Réseaux de communication anonyme

Documents pareils
Cryptographie et fonctions à sens unique

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Outline. Comment rester anonyme? Comment cacher son adresse. Motivations. Emmanuel Benoist. Chargé de cours Université de Lausanne.

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Panorama de la cryptographie des courbes elliptiques

Petite introduction aux protocoles cryptographiques. Master d informatique M2

Sécurité des réseaux IPSec

Fonction de hachage et signatures électroniques

Authentification de messages et mots de passe

IPSEC : PRÉSENTATION TECHNIQUE

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Economie de l Incertain et des Incitations


Cryptographie Quantique

Sécurisation du réseau

Cryptologie et physique quantique : Espoirs et menaces. Objectifs 2. distribué sous licence creative common détails sur

Sauvegarde collaborative entre pairs Ludovic Courtès LAAS-CNRS

Chapitre 11 : Le Multicast sur IP

Cryptographie RSA. Introduction Opérations Attaques. Cryptographie RSA NGUYEN Tuong Lan - LIU Yi 1

Réseaux IUP2 / 2005 IPv6

Réseaux grande distance

MATH ELEMENTS DU CALCUL DES PROBABILITES

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

Ebauche Rapport finale

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Sécurité et sûreté des systèmes embarqués et mobiles

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

Signature électronique. Romain Kolb 31/10/2008

Accédez au test ici

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Réseaux Locaux. Objectif du module. Plan du Cours #3. Réseaux Informatiques. Acquérir un... Réseaux Informatiques. Savoir.

ÉPREUVE COMMUNE DE TIPE Partie D

Présentation du modèle OSI(Open Systems Interconnection)

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Enfin une messagerie dont l utilisateur n est pas le «produit»!

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Cours n 12. Technologies WAN 2nd partie

Exo7. Calculs de déterminants. Fiche corrigée par Arnaud Bodin. Exercice 1 Calculer les déterminants des matrices suivantes : Exercice 2.

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Calculateur quantique: factorisation des entiers

Baccalauréat ES Polynésie (spécialité) 10 septembre 2014 Corrigé

Qu est-ce qu une probabilité?

Cryptographie. Master de cryptographie Architectures PKI. 23 mars Université Rennes 1

Réseaux. 1 Généralités. E. Jeandel


Network musical jammin

TCP/IP, NAT/PAT et Firewall

module Introduction aux réseaux DHCP et codage Polytech / 5

Fax sur IP. Panorama

Configuration des routes statiques, routes flottantes et leur distribution.

Théorie et Codage de l Information (IF01) exercices Paul Honeine Université de technologie de Troyes France

DOCM Solutions officielles = n 2 10.

Des solutions visionnaires conçues pour s adapter à votre activité

Sécurité et Firewall

CONTENU MISE EN PLACE. 1. Placez le plateau de jeu au centre de la table.

Les données (voix, vidéo, etc.) sont échangées à l aide du protocole RTP (Real-time Transport Protocol).

L ordinateur quantique

Administration des ressources informatiques

Pascal Gachet Travail de diplôme Déploiement de solutions VPN : PKI Etude de cas

VIII- Circuits séquentiels. Mémoires

Computer Networking: A Top Down Approach Featuring the Internet, 2 nd edition. Jim Kurose, Keith Ross Addison-Wesley, July ENPC.

Processus d Informatisation

ETES-VOUS PRET.ES A ALLER MIEUX?

Un concept multi-centre de données traditionnel basé sur le DNS

Les réseaux ad hoc : problèmes de sécurité et solutions potentielles

Le protocole SSH (Secure Shell)

Le Multicast. A Guyancourt le

Pourquoi l apprentissage?

Introduction aux Technologies de l Internet

Cryptologie à clé publique

Poker. A rendre pour le 25 avril

Protection pour site web Sucuri d HostPapa

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Sécurité des réseaux sans fil

Programmation de services en téléphonie sur IP

Algorithmique répartie

Cisco Certified Network Associate

Conditions générales d affaires (CGA) Portail clients SanitasNet

La sécurité dans les grilles

Protection de la vie privée : Principes et technologies

Poste 4 le montage. Le montage

TP 2 Réseaux. Adresses IP, routage et sous-réseaux

Mécanismes de configuration automatique d une interface réseau, aspects sécurité

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

Votre Réseau est-il prêt?

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

L exclusion mutuelle distribuée

L utilisation d un réseau de neurones pour optimiser la gestion d un firewall

Algèbre binaire et Circuits logiques ( )

Les risques liés à la signature numérique. Pascal Seeger Expert en cybercriminalité

Qualité du service et VoiP:

LA VoIP LES PRINCIPES

Réseau Global MIDI Note applicative

Feuille d exercices 2 : Espaces probabilisés

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

La maison Ecole d ' Amortissement d un emprunt Classe de terminale ES. Ce qui est demandé. Les étapes du travail

Transcription:

Sébastien Gambs Protection de la vie privée : cours 2 1 Réseaux de communication anonyme Sébastien Gambs sgambs@irisa.fr 20 novembre 2015

Sébastien Gambs Protection de la vie privée : cours 2 2 Introduction

Sébastien Gambs Protection de la vie privée : cours 2 3 Introduction

Défi principal : réussir à créer un tel réseau au dessus d un réseau qui est au départ non-anonyme. Sébastien Gambs Protection de la vie privée : cours 2 4 Réseau de communication anonyme Modèle : chaque noeud dans le réseau est un individu qui peut potentiellement être l envoyeur ou le receveur d un message. Exemple : chaque ordinateur connecté à Internet est un noeud de ce réseau possédant un identifiant unique (l adresse IP). Réseau de communication anonyme : technologie de protection de la vie privée (PET) permettant de communiquer de manière anonyme dans un réseau, c est à dire en protégeant l identité de l envoyeur et/ou du receveur du message.

Propriétés d anonymat Anonymat de l envoyeur et/ou du receveur d un message : cacher l identité de l envoyeur et/ou du receveur d un message parmi un groupe (ou l ensemble de la population). Exemples de mesure d anonymat : taille du groupe d anonymat dans lequel l individu est caché. incertitude moyenne sur qui est l auteur d un message mesuré par une métrique du type entropie. Non-chaînabilité : être incapable de relier deux messages à la même identité. Remarque : peut concerner deux messages successifs du même individu ou le même message aperçu à deux endroits. Non-observabilité : ne pas pouvoir détecter si un message est en train de circuler ou non. Remarque: non-observabilité non-chaînabilité anonymité Sébastien Gambs Protection de la vie privée : cours 2 5

Modèles d adversaire Honnête-mais-curieux (ou adversaire passif) : L adversaire contrôle un ou plusieurs noeuds dans le réseau. Ces noeuds suivent les règles du protocole (pas de triche active) mais enregistrent tous les messages qu ils voient. Un protocole est sécuritaire dans ce modèle si un noeud (ou une collusion de noeuds) ne peut pas briser une des propriétés d anonymat malgré les informations enregistrées. Malveillant (ou adversaire actif) : Les noeuds corrompus par l adversaire peuvent tricher activement en ne suivant pas exactement les règles du protocole. But possible : apprendre l entrée des participants honnêtes, biaiser la sortie du protocole ou simplement le faire avorter. Espion (local ou global) : ne contrôle aucun noeud du réseau mais à la capacité d écouter certains liens de communication. Sébastien Gambs Protection de la vie privée : cours 2 6

Sébastien Gambs Protection de la vie privée : cours 2 7 Types de sécurité Sécurité calculatoire : Repose sur l impossibilité pour un adversaire de briser une hypothèse cryptographique en un temps raisonnable pour lui. Exemples : difficulté de factoriser le produit de deux grands nombres premiers, logarithme discret. Si l adversaire possèdait une puissance de calcul illimitée, il peut briser cette hypothèse par une recherche exhaustive. Sécurité au sens de la théorie de l information : Pas d hypothèse cryptographique mais plutôt l impossibilité pour un adversaire de corréler les observations qu il perçoit avec une entrée spécifique. Plusieurs hypothèses sont possibles et l adversaire ne dispose d aucune information pour distinguer laquelle est vraie. Meilleure stratégie pour l adversaire : deviner une possibilité en choisissant aléatoirement.

Sébastien Gambs Protection de la vie privée : cours 2 8

Sébastien Gambs Protection de la vie privée : cours 2 9 Problème du dîner des cryptographes Problème introduit par Chaum en 1988. Trois cryptographes (Alice, Bob et Charlie) sont assis autour d une table ronde à l occasion d un dîner. Le serveur les informe que quelqu un a payé l addition du repas. Promesse : 1. soit c est un (et un seul) des cryptographes qui a payé (mais il ne souhaite pas le révéler publiquement par modestie), 2. soit c est la NSA. Problème : comment les cryptographes peuvent-ils décider de manière anonyme quelle possibilité est vraie? Peut être vu comme une implémentation d un canal de diffusion (broadcast) anonyme.

Sébastien Gambs Protection de la vie privée : cours 2 10 Modèle Chaque cryptographe est un noeud dans un réseau circulaire (en anneau). L entrée de chaque cryptographe est un bit (respectivement a, b et c) qui vaut : 1 si le cryptographe correspondant à ce bit a payé l addition et 0 sinon. De part la promesse, on a : 1. soit a b c = 1 (si c est un des cryptographes qui a réglé l addition), 2. soit a b c = 0 (si c est la NSA qui a payé). But du protocole : calculer le OU-exclusif (XOR) de tous les bits d entrée de manière anonyme. Modèle d adversaire : honnête-mais-curieux.

Protocole du dîner des cryptographes (DC-net) Première phase : Chaque participant génère un bit secret aléatoire avec chacun de ses voisins (par exemple en tirant à pile-ou-face). Soit r AB,r AC et r BC, les bits secrets aléatoires. Exemple : r AB est un bit secret connu seulement de Alice et Bob. Deuxième phase : Chaque participant annonce publiquement un bit qui est le ou-exclusif de son bit d entrée (a, b ou c) et des bits secrets qu il connait. Exemple : Alice annonce publiquement un bit qui est égal à a r AB r AC. Sortie du protocole : calculée en faisant le ou-exclusif de tous les bits publiques annoncés. Sébastien Gambs Protection de la vie privée : cours 2 11

Sébastien Gambs Protection de la vie privée : cours 2 12 Illustration du DC-net

Analyse de la sortie Si on suppose qu il n y pas de collision possible alors la sortie du protocole est : 1 si un des cryptographes a payé, 0 sinon c est la NSA. Preuve : La sortie du protocole est (a r AB r AC ) (b r AB r BC ) (c r AC r BC ), soit a b c r AB r AB r AC r AC r AB r BC r BC qui se simplifie en a b c. Or a b c = 1 si un des cryptographes a payé et 0 sinon. Sébastien Gambs Protection de la vie privée : cours 2 13

Sébastien Gambs Protection de la vie privée : cours 2 14 Anonymat Si on suppose que l adversaire contrôle au maximum un joueur alors celui-ci ne peut rien apprendre sur l entrée des participants ou sur l identité de l éventuel cryptographe qui a réglé la note. Preuve : chaque cryptographe anonce publiquement une valeur qui est le ou-exclusif de son entrée plus plusieurs bits aléatoires dont au moins un est inconnu de l adversaire la vue de l adversaire est constitué de bits randomisés sécurité au sens de la théorie de l information Remarque : le protocole peut être facilement généralisé à n participants. Attaque des voisins : si un noeud est entouré de 2 noeuds en collusion ceux-ci peuvent apprendre son bit d entrée.

Sébastien Gambs Protection de la vie privée : cours 2 15 Limitations du DC-net original Collision : si deux cryptographes (ou un nombre pair) payent chacun le dîner leur bits vont s annuler et la sortie du protocole sera 0. Nécessité d avoir un mécanisme pour gérer les collisions. Perturbation : si un des participants sait à priori qu un autre participant a payé il peut néanmoins perturber le protocole en mettant 1 comme bit d entrée. Même effet qu une collision. Solution possible : Dissent est un réseau de communication anonyme actuellement en développement basé sur le DC-net mais qui essaye d éliminer ses faiblesses.

Sébastien Gambs Protection de la vie privée : cours 2 16

Sébastien Gambs Protection de la vie privée : cours 2 17 Mix Concept introduit par Chaum en 1981 pour empêcher l analyse de trafic. Modèle d adversaire : espion observant les communications échangés. Mix : routeur qui cache le lien entre les messages entrants et sortants par un mécanisme de chiffrement et de permutation des messages. Exemple d application : service de courriel anonyme (Mixmaster).

Fonctionnement d un Mix simple 1. Reçoit en entrée plusieurs paires du type (message, adresse du destinataire) qui ont été préalablement chiffrées. 2. Déchiffre les messages. 3. Envoie en sortie les messages à leurs destinataires correspondants (possiblement chiffrés). Sébastien Gambs Protection de la vie privée : cours 2 18

Sébastien Gambs Protection de la vie privée : cours 2 19 Non-chaînabilité Non-chaînabilité : impossibilité pour l adversaire de faire le lien entre les messages entrants et sortants (sauf s il contrôle le mix lui-même). Possibilité de combiner plusieurs mixs à la suite pour compliquer la tâche de l adversaire. Exemple de deux mixs : Le premier mix peut identifier une communication entre l envoyeur du message et le second Mix, le second mix peut identifier une communication entre le premier Mix et le receveur, mais aucun des deux mixs ne peut établir de lien entre l envoyeur et le receveur (sauf collaboration).

Sébastien Gambs Protection de la vie privée : cours 2 20 Cascade de mixs Cascade de mixs : enchaînement successif de plusieurs mixs.

Sébastien Gambs Protection de la vie privée : cours 2 21

Sébastien Gambs Protection de la vie privée : cours 2 22 (The Onion Router) : réseau mondial de communication anonyme organisé en couche autour de routeurs (environ 2500 à l heure actuelle) qui jouent le rôle de noeud. Permet d anonymiser tout type de communication fait sur Internet. Exemples : sites webs visités, messagerie instantanée, courriel. Logiciel libre et l utilisation du réseau est gratuit. Implémente un routage de type oignon (seconde génération) pour garantir l anonymité.

Sébastien Gambs Protection de la vie privée : cours 2 23 Statistiques d utilisation de

Sébastien Gambs Protection de la vie privée : cours 2 24 Principe du routage de type oignon Le message qui doit être envoyé est chiffré de manière successive par couche. Chaque couche est chiffré avec la clé publique d un routeur oignon présent sur le chemin emprunté par le message (le chemin est décidé a priori par l envoyeur). Lorsqu un routeur oignon reçoit un message, il épluche la couche courante en la déchiffrant avec sa clé secrète. Ceci révèle les instructions de routage pour savoir à quel prochain routeur oignon envoyé le message résultant. Garantie : protège l anonymat de l envoyeur et de receveur du message, ainsi que son contenu.

Hypothèse : l utilisateur connaît la liste des routeurs oignons et de leurs positions dans le réseau. L utilisateur choisit un chemin aléatoire dans le réseau le reliant au noeud avec qui il souhaite communiquer. L utilisateur construit ensuite un circuit correspondant à ce chemin tel que dans le circuit chaque noeud connaît seulement l identité de son successeur et de son prédecesseur. Il est possible d associer un identifiant unique et aléatoire (pseudonyme) au circuit pour être capable de chaîner différents messages envoyés. Amélioration de l efficacité : lors de la construction on peut distribuer des clés secrètes (symmétriques) aux noeuds sur le chemin en les chiffrant avec leurs clés publiques pour sécuriser les liens. Sébastien Gambs Protection de la vie privée : cours 2 25 Construction d un chemin de routage

Sébastien Gambs Protection de la vie privée : cours 2 26 Illustration de la construction du chemin de routage

Sébastien Gambs Protection de la vie privée : cours 2 27 Chiffrement et déchiffrement d un message Soit un circuit composé de n noeuds. Chiffrement d un message : 1. L utilisateur chiffre le message une première fois avec la clé publique du noeud n. 2. Le résultat est chiffré une deuxième fois avec la clé publique du noeud n 1.... N. La dernière fois, le résultat des chiffrements précédents est chiffré avec la clé du noeud 1 sur le chemin. Déchiffrement d un message : 1. Le noeud 1 déchiffre la première couche et l envoie au noeud 2. 2. Le noeud 2 pèle la deuxième couche et l envoie au noeud 3.... N. Le dernier noeud déchiffre le dernier message avec sa clé et récupère le message original.

Sébastien Gambs Protection de la vie privée : cours 2 28 Exemple d oignon

Sébastien Gambs Protection de la vie privée : cours 2 29 Anonymat Remarque : seul le premier noeud connaît l adresse IP de l envoyeur du message. Garantie d anonymat : pour briser l anonymat de l envoyeur et du receveur d un message, l adversaire doit contrôler tous les noeuds sur le chemin. Chemin long faible probabilité que tous les noeuds du chemin soit corrompus anonymat plus fort Question ouverte : comment implémenteriez vous la propriété de non-observabilité dans un tel réseau?

Sébastien Gambs Protection de la vie privée : cours 2 30 Attaque basée sur le timing Attaque basée sur le timing : un espion qui peut écouter les liens de communication sur les points entrants et sortant d un réseau peut essayer de d utiliser le timing d arrivée des paquets échangés pour essayer de chaîner des entrées et sorties. Contre-mesure possible : introduction de faux paquets.

Supposons un adversaire capable d écouter un lien de communication traversé par un chemin sur un réseau de communication anonyme. Attaque par empreinte de site web : l adversaire peut essayer de déduire quel site web est visité en regardant la taille des paquets qui passent et l intervalle de temps entre les paquets. Exemple : un site web contenant de nombreuses images haute résolution aura une signature différente d un site contenant uniquement du texte. Permet d attaquer non pas directement la propriété d anonymat mais plutôt de révéler le contenu du message (le site web visité) révèle les intérêts de la personne qui consulte le site web (et donc indirectement son identité) Sébastien Gambs Protection de la vie privée : cours 2 31 Empreinte de site web

Sébastien Gambs Protection de la vie privée : cours 2 32 protège l anonymat mais pas la confidentialité...

Services cachés permet à un utilisateur de mettre sur pied un service caché. Exemple : site web dont on cache l identité du serveur qui l héberge et qui permet à un utilisateur de s y connecter de manière anonyme. L utilisateur doit d abord configurer son serveur localement puis le réseau peut être utilisé pour pointer de manière anonyme sur ce serveur (adresse.onion). Permet de mettre sur point des services de rendez-vous anonyme (du type canal bidirectionnel anonyme à la RouletteChat). Défaut : long délai de connexion. Sébastien Gambs Protection de la vie privée : cours 2 33

Sébastien Gambs Protection de la vie privée : cours 2 34

Système particulièrement adapté pour les réseaux du type pair-à-pair. Sébastien Gambs Protection de la vie privée : cours 2 35 : protocole de communication anonyme qui protège l anonymat de l envoyeur d un message en le routant de manière aléatoire vers des groupes d utilisateurs similaires. Idée principale : cacher l origine d un message en le faisant se fondre dans la foule.

Sébastien Gambs Protection de la vie privée : cours 2 36 Fonctionnement de Initialisation : chaque nouvel utilisateur s enregistre en tant que membre d un groupe (appelé Crowd ) en contactant le responsable du groupe. Quand un utilisateur rejoint un groupe, tous les membres du groupe en sont notifiés. Le responsable du groupe est aussi chargé de la distribution des clés symmétriques assurant la confidentialité entre paires de noeuds.

Sébastien Gambs Protection de la vie privée : cours 2 37 Algorithme de transmission 1. Lors de la réception d un message m destiné au noeud P, le noeud courant tire à pile-ou-face avec une pièce avec un biais p f > 1 2. 2. Si le résultat est : face alors il choisit un noeud uniformément au hasard parmi le groupe et faire suivre le message m (avec le noeud destination P). pile alors il envoie directement le message m au noeud P. 3. (Optionnel) enregistrer P dans le cas où un tunnel sera construit.

Sébastien Gambs Protection de la vie privée : cours 2 38 Innocence probable Innocence probable : l adversaire est incapable de prédire avec plus de 50% de confiance, le noeud qui est l initiateur d un message. Chaque noeud apparaît comme ayant pu ou non être l envoyeur d un message (et donc il est probablement innocent). Anonymat : dépend de la taille du groupe ( crowd ) et de la probabilité p f. Plus la probabilité p f est grande, plus l anonymat de l envoyeur est protégé mais aussi plus la longueur moyen du chemin généré sera longue. Compromis possible entre le niveau d anonymat désiré et le temps de transmission.

Sébastien Gambs Protection de la vie privée : cours 2 39 C est la fin! Merci pour votre attention. Questions?

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back