La recherche en securite des protocoles
Veronique Cortier, LORIA - CNRS, Nancy
1/16
Les protocoles cryptographiques
= programmes informatiques concus pour securiser lescommunications.
2/16
De nombreux objectifs de securite
Proprietes souhaitees
confidentialite
authentification
integrite
etc.
3/16
Difficulte : des attaquants potentiellement puissants !
Des utilisateurs malhonnetes peuvent :
lire les messages envoyes,
intercepter certains messages,
construire et envoyer des messages,
prendre part aux protocoles.
4/16
Attaque sur le protocole Single Sign On
Protocole Single Sign On
permet de s’authentifierune seule fois pourplusieurs services
utilise par exemple dansGoogle App
→ Une attaque decouverte en 2010, maintenant corrigee
Step 1 Un attaquant propose une nouvelle Google App(amusante ou interessante)
Step 2 Des clients s’authentifient aupres de cette applicationmalhonnete
Step 3 L’attaquant peut alors acceder a toutes les autresapplications du client, y compris e.g. Gmail ouGoogle Calendar.
5/16
Concevoir des protocoles est difficile
Le test logiciel laisse des failles
Faille dans le protocole d’authentification de Google Apps
Attaque sur les services de videos a la demande
Attaque Man-in-the-middle
Ces failles reposent sur la conception de ces protocoles
Non pas une implementation defaillante (bugs)
Non pas une faiblesse des primitives (e.g. chiffrement,signatures)
Non pas des techniques generiques de hacking (e.g. virus,injection de code)
6/16
Exemple : le protocole des postiers
Les habitants sedentaires restent chez eux
Les postiers livrent des boıtes pour les habitants sedentaires
7/16
Exemple : le protocole des postiers
Les habitants sedentaires restent chez eux
Les postiers livrent des boıtes pour les habitants sedentaires
Axiome 1 Les postiers sont susceptibles de voler le contenu desboıtes non fermees a clef.(Rappel : ce scenario est entierement fictif !)
Axiome 2 Le contenu d’une boite fermee ne peut pas etre vole.
Enigme
Comment Alice (sedentaire) peut-elle envoyer un cadeau a Bob(egalement sedentaire) ?
7/16
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→
8/16
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−
8/16
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
Car{
{secret : 3443}kalice
}
kbob
={
{secret : 3443}kbob
}
kalice
8/16
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
→ Ce protocole est incorrect ! (probleme d’authentification)
8/16
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
→ Ce protocole est incorrect ! (probleme d’authentification)
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kintrus←−−−−−−−−−−−−−−−−−−{secret : 3443}kintrus−−−−−−−−−−−−−→
8/16
Securite des protocoles
non-repudiation
anonymity
...
confidentiality
|=? authenticity
Specification du protocole et des proprietes de securite
Analyse dans des modeles symboliques
Analyse dans des modeles cryptographiques
Fuite d’information (Information Flow)
9/16
Attaquant
Les calculs de l’attaquant peuvent etre representes par desformules logiques.
∀x∀y I (x), I (y) ⇒ I ({x}y ) chiffrement∀x∀y I ({x}y ), I (y) ⇒ I (x) dechiffrement
Les actions du protocole sont representees par des implications.
⇒ I ({secret}ka)
∀x I (x) ⇒ I ({x}kb)
∀x I ({x}ka) ⇒ I (x)
10/16
Outil ProVerif, developpe par Bruno Blanchet
contradiction
ProtocolelogiquesFormules ProVerif
(outil)
cohérence:preuve mathématiquede la sureté du protocole
A permis d’analyser de nombreux protocoles :
la plupart des protocoles de la litterature
des cas d’etude : TLS, JFK, web services, ...
Autres outils de verification : Avispa, Scyther, Maude-NSL, ...
11/16
Comparaison des approches formelles et cryptographiques
Approche formelle Approche calculatoire
Messages termes suites de bits
Chiffrement idealise algorithme
Adversaire idealisealgorithmepolynomial
Garanties peu claires fortes
Protocole peut etre complexe souvent plus simple
Preuve automatiquemanuelle
source d’erreurs
Objectifs : garanties dans des modeles calculatoires,a l’aide de techniques symboliques.
12/16
Defis 1/2
1. Le vote electronique
Le vote electronique doit assurer des pro-prietes antagonistes
confidentialite du scrutin,resistance a la coercition
transparence du scrutin,verifiabilite des resultats
avec un minimum de simplicite
Deja utilise e.g. en France, Estonie, Norvege, Etats-Unis.
Plus generalement : e-democratie
signature electronique, dematerialisation des documentsadministratifs, etc.
13/16
Defis 2/2
2. Securite de l’implementation
plus pres des primitives cryptographiques
plus pres du code implemente
attaques par canaux caches (side-channel attacks)
3. Composition/Isolation
Raffinement sur
|= φ?
P
Q
P=⇒|= φHyp
Q |= t(Hyp) and
web services
API de securite (automates bancaires, ...)
14/16
Conferences et journaux
Conferences generiques
IEEE Symposium on Security and Privacy (S&P)
ACM Computer and Communications Security (CCS)
European Symposium on Research in Computer Security(Esorics)
Conferences specialistes
IEEE Computer Security Foundations Symposium (CSF)
Principles of Security and Trust (POST, conference recente)
autres conferences plus generalistes en methodes formelles,e.g. CAV track security mais aussi LICS, Icalp, ETAPS, ...
Journaux
Journal of Computer Security (JCS)
Information and Computation, Theoretical Computer Science,Journal of Automated Reasoning, etc.
15/16
Acteurs du domaine
Preuves de securite : INRIA Paris (Prosecco), LSV,LORIA-Cassis, Verimag
Information Flow : LIX, INRIA Sophia Antipolis (Indes)
Implementation : MSR-INRIA, INRIA Paris (Prosecco)
Specification de politiques de securite : Telecom Sud Paris,IRISA
16/16