Management of Multilevel Security Policy with Declassication in Dynamic Information Systems. Soutenance de thèse

Transcription

1 Management of Multilevel Security Policy with Declassication in Dynamic Information Systems Soutenance de thèse Julien A. Thomas Directeur de thèse : Frédéric Cuppens Encadrante : Nora Cuppens-Boulahia 1er Décembre 2011 Introduction Les systèmes multi-niveaux Les systèmes multi-niveaux Un ux d'information consiste à transférer des informations d'une variable x vers une variable y dans un processus donné Les systèmes d'informations multi-niveaux Gèrent les informations à diérents niveaux de sécurité e.g. condentiel, secret, très secret utilisation de treillis de niveaux de sécurité Permettent les accès par les utilisateurs, à diérents niveaux de sécurité Interdisent les ux d'informations illégaux Les propriétés de sécurité : dénissent les ux autorisés La politique de sécurité : met en uvre les propriétés de sécurité Julien A. Thomas Soutenance de thèse 2 / 45 Introduction La déclassication de données La déclassication de données Un utilisateur u peut accéder aux informations classiées L2 mais pas celles classiées L1 (L2 L1) u tente de se connecter avec son mot de passe classié L2. Le résultat de l'analyse repose sur la comparaison avec le prédicat password classié L1 résultat est classié L1... mais doit être accédé par u résultat est déclassié de L1 vers L2 (L2 L1) Exemple de déclassication : la vérication d'un mot de passe Julien A. Thomas Soutenance de thèse 3 / 45

2 Introduction Quelles exigences? Quelles solutions? Quelles exigences? Quelles solutions? Andrei Sabelfeld and David Sands [SS05] État de l'art des recherches eectuées dans les domaines liés à la déclassication de données Quatre dimensions What? : modélisation des données e.g. Modèle PER [SS99], Non Interférence Abstraite (ANI) [GM04] Who? : modélisation des entités actives e.g. Modèle de labellisation décentralisée (DLM) [ACM97] Where? : localisation de la déclassication e.g. Non Interférence Intransitive (INI) [Ros99, Man01] When? : conditions pour la déclassication e.g. Conditions relatives et probabilistes Julien A. Thomas Soutenance de thèse 4 / 45 Introduction Quelles exigences? Quelles solutions? Quelques exemples (1) Non Interference Notion de purge : les évènements que P ore à l'utilisateur de bas-niveau sont exactement similaire à ceux produits si l'utilisateur de haut-niveau n'avait jamais rien communiqué Modèles de Non Interférence étendus : la dimension what? Non Interférence Abstraite [GM04] : aaiblir Non Interférence une propriété concernant les entrées du programme une propriété concernant les sorties du programme Non Interférence Intransitive [Pin95, Man01] Non Interférence sous une politique de sécurité intransitive un treillis et une relation de déclassication [Man01] Politiques de sécurité et de déclassication Approches basées sur Non Interférence [GM04, Man01] et MLS [MS04] Une politique de déclassication indépendante de l'utilisateur Julien A. Thomas Soutenance de thèse 5 / 45 Introduction Quelles exigences? Quelles solutions? Quelques exemples (2) Modèle de labellisation décentralisée : Myers et Liskov [ACM97] Un ensemble d'acteurs, les propriétaires, owner Un ensemble d'acteurs, les lecteurs, associés à chaque propriétaire Une relabelisation de L1 vers L2 est valide s'il s'agit d'une restriction : L1 L2. Une déclassication soit ajoute des lecteurs r à un propriétaire o, soit supprime un propriétaire o. Cette relabelisation n'est possible que si le processus peut agir en tant que o. Politiques de sécurité et de déclassication Approche (Groupe) Discretionary Access Control [Uni85] Déclassication basée sur la possession Julien A. Thomas Soutenance de thèse 6 / 45

3 Enjeux Introduction Quelles exigences? Quelles solutions? La plupart des études existantes Reposent sur des langages de types Se focalisent sur l'analyse de programme Sont limitées à une unique dimension Les règles de déclassication Sont robustes et prouvées Sont de bas-niveaux Les politique de sécurité Sont de bas-niveaux Se focalisent (uniquement) sur la (ou une) déclassication Julien A. Thomas Soutenance de thèse 7 / 45 Modèle de données et déclassication (1) Modèle de données Logique du premier ordre Dénition abstraite du modèle de sécurité Les entités en tant qu'ensembles : USERS, OBJECTS, ROLES Relations : Empower, Sub_role Dénition abstraite des autorisations Labellisation des données : OBJECTS (P(USERS) P(rights_user)) Connaissance potentielle : USERS P(OBJECTS) Dénition des métadonnées nécessaires Modeling and Controlling Downgrading Operations in Information Systems. SITIS'09, 5th International Conference, 29 November - 4 December 2009, Marrakech, Morocco Julien A. Thomas Soutenance de thèse 8 / 45 Modèle de données et déclassication (1) Modèle de données Logique du premier ordre Dénition abstraite de la déclassication - méthode B PRE o / PKnowledge(u2) THEN IF (downgrade(u, o, u2)) THEN o PKnowledge(u2)END; END; Modeling and Controlling Downgrading Operations in Information Systems. SITIS'09, 5th International Conference, 29 November - 4 December 2009, Marrakech, Morocco Julien A. Thomas Soutenance de thèse 9 / 45

4 Objectifs Objectifs Formalisation d'un modèle pour la déclassication Modèle abstrait (complet) Modèle adapté aux systèmes d'informations dynamiques Formalisation de la sécurité Besoin en condentialité Besoin en intégrité Besoin en cohérence Spécication de la politique de sécurité Preuves Dénition d'un système bien-formé Nécessité de la sécurité (vulnérabilités) Sécurité de la politique mise en uvre Spécication d'un modèle de mise en uvre Julien A. Thomas Soutenance de thèse 10 / 45 Modèle de données et déclassication (2) Systèmes dynamiques : traces Systèmes dynamiques Modèle de traces Une trace t = {s 0, α} est composée de l'état initial s 0 et la séquence innie α d'actions exécutées dans la trace t. t n = {s 0, α n } est une trace nie composée des n premières actions et s n est l'état obtenu Modèle de traces pour la sécurité [BC91] Chaque action est exécutée à un niveau de sécurité donné α L : sous-séquence d'actions dont le niveau de sécurité est inférieur ou égal à L. Des états s et s sont équivalents à L, s L s, si la classication des prédicats ayant une classication inférieure ou égale à L est identique dans s et s, ainsi que leur valeur de vérité Équivalence de traces équivalence à L des états et des actions t L t s 0 L s 0 α L = α L. Julien A. Thomas Soutenance de thèse 12 / 45 Modèle de données et déclassication (2) Système d'information Systèmes dynamiques Le système d'informations Trois ensembles : les entités, les états et les opérations Un ensemble de prédicats : vue logique du système Un état : ensemble de faits instanciés à partir de la fonction π La politique de sécurité Les relations inf_level, equal_level et inf_equal_level Les relations clearance_level and classication_level La contrainte known policy Julien A. Thomas Soutenance de thèse 13 / 45

5 Modèle de données et déclassication (2) Des règles dynamiques Systèmes dynamiques Les règles Event-Condition-Action-rules et le langage L active Actions do (α) causes op 1,..., op k if q 1(X 1 ),... qn (Xn ); Évènements event_name (X) after do (α) if r 1 (X 1 ) rm (Xm ) ; Règles rule : event_name (X) initiates do (α 1 ),... do (α k ) if t 1(X 1),... tp (Xp ); Julien A. Thomas Soutenance de thèse 14 / 45 Modèle de données et déclassication (2) Politique de déclassication Politique de déclassication Formalisation à partir de règles ECA Déclassication do(declassify(p,l)) causes delete(classification_level(p,l')), insert(classification_level(p,l)) if classification_level(p,l') inf_level(l,l'); Déclassication basée sur la conance : un utilisateur u est autorisé à déclassier o s'il est de conance pour eectuer la déclassication de o Déclassication basée sur la conance Contrôle d'accès is_permitted USERS ACTIONS Julien A. Thomas Soutenance de thèse 16 / 45 Déclassication automatique : la déclassication repose sur l'occurence d'un évènement pré-déni. Déclassication automatique declassify_rule: declassify_event(p,l) initiates do(declassify(p,l)); Spécier lorsque declassify_event(p, L) se produit Condentialité Propriété de condentialité Formalisation de la condentialité Modeling and Controlling Downgrading Operations in Information Systems. SITIS'09, 5th International Conference on Signal-Image Technology & Internet-based Systems, 29 November - 4 December 2009, Marrakech, Morocco Sans déclassication ext(t) : actions externes parmi t ext(t) L ext(t ) s 0 L s 0 ext(α) L = ext(α ) L Propriété de condentialité 1 ext(t n ) L ext(t n ) = α n L = α n L 2 t n L t n = s n L s n. Expression and Enforcement of Condentiality Policy in Active Databases. MEDES 2010, 5th International ACM Conference on Management of Emergent Digital EcoSystems, 26 October - 29 October 2010, Bangkok, Thailand Julien A. Thomas Soutenance de thèse 17 / 45

6 Condentialité Spécication de la politique de condentialité Extension du modèle du système d'informations ECA Rules [DBM88] do(α) causes f (Y ) if q 1 (X 1 ),... q n (X n ) event_name(x ) after do(α 1 ) if r 1 (X 1 ),... r m (X m ) rule_name : event_name(x ) initiates do(α 2 ),...do(α k ) if t 1 (X 1 ),... t m (X m ) Prise en compte de la condentialité ECA Rules Security do(α, L) causes f (Y ) if q 1 (X 1 )... q n (X n ) event_name(x, L1) after do(α, L2) if r 1 (Z 1 )... r m (Z m ) rule_name : event_name(x, L 0 ) initiates do(α 1, L 1 )... do(α n, L n ) if t 1 (Z 1 )... t m (Z m ) Julien A. Thomas Soutenance de thèse 18 / 45 Condentialité Spécication de la politique de condentialité Spécication de la politique de sécurité Politique de condentialité Access Law Access Law pour (o,l) : la classication de p est inférieure ou égale à l Modication Law Modication Law pour (o,l) : l est inférieur ou égal à la classication de p Julien A. Thomas Soutenance de thèse 19 / 45 Condentialité Spécication de la politique de condentialité Spécication de la politique de sécurité Politique de condentialité Sécurité de l'action Sécurité des évènements Sécurité des règles Julien A. Thomas Soutenance de thèse 19 / 45

7 Condentialité Preuve de la condentialité Preuve de la condentialité Les modèles non sécurisés sont improuvables Échec des preuves associées aux ux d'informations non autorisés Génération d'exemples d'échec via l'outil ProB [LB08] Avec AtelierB, pour tout état du système, nous avons prouvé que Les évènements et actions respectent les ux de sécurité Les conditions associées ne sont accessibles que lorsque la politique de sécurité l'autorise La politique de sécurité est bien mise en uvre Julien A. Thomas Soutenance de thèse 20 / 45 Condentialité Formalisation de la condentialité (2) Propriété de condentialité (2) Avec déclassications t = (s o, α) et t = (s o, α ) sont équivalentes d'un point de vue déclassication ( LD ), si 1 La sous-séquence de déclassications à L est identique dans t et t, 2 Pour toute déclassication d = declassify(p, L), si indexof (d, α) = i et indexof (d, α ) = i, alors Π(P, si ) = Π(P, s i ) t LD t s 0 L s 0 α L D = α L D t LD t Condentialité des systèmes d'informations avec déclassications 1 ext(t n ) LD ext(t n ) = α n L D = α n L D 2 t n LD t n = s n L s n. Julien A. Thomas Soutenance de thèse 21 / 45 Declassication Policy Management in Dynamic Information Systems. ARES 2011, the 6th International Conference on Availability, Reliability and Security. 22 August - 26 August 2011, Vienna, Austria Intégrité Besoins en intégrité Déclassication automatique declassify_rule: declassify_event(p,l) initiates do(declassify(p,l)); Spécier lorsque declassify_event(p, L) se produit declassify_event(warcost(cost), ) after do(insert(victory)) if endofwar Un utilisateur avec un niveau de sécurité S peut tenter de mettre à jour warcost(c) avec une autre donnée : écriture en aveugle Il faut contrôler l'intégrité des objets à déclassier Une insertion illégale de victory peut engendrer la déclassication de warcost(c) Il faut contrôler l'intégrité des évènements Il faut contrôler l'intégrité des conditions Il faut contrôler l'intégrité de la chaîne d'actions Julien A. Thomas Soutenance de thèse 22 / 45

8 Intégrité Propriété d'intégrité Formalisation de l'intégrité t = (s o, α) et t = (s o, α ) sont équivalentes d'un point de vue déclassication venant de L ( LD ) si 1 La sous-séquence de déclassications venant de L est identique dans t et t 2 Pour tout déclassication d = declassify(p, L), si indexof (d, α) = i et indexof (d, α ) = i alors Π(P, s i ) = Π(P, s i ) t L t s 0 L s 0 α L D = α L D t LD t t n L t n = s n L s n Intégrité des systèmes d'informations avec déclassications ext(t n ) L ext(t n ) t n LD t n = t n DL t n Declassication Policy Management in Dynamic Information Systems. ARES 2011, the 6th International Conference on Availability, Reliability and Security. 22 August - 26 August 2011, Vienna, Austria Julien A. Thomas Soutenance de thèse 23 / 45 Intégrité Politique d'intégrité Spécication de la politique de sécurité Contrôle de la déclassication par l'intégrité Sécurité des conditions - Évaluation de l'intégrité L'intégrité est toujours décroissante dans un ux d'actions. Sécurité des eets d'une action - Politique d'intégrité Soit une action ayant le niveau d'intégrité Li. Une donnée est modiable si son niveau d'intégrité Ls satisfait Ls Li. Conditions susantes par assurer l'intégrité des systèmes dynamiques sans déclassication Julien A. Thomas Soutenance de thèse 24 / 45 Intégrité Spécication de la politique de sécurité Extension du modèle du système d'informations ECA Rules Security do(α, L) causes f (Y ) if q 1 (X 1 )... q n (X n ) event_name(x, L1) after do(α, L2) if r 1 (Z 1 )... r m (Z m ) rule_name : event_name(x, L 0 ) initiates do(α 1, L 1 )... do(α n, L n ) if t 1 (Z 1 )... t m (Z m ) Politique de déclassication ECA Rules Security (2) do(α, Lc, Li) causes f (Y ) if q 1 (X 1 )... q n (X n ) event_name(x, L1, Li1) after do(α, L2, Li2) if r 1 (Z 1 )... r m (Z m ) rule_name : event_name(x, L 0, Li 0 ) initiates do(α 1, L 1, Li 1 )... do(α n, L n, Li n ) if t 1 (Z 1 )... t m (Z m ) Julien A. Thomas Soutenance de thèse 25 / 45

9 Intégrité Spécication de la politique de sécurité Politique d'intégrité associée aux règles actives Extension de la politique de sécurité Intégrité des actions l'action respecte l'évaluation de l'intégrité et la politique d'intégrité. Intégrité des évènements l'intégrité de l'évènement est inférieure ou égale au minimum des niveaux d'intégrité des conditions et de l'action α. Intégrité des règles Julien A. Thomas Soutenance de thèse 26 / 45 Intégrité Politique de conance Spécication de la politique de sécurité La conance dans une donnée dépend de son niveau d'intégrité Propriété de sûreté Considérant le niveau de sécurité L, la donnée obj est dite sûre si le niveau d'intégrité de obj étant Li, L Li. La chaîne de déclassication doit être publique et intègre Secure Declassication Operation Conditions Considérant la déclassication de P, une action, un évènement ou une règle a un niveau de condentialité Lc satisfaisant Lc = et un niveau d'intégrité Li satisfaisant classication_level(p) Li. Julien A. Thomas Soutenance de thèse 27 / 45 Intégrité Politique de déclassication Spécication de la politique de sécurité Déclassication basée sur la conance Soit do(declassify(p, Ldest), L c, L i ) une requête exécutée par U 1 P satisfait la propriété de sûreté 2 is_permitted(u, declassify(p, Ldest)) Déclassication automatique Soit une déclassication déclenchée par declassify_event(p, Ldest, L c, L i ) 1 P satisfait la propriété de sûreté 2 l'évènement satisfait Secure Declassication Operation Conditions. Conditions susantes par assurer la condentialité et l'intégrité des systèmes dynamiques avec déclassications Julien A. Thomas Soutenance de thèse 28 / 45

10 Cohérence Principe de cohérence Formalisation de la cohérence Impossibilité d'obtenir un état où la politique est incohérente Existence de deux niveaux de classications, explicite L r et implicite L v, appliqués à un même objet et tels que L r L v [CG01]. Julien A. Thomas Soutenance de thèse 29 / 45 Cohérence Besoins en cohérence Formalisation de la cohérence Des certitudes La déclassication de crash(num) implique la déclassication de ight(num) Des questions La déclassication de lost(alice) implique-t-elle la déclassication de crash(num) et ight(num)? La déclassication de crash(num) implique-t-elle la déclassication de lost(alice)? Julien A. Thomas Soutenance de thèse 30 / 45 Cohérence Propriété de cohérence Formalisation de la cohérence Propriété Non-Deducibility [Sut86] Un système est cohérent si pour tout utilisateur u, les informations classiées L avec L L U sont explicables à partir d'informations classiées L 2 avec L 2 L U. Quand une information est-elle inférable? Inférence d'une information A classiée L r due à une information B déclassiée vers Lv la non-déclassication transitive de A Qu'est ce qu'une explication? Julien A. Thomas Soutenance de thèse 31 / 45

11 Cohérence Modélisation du système Formalisation de la cohérence Hypothèse Les graphes permettent de modéliser les règles actives et de construire des explications Le système est un graphe direct orienté avec poids chaque état est une action chaque transition est un couple évènement-règle un poids est l'ensemble des conditions associées à la transition Dans les algorithmes, les transitions possibles sont ranées en fonction du niveau de sécurité Une transition conditionnée est valide pour L, si chaque condition C de P S L est valide Julien A. Thomas Soutenance de thèse 32 / 45 Cohérence Modélisation d'une explication Formalisation de la cohérence Une explication au niveau L consiste en une évolution valide du système Chaque n ud est un état possible du système Chaque transition est une transition conditionnée valide pour L, Considérons la déclassication de Lost(User) Les explications valides sont les suivantes Julien A. Thomas Soutenance de thèse 33 / 45 Cohérence Évaluation de la cohérence Formalisation de la cohérence L'évaluation de la cohérence du système revient donc à calculer G all Chaque n ud est un état du système Chaque fait d'un état est certain (Non-Deducibility) Chaque action responsable pour la transition est certaine Le numéro d'étape est calculé à partir de la donnée déclassiée Exemples si kidnapped(user) est secret si kidnapped(user) est public Consistency Policies for Dynamic Information Systems with Declassication ows. ICISS 2011, the 7th International Conference on Information Systems Security (ICISS 2011) Julien A. Thomas Soutenance de thèse 34 / 45

12 Cohérence Spécication de la cohérence Spécication de la politique de cohérence Construction des explications Invariants et hypothèses du système Règles explicites pour l'inférence par déduction Règles explicites pour l'inférence par abduction Implémentation des règles de construction Non-Deducibility : historique au niveau des actions nombreux calculs par abduction et déduction Ranement de la sécurité : Non Interférence Gestion de l'inférence au niveau des objets : algorithme glouton Gestion de l'inférence au niveau des actions : algorithme avec historique Gestion des refus de déclassications au niveau des objets : algorithme glouton Julien A. Thomas Soutenance de thèse 35 / 45 Cohérence Spécication de la cohérence (2) Spécication de la politique de cohérence Plusieurs politiques de gestion de la cohérence peuvent être appliquées 1 Déclassication Intransitive : l'action α eectuée dans l'état s n 1 est autorisée si l'état résultant s n n'implique pas de déclassication supplémentaire à s n 2 Non Interférence Stricte : l'action α eectuée dans l'état s n 1 est autorisée si l'état résultant s n n'implique aucune déclassication supplémentaire la déclassication d'un fait entraine la déclassication du prédicat 3 Déclassication autoritaire : toute action α est autorisée Julien A. Thomas Soutenance de thèse 36 / 45 Cohérence Composition des politiques de sécurité Composition des politiques de sécurité Politique de cohérence : des ux supplémentaires Une déclassication peut être rejetée en raison de conditions non publiques refus de la déclassication d'une autre donnée non publique La politique de sécurité ne doit pas générer de ux d'informations non autorisés 1 Si l'utilisateur de conance a une classication supérieure à celle des objets à déclassier... Le rejet de la déclassication n'apporte aucune connaissance Les déclassications reposent sur n'importe quelle politique de cohérence 2 Sinon, les déclassications reposent sur la déclassication autoritaire (déclassication transitive) Julien A. Thomas Soutenance de thèse 37 / 45

13 Mises en uvre Mise en uvre Mise en uvre Dénition des scénarios concrets et de règles de déclassication Formalisation du schéma de données (XSD et XML) Julien A. Thomas Soutenance de thèse 39 / 45 Mises en uvre Mise en uvre (2) Spécication d'un modèle d'implémentation Reposant sur le SGBD Oracle Mise en uvre Génération automatisée de triggers sécurisés Tissage des propriétés de sécurité Utilisation de Virtual Private Databases (vues dynamiques) Julien A. Thomas Soutenance de thèse 40 / 45 Conclusion Conclusion Conclusion Formalisation d'un modèle abstrait pour la déclassication Abstraction de la notion d'autorisation Abstraction de la notion de déclassication Ranement pour des cas d'usages Formalisation des propriétés de sécurité associées à la déclassication Condentialité Intégrité et conance Cohérence Julien A. Thomas Soutenance de thèse 42 / 45

14 Conclusion Conclusion (2) Conclusion Utilisation de méthodes formelles Langage du premier ordre : modèles bien formés Méthode B : preuves de sécurité Graphes Implémentations Cas d'usages Algorithmes pour la cohérence Oracle : tissage de la sécurité dans une plateforme concrète Exigences pour les plateformes de gestion des droits numériques Julien A. Thomas Soutenance de thèse 43 / 45 Comparaisons Conclusion Comparaisons Déclassication - nos propositions Robust Declassication non interférence(s) DLM sur ordre prédicats logiques - - groupe DAC évènements règles ECA relations annexes - sur date Sécurité règles ECA et prédicats - nos propositions Robust Declassication non interférence(s) DLM condentialité standard standard standard standard intégrité conance attaquant - groupe DAC cohérence non deduciblity Julien A. Thomas Soutenance de thèse 44 / 45 Conclusion Extensions des travaux Extensions des travaux Ranement des contraintes de sécurité dénies Politique de sécurité par refus [BB02] Traces innies et problèmes de terminaison [SA11]. Prise en considération des dépendances arithmétiques dans la politique de cohérence Extension des règles de construction des graphes Modélisation de dépendances probabilistes [VS00] Modélisation de la complexité des calculs [BP03] Extension des algorithmes d'implémentation Calcul de la cohérence Modélisation des règles actives [MDW07] Julien A. Thomas Soutenance de thèse 45 / 45

15 References I References Barbara Liskov Andrew C. Myers, A decentralized model for information ow control, SIGOPS Oper. Syst. Rev. 31 (1997), Joachim Biskup and Piero A. Bonatti, Condentiality Policies and Their Enforcement for Controlled Query Evaluation, Proceedings of the 7th European Symposium on Research in Computer Security (London, UK), Springer-Verlag, 2002, pp Pierre Bieber and Frédéric Cuppens, A denition of secure dependencies using the logic of security, CSFW, 1991, pp Michael Backes and Birgit Ptzmann, Intransitive non-interference for cryptographic purposes, In Proc. 24th IEEE Symposium on Security & Privacy, 2003, pp Julien A. Thomas Soutenance de thèse 46 / 45 References II References Frédéric Cuppens and Alban Gabillon, Cover story management, Data Knowl. Eng. 37 (2001), no. 2, U. Dayal, A. P. Buchmann, and D. R. McCarthy, Rules are objects too : A knowledge model for an active, object-oriented databasesystem, Lecture notes in computer science on Advances in object-oriented database systems (New York, NY, USA), Springer-Verlag New York, Inc., 1988, pp Roberto Giacobazzi and Isabella Mastroeni, Abstract non-interference : parameterizing non-interference by abstract interpretation, POPL '04 : Proceedings of the 31st ACM SIGPLAN-SIGACT symposium on Principles of programming languages (New York, NY, USA), ACM, 2004, pp Julien A. Thomas Soutenance de thèse 47 / 45 References III References Michael Leuschel and Michael Butler, ProB : An Automated Analysis Toolset for the B Method, Journal Software Tools for Technology Transfer (2008). Heiko Mantel, Information ow control and applications - bridging a gap, Lecture In Computer Science 21 (2001), Essam Mansour, Kudakwashe Dube, and Bing Wu, Aim : An xml-based eca rule language for supporting a framework for managing complex information, Advances in Rule Interchange and Applications (Adrian Paschke and Yevgen Biletskiy, eds.), Lecture in Computer Science, vol. 4824, Springer Berlin / Heidelberg, 2007, / _23, pp Julien A. Thomas Soutenance de thèse 48 / 45

16 References IV References Heiko Mantel and David Sands, Controlled declassication based on intransitive noninterference, APLAS, 2004, pp S. Pinsky, Absorbing covers and intransitive non-interference, SP '95 : Proceedings of the 1995 IEEE Symposium on Security and Privacy (Washington, DC, USA), IEEE Computer Society, 1995, p Goldsmith Roscoe, What is intransitive noninterference?, PCSFW : Proceedings of The 12th Computer Security Foundations Workshop (IEEE Computer Society Press, ed.), Georey Smith and Rafael AlpÃzar, Nontermination and secure information ows, Mathematical Structures in Computer Science (Special Issue on Programming Language Interference and Dependence), Cambridge University Press 2011, 2011, pp Julien A. Thomas Soutenance de thèse 49 / 45 References V References Andrei Sabelfeld and David Sands, A per model of secure information ow in sequential programs - extended, European Symposium on Programming, 1999, pp Andrei Sabelfel and David Sands, Dimensions and principles of declassication, CSFW '05 : Proceedings of the 18th IEEE workshop on Computer Security Foundations, 2005, ISBN ISSN : , , pp David Sutherland, A model of information, Proceedings of the 9th National Computer Security Conference, United States Departement of Defense, Trusted computer system evaluation criteria, December 1985, DoD Standard STD. Julien A. Thomas Soutenance de thèse 50 / 45 References VI References Dennis Volpano and Georey Smith, Verifying secrets and relative secrecy, POPL '00 : Proceedings of the 27th ACM SIGPLAN-SIGACT symposium on Principles of programming languages (New York, NY, USA), ACM, 2000, pp Julien A. Thomas Soutenance de thèse 51 / 45

17 B Method Modeling First Order Logic Modeling Access Control Flow Control Modeling Action Condition Security rep,dbinst_out do(subject, action, predicate, lvl_do,dbinst_in) = PRE... THEN.. IF ( fun_can_read(subject, DB_I2, lvl_do) = TRUE ) THEN IF( DB_I2 :dbinst_in ) THEN user.user_add_cond_knowledge(subject, { (DB_I2 lvl_do TRUE)}) rep,dbinst_out DO_delete(subject, predicate,lvl_do,action,dbinst_in) ELSE user.user_add_cond_knowledge(subject, { (DB_I2 lvl_do FALSE)}) rep := NO_RESULT dbinst_out := dbinst_in END ELSE rep := SECURITY_SKIP dbinst_out := dbinst_in END END ; Julien A. Thomas Soutenance de thèse 52 / 45 B Method Proofs Intermediate Invariant Proofs and Information Flows Insecure models are unprovable Proof failures are associated to information ows ProB tool [LB08] Security levels and event denitions MLS System : entity level USER1 LEVEL1 DB_I8 LEVEL1 DB_I9 LEVEL2 LEVEL1 LEVEL2 LEVEL2 LEVEL1 the insertion of DB_I8 triggers the insertion of DB_I9 Julien A. Thomas Soutenance de thèse 53 / 45 B Method Proofs Security Property Proofs AtelierB based Proofs Actions Condition Security (Information Flows on Conditions) Action Action Security (Security Level Leverage) Julien A. Thomas Soutenance de thèse 54 / 45