci,
c haqueRAi c hoisit aléatoiremen t une part secrète du creden tial notée ci;j p our le
v otan tVj . Le creden tial Cj asso cié àVj est calculé à partir du pro duit des parts ci;j .
De plus, une part publique notée Si;j est asso ciée à c haque part priv ée ci;j et est
105

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
publiée par RAi sur le tableau d'ac hage sous forme cryptée, tel que :
Si;j=EncG(ci;j;pk;"i;j) = (Xi;j;Yi;j) = (g"i;j;ci;jpk"i;j)
, a v ec"i;j c hoisi aléatoiremen t dans Zq .
Une fois que toutes les autorités d'enregistremen t on t publié les v aleurs Si;j , le
creden tial public Sj asso cié au creden tial priv é Cj p eut être calculé à partir du
pro duit des v aleurs publiques Si;j , tel que :
Sj=N RAY
i=1Si;j=EncG(N RAY
i=1ci;j;pk;N RAX
i=1"i;j) = (N RAY
i=1g"i;j;N RAY
i=1ci;jpk"i;j)
Enregistremen t. Au cours de cette phase, c haque v otan t Vj con tacte les autorités
d'enregistremen t p our obtenir son creden tial. Ici, nous supp osons que les v otan ts et
les autorités d'enregistremen t soien t déjà authen tiés1. Le proto cole d'enregistre-
men t se déroule comme suit :
1.Vj demande à c haque RAi de lui en v o y er la part ci;j de son creden tial priv é
Cj .
2. Chaque RAi calculeS0
i;j= (g"0
i;j;ci;jpk"0
i;j) a v ec"0
i;j2RZq .
3. Chaque RAi en v oie secrètemen t à Vj la part du creden tial ci;j , la part cryptée
du creden tial S0
i;j , la v aleur aléatoire "0
i;j et une preuv e à v éricateur dési-
gné (DVRP )[HS00]. Cette preuv e con v ainc uniquemen t Vj queS0
i;j est un
re-c hiremen t v alide de la part publique du creden tial Si;j .
4.Vj v érie que la v aleur S0
i;j est calculée correctemen t à partir des v aleurs ci;j
et"0
i;j . Il v érie égalemen t la v alidité de la preuv e DVRP .
5. Après l'obten tion de toutes les parts ci;j ,Vj calcule la v aleur de son creden tial
Cj tel que :
Cj=N RAY
i=1ci;j
V ote. P our v oter, c haque v otan t publie sur le tableau d'ac hage un bulletin de
v ote anon yme noté BVj . Le bulletin de v ote BVj comp orte la v aleur du v ote vj et le
creden tialCj sous forme cryptée, tel que :
BVj= (EncG(vj;pk;rvj);EncG(Cj;pk;rCj);Pw;Pk)
1. Chaque autorité d'enregistremen t authen tie les électeurs en utilisan t leurs clés d'enregistre-
men t. Notons ici que nous ne détaillons pas les mécanismes d'iden tication et d'authen tication
utilisés dans le proto cole Civitas.
106

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
, a v ecrCj;rvj2RZq , etPw;Pk son t des preuv es ZKP . La preuv e Pw mon tre que
EncG(vj;pk;rvj) crypte un v ote v alide vj . Elle est basée sur la preuv e qu'un message
c hiré est dans un ensem ble donné de v aleurs dénie par Hirt et Sak o dans [HS00]. La
preuv ePk mon tre que Vj connaît les v aleurs aléatoires rCj etrvj . Elle est basée sur la
tec hnique dénie par Camenisc h et Stadler dans [CS97] et en tra v e un adv ersaire de
soumettre des bulletins de v ote en fonction des v aleurs BVj précédemmen t publiées
par d'autres v otan ts.
Si un v otan t v ote sous la menace d'un attaquan t, il p eut soumettre un faux
creden tialCj et un cryptage in v alide EncG(Cj;pk;rCj) dans son bulletin de v ote
BVj . Le v otan t utilise sa clé de désignation priv ée p our fournir à l'attaquan t une
fausse preuv e DVRP démon tran t la v alidité de son faux creden tial. L'adv ersaire ne
p eut pas v érier la v alidité ou l'in v alidité de Cj . P ar la suite, Vj p eut soumettre un
autre bulletin de v ote BVj a v ec un creden tial v alide p endan t un momen t secret en
l'absence de l'attaquan t.
Dép ouillemen t. La phase de dép ouillemen t comp orte les étap es suiv an tes :
1. P our c haque bulletin de v ote BVj , les autorités de dép ouillemen t v érien t la
v alidité des preuv es Pw andPk . Elles éliminen t les bulletins de v ote a v ec des
preuv es in v alides.
2. Selon la p olitique du v ote utilisée2, les autorités de dép ouillemen t éliminen t
les bulletins de v ote en double, qui on t été soumis a v ec le même creden tial
Cj , en appliquan t le test d'équiv alence en tre c hirés (PET3) sur c haque paire
(EncG(Cj;pk;rCj);EncG(Cj0;pk;rCj0)) p ourj6=j0, des creden tials cryptés et
p ostés sur le tableau d'ac hage [JJ00].
3. La liste des bulletins de v ote soumis BVj et la liste des creden tials publics Sj
son t passées en en trée à un réseau de mélangeurs. P our ce faire, c haque autorité
de dép ouillemen t pro cède au brassage de ces listes au mo y en de p erm utations
secrètes. Chaque autorité de dép ouillemen t fournit égalemen t une preuv e de
la v alidité des p erm utations eectuées.
4. P our éliminer les bulletins de v ote soumis a v ec des creden tials non v alides, les
autorités de dép ouillemen t appliquen t le PET sur toutes les paires (Sj;EncG(Cj;pk;rCj)) .
Si PET retourne vrai, le bulletin de v ote sera pris en considération dans le dé-
compte.
5. Les autorités de dép ouillemen t exécuten t un décryptage distribué sur les bul-
letins de v ote v alides et calculen t le résultat nal de v ote.
2. Si les v otan ts p euv en t v oter plusieurs fois, seul le dernier bulletin de v ote a v ec un creden tial
v alide est compté, les autres bulletins de v ote soumis a v ec le même creden tial son t éliminés. Si les
v otan ts ne p euv en t pas v oter plusieurs fois, tous les bulletins de v ote a v ec le même creden tial son t
éliminés.
3. Rapp elons qu' étan t données les deux messages cryptés EncG(C1) etEncG(C2) , l'application
de PET p ermet de v érier si C1=C2 sans rév éler aucune d'informations sur C1 ouC2
107

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
Notons que si le tableau d'ac hage inclut N B bulletins de v ote, l'application de
PET p endan t l'étap e 2 et 4 de la phase de dép ouillemen t en traine une complexité
de calcul très élev é. En eet, le pro cessus de dép ouillemen t présen te une complexité
quadratique de O(N B2) , qui dép end du nom bre des bulletins de v ote soumis.
5.3 L'insécurité de la phase d'enregistremen t de Ci-
vitas
Dans le proto cole de Civitas, p endan t la phase d'enregistremen t, les auteurs ne
précisen t pas ce qui se passe si un v otan t Vj reçoit une part in v alide de son creden tial
ci;j d'une autorité d'enregistremen t malhonnête RAi . Si le creden tial public Sj est
calculé à partir des creden tials publics Si;j publiés par toutes les autorités d'enregis-
tremen t, une autorité malhonnête p eut emp êc her les v otan ts de v oter simplemen t
en leur en v o y an t des parts in v alides. Ainsi, les v otan ts ne p euv en t pas calculer leurs
creden tials priv és et ne p euv en t pas p oster un bulletin de v ote v alide.
Cette attaque a été décrite par Shirazi et al. dans [SNCV11]. Deux solutions on t
été prop osées par les auteurs dans [SNCV11] p our l'éviter.
Dans la première solution, le v otan t doit c hoisir un sous-ensem ble d'autorités
d'enregistremen t honnêtes a v an t de demander ses parts de creden tials. Ceci est dif-
cile à réaliser dans des situations réelles. D'une part, il est dicile p our le v otan t
de décider dès le début de l'ensem ble des autorités d'enregistremen t honnêtes qu'il
devra con tacter p our a v oir des parts v alides de son creden tial. D'autre part, si une
seule autorité d'enregistremen t sélectionnée est sous l'inuence ou la menace d'un
attaquan t, l'attaque décrite ci-dessus est toujours p ossible.
La deuxième solution prop osée par Shirazi et al. dans [SNCV11] supp ose que
c haque v otan t doit sélectionner un sous-ensem ble aléatoire des autorités d'enregis-
tremen t et les con tacter p our recev oir ses parts de creden tial. La taille de ce sous-
ensem ble doit être sup érieure à la moitié du nom bre total d'autorités d'enregistre-
men t. Ensuite, le v otan t doit con tacter de nouv eau c haque autorité d'enregistremen t
p our indiquer le sous-ensem ble d'autorités honnêtes qui lui a en v o y é des parts de cre-
den tial v alides. Cette solution n'assure pas la résistance à la co ercition si le v otan t
est accompagné d'un attaquan t qui l'oblige à c hoisir un sous-ensem ble sp écique
d'autorités d'enregistremen t. En outre, un attaquan t p eut mo dier la distribution
des creden tials générés s'il connaît à l'a v ance le sous-ensem ble des autorités d'enre-
gistremen t que le v otan t con tactera. Cette attaque sera décrite en détail ci-dessous.
Dans le proto cole de Civitas, les auteurs prétenden t que le proto cole utilisé p our
la gestion des creden tials garan tit une distribution uniforme des creden tials générés.
Cep endan t, dans ce qui suit nous mon trons que le proto cole d'enregistremen t de
Civitas p ermet à une autorité d'enregistremen t malhonnête d'inuencer la distribu-
tion des creden tials générés. Cette attaque est similaire à celle trouv ée par Gennaro
108

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
con tre le proto cole DK G de P edersen [GJKR07].
L'attaque se pro duit lorsqu'une autorité d'enregistremen t malhonnête notée RA 1
v eut mo dier les derniers bits du creden tial public Sj= (Xj;Yj) du v otan tVj . Supp o-
sons queRA 1 v eut c hanger la v aleur de Sj de telle sorte que le dernier bit de Xj etYj
soit0 . L'attaquan t RA 1 attendra jusqu'à ce que toutes les autorités d'enregistremen t
publien t des creden tials publics Si;j . Ensuite, il calcule S
j= (QN RA
i=1Xi;j;QN RA
i=1Yi;j) .
SiS
j se termine par 0, il soumettra correctemen t S1;j àVj . Sinon,RA 1 en v oie une
part de creden tial a v ec une preuv e DVRP in v alide àVj ou tout simplemen t s'abs-
tien t d'en v o y er la part. Il p eut égalemen t copier la v aleur d'une part publiée par
d'autres autorités d'enregistremen t. Comme décrit dans Civitas, ceci stopp e l'exé-
cution du pro cessus d'enregistremen t. Dans tous les cas, RA 1 forcera l'in terruption
du pro cessus d'enregistremen t. Les autorités v on t exécuter de nouv eau le proto cole
d'enregistremen t. À cet eet, RA 1 ou d'autres autorités d'enregistremen t malhon-
nêtes p euv en t forcer l'exécution de ce proto cole plusieurs fois jusqu'à ce qu'elles
obtiennen t la v aleur S
j v oulue (se terminan t par 0 ). Ceci brise l'h yp othèse d'une
distribution uniforme des creden tials générés.
L'attaque décrite ci-dessus s'applique égalemen t à la deuxième solution prop o-
sée par Shirazi et al. [SNCV11]. En supp osan t que le v otan t con tacte RA 1 p our
recev oir sa part de creden tial, et que RA 1 connaît à l'a v ance le sous-ensem ble sé-
lectionné d'autorités d'enregistremen t, RA 1 p eut décider s'il sera ou non dans le
sous-ensem ble des autorités de conance (noté SET ) sélectionné par le v otan t. Se-
lon son ob jectif, RA 1 p eut forcer Sj àS1
j= (Q
i2SETXi;j;Q
i2SETYi;j) ouS2
j=
(Q
i2fSETnRA1gXi;j;Q
fSETnRA1gYi;j) . Il p eut égalemen t co op érer a v ec d'autres auto-
rités d'enregistremen t malhonnêtes p our forcer Sj à a v oir une v aleur sp écique.
5.4 Notre proto cole de v ote électronique en ligne
Dans cette section, nous présen tons le pro cessus complet de notre proto cole de
v ote électronique. Notre proto cole est basé sur une phase d'enregistremen t sécu-
risée con tre les attaques décrites dans la section 5.3. Dans notre proto cole, nous
considérons l'utilisation d'une paire de creden tials p our c haque v otan t. Le premier
creden tial sera utilisé p our l'authen tication du v otan t et le deuxième sera utilisé
p our cac her la v aleur du v ote p endan t la phase de v ote. Nous en visagerons égale-
men t l'utilisation des indexes asso ciés aux v otan ts an de réduire la complexité du
calcul au cours de la phase de dép ouillemen t. Notons que notre proto cole est basé
sur une nouv elle fonction de cryptage des bulletins de v ote qui p ermet aux v otan ts
de soumettre des bulletins de v ote v alides malgré la présence d'un attaquan t qui les
force à v oter d'une certaine manière.
Dans ce qui suit, nous décriv ons d'ab ord le mo dèle de comm unication et les
capacités des attaquan ts. Ensuite, nous présen tons en détail le pro cessus de c haque
109

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
phase de notre proto cole de v ote électronique.
5.4.1 Mo dèle de comm unication
Notre proto cole de v ote électronique met en jeu les participan ts suiv an t : un su-
p erviseur noté SA , un ensem ble de N RA autorités d'enregistremen t RA 1;RA 2;:::;RA N RA ,
un ensem ble de N T A autorités de dép ouillemen t TA 1;TA 2;:::;TA N T A et un en-
sem ble de M v otan tsV1;V2;:::;VM . Nous considérons l'utilisation de deux ta-
bleaux d'ac hage. Le premier est le T ableau d'Ac hage des Creden tials (T A C)
et le deuxième est le T ableau d'Ac hage des Bulletins de v ote (T AB). Au cours de
la phase d'enregistremen t, nous utilisons un canal inobserv able en tre les v otan ts et
les autorités d'enregistremen t. P endan t les phases l'enregistremen t et de v ote, nous
utilisons des canaux anon ymes p our tous les messages publiés par les v otan ts.
5.4.2 Capacités de l'adv ersaire
Nous considérons que notre proto cole est sécurisé con tre un adv ersaire a y an t les
capacités suiv an tes :
– L'adv ersaire p eut corrompre jusqu'à t1 desN RA autorités d'enregistremen t
tel que (t1)N RA=2 . L'adv ersaire p eut égalemen t corrompre jusqu'à t1 des
N T A autorités de dép ouillemen t tel que (t1)N T A=2 . Ainsi, dans les deux cas,
la ma jorité des autorités son t honnêtes.
– P endan t la phase d'enregistremen t, un adv ersaire ne p eut pas sim uler les v o-
tan ts. Cep endan t, les v otan ts p euv en t être accompagnés d'un adv ersaire lorsqu'ils
soumetten t leurs creden tials publics. L'attaquan t p eut forcer les v otan ts à s'abstenir
ou à soumettre des creden tials publics de son c hoix.
– P endan t la phase de v ote, les v otan ts p euv en t être accompagnés d'un adv er-
saire lorsqu'ils v oten t. Il p eut forcer les v otan ts à s'abstenir ou à soumettre un v ote
particulier. Il p eut égalemen t obliger les v otan ts à dév oiler leurs creden tials.
– Nous supp osons qu'un adv ersaire ne p eut pas supprimer ou ra jouter des mes-
sages surTAC etTAB .
– Un adv ersaire ne p eut pas espionner le canal de comm unication en tre le v otan t
et les autorités d'enregistremen t p endan t la phase d'enregistremen t. P endan t les
phases de v ote et d'enregistremen t, nous supp osons l'existence des canaux anon ymes
p our éviter qu'un adv ersaire n'iden tie l'exp éditeur d'un message sur TAC etTAB .
– L'adv ersaire p eut eectuer n'imp orte quel calcul en temps p olynomial.
5.4.3 Notations
Soien tp etq deux grands nom bres premiers, tels que qj(p1) . SoitGq un sous-
group e d'ordre premier q dandZ
p , tel que le calcul du logarithme discret dans ce
110

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
group e est infaisable. Soien t, g eth deux générateurs de Gq .
Dans notre proto cole de v ote électronique, comparé à Civitas, nous remplaçons le
cryptage d'ElGamal pat une v arian te de la fonction de cryptage dénie par Sc ho en-
mak ers dans [Sc h99]. Dans ce qui suit, le cryptage d'un message m a v ec la clé
publiquepk et une v aleur aléatoire r2RZq est notéEnc(m;pk;r ) et inclut la paire
de v aleursAm etBm , tel que :
Enc(m;pk;r ) = (Am;Bm) = (gr;pkm+r)
An de simplier cette notation, nous omettons pk etr dans certains con textes
et nous utilisons simplemen t Enc(m) .
5.4.4 Notre proto cole sécurisé de la phase d'enregistremen t
Dans cette sous-section, nous dénissons un proto cole d'enregistremen t sécurisé
con tre les attaques décrites dans la section 5.3. Dans notre proto cole d'enregistre-
men t, c haque v otan t Vj doit p osséder deux creden tials. Le premier est le creden tial
d'authen tication noté C1j . Il est utilisé par le v otan t p our prouv er sa légitimité.
La seconde est le creden tial du v ote noté C2j . Il est utilisé dans le cryptage du v ote
an de cac her la v aleur du v ote et d'assurer la résistance à la co ercition.
Dans ce qui suit, nous présen tons d'ab ord la phase d'initialisation mo diée de
notre proto cole. P ar la suite, nous présen tons le proto cole de la phase d'enregistre-
men t. Enn, nous étudions la sécurité de notre proto cole d'enregistremen t.
Initialisation. T out d'ab ord, les autorités d'enregistremen t utilisen t le proto cole
DK G déni dans [NBBR16] p our générer conjoin temen t la paire de clés (sk;pk )
sans a v oir recours à une partie de conance. Ensuite, le sup erviseur SA publie sur
TAC la liste des v otan ts éligibles à v oter V1;V2;:::;VM a v ec leurs clés publiques.
Comme Civitas, nous supp osons que c haque v otan t p ossède une clé d'enregistre-
men t p our s'authen tier p endan t la phase d'enregistremen t et une clé de désigna-
tion p our fournir des faux creden tials. En outre, le sup erviseur SA publie surTAB
une liste cryptée des v aleurs de v otes v alides. Soit L le nom bre total de candi-
dats. La liste (Enc(v1);Enc (v2);:::;Enc (vL)) con tien t les cryptages des v otes v alides
(v1;v2;:::;vL) .
P ar la suite, c haque autorité d'enregistremen t c hoisit aléatoiremen t des parts de
creden tials secrets c1i;j etc2i;j (asso ciées aux creden tials priv ées C1j etC2j ) p our
c haque v otan t Vj et publie sur TAC les v aleursS1i;j etS2i;j tel que :
[S1i;j=Enc(c1i;j;pk;" 1i;j);S2i;j=Enc(c2i;j;pk;" 2i;j)]
, a v ec" 1i;j et" 2i;j c hoisies aléatoiremen t dans Zq .
111

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
Notre proto cole d'enregistremen t. Nous supp osons que les v otan ts et les autori-
tés d'enregistremen t son t déjà authen tiés. Le proto cole d'enregistremen t se déroule
comme suit :
1.Vj con tacte c haque RAi p our recev oir les parts c1i;j etc2i;j de ses creden tials
priv éesC1j etC2j .
2. Chaque RAi en v oie secrètemen t à Vj les partsc1i;j etc2i;j plus deux preuv es
DVRP 1 etDVRP 2 con v ainquan t seulemen t Vj queS1i;j etS2i;j son t v a-
lides.DVRP 1 mon tre que S1i;j= (g" 1i;j;pkc1i;j+" 1i;j) est le rec hiremen t de
(g0;pkc1i;j) . Ici, nous supp osons que (g0;pkc1i;j) est la v aleur initiale de la part
cryptée et que (g" 1i;j;pkc1i;j+" 1i;j) est la part rec hirée calculée par RAi4. Ainsi,
DVRP 1 prouv e que (g" 1i;j=g0) et(pkc1i;j+" 1i;j=pkc1i;j) on t le même logarithme
discret resp ectiv emen t dans les bases g etpk . De la même manière, DVRP 2
con v ainc seulemen t Vj queS2i;j est v alide.
3.Vj v érie les preuv es DVRP 1 etDVRP 2 . Nous dénissons l'ensem ble QUAL
des autorités d'enregistremen t honnêtes qui on t en v o y é des parts et des preuv es
v alides.Vj c hoisit l'ensem ble QUAL tel quejQUALjt et calculeEnc(QUAL ) .
4.Vj calcule ses creden tials secrets C1j etC2j à partir des parts v alides reçues
c1i;j etc2i;j deQUAL . Notons que C1j etC2j son t calculés comme étan t la
somme des parts secrètes c1i;j etc2i;j tel queC1j=P
i2 QUALc1i;j etC2j=P
i2 QUALc2i;j . Ensuite,Vj calcule ses creden tials publics S1j=Enc(C1j) et
S2j=Enc(C2j) .
5.Vj calcule son index crypté Enc(indexj) . Nous supp osons qu'un index sp éci-
que notéindexj est aecté à c haque v otan t. Cet indexe p eut être considéré
comme le rang du v otan t dans TAC . Il sera utilisé par les autorités de dé-
p ouillemen t p endan t la phase de dép ouillemen t p our trouv er facilemen t sur
TAC les v aleursS1i;j etS2i;j asso ciées à Vj .
6.Vj fournit une preuv e notée ZKPVj prouv an t la connaissance des v aleurs aléa-
toires utilisées p our calculer S1j ,S2j ,Enc(QUAL ) , etEnc(indexj) . Cette
preuv e est basée sur la tec hnique de [CS97] et p ermet d'emp êc her un adv er-
saire de publier des messages en fonction de v aleurs soumises précédemmen t.
7. Enn,Vj publie sur TAC , un message anon yme noté DVj qui con tien t les
élémen ts suiv an ts :
DVj= [S1j;S2j;Enc (QUAL );Enc (indexj);ZKPVj]
An d'assurer la résistance à la co ercition p endan t la phase d'enregistremen t,
nous autorisons les v otan ts à soumettre DVj plus d'une fois. Seule une v aleur v alide
4. Comparé à Civitas, RAi ne calcule pas une part c hirée supplémen taire S10
i;j etVj n'a pas
à v érier ultérieuremen t la v alidité de S10
i;j .
112

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
DVj p eut être utilisée par c haque v otan t p our v oter. Si un v otan t malhonnête publie
plusieursDVj v alides et les utilise p our v oter plusieurs fois, les autorités de dép ouille-
men t le détecte et éliminen t tous les bulletins de v ote du v otan t malhonnête.
Sécurité con tre les attaques et la résistance à la co ercition. An de con trer
l'attaque décrite par Shirazi et al. (v oir section 5.3), dans notre proto cole d'enre-
gistremen t nous supp osons que c haque v otan t doit calculer ses creden tials à partir
des parts v alides reçues d'un sous-ensem ble QUAL5comp osé des autorités d'enre-
gistremen t honnêtes. La v aleur de QUAL et les creden tials publics S1j etS2j son t
calculés par le v otan t et publiés sur TAC sous forme cryptés dans DVj . En d'autres
termes,S1j etS2j ne son t pas calculés à partir de toutes les parts publique S1i;j
etS2i;j publiées par toutes les autorités d'enregistremen t. Une autorité malhonnête
ne p eut emp êc her les v otan ts de v oter si elle leurs en v oie des parts des creden tials
in v alides.
P our éviter l'attaque décrite à la n de la section 5.3, dans notre proto cole
d'enregistremen t, les creden tials publics S1j etS2j ne son t pas calculés à partir
des v aleurs publiques S1i;j etS2i;j fournies par les autorités d'enregistremen t, mais
plutôt à partir d'un sous-ensem ble de parts v alides que le v otan t a reçues tel que
S1j=Enc(P
i2 QUALc1i;j) etS2j=Enc(P
i2 QUALc2i;j) . Une autorité malhon-
nête ne p eut pas forcer la réexécution du pro cessus d'enregistremen t et n'a aucune
information quan t aux v aleurs c1i;j etc2i;j . Ainsi, elle ne p eut pas inuencer la
distribution des creden tials générés en fonction des v aleurs S1i;j etS2i;j qu'elle pu-
bliera. En raisonnan t de la même manière, un ensem ble d'autorités d'enregistremen t
malhonnêtes ne p eut pas égalemen t mo dier la distribution des creden tials générés.
P our assurer la résistance à la co ercition p endan t la phase d'enregistremen t, nous
utilisons la même idée prop osée par Civitas duran t la phase de v ote. L'idée est basée
sur le fait que les v otan ts p euv en t rév éler de faux creden tials a v ec des preuv es de leurs
v alidités à un attaquan t. Notons que c haque v otan t p eut publier à plusieurs reprises
DVj . L'attaquan t p eut obliger le v otan t à s'enregistrer correctemen t ou non en sa
présence. Dans les deux cas, le v otan t utilisera de faux creden tials6. L'attaquan t p eut
aussi forcer le v otan t à s'abstenir de s'enregistrer. Dans tous les cas, le v otan t ob éit
aux instructions de l'attaquan t en sa présence, et en v oie un autre v aleur DVj v alide
lorsqu'il est seul. Nous supp osons qu'il y a un momen t secret duran t lequel un v otan t
n'est pas accompagné par l'attaquan t. En eet, con trairemen t à la phase de v ote, la
phase d'enregistremen t p eut s'étaler sur plusieurs semaines ou plusieurs mois. Ainsi,
c haque v otan t p eut trouv er un momen t secret p our s'enregistrer correctemen t.
5. Notons que le v otan t est le seul qui p eut déterminer le sous-ensem ble QUAL . Ceci est du
à l'utilisation de la preuv e DV RP qui con v ainc uniquemen t le v otan t de la v alidité des parts des
creden tials.
6. Dans le premier cas, l'attaquan t le sait et v eut emp êc her le v otan t de s'enregistrer. Dans le
second cas, le v otan t p eut utiliser de faux creden tial sans que l'attaquan t s'en rende compte.
113

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
5.4.5 Phase de v ote
P our v oter, c haque v otan t Vj c hoisit un v ote v alide vj et publie sur TAB un
message anon yme qui con tien t son bulletin de v ote BVj tel que :
BVj= [Enc(vjC2j);gS1j;Enc (^indexj);^ZKPVj]
, a v ecgS1j est le cryptage de C1j etEnc(^indexj)7est est le cryptage de indexj . La
preuv e^ZKPVj est basée sur la tec hnique de [CS97] et prouv e la connaissance des
v aleurs aléatoires utilisées p our c hirer Enc(vjC2j) ,gS1j etEnc(^indexj)
Résistance à la co ercition. L'attaquan t p eut obliger le v otan t à soumettre un
bulletin de v ote BVj v alide ou in v alide. Si l'attaquan t oblige le v otan t à soumettre un
v ote particulier, le v otan t le fait a v ec un creden tial de v ote in v alide et un creden tial
d'authen tication v alide8. Soitvc le v ote de l'attaquan t. Le v otan t Vj c hoisit une
part de son creden tial de v ote c2k;j et prétend que c2fake
k;j=c2k;j+vcvj .Vj en v oie
un bulletin de v ote crypté v alide qui con tien t son v ote réel vj sous forme cryptée,
tel que :
Enc(vjC2j;pk;j) = (gj;pkvc+jc2fake
k;jP
i2f QUALnkgc2i;j) = (gj;pkvj+jP
i2 QUALc2i;j)
, a v ecj c hoisie aléatoiremen t dans Zq . Ainsi,Vj p eut soumettre un bulletin de v ote
v alideBVj malgré la présence de l'attaquan t.
Sinon, si l'attaquan t force le v otan t à v endre ou à rév éler ses creden tials, le v otan t
le fait a v ec des v aleurs de creden tials in v alides. L'attaquan t p eut égalemen t obliger
le v otan t à s'abstenir de v oter. Dans ces cas, le v otan t ob éit à l'attaquan t en sa
présence, et v ote quand il est seul.
5.4.6 Phase de dép ouillemen t
P our la dénition de cette phase, nous nous sommes inspirés de la v ersion mo di-
ée du proto cole Civitas présen tée dans [SKHS11]. Cette v ersion réduit la complexité
du pro cessus de dép ouillemen t de quadratique à linéaire. En outre, cette solution
s'adapte parfaitemen t à notre proto cole et nous p ermet de v érier la v alidité des
v aleursDVj etBVj . Notre proto cole de dép ouillemen t se déroule comme suit :
A. Concernan t TAB
7.Enc (^index j) sera utilisé p our éliminer les bulletins a v ec des v otes ou des creden tials d'au-
then tication in v alides. L'utilisation de cet indexe p endan t la phase de dép ouillemen t réduit la
complexité pro cessus de dép ouillemen t quadratique à linéaire en fonction du nom bre des bulletins
de v ote soumis [SKHS11].
8. P our emp êc her un attaquan t de réutiliser le creden tial d'authen tication p our soumettre un
autre v ote, nous supp osons que le premier bulletin de v ote v alide publié dans TAB sera comptabilisé
considéré. Les autres seron t éliminés.
114

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
1. Les autorités de dép ouillemen t v érien t la v alidité des preuv es ^ZKPVj
con ten ues dans les bulletins BVj ac hés sur TAB et éliminen t ceux qui
son t in v alides.
2. Les autorités de dép ouillemen t éliminen t les bulletins de v ote BVj en
double, qui on t été soumis a v ec un même creden tial d'authen tication
gS1j9. P our ceci, nous utilisons le sc héma linéaire prop osé par Smith et
W eb er dans [Smi05, W AB07].
3. Ensuite, les autorités de dép ouillemen t génèren t un nom bre aléatoire de
fausses v aleurs BVj p our c haque v otan t [SKHS11]. Ceci emp êc he de dé-
couvrir qui a v oté et qui s'est absten u de le faire lorsque les index seron t
déc hirés. La liste des bulletins de v ote résultan te est transmise en tan t
qu'en trée à un premier réseau de mélangeurs à rec hiremen t qui pro duit
en sortie :
(Enc(vjC2j)0;gS1j0;Enc (^indexj)0)
B. Concernan t TAC
1. Les autorités de dép ouillemen t v érien t la v alidité des preuv es ZKPVj
con ten ues dans les v aleurs DVj ac hées sur TAC et éliminen t celles qui
son t in v alides.
2. Ensuite, un nom bre aléatoire de fausses v aleurs de DVj est a jouté par les
autorités de dép ouillemen t sur TAC p our éviter de connaître les v otan ts
qui on t v oté ou qui se son t enregistré (pareil que l'étap e A.3.). La liste
qui en résulte est transmise en tan t qu'en trée à un réseau de mélangeurs
à rec hiremen t qui pro duit en sortie :
(S1j0;S2j0;Enc (QUAL )0;Enc (indexj)0)
C. Concernan t TAC etTAB
1. Les autorités de dép ouillemen t décrypten t conjoin temen t Enc(indexj)0
surTAC etEnc(^indexj)0surTAB . Les creden tials et les bulletins a v ec
des indexes in v alides seron t supprimés. Les autorités décrypten t égale-
men tEnc(QUAL )0et récup èren t p our c haque indexj les v aleurs dS1j=Q
i2 QUALEnc(c1i;j) etdS2j=Q
i2 QUALEnc(c2i;j) à partir de TAB . Rap-
p elons que ces v aleurs son t publiées par les autorités d'enregistremen t
p endan t la phase d'initialisation. Ainsi, les autorités de dép ouillemen t
9. Notons que nous conserv ons uniquemen t le premier bulletin de v ote BVj , les autres bulletins
de v ote en double a v ec les mêmes creden tials d'authen tication son t éliminés.
115

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
créen t la liste des tuples suiv an te :
(Enc(vjC2j)0;gS1j0;S1j0;S2j0;dS1j;dS2j;Enc (indexj)0)
2. Ces tuples son t transmis à un réseau de mélangeurs à rec hiremen t qui
pro duit la liste suiv an te :
(Enc(vjC2j)00;gS1j00;S1j00;S2j00;dS1j0;dS2j0;Enc (indexj)00)
3. P our c haque tuple, les autorités de dép ouillemen t appliquen t le PET sur
(S1j00;dS1j0) , et le PET sur ( S2j00,dS2j0). Ceci élimine les tuples formés à
partir des v aleurs DVj in v alides soumis par les v otan ts p endan t la phase
d'enregistremen t et les tuples formés à partir de faux DVj a joutés p endan t
l'étap e B.2.
4. Ensuite, p our c haque tuple, les autorités de dép ouillemen t appliquen t
PET sur ( gS1j00,S1j00) p our supprimer les tuples formés à partir des bul-
letins de v ote a v ec un creden tial d'authen tication in v alide C1j et des
tuples formés à partir de faux bulletins générés p endan t l'étap e A.3.
5. Les autorités de dép ouillemen t supprimen t tous les tuples restan ts soumis
a v ec le même indexe. P our cela, nous utilisons le sc héma linéaire de Smith
et W eb er [Smi05, W AB07] sur les v aleurs Enc(indexj)00. Notons que dans
cette étap e, s'il existe des tuples a v ec le même indexe, ceci implique qu'un
v otan t malhonnête a publié plusieurs creden tials v alides DVj et les a utilisé
p our émettre plusieurs bulletins de v ote BVj .
6. Ensuite, p our c haque tuple v alide, les autorités de comptage calculen t
Enc(vj) =Enc(vjC2j)00S2j00et appliquen t PET sur Enc(vj) et
c haque élémen t dans la liste des v otes v alides cryptés. Ceci p ermet de
détecter et de supprimer les v otes cryptés a v ec des v aleurs non v alides.
7. Enn, les autorités de dép ouillemen t décrypten t conjoin temen t les bul-
letins v alides et publien t le résultat du v ote nal. Prenons le cas d'un
v ote binaire dans lequel les v otan ts doiv en t rép ondre a v ec 1 (oui) ou 0
(non). Supp osons qu'au moins M v otan ts on t soumis des bulletins de
v ote v alides. Les autorités de dép ouillemen t recueillen t les v otes cryptés
v alidesEnc(vj) = (Avj;Bvj) et utilisen t l'in terp olation de Lagrange p our
calculer la v aleurQM
j=1[Avj]sk. Ensuite, ils calculen t :
R=MY
j=1Bvj=[MY
j=1Avj]sk=pkPM
j=1vj
Notons que calculer la v aleur de v1+v2+:::::vM est p ossible p our une
taille raisonnable de M [CGS97]. P our prouv er la v alidité du résultat nal,
116

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
les autorités de dép ouillemen t prouv en t que R est correct en utilisan t la
preuv e de l'égalité de deux logarithmes discrets [CP92] démon tran t queQM
j=1Avj etQM
j=1Bvj=R on t le même logarithme discret resp ectiv emen t
dans les bases g etpk .
Notons que si TAB inclutN B bulletins de v ote, l'application de PET p endan t
les étap es C.3., C.4., et C.6. n'en trainen t pas une complexité de calcul élev ée. En
fait, siTAC inclutK DVj soumis p our c haque bulletin de v ote BVj surTAB , alors
le nom bre total de tuples formés (a v ec les données fusionnées des TAC etTAB ) est
deKN B . De toute évidence, si K est indép endan t de N B p our tous les bulletins
de v ote, notre pro cessus de dép ouillemen t s'exécute en temps linéaire en O(N B) .
5.5 Analyse de sécurité
Civitas se base sur un ensem ble d'h yp othèses de sécurité p our assurer la abilité
de l'ensem ble du proto cole de v ote. Nous supp osons que notre proto cole rep ose sur les
mêmes h yp othèses de sécurité a v ec quelques mo dications. Dans cette section, nous
ab ordons d'ab ord les h yp othèses de sécurité mo diées. P ar la suite, nous présen tons
les exigences de sécurité les plus imp ortan tes satisfaites par notre proto cole de v ote
électronique.
5.5.1 Hyp othèses de sécurité
Dans le proto cole de Civitas, les auteurs supp osen t que c haque v otan t fait conance
au moins à une seule autorité d'enregistremen t. Nous remplaçons cette h yp othèse
par la nouv elle h yp othèse suiv an te :
Nouv elle h yp othèse de sécurité 1. Chaque v otan t fait conance au moins à t
des autorités d'enregistremen t et le canal de comm unication en tre le v otan t et les
autorités d'enregistremen ts est inobserv able.
Nous a v ons supp osé que la ma jorité des autorités d'enregistremen t son t honnêtes.
Au plus, nous a v ons t1 d'autorités d'enregistremen t malhonnêtes. Dans notre
proto cole d'enregistremen t sécurisé, le v otan t doit sélectionner l'ensem ble QUAL de
sorte que la taille de QUAL soit sup érieure à t . Autremen t, un v otan t malhonnête
p eut co op érer a v ec un sous-ensem ble d'autorités d'enregistremen t malhonnêtes en
rév élan t les v aleurs de ses creden tials priv és.
Dans notre proto cole, nous remplaçons l'utilisation du cryptage d'ElGamal don t
la sécurité est prouv é sous l'h yp othèse décisionnelle de Die-Hellman (DDH), par
l'utilisation de la fonction de cryptage de Sc ho enmak ers [Sc h99]. La sécurité de cette
117

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
fonction de cryptage est basée sur l'h yp othèse calculatoire de Die-Hellman (CDH).
P ar conséquen t, nous a joutons l'h yp othèse suiv an te :
Nouv elle h yp othèse de sécurité 2. Sous l'h yp othèse Die-Hellman Calcula-
toire, il est imp ossible de briser le cryptage des messages. Le cryptage d'un mes-
sagem a v ec la clé publique pk et une v aleur aléatoire r est déni comme suit :
Enc(m;pk;r ) = (Am;Bm) = (gr;pkm+r) . P our une partie malhonnête connaissan t
les v aleurs publiques pk=gsk,Am=grandBm=pkm+r, briser le c hiremen t de m
revien t à calculer pkm(p our une taille raisonnable de m [CGS97]). P our ce faire, la
partie malhonnête doit calculer pkm=Bm=gskrà partir des v aleurs Bm ,pk=gsket
Am=gr. Ceci implique calculer gskrà partir des v aleurs gsketgr. Rapp elons que
l'h yp othèse CDH indique qu'il est imp ossible de calculer gskrà partir des v aleurs
publiquesgskandgr. Ainsi, la partie malhonnête ne p eut pas briser le cryptage des
messages.
5.5.2 Exigences de sécurité
Les proto coles de v ote électronique doiv en t satisfaire les exigences de sécurité liées
au pro cessus de v ote. Nous concen trons notre analyse sur les exigences suiv an tes :
 Secret du v ote. Notre proto cole assure le secret du v ote. T ous les bulletins
son t ten us secrets, et aucune traçabilité en tre le v otan t et son bulletin ne
p eut être établie. En eet, un attaquan t ne p eut pas connaître les v aleurs des
élémen ts c hirés dans BVj etDVj publiés sur TAC etTAB (v oir Nouv elle
h yp othèse de sécurité 5.5.1). De plus, toutes les preuv es utilisées son t des
preuv es ZKP . Ainsi, toute information relativ e aux v otes ne p eut être conn ue
de ces preuv es. P our assurer l'anon ymat, les listes de DVj etBVj son t passées
en en trée à des réseaux de mélangeurs p endan t les étap es A.3., B.2. et C.2.
de la phase de dép ouillemen t (v oir Section 5.4.6). En outre, les autorités de
dép ouillemen t génèren t des fausses v aleurs BVj etDVj p endan t les étap es A.3.
et B.2. de la phase de dép ouillemen t (v oir Section 5.4.6) p our anon ymiser les
bulletins de v ote et les creden tials, et éviter de connaître les v otan ts qui se
son t enregistrés ou v otés suite au décryptage des indexes.
 Résistance à la co ercition. Notre proto cole assure la résistance à la co erci-
tion p endan t les phases d'enregistremen t et de v ote. Au cours des deux phases,
si un v otan t Vj est accompagné d'un attaquan t, il ob éit à ses instructions en
utilisan t des faux creden tials dans les v aleurs de DVj etBVj . L'attaquan t ne
p eut pas v érier la v alidité ou l'in v alidité des creden tials rév élés par le v otan t.
Ensuite, p endan t un momen t priv é, le v otan t Vj p eut soumettre d'autres v a-
leurs v alides DVj etBVj a v ec ses vrai creden tials C1j etC2j . Seules les v aleurs
calculées a v ec des creden tials v alides seron t prises en compte par les autorités
118

CHAPITRE 5. UN NOUVEA U PR OTOCOLE DE V OTE ÉLECTR ONIQUE EN
LIGNE RÉSIST ANT À LA COER CITION
lors de la phase de dép ouillemen t. L'attaquan t ne p eut pas détecter les v aleurs
réelles soumises par le v otan t, car les autorités de dép ouillemen t génèren t de
fausses v aleurs DVj etBVj p our c haque v otan t.
Notons que ni le v otan t, ni l'attaquan t ne p euv en t prouv er ou v érier la v alidité
ou l'in v alidité des creden tials priv és C1j etC2j utilisés p our calculer les v aleurs
deDVj etBVj . En outre, le cryptage du c hoix du v otan t Enc(vjC2j) est
calculé en utilisan t C2j . P ar conséquen t, Vj ne p eut prouv er la v alidité de son
c hoix et ne p eut v endre son v ote.
Ainsi, l'attaquan t ne p eut pas con trôler le c hoix des v otan ts et le v otan t ne
p eut pas v endre son v ote. Dans les deux cas, l'attaquan t sera confus quan t à
la v alidité des v aleurs soumises.
 Vériabilité. Notre proto cole satisfait les deux sous-propriétés de la v éria-
bilité, à sa v oir :
– Vériabilité individuelle. Dans notre proto cole, c haque v otan t p eut v éri-
er que les v aleurs qu'il a soumis DVj etBVj on t été correctemen t enregistrées
en consultan t tout simplemen t TAC etTAB .
– Vériabilité univ erselle. : Dans notre proto cole, nous supp osons que les
autorités de dép ouillemen t utilisen t des réseaux de mélangeurs publiquemen t
v ériables. Ainsi, c haque autorité de dép ouillemen t doit fournir des preuv es
publiques attestan t la v alidité du tra v ail qu'elle a eectué duran t le pro cessus
de dép ouillemen t. Chaque v otan t (ou toute autre partie) p eut v érier la v ali-
dité du résultat nal en v érian t les preuv es de v alidité des listes résultan tes
obten ues à partir des réseaux de mélangeurs utilisés à c haque étap e.
5.6 Conclusion
Dans ce c hapitre, nous a v ons mon tré que la phase d'enregistremen t de Civitas
n'est pas sécurisée et est sujette à certaines attaques. À cet eet, nous a v ons prop osé
un proto cole de v ote électronique inco ercible à distance basé sur un nouv eau proto-
cole d'enregistremen t qui est sécurisé con tre les attaques décrites. Notre proto cole
d'enregistremen t assure une distribution uniforme des creden tials générés. En outre,
par rapp ort à Civitas, nous a v ons réduit la complexité de la phase de dép ouillemen t
de quadratique à linéaire. Notre proto cole de v ote électronique devien t alors plus
sécurisé et nécessite moins de coûts de calcul que le proto cole de Civitas.
De plus, le proto cole prop osé rep ose sur une nouv elle fonction de cryptage des
bulletins de v ote qui emp êc he d'une part les v otan ts de prouv er la v alidité de leurs
v otes c hirés, et leur p ermet d'autre part de v oter même s'ils son t sous la menace
d'un attaquan t.
Dans nos futures rec herc hes, nous a v ons l'in ten tion de prop oser des solutions p our
mettre en ÷uvre notre proto cole de v ote électronique d'un p oin t de vue pratique.
119

Annexe A
Annexe
Le T ableau A.1 présen te un récapitulatif des primitiv es cryptographiques utilisées
par les proto coles appartenan t à la Classe 1
T able A.1  Classe 1 : Primitiv es cryptographiques utilisées
Proto cole T ec hnique de
partage de secretCryptage
du v oteChire-
men t
homomor-
phiqueRec hire-
men tRéseaux
de mélan-
geursZKP Creden tial
anon yme
Cramer et al. (1997) P edersen DK G ElGamal X X X X X
Damgard and Jurik
(2000)(k,n) Shamir SS P aillier X X X X X
Lee and Kim (2000) P edersen DK G ElGamal X X X X X
Hirt and Sak o (2000) P edersen DK G ElGamal X X X X X
F ouque et al. (2001) (k,n) Shamir SS P aillier X X X X X
A cquisti (2004) (k,n) Shamir SS P aillier X X X X X
Civitas/JCJ (2008) Non sp écié ElGamal X X X X X
P ork o di et al. (2011) (k,n) Shamir SS ElGamal X X X X X
Philip et al. (2011) P edersen DK G ElGamal X X X X X
Chondros et al. (2015) P edersen VSS V ote par
co deX X X X X
BeleniosRF (2016) Non sp écié ElGamal X X X X X
X : Primitiv e cryptographique utilisée, X : Primitiv e cryptographique non utilisée
Le T ableau A.2 présen te un récapitulatif des primitiv es cryptographiques utilisées
par les proto coles appartenan t à la Classe 2.
T able A.2  Classe 2 : Primitiv es cryptographiques utilisées
Proto cole T ec hnique de
partage de secretChire-
men t
homomor-
phiqueRec hire-
men tRéseaux
de mélan-
geursZKP Creden tial
anon yme
Cramer et al. (1996) P edersen VSS X X X X X
Iftene (2007) SS based on CR T X X X X X
Spiridoncia et al.
(2010)(k,n) Shamir SS X X X X X
Otsku and Imai (2010) PVSS based on
OPEX X X X X
Mukhopadh y a y (2014) (n,n) SS X X X X X
Nair et al. (2015) (k,n) Shamir SS X X X X X
X : Primitiv e cryptographique utilisée, X : Primitiv e cryptographique non utilisée
120

ANNEXE A. ANNEXE
T able A.3  Classe 3 : Primitiv es cryptographiques utilisées
Proto cole T ec hnique de
partage de secretCryptage du
v oteChire-
men t
homomor-
phiqueRec hire-
men tRéseaux
de mélan-
geursZKP Creden tial
anon yme
Sc ho enmak ers
(1999)Sc ho enmak ers
PVSSF onction de
cryptage de
Sc henmak ersX X X X X
Kia yias and
Y ung (2002)(m,m) SS F onction de
cryptage de
Kia yias and
Y ungX X X X X
Zou et al. (2014) (m,m) SS STPM1X X X X X
X : Primitiv e cryptographique utilisée, X : Primitiv e cryptographique non utilisée
1STPM : Secure T w o-part y Multiplication
121

Bibliographie
[AA11] T aha Kh Ahmed and Mohamed Ab orizk a. Secure biometric e-v oting
sc heme. In Intel ligent Computing and Information Scienc e , pages 380
388. Springer, 2011.
[AB83] Charles Asm uth and John Blo om. A mo dular approac h to k ey safe-
guarding. IEEE tr ansactions on information the ory , 29(2) :208210,
1983.
[AB11] A dem Alpaslan Altun and Metin Bilgin. W eb based secure e-v oting
system with ngerprin t authen tication. Scientic R ese ar ch and Essays ,
6(12) :24942500, 2011.
[ABG09] Alessandro Aldini, Gilles Barthe, and Rob erto Gorrieri. F oundations of
Se curity A nalysis and Design V : F OSAD 2008/2009 T utorial L e ctur es ,
v olume 5705. Springer, 2009.
[A cq04] Alessandro A cquisti. Receipt-free homomorphic elections and write-in
ballots. IA CR Cryptolo gy ePrint A r chive , 2004 :105, 2004.
[A di08] Ben A dida. Helios : W eb-based op en-audit v oting. In USENIX se curity
symp osium , v olume 17, pages 335348, 2008.
[ADMP+09] Ben A dida, Olivier De Marnee, Olivier P ereira, Jean-Jacques Quis-
quater, et al. Electing a univ ersit y presiden t using op en-audit v oting :
Analysis of real-w orld use of helios. EVT/W OTE , 9 :1010, 2009.
[AFT10] Rob erto Araujo, Sébastien F oulle, and Jacques T raoré. A practical
and secure co ercion-resistan t sc heme for in ternet v oting. In T owar ds
T rustworthy Ele ctions , pages 330342. Springer, 2010.
[AI03] Masa yuki Ab e and Hideki Imai. Fla ws in some robust optimistic mix-
nets. In A ustr alasian Confer enc e on Information Se curity and Privacy ,
pages 3950. Springer, 2003.
[AKR12] Ben Shil Assia, Blib ec h Kaouther, and Robbana Riadh. Un nouv eau
sc héma de partage de secrets publiquemen t v ériable. In Pr o c e e dings
of the 7th Confer enc e on Network and Information Systems Se curity
(SAR-SSI) , 2012.
122

BIBLIOGRAPHIE
[A T13] Rob erto Araújo and Jacques T raoré. A practical co ercion resistan t
v oting sc heme revisited. In International Confer enc e on E-V oting and
Identity , pages 193209. Springer, 2013.
[BdV16] W outer Bokslag and Manon de V ries. Ev aluating e-v oting : theory and
practice. arXiv pr eprint arXiv :1602.02509 , 2016.
[BD VDG13] Johannes Buc hmann, Denise Demirel, and Jero en V an De Graaf. T o-
w ards a publicly-v eriable mix-net pro viding ev erlasting priv acy . In
International Confer enc e on Financial Crypto gr aphy and Data Se cu-
rity , pages 197204. Springer, 2013.
[Ben87] Josh Daniel Cohen Benaloh. V eriable secret-ballot elections. 1987.
[BFP+01] Olivier Baudron, Pierre-Alain F ouque, Da vid P oin tc hev al, Jacques
Stern, and Guillaume P oupard. Practical m ulti-candidate election sys-
tem. In Pr o c e e dings of the twentieth annual A CM symp osium on Prin-
ciples of distribute d c omputing , pages 274283. A CM, 2001.
[Bla79] George Rob ert Blakley . Safeguarding cryptographic k eys. Pr o c. of the
National Computer Confer enc e1979 , 48 :313317, 1979.
[BNO V13] Jurlind Budurushi, Stephan Neumann, Maina M Olem b o, and Mela-
nie V olk amer. Prett y understandable demo cracy-a secure and unders-
tandable in ternet v oting sc heme. In A vailability, R eliability and Se cu-
rity (ARES), 2013 Eighth International Confer enc e on , pages 198207.
IEEE, 2013.
[Bon98] Dan Boneh. The decision die-hellman problem. A lgorithmic numb er
the ory , pages 4863, 1998.
[Bra93] Stefan Brands. Un traceable o-line cash in w allet with observ ers. In
A nnual International Cryptolo gy Confer enc e , pages 302318. Springer,
1993.
[BT94] Josh Benaloh and Dwigh t T uinstra. Receipt-free secret-ballot elections.
In Pr o c e e dings of the twenty-sixth annual A CM symp osium on The ory
of c omputing , pages 544553. A CM, 1994.
[BY86] Josh C Benaloh and Moti Y ung. Distributing the p o w er of a go v ern-
men t to enhance the priv acy of v oters. In Pr o c e e dings of the fth annual
A CM symp osium on Principles of distribute d c omputing , pages 5262.
A CM, 1986.
[CCF G16] Pyrros Chaidos, Véronique Cortier, Georg F uc hsbauer, and Da vid Ga-
lindo. Beleniosrf : A non-in teractiv e receipt-free electronic v oting
sc heme. In Pr o c e e dings of the 2016 A CM SIGSA C Confer enc e on Com-
puter and Communic ations Se curity , pages 16141625. A CM, 2016.
123

BIBLIOGRAPHIE
[CCM08] Mic hael Clarkson, Stephen Chong, and Andrew My ers. Civitas : A
secure remote v oting system. In Dagstuhl Seminar Pr o c e e dings . Sc hloss
Dagstuhl-Leibniz-Zen trum für Informatik, 2008.
[CDS94] Ronald Cramer, Iv an Damgård, and Berry Sc ho enmak ers. Pro ofs of
partial kno wledge and simplied design of witness hiding proto cols. In
A dvanc es in Cryptolo gy CR YPTO'94 , pages 174187. Springer, 1994.
[CF85] Josh D Cohen and Mic hael J Fisc her. A r obust and veriable cryp-
to gr aphic al ly se cur e ele ction scheme . Y ale Univ ersit y . Departmen t of
Computer Science, 1985.
[CFSY96] Ronald Cramer, Matthew F ranklin, Berry Sc ho enmak ers, and Moti
Y ung. Multi-authorit y secret-ballot elections with linear w ork. In In-
ternational Confer enc e on the The ory and Applic ations of Crypto gr a-
phic T e chniques , pages 7283. Springer, 1996.
[CGJ+99] Ran Canetti, Rosario Gennaro, Stanisla w Jarec ki, Hugo Kra w czyk, and
T al Rabin. A daptiv e securit y for threshold cryptosystems. In A dvanc es
in Cryptolo gy CR YPTO'99 , pages 98116. Springer, 1999.
[CGS97] Ronald Cramer, Rosario Gennaro, and Berry Sc ho enmak ers. A secure
and optimally ecien t m ulti-authorit y election sc heme. T r ansactions
on Emer ging T ele c ommunic ations T e chnolo gies , 8(5) :481490, 1997.
[Cha81] Da vid L Chaum. Un traceable electronic mail, return addresses, and
digital pseudon yms. Communic ations of the A CM , 24(2) :8490, 1981.
[Cha83] Da vid Chaum. Blind signatures for un traceable pa ymen ts. In A dvanc es
in cryptolo gy , pages 199203. Springer, 1983.
[Cha01] Da vid Chaum. Surev ote : tec hnical o v erview. In Pr o c e e dings of the
workshop on trustworthy ele ctions (W OTE'01) , 2001.
[CK96] P ARK Cho onsik and Kaoru Kurosa w a. New elgamal t yp e threshold
digital signature sc heme. IEICE tr ansactions on fundamentals of ele c-
tr onics, c ommunic ations and c omputer scienc es , 79(1) :8693, 1996.
[CM93] Man uel Cerecedo and T sutom u Matsumoto. Ecien t and secure m ul-
tipart y generation of digital signatures based on discrete logarithms.
IEICE tr ansactions on fundamentals of ele ctr onics, c ommunic ations
and c omputer scienc es , 76(4) :532545, 1993.
[CMFP+10] Benoît Chev allier-Mames, Pierre-Alain F ouque, Da vid P oin tc hev al, Ju-
lien Stern, and Jacques T raoré. On some incompatible prop erties of
v oting sc hemes. In T owar ds T rustworthy Ele ctions , pages 191199.
Springer, 2010.
[Com10] Estonian National Electoral Committee. E-v oting system general
o v erview. http://www.vvk.ee/public/dok/General_Description_
E- Voting_2010.pdf , 2010.
124

BIBLIOGRAPHIE
[Com15] Estonian In ternet V oting Committee. Statistics ab out in ternet v o-
ting in estonia. http://www.vvk.ee/voting- methods- in- estonia/
engindex/statistics , 2015.
[CP92] Da vid Chaum and T orb en Pryds P edersen. W allet databases with ob-
serv ers. In A dvanc es in Cryptolo gy CR YPTO'92 , pages 89105. Sprin-
ger, 1992.
[CS97] Jan Camenisc h and Markus Stadler. Ecien t group signature sc hemes
for large groups. A dvanc es in Cryptolo gy-CR YPTO'97 , pages 410424,
1997.
[CZZ+15] Nik os Chondros, Bingsheng Zhang, Thomas Zac harias, P anos Diaman-
top oulos, Stathis Maneas, Christos P atsonakis, Alex Delis, Aggelos
Kia yias, and Mema Roussop oulos. D-demos : A distributed, end-to-end
v eriable, in ternet v oting system. arXiv pr eprint arXiv :1507.06812 ,
2015.
[Dam01] JurikM DamgardI. A generalisation, asimplicationand someap-
plicationsofpaillier ! sprobabilisticpublic-k eysystem. Pr o c e e ding-
softhe4thInternationalW orkshop onPr actic e andThe oryinPublicKeyCryptosystems ,
2001.
[ElG85] T aher ElGamal. A public k ey cryptosystem and a signature sc heme
based on discrete logarithms. IEEE tr ansactions on information the ory ,
31(4) :469472, 1985.
[FDL07] Laure F ouard, Mathilde Duclos, and P ascal Lafourcade. Surv ey on
electronic v oting sc hemes. Survey on Ele ctr onic V oting Schemes , 2007.
[F el87] P aul F eldman. A practical sc heme for non-in teractiv e v eriable secret
sharing. In Pr o c e e dings of the 28th A nnual Symp osium on F oundations
of Computer Scienc e , SF CS '87, pages 427438, W ashington, DC, USA,
1987. IEEE Computer So ciet y .
[F OO92] A tsushi F ujiok a, T atsuaki Ok amoto, and Kazuo Oh ta. A practical se-
cret v oting sc heme for large scale elections. In International W orkshop
on the The ory and Applic ation of Crypto gr aphic T e chniques , pages 244
251. Springer, 1992.
[F ou13] Ap ostolos P F ournaris. A distributed approac h of a threshold
certicate-based encryption sc heme with no trusted en tities. Infor-
mation Se curity Journal : A Glob al Persp e ctive , 22(3) :126139, 2013.
[FS01] Pierre-Alain F ouque and Jacques Stern. One round threshold discrete-
log k ey generation without priv ate c hannels. In Public Key Crypto gr a-
phy , pages 300316. Springer, 2001.
[GJKR96] Rosario Gennaro, Stanisla w Jarec ki, Hugo Kra w czyk, and T al Rabin.
Robust threshold dss signatures. In Pr o c e e dings of the 15th A nnual
125

BIBLIOGRAPHIE
International Confer enc e on The ory and Applic ation of Crypto gr a-
phic T e chniques , EUR OCR YPT'96, pages 354371, Berlin, Heidelb erg,
1996. Springer-V erlag.
[GJKR99] Rosario Gennaro, Stanisla w Jarec ki, Hugo Kra w czyk, and T al Rabin.
Secure distributed k ey generation for discrete-log based cryptosystems.
In A dvanc es in Cryptolo gy EUR OCR YPT'99 , pages 295310. Springer,
1999.
[GJKR07] Rosario Gennaro, Stanisla w Jarec ki, Hugo Kra w czyk, and T al Rabin.
Secure distributed k ey generation for discrete-log based cryptosystems.
Journal of Cryptolo gy , 20(1) :5183, 2007.
[Gri02] Dimitris A Gritzalis. Principles and requiremen ts for a secure e-v oting
system. Computers & Se curity , 21(6) :539556, 2002.
[Gro10] Jens Groth. A v eriable secret sh ue of homomorphic encryptions.
Journal of Cryptolo gy , 23(4) :546579, 2010.
[GRS99] Oded Goldreic h, Dana Ron, and Madh u Sudan. Chinese remaindering
with errors. In Pr o c e e dings of the thirty-rst annual A CM symp osium
on The ory of c omputing , pages 225234. A CM, 1999.
[Hal16] J Alex Halderman. Practical attac ks on real-w orld e-v oting. In R e al-
W orld Ele ctr onic V oting : Design, A nalysis and Deployment , pages
143170. CR C Press, 2016.
[HJJ+97] Amir Herzb erg, Markus Jak obsson, Stanislla w Jarec ki, Hugo Kra w c-
zyk, and Moti Y ung. Proactiv e public k ey and signature systems. In
Pr o c e e dings of the 4th A CM Confer enc e on Computer and Communi-
c ations Se curity , CCS '97, pages 100110, New Y ork, NY, USA, 1997.
A CM.
[HRS14] Ja vier Herranz, Alexandre Ruiz, and Germán Sáez. Signcryption
sc hemes with threshold unsigncryption, and applications. Designs,
c o des and crypto gr aphy , 70(3) :323345, 2014.
[HS00] Martin Hirt and Kazue Sak o. Ecien t receipt-free v oting based on
homomorphic encryption. In International Confer enc e on the The ory
and Applic ations of Crypto gr aphic T e chniques , pages 539556. Sprin-
ger, 2000.
[Ift06] Sorin Iftene. Secret sharing sc hemes with applications in securit y pro-
to cols. Sci. A nn. Cuza Univ. , 16 :6396, 2006.
[Ift07] Sorin Iftene. General secret sharing based on the c hinese remainder
theorem with applications in e-v oting. Ele ctr onic Notes in The or etic al
Computer Scienc e , 186 :6784, 2007.
126

BIBLIOGRAPHIE
[JCJ05] Ari Juels, Dario Catalano, and Markus Jak obsson. Co ercion-resistan t
electronic elections. In Pr o c e e dings of the 2005 A CM workshop on
Privacy in the ele ctr onic so ciety , pages 6170. A CM, 2005.
[JCJ10] Ari Juels, Dario Catalano, and Markus Jak obsson. Co ercion-resistan t
electronic elections. In T owar ds T rustworthy Ele ctions , pages 3763.
Springer, 2010.
[JJ00] Markus Jak obsson and Ari Juels. Mix and matc h : Secure function
ev aluation via ciphertexts. A dvanc es in Cryptolo gy-ASIA CR YPT 2000 ,
pages 162177, 2000.
[JRF09] Rui Joaquim, Carlos Rib eiro, and P aulo F erreira. V eryv ote : A v oter
v eriable co de v oting system. In International Confer enc e on E-V oting
and Identity , pages 106121. Springer, 2009.
[JRP04] Anil K Jain, Arun Ross, and Salil Prabhak ar. An in tro duction to
biometric recognition. IEEE T r ansactions on cir cuits and systems for
vide o te chnolo gy , 14(1) :420, 2004.
[JSI96] Markus Jak obsson, Kazue Sak o, and Russell Impagliazzo. Designated
v erier pro ofs and their applications. In International Confer enc e on
the The ory and Applic ations of Crypto gr aphic T e chniques , pages 143
154. Springer, 1996.
[K+14] Kaoru Kurosa w a et al. Kurosa w a-desmedt k ey encapsulation mec ha-
nism, revisited. In International Confer enc e on Cryptolo gy in Afric a ,
pages 5168. Springer, 2014.
[KB11] D Ashok Kumar and T Ummal Sariba Begum. A no v el design of
electronic v oting system using ngerprin t. International Journal of
Innovative T e chnolo gy & Cr e ative Engine ering , 1(1) :1219, 2011.
[KK+06] Alexander Klink, Betreut V on Ev angelos Karatsiolis, et al. Crypto-
graphic v oting proto cols a protot yp e design and implemen tation for
univ ersit y elections at tu darmstadt. 2006.
[KY02] Aggelos Kia yias and Moti Y ung. Self-tallying elections and p erfect
ballot secrecy . In International W orkshop on Public Key Crypto gr aphy ,
pages 141158. Springer, 2002.
[KZZ15] Aggelos Kia yias, Thomas Zac harias, and Bingsheng Zhang. End-to-end
v eriable elections in the standard mo del. 2015.
[LC08] Leon tine Lo eb er and Dutc h Electoral Council. E-v oting in the nether-
lands ; from general acceptance to general doubt in t w o y ears. Ele ctr o-
nic voting , 131 :2130, 2008.
[LK02] By oungc heon Lee and K w ang jo Kim. Receipt-free electronic v oting
sc heme with a tamp er-resistan t randomizer. In International Confe-
127

BIBLIOGRAPHIE
r enc e on Information Se curity and Cryptolo gy , pages 389406. Sprin-
ger, 2002.
[MAAS13] Mona FM Mursi, Ghazy MR Assassa, Ahmed Ab delhafez, and Kareem
M Ab o Samra. On the dev elopmen t of electronic v oting : a surv ey .
International Journal of Computer Applic ations , 61(16), 2013.
[Mau94] Ueli M Maurer. T o w ards the equiv alence of breaking the die-hellman
proto col and computing discrete logarithms. In A nnual International
Cryptolo gy Confer enc e , pages 271281. Springer, 1994.
[MGK02] Lilian Mitrou, Dimitris Gritzalis, and Sokratis Katsik as. Revisiting
legal and regulatory requiremen ts for secure e-v oting. In Se curity in
the Information So ciety , pages 469480. Springer, 2002.
[Mig83] Maurice Mignotte. Ho w to share a secret. Crypto gr aphy , pages 371
375, 1983.
[MW99] Ueli M Maurer and Stefan W olf. The relationship b et w een breaking
the diehellman proto col and computing discrete logarithms. SIAM
Journal on Computing , 28(5) :16891721, 1999.
[NBBR16] W afa Neji, Kaouther Blib ec h, and Narjes Ben Ra jeb. Distributed k ey
generation proto col with a new complain t managemen t strategy . Se-
curity and Communic ation Networks , 9(17) :45854595, 2016.
[NBK15] Divy a G Nair, VP Bin u, and G San thosh Kumar. An impro v ed e-
v oting sc heme using secret sharing based secure m ulti-part y computa-
tion. arXiv pr eprint arXiv :1502.07469 , 2015.
[Nef01] C Andrew Ne. A v eriable secret sh ue and its application to e-
v oting. In Pr o c e e dings of the 8th A CM c onfer enc e on Computer and
Communic ations Se curity , pages 116125. A CM, 2001.
[NFVK13] Stephan Neumann, Christian F eier, Melanie V olk amer, and Reto E
K o enig. T o w ards a practical jcj/civitas implemen tation. IA CR Cryp-
tolo gy ePrint A r chive , 2013 :464, 2013.
[NV12] Stephan Neumann and Melanie V olk amer. Civitas and the real w orld :
Problems and solutions from a practical p oin t of view. In A vailability,
R eliability and Se curity (ARES), 2012 Seventh International Confe-
r enc e on , pages 180185. IEEE, 2012.
[OI10] Akira Otsuk a and Hideki Imai. Unconditionally secure electronic v o-
ting. In T owar ds T rustworthy Ele ctions , pages 107123. Springer, 2010.
[OKN+12] M Maina Olem b o, Anna Kahlert, Stephan Neumann, Melanie V ol-
k amer, and Pro jektgrupp e v erfassungsv erträglic he T ec hnikgestaltung.
P artial v eriabilit y in p oly as for the gi elections. In Ele ctr onic V oting ,
pages 95109, 2012.
128

BIBLIOGRAPHIE
[P ai99] P ascal P aillier. Public-k ey cryptosystems based on comp osite degree
residuosit y classes. In International Confer enc e on the The ory and Ap-
plic ations of Crypto gr aphic T e chniques , pages 223238. Springer, 1999.
[P A V11] Chinniah P ork o di, Ramalingam Arum uganathan, and Krishnasam y
Vidy a. Multi-authorit y electronic v oting sc heme based on elliptic
curv es. IJ Network Se curity , 12(2) :8491, 2011.
[P ed91] T orb en Pryds P edersen. A threshold cryptosystem without a trus-
ted part y . In Pr o c e e dings of the 10th A nnual International Confe-
r enc e on The ory and Applic ation of Crypto gr aphic T e chniques , EUR O-
CR YPT'91, pages 522526, Berlin, Heidelb erg, 1991. Springer-V erlag.
[P ed92] T orb en Pryds P edersen. Non-in teractiv e and information-theoretic se-
cure v eriable secret sharing. In Pr o c e e dings of the 11th A nnual Inter-
national Cryptolo gy Confer enc e on A dvanc es in Cryptolo gy , CR YPTO
'91, pages 129140, London, UK, UK, 1992. Springer-V erlag.
[PIK93] Cho onsik P ark, Kazutomo Itoh, and Kaoru Kurosa w a. Ecien t ano-
n ymous c hannel and all/nothing election sc heme. In W orkshop on the
The ory and Applic ation of of Crypto gr aphic T e chniques , pages 248259.
Springer, 1993.
[PNE15] Nasrollah P akniat, Mahnaz Noro ozi, and Ziba Eslami. Distributed
k ey generation proto col with hierarc hical threshold access structure.
Information Se curity, IET , 9(4) :248255, 2015.
[PSO11] A dew ole A Philip, So diy a A desina Simon, and Aro w olo Oluremi. A
receipt-free m ulti-authorit y e-v oting system. International Journal of
Computer Applic ations , 30(6) :1523, 2011.
[QPV02] Mic haël Quisquater, Bart Preneel, and Jo os V andew alle. On the secu-
rit y of the threshold sc heme based on the c hinese remainder theorem.
In International W orkshop on Public Key Crypto gr aphy , pages 199210.
Springer, 2002.
[QT07] Ghassan Z Qadah and Rani T aha. Electronic v oting systems : Require-
men ts, design, and implemen tation. Computer Standar ds & Interfac es ,
29(3) :376386, 2007.
[Sc h99] Berry Sc ho enmak ers. A simple publicly v eriable secret sharing sc heme
and its application to electronic v oting. In A nnual International Cryp-
tolo gy Confer enc e , pages 148164. Springer, 1999.
[SFD+14] Drew Springall, T ra vis Fink enauer, Zakir Durumeric, Jason Kitcat,
Harri Hursti, Margaret MacAlpine, and J Alex Halderman. Securit y
analysis of the estonian in ternet v oting system. In Pr o c e e dings of the
2014 A CM SIGSA C Confer enc e on Computer and Communic ations
Se curity , pages 703715. A CM, 2014.
129

BIBLIOGRAPHIE
[SG98] Victor Shoup and Rosario Gennaro. Securing threshold cryptosys-
tems against c hosen ciphertext attac k. In A dvanc es in Cryptolo gy-
EUR OCR YPT'98 , pages 116. Springer, 1998.
[Sha79] A di Shamir. Ho w to share a secret. Communic ations of the A CM ,
22(11) :612613, 1979.
[SKHS11] Oliv er Sp yc her, Reto K o enig, Rolf Haenni, and Mic hael Sc hläpfer. A
new approac h to w ards co ercion-resistan t remote e-v oting in linear time.
In International Confer enc e on Financial Crypto gr aphy and Data Se-
curity , pages 182189. Springer, 2011.
[Smi05] W arren D Smith. New cryptographic election proto col with b est-kno wn
theoretical prop erties. In Pr o c. of W orkshop on F r ontiers in Ele ctr onic
Ele ctions , 2005.
[SNCV11] F ateme Shirazi, Stephan Neumann, Ines Ciolacu, and Melanie V olk a-
mer. Robust electronic v oting : In tro ducing robustness in civitas. In
R e quir ements Engine ering for Ele ctr onic V oting Systems (REV OTE),
2011 International W orkshop on , pages 4755. IEEE, 2011.
[SP] Alexandru-Mihnea SPIRIDONIC€ and Marius PISLAR U. The assu-
rance of securit y of electronic v oting through the use of secrets sharing
sc hemes and b enaloh electronic v oting sc heme.
[SP06] Krishna Sampigetha y a and Radha P o o v endran. A framew ork and taxo-
nom y for comparison of electronic v oting sc hemes. Computers & Se-
curity , 25(2) :137153, 2006.
[Ste03] Jacques Stern. A dvanc es in Cryptolo gy EUR OCR YPT'99 : Internatio-
nal Confer enc e on the The ory and Applic ation of Crypto gr aphic T e ch-
niques, Pr ague, Cze ch R epublic, May 2-6, 1999, Pr o c e e dings . Springer,
2003.
[Sti05] Douglas R Stinson. Crypto gr aphy : the ory and pr actic e . CR C press,
2005.
[W AB07] Stefan G W eb er, Rob erto Araujo, and Johannes Buc hmann. On
co ercion-resistan t electronic elections with linear w ork. In A vailability,
R eliability and Se curity, 2007. ARES 2007. The Se c ond International
Confer enc e on , pages 908916. IEEE, 2007.
[W CH14] F eng W ang, Chin-Chen Chang, and Lein Harn. Sim ulatable and secure
certicate-based threshold signature without pairings. Se curity and
Communic ation Networks , 7(11) :20942103, 2014.
[YZH+10] Hong Y uan, F utai Zhang, Xin yi Huang, Yi Mu, Willy Susilo, and Lei
Zhang. Certicateless threshold signature sc heme from bilinear maps.
Information Scienc es , 180(23) :47144728, 2010.
130

BIBLIOGRAPHIE
[ZLS+14] Xuk ai Zou, Huian Li, Y an Sui, W ei P eng, and F eng Li. Assurable, trans-
paren t, and m utual restraining e-v oting in v olving m ultiple conicting
parties. In INF OCOM, 2014 Pr o c e e dings IEEE , pages 136144. IEEE,
2014.
131