Notre mod`ele est une extension des mod`eles classiques

Le but de cette section est de prouver la terminaison pour notre système d’inférence défini dans la Section 5.8 du Chapitre 5 et ceci pour les protocoles sans variables d’indice et sans mpairs générant des indices. Notons que pour ces protocoles, un système de contraintes ne contien- drait ni quantificateurs, ni variables d’indices et par conséquent pas de contraintes maˆıtres. Ce

6.5. Notre modèle est une extension des modèles classiques 175 résultat permet de justifier le fait que notre modèle est une extension des modèles classiques de vérification de protocoles cryptographiques. Nous commen¸cons tout d’abord par définir dans la Section 6.5.1 le poids d’un système de contraintes en fonction de ses ingrédients, à savoir les blocs de contraintes, les contraintes élémentaires et les termes. Nous montrerons par la suite en Section 6.5.2 que, pour chacune des règles de notre système d’inférence, le poids du système de contraintes initial est supérieur à celui du système de contraintes résultant.

6.5.1 Poids des termes, contraintes élémentaires, blocs et systèmes de contraintes

Nous définissons tout d’abord le poids k k des termes, des contraintes élémentaires, des blocs de contraintes et des systèmes de contraintes. Afin de définir le poids d’un terme, nous avons be- soin d’introduire quelques définitions telles que la notion de rang d’un terme (Définition 6.5.1.1) et la notion de taille d’un terme (Définition 6.5.1.2).

D´efinition 6.5.1.1 Rang d’un terme.

Le rang d’un terme t est d´efini comme suit : – r(X) = max{l | X ⊏lY , Y ∈ X } pour X ∈ X – r(t) = max{r(Y ) | Y < t, Y ∈ X }

D´efinition 6.5.1.2 Taille d’un terme.

Nous d´efinissons la taille d’un terme t, not´ee |t|, comme suit : – |t| = 1 pour t ∈ X ∪ C

– |f (u1, .., um)| = 1 + |u1| + .. + |um| – |h(u)| = 2 + |u| pour h ∈ H

Nous étendons cette définition aux ensembles de termes : |E| = Σt∈E|t| pour E ⊂ T . Nous pouvons maintenant définir les poids des termes, des contraintes élémentaires et finalement des blocs de contraintes et des systèmes de contraintes. Nous commen¸cons par définir le poids d’un terme :

D´efinition 6.5.1.3 Poids d’un terme.

Soit p la taille du protocole, i.e. la somme des tailles des messages. Nous d´efinissons le poids d’un terme t, not´e ktk, comme suit :

– kXk = pr(X) + 1 pour X ∈ X – kck = 1 pour c ∈ C

– kf (u1, .., um)k = 1 + ku1k + .. + kumk – kh(u)k = 2 + kuk pour h ∈ H

Nous étendons cette définition d’une manière naturelle aux ensembles de termes : kEk = Σt∈Ektk pour E ⊂ T .

Ensuite, le poids d’une contrainte élémentaire est donnée par la Définition 6.5.1.4. Définition 6.5.1.4 Poids d’une contrainte élémentaire.

Soit st le nombre de sous-termes du protocole. Nous définissons le poids d’une contrainte élémentaire ctr, noté kctrk, comme suit :

– kt ∈ F orge(E, K)k = hst − #K, ktk + kEk + |E| + 1i – kt ∈ F orgec(E, K)k = hst − #K, ktk + kEk + |E|i – kt ∈ Sub(w, E, E, K)k = hst − #K, ktk + kwk + |E| + 1i – kt ∈ Subd(w, E, E, K)k = hst − #K, ktk + kwk + |E|i

176 Chapitre 6. Décidabilité pour les protocoles paramétrés bien tagués à clefs autonomes – kt = uk = h0, ktk + kuki

En outre, un bloc de contraintes est constitué de plusieurs contraintes élémentaires. Le poids d’un bloc est alors donné par la Définition 6.5.1.5.

D´efinition 6.5.1.5 Poids d’un bloc de contraintes.

Soient N cE le nombre maximal de contraintes d’égalité de la forme X = u où X ∈ X et N cN le nombre maximal de contraintes négatives de type F orge. Considérons un bloc de contraintes B = ctr1∧ ..ctrl. Nous désignons par N cB le nombre de contraintes négatives dans B, ScB le nombre de contraintes sous-maˆıtres dans B et EcB le nombre de contraintes d’égalité de la forme X = u (X ∈ X ) dans B. Ensuite, nous notons hi l’ordre lexicographique et [] le multi-ensemble.

Nous d´efinissons alors le poids d’un bloc B comme suit :

kBk = N cN − N cB, N cE − ScB, [kctrik]ctri∈B, N cE − EcB

Finalement, vu qu’un système de contraintes est constitué de plusieurs blocs de contraintes, nous pouvons maintenant définir le poids d’un tel système de contraintes :

D´efinition 6.5.1.6 Poids d’un syst`eme de contraintes.

Considérons un système de contraintes : S = B1 ∧ ..Bl. Nous définissons le poids de S comme suit :

kSk = [kBik]Bi∈S

6.5.2 Terminaison pour les protocoles sans indices et sans mpair

Le but de cette section est de prouver la Proposition 6.2.0.6 de la Section 6.2 : Proposition 6.2.0.6 Terminaison pour les protocoles sans indices et sans mpair(, ).

L’algorithme 6.2 termine pour les protocoles sans variables d’indices et sans mpair(, ). Preuve. _{Nous prouvons la Proposition 6.2.0.6 en montrant que chaque règle de notre système} d’inférence défini en Section 5.8 du Chapitre 5 fait diminuer le poids de notre système de contraintes S, i.e. considérant une règle r, kpost(r)k < kpre(r)k. Tout d’abord, notons que les règles de notre système d’inférence n’éliminent pas de contraintes négatives. Ainsi, ∀B ∈ S, N cN − N cB reste inchangé ou bien diminue pour le cas de la Règle [5.31]. Par conséquent, la Règle [5.31] fait diminuer kSk. Les Règles [5.3], [5.14], [5.20], [5.22] et [5.32] éliminent un bloc du système de contraintes vu qu’elles mènent toutes à ⊥. Elles font donc diminuer kSk. La Règle [5.22] élimine une contrainte d’un certain bloc de S vu qu’elle mène à ⊤. Elle diminue alors kSk. La Règle [5.1] change une contrainte d’égalité ctr ∈ B en une autre de la forme (X = u) où X ∈ X. Ainsi, le nombre de contraintes sous-maˆıtres et le poids de contraintes de B demeurent inchangés. En outre, N cE − EcB diminue vu que EcB augmente. Par conséquent, kBk diminue et ainsi fait kSk.

La Règle [5.8] ajoute une contrainte sous-maˆıtre à un bloc B ∈ S. Ainsi, kSk diminue. Pour la Règle [5.2], vu que (X = u)sm _{∈ B, alors kXk > kuk.}

En effet, kuk ≤ |u| ∗ pmax{r(Y )|Y <u,Y ∈X } ≤ pr(X)+1_{. Ensuite, kY = Xk = kY k + kXk >} kY k + kuk = kY = uk. En outre, le nombre de contraintes sous-maˆıtres reste inchang´e. Ainsi, kSk diminue.

Pour la Règle [5.9], nous avons kpre(R [5.9])k > kpost(R [5.9])k. En effet, kpre(R [5.9])k = hk, ktk + kEk + |E| + 1i et kpost(R [5.9])k = [hk, ktk + kEk + |E|i, hk, ktk + kwk + |E| + 1i], où k = st − #K et w ∈ E. En outre, la Règle [5.9] ne change pas le nombre de contraintes

6.6. Terminaison pour les protocoles bien tagu´es avec clefs autonomes 177

Dans le document Contributions à la vérification automatique de protocoles de groupes. (Page 187-190)