Wafa Neji V0 Rapport 11 36 [631921]

INTR ODUCTION
étan t résistan ts à la co ercition. Il s'agit du proto cole de Civitas prop osé par Clark-
son et al. en 2008. Nous mon trons que ce proto cole est sujet à des attaques com-
promettan t le pro cessus d'enregistremen t des v otan ts. Nous prop osons à cet eet
un nouv eau proto cole de v ote en ligne basé sur une nouv elle phase d'enregistremen t
sécurisée con tre ces attaques tout en dimin uan t la complexité des calculs. Notre pro-
to cole garan tit la propriété de la résistance à la co ercition et p ermet à un v otan t de
soumettre un bulletin de v ote v alide malgré la présence d'un attaquan t qui l'oblige
à c hoisir un v ote particulier.
Le plan de ce mémoire s'articule autour de cinq c hapitres. Dans le premier c ha-
pitre, nous présen tons l'état de l'art des proto coles de v ote électronique. Dans le
deuxième c hapitre, nous étudions l'app ort de l'utilisation des tec hniques de partage
de secret dans les proto coles de v ote électronique et nous prop osons une classica-
tion à cet eet. Dans le troisième c hapitre, nous exp osons un proto cole DK G basé
sur une nouv elle stratégie de gestion de plain tes. Ce proto cole DK G est utilisé dans
le quatrième c hapitre comme brique de base p our dénir un nouv eau proto cole de
v ote électronique sans-reçu basé sur une nouv elle fonction de cryptage. Dans le der-
nier c hapitre, nous présen tons un nouv eau proto cole de v ote électronique en ligne
résistan t à la co ercition. Et nalemen t, nous clôturons ce mémoire par une conclu-
sion soulignan t les principaux app orts des tra v aux de rec herc he de cette thèse et les
p ersp ectiv es en visageables.
10

Chapitre 1
État de l'art sur les proto coles de
v ote électronique
Sommaire
1.1 In tro duction . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.2 Généralités sur le v ote électronique . . . . . . . . . . . . 12
1.2.1 P articipan ts et mo dèle de comm unication . . . . . . . . . 13
1.2.2 Princip e général du pro cessus de v ote électronique . . . . 14
1.2.3 T yp es des systèmes de v ote électronique . . . . . . . . . . 15
1.3 Exigences de sécurité d'un proto cole de v ote électronique 16
1.4 Primitiv es cryptographiques . . . . . . . . . . . . . . . . . 17
1.4.1 Préliminaires . . . . . . . . . . . . . . . . . . . . . . . . . 18
1.4.2 Cryptosystèmes . . . . . . . . . . . . . . . . . . . . . . . . 20
1.4.3 F onction de hac hage . . . . . . . . . . . . . . . . . . . . . 23
1.4.4 Rec hiremen t . . . . . . . . . . . . . . . . . . . . . . . . . 24
1.4.5 Preuv es à divulgation n ulle de connaissance . . . . . . . . 24
1.4.6 T est d'équiv alence en tre c hirés . . . . . . . . . . . . . . . 26
1.4.7 Creden tial anon yme . . . . . . . . . . . . . . . . . . . . . 27
1.5 T ec hniques sp éciques p our le v ote électronique . . . . . 27
1.5.1 Réseaux de mélangeurs . . . . . . . . . . . . . . . . . . . . 27
1.5.2 Chiremen t homomorphique . . . . . . . . . . . . . . . . 29
1.5.3 Signature en a v eugle . . . . . . . . . . . . . . . . . . . . . 31
1.5.4 P artage de secret . . . . . . . . . . . . . . . . . . . . . . . 32
1.6 Quelques exp ériences pratiques . . . . . . . . . . . . . . . 32
1.6.1 Les mac hines de v ote DRE aux P a ys-Bas . . . . . . . . . 34
1.6.2 Le système de v ote par In ternet en Estonie . . . . . . . . 34
1.7 Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
11

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.1 In tro duction
Le v ote électronique, comme son nom l'indique, est un système électoral auto-
matisé à l'aide des mo y ens électroniques p our assurer le déroulemen t du pro cessus
complet de v ote. L'automatisation de ce pro cessus devrait préserv er le même ni-
v eau de sécurité que les élections traditionnelles. L'un des enjeux ma jeurs du v ote
électronique est d'assurer la sécurité du pro cessus complet du v ote. À cette n,
un ensem ble de tec hniques et de primitiv es cryptographiques son t utilisées an de
garan tir un certain niv eau de sécurité.
Ce premier c hapitre constitue une in tro duction au v ote électronique et aux primi-
tiv es cryptographiques utilisées dans ce domaine. Nous présen tons d'ab ord quelques
généralités sur le v ote électronique. Ensuite nous détaillons les propriétés de sécu-
rité que doiv en t satisfaire les proto coles de v ote électronique. Nous décriv ons par la
suite les principales primitiv es cryptographiques et les tec hniques sp éciques utili-
sées p our ces proto coles. Enn, nous présen tons quelques exp ériences pratiques du
v ote électronique dans diéren ts pa ys.
1.2 Généralités sur le v ote électronique
Comparé au v ote traditionnel, le v ote électronique est plus ecace rapide et
précis, moins coûteux, plus able (diculté de manipulation frauduleuse) et plus
démo cratique (les v otan ts p ourraien t v oter de n'imp orte où). Le v ote électronique
n'est pas destiné uniquemen t au v ote p olitique. Il est de plus en plus utilisé dans
les élections professionnelles (en treprises, banques, m utuelles, etc..), dans les conseils
d'administration, les conseils scien tiques on encore dans les c ham bres de commerce.
Comme le v ote traditionnel, le v ote électronique est un pro cessus qui p ermet de
préciser le c hoix d'une en tité v otan te, le v otan t, en tre plusieurs prop ositions. Cela
p eut aller d'une simple acceptation ou rejet d'une prop osition donnée, à un ou
plusieurs c hoix ordonnés ou non.
Il existe globalemen t deux t yp es de v ote électronique. Le premier t yp e est le v ote
hors ligne. Ce v ote est très similaire au v ote traditionnel car il conserv e les bureaux
de v ote et remplace les urnes et les bulletins de v ote par des mac hines électroniques.
Cette solution p ermet au v otan t d'a v oir la lib erté de v oter de n'imp orte quel bureau
de v ote. Ce t yp e de v ote assure égalemen t une rapidité et une plus grande ecacité
duran t la phase de dép ouillemen t des v otes. Le deuxième t yp e de v ote électronique
est le v ote en ligne. Il p ermet aux v otan ts de v oter à distance (de c hez eux par
exemple), soit par in ternet ou même par SMS. Ce t yp e de v ote à le grand a v an tage
de luter con tre l'absten tion des participan ts, d'économiser les frais de préparation
aux élections et bien évidemmen t d'accélérer le dép ouillemen t des v otes.
Les proto coles de v ote électronique fon t in terv enir diéren tes catégories de partici-
12

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
pan ts qui in téragissen t via un mo dèle de comm unication bien déterminé. Dans cette
section, nous commençons par une brèv e dénition des principaux in terv enan ts dans
le pro cessus d'un proto cole de v ote électronique et nous citons les diéren ts canaux
de comm unication adoptés par un tel proto cole. Nous présen tons par la suite le
princip e général du déroulemen t d'un pro cessus de v ote électronique. Enn, nous
exp osons les diéren ts t yp es des systèmes de v ote électronique existan ts.
1.2.1 P articipan ts et mo dèle de comm unication
Généralemen t, les principaux in terv enan ts dans un pro cessus de v ote électronique
son t les suiv an ts :
V otan t. Une p ersonne est considérée en tan t que v otan t si son iden tité gure
dans la liste électorale des v otan ts éligibles à v oter. Les v otan ts on t le droit de
v oter en expriman t leurs c hoix. Ils p euv en t égalemen t s'abstenir de v oter ou de
particip er au pro cessus du v ote. Dans ce cas, leurs v otes ne seron t pas pris en
considération.
Autorité électorale d'enregistremen t. Elle est c hargée d'autoriser les v otan ts
habilités à s'enregistrer. L'autorité d'enregistremen t détien t la liste électorale des
v otan ts légitimes.
Autorité électorale de dép ouillemen t. Elle est c hargée du dép ouillemen t des
bulletins de v ote. L'autorité de dép ouillemen t se c harge de comptabiliser les v otes
v alides exprimés par les v otan ts et de calculer le résultat nal des élections.
En général, p our éviter que le p ouv oir ne soit déten u par une seule autorité élec-
torale, l'aptitude à enregistrer les v otan ts habilités ou encore à calculer le résultat
nal de v ote est déléguée à plusieurs autorités électorales. A cet eet, la conance
et la puissance de calcul son t distribuées de telle sorte que le pro cessus de v ote
soit assuré par un sous-ensem ble d'autorités électorales honnêtes. Ainsi, les tec h-
niques de partage de secret son t utilisés an de distribuer la conance et d'orir un
mo y en forçan t la coalition d'un certain nom bre d'autorités électorales p our assurer
le b on déroulemen t du pro cessus global de v ote (v oir Chapitre 2). Ces tec hniques
p ermetten t d'atteindre un degré de sécurité plus imp ortan t : un attaquan t devra en
eet corrompre plus d'une autorité électorale p our altérer le pro cessus de v ote.
Les participan ts au pro cessus du v ote électronique in teragissen t à tra v ers des
canaux de comm unication sp éciques p our éc hanger et transmettre des messages
conden tiels. Un proto cole de v ote électronique rep ose habituellemen t sur les com-
p osan ts suiv an ts, à sa v oir :
Les canaux inobserv ables (un tappable c hannel). Un canal inobserv able
(ou inécoutable) est un canal secret à tra v ers lequel une en tité A p eut en v o y er un
message conden tiel à une autre en tité B en toute sécurité. Le message en v o y é
à tra v ers un canal inobserv able ne p eut être accessible par d'autres en tités. De
plus, les en tités A etB son t incapables de prouv er ce qui a été en v o y é ou reçu
13

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
à tra v ers ce canal. Dans le con texte du v ote électronique, on supp ose l'existence
d'un tel canal en tre le v otan t et les autorités électorales.
Les canaux anon ymes (anon ymous c hannels). Comme son nom l'indique,
un canal anon yme p ermet de garan tir l'anon ymat de l'exp éditeur. Le destinataire
à qui le message a été en v o y é est incapable d'iden tier l'iden tité de l'exp éditeur.
Ainsi, il n'est pas p ossible d'établir un lien en tre le message et son exp éditeur.
Dans le con texte du v ote électronique, on supp ose en général que le v otan t soumet
son v ote à tra v ers un canal anon yme. Ceci p ermet de préserv er l'anon ymat du
v otan t : p ersonne ne p ourra établir un lien en tre l'iden tité du v otan t et son
v ote. L'implémen tation de ces canaux p eut être eectuée a v ec des réseaux de
mélangeurs (v oir Section 1.5.1).
Le tableau de v ote (bulletin b oard). Un tableau de v ote est public : il est
accessible par tout le monde en lecture. T outefois, seules les en tités légitimes
disp osen t d'un accès en écriture ; par exemple, seuls les v otan ts éligibles à v oter
auron t le droit de publier leurs bulletins de v ote cryptés sur le tableau de v ote.
Aucune en tité n'a le droit de mo dier ou de supprimer les informations publiées
sur le tableau de v ote.
1.2.2 Princip e général du pro cessus de v ote électronique
Un proto cole de v ote électronique se déroule en diéren tes phases qui comp osen t
le pro cessus complet de v ote. Nous dénissons ces phases comme suit :
Phase1 : Initialisation. Duran t cette phase, une ou plusieurs autorités électo-
rales se c hargen t de générer les paramètres et les données nécessaires à l'op ération
électorale. Ils annoncen t les élections, form ulen t la liste des candidats et les p os-
sibilités de c hoix p our v oter, etc. . . .
Phase2 : Enregistremen t. Duran t cette phase, les v otan ts qui on t le droit de
v oter, s'enregistren t auprès des autorités électorales d'enregistremen t. Ces der-
nières créen t alors la liste de tous les v otan ts habilités qui se son t enregistrés et
la publien t.
Phase3 : Phase de v ote. Duran t cette phase, c haque v otan t doit crypter et
transmettre son bulletin de v ote aux autorités électorales. Il p eut égalemen t le
publier d'une façon anon yme sur le tableau de v ote public. Les bulletins de v ote
son t cryptés à l'aide d'un ensem ble de primitiv es cryptographiques. En général,
en plus de son bulletin de v ote, le v otan t devra égalemen t fournir une preuv e de
la v alidité de son v ote.
Phase4 : Dép ouillemen t. Duran t cette phase, les autorités de dép ouillemen t
utilisen t leurs informations publiques et secrètes p our décrypter les bulletins de
v ote v alides et compter les v otes. Ils publien t le résultat nal des élections a v ec
une preuv e de sa v alidité.
14

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.2.3 T yp es des systèmes de v ote électronique
Il existe diéren ts systèmes de v ote électronique [MAAS13]. Les premiers sys-
tèmes que nous p ouv ons citer son t les mac hines d'enregistremen t électronique directe
(ou Direct Recording Electronic (DRE) systems). Il s'agit d'un système électronique
hors ligne (tel qu'un système à écran tactile) placé dans un bureau de v ote an de
p ermettre à un v otan t de v oter. Les v otes son t sto c k és lo calemen t sur des disp ositifs
électroniques à mémoire (comme une carte mémoire ou un disque compact). A la n
du pro cessus de v ote, les autorités électorales transp orten t les disp ositifs mémoires
qui sto c k en t les v aleurs des v otes à un emplacemen t cen tralisé p our le comptage, de
la même façon qu'ils le feron t a v ec des bulletins de v ote sur papier.
Il existe d'autres systèmes de v ote électronique en ligne, qui se basen t sur l'utili-
sation d'une mac hine de v ote (ou un ordinateur p ersonnel) et d'un réseau, qui p eut
être un réseau priv é ou tout simplemen t In ternet. Ces systèmes de v ote p ermetten t
d'améliorer la commo dité du v ote et d'augmen ter la participation électorale. Ce t yp e
de système de v ote p eut être mis en place de diéren tes façons, à sa v oir :
Mac hines de v ote électronique dans les bureaux de v ote (P oll station
electronic v oting systems). Les systèmes utilisan t des mac hines de v ote pla-
cées dans les bureaux de v ote exigen t que les v otan ts se renden t aux bureaux
de v ote traditionnels an de v oter. Les bureaux de v ote son t surv eillés par un
p ersonnel électoral qui se c harge d'iden tier les v otan ts. A cet eet, les mac hines
ne s'o ccup en t pas de l'iden tication des v otan ts et se con ten ten t de comptabili-
ser leurs v otes. Les v otes son t comptés lo calemen t ou en v o y és à distance p our le
décompte. Un réseau est utilisé p our transférer les bulletins de v ote de c haque
bureau de v ote v ers un serv eur cen tralisé où les v otes seron t comptabilisés.
Kiosques de v ote électronique (Kiosk electronic v oting systems). Les
kiosques de v ote électronique p ermetten t aux électeurs de v oter en utilisan t des
mac hines de v ote installés par les autorités de v ote dans des endroits appropriés
tels que les bureaux de p oste ou les cen tres commerciaux. Dans ce cas, l'authen ti-
cation des v otan ts est assurée par les kiosques de v ote électroniques. Ces mac hines
son t connectées à un serv eur cen tral via In ternet ou un réseau priv é. Chaque v ote
sera immédiatemen t transmis à tra v ers le réseau au serv eur cen tralisé de comp-
tage. Les kiosques de v ote électronique ne son t pas surv eillés en p ermanence par
du p ersonnel électoral et p ermetten t parfois le v ote sur une p ério de s'étalan t sur
plusieurs jours ou plusieurs semaines.
V ote par In ternet (In ternet v oting). Les systèmes de v ote électronique par
In ternet p ermetten t aux v otan ts de ne plus se déplacer dans des bureaux de
v otes et de v oter à distance (à la maison ou au tra v ail par exemple) à partir de
n'imp orte quel ordinateur connecté à In ternet. Ainsi, ces systèmes p ermetten t
de luter con tre l'absten tion des v otan ts. T outefois, l'insécurité des ordinateurs à
domiciles et des réseaux publiques p ose le problème ma jeur de ces systèmes. Ces
15

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
derniers p einen t à satisfaire certaines propriétés de sécurité comme le secret de
v ote et la résistance à la co ercition. Il est très dicile d'emp êc her qu'on force un
v otan t de v oter d'une certaine manière.
1.3 Exigences de sécurité d'un proto cole de v ote
électronique
Les proto coles de v ote électronique doiv en t rép ondre à un certain nom bre d'exi-
gences de sécurité qui constituen t la garan tie de la v alidité du pro cessus de v ote.
Ceci constitue un enjeu ma jeur lors de la dénition d'un proto cole de v ote électro-
nique. Ces exigences on t été in tensémen t étudiées dans la littérature [QT07, Gri02,
MGK02, MAAS13, SP06] et plusieurs dénitions on t été prop osées à ce prop os. En
outre, certaines dénitions d'une même exigence son t parfois présen tées diérem-
men t par les auteurs comme décrit dans [FDL07].
Dans ce qui suit, nous présen tons les principales exigences de sécurité que nous
v oulons assurer lors de la dénition de nos proto coles de v ote électronique. Nous
hiérarc hisons ces exigences en deux catégories : les exigences de bases et les exigences
a v ancées [LK02].
Les exigences de base son t satisfaites dans la plupart des proto coles de v ote électro-
nique et leur mise en ÷uvre est relativ emen t facile. Les exigences de bases son t les
suiv an tes :
Secret du v ote. Cette exigence garan tit à la fois la conden tialité du v ote et
l'anon ymat du v otan t :
Conden tialité du v ote. T ous les v otes doiv en t être ten us secrets.
Anon ymat du v otan t. P ersonne ne doit être habilité à établir un lien en tre
l'iden tité du v otan t et son v ote.
Authen tication. Dans les proto cole de v ote électronique, nous distinguons
deux t yp es d'authen tication :
Authen tication du v otan t (Éligibilité). Cette propriété garan tit que
seuls les v otan ts légitimes, qui on t le droit de v oter, p euv en t particip er au
pro cessus de v ote.
Authen tication du v ote. Cette propriété est utilisée p our v érier que le
v ote émis émane bien de celui qui l'a en v o y é.
In tégrité. Cette propriété garan tit que le con ten u d'un v ote n'a pas été mo dié
ou altéré de façon non autorisée.
Double v ote. Aucun v otan t ne p eut v oter deux fois dans la même élection.
Résultat partiel. Aucun participan t ne p eut a v oir des informations, à l'excep-
tion de son v ote, à prop os du décompte (partiel) a v an t l'étap e du comptage nal.
La connaissance du décompte partiel p ourrait aecter les in ten tions des v otan ts
16

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
qui n'on t pas encore v oté.
Scalabilité : La complexité des proto coles utilisés dans un proto cole de v ote
est un facteur imp ortan t dans sa mise en ÷uvre pratique. Un proto cole de v ote
ecace doit être év olutif en ce qui concerne les b esoins de sto c k age, de calcul et
de comm unication p our accueillir un plus grand nom bre de v otan ts.
Les exigences a v ancées son t b eaucoup plus diciles à mettre en ÷uvre. Dans
de nom breux cas ils nécessiten t des comm unications et des calculs complexes. Les
exigences a v ancées son t les suiv an tes :
Robustesse Un comp ortemen t inadéquat de n-coalition d'autorités p eut être
toléré (n-Robustesse). Aucune coalition d'un sous-ensem ble d'autorités malhon-
nêtes ne p eut p erturb er l'élection.
Sans-reçu. La propriété de sans reçu assure qu'aucun v otan t ne doit être capable
de prouv er la manière a v ec laquelle il a v oté.
Résistance à la co ercition. La propriété de la résistance à la co ercition assure
qu'un attaquan t ne p eut pas forcer un v otan t de v oter d'une certaine manière et
de v érier le v ote soumis par la suite. Il s'agit d'une propriété plus forte que la
propriété de sans reçu.
Vériabilité. Il y a deux t yp es de v ériabilité :
Vériabilité individuelle. Chaque v otan t p eut v érier que son v ote a été
correctemen t comptabilisé.
Vériabilité univ erselle. N'imp orte qui p eut v érier le fait que le résultat
de décompte publié est correctemen t calculé à partir des bulletins de v ote
correctemen t collectés.
Il faut noter que certaines des exigences de sécurité requises sem blen t être con tradic-
toires. Comme men tionné dans [CMFP+10], il existe des propriétés incompatibles
dans les proto coles de v ote. P ar exemple, il n'est pas éviden t de satisfaire la v éri-
abilité univ erselle du résultat de v ote et le sans-reçu à la fois. En eet, les mes-
sages éc hangés et les données aléatoires c hoisis par le v otan t son t utiles p our v érier
que son v ote a été pris en compte, mais p euv en t être utilisés par ce dernier p our
construire un reçu prouv an t p our qui il a v oté. P our remédier à ce problème, il est
p ossible de fournir au v otan t un reçu qui reète son bulletin mais ne reète pas son
v ote. Il est égalemen t p ossible d'utiliser une preuv e destinée uniquemen t au v otan t
et qui est complètemen t in utile lorsqu'elle est transférée à toute autre partie.
1.4 Primitiv es cryptographiques
Les proto coles de v ote électroniques utilisen t comme briques de base des primi-
tiv es cryptographiques an de satisfaire les exigences de sécurité du pro cessus de
v ote. Dans cette section, nous présen tons les primitiv es cryptographiques les plus
utilisées dans le con texte du v ote électronique.
17

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.4.1 Préliminaires
P ar dénition, un problème est dit dicile s'il n'existe pas d'algorithme conn u
p olynomial p our le résoudre. Ainsi, comme nous p ouv ons le v oir, un problème est
dit dicile ou non suiv an t les connaissances scien tiques à un momen t donné. Au-
tremen t dit, l'év olution des sa v oirs p ourrait év en tuellemen t c hanger la nature de
certains problèmes.
a. Le problème du logarithme discret
Commençons par dénir ce qu'est le problème du logarithme discret, noté DLP
(Discrete Logarithm Problem). Soit G un group e cyclique1d'ordre premier p que
l'on note m ultiplicativ emen t. Soit g un générateur du group e G , on a donc G=
1;g1;g2;:::;g(p1). Ainsi, tout élémen t y du group e G s'écrit d'une unique façon
sous la forme :
y=gx; 0xp1
L'exp osan t x est app elé le logarithme discret de l'élémen t y dans la base g . Le
problème du logarithme discret dans G est de retrouv er x tel quey=gx. Cep endan t
ce problème n'a de sens que si G est c hoisi de tel façon que le calcul du logarithme
discret dans ce group e est infaisable. Dans ce qui suit, nous présen tons les group es
les plus utilisés où la résolution du problème du logarithme s'a v ère dicile.
Group es m ultiplicatifs de corps nis Le premier group e non trivial prop osé a
été le group e Z
p= (Z=pZ )lorsqu'il est cyclique, constitué des en tiers de l'in terv alle
1;:::;p1 et m uni de la m ultiplication mo dulo le nom bre premier p .
Le problème du logarithme discret est dicile dans ce group e, mais pas autan t
que dans un group e générique. En eet, on connaît des algorithmes sous-exp onen tiels
p our le résoudre. Ceci a des conséquences sur la taille du group e à utiliser de manière
à ce que le problème du logarithme discret soit infaisable. Le nom bre premier p doit
s'écrire au minim um sur 1024 bits, ce qui assure à p eu près la même sécurité qu'un
group e générique d'ordre 160 bits [Sti05]. On p eut remarquer qu'il est p ossible de
tra v ailler dans des sous-group es de group es m ultiplicatifs, si l'on disp ose p our ces
sous-group es d'une représen tation ecace. A cet eet, le second group e prop osé est
le sous group e cyclique d'ordre premier q deZ
p , tel queq divisep1 . Notons que
les élémen ts de ce sous-group e s'écriv en t naturellemen t dans le group e Z
p , comme
des nom bres de l'in terv alle 1;:::;p1 . Le sous group e cyclique d'ordre q deZ
p est
in téressan t car il se comp orte comme un group e générique. On disp ose donc de deux
métho des p our résoudre le problème du logarithme discret dans ce sous group e :
1. Un group e cyclique est un group e de cardinalité nie dans lequel il existe un élémen t g tel
que tout élémen t du group e puisse s'exprimer sous forme d'une puissance de g . L' élémen t g est
app elé générateur du group e.
18

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
soit utiliser un algorithme générique dans le sous-group e d'ordre q , soit utiliser un
algorithme sous-exp onen tiel dans le group e Z
p [Sti05]. On a tout in térêt à adapter
les tailles de p et deq p our que ces deux métho des soien t à p eu près du même ordre
de diculté. De ce fait, les nom bres p etq son t sélectionnés de façon à rendre en
pratique le calcul du logarithme discret infaisable (par exemple 1024 bits p our p et
160 bits p our q ).
L'a v an tage de l'utilisation de ce sous-group e est de dimin uer la taille des exp o-
san ts à utiliser. En eet, si on c hoisit un group e d'ordre q , les exp osan ts son t compris
en tre 0 etq1 . En rev anc he, on ne gagne rien au niv eau de la taille des élémen ts
puisqu' ils appartiennen t aux en tiers du group e Z
p .
Group e des p oin ts d'une courb e elliptique Un autre exemple de group e prop osé
est le group e des p oin ts des courb es elliptiques dénies sur les corps nis. Il n'y a pas
d'algorithme sous-exp onen tiel conn u p our résoudre le problème du logarithme discret
sur les courb es elliptiques en général. Elles constituen t donc d'excellen tes candidates
p our le group e G . L'a v an tage ici est double : on utilise non seulemen t des exp osan ts
plus p etits, mais aussi des représen tations des élémen ts qui son t naturellemen t plus
courtes. Notons que les group es m ultiplicatifs de corps nis oren t une moins grande
sécurité que les courb es elliptiques, à taille de clé sem blable. Ainsi, le calcul de
logarithmes discrets dans le group e des p oin ts d'une courb e elliptique dénie sur
un corps premier de 160 bits est de diculté à p eu près équiv alen te à un calcul de
logarithmes discrets dans un corps premier de 1024 bits [Sti05]. À niv eau de sécurité
égal, il est p ossible d'utiliser des clés de c hiremen t de taille inférieure à celles qui
son t nécessaires p our Z
p .
b. Le problème calculatoire de Die-Hellman : CDH
Le problème calculatoire de Die-Hellman noté CDH (Computational Die-
Hellman problem) revien t à calculer la v aleur gabconnaissan t gaetgb, a v eca;b2Zq .
Il est clair que ce problème est réductible au problème du logarithme discret. En eet,
si on sait résoudre le problème du logarithme discret, qui consiste à retrouv er a si on
connaît l'élémen t ga, alors on sait aussi résoudre le problème CDH en calculan t (gb)a.
Nous a v ons donc la réduction suiv an te : CDHpDLP . En rev anc he, dans l'autre
sens on ne sait pas si le problème du logarithme discret est en général réductible au
problème calculatoire de Die-Hellman [Mau94, MW99].
c. Le problème décisionnel de Die-Hellman : DDH
Une v ersion décisionnelle du problème DDH a été in tro duite en 1993 dans
[Bra93]. Il s'agit du problème décisionnel Die-Hellman noté DDH (Decisional
Die-Hellman problem) déni comme suit : étan t donnés les trois v aleurs ga,gbet
19

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
z , le problème DDH revien t à décider si z?=gab. Il est clair que le problème DDH
est réductible au problème CDH . Ce problème est plus simple que le problème cal-
culatoire de Die-Hellman qui consiste à calculer gab, mais il est dicile à résoudre
comme l'a prouv é Boneh dans [Bon98]. Nous obtenons donc la réduction suiv an te :
DDHpCDH . Nous p ouv ons donc conclure que la résolution du logarithme dis-
cret p ermet de résoudre les problèmes Die-Hellman. De même, la résolution du
problèmeCDH implique la résolution du problème DDH , il s'ensuit la réduction
suiv an te en tre DLP ,CDH etDDH :DDHpCDHpDLP .
1.4.2 Cryptosystèmes
Un cryptosystème est un système cryptographique p ermettan t à deux in terlo cu-
teurs, que l'on nomme con v en tionnellemen t A etB , d'éc hanger en toute sécurité des
messages conden tiels à tra v ers des canaux de comm unication non sécurisés. L'idée
étan t de cac her un message conden tiel m dans une sorte de b oîte fermée à clé de
telle sorte que seuls les p ersonnes habilitées auron t accès à la v aleur de m par la
connaissance d'une clé sp écique secrète.
Généralemen t, un cryptosystème est constitué d'une suite d'algorithmes cryptogra-
phiques notés (Gen;Enc;Dec ) , oùGen est un algorithme de génération de clé(s),
Enc est l'algorithme de cryptage et Dec est l'algorithme de décryptage corresp on-
dan t. A cet eet, p our en v o y er un message m àB ,A utilise l'algorithme de cryptage
Enc (paramétré a v ec les clés générées par Gen ) p our calculer le message crypté
c=Enc(m) . La v aleur de c ne donne aucune information quan t au con ten u du
message original m . P our décrypter c ,B utilise l'algorithme de décryptage Dec (pa-
ramétré a v ec les clés générées par Gen ) et retrouv e le message en clair m tel que
m=Dec(c) .
Il faut noter qu'il existe deux grandes familles de cryptosystèmes : les cryptosys-
tèmes symétriques et les cryptosystèmes asymétriques.
a. Cryptosystèmes symétriques
Les cryptosystèmes symétriques (ou à clé secrète) rep osen t sur l'utilisation d'une
seule clé. La même clé secrète est utilisée à la fois p our le cryptage et le décryptage
d'un message m . Soitsk la clé secrète d'un crytosystème symétrique générée a v ec
l'algorithme de génération de clé Gen . La clésk est conn ue à l'a v ance uniquemen t
par les in terlo cuteurs A etB souhaitan t éc hanger un message conden tiel m . P our
en v o y er le message m àB ,A utilisesk p our c hirer m et calculeEnc(m) =c .B
utilise la même clé secrète sk p our déc hirer le message m en calculan t Dec(c) =m .
Ici, les algorithmes cryptographiques de cryptage Enc et de décryptage Dec son t
paramétrées par la même clé secrète sk (v oir gure 4.1).
Un a v an tage imp ortan t de l'utilisation des cryptosystèmes symétriques est la
20

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Figure 1.1  Cryptosystème symétrique : princip e de base
rapidité d'exécution au niv eau des étap es de cryptage et de décryptage. T outefois,
l'incon v énien t ma jeur de l'utilisation de ces cryptosystèmes réside dans la gestion
de clés don t le nom bre augmen te en fonction du nom bre de participan ts. Dans un
système basé sur un c hiremen t symétrique a v ec n participan ts, il faudrait utiliser
n(n1)=2 clés secrètes [Ste03]. De plus, les cryptosystèmes symétriques nécessiten t
l'utilisation d'un canal secret p our éc hanger la clé secrète sk en tre les in terlo cuteurs.
b. Cryptosystèmes asymétriques
Les cryptosystèmes asymétriques (ou à clé publique) rep osen t sur l'utilisation
d'une paire de clés. La première clé est publique et est utilisée p our crypter le
messagem . La seconde clé est priv ée et sert à décrypter le message m .
Soitsk la clé secrète d'un cryptosystème symétrique, et pk la clé publique de ce
même système. La paire de clés (pk;sk ) est générée a v ec l'algorithme de génération
de clésGen . La clépk est conn ue à l'a v ance par tous le monde et p eut être diusée
par exemple sur un ann uaire électronique.
Seul le récepteur du message m p ossède la clé secrète sk . Ainsi, il est le seul à
a v oir l'aptitude à le décrypter. Reprenons l'exemple des deux in terlo cuteurs A etB
souhaitan t éc hanger un message m . La clé publique pk est conn ue par tout le monde,
en particulier A etB . P ar con tre, seul B (le récepteur du message m ) connait la clé
secrètesk . A cet eet, p our en v o y er le message m àB ,A utilisepk p our c hirer
m et calculeEnc(m) =c et l'en v oie à B . Ici, l'algorithme cryptographique de
cryptageEnc utilise comme paramètre la clé publique pk p our crypter m . P our
retrouv er le message original m ,B utilise sa clé secrète sk en calculan t Dec(c) =m .
Ici, l'algorithme cryptographique de déc hiremen t Dec est paramétrées par la clé
21

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
secrètesk (v oir gure 1.2).
Figure 1.2  Cryptosystème asymétrique : princip e de base
Un a v an tage imp ortan t des cryptosystèmes asymétriques par rapp ort aux cryp-
tosystèmes symétriques est qu'aucun canal secret n'est nécessaire p our éc hanger la
clé publique. De plus, les cryptosystèmes asymétriques relèv en t moins de problèmes
que les cryptosystèmes symétriques quan t à la gestion du nom bre de clés. Seulemen t
2n clés son t nécessaires p our n participan ts. P ar con tre, l'incon v énien t de l'utilisa-
tion des cryptosystèmes asymétriques, notammen t par rapp ort aux cryptosystèmes
symétriques, est la len teur de l'exécution des étap es de cryptage et de décryptage.
Dans ce qui suit, nous présen tons Le cryptosystème d' ElGamal. Ce dernier est
le cryptosystème le plus conn u et le plus utilisé des cryptosystèmes asymétriques.
Le cryptosystème d'ElGamal
Le cryptosystème d'ELGamal est un cryptosystème asymétrique qui a été in v en té
en 1985 par T aher ElGamal [ElG85]. La sécurité de ce cryptosystème se base sur
le problème du Logarithme Discret (DLP), ou plus précisémen t sur le problème de
Die-Hellman2. Le princip e du cryptosystème d'ElGamal p eut être résumé comme
suit : A et B, les deux parties de la comm unication se metten t d'accord et génèren t
deux grands nom bres premiers p etq (tel queqjp1 ) et un générateur g d'un sous-
group e cyclique Gq deZ
p d'ordre premier q . Dans ce qui suit, les calculs de la forme
gson t eectu ´ es dansZ
p . L'exp éditeur A v eut en v o y er un message conden tiel
m2Gq au destinataire B .B commence par c hoisir une clé secrète sk2RZq , et
2. L'in v ersion du c hiremen t du cryptosystème ElGamal est équiv alen te au problème Die-
Hellman Calculatoire (CDH). La sécurité séman tique du du cryptosystème ElGamal est équiv alen te
au problème Die-Hellman Décisionnel (DDH).
22

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
diuse sa clé publique pk=gsk. P our crypter un message m p our B, A utilise la
fonction de cryptage du cryptosystème d'ElGamal que l'on note EncG .A c hoisit
aléatoiremen t un en tier r2Zq et calculeEncG(m;pk;r ) , tel que :
EncG(m;pk;r ) = (X;Y) = (gr;m:pkr)
P our déc hirer le message m ,B utilise la fonction de décryptage du cryptosystème
ElGamal que l'on note DecG et calcule :
DecG(m) =Y
Xsk=m(pk)r
(gr)sk=m(gsk)r
(gr)sk=m
Notons que le cryptosystème d'ElGamal est un cryptosystème probabiliste : p our
un crypter un message m il faut utiliser à c haque fois un paramètre r2Zq aléatoire.
A cet eet, le même message m c hiré à deux momen ts diéren ts donnera deux
messages cryptés distincts.
Cryptosystèmes à seuil
En cryptographie, un cryptosystème est app elé cryptosystème à seuil, si, p our
déc hirer un message crypté, plusieurs parties (le nom bre de ces parties est sup érieur
à un certain seuil) doiv en t co op érer p our parv enir à décrypter le message c hiré. Ce
message est c hiré a v ec une clé publique. La clé priv ée corresp ondan te est partagée
en tre les parties participan tes en utilisan t les tec hniques de partage de secret (V oir
Chapitre 3). Soit n le nom bre total des parties participan tes et t le nom bre minimal
de parties qui doiv en t co op érer p our décrypter le message. Ce cryptosystème à seuil
est noté (t;n) , si au moins t de ces parties p euv en t décrypter le message c hiré, alors
que moins que t ne p ossèden t aucune information utile.
1.4.3 F onction de hac hage
Une fonction de hac hage H(m) est une fonction qui prend en en trée un message
m de taille arbitraire et le con v ertit en un message de taille xe (inférieure à la
taille initiale, t ypiquemen t 128, 160 ou 256 bits). Le message obten u en sortie est
app elé emprein te ou hac hé du message. Une fonction de hac hage doit satisfaire les
propriétés suiv an tes :
Sens unique. Il est facile de calculer l'emprein te d'un message m , par con tre
il est très dicile de retrouv er le message original m à partir de son emprein te
H(m) .
Résistance aux collisions. Il est très dicile de trouv er deux messages aléa-
toires a y an t le même hac hé ; c'est-à-dire qu'il est très dicile d'obtenir deux
messagesm1 etm2 tel queH(m1) =H(m2) (a v ecm16=m2 ).
23

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Résistance à une deuxième pré-image. À partir d'un message et de son
hac hé, il est très dicile de trouv er un autre message a y an t le même hac hé.
Autremen t dit, à partir de m1 et de son hac hé H(m1) , il est très dicile de
générer un autre message m2 tel queH(m1) =H(m2) .
Les fonctions de hac hage est d'une grande utilité dans le con texte de la signature
n umérique. En eet, signer de longs messages p eut s'a v érer coûteux en termes de
calcul. Étan t donné que le hashé d'un message m est de taille xe et inférieur au
message original, il serait plus pratique de signer le hashé du message, plutôt que le
message lui-même.
1.4.4 Rec hiremen t
SoitEnc une fonction de c hiremen t asymétrique probabiliste qui prend en en-
trée un message m et une v aleur aléatoire r et qui pro duit en sortie un c hiré c tel
quec=Enc(m;r) . Une fonction de rec hiremen t notée ReEnc prend en en trée le
c hiréc et une autre v aleur aléatoire r(diéren te de la v aleur r qui a été utilisée
p our calculer c ) et pro duit en sortie un autre c hiré noté cf tel que :
ReEnc (c;r) =Enc(m;r+r)
Prenons le cas d'un messages m c hiré a v ec le cryptosystème ElGamal el la v aleur
aléatoirer2RZq , tel queEncG(m;pk;r ) = (X;Y) = (gr;m:pkr) . En utilisan t la
fonction de rec hiremen t que nous notons ReEncG(m;r) a v ec la v aleur aléatoire
r2RZq , nous obtenons :
ReEncG(m;r) = (Xf;Yf) = (X:gr;Y:pkr) = (gr+r;m:pkr+r) =EncG(m;pk;r +r)
C'est sur ce princip e que se base le princip e rec hiremen t. Il p ermet de mo dier la
v aleur de la v ariable aléatoire utilisée par la fonction de c hiremen t, sans connais-
sance du message m . Ceci p ermet de mo dier la v aleur du c hiré sans mo dier le
con ten u du message original et sans en connaitre le con ten u. Ce mécanisme est utilisé
notammen t par les réseaux de mélangeurs (v oir section 1.5.1) p our lutter con tre la
traçabilité. Il est aussi utilisée dans certains proto coles de v ote, comme le proto cole
de Lee et Kim [LK02], p our assurer la propriété de sans-reçu.
1.4.5 Preuv es à divulgation n ulle de connaissance
Comme son nom l'indique, une preuv e à divulgation n ulle de connaissance notée
ZKP (Zero-Kno wledge Pro of ) consiste à prouv er à un v éricateur la connaissance
d'un secret, sans rien rév éler sur celui-ci. En pratique, ce sc héma se présen te souv en t
sous la forme d'un proto cole de t yp e stim ulation/rép onse (c hallenge/resp onse).
Le prouv eur et le v éricateur s'éc hangen t des informations p ermettan t à ce dernier
24

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
de s'assurer de la v alidité de la preuv e à la n de la comm unication. On distingue
en tre une preuv e in teractiv e dans laquelle le prouv eur et le v éricateur s'éc hangen t
plus d'un message en tre eux, et une preuv e non-in teractiv e au cours de laquelle le
prouv eur en v oie sa preuv e une fois p our toute et le v éricateur conclura en se basan t
uniquemen t sur les informations con ten ues dans la preuv e.
La dénition d'une solution du v ote électronique nécessite l'utilisation des preuv es
ZKP . Elles p ermetten t de v érier par exemple la v alidité du bulletin de v ote crypté
en v o y é par le v otan t, sans rien rév éler sur la v aleur de son v ote, ou encore de s'assurer
que les autorités de comptage on t publié un résultat qui corresp ond bien à la somme
des v otes qui on t été p ostés, sans dév oiler égalemen t la v aleur des v otes individuels
des v otan ts.
Nous présen tons dans ce qui suit les preuv es ZKP les plus utilisées p our la
dénition des proto coles de v ote électronique.
Preuv e qu' un message c hiré est dans un ensem ble donné de v aleurs
En 2002, Lee et Kim on t dénit une preuv e p ermettan t de sa v oir si un message
m c hiré est v alide et est dans un ensem ble donné de v aleurs sans rév éler aucune
information sur le con ten u du message [LK02]. La preuv e est basée sur la tec hnique
in tro duite dans [CDS94]. Soit SETM l'ensem ble de messages v alides tel que SETM=
m1;m 2;:::;mL . Le prouv eur P doit prouv er à un v éricateur V que son message m
est v alide, autremen t dit qu'il appartien t à l'ensem ble SETM sans dév oiler le con ten u
dem .
Dans les proto coles de v ote électronique, cette preuv e est utilisée p our garan tir
l'exactitude de la v aleur du v ote con ten u dans le bulletin crypté, sans dév oiler celui-
ci. Ainsi, il est p ossible de v érier la v alidité du c hoix du v otan t tout en préserv an t
la conden tialité du v ote.
Preuv e de l'égalité des logarithmes discrets
Cette preuv e se réalise par le proto cole de Chaum-P edersen [CP92] et p ermet
de prouv er l'égalité de deux logarithmes discrets dans deux bases diéren tes. Soit g
eth deux élémen ts indép endan ts du group e cyclique Z
p d'ordre premier q , tel que
le calcul du logarithme discret dans ce group e est infaisable. Un prouv eur P v eut
con v aincre un v éricateur V la connaissance d'une v aleur 2Z
p satisfaisan t x=g
ety=h. Autremen t dit, il v eut prouv er que logg() =logh() et quex ety on t le
même logarithme discret dans les base g eth , resp ectiv emen t, sans dév oiler la v aleur
de .
Dans les proto coles de v ote électronique, cette preuv e p eut être utilisée duran t
la phase de dép ouillemen t p our garan tir l'exactitude du résultat nal fourni par les
autorités électorales de dép ouillemen t.
25

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Preuv e de re-c hiremen t à v éricateur désigné
Une preuv e de re-c hiremen t à v éricateur désigné [JSI96] (D VRP) est une
preuv e qui con v ainc uniquemen t un v éricateur bien déterminé que le message re-
c hiré corresp ond b el et bien à un c hiremen t v alide du message original. Le v éri-
cateur, à qui la preuv e est destinée, est le seul qui puisse v érier la v alidité ou la non
v alidité du re-c hiremen t. La preuv e DVRP est calculée à l'aide de la clé publique
du v éricateur p our que seul ce dernier p ourra la v érier en utilisan t sa clé priv ée.
Cette preuv e est complètemen t in utile lorsqu'elle est transférée à toute autre en tité.
Dans le con texte du v ote électronique, la preuv e DVRP p eut s'utiliser en com bi-
naison a v ec la tec hnique de re-c hiremen t p our prouv er à un v otan t que son bulletin
de v ote à été correctemen t re-c hiré tout en évitan t de lui fournir un reçu prou-
v an t le con ten u de son v ote. La preuv e DVRP p eut être égalemen t utilisé a v ec les
réseaux de mélangeurs à re-c hiremen t (v oir section 1.5.1). Dans ce cas, c haque ser-
v eur dans le réseau de mélangeurs doit fournir au suiv an t une preuv e mon tran t que
les messages en sortie son t des re-c hiremen ts v alides p our les messages en en trée
sans dév oiler les v aleurs de ces messages et les v aleurs aléatoires utilisées p our le
re-c hiremen t. Ceci p ermet de garan tir l'in tégrité des messages et de rep érer les
serv eurs malhonnêtes.
1.4.6 T est d'équiv alence en tre c hirés
La comparaison de messages c hirés (ou PET, Plain text Equalit y T est), consiste
à comparer deux messages c hirés sans p our autan t a v oir à les décrypter. Prenons
le cas de deux messages m1 etm2 c hirés a v ec le cryptosystème ElGamal, tel que
(X1;Y1) = (gr1;m 1:pkr1) est le c hiré de m1 , et(X2;Y2) = (gr2;m 2:pkr2) est le c hiré
dem2 , etr1;r22RZq .
P our comparer m1 etm2 sans dév oiler les paramètres de c hiremen t et les v aleurs
des messages en clair, il sut de calculer les divisions des deux messages c hirés, ce
qui donne : (X1=X 2;Y1=Y2) = (gr1r2;(m1=m 2):pkr1r2) .
Sim1=m2 alorsm1=m 2= 1 et la division (X1=X 2;Y1=Y2) c hire la v aleur 1 par les
paramètres publics du cryptosystème ElGamal. Si le déc hiremen t de cette division
ne donne pas 1 , mais une autre v aleur, cette v aleur rév élera des informations sur les
messages originaux m1 etm2 . P ar conséquen t, p our masquer la v aleur de la division
a v an t de la déc hirer, les autorités de déc hiremen t du cryptosystème ElGamal
élèv en t le quotien t à un exp osan t aléatoire inconn u u2RZq . A cet eet, toute autre
v aleur diéren te de 1 sera randomisée.
Après le déc hiremen t, si (m1=m 2)u= 1u= 1 alorsm1=m2 , sinon les deux
messages son t diéren ts.
26

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.4.7 Creden tial anon yme
L'utilisation du concept des creden tials anon yme est apparue p our la première
fois en 2005 dans le proto cole JCJ [JCJ05] et a été amélioré en 2008 dans le proto-
cole Civitas [CCM08]. Ce concept rep ose sur l'utilisation de deux t yp es d'autorités
électorales indép endan tes : une (ou plusieurs) autorité(s) d'enregistremen t et une
(ou plusieurs) autorité(s) de comptage. Les autorités d'enregistremen t se c hargen t
de délivrer d'une manière sécurisée des creden tials anon ymes aux v otan ts éligibles à
v oter. P our v oter, c haque v otan t soumet son creden tial a v ec le bulletin de v ote p our
le v alider. Ni le v otan t, ni un attaquan t, ne p euv en t prouv er ou v érier la v alidité
ou l'in v alidité du creden tial soumis a v ec le bulletin de v ote. Ainsi, un attaquan t ne
p eut pas con trôler le c hoix du v otan t et reste confus quan t à la v alidité du bulletin
de v ote. De plus, le v otan t est incapable de prouv er la v alidité de son bulletin de
v ote. Seuls les autorités de comptages (ou une coalition d'un certain nom bre d'en tre
eux) p euv en t v érier d'une façon anon yme la v alidité des creden tials attac hés aux
bulletins de v ote.
Ainsi, l'utilisation du creden tial anon yme dans le v ote électronique p ermet d'as-
surer la propriété de sans-reçu et la résistance à la co ercition. Elle p ermet égalemen t
d'assurer l'authen tication du v ote d'une façon anon yme.
Le concept des creden tials anon ymes a été mis en place dans le système de
v ote par In ternet POL Y AS, qui a été utilisé en 2012 p our les élections GI (German
Computer Science So ciet y) [OKN+12].
1.5 T ec hniques sp éciques p our le v ote électronique
1.5.1 Réseaux de mélangeurs
Les réseaux de mélangeurs p ermetten t de p erm uter et/ou de mo dier une sé-
quence de données (en les déc hiran t ou en les re-c hiran t) an de dissip er le lien
en tre les élémen ts de la séquence en en trée et celle en sortie.
Un réseau de mélangeurs p eut être représen té par une b oite noire a v ec n serv eurs
qui dissim ulen t la corresp ondance en tre les données en en trée de la b oite et celles
pro duites en sortie. En 1981, Da vid Chaum a déni cette tec hnique an de prop oser
une implémen tation d'un canal anon yme [Cha81].
La métho de prop osé par Chaum p our dénir un réseau de mélangeurs se base sur
la tec hnique de déc hiremen t. Supp osons qu'il existe n serv eursS1:::Sn . Chaque
serv eurSj p our 1jn p ossède sa propre clé publique pkj et sa propre clé priv ée
skj . Quand une p ersonne v eut en v o y er un message m d'une façon anon yme à tra v ers
un réseau de mélangeurs, le message m est crypté en utilisan t les clés publiques de
tous les serv eurs du réseau, en commençan t par le dernier serv eur du réseau. Soit
Enc(pkj;m) la fonction de cryptage qui crypte le message m en utilisan t la clé
27

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
publiquepkj du serv eur Sj . Le message crypté noté Cn est cryptée comme suit :
Cn=Enc(pk1;(E(pk2;(:::E(pkn;m))))
La v aleur initiale Cn est en v o y ée au premier serv eur S1 du réseau de mélan-
geurs. Ce dernier utilise sa clé priv é sk1 p our amputer un niv eau de cryptage.
S1 attend l'arriv ée d'autres messages c hirés et pro cède au même traitemen t. En-
suite, il p erm ute les messages cryptés dans un ordre aléatoire, et les en v oie au ser-
v eur suiv an t S2 . Chaque serv eur Sj reçoit les messages c hirés, ampute un niv eau
de cryptage en utilisan t sa clé priv é skj , les p erm ute et en v oie la nouv elle v aleur
Cj=Enc(pkj+1;(Enc(pkj+2;(:::Enc (pkn;m)))) au serv eurSj+1 . Le dernier serv eur
Sn décrypte les messages et les en v oie à leurs destinataires. Les messages obten us
en sortie son t des messages déc hirés a v ec un ordre aléatoire, diéren t de celui qui
est en en trée au réseau de mélangeurs.
Cette métho de présen te certains incon v énien ts [AI03]. En eet, si l'un des ser-
v eurs se blo que ou devien t défaillan t, le pro cessus de mixage sera in terrompu. La
solution prop osée dans la littérature est l'utilisation de la métho de de re-c hiremen t
des messages au lieu du déc hiremen t [Nef01]. Le princip e de base est le même,
sauf qu'à c haque étap e les serv eurs pro cèden t à un re-c hiremen t des messages en
utilisan t des nom bres aléatoires. Les messages en en trée doiv en t être cryptés a v ec la
clé publique d'un cryptosystème (par exemple en utilisan t le cryptosystème d'ElGa-
mal). Les messages en sortie du réseau de mélangeurs son t décryptés par l'autorité
(ou les autorités) de décryptage a v ec la clé priv ée du cryptosystème utilisé.
Il faut noter qu'il est imp ortan t de s'assurer que c haque serv eur a correctemen t
fait son tra v ail, autremen t dit qu'il a eectué les op érations de déc hiremen t (ou de
re-c hiremen ts) et les p erm utations d'une manière v alide. Il faut égalemen t s'assurer
que les messages n'on t pas été mo diés, supprimés ou ra joutés. À cet eet, à c haque
étap e, c haque serv eur doit fournir une preuv e de la v alidité des op érations qu'il
a eectuées. On parle alors de réseaux de mélangeurs univ ersellemen t v ériables
[PIK93, BD VDG13] p ermettan t à n'imp orte quelle partie de s'assurer de la v alidité
du traitemen t eectué par les serv eurs du réseau de mélangeurs.
Les réseaux de mélangeurs son t utilisés dans le con texte du v ote électronique
p our assurer l'anon ymat des v otes. En eet, duran t la phase du dép ouillemen t d'un
pro cessus du v ote, p ersonne (même les autorités resp onsables du dép ouillemen t)
ne doit être en mesure de faire la corresp ondance en tre un v ote et son v otan t.
L'utilisation des réseaux de mélangeurs parviennen t à assurer ceci.
P our ce faire, des autorités électorales jouen t le rôle des serv eurs du réseau de mé-
langeurs. Ils reçoiv en t en en trée une liste ordonnée de bulletins de v ote cryptés et
pro cèden t au brassage de cette liste au mo y en de p erm utations secrètes en utilisan t
la tec hnique des réseaux de mélangeurs décrite précédemmen t. Ceci p ermet de mé-
langer l'ordre des bulletins de v ote et de dissim uler le lien en tre le v otan t et son
28

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
v ote.
T outefois, notons que l'utilisation des réseaux de mélangeurs dans le con texte du
v ote électronique présen te quelques incon v énien ts. En eet, la pro cédure du dé-
p ouillemen t ne p eut commencer que si tous les v otan ts on t déjà v oté. De plus, les
proto coles de v ote électronique utilisan t les réseaux de mélangeurs nécessiten t des
coûts de calcul et de comm unication assez imp ortan ts liés aux preuv es fournies à
c haque étap e p our assurer la v alidité des bulletins de v otes p erm utés.
1.5.2 Chiremen t homomorphique
Le c hiremen t homomorphique [Gro10] est une tec hnique cryptographique a y an t
des caractéristiques algébriques particulières. Cette appro c he p ermet de réaliser plu-
sieurs traitemen ts sur des messages c hirés sans a v oir à les déc hirer un par un. P ar
exemple, il est p ossible de calculer le c hiremen t de la somme de deux messages
en m ultiplian t les c hirés de c hacun d'en tre eux. Ce princip e p eut s'appliquer sur
certains cryptosystèmes asymétriques.
Soien tM l'espace des messages en clairs et C l'espace des c hirés tel que M etC
soien t m unis resp ectiv emen t des op érations  et
. Un cryptosystème asymétrique
est dit (;
) -homomorphe si étan t donnés deux messages m1 etm2 et leurs c hirés
corresp ondan ts c1=Enc(m1) etc2=Enc(m2) , il satisfait la propriété suiv an te :
c1
c2=Enc(m1)
Enc(m2) =Enc(m1m2)
P armi les cryptosystèmes homomorphiques les plus conn us, nous p ouv ons citer le
cryptosystème d' ElGamal [ElG85] ou encore le cryptosystème de P aillier [P ai99].
Le principal a v an tage de l'utilisation du c hiremen t homomorphique dans le
con texte du v ote électronique est la simplication de la pro cédure de dép ouillemen t.
En eet, il n'est pas nécessaire de décrypter c haque bulletin de v ote individuellemen t,
et il sut de m ultiplier les bulletins de v ote c hirés et de décrypter uniquemen t ce
pro duit p our obtenir la somme des v otes et calculer le résultat nal des élections.
Notons que ceci est p ossible si le cryptosystème utilisé satisfait la propriété homo-
morphique additiv e car elle p ermet d'obtenir la somme des v otes.
C'est le cas, par exemple, de la v arian te du cryptosystème d' ElGamal app elée
cryptosystème exp onen tiel d' ElGamal qui est utilisée dans plusieurs proto coles de
v otes électronique [CGS97, LK02, HS00, CCM08, PSO11, CCF G16]. Cette v arian te
satisfait la propriété homomorphique additiv e3.
Supp osons que l'on disp ose de deux messages m1 etm2 c hirés a v ec le crypto-
système exp onen tiel d'ElGamal. Les deux messages m1 etm2 son t représen tés par
gm1 etgm2 tel que :
3. La v ersion originale de cryptosystème d' ElGamal satisfait la propriété homomorphique m ul-
tiplicativ e et ne p eut pas être utilisé p our obtenir le somme des v otes à partir des bulletins cryptés.
29

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
EncG(m1;pk;r 1) = (X1;Y1) = (gr1;gm1:pkr1)
EncG(m2;pk;r 2) = (X2;Y2) = (gr2;gm2:pkr2)
, a v ecr1;r22RZq . Nous p ouv ons alors calculer la v aleur suiv an te :
EncG(m1+m2;pk;r 1+r2) = (X1X2;Y1Y2) = (gr1+r2;gm1+m2:pkr1+r2)
Cette v aleur corresp ond exactemen t au c hiremen t du message m=m1+m2 . Le
pro duit des messages c hirés est alors égal au c hiré de la somme des messages.
Ceci est assuré par la propriété homomorphique additiv e du cryptosystème utilisé.
Cette propriété est très utile dans le con texte le v ote électronique car elle p ermet de
m ultiplier les bulletins de v otes c hirés les uns après les autres sans a v oir b esoin de
les déc hirer individuellemen t. Nous aurons b esoin de déc hirer juste le résultat nal
p our obtenir la somme des v otes. Ceci p ermet de préserv er l'anon ymat du v otan t et
d'assurer la conden tialité du v ote.
Prenons par exemple le cas d'un v ote binaire où le v otan t doit rép ondre à une
question par un "oui" ou un "non". Le v ote v est alors représen té par un seul
bit : 0 ("non") ou 1 ("oui"). Chaque v otan t soumet son bulletin de v ote c hiré
a v ec son c hoix représen té par la v aleur 0 ou1 . Le bulletin de v ote est c hiré a v ec
le cryptosystème exp onen tiel d'ElGamal tel que EncG(v;pk;r ) = (gr;gv:pkr) , a v ec
r2RZq . Supp osons que M v otan ts éligibles à v oter soumetten t des bulletins de v ote
c hirés v alides. Le c hoix du v otan t Vi est notévi a v ecvi2f0;1g p our 1iN .
P our obtenir le résultat nal de v ote, il sut de calculer le résultat R tel que :
R=MY
i=1EncG(vi;pk;ri) = (gPM
i=1ri;gPN
i=1vi:pkPN
i=1ri)
, a v ecri2RZq p our 1iM .
La v aleurR est conée à une (ou plusieurs) autorité(s) qui en fait le déc hire-
men t p our calculer gPM
i=1vi . Enn, il est p ossible de retrouv er la v aleurPM
i=1vi par
rec herc he exhaustiv e [CGS97].
Notons que le plus grand a v an tage de l'utilisation du c hiremen t homomorphique
dans le con texte du v ote électronique est la simplication de la pro cédure du dé-
p ouillemen t. T outefois, les proto coles de v ote électronique basés sur les c hiremen ts
homomorphiques p einen t à assurer la propriété de sans-reçu. Plusieurs rec herc hes
on t été menées à ce prop os et des solutions on t été prop osées p our satisfaire cette
propriété. P armi ces solutions, nous p ouv ons citer l'utilisation de la tec hnique de
re-c hiremen t [LK02].
L' appro c he cryptographique basée sur le c hiremen t homomorphique a été mise
en ÷uvre dans le proto cole de v ote électronique Helios 2.0 [A di08] et a été utilisée
30

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
p our conduire les élections présiden tielles à l'Univ ersité catholique de Louv ain. Un
rapp ort tec hnique et une analyse complète de l'utilisation réelle p euv en t être trouv és
dans [ADMP+09].
1.5.3 Signature en a v eugle
La signature en a v eugle est une appro c he in tro duite par Chaum en 1983 [Cha83].
Il s'agit d'une forme sp écique d'une signature n umérique qui p ermet à un utilisateur
de faire signer son message par un signataire sans que ce dernier puisse en connaître
le con ten u.
Le pro cessus d'un proto cole de signature en a v eugle s'exécute en trois phases. Duran t
la première phase, l'utilisateur qui v eut faire signer son message commence par
masquer (ou a v eugler) le con ten u de son message et l'en v oie ensuite au signataire.
Duran t la seconde phase, le signataire signe le message masqué (ou a v euglé) sans en
connaitre le con ten u et le retourne à l'utilisateur. Finalemen t, l'utilisateur démasque
(ou désa v eugle) le message reçu et obtien t le message signé qui corresp ond à son
message initial.
A l'origine, les signatures en a v eugle on t été in tro duites p our implémen ter des
proto coles de paiemen t par monnaie électronique [Cha83]. Elles on t été exploitées
plus tard par les proto coles de v ote électronique [F OO92]. En 2000, une implémen-
tation simpliée basée sur les signatures en a v eugle a été utilisée dans les cartes à
puce p our les élections du parlemen t des étudian ts à l'Univ ersité d'Osnabrüc k, en
Allemagne [KK+06].
Selon [F OO92], l'utilisation des signatures en a v eugle dans le con texte du v ote
électronique se déroule comme suit : duran t la phase d'enregistremen t, le v otan t
commence par c hoisir son v ote et le masque. Il en v oie ensuite son v ote masqué à
une autorité d'enregistremen t. Cette dernière commence par v érier l'éligibilité du
v otan t, signe ensuite le v ote masqué et le retourne au v otan t. Le v otan t démasque
son v ote et obtien t ainsi un v ote signé ociellemen t de l'autorité d'enregistremen t.
Duran t la phase du v ote, le v otan t transmet son v ote signé à l'autorité de dé-
p ouillemen t. Cette dernière s'assure de la v alidité de la signature p ostée a v ec le v ote
sans p our autan t être capable d'établir le lien en tre le v ote et son v otan t. Seuls les
v otes v alides signés par l'autorité d'enregistremen t seron t comptabilisés. A cet eet,
la signature en a v eugle p ermet à la fois d'assurer l'authen tication du v ote et du
v otan t tout en préserv an t l'anon ymat.
T outefois, notons que les proto coles de v ote électronique basés sur les signatures
en a v eugle p einen t à assurer la propriété de la v ériabilité univ erselle et la propriété
de sans-reçu. Ceci est dû à l'incapacité à gérer les électeurs qui s'abstiennen t de v oter.
Dans ce cas, des autorités malv eillan tes p euv en t usurp er l'iden tité des v otan ts p our
p oster des v otes v alides qui seron t comptabilisés dans le résultat nal de v ote. De
plus la v aleur aléatoire utilisée par le v otan t p our masquer son v ote p eut dév oiler
31

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
la v aleur de son v ote et constitue un reçu qui p eut être utilisé par le v otan t p our
prouv er p our qui il a v oté.
1.5.4 P artage de secret
Il est parfois souhaitable d'éviter qu'une information ne soit conn ue ou qu'une
décision ne puisse être prise que par une seule p ersonne. Une solution réside dans la
division du secret : il est facile de découp er un secret en fragmen ts de telle manière
qu'il faille l'app ort de tous les déten teurs de fragmen ts p our le reconstituer. Ce
mécanisme est app elé lepartagedesecret : il s'agit de diviser une donnée secrète s ,
par exemple une clé ou un mot de passe, en plusieurs parts s1;:::;sn . Les parts du
secret son t réparties en tre n participan ts de telle sorte que seule la réunion de tous
ces participan ts, mettan t en comm un leurs informations, p ermet une reconstruction
conforme au secret original. Chaque sous-ensem ble de participan ts non éligible à
la reconstruction ne doit p osséder la moindre information sur le secret. De même,
les données que p ossède un seul participan t ne doiv en t rien lui apprendre sur le
secret. L'incon v énien t ma jeur de cette appro c he est que si une seule des parts vien t
à manquer, le secret sera dénitiv emen t inaccessible. De ce fait, une appro c he plus
sophistiquée consiste à pro duire les parts de secret de sorte que seul un nom bre
minim um de parts soit nécessaire p our reconstruire le secret inial. Nous dénissons
alors le sc héma de partage de secret à seuil (k;n) : il y an partss1;:::;sn distribuées
àn participan ts et seul un nom bre minimal k d'en tre eux son t autorisés à reconstruire
le secret. En d'autres termes la coalition de tout sous-ensem ble k1 de parts ne
fournit aucune information sur s , mais tout sous-ensem ble d'au moins k parts nous
amène à une reconstitution adéquate du secret s .
Notons que le partage de secret p eut être utilisé de diéren tes façons dans le
concept du v ote électronique. Nous rev enons a v ec plus de détails sur l'utilisation
des tec hniques de partage de secret dans le con texte du v ote électronique dans le
Chapitre 2.
1.6 Quelques exp ériences pratiques
Comme le mon tre la gure 1.3, de nom breux pa ys dans le monde on t exp érimen té
le v ote électronique. L'exp érience de c haque pa ys est diéren te : le v ote électronique
est toujours à l'essai dans de nom breux pa ys et est rejeté dans d'autres.
En F rance, le v ote électronique à été utilisé p our les élections législativ es en
2012 p our les français à l'étranger. En Australie, p our les élections de l'état de New
South W ales, plus de 280 000 v otan ts on utilisé le v ote électronique. En Estonie,
le v ote électronique est adopté p our les élections m unicipales depuis 2005, et p our
les élections nationales depuis 2007. En Suisse, de nom breux essais p our la mise en
32

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
place d'un système de v ote électronique on t été eectués. En 2013, une ordonnance
qui régit les conditions à remplir a été préparée. En Canada, le v ote électronique
est utilisé p our les élections m unicipales en On tario depuis 2003, et en No v a Scotia
depuis 2006.
P ar con tre, d'autre pa ys on t abandonné ou rejeté l'utilisation de v ote électro-
nique. En 2008 aux P a ys-Bas, le gouv ernemen t décide l'ab olition du v ote électro-
nique en in terdisan t l'utilisation des mac hines à v otee et du v ote par In ternet. En
2009, en Allemagne le gouv ernemen t a égalemen t décidé de rejeter l'utilisation des
mac hines à v oter jugées con traires à la réglemen tation du pro cessus de v ote : il
doit être p ossible p our un cito y en de v érier les étap es essen tielles d'un pro cessus
électoral, sans exp ertise particulière.
En Norv ège, l'année 2013 a marqué la n des essais p our la mise en place d'un
système de v ote électronique. La crain te des v otan ts que leur v ote puisse dev enir
public p ourrait compromettre le pro cessus démo cratique.
Figure 1.3  Ap erçu sur l'utilisation du v ote électronique dans le monde
Dans ce qui suit, nous présen tons brièv emen t deux exp ériences de mise en place
du v ote électronique dans deux pa ys diéren ts. La première concerne le système de
v ote électronique hors-ligne dans le P a ys-Bas. La deuxième présen te le pionner de
v ote électronique en ligne par In ternet : l'Estonie.
33

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
1.6.1 Les mac hines de v ote DRE aux P a ys-Bas
En 1965, la loi électorale néerlandaise a été mo diée p our p ermettre l'utilisation
du v ote électronique. En 1966, les premières mac hines de v ote on t été utilisées aux
P a ys-Bas [LC08]. Ces premières mac hines n'on t pas eues un réel succès et un rè-
glemen t a été créé p our sp écier les exigences supplémen taires de sécurité p our ces
mac hines. La ma jorité des mac hines de v ote p our les P a ys-Bas on t été fabriquées
par Nedap. Ces mac hines on t un b outon p our c haque candidat. Ils disp osen t de
deux écrans simples, un p our le v otan t et l'autre p our les autorités électorales (p our
activ er et paramétrer la mac hine). Les v otes son t sto c k és en mémoire de manière
redondan te, dans un ordre aléatoire [ABG09]. Malgré toutes sortes de problèmes ren-
con trés, y compris les erreurs de dép ouillemen t, le co de source inaccessible et non
v ériable et la dép endance à l'égard d'une tierce partie de conance (le monop ole
de Nedap / Gro enendaal : un bureau p our les résultats des élections), l'utilisation
de ces mac hines à été de plus en plus massif à tra v ers les années. En 2005, Nedap
ES3B a été utilisé par en viron 90% des v otan ts néerlandais [BdV16].
En 2006, l'organisation p our la sécurité et la co op ération en Europ e a en v o y é
une mission d'observ ation aux P a ys-Bas : plusieurs défaillances de sécurité on été
relev ées. P armi l'une d'en tre elles, nous p ouv ons citer l'utilisation d'une seule clé
ph ysique de dév errouillage qui est la même p our toutes les mac hines Nedap. De plus,
des clés de rec hange p euv en t être commandées séparémen t en ligne p our en viron un
euro c hacune [BdV16]. La solution à cette faille de sécurité p ourrait être résolue
d'une manière ecace, si la conception de ces clés se base sur le princip e de partage
de secret. A cet eet, le dév errouillage d'une seule mac hine ne p ourrait être eectué
que par plusieurs clés ph ysiques (ou v aleurs secrètes p ermettan t de reconstituer un
co de de dév errouillage) déten ues par un ensem ble d'autorités électorales. D'autres
attaques con tre le logiciel déplo y é sur les mac hines Nedaps on t été trouv é [Hal16].
P ar conséquen t, une pro cédure judiciaire con tre l'approbation de ces mac hines a été
lancée en 2007. L'utilisation des mac hines Nedap a été abandonnée. Quelques mois
plus tard, le gouv ernemen t annonce le retrait du règlemen t p our l'approbation des
mac hines de v ote. Ceci a emp êc hé la certication de nouv elles mac hines de v ote.
Malgré cette con tro v erse, le v ote électronique n'a jamais complètemen t disparu de
l'ordre du jour [Hal16]. En février 2015, le ministère des Aaires générales a annoncé
qu'ils souhaitaien t réin tro duire le v ote électronique . . .
1.6.2 Le système de v ote par In ternet en Estonie
Plusieurs pa ys on t exp érimen té le v ote par In ternet. L'Estonie a été le premier
pa ys au monde à utiliser le v ote par In ternet à l'éc helle nationale en 2005. Récem-
men t, duran t les élections parlemen taires nationales organisées en 2015 en Estonie,
plus de 30:5% des bulletins de v ote on t été transmis en ligne [Com15].
34

CHAPITRE 1. ÉT A T DE L'AR T SUR LES PR OTOCOLES DE V OTE
ÉLECTR ONIQUE
Les cito y ens estoniens qui v eulen t v oter en ligne se connecten t à un site W eb du
gouv ernemen t p our téléc harger l'application du v ote électronique. Chaque v otan t
s'authen tie à cette application en utilisan t sa carte d'iden tité nationale électronique
estonienne (m unis d'une puce et d'un co de secret à quatre c hires, comme sur les
cartes de crédit) et un lecteur de cartes à puce USB connecté à sa mac hine clien te.
P our v oter, le v otan t sélectionne un candidat de son c hoix. Le c hoix du v otan t est
crypté en utilisan t un cryptosystème asymétrique [Com10] a v ec la clé publique de
l'élection et certaines données aléatoires4. Ensuite, p our signer son v ote, le v otan t
utilise de nouv eau sa carte d'iden tité électronique. Cette carte sto c k e une seconde
clé (diéren te de celle de l'authen tication) qui v a être utilisée p our signer le v ote.
L'application demande au v otan t de saisir le co de secret autorisan t la carte à app oser
la signature électronique sur le v ote déjà crypté.
Le v ote crypté et signé est main tenan t en v o y é au serv eur de v ote. Ce dernier ren v oie
à l'application du v otan t un jeton unique et aléatoire. L'application conrme au
v otan t que son v ote a été soumis et lui ac he un co de QR basé sur les données
aléatoires utilisées p our crypter le v ote et le jeton reçu du serv eur de v ote. À l'aide
d'une application mobile (p our smartphone), le v otan t p eut scanner ce co de QR.
L'application mobile en v oie alors le jeton au serv eur de v ote qui rép ond en ren v o y an t
le v ote crypté. L'application mobile compare le v ote crypté reçu a v ec celui qui a été
soumis initialemen t par le v otan t p our s'assurer que le v ote a été correctemen t
enregistré par le serv eur de v ote5.
À la n de la phase de v ote électronique, tous les v otes enregistrés son t à nouv eau
v ériés et les signatures son t ensuite retirées des v otes. La liste résultan te de v otes
anon ymes et cryptés est enregistrée sur des supp orts n umériques qui son t transférés
v ers le serv eur de dép ouillemen t. Il s'agit d'une mac hine qui sto c k e la clé secrète
de l'élection. Cette clé secrète est utilisée p our décrypter et compter les v otes. Le
résultat nal est la somme des v otes p our c haque candidat.
Notons que la conception de la solution du v ote électronique estonienne comp orte
plusieurs lacunes de sécurité [SFD+14, Hal16]. P armi lesquelles nous p ouv ons citer
l'utilisation d'un seul serv eur de conance qui sto c k e la clé secrète de décryptage
des bulletins de v ote et qui se c harge de l'op ération de dép ouillemen t. L'utilisation
d'un seul serv eur est un risque éviden t de sécurité. Si un attaquan t p ouv ait d'une
manière ou d'une autre manipuler cette mac hine, rien ne garan tit que les résultats
des élections corresp onden t eectiv emen t aux v otes exprimés par les utilisateurs.
Il sera donc plus judicieux de partager la clé secrète en tre plusieurs serv eurs de
dép ouillemen t en se basan t sur les tec hniques de partage de secret (v oir Chapitre2).
4. Les données aléatoires son t sto c k ées sur la mac hine clien te p endan t un certain laps temps.
Elles serv en t par la suite p our la v érication des v otes
5. Ce mécanisme de v érication est actif duran t tren te min utes. Ceci p ermet de limiter la
p ossibilité de co ercition par un attaquan t qui demande la preuv e qu'un v otan t a b el et bien v oté
p our un candidat sp écique.
35