Propri´et´es d’un groupe dynamique

Pereira [79] reprend la propri´et´e de secret futur parfait (PFS) en la d´etaillant plus. Il d´efinit deux variantes de cette propri´et´e selon que l’on a manipul´e ou modifi´e aucun message des sessions pass´ees (D´efinition 2.4.3.1), ou bien que l’on a manipul´e quelques messages (D´efinition 2.4.3.2). Cette diff´erenciation de cas n’´etait pas n´ecessaire dans le cas de PFS puisque cette propri´et´e a ´et´e d´efinie au d´epart dans le contexte des protocoles `a deux participants. Dans un tel contexte, l’intrus n’avait pas la possibilit´e de manipuler des messages puisque les deux participants ne

2.4. Propri´et´es de s´ecurit´e 33 seraient pas d’accord sur une clef de session unique. Il n’y aura pas donc d’ult´erieures commu- nications permettant `a l’intrus de manipuler d’´eventuels messages. Dans le cadre des protocoles de groupe, i.e. `a plusieurs participants, la manipulation d’un message peut alt´erer la vue de la clef d’un participant particulier alors que les autres participants du groupe calculent la mˆeme clef. Cependant, cette manipulation n’empˆeche pas ces derniers participants de communiquer entre eux avec cette clef commune, et donc de fournir des messages que l’intrus peut manipuler. Ainsi, la premi`ere variante, correspondant au cas de manipulations d’aucun message du pass´e comme suit :

D´efinition 2.4.3.1 Secret futur complet.

Un protocole satisfait la propri´et´e de secret futur complet si le compromis des clefs `a long terme n’entraˆıne pas le compromis des clefs de sessions pass´ees en supposant qu’aucun message de sessions ant´erieures du protocole n’a pas pu ˆetre manipul´e.

Quand `a la deuxi`eme variante, elle correspond `a la manipulation de certains messages dans le pass´e, et est d´efinie par :

D´efinition 2.4.3.2 Secret futur individuel.

Un protocole satisfait la propri´et´e de secret futur individuel si le compromis des clefs `a long terme n’entraˆıne pas le compromis des clefs de sessions pass´ees, et ce en supposant que quelques membres du groupe ont fait l’objet d’attaques dans le pass´e tout en gardant les autres membres du groupe non affect´es.

Dans un sc´enario de la D´efinition 2.4.3.2, le membre attaqu´e est contraint d’ˆetre exclu du groupe en g´en´erant une clef de session diff´erente de toutes les autres. Le reste du groupe a une mˆeme vue de la clef de groupe et donc peut communiquer entre eux. Le participant attaqu´e se trouve passif : il ne fait que recevoir les messages ´echang´es entre les autres sans mˆeme pouvoir les d´echiffrer ou participer `a cette communication.

Le travail [79] d´etaille aussi la notion d’attaques `a clefs connues en se basant sur l’id´ee que les clefs de session ne sont pas uniquement les secrets de sessions. En outre, pour les protocoles d’accord de clefs, ces clefs de session sont bas´ees essentiellement sur les contributions des membres du groupe. Ces contributions des diff´erents membres sont alors elles aussi des secrets relatifs aux sessions.

D´efinition 2.4.3.3 Attaques `a secrets de sessions connus.

Un protocole est vuln´erable aux attaques `a secrets de sessions connus si le compromis des secrets de sessions pass´ees permet, soit `a un intrus passif de compromettre des clefs de sessions futures, soit `a un intrus actif d’espionner des sessions futures.

Remarquons ici que, d’une mani`ere triviale, si un protocole est vuln´erable `a des attaques `a clefs de sessions connues alors ce protocole est vuln´erable `a des attaques `a secrets de sessions connus.

D’autres variantes de propri´et´es ont ´et´e d´efinies dans [55]. Elles sont aussi valables pour les protocoles d’accord de clefs. Elles d´ependent de la dynamique du groupe et se focalisent sur l’impact des clefs d’une certaine session sur les clefs des autres sessions. Nous commen¸cons par les d´efinitions des secret pass´e et futur faibles. Ces deux propri´et´es ont comme caract´eristiques de supposer que l’intrus n’est autre qu’un membre du groupe. La premi`ere se focalise sur les droits que peut avoir un nouveau membre du groupe.

34 Chapitre 2. Protocoles de groupe D´efinition 2.4.3.4 Secret de pass´e faible (BSW).

Cette propri´et´e garantit que les clefs pass´ees du groupe ne doivent pas ˆetre d´ecouvertes par les nouveaux membres du groupe.

La deuxi`eme propri´et´e, i.e. le secret futur faible, se focalise sur un ancien membre du groupe. D´efinition 2.4.3.5 Secret de futur faible (FSW).

Cette propri´et´e garantit que les nouvelles clefs restent hors de port´ee des anciens membres du groupe.

L’int´erˆet des deux propri´et´es (secrets futur et pass´e faibles) est de verrouiller les droits des membres du groupe. Un ´eventuel membre futur d’un groupe ne doit pas avoir acc`es aux communications pass´ees de ce groupe et donc n’a pas le droit de connaˆıtre les clefs de ses sessions pass´ees. De la mˆeme mani`ere, un ancien membre d’un groupe n’a droit qu’`a la clef de sa session. Il ne doit pas acc´eder `a toute communication apr`es cette session. Pour voir l’int´erˆet de ces deux propri´et´es, revenons `a notre exemple de la soci´et´e vendant ses programmes sur internet. Il est tout `a fait ´evident qu’un membre actuel du groupe d’abonn´es ne peut en aucun cas regarder des programmes qui ´etaient diffus´es avant la date d’abonnement de ce membre ou bien qui seraient diffus´es apr`es la date de fin de l’abonnement, vu qu’il n’a pas pay´e pour ces deux p´eriodes.

Ces deux propri´et´es sont g´en´eralis´ees pour d´efinir les propri´et´es de secret pass´e et futur qui traitent aussi le cas d’un intrus qui n’a jamais ´et´e membre du groupe. Nous notons ici que la notion de secret futur est `a ne pas confondre avec la d´efinition de propri´et´e PFS donn´ee en D´efinition 2.4.1.6.

D´efinition 2.4.3.6 Secret futur.

Cette propri´et´e garantit qu’un intrus passif connaissant un sous-ensemble d’anciennes clefs de groupe ne peut pas d´ecouvrir un ensemble ult´erieur de clefs de groupe. En d’autres termes, aucun sous-ensemble de clefs anciennes de groupe ne peut ˆetre utilis´e pour d´ecouvrir des clefs suivantes de ce groupe.

D´efinition 2.4.3.7 Secret pass´e.

Cette propri´et´e garantit qu’un intrus passif connaissant un sous-ensemble de clefs de groupe ne peut pas d´ecouvrir les clefs pr´ec´edentes de groupe. En d’autres termes, aucun sous-ensemble de clefs de groupe ne peut ˆetre utilis´e pour d´ecouvrir les clefs ant´erieures de ce groupe.

Les deux propri´et´es de secret futur et de secret pass´e peuvent ˆetre combin´ees pour ne faire qu’une seule propri´et´e : l’ind´ependance de clefs d´efinie comme suit :

D´efinition 2.4.3.8 Ind´ependance de clefs.

Aucun sous-ensemble de clefs de groupe ne peut ˆetre utilis´e pour la d´ecouverte d’aucun autre sous-ensemble.

La relation entre ces diff´erentes propri´et´es est intuitive. En effet, les deux premi`eres propri´et´es (secrets futur et pass´e faibles) sont diff´erentes des autres dans le sens o`u, elles supposent que l’intrus est un membre courant ou ancien du groupe. Les autres propri´et´es incluent le compromis des clefs de groupe. Les propri´et´es de secret futur et secret pass´e sont plus fortes que celles de secret futur faible et secret pass´e faible. Ces deux propri´et´es englobent la propri´et´e de secret de groupe et la propri´et´e d’ind´ependance de clefs englobe le reste.

2.5. Impact des agents malhonnˆetes 35