CTL
29 janvier 2016 - 10h00
Méthodes pour la vérification des protocoles cryptographiques dans le modèle calculatoire (Phd Defense)
par Mathilde Duclos de Université Grenoble-Alpes
Résumé : Les preuves de sécurité pour les systèmes cryptographiques peuvent être effectuées dans
différents modèles qui correspondent chacun à des hypothèses de sécurité différentes. Dans
le modèle symbolique, on considère quâun attaquant ne peut deviner aucun secret et quâil
a seulement la possibilité dâappliquer un ensemble prédéfini dâactions. à lâinverse, dans le
modèle calculatoire, lâadversaire peut espérer deviner des secrets et appliquer nâimporte
quelle opération qui se déroule en temps polynomial. Les propriétés de sécurité sont plus
dures à établir et à vérifier dans ce dernier modèle.
Au cours des travaux exposés dans cette thèse, nous avons étendu un cadre de travail
pour la certification de preuves dâindiscernabilité calculatoire. Ces preuves sont modélisées
à lâaide de lâassistant de preuve Coq, et basées sur cil (Computationnal Indistinguishability
Logic), une logique spécialisée pour le modèle calculatoire qui peut être appliquée et pour
les primitives et pour les protocoles. Nous montrons comment cil et sa modélisation en Coq
permettent des preuves qui vont au-delà du modèle calculatoire classique dit boîte noire,
où un adversaire nâeffectue que des échanges de type requête/réponse avec le système sans
avoir dâinformation sur lâétat du système.
Nous avons étendu cil pour parvenir à raisonner dans ces modèles. En particulier pour
prendre en compte la fuite dâinformation de systèmes honnêtes, autorisant lâadversaire Ã
connaître partiellement des données secrètes. Pour ce faire, nous nous sommes basés sur
le modèle à taille de mémoire bornée, qui limite la quantité dâinformation pouvant être
retrouvée par lâadversaire. Nous avons utilisé cette extension pour la preuve de sécurité
dâun protocole dâéchange de clefs résistant aux intrusions. En modélisant lâintrusion hors
de la logique en elle-même, nous avons fait en sorte que cil garde une utilisation large et
non spécifique au modèle.
De cette façon, nous montrons quâil est possible de modéliser des fuites dâinformations
des participants honnêtes de protocoles sans modification majeure de cil. Lâintrusion est
prise en compte au niveau de la modélisation du protocole, en ayant soin de ne pas rendre
cette preuve trop complexe pour lâutilisateur. Cette stratégie a été choisie pour sa capacité
dâadaptation à dâautres modèles de sécurité et constitue la motivation majeure de ces
travaux.
Pour mener à bien la preuve de ce protocole, nous avons développé diverses biblio-
thèques générales (comme la gestion des distributions) ainsi que des procédures permettant
dâautomatiser les parties les plus triviales des preuves. De plus, nous avons développé une
architecture complexe pour modéliser la preuve de ce protocole qui sâarticule sur plusieurs
primitives différentes, ce qui implique une preuve complexe devant sâarticuler autour des
propriétés de sécurité de ces primitives.
Il résulte de ces travaux une preuve complexe dâun protocole dans un modèle de sécurité
sortant des modèles conventionnels. Cette preuve sâappuie sur les hypothèses de sécurité
des primitives utilisées par le protocole, ainsi que sur les règles de cil pour parvenir Ã
certifier la sécurité du protocole en présence dâagent dâobservation.
Mots clefs : cryptographie, sécurité, preuve, méthodes formelles, certification, résistance
aux intrusions, modèle calculatoire, modèle à taille de mémoire borné, Coq
Composition du jury:
Christine Paulin : Université Paris Sud, INRIA - Saclay, Rapporteur
Véronique Cortier : CNRS, Nancy, Rapporteur
Bruno Blanchet : INRIA Paris - Rocquencourt, Examinateur
Steve Kremer : INRIA Nancy - Grand Est, Examinateur
Jean-François Monin : Université Grenoble-Alpes, Examinateur
Jean-Guillaume Dumas : Université Grenoble-Alpes, Examinateur
Yassine Lakhnech : Université Grenoble-Alpes, Directeur de thèse
Pierre Corbineau : Université Grenoble-Alpes, Co-Directeur de thèse
