Analyse de s´ecurit´e des protocoles existants

3.3.1 Stratégies de l’adversaire (modèle de sécurité)

L’adversaire peut choisir entre plusieurs stratégies d’attaque pour mener la fraude mafieuse. Ces stratégies sont définies de la fa¸con suivante.

Strat´egie na¨ıve

L’adversaire relaye la première phase lente du protocole entre V et P. Ensuite, il essaie de compléter le protocole tout seul avec V en répondant aux défis. La probabilité de succès da la stratégie na¨ıve est notée Pna.

Strat´egie par pr´e-interrogation

L’adversaire relaye la première phase lente entre V et P. Ensuite, en raison du temps d’exécution non borné de la phase lente, l’adversaire peut exécuter la phase rapide avec

P avant le début de la phase rapide avec V . Après, il poursuit la phase rapide avec V en exploitant les réponses déj`a obtenues de P. Avec cette stratégie, l’adversaire peut par exemple obtenir un registre parmi les deux utilisés dans le protocole HK. La probabilité de succès de la stratégie par pré-interrogation est notée Ppa.

Il existe une autre stratégie d’attaque appelée stratégie par post-interrogation mais elle ne concerne que la classe de Brands et Chaum [120]. La sécurité d’un protocole appartenant à la classe de HK vis-à-vis de la fraude mafieuse est obtenue par le maximum entre les probabilités de succès des stratégies na¨ıve et par pré-interrogation : P = max(Pna, P_pa). 3.3.2 Sécurité des protocoles existants

La sécurité des protocoles décrits dans la section précédente est analysée vis-à-vis de la fraude mafieuse. J’utilise les analyses données dans les articles d’origine.

CHAPITRE 3. ATTAQUE PAR RELAIS

Protocole HK

Strat´egie na¨ıve - L’adversaire répond tout seul aux défis envoyés par V . A chaque tour, il a une chance 1/2 de donner une réponse correcte. La probabilité de succès P_na de l’adversaire est :

P_na=¹ 2

. (3.2)

Stratégie par pr´e-interrogation - Supposons que l’adversaire interroge P avec des défis tous égaux `a 0. L’adversaire est capable d’obtenir le registre R0. Quand l’adversaire exécute la phase rapide avec V , deux cas peuvent avoir lieu :

– Si c_i= 0, l’adversaire connaˆıt la r´eponse correcte ;

– Si c_i= 1, il ne connaˆıt pas la réponse correcte mais il peut répondre au hasard avec une chance de succès égale à 1/2.

Donc, la probabilit´e de donner une bonne r´eponse au tour i est : 1

2× 1 +1 2×1

2 = 3 4. Les tours étant indépendants, la probabilité de succès P_pa est :

Ppa=³ 4

. (3.3)

En comparant les deux stratégies, la stratégie par pré-interrogation est meilleure pour l’adversaire. La sécurité du protocole HK vis-à-vis de la fraude mafieuse est donnée par l’équation (3.3).

Protocole de Munilla et Peinado

Soit pf la probabilité que le défi soit plein pour le i^`ême tour du protocole (Ti= 1). La sécurité du protocole dépend clairement de p_f. Dans la description du protocole, p_f étant égale `a 3/4. Pour l’analyse de sécurité, je considère toutes les valeurs possibles de pf.

Stratégie na¨ıve - La probabilité du succès de l’adversaire peut être calculée de la manière suivante : Pna= n

∑

j=0 p( j) ·¹₂ j ;

o`u p( j) est la probabilit´e que exactement j d´efis pleins apparaissent. La valeur de p( j) est :

p( j) =ⁿ

· p^jf· (1 − pf)ⁿ^{− j}.

En combinant ces deux dernières équations, la probabilité du succès de l’adversaire résulte :

P_na=1−^p₂^fⁿ. (3.4)

Stratégie par pré-interrogation - L’adversaire réussit son attaque si aucun défi vide n’apparaˆıt et si toutes les réponses devinées sont correctes. La probabilité du succès

CHAPITRE 3. ATTAQUE PAR RELAIS

de l’adversaire est alors :

Ppa= pf·³ 4 n . (3.5)

Comparaison des strat´egies - Si p_f > 4/5, l’adversaire obtient des meilleurs résultats avec la stratégie par pré-interrogation. Dans le cas contraire, c’est la stratégie na¨ıve qui est meilleure. La sécurité du protocole est alors donnée par :

P=      1−^pf 2 n si p_f ≤ 4/5, p_f·3 4 n si p_f > 4/5. (3.6)

La valeur optimale de pf (probabilité du succès de l’adversaire minimale) est 4/5. Cepen-dant, il n’est pas facile de générer T avec une telle valeur de p_f. Une valeur plus pratique et proche de la valeur optimale est pf = 3/4 tel que le protocole a été décrit. Dans ce cas, la probabilité du succès de l’adversaire vaut :

P=⁵ 8

. (3.7)

Protocole MUSE-pHK

Stratégie na¨ıve - A chaque tour, l’adversaire choisit une réponse aléatoirement parmi les p symboles. Donc, la probabilité du succès de l’adversaire est :

P_na=¹

. (3.8)

Stratégie par pr´e-interrogation - L’adversaire interroge P avec des faux défis afin d’obtenir un registre de taille n parmi les p registres. Sans perte de généralité, je suppose l’obtention du registre R0. Si V envoie un défi 0, l’adversaire est capable d’apporter la bonne réponse. Sinon, il répond aléatoirement avec une probabilité du succès 1/p. La probabilité de succès totale est :

Ppa= 2p − 1

. (3.9)

En comparant les deux stratégies, la stratégie par pré-interrogation est meilleure pour l’adversaire.

Le Tableau 3.1 résume les résultats d’analyse de sécurité des protocoles existants. na¨ıve pré-interrogation

HK (1/2)ⁿ (3/4)ⁿ

Munilla et Peinado (1 − pf/2)ⁿ (pf· 3/4)ⁿ

MUSE-pHK (1/p)ⁿ 2p− 1/p2n

CHAPITRE 3. ATTAQUE PAR RELAIS

3.3.3 Motivations et objectifs

La radio UWB est une candidate prometteuse pour l’implémentation des protocoles de distance bounding. En effet, la largeur de bande des signaux UWB permet une grande résolution temporelle intéressante pour la mesure du RTT. Ainsi, Hancke et Kuhn [9] ont recommandé l’utilisation d’un canal UWB pour l’implémentation de la phase rapide de leur protocole. Tippenhauer et ˇCapkun [121] ont proposé un protocole de distance bounding sur une plateforme UWB disponible dans l’industrie pour la mesure de la distance. En outre, Kuhn et al. [122] ont suggéré l’utilisation d’une architecture UWB analogique à détection d’énergie [143] pour l’implémentation des protocoles de distance bounding. Cette architecture a l’avantage d’assurer un délai de réponse minimal ce qui est essentiel.

Je m’intéresse à la conception des nouveaux protocoles sur une radio UWB-IR appar-tenant à la classe de HK plus appropriée pour des applications à faible coût. Comme je l’ai mentionné, le protocole HK [9] souffre d’une probabilité du succès de l’adversaire élevée. Un travail de recherche a été mené pour améliorer la sécurité du protocole HK [10,137,139,144]. L’approche adoptée par les auteurs de [137] apporte une amélioration considérable à la sécurité de HK avec le protocole MUSE-pHK. Cependant, les auteurs n’ont pas discuté la manière pratique d’implémenter leur protocole.

Je propose deux nouveaux protocoles sur une radio UWB-IR qui améliorent la sécurité de HK et atteignent la sécurité de MUSE-pHK efficacement. L’idée de base de mes proto-coles consiste au renforcement de la sécurité à l’aide des paramètres de la couche physique UWB-IR. Dans un premier protocole STHCP (Secret Time-Hopping Code Protocol), le code du saut-temporel est secret. Tandis que pour le deuxième protocole SMCP (Secret Mapping Code Protocol), le code de mapping est secret. L’analyse de sécurité est orga-nisée en deux étapes. D’abord, la sécurité est évaluée dans le cas sans bruit. Ensuite, le bruit est considéré tenant en compte le modèle des performances de la radio UWB-IR. Je compare mes protocoles avec HK [9] et MUSE-pHK [137] et la comparaison fait montrer plusieurs figures de mérite de ma proposition. Ce travail a fait l’objet d’une publication à la conférence internationale GLOBECOM 2010 [22].

Dans le document Sécurisation d'un lien radio UWB-IR (Page 70-73)