Verimag

Détails sur le séminaire

CTL Amphi
23 juin 2009 - 14h00
Analyse et design de protocoles authentifiés de type Diffie-Hellman
par Augustin Sarr de Netheos et U. Montpellier 2



Résumé : MQV est un protocole de type Diffie-Hellman fournissant une authentification implicite. Sa performance (deux exponentiations et demi pour chaque entité) ainsi que les arguments de sécurité avancés, en on fait aujourd'hui le protocole le plus largement standardisé. Il n'existe cependant pas de preuve formelle pour la sécurité de MQV. Cela a motivé le design de certains protocoles du même "type", notamment HMQV et CMQV pour lesquels il est fourni une preuve de sécurité.
Nous proposons une analyse complémentaire des protocoles (H)MQV et CMQV. Nous introduisons de nouveaux points (du groupe sur lequel les clefs utilisées sont définies) qui peuvent être utilisés pour une attaque par impersonation. Nous montrons que la recherche de ces points peut être combinée avec l'algorithme rho de Pollard. Nous conjecturons que cette démarche permet de doubler la performance de l'algorithme rho. Avec ces points nous montrons que les protocoles (H)MQV et CMQV sont vulnérables à certaines fuites d'informations spécifiques à une session. Nous montrons notamment comment mener une attaque par impersonation et une attaque du "man-in-the-middle", si on arrive à disposer (en utilisant les attaques par canaux cachés par exemple) de certaines informations de session. Nous montrons que les informations nécessaires pour ces attaques ne conduisent vraisemblablement pas à la divulgation des clefs privées.
Sur la base de l'analyse des schémas de signature XCR (Exponential Challenge Response) et DCR (dual exponential Challenge Response), à partir desquels est construit le protocole HMQV, nous proposons les schémas de signature Full XCR (FXCR) et Full DCR (FDCR) qui offrent les mêmes performances en plus d'une meilleure résistance aux fuites d'informations. Avec ces schémas, nous construisons le protocole FHMQV (Fully Hashed MQV) qui a la même performance que (H)MQV, et qui en plus résiste aux attaques que nous proposons et n'est pas (et ne sera) pas breveté.




Contact | Plan du site | Site réalisé avec SPIP 3.0.26 + AHUNTSIC [CC License]

info visites 876365