Procédé et système de vote électronique

Technique antérieure

L'invention se situe dans le contexte du vote électronique.

Le vote électronique peut notamment être envisagé pour juguler l'abstention, automatiser le dépouillement et réduire le coût d'organisation des élections. Toutefois le vote électronique ne peut se développer que si les systèmes de vote proposés présentent de solides garanties de sécurité et sont ouverts à une vérification indépendante et aisément accessible aux électeurs.

La mise en place d'un système de vote électronique sûr pose de nombreuses difficultés inhérentes à la multiplicité des exigences de sécurité souvent antinomiques. Par exemple, l'électeur doit être authentifié, pour vérifier qu'il est bien inscrit sur les listes électorales, mais son vote doit rester secret (pour l'éternité). Il doit pouvoir s'assurer non seulement que son bulletin, ainsi que ceux des autres votants, est bien présent dans l'urne ; c'est la vérifiabilité individuelle. Il doit pouvoir s'assurer également que le résultat de l'élection correspond bien aux votes exprimés par des électeurs légitimes ; c'est la vérifiabilité universelle. Il doit aussi être incapable de prouver à autrui pour qui il a voté, de manière à décourager toute tentative de corruption ou d'extorsion sous la menace ; c'est l'exigence « receipt-freeness » en anglais, ou « sans reçu » en français.

Un article de Benoît Chevallier-Marnes, Pierre-Alain Fouque, David Pointcheval, Julien Stern, Jacques Traoré : "On Some Incompatible Properties of Voting Schemes", Towards Trustworthy Elections - New Directions in Electronic Voting. Lecture Notes in Computer Science 6000, Springer 2010, ISBN 978-3-642-12979-7, pages 191-199. » a démontré qu'il est impossible, pour un protocole de vote en ligne, de concilier la vérifiabilité du décompte des voix, ou vérifiabilité universelle, et le secret absolu du vote : un protocole qui garantirait l'une de ces propriétés le ferait nécessairement au détriment de l'autre.

Au niveau académique, plusieurs protocoles de vote en ligne ont été élaborés au cours de ces dernières années. Ils ont le plus souvent recours de manière importante à la cryptographie pour garantir à la fois le secret souvent calculatoire du vote et/ou la vérifiabilité individuelle voire universelle des résultats.

On connaît en particulier le protocole Helios développé par des chercheurs de l'Université d'Harvard et de l'Université catholique de Louvain et le protocole Belenios proposé par des chercheurs de l'INRIA et du CNRS.

L'un comme l'autre assure la vérifiabilité universelle des résultats et le secret calculatoire du vote. Mais ces protocoles rendent publique la liste d'émargement et permettent, de manière indirecte, la mise en relation de l'identité de l'électeur avec l'expression de son vote.

La présente invention vise une solution de vote électronique qui ne présente pas cet inconvénient. Objet et résumé de l'invention

Selon un premier aspect, l'invention concerne un procédé de préparation d'un scrutin dans un système de vote électronique, ce procédé comportant :

- une étape de génération, par chaque module d'une pluralité de modules assesseurs d'un bureau de vote virtuel, d'une clé privée de déchiffrement partiel pour au moins un algorithme de chiffrement à seuil ;

- une étape de génération d'une clé publique pour chaque algorithme de chiffrement et de la clé privée correspondante;

- une étape de calcul, pour au moins une entité électeur autorisée à participer au scrutin, d'une valeur publique à partir d'une paire de clés d'un algorithme de signatures anonymes traçables, ladite valeur publique étant destinée à être utilisée par ladite entité électeur en association avec une clé privée de ladite entité électeur pour générer une clé publique anonyme, ladite clé privée étant destinée à être utilisée par ladite entité électeur pour calculer au moins une signature dans le cadre du scrutin, l'anonymat d'une signature ainsi obtenue ne pouvant être révoqué que par une entité de confiance, ladite entité électeur étant configurée pour obtenir sa dite clé publique anonyme de manière aveugle.

Corrélativement, l'invention vise un système de préparation d'un scrutin dans un système de vote électronique, ce système comportant :

- un module de génération, par chaque module assesseur d'un bureau de vote virtuel, d'une clef privée de déchiffrement partiel pour au moins un algorithme de chiffrement à seuil ;

- un module de génération d'une clé publique pour chaque algorithme de chiffrement et de la clé privée correspondante;

- un module de calcul, pour au moins une entité électeur autorisée à participer au scrutin, d'une valeur publique à partir d'une paire de clés d'un algorithme de signatures anonymes traçables, ladite valeur publique étant destinée à être utilisée par ladite entité électeur en association avec une clé privée de ladite entité électeur pour générer une clé publique anonyme, ladite clé privée étant destinée à être utilisée par ladite entité électeur pour calculer au moins une signature dans le cadre du scrutin, l'anonymat d'une signature ainsi obtenue ne pouvant être révoqué que par une entité de confiance, ladite entité électeur étant configurée pour obtenir (sa dite clé publique anonyme de manière aveugle.

L'invention propose ainsi d'utiliser un schéma, ou algorithme, de signatures anonymes traçables dans un contexte de vote électronique. Elle garantit ainsi, à un utilisateur d'une entité électeur, le secret absolu de son vote sauf pour les administrateurs de l'entité de confiance, seuls aptes à révoquer ou lever l'anonymat du votant, par exemple dans le cas d'une procédure de recours.

En particulier, l'entité électeur obtient sa clé publique anonyme de manière aveugle. Ceci implique en particulier que les autorités de confiance qui produisent ces clés n'en ont pas connaissance. Un électeur ne peut donc pas soupçonner qu'une autorité de confiance ait utilisé sa clé pour voter à sa place.

Pour obtenir de manière aveugle sa clé publique anonyme, une entité électeur peut par exemple :

dans un premier mode de réalisation, obtenir un générateur publié par une autorité de confiance, et calculer sa clé publique anonyme à partir de ce générateur et d'une clé privée de cette entité électeur, par exemple en élevant le générateur à une puissance obtenue à partir de cette clé privée ; et

dans un deuxième mode de réalisation, recevoir des données d'une autorité de confiance, et calculer sa clé publique anonyme à partir de ces données et d'une clé privée de cette entité électeur.

On rappelle qu'un schéma de signatures anonymes est une variante d'un schéma de signature de groupe. La signature anonyme traçable utilisée dans l'invention peut permettre à une entité électeur de prouver son appartenance à un groupe, par exemple aux groupes des entités électeurs légitimes sans qu'elle ait à révéler son identité.

La signature anonyme utilisée dans l'invention est traçable ; par conséquent, il est possible, dans le contexte de l'invention de déterminer si deux signatures ont été émises par la même entité électeur ou par deux entités électeurs distinctes. La validité d'une signature peut être vérifiée par quiconque grâce à une clé publique caractérisant le groupe. Dans un premier exemple de réalisation la clé publique caractérisant le groupe est un ensemble de clés publiques anonymes. Dans un deuxième exemple de réalisation, cette clé est commune à l'ensemble des entités électeurs et est appelée "clé publique de groupe". Cette traçabilité peut être utilisée pour s'assurer qu'une entité électeur ne vote qu'une seule fois dans le cadre d'un scrutin.

Dans un mode particulier de réalisation, l'algorithme de signatures anonymes traçables utilisé dans l'invention est l'algorithme de signature ECDSA (pour « Elliptic Curve Digital Signature Algorithm ») ou la variante sur courbe elliptique de l'algorithme de signature de Schnorr.

L'invention utilise un algorithme de chiffrement à seuil pour chiffrer les votes électroniques, de sorte que la clé privée de déchiffrement est un secret réparti entre plusieurs modules assesseurs, les clés privées de chacun des modules assesseurs ne lui permettant de n'effectuer que des déchiffrements partiels d'un vote. Pour déchiffrer un vote, la coopération d'un nombre prédéfini, ou seuil, de ces modules assesseurs est donc requise. En notant s le seuil et n le nombre de modules assesseurs entre lesquels le secret est réparti, on ne peut déchiffrer un vote que si au moins s modules assesseurs sur les n coopèrent, et ce sans qu'il soit nécessaire de reconstituer la clé privée de déchiffrement.

Dans un mode particulier de réalisation, le bureau de vote virtuel comporte au moins trois assesseurs virtuels, indépendants. Dans un mode de réalisation, seuls ces modules assesseurs peuvent procéder au dépouillement du scrutin. Dans un mode particulier de réalisation, chaque module assesseur du bureau dispose d'une clé de déchiffrement partiel et il faut en réunir au moins deux sur les trois pour procéder au dépouillement d'un bulletin.

Dans un mode particulier de réalisation du procédé de préparation d'un scrutin selon l'invention, les clés publiques anonymes sont obtenues par au moins une permutation et au moins une anonymisation de clés publiques propres aux entités électeurs, l'anonymisation étant obtenue en utilisant une clé secrète d'une paire de clés, pour l'algorithme de signatures anonymes traçables, d'au moins une entité de confiance.

Dans un mode de réalisation, ce procédé comporte une étape de publication :

- d'une liste électorale comportant les identifiants des entités électeurs et leurs clés publiques propres ; et

- d'une liste des clés publiques anonymes.

Dans un mode particulier de réalisation, on utilise deux entités de confiance, à savoir :

- une entité organisateur dont un rôle principal consiste à préparer et fournir la liste électorale et à recevoir les résultats et ;

- une entité d'enregistrement, celle-ci pouvant être en charge de la fourniture du matériel de vote et de l'envoi de ce matériel aux entités électeurs. Cette entité peut aussi être chargée, en collaboration avec l'entité organisateur, d'anonymiser la liste électorale et/ou de fournir les clés privées de groupe aux électeurs dûment enregistrés sur la liste électorale. Elle peut produire, en collaboration avec l'entité organisateur, et par exemple à la demande d'un juge, la liste d'émargement. Ce rôle d'enregistrement peut être exercé, pour plus de sécurité, par plusieurs entités et non une seule.

Dans un mode particulier de réalisation de l'invention, l'algorithme de chiffrement à seuil utilisé est un algorithme de chiffrement homomorphe additif à seuil. On rappelle qu'un tel mécanisme permet à partir d'un chiffré d'un message rri _! et d'un chiffré d'un message m ₂ d'obtenir un chiffré du message mi+ m ₂ .

Plus précisément, dans un mode de réalisation de l'invention, le schéma de chiffrement homomorphe additif à seuil utilisé dans l'invention est une variante du schéma de chiffrement d'EI Gamal.

On rappelle que le principe de fonctionnement du schéma de chiffrement d'EI Gamal est le suivant. Soient G un groupe cyclique d'ordre premier p et g _T un générateur de G. Ce schéma utilise des clés dans lesquelles la clé privée est un élément x _T e Z ^* et la clé publique est la paire ( _, g _T , h _T = g* ^T ). Pour chiffrer un message m e G, on choisit aléatoirement un élément r e Z ^* puis on calcule (C _x = g¾., C ₂ = m x h _j ). Le chiffré du message m est la paire (C _x , C ₂ ). Le déchiffrement s'effectue en calculant : m =

Dans un mode de réalisation, l'invention utilise un schéma dans lequel pour chiffrer un message m e Z ^* : on choisit aléatoirement un élément r e Z ^* puis on calcule (C _x = gx, C ₂ = g ^m x h¾ où g est un générateur additionnel, choisi aléatoirement, de G, qui fait partie des paramètres publics du système. Nous supposerons en particulier que le logarithme discret de g en base h _T est inconnu de tous. Le chiffré du message m est la paire (C^ Cz). Le déchiffrement du message s'effectue en calculant g ^m = y _cxT , puis par recherche exhaustive, on retrouve m à partir de g ^m .

Si m est « petit », ce qui est le cas dans le contexte du protocole de vote car la valeur de m sera en fait bornée par le nombre de votants, le message pourra être retrouvé de manière quasi instantanée en utilisant l'algorithme de Shanks.

L'invention n'impose pas d'utiliser un schéma de chiffrement homomorphe. En variante, on peut utiliser un réseau de mélangeurs pour brasser les bulletins. On rappelle que le concept de réseaux de mélangeurs, ou « mix-networks » en anglais, permet de garantir la confidentialité des votes dans un système de vote électronique. Un mélangeur est un serveur qui prend en entrée un nombre arbitraire de données et qui a pour but de cacher la correspondance entre ces données et celles qu'il produira en sortie. L'utilisation de plusieurs mélangeurs en série (on parle dans ce cas de réseaux de mélangeurs) permet d'être sûr du résultat final dès lors qu'un des mélangeurs a réellement brassé les données. En pratique les données reçues en entrée du réseau de mélangeurs peuvent être des données chiffrées, en l'espèce les votes des électeurs, et le brassage effectué par le réseau permet de ne plus pouvoir tracer qui a chiffré quoi. On exige généralement des mélangeurs qu'ils prouvent qu'ils ont bien fait leur travail, c'est-à-dire que le brassage a bien été effectué et que des chiffrés n'ont pas été modifiés, rajoutés ou supprimés. La technique proposée par Jakobsson, Juels, et Rivest, connue sous le nom de RPC (Random Partial Checking) peut être utilisée pour réaliser ce type de preuve à divulgation nulle de connaissance.

A ce sujet, on rappelle qu'une preuve de connaissance dite à divulgation nulle de connaissance permet à un vérifieur de se convaincre qu'un certain prouveur connaît un secret satisfaisant un prédicat donné. La preuve ne révèle au vérifieur aucune information sur le secret en question.

Selon un deuxième aspect, l'invention vise un procédé de vote électronique mis en oeuvre par une entité électeur dans le cadre d'un scrutin, ce procédé comportant :

- une étape d'obtention d'une clé publique pour au moins un algorithme de chiffrement à seuil ;

- une étape d'obtention d'une paire de clés d'un algorithme de signatures anonymes traçables, cette paire de clés comportant une clé publique anonyme obtenue de manière aveugle et une clé privée destinée à être utilisée par ladite entité électeur pour calculer au moins une signature dans le cadre du scrutin, l'anonymat d'une signature anonyme ainsi obtenue ne pouvant être révoqué que par au moins une entité de confiance ;

- une étape de choix d'un vote ;

- une étape de calcul d'un engagement sur ce vote ; - une étape de calcul d'un chiffré de ce vote, ce chiffré étant calculé en utilisant un dit algorithme de chiffrement à seuil ;

- une étape de calcul d'une signature anonyme traçable dudit engagement en utilisant la clef privée de l'algorithme de signatures anonymes traçables ;

- une étape d'envoi d'un bulletin de vote comportant au moins cet engagement, le chiffré, et la signature anonyme traçable de l'entité électeur à une urne privée virtuelle.

Corrélativement, l'invention vise aussi une entité électeur pouvant être utilisée dans le cadre d'un scrutin comportant :

- un module d'obtention d'une clé publique pour au moins un algorithme de chiffrement à seuil ;

- un module d'obtention d'une paire de clés d'un algorithme de signatures anonymes traçables, cette paire de clés comportant une clé publique anonyme et une clé privée destinée à être utilisée par cette entité électeur pour calculer au moins une signature dans le cadre du scrutin, l'anonymat d'une signature anonyme ainsi obtenue ne pouvant être révoqué que par au moins une entité de confiance;

- un module d'obtention d'un choix d'un vote ;

- un module de calcul d'un engagement sur le vote ;

- un module de calcul d'un chiffré du vote en utilisant un dit algorithme de chiffrement à seuil ;

- un module de calcul d'une signature anonyme traçable de cet engagement en utilisant la clef privée de l'algorithme de signatures anonymes traçables ;

- un module d'envoi d'un bulletin de vote comportant cet engagement, le chiffré, et la signature anonyme traçable de l'entité électeur à une urne privée virtuelle.

Dans le mode de réalisation décrit ici, l'urne privée virtuelle peut être un serveur administré par le bureau de vote. Son rôle peut être de collecter les bulletins émis par les entités électeurs, de les vérifier et de ne conserver que les bulletins valides.

Dans un mode de réalisation, chaque bulletin de vote valide peut comporter trois éléments : un engagement sur le vote, un chiffré de ce vote et une signature anonyme de l'entité électeur sur l'engagement.

Dans un mode de réalisation, chaque bulletin de vote valide peut comporter quatre éléments : un engagement sur le vote ainsi que sur une valeur aléatoire, un chiffré du vote, un chiffré de la valeur aléatoire, et une signature anonyme de l'entité électeur sur l'engagement. Ce mode de réalisation peut en particulier être mis en oeuvre lorsque l'engagement utilise une fonction de hachage, le condensé étant calculé sur le vote et sur une variable aléatoire.

Dans un mode de réalisation, chaque bulletin de vote valide peut comporter cinq éléments : un engagement sur le vote ainsi que sur une valeur aléatoire, un chiffré du vote, un chiffré de la valeur aléatoire, une preuve que le vote correspond à un vote pour un des candidats en lice et une signature anonyme de l'entité électeur sur l'engagement et sur la preuve.

Dans un mode de réalisation, chaque bulletin de vote valide peut comporter six éléments : un engagement sur le vote ainsi que sur une valeur aléatoire, un chiffré du vote, un chiffré de la valeur aléatoire, une première preuve que le vote correspond à un vote pour un des candidats en lice, une deuxième preuve que les textes clairs associés aux chiffrés, à savoir le vote et la variable aléatoire, sont ceux qui ont été mis en gage dans l'engagement, et une signature anonyme de l'entité électeur sur l'engagement et sur la première preuve.

Dans un mode particulier de réalisation de l'invention, l'urne privée virtuelle est administrée de manière décentralisée, par exemple selon le principe d'une chaîne de blocs privée.

Dans un mode particulier de réalisation, l'urne privée virtuelle peut transmettre, pour chaque bulletin valide :

l'engagement sur le vote ou sur le vote et sur la valeur aléatoire ;

la signature anonyme ; et éventuellement

la preuve que le vote correspond à un vote pour un des candidats en lice.

L'engagement, ou mise en gage, sur le vote permet à l'entité électeur de s'engager sur le vote sans le dévoiler a priori et que cet engagement ne soit plus modifiable a posteriori. Ainsi, l'entité urne privée virtuelle a l'assurance que l'entité électeur ne peut plus changer son vote.

Dans un mode de réalisation de l'invention, l'engagement est réalisé en utilisant une fonction de hachage. Une telle fonction est difficile à inverser de sorte que personne n'est en mesure d'obtenir le vote lui-même.

Dans un mode de réalisation, l'invention utilise le schéma de mise en gage proposé de Pedersen. Ce schéma a la particularité de produire des engagements parfaitement non distinguables (« perfectly hiding » en anglais), d'être résistants aux collisions et d'être homomorphe pour l'addition.

Dans un mode particulier de réalisation, le procédé de vote selon l'invention comporte :

- une étape de génération d'une valeur aléatoire, l'engagement portant sur le vote et sur la valeur aléatoire ;

- une étape de calcul d'un chiffré de la valeur aléatoire, en utilisant un dit algorithme de chiffrement à seuil ; et dans lequel

- ledit bulletin de vote comporte en outre ce chiffré.

Dans un mode particulier de réalisation, le procédé de vote selon l'invention comporte :

- une étape de génération d'une première preuve à divulgation nulle de connaissance prouvant que le vote mis en gage au travers de l'engagement porte sur des candidats en lice ; et/ou

- une étape de génération d'une deuxième preuve à divulgation nulle de connaissance prouvant que les textes clairs associés auxdits chiffrés sont ceux qui ont été mis en gage dans l'engagement ; et dans lequel

- ledit bulletin de vote comporte en outre au moins une de ces preuves.

L'invention vise aussi un procédé de dépouillement d'un vote dans le cadre d'un scrutin, ce procédé comportant: - une étape d'obtention, par chacun d'une pluralité de modules assesseurs, d'une clé privée de déchiffrement partiel pour au moins un algorithme de chiffrement à seuil ;

- une étape d'obtention, après la clôture du scrutin, et par chacun d'une pluralité de modules assesseurs, d'au moins un bulletin de vote collecté par une urne privée virtuelle, chaque bulletin de vote comportant un engagement sur un vote, un chiffré du vote et une signature anonyme traçable d'une entité électeur ;

- une étape d'obtention par chacun desdits modules assesseurs, d'un chiffré d'un résultat du scrutin ;

- une étape, mise en oeuvre par chacun desdits modules assesseurs, de déchiffrement partiel dudit chiffré à l'aide de sa clé privée de déchiffrement partiel ;

- lorsqu'un nombre prédéterminé de modules assesseurs correspondant au seuil ont procédé au déchiffrement partiel dudit chiffré, une étape d'obtention conjointe d'un résultat du scrutin ; et

- une étape de publication du résultat.

Corrélativement, l'invention concerne un système de dépouillement électronique d'un scrutin, ce système comportant :

- une pluralité de modules assesseurs configurés pour recevoir une clé privée de déchiffrement partiel pour au moins un algorithme de chiffrement à seuil ;

- ces modules étant configurés pour obtenir, après la clôture d'un scrutin, des bulletins de vote collectés par une urne privée virtuelle, chaque bulletin de vote comportant un engagement sur un vote, un chiffré du vote, et une signature anonyme traçable d'une entité électeur;

- ces modules étant configurés pour obtenir un chiffré du résultat du scrutin ;

- ces modules étant configurés pour déchiffrer partiellement le chiffré à l'aide de leur clé privée de déchiffrement partiel ;

- ces modules étant configurés pour coopérer, dès lors qu'un nombre prédéterminé d'entre eux correspondant au seuil ont procédé audit déchiffrement partiel du chiffré, afin d'obtenir conjointement un résultat du scrutin ; et

- ces modules étant configurés pour publier le résultat.

Dans un mode de réalisation de l'invention dans lequel les engagements portent sur le vote et sur une valeur aléatoire et dans lequel les bulletins de vote comportent en outre un chiffré de la valeur aléatoire, ledit procédé de dépouillement d'un vote comporte en outre :

- une étape d'obtention, par chacun des modules assesseurs d'un chiffré de la somme des dites valeurs aléatoires ;

- une étape, mise en oeuvre par chacun des modules assesseurs, du déchiffrement partiel de ce chiffré à l'aide de sa clé privée de déchiffrement partiel ;

- lorsque le nombre prédéterminé de modules assesseurs ont procédé au déchiffrement partiel de ce chiffré, une étape d'obtention conjointe de la somme des valeurs aléatoires ; et

- une étape de publication de cette somme. Comme mentionné précédemment, les bulletins de vote peuvent aussi comporter une première preuve à divulgation nulle de connaissance prouvant que le vote mis en gage au travers de l'engagement porte sur des candidats en lice et/ou une deuxième preuve à divulgation nulle de connaissance prouvant que les textes clairs associés aux chiffrés sont ceux qui ont été mis en gage dans l'engagement.

Dans un mode particulier de réalisation, l'invention utilise un premier algorithme de chiffrement à seuil pour calculer un chiffré sur un vote et un deuxième algorithme de chiffrement à seuil pour calculer un chiffré sur une valeur aléatoire utilisée dans un engagement sur ledit vote, une clé privée de déchiffrement partiel étant générée pour chaque module assesseur et pour chacun des algorithmes.

L'invention vise aussi un procédé de validation et d'archivage d'un vote électronique dans le cadre d'un scrutin, ce procédé étant mis en oeuvre par urne privée virtuelle et comportant :

- une étape de réception d'un bulletin de vote comportant au moins un engagement sur un vote, un chiffré du vote, un chiffré d'une valeur aléatoire utilisée dans l'engagement du vote et une signature anonyme traçable d'une entité électeur ;

- une étape de vérification de la signature anonyme traçable ;

- une étape de vérification de l'absence dans l'urne privée virtuelle d'au moins deux bulletins de vote comportant des signatures anonymes traçables associées à une même clé publique anonyme ;

- si le résultat desdites vérifications est positif, une étape d'envoi à une urne publique virtuelle d'un bulletin de vote tronqué comportant l'engagement et la signature anonyme traçable ;

- une étape de stockage des bulletins de vote jusqu'à l'expiration d'un délai de recours.

Corrélativement, l'invention concerne un dispositif de validation et d'archivage d'un vote électronique dans le cadre d'un scrutin, ce dispositif étant associé à une urne privée virtuelle et comportant :

- un module de réception d'un bulletin de vote comportant au moins un engagement sur un vote, un chiffré du vote, un chiffré d'une valeur aléatoire utilisée dans l'engagement du vote et une signature anonyme traçable d'une entité électeur ;

- un module de vérification de ladite signature anonyme traçable ;

- un module de vérification de l'absence dans l'urne privée virtuelle d'au moins deux bulletins de vote comportant des signatures anonymes traçables associées à une même clé publique anonyme;

- un module configuré pour envoyer, si le résultat desdites vérifications est positif, à une urne publique virtuelle, un bulletin de vote tronqué comportant cet engagement et ladite signature anonyme traçable;

- un module de stockage des bulletins de vote jusqu'à l'expiration d'un délai de recours.

Dans un mode de réalisation, les bulletins de vote sont détruits à l'expiration de ce délai de recours. Dans un mode de réalisation, le bulletin de vote comporte en outre une première preuve à divulgation nulle de connaissance prouvant que le vote mis en gage au travers de l'engagement porte sur des candidats en lice et/ou une deuxième preuve à divulgation nulle de connaissance prouvant que les textes clairs associés aux chiffrés sont ceux qui ont été mis en gage dans l'engagement ;

- ledit procédé de validation et d'archivage comportant en outre une étape de vérification de ces preuves à divulgation nulle de connaissance ;

- le bulletin de vote tronqué envoyé à l'urne publique virtuelle si le résultat des vérifications est positif, comportant la première preuve.

Dans un mode de réalisation de l'invention, le rôle de l'urne publique virtuelle est de conserver les « éléments de preuve », c'est-à-dire les engagements et les signatures transmises par l'urne privée, qui permettront d'auditer l'élection.

Cette urne publique virtuelle permet à chaque entité électeur de vérifier à tout moment, comme pour une élection traditionnelle, que son bulletin électronique figure bien dans l'urne publique virtuelle, qu'il n'a pas été modifié et que seules les entités électeurs légitimes ont voté. Cependant, l'urne publique ne permet pas de connaître l'identité des entités électeurs ayant participé au vote.

Dans un mode de réalisation, une blockchain publique pourrait faire office d'urne publique afin d'offrir plus de transparence aux électeurs et de garantir la sincérité du scrutin.

En effet, conformément à l'invention, le résultat de l'élection est vérifiable par tous, dans le cadre d'une procédure d'audit. En particulier, conformément à cette procédure, un observateur peut vérifier grâce aux signatures et aux engagements que tous les bulletins tronqués publiés sur l'urne virtuelle publique proviennent bien d'électeurs légitimes et que ceux-ci n'ont voté qu'une seule fois.

Par conséquent, l'invention vise aussi un procédé d'audit d'un scrutin dans lequel:

- les bulletins de vote sont stockés dans une urne privée virtuelle, chaque bulletin de vote comportant un engagement sur un vote et sur une valeur aléatoire, un chiffré du vote, un chiffré de ladite valeur aléatoire et une signature anonyme traçable d'une entité électeur;

- des bulletins de vote tronqués obtenus à partir de ces bulletins de vote sont stockés dans une urne publique virtuelle, chaque bulletin de vote tronqué comportant ledit engagement et la signature anonyme traçable,

ledit procédé comportant :

- une étape d'obtention, à l'issue d'un dépouillement des bulletins de vote, d'un résultat du scrutin et d'une valeur correspondant à la somme des valeurs aléatoires ;

- une étape d'obtention des bulletins de vote tronqués stockés dans l'urne publique virtuelle ;

- une étape de vérification des signatures anonymes traçables, des bulletins de vote tronqués et de vérification que l'urne publique ne comporte pas au moins deux bulletins de vote tronqués comportant des signatures anonymes traçables associées à une même clé publique anonyme ; - une étape de calcul d'un engagement d'audit à partir des engagements de tous les bulletins de vote tronqués,

- une étape de détermination d'un résultat d'audit en comparant l'engagement d'audit avec un engagement calculé sur le résultat et sur la valeur.

Corrélativement, l'invention concerne un dispositif d'audit d'un scrutin dans lequel :

- les bulletins de vote sont stockés dans une urne privée virtuelle, chaque bulletin de vote comportant un engagement sur un vote et sur une valeur aléatoire, un chiffré du vote, un chiffré de la valeur aléatoire et une signature anonyme traçable d'une entité électeur ;

- des bulletins de vote tronqués obtenus à partir des bulletins de vote sont stockés dans une urne publique virtuelle, chaque bulletin de vote tronqué comportant l'engagement et la signature anonyme traçable,

ce dispositif comportant :

- un module d'obtention, à l'issue d'un dépouillement des bulletins de vote, d'un résultat du scrutin et d'une valeur correspondant à la somme des valeurs aléatoires ;

- un module d'obtention des bulletins de vote tronqués stockés dans l'urne publique virtuelle ;

- un module de vérification des signatures anonymes traçables desdits bulletins de vote tronqués et de vérification de l'absence dans ladite urne publique d'au moins deux bulletins de vote tronqués comportant des signatures anonymes traçables associées à une même clé publique anonyme ;

- un module de calcul d'un engagement d'audit à partir des engagements de tous les bulletins de vote tronqués,

- un module de détermination d'un résultat d'audit en comparant l'engagement d'audit avec un engagement calculé sur ledit résultat et sur ladite valeur.

Dans un mode de réalisation, les bulletins de vote comportent en outre une première preuve à divulgation nulle de connaissance prouvant que le vote mis en gage au travers de l'engagement porte sur des candidats en lice et/ou une deuxième preuve à divulgation nulle de connaissance prouvant que les textes clairs associés aux chiffrés sont ceux qui ont été mis en gage dans l'engagement et les bulletins de vote tronqués comportant en outre cette première preuve.

L'invention garantit à un utilisateur le secret absolu de son vote sauf pour les entités assesseurs qui, si elles agissent conjointement, sont les seules aptes à lever l'anonymat d'un vote, par exemple dans le cas d'une procédure de recours.

Par ailleurs, l'invention vise aussi un procédé de recours mis en oeuvre par un système de recours à l'issue d'un scrutin auquel ont participé des entités électeurs, des identifiants et des clés publiques propres respectives de ces entités électeurs étant enregistrés dans une liste électorale, les clés publiques propres étant conformes à un schéma de signatures anonymes traçables, le procédé comportant :

- une étape d'obtention d'une liste des clés publiques anonymes utilisées par les entités électeurs, pour produire des signatures conformes audit schéma et comprises dans des bulletins de vote ; - une étape de génération, par au moins une entité de confiance, d'une liste de recours dont les éléments sont des clés publiques ré-identifiées obtenues en levant l'anonymat des clés publiques de cette liste; et

- une étape de vérification que les clés publiques ré-identifiées de la liste de recours sont toutes comprises dans la liste électorale.

Corrélativement, l'invention vise un système de recours configuré pour procéder à un recours à l'issue d'un scrutin auquel ont participé des entités électeurs, des identifiants et des clés publiques propres respectives des entités électeurs étant enregistrés dans une liste électorale, les clés publiques propres étant conformes à un schéma de signatures anonymes traçables, dans lequel :

- au moins une entité de confiance est configurée pour générer une liste de recours dont les éléments sont des clés publiques ré-identifiées obtenues en levant l'anonymat de clés publiques contenues dans une liste de clés publiques anonymes utilisées par les entités électeurs pour produire des signatures conformes audit schéma et comprises dans des bulletins de vote ;

- ledit système comportant un module de contrôle configuré pour vérifier que les clés publiques réidentifiées de la liste de recours sont toutes comprises dans ladite liste électorale.

Dans un mode particulier de réalisation, le procédé de recours selon l'invention comporte une étape d'établissement d'une liste d'émargement établissant l'identité des entités électeurs ayant participé au scrutin, en rapprochant la liste de recours et la liste électorale.

L'invention vise aussi un procédé de vote électronique comportant :

- la mise en oeuvre d'un procédé de préparation d'un scrutin tel que mentionné ci-dessus ;

- la mise en oeuvre d'un procédé de vote tel que mentionné ci-dessus ;

- la mise en oeuvre d'un procédé de dépouillement tel que mentionné ci-dessus;

- la mise en oeuvre d'un procédé de validation et d'archivage tel que mentionné ci-dessus;

- éventuellement la mise en oeuvre d'un procédé d'audit tel que mentionné ci-dessus; et

- éventuellement la mise en oeuvre d'un procédé de recours tel que mentionné ci-dessus.

L'invention vise aussi un système de vote électronique comportant au moins un dispositif de préparation d'un scrutin, une entité électeur, un système de dépouillement électronique, un dispositif de validation et d'archivage, un dispositif d'audit et un système de recours tels que mentionnés ci-dessus.

Dans un mode particulier de réalisation, les différentes étapes des procédés selon l'invention sont déterminées par des instructions de programmes d'ordinateurs.

En conséquence, l'invention vise aussi un programme d'ordinateur, sur un support d'informations, ce programme comportant des instructions adaptées à la mise en oeuvre d'au moins un procédé tel que mentionné ci-dessus.

Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations lisible par un ordinateur, et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.

Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple un disque dur.

D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.

Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.

Selon un autre aspect, ce document divulgue également un deuxième procédé de génération de clés pour un schéma de signatures anonymes SigA ₂ , ce procédé comportant :

- une étape de calcul, par au moins une entité de révocation, d'une paire de clés de révocation comportant une clé publique et une clé privée, cette, clé privée pouvant être utilisée par cette entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA ₂ ;

- une étape d'enregistrement, par une entité d'administration d'un groupe, d'au moins une entité membre auprès du groupe;

- une étape de calcul, à partir de la clé publique de la paire de clé de révocation, d'un générateur de trace, ledit générateur de trace étant destiné à être utilisé par chaque entité membre enregistrée dans le groupe pour générer une trace représentative de cette entité membre et invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma SigA ₂ ;

- chaque entité membre étant configurée pour obtenir de façon aveugle une clé privée de groupe, cette clé privée étant utilisée par cette entité membre pour générer des signatures anonymes conformes au schéma SigA ₂ , ces signatures anonymes comportant la trace.

Corrélativement, ce document divulgue un système de génération de clés pour le schéma de signatures anonymes SigA ₂ , ce système comportant :

- au moins une entité de révocation configurée pour calculer une paire de clés de révocation comprenant une clé publique et une clé privée, cette clé privée pouvant être utilisée par l'entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA ₂ ;

- une entité d'administration de groupe configurée pour enregistrer au moins une entité membre auprès dudit groupe;

- l'entité de révocation étant configurée pour calculer, à partir d'une clé publique de la paire de clés de révocation, un générateur de trace, ce générateur de trace étant destiné à être utilisé par chaque entité membre pour générer une trace représentative de cette entité membre, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément audit schéma SigA ₂ ;

- chaque entité membre étant configurée pour obtenir de façon aveugle une clé privée de groupe, cette clé privée étant utilisée par l'entité membre pour générer des signatures anonymes conformes au schéma SigA ₂ , ces signatures anonymes comportant la trace.

Le schéma SigA ₂ est un schéma de signatures anonymes dans lequel les signatures de groupe sont traçables.

De façon avantageuse, et contrairement aux attestations anonymes directes, l'anonymat d'une signature anonyme générée par les membres du groupe conformément au schéma SigA ₂ peut être levé par les entités de révocation.

Ce schéma SigA ₂ s'avère par ailleurs plus efficace, en particulier en termes de temps de calcul, que les schémas d'attestations anonymes directes DAA ou de signatures de groupe de l'état de la technique. La sécurité de ce schéma de signatures anonymes s'appuie par ailleurs sur une hypothèse de sécurité dite « non-interactive » considérée comme plus « standard » par la communauté cryptographique qu'une hypothèse de sécurité dite « interactive » (par exemple faisant appel à un oracle) sur lesquelles s'appuient les schémas d'attestations anonymes directes les plus efficaces de l'état de la technique. Un tel schéma de signatures anonymes offre ainsi une meilleure sécurité.

Dans un mode particulier de réalisation, ce deuxième procédé de génération de clés proposé comporte :

- une étape de génération d'une paire de clés du schéma SigA ₂ pour l'entité d'administration du groupe ;

- la clé publique de la paire de clé de révocation étant calculée à partir d'une clé publique de cette paire de clés.

Dans un mode particulier de réalisation de ce deuxième procédé de génération de clés, le générateur de trace est renouvelé périodiquement.

Dans un mode particulier de réalisation de ce deuxième procédé de génération de clé, le générateur de trace est spécifique à un service donné. Le service correspond par exemple à un scrutin spécifique.

En effet, de par ces fonctionnalités, le deuxième procédé de génération de clés proposé peut s'appliquer au vote électronique. Il offre en effet un schéma de signature :

- anonyme ce qui permet d'assurer le secret du vote ;

- traçable ce qui permet de s'assurer qu'un électeur ne vote pas deux fois ;

- dans lequel les anonymats des signatures sont révocables, permettant ainsi à des entités de révocation, en cas de recours par exemple, d'établir une liste d'émargement du scrutin.

L'invention vise aussi un deuxième procédé de signature anonyme d'un message, ce procédé étant mis en oeuvre par une entité membre d'un groupe et comportant : - une étape d'enregistrement de ce membre auprès d'une entité d'administration du groupe ;

- une étape de génération d'une trace à partir d'un générateur de trace calculé par au moins une entité de révocation et compris dans une clé publique du groupe, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma ;

- une étape d'obtention, de manière aveugle d'une clé privée de groupe ;

- une étape de génération d'au moins une signature conformément au schéma de signatures anonymes SigA ₂ en utilisant la clé privée de groupe, la signature comportant la trace.

Corrélativement, l'invention vise un dispositif de signature anonyme d'un message mis en oeuvre par une entité membre d'un groupe et comportant :

- un module d'enregistrement de cette entité membre auprès d'une entité d'administration du groupe ;

- un module de génération d'une trace à partir d'un générateur de trace calculé par au moins une entité de révocation et compris dans une clé publique du groupe, cette trace étant invariante par rapport aux signatures anonymes générées par cette entité membre conformément au schéma SigA ₂ ;

- un module d'obtention, de manière aveugle, d'une clé privée de groupe ;

- une étape de génération d'au moins une signature en utilisant cette clé privée de groupe, cette signature comportant la trace.

Dans un mode particulier de réalisation, les différentes étapes du deuxième procédé de génération de clés et du procédé de vote selon l'invention sont déterminées par des instructions de programmes d'ordinateurs.

En conséquence, l'invention vise aussi un programme d'ordinateur, sur un support d'informations, ce programme comportant des instructions adaptées à la mise en oeuvre d'au moins un procédé tel que mentionné ci-dessus.

Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.

Les instructions de ce programme peuvent être comprises dans un support d'informations lisible par un ordinateur tel que mentionné précédemment.

D'autres caractéristiques et avantages de la présente invention ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures :

- la figure 1 représente un système de vote électronique conforme à un mode de réalisation de l'invention ; - la figure 2 représente sous forme d'organigramme les principales étapes d'un procédé de préparation de scrutin conforme à l'invention ;

- la figure 3 représente sous forme d'organigramme les principales étapes d'un procédé de vote conforme à l'invention ;

- la figure 4 représente sous forme d'organigramme les principales étapes d'un procédé de validation et d'archivage conforme à l'invention.

- la figure 5 représente, sous forme d'organigramme, les principales étapes d'un procédé de dépouillement conforme à un mode particulier de réalisation de l'invention.

- la figure 6 représente les principales étapes d'un procédé d'audit conforme à un mode particulier de réalisation de l'invention ;

- la figure 7 représente sous forme d'organigramme, les principales étapes d'un procédé de recours conforme à un mode de réalisation de l'invention ; et

- la figure 8 représente l'architecture matérielle des dispositifs utilisés dans l'invention, dans un mode particulier de réalisation ;

- la figure 9 représente un système de génération de clés et un dispositif de signature anonyme conformes au schéma de signatures anonymes traçables SigA ₂ ;

- la figure 10 représente sous forme d'organigramme les principales étapes d'un deuxième procédé de génération de clés conforme à l'invention ;

- la figure 11 représente sous forme d'organigramme les principales étapes d'un procédé de signature d'un message conformément au schéma SigA ₂ ;

- la figure 12 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature conforme au schéma SigA ₂ ;

- la figure 13 représente, sous forme d'organigramme, les principales étapes d'un procédé de levée d'anonymat pouvant être utilisé dans le contexte du schéma SigA ₂ ;

- la figure 14 représente un système de vote électronique utilisant le schéma de signatures anonymes SigA ₂ ;

- la figure 15 représente sous forme d'organigramme les principales étapes d'un procédé de génération de clés dans le système de vote de la figure 14 ;

- la figure 16 représente sous forme d'organigramme les principales étapes d'un procédé de vote utilisant le schéma de signatures anonymes SigA ₂ ;

- la figure 17 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature pouvant être utilisé dans le système de vote de la figure 14 ;

- la figure 18 représente, sous forme d'organigramme, les principales étapes d'un procédé de levée d'anonymat pouvant être utilisé dans le système de vote de la figure 14 ;

- la figure 19 représente l'architecture matérielle des dispositifs utilisés dans un mode particulier de réalisation du système de la figure 9.

Description détaillée des modes de réalisation Notations et hypothèses :

Dans les modes de réalisation présentés ci-après, l'invention met en oeuvre, dans au moins certains de ces aspects :

- des entités électeurs : les entités électeurs autorisées à participer au scrutin sont dites légitimes ; ces entités expriment leur vote au travers de leur bulletin et émargent de manière anonyme au moment de voter. Elles peuvent s'assurer que leur bulletin sera bien pris en compte en vérifiant qu'un engagement sur leur vote apparaît bien sur une urne publique virtuelle. Elles ont également la possibilité d'auditer a posteriori le dépouillement grâce aux données publiées sur une urne publique virtuelle ;

- des candidats ayant présenté leur candidature, dits candidats en lice ;

- un bureau de vote virtuel comportant des entités assesseurs, elles seules pouvant procéder au dépouillement du scrutin. Un nombre prédéterminé (seuil) d'entités assesseurs doit être réuni pour procéder au dépouillement ;

- une entité organisateur qui fournit la liste électorale et reçoit les résultats du vote ;

- une entité d'enregistrement chargée, en collaboration avec l'entité organisateur d'anonymiser la liste électorale et/ou de fournir les clés privées de groupe aux électeurs dûment enregistrés sur la liste électorale ; elle peut produire, en collaboration avec l'entité organisateur, et notamment à la demande d'un juge, la liste d'émargement ;

- une urne privée virtuelle. Il peut s'agir d'un serveur administré par le bureau de vote. Son rôle peut être de collecter les bulletins de vote émis par les entités électeurs, de les vérifier et de ne conserver que les bulletins valides. L'urne privée virtuelle peut transmettre, pour chaque bulletin valide, des données publiques à une urne publique virtuelle ;

- une urne publique virtuelle : son rôle peut être de conserver des données publiques constituant des éléments de preuve permettant d'auditer l'élection.

Dans la suite de ce document, nous utiliserons la notation RoK^, a ₂ ,..., a _n Ίΐ a , a ₂ a _n )) pour désigner une preuve de connaissance à divulgation nulle de connaissance d'éléments a _lr a ₂ ,..., a _n satisfaisant la relation 31. Ainsi une preuve de connaissance des deux facteurs premiers d'un module RSA (du nom des inventeurs, « Rivest-Shamir-Adleman ») public N serait notée : RoK^, a ₂ N = a · a ₂ L ( ¹ 1) A ( a ₂ ¹ 1) ).

Pour mémoire une preuve de connaissance dite à divulgation nulle de connaissance permet à un vérifieur de se convaincre qu'un certain prouveur connaît bien un secret S satisfaisant un prédicat P donné, par exemple la factorisation d'un nombre N donné. La preuve ne révèle au vérifieur aucune information sur le secret S en question, ici la factorisation de N, hormis le fait que celui-ci vérifie le prédicat P donné.

Dans la description à venir :

p est un nombre premier ; le groupe est un groupe cyclique d'ordre p utilisé par les entités électeurs Vj pour calculer des engagements sur leur vote v _t en utilisant un premier schéma d'engagement; g ₀ , g, et g _T sont des générateurs de ce groupe choisis aléatoirement ;

le groupe G ₂ est un groupe cyclique d'ordre p utilisé pour chiffrer des valeurs aléatoires r _t utilisées dans ces engagements ; g, g sont des générateurs de ce groupe choisis aléatoirement ;

K est une fonction de hachage de (0, 1} ® z _v ,- e est un couplage bilinéaire de type 2 ou 3, défini sur l'ensemble G x G ₂ vers l'ensemble

G _j .

On rappelle qu'un couplage bilinéaire, noté e, est une application définie sur un ensemble G x G ₂ vers un ensemble G _T , où G _lr G ₂ et G _T désignent des groupes cycliques d'ordre p, p étant un nombre premier. Cette application e vérifie les propriétés suivantes :

- Bilinéarité : v g ₁ e G V g ₂ e c ₂ et v (a, &) e Z _p , e(gï, g ) = e( _gi , g ₂ ) ^ab

- Non dégénérée : Pour g _l ¹ l _Gl et g ₂ ¹ 1 _¾ , e(p _1; p ₂ ) ¹ 1 _Gt , où gi (respectivement g ₂ ) désigne l'élément neutre du groupe G _x (respectivement G ₂ ) ;

- Calculable : v g e G , v g ₂ e G ₂ , il existe un algorithme efficace pour calculer e(£i> 92) ·

En pratique, les groupes G G ₂ et G _T seront choisis de telle sorte qu'il n'existe pas d'isomorphisme calculable efficacement entre G ₁ et G ₂ .

La figure 1 représente un système SVE de vote électronique conforme à un mode de réalisation de l'invention. Ce système comporte :

- une pluralité de modules assesseurs M _t d'un bureau de vote virtuel BW. Dans le mode de réalisation décrit ici, le bureau de vote virtuel BW comporte trois modules assesseurs M _t ;

- un système SPS de préparation d'un scrutin comportant ces trois modules assesseurs Mi, une entité organisateur O et une entité d'enregistrement L et un module cryptographique MCR ;

- une pluralité d'entités électeurs V _t dont un seul est représenté ;

- un système de dépouillement électronique SDE comportant les trois modules assesseurs Mi et un module de compilation MC ;

- un dispositif DVA de validation et d'archivage ;

- un dispositif d'audit DA d'une entité tiers ET ;

- un système de recours SR comportant un module de communication COM, l'entité organisateur O, l'entité d'enregistrement L et un module de contrôle MCT ;

- une urne virtuelle privée UVP ; et

- une urne virtuelle publique UPB,

toutes ces entités étant conformes à un mode particulier de réalisation de l'invention. Ces entités communiquent entre elles via un réseau de communication non représenté. Dans le mode de réalisation décrit ici, l'entité organisateur O et l'entité d'enregistrement L comportent :

- un module COM de communication ;

- un module cryptographique MCR configuré pour générer pour chaque entité électeur autorisée à participer au scrutin, une clé publique anonyme d'un algorithme de signatures anonymes traçables, une telle clé publique étant associée à une clé privée destinée à être utilisée par cette entité électeur pour signer de manière anonyme des messages dans le cadre du scrutin ;

- les entités organisateur O et d'enregistrement A étant configurées, dans le cadre d'un recours, pour générer une liste de recours L _s dont les éléments sont des clés publiques ré-identifiées obtenues en levant l'anonymat des clés publiques anonymes utilisées par les entités électeurs dans le cadre du scrutin.

On rappelle qu'un schéma de signature anonyme est une variante d'un schéma de signature de groupe. La signature anonyme traçable utilisée dans l'invention peut permettre à une entité électeur de prouver son appartenance à un groupe, par exemple aux groupes des entités électeurs légitimes sans qu'elle ait à révéler son identité.

Dans le mode de réalisation décrit ici, un module assesseur M _t comporte :

- un module cryptographique MCR configuré pour générer une clé privée de déchiffrement partiel (SK _M. = x _T ^l ) pour au moins un algorithme de chiffrement à clé publique à seuil et pour communiquer cette clé à un module MC de compilation compris dans ledit module cryptographique.

Pour mémoire, dans un algorithme de chiffrement à seuil, la clé privée x _T = å ₌₁ x _T ^l est un secret réparti entre les différents modules assesseurs. Pour déchiffrer n'importe quel message, la coopération d'un nombre prédéfini (« le seuil ») de ces modules assesseurs est requise. En notant s le seuil et n le nombre de modules assesseurs entre lesquels le secret est réparti, on ne peut déchiffrer un message que si au moins s modules assesseurs sur les n coopèrent, et ce sans qu'il soit nécessaire de reconstituer la clé privée.

Chaque module assesseur M _t comporte en outre :

- un module de communication COM configuré pour obtenir les bulletins de vote valides collectés par l'urne privée virtuelle à l'issue du scrutin, chaque bulletin de vote B _t comportant au moins un engagement c[ sur un vote v un chiffré (c( , C ) du vote v et une signature anonyme traçable S _t d'une entité électeur F* ;

- ledit module cryptographique étant configuré pour, lors du dépouillement à l'issue du scrutin :

• obtenir un chiffré ( C = (R ₁ , R ₂ )) du résultat du scrutin ;

• déchiffrer partiellement ce chiffré C = (R ₁ , R ₂ ) à l'aide de la clé privée de déchiffrement partiel ( SK _M ) de l'algorithme de chiffrement à seuil ;

• envoyer le résultat de ce déchiffrement partiel au module de compilation MC du système de dépouillement électronique SDE. Dans le mode de réalisation décrit ici, les engagements C{ portent sur un vote v _t et sur une valeur aléatoire et les bulletins de vote comportent en outre un chiffré C ₃ de cette valeur aléatoire .

On rappelle que l'invention utilise un algorithme de chiffrement à seuil pour chiffrer les votes électroniques, de sorte que la clé privée de déchiffrement est un secret réparti entre plusieurs modules assesseurs, les clés privées de chacun des modules assesseurs ne lui permettant de n'effectuer que des déchiffrements partiels d'un vote. Pour déchiffrer un vote, la coopération d'un nombre prédéfini, ou seuil, de ces modules assesseurs est donc requise.

Dans le mode de réalisation décrit ici, le système SPS de préparation du scrutin comporte, en plus des modules assesseurs M _u de l'entité organisateur O et de l'entité d'enregistrement L, un module cryptographique MCR configuré pour générer et stocker de façon sécurisée la clé publique ( g _T , h _T = de chaque algorithme de chiffrement à seuil et la clé privée correspondante c _t = å ₌₁ ÷4, ces clés étant obtenues à partir des clés privées SK _M . = x - de déchiffrement partiel des modules assesseurs.

Dans le mode de réalisation décrit ici, le système de dépouillement électronique SDE comporte, en plus des modules assesseurs M _L :

- un module de compilation MC configuré pour :

• obtenir le résultat des déchiffrements partiels du chiffré (C = (/? ₁ , /? ₂ ) ) du résultat du scrutin calculés par les membres assesseurs M _L et ;

• dès lors que s modules assesseurs lui ont communiqué leur résultat, s correspondant au seuil de l'algorithme de chiffrement à seuil, obtenir le résultat ( Res =å[ ₌₁ 0 ,)) du scrutin.

- un module de communication COM configuré notamment pour publier le résultat Res du scrutin.

Dans le mode de réalisation décrit ici, une entité électeur V _t comporte :

- un module cryptographique MCR configuré pour générer une paire de clés comportant une clé privée et une clé publique propre pour un algorithme de signatures anonymes traçables,

- un module de communication COM adapté à envoyer un identifiant de cette entité et la clé publique propre à une entité de confiance pour s'inscrire sur une liste électorale ;

- le module cryptographique étant configuré pour obtenir de façon anonyme une clé publique anonyme pour un algorithme de signatures anonymes traçables à partir d'un générateur fourni par une entité de confiance et de la clé privée propre ;

- un module IHM d'obtention d'un vote v, ;

- le module de communication COM étant configuré pour obtenir une clé publique (( g _T , h _T = pour au moins un algorithme de chiffrement à seuil ;

- le module cryptographique MCR étant configuré pour calculer un engagement (C = Commit(Vi, r _t )) sur un vote v _t ; - le module MCR étant configuré pour calculer un chiffré (C[ = g ^Vi h _T ^ri , C = g _T ^r ') du vote v ce chiffré comportant, dans le mode de réalisation décrit ici, l'engagement c[, ce chiffré étant calculé en utilisant la clé publique l'algorithme de chiffrement à seuil ;

- le module cryptographique MCR étant configuré pour calculer, dans le cadre d'un scrutin, une signature anonyme traçable S, de l'engagement c[ en utilisant la clé privée, l'anonymat de cette signature ne pouvant être révoqué que par au moins une entité de confiance O, L ;

- le module de communication COM étant configuré pour envoyer un bulletin de vote B _t comportant au moins l'engagement c[ , le chiffré (c( , (¾, et la signature anonyme traçable S _t de l'entité électeur V _t à l'une urne privée virtuelle UPV.

Dans le mode de réalisation décrit ici, le dispositif de validation et d'archivage DVA comporte :

- un module COM de communication configuré pour recevoir des bulletins de vote fî, comportant au moins un engagement c[ sur un vote v un chiffré (C( , C ) du vote v un chiffré ci d'une valeur aléatoire r _t utilisée dans l'engagement et une signature anonyme traçable S _t d'une entité électeur V _l ;

- un module cryptographique MCR configuré pour vérifier des signatures anonymes traçables S _t et pour vérifier que l'urne privée virtuelle UPV ne comporte pas au moins deux bulletins de vote comportant des signatures anonymes traçables associées à une même clé publique anonyme;

- le module de communication COM étant configuré pour envoyer à l'urne publique virtuelle UPB, si le résultat des vérifications est positif, pour chaque bulletin de vote valide, un bulletin de vote tronqué BT _t comportant au moins l'engagement C[ sur le vote et la signature anonyme traçable Si ;

- un module de stockage MS des bulletins de vote fî, jusqu'à l'expiration d'un délai de recours, ce module étant configuré pour détruire les bulletins à l'expiration de ce délai.

Dans le mode de réalisation décrit ici, le dispositif DA d'audit d'un scrutin comporte :

- un module COM de communication configuré pour obtenir, à l'issue d'un scrutin, des bulletins de vote tronqués BT _t stockés dans une urne publique virtuelle UPB. Ces bulletins de vote tronqués BT _t ont été obtenus à partir de bulletins de vote complets B _t stockés dans une urne privée virtuelle UPV, chaque bulletin de vote complet B _t comportant au moins un engagement C[ sur un vote v _t et sur une valeur aléatoire r _u un chiffré (c( , C ) du vote v un chiffré (c de la valeur aléatoire r, et une signature anonyme traçable S _t d'une entité électeur V _t . Dans le mode de réalisation décrit ici, le bulletin de vote tronqué BT _t ne comporte que l'engagement c[ et la signature anonyme traçable

Si.

- le module COM de communication étant configuré pour obtenir, à l'issue du dépouillement des bulletins de vote complets B _{i r} un résultat ( Res =å ^l _i=1 v _; )) du scrutin et une valeur ( Rand = correspondant à la somme des valeurs aléatoires r, ; - un module cryptographique MCR configuré pour vérifier les signatures anonymes traçables S _t des bulletins de vote tronqués BT _t pour vérifier que l'urne publique virtuelle UPB ne comporte pas au moins deux bulletins de vote tronqués comportant des signatures anonymes traçables associées à une même clé publique anonyme ;

- le module cryptographique MCR étant configuré pour calculer un engagement d'audit R' _x à partir des engagements c[ de tous les bulletins de vote tronqués BT _t ; et

- un module MD de détermination d'un résultat de l'audit en comparant l'engagement d'audit R' _x avec un engagement calculé sur le résultat Res et sur la valeur Rand calculés sur les bulletins de vote complets.

Dans le mode de réalisation décrit ici, le système de recours SR comporte :

- des moyens COM de communication aptes à obtenir une liste électorale LS comportant des identifiants ID _V . d'entités électeurs légitimes et des clés publiques propres respectives Pi de ces entités électeurs ;

- le module COM de communication étant configuré pour obtenir de l'entité organisateur O et l'entité d'enregistrement L une liste de recours £ ₅ dont les éléments sont des clés publiques réidentifiées obtenues en levant l'anonymat des clés publiques anonymes utilisées par les entités électeurs dans le cadre du scrutin ;

- un module de contrôle MCT apte à vérifier que les clés publiques ré-identifiées de ladite liste de recours £ ₅ sont toutes comprises dans ladite liste électorale LS.

La figure 2 représente sous forme d'organigramme les principales étapes PS2 à PS34 d'un procédé de préparation d'un scrutin, mises en oeuvre par un système de préparation de scrutin SPS conforme à l'invention.

L'invention sera décrite dans le cadre d'un référendum, les votes licites étant « 0 » ou « 1 » mais l'invention peut s'appliquer à tout type de vote.

Dans le mode de réalisation décrit ici, le système de préparation SPS comporte deux entités de confiance, à savoir une entité organisateur O et une entité d'enregistrement L.

Au cours d'une étape PS2, chaque assesseur M _t génère une clé privée SK _M . = x de déchiffrement partiel pour un premier algorithme de chiffrement homomorphe additif à seuil E dans le groupe cyclique G ₁ . Pour mémoire un algorithme de chiffrement à clé publique homomorphe pour l'addition permet à partir d'un chiffré d'un message ml et d'un chiffré d'un message m2 d'obtenir un chiffré du message ml + m2. L'algorithme dont il est question ici présente en outre les caractéristiques d'un algorithme de chiffrement à seuil présentées précédemment.

Au cours d'une étape PS4, chaque assesseur M _t génère une clé privée SK^ _i = x _T ^l de déchiffrement partiel pour un deuxième algorithme de chiffrement homomorphe additif à seuil E dans le groupe cyclique G ₂ . Une fois que les parties de clés privées SK _M . = x et SK _Mi = x ont été créées pour tous les modules assesseurs du bureau de vote, le module cryptographique MCR du système de préparation de scrutin SPS génère :

(étape PS6) la clé publique de l'algorithme de chiffrement à seuil E dans G _lr noté premier algorithme de chiffrement à seuil, ( g _T , h _T = la dé privée correspondante x _T = å” ₌₁ ÷4 ;

(étape PS8) la clé publique de l'algorithme de chiffrement à seuil E dans C ₂ , noté deuxième algorithme de chiffrement à seuil, (g^, h _T = PG=i 5 ^ί ί ^G = §t ^{ί=1 t} ) ^et la dé privée correspondante

Au cours d'une étape PS10, l'entité organisateur O du système de préparation de scrutin SPS tire un nombre aléatoire x ₀ e Z _v et génère une paire de clés ( SK ₀ = x ₀ , P ₀ = g ^x °) pour un algorithme de signatures anonymes traçables SigA ₁ décrit ultérieurement ; dans cette paire de clés, SK ₀ est la clé privée et P ₀ est la clé publique. Dans le mode de réalisation décrit ici, l'entité organisateur O calcule aussi dans une étape PS11 une preuve Proof ₀ à divulgation nulle de connaissance qu'elle connaît le logarithme discret de P ₀ en base g ₀ : Proof ₀ = PoKfa^ Pc = g _g ¹ ). Au cours d'une étape PS12, l'entité organisateur O publie sa clé publique P ₀ .

De la même façon, au cours d'une étape PS10, l'entité d'enregistrement L tire un nombre aléatoire c _L e Z _p et génère une paire de clés {SK _M = c _L , R _L = l'algorithme de signatures anonymes traçables SigA ₁ ; dans cette paire de clés, SK _M est la clé privée et P _A est la clé publique. Dans le mode de réalisation décrit ici, l'entité d'enregistrement L calcule aussi dans une étape PS11 une preuve Proof^ à divulgation nulle de connaissance qu'elle connaît le logarithme discret de P _A en base g ₀ : Proof^ = PoKfci^: R _L = g" ¹ ). Au cours d'une étape PS12, l'entité d'enregistrement L publie sa clé publique R _L .

Au cours d'une étape PS13, l'entité organisateur O et l'entité d'enregistrement L calculent, chacune de leur côté, une valeur g _s = g ^{M x} ° = P^ = P^° et publient g _s . Ces entités doivent prouver qu'elles ont bien calculé g _s en générant respectivement une preuve à divulgation nulle de connaissance Pr ₀ et Pr^ : Pr ₀ = RoK^: P ₀ = g" ¹ A gs = P^ ¹ ) et Pr^ = RoK^: P^ = go^ gs = R ₀ ^ai )·

Nous allons maintenant décrire en détails comment le système de préparation de scrutin SPS génère, pour chacune des n entités électeurs {V,}" ₌₁ , une paire de clés de l'algorithme de signatures anonymes traçables pour un premier algorithme de signatures traçables SigA _x .

On suppose que chacune des entités électeurs V _t a préalablement tiré, au cours d'une étape PS17, une valeur x _t e Z _q , et généré une paire de clés (¾, Pi = de l'algorithme de signatures anonymes traçables SigA _x . Dans cette paire de clés, x _t est la clé privée et P _t est une clé publique propre à l'entité. Chacune des entités électeurs V _t calcule également une preuve Proof^. à divulgation nulle de connaissance qu'elle connaît le logarithme discret de P* en base g ₀ : Proof _. = PoK(a _{i :} Pi = g" ¹ ).

Chaque entité électeur V, souhaitant participer au scrutin s'enregistre auprès de l'entité d'enregistrement L. Dans le mode de réalisation décrit ici, la clé publique propre P, de chaque entité électeur Vi est certifiée par au moins une autorité de certification reconnue, par exemple par par l'entité organisateur O et par l'entité d'enregistrement L.

Au cours d'une étape PS18, l'entité organisateur O vérifie si les entités électeurs souhaitant voter sont légitimes et constitue la liste électorale LE contenant les identifiants ID _V. des entités électeurs V, légitimes et leurs clés publiques propres respectives P _L : LE = De cette liste, l'entité organisateur O crée une nouvelle liste L ne contenant que les clés publiques propres des électeurs: L = {P, } ₌₁ .

Au cours d'une étape PS20, l'entité organisateur O choisit aléatoirement une permutation V de (l, ... , n} dans (1 , ... , n} et calcule la nouvelle liste = {P } ₌₁ où Pl = P _i ° _(i) . Pour obtenir cette liste L _lr les éléments de la liste L sont permutés en utilisant la permutation n _lf puis élevés à la puissance x ₀ .

Au cours d'une étape PS22, l'entité organisateur O transmet la liste L ₁ à l'entité d'enregistrement L, accompagnée d'une preuve à divulgation nulle de connaissance ProoV qu'elle a bien permuté tous les éléments de la liste L, puis élevé à la puissance x ₀ chacun des éléments de cette liste permutée, sans révéler x ₀ ni la permutation utilisée I La preuve Proo^ peut être générée en utilisant la technique RPC (Random Partial Checking).

Au cours d'une étape PS24, l'entité d'enregistrement L vérifie la validité de la preuve

ProoV

Si cette preuve est valide, elle procède de manière similaire à O. Plus précisément, au cours d'une étape PS26, l'entité d'enregistrement L choisit aléatoirement une permutation n ₂ de (l, ... , n} dans (l, ... , n} puis calcule une nouvelle liste L ₂ = [Pf }” ₌₁ où P = {Rΐ _{2 (ί)} U ^L · Cette liste L ₂ est une liste dans laquelle les éléments de la liste L ₁ sont permutés en utilisant la permutation n ₂ puis élevés à la puissance c _L .

Au cours d'une étape PS28, l'entité d'enregistrement L transmet la liste L ₂ à l'entité organisateur O, accompagnée d'une preuve à divulgation nulle de connaissance Proof ₂ , qu'elle a bien permuté tous les éléments de la liste L _lr puis élevé à la puissance c _L chacun des éléments de cette liste permutée, sans révéler c _L ni la permutation utilisée n ₂ . La preuve Proof ₂ peut être générée en utilisant la technique RPC.

Au cours d'une étape PS30, l'entité organisateur O vérifie la validité de la preuve

Proof ₂ .

Si cette preuve Proof ₂ est valide, l'entité organisateur O publie, au cours d'une étape

PS32 :

la liste électorale LE, la liste £ ₂ des clés publiques anonymes des entités électeurs V _t ; et

éventuellement les preuves Proo^ et Proof ₂ .

Il est important de noter que seules les entités de confiance, à savoir l'entité organisateur O, et l'entité d'enregistrement L sont en mesure, à condition de coopérer, de relier une clé publique anonyme de £ ₂ à une clé publique de L£ (et donc faire le lien entre une clé publique de £ ₂ et l'entité électeur V _t à qui elle appartient).

Chaque entité électeur V _t obtient sa clé publique anonyme au cours d'une étape PS34 et reconstitue la paire de clés (¾, ¾') Dans cette paire, x _t est la clé privée qu'elle devra utiliser pour signer son vote de manière anonyme et g ^*1 = P^ _{2 Pi(ί)} est la clé publique anonyme associée. Il est fondamental de noter que l'obtention de la clé publique anonyme par une entité électeur V _x se fait de manière aveugle, ce qui implique notamment que personne, à part les entités électeurs elles-mêmes, y compris les autorités de confiance ne connaissent ces clés. Elles sont, dans le mode de réalisation décrit ici, obtenues par les entités électeurs V _x en calculant g _s ^x

La figure 3 représente sous forme d'organigramme les principales étapes SCO à SC18 mises en oeuvre par une entité électeur V _x dans le cadre d'un scrutin, dans un mode particulier de mise en oeuvre de l'invention.

Au cours d'une étape SCO, l'entité électeur V _t obtient la clé publique ( g _T , h _T = X ^t ) du premier algorithme de chiffrement à seuil calculée à l'étape PS6.

cours d'une étape SCI, l'entité électeur V _t obtient la clé publique (g^, h _T = ^XT ) du deuxième algorithme de chiffrement calculée à l'étape PS8.

On rappelle que l'entité électeur V _t a préalablement tiré, au cours de l'étape PS17, une valeur x _t e Z _q , et généré une paire de clés {x Pi = g ') de l'algorithme de signatures anonymes traçables SigA _x . Dans cette paire de clés, xi est la clé privée et P _t est une clé publique propre à l'entité. Chacune des entités électeurs V _t a également calculé une preuve Proof^. à divulgation nulle de connaissance qu'elle connaît le logarithme discret de f) en base g ₀ : Proofp^ PoKfoq: P, = g" ¹ ).

On rappelle que l'entité électeur V, s'est enregistrée auprès de l'entité d'enregistrement L et qu'elle a généré à l'étape PS34 une clé publique anonyme g _s ^xl = Rp _2< , _Pi(ί) associée à sa clé privée qui est utilisée pour signer son vote de manière anonyme.

Au cours d'une étape SC4, l'utilisateur de l'entité électeur V, exprime son vote v, en utilisant l'interface IHM de l'entité. Dans le mode de réalisation décrit ici le vote v _t est la valeur 0 ou 1.

Au cours d'une étape SC6, l'entité électeur V _t génère une valeur aléatoire .

Au cours d'une étape SC8, l'entité électeur V _x calcule un engagement (c( = Commit(Vi, r ₍ )) sur son vote v _t en utilisant la valeur aléatoire . Dans le mode de réalisation décrit ici, cet engagement est un schéma de mise en gage de Pedersen et c[ = Commit(v _i r _t ) = g ^Vi h _T ^ri .

Au cours d'une étape SC10, l'entité électeur V _x calcule c = gj ^r puis obtient un chiffré (Cl = g ^Vi h _T , C i = g _P du vote v _t selon le premier algorithme de chiffrement à seuil.

Au cours d'une étape SC12, l'entité électeur V _x calcule un chiffré de la valeur aléatoire r notée ci = (g ^ri h _T ^s ', g ) selon le deuxième algorithme de chiffrement à seuil, où s, e Z _p est une valeur tirée aléatoirement par l'entité électeur V,.

Dans le mode de réalisation décrit ici, ces chiffrés sont calculés en utilisant la variante du schéma de Pedersen introduite précédemment.

Au cours d'une étape SC14, l'entité électeur V, génère deux preuves (ZKP,, ZKP ₂ ) à divulgation nulle de connaissance dans lesquelles :

la preuve ZKP _X prouve que le vote v, mis en gage au travers de l'engagement c[ = Commit^, r _t ) porte sur un candidat en lice, autrement dit vaut bien « 0 » ou « 1 » ; et La preuve ZKP ₂ prouve que les textes clairs associés aux chiffrés (Ci , ci) et Ch (à savoir v _L et ri) sont bien les mêmes que ceux qui ont été mis en gage dans l'engagement c .

Dans des modes de réalisation de l'invention décrits ci-après, on utilise une première preuve ZKR ₃ à divulgation nulle de connaissance prouvant que le vote mis en gage au travers d'un engagement porte sur des candidats en lice et une deuxième preuve ZKP ₂ à divulgation nulle de connaissance prouvant que les textes clairs correspondant aux votes (parfois appelés choix), ou votes, des électeurs, associés aux chiffrés de ces textes sont ceux qui ont été mis en gage dans l'engagement , soit :

où C représente l'engagement d'un votant Vi sur un choix vi et sur une valeur aléatoire ri, C ^l ₂ le chiffré du vote vi et C ^l ₃ le chiffré de la valeur aléatoire ri .

En ce qui concerne la première preuve ZKP _{l r} on peut utiliser le calcul suivant :

On pose v _t = v avec v = 0 ou v = 1. L'entité électeur P _; tire aléatoirement 3 valeurs, r, de Z _p . Elle calcule ensuite :

• c _v = c— c _i-v mod p;

• D _v = r— r _t c _v mod p.

La preuve est constituée des 4 éléments de Z _v suivants : ZKP _t = (C _Q . C^ D _Q . D^ .

La preuve est valide En ce qui concerne la deuxième preuve ZKP ₂ on peut utiliser le schéma suivant:

On pose L = g h _T ^Sl et R = g ^s _T ^l . L'entité électeur tire aléatoirement 3 valeurs, s, t, u de Z _p . Elle calcule ensuite :

et D ₄ proviennent de la preuve ZKP ₄ ;

• d ₄ = s— v _t c mod p;

• d ₂ = t— r _t c mod p;

• mod p.

La preuve est constituée des 4 éléments de Z _p suivants : ZKP ₂ = ( c, d ₁ , d ₂ , d ₃ ).

La preuve est valide si

Au cours d'une étape SC16, l'entité électeur V _t signe anonymement l'engagement c[ et la preuve ZKPi en utilisant sa clef privée à laquelle est associée la clé publique anonyme gp de l'algorithme de signatures traçables SigA _x .

Au cours d'une étape SC18, l'entité électeur V _L envoie son bulletin de vote B _L comportant l'engagement c[, un chiffré ( c[ , c du vote v un chiffré de la valeur aléatoire r les deux preuves ZKR _1; ZKR ₂ , et la signature anonyme S _t de l'entité électeur V _t à l'urne privée virtuelle UPV. Cette signature correspond à l'émargement qu'un électeur doit apposer sur la liste d'émargement dans le cadre d'une élection traditionnelle à la différence fondamentale que cette signature est anonyme.

La figure 4 représente sous forme d'organigramme les principales étapes U2 à U 10 d'un procédé de validation et d'archivage d'un vote électronique conforme à l'invention. Ce procédé est mis en oeuvre par un dispositif DVA de validation et d'archivage conforme à l'invention, ce dispositif étant associé à une urne privée virtuelle UPV.

Au cours d'une étape U2, le dispositif de validation et d'archivage DVA reçoit un bulletin de vote fî, en provenance d'une entité électeur 1 Ce bulletin de vote comporte un engagement c[ sur un vote v un chiffré (c( , C ) du vote v un chiffré de la valeur aléatoire r les deux preuves ZKP _1; ZKP ₂ , et la signature anonyme S _t de l'entité électeur V _t . Dans ce mode de réalisation, le chiffré utilise une variante du schéma de El Gamal introduite précédemment.

Au cours d'une étape test U4, le dispositif de validation et d'archivage DVA vérifie la validité des preuves à divulgation nulle de connaissance ZKP _1; ZKP ₂ et celle de la signature anonyme S _t comprises dans ce bulletin. La signature S _t est validée si elle utilise l'algorithme de signatures anonymes traçables SigA _x retenu pour l'élection et si la clé publique anonyme utilisée g _s ^x ' pour vérifier cette signature appartient à la liste anonyme £ ₂ des clés publiques anonymes des entités électeurs V, .

Si le résultat du test U4 est négatif, le vote est rejeté (étape U5). Si le résultat du test U4 est positif, le dispositif de validation et d'archivage DVA vérifie au cours d'une étape U6 si l'entité électeur V, n'a pas déjà voté. A cet effet, l'urne privée virtuelle UPV vérifie que ladite urne privée UPV ne comporte pas au moins un autre bulletin de vote B _j comportant une signature anonyme traçable S _j associée à la même clé publique que Si. Si l'électeur a déjà voté, le dispositif DVA traite le bulletin au cours d'une étape U8. Cette étape peut consister à rejeter le vote ou en tout état de cause à ne retenir que le premier des deux bulletins.

Dans le mode de réalisation décrit ici, si le résultat du test U6 est positif, autrement dit si toutes les vérifications sont concluantes, le dispositif DVA transmet un bulletin tronqué BT, à l'urne publique virtuelle UPB au cours d'une étape U 10. Dans le mode de réalisation décrit ici, ce bulletin tronqué 57, comporte l'engagement C[, la preuve ZKP _X et la signature anornyme Si.

Au cours d'une étape U 12, le dispositif DVA stocke les bulletins B, jusqu'à l'expiration d'un délai de recours. Les bulletins B, sont détruits à l'expiration de ce délai.

La figure 5 représente, sous forme d'organigramme, les principales étapes d'un procédé de dépouillement d'un scrutin conforme à un mode particulier de réalisation de l'invention. Ce procédé est mis en oeuvre par le système SDE de dépouillement électronique conforme à l'invention. Dans le mode de réalisation le système de dépouillement SDE comporte les trois modules assesseurs , .

On rappelle que chaque assesseur M, du bureau de vote a généré, au cours des étapes PS2, PS4, une clé privée SK _M . = x _T ^l de déchiffrement partiel pour le premier algorithme de chiffrement et une clé privée SK^ _i = x _T ^l de déchiffrement partiel pour le deuxième algorithme de chiffrement.

A la clôture du scrutin, au cours d'une étape DP2 chaque module assesseur M, récupère tous les bulletins valides B, collectés par l'urne privée virtuelle UPV.

Au cours d'une étape DP3, chaque module assesseur M, obtient, grâce au caractère homomorphe du schéma de mise en gage Commit un chiffré C = (R R ₂ ) du résultat du scrutin.

Plus précisément, dans le mode de réalisation décrit ici, cette étape DP3 comporte :

- une sous-étape DP4 au cours de laquelle chaque module assesseur M, multiplie entre eux tous les engagements c[ pour obtenir, grâce au caractère homomorphe du schéma de mise en gage Commit, un nouvel engagement R ₁ portant sur la somme des votes v _L effectués par les entités électeurs V _t ainsi que sur la somme des aléas utilisés pour calculer ces engagements par ces entités.

Dans le mode de réalisation décrit ici, R _t =

où l désigne le nombre de bulletins valides reçus par l'urne privée UPV ; et - une sous-étape DP6, au cours de laquelle chaque module assesseur M, multiplie entre elles toutes les valeurs pour obtenir une nouvelle valeur R ₂ correspondant à la somme des aléas h effectués par les électeurs : R ₂

Dans le mode de réalisation décrit ici, au cours d'une étape DP8, chaque module assesseur M, multiplie entre eux tous les chiffrés pour obtenir, grâce au caractère homomorphe du schéma de mise en gage Commit, un nouveau chiffré R ₃ correspondant à la somme des aléas r, tirés aléatoirement par les électeurs ayant pris part au scrutin : R ₃ = °ù ¹ désigne le nombre de bulletins valides reçus par l'urne privée UPV.

Au cours d'une étape DP10, chaque module assesseur M, procède au déchiffrement partiel du chiffré C = (R ₁ , R ₂ ) à l'aide de sa clé privée de déchiffrement partiel SK _M ..

Au cours d'une étape DP12, chaque module membre M, du bureau de vote procède au déchiffrement partiel du chiffré R ₃ à l'aide de sa clé privée de déchiffrement partiel S/z^.

Dès que des déchiffrements partiels du message C = (Æ ₁ Æ ₂ ) ont été obtenus par s modules assesseurs M, (le seuil s est égal à 2 dans l'exemple de la figure 5), le module MC de compilation du dispositif de dépouillement et de validation DPV peut en les combinant retrouver le texte clair R = au cours d'une étape DP14, puis par recherche exhaustive (en utilisant l'algorithme de Shanks) obtenir la valeur Res =å\ ₌₁ {v _i ) correspondant au nombre de voix qui se sont portées pour le « 1 », et donc au résultat du référendum (étape DP16).

De la même façon, dès que des déchiffrements partiels du chiffré R ₃ ont été obtenus par s modules assesseurs M, , le module MC de compilation du dispositif de dépouillement et de validation DPV peut en les combinant retrouver le texte clair , puis au cours d'une étape DP18 la valeur Rand = å ^l _i=i (r _i ) correspondant à la somme des aléas.

Le module MC de compilation publie les valeurs Res =å\ ₌₁ {v _i ) et Rand = _i=1 (r _i ^' ) au cours d'une étape DP20.

La figure 6 représente les principales étapes d'un procédé d'audit d'une élection conforme à un mode de réalisation de l'invention. Ce procédé est mis en oeuvre par un dispositif DA d'audit conforme à l'invention. Ce dispositif est incorporé dans une entité tiers ET de la figure 1.

Au cours d'une étape A0, le dispositif DA d'audit obtient la valeur Rand = å- ₌₁ (r- _j ) correspondant à la somme des aléas tirés par les entités électeurs V, ayant participé au scrutin.

Au cours d'une étape Al, le dispositif DA d'audit obtient les bulletins de vote tronqués BT i publiés sur l'urne publique virtuelle UPB.

Au cours d'une étape test A2, le dispositif DA d'audit vérifie les signatures anonymes traçables S, des bulletins de vote tronqués BT, et vérifie que l'urne publique virtuelle UPB ne comporte pas au moins deux bulletins de vote tronqués BT,, BT _j comportant des signatures anonymes traçables associées à la même clé publique anonyme. Elle s'assure ainsi que les électeurs sont légitimes et qu'ils n'ont voté qu'une fois.

Si le résultat du test A2 est négatif, le dispositif DA d'audit considère que le résultat de l'audit est négatif. Cette situation est traitée au cours d'une étape A4 qui ne fait pas partie de l'invention.

Si le résultat du test A2 est positif, le dispositif DA d'audit multiplie entre eux (étape A6) les engagements c[ de tous les bulletins de vote tronqués BT,, pour obtenir, grâce au caractère homomorphe du schéma de mise en gage Commit, un engagement d'audit R' ₄ avec :

R' ₁ = où l désigne le nombre de bulletins tronqués reçus par l'urne publique virtuelle UPB.

Au cours d'une étape A8, le dispositif DA d'audit détermine le résultat de l'audit en comparant l'engagement d'audit R' ₄ avec un engagement calculé sur le résultat Res et sur la valeur Rand. Si R' ₄ = Commit{Res ,Rand ), le dépouillement est considéré valide. Sinon le résultat de l'audit est négatif et cette situation est traitée au cours d'une étape A4 qui ne fait pas partie de l'invention.

La figure 7 représente sous forme d'organigramme, les principales étapes d'un procédé de recours conforme à un mode de réalisation de l'invention. Ce procédé qui peut être mis en oeuvre pendant un délai de recours consiste à recompter les votes émis à partir des bulletins archivés par l'urne privée virtuelle UPV. Ce procédé est mis en oeuvre par un système de recours SR conforme à l'invention.

Au cours d'une étape R2, l'entité organisateur O et l'entité d'enregistrement L du système de recours SR récupèrent la liste £ ₃ des clés publiques anonymes associées aux clés privées qui ont été utilisées pour produire les l signatures S, L ₃ = (P }- ₌₁ . £ ₃ est donc un sous- ensemble de la liste £ ₂ .

Au cours d'une étape R4, l'entité d'enregistrement L choisit aléatoirement une permutation n ₃ de (l, ... , Z} dans (1, ... , Z} puis calcule une nouvelle liste £ ₄ = {Pf }\ ₌₁ , où P? = liste £ ₄ , est obtenue en permutant tous les éléments de la liste £ ₃ , en utilisant la permutation n ₃ , puis en élevant à la puissance x^ ¹ chacun des éléments de cette liste permutée.

Au cours d'une étape R6, l'entité d'enregistrement L transmet la liste £ ₄ à l'entité organisateur O, accompagnée d'une preuve à divulgation nulle de connaissance Proof ₃ , prouvant qu'elle a bien permuté tous les éléments de la liste £ ₃ , puis élevé à la puissance x^ ¹ chacun des éléments de cette liste permutée, sans révéler x^ ¹ ni la permutation utilisée n ₃ . La preuve Proof ₃ peut être générée en utilisant la technique RPC.

Au cours d'une étape R8, l'entité organisateur O vérifie la preuve Proof ₃ .

Si cette preuve est valide, l'entité organisateur O procède de manière similaire à L. Au cours d'une étape RIO, l'entité organisateur O choisit aléatoirement une permutation n ₄ de (l, ... , 0 dans (l, ... , 0 puis calcule la nouvelle liste £ ₅ = {P* }” ₌₁ où P? = (Pn ₄₍ ) ^¾ La liste est obtenue en permutant tous les éléments de la liste £ ₄ en utilisant la permutation n ₄ , puis en élevant à la puissance xô ¹ chacun des éléments de cette liste permutée.

Au cours d'une étape R12, l'entité organisateur O transmet la liste £ ₅ à l'entité d'enregistrement L, accompagnée d'une preuve à divulgation nulle de connaissance Proof ₄ qu'elle a bien permuté tous les éléments de la liste £ ₄ , puis élevé à la puissance xô ¹ chacun des éléments de cette liste permutée, sans révéler X ¹ ni la permutation utilisée n ₄ . La preuve Proof ₄ peut être générée en utilisant la technique RPC.

Au cours d'une étape R14, l'entité d'enregistrement L vérifie la preuve Proof ₄ .

Si cette preuve Proof ₄ est valide, l'entité d'enregistrement L transmet à un module de contrôle MCT les listes £ ₃ , £ ₄ et £ ₅ ainsi que les preuves Proof ₃ et Proof ₄ au cours d'une étape R16.

Au cours d'une étape R18, le module de contrôle MCT s'assure que la liste £ ₅ est correcte en vérifiant que les clés publiques de cette liste sont bien comprises dans la liste électorale L£ et que les preuves Proof ₃ et Proof ₄ sont valides.

Si c'est le cas, le module de contrôle MCT est en mesure d'établir, au cours d'une étape R20, une liste d'émargement L en rapprochant la liste £ ₅ et la liste électorale ££, celle-ci contenant les identifiants ID _V. des entités électeurs V, et leurs clés publiques propres respectives

Variantes

Dans le mode de réalisation décrit précédemment, le scrutin est un référendum dont les votes licites étant « 0 » ou « 1 ». L'invention peut s'appliquer à des votes pour lequel il y a N candidats en lice. Dans ce cas, si un électeur choisit un candidat k, on peut se ramener au mode précédent en considérant qu'il a voté « 1 » pour le candidat k et « 0 » pour tous les autres candidats. Un bulletin de vote B, peut par exemple comporter :

- un engagement jc sur le vote jvi « 0 » ou « 1 » pour chaque candidat j,

- un chiffré (jc[ , jC ) de ce vote jv, ,

- un chiffré jc¾ d'une valeur aléatoire jr, utilisée pour calculer l'engagement jc|,

- les deux preuves jZKP ₁ ,jZKP ₂ , déjà mentionnées pour chacun des votes jv _{i ;}

- une preuve que l'électeur a voté « 1 » pour un et un seul candidat ; et

- la signature anonyme S,.

Dans le mode de réalisation décrit précédemment, l'invention utilise un algorithme E de chiffrement à seuil, dans deux groupes G _lt G ₂ -

En variante, l'invention peut par exemple utiliser deux algorithmes E, E' de chiffrement à seuil différents. Dans le mode de réalisation décrit ici, les modules assesseurs M le module de compilation MC du système de dépouillement électronique SDE, l'entité organisateur O, l'entité d'enregistrement L, le module cryptographique MCR du système SPS de préparation d'un scrutin, le module de contrôle MCT du système de recours SR, le dispositif DVA de validation et d'archivage et les entités électeurs V _t ont l'architecture matérielle d'un ordinateur ORD tel que représenté schématiquement à la figure 8.

L'ordinateur ORD comprend notamment un processeur 7, une mémoire morte 8, une mémoire vive 9, une mémoire non volatile 10 et des moyens de communication COM. Ces moyens de communication COM permettent aux différentes entités de communiquer entre eux notamment. Ils peuvent comprendre une ou plusieurs interfaces de communication sur un ou plusieurs réseaux de télécommunication (fixes ou mobiles, avec ou sans fil, etc.).

La mémoire morte 8 de l'ordinateur 6 constitue un support d'enregistrement conforme à l'invention, lisible par le processeur et sur lequel est enregistré un programme d'ordinateur conforme à l'invention, désigné de façon générale ici par PROG, comportant des instructions pour l'exécution de l'un des procédés objets de l'invention. Ainsi :

— pour les modules assesseurs M le programme PROG est un programme PROG1 comportant des instructions pour l'exécution des étapes PS2 et PS4 du procédé de préparation d'un scrutin conforme à l'invention, et des étapes DP2 à DP12 du procédé de dépouillement conforme à l'invention,

— pour le module de compilation MC du système de dépouillement électronique SDE, le programme PROG est un programme PROG2, comportant des instructions pour l'exécution des étapes DP14 à DP20 du procédé de dépouillement conforme à l'invention,

— pour l'entité organisateur O, le programme PROG est un programme PROG3, comportant des instructions pour l'exécution des étapes PS10, PS14, PS18, PS20, PS30 et PS32 du procédé de préparation du scrutin conforme à l'invention et pour les étapes R2, R8 et RIO d'un procédé de recours conforme à l'invention ;

— pour l'entité d'enregistrement L, le programme PROG est un programme PROG4, comportant des instructions pour l'exécution des étapes PS11, PS15, PS24 et PS26 du procédé de préparation du scrutin conforme à l'invention et pour les étapes R2, R4, R14 et R16 d'un procédé de recours conforme à l'invention ;

— pour le module cryptographique MCR du système SPS de préparation du scrutin, le programme PROG est un programme PROG5, comportant des instructions pour l'exécution des étapes PS6 et PS8 du procédé de préparation du scrutin conforme à l'invention,

— pour le module de contrôle MCT du système de recours SR, le programme PROG est un programme PROG6, comportant des instructions pour l'exécution des étapes R16 à R20 du procédé de recours conforme à l'invention, - pour le système de validation et d'archivage DVA, le programme PROG est un programme PROG7 comportant des instructions pour l'exécution des étapes du procédé de validation et d'archivage conforme à l'invention,

- pour les entités électeurs V le programme PROG est un programme PROG8, comportant des instructions pour l'exécution des étapes PS17 et PS34 du procédé de préparation du scrutin conforme à l'invention, et pour les étapes d'un procédé de vote conforme à l'invention.

Chacun de ces programmes définit, de façon équivalente, des modules fonctionnels du dispositif ou du module sur lequel il est installé, aptes à mettre en oeuvre les étapes du procédé concerné et s'appuyant sur les éléments matériels 7-10 et les moyens de communication COM de l'ordinateur ORD.

Dans le mode de réalisation décrit précédemment, le schéma de chiffrement utilisé est la variante du schéma de El Gamal introduite précédemment. Dans ce mode de réalisation, le chiffré (C( , ci) du vote v _t comportant l'engagement c[.

En variante, l'invention peut être mise en oeuvre en utilisant le schéma de Pallier et dans ce mode de réalisation, le chiffré du vote ne comporte pas nécessairement l'engagement.

En référence aux figures 9 à 19, nous allons maintenant présenter un deuxième schéma de signatures anonymes SigA ₂ . Nous présenterons ce schéma dans le cas général et dans une utilisation particulière dans le contexte d'un mécanisme de vote électronique.

Dans le mode de réalisation décrit ici, on considère:

- une ou plusieurs entités £L d'administration d'un groupe ;

- des autorités de révocation {Æ _j }- ₌₁ avec (t > 1) ;

- des entités membres du groupe. Q désigne le groupe des n entités membres.

La figure 9 représente un système SGC de génération de clés pour le schéma de signatures anonymes SigA ₂ et une entité membre d'un groupe g. Elle représente en outre un dispositif de vérification DV.

L'entité membre V _t comporte un module de communication COM et un dispositif DSA de signature anonyme conforme au schéma SigA ₂ .

Le système SGC de génération de clés comporte une entité EL d'administration du groupe, et des autorités de révocation {Æ _j }- ₌₁ avec (t > 1) .

L'entité d'administration £L du groupe comporte un module de communication COM, un module cryptographique MCR et un module d'enregistrement ERG configuré pour enregistrer au moins une entité membre Vj dans le groupe.

A cet effet, le dispositif DSA de l'entité membre comporte un module d'enregistrement ERG configuré pour enregistrer l'entité membre auprès de l'entité EL d'administration du groupe.

Dans le mode de réalisation décrit ici, chaque entité de révocation K _j comporte un module cryptographique MCR configuré pour calculer une paire de clés de révocation , cette paire comprenant une clé publique P _j et une clé privée pouvant être utilisée par l'entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA ₂ .

Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation l _j est configuré pour calculer, à partir des clés privées de la paire de clés de c i

révocation, un générateur de trace P _t = X ₁ ^{1=1 x} , où X ₁ désigne un paramètre public produit par le système de génération de clés SGC.

Dans le mode de réalisation décrit ici, le dispositif DSA de chaque entité membre Vj comporte un module cryptographique MCR configuré pour générer une trace T _t = P _t ^Si représentant l'entité membre V _t en utilisant ce générateur de trace à partir de la clé privée de l'entité membre V,. Cette trace T _t est invariante par rapport aux signatures anonymes a _L générées par l'entité membre conformément au schéma SigA ₂ .

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre V, est configuré pour obtenir, de manière aveugle, une clé privée SK _G ^l de groupe.

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre V _t est configuré pour générer des signatures de messages, en utilisant la clé privée de groupe, ces signatures comportant la trace T _j .

Le dispositif de vérification DV est configuré pour vérifier si une signature anonyme s _; est conforme au schéma de signatures anonymes SigA ₂ . Il met en oeuvre un algorithme de vérification qui prend en entrée un message msg, une signature et la clé publique du groupe PK _G . Il détermine si la signature est valide ou non.

Dans le mode de réalisation décrit ici, le dispositif de vérification DV comporte des moyens de communication COM et un module cryptographique MCR.

Le module de communication COM du dispositif de vérification DV est configuré pour obtenir une signature anonyme telle que = (w, w', c _v T, Pll' _j ).

Le module cryptographique MCR du dispositif de vérification DV est configuré pour déterminer que la signature anonyme s _; d'un message msg est valide si :

- w ¹ l _Gl

- T ¹ l _Gl ;

RP' _; est valide ; et

e(w, Â ₀ ) e (c ₁ , Â ₁ ) = e(w’, h).

Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation l _j est configuré pour mettre en oeuvre le procédé de levée d'anonymat d'une signature décrit ultérieurement en référence à la figure 13.

La figure 10 représente sous forme d'organigramme les principales étapes d'un procédé de génération de clés du groupe conforme à l'invention. Au cours d'une étape E2, le module cryptographique MCR de l'entité d'administration £L tire aléatoirement trois valeurs, co,co,c _! de Z _p .

Au cours d'une étape E4, le module cryptographique MCR de l'entité d'administration £L calcule c _¾ = g ^x o h¾ ,X ₁ = h ^x i ,X ₀ = h ^x ° , X ₁ = h ^x i .

Au cours d'une étape E6, le module cryptographique MCR de l'entité d'administration RL constitue une paire de clés dans laquelle :

la clé privée SK _£M est constituée des trois valeurs (x ₀ , 3ë ₀ , ¾ ) qui ont été tirées aléatoirement ; et

la clé publique RK _£L est constituée des éléments calculés à l'étape E4: RK _L =

(C _Xo ,x ₁ ,x ₀ ).

Au cours d'une étape E8, le module cryptographique MCR de l'entité d'administration RL génère une preuve RP ₂ à divulgation nulle de connaissance pour prouver qu'il connaît la clé privée associée à sa clé publique. RP ₂ = PoKfoq, a ₂ , a ₃ = C = g ^ai h“ ² L C, = h“ ³ A X ₀ = ίΐ ^ai A ¾ = h“ ³ ).

Au cours d'une étape F2, le module cryptographique MCR de chacune des entités de révocation {Æ ₇ }J ₌₁ tire aléatoirement une valeur x ^J _li de Z _p . Cette valeur aléatoire constitue une clé privée de l'entité de révocation K _j pour lever l'anonymat d'une signature.

Au cours d'une étape F4, les modules cryptographiques MCR des entités de révocation K _j calculent tour à tour une clé publique P _s associée à cette clé privée x _K ^] . Plus précisément, dans le mode de réalisation décrit ici :

l'entité de révocation Ji _r calcule P ₁ = et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P dans la base X .

l'entité de révocation H ₂ calcule P ₂ = P et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P ₂ dans la base P .

l'entité de révocation R _{j r} pour t ³ j ³ 2, calcule P _j = P _j et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P _j dans la base 3-1·

Au cours d'une étape F6, lorsque toutes les entités de révocation ont calculé leur clé publique P _s , le module cryptographique MCR de l'entité de révocation K _t constitue la clé publique du groupe PK _G = (C _Xo ,X X ₀ ,X P _t ). Elle comporte le générateur de trace P _t = X _x ^{,=1 x} obtenu à partir des clés privées de chacune des entités de révocation K _j . La clé privée associée à la clé publique de groupe est

Dans le mode de réalisation décrit ici, chaque entité membre ¼ possède un identifiant unique ID _V. ainsi qu'une paire de clés privée, publique (SKi. PKi), d'un algorithme de signature numérique, la clé publique PK, ayant été certifiée par une entité de certification reconnue, par exemple par l'entité d'administration £L. Des exemples d'algorithmes de signature numérique pouvant être utilisés à cet effet sont : RSA, DSA, ECDSA,...

Pour obtenir sa clé privée de groupe, l'entité membre V, interagit avec l'entité d'administration £L. Au cours d'une étape G2, le module cryptographique MCR de l'entité membre tire aléatoirement une valeur x, e Z _p et calcule = X‘. Il génère ensuite une preuve RP, à divulgation nulle de connaissance qu'il connaît x, le logarithme discret de en base X _x : RP _ί = RoK(a _c : e, = x" ¹ ). L'exemple d'une telle preuve est fourni dans le document Claus-Peter Schnorr, « Efficient Identification and Signature for Smart Cards », Theory and Application of Cryptology, Springer, 1989.

Au cours d'une étape G4, le module cryptographique de l'entité membre Vj génère une signature s _n. sur : s _n. = Sign _SK. {C _i ) où SK, désigne la clé privée de Vj. L'entité membre Pi-transmet ensuite ces trois valeurs C, ,RP,, s _n. , à l'entité d'administration £L.

Au cours d'une étape E10, le module cryptographique MCR de l'entité d'administration £L vérifie que C, ¹ 1 et que la signature s _n. et que la preuve RP, sont toutes les deux valides.

Si c'est le cas, au cours d'une étape E12, le module cryptographique MCR de l'entité d'administration EL génère deux valeurs aléatoires b et x' de Z _p et calcule E = X ' ainsi qu'une paire (u, u’) où u = h ^b et u' = u ^x °(C _j X ^x’ ) ^b = _u ^x ° ^{+ x} i ^+x’)xi . Il prouve que la paire (u, u’) a été calculée de manière conforme et notamment à partir des clés privées x ₀ et x ₁ :

Au cours d'une étape E14, le module cryptographique MCR de l'entité d'administration EL transmet £ , 11, 11’ et la preuve RP ₃ à l'entité membre ¼.

Au cours d'une étape G6, le module cryptographique de l'entité membre Vj vérifie que u ¹ 1 et que la preuve RP ₃ est valide. Si ces deux vérifications sont concluantes, le module cryptographique de l'entité membre Vj génère, au cours d'une étape G7 une signature Sig _v. sur ç et E : Sig _v. = Sign _SK. (Ci, E ), où SKi désigne la clé privée de l'entité membre Vj.

Au cours d'une étape G75, l'entité membre Vj transmet la signature Sig _v. à l'entité d'administration EL.

Au cours d'une étape E13, l'entité d'administration £L vérifie que la signature Sig _v. est valide, et si c'est le cas, transmet x' à l'entité membre Vj.

L'entité d'administration EL maintient un registre REG contenant pour chaque entité membre Vj du groupe les valeurs suivantes :

désigne le nombre de membres dûment enregistrés.

Au cours d'une étape G8, l'entité membre Vj vérifie que E = X et constitue, si cette vérification est concluante sa clé privée de groupe SK^. Celle-ci est constituée par le triplet SK^ =

(s _j ,u, u’) OÙ s, = x, + x'mod p. Dans un mode de réalisation particulier, le générateur de trace P _t est renouvelé périodiquement (toutes les heures, tous les jours, en début de mois, etc.)· Il suffit pour cela que les entités de révocation renouvellent leur clé privée et recalculent selon le procédé de génération décrit précédemment le générateur de trace correspondant P _t .

Dans un mode de réalisation particulier, le générateur de trace P _t est spécifique à un service donné. Typiquement un générateur de trace P _t peut être généré pour une élection spécifique. Pour un nouveau scrutin, les entités de révocation doivent calculer de nouvelles clés privées x' _K ^] pour en déduire un nouveau générateur de trace P' _t .

La figure 11 représente sous forme d'organigramme, les principales étapes d'un procédé de signature conforme à l'invention. Ce procédé de signature utilise le schéma de signatures anonymes SigA ₂ . Ce schéma utilise un algorithme qui à partir d'un message msg, de la clé publique de groupe PK _G et de la clé privée SK^ d'une entité membre, produit une signature q du message msg.

Conformément au schéma de signatures anonymes SigA ₂ , pour signer anonymement un message quelconque msg e {0,1} ^* avec sa clé privée de groupe SK le module cryptographique MCR de l'entité membre V) tire aléatoirement, au cours d'une étape H2 une valeur l e Z _p . Il calcule, à l'étape H4 la valeur w = u ^l et à l'étape H6 la valeur W = (u')'.

Au cours d'une étape H8, le module cryptographique MCR de l'entité membre Vj calcule la valeur q = w ^s > et la trace 7} = P _t ^s ‘. Cette trace 7} calculée à partir du générateur de trace P _t et de l'élément s, de la clé privée de groupe de l'entité membre V) ne dépend pas du message msg. Autrement dit, la trace 7} constitue un invariant des signatures émises par l'entité membre V _t .

L'entité membre Vj prouve que le logarithme discret de q dans la base w est le même que le logarithme discret de 7} dans la base P _t : RP', = PoKfoq: q = w" ¹ A 7} = P _t ^ai ).

Dans le mode de réalisation de l'invention décrit ici, la preuve RP', est la paire (c, r) dans laquelle :

z est une valeur aléatoire de Z _v tirée par l'entité membre Vj ;

- 7\ = w ^z ;

- T ₂ = P _t ^z ;

- c = Jf( T ₁ T ₂ , P _t , msg);

r = z— es, mod p

La preuve est valide si c = K( w ^r c{, P _t ^r 7} ^c , P _t , m).

Au cours d'une étape H 10, le module cryptographique MCR de l'entité membre V) génère la signature anonyme q du message msg, celle-ci étant constituée des cinq éléments suivants : (w, w', q, 7), RP' _ί ). Elle comporte la trace 7} qui permet de tracer toutes les signatures émises par l'entité membre V _t .

La figure 12 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature anonyme pouvant être utilisé dans l'invention. Ce procédé est mis en œuvre par le dispositif de vérification DV de la figure 9. Il met en œuvre un algorithme de vérification qui prend en entrée un message msg, une signature s, et la clé publique du groupe PK _G . Il détermine si la signature s, est valide ou non.

Au cours d'une étape K2, le dispositif de vérification d'une signature anonyme obtient une signature anonyme s, = (w, w', c^ r^ PIT _j ).

Au cours d'une étape K4, le dispositif de vérification considère que la signature anonyme s, d'un message msg est valide si :

- w ¹ l _Gl

- Ά ¹ l _Gl ;

RP' _; est valide ; et

La figure 13 représente sous forme d'organigramme les principales étapes d'un procédé de levée d'anonymat d'une signature valide s _; = (w. w'. c^ T'i. n'^ d'un message msg. Ce procédé ne peut être mis en œuvre que par les entités de révocation K _j . Il utilise un algorithme qui prend en entrée un message msg, une signature a _u la clé publique du groupe PK _G et les clés privées des autorités de révocation et retourne ID _V. l'identité d'un entité membre ainsi qu'une preuve que est bien l'auteur de cette signature s*.

Au cours d'une étape Z2, chacune des entités de révocation R _j obtient la signature anonyme s, d'un message msg.

Au cours d'une étape Z4, les autorités de révocation {R _{j j= l} calculent successivement, ¹ et prouve (PI¾) que le logarithme discret de dans la base T, est égal au logarithme discret de X ₁ dans la base P _x .

R ₂ calcule T ₂ = T ¹ et prouve (RP|) que le logarithme discret de T ₂ dans la base 7 est égal au logarithme discret de P dans la base P ₂ .

R _jr pour t ³ j ³ 2, calcule T _j = T _j _^ ^c ^ ^{1 1} et prouve (PI¾) que le logarithme discret de T _j dans la base T _]® est égal au logarithme discret de P _j-1 dans la base P _j .

Il est rappelé ici qu'il peut n'y avoir qu'une seule entité de révocation.

Si toutes les preuves produites par les autorités de révocation sont valides,

Au cours d'une étape Z6, les autorités de révocation transmettent T _t et l'ensemble des preuves {RI¾· ₌₁ à l'entité d'administration £L.

Au cours d'une étape Z8, l'entité d'administration £L retrouve dans son registre REG l'entrée correspondant Au cours d'une étape Z10, l'entité d'administration £L fournit en retour à l'entité de révocation l _j demanderesse de la levée d'anonymat, l'identifiant ID _V. , les preuves {Pnî _¾ }t ₌₁ ainsi que C C' _j .x', PKi et Sig _Vi - Si toutes les preuves {R¾}· ₌₁ sont valides, que C', = C, - x et que la signature Sig _v. est valide alors l'entité d'administration RL considère que l'entité membre Vj dont l'identifiant est ID _V. est bien l'auteur de la signature s, du message msg .

Lorsque le service est un vote électronique, il est alors possible de constituer une liste d'émargement à partir des identifiants obtenus par la mise en oeuvre du procédé.

Dans le mode de réalisation décrit ici, chaque entité de révocation l _j comporte un module cryptographique MCR configuré pour calculer une paire de clés de révocation , cette paire comprenant une clé publique P _j et une clé privée pouvant être utilisée par l'entité de révocation pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA ₂ .

Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation l _j est configuré pour calculer, à partir des clés privées de la paire de clés de révocation, un générateur de trace P _t = c^ ^{1=i Cc} .

Dans le mode de réalisation décrit ici, le dispositif DSA de chaque entité membre Vj comporte un module cryptographique MCR configuré pour générer une trace Tj = P _t ^Si représentant l'entité membre Vj en utilisant ce générateur de trace à partir de la clé privée de l'entité membre Vj. Cette trace 7j est invariante par rapport aux signatures anonymes a _L générées par l'entité membre conformément au schéma SigA ₂ .

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre Vj est configuré pour obtenir, de manière aveugle, une clé privée SK _G ^l du groupe.

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité membre Vj est configuré pour générer des signatures de messages, en utilisant la clé privée de groupe, ces signatures comportant la trace 7j .

Le dispositif de vérification DV est configuré pour vérifier si une signature anonyme s _ί est conforme au schéma de signatures anonymes SigA ₂ . Il met en oeuvre un algorithme de vérification qui prend en entrée un message msg, une signature s, et la clé publique du groupe PK _G . Il détermine si la signature s, est valide ou non.

Dans le mode de réalisation décrit ici, le dispositif de vérification DV comporte des moyens de communication COM et un module cryptographique MCR.

Le module de communication COM du dispositif de vérification DV est configuré pour obtenir une signature anonyme telle que s _ί = (w, w', . Tj. Pn'* ).

Le module cryptographique MCR du dispositif de vérification DV est configuré pour déterminer que la signature anonyme s, d'un message msg est valide si :

- w ¹ l _Gl

Ti l _Gl ; RP' _ί est valide ; et

Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation K _j est configuré pour mettre en oeuvre le procédé de levée d'anonymat d'une signature décrit ultérieurement en référence à la figure 13.

La figure 10 représente sous forme d'organigramme les principales étapes d'un procédé de génération de clés du groupe conforme à l'invention.

Au cours d'une étape E2, le module cryptographique MCR de l'entité d'administration RL tire aléatoirement trois valeurs, co,co,c _! de Z _p .

Au cours d'une étape E4, le module cryptographique MCR de l'entité d'administration £L calcule c _¾ = g ^x o h¾ ,X ₁ = h ^x i ,X ₀ = h ^x ° ,X ₁ = h ^x i .

Au cours d'une étape E6, le module cryptographique MCR de l'entité d'administration RL constitue une paire de clés dans laquelle :

la clé privée SK _£M est constituée des trois valeurs (x ₀ , 3ë ₀ , ¾ ) qui ont été tirées aléatoirement ; et

la clé publique RK _£L est constituée des éléments calculés à l'étape E4: RK _L =

(C _Xo ,x ₁ ,x ₀ ).

Au cours d'une étape E8, le module cryptographique MCR de l'entité d'administration RL génère une preuve RP ₂ à divulgation nulle de connaissance pour prouver qu'il connaît les clés privées associées à sa clé publique. RP, = RoKGa, , a,, a ₃ = C = g ^ai h“ ² A X, = h“ ³ A X ₀ =

h" ¹ A ¾ = h“ ³ ).

Au cours d'une étape F2, le module cryptographique MCR de chacune des entités de révocation {¾}^ ₌₁ tire aléatoirement une valeur x ^J _li de Z _p . Cette valeur aléatoire constitue une clé privée de l'entité de révocation K _j pour lever l'anonymat d'une signature.

Au cours d'une étape F4, les modules cryptographiques MCR des entités de révocation Jl _j calculent tour à tour une clé publique P _s associée à cette clé privée x _K ^] . Plus précisément, dans le mode de réalisation décrit ici :

l'entité de révocation calcule P ₁ = et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P dans la base X .

l'entité de révocation H ₂ calcule P ₂ = P et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P ₂ dans la base P .

l'entité de révocation R _{j r} pour t ³ j ³ 2, calcule P _j = P _j et prouve qu'elle connaît la clé privée associée à sa clé publique, autrement dit le logarithme discret de P _j dans la base 3-1· Au cours d'une étape F6, lorsque toutes les entités de révocation ont calculé leur clé publique P _s , le module cryptographique MCR de l'entité de révocation K _t constitue la clé publique

~ ~ p^- ^c ΐ du groupe PK _G = (c _Xo ,X ₁ ,X ₀ ,X ₁ , P _t ^' ). Elle comporte le générateur de trace P _t = X _r ^{!~ 1 x} obtenu à partir des clés privées de chacune des entités de révocation l _j . La clé privée associée à la clé publique de groupe est

Dans le mode de réalisation décrit ici, chaque entité membre Vj possède un identifiant unique ID _V. ainsi qu'une paire de clés privée, publique (SK^ PK,), d'un algorithme de signature numérique, la clé publique PK, ayant été certifiée par une entité de certification reconnue, par exemple par l'entité d'administration £L. Des exemples d'algorithmes de signature numérique pouvant être utilisés à cet effet sont : RSA, DSA, ECDSA,...

Pour obtenir sa clé privée de groupe, l'entité membre Vj interagit avec l'entité d'administration £L. Au cours d'une étape G2, le module cryptographique MCR de l'entité membre Pi tire aléatoirement une valeur x, e Z _p et calcule = X‘. Il génère ensuite une preuve RP, à divulgation nulle de connaissance qu'il connaît x, le logarithme discret de en base X _x : RP _ί = RoK(a _c : e, = x" ¹ ). L'exemple d'une telle preuve est fourni dans le document Claus-Peter Schnorr, « Efficient Identification and Signature for Smart Cards », Theory and Application of Cryptology, Springer, 1989.

Au cours d'une étape G4, le module cryptographique de l'entité membre V génère une signature s _n . sur C, : s _n . = Sign _SK. {C _i ) où SK, désigne la clé privée de Vj. L'entité membre V transmet ensuite ces trois valeurs ,RP,, s _n , à l'entité d'administration £L.

Au cours d'une étape E10, le module cryptographique MCR de l'entité d'administration £L vérifie que C, ¹ 1 et que la signature s _n et que la preuve RP, sont toutes les deux valides.

Si c'est le cas, au cours d'une étape E12, le module cryptographique MCR de l'entité d'administration EL génère deux valeurs aléatoires b et x' de Z _p et calcule E = X?’ ainsi qu'une paire (u, u’) où u = h ^b et u' = u ^x °(Ci X? = _u *° ⁺⁽ * ^;+ * ^’)¾ _ | p _r0UV e que la paire (u, u’) a été calculée de manière conforme et notamment à partir des clés privées x ₀ et x :

Au cours d'une étape E14, le module cryptographique MCR de l'entité d'administration EL transmet £ , 11, 11’ et la preuve RP ₃ à l'entité membre V,.

Au cours d'une étape G6, le module cryptographique de l'entité membre vérifie que u ¹ 1 et que la preuve RP ₃ est valide. Si ces deux vérifications sont concluantes, le module cryptographique de l'entité membre Vj génère, au cours d'une étape G7 une signature Sig _v. sur ç et E : Sig _v. = Sign _SK. {C _i , E'), où SK _t désigne la clé privée de l'entité membre Vj.

Au cours d'une étape G75, l'entité membre Vj transmet la signature Sig _v. à l'entité d'administration EL. Au cours d'une étape El i, l'entité d'administration EL vérifie que la signature Sig _v est valide, et si c'est le cas, transmet x' à l'entité membre Vj.

L'entité d'administration £L maintient un registre REG contenant pour chaque entité membre V du groupe les valeurs suivantes :

désigne le nombre de membres dûment enregistrés.

Au cours d'une étape G8, l'entité membre V} vérifie que E = X™ et constitue, si cette vérification est concluante, sa clé privée de groupe SK^. Celle-ci est constituée par le triplet SK^ =

(s _j ,u, u’) OÙ s, = x, + x'mod p.

Dans un mode de réalisation particulier, le générateur de trace P _t est renouvelé périodiquement (toutes les heures, tous les jours, en début de mois, etc.). Il suffit pour cela que les entités de révocation renouvellent leur clé privée et recalculent selon le procédé de génération décrit précédemment le générateur de trace correspondant P _t .

Dans un mode de réalisation particulier, le générateur de trace P _t est spécifique à un service donné. Typiquement un générateur de trace P _t peut être généré pour une élection spécifique. Pour un nouveau scrutin, les entités de révocation doivent calculer de nouvelles clés privées x' _K ^] pour en déduire un nouveau générateur de trace P' _t .

La figure 11 représente sous forme d'organigramme, les principales étapes d'un procédé de signature conforme à l'invention. Ce procédé de signature utilise le schéma de signatures anonymes SigA ₂ . Ce schéma utilise un algorithme qui à partir d'un message msg, de la clé publique de groupe PK _G et de la clé privée de groupe SK^ d'une entité membre, produit une signature du message msg.

Conformément au schéma de signatures anonymes SigA ₂ , pour signer anonymement un message quelconque msg e {0,1} ^* avec sa clé privée de groupe SK le module cryptographique MCR de l'entité membre V _t tire aléatoirement, au cours d'une étape H2 une valeur l e Z _v . Il calcule, à l'étape H4 la valeur w = u ^l et à l'étape H6 la valeur W = ( u ')*.

Au cours d'une étape H8, le module cryptographique MCR de l'entité membre V} calcule la valeur q = w ^Si et la trace 7} = P _t ^s ‘. Cette trace 7} calculée à partir du générateur de trace P _t et de l'élément s, de la clé privée de groupe de l'entité membre V _t ne dépend pas du message msg. Autrement dit, la trace 7} constitue un invariant des signatures émises par l'entité membre Vj.

L'entité membre V} prouve que le logarithme discret de q dans la base w est le même que le logarithme discret de 7} dans la base P _t : PIT, = PoKfoq: q = w" ¹ A T, = P _t ^ai ).

Dans le mode de réalisation de l'invention décrit ici, la preuve RP', est la paire (c, r) dans laquelle :

z est une valeur aléatoire de Z _p tirée par l'entité membre V} ;

- 7\ = w ^z ; - T ₂ = P _t ^z ;

- c = Jf( T ₁ T ₂ , P _t , msg);

r = z— cS _j mod p

La preuve est valide

Au cours d'une étape H 10, le module cryptographique MCR de l'entité membre V _t génère la signature anonyme s _ί du message msg, celle-ci étant constituée des cinq éléments suivants : (w, w', c ₁ T,, RP' _ί ). Elle comporte la trace T, qui permet de tracer toutes les signatures émises par l'entité membre V,.

La figure 12 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature anonyme pouvant être utilisé dans le contexte du schéma SigA ₂ . Ce procédé est mis en oeuvre par le dispositif de vérification DV de la figure 9. Il met en oeuvre un algorithme de vérification qui prend en entrée un message msg, une signature s, et la clé publique du groupe PK _G . Il détermine si la signature s, est valide ou non.

Au cours d'une étape K2, le dispositif de vérification d'une signature anonyme obtient une signature anonyme s, = (w, w', ^, G, RP', ).

Au cours d'une étape K4, elle considère que la signature anonyme s, d'un message msg est valide si :

w ¹ l _Gl

- T ¹ l _Gl ;

RP' _; est valide ; et

La figure 13 représente sous forme d'organigramme les principales étapes d'un procédé de levée d'anonymat d'une signature valide s, = (w. w'. c^ T^ n'^ d'un message msg . Ce procédé ne peut être mis en oeuvre que par les entités de révocation K _j . Il utilise un algorithme qui prend en entrée un message msg, une signature a la clé publique du groupe PK _G et les clés privées des autorités de révocation et retourne ID _V. l'identité d'un entité membre V, ainsi qu'une preuve que V, est bien l'auteur de cette signature s, .

Au cours d'une étape Z2, chacune des entités de révocation l _j obtient la signature anonyme s, d'un message msg .

Au cours d'une étape Z4, les autorités de révocation (J2 }j _{= 1} calculent successivement, et prouve (PI¾) que le logarithme discret de T _x dans la base T, est égal au logarithme discret de X ₁ dans la base H ₂ calcule T ₂ = et prouve (RP|) que le logarithme discret de T ₂ dans la base 7 est égal au logarithme discret de P dans la base P ₂ .

Jl _jr pour t ³ j ³ 2, calcule prouve (PI¾) que le logarithme discret de T _j dans la base T _j-1 est égal au logarithme discret de R _]® dans la base P _j .

Il est rappelé ici qu'il peut n'y avoir qu'une seule entité de révocation.

Si toutes les preuves produites par les autorités de révocation sont valides,

Au cours d'une étape Z6, les autorités de révocation transmettent T _t et l'ensemble des preuves {PI¾}- ₌₁ à l'entité d'administration £L.

Au cours d'une étape Z8, l'entité d'administration £L retrouve dans son registre REG l'entrée correspondant à C', : {Ci. C' _v x' , X _i , ID _i , PK _i ,Sig _Vl }.

Au cours d'une étape Z10, l'entité d'administration £L fournit en retour à l'entité de révocation K _j demanderesse de la levée d'anonymat, l'identifiant ID _V. , les preuves {RG¾· ₌₁ ainsi que C,, C' _j .x', PK, et Sig _Vj . Si toutes les preuves {R¾}[ ₌₁ sont valides, que C', = C, - x et que la signature Sig _M. est valide alors l'entité d'administration EL considère que l'entité membre dont l'identifiant est ID _V. est bien l'auteur de la signature s, du message msg.

Lorsque le service est un vote électronique, il est alors possible de constituer une liste d'émargement à partir des identifiants obtenus par la mise en oeuvre du procédé.

Le schéma de signatures anonymes SigA ₂ peut en particulier être utilisé pour mettre en oeuvre une solution de vote électronique.

La figure 14 représente un système de vote électronique SVE2 conforme à l'invention. Ce système comporte un système SGC de génération de clés pour un schéma de signatures anonymes SigA ₂ et une entité V _t membre d'un groupe g conformes à l'invention. Il comporte en outre un dispositif de vérification DV.

Dans ce mode de réalisation, les entités membres de groupe sont des entités électeurs.

Dans ce mode de réalisation, le système SGC de génération de clés comporte une entité d'enregistrement L et une entité organisateur O. Chacune fait à la fois office d'entité d'administration du groupe et d'entité de révocation du groupe. Il est bien entendu qu'il s'agit ici d'un exemple illustratif et que dans d'autres exemples la distribution des rôles attribuée aux différentes entités peut être différente. L'entité d'enregistrement L et l'entité organisateur O comportent chacune un module de communication COM et un module cryptographique MCR. L'entité d'enregistrement L et l'entité organisateur O comportent en outre chacune un module d'enregistrement ERG configuré pour enregistrer au moins une entité électeur v; dans le groupe.

Ainsi, dans ce mode de réalisation de l'invention, une entité électeur s'enregistre à la fois auprès de l'entité d'enregistrement L et auprès de l'entité organisateur O. Ce mode de réalisation permet de répartir le rôle d'administrateur de groupe entre deux entités de sorte à éviter qu'une seule entité ne soit en mesure de créer de fausses entités électeurs.

L'entité électeur V _t comporte un module de communication COM et un dispositif DSA de signature anonyme conforme à l'invention.

Le dispositif DSA de l'entité électeur v; comporte un module d'enregistrement ERG configuré pour enregistrer l'entité électeur auprès de l'entité d'enregistrement L.

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité de révocation L, O est configuré pour calculer une paire de clés de révocation dont la clé privée peut être utilisée pour révoquer l'anonymat d'une signature anonyme conforme audit schéma SigA ₂ et pour calculer, à partir d'une clé publique de la paire de clés de révocation, un générateur de trace.

Le dispositif DSA de chaque entité électeur comporte un module cryptographique MCR configuré pour générer une trace G, = P _t ^Si en utilisant ce générateur de trace, cette trace G, étant invariante par rapport aux signatures anonymes s _ί générées par l'entité électeur conformément au schéma SigA ₂ .

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité électeur V _t est configuré pour obtenir, de manière aveugle, une clé privée SK _G ^l de groupe, notée s, par la suite.

Dans le mode de réalisation décrit ici, le module cryptographique MCR de chaque entité électeur V _t est configuré pour générer des signatures s _ί de messages, en utilisant la clé privée de groupe, ces signatures comportant la trace r* .

Le dispositif de vérification DV est configuré pour vérifier si une signature anonyme s _ί est conforme au schéma de signatures anonymes SigA ₂ . Il met en oeuvre un algorithme de vérification qui prend en entrée un message msg, une signature s, et la clé publique du groupe PK _G . Il détermine si la signature s, est valide ou non.

Dans le mode de réalisation décrit ici, le dispositif de vérification DV comporte des moyens de communication COM et un module cryptographique MCR.

Le module de communication COM est apte à obtenir une signature anonyme s, telle que ai = (w, w', c^ T^ Pn'i ) .

Le module cryptographique MCR est configuré pour déterminer que la signature anonyme d'un message msg est valide si :

w ¹ l _Gl

- ¹ l _Gl ;

est valide ; et

 ₀ ) e (c ₁ ,  ₁ ) = e(w', S).

Dans le mode de réalisation décrit ici, le module cryptographique MCR d'une entité de révocation L , O est configuré pour mettre en oeuvre le procédé de levée d'anonymat d'une signature décrit ultérieurement en référence à la figure 18. La figure 15 représente sous forme d'organigramme un procédé de génération des clés des entités électeurs conforme à ce mode de réalisation de l'invention.

Au cours d'une étape VE2, le module cryptographique MCR de l'entité organisateur O tire aléatoirement quatre valeurs x^,x _g ,x _g ,x ₄ de Z _p . Dans ce mode de réalisation, x est une clé privée utilisée par l'entité organisateur O pour lever l'anonymat d'une entité électeur.

Au cours d'une étape VE4, le module cryptographique MCR de l'entité organisateur O calcule

Au cours d'une étape VE6, le module cryptographique MCR de l'entité organisateur O constitue une paire de clés dans laquelle :

la clé privée SK ₀ est constituée des quatre valeurs (c^,co ,Co,c?) qui ont été tirées aléatoirement ; et

la clé publique PK ₀ est constituée des éléments calculés à l'étape VE4: PK ₀ =

(c _xg ,x?,)M, p ₀ ).

Au cours d'une étape VE8, le module cryptographique MCR de l'entité organisateur O génère une preuve VOPn ₂ qu'il connaît la clé privée associée à sa clé publique en générant une preuve à divulgation nulle de connaissance définie comme suit : nop ₂ = RoK^, a ₂ , a ₃ , a ₄ ·. C _x o = g ^«i h“ ² A X? = h“ ³ A Xo = h" ¹ A X? = h“ ³ A P ₀ = X“ ⁴ ).

L'entité d'enregistrement L procède de la même façon.

Au cours d'une étape VE2, le module cryptographique MCR de l'entité d'enregistrement L tire aléatoirement quatre valeurs c^, c^, c ^' o , c^ de Z _p . Dans ce mode de réalisation, x^ est une clé privée utilisée par l'entité d'enregistrement L pour lever l'anonymat d'une entité électeur.

Au cours d'une étape VE4, le module cryptographique MCR de l'entité d'enregistrement

L calcule

Au cours d'une étape VE6, le module cryptographique MCR de l'entité d'enregistrement L constitue une paire de clés dans laquelle :

la clé privée SK ^ est constituée des quatre valeurs qui ont été tirées aléatoirement ; et

la clé publique XK^, RK^ est constituée des éléments calculés à l'étape VE4: PK ₀ =

Au cours d'une étape VE8, le module cryptographique MCR de l'entité d'enregistrement cA génère une preuve VAPn ₂ qu'il connaît la clé privée associée à sa clé publique. Cette preuve est définie comme suit : Au cours d'une étape VF4, les modules cryptographiques MCR de l'entité organisateur O et de l'entité d'enregistrement L, après avoir rendu publiques leurs clés publiques P ₀ et P^, calculent chacun de leur côté un générateur de trace P _t

Au cours d'une étape VF6, lorsque toutes les entités de révocation, à savoir l'entité d'enregistrement L et l'entité organisateur O dans ce mode de réalisation, ont calculé leur clé publique, elles calculent la clé publique du groupe PK _G . Elle comporte le générateur de trace P _t

= obtenu à partir des clés privées de ces entités de révocation L et O.

La clé privée associée à la clé publique de groupe est :

Dans ce mode de réalisation, chaque entité électeur possède un identifiant unique ID _V. ainsi qu'une paire de clés, privée et publique (SK^ PK,), d'un algorithme de signature numérique , la clé publique PK, ayant été certifiée au préalable par une autorité de certification reconnue, par exemple par l'entité d'enregistrement L et par l'entité organisateur O.

Dans le mode de réalisation décrit ici, pour obtenir sa clé privée de groupe, l'entité électeur V, doit interagir avec l'entité d'administration L et avec l'entité organisateur O. Au cours d'une étape VG2, le module cryptographique MCR de l'entité membre tire aléatoirement une valeur x, e Z _p et calcule C, = X^‘. Il génère ensuite une preuve l/EPri, à divulgation nulle de connaissance qu'il connaît x, le logarithme discret de en base X _x : VEPfli = RoK^ : = x" ¹ ).

Au cours d'une étape VG4, le module cryptographique MCR de l'entité électeur V, génère une signature s _n. sur C, : s _n. = Sign _SK. {C _i ) où SK, désigne la clé privée de L'entité électeur Vi.transmet ensuite ces trois valeurs C, , VEPfli, ^s _\ à l'entité d'administration L et à l'entité organisateur O.

Au cours d'une étape VE10, le module cryptographique MCR de l'entité d'administration L et le module cryptographique MCR de l'entité organisateur O vérifient C, ¹ 1 et que la signature s _n. et que la preuve RP, sont toutes les deux valides.

Si c'est le cas, au cours d'une étape VE12, le module cryptographique MCR de l'entité d'administration L et le module cryptographique MCR de l'entité organisateur O génèrent conjointement deux valeurs aléatoires b et x' de Z _p et calculent E = X ' ainsi qu'une paire (u, u’) où u = h ^b et u' = u ^x °(Ci X ) ^b = _u ^xo+(x i ^+x')x . i| _s prouvent que la paire (u, u’) a été calculée de manière conforme et notamment à partir des clés privées x ₀ et ¾ :

VOAflg

On rappelle, que pour générer conjointement une valeur, par exemple la valeur x', l'entité d'administration L et l'entité organisateur O peuvent utiliser des techniques connues de cryptographie distribuée. Par exemple, l'entité d'administration L (respectivement l'entité organisateur O) génère aléatoirement une valeur c! ^L de Z _p (respectivement x'° de Z _p ) et calcule

E' ^L = C ^L (respectivement X °). On obtient ainsi E = E' ^L . E'° = X où c' = c' ^L + x'° (mod p).

Dans ce mode de réalisation, au cours d'une étape VE14, le module cryptographique MCR de l'entité d'administration L ou de l'entité organisateur O transmet E , u, u’ et la preuve VEVW ₃ à l'entité électeur V _t . En variante ces valeurs sont envoyées par l'entité d'administration cA et par l'entité organisateur O et l'entité électeur V vérifie que les valeurs reçues des deux entités L et O sont identiques.

Au cours d'une étape VG6, le module cryptographique de l'entité électeur Vj vérifie que u ¹ 1 et que la preuve VOAPn ₃ est valide. Si ces deux vérifications sont concluantes, le module cryptographique de l'entité électeur Vj génère, au cours d'une étape VG7 une signature Sig _v. sur q et E : Sig _v. = Sign _SK. (Ci, E ), où SKi désigne la clé privée de l'entité électeur Vj. Au cours d'une étape VG75, l'entité électeur Vj transmet la signature Sig _v. à l'entité d'administration L et à l'entité organisateur O.

Au cours d'une étape VE13, l'entité d'administration L et l'entité organisateur O vérifient que la signature Sig _v. est valide, et si c'est le cas, l'entité d'administration L transmet x' à l'entité électeur Vj.

L'entité d'administration L maintient un registre REG non représenté contenant pour chaque entité membre Vj du groupe les valeurs suivantes :

q, e', = Ci - cϊ , c', RP _ί , iD _j , Piq désigne le nombre d'entités électeurs dûment enregistrées.

Au cours d'une étape VG8, l'entité électeur Vj vérifie que E = X™ et constitue, si cette vérification est concluante sa clé privée de groupe SK^. Celle-ci est constituée par le triplet SK^ =

(Si,u, u’) OÙ s, = x, + x'mod p.

La figure 16 représente sous forme d'organigramme les principales étapes d'un procédé de vote conforme à ce mode de réalisation de l'invention.

Conformément au schéma de signatures anonymes SigA ₂ , pour signer anonymement un message quelconque msg e {0,1} ^* avec sa clé privée de groupe SK^, le module cryptographique MCR de l'entité électeur Vj tire aléatoirement, au cours d'une étape VH2 une valeur 1 e Z _p et calcule (étape VH4) la valeur w = u ¹ ainsi (étape VH6) que la valeur w' = (u') ¹ .

Dans le cas d'un scrutin uninominal majoritaire, le message peut être constitué par le vote de l'entité électeur, éventuellement sous forme chiffrée, le chiffrement pouvant être calculé en utilisant une clé publique dont la clé privée serait partagée entre plusieurs entités assesseurs configurées pour procéder au dépouillement du vote.

Au cours d'une étape VH8, le module cryptographique MCR de l'entité électeur Vj calcule la valeur = w ^Si et la trace Tj = P _t ^s ‘. Cette trace Tj calculée à partir du générateur de trace P _t et de l'élément s, de la clé privée de groupe de l'entité électeur Vj ne dépend pas du message msg. Autrement dit, la trace T _t constitue donc un invariant des signatures émises par l'entité électeur V

L'entité électeur Vj prouve que le logarithme discret de dans la base w est le même que le logarithme discret de T _t dans la base P _t : VEPn', = PoKfoq: q = w" ¹ A T _t = P _t ^ai ).

Dans le mode de réalisation de l'invention décrit ici, la preuve VEPn', est la paire (c, r) dans laquelle :

z est une valeur aléatoire de Z _v tirée par l'entité électeur ;

- 7\ = w ^z ;

- T ₂ = P _t ^z ;

- c = yfClY. T^ Pt. msg);

r = z— es, mod p

La preuve est valide si c = K( w ^r c5;, P _t ^r T^, R,, iti) .

Au cours d'une étape VH 10, le module cryptographique MCR de l'entité électeur V _t génère la signature anonyme s _ί du message msg, celle-ci étant constituée des cinq éléments suivants : (w, w', q, t ₀ VEPn' _j ). Elle comporte la trace T _t qui permet de tracer toutes les signatures émises par l'entité électeur V _t .

La figure 17 représente sous forme d'organigramme les principales étapes d'un procédé de vérification d'une signature anonyme conformément à l'invention.

Au cours d'une étape VK2, le dispositif de vérification d'une signature anonyme obtient une signature anonyme q = (w, w', q. ri. VEPIl'i ).

Au cours d'une étape VK4, elle considère que la signature anonyme q d'un message msg est valide si :

w ¹ l _Gl

- Ti ¹ l _Gl ;

VEPn'i est valide ; et

La figure 18 représente sous forme d'organigramme les principales étapes d'un procédé de levée d'anonymat de la signature valide s, = (w. w'. , 7^, 11'; ) d'un message msg conformément à ce deuxième mode de réalisation de l'invention. Ce procédé est mis en oeuvre par l'entité d'enregistrement L et l'entité organisateur O.

Au cours d'une étape VZ2, chacune de ces entités L et O obtient la signature a,.

Au cours d'une étape VZ4, les entités L et O calculent successivement, 7} avec T ₀ = T _i .

O calcule 7Y = et prouve (VOPn^) que le logarithme discret de T _i dans la base T _t est égal au logarithme discret de X dans la base P . A calcule T ₂ et prouve (VAPn|) que le logarithme discret de T ₂ dans la base est égal au logarithme discret de dans la base P ₂ .

Si toutes les preuves produites par les autorités de révocation sont valides,

Dans ce mode de réalisation, au cours d'une étape VZ6, l'entité organisateur O transmet la preuve VOP¾ à l'entité d'enregistrement A.

Au cours d'une étape VZ8, l'entité d'enregistrement A retrouve dans son registre REG l'entrée correspondant

Au cours d'une étape VZ10, l'entité d'enregistrement A retourne l'identifiant ID _V. , les preuves VOPn^ ainsi et VAPn| que C^ C'^x', PK, et Sig _v. . Si toutes les preuves sont valides, que C'i = O, · x* ^’ et que la signature Sig _Vi est valide alors l'entité d'enregistrement A considère que l'entité électeur dont l'identifiant est ID _V. est bien l'auteur de la signature s, du message msg .

Dans le mode de réalisation décrit ici, l'entité d'administration SA, les entités de révocation K l'entité organisateur O, l'entité d'enregistrement A, le dispositif de vérification DV les entités membres ou électeurs V, ont l'architecture matérielle d'un ordinateur ORD tel que représenté schématiquement à la figure 19.

L'ordinateur ORD comprend notamment un processeur 7, une mémoire morte 8, une mémoire vive 9, une mémoire non volatile 10 et des moyens de communication COM. Ces moyens de communication COM permettent aux différentes entités de communiquer entre eux notamment. Ils peuvent comprendre une ou plusieurs interfaces de communication sur un ou plusieurs réseaux de télécommunication (fixes ou mobiles, avec ou sans fil, etc.).

La mémoire morte 8 de l'ordinateur ORD constitue un support d'enregistrement conforme à l'invention, lisible par le processeur et sur lequel est enregistré un programme d'ordinateur conforme à l'invention, désigné de façon générale ici par PROG, comportant des instructions pour l'exécution de l'un des procédés objets de l'invention. Ainsi :

— pour l'entité d'administration SA, le programme PROG est un programme PROG1 comportant des instructions pour l'exécution des étapes E2 à E12 d'un procédé de génération de clé conforme à l'invention, et des étapes Z8 à Z10 d'un procédé de levée d'anonymat conforme à l'invention,

— pour les entités de révocation Ίΐ _n· le programme PROG est un programme PROG1 comportant des instructions pour l'exécution des étapes F2 à F6 d'un procédé de génération de clé conforme à l'invention, et des étapes Z2 à Z6 d'un procédé de levée d'anonymat conforme à l'invention,

— pour l'entité organisateur O, le programme PROG est un programme PROG2 comportant des instructions pour l'exécution des étapes VE2 à VE12 d'un procédé de génération de clé conforme à l'invention et des étapes VZ2 à VZ6 d'un procédé de levée d'anonymat conforme à l'invention,

— pour l'entité d'enregistrement L, le programme PROG est un programme PROG3, comportant des instructions pour l'exécution des étapes VE2 à VE12 d'un procédé de génération de clé conforme à l'invention et des étapes VZ2 à VZ10 d'un procédé de levée d'anonymat conforme à l'invention,

— pour le dispositif de vérification DV, le programme PROG est un programme PROG4 comportant des instructions pour l'exécution des étapes K2 à K4 ou VK2 à VK4 d'un procédé de vérification de signature conforme à l'invention,

— pour les entités membres V _ir le programme PROG est un programme PROG5, comportant des instructions pour l'exécution des étapes G2 à G8 ou VG2 à VG8 du procédé de génération de clé conforme à l'invention, des étapes H2 à H 10 ou VH2 à VH 10 d'un procédé de signature conforme à l'invention.

Chacun de ces programmes définit, de façon équivalente, des modules fonctionnels du dispositif ou du module sur lequel il est installé, aptes à mettre en oeuvre les étapes du procédé concerné et s'appuyant sur les éléments matériels 7-10 de l'ordinateur ORD.