Une preuve à divulgation nulle de connaissance (Zero Knowledge Interactive proof ou ZKIP en anglais) est un protocole cryptographique permettant l'authentification sécurisée d'informations. Dans le cadre de ce protocole, une entité, nommée « fournisseur de preuve » ou prouveur peut démontrer à une autre partie, appelée le vérificateur, qu'une déclaration est vraie, sans révéler aucune information supplémentaire à son sujet. Ces preuves jouent un rôle crucial dans la garantie de la confidentialité et de la sécurité dans divers systèmes cryptographiques. Ces preuves jouent un rôle essentiel pour garantir la confidentialité et la sécurité dans des systèmes cryptographiques modernes.

En pratique, ces schémas se présentent souvent sous la forme de protocoles de type « défi/réponse » (challenge-response)^[1]. Le vérificateur et le fournisseur de preuve s'échangent des informations et le vérificateur contrôle si la réponse finale est positive ou négative. Il existe également des variantes sans interaction (non-interactive zero-knowledge proof)^[2] qui peuvent-être construites dans le modèle de l'oracle aléatoire par l'heuristique de Fiat-Shamir.

Les preuves à divulgation nulle reposent sur trois propriétés fondamentales :

• Complétude : Si la déclaration est vraie et que le prouveur suit le protocole, le vérificateur sera convaincu.
• Robustesse : Si la déclaration est fausse, un prouveur malveillant ne pourra pas convaincre un vérificateur honnête.
• Zéro-connaissance : Le vérificateur n'acquiert aucune information supplémentaire sur la déclaration, au-delà de sa véracité.

Les ZKP peuvent être utilisées pour cacher des informations dans un registre distribué (comme une blockchain), tout en permettant la validation de ces informations. Cela est particulièrement utile dans des systèmes où les parties n'ont pas totalement confiance les unes envers les autres, tout en évitant la nécessité d'une tierce partie de confiance.

Nous pouvons utiliser la notion de relation en mathématique pour définir les preuves à divulgation nulle de connaissance un peu plus rigoureusement. Ces preuves permettent à un prouveur P de convaincre un vérificateur V qu'il connaît un témoin w lié à une déclaration x telle que (x,w) ∈ R, où R est une relation bien définie. Un exemple classique est la preuve de connaissance d’un logarithme discret. Un problème difficile peut donc être vu comme une relation R dite difficile : Il existe un algorithme efficace pour générer des paires (x,w)∈R et il est difficile (infaisable) de déterminer w connaissant uniquement x.

Jean-Jacques Quisquater et Louis Guillou publient en 1989 un article intitulé « How to explain zero-knowledge protocols to your children »^[3] (ou « Comment expliquer à vos enfants les protocoles sans apport de connaissance » ). On y trouve une introduction pédagogique à la notion de preuve à divulgation nulle de connaissance, basée sur le conte « Ali Baba et les quarante voleurs ». On considère deux personnes : Peggy (prouveur) et Victor (vérificateur). On considère aussi une grotte avec une bifurcation : A et B. On peut passer de A à B ou de B à A en ouvrant une porte à l'aide d'un mot magique. Peggy veut prouver à Victor qu'elle connaît le mot magique pour ouvrir la porte mais ne veut pas que Victor l'apprenne. Il s'agit d'une « preuve de connaissance » (Peggy prouve à Victor qu'elle connaît la clé) mais sans « apport d'information » (Peggy conserve son secret). Pour ce faire, Peggy et Victor vont répéter plusieurs fois le scénario suivant.

1. Engagement. Victor (en vert) attend à l'entrée de la caverne et ne voit pas l'intérieur du tunnel. Peggy (en violet) s'introduit dans la galerie et choisit aléatoirement le cul-de-sac à gauche ou à droite, par exemple en lançant un dé ou une pièce de monnaie.
2. Défi. Victor entre dans le tunnel et attend à la bifurcation. Il lance une pièce de monnaie. Selon le côté sur lequel tombe la pièce, Victor crie « A » ou « B ».
3. Réponse. Peggy doit prouver maintenant qu'elle est en possession de la preuve, elle doit apparaître vers la sortie demandée par Victor.

Plusieurs cas de figure se présentent :

• Peggy connaît le mot magique :
  • si elle se trouve en A et que Victor dit « A », elle satisfait la requête
  • si elle se trouve en B et que Victor dit « B », elle satisfait la requête
  • si elle se trouve en A et que Victor dit « B », elle satisfait la requête en passant de A à B avec le mot magique
  • si elle se trouve en B et que Victor dit « A », elle satisfait la requête en passant de B à A avec le mot magique

• Peggy ne connaît pas le mot magique :
  • si elle se trouve en A et que Victor dit « B », elle ne satisfait pas la requête
  • si elle se trouve en B et que Victor dit « A », elle ne satisfait pas la requête
  • si elle se trouve en A et que Victor dit « A », elle satisfait la requête
  • si elle se trouve en B et que Victor dit « B », elle satisfait la requête

Si Peggy ne connaît pas le mot magique, il se peut que Victor soit induit en erreur dans les cas où sa requête correspond à la position actuelle de Peggy. En partant du principe qu'elle suit le protocole (critère de consistance), une erreur de Peggy sera considérée comme une preuve de non-connaissance. Victor peut de suite arrêter, il est assuré que Peggy ne connaît pas le mot magique.

En recommençant plusieurs fois à partir de la première étape, Victor peut collecter suffisamment d'informations pour être quasiment sûr que Peggy est en possession du mot magique. À chaque nouvel essai, il améliore son assurance. Si Peggy n'est pas en possession du mot magique, il y a 50 % de chance pour qu'elle commette une erreur. Avec N essais, la probabilité pour que Victor affirme que Peggy possède le secret alors qu'elle ne le possède pas est de ${\displaystyle {\frac {1}{2^{N}}}~}$.

Pour mettre ceci en parallèle avec des primitives cryptographiques dans le cadre d'un protocole « stimulation/réponse », il y a toujours une chance, aussi infime soit-elle, que la réponse donnée par le fournisseur de preuve soit tirée au hasard et qu'elle corresponde à ce qui était attendu par le vérificateur.

Dans cet exemple, on considère deux objets identiques, ayant cependant une caractéristique qui les différencie, ainsi deux boules semblables, mais de couleurs différentes^[4]. L'exemple provient de Oded Goldreich, qui utilisa deux cartes de deux couleurs différentes^[5].

L’exemple se fonde sur une situation fictive où deux personnes interviennent : l'une est daltonienne et l'autre distingue les couleurs. Il y a deux boules indistinguables hors les couleurs, rouge et verte. Pour la daltonienne, elles sont parfaitement identiques. L'objectif est de prouver à la daltonienne que la personne qui voit les couleurs est capable de distinguer les boules grâce à leurs couleurs, mais sans que jamais leurs couleurs (rouge ou verte) soient révélées.

La personne daltonienne place les boules derrière son dos, puis prend une des boules et la montre à l’autre personne. Elle la remet dans son dos puis choisit de montrer une des boules, soit la même, soit l'autre avec une probabilité de 50 %. Elle demande alors « ai-je changé de boule ? ». Le processus est répété autant de fois qu'il le faut. Si le protocole est répété suffisamment de fois et si la personne non daltonienne donne toujours la bonne réponse, la personne daltonienne sera convaincue avec une très forte probabilité que son partenaire est effectivement capable de distinguer les boules par leur couleur. C'est un protocole de preuve à divulgation nulle de connaissance puisqu’il ne révèle jamais la couleur des boules.

Dans cet exemple, Peggy veut prouver à Victor qu'elle connaît la solution d'une grille standard de Sudoku^{[6] [source détournée]}.

Pour cela, après avoir résolu la grille de Sudoku elle découpe sa grille soigneusement aux ciseaux. Elle se retrouve donc avec 81 petits carrés de papier sur lesquels sont écrits les chiffres de la grille de sudoku résolue. Elle retourne tous les bouts de papier face cachée. Sauf les chiffres de départ de la grille (ceux présents avant d'avoir commencé à résoudre la grille). La procédure de la preuve peut commencer.

Victor peut alors choisir n'importe quelle ligne, colonne, ou carré 3x3. Peggy prend les 9 carrés de papier correspondants, les mélange soigneusement, et les donne à Victor. Victor peut alors vérifier qu'il y a bien les chiffres de 1 à 9. Ensuite, Peggy remet les petits carrés à leur place face cachée sur la grille. Victor répète la procédure jusqu’à avoir vérifié les 9 lignes, 9 colonnes, et les 9 carrés 3x3 de la grille de Sudoku.

À la fin de la procédure, Victor a la preuve que Peggy a la solution de la grille de Sudoku sans la connaître.

Dans cet exemple, Peggy et Victor veulent s'assurer qu'ils possèdent chacun un même code secret sans pour autant le révéler. On peut imaginer une situation dans laquelle deux agents doivent se rencontrer et confirmer leur identité à l'aide d'un code unique qui leur a été préalablement transmis parallèlement.

Imaginons que Victor connaît le code (ex. 314 091) et souhaite vérifier que Peggy possède le même sans que l'un ou l'autre le révèle. La présence d'une tierce personne de confiance, Camille, permet de vérifier, à l'aide de la méthode suivante :

1. Camille choisit un nombre secret (ex. 123 123) et le chuchotte à Peggy
2. Peggy ajoute le nombre secret à son propre code secret, puis chuchotte le résultat à Victor
3. Victor soustrait son code secret au résultat qu'il a reçu, puis le chuchotte à Camille

Si les codes de Peggy et Victor sont identiques, Camille doit alors recevoir le nombre secret choisi au départ (123 123). Ainsi Camille peut affirmer si les codes de Victor et de Peggy sont identiques, sans pour autant le connaître : en effet, le code 314 091 n'est explicitement transmis dans aucun échange. Cette méthode permet aux personnages présents de prouver l'unicité du code secret sans le divulguer tout au long du test.

Parmi les preuves cryptographiques qui existent, on peut citer :

Le protocole de Schnorr, pour prouver la connaissance d'un logarithme discret ${\displaystyle x}$ d'un élément de groupe public ${\displaystyle h=g^{x}}$.

Supposons que Peggy souhaite prouver à Victor qu'elle connaît un secret x tel que ${\displaystyle g^{x}\mod p}$, où ${\displaystyle p}$ est un grand nombre premier et ${\displaystyle g}$ un générateur du groupe multiplicatif modulo ${\displaystyle p}$. Peggy veut prouver qu’elle connaît ${\displaystyle x}$ sans le révéler.

Le protocole interactif se déroule comme suit :

Peggy et Victor s'accordent sur un grand nombre premier ${\displaystyle p}$ et un générateur ${\displaystyle g}$ du groupe multiplicatif ${\displaystyle \mathbb {Z} _{p}^{*}}$.

Peggy choisit un secret ${\displaystyle x}$, calcule ${\displaystyle y=g^{x}\mod p}$, puis transmet la valeur ${\displaystyle y}$ à Victor.

Engagement : Peggy choisit un nombre aléatoire ${\displaystyle r({\mbox{où }}r\in [0,p-2])}$et calcule ${\displaystyle C=g^{r}\mod p}$. Elle envoie ${\displaystyle C}$ à Victor.

Défi : Victor choisit aléatoirement l'un des deux défis suivants :

• Soit il demande à Peggy de révéler ${\displaystyle r}$,
• Soit il demande à Peggy de révéler ${\displaystyle (x+r)\mod (p-1)}$.

Réponse : Selon le défi, Peggy répond comme suit :

• Si Victor demande ${\displaystyle r}$, Peggy lui transmet ${\displaystyle r}$, et Victor vérifie que ${\displaystyle C=g^{r}\mod p}$.

• Si Victor demande ${\displaystyle (x+r)\mod (p-1)}$, Peggy lui transmet cette valeur, et Victor vérifie que ${\displaystyle C\cdot y=g(x+r)\mod p}$

• Si Peggy connaît effectivement ${\displaystyle x}$, elle pourra toujours répondre correctement à l’un des deux défis.
• Si Peggy tente de tricher (sans connaître ${\displaystyle x}$), elle ne peut anticiper quel défi Victor choisira, et sa probabilité de réussir est de ${\displaystyle 0.5}$ à chaque itération. En répétant le protocole plusieurs fois, cette probabilité devient arbitrairement faible.

Zéro-connaissance : Le protocole ne divulgue aucune information sur , car le protocole ne divulgue aucune information sur ${\displaystyle x}$, car

• La valeur r est aléatoire et indépendante de x.
• La valeur ${\displaystyle (x+r)\mod (p-1)}$peut être vue comme une version chiffrée de ${\displaystyle x}$ à l’aide d’un masque aléatoire ${\displaystyle r}$ (analogue au chiffrement par masque jetable ou one-time pad).

Grâce à ce protocole interactif, Peggy prouve qu’elle connaît le logarithme discret sans le révéler, ce qui peut servir dans des systèmes d’authentification sécurisée ou de signature numérique.

Le protocole de Guillou-Quisquater, qui permet de prouver la connaissance d'un message clair derrière un chiffré RSA. Les preuves de connaissances dans RSA permettent de prouver la possession d'un secret lié à une clé publique ${\displaystyle n=p\cdot q}$. L'objectif est de permettre à un prouveur de démontrer qu’il connaît une valeur ${\displaystyle x}$ telle que ${\displaystyle y=x^{e}\mod n}$, sans révéler ${\displaystyle x}$. On fait finalement une preuve de connaissance de racine ${\displaystyle e-{\mbox{ième}}}$ qui est ${\displaystyle x}$. On répète le protocole t fois et les étapes sont les suivantes :

• Engagement : Le prouveur calcule un ${\displaystyle r\in \mathbb {Z} _{n}}$ aléatoire et envoie ${\displaystyle t=r^{e}\mod n}$.
• Défi : Le vérificateur envoie un défi ${\displaystyle c}$ inférieure à ${\displaystyle 2^{t}}$.
• Réponse : Le prouveur envoie ${\displaystyle s=r\cdot x^{c}\mod n}$.
• Vérification : Le vérificateur calcule ${\displaystyle s^{e}\mod n}$ et vérifie si cela correspond à ${\displaystyle t\cdot y^{c}\mod n}$.

Trois propriétés doivent être satisfaites :

• Complétude (completeness) : si le fournisseur de preuve et le vérificateur suivent le protocole alors le vérificateur doit toujours accepter la preuve.

Si le prouveur est honnête et utilise un témoin w valide pour lequel (x,w)∈R, alors le vérificateur accepte la preuve avec une probabilité de 1 :

Pr [V2 (x, engagement, défi, reponse) = 1 ] = 1. où V2 est un algorithme de vérification

• Robustesse (soundness) : si la proposition est fausse, aucun fournisseur de preuve malveillant ne peut convaincre un vérificateur « honnête » que la proposition est vraie et ceci avec une forte probabilité.

Le protocole est donc dit robuste s'il est possible, avec n transcriptions valides (x,engagement,challenge_i,reponse_i), où challenge_i=challjenge_j, d'extraire efficacement un témoin w tel que (x,w)∈R

• Zéro-connaissance (zero knowledge) : le vérificateur n'apprend de la part du fournisseur de preuve rien de plus que la véracité de la proposition, il n'obtient aucune information qu'il ne connaissait déjà sans l'apport du fournisseur de preuve.

Pour un vérificateur honnête, il existe un simulateur S qui, connaissant uniquement x et un défi/challenge, est capable de produire un transcript valide indiscernable d'une exécution honnête du protocole.

Formellement, pour chaque paire (x,w) ∈ R et chaque chall ∈ C :

S(x, chall) ≈ (x, com, chall, resp).

Si le vérificateur ne respecte pas la procédure, cette définition reste valable tant que le fournisseur de preuve (le prouveur) suit correctement le protocole.

Les deux premières propriétés sont les mêmes qui servent à définir un système de preuve interactive, qui est un concept plus général. C'est la troisième propriété qui fait "nulle de connaissance".

La sécurité des preuves peut être classée en plusieurs catégories, suivant la sécurité attendue par les différentes notions de sécurité précédemment définies, c'est-à-dire la robustesse et le non-apport de connaissance. On parle alors de :

• preuve « calculatoire » : impossibilité pour un observateur de distinguer en un temps polynomial une preuve authentique d'une preuve forgée ou aléatoire
• preuve « statistique », ou parfaite : la distribution des preuves authentiques est la même que celle des preuves aléatoires ou forgées. Cela peut se voir de la même manière que pour les preuves calculatoires, en donnant une puissance de calcul infinie (ou non bornée) au distingueur.

La première ne rejette pas l'existence d'une méthode (mais celle-ci, si elle existe, n'aura pas une complexité polynomiale) alors que la preuve parfaite assure qu'aucune méthode n'existe (d'après la théorie de l'information).

De manière similaire, si la robustesse est statistique, le terme « preuve » sera utilisé, autrement si elle est calculatoire, le terme « argument » sera utilisé pour désigner la preuve^[7].

Une méthode pour construire des preuves sans divulgation de connaissances utilise ce qu'on appelle des protocoles Σ^[1] (ainsi nommés en raison de la communication en trois échanges qui fait penser à la lettre grecque Sigma). Un protocole Σ est un protocole interactif entre un prouveur et un vérifieur mettant en jeu trois échanges :

• L’engagement, qui est un premier message envoyé par le prouveur au vérifieur ;
• Le défi, qui est une réponse envoyée par le vérifieur ;
• La réponse, qui est le dernier message envoyé par le prouveur.

La sécurité d'un protocole Σ est très proche de celle d'une preuve sans divulgation de connaissance : la complétude, la robustesse spéciale et l'apport nul d'information avec un vérifieur honnête. La construction générale consiste alors à imposer l'honnêteté au vérifieur en l'obligeant à générer son défi indépendamment de l’engagement par le biais d’un schéma de mise en gage cryptographique^[1].

De multiples preuves sans divulgation de connaissances reposent sur cette construction, par exemple le protocole de Schnorr, ou le schéma d'identification de Guillou-Quisquater. Une des raisons pouvant être qu'il est plus aisé de travailler sur les protocoles Σ, qui possèdent en plus des bonnes propriétés de régularité : il existe des constructions pour effectuer la conjonction et la disjonction de protocoles Σ. Propriétés que l'on n'a pas sur les preuves sans divulgation de connaissances génériques.

Le concept de preuve à divulgation nulle de connaissance (Zero Knowledge Proof ou ZKP) a été introduit en 1985 par Shafi Goldwasser, Silvio Micali et Charles Rackoff dans leur article fondateur intitulé "The Knowledge Complexity of Interactive Proof Systems". Ils ont montré qu'il était possible pour un prouveur de convaincre un vérificateur de la validité d'une déclaration sans divulguer aucune information supplémentaire. Cette avancée a posé les bases théoriques des preuves interactives et de la complexité des connaissances. Les travaux de Goldwasser et Micali leur ont valu le Prix Turing en 2012 pour leurs contributions majeures à la cryptographie : “une entité prouve à une autre entité qu’une proposition est vraie mais ne donne aucun autre élément que la véracité de la proposition” rien que ça!

En 1989, Jean-Jacques Quisquater et Louis Guillou proposent une explication pédagogique des ZKP dans leur article "How to Explain Zero-Knowledge Protocols to Your Children". Leur célèbre exemple, basé sur le conte Ali Baba et les Quarante Voleurs, a permis de vulgariser la notion auprès d’un public plus large en illustrant comment prouver la connaissance d’un secret sans le révéler.

Les travaux ultérieurs de Oded Goldreich, Silvio Micali et Avi Wigderson ont démontré que les ZKP ne se limitent pas à des problèmes spécifiques. En particulier, ils ont prouvé que tout problème de la classe NP possède un système de preuve à divulgation nulle de connaissance, ouvrant ainsi la voie à des applications universelles en cryptographie et en théorie de la complexité.

La transformée de Fiat-Shamir, introduite dans les années 1990, permet de convertir une preuve interactive en une preuve non interactive (NIZK) , rendant les ZKP plus pratiques pour des systèmes cryptographiques modernes, comme les signatures numériques.

Depuis les années 2000, les ZKP ont connu des avancées majeures grâce à l'amélioration des performances et des variantes plus efficaces.

Développés dans les années 2010, les zk-SNARKs (Zero-Knowledge Succinct Non-Interactive Arguments of Knowledge) permettent de générer des preuves courtes et rapides à vérifier, avec des applications dans les blockchains et les cryptomonnaies.

Introduits plus récemment, les  zk-STARKs (Zero-Knowledge Scalable Transparent Arguments of Knowledge) offrent des avantages en termes de transparence et de scalabilité en éliminant les configurations de confiance nécessaires aux zk-SNARKs.

L'une des principales motivations des ZKP est d'assurer que les clés publiques dans une infrastructure cryptographique, comme la norme X.509  (rfc 4210) de gestion des certificats, sont correctement formées. Ces preuves permettent de vérifier qu'un utilisateur qui enregistre une clé publique est bien en possession de la clé privée correspondante, le terme spécifique employé dans la rfc 4210 est de preuve de possession (POP) d’une clé privée évitant ainsi des comportements malveillants, comme la revendication d'une clé publique appartenant à un tiers.(preuves du logarithme discret d’une valeur donnée, preuve d’une isogénie).

Dans le contexte des technologies distribuées (DLT) et des blockchains, les ZKP offrent une solution cryptographique pour préserver la confidentialité des transactions. Alors que les blockchains publiques rendent les transactions visibles par tous, les ZKP permettent de prouver qu'une transaction est valide sans révéler d'informations sensibles. Contrairement aux environnements d'exécution sécurisés (TEE), comme Intel SGX, qui peuvent être vulnérables à des attaques par canaux auxiliaires, les ZKP fournissent une approche robuste et "privacy by design" pour protéger les données privées tout en permettant leur validation.

Depuis son introduction, cette notion a évolué pour devenir un pilier des technologies modernes de confidentialité, avec des applications allant de la vérification des identités numériques aux transactions privées sur les blockchains.

Les preuves à divulgation nulle de connaissance jouent un rôle central dans la sécurisation des protocoles cryptographiques. Elles permettent de transformer un protocole passivement sécurisé en un protocole activement sécurisé. Pour cela, chaque partie doit accompagner les messages qu'elle envoie d'une preuve à divulgation nulle de connaissance démontrant que le message a été généré correctement, conformément aux spécifications du protocole. Cette exigence empêche les adversaires malveillants de modifier les messages ou d'agir de manière non conforme.

Les ZKP permettent à une partie de prouver son identité à une autre sans révéler d'informations sensibles, comme un mot de passe. Cette méthode est particulièrement utile lorsque les mots de passe sont courts ou peu aléatoires, nécessitant des protocoles adaptés tels que les « Zero-Knowledge Password Proofs » [1].

En août 2021, Cloudflare a adopté le protocole « one-out-of-many proofs » pour des vérifications privées sur le web utilisant des matériels tiers, améliorant ainsi la sécurité tout en garantissant la confidentialité [2].

Les ZKP sont intégrées dans les protocoles cryptographiques pour assurer un comportement honnête tout en préservant la confidentialité. Elles permettent à un utilisateur de prouver que ses actions respectent les règles d’un protocole sans divulguer ses secrets, grâce aux propriétés de solidité et de divulgation nulle [3][4].

En 2016, le Princeton Plasma Physics Laboratory et l’Université de Princeton ont démontré une application des ZKP pour les négociations de désarmement nucléaire. Cette technique permet de vérifier si un objet est une arme nucléaire sans révéler d’informations sensibles sur sa structure interne, ce qui pourrait transformer les inspections internationales en matière de désarmement [5].

Les ZKP jouent un rôle essentiel dans la blockchain, notamment pour améliorer la confidentialité et l’anonymat des transactions. Elles ont été intégrées dans des protocoles comme Zerocoin et Zerocash, donnant naissance aux cryptomonnaies Zcoin (rebaptisée Firo) et Zcash en 2016.

• Zerocoin : Utilise un modèle de mélange intégré garantissant l’anonymat sans nécessiter la confiance d’intermédiaires .
• Zerocash : Ajoute une couche de confidentialité en masquant le montant des transactions. Cependant, ce niveau de confidentialité peut engendrer des risques, comme une hyperinflation indétectable en cas de fraude [6].

En 2018, les Bulletproofs ont été introduits pour permettre des preuves non interactives sans nécessiter d’installation de confiance. Cette technologie a été intégrée dans le protocole Mimblewimble (utilisé par les cryptomonnaies Grin et Beam) et Monero [7].

En 2019, Firo a adopté le protocole Sigma, une amélioration du protocole Zerocoin, suivie du protocole Lelantus, qui masque l’origine et le montant des transactions [8].

Les ZKP renforcent la confidentialité dans les systèmes d’identités décentralisées en permettant aux utilisateurs de prouver des attributs spécifiques (par exemple, l’âge) sans révéler leurs données personnelles. En intégrant les ZKP, ces systèmes offrent une couche supplémentaire de sécurité et réduisent les risques de violations de données et de vols d’identité [9].

• Gestion des documents d'archives
• Heuristique de Fiat-Shamir
• Preuves interactives (classe de complexité)

• [Quisquater et Guillou 1989] (en) Jean-Jacques Quisquater et Louis Guillou, « How to Explain Zero-Knowledge Protocols to Your Children », Crypto, lNCS,‎ 1989 (lire en ligne)
  Co-signé avec la famille des auteurs.
• [Goldwasser, Micali et Rackoff 1985] (en) Shafi Goldwasser, Silvio Micali et Charrles Rackoff, « The knowledge complexity of interactive proof-systems », Symposium of the Theory of Computation (STOC),‎ 1985
• [Goldreich, Micali et Wigderson 1991] (en) Oded Goldreich, Sivlio Micali et Avi Wigderson, « Proofs that yield nothing but their validity », Journal of the ACM, vol. 38,‎ 1991, p. 680-728
• [Groth et Sahai 2008] (en) Jens Groth et Amit Sahai, « Efficient Non-interactive Proof Systems for Bilinear Groups », Eurocrypt,‎ 2008 (DOI 10.1007/978-3-540-78967-3_24, lire en ligne)
• Jan Groth, Mike Kohlweiss, « One-Out-of-Many Proofs: Or How to Leak a Secret and Spend a Coin », Advances in Cryptology - EUROCRYPT 2015, Lecture Notes in Computer Science, Vol. 9057, pp. 187-210, 2015 (lire en ligne).
• Cloudflare, « Introducing Zero-Knowledge Proofs for Private Web Attestation with Cross/Multi-Vendor Hardware », The Cloudflare Blog, 12 août 2021 (lire en ligne).
• Shafi Goldwasser, Silvio Micali, Charles Rackoff, « The Knowledge Complexity of Interactive Proof Systems », SIAM Journal on Computing, Vol. 18, No. 1, pp. 186–208, 1989 (DOI).
• J. Abascal, M. H. Faghihi Sereshgi, C. Hazay, Y. Ishai, M. Venkitasubramaniam, « Is the Classical GMW Paradigm Practical? The Case of Non-Interactive Actively Secure 2PC », ACM SIGSAC Conference on Computer and Communications Security, 2020 (lire en ligne).
• Princeton Plasma Physics Lab, « PPPL and Princeton Demonstrate Novel Technique That May Have Applicability to Future Nuclear Disarmament Talks », PPPL News, 2016 (lire en ligne).
• B. Bünz, D. Bootle, A. Boneh, « Bulletproofs: Short Proofs for Confidential Transactions and More », IEEE Symposium on Security and Privacy (SP), 2018 (lire en ligne).
• H. Odendaal, C. Sharrock, S. W. Heerden, « Bulletproofs and Mimblewimble », Tari Labs University (lire en ligne).
• Andrew M., « Zcoin Cryptocurrency Introduces Zero Knowledge Proofs with No Trusted Set-up », Finder Australia, 30 juillet 2019 (archive).
• L. Zhou, A. Diro, A. Saini, S. Kaisar, P. C. Hiep, « Leveraging Zero Knowledge Proofs for Blockchain-based Identity Sharing: A Survey of Advancements, Challenges and Opportunities », Journal of Information Security and Applications, Vol. 80, 2024 (DOI).
• R. Padhy, B. Panigrahi, « Blockchain-based Interoperable Healthcare using Zero-Knowledge Proofs », IEEE International Conference on Blockchain, 2020 (lire en ligne).
• T. Golldir, « Advancing Privacy in Healthcare through Zero-Knowledge Proofs », Medium, 2021 (lire en ligne).
• A. Kiayias, D. Zacharias, D. Zindros, « zkVoting: Zero-Knowledge Proofs for Verifiable Coercion-Resistant Voting », Cryptology ePrint Archive, Rapport 2024/1003 (lire en ligne).
• S. Chatterjee, A. Kamat, R. Verma, « Post-Quantum Zero-Knowledge Voting: Efficient and Secure Proofs for Election Systems », Journal of Cryptology, SpringerLink, 2024 (DOI).
• Adi Shamir, Ronald Rivest, Leonard Adleman, « Mental Poker », Advances in Cryptology, Lecture Notes in Computer Science, Vol. 84, Springer-Verlag, 1981 (lire en ligne).
• M. Gupta, M. F. Kaashoek, T. Wang, Z. Zhao, « Using Zero-Knowledge Proofs to Play Battleship », Massachusetts Institute of Technology, 2020 (lire en ligne).
• B.-M. Ganescu, J. Passerat-Palmbach, « Trust the Process: Zero-Knowledge Machine Learning to Enhance Trust in Generative AI Interactions », arXiv preprint arXiv:2402.06414, 2024 (lire en ligne).
• Tero Mononen, Tomi Kause, Stephen Farrell, Carlisle Adams, « Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP) », RFC 4210, RFC Editor, 2005 (DOI).
• C. P. Schnorr, « Efficient Identification and Signatures for Smart Cards », Advances in Cryptology — CRYPTO’89 Proceedings, édité par Gilles Brassard, pp. 239–252, Springer, 1990 (DOI).
• Amos Fiat, Adi Shamir, « How To Prove Yourself: Practical Solutions to Identification and Signature Problems », Lecture Notes in Computer Science, Vol. 263, Springer, 1999 (DOI).
• Louis C. Guillou, Jean-Jacques Quisquater, « A Practical Zero-Knowledge Protocol Fitted to Security Microprocessor Minimizing Both Transmission and Memory », Advances in Cryptology — EUROCRYPT ’88, édité par Christoph G. Günther, pp. 123–128, Springer, 1988.

• [Dodis et De Souza 2009] (en) Yevgeniy Dodis et Bianca De Souza, « Advanced Cryptography », Notes de cours [PDF], 14 octobre 2009.
• [Damgård 2010] (en) Ivan Damgård, « On Σ-Protocols », Notes de cours [PDF],‎ 2010

• Portail de la cryptologie
• Portail de la sécurité informatique
• Portail des cryptomonnaies