D´ecidabilit´e dans le cas d’un intrus passif (Kremer et al.)

R´ecemment, [57] ont d´evelopp´e une technique d’approximation `a base d’automates qui per- met d’analyser la classe des protocoles de groupe et de v´erifier l’absence d’´eventuelles attaques en pr´esence d’un intrus passif . Cet intrus ne fait qu’´ecouter tous les messages ´emis durant toute session.

Mod`ele

Mis `a part les constantes, la signature Σ comprend des symboles de fonctions binaires telles que la paire (pair), l’encryption (enc), l’exponentielle (exp), la multiplication (mult) et le ou exclusif (xor). Elle comprend aussi un symbole de fonction unaire qui repr´esente la hachage (H). Ce mod`ele est ´etendu par une th´eorie ´equationnelle repr´esent´ee par un syst`eme de r´e´ecriture R modulo associativit´e et commutativit´e.

x ⊕ 0 → x

x ⊕ x → 0

((x)y)z → xy.z hx, yiz → hxz_{, y}z_i

3.4. ´Etat de l’art : r´esultats th´eoriques 61 Protocole. Un protocole est d´efini par deux fonctions e et k. Pour un protocole `a n participants, ce protocole est d´efini par e(n) et k(n). e(n) d´esigne l’ensemble des termes ´emis par les parti- cipants du protocole durant une ex´ecution de ce protocole. k(n) d´esigne l’ensemble de termes qui doivent ˆetre secrets durant cette ex´ecution. Ces ensembles de termes peuvent ˆetre d´efinis de mani`ere inductive. Un exemple de l’ensemble k(n) serait de consid´erer l’ensemble `a un singleton qui repr´esente la clef `a construire. Une sp´ecification du protocole est une paire d’ensembles de termes (E, K) telle que E = S_n∈Ne(n) et K = S_n∈Nk(n).

Intrus et propri´et´es. L’intrus consid´er´e dans ce mod`ele est l’union des d´eductions de l’in- trus de Dolev Yao (DY). Le syst`eme complet de d´eductions est nomm´e I. Mis a part les r`egles standard de DY (analyse et synth`ese), I est ´etendu par deux autres r`egles additionnelles. La premi`ere r`egle permet `a l’intrus de composer un terme t1t2 avec t2 est une constante. L’intrus peut composer ce message s’il peut composer les deux termes t1 et t2. La deuxi`eme r`egle permet `a l’intrus de composer un terme t1⊕ ... ⊕ tn si l’intrus arrive `a composer chacun des termes ti. Apr`es chaque application d’une r`egle, le r´esultat est mis en forme normale modulo associativit´e et commutativit´e.

Le mod`ele consid´er´e focalise sur la propri´et´e de secret d’un certain ensemble de messages. Dans le cadre des protocoles d’´echange de clefs de groupe, l’ensemble de messages qui doivent ˆetre secrets serait l’ensemble des clefs de sessions ´etablies durant les diff´erentes sessions du protocole. Dans ce mod`ele, cette propri´et´e peut ˆetre d´efinie comme suit : ´etant donn´e une sp´ecification du protocole (E, K), existe-t-il un secret de K qui peut ˆetre d´eduit d’un certain ensemble ´emis dans une session et donc de E ? La v´erification de cette propri´et´e revient donc `a tester si I(E)∩K = ∅.

R´esultats

Les auteurs introduisent des restrictions pour les sp´ecifications des protocoles permettant de r´eduire les capacit´es de l’intrus. Les d´eductions de l’intrus sont donc r´eduites de I `a celles de DY pour une classe particuli`ere de sp´ecifications de protocoles appel´ees sp´ecifications bien form´ees. Une sp´ecification de protocole (E, K) est dite bien form´ee si elle satisfait trois conditions. La premi`ere condition pr´ecise que l’op´erateur ⊕ a une arit´e 2 et se produit uniquement en position racine de tout terme de E. En outre, les composants u et v d’un terme t = u ⊕ v de E ne doivent pas ˆetre d´eductibles par l’intrus. La deuxi`eme condition pr´ecise que toute constante figurant comme exposant dans un terme de E ∪ K ne doit pas ˆetre accessible et donc ne doit pas ˆetre dans la sur-approximation des termes accessibles. La troisi`eme condition n´ecessite que les secrets ne contiennent pas des termes construits `a base de ⊕, i.e. l’ensemble de clefs n’impliquent pas de ⊕. Le papier montre que, pour une classe de protocoles bien form´es, un mod`ele des capacit´es de l’intrus impliquant l’exponentiation et le ⊕ est ´equivalent `a un mod`ele plus faible qui peut ˆetre vu comme le mod`ele de DY modulo associativit´e et commutativit´e de certains op´erateurs.

Par des s´eries de r´eductions et de sur-approximations, le probl`eme d’ins´ecurit´e d’un proto- cole de groupe en pr´esence d’un intrus passif est prouv´e en utilisant des techniques d’automates d’arbre avanc´es. Pour repr´esenter une sur-approximation de l’ensemble de messages ´emis et l’ensemble des secrets, les auteurs utilisent un formalisme d’automates d’arbre avanc´e appel´e VTAM pour Visibly Tree Automata with Memory, visibly structural constraints. L’ensemble de messages que l’intrus peut d´eduire d’un ensemble de messages ´emis peut ˆetre d´ecrit de nouveau dans ce formalisme. En outre, montrer que ces deux ensembles sont disjoints est d´ecidable dans ce formalisme. Ce formalisme permet aussi de sp´ecifier les ensembles d´efinis inductivement de

62 Chapitre 3. V´erification de protocoles de groupe messages des protocoles de groupe.

La signature Σ utilis´ee dans la sp´ecification de protocole peut ˆetre infinie vu qu’elle contient les constantes indic´ees selon le nombre de participants dans une session. Pour d´efinir un auto- mate reconnaissant E et K, les auteurs introduisent une signature Σ′qui va contenir uniquement des constantes, des symboles binaires et une fonction appropri´ee ρ qui associe aux termes de Σ des termes de Σ′_{. Vu que Σ}′ _{est finie, les auteurs peuvent alors tester si ρ(DY (E)) ∩ ρ(K) = ∅} en utilisant les automates avanc´es.

Pour repr´esenter l’associativit´e et la commutativit´e de certains op´erateurs dans leur mod`ele d’automates, les auteurs introduisent une fonction nomm´ee W qui permet d’associer `a tout terme t′ _{de Σ}′ _{de la forme t}′ _{= ρ(t), le plus petit ´el´ement de ρ de sa classe d’´equivalence modulo} AC, ceci pour un certain ordre qu’ils ont d´efini sur Σ′.

Finalement, les auteurs ont montr´e que le langage reconnu par la classe des automates consid´er´ee est pr´eserv´e par construction de la clˆoture de DY.