14eme Rencontre Professeurs et Enseignants-Chercheurs Vérication de protocoles cryptographiques. Denis Lugiez Laboratoire d'informatique Fondamentale

Transcription

1 14eme Rencontre Professeurs et Enseignants-Chercheurs Vérication de protocoles cryptographiques Denis Lugiez Laboratoire d'informatique Fondamentale

2 Introduction Modélisation Une attaque sur Needham-Schroder Localité du modèle Dolev-Yao Cas de l'attaquant passif Cas de l'attaquant actif Généralisations

4 Protocole cryptographique programme qui permet d'établir une interaction entre des participants dans un environnement non sûr en garantissant certaines propriétés. E-commerce (paiement, enchères, non-répudiation,... ) E-administration (impots, dossier médical, vote électronique,... ) Réseaux de machines mobiles distantes (portables, téléphones,... ) Utilisation de la cryptographie (AES, RSA,..) pour chirer les données sensibles et assurer les propriétés voulues.

5 La question A quoi bon un core-fort indestructible si la combinaison est récupérable sans eort...

6 La question E-voting : L'autorité attribue à chaque votant une clé publique K pub pour chirer son vote (publication à la mairie). Seule l'autorité possède K 1 pub et peut déchirer un message chiré avec K pub. Vote entre Hollande et Sarkozy : chirer le nom du candidat avec la clef publique et l'envoyer à l'autorité qui est la seule à pouvoir déchirer. Propriété requise : condentialité du vote. Faille logique : on peut intercepter mon vote et trouver mon choix sans connaitre K 1 pub!

7 L'attaque repose sur une faille logique du protocole. Vérication des protocoles : donner un modèle formel permettant de trouver les failles en applicant un algorithme de vérication. ne vérie pas l'implémentation du protocole (i.e. le programme C qui tourne eectivement). autre approche : modèle computationel. Analyse plus proche de la théorie de l'information mais relation forte avec le modèle formel.

8 Introduction Modélisation Modéliser les protocoles Modéliser l'attaquant Modéliser les propriétés Une attaque sur Needham-Schroder Localité du modèle Dolev-Yao Cas de l'attaquant passif Cas de l'attaquant actif

9 Introduction Modélisation Modéliser les protocoles Modéliser l'attaquant Modéliser les propriétés Une attaque sur Needham-Schroder Localité du modèle Dolev-Yao Cas de l'attaquant passif Cas de l'attaquant actif Généralisations

10 Protocole d'authentication (Needham-Schroeder) A B :< A, {N A } KB > B A :< B, {< N A, N B >} KA > A B :< A, {N B } KB > Deux rôles A(lice), et B(ob).

11 Protocole d'authentication (Needham-Schroeder) A B :< A, {N A } KB > B A :< B, {< N A, N B >} KA > A B :< A, {N B } KB > Keys : clefs de chirement K A, K B publiques (pour NS) ou privées. Nonce : nombres aléatoires générés à chaque session N A, N B. Messages : expressions construites avec constantes, paire < _, _ >, encryption {_} _, hashing, etc.

12 Protocole d'authentication (Needham-Schroeder) A B :< A, {N A } KB > B A :< B, {< N A, N B >} KA > A B :< A, {N B } KB > Sessions : les agents (participants a, b,...) jouent les rôles du protocole. Possibilité de sessions en parallèle et un agent peut jouer le rôle A dans une session, le rôle B dans une autre,...

13 Protocole d'authentication (Needham-Schroeder) A B :< A, {N A } KB > B A :< B, {< N A, N B >} KA > A B :< A, {N B } KB > Propriété : le protocole assure que A sait qu'il parle à B (et réciproquement).

14 Principe de l'analyse de sécurité : Le protocole est connu. La cryptographie est supposé parfaite (nécessité de connaitre les clés secrètes pour décrypter). Tout message émis peut être intercepté. Nombre de sessions en parallèle : nombre ni donné (usuellement 3-4) ou non borné.

16 L'attaquant (Intrus) Attaquant passif. Il ne peut interagir avec le protocole et peut juste intercepter et analyse les messages qui ont circulé. Attaquant actif. Il contrôle le réseau : peut intercepter, détruire, falsier les messages, être un agent du protocole (participant malhonnête).

18 Les Propriétés Secrecy : l'intrus arrive à connaitre certaines données. Exemple : protocole d'échange d'une clé symmétrique entre deux participants : Le secret est la clé symmétrique.

19 Les Propriétés Secrecy : l'intrus arrive à connaitre certaines données. Exemple : protocole d'échange d'une clé symmétrique entre deux participants : Le secret est la clé symmétrique. Authentication : prouver son identité. nécéssaire pour paiement electronique! Réduit à du secret.

20 Les Propriétés Secrecy : l'intrus arrive à connaitre certaines données. Exemple : protocole d'échange d'une clé symmétrique entre deux participants : Le secret est la clé symmétrique. Authentication : prouver son identité. nécéssaire pour paiement electronique! Réduit à du secret. Anonymity : ne pas retrouver l'identité de l'envoyeur.

21 Les Propriétés Secrecy : l'intrus arrive à connaitre certaines données. Exemple : protocole d'échange d'une clé symmétrique entre deux participants : Le secret est la clé symmétrique. Authentication : prouver son identité. nécéssaire pour paiement electronique! Réduit à du secret. Anonymity : ne pas retrouver l'identité de l'envoyeur. Non-repudiation : impossibilité de contester son accord (signature de contrat).

23 Needham-Schroder n'est pas sûr Principe de l'attaque : man in the middle 3 principaux a, b honnêtes, c malhonnête, 2 sessions en parallèle L'attaquant utilise un participant honnête pour décrypter ce qu'il ne peut lire.

24 a c :< a, {N a } Kc > 1ere règle, session 1, a joue A, c joue B c(a) b :< a, {N a } Kb > 1ere règle, session 2, c joue as a pour b b c :< b, {< N a, N b >} Ka > 2eme règle, session 2, b reponds c c a :< c, {< N a, N b >} Ka > 2eme règle, session 2, c joue B, a joue A a c :< a, {N b } Kc > 3eme règle, session 1, a joue A, c joue B c(a) b :< a, {N b } Kb > 3eme règle, session 2, c joue a pour b b pense parler à a.

25 Une correction possible : A B : {< A, N A >} KB B A : {< B, < N A, N B >>} KA A B : {< A, N B >} KB Le cryptage de l'identité empêche c de se faire passer pour a.

27 Les règles de déduction de Dolev-Yao Système (DY) : Construction : x y x y < x, y > Decomposition : < x, y > {x} y < x, y > {x} y y y x x Modélisent le pouvoir de déduction de l'intrus. T s avec T = {t 1,..., t n } si s peut être déduit par utilisation répétée des règles de déduction. Preuve de T s : suite d'application des règles teminant avec s.

28 Exemple Hypothèses {N A } KB, K A, K B, N B {N A } KB K B N A N B < N A, N B > K A {< N A, N B >} KA

29 Theorem Les règles de déduction (DY)sont locales. Local=si T s alors il existe une preuve Pi n'utilisant que des sous-termes de T {s}. Conséquence : existence d'un algorithme polynomial pour savoir si T s.

30 Preuve de la localité Récurrence sur la longueur de la preuve Π. Cas 1 : la dernière règle est une construction. Π 1 Π 2 u v < u, v > Par hypothèse de récurrence la propriété est vraie pour Π 1 u et Π 1, donc est vraie pour la preuve totale (s =< u, v >). v idem pour cryptage.

31 Preuve de la localité Cas 2 : la dernière règle est une décomposition. Π 1 Π 2 {u} v v La dernière règle de Π 1 ne peut être une construction (sinon Π non minimale). Π 1 Π 1 u de la forme < x, {u} v > Par hypothèse de récurrence {u} v {u} v elle ne contient que des sous termes de T {{u} v }, donc < x, {u} v > sous-terme de T.

33 Theorem L'existence d'une attaque par un attaquant passif pour un nombre ni de sessions est décidable en temps polynomial. Conséquence directe de la localité du système (DY).

35 La sécurité du protocole est décidable pour un nombre ni de sessions : un algorithme NP-complet pour trouver une attaque existe. Beaucoup plus dicile! Utilise la localité. Résolution de systèmes de contraintes sur des termes (expression avec les opérateurs, clés, variables).

36 Réécriture de Needham-Schroeder : A 0 {N A } KB B {y} KB {< y, N B >} KA {< N A, x >} KA {x} KB {N B } KB 0 Choisir un nombre de sessions Choisir un entrelacement des actions de chaque sessions Exécution u 0 v 0, u 1 v 1,..., u n v n Connaissance de l'intrus : Initiale : t0,..., tp S'acroit de vi à chaque exécution u i vi.

37 Système de contraintes associé à une exécution (S) t 0,..., t p = u 0 v 0, t 0,..., t p = u 0... v i 1..., v 0, t 0,..., t p = u i v i, v i 1..., v 0, t 0,..., t p = u i... v n,..., v 0, t 0,..., t p = s(secret a trouver) σ solution de (S) ssi c'est une aectation des variables de (S) telle que σ(v i,..., v 0, t 0,..., t p ) σ(u i ), i = 0,..., n. ( déduction dans le système de DY)

38 Exemple : vérier que le système de contraintes associé à une exécution normale de NS a une solution : 0 = 0 {N A } KB, 0 = {y} KB {< y, N B >} KA, {N A } KB, 0 = {< N A, x >} KA {x} KB, {< y, N B >} KA, {N A } KB, 0 = {N B } KB 0, {x} KB, {< y, N B >} KA, {N A } KB, 0 = pas de secret Solution?

39 Exemple : vérier que le système de contraintes associé à une exécution normale de NS a une solution : 0 = 0 {N A } KB, 0 = {y} KB {< y, N B >} KA, {N A } KB, 0 = {< N A, x >} KA {x} KB, {< y, N B >} KA, {N A } KB, 0 = {N B } KB 0, {x} KB, {< y, N B >} KA, {N A } KB, 0 = pas de secret Solution? y = N A, x = N B

40 Exemple : vérier que le système de contraintes associé à une exécution normale de NS a une solution : 0 0 {N A } KB, 0 {N A } KB {< N A, N B >} KA, {N A } KB, 0 {< N A, N B >} KA {N B } KB, {< N A, N B >} KA, {N A } KB, 0 {N B } KB 0, {N B } KB, {< N A, N B >} KA, {N A } KB, 0 pas de secret

41 Forme réduite d'un système de contrainte : que des variables à droite de =. Theorem Une forme réduite a une solution. Theorem Il existe un ensemble de règles de transformation qui transforme tout système en un système équivalent qui est soit (pas de solutions), soit un système en forme réduite. (penser à la mise en forme triangulaire d'un système d'équations linéaires)

42 Et donc : Theorem (Rusinowitch-Turuani) Le problème de la sécurité des protocoles pour un nombre ni de sessions est Co-NP i.e. trouver une attaque est un problème NP (et même NP complet).

44 Nombre de sessions indéterminé : le problème est indécidable (il ne peut pas exister d'algorithme pour le résoudre). Prise en compte de propriétés algébriques ou exclusif : associatif-commutatif, x x = 0, Homomorphisme h(< x, y >) =< h(x), h(y) >,... Approche similaire : montrer la localité, puis dénir un algorithme de résolution de contraintes.

45 Un site de recensement de protocoles et d'attaques : Présentation inspirée de celle d'hubert Comon, LSV, ENS-Cachan, (Cimpa school, Feb 2005)

46 Félicitations pour avoir tenu jusqu'ici!!!

47 Félicitations pour avoir tenu jusqu'ici!!! Questions?