La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel...

La recherche en securite des protocoles

Veronique Cortier, LORIA - CNRS, Nancy

1/16

Les protocoles cryptographiques

= programmes informatiques concus pour securiser lescommunications.

2/16

De nombreux objectifs de securite

Proprietes souhaitees

confidentialite

authentification

integrite

etc.

3/16

Difficulte : des attaquants potentiellement puissants !

Des utilisateurs malhonnetes peuvent :

lire les messages envoyes,

intercepter certains messages,

construire et envoyer des messages,

prendre part aux protocoles.

4/16

Attaque sur le protocole Single Sign On

Protocole Single Sign On

permet de s’authentifierune seule fois pourplusieurs services

utilise par exemple dansGoogle App

→ Une attaque decouverte en 2010, maintenant corrigee

Step 1 Un attaquant propose une nouvelle Google App(amusante ou interessante)

Step 2 Des clients s’authentifient aupres de cette applicationmalhonnete

Step 3 L’attaquant peut alors acceder a toutes les autresapplications du client, y compris e.g. Gmail ouGoogle Calendar.

5/16

Concevoir des protocoles est difficile

Le test logiciel laisse des failles

Faille dans le protocole d’authentification de Google Apps

Attaque sur les services de videos a la demande

Attaque Man-in-the-middle

Ces failles reposent sur la conception de ces protocoles

Non pas une implementation defaillante (bugs)

Non pas une faiblesse des primitives (e.g. chiffrement,signatures)

Non pas des techniques generiques de hacking (e.g. virus,injection de code)

6/16

Exemple : le protocole des postiers

Les habitants sedentaires restent chez eux

Les postiers livrent des boıtes pour les habitants sedentaires

7/16

Exemple : le protocole des postiers

Les habitants sedentaires restent chez eux

Les postiers livrent des boıtes pour les habitants sedentaires

Axiome 1 Les postiers sont susceptibles de voler le contenu desboıtes non fermees a clef.(Rappel : ce scenario est entierement fictif !)

Axiome 2 Le contenu d’une boite fermee ne peut pas etre vole.

Enigme

Comment Alice (sedentaire) peut-elle envoyer un cadeau a Bob(egalement sedentaire) ?

7/16

Echange d’un secret a l’aide d’un chiffrement commutatif

secret : 3443

{secret : 3443}kalice−−−−−−−−−−−−−→

8/16

Echange d’un secret a l’aide d’un chiffrement commutatif

secret : 3443

{secret : 3443}kalice−−−−−−−−−−−−−→n

{secret : 3443}kalice

o

kbob←−−−−−−−−−−−−−−−−−

8/16

Echange d’un secret a l’aide d’un chiffrement commutatif

secret : 3443

{secret : 3443}kalice−−−−−−−−−−−−−→n

{secret : 3443}kalice

o

kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→

secret : 3443

Car{

{secret : 3443}kalice

}

kbob

={

{secret : 3443}kbob

}

kalice

8/16

Echange d’un secret a l’aide d’un chiffrement commutatif

secret : 3443

{secret : 3443}kalice−−−−−−−−−−−−−→n

{secret : 3443}kalice

o

kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→

secret : 3443

→ Ce protocole est incorrect ! (probleme d’authentification)

8/16

Echange d’un secret a l’aide d’un chiffrement commutatif

secret : 3443

{secret : 3443}kalice−−−−−−−−−−−−−→n

{secret : 3443}kalice

o

kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→

secret : 3443

→ Ce protocole est incorrect ! (probleme d’authentification)

{secret : 3443}kalice−−−−−−−−−−−−−→n

{secret : 3443}kalice

o

kintrus←−−−−−−−−−−−−−−−−−−{secret : 3443}kintrus−−−−−−−−−−−−−→

8/16

Securite des protocoles

non-repudiation

anonymity

...

confidentiality

|=? authenticity

Specification du protocole et des proprietes de securite

Analyse dans des modeles symboliques

Analyse dans des modeles cryptographiques

Fuite d’information (Information Flow)

9/16

Attaquant

Les calculs de l’attaquant peuvent etre representes par desformules logiques.

∀x∀y I (x), I (y) ⇒ I ({x}y ) chiffrement∀x∀y I ({x}y ), I (y) ⇒ I (x) dechiffrement

Les actions du protocole sont representees par des implications.

⇒ I ({secret}ka)

∀x I (x) ⇒ I ({x}kb)

∀x I ({x}ka) ⇒ I (x)

10/16

Outil ProVerif, developpe par Bruno Blanchet

contradiction

ProtocolelogiquesFormules ProVerif

(outil)

cohérence:preuve mathématiquede la sureté du protocole

A permis d’analyser de nombreux protocoles :

la plupart des protocoles de la litterature

des cas d’etude : TLS, JFK, web services, ...

Autres outils de verification : Avispa, Scyther, Maude-NSL, ...

11/16

Comparaison des approches formelles et cryptographiques

Approche formelle Approche calculatoire

Messages termes suites de bits

Chiffrement idealise algorithme

Adversaire idealisealgorithmepolynomial

Garanties peu claires fortes

Protocole peut etre complexe souvent plus simple

Preuve automatiquemanuelle

source d’erreurs

Objectifs : garanties dans des modeles calculatoires,a l’aide de techniques symboliques.

12/16

Defis 1/2

1. Le vote electronique

Le vote electronique doit assurer des pro-prietes antagonistes

confidentialite du scrutin,resistance a la coercition

transparence du scrutin,verifiabilite des resultats

avec un minimum de simplicite

Deja utilise e.g. en France, Estonie, Norvege, Etats-Unis.

Plus generalement : e-democratie

signature electronique, dematerialisation des documentsadministratifs, etc.

13/16

Defis 2/2

2. Securite de l’implementation

plus pres des primitives cryptographiques

plus pres du code implemente

attaques par canaux caches (side-channel attacks)

3. Composition/Isolation

Raffinement sur

|= φ?

P

Q

P=⇒|= φHyp

Q |= t(Hyp) and

web services

API de securite (automates bancaires, ...)

14/16

Conferences et journaux

Conferences generiques

IEEE Symposium on Security and Privacy (S&P)

ACM Computer and Communications Security (CCS)

European Symposium on Research in Computer Security(Esorics)

Conferences specialistes

IEEE Computer Security Foundations Symposium (CSF)

Principles of Security and Trust (POST, conference recente)

autres conferences plus generalistes en methodes formelles,e.g. CAV track security mais aussi LICS, Icalp, ETAPS, ...

Journaux

Journal of Computer Security (JCS)

Information and Computation, Theoretical Computer Science,Journal of Automated Reasoning, etc.

15/16

Acteurs du domaine

Preuves de securite : INRIA Paris (Prosecco), LSV,LORIA-Cassis, Verimag

Information Flow : LIX, INRIA Sophia Antipolis (Indes)

Implementation : MSR-INRIA, INRIA Paris (Prosecco)

Specification de politiques de securite : Telecom Sud Paris,IRISA

16/16