LSV UMR Dossier scientifique. Ecole Normale Supérieure de Cachan 61, avenue du Président Wilson Cachan Cedex France

Transcription

1 LSV UMR 8643 Dossier scientifique Contrat quadriennal août 2004 Ecole Normale Supérieure de Cachan 61, avenue du Président Wilson Cachan Cedex France

2 1

3 École Normale Supérieure de Cachan Laboratoire Spécification et Vérification UMR 8643 du CNRS Dossier scientifique pour le contrat quadriennal août 2004

4

5 Table des matières Présentation du Laboratoire Spécification et Vérification 7 Composition du LSV 10 Bilan scientifique pour la période Une approche «Science Pratique» déclinée selon trois axes 15 2 SECSI : Sécurité des systèmes d information Modèles Algorithmique et preuves automatiques Outils et applications TEMPO : Vérification des systèmes temporisés Modèles pour la vérification Logiques temporelles pour la spécification Algorithmique de la vérification temporisée Domaines d application INFINI : Algorithmique de la vérification symbolique Modèles Algorithmique de la vérification symbolique Vérification des systèmes embarqués Spécification et vérification Spécifications algébriques Réécriture et automates d arbres Model-checking certifié Topologie algébrique et calcul Autres éléments d appréciation pour la période Le LSV et l ENS de Cachan Participation aux instances de l École Participation aux actions de formation Participation aux jurys de concours Coopération avec le LURPA Formation par la recherche Habilitations à diriger des recherches Thèses soutenues Thèses en cours Autres types d encadrements

6 4 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 8 Coopérations industrielles Contrats européens Contrats industriels Contrats financés par le Fonds de la recherche technologique (FRT) Actions concertées incitatives (ACI) du Fonds national de la science (FNS) Autres actions Coopérations scientifiques Coopérations internationales en Europe Coopérations internationales hors Europe Coopérations nationales Rayonnement scientifique Administration de la recherche Jurys de thèse Comités éditoriaux et comités de programme Comités d organisation permanents, ou «Steering Committees» Organisation de conférences Conférences invitées Écoles et Journées thématiques Fonctionnement du laboratoire 91 Projet scientifique À propos de notre programme de recherche Projets concernant la sécurité et la vérification de protocoles cryptographiques Vers une logique des propriétés de sécurité Propriétés algébriques des primitives cryptographiques Paramétrisation par la théorie de l intrus Abstractions et automates d arbres Projets concernant la vérification des systèmes temporisés Vérification probabiliste Contrôle temporisé Vérification de systèmes sur puce Projets concernant l algorithmique de la vérification symbolique Vérification des systèmes hétérogènes Modèles stochastiques pour les communications non fiables Vérification symbolique et gestion dynamique de la mémoire Algorithmique du regular model checking

7 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 5 16 Projets transversaux à plus long terme Analyse statique / Software model checking Vérification des systèmes embarqués Interrogation quantitative Publications du LSV 113

8

9 Présentation du Laboratoire Spécification et Vérification Le Laboratoire Spécification et Vérification (LSV) est le laboratoire de recherche en informatique de l École normale supérieure de Cachan. Il a été créé en octobre 1996 et est associé au CNRS depuis janvier Il compte aujourd hui quinze membres permanents, autant de doctorants et quelques membres associés. La création du LSV répondait à un besoin scientifique fort de l ENS de Cachan qui souhaitait se doter d un laboratoire reconnu de recherche en informatique, sur une thématique clairement définie et de grande importance pour le monde industriel : l informatique de la vérification, c est-à-dire l ensemble des méthodes formelles permettant d accroître la confiance dans les logiciels critiques. Cette création a largement bénéficié de l appui et de la confiance du CNRS qui, convaincu de la pertinence du projet proposé, a décidé d affecter au LSV plusieurs chercheurs dès janvier Les travaux menés au LSV suivent la démarche Science Pratique de l ENS de Cachan : mener des recherches fondamentales du meilleur niveau international, développer simultanément des coopérations industrielles approfondies, visant à la fois à démontrer la pertinence des résultats obtenus et à mieux dégager les sujets sur lesquels il convient d accroître l effort de recherche. Une des forces du LSV est de rassembler des chercheurs et enseignants-chercheurs travaillant tous dans le domaine de la vérification, mais chacun avec des approches et des techniques spécifiques. Durant les premières années de son existence, pour exploiter de façon optimale cette diversité, le LSV ne s est pas structuré en équipes et ses activités ont été organisées selon deux dimensions : d une part, des domaines d application (la spécification de cahiers des charges, les systèmes automatisés, la qualité de services de télécommunications) et des recherches fondamentales sur les modèles, les logiques et l algorithmique de la vérification ; d autre part, des méthodes scientifiques pour résoudre les défis posés par ces domaines : contraintes, abstractions et compositionnalité. Les travaux des membres du LSV se sont ainsi naturellement répartis entre les différentes cases de la matrice résultante et cette organisation originale a permis de créer une réelle culture de laboratoire en favorisant au maximum les synergies et les coopérations entre les membres du LSV, notamment entre les quatre enseignants-chercheurs déjà en poste à l ENS de Cachan et les quatre chercheurs CNRS venus rejoindre le laboratoire lors de sa création. Après quelques années durant lesquelles ses effectifs ont été essentiellement stables, le LSV a mis en œuvre une politique de croissance raisonnée, destinée à consolider le laboratoire tout en conservant l unité scientifique qui fait sa force. Une étape importante de cette croissance a été le recrutement, à l automne 2000, sur un poste de professeur des universités, de Jean Goubault-Larrecq, spécialiste reconnu de la sécurité des systèmes informatiques et auparavant responsable de l action Verified Internet Protocols au sein du GIE Bull-INRIA Dyade. Ce recrutement a accompagné une stratégie de diversification de nos domaines d application en les élargissant à la problématique de la sécurité, et tout particulièrement à la

10 8 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan vérification des protocoles cryptographiques utilisés dans le commerce électronique et les transactions par Internet. Parallèlement, le LSV a recherché de nouveaux partenariats et a proposé la création d un projet commun avec l INRIA portant sur la sécurité des systèmes d informations. Après une phase de gestation, ce projet SECSI a été officiellement créé en janvier 2002 et a notamment permis au laboratoire de bénéficier de moyens humains supplémentaires pour la réalisation de son programme scientifique. Cette évolution du laboratoire nous a tout naturellement conduit à réorganiser nos activités autour de trois axes : la sécurité des systèmes d informations, la vérification des systèmes temporisés et enfin, l algorithmique de la vérification symbolique. Soulignons que cette organisation, opérationnelle depuis la fin de l année 2002, a pour objectif principal d optimiser le management scientifique de nos travaux de recherche, sans remettre en cause l unité scientifique globale du laboratoire où les coopérations «inter-axes» restent nombreuses et fructueuses. Nos recherches sont menées en partenariat étroit avec des industriels qui expriment des besoins en matière de vérification de logiciels, comme Électricité de France, Alcatel, France Télécom R&D, Trusted Logic, STMicroelectronics, etc. Un autre aspect important du bilan du LSV est le rôle que le laboratoire a joué au sein de l ENS de Cachan pour le développement de la discipline informatique. Ainsi, en 2003, le concours d entrée en première année a été modifié pour inclure un Concours Informatique et, plus récemment, le LSV et le Département d Informatique ont joué un rôle moteur dans la définition du Master Parisien de Recherche en Informatique (MPRI), en habilitation partagée entre l Université Paris 7, l ENS de Cachan, l ENS de Paris et l École Polytechnique, et qui sera mis en place à la rentrée Cette formation de haut niveau, par et pour la recherche, constitue incontestablement un contexte dynamisant, en particulier pour le recrutement de jeunes chercheurs. Nous pensons que ce rapport d activité démontre amplement que les paris faits lors de la création du LSV ont été gagnés. Tous les indicateurs usuels, publications, coopérations nationales et internationales, contrats industriels, etc., montrent bien que les engagements contenus dans le projet scientifique fondateur du LSV ont été largement tenus, et même souvent dépassés. Ce succès est bien évidemment le résultat des efforts de tous les membres du LSV qui se sont très fortement impliqués dans la mise en œuvre de ce projet. Pour les années futures, le LSV souhaite poursuivre une politique scientifique ambitieuse en restant fidèle à l approche Science Pratique, caractéristique de l ENS de Cachan, qui s est avérée fructueuse sur le plan des résultats et particulièrement motivante pour les chercheurs. La participation au réseau d excellence européen ARTIST 2 nous permettra notamment d approfondir nos coopérations européennes sur la thématique de la vérification des systèmes embarqués. Enfin le LSV, en association avec ses laboratoires frères LIAFA, LIENS et PPS, pourrait donner d ici quelques années naissance à un Pôle Parisien de Recherche en Informatique Fondamentale dans le cadre de la restructuration des laboratoires STIC de la région parisienne souhaitée par le CNRS.

11 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 9 La notion de logiciel critique, dont les défaillances peuvent avoir des conséquences désastreuses en termes humains ou économiques, n est plus cantonnée à des secteurs d activité spécifiques et délimités (transports, télécommunications, énergie). Aujourd hui, le logiciel est souvent le maillon faible de bien d autres secteurs d activité, comme le commerce électronique, l industrie des loisirs, la santé, etc. C est pourquoi jamais les enjeux scientifiques, techniques et économiques de l informatique de la vérification n ont été aussi cruciaux. Nous sommes convaincus que l ENS de Cachan, le CNRS, et l INRIA sauront aider le LSV à poursuivre une politique scientifique à la hauteur de ces enjeux. Michel Bidoit Directeur du LSV

12 Composition du LSV La liste des membres du LSV entre le premier janvier 2000 et le premier juillet 2004 se répartit comme suit. La date d arrivée au LSV est mentionnée lorsqu elle est postérieure à janvier Membres permanents : Béatrice Bérard MCF ENS de Cachan Patricia Bouyer CR2 CNRS depuis octobre 2002 Michel Bidoit DR2 CNRS Hubert Comon-Lundh 1 PR1 ENS de Cachan, DR2 jusqu en septembre 2002 Stéphane Demri CR1 CNRS depuis octobre 2000 Alain Finkel PR1 ENS de Cachan Laurent Fribourg DR2 CNRS, CR1 jusqu en septembre 2002 Jean Goubault-Larrecq PR1 ENS de Cachan depuis octobre 2000 Florent Jacquemard CR1 INRIA depuis octobre 2002 François Laroussinie MCF ENS de Cachan David Nowak CR2 CNRS depuis octobre 2001 Antoine Petit PR1 ENS de Cachan Laure Petrucci 2 MCF IIE Évry jusqu en août 2003 Claudine Picaronny MCF ENS de Cachan Philippe Schnoebelen DR2 CNRS, CR1 jusqu en septembre 2003 Ralf Treinen MCF ENS de Cachan depuis septembre 2002 Chercheurs non permanents : Thierry Cachat ATER ENS de Cachan de sept à août 2004 Jean-Michel Couvreur MCF Bordeaux 3 de sept à août 2004 Christophe Darlot Postdoc ACI PERSEE de juillet 2003 à juillet 2004 Elena Fersman Postdoc ACI CHRONO de nov à octobre 2004 Sławomir Lasota Postdoc gouv. Pologne d oct à septembre 2002 Julien Olivain Ingénieur CDD INRIA 4 depuis décembre 2002 Fabrice Parrennes Postdoc puis ATER Cachan de sept à mai 2004 Doctorants : Manuel Baclet BDI CNRS depuis octobre 2002 Sébastien Bardin Allocation Ministère depuis octobre 2002 Vincent Bernat Allocation couplée depuis octobre 2002 Stéphane Messika Allocation couplée depuis octobre 2002 Yu Zhang Alloc. Ministère (fléchée ACI) depuis octobre 2002 Mathieu Baudet INRIA 5 depuis juillet 2003 Houda Bel Mokadem Allocation Ministère depuis octobre 2003 Nathalie Bertrand Allocation couplée depuis octobre 2003 Stéphanie Delaune CIFRE France-Télécom depuis octobre 2003 Pascal Lafourcade Alloc. Ministère (fléchée ACI) depuis octobre 2003

13 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 11 Alexandre Boisseau Allocation couplée d oct à septembre 2003 Marie Duflot Allocation couplée d oct à septembre 2003 Véronique Cortier Allocation couplée d oct à mars 2003 Jérôme Leroux BDI CNRS d oct à décembre 2003 Nicolas Markey Alloc. couplée Orléans d oct à avril 2003 Muriel Roger Allocation Ministère d oct à octobre 2003 Kumar Neeraj Verma Allocation Ministère d oct à septembre 2003 Benjamin Blanc Allocation Ministère d oct à décembre 2002 Patricia Bouyer Allocation couplée d oct à avril 2002 Géraud Canet CIFRE Alcatel d oct à décembre 2001 Anne Labroue-Héam Allocation couplée d oct à janvier 2002 Emmanuel Fleury Allocation Ministère d oct à décembre 2000 Grégoire Sutre Allocation Ministère d oct à octobre 2000 Le personnel administratif et technique du LSV se répartit comme suit. Personnel administratif : Brigitte Van Elsen, AI CNRS, est la responsable administrative du LSV. Catherine Forestier (depuis mai 2001), SASU ENS de Cachan, assure le secrétariat du LSV à 50% de son temps (une proportion équivalente est consacrée au Département d Informatique). Personnel technique : Ahmad Fliti (depuis septembre 2002), IE CNRS, est l ingénieur systèmes et réseaux du LSV. Il a remplacé Thomas Leduc, IR CNRS, affecté à 50% au LSV jusqu à son départ en mutation pour Nantes fin Audrey Herbinière-Halbert (depuis janvier 2004), IE ENS de Cachan, participe aux projets logiciels du LSV à 50% de son temps (une proportion équivalente est consacrée au Département d Informatique). En septembre 2004, les arrivées et départs suivants sont prévus : Départs : Béatrice Bérard, recrutée PR2 à Paris 9 Dauphine à partir de septembre Arrivées : Paul Gastin, PR1 à Paris 7, en délégation CNRS au LSV à partir de septembre Nicolas Markey, recruté comme CR2 CNRS affecté au LSV à partir d octobre Steve Kremer, recruté comme CR2 INRIA affecté au LSV (projet SECSI) à partir de septembre Fabien Galand, ATER ENS de Cachan, à partir de septembre Stéphane Riedweg, ATER ENS de Cachan, à partir de septembre Fabrice Chevalier, allocation couplée, à compter d octobre Pierre-Alain Reynier, élève normalien 4 e année, à compter d octobre Régis Gascon, allocation Ministère, à compter d octobre Benjamin Ratti, allocation Ministère, à compter d octobre Mis à disposition de l Université de Stanford de juillet 2000 à juillet En congé pour recherches en Australie de septembre 2001 à août En délégation CNRS au LSV de septembre 2002 à août Ingénieur CDD pour le projet RNTL DICO jusqu en décembre Ingénieur du Corps des Télécoms, accueilli en détachement à l INRIA.

14

15 Bilan scientifique pour la période

16

17 1 Une approche «Science Pratique» déclinée selon trois axes Durant la période , sept chercheurs ou enseignants-chercheurs permanents sont venus rejoindre les huit membres fondateurs du LSV. Ce doublement des effectifs, parallèle à l évolution et à l approfondissement de nos thématiques de recherche, s est naturellement accompagné d une restructuration du laboratoire. Nous avons décidé durant l année 2002 de nous organiser autour de trois axes de recherche principaux : La sécurité des systèmes d informations : une problématique nouvelle au LSV, ouverte dès le début de l année 2000 par Hubert Comon-Lundh, et consolidée par le recrutement de Jean Goubault-Larrecq en octobre La vérification des systèmes temporisés : un domaine mettant en jeu des techniques spécifiques, et où le LSV dispose d un capital d expertise. L algorithmique de la vérification symbolique : correspondant à une évolution de recherches déjà présentes au laboratoire, motivée par le développement d outils de modelchecking de nouvelle génération tels que Fast. Cette nouvelle organisation de nos recherches n est totalement effective que depuis fin Elle fournit néanmoins une grille de présentation très pertinente pour l ensemble de nos travaux sur la période Dans ce rapport d activités, nous avons donc tout naturellement choisi de décrire les recherches menées au LSV au cours des quatre dernières années selon les trois axes ci-dessus, qui sont détaillés dans les trois sections suivantes. Une dernière section présente quelques travaux qui, s ils s inscrivent tous dans notre problématique de l informatique de la vérification, correspondent toutefois à des activités plus ponctuelles ou plus exploratoires.

18 16 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 2 SECSI : Sécurité des systèmes d information Responsables Hubert Comon-Lundh (DR CNRS jusqu en septembre 2002, puis PR ENS de Cachan) ; Jean Goubault-Larrecq (PR ENS de Cachan, depuis octobre 2000) ; Membres permanents Michel Bidoit (DR CNRS) 6 ; Stéphane Demri (CR CNRS, depuis octobre 2000) 7 ; Florent Jacquemard (CR INRIA, depuis octobre 2002) ; David Nowak (CR CNRS, depuis octobre 2001) 8 ; Ralf Treinen (MCF ENS de Cachan, depuis septembre 2002) ; Membres non permanents Sławomir Lasota (Postdoc d octobre 2001 à septembre 2002) ; Julien Olivain (Ingénieur CDD projet DICO, depuis décembre 2002, puis Ingénieur CDD INRIA depuis décembre 2003) ; Fabrice Parrennes (Postdoc puis ATER ENS de Cachan, de septembre 2002 à mai 2004) ; Doctorants Mathieu Baudet (depuis juillet 2003, Corps des Télécoms, détaché à l INRIA) ; Vincent Bernat (depuis octobre 2002, allocation couplée) ; Alexandre Boisseau (d octobre 2000 à septembre 2003, allocation couplée) ; Véronique Cortier (d octobre 2000 à mars 2003, allocation couplée) ; Stéphanie Delaune (depuis octobre 2003, CIFRE France Télécom R&D) ; Pascal Lafourcade (depuis octobre 2003, allocation fléchée ACI ROSSIGNOL) ; Muriel Roger (d octobre 2000 à octobre 2003, allocation Ministère) ; Kumar Verma (d octobre 2000 à septembre 2003, allocation Ministère) ; Yu Zhang (depuis octobre 2002, allocation Ministère fléchée ACI Cryptologie). Évolution de l axe de recherche La sécurité des systèmes d information était présente dans le précédent rapport quadriennal comme une des perspectives de recherche du laboratoire. Il apparaissait en effet qu il y avait là un domaine d application des compétences du LSV, notamment dans l utilisation des techniques de résolution de contraintes, de démonstration automatique et d abstraction. Cet axe de recherche s est de fait considérablement développé à partir d octobre 2000, grâce notamment à l arrivée de Jean Goubault-Larrecq à cette date, puis de Hubert Comon- Lundh en 2001, de retour d une année sabbatique dans l équipe de John Mitchell à Stanford. Le projet scientifique s est alors cristallisé autour d un thème principal : la vérification de protocoles cryptographiques, et d un thème secondaire : la détection d intrusions. Simultanément, le LSV s est lancé dans plusieurs projets d ACI (Action Concertée Incitative) ou 6. La participation de Michel Bidoit aux travaux de l axe SECSI se limite à l encadrement de la thèse d Alexandre Boisseau et aux travaux reliés. 7. Stéphane Demri participe également à l axe TEMPO. 8. David Nowak participe également à l axe INFINI.

19 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 17 du RNTL (Réseau National de recherche et d innovation en Technologies Logicielles) sur ces thèmes. Ces projets qui sont pour la plupart d une durée de trois ans, se sont presque tous terminés fin 2003 ou début Durant cette période, cet axe de recherche est arrivé à maturité, d abord à travers l ACI Jeunes Chercheurs «Sécurité informatique, protocoles cryptographiques et détection d intrusions», puis surtout par la création du projet SECSI de l INRIA Futurs, sous la responsabilité de Jean Goubault-Larrecq. Ceci a permis entre autres le recrutement de Florent Jacquemard comme chargé de recherche INRIA (en provenance de Trusted Logic) en 2002, puis de Julien Olivain comme ingénieur CDD INRIA en 2003 et enfin de Mathieu Baudet, détaché à l INRIA du Corps des Télécoms depuis Les premiers travaux sur la vérification formelle de propriétés de sécurité, à partir de problèmes concrets, au travers du projet RNTL EVA, ont rapidement mis en évidence des questions de sémantique ; pour vérifier formellement une propriété de sécurité, il faut bien sûr disposer d un modèle formel pour les protocoles comme pour les propriétés. L étude de ces questions constitue ainsi le premier volet des recherches menées dans cet axe ; elles sont décrites dans la section 2.1. Le second problème auquel nous avons été confrontés est celui de l algorithmique de la vérification. Les systèmes à vérifier sont en effet des systèmes infinis à branchement infini, ayant des caractéristiques spécifiques. Nous avons donc développé des méthodes, par abstraction, par automates, par résolution de contraintes ainsi que des stratégies de démonstration automatique. Ces travaux sont décrits dans la section 2.2 où sont aussi mentionnées nos contributions algorithmiques au problème de la détection d intrusions. Enfin, les problèmes que nous étudions proviennent souvent d études de cas et les solutions algorithmiques font l objet de réalisations logicielles sous forme de prototypes prototypes de recherche pour certains, outils complets pour d autres. Ces outils et applications sont décrits dans la section Modèles Les protocoles cryptographiques, dont l étude constitue la part la plus importante des recherches de l axe SECSI, sont des protocoles utilisés dans de nombreuses applications qui doivent garantir des propriétés de confidentialité ou d authenticité par exemple, tout en utilisant des canaux de communication publics (internet, téléphonie mobile, etc.). À cause de la grande variété des applications, des propriétés et des contraintes techniques, un grand nombre de tels protocoles a vu le jour. Nous en maintenons d ailleurs à jour une bibliothèque (voir Ces protocoles s appuient toujours sur des primitives cryptographiques telles que le chiffrement, les fonctions à sens unique, les générateurs de nonces. Il se trouve que, même si ces primitives sont supposées réaliser parfaitement leur spécification, la plupart des protocoles comportent des failles (voir spore/). Ce sont des failles logiques ; un intrus qui peut intercepter et émettre des messages sur le canal public peut se faire passer pour un (autre) participant, réutiliser des messages ayant déjà transité pour en fabriquer d autres, etc. C est ce type de failles que nous voulons détecter, ou dont nous voulons formellement prouver l absence. La modélisation de tels protocoles, et en particulier la notion d intrus, a commencé à être étudiée à la fin des années Plusieurs modèles ont été proposés qui reposent pour la plupart sur l intrus dit «de Dolev-Yao». En résumé, un protocole est un nombre fixe de processus en parallèle (les rôles) qui peuvent être répliqués un nombre arbitraire de fois (ce sont les sessions) et instanciés par des agents, en nombre arbitraire. Certains agents sont

20 18 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan supposés malhonnêtes ou compromis. L intrus est assimilé au réseau et modélisé de diverses manières (nous y reviendrons). Le système de transitions associé est infini en profondeur (à cause du nombre arbitraire de sessions) et en largeur (à cause des capacités de l intrus et du nombre arbitraire d agents). Nous avons tout d abord montré des résultats qui permettent de se ramener à des modèles plus simples (paragraphe 2.1.1). Un autre modèle pertinent a été proposé en 1999 par Abadi et Gordon, le spi-calcul. Il s agit d un calcul de processus dont l objet est la modélisation des protocoles cryptographiques. Cette algèbre de processus est une alternative au modèle de Dolev-Yao. Bien qu Abadi et Gordon l aient initialement motivée par des questions de modélisation du secret (fort) et de l authentification, il se trouve que le spi-calcul permet de surcroît d exprimer de manière élégante des propriétés plus subtiles telles que l opacité, qu on ne sait pas exprimer dans les modèles à la Dolev-Yao. La notion cruciale ici est celle d équivalence observationnelle. Par exemple, M est secret dans le processus P (M) si et seulement si P (M) est observationnellement équivalent à P (M 0 ), où M 0 est un message fixe quelconque, autrement dit, si aucun intrus observant P (M) ne peut détecter un quelconque changement dans le contenu de M en interagissant avec P (M). Cette notion de secret est dite «forte» car elle implique l impossibilité d obtenir une information quelconque sur M, par opposition à la notion de secret «faible» définie par l inaccessibilité de M. L équivalence observationnelle est néanmoins difficile à prouver. Nous décrivons dans les paragraphes et nos travaux liés aux preuves d équivalence observationnelle. Dans le paragraphe 2.1.2, nous nous intéressons aux relations logiques qui permettent de prouver l équivalence observationnelle dans un λ-calcul cryptographique. Dans le paragraphe suivant nous ramenons les problèmes de preuves d équivalence observationnelle à des problèmes traitables automatiquement. Enfin, répertorier et exprimer les propriétés de sécurité d une manière satisfaisante reste un vrai défi, que nous explorons dans le paragraphe Résultats de réduction Comme nous l avons dit plus haut, la vérification de protocoles cryptographiques se heurte au caractère non borné des protocoles considérés : taille des messages non bornée, nombre de nonces non borné, nombre de sessions non borné, nombre de participants non borné. On ne peut en général pas se restreindre à un nombre borné de nonces ou de sessions sans perdre de généralité, le problème de l accessibilité étant indécidable dans le cas général mais décidable si l on borne une de ces quantités. Nous avons cependant montré que l on pouvait toujours se restreindre à un nombre fixe de participants. De plus, la borne sur le nombre de participants à considérer est calculable et ne dépend que de la propriété à prouver [CI-55, RI-38]. Ce nombre vaut 2 par exemple dans le cas des propriétés de confidentialité. Ce résultat de réduction se fonde sur un modèle de clauses de Horn dans lequel se traduisent les modèles de trace. Ce résultat s applique aux propriétés d accessibilité (secret, authenticité essentiellement), et non aux propriétés d équivalence observationnelle. Nous reviendrons sur ces dernières dans les paragraphes qui suivent. En ce qui concerne les propriétés d accessibilité de nouveau, on peut critiquer le modèle de Dolev-Yao en prétendant qu il est simpliste. Par exemple, on ne peut déchiffrer un message chiffré que si l on possède la clé inverse ; ou bien l intrus dispose d un temps de calcul

21 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 19 non borné. On peut imaginer des modèles plus réalistes d exécution des protocoles, dans lesquels les calculs ont des durées et dans lesquels les opérations élémentaires de calcul sont effectuées avec certaines probabilités. Ce dernier point permet notamment de modéliser le fait qu un intrus peut en réalité déchiffrer un message chiffré sans la clé inverse, à condition d avoir de la chance, et ceci n arrive qu avec une probabilité faible. Nous avons formalisé un tel modèle incluant probabilités et temps d exécution sous forme de processus de décision markoviens particuliers (voir aussi le paragraphe 3.1.4), et nous avons montré que les attaques en temps polynomial stochastique (Las Vegas) sont exactement celles prédites par le modèle de Dolev-Yao [CO-18]. Autrement dit, un protocole probabiliste avec durées est sûr si et seulement si le modèle simpliste de Dolev-Yao, sans durée ni probabilités et beaucoup plus simple à traiter algorithmiquement, prédit qu il est sûr. (À noter aussi que ce résultat s applique même en cas d affaiblissement de l hypothèse du chiffrement parfait, hypothèse dont nous parlerons en section 2.2.) Relations logiques Avec Sławomir Lasota (Univ. Varsovie, Pologne). Tournons-nous maintenant vers les propriétés de sécurité exprimées via la notion d équivalence observationnelle, par opposition à la notion d accessibilité. Rappelons que si ces dernières permettent de bien exprimer le secret (faible) et l authenticité, les premières sont plus adaptées aux notions de secret fort et d opacité. Il est traditionnel d exprimer l équivalence observationnelle sur des algèbres de processus, et nous avons bien entendu utilisé la plus connue d entre elles en sécurité, le spi-calcul d Abadi et Gordon : voir le paragraphe Nous nous sommes aussi intéressés à l approche, moins connue, de Sumii et Pierce. Si elle ressemble à celle d Abadi et Gordon en ce sens qu elle définit les propriétés de sécurité via des notions d équivalence observationnelle, elle s en démarque par le choix de modéliser les protocoles dans le λ-calcul cryptographique, une variante du λ-calcul avec création dynamique de noms et des primitives pour le chiffrement et le déchiffrement. Alors que l outil classique pour établir une équivalence observationnelle en algèbre de processus est la bisimulation, l outil indiqué en λ-calcul est la notion de relation logique. Les relations logiques de Sumii et Pierce sont difficiles à comprendre et inappropriées à la mécanisation. Dans [CI-38], nous avons repris et généralisé un travail antérieur de Pitts et Stark en proposant une construction générale de relation logique qui permet, lorsqu on l instancie par une monade de création dynamique de noms (les nonces), d obtenir une relation logique proche de celle de Pitts et Stark. Ce travail est raffiné dans [CI-66] pour obtenir une instance (plus complexe) qui capture exactement la relation logique de Pitts et Stark. Une relation logique n est en général pas complète, c est-à-dire que deux termes peuvent être observationnellement équivalents sans être reliés par la relation logique considérée. Nous avons montré dans [CI-94*] comment obtenir des relations logiques complètes pour des λ-calculs plus riches contenant notamment des primitives pour le chiffrement et le déchiffrement. Il s agit de relations complètes relâchées aux types de chiffrement et de fonction («lax logical relations»). Sous un autre angle, alors que l on connaît des notions de bisimulations complètes pour l équivalence observationnelle en spi-calcul, dues à Boreale, de Nicola et Pugliese, nous avons obtenu des relations logiques relâchées complètes pour des calculs d ordre supérieur.

22 20 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan Les compétences du LSV en λ-calcul et relations logiques sont transversales aux axes. On notera en particulier que l article [CI-60] apparaissant dans l axe INFINI utilise des techniques proches Algèbres de processus En partie avec Steve Kremer et Jean-François Raskin (Univ. Libre de Bruxelles, Belgique). L étude des propriétés d équivalence observationnelle en λ-calcul et variantes ont surtout mené jusqu à fin 2003 à des études de fondements sémantiques. Dans le cas du spicalcul ces fondements sont mieux connus et nous avons pu nous consacrer à une étude plus algorithmique. Plus précisément, nous nous sommes demandés comment on peut décider l équivalence observationnelle en spi-calcul. Rappelons que ceci est important pour décider du secret fort qui s exprime directement comme une propriété d équivalence observationnelle. C est encore plus important pour les propriétés d opacité (anonymat, non-délit d initié, etc.), où il s agit de quantifier universellement sur tous les processus d une certaine classe d équivalence observationnelle. Dans le but d automatiser les preuves de propriétés d équivalence observationnelle, nous avons travaillé dans deux directions. La première, exposée dans la partie III de la thèse d A. Boisseau [TH-13], consiste à appliquer des techniques d interprétation abstraite afin de se ramener à des modèles traitables par l outil MOCHA. MOCHA est un model-checker de formules de la logique du temps alternant ATL sur des systèmes de transitions alternants. (La pertinence de ces modèles est illustrée dans la partie II de [TH-13].) En plus d assurer la correction, cette approche permet également de traiter les protocoles et leurs propriétés de manière automatique. Dans [Ra-17] et le chapitre 5 de la thèse de V. Cortier [TH-14], une seconde approche a consisté à étudier les liens entre les propriétés exprimées en termes d équivalence observationnelle et celles exprimées en termes d accessibilité à la Dolev-Yao. Il s agissait bien sûr d une étude nécessaire : alors qu il était bien connu que la sécurité à la Dolev-Yao et la sécurité via l équivalence observationnelle recouvraient deux notions différentes, les rapports entre les deux notions n étaient pas clairs. Cette approche a été validée par une démonstration de sécurité du protocole de Needham-Schroeder-Lowe pour un nombre arbitraire de sessions, ce qui n avait encore jamais été fait dans le contexte du spi-calcul (Abadi et Gordon s étaient notamment limités à un nombre fixe de sessions) Sémantique et propriétés de sécurité En partie avec Steve Kremer et Jean-François Raskin (Univ. Libre de Bruxelles, Belgique). À la différence des systèmes réactifs pour lesquels existent des logiques temporelles permettant d exprimer les propriétés des systèmes en question, il n y a aucun formalisme logique (indépendant de la description des modèles) pour exprimer les propriétés de sécurité. Il s avère que celles-ci sont très variées selon les applications visées, et même que les propriétés les plus communes comme la confidentialité et l authenticité ont de multiples formulations non équivalentes. Nous avons rencontré cette difficulté de définition des propriétés à vérifier au cours du projet RNTL EVA, en particulier dans la définition de la sémantique du traducteur qui a

23 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 21 requis beaucoup plus de travail que prévu [Rc-2, Rc-10, Rc-9, Lo-4, Rc-26]. Nous avons étudié [TH-13] les propriétés d équité, intervenant dans les protocoles de signatures de contrat par exemple. Elles sont censées exprimer qu aucun des signataires ne peut avoir, à l une des étapes de la signature, un avantage sur les autres. Ceci est beaucoup plus subtil que les propriétés de secret par exemple, où nous avions d un côté les bons, de l autre côté les méchants (l intrus). Ici chaque participant se méfie de l autre et nous devons garantir que tout coup de Jarnac de la part de l un pourra mener à une contre-mesure de la part de l autre. Nous avons, en collaboration avec S. Kremer et J.-F. Raskin, proposé l utilisation de la logique du temps alternant ATL dans ce but. ATL permet en effet d exprimer qu un groupe de participants peut faire en sorte que, quoi que les autres fassent, une certaine propriété soit assurée. Ceci est bien adapté aux protocoles de signature de contrat ou de vote électronique, comme nous l avons montré sur des études de cas. Nous avons aussi étendu les travaux de Hughes et Shmatikov pour formaliser les propriétés d opacité [Ra-16] qui expriment l impossibilité d obtenir des informations sur les participants à un protocole (anonymat, non-délit d initié). L expression formelle de ces propriétés repose sur une utilisation non triviale de la notion d équivalence observationnelle. Par exemple, la propriété d anonymat dans un protocole de vote n est pas que le choix du votant soit secret (tous les choix possibles du votant sont connus de tout intrus), mais que l association entre le votant et son choix soit inconnue. Ceci s exprime en quantifiant sur tous les processus observationnellement équivalents au processus décrivant le comportement de tous les votants, et en exprimant une propriété de compatibilité d attributs entre tous ces processus. (Voir le paragraphe pour l aspect algorithmique.) Enfin, nous nous sommes préoccupés de définir un cadre logique permettant d exprimer toutes ces propriétés, ou du moins le plus possible, indépendamment du formalisme utilisé pour décrire les protocoles (voir par exemple [CO-11]). ATL est une bonne approche, mais pas encore assez générale pour traiter de façon satisfaisante toutes les propriétés de sécurité souhaitées. Trouver le bon cadre logique est l un des objectifs principaux de l ACI Sécurité Informatique «ROSSIGNOL», qui a débuté fin Algorithmique et preuves automatiques Une fois les aspects sémantiques traités, il s agit de vérifier les propriétés de sécurité des protocoles cryptographiques. Un des objectifs principaux de notre projet concerne les preuves automatiques de protocoles cryptographiques. Comme nous l avons évoqué dans l introduction du paragraphe 2.1, les modèles des protocoles cryptographiques sont des systèmes de transitions infinis en profondeur et aussi à branchement infini, car un intrus peut engendrer des messages arbitraires et les envoyer sur le réseau en lieu et place de messages attendus. Enfin, les transitions possibles dépendent des capacités supposées de l intrus, ou, de manière duale, des propriétés assurées par les primitives cryptographiques. La vérification, par exemple de la propriété de secret de protocoles cryptographiques est indécidable. Ceci a été démontré pour diverses classes particulières de protocoles ; par exemple nous le montrons dans [RI-42*] pour les protocoles sans nonce et n utilisant que des clés atomiques. Ceci pose naturellement des limites fermes à ce que nous pouvons espérer obtenir comme résultats. (Voir aussi les synthèses [IN-5, RE-2]).

24 22 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan Nous avons ainsi travaillé dans plusieurs directions. D abord nous avons étudié des méthodes d abstraction, effectuant des approximations quand c est nécessaire et qui permettent de prouver la correction des protocoles (mais en cas d échec de la preuve elles n assurent pas l existence d une attaque). Ce sont les travaux décrits dans les paragraphes et Cette ligne de recherche était encouragée par le projet RNTL EVA dont l objectif était la preuve automatique de protocoles, plutôt que la simple recherche d attaques. Nous avons aussi développé des méthodes spécifiques qui peuvent ne pas terminer ou terminer sans conclure, mais se comportent bien en pratique (voir paragraphe 2.2.3). Dans tous les cas, la vérification des protocoles dépend de la théorie de l intrus utilisée : quelles sont ses capacités? Le modèle de Dolev-Yao classique, de même que le spi-calcul originel, reposent sur l hypothèse du chiffrement parfait qui stipule qu aucune information ne peut être obtenue sur un message en clair à partir de son chiffré, si l on ne connaît pas la clé de déchiffrement. Cette hypothèse s avère en fait peu réaliste dans de nombreux cas. Notamment, certaines propriétés algébriques des primitives cryptographiques sont explicitement utilisées dans certains protocoles. Un des cas les plus connus est celui du protocole de distribution de clés de Diffie-Hellman, fondé sur l existence d une fonction de chiffrement M g M, telle que (g M ) N = (g N ) M. On peut citer aussi le cas des attaques par dictionnaire, où l énumération de tous les messages en clair est possible et permet de retrouver le message en clair sans déchiffrer, mais en comparant tous les chiffrés possibles avec le chiffré donné. C est pourquoi nous considérons des affaiblissements de l hypothèse du chiffrement parfait et étudions l automatisation des preuves (ou des recherches d attaques) dans ce contexte. Selon les méthodes qu elles mettent en œuvre, ces extensions seront précisées dans les paragraphes 2.2.1, et L affaiblissement du chiffrement parfait est un des thèmes centraux du projet RNTL PROUVÉ dans lequel nos partenaires ne s intéressent plus seulement à la certification de protocoles dans le cas général, mais aussi lorsqu on fixe le nombre de sessions. Cette restriction est une des seules qui permette d obtenir des algorithmes de décision dans le modèle standard. Nous nous intéressons dans le paragraphe à l extension de ces algorithmes en affaiblissant l hypothèse du chiffrement parfait. Enfin, l activité de notre axe porte aussi sur l algorithmique de la détection d intrusions, sujet a priori non relié aux protocoles cryptographiques. Le problème peut néanmoins aussi être vu comme une question de vérification de modèles (model-checking), le modèle étant fourni à l exécution. Plutôt que de décrire notre activité en détection d intrusions dans une section à part, nous avons décidé de la présenter ici, au paragraphe 2.2.5, parce qu elle se fonde sur une réflexion algorithmique ayant des points communs avec le reste des travaux présentés en section 2.2. Nous verrons que cette activité a aussi des points communs avec l axe TEMPO (cf. paragraphe 3.3.5) Méthodes par contraintes ensemblistes et automates En partie avec John Mitchell (Stanford University, CA, USA). Pour pouvoir prouver la correction de protocoles cryptographiques, il nous faut faire des approximations, comme nous l avons vu, ne serait-ce parce que le problème est indécidable dans le cas général.

25 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan 23 Nous avons proposé dans [Ra-1, CI-19, TH-13] des techniques génériques d abstraction qui sont optimales (dans un sens que nous précisons). Par ailleurs, nous avons étudié des méthodes spécifiques d approximation, par exemple utilisant des contraintes ensemblistes [CI-22, RI-42*] : comme dans le paragraphe 2.2.2, l ordre des règles du protocole est perdu, ainsi que certaines relations entre variables. À ce prix, on obtient des algorithmes de décision fondés sur des automates d arbres particuliers : les automates à une mémoire. L approximation est effectuée une fois pour toutes sur les règles du protocole et conduit à des algorithmes relativement complexes. Une autre approche consiste à n effectuer les approximations que par nécessité et à utiliser une propriété fondamentale de la théorie de l intrus de Dolev-Yao : l ensemble des messages déductibles par l intrus (à partir d un ensemble fini ou régulier) est un ensemble reconnaissable de messages [CI-10, CI-29, RE-3]. Ceci est à la base de l outil de vérification CPV2 [Rc-16], puis de H1 [In-10] et de MOP [TH-18]. Bien que le vocabulaire employé puisse laisser croire que les techniques d automates, de contraintes ensemblistes et par résolution (paragraphe 2.2.2) soient distinctes, il s agit essentiellement d éclairages différents sur une famille d objets fondamentalement identiques. L extension des méthodes d automates mentionnées plus haut lorsqu on ne fait plus l hypothèse du chiffrement parfait et, plus spécifiquement, lorsque certaines fonctions cryptographiques possèdent des propriétés algébriques, conduit à l étude des automates d arbres modulo une théorie équationnelle. C est le sujet de la thèse de K. Verma [TH-19]. La théorie de l intrus se formalise bien à l aide d automates d arbres bidirectionnels et alternants qui, en l absence de théorie équationnelle, ont le même pouvoir d expression que les automates d arbres standards. (Dans ce cas, les automates d arbres bidirectionnels et alternants sont juste une autre notation pour les contraintes ensemblistes définies.) Mais lorsque certains symboles sont associatifs et commutatifs, le vide des automates alternants est indécidable. Certaines restrictions sur l alternation et sur la bidirectionalité permettent néanmoins de rétablir des résultats de décision [Ra-22]. La propriété d associativité-commutativité joue un rôle important car elle est satisfaite par plusieurs primitives, comme le ou exclusif ou la multiplication des exposants de l exponentielle modulaire. Par exemple, il est indispensable de prendre en compte cette propriété si l on souhaite vérifier un protocole de distribution de clés de Diffie-Hellman. Nous avons déjà évoqué succinctement ce protocole plus haut, et nous y reviendrons. Nous avons systématiquement étudié les automates bidirectionnels modulo des théories équationnelles contenant en particulier l associativité et la commutativité et nous avons précisé la frontière de la décidabilité dans ce domaine [CI-65, CI-64, Ra-40, RI-46*] Méthodes par résolution Les automates d arbres (bi-directionnels, alternants) peuvent être vus simplement comme des cas particuliers de clauses de Horn. L étude des automates généralisés et des propriétés de sécurité peut ainsi profiter d une description sous forme clausale [In-4]. Dans ce contexte, nous nous sommes intéressés à des classes décidables de clauses de Horn dans lesquelles on peut faire des preuves de sécurité à l aide de techniques de résolution dont on est assuré qu elles terminent. Ainsi, l outil CPV2 [Rc-16] calcule automatiquement des abstractions (adaptées au cas des protocoles) d ensemble de clauses de Horn vers des clauses de la classe monadique et

26 24 Laboratoire Spécification et Vérification UMR 8643 CNRS & ENS de Cachan se base sur une bibliothèque de décision pour cette théorie pour la vérification de propriétés de confidentialité de protocoles. Se fondant sur la remarque qu une preuve de sécurité en logique du premier ordre est une absence de contradiction d une théorie de Horn, c est-à-dire l existence d un modèle, nous poussons cette approche plus loin [In-10] : l outil H1 calcule des abstractions vers la classe décidable H 1, sature l ensemble de clauses obtenues par des règles de résolution ordonnée avec sélection et splitting sans splitting et, dans le cas d absence de contradiction, fournit un modèle fini sous la forme d un automate d arbres alternant et un script de preuve Coq assurant qu il s agit d un modèle de l ensemble de clauses de départ. À nouveau nous avons étendu ces travaux dans les cas où l hypothèse du chiffrement parfait est abandonnée. Dans [CI-54], nous avons montré la décidabilité, d une part d une extension du fragment de Skolem de la logique du premier ordre (clauses à une seule variable) et d autre part, d une seconde extension enrichissant la première par la théorie équationnelle du ou exclusif. Ce résultat est appliqué à la preuve de protocoles à l aide d abstraction de clauses. Rappelons que le ou exclusif est une primitive classique en cryptographie. Par exemple, une façon populaire de chiffrer un message M avec une clé K ayant le même nombre de bits est de calculer leur ou exclusif M K bit à bit. Ceci est classique mais dangereux : par exemple, rechiffrer le message avec la même clé K produit M K K = M, qui révèle donc le message en clair M. L article [CI-54] propose donc un algorithme qui permet d assurer la sécurité des protocoles en présence de tels risques. MOP (MOdular Prover) [Lo-15] est une plate-forme logicielle fondée sur des techniques à base de résolution opérant modulo des théories équationnelles. MOP a été utilisé avec succès pour prouver automatiquement que le protocole de groupe IKA.1 de distribution de clés, une variante du protocole de Diffie-Hellman à plus de deux participants, est sûr dans un modèle d intrus passif (qui peut seulement écouter les canaux) [RI-46*]. Le protocole IKA.1 n est pas sûr dans des modèles d intrus qui peuvent aussi copier et détourner des messages, et dans le modèle classique dit de Dolev-Yao (où l intrus peut en outre chiffrer et déchiffrer). Les algorithmes employés, comme dans le cas de [CI-54], permettent de garantir des propriétés de sécurité malgré les risques causés par les lois algébriques contenant l associativité et la commutativité, et sont issus des thèses [TH-18, TH-19] Méthodes spécifiques Avec Jon Millen (SRI, Palo Alto, CA, USA). Dans un autre registre, nous avons conçu, lors d une visite au SRI auprès de Jon Millen, un algorithme spécialisé dans la preuve de propriétés de secret de protocoles cryptographiques dans un cadre relativement général [CI-24]. Le nombre de sessions et le nombre de participants sont non bornés. Les seules restrictions sont que les données doivent être typées et que l algorithme ne permette pas de traiter les protocoles à clés composées. Cet algorithme, correct mais incomplet, permet une vérification entièrement automatique de protocoles par récurrence sur les transitions utilisées et la visualisation graphique d une preuve de correction. Le principe est de vérifier qu aucune transition ne peut compromettre un secret. Pour cela, trois tests de base permettent de conclure à la correction de la transition et si aucun de ces tests n aboutit, une recherche en arrière est appliquée pour obtenir plus d informations et réappliquer, le cas échéant, un des tests de base ou à nouveau