CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques

CReVote: un système de vote électronique résistant àla coercition basé sur les courbes elliptiques

Présenté par: AMBASSA PACÔME LANDRY

Membre du laboratoire de Mathématiques Expérimentales (LME)

Université de Ngaoundéré

2ème ATELIER ANNUEL SUR LA CRYPTOGRAPHIE, ALGEBRE ET GEOMETRIE (CRAG 2)

4 décembre 2012

Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 1 / 36

Plan

Plan

1 Système de vote électroniqueGénéralitésPropriétés du e-voteCourbes elliptiques

2 Présentation de CReVoteOutils cryptographiques utilisésDescription détaillée de CReVoteIllustration numérique avec SAGE


Plan

Plan




Système de vote électronique

Plan


2 Présentation de CReVote


Système de vote électronique Généralités

FIGURE 1: E-vote



Vote Électronique

Définition [rapport UCL, 2007]

Le vote électronique (e-vote) est un système électoral ou référendum électronique quiimplique le recours à des moyens électroniques au moins lors de l’enregistrement dusuffrage.

On distingue deux types de vote électronique :

1 Le vote hors ligne

utilisation des bureaux de vote et des isoloirs

2 Le vote en ligne (Vote par internet ou i-vote)

possibilité de voter de chez soi avec son ordinateur personnel ;

Avantages du i-vote

à Plus pratique pour les électeurs

à Réduction des coûts (bureaux et matériel)

à Le décompte rapide des voix



Vote Électronique








Avantages du i-vote






Vote Électronique








Avantages du i-vote






Déroulement

Phase

le vote électronique (par internet) sesubdivise en 5 phases :

+ Première phase : configuration ;

+ Deuxième phase : enregistrement ;

+ Troisième phase : vote

+ Quatrième phase : décompte ;

+ Cinquième phase : publication desrésultats.

Acteurs

Les principaux intervenants d’un tel système sont :

+ Les votants ou électeurs ;

+ Les autorités électorales.



Déroulement

Phase

le vote électronique (par internet) sesubdivise en 5 phases :

+ Première phase : configuration ;

+ Deuxième phase : enregistrement ;

+ Troisième phase : vote

+ Quatrième phase : décompte ;

+ Cinquième phase : publication desrésultats.

Acteurs

Les principaux intervenants d’un tel système sont :

+ Les votants ou électeurs ;

+ Les autorités électorales.


Système de vote électronique Propriétés du e-vote

Propriétés du e-vote

Un système de vote pour être utilisable doit vérifier un ensemble de propriétés [Meng,2010] :

De base

ò Éligibilité

ò Secret

ò Précision

ò vérifiabilité individuelle

ò Pas de double vote

ò complétude

Étendu

ò Vérifiabilité universelle

ò Receipt-freeness

ò Résistance à la coercition





De base

ò Éligibilité

ò Secret

ò Précision



ò complétude

Étendu


ò Receipt-freeness






De base

ò Éligibilité

ò Secret

ò Précision



ò complétude

Étendu


ò Receipt-freeness




Propriétés du vote et lien cryptographique

TABLE 1: Tableau récapitulatif des propriétés d’un e-vote et lien cryptographique

Propriétés d’un e-vote Services de sécurité Primitives cryptographiques Exemples de primitivesSecret des votes Confidentialité Chiffrement homomorphique Elgamal, Paillier,...Receipt-freenes RechiffrementEligibilité Authentification Tecnique symétrique Mot de passe

technique asymétrique SignaturePrécision Intégrité Fonction de hachage SHA

Non répudiation Signature ElgamalMixnet déchiffrement

Secret des votes Anonymat rechiffrementSignature aveugle RSA

Confidentialité chaine de caractèresRésistance à la coercition crédit anonyme Mot de vote

Anonymat SignatureVérifiabilité individuelle Preuves ValiditéVérifiabilité universelle Chaum Pedersen

Les primitives cryptographiques se définissent sur les nombres ou sur les courbeselliptiques.



Propriétés du vote et lien cryptographique

TABLE 1: Tableau récapitulatif des propriétés d’un e-vote et lien cryptographique

Propriétés d’un e-vote Services de sécurité Primitives cryptographiques Exemples de primitivesSecret des votes Confidentialité Chiffrement homomorphique Elgamal, Paillier,...Receipt-freenes RechiffrementEligibilité Authentification Tecnique symétrique Mot de passe

technique asymétrique SignaturePrécision Intégrité Fonction de hachage SHA

Non répudiation Signature ElgamalMixnet déchiffrement

Secret des votes Anonymat rechiffrementSignature aveugle RSA

Confidentialité chaine de caractèresRésistance à la coercition crédit anonyme Mot de vote

Anonymat SignatureVérifiabilité individuelle Preuves ValiditéVérifiabilité universelle Chaum Pedersen

Les primitives cryptographiques se définissent sur les nombres ou sur les courbeselliptiques.



Définition des concepts

crédit anonyme (credential en anglais)

Jeton cryptographique unique. permettant de prouver une propriété ou un droit lié àson possesseur, sans révéler l’identité de celui-ci. Protège les informations privées deson possesseur en fournissant le service d’anonymat.

Résistance à la coercition

⇒ receipt-freeness

Suppose que personne ne doit être forcé de faire un choix particulier ou às’abstenir de voter.

protection contre

ò Attaque par randomisation ;

ò Attaque par abstention forcé ;

ò Attaque par simulation ;









protection contre












protection contre





Système de vote électronique Courbes elliptiques

Courbe elliptique sur un corps quelconque

Definition

Soit k un corps, une courbe elliptique E définie sur le corps k est l’ensemble dessolutions de l’équation de Weierstrass :

E : y2 + a1xy + a3y = x3 + a2x2 + a4x + a6 (1)

où ai ∈ k et ∆ 6= 0 avec ∆ le discriminant de E

FIGURE 2: Courbe d’équationy2 = x3−3x + 4 sur R

FIGURE 3: Courbe d’équationy2 + y = x3−7x + 6 sur R



Courbes elliptiques définies sur un corps fini

Représentation est constituée d’un ensemble de point discret

FIGURE 4: Courbe d’équationy2 = x3 + 2x + 3 sur F997

FIGURE 5: Courbe d’équationy2 = x3 + 10x + 4 sur F13



Problème du logarithme discret sur les courbeselliptiques (PLD)

Definition (PLD sur les courbes elliptiques)

Étant donnés une courbe elliptique E définie sur un corps fini (Fq), un point P ∈ E(Fq)d’ordre n et un point Q ∈< P >, chercher l’entier k ∈ [0,n−1] tel que Q = [k ]P.L’entier k est le logarithme discret de Q en base P.

Definition (Multiplication scalaire)

Soient E(Fq) une courbe elliptique, P un point de E(Fq) et k ∈ Z∗. La multiplicationscalaire, notée [k ]P, est définie comme suit :E(Fp)×Z→ E(Fp)(P,k) 7→ [k ]P = P + P + ...+ P︸︷︷︸

k fois

Fonction à calculer pour concevoir un cryptosystéme sur les courbes elliptiques

Fonction est « à sens unique »








k fois










k fois





Quelques schémas de vote électronique

Ils existent de nombreux schémas de vote dans la littérature mais deux nous ontintéressé :

[Juel et al, 2005 ]

En 2005, Juel et al définissent la notion de résistance à la coercition et proposent unsystème de vote électronique qui assure cette propriété.Problème : il n’est pas efficient [weber ,2006] et n’assure pas la complétude[Ambassa,2012]

Une nouvelle approche :

[Porkodi et al, 2011 ]

En 2011, Porkodi et al, propose un système de vote électronique basé sur les courbeselliptiques. Problème : il n’est pas résistant à la coercition [Ambassa,2012]





[Juel et al, 2005 ]









[Juel et al, 2005 ]






Présentation de CReVote

Plan

1 Système de vote électronique




CReVote

ò Basé sur la théorie des courbes elliptiques ;

ò le crédit anonyme construit sur une signature agrégée ;

participants

+ les électeurs Vi avec i ∈ [1,m] ;

+ les candidats c1, ...,ck ;

+ les autorités :d’enregistrement Rj avec j ∈ [1, l]de décompte Tj avec j ∈ [1,n]

Résisté à la coercition

Pour le faire l’électeur crée un faux crédit

Pour l’attaquant : faux ≈ vrai

Les votes associés à un faux crédit sont éliminés lors du décompte



CReVote



participants










CReVote



participants









Présentation de CReVote Outils cryptographiques utilisés

Chiffrement ElGamal distribuéGénération des clés distribuées

choisir une courbe elliptique E(Fp) définie sur Fp et G un point de E d’ordre q

Choisir un entier aléatoire s ∈ [1,q−1] et calculer h = sG.

Exécuter le partage de secret à seuil (t,n) de Shamir.

Générer un polynôme P(x) = a0 + a1x + ...+ at−1x t−1, a0 = P(0) = sPartager sj = P(j) aux Tj grâce au partage de clé de Diffie Hellman.

chiffrementPour chiffrer un message m ∈ E(Fp)choisir un nombre aléatoire k ∈ [1,n−1]calculer c = (c1,c2) avec c1 = kG et c2 = kh + m

Déchiffrement distribuéUn sous-ensemble ∆ à t autorités retrouve m en utilisant l’interpolation de Lagrange :

m = c2− sc1 où sc1 = ∑j∈∆

λjwj et λj = ∏k∈∆,k 6=j

(k

k− j)



Autres outils

Mixnet à rechiffrement universellement vérifiable

2 Crée un canal anonyme pour la transmission des votes ;

2 Correspondance entrée / sortie difficile ;

2 Preuve de rechiffrement après permutation

Preuves à divulgation nulle de connaissance

2 Égalité de logarithme discret :

Protocole de Chaum-PedersenProuveur connait x et veut montrer que B = xG et G = xH

2 Validité du contenu d’un message chiffré :Méthode de Byoungcheon Lee [Lee, 2000] version elliptique [Ambassa,2012]Soit M = m1, ...,mn le prouveur chiffre mi en (c1,c2) et veut montrer que le plaintext(message en clair) est un élément de M sans dévoiler mi



Autres outils

Mixnet à rechiffrement universellement vérifiable

2 Crée un canal anonyme pour la transmission des votes ;

2 Correspondance entrée / sortie difficile ;

2 Preuve de rechiffrement après permutation

Preuves à divulgation nulle de connaissance

2 Égalité de logarithme discret :

Protocole de Chaum-PedersenProuveur connait x et veut montrer que B = xG et G = xH

2 Validité du contenu d’un message chiffré :Méthode de Byoungcheon Lee [Lee, 2000] version elliptique [Ambassa,2012]Soit M = m1, ...,mn le prouveur chiffre mi en (c1,c2) et veut montrer que le plaintext(message en clair) est un élément de M sans dévoiler mi



Construction du crédit anonyme

ä Le crédit anonyme est généré par les Rj et transmis à l’électeur ;

ä Ces autorités, ne doivent pas connaitre son contenu ;

Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures).

signatures agrégées [Boneh et al, 2003]

ä Introduite par Boneh et al en 2003 ;

ä Une signature agrégée est une signature électronique qui permet à plusieurssignataires de signer des messages différent et ensuite d’agréger ces différentessignatures en une seule ;

ä soient n signatures de n messages provenant de n signataires. Il est possibled’agréger ces signatures en une seule ;



Construction du crédit anonyme

ä Le crédit anonyme est généré par les Rj et transmis à l’électeur ;

ä Ces autorités, ne doivent pas connaitre son contenu ;

Réalisation nécessite utilisation des signatures agrégées (Aggregate Signatures).

signatures agrégées [Boneh et al, 2003]

ä Introduite par Boneh et al en 2003 ;

ä Une signature agrégée est une signature électronique qui permet à plusieurssignataires de signer des messages différent et ensuite d’agréger ces différentessignatures en une seule ;

ä soient n signatures de n messages provenant de n signataires. Il est possibled’agréger ces signatures en une seule ;



Schéma de signature agrégée basé sur les courbeselliptiques [Ambassa,2012]

Soient G = E(Fp) le groupe de points de E définie sur un corps Fp, P un générateurde G, H : {0,1}∗→ G. q est l’ordre de G

Génération des clésChaque entité crée la clé publique et la clé privée correspondantea). choisir aléatoirement x ∈ Z∗q et calculer v = xP ;b). la clé publique est v et la clé privée x ;

Signaturepour chaque signataire avec la clé publique v , la clé privée x et le message m ∈ {0,1}∗ :a). calculer h = H(m) où h ∈ G ;b). calculer σ = xh c’est la signature ;Agregation

pour un ensemble de signataire Si (i ∈ [1,n]) :a). le signataire i fournit une signature σi de mi ∈ {0,1}∗ ;b). calculer δ = ∑

ni=1 σi la signature agrégé est δ ;


Présentation de CReVote Description détaillée de CReVote

Phase 1 et 2

Première phase : configuration

¶ choisir : une courbe elliptique E(Fp) d’équation y2 = x3 + ax + b et G ungénérateur de E(Fp) d’ordre q ;

· Coopération de Tj pour la génération des paramètres d’un systèmecryptographique ElGamal distribué à seuil (t,n) ;

¸ génération des clés privées et publiques des autorités d’enregistrement ;

¹ représentation des candidats comme k points de E(Fp). Abstention=candidat ;

illustration

Deuxième phase : enregistrement

¶ Chaque électeur Vi potentiel se rend dans un bureau d’enregistrement et prouveson éligibilité ;

· Transmission à l’électeur du crédit anonyme δ = ∑ni=1 σi ;

¸ L’électeur Vi génère Si = chiff R(δi ) et l’envoie à Rj ;

¸ Les autorités Rj rechiffre Si .

¹ Choix par Vi d’un identifiant et d’un mot de passe qu’il utilisera pour s’authentifier ;

illustration enregistrementPrésenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 20 / 36


Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Phase 1 et 2






illustration









Troisième phase : vote

¶ Authentification de l’électeur à l’aide de l’identifiant et du mot de passe générésprécédemment ;

· l’électeur Vi choisit aléatoirement (αi ,βi ) et construit son bulletin de votevi = (C,A,B,P) où

C = (ci1,ci2) = (αi G,αi h + Pr ) est le chiffrement du candidat choisit représenté parPrA est le chiffrement du crédit anonyme δiB = ∆i = βi δ

P est la preuve de validité du vote

¸ transmission de vi sur le tableau de vote publique via un canal anonyme (mixnet àrechiffrement universellement vérifiable) ;

illustration




¶ Authentification de l’électeur à l’aide de l’identifiant et du mot de passe générésprécédemment ;

· l’électeur Vi choisit aléatoirement (αi ,βi ) et construit son bulletin de votevi = (C,A,B,P) où

C = (ci1,ci2) = (αi G,αi h + Pr ) est le chiffrement du candidat choisit représenté parPrA est le chiffrement du crédit anonyme δiB = ∆i = βi δ

P est la preuve de validité du vote

¸ transmission de vi sur le tableau de vote publique via un canal anonyme (mixnet àrechiffrement universellement vérifiable) ;

illustration



Quatrième phase : décompte

¶ Vérification des preuves de validité par Tj et élimination des entrées où elle estincorrect ;

· Rechercher les valeurs dupliquées de ∆i et élimination des votes non valides

¸ Combiner les chiffrés des choix des candidats Pr contenus dans le tableau desvotes valides ;

ct = (c1,c2) = (m

∑i=1

ci1,m

∑i=1

ci1) = [(m

∑i=1

αi )G,(m

∑i=1

(αi )h + (k

∑r=1

dr Pr )]

¹ Coopération de Tj pour déchiffrer ct .

Reconstruction de la clé privée s pour calculer s(c1)

P(0)c1 =

t

∑i=1

si ∏1≤i≤ti 6=j

jj− i

c1 =〉 P(0)c1 =

t

∑i=1

si c1 ∏1≤i≤ti 6=j

jj− i

calculer c2− s(c1)







ct = (c1,c2) = (m

∑i=1

ci1,m

∑i=1

ci1) = [(m

∑i=1

αi )G,(m

∑i=1

(αi )h + (k

∑r=1

dr Pr )]



P(0)c1 =

t

∑i=1


jj− i

c1 =〉 P(0)c1 =

t

∑i=1


jj− i








ct = (c1,c2) = (m

∑i=1

ci1,m

∑i=1

ci1) = [(m

∑i=1

αi )G,(m

∑i=1

(αi )h + (k

∑r=1

dr Pr )]



P(0)c1 =

t

∑i=1


jj− i

c1 =〉 P(0)c1 =

t

∑i=1


jj− i








ct = (c1,c2) = (m

∑i=1

ci1,m

∑i=1

ci1) = [(m

∑i=1

αi )G,(m

∑i=1

(αi )h + (k

∑r=1

dr Pr )]



P(0)c1 =

t

∑i=1


jj− i

c1 =〉 P(0)c1 =

t

∑i=1


jj− i




Quatrième phase : décompte (suite)

º compter les voix.

Calculer la somme ∑r dr PrComparer le résultat à celui du calcul de c2− s(c1).lorsque les deux valeurs coincident en déduire dr , (r ∈ [1,k ]

Cinquième phase : publication des résultats.

1 Vérifier que le chiffrement ct est correct.2 Vérifier que le déchiffrement distribué de ct est correct

Après vérifications, le résultat final est publié.

illustration Décompte



Analyse du Schéma

Analyse

Le schéma assure les propriétés suivantes :

ò Éligibilité

ò Secret des votes

ò Précision

ò Équité

ò Complétude


ò vérifiabilité universelle

ò Receipt freeness


Limites

ò Vérifiabilité individuelle



Comparaison de Quelques schémas de vote

TABLE 2: Comparaisons des schémas de JCJ, Porkodi et CReVote

Propriétés JCJ Porkodi CReVoteComplétude non oui oui

Vérifiabilité universelle non oui ouiVérifiabilité individuelle oui oui non

Résistance à la coercition oui non oui

Go to conclusion


Présentation de CReVote Illustration numérique avec SAGE


Supposons que nous avons pour l’élection 8 autorités (3 d’enregistrements et 5 dedécomptes), 10 électeurs et 4 candidats. Le but est d’illustrer les différentes phases denotre schéma de vote.

Phase de configuration

¬ Nous choisissons Une courbe elliptique E(Fp) d’équationy2 = x3 + 2x + 1 (mod 1009) avec p = 1009 et un point de base G decoordonnées (560,715) d’ordre 1060,

Nous générons les clés pour un système cryptographique ElGamal distribué.

Nous choisissons la clé privée s = 248 et calculons une clé publiqueh = sG = (248,897)Nous exécutons la fonction secret-share partage (partage à seuil(3,5)

génération du polynôme secret P(x) = 215x2 + 139x + 248 (mod 257)calcul des paires (i,si ) = (i,P(i)) soit (1,s1) = (1,88), (2,s2) = (2,101),(3,s3) = (3,30), (4,s4) = (4,132), (5,s5) = (5,150) et partage à Tj grâce au partagede clé de Diffie- Hellman.

Seuls 3 autorités sur les 5 seront nécessaires pour « reconstruire la clé privée.

® Nous générons les clés des autorités d’enregistrement la clé privéeSkR = n = 329 et la clé publique correspondante est PkR = nG = (580,512)

























Phase de configuration (suite)

¯ Enregistrement des candidats cr et représentation de ces différents candidatscomme des points de E(Fp). Nos 4 candidats sont représentés par :

Tableau des candidats

Numéros Nom encodage0 Abstention P0 = (0 : 1 : 0)1 Candidat 1 P1 = (0,1)2 Candidat 2 P2 = (0,1008)3 Candidat 3 P3 = (1,2)

Retour.




¬ Enregistrement des électeurs par Rj j ∈ [1,3] dans un bureau d’enregistrement.

Transmission du crédit anonyme δ

Pour 10 électeurs nous obtenons les valeurs suivantes :

Tableau des électeurs

Identifiant votant crédit(δ)1 V1 (242 , 825 )2 V2 (86 , 184 )3 V3 (611 , 508 )4 V4 (588 , 936 )5 V5 (842 , 505 )6 V6 (137 , 161 )7 V7 (623 , 109 )8 V8 (558 , 276 )9 V9 (423 , 833 )

10 V10 (930 , 397 )

Retour.




construction de vi représenté par : chiff T (Pr ) = (ci1,ci2) = (αiG,αih + Pr ) ,chiff R(δi ), ∆i ,Les votes de 10 électeurs sont donnés dans le tableau suivant

TABLE 3: Valeurs numériques des votes chiffrés de 10 électeurs

chiffrement candidat chiffrement créditci1 = αi G ci2 = αi h + Pr βi G βi h + δi ∆i

1 (642 ,837 ) (348 ,789) (753 : 291) (282 , 465 ) (464 , 483 )2 (459, 470 ) (306, 205) (571, 796 ) (382, 103 ) (123, 261 )3 (821, 671) (233, 620 ) (662, 813 ) (53, 896) (54, 996)4 (819, 233) (268, 26) (284, 428) (172, 820) (410, 206)5 (230, 491) (538, 31) (212,334) (280, 504) (288, 375)6 (538, 31) (836, 743) (402, 937) (87, 449) (495, 39)7 (956, 107) (657, 321) (9, 851) (111, 267) (310, 636)8 (501, 589) (37, 329 ) (315, 210) (357, 924) (146, 386)9 (324, 367) (255, 838) (140, 560) (212, 334) (513, 87)10 (899, 113) (121, 0 ) (439 : 158) (280, 504) (247, 194)11 (254, 436) (921, 622) (823, 784) (773, 781) (54 , 996 )12 (303, 265) (884, 177) (325, 400) (369, 867) (54, 996)13 (731, 72) (456, 664) (572, 1001) (402, 72) (410, 206)14 (325, 400) (821, 338) (990, 418) (128, 280) (123, 261)15 (640, 308) (970, 913) (417, 507) (885, 72) (288, 375)



Rechiffrement

Rechiffrement du vote lors de la transmission des votes pour assurer le receiptfreeness.

TABLE 4: Valeurs numérique des votes rechiffrés de 10 électeurs

rechiffrement candidat rechiffrement créditci1 = γi G ci2 = γi h + Pr λi G λi h + δi ∆i

1 (961, 815) (86 , 825 ) (390, 294 ) (657, 688) (464, 483)2 (306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 )3 (191, 10 ) (117, 901) (396,977) (837,666 ) (54, 996 )4 (427, 955 ) (96, 1003 ) (474, 478) (990, 418) (410, 206)5 (235 , 941) (990, 591) (253, 136) (66, 1001) (288, 375)6 (22, 858) (334, 358) (606, 554) (87, 560) (495, 39)7 (375, 390) (878 , 427) (906, 433) (841, 86 ) (310, 636)8 (46 , 108 ) (625, 354) (533, 647 ) (502, 356) (146, 386)9 (864 , 73) (248, 112) (807 , 460) (313, 178) (513 , 87)10 (509 , 327) (281, 61) (167, 482) (801, 95) (247, 194)11 (476, 524) (263, 210) (664, 789) (22, 858) (54, 996)12 (335, 833) (242 , 184) (737 ,907) (509, 682) (54, 996)13 (626, 452) (126, 956) (217, 343) (50, 882 ) (410, 206)14 (436, 756) (233, 389) (932,795 ) (466, 899 ) (123, 261)15 (123, 748 ) (862, 228) (1 , 1007) (399 , 429 ) (288, 375)

Retour.Présenté par : AMBASSA PACÔME LANDRY (U.N) Vote Électronique:Coercition 4 décembre 2012 30 / 36



¬ Rechercher les valeurs dupliquées de ∆i et élimination des votes non valides

TABLE 5: Élimination des double votes

rechiffrement candidat rechiffrement créditci1 = γi G ci2 = γi h + Pr λi G λi h + δi ∆i(961, 815) (86 , 825 ) (390, 294 ) (657, 688) (464, 483)(306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 )/////////////////////////(191//////////////////////,10////////) /////////////////////////(117///////,//////////////////////////////901) /////////////////////////(396///////,//////////////////////////////977) /////////////////////////(837///////,//////////////////////////////666) //////////////////(54/////////////////////////////////,996)(427, 955 ) (96, 1003 ) (474, 478) (990, 418) (410, 206)/////////////////////////////(235,/////////////////////////////941) /////////////////////////////(990,/////////////////////////////591) /////////////////////////////(253,/////////////////////////////136) //////////////////////(66,////////////////////////////////////1001) /////////////////////////////(288,/////////////////////////////375)(22 , 858) (334 , 358) (606, 554) (87, 560) (495, 39)(375, 390 ) (878, 427 ) (906, 433) (841, 86) (310, 636)(46, 108 ) (625, 354) (533, 647) (502, 356) (146, 386)(864, 73) (248, 112) (807, 460) (313, 178) (513, 87)(509, 327 (281, 61) (167, 482 ) (801, 95) (247, 194)(476, 524) (263, 210) (664, 789) (22, 858) (54, 996)/////////////////////////////(335,/////////////////////////////833) /////////////////////////////(242,/////////////////////////////184) /////////////////////////////(737,/////////////////////////////907) /////////////////////////////(509,/////////////////////////////682) //////////////////////(54,/////////////////////////996////////)/////////////////////////(626///////,//////////////////////////////452) /////////////////////////////(126,/////////////////////////////956) /////////////////////////////(217,/////////////////////////////343) //////////////////////(50,/////////////////////////////882) /////////////////////////////(410,/////////////////////////////206)/////////////////////////(436///////,//////////////////////////////756) /////////////////////////////(233,/////////////////////////////389) /////////////////////////////(932,/////////////////////////////795) /////////////////////////////(466,/////////////////////////////899) /////////////////////////////(123,/////////////////////////261////////)(123, 748) (862, 228 ) (1, 1007) (399, 429 ) (288, 375)




Il résulte un tableau de votes uniques et valides représenter par

TABLE 6: Tableau de vote unique et valide

rechiffrement candidat rechiffrement créditci1 = γi G ci2 = γi h + Pr λi G λi h + δi ∆i

(961, 815) (86, 825 ) (390, 294 ) (657, 688 ) (464, 483)(306, 804 ) (460, 582) (819, 233) (969, 129) (123, 261 )(427, 955) (96, 1003 ) (474, 478) (990, 418) (410, 206)(22 , 858) (334, 358) (606, 554) (87, 560) (495, 39)(375, 390) (878, 427) (906, 433) (841, 86) (310, 636)(46, 108) (625, 354) (533, 647) (502, 356) (146, 386)(864, 73) (248, 112 ) (807, 460 ) (313, 178) (513, 87)(509 , 327) (281, 61) (167, 482 ) (801, 95) (247, 194)(476 , 524 ) (263, 210 ) (664, 789) (22, 858) (54, 996)(123, 748) (862, 228 ) (1, 1007) (399, 429 ) (288 , 375)




® Combiner les chiffrés des choix des candidats Pr

C = (c1,c2)

= (10

∑i=1

ci1,10

∑i=1

ci1)

= [(10

∑i=1

γi )G,(10

∑i=1

(γi )h + (3

∑r=0

dr Pr )]

On obtient c1 = ∑10i=1 ci1 = (713,788) et c2 = ∑

10i=1 ci2 = (80,317)

¯ Déchiffrer les votes.Reconstruction de la clé : supposons que nous avons les parts des 3 premièresautorités (1,88), (2,101), (3,30). Nous calculons

P(0)c1 = s1c12·3

(2−1)(3−1)+ s2c1

1·3(1−2)(3−2)

+ s3c11·2

(1−3)(2−3)

= 88c1( 6

2

)+ 101c1

( 3−1

)+ 30c1 = 264c1−46c1 + 30c1 = 248c1 = (171,275)



Nous obtenons s(c1) = (171,275),

le déchiffrement s’obtient en calculant c2− s(c1) = (441,457).

° compter les voix. calculer ∑3i=0 dr Pr en comparant le résultat à celui du calcul de

c2− s(c1). Pour notre exemple après calcul nous obtenons∑

3i=0 dr Pr = 3P0 + 2P1 + 4P2 + P3 = (441,457)

Cinquième phase : publication des résultats

Après le décompte des voix et la vérification, les résultats sont publiés

Tableau des résultats

Numéros Nom nombre de voix0 Abstention 31 Candidat 1 22 Candidat 2 43 Candidat 3 1

Le vainqueur est le candidat 2.

Retour.



Problème

Problème

pour k ≥ 2 La détermination de dr lors du calcule de la somme ∑kr=0 dr Pr dans E(Fp)

est une instance du problème de sac à dos ou problème de la somme desous-ensemble qui est NP-complet.

+ Implémenter un prototype du système de vote ;

+ Faire une preuve de sécurité formelle ;

+ Gérer les attaques induite par Internet ;

+ Adapter le système pour l’utiliser sur équipement légers ;



Problème

Problème

pour k ≥ 2 La détermination de dr lors du calcule de la somme ∑kr=0 dr Pr dans E(Fp)

est une instance du problème de sac à dos ou problème de la somme desous-ensemble qui est NP-complet.

+ Implémenter un prototype du système de vote ;

+ Faire une preuve de sécurité formelle ;

+ Gérer les attaques induite par Internet ;

+ Adapter le système pour l’utiliser sur équipement légers ;



Presentations & Public Speaking

CReVote: un système de vote électronique résistant à la coercition basé sur les courbes elliptiques