Catégorie : Cryptographie / fondation probatoire

Titre complet¶

Procédé et système de re-chiffrement probatoire distribué et auditable, basé sur infrastructure PRE, PKI Keycloak, et HSM Cloud.

Résumé¶

Le présent brevet décrit un

procédé de re-chiffrement probatoire distribué permettant de transférer de manière contrôlée l\'accès à un document chiffré, sans déchiffrement intermédiaire et sans exposition des clés privées.

Le système s\'appuie sur une architecture Proxy Re-Encryption (PRE) implémentée via NuCypher/Umbral, intégrée à un système de gestion d\'identité Keycloak et à une infrastructure de signature probatoire sécurisée (HSM Cloud compatible PKCS#11).

Chaque délégation, transformation et révocation est signée, journalisée dans un stockage WORM OVH et ancrée périodiquement via TSA RFC3161 et Merkle root sur blockchain publique (Ethereum, Tezos, Bitcoin testnet).

Problème technique résolu¶

Garantir la transmission légale, traçable et vérifiable d\'un droit de lecture sur un document chiffré, en assurant simultanément :

• la confidentialité absolue des données (zero knowledge serveur),

• la preuve de délégation et de non-altération,

• et la pérennité probatoire (10 à 50 ans selon la nature du document).

Solution technique¶

Le procédé se décompose en six étapes principales :

1. Chiffrement initial via la clé publique de l\'utilisateur A (Keycloak PKI).

2. Génération locale d\'une clé de re-chiffrement rk_{A→B} à l\'aide du moteur Umbral PRE.

3. Transmission contrôlée au proxy PRE stateless (API REST ou gRPC) pour transformation du chiffré.

4. Signature probatoire de l\'opération (hash(event)) par la couche HSM ProbatioVault (SoftHSM2 / OVH CloudHSM).

5. Journalisation immuable de l\'événement dans le stockage WORM OVH (Object Lock activé).

6. Ancrage périodique du Merkle root des événements auprès d\'une TSA RFC3161, puis publication sur blockchain publique.

Effet technique¶

• Empêche toute exposition de clé privée ou déchiffrement serveur.

• Produit des preuves auditées, ancrées et auto-vérifiables, juridiquement opposables.

• Permet la migration souveraine multi-cloud (OVH, AWS, S3-compatible) sans perte d\'intégrité probatoire.

Stack technique utilisée¶

• Crypto PRE (core) : NuCypher / Umbral (Python/Rust)

• PKI / identités : Keycloak + certbot (ACME) ou intégration eIDAS node

• Signature probatoire : HSM cloud (OVH HSM, AWS CloudHSM, ou YubiHSM)

• Horodatage / Ancrage : TSA (RFC3161) + hash Merkle ancré (Ethereum, Tezos, Bitcoin testnet)

• Journal immuable (WORM) : OVH Object Storage + versioning + lock WORM

• Révocation / CRL : Simple CRL signée + cache distribué Redis/S3

• Auditabilité : Exports JSON + preuve d\'ancrage (Merkle root, signature, TSA)