Protocoles existants sur distance bounding

Cette section sera consacrée à la présentation de quelques protocoles populaires dans la littérature de distance bounding. Tous les protocoles qui seront présentés appartiennent à la classe de Hancke et Kuhn. Je focalise sur cette classe plus adaptée à des environnements contraints en consommation et capacité de calcul. Je décris d’abord le protocole de réfé-rence de Hancke et Kuhn [9]. Ensuite, je présente les protocoles de Munilla et Peinado [10] et MUSE-pHK [137]. Dans tous ces protocoles, l’authentification est réalisée `a l’aide des primitives de la cryptographie symétrique.

3.2.1 Protocole de Hancke et Kuhn

Le protocole de Hancke et Kuhn (noté HK) [9] est un protocole de référence dans la littérature. Il est caractérisé par sa simplicité et sa rapidité ce qui le rend adapté aux applications à faible coût. Le déroulement du protocole est décrit dans la Figure 3.4.

Initialisation : V et P partagent une clé secrète K. Ils se mettent d’accord sur un paramètre de sécurité n et une fonction pseudo-aléatoire publique H. V fixe une borne temporelle maximale t_max.

Protocole : Le protocole consiste en deux phases : une phase lente suivie d’une phase rapide.

– Phase lente : V génère un nonce NV et l’envoie à P. Réciproquement, P génère un nonce N_P et l’envoie à V . Les nonces ont le même ordre de longueur que la clé K. Ensuite, V et P calculent H2n= H(K, N_P, N_V). Le contenu de H2n est divisé en deux registres : R0= H₁···Hn et R1= H_n₊₁··· H2n. Ces deux registres jouent le rôle des clés de session.

CHAPITRE 3. ATTAQUE PAR RELAIS

– Phase rapide : Elle est composée de n tours. A chaque tour, V génère un défi c_i et l’envoie `a P. Ce dernier répond immédiatement avec r_i= R^ci

i , le i`eme bit du registre

R^ci. V calcule à chaque tour le RTT entre l’envoi de ci et la réception de ri : δti. V´erification : A la fin de la phase rapide, V vérifie que toutes les réponses re¸cues sont correctes en les comparant aux contenus des deux registres. Il vérifie également la condition : ∀i,1 ≤ i ≤ n,δti≤ tmax.

P V K, H K, H Phase lente : NV ←−−−−−−−−−−− Génère N_V Génère NP NP −−−−−−−−−−−→ H²ⁿ= H(K, NP, NV) R0= H1··· Hn R1= H_n₊₁···H2n Génère c ∈ {0,1}n Phase rapide : Pour i = 1 ··· n ci ←−−−−−−−−−− Envoie ci Envoie ri= R^ci i ri −−−−−−−−−−→ Mesure du RTT : δti

Fin phase rapide :

V´erifie exactitude des ri

et δti≤ tmax

Fig.3.4 – Le protocole de Hancke et Kuhn [9].

Depuis la publication du protocole HK, plusieurs extensions ont été publiées [138–142]. Elles incluent des variantes du problème et des améliorations. Le protocole HK souffre d’une probabilité de succès élevée de la fraude mafieuse (voir section suivante). De ce fait, plusieurs protocoles ont été proposés pour améliorer la sécurité de HK et réduire la probabilité de succès de la fraude mafieuse [10,138,139]. Parmi ces protocoles, je mentionne ici le protocole de Munilla et Peinado [10] et le protocole MUSE-pHK [138]. Dans ce qui suit, je détaille le principe de ces deux protocoles.

3.2.2 Protocole de Munilla et Peinado

Afin de réduire la probabilité du succès de la fraude mafieuse contre le protocole HK, Munilla et Peinado [10] introduisent le concept des défis vides. Les défis peuvent être maintenant 0, 1 et vide o`u vide signifie que le défi n’est pas envoyé. V et P se conviennent à l’avance sur les défis vides. A la réception d’un 0 ou 1 alors qu’un défi vide est attendu, P détecte une attaque et arrête le protocole. La Figure 3.5 décrit le déroulement du protocole. Initialisation : L’initialisation du protocole est la même que celle du protocole HK. Protocole : Le protocole est composé d’une phase lente suivie d’une phase rapide.

CHAPITRE 3. ATTAQUE PAR RELAIS

– Phase lente : V et P échangent les nonces N_V et N_P. A partir de ces valeurs, ils calculent H4n= H(K, N_P, N_V) de taille 4n bits. Parmi ces bits, 2n bits seront utilisés pour générer un registre T de taille n comme suit : si H2i−1H2i= 00, 01 ou 10 alors

T_i = 1, sinon T_i= 0. Chaque T_i décide si le défi actuel c_i est vide (T_i = 0) ou non (Ti= 1). Dans ce dernier cas, le défi sera 0 ou 1, je parle d’un défi plein. Les 2n bits restants seront utilisés pour générer les deux registres R0 et R1 exactement comme le protocole HK.

– Phase rapide : Si un d´efi plein est re¸cu et Ti= 1, P r´epond avec ri= R^ci

i . V calcule le RTT noté δt_i entre l’envoi de c_i et la réception de r_i. Si un défi vide est re¸cu et T_i= 0,

Preste silencieux. Sinon, P détecte une attaque et arrête le protocole. A la fin de la phase rapide, si aucune détection d’attaque n’est reportée, P envoie H(K, R0, R1) à

V´erification : Connaissant le contenu des deux registres R0et R1, V vérifie H(K, R0, R1) indiquant que P n’a pas détecté d’attaque. V vérifie également les réponses ri re¸cues et les δt_i mesurées. P V K, H K, H Phase lente : Génère NP −−−−−−−−−−−→^N^P NV ←−−−−−−−−−−− Génère NV H⁴ⁿ= H(K, NP, NV) T_i= 0si H2i−1H2i= 00 1sinon R0= H_2n+1··· H3n R1= H_3n+1··· H4n Génère c ∈ {0,1}n Phase rapide : Pour i = 1 ··· n Si Ti= 0 alors défi vide

Sinon : ci ←−−−−−−−−−− Envoie c_i Envoie r_i= Rci i ri −−−−−−−−−−→ Mesure du RTT : δt_i

Fin phase rapide :

Si pas d´etection d’attaque ^H^(K,R

0,R1)

−−−−−−−−−−−−−−−−→ V´erifie l’exactitude des r_i, H

et δti≤ tmax

CHAPITRE 3. ATTAQUE PAR RELAIS

3.2.3 Protocole MUSE-pHK

La technique proposée dans [137] repose sur l’utilisation des p-symboles qui généralisent la notion des défis vides proposée par Munilla et Peinado [10]. Avec cette technique, les défis et les réponses de la phase rapide ne sont plus des simples bits mais des p-symboles. L’idée peut être appliquée à tout protocole de distance bounding. J’expose l’application de cette technique au protocole HK. Le nouveau protocole appelé MUSE-pHK, p ≥ 2 est similaire au protocole HK à l’exception qu’il utilise :

– des p-symboles, un p-symbole ´etant un entier dans {0,1··· , p − 1} ; – p registres contenants n p-symboles ;

– les d´efis et les r´eponses sont des p-symboles.

Dans le document Sécurisation d'un lien radio UWB-IR (Page 67-70)