Vous êtes sur la page 1sur 69

Les protocoles de scurit

Yohan Boichut, Cours Scurit Master

Un rsum rapide ct crypto

Soient :

M, M1, et M2 des messages K une cl A et B des agents

On note :

M1.M2 : le message constitu de M1 et M2 {M}K : M est chiffr par avec la cl K A -> B : M : A envoie le message M B I(A) -> B : M : I envoie le message M B en se faisant passer pour A
Yohan Boichut, Cours Scurit Master

Un rsum rapide ct crypto

Chiffrement symtrique :

KAB = KAB-1 Bon rapport Volume donnes chiffrer / Temps de chiffrement Une cl par couple d'acteur KA la cl publique de A, KA-1 la cl prive de A {{M}K}K-1= {{M}K-1}K = M Inutilisable pour le chiffrement de gros volumes de donnes Deux cls par acteur !
Yohan Boichut, Cours Scurit Master

Chiffrement asymtrique

Un rsum rapide ct crypto

Fonctions de hachage (SHA, MD4, MD5...)

|hash(d)| << |d|

Statistiquement,

Pour d1, d2 : hash(d1) != hash(d2) si d1 != d2 hash-1(d) est trs difficile calculer

Yohan Boichut, Cours Scurit Master

Proprits associes la cryptographie

Confidentialit

{numroDeCompte}K

Banque

{recette_fondue_au_morbier}K

YohanSomeone

Authentification / Signature lectronique

yohan.boichut@univ-orleans.fr.{yohan.boichut@univorleans.fr}K-1
Yohan

Cours4.pdf.{hash(Cours4.pdf)}K-1

Yohan

Intgrit : le contenu M d'un message {M} ne peut pas tre


K

modifi sans K
Yohan Boichut, Cours Scurit Master

Proprits associes aux protocoles

Les principales proprits sont :


Secret Authentification d'un message (ou d'une entit) Fracheur (anti-rejeu) Accord non rpudiable Equit Anonymat

Yohan Boichut, Cours Scurit Master

Quelques applications

Communication secrte (SSL de https, SSH, GSM,...) Authentification d'agents (Login, OTP, GSM,...) Signature de contrats lectroniques Paiement par carte puce Paiement en ligne Paiement hors-ligne TV payante Vote lectronique ...

Yohan Boichut, Cours Scurit Master

Quelques dfinitions

Dfinition (Secret) : Un protocole assure le secret d'une donne s si un intrus ne peut pas dduire s Dfinition (Authentification de message) : un protocole permet un agent A d'authentifier un message m s'il peut connatre de faon sre l'metteur de m Dfinition (Authentification d'entit) : Un protocole permet un agent A d'authentifier un agent B si la fin de la session russie, A a la garantie qu'il a bien ralis le protocole avec B Dfinition (Fracheur) : Pendant une session d'un protocole, une donne est frache si l'on peut garantir qu'elle n'a pas t utilise dans une autre session par un des acteurs
Yohan Boichut, Cours Scurit Master

Principes de bases des protocoles

Envoi d'un secret de A B (premier essai) A -> B : {s}K

Si l'on considre un chiffrement parfait, seul B peut lire s

Yohan Boichut, Cours Scurit Master

Principes de bases des protocoles

Envoi d'un secret de A B (premier essai) A -> B : {s}K



B

Si l'on considre un chiffrement parfait, seul B peut lire s Mais de qui vient s ?

Envoi d'un secret de A B (deuxime essai)


A -> B : {s.A}K

Et que fait un intrus dans ces conditions ? Hein ??

Yohan Boichut, Cours Scurit Master

10

Principes de bases des protocoles

Envoi d'un secret de A B (premier essai) A -> B : {s}K



B

Si l'on considre un chiffrement parfait, seul B peut lire s Mais de qui vient s ?

Envoi d'un secret de A B (deuxime essai)


A -> B : {s.A}K

Et que fait un intrus dans ces conditions ? Hein ?? Voil ce qu'il fait : I(A) -> B : {s .A}K
I B

Yohan Boichut, Cours Scurit Master

11

Principes de bases des protocoles

Envoi d'un secret de A B (troisime essai) A -> B : {s.A.{s}K-1 }K


A B

Donc ici, nous avons s secret B authentifie s comme tant mis par A ...

Yohan Boichut, Cours Scurit Master

12

Principes de bases des protocoles

Envoi d'un secret de A B (troisime essai) A -> B : {s.A.{s}K-1 }K


A B

Donc ici, nous avons s secret B authentifie s comme tant mis par A Mais... I peut faire accepter de nouveau s par rejeu

A -> B : {s.A.{s}K-1 }K
A

I(A) -> B : {s.A.{s}K-1 }K


A

Yohan Boichut, Cours Scurit Master

13

Principes de bases des protocoles

Envoi d'un secret de A B (quatrime essai) B -> A : {A.B.N1}K challenge de B


A

A -> B : {s.A.B.N1}K

rponse de A au challenge de B

Yohan Boichut, Cours Scurit Master

14

Principes de bases des protocoles

Envoi d'un secret de A B (quatrime essai) B -> A : {A.B.N1}K challenge de B


A

A -> B : {s.A.B.N1}K

rponse de A au challenge de B

Donc ici, nous avons s secret frais {s.A.B.N } 1 K

B authentifie s comme tant mis par A B authentifie A au cours de la session

Yohan Boichut, Cours Scurit Master

15

Etude de cas : le protocole des cartes bancaires

Le protocole d'utilisation d'une carte bancaire doit permettre d'authentifier les transactions. L'authentification concerne deux proccupations:

prouver que la carte utilise a bien t mise par l'autorit lgitime; prouver qu'une carte lgitimement mise n'est pas utilise frauduleusement.

Chaque carte bancaire comporte un code secret PIN, garantissant que seul la personne autorise peut utiliser la carte. Il s'agit en gnral d'un nombre de 4 chiffres.
Yohan Boichut, Cours Scurit Master

16

Fabrication de la carte

Un PIN est gnr alatoirement Le PIN, et d'autres informations (numro de compte par exemple) est chiffr par un DES triple, en utilisant une cl de travail Une fonction sens unique extrait certains bits du bloc chiffr obtenu pour construire le PIN offset Le PIN Offset est enregistr dans la mmoire de la carte, avec le numro de compte Le PIN est post au possesseur de la carte et effac de la mmoire Une fois la carte mise, seul le possesseur lgitime de la carte connat le PIN
Yohan Boichut, Cours Scurit Master

17

Rsum

Yohan Boichut, Cours Scurit Master

18

Validation d'une transaction

La validation d'une transaction peut se faire localement partir d'un terminal. Elle se limite alors un protocole d'identification du propritaire.

Le possesseur de la carte tape son PIN sur le terminal; le terminal chiffre le PIN et le numro de compte par un DES triple, en utilisant la cl de travail et extrait le PIN offset; le PIN offset est compar avec celui enregistr sur la carte.

Le terminal doit avoir accs la cl de travail qui a servi chiffrer le PIN. Une cl matre (TMK) est gnre et installe pour chaque terminal. Le systme central tlcharge les cls de travail, chiffres avec la TMK correspondante.
Yohan Boichut, Cours Scurit Master

19

Ce protocole donne une garantie contre l'utilisation frauduleuse d'une carte lgitimement mise, mais ce n'est pas un protocole d'authentification car il n'empche pas la fabrication de fausses cartes. La validation peut aussi tre faite par un serveur, ce qui vite de conserver les cls de travail sur le terminal.

Yohan Boichut, Cours Scurit Master

20

Protocole utilis pour un retrait d'espces dans un distributeur

Un client insre sa carte dans le distributeur; la piste magntique est lue; le client entre son code PIN; il est stock dans un buffer inaccessible; le client tape la somme qu'il veut retirer; le message contenant le PIN et la somme est chiffr avec la TMK et envoy au serveur; Le serveur de la banque dchiffre le message et calcule le PIN Offset avec la cl de travail correspondante. Il le compare au PIN Offset stock dans sa base de donnes. La transaction est approuve.
Yohan Boichut, Cours Scurit Master

21

Gestion des cls secrtes

Quand deux interlocuteurs se trouvent en deux poins diffrents d'un rseau et qu'ils souhaitent dialoguer de manire confidentielle, ils doivent changer une cl secrte. On peut imaginer de nombreux protocoles permettant le partage d'un cl secrte:

A choisit une cl secrte et la remet physiquement B; Un tiers de confiance choisit une cl et la remet physiquement A et B; Si A et B ont rcemment utilis une cl commune, l'un des deux interlocuteurs transmet une nouvelle cl l'autre, en utilisant l'ancienne; Si A et B disposent chacun d'un canal de communication sr avec un tiers de confiance, celui-ci peut leur envoyer une cl commune. etc,...

Yohan Boichut, Cours Scurit Master

22

Avec les protocoles 1 et 2, le problme est le nombre de cls remettre. A raison d'une cl par paire d'interlocuteurs, il faut N(N-1)/2 cls pour N interlocuteurs. Par exemple:

Il faudra 500000 cls pour 1000 communications; Il faudra, 500 millions de cls pour 10000 communications. Avec le protocole 3, si un attaquant dcouvre une cl, il peut dchiffrer tous les changes changs ultrieurement.

Yohan Boichut, Cours Scurit Master

23

Hirarchies de cls

Afin de rduire le nombre de cls distribuer c'est le protocole 4 (ou des variantes) qui est le plus largement utilis actuellement. Un organisme central est responsable de la distribution des cls. Les cls sont organises en hirarchie (2 niveaux au minimum). Chaque utilisateur partage une clmaitre (master-key) avec le centre de distribution et, pour dialoguer, deux interlocuteurs partagent une cl de session (session-key).

Yohan Boichut, Cours Scurit Master

24

La cl de session est communique aux deux interlocuteurs par le centre de distribution, en utilisant la cl-matre. La cl de session est valable en principe pour la dure d'une connexion. Avec une hirarchie deux niveaux, on voit que N interlocuteurs n'ont besoin que de N cls matres remises matriellement, au lieu de N(N-1)/2 avec les autres modes de distribution.

Yohan Boichut, Cours Scurit Master

25

Protocoles d'change de cls

Avec un tiers de confiance S et des cls symtriques 1. A -> S : A.B.Na 2. S -> A : {Na.B.KAB.{KAB.A} BS}
K

KAS

3. A -> B : {KAB.A}

KBS

Proprits attendues : Secret de KAB Fracheur de KAB (pour A mais pas pour B) Authentification des messages mis par S
Yohan Boichut, Cours Scurit Master

26

Echange avec authentification (Needham et Schroeder) sans tiers de confiance

Le but d'un protocole d'change avec authentification est de permettre deux interlocuteurs d'changer une cl secrte en garantissant que chacun parle bien l'autre et non pas un intercepteur. Le protocole de Needham et Schroeder utilise un chiffre cls publique comme le RSA

Yohan Boichut, Cours Scurit Master

27

On suppose qu'au dpart les interlocuteurs A et B disposent chacun de la cl publique authentique de l'autre. De cette hypothse d'authenticit des cls publiques dcoulent deux consquences importantes.

Si un message, chiffr avec la cl publique de A, a t dchiffr, ce ne peut tre que par A lui-mme Un message que l'on peut dchiffrer avec la cl publique de A a ncessairement t chiffr avec la cl prive correspondante, donc par A lui-mme
28

Yohan Boichut, Cours Scurit Master

A utilise la cl publique KU_B de B pour chiffrer un message destin B et contenant son identit ID_A et un challenge N1 qui sert identifier l'instance du protocole. B utilise KU_A pour chiffrer un message destin A et contenant N1 ainsi qu'un nouveau challenge N2. Puisque seul B a pu dchiffrer le message prcdent, la prsence de N1 permet A de vrifier que son correspondant est bien B. A renvoie N2 B, chiffr avec KU_B. Puisque seul A a pu dchiffrer le message prcdent, la prsence de N2 permet B de vrifier que son correspondant est bien A. A gnre une cl secrte SK et envoie B: C=E(KU_B, E(KR_A, SK)) Le chiffrement avec KU_B garantit que seul B peut lire le message. Le chiffrement avec KR_A garantit que seul A peut l'avoir envoy. Pour obtenir la cl secrte, B dchiffre C en calculant:

SK=D(KU_A, D(KR_B,C))

Yohan Boichut, Cours Scurit Master

29

Distribution des cls publiques

Comme on vient de le voir, la distribution des cls publiques doit autant que possible permettre de garantir leur authenticit. On peut classer les techniques de distribution utilises en trois grandes catgories: Diffusion. Rpertoire public Certificats

Yohan Boichut, Cours Scurit Master

30

Diffusion

C'est la mthode la plus simple. Le possesseur d'une cl publique la diffuse librement, par exemple en l'ajoutant la fin des messages qu'il place dans un forum, ou encore la fin de chaque courrier lectronique qu'il envoie. Un attaquant peut prtendre tre l'utilisateur A, et diffuser une cl, en affirmant qu'il s'agit de la cl publique de A. Il est ainsi capable de lire tout message chiffr avec cette cl et destin en fait A. L'authenticit n'est pas garantie.
31

Yohan Boichut, Cours Scurit Master

Rpertoire public

Afin d'viter l'usurpation d'identit, un tiers de confiance, l'Autorit, gre une liste de paires (nom, cl_publique). Chaque utilisateur doit prouver son identit pour enregistrer sa cl auprs de l'autorit. Lorsque deux utilisateurs A et B veulent communiquer, chacun doit demander l'autorit la cl publique de l'autre. Le point faible est ici la communication avec l'autorit. Pour scuriser la distribution des cls partir du rpertoire public on peut utiliser le protocole suivant: Les communications entre les utilisateurs et l'autorit utilisent un chiffre cl publique comme RSA, permettant de dchiffrer avec la cl publique un message chiffr avec la cl prive correspondante. On suppose que chaque utilisateur connat la cl publique KU_auth de l'autorit. Seule l'autorit connat la cl prive KR_auth correspondante.
Yohan Boichut, Cours Scurit Master

32

A envoie l'autorit un message estampill (date) demandant la cl publique de B; L'autorit rpond en envoyant A un message chiffr avec sa cl prive KR_auth. Ce message contient:

la cl publique KU_B de B; le message originel de A, afin de vrifier qu'il n'a pas t altr avant sa rception par l'autorit; l'estampille originale, afin d'viter la retransmission d'un ancien message de l'autorit contenant une autre cl que celle de B;

A note la cl publique de B, et l'utilise pour envoyer B un message chiffr contenant un identificateur de A et un challenge N1 (nonce) B obtient de la mme manire la cl publique KU_A de A. B envoie A un message chiffr avec KU_A, et contenant N1 ainsi qu'un nouveau challenge N2. Comme seul B a pu dchiffrer le message de A, la prsence de N1 permet A de vrifier que son correspondant est bien B. A retourne N2, chiffr avec KU_B, pour permettre B de vrifier que son correspondant est bien A.
Yohan Boichut, Cours Scurit Master

33

Certificats

Avec le protocole prcdent, chaque utilisateur doit s'adresser l'Autorit chaque fois qu'il veut obtenir la cl publique d'un correspondant. Une autre approche consiste utiliser des certificats, permettant l'change sr des cls publiques sans intervention de l'autorit. Un certificat est mis par l'autorit. Il contient la cl publique de son propritaire, ainsi que d'autres informations. Il doit satisfaire les contraintes suivantes.

chaque interlocuteur peut lire un certificat, afin de connatre le nom et la cl publique du propritaire; chaque interlocuteur peut vrifier que le certificat provient bien de l'autorit et qu'il n'a pas t altr; Seule l'autorit peut mettre des certificats; un certificat une validit limite dans le temps.
Yohan Boichut, Cours Scurit Master

34

Exemple. Un utilisateur A fournit matriellement l'Autorit une


cl publique KU_A et demande un certificat. Aprs vrification de l'identit ID_A de A, l'Autorit construit le certificat: C_A=E(KR_Auth, [ID_A,KU_A]) o KR_Auth est la cl prive de l'Autorit.

Ce certificat peut donner lieu une attaque active par rptition.


Un attaquant C vole la cl prive KR_A de A; A s'en aperoit et demande un nouveau certificat; C envoie B l'ancien certificat de A; B chiffre ses messages destins A avec l'ancienne cl KU_A; C les dchiffre avec KR_A.

Afin de limiter les consquences d'une telle attaque, on ajoute une date limite de validit T (timestamp) au certificat: A=E(KR_Auth,[ID_A,KU_A, T])

Yohan Boichut, Cours Scurit Master

35

Protocoles d'change de cls

Avec un tiers de confiance S et des cls publiques 1. A -> S : A.B 2. S -> A : {KB.B}

K S K S
-1

-1

3. S -> B : {KA.A}

Proprits attendues : Authentification des cls publiques Mais pas de secret (pas ncessaire) pas de fracheur (pas ncessaire ?)
Yohan Boichut, Cours Scurit Master

36

Protocoles d'change de cls DH

Le protocole de Diffie-Hellman est utilis dans de nombreux produits commerciaux pour permettre l'change sr d'une cl secrte.

Il se gnralise autour de la gnration d'un secret par des sous-secrets distribus

Il est bas sur la difficult de calculer des logarithmes discrets

On appelle racine primitive d'un entier p tout nombre entier a dont les puissances successives engendrent les p-1 entiers > 0 modulo p.

Exemple. a=2 est une racine primitive de p=5. Les racines primitives de 19 sont 2,3,10,13,14,15.
Yohan Boichut, Cours Scurit Master

37

Protocoles d'change de cls DH

Yohan Boichut, Cours Scurit Master

38

Il n'y a que peu d'entiers qui admettent des racines m q ou primitives. Ce sont les nombres de la forme m 2q , avec q premier, q>2.
Si a est une racine primitive de p, alors pour tout entier b>0 il existe un unique exposant L compris entre 1 et p-1 tel que L : b mod p=a mod p Le nombre L est appel logarithme discret de b pour la base a modulo p, et on le note : Exemple:
L=ind a , p b ind 2,5 14=2
Yohan Boichut, Cours Scurit Master

39

Le calcul des logarithmes discrets conduit des algorithmes impraticables.

Actuellement on considre qu'avec des nombres p comportant plus de 600 chiffres, le calcul est impossible.

Le protocole de Diffie-Hellman fixe un nombre p et une racine primitive a de p. Les valeurs a et p sont publiques. A et B procdent ainsi pour changer une cl secrte.

A gnre alatoirement un entier X_A < p et calcule Y A =a X mod p


A

B procde de mme, avec X_B et Y_B; A et B gardent secrets X_A et X_B et envoient Y_A et Y_B leur correspondant A calcule la cl
K =Y
XA B

et B calcule

K '=Y

XB A

Yohan Boichut, Cours Scurit Master

40

On voit que les cls K et K' calcules par A et B sont gales. Un attaquant ne connaissant que Y_A et Y_B doit calculer

X A=ind a , p Y A
pour trouver la cl. Comme il ne permet pas A et B de vrifier qu'ils parlent bien l'un l'autre le protocole de Diffie-Hellman ne rsiste pas une attaque par interception.

Yohan Boichut, Cours Scurit Master

41

Cl symtrique sans tiers de confiance Diffie Hellman

Entiers p et g publics et g gnrateur Z 1. A -> B : X = g mod p


A B

2. B -> A : Y = gy mod p A calcule (Y ) x mod p et B calcule (X ) y mod p


B A AB B A

K = (Y ) x mod p = (X ) y mod p = gx*y mod p

Yohan Boichut, Cours Scurit Master

42

Cl symtrique sans tiers Diffie Hellman

Entiers p et g publics et g gnrateur Z 1. A -> B : X = gx mod p


A B

2. B -> A : Y = gy mod p

Proprits attendues

Secret de K

AB

Fracheur de K

AB

Mais...

Pas d'authentification des entits Pas de relle authentification de K par A et B !


AB
Yohan Boichut, Cours Scurit Master

43

Avec une cryptographie parfaite, les protocoles sont ils srs pour autant ?

Yohan Boichut, Cours Scurit Master

44

Un protocole pas si sr que ...

Les acteurs sont :


A un utilisateur B la banque C la carte de A T le terminal du commerant

Yohan Boichut, Cours Scurit Master

45

Un protocole pas si sr que ...

Scnario

A introduit sa carte Le commerant saisit le montant m sur T T authentifie C A donne son code C (3456) Si m > 100 (et dans 20% des cas) T demande B l'autorisation pour c B donne l'authorisation
46

Yohan Boichut, Cours Scurit Master

Un protocole pas si sr que ...


A possde un code secret 3456 B possde

Une cl publique K

Des cls secrtes K -1 et K


B

CB

C possde des informations publiques

Data = nom, prnom, numro carte, validit Valeur de signature = {hash(Data)}K-1 Cl secrte : K (DES)
CB B B

T possde la fonction hash et la cl publique K (RSA)


Yohan Boichut, Cours Scurit Master

47

Un protocole pas si sr que ...

Initialement, la scurit de la carte reposait beaucoup sur :


La non rplicabilit de la carte Le secret autour des cls employes

Mais

Faille cryptographique cl RSA 320 bits (1988) Faille logique du protocole : pas de lien entre le code 4 chiffres et authentification Faille physique : Yescard (Humpich 1998)
Yohan Boichut, Cours Scurit Master

48

Un protocole pas si sr que ...


1.C -> T : Data.{hash(Data)}K-1
B

T authentifie C

C authentifie A (A donne son code C) 2.T -> A : Code ? 3.A -> C : 3456 4.C -> T : Ok

Yohan Boichut, Cours Scurit Master

49

Un protocole pas si sr que ...


1.C -> T : Data.{hash(Data)}K-1
B

T authentifie C

C authentifie A (A donne son code C) 2.T -> A : Code ? 3.A -> C' : 7575 4.C' -> T : Ok

Yohan Boichut, Cours Scurit Master

50

Et comment fait on pour lutter ?

Yohan Boichut, Cours Scurit Master

51

Et comment fait on pour lutter ?


Art. 67-1. (L. n 91-1382 du 30 dc. 1991) Seront punis dun emprisonnement dun an sept ans et dune amende de 3.600 F 5.000.000 F ou de lune de ces deux peines seulement : 1. Ceux qui auront contrefait ou falsifi une carte de paiement ou de retrait ; 2. Ceux qui, en connaissance de cause, auront fait usage dune carte de paiement ou de retrait contrefaite ou falsifie ; 3. . . .
Yohan Boichut, Cours Scurit Master

52

Plus srieusement...
Il existe aujourd'hui des outils issus du milieu de la recherche qui assurent la scurit d'un protocole

Proverif AVISPA Hermes Securify Scyther FDR NRL Protocol Analyzer + tout un tas de prouveur...
53

Yohan Boichut, Cours Scurit Master

Principe de vrification
Modlisation d'un intrus Il peut chiffrer un message Il peut dchiffrer un message s'il a la cl correspondante Il peut dcomposer un message Il peut composer un message Il peut lire tout ce qui trane sur le rseau ...

Nous verrons tout ceci en dtail dans le cours : Modlisation et Vrification


Yohan Boichut, Cours Scurit Master

54

Principe de vrification
Le problme de scurit d'un protocole est indcidable dans le cadre le plus gnral !!! Nombre non born d'agents Nombre non born d'excutions Taille non born des messages

Yohan Boichut, Cours Scurit Master

55

Principe de vrification
Le problme de scurit d'un protocole est indcidable dans le cadre le plus gnral !!! Nombre non born d'agents Nombre non born d'excutions Taille non born des messages

Il existe des semi-algorithmes permettant de montrer qu'un protocole est sr dans de telles conditions : - Calculs de sur-approximations de la connaissance de l'intrus
Yohan Boichut, Cours Scurit Master

56

Principe de vrification
Le problme de scurit d'un protocole est dcidable pour un nombre d'excutions donn Nombre born d'agents Nombre born d'excutions

Utilisation de Model-checker : SAT, Contraintes, Rcriture, Clauses de Horn, ...

Yohan Boichut, Cours Scurit Master

57

Petit historique La recherche / Protocoles de scurit


Needham Schroder 1978 Protocole d'authentification prouv manuellement

ALICE
Yohan Boichut, Cours Scurit Master

BOB
58

Petit historique La recherche / Protocoles de scurit


Needham Schroder 1978 Protocole d'authentification prouv manuellement {N .Alice}
alice

Kbob

ALICE
Yohan Boichut, Cours Scurit Master

BOB
59

Petit historique La recherche / Protocoles de scurit


Needham Schroder 1978 Protocole d'authentification prouv manuellement {N .Alice}
alice

Kbob

{N .N }
alice

bob Kalice

ALICE
Yohan Boichut, Cours Scurit Master

BOB
60

Petit historique La recherche / Protocoles de scurit


Needham Schroder 1978 Protocole d'authentification prouv manuellement {N .Alice}
alice

Kbob

{N .N }
alice

bob Kalice

{N } ALICE
Yohan Boichut, Cours Scurit Master

bob Kbob

BOB
61

Petit historique La recherche / Protocoles de scurit


18 ans plus tard... Dcouverte d'une faille logique par Gavin Lowe grce aux mthodes formelles (Model-checking) {N .Alice}
alice Kbob

{N .N }
alice

bob Kalice

{N } ALICE
Yohan Boichut, Cours Scurit Master

bob Kbob

BOB
62

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM

ALICE

BOB

MOI
Yohan Boichut, Cours Scurit Master

63

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM

ALICE

BOB
Kmoi

{123.Alice}

MOI
Yohan Boichut, Cours Scurit Master

64

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM

ALICE

BOB
Kmoi

{123.Alice}

{123.Alice}

Kbob

MOI
Yohan Boichut, Cours Scurit Master

65

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM {123.234}
Kalice

ALICE

BOB
Kmoi

{123.Alice}

{123.Alice}

Kbob

MOI
Yohan Boichut, Cours Scurit Master

66

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM {123.234} {234}
ALICE
Kalice

Kmoi

BOB

{123.Alice}

Kmoi

{123.Alice}

Kbob

MOI
Yohan Boichut, Cours Scurit Master

67

Petit historique La recherche / Protocoles de scurit


L'attaque est du type MITM {123.234} {234}
ALICE
Kalice

Kmoi

{234}

Kbob

BOB
Kbob

{123.Alice}

Kmoi

{123.Alice}

MOI
Yohan Boichut, Cours Scurit Master

68

Prolifration de rsultats
Problmes de dcidabilits et de complexit Pleins de techniques de vrifications

Langages de spcification - Grosso modo 1 langage par approche :-s - Des langages de plus haut niveau et des regroupements d'outils (ex : AVISPA et HLPSL)

Yohan Boichut, Cours Scurit Master

69