UNIVERSITÉ DE MONTRÉAL

Transcription

1 UNIVERSITÉ DE MONTRÉAL SPÉCIFICATION ET VALIDATION DE PROTOCOLES DE SÉCURITÉ STÉPHANE LAFRANCE DÉPARTEMENT DE GÉNIE INFORMATIQUE ÉCOLE POLYTECHNIQUE DE MONTRÉAL THÈSE PRÉSENTÉE EN VUE DE L'OBTENTION DU DIPLÔME DE PHILOSOPHIAE DOCTOR (Ph.D) (GÉNIE INFORMATIQUE) AVRIL 2005 c Stéphane Lafrance, 2005.

2 UNIVERSITÉ DE MONTRÉAL ÉCOLE POLYTECHNIQUE DE MONTRÉAL Cette thèse intitulée: SPÉCIFICATION ET VALIDATION DE PROTOCOLES DE SÉCURITÉ présentée par: LAFRANCE Stéphane en vue de l'obtention du diplôme de: PhilosophiæDoctor a été dûment acceptée par le jury d'examen constitué de: M. FERNANDEZ José, Ph.D., président M. MULLINS John, Ph.D., membre et directeur de recherche M. ECHAHED Rachid, Ph.D., membre M. ABOULHAMID El Mostapha, Ph.D., membre

3 RÉSUMÉ L'émergence des transactions électroniques via l'internet a introduit dans notre quotidien de nouvelles préoccupations de sécurité. An d'uniformiser ce type de procédure, les règles d'échanges de messages qui constituent une telle transaction sont décrites par un protocole de sécurité. Les protocoles de sécurité peuvent être utilisés pour de nombreux buts : pour échanger des messages condentiels, pour authentier des individus, pour se brancher sur un serveur web, etc. Les méthodes cryptographiques nous assurent que tout message condentiel échangé sur un canal public, lorsqu'il est susamment bien crypté, ne pourra être déchiré par un individus que si celui-ci possède la clé correspondante. Cependant, même lorsque que nous utilisons l'hypothèse de cryptage parfait, le problème de déterminer si un protocole est sécuritaire est très complexe. En eet, de nombreux protocoles se sont révélés non sécuritaires, et dans certains cas plusieurs années après leur introduction. Dans cette thèse, nous abordons le problème de la vérication de protocoles de sécurité. Plus spéciquement, nous proposons une méthode générale de spécication et de validation pour cette famille de protocoles, qui inclue les protocoles cryptographiques. Nous présentons une nouvelle algèbre de processus, nommée SPPA, qui permet une spécication explicite des échanges de messages entre les participants d'un protocole et des manipulations cryptographiques accomplies par chacun. Une extension symbolique de cette algèbre de processus est également oerte. Nous introduisons ensuite la propriété de sécurité BNAI qui est une formalisation du concept d'interférence admissible munie d'une méthode de vérication basée sur l'équivalence de bisimulation. Nous démontrons que cette BNAI satisfait certaines propriétés de compositionalité par rapport aux principaux opérateurs de SPPA. Nous prouvons aussi que BNAI, ainsi que d'autres propriétés de non interférence, ne sont pas dénissables dans le µ-calcul. Nous montrons comment utiliser BNAI an de valider certaines propriétés de sécurité, notamment la condentialité, l'authentication et la vulnérabilité face aux attaques de déni de service.

4 ABSTRACT The growing use of e-commerce over the Internet has introduced new security concerns. In order to standardise such procedure, the rules for exchanging messages within such transaction are commonly described by a security protocol. Security protocols are useful for dierent purpose such as exchanging secret messages, authenticating other users, connecting on a web server, etc. Cryptographic methods guaranties that any secret message exchanged over a public channel, when well encrypted, will not be read by another user unless he owns the corresponding key. However, even under perfect encryption hypothesis, the problem of deciding whether a protocol is safe is very dicult. Indeed, many security protocols were shown unsafe, and in some cases many years after their introduction. In this thesis, we investigate the validation problem of security protocols. More specically, we propose a general method for the specication and validation of these protocols, including cryptographic protocols. We present a new process algebra, named SPPA, which allows an explicit specication of messages exchanges between users and cryptographic manipulations achieved by each of them. A symbolic extension of this process algebra is also given. We then introduce the BNAI security property which is an interpretation of the admissible interference concept combined with a verication method based on bisimulation equivalence. We prove that this security property satises some compositional properties with respect to SP- PA' main operators. We also prove that BNAI, along with others non-interference properties, is not denable in µ-calculus. Moreover, we show how to use BNAI for the verication of specic security properties such as condentiality, authentication and vulnerability against denial of service.

5 vi TABLE DES MATIÈRES RÉSUMÉ iv ABSTRACT v TABLE DES MATIÈRES LISTE DES FIGURES vi xi LISTE DES NOTATIONS ET DES SYMBOLES xii CHAPITRE 1 :INTRODUCTION Motivations Protocoles de sécurité Protocole de Needham-Schröder Attaques et propriétés de sécurité Condentialité Authentication Déni de service Sécurité dans les protocoles de commerce électronique Modélisation des attaques Aperçu de la thèse CHAPITRE 2 :MÉTHODES DE VALIDATION DE PROTOCOLES DE SÉCURITÉ Validation de protocoles Modèles de traces Algèbres de processus CCS et CSP Modèle de Lowe

6 vii Modèle de Schneider π-calcul Spi calcul Calcul ambiant Méthodes de ots d'information Non interférence Analyse des ots d'information intransitifs Méthodes symboliques Formalisation du déni de service Modèle de Yu-Gligor Modèle de Meadows Mise en contexte de la thèse CHAPITRE 3 : SPÉCIFICATION DE PROTOCOLES DE SÉCU- RITÉ Spécication des messages Algèbre de messages Fonctions Security Protocol Process Algebra Syntaxe de SPPA Actions Critère d'observation Sémantique de SPPA Relations d'équivalence sur les processus Bisimulation par observation Discussion CHAPITRE 4 : MODÈLE DE SPÉCIFICATION SYMBOLIQUE Logique pour les messages Formules caractéristiques Décidabilité

7 viii 4.2 Relations entre sous-ensembles nis de variables Relation d'équivalence sur les évaluations Processus contraints Spécication symbolique des protocoles Sémantique symbolique Finitude de la sémantique symbolique Sémantique symbolique vs sémantique avec passage de paramètres Bisimulation entre processus contraints Bisimulation Correspondance des bisimulations Bisimulation symbolique Discussion CHAPITRE 5 : VALIDATION DE PROTOCOLES DE SÉCURITÉ Non interférence forte non déterministe par bisimulation Interférence admissible non déterministe par bisimulation Méthode de preuve par décomposition Dénissabilité de BNAI dans le µ-calcul µ-calcul modal Procédure de décision pour le µ-calcul BNAI n'est pas dénissable dans le µ-calcul Discussion CHAPITRE 6 : PROPRIÉTÉS DES PROTOCOLES DE SÉCURITÉ Condentialité Actions condentielles Actions de déclassication Propriété de condentialité Authentication Actions critiques et attaques admissibles

8 ix Propriété d'authentication Déni de service Formalisation des attaques de DoS Fonction de coût Impassibilité Spécication symbolique des propriétés de sécurité Discussion CHAPITRE 7 :CONCLUSION Principales contributions de la thèse Comparaisons avec les travaux voisins Nouvelles voies de recherche BIBLIOGRAPHIE ANNEXE A : EXEMPLES D'ANALYSES DE PROTOCOLES DE SÉCURITÉ A.1 Mise en oeuvre des méthodes A.2 Protocole Wide Mouthed Frog A.2.1 Spécication du protocole Wide Mouthed Frog A.2.2 Spécication de l'attaque sur le protocole Wide Mouthed Frog184 A.3 Protocole de Woo-Lam A.3.1 Spécication du protocole de Woo-Lam A.3.2 Spécication de l'attaque sur le protocole de Woo-Lam A.3.3 Attaques admissibles A.3.4 Analyse de ot d'information du protocole de Woo-Lam A.4 Protocole de Needham-Schröder A.4.1 Spécication de l'attaque sur le protocole de Needham-Schröder A.4.2 Analyse de ot d'information du protocole de Needham-Schröder

9 A.5 Transmission Control Protocol A.5.1 Spécication du protocole TCP A.5.2 Spécication de l'attaque de SYN ooding A.6 Protocole de paiement électronique sécuritaire 1KP A.6.1 Spécication du protocole 1KP A.6.2 Attaque de déni de service sur le protocole 1KP

10 LISTE DES FIGURES 3.1 Syntaxe abstraite de SPPA Sémantique opérationnelle des processus SPPA Sémantique opérationnelle des processus SPPA Sémantique du processus A B Processus observés Illustration de la O-simulation et la O-bisimulation Sémantique des processus contraints Sémantique des processus contraints Sémantique symbolique de A, Sémantique symbolique de B, M(y 1 ) Sémantique symbolique de A, 1 et B, Sémantique symbolique de P, Sémantique symbolique de A, K(x) et P, K(x) Sémantique symbolique de A, 1 et B, Bisimulation symbolique de A, 1 et B, Illustration de l'interférence Sémantique des processus P \ K, P/O L et (P \ K)/O L Sémantique du processus (Q \ K)/O L Sémantique du processus P Sémantique du processus P \ Γ Sémantique du processus P \ (Γ K) La sémantique des processus P et P Syntaxe étendue des actions SPPA A.1 Spécication des participants du protocole 1KP

11 xii LISTE DES NOTATIONS ET DES SYMBOLES Propriétés de sécurité. Non interférence forte non déterministe par bisimulation BSNNI Interférence admissible non déterministe par bisimulation BNAI Condentialité Authentication Impassibilité Protocoles. Protocole Wide Mouthed Frog Protocole de Woo-Lam Protocole de Needham-Schröder Protocole TCP/IP Protocole de 1KP Messages et fontions. I Ensemble des identicateurs de participants V Ensemble des variables N Ensemble des nombres T Ensemble des termes M Ensemble des messages K Ensemble des clés de cryptage fv(t) Ensemble des variables du terme t {a} k Message chiré [a] k Message signé h(a) Message haché ϱ Évaluation F Ensemble des fonctions dom(f) Domaine de la fonction f im(new) Image de la fonction génératrice new

12 Processus SPPA. C Ensemble des canaux publics S Agent SPPA Agent nul c(t).s Agent à préxe de sortie c(x).s Agent à préxe d'entrée let x = f(t) in S Appel de fonction let (x, y) = t in S Extraction de couple case t of {x} t in S Décryptage case t of [t ] t in S Vérication de signature [t = t ] S Comparaison S + S Somme d'agents S S Produit parallèle d'agents S \ L Restriction d'un agent S/O Observation d'un agent fv(s) Ensemble des variables de l'agent S A = (S A, id A ) Participant P Processus SPPA A P Protocole P \L Restriction d'un processus P/O Observation d'un processus D(P ) Ensemble des dérivées de P P P γ P Calcul γ = P Calcul visible xiii

13 Actions SPPA. c id (a) Action de sortie c id (a) Action de entrée split id Action d'extraction f id Action d'appel de fonction dec id Action de décryptage signv id Action de vérication de signature fail f id Action d'échec de fonction fail dec id Action d'échec de décryptage fail signv id Action d'échec de vérication de signature fail = id Action d'échec d'une comparaison δ(a) Action de marquage τ Action interne Act Ensemble des actions Act A Ensemble des actions du participant A V is Ensemble des actions visibles O Critère d'observation O L Critère d'observation par rapport à l'ensemble L Relations d'équivalence. Relation de simulation Équivalence de bisimulation faible Relation de simulation faible faible Équivalence de bisimulation faible O Relation de O-simulation O Équivalence de O-bisimulation xiv

14 Logique de messages. M(t) Prédicat de messages N (t) Prédicat de nombres I(t) Prédicat d'identicateurs K(t) Prédicat de clés t == t Équation de termes fv(φ) Ensemble des variables libres de la formule φ = φ Satisfaction de la formule φ ϱ(φ) Évaluation de la formule φ ϱ = φ Satisfaction de φ par ϱ Équivalence logique φ f Formule caractéristique V V-Équivalentes [φ] V Classe d'équivalence de φ Relations sur les variables. R Famille des relations entre variables R[x] Soustraction sur la relation R R[(x, y)] Substitution sur la relation R E1 E 2 Équivalence d'évaluations par rapport à E 1 et E [ϱ] E1 E 2 Classe d'équivalence de l'évaluation ϱ xv

15 Processus contraints. P, φ Processus contraint D( P, φ ) Ensemble des dérivées de P, φ (k) y i φ[y (k) Abréviation i ] Abréviation Γ k Transformation de formules α Action de Type I β Action de Type II Équivalence de bisimualtion s Équivalence de bisimulation symbolique µ-calcul modal. ϕ Formule du µ-calcul modal L ϕ Quanticateur existentiel de transition [L] ϕ Quanticateur universel de transition µx.f (X) Plus petit point xe νx.f (X) Plus grand point xe Condentialité. b a Message b contient message a α a Action α contient message a Act(a) Ensemble des actions contenant le message a M secret Ensemble des messages condentiels Act secret Ensemble des actions condentielles O secret Critère d'observation des actions condentielles Γ Ensemble des actions de déclassication Authentication. Act auth Ensemble des actions critiques O auth Critère d'observation des actions critiques Γ Ensemble des attaques admissibles xvi

16 Déni de service. C cpu Ensemble de coût CPU C mem Ensemble de coût mémoire ρ cpu Fonction de coût CPU ρ mem Fonction de coût mémoire CPU B Capacité CPU de B MEM B Capacité mémoire de B Actcoûteux Ensemble des actions coûteuses CPU E Capacité CPU de l'intrus MEM E Capacité mémoire de l'intrus xvii

17 CHAPITRE 1 INTRODUCTION 1.1 Motivations L'émergence des nouvelles technologies en informatique et en télécommunication ont engendré un urgent besoin de méthodes et d'outils de vérication. Ceux-ci ont pour but de s'assurer que les protocoles utilisés lors de communications électroniques soient susamment sécuritaires malgré le fait que des échanges d'information sont eectuées sur des canaux publics tel l'internet, donc propices à être interceptés par quiconque. L'élaboration et la validation de politiques de sécurité strictes qui établissent une réglementation sur la conception des protocoles utilisés à ces ns est donc devenue un enjeu majeur qui a capté l'intérêt d'une multitude de chercheurs en informatique. La validation de protocoles de sécurité est une tâche qui requiert typiquement le développement de méthodes formelles permettant la détection de toute attaque possible sur un protocole donné. Il n'y a pas si longtemps, ces protocoles étaient considérés sécuritaires simplement si personne n'y avait trouvé de faille. Ainsi, certains protocoles furent utilisés pendant plusieurs années avant d'être prouvés non sécuritaires. 1.2 Protocoles de sécurité Il est possible de classer les diérents types de protocoles de sécurité selon les services qu'ils orent. Par exemple, les protocoles cryptographiques sont caractérisés par l'utilisation du cryptage de données an d'assurer la condentialité de certaines données échangées entre les usagers, communément appelés participants. Les services oerts par ces protocoles incluent, notamment, l'authentication des participants et l'échanges de clés et de messages condentiels, ainsi que la création

18 2 de connexions ables pour les ots de données. Par exemple, un protocole d'authentication ore un service d'authentication entre deux participants par l'entremise d'une certaine procédure d'authentication. Selon l'international Organization for Standardization (ISO) [62], l'objectif général d'un protocole d'authentication est de permettre la vérication de l'identité prétendue d'une entité par une autre entité, et l'authenticité de l'entité est uniquement garantie que pour l'instant suivant l'échange d'authentication. L'authentication est donc la pierre angulaire de la sécurité des protocoles de sécurité. Nous nous intéressons également aux protocoles de commerce électronique qui orent des services reliés, plus spéciquement, aux transactions électroniques via l'internet. Parmi ces services, il y a, entre autres, le paiement par carte de crédit et l'émission de reçu. An d'assurer la condentialité et l'authenticité des messages échangés, les protocoles de sécurité nécessitent régulièrement l'utilisation de stratégies de cryptage, de signature et de hachage. Cependant, malgré l'hypothèse de cryptage parfait (c'est-à-dire un intrus ne peut décrypter un message que s'il possède la clé correspondante), les protocoles de sécurité peuvent tout de même contenir des failles au niveau de leur conception, ce qui les rend vulnérables à des attaques perpétrées par des intrus ayant accès aux réseaux publics sur lesquels les données sont échangés Protocole de Needham-Schröder Un protocole est généralement déni suivant une notation à la Alice et Bob, c'est-à-dire par une suite de messages échangés entre deux ou plusieurs participants. Un exemple classique est celui du protocole d'authentication à clé publique de Needham & Schröder [84]. Ce protocole cryptographique utilise le cryptage à clé publique dans le but d'établir une authentication mutuelle entre deux participants (désignés par A et B). An de compléter la procédure d'authentication, ce protocole exige que chaque participant possède la clé publique de son homologue. Ces

19 clés publiques sont respectivement désignées par k A et k B. La spécication Alice et Bob du protocole de Needham-Schröder est donnée par les étapes suivantes : 3 Message 1 : A id A,id B,{n A,id A } kb B Message 2 : B id B,id A,{n A,n B } ka Message 3 : A A id A,id B,{n B } kb B. À la première étape du protocole (Message 1), A envoie à B son identicateur (id A ) et celui de B (id B ), en compagnie d'un nonce fraîchement généré (n A ) et son identicateur tous deux chirés à partir de la clé publique de B (k B ). La notation {n A, id A } kb représente le résultat de ce cryptage. Notons aussi qu'un nonce désigne un nombre aléatoire. Suite à la réception de cette demande d'authentication, le participant B décrypte le message obtenu et obtient le nonce généré par A. Après vérication que l'identicateur id A à l'intérieur du message chiré correspond bien à celui non chiré, B répond à l'invitation de A en lui retournant le message composé de son identicateur, l'identicateur de A, et le nonce de A et un nouveau nonce (n B ) chirés ensemble en utilisant la clé publique de A. Entre la deuxième et la troisième étape du protocole, le participant A doit s'assurer que le nonce chiré reçu de B correspond bien à celui qu'il a initialement généré. Cette vérication permet à A de s'assurer de l'authenticité de B. Dans l'éventualité d'un succès, A envoie à B le troisième message qui est composé des deux identicateurs ainsi que le nonce de B chiré avec sa clé publique. Après avoir reçu ce dernier message, le participant B peut authentier le participant A en vériant si le nonce fraîchement reçu correspond à celui qu'il a généré plus tôt. Bien que le protocole de Needham-Schröder semble sécuritaire au premier coup d'oeil, il en est tout autrement. En eet, Lowe [73] a découvert une faille dans ce protocole pouvant mené à une attaque de type man-in-the-middle. L'aspect le plus inquiétant à propos de cette attaque, c'est qu'elle fut découverte environ vingt années après l'introduction du protocole... Cette fameuse attaque est seulement réalisable lorsque le participant A initie le protocole d'authentication avec un participant malveillant E (souvent appelé intrus ou participant ennemi). Dans

20 ce cas, un tel participant malhonnête E peut utiliser l'information obtenue de A an d'initier une attaque d'authentication avec un tiers participant B, dans laquelle E convainc B qu'il est A. Cette mascarade est réalisable à partir de deux exécutions parallèles du protocole de Needham-Schröder dans lesquels l'intrus E joue un rôle central. Cette attaque est spéciée dans la notation Alice et Bob de la façon suivante : Étape 1 : A id A,id E,{n A,id A } ke E (A initie le protocole avec E); Étape 2 : E id A,id B,{n A,id A } kb B (E initie le protocole avec B) en utilisant l'identité de A); Étape 3 : B id B,id A,{n A,n B } ka E (E intercepte la réponse de B); Étape 4 : E id E,id A,{n A,n B } ka A (E transfert la réponse de B vers A); 4 Étape 5 : Étape 6 : A E id A,id E,{n B } ke E (A répond à E); id A,id B,{n B } kb B (E transfert la réponse de A vers B). 1.3 Attaques et propriétés de sécurité La nature des attaques sur un protocole spécique dépend essentiellement des services oerts par celui-ci. Du coup, les propriétés de sécurité que nous imposons à un protocole, an de s'assurer qu'il est sécuritaire, dépendent de ses objectifs. Dans ce qui suit, nous exposons brièvement certaines de ces propriétés de sécurité Condentialité Lors d'une attaque sur un protocole d'échange d'information, un intrus tente de récolter des renseignements à propos du contenu d'un message secret qui ne lui est pas destiné. La condentialité réfère à la propriété de sécurité qui s'assure que toute donnée condentielle échangée demeure toujours secrète. De toute évidence, le cryptage des messages résout une grande partie des préoccupations de condentialité, pour autant que l'algorithme de cryptage utilisé soit susamment sécuritaire. Cependant, certaines divulgations de données secrètes peuvent persister. Par exemple, un intrus pourrait exploiter une faille du protocole dans le but

21 5 d'obtenir les clés privées requises. Si un intrus parvient à lire le contenu intégral d'un message secret, alors il y a clairement violation de la condentialité. Par contre, devons-nous considérer comme non sécuritaire un protocole qui divulgue seulement une inme partie d'un message secret (par exemple le premier bit d'un numéro de carte de crédit), ou qui divulgue simplement l'existence d'un message secret? Dans le cadre de cette thèse, nous considérons toute divulgation d'information concernant un message secret comme un non respect de la condentialité ; ceci inclut toute information, directe ou indirecte, obtenue par l'étude des ots d'information du protocole. Un système informatique qui est fondé sur une architecture à plusieurs niveaux de sécurité doit inévitablement établir et faire respecter une hiérarchie de condentialité entre les usagers et les objets. Dans le cas le plus simple où il n'y a que deux niveaux, communément désignés par haut (privé) et bas (public), nous souhaitons interdire aux usagers et aux programmes du bas niveau d'accéder aux données du haut niveau. Dans ce type d'architecture, le non respect de la condentialité est généralement illustré par des usagers (ou programmes) de bas niveaux du système qui tentent d'obtenir l'accès à de l'information condentielle en interagissant simplement avec le système et les autres usagers et en eectuant certaines déductions. D'autre part, une attaque pourrait également provenir d'un usager ou d'un programme du haut niveau qui tente de divulguer des informations condentielles, auxquelles il a accès, à un complice du bas niveau. Un tel usager ou programme malhonnête du haut niveau est communément appelé Cheval de Troie (Toyan Horse). Un Cheval de Troie qui a directement accès à des données condentielles pourrait exploiter certaines failles du système an de convoyer des informations secrètes vers une destination de bas niveau. Les règles d'accès MAC (Mandatory Access Control) furent introduites an d'imposer une politique de respect de la condentialité dans un système composé de plusieurs niveaux de sécurité. Ces règles d'accès empêchent les usagers de lire des objets de plus haut niveau et d'écrire sur des objets de plus bas niveau (no read up, no write down). Cependant, ces règles s'avèrent insusantes an de s'assurer que le système soit totalement condentiel.

22 6 En eet, un Cheval de Troie pourrait divulguer de l'information condentielle tout en respectant les règles MAC. Par exemple, considérons un système composé de deux niveaux de sécurité qui partagent une ressource d'entreposage nie (e.g. un disque dur). Il est alors possible de transmettre de l'information du haut niveau vers le bas niveau de la façon suivante : Un Cheval de Troie (du haut niveau) rempli et vide alternativement l'espace d'entreposage que nous supposons aussi de haut niveau. Au même moment, son complice du bas niveau essaye d'écrire sur ce même espace, en décodant chaque échec (c'est-à-dire disque plein) comme un 0 et chaque écriture réussie comme un 1. Cet exemple de canal clandestin binaire permet la transmission d'information condentielles sans jamais enfreindre les règles d'accès MAC. Nous sommes donc d'avis que l'élaboration d'une propriété de condentialité devrait prendre en compte les capacités qu'ont les usagers de bas niveau, plus spéciquement les intrus, à déduire certaines informations à l'aide de leurs propres observations du système ou du protocole. Comme nous l'avons constaté plus haut, la simple existence d'une corrélation entre des données condentielles et un comportement observable par un intrus est propice à une divulgation d'information. Cependant, certaines de ces corrélations sont à la fois inévitables et acceptables. Par exemple, considérons un protocole cryptographique dans lequel un participant envoie un message chiré sur un canal public. Cette situation engendre une déclassication du message puisque que la simple observation du message chiré sur le canal public permet à l'intrus d'en déduire son existence, sans pour autant en connaître son contenu. Nous sommes d'avis qu'une propriété de condentialité adéquate doit détecter tout ot d'information allant d'un niveau privé vers un niveau public, à moins que cette déclassication soit accomplie par l'entremise d'un canal spécialement conçu à cet eet.