Propriétés de notre système d’inférence

6.4 Correction et compl´etude

6.4.1 Propriétés de notre système d’inférence

Nous prouvons dans cette section des invariants exprimant certaines propriétés satisfaites par des termes ou par des contraintes se produisant dans certains systèmes de contraintes dérivés à une certaine étape de la normalisation.

Nous commen¸cons par le premier invariant (Invariant 6.4.1.1), selon lequel tout terme quel- conque de notre système de contraintes contient au plus une seule variable d’indice. Cet invariant sera utilisé pour la preuve de correction et complétude de la Règle [5.35].

Invariant 6.4.1.1 #V arI(t) ≤ 1 pour t ∈ T .

Preuve. _{Initialement, les contraintes sont de la forme t ∈ F orge(E, K). Selon la propriété d’au-} tonomie de mpair sur P (voir Définition 5.6.2.1), on a V arI(t) = ∅. Ainsi, l’Invariant 6.4.1.1 est valide pour les contraintes initiales. Nous montrons que l’application des règles de SR conserve cet invariant.

Les R`egles [5.1], [5.4], [5.5], [5.6] et [5.8] ne changent aucune contraintes. L’Invariant 6.4.1.1 reste donc valide.

La Règle [5.2] change une contrainte en une autre tout en conservant les mêmes termes des contraintes initiales. Ainsi, l’Invariant 6.4.1.1 est satisfait. La Règle [5.3] élimine tout le bloc. L’invariant reste donc valide. La Règle [5.7] ajoute une nouvelle contrainte Yj = Z au bloc. Or, cette contrainte satisfait l’invariant.

La Règle [5.9] transforme une contrainte t ∈ F orge(E, K) soit en une contrainte t ∈ F orgec(E, K) en préservant le même t, ou en une contrainte de type Sub en utilisant les deux termes t et w ∈ E. Or, par hypothèse d’induction, #V arI(t) ≤ 1. En outre, selon la propriété d’autonomie de mpair sur P, on a V arI(w) = ∅, et donc #V arI(w) = 0. Ainsi, l’invariant est satisfait.

La Règle [5.10] décompose le terme à composer ht1, . . . , tmi en ses sous-termes ti, i = 1 . . . m. Vu que #V arI(ht1, . . . , tmi) ≤ 1 (par hypothèse d’induction), on a #V arI(ti) ≤ 1 ∀i = 1 . . . m. Le même raisonnement est appliqué pour les Règles [5.11] and [5.12].

Pour la Règle [5.13], grâce à la propriété d’autonomie de mpair, on a V arI(t) = {k}. L’invariant est donc valide.

La Règle [5.14] élimine tout le bloc. L’invariant reste donc valide. La Règle [5.15] transforme une contrainte de type Sub soit en une autre contrainte Sub, soit en une contrainte d’égalité tout

6.4. Correction et compl´etude 161 en conservant les deux termes utilis´es dans le Sub (t et u). L’invariant est donc valide dans les deux cas.

Pour la Règle [5.16], la contrainte Sub est transformée en une contrainte de type Sub avec le même terme t et le sous-terme ti de ht1, . . . , tmi. Vu que #V arI(ht1, . . . , tmi) ≤ 1 (par hypothèse d’induction), on a #V arI(ti) ≤ 1 ∀i = 1 . . . m.

Un raisonnement similaire est valide pour les R`egles [5.17] et [5.18] (avec l’ajout d’une contrainte de type F orge utilisant un sous-terme du terme initial t).

Pour la Règle [5.19], grâce à la propriété d’autonomie de mpair, on a V arI(u) = {k}. La Règle [5.20] élimine tout le bloc. Ainsi, l’invariant est valide pour ces deux règles. Les Règles [5.21] et [5.22] éliminent soit une contrainte (⊤) soit un bloc (⊥). L’invariant reste donc satisfait. La Règle [5.23] transforme une contrainte d’égalité de deux termes t et t′ en des contraintes d’égalité des sous-termes de t et t′. L’invariant est donc valide.

Pour la Règle [5.24], selon la propriété d’autonomie de mpair, on a V arI(u) = {k} et V arI(v) = {l}. Ainsi, l’invariant est valide.

La R`egle [5.25] remplace une variable d’indice par une autre dans un bloc. L’invariant reste donc satisfait.

Pour les Règles [5.26], [5.27], [5.28], [5.29], [5.30] et [5.31], le système de contraintes résultant de l’application de ces règles a les mêmes termes que le système avant application de ces règles. De même, les Règles [5.33], [5.34] et [5.35], transforment un système de contraintes en un autre construit sur les mêmes termes que le système initial modulo un remplacement d’indices. Enfin, la Règle [5.32] élimine un bloc. L’invariant est alors satisfait par ces différents règles. La deuxième propriété exprime la conservation d’au moins une contrainte pour chaque variable, une fois que cette variable a déjà admis une contrainte. Cette propriété est représentée par l’Invariant 6.4.1.2 qui sera utilisé pour les preuves des corollaires 6.4.1.9 et 6.4.1.10.

Invariant 6.4.1.2 Nous disons qu’une contrainte ctr est une contrainte pour X (ou X admet une contrainte ctr) si ctr = (X ∈ F orgec(E, K)) ou ctr = (X = u).

∀X ∈ X ∪ XI, pour toute r`egle r dans SR ∪ {Rule [5.4]}, si X admet une contrainte dans pre(r), alors elle admet une contrainte dans tout bloc B de post(r).

Preuve. _{Nous montrons que l’application des r`egles de SR ∪ {Rule [5.4]} conservent l’Inva-} riant 6.4.1.2.

La Règle [5.2] transforme une contrainte pour Y en une autre contrainte pour Y sans éliminer les autres contraintes. Ainsi, nous avons toujours des contraintes pour X et Y . La Règle [5.3] élimine tout le bloc. L’invariant reste donc valide. Les Règles [5.4], [5.5], et [5.8] ne changent pas de contraintes. La Règle [5.6] transforme une contrainte pour X en une autre contrainte pour X sans éliminer d’autres contraintes. Ainsi, nous avons toujours des contraintes pour X et Yj. La Règle [5.7] transforme une contrainte pour X en une autre contrainte pour X, tout en ajoutant une nouvelle contrainte pour Yj. Nous concluons que les règles du premier groupe satisfont l’invariant.

La Règle [5.9] peut ajouter une contrainte pour une variable mais ne peut pas éliminer d’autres. Quant aux autres règles du groupe G2, elles ne manipulent pas de contraintes pour des variables. L’invariant reste donc valide. La Règle [5.15] peut ajouter de contraintes pour une variable mais ne peut pas éliminer d’autres. Quant aux autres règles du groupe G3, elles ne manipulent pas de contraintes pour des variables. L’invariant reste donc valide. La Règle [5.23] peut ajouter de contraintes pour une variable mais ne peut pas éliminer d’autres. Quant aux autres règles du groupe G4, elles ne manipulent pas de contraintes pour des variables. L’invariant reste donc

162 Chapitre 6. Décidabilité pour les protocoles paramétrés bien tagués à clefs autonomes valide.

Les Règles [5.26], [5.27], [5.30] et [5.31] n’éliminent pas de contraintes pour des variables. La Règle [5.28] élimine une contrainte pour Xi (Xi ∈ F orgec(E′, K)) mais il reste dans le même bloc une autre contrainte pour Xi : Xi = u. Nous raisonnons d’une manière similaire pour la Règle [5.29]. La Règle [5.32] élimine le bloc. Nous concluons que les règles du groupe G5satisfont l’Invariant 6.4.1.2.

Pour la Règle [5.34], la contrainte pour Xm : Xm ∈ F orgec(E′, K) serait transformée soit en Xm ∈ F orgec(E′, K) soit en Xm = u0δ0. Dans les deux cas, il reste toujours une contrainte pour Xm. Pour la Règle [5.35], la contrainte pour Xm : Xm = v est soit conservée soit transformée en une autre contrainte : Xm = u0δ0. Dans les deux cas, il reste encore une contrainte pour Xm. Nous concluons que les règles du groupe G6 satisfont l’Invariant 6.4.1.2. L’invariant est donc

valide par application des r`egles de SR ∪ {Rule [5.4]}.

La troisième propriété exprime que le niveau des variables à l’intérieur du Sub est inclus dans l’ensemble de connaissances considéré dans le Sub. Cette propriété est illustrée par l’Inva- riant 6.4.1.3 qui sera utilisé pour la preuve de la Proposition 6.4.2.25.

Invariant 6.4.1.3 Pour une contrainte (t ∈ Sub(w, E, E, K)), nous avons ∀X ≤ w o`u X ∈ X ∪ XI, L(X) ⊂ E.

Preuve. _{Initialement, les contraintes de type Sub sont obtenues `}_{a partir des contraintes de} type F orge par la Règle [5.9]. Dans ce cas, nous obtenons la contrainte t ∈ Sub(w, E, E, K) où w ∈ E. Ainsi, ∀X ≤ w, selon la notion d’exécution correcte, et par définition de L(X), nous avons L(X) ⊂ E. Nous nous focalisons uniquement sur les règles manipulant des contraintes de type Sub. La Règle [5.15] transforme une contrainte t ∈ Sub(u, E, E, K) en la contrainte t ∈ Subd(u, E, E, K) sans modifier ni u ni E. L’Invariant 6.4.1.3 reste donc valide. Pour la Règle [5.16], vu que l’invariant est satisfait pour ht1, . . . , tmi et E, alors il le reste pour un sous- terme de ht1, . . . , tmi : ti et E. Le même raisonnement est valide pour les Règles [5.17], [5.18] et [5.19]. Les Règles [5.20] et [5.32] éliminent tout le bloc. L’invariant reste donc valide. La Règle [5.31] produit une contrainte t ∈ Sub(w, E′, E, K) où w est donnée par la contrainte X = w qui appartient à E. Cependant, par construction de E, L(w) ⊂ E′. Enfin, le raisonnement est

similaire pour la R`egle [5.33].

Pour toute la suite, les propriétés et les lemmes introduits sont limités à la première phase du calcul d’un certain CBSi. Celle-ci est donc effectuée avant la phase d’étiquetage des contraintes maˆıtres du niveau Ei−1.

La première propriété concernant cette première phase du calcul de CBSi se focalise sur la comparaison des niveaux des variables existants dans les deux termes d’une certaine contrainte Sub. Elle exprime que le niveau d’une variable à l’intérieur du Sub est inclus dans le niveau d’une variable à l’extérieur du Sub. Cette propriété est énoncée par l’Invariant 6.4.1.4. Cet invariant sera utilisé pour la preuve de la Proposition 6.4.1.7.

Invariant 6.4.1.4 ∀ctr du calcul d’un certain CBSi au cours de la phase 1, ∀X ∈ X ∪ XI t.q. L(X) = Ei−1, si ctr = t ∈ Sub(w, E, E, K) t.q. X ≤ t et ∀Y ≤ w alors L(Y ) ⊂ L(X).

Preuve. _{Initialement, les contraintes sont de type F orge, ce qui valide l’invariant. Nous mon-} trons que l’Invariant 6.4.1.4 est valide après chaque application des règles d’inférence. Le premier groupe ne manipule pas de contraintes de type Sub. L’invariant est donc valide. La Règle [5.9] génère une contrainte t ∈ Sub(w, E, E, K) où w ∈ E. Cependant, selon la notion d’exécution

6.4. Correction et complétude 163 correcte, et par définition de L(Y ), E ⊂ Ei et L(Y ) ⊆ E. Ainsi, L(Y ) ⊂ L(X), ce qui satisfait l’invariant. Les autres règles du groupe G2 ne manipulent pas de contraintes de type Sub. Les règles du groupe G2 satisfont donc l’invariant. La Règle [5.15] transforme une contrainte de type Sub en une autre de type Subd tout en conservant les mêmes termes t et u, ce qui satisfait l’invariant. La Règle [5.20] élimine tout le bloc. Les autres règles du groupe G3 décomposent le terme à l’intérieur de la contrainte Sub. L’invariant reste donc valide. Les règles du groupe G4 ne manipulent pas de contraintes de type Sub. L’invariant reste donc valide. La Règle [5.31] génère une contrainte t ∈ Subd(w, E, E, K). Cependant, w provient d’une contrainte sous-maˆıtre (X = w) ∈ E. Par construction de l’environnement, L(Y ) ⊂ L(X), ce qui satisfait l’invariant. Les autres règles du groupe G5 ne manipulent pas de contraintes de type Sub. Ainsi, les règles du groupe G5 satisfont l’invariant. La Règle [5.33] génère une contrainte t ∈ Subd(uδ, E′, E, K). Cependant, uδ provient d’une contrainte maˆıtre Xi= u ∈ E. En outre, par construction de E, L(Y ) ⊂ L(X), ce qui satisfait l’invariant. Les autres règles du groupe G6 ne manipulent pas de contraintes de type Sub. Ainsi, les règles du groupe G6 satisfont l’invariant. Nous concluons que l’Invariant 6.4.1.4 est valide après application de nos règles d’inférence. Pour exprimer la deuxième propriété concernant toujours cette première phase du calcul de CBSi, nous introduisons la Définition 6.4.1.5 qui désigne les différentes formes de contraintes que l’on puisse avoir pour une variable X dans notre système de contraintes.

D´efinition 6.4.1.5 Une contrainte ctr′ est dite de type (1) ou (1′) ou (2) ou (2′) ou encore (3) pour une variable X si

ctr′ = (t ∈ F orge(E, K)) où X ≤ t, (1) ou ctr′ = (t ∈ F orgec(E, K)) où X ≤ t, (1′) ou ctr′ = (t ∈ Sub(u, E, E, K)) où X ≤ t (2) ou ctr′ = (t ∈ Subd(u, E, E, K)) o‘u X ≤ t (2′)

ou ctr′ = (u = v) o`u X ≤ u ou X ≤ v (3)

La propriété suivante assure que, si une variable de niveau courant admet une contrainte d’un des types de la Définition 6.4.1.5, alors nous conserverons, dans tous les blocs résultant de toute règle d’inférence utilisée sur celle-ci, une contrainte de l’un de ces mêmes types.

Invariant 6.4.1.6 Pour toute règle r dans SR à l’exception des Règles [5.26] et [5.27] (i.e. Règles de la phase 1), ∀X ∈ X ∪ XI t.q. L(X) = Ei−1, si pre(r) contient une contrainte de type (1), (1′), (2), (2′) ou (3) pour X alors ∀B ∈ post(r), B contient une contrainte de type (1), (1′), (2), (2′) ou (3) pour X.

Preuve. _{Les Règles [5.3], [5.14], [5.20],[5.22] et [5.32] éliminent tout le bloc, ce qui valide l’inva-} riant. Les Règles [5.1], [5.2], [5.4], [5.5] et [5.8] ne changent pas de contraintes. L’invariant reste donc valide.

Pour les R`egles [5.6] et [5.7], les contraintes pour d’autres variables que Yj ne changent pas. Pour la variable Yj, il existe une contrainte de type (3). Ainsi, l’invariant est valide.

Pour la Règle [5.9], nous obtenons soit une contrainte de type (1′), soit une contrainte de type (2) pour la variable X. Pour les Règles [5.10], [5.11], [5.12] et [5.13], le terme t est décomposé. Cette règle génère une contrainte de type (1) pour X. Nous concluons que les règles du deuxième groupe satisfont l’invariant.

La Règle [5.15] génère soit une contrainte de type (3), soit une contrainte de type (2′) pour X. Pour les Règles [5.16], [5.17], [5.18] et [5.19], le terme t est décomposé. Ils génèrent de contraintes

164 Chapitre 6. Décidabilité pour les protocoles paramétrés bien tagués à clefs autonomes de type (2) pour X. Nous concluons que les règles du troisième groupe satisfont l’invariant. Pour les Règles [5.21] et [5.25], pre(r) ne contiennent pas de contraintes de type (1), (1′),(2),(2′) ou (3) pour X. Pour les Règles [5.23] et [5.24], le terme t est décomposé. Ils génèrent de contraintes de type (3) pour X. Nous concluons que les règles du quatrième groupe satisfont l’invariant.

La Règle [5.28] transforme la contrainte (Xi∈ F orgec(E, K)) en une autre : (u ∈ F orgec(E, K)). Néanmoins, il existe encore une contrainte de type (3) pour la variable Xi qui est (Xi = u). Le même raisonnement est valide pour la Règle [5.29]. Pour la règle [5.30], il existe une contrainte de type (1′) pour A. Nous concluons que les règles du cinquième groupe satisfont l’invariant. Les Règles [5.33] et [5.34] conservent la même contrainte donnée par pre(r). Le Règle [5.35] utilise les mêmes termes pour les contraintes d’égalité. Elle transforme une contrainte de type (3) pour les variables de v ou Xm en d’autres contraintes de même type. Nous concluons que les

r`egles du sixi`eme groupe satisfont l’invariant.

Nous présentons maintenant la propriété qui caractérise la première phase de la normalisation. Elle exprime l’existence d’une contrainte de type F orge ou de type égalité pour toute variable de notre système d’inférence à la fin de la première phase du calcul d’un certain CBSi. Cette propriété est énoncée par la Proposition 6.4.1.7.

Proposition 6.4.1.7 `A la fin de la phase 1 dans le calcul de CBSi, pour tout X ∈ X ∪ XI, pour tout bloc B, il existe une contrainte ctr ∈ B telle que ctr = (X ∈ F orgec(E, K)) ou ctr = (X = u).

Preuve. _{Nous introduisons tout d’abord la pr´etention suivante :}

Pr´etention 6.4.1.8 ∀ctr dans le calcul d’un certain CBSi `a la phase 1, ∀X ∈ X ∪ XI t.q. L(X) = Ei−1, si ctr = (Y = u) et X ≤ u alors L(Y ) < L(X).

Preuve. _{Nous montrons par contradiction que si ctr = (Y = u) et X ≤ u alors L(Y ) < L(X).} Soit ctr = (Y = u) tel que L(Y ) = L(X). Considérons une dérivation d = d′_j.Lj.dj telle que (Y = u) ∈ post(Lj). Ainsi, ∃l < j tel que (u′ = v′) ∈ post(Ll) où Y ≤ v′ et u ≤ u′ et pre(Ll) 6= (u” = v”) où u′ < u” et v′ < v”. La contrainte (u′ = v′) est obtenue soit en transformant une contrainte de type Sub en une contrainte d’égalité par la Règle [5.15], soit par entrelacement (Règle [5.35]). Notons que les Règles [5.33] et [5.34] génèrent des contraintes d’égalité mais qui ne suivent pas la forme de contraintes définies dans la Prétention 6.4.1.8. En effet, ces contraintes générées ne peuvent pas contenir X vu que ces contraintes appartiennent `

a E et L(X) = Ei−1.

1. Cas o`u pre(Ll) = (u′∈ Sub(v′, E, E, K)). Vu que X < u′_{, L(X) = E}

i−1 et qu’on calcule CBSi, selon l’Invariant 6.4.1.4, L(Y ) ⊂ L(X), ce qui contredit l’hypoth`ese : L(Y ) = L(X). Le mˆeme raisonnement est valide si pre(Ll) = (v′ ∈ Sub(u′, E, E, K)).

2. Cas où L_l = R [5.35], alors pre(L_l) = (Xm = u′) et comme contrainte maˆıtre, nous avons (Xi = v′). Vu que nous sommes dans la première phase, i.e. avant étiquetage des labels maˆıtres et sous-maˆıtres pour les variables de niveau Ei−1, alors L(v′) ⊂ Ei−1. Vu que L(X) = Ei−1 et Y < v′ alors L(Y ) ⊂ L(X), ce qui contredit l’hypothèse de L(Y ) = L(X). Notons que, à la fin de la première phase du calcul de CBSi, nous avons uniquement des contraintes résolues (Hypothèse H1). Nous montrons par contradiction qu’il existe une contrainte ctr pour X dans chaque bloc du système de contraintes S. Soit B un bloc de S tel que∄ctr ∈ B

6.4. Correction et complétude 165 pour X (Hypothèse H2). Selon l’Invariant 6.4.1.6, ∃ctr′ ∈ B tel que ctr′ est de type (1), (1′), (2), (2′) ou (3) pour X. Nous distinguons cinq cas. Dans le premier cas, ctr′ = (t ∈ F orge(E, K)) où X < t, sinon (quand t ∈ X ∪ XI) ctr = ctr′, ce qui contredit l’hypothèse H1. Dans ce cas, la Règle [5.9] peut être appliquée, ce qui contredit l’hypothèse H1.

Dans le deuxième cas, ctr′ = (t ∈ F orgec(E, K)) où X < t. Les Règles [5.10], [5.11], [5.12] et [5.13] peuvent être alors appliquées, ce qui contredit l’hypothèse H1.

Dans le troisième cas, ctr′ = (t ∈ Sub(u, E, E, K)) où X ≤ t. La Règle [5.15] peut alors être appliquée, ce qui contredit l’hypothèse H1.

Dans le quatrième cas, ctr′ = (t ∈ Subd(u, E, E, K)) où X ≤ t. Nous distinguons deux cas. Dans le premier cas, u /∈ X ∪ XI. Les Règles [5.16], [5.17], [5.18], [5.19] et [5.20] peuvent alors être appliquées, ce qui contredit l’hypothèse H1. Dans le deuxième cas, u = Y ∈ X ∪ XI. Or, selon l’Invariant 6.4.1.4, L(Y ) ⊂ L(X). Ainsi, ∃ctr3 ∈ E tel que ctr3 = (Y ∈ F orge(E3, K′)) ou ctr3 = (Y = u3) (par construction de E). Les Règles [5.31], [5.32] et [5.33] peuvent alors être appliquées, ce qui contredit l’hypothèse H1.

Dans le cinquième cas, ctr′ _{= (u = v) o`}_{u X ≤ v ou X ≤ u. Nous distinguons deux cas. Dans le} premier cas, u /∈ X ∪ XI. Les Règles [5.22], [5.23] et [5.24] peuvent alors être appliquées, ce qui contredit l’hypothèse H1. Dans le deuxième cas, u ∈ X ∪ XI. Si u = X alors ctr′ = ctr, ce qui contredit l’hypothèse H2. Si u = Y et X ≤ v alors, selon la Prétention 6.4.1.8, L(Y ) ⊂ L(X). Ainsi, ∃ctr” ∈ E pour Y et donc les Règles [5.27] et [5.35] peuvent être appliquées, ce qui

contredit l’hypoth`ese H1.

Nous étendons le résultat énoncé par la Proposition 6.4.1.7 pour exprimer en Corollaire 6.4.1.9 l’existence d’une contrainte maˆıtre unique pour chaque variable et ceci à la fin de toute phase de la normalisation.

Corollaire 6.4.1.9 `A la fin de toute phase, pour tout bloc B, ∀Xi ∈ XI, il existe une unique contrainte maˆıtre (ctr)m∈ B telle que ctr = (Xi ∈ F orgec(E, K)) ou ctr = (Xi = u).

Preuve. _{Pour la première phase, c’est une conséquence immédiate de la Proposition 6.4.1.7.} L’unicité de la contrainte maˆıtre est garantie par la condition B∩M(−→X ) = ∅ de la Règle [5.4]. Au début de la deuxième phase, pour un bloc B, ∀Xi∈ XI, il existe une seule contrainte (ctr)m ∈ B telle que ctr = (Xi ∈ F orgec(E, K)) ou ctr = (Xi= u) vu que l’Invariant 6.4.1.9 est préservé par la première phase.

Selon l’Invariant 6.4.1.2, notre système de règles conserve des contraintes pour Xi(des contraintes de type F orge ou d’égalité pour Xi) qui sont des contraintes maˆıtres candidates pour Xi. Nos règles n’éliminent jamais des contraintes maˆıtres pour les variables. Elles peuvent seulement changer des contraintes maˆıtres pour les variables par introduction de nouvelles contraintes candidates (de type égalité). Ceci est assuré par la Règle [5.5]. Cette règle procède à l’étiquetage d’une nouvelle contrainte maˆıtre pour −→X (Xj = u) tout en éliminant le label de l’ancienne contrainte maˆıtre. Ainsi, il ne reste qu’une seule contrainte maˆıtre pour −→X . Finalement, nous étendons le résultat donné par le Corollaire 6.4.1.9 pour exprimer l’exis- tance d’une contrainte de type F orge ou égalité pour toute variable non indicée de notre système de contraintes, et ceci à la fin de chaque phase. Cette propriété est énoncée par le Corollaire 6.4.1.10.

Corollaire 6.4.1.10 `A la fin de toute phase de la normalisation, pour tout bloc B, ∀X ∈ X , il existe une contrainte ctr ∈ B telle que ctr = (X ∈ F orgec(E, K)) ou ctr = (X = u).

166 Chapitre 6. Décidabilité pour les protocoles paramétrés bien tagués à clefs autonomes

Dans le document Contributions à la vérification automatique de protocoles de groupes. (Page 173-179)