Capa ités de dédu tion

Dans notre appro he, les a tions de l'intrus sont dé rites par un ensemble de règles de dédu tionoùapparaissentla apa itédel'intrusàformerdesnouveauxmessages,àdé hirer desmessageslorsqu'il onnaîtla lefdedé hirement,...Detelsmodèlessontsouventappelés modèlesàlaDolev-Yaoenréféren eauxpremiersmodèlesdeD.DolevetA.C.Yao[DY81℄. Dans esmodèles,la apa ité demémoire etde al ulde l'intrus ne sont pasbornées.Ainsi, onsidérerunseulintrusetnonplusieursn'estpasunerestri tion: equedeuxintruspeuvent apprendre,un seulintrus peut lefaire seul puisqueni sa apa itéde al ulni lataille de sa mémoire ne sont bornées. An de dé rire pré isément les apa itésde l'intrus,on utilise un systèmede règles d'inféren e.

3.1.2.1 Modèle àbase d'un système d'inféren e ave ltrage

Parmi les symboles de fon tions, noté

F

, ertains sont a essibles à l'intrus ( omme la paire ou le hirement) alors que d'autres sont privés ( omme le symbole onstru teur des lefs privées

priv

). Cela nous onduit à dé omposer l'ensemble

F

en deux sous-ensembles disjoints :

PF

, l'ensemble des symboles privés et

VF

, l'ensemble des symboles publi s ou visibles.

Onreprésentela onnaissan ede l'intrus parun ensemble

T

determes los. L'expression 

T ⊢ u

 signie que l'intrus peut déduire

u

à partir de

T

. Autrement dit, l'intrus est apable, à partir de sa onnaissan e

T

, de déduire le message

u

en utilisant ses apa ités

de dédu tion. Le modèle ouramment utilisé pour représenter les apa ités de dédu tion de l'intrus est dé rit à la gure 3.1 dans le as du hirement symétrique.Il est onnu sous le nom de modèle de Dolev-Yao.

Proje tion

(Proj1) ^{T ⊢ hu, vi}

T ⊢ u

Proje tion

(Proj2) ^{T ⊢ hu, vi}

T ⊢ v

Dé hirement

(D) ^{T ⊢ {u}v T ⊢ v}

T ⊢ u

Composition

(C) ^{T ⊢ u1 . . . T ⊢ u}

n

ave

f ∈ VF

T ⊢ f (u₁, . . . , un)

Figure3.1 - ModèledeDolev-Yao:

IDY

.

Ce modèle permet à l'intrus de onstruire de nouveaux messages. Il peut par exemple on aténer deux messages qu'il sait déduire (règle

C

). Il peut également extraire un sous-messaged'unmessagedéjà onnu.Pluspré isément,ilpeutdé hirerunmessages'ilpossède la lef de dé hirement orrespondante (règle

D

). Il peut aussi ré upérer lapremière (resp. deuxième) omposante d'un message, si e dernier est une paire, en utilisant la règle

Proj₁

(resp.

Proj2

).

Dénition 3.1 (arbre de preuve)

Soit

I

un systèmed'inféren e. Unarbre de preuve de

T ⊢ u

dans

I

est un arbre telque :  haque feuilleest étiquetéepar

T ⊢ v

ave

v ∈ T

,

 pour haque n÷ud étiqueté par

T ⊢ v

ayant

n

ls étiquetés

T ⊢ v1

,

. . .

,

T ⊢ vn

, il existe une instan e d'une règled'inféren e de

I

ayant pour on lusion

T ⊢ v

, et pour hypothèses

T ⊢ v₁

,

. . .

,

T ⊢ v_n

,

 lara ine estétiquetée par

T ⊢ u

.

Ondit alorsque

u

est dédu tiblede

T

dans

I

ou que

T ⊢ u

dans

I

. Dénition 3.2 (taille d'une preuve, preuveminimale)

La taille d'unepreuve

P

,notée

|P |

,est lenombrede n÷udsdistin tsdans

P

.Unepreuve

P

de

T ⊢ u

est dite minimale s'il n'existepas depreuve

P′

de

T ⊢ u

telque

|P′| < |P |

. Exemple 3.3

Considérons l'ensemble

T

omposédes messages

{secret}_ha,bi

,

a

et

b

. L'arbre i-dessous est un arbre de preuve de

T ⊢ secret

dans

IDY

, mettant en éviden e le fait que l'intrus peut déduire

secret

à partirde la onnaissan e desmessages

{secret}_ha,bi

,

a

et

b

.

T ⊢ {secret}_ha,bi

T ⊢ a T ⊢ b

(C)

T ⊢ ha, bi

(D)

T ⊢ secret

Ce modèle, relativement simple,reposesur l'hypothèsedu hirement parfait etne or-respondpastoujoursàlaréalité.Dans ettethèse,nouspoussonsleslimitesdelavéri ation des proto oles au-delà de ette hypothèse en prenant en ompte les propriétés algébriques

basedesystèmed'inféren eparunerègled'inféren eparti ulièrepermettantdetenir ompte de espropriétésalgébriques.Cettenouvellerègle,noté

(Eq)

,estdé rite àlagure 3.2.Nous notons

IE

le systèmed'inféren e omposéde etteunique règle.

Égalité

(Eq) ^{T ⊢ u}

ave

u =Ev

T ⊢ v

Figure3.2 - Systèmed'inféren e

IE

.

Exemple 3.4

Soit

T = {a ⊕ b, b}

où

⊕

est un symbolevisible représentant l'opérateur  ou  ex lusif. Le terme

b

est dédu tible de

T

dans

IDY∪ IACUN

, equi n'estpas le asdans

IDY

.

T ⊢ a ⊕ b T ⊢ b

(C)

T ⊢ (a ⊕ b) ⊕ b

(Eq)

T ⊢ a

Notation : Dans la suite, nous noterons

(I, E)

le système d'inféren e

I ∪ IE

. Un arbre de preuve dans

(I, E)

est don un arbre depreuvedans

I ∪ IE

.

3.1.2.2 Modèle àbase d'un système d'inféren e simple

Uneautreappro he onsisteàtoutmettredanslathéorieéquationnelleetàreprésenter les primitives lassiques a ompagnées de leurs destru teurs ( f. partie 2.2.1). Dans le as du hirement, ela signie:

 l'introdu tion d'unnouveau symbole publi ,noté

dec

,an de modéliserl'opération de dé hirement,

 l'ajout de l'équation

dec({x}y, y) = x

pour modéliser les propriétésdes algorithmes de hirement etde dé hirement.

Dans le as de la on aténation, l'idée est essentiellement la même. Nous avons be-soin d'ajouter deux symbolespubli s, notés généralement

proj₁

et

proj₂

, ainsi que les équa-tions

proj₁(hx₁, x₂i) = x1

et

proj₂(hx₁, x₂i) = x2

.

L'arti lede D.DolevetA.C.Yao[DY81℄,souvent ité ommeréféren edansledomaine, utilise le symbole de dé hirement de façon expli ite. Par la suite, e modèle a un peu été délaissé au prot du modèle

IDY

permettant de raisonner dans l'algèbre libre (sans théorie équationnelle). Nous verrons, dans la partie 3.3.1, que le modèle dé rit i-dessus est en fait équivalent  au modèle

IDY

présentépré édemment : es deux modèles donnentà l'intrus le mêmepouvoir de dédu tion.Bienquenaturelle,latradu tionutilisée i-dessus nepermet pastoujoursdetraduireunmodèleàbased'unsystèmed'inféren equel onqueenunmodèle à based'un systèmed'inféren esimple équivalent ( f.partie 3.3.1).

L'avantagede etteappro he, onsistantà oderlesrèglesdedédu tiondanslathéorie équationnelle, est son uniformité. Mise à part larègle d'inféren e

IE

permettant de prendre

en ompte les propriétés algébriques des primitives ryptographiques, les règles d'inféren es restantes onstituentun système d'inféren e simple, 'est-à-dire omprenantuniquementla règlede omposition

(C)

.Ellepermetàl'intrusd'appliquerunsymbolepubli àdesmessages qu'il sait déduire.

Onremarqueraqu'unsystèmed'inféren esimpleestentièrementdéterminéparl'ensemble dessymbolesvisibles.Étantdonnéunsystèmed'inféren esimple

I

,onnotera

VFI

l'ensemble des symbolesvisiblesquilui est asso ié.Demême,étantdonné un ensemble de symbolesde fon tions

H

, on notera

IH

le systèmed'inféren e réduit à la règle omposition

(C)

pour les symbolesde

H

.

La notion d'arbre de preuve (Dénition 3.1) est bien sûr toujours valable. Mais on peut aussi voir un arbre de preuve omme l'appli ation d'un ontexte publi orrespondant à l'appli ation d'un ertain nombred'opérationsàla disposition del'intrus.

Dénition 3.5 (

H

- ontexte)

Soit

H

un ensemble de symbolesde fon tions. Un

H

- ontexte est un

λ

-terme

λx₁, . . . , x_n.t

ave

t ∈ T (H, {x1, . . . , xn})

, noté aussi

t[x1, . . . xn]

. L'appli ation du ontexte

t[x1, . . . xn]

à des termes

u₁, . . . , u_n

s'é rit

t[u₁, . . . , u_n]

.

Notation: Étantdonnéunethéorieéquationnelle

E

,nousappellerons

E

- ontexteun ontexte onstruitàpartir dessymbolesde fon tion de

sig(E)

.

Nous pouvonsmaintenant dénirlanotionde preuvepar ontexte.

Dénition 3.6 (preuve par ontexte)

Soient

I

un système d'inféren e simple et

E

une théorie équationnelle. Soit

T

un ensemble de termes, et posons

T = {t₁, . . . , t_n}

. Une preuve par ontexte de

T ⊢ u

dans

I ∪ IE

est un

VFI

- ontexte

C[x₁, . . . , x_n]

tel que

C[t₁, . . . , t_n] =_Eu

.

Pourles systèmesd'inféren esimples,lesnotionsd'arbredepreuveetdepreuvepar ontexte oïn ident.Nous avons lelemmesuivant :

Lemme3.7

Soient

I

un système d'inféren e simple et

E

une théorie équationnelle. Soient

T ⊆ T (F )

et

u ∈ T (F )

. Il existe une preuve par ontexte de

T ⊢ u

dans

(I, E)

si, et seulement si, il existe un arbrede preuve de

T ⊢ u

dans

(I, E)

.

Démonstration.

(

⇒

) Notons

t₁, . . . , t_n

lestermesde

T

.Par hypothèse, ilexiste

C ∈ T (VF_I, {x₁, . . . , x_n})

tel que

C[t₁, . . . , t_n] =_Eu

.L'arbre de preuve appliquant unà un lessymbolesde fon tionsde

C

etseterminant parl'instan ede

(Eq)

é rit i-dessous onvient :

T ⊢ C[t1, . . . , tn]

(Eq)

T ⊢ u

(

⇐

)Soit

P

unarbredepreuvede

T ⊢ u

dans

(I, E)

.Nousallonsmontrerparindu tionsur

P

qu'ilexisteun ontexte

C ∈ T (VF_I, {x₁, . . . , x_n})

tel que

C[t₁, . . . , t_n] =_Eu

.

Casde base :Si

P

seréduit àunefeuille, alorsle ontextevide onvient.

 Si

P

setermine paruneinstan e de

(Eq)

,alors

P

estde laforme :

T ⊢ v

(Eq)

T ⊢ u

ave

u =E v

. Par hypothèse d'indu tion, il existe

C^′

tel que

C^′[t1, . . . , tn] =E v

. Le ontexte

C^′

onvient puisque

v =Eu

.

 Si

P

setermine paruneinstan e de

(C)

,alors

P

est de laforme:

T ⊢ u1 . . . T ⊢ u_k

(C)

T ⊢ f (u1, . . . , u_k)

ave

f ∈ VF_I

. Par hypothèse d'indu tion, il existe des ontextes

C₁, . . . , C_k

tels que

C_i[t₁, . . . , t_n] =_Eu_i

pour tout

i ≤ k

. Le ontexte

C′ = f (C₁, . . . , C_k)

onvient. En eet, on a

C^′[t1, . . . , tn] = f (C1[t1, . . . , tn], . . . , C_k[t1, . . . , tn]) =E f (u1, . . . , u_k)

.



La notion de preuve par ontexte n'a pas de sens dans le as d'un système d'inféren e quel onque. Dans la suite, nous appellerons preuve, aussi bien un arbre de preuve qu'une preuve par ontexte.

3.2 Proto oles

Pourreprésenterlesproto oles,nousavonsjusqu'i iutilisélareprésentationintuitive utili-séedans[CJ97 ℄.Considéronsparexempleunevarianteduproto oledeDenning-Sa o[DS81℄:

A → B : A, {{hhA, Bi, K_abi}_priv(A)}_pub(B)

B → A : {secret}_Kab

Ce proto ole a pour but d'établir une lef de session

K_ab

( lef symétrique) entre les agents

A

et

B

.À lapremière étape du proto ole, l'agent

A

envoie d'une partsonnom

A

,et d'autrepartuntriplet ontenanten parti ulierla lefde session

K_ab

qu'ilvientd'engendrer. Ce triplet est hiré par un algorithmede hirement asymétrique ave la lef privée de

A

(notée

priv(A)

),puisave la lefpubliquede

B

(notée

pub(B)

).Àladeuxième étapedu pro-to ole, l'agent

B

reçoit le message

A, {{hhA, Bi, K_abi}_priv(A)}_pub(B)

. Il dé hire la deuxième partie du messageàl'aide de sa lef privée

priv(B)

.Il ee tue ensuite un dé hirement ave la lefpubliquedel'agentdontlenom orrespondàlapremière omposantedumessagereçu, i i

pub(A)

, e quilui permet de ré upérer ladernière omposantedu triplet:

K_ab

. L'obten-tion de ette lef valui permettre d'envoyerson se ret,

secret

, hiré par un algorithme de hirement symétriqueave la lef

K_ab

.

Cettereprésentationsimpledu proto ole esten faitambiguë.Que faitl'agent

B

lorsqu'il reçoitlemessage ensé orrespondreaumessage

A, {{hhA, Bi, K_abi}_priv(A)}_pub(B)

?Ilpeut dé- hirer la deuxième partie du message ave sa lef privée, puis dé hirer le résultat obtenu ave la lef publique de l'agent gurant dans la première omposante du message. Il ré u-père ainsi

K_ab

et peutalors émettre

{secret}Kab

surle réseau. Il peut aussifaire un ertain nombrede véri ationsupplémentaires.Ilpeutvérier quelemessageobtenu aprèsles deux

1. la première omposante est le nom d'un agent : elui dont il a utilisé la lef publique pourréaliser ledeuxième dé hirement,

2. la deuxième omposanteestsonnom.

Cet exemple illustre bien que ette représentation intuitive des proto oles ne dé rit pas pré isémenttouteslesa tionsdesagents,maisse ontentededonner unetra ed'exé ution normale  du proto ole. L'étude des proto oles ryptographiques ommen e don par une premièreétapede modélisation.

Dans le document Vérification des protocoles cryptographiques et propriétés algébriques (Page 37-42)