la recherche en s curit des protocoles · concevoir des protocoles est difficile le test logiciel...
TRANSCRIPT
![Page 1: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/1.jpg)
La recherche en securite des protocoles
Veronique Cortier, LORIA - CNRS, Nancy
1/16
![Page 2: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/2.jpg)
Les protocoles cryptographiques
= programmes informatiques concus pour securiser lescommunications.
2/16
![Page 3: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/3.jpg)
De nombreux objectifs de securite
Proprietes souhaitees
confidentialite
authentification
integrite
etc.
3/16
![Page 4: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/4.jpg)
Difficulte : des attaquants potentiellement puissants !
Des utilisateurs malhonnetes peuvent :
lire les messages envoyes,
intercepter certains messages,
construire et envoyer des messages,
prendre part aux protocoles.
4/16
![Page 5: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/5.jpg)
Attaque sur le protocole Single Sign On
Protocole Single Sign On
permet de s’authentifierune seule fois pourplusieurs services
utilise par exemple dansGoogle App
→ Une attaque decouverte en 2010, maintenant corrigee
Step 1 Un attaquant propose une nouvelle Google App(amusante ou interessante)
Step 2 Des clients s’authentifient aupres de cette applicationmalhonnete
Step 3 L’attaquant peut alors acceder a toutes les autresapplications du client, y compris e.g. Gmail ouGoogle Calendar.
5/16
![Page 6: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/6.jpg)
Concevoir des protocoles est difficile
Le test logiciel laisse des failles
Faille dans le protocole d’authentification de Google Apps
Attaque sur les services de videos a la demande
Attaque Man-in-the-middle
Ces failles reposent sur la conception de ces protocoles
Non pas une implementation defaillante (bugs)
Non pas une faiblesse des primitives (e.g. chiffrement,signatures)
Non pas des techniques generiques de hacking (e.g. virus,injection de code)
6/16
![Page 7: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/7.jpg)
Exemple : le protocole des postiers
Les habitants sedentaires restent chez eux
Les postiers livrent des boıtes pour les habitants sedentaires
7/16
![Page 8: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/8.jpg)
Exemple : le protocole des postiers
Les habitants sedentaires restent chez eux
Les postiers livrent des boıtes pour les habitants sedentaires
Axiome 1 Les postiers sont susceptibles de voler le contenu desboıtes non fermees a clef.(Rappel : ce scenario est entierement fictif !)
Axiome 2 Le contenu d’une boite fermee ne peut pas etre vole.
Enigme
Comment Alice (sedentaire) peut-elle envoyer un cadeau a Bob(egalement sedentaire) ?
7/16
![Page 9: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/9.jpg)
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→
8/16
![Page 10: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/10.jpg)
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−
8/16
![Page 11: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/11.jpg)
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
Car{
{secret : 3443}kalice
}
kbob
={
{secret : 3443}kbob
}
kalice
8/16
![Page 12: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/12.jpg)
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
→ Ce protocole est incorrect ! (probleme d’authentification)
8/16
![Page 13: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/13.jpg)
Echange d’un secret a l’aide d’un chiffrement commutatif
secret : 3443
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kbob←−−−−−−−−−−−−−−−−−{secret : 3443}kbob−−−−−−−−−−−−→
secret : 3443
→ Ce protocole est incorrect ! (probleme d’authentification)
{secret : 3443}kalice−−−−−−−−−−−−−→n
{secret : 3443}kalice
o
kintrus←−−−−−−−−−−−−−−−−−−{secret : 3443}kintrus−−−−−−−−−−−−−→
8/16
![Page 14: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/14.jpg)
Securite des protocoles
non-repudiation
anonymity
...
confidentiality
|=? authenticity
Specification du protocole et des proprietes de securite
Analyse dans des modeles symboliques
Analyse dans des modeles cryptographiques
Fuite d’information (Information Flow)
9/16
![Page 15: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/15.jpg)
Attaquant
Les calculs de l’attaquant peuvent etre representes par desformules logiques.
∀x∀y I (x), I (y) ⇒ I ({x}y ) chiffrement∀x∀y I ({x}y ), I (y) ⇒ I (x) dechiffrement
Les actions du protocole sont representees par des implications.
⇒ I ({secret}ka)
∀x I (x) ⇒ I ({x}kb)
∀x I ({x}ka) ⇒ I (x)
10/16
![Page 16: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/16.jpg)
Outil ProVerif, developpe par Bruno Blanchet
contradiction
ProtocolelogiquesFormules ProVerif
(outil)
cohérence:preuve mathématiquede la sureté du protocole
A permis d’analyser de nombreux protocoles :
la plupart des protocoles de la litterature
des cas d’etude : TLS, JFK, web services, ...
Autres outils de verification : Avispa, Scyther, Maude-NSL, ...
11/16
![Page 17: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/17.jpg)
Comparaison des approches formelles et cryptographiques
Approche formelle Approche calculatoire
Messages termes suites de bits
Chiffrement idealise algorithme
Adversaire idealisealgorithmepolynomial
Garanties peu claires fortes
Protocole peut etre complexe souvent plus simple
Preuve automatiquemanuelle
source d’erreurs
Objectifs : garanties dans des modeles calculatoires,a l’aide de techniques symboliques.
12/16
![Page 18: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/18.jpg)
Defis 1/2
1. Le vote electronique
Le vote electronique doit assurer des pro-prietes antagonistes
confidentialite du scrutin,resistance a la coercition
transparence du scrutin,verifiabilite des resultats
avec un minimum de simplicite
Deja utilise e.g. en France, Estonie, Norvege, Etats-Unis.
Plus generalement : e-democratie
signature electronique, dematerialisation des documentsadministratifs, etc.
13/16
![Page 19: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/19.jpg)
Defis 2/2
2. Securite de l’implementation
plus pres des primitives cryptographiques
plus pres du code implemente
attaques par canaux caches (side-channel attacks)
3. Composition/Isolation
Raffinement sur
|= φ?
P
Q
P=⇒|= φHyp
Q |= t(Hyp) and
web services
API de securite (automates bancaires, ...)
14/16
![Page 20: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/20.jpg)
Conferences et journaux
Conferences generiques
IEEE Symposium on Security and Privacy (S&P)
ACM Computer and Communications Security (CCS)
European Symposium on Research in Computer Security(Esorics)
Conferences specialistes
IEEE Computer Security Foundations Symposium (CSF)
Principles of Security and Trust (POST, conference recente)
autres conferences plus generalistes en methodes formelles,e.g. CAV track security mais aussi LICS, Icalp, ETAPS, ...
Journaux
Journal of Computer Security (JCS)
Information and Computation, Theoretical Computer Science,Journal of Automated Reasoning, etc.
15/16
![Page 21: La recherche en s curit des protocoles · Concevoir des protocoles est difficile Le test logiciel laisse des failles ... Analyse dans des mod`eles cryptographiques Fuite d’information](https://reader034.vdocuments.pub/reader034/viewer/2022052020/6034d1f3e2d3c7661a55804a/html5/thumbnails/21.jpg)
Acteurs du domaine
Preuves de securite : INRIA Paris (Prosecco), LSV,LORIA-Cassis, Verimag
Information Flow : LIX, INRIA Sophia Antipolis (Indes)
Implementation : MSR-INRIA, INRIA Paris (Prosecco)
Specification de politiques de securite : Telecom Sud Paris,IRISA
16/16