Vérification des protocoles cryptographiques et propriétés algébriques

HAL Id: tel-00132677

https://tel.archives-ouvertes.fr/tel-00132677

Submitted on 22 Feb 2007

HAL is a multi-disciplinary open access

archive for the deposit and dissemination of

sci-entific research documents, whether they are

pub-lished or not. The documents may come from

teaching and research institutions in France or

abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est

destinée au dépôt et à la diffusion de documents

scientifiques de niveau recherche, publiés ou non,

émanant des établissements d’enseignement et de

recherche français ou étrangers, des laboratoires

publics ou privés.

propriétés algébriques

Stéphanie Delaune

To cite this version:

Stéphanie Delaune. Vérification des protocoles cryptographiques et propriétés algébriques. Autre

[cs.OH]. École normale supérieure de Cachan - ENS Cachan, 2006. Français. �tel-00132677�

présentée à l'É ole Normale Supérieure de Ca han

pour obtenir le grade de

Do teur de l'É ole Normale Supérieure de Ca han

par: Stéphanie Delaune

Spé ialité : Informatique

Véri ation des proto oles ryptographiques

et propriétés algébriques

Soutenue le 20 juin 2006

Composition du Jury :

 Ahmed Bouajjani président du jury

 Hubert Comon-Lundh dire teur de thèse

 Fran is Klay dire teur de thèse

 Denis Lugiez rapporteur

 Christopher Lyn h invité

 Mi haëlRusinowit h rapporteur

 Mark Ryan examinateur

Résumé

Ave ledéveloppementdesréseauxde ommuni ations ommeInternet,etl'essordu om-mer eéle tronique,lebesoind'assurerlasé uritédesé hangesa onsidérablementaugmenté. Les ommuni ationssé uriséessontréalisées parl'utilisationde petitsprogrammes appe-lésproto oles ryptographiquesquipeuventêtreattaquésmêmeenprésen ed'un hirement parfait. Detelles failles, qualiées de  failleslogiques , sont souvent subtiles etdi iles à dé eler à lasimplevue du textedu proto ole.

Le problème de la véri ation des proto oles ryptographiques est un problème di ile pouvant être vu omme un as parti ulier de model- he king où l'environnement onsidéré est un environnement hostile.Comptetenude ladi ulté du problèmede véri ation, l'hy-pothèsedu hirement parfait aétéintroduite.Ellesigniequel'onsupposel'existen ed'un hirement  in assable  et que, par onséquent, le seul moyen d'obtenir le ontenu d'un message hiréestde onnaîtrela lefdedé hirement.Cettehypothèseapermisd'obtenirde nombreuxrésultats,mais elleest tropforte dans ertainessituations. En eet, ertaines pri-mitives ryptographiques possèdent des propriétés algébriques qu'unagent malveillant peut exploiter pour réaliseruneattaque.

Dans ette thèse, nous poussons les limites de l'analyse des proto oles au-delà de ette hypothèse.Enparti ulier,nousproposonsdespro éduresdedé ision,pourleproblèmedela re her he d'attaquesen présen e d'opérateurs satisfaisant despropriétés algébriques.

Mots-Clefs

Véri ation formelle,proto ole ryptographique, théorie équationnelle, omplexité

Abstra t

Cryptographi proto ols are small on urrent programs designed to guarantee the se u-rityofex hangesbetweenparti ipantsusingnon-se uremedium.Establishingthe orre tness of these proto ols is ru ial given the in reasing number of appli ations, su h as ele troni ommer e, that ex hangeinformation on the Internet.Unfortunately,the existen eof ryp-tographi primitives su h as en ryption is not su ient to ensure se urity. The se urity of ex hanges is ensuredby ryptographi proto olswhi harenotoriously errorprone.

The formalveri ation of ryptographi proto olsisa di ultproblemthat anbe seen as aparti ular model- he king problemin anhostile environment.To verify su h proto ols, a line of resear h onsists in onsidering en ryption as a bla k box and assuming that an adversary an't learn anything from an en rypted messageex ept if he hasthe key. This is alled the perfe t ryptography assumption. Many results have been obtained under this assumption,butsu hanassumptionistoostrongingeneral.Someatta ksexploitina lever way theintera tionbetweenproto olrules andproperties of ryptographi operators.

Inthisthesis,werelaxtheperfe t ryptographyassumptionbytakingintoa ountsome algebrai properties of ryptographi primitives.We givede isionpro eduresforthese urity probleminpresen e ofseveral algebrai operators.

 L'habileté à formuler les remer iements ara térise le spé ialiste de haut vol [...℄. Toute re her he sans dette est une re her he suspe te [...℄.  UmbertoE o,Comment voyager ave un saumon.

J

e tiens à dire que es derniers mots posés sont loind'être les plus évidents. Mais, omme touttravaildethèseestassistépard'autresespritsetd'autresmainsque euxde sonseul auteur,je vaisdon meplierà etexer i eun peu parti ulier.En espérant que epetittexte seraà lahauteur de lare onnaissan eet de l'amitiéque je porte auxnombreuses personnes quiont ontribué à etravail.

En tout premier lieu, je tiens à remer ier tous les membres de mon jury.Mer i à Denis Lugiezetà Mi haël Rusinowit h pouravoir a eptéla lourdetâ he de rapporteurs. Mer i à ChrisLyn hetMarkRyan pouravoir parti ipéà ejury,età AhmedBouajjanipourl'avoir présidé. Enn, je remer ie Hubert Comon-Lundh et Fran is Klay pour m'avoir en adrée durant ettethèse. Fran is a étémon dire teur de thèseà Fran e Télé om. Il atoujours été disponible pour répondre à mes questions, qu'elles soient administratives ou s ientiques. Hubert Comon-Lundh a été mon dire teur de thèse au LSV à Ca han. Son enthousiasme, sonsoutien etses onseils avisésont fa ilitémon travail de thèse. Toutau long de es trois années,il asuorienter mesre her hesaux bons moments.

Je souhaite aussi remer ier les autres her heursave quij'ai eu la han e de travailler. Mer i aux enseignantsde l'université Paris 7,ils ont su me montrer lavoie de la re her he, etsans eux je n'en serais paslà. En parti ulier, je remer ie AhmedBouajjani, pour m'avoir a ueillidanssonéquipependantmonstagedeMaîtrise,etMi haelaSighireanupourm'avoir en adrée.Jetienségalement à remer ierFlorent Ja quemard pour m'avoiren adré pendant mon stage de DEA et pour sa disponibilité au début de ette thèse. Les voyages forment la jeunesse et au ours de ette thèse, j'ai eu l'o asion d'expérimenter ette maxime. Je remer ieparti ulièrementMarkRyanetChrisLyn hpourm'avoira ueilli dansleuréquipe respe tive etpourm'avoir beau oup apprispendant esséjours.

Le laboratoire MAPS (Fran e Télé om R&D) et le LSV (ENS de Ca han) sont deux endroitsorant un adre de travail idéal. Jetiens à remer iertous leurs membres pourleur disponibilité et leur gentillesse. Mer i en parti ulier aux organisateurs d'animations en tout genre:mat hsde foot,pique-nique, goûters,bataillesde boulesde neige, ...

Je lan e don un appel pour que es aptures et es tortures, déjà dénon és dans [Cor03℄, essent.

Finalement, un mer i parti ulier à Ni o, qui a eu la lourdetâ he de me soutenir durant esdernièresannées.Sapatien eetsesen ouragementsm'ontaidéàmeneràbien ettethèse. Mer i du temps qu'il a onsa ré à redonner un peu de rigueur a ma plume. Je tiens aussi à remer ierTotoy et Toyette pour avoir assisté aux nombreuses répétitions de mon exposé. Enn,jen'oubliepasmesparentspourleursoutienetpouravoirorganiséleplusimportant: lepot!

1 Introdu tion 9

1.1 Enjeux. . . 9

1.2 Proto oles ryptographiques . . . 10

1.2.1 Cryptographie . . . 10

1.2.2 Proto oles . . . 11

1.3 Véri ationdes proto oles ryptographiques. . . 11

1.3.1 Modélisation . . . 12

1.3.2 Propriétés de sé urité . . . 12

1.3.3 Méthodes de véri ation . . . 13

1.4 Aaiblissement de l'hypothèse du hirement parfait . . . 14

1.5 Contributions . . . 16

1.6 Plande lathèse. . . 17

I Modélisation des proto oles ryptographiques 19 2 Messages 21 2.1 Primitives ryptographiques lassiques . . . 22

2.1.1 Con aténation . . . 22

2.1.2 Chirement . . . 22

2.2 Propriétésalgébriques . . . 23

2.2.1 Retour surles primitives lassiques . . . 23

2.2.2 Asso iativité(

A

) . . . 25 2.2.3 Commutativité(

C

) . . . 25 2.2.4  Ou ex lusif(

ACUN

) . . . 26 2.2.5 Groupe abélien(

AG

) . . . 26 2.2.6 Signature en aveugle . . . 27 2.2.7 Propriétépréxe . . . 27 2.2.8 Homomorphisme . . . 28 2.2.9 Distributivité du hirement . . . 28 2.2.10 Die-Hellman (

DH

) . . . 29

2.3 Modélisation des messages . . . 29

2.3.1 Termes,sous-termes . . . 30

3 Intrus, proto oles 35

3.1 Intrus . . . 36

3.1.1 Contrledu réseau . . . 36

3.1.2 Capa itésde dédu tion . . . 36

3.1.2.1 Modèleà based'un systèmed'inféren e ave ltrage . . . 36

3.1.2.2 Modèleà based'un systèmed'inféren e simple . . . 38

3.2 Proto oles . . . 40

3.2.1 Modèlesparrles. . . 41

3.2.1.1 Modèleparrles ave ltrage . . . 41

3.2.1.2 Modèleparrles ave testsd'égalités . . . 42

3.2.2 Rlesbien formés. . . 43

3.2.2.1 Critère de dé isiondansle modèle ave testsd'égalités . . . 45

3.2.2.2 Critère de dé isiondansle modèle ave ltrage . . . 45

3.3 Comparaisondu point de vuede l'expressivité . . . 47

3.3.1 Systèmed'inféren e ave ltrageetsystèmed'inféren e simple . . . . 47

3.3.2 Modèleparrles ave ltrageetmodèleave testsd'égalités. . . 51

4 Problèmes de véri ation dans les deux formalismes 55 4.1 Intrus passif . . . 56

4.1.1 Systèmed'inféren e . . . 57

4.1.2 Lo alité . . . 58

4.1.3 Dédu tibilité enun pas . . . 59

4.2 Intrus a tif . . . 60

4.2.1 Systèmesde ontraintes symboliques . . . 62

4.2.2 Constru tion du systèmede ontraintes . . . 63

4.2.2.1 Algorithme . . . 63

4.2.2.2 Exemples . . . 65

4.2.3 Systèmesde ontraintes bienformés . . . 69

II Véri ation des proto oles ryptographiques 73 5 Véri ation dans le modèle par rles ave tests d'égalités 75 5.1 Cadre . . . 76

5.1.1 Théories équationnelles onsidérées . . . 76

5.1.2 Exemples . . . 78

5.2 Problèmede dédu tion de l'intrus . . . 80

5.2.1 Systèmed'inféren e . . . 80

5.2.2 Résultat de lo alité. . . 81

5.2.3 Dédu tibilité enun pas . . . 83

5.3 Résolutionde systèmesde ontraintesbien formés . . . 83

5.3.1 Pro édure . . . 84

5.3.2 TerminaisonetComplexité . . . 84

5.3.3 Corre tion. . . 87

5.3.4 Complétude . . . 88

5.4 Comparaisons . . . 99

5.4.1 Travaux de M.Abadi etV.Cortier . . . 99

5.4.2 Travaux de M.Baudet . . . 100

5.4.3 Travaux de Y.ChevalieretM. Rusinowit h . . . 100

6 Véri ation dans le modèle par rles ave ltrage 103 6.1 Cadre . . . 104

6.1.1 Théories équationnelles onsidérées:

ACh

,

ACUNh

et

AGh

. . . 104

6.1.2 Appli ations . . . 105

6.2 Problèmede dédu tion de l'intrus . . . 108

6.2.1 Systèmed'inféren e . . . 108

6.2.2 Résultat de lo alité. . . 110

6.2.3 Dédu tibilité enun pas . . . 112

6.2.3.1 Pro édure. . . 112

6.2.3.2 Complexité . . . 114

6.2.4 Comparaisonave les travauxde P.Lafour adeet al. . . 115

6.3 Résolutionde systèmesde ontraintesbien formés . . . 116

6.3.1 Existen e d'une solution onservatri e . . . 116

6.3.2 Delarésolution dans(

I

DY

, R

E

)à larésolution dans(

I

M

E

, R

E

) . . . . 121

6.3.3 Rédu tion de lasignature . . . 125

6.3.4 À proposdessystèmes bienformés . . . 126

6.3.4.1 Unenouvelle ara térisation dessystèmes bienformés . . . . 126

6.3.4.2 Bonne formationdessystèmes obtenusaprès abstra tion . . 130

6.3.5 Résolution dans(

I

M

E

, R

E

) sursignatureréduite. . . 135

6.4 Résultatsd'indé idabilité . . . 142

6.4.1 Théorie

ACh

. . . 142

6.4.2 Théorie

AGh

. . . 143

6.4.2.1 Indé idabilité dans(

I

M

E

, AGh

) . . . 144

6.4.2.2 Indé idabilité dans(

I

DY

, AGh

) . . . 147

6.5 Dis ussion . . . 148

6.6 Comparaisons . . . 150

6.6.1 Travaux de J.Millen etV.Shmatikov . . . 150

6.6.2 Travaux de Y.ChevalieretM. Rusinowit h . . . 150

7 Rédu tion de la théorie équationnelle 153 7.1 Étudede as:proto ole de porte-monnaie éle tronique . . . 154

7.1.1 Des riptiondu proto ole. . . 154

7.1.2 Modélisation duproto ole . . . 156

7.2 Propriétéde variants nis . . . 157

7.2.1 Préliminaires . . . 158

7.2.2 Première ara térisation . . . 161

7.2.3 Prin ipale appli ation . . . 163

7.3 Comment établir lapropriétéde variantsnis? . . . 166

7.3.1 Deuxième ara térisation . . . 166

7.3.2 En présen e d'axiomesorientables . . . 168

7.4.1 Variantesde Dolev-Yao . . . 170

7.4.2 Théorie signatureen aveugle . . . 171

7.4.3 ThéorieACUN . . . 171

7.4.4 ThéorieAG . . . 172

7.4.5 ThéorieDH . . . 174

7.4.6 Théorieéquationnellede l'étudede as. . . 176

7.5 Dis ussion . . . 178

7.5.1 Travaux surl'uni ation . . . 178

7.5.2 Travaux de H.Comon-LundhetV.Cortier . . . 178

7.5.3 Travaux de V.BernatetH.Comon-Lundh . . . 179

7.5.4 Deladi ulté àrésoudre le as

AC

. . . 179

8 Con lusion et perspe tives 181

Bibliographie 185

Introdu tion

 J'ai inventé un ode formidable, il nous a dit Georoy. C'est un ode se ret quenous serons seuls à omprendre, eux de la bande. [...℄ Il y a des gestes diérents pour toutes les lettres: on se gratte l'oreille, on se frotte le menton,on se donne des tapes sur la tête, omme ça jusqu'à  z , où on lou he. Terrible ! 

RenéGos inny,Le petit Ni olas et les opains.

1.1 Enjeux

P

endant longtemps, du ode de César à la ma hine Enigma, la ryptographie fut un domaine réservé aux militaires. Ellefait aujourd'hui partie de notre viequotidienne. Il est très pratiquede ontrler ses omptes, ou de ommander son billetde train depuis hez soi, grâ e à Internet.Souvent, nous donnonsnotre numérode arte ban airesans se sou ier de quoi que esoit. Cir ule-t-il en lair sur le réseau? Est- e bien au ommerçant qu'il est transmis, etnonàquelqu'unqui serait en traind'usurpersonidentité?

Ave le développement des réseaux de ommuni ations omme Internet, et l'essor du ommer eéle tronique,lebesoind'assurerlasé uritédesé hanges,alorsmêmequelesa teurs sur le réseau ne sont pas for ément ables, a onsidérablement augmenté. Les transa tions utilisant e médium sont de plus en plus nombreuses (e.g. servi e ban aire,porte-monnaie éle tronique, vote éle tronique) et les aspe ts sé uritaires o upent une pla e importante dans toutes es appli ations. Toutes es appli ations demandent des garanties de sé urité élevées, portant sur des propriétés de se ret et d'authenti ité, mais aussi de nombreuses autrespropriétés,parmi lesquelles,lanon-dupli ation(des fa tures,dansl'intérêtdu lient), la non-révo ation(des ommandes,dansl'intérêtdu ommerçant),...

Selon une étude ré ente [Big05℄, réalisée par le Centre de Re her he pour l'Étude et l'Observation des Conditions de Vie, le ommer e éle tronique représente près de la moitié de l'a tivité de l'ensemble de la vente à distan e alors que elui- i ne représentait que 8% de la vente à distan e en Fran e en l'an 2000. Mais, les Français s'inquiètent toujours de la sé urité des paiements sur Internet. Tout du moins, 'est le prin ipal fa teur qu'ils mettent en avant pour expliquer leurs hésitations à ee tuerdes a hats via le réseau. Cette réponse

Cesproto oles, destinésà sé uriser  les é hanges, interviennent dansdes ommuni a-tionséle troniquesetontdes ara téristiquesspé iques.Onlestrouveentrèsgrandnombre, souventsous laformede petites variantes d'unproto ole onnu etunefaille desé uritédans l'unde esproto olespeutavoirdes onséquen esé onomiquesgraves, enparti ulierà ause de leur déploiementà grande é helle.Il estdon ru ial de s'assurer que esproto oles rem-plissent parfaitementleurs tâ hes.

1.2 Proto oles ryptographiques

Les proto oles ryptographiques sont des petits programmes informatiques.Ils régissent les é hanges entre plusieurs intervenants, et ont pour but de sé uriser les ommuni ations. Pour assurer es propriétés de sé urité, des moyensalgorithmiques tels que les hirements etlesfon tionsà sens uniqueont étémis aupoint.

1.2.1 Cryptographie

La ryptographie,véritables ien erégissantle odagedel'information,a onnuune véri-table explosion ave le développement dessystèmes informatiques,passant d'une ère artisa-naleàdessystèmesdetrèshauteste hnologies.Ellea onnuunlargeessorave le développe-mentdesréseauxde ommuni ationsmodernesetlebesoindeprotégerlesdonnéesé hangées pourrespe terles individus.

Lefaitde oderun messagedefaçonàlerendrese rets'appelle hirement.Laméthode inverse onsistantàretrouverlemessageoriginal,estappeléedé hirement.Le hirementse faitgénéralementàl'aide d'une lef eton distinguedeux typesd'algorithmesde hirement. Le hirement symétrique ou à lef se rète où, les lefs utiliséespour hirer etdé hirer sont identiques(e.g. DES,AES), etle hirementasymétrique où, les lefssontdiérentes. Cedeuxièmetype d'algorithmes,plus di ileà mettreen ÷uvre,n'estapparuquebien plus tard(e.g. hirement RSA misau point parR.Rivest,A. ShamiretL.Adleman[RSA78℄).

Unpeu d'histoire ...

La ryptographieexistedepuisdenombreuxsiè lesetaparfoisprisunepartimportantedans notrehistoire.Citonsparexemple,laméthodede hirementtrèsan ienne onnuesouslenom de hirementdeCésar.Cetteméthode,en oreutiliséeàl'heurea tuellemaisuniquement parlesé oliers, onsisteàdé aler haquelettredel'alphabetd'unnombre onvenuàl'avan e onstituantla lefde hirement.Pendantla onquêtedelaGaule, etalgorithmepermettait à Jules César d'envoyerses instru tions aux enturions sans que l'ennemi puisse les lire s'il arrivaitàlesinter epter.Ce odage,trèssimple,aniparêtre onnuetlesempereurssuivants ont dû her herdesmoyensplus élaborés pour oder leursmessages.

Au début des années 20, une ma hine à hirer du nom d'Enigma est apparue sur le mar hé.LorsdelaSe ondeGuerreMondiale,ellevaservirà hirerlesmessages ondentiels, laissantperplexeslesalliéspendantplusieursannées.Cesderniersvonttoutentreprendrepour la asser .Une fois lama hine ré upérée, 'estle britannique Alan Turing quiréussira à déjouerlama hine Enigma.

Depuis laSe ondeGuerre Mondiale, les besoins en ryptographie ont explosé.Les appli- ations iviles du hirement (banques, télé ommuni ations, informatique...)deviennent un moteur fondamental de progrès. Les algorithmes utilisés à l'heure a tuelle reposent sur des

1.2.2 Proto oles

Les ommuni ationssé uriséessontassuréespardesproto oles ryptographiquesqui utilisent esmoyensalgorithmiquesmaissont onstituésdeplusieursmessages.Lades ription d'un proto ole ryptographique esten général assezsimple, ourte, onstituée d'une dizaine d'é hanges de messagesau plus.

Depuis les années 80, on dispose d'algorithmes de hirement susamment sûrs, mais mêmesi esmoyensalgorithmiquesremplissentparfaitementleurrle,lespropriétésde sé u-riténe sontpaspourautant toujourssatisfaites. Plusieursexemples élèbresont montréque es proto oles peuvent être attaqués ( man-in-the-middleattaque ,  attaquepar rejeu ,  attaquepardi tionnaire,...)mêmeen présen e d'un hirementparfait[CJ97,Spo℄.Les failles qui permettent de telles attaques sont qualiées de failles logiques et on s'a orde pourpenserquel'étudedesfailleslogiques desproto olesestorthogonaleàl'étudedesfailles du système de ryptographie sous-ja ent. On pourrait penser qu'il est aisé de s'assurer de la abilité d'un proto ole, mais es failles sont relativement subtiles, di iles à dé eler à la simple vuedu textedu proto ole.Un exemple élèbre estlafameuseattaquedé ouvertepar G.Lowe[Low96℄surleproto oledeR.NeedhametM.S hroeder[NS78℄,unequinzaine d'an-nées après sapubli ation. Etpourtant,R.NeedhametM. S hroeder étaient ons ientsdela di ultédemettreaupointdetelsproto olesils on luaientleurarti leave leparagraphe suivant :

Finally,proto olssu hasthosedevelopedherearepronetoextremelysubtle errorsthatareunlikelytobedete tedinnormal operation.Theneedfor te h-niques to verify the orre tness of su h proto ols is great, and we en ourage those interested in su h problems to onsider this area. 

1.3 Véri ation des proto oles ryptographiques

La véri ation des proto oles ryptographiques est un problème di ile pouvant être vu omme un as parti ulier de model- he king où l'environnement onsidéré est un envi-ronnement hostile représenté par un intrus. Compte tenu de la di ulté du problème de véri ation, l'hypothèse dite du hirement parfait a été introduite. Elle signie que l'on suppose l'existen e d'un algorithme de hirement  in assable , i.e. un algorithme ave lequelil estimpossibled'obtenirle ontenud'un message hirésans onnaîtrela lefde dé- hirement.Cettehypothèsene orrespondpasàlaréalité,maisellepermetde distinguerla véri ationdelarobustessedesalgorithmesde hirement,de ladéte tiondefailleslogiques dansles proto oles.Elleapermisd'automatiserlavéri ationdesproto olesetde dé ouvrir de nombreuses failles logiques. D'autre part, ette hypothèse est aujourd'hui, au moins en partie, formellement justiée[MW04℄.

Les dix dernières années ont vu une profusion de résultats dans le domaine de la véri- ation automatique des proto oles ryptographiques. Mais es résultats, obtenus dans des modèlesdiérents,sont parfoisin omparablesetil n'estpasrarequ'unproto olesoitprouvé orre t dansunmodèlealorsqu'ilestmontréattaquabledansunautre.Pourajouterà ette onfusion, les propriétés dépendent du modèle sous-ja ent, et les dénitions formelles

asso-1.3.1 Modélisation

La première étape du pro essus de véri ation d'un proto ole est sa modélisation. Cette étape de modélisation est un passage obligé extrêmement déli at.C'est en eetsur elle que reposela onan equel'onpeutavoir danslerésultatde véri ationformelle.Denombreux modèlesde spé i ation desproto oles ryptographiques existent danslalittérature.

Certains modèles, et en parti ulier eux utilisés dans ette thèse, utilisent une notation sousformederèglesderéé riturepourreprésenterlesé hangesdemessagesee tuéspar ha- undesparti ipantsduproto ole ( f. hapitre3). Cetypedemodèle,introduit parI. Cerve-satoetal.[CDL

+

99℄,aétéreprisetlargementutiliséparlasuite(e.g.[RT03,CLS03,MS05℄). Il est assezpro hedu modèledes strand spa es [THG99℄trèsrépandu dansla ommunauté améri aine. Cependant,d'autrestypesde modélisationexistent.Citonsparexemple,les mo-dèlesàbasede lausesdeHorn(e.g.[Bla01℄),lemodèledeMillen-Rueÿ[MR00℄etlesalgèbres de pro essus (e.g. [S h96, AG97℄). L'avantagede ettedernière appro he est qu'elle permet d'exprimer despropriétés de sé uritésous forme d'équivalen e (i.e. bisimulation entre pro- essus).

1.3.2 Propriétés de sé urité

Comptetenu de ladiversité desappli ations, iln'est passurprenantqu'ilexiste de nom-breuses propriétés de sé urité que l'on puisse vouloir exiger d'un proto ole. Les propriétés listées i-dessousont pour but d'illustrer ettediversité et ne onstituent en au un asune listeexhaustive.

Se ret. C'estsans au un doute lapropriété laplus étudiée en oreà l'heurea tuelle. Nous dirons qu'une donnée est se rète si l'intrus n'est pas en mesure d'apprendre ette donnée. Cette notionde se ret est généralement susante. Cependant, dans le adre parti ulier des algèbres de pro essus (e.g. spi- al ul[AG97℄, pi- al ul appliqué[AF01℄), eque l'onappelle  se ret  est en fait une propriété plus forte permettant d'assurer que deux exé utions parti ulières du proto ole faisant intervenir, pourl'une, la donnée se rète

s

, etpourl'autre, uneautre donnée

s

′

,sontindistinguables.Unetellepropriétéprenden ompte,parexemple, la apa itéde l'intrus à omparerles messages, equi n'est généralementpas le asdans les autresmodèles.

Par ailleurs, on peut vouloir qu'une donnée soit se rète tout le temps (on parle alors de se ret long-terme) ou simplement que la ondentialité de ette donnée soit préservée pendantunlapsdetemps,parexemplejusqu'àlandel'exé utiondel'instan eduproto ole (en oreappeléesession)ayantengendrée ettedonnée.Cedeuxièmetypedese ret,appelé se ret ourt-terme, est généralement plus di ile à modéliser puisqu'il fautpouvoir parler du début et de la n d'une session. Cependant, lorsque l'on se pla e dans le adre d'un nombre borné de sessions,la modélisation d'un se ret ourt-terme ne pose au un problème parti ulier.

Authenti ation. L'authenti ation est une propriété très ourante. Informellement, elle permet à un agent de s'assurer de l'identité de son orrespondant. Le problème est que la formalisationde ettepropriétédépendde e quel'on entendpar vérier l'identitéde son

essaie de donner uneformalisation pré ise, on obtient de nombreuses dénitions [Low97℄et lelienentre elles- in'estpastoujours lair.

Certaines formes d'authenti ationexpriment simplement le faitqu'il n'est pas possible que l'initiateur du proto ole termine son exé ution ave un agent

B

alors que e dernier n'a pas ommen éà exé uterle proto ole. Onpeutégalement vouloir exiger que l'exé ution du proto ole du point de vue de

B

ait bien eu lieu apparemment ave

A

. D'autre formes d'authenti ationexistentetpermettentd'assurerquelesagentsparti ipantàl'exé utiondu proto ole sont d'a ord sur ertaines donnéesé hangéesau oursdu proto ole.

Anonymat. Cette propriété intervient, par exemple, dans les proto oles de vote éle tro-nique:unagentnedoitpasêtreenmesuredefairelerappro hemententreunéle teuretson vote.Plusieursdénitionsformellesdel'anonymatontétéproposées.Ellesreposent,en géné-ral,surune notiond'équivalen e. Par exemple,dans [KR05a℄, un proto ole estdit anonyme sideux pro essus parti uliers sont bisimilaires.Le premier pro essus orrespondàun proto- ole dans lequel les agents

A

et

B

votent respe tivement

a

et

b

alorsque dans le deuxième pro essus, les deux agents ont é hangé leur vote. Intuitivement, si es deux pro essus sont équivalents, alorsun observateur extérieurne peut pasrappro her l'éle teur

A

ou

B

de son votepuisqu'il n'estpas apablede distinguer les deux situationsdé rites i-dessus.

Dans le adre des proto oles de vote, les propriétés de sé urité sont très omplexes. En eet, pour être utilisable en pratique, un proto ole de vote doit non seulement préserver l'anonymatmaisildoitégalementsatisfaireunensembledepropriétéspouvantmêmesembler à première vue ontradi toire. Par exemple, un éle teur doit être onvain u que son vote a ee tivement étépris en ompte (propriété de vériabilité individuelle), mais il ne doit pas être apable de prouver omment il a voté (le vote doit être  sans reçu ). Ces propriétés spé iquesont faitl'objetd'étudesparti ulièrespourpermettre leur modélisation [DKR06℄. Dans ette thèse, nous nous sommes intéressés aux propriétés dites de tra es, parmi lesquelleslese ret et ertainesformes d'authenti ation, deuxpropriétés dontles dénitions formellessont àl'heurea tuellesusammentabouties.

1.3.3 Méthodes de véri ation

Unefoislamodélisationduproto oleetdelapropriétéàvérieree tuées,lavéri ation peut ommen er.Le ara tère nonborné d'un ertain nombres de paramètres du systèmeà vérierrendent l'énumérationde toutesles exé utionsimpossible :un telalgorithmene ter-mineraitpas. En fait,il s'avèreque eproblèmeest indé idable en général(e.g. [DLMS99℄). Pour obtenir despro édures automatiques, plusieurs appro hes sont alors possibles. La pre-mière onsisteàfairedutestetaessayerdiérentss énariosetregardersil'exé utiondel'un d'entreeuxinvalideunepropriété.Mais, etteappro hen'ore ependantau unegarantiede sé urité:ellenepermetpasdeprouverunepropriété,maisseulementdelaréfuter.D'autres appro hes,plus satisfaisantes,sont dé rites i-dessous.

Preuvespar Abstra tion

Contrairementau test, es méthodesont pourbut degarantir lasé uritéd'unproto ole. Pour ela, les approximations proposées doivent être orre tes. De nombreuses abstra tions

onsistantàsur-approximerla onnaissan edel'intrusetànepasprendreen omptel'ordre d'exé ution des diérentes règles omposant le proto ole. Cette appro he, utilisée dans le adre d'un nombre non-borné de sessions par T. Genet et F. Klay [GK00℄, a été reprise et amélioréepard'autresparlasuite.Ainsi,dansuntelmodèle,lorsquel'onprouvequelese ret estpréservé,alorsle se retestégalementpréservé danslemodèle on ret.Bienentendu, es abstra tionsne sonten général pas omplètes.Autrement dit,uneréponse négativeà l'issue delapro édurene permetpasd'armerl'existen ed'uneattaquesurleproto ole onsidéré. Si l'on souhaite avoir un algorithme à la fois orre t et omplet, il faut s'orienter vers la re her he de lassesdé idables.

Classes dé idables

Comme nous l'avons déjà mentionné, le problème est indé idable en général, mais ela n'empê he pasl'obtention derésultatsde dé idabilitépourdes lassesde proto oles parti u-lières. L'undestravauxlesplus an iensestsansdoutel'arti ledeD.DolevetA.Yao[DY81℄ dans lequel les auteurs onsidèrent une lasse très restreinte de proto oles : les proto oles ping-pong. Depuis,d'autres résultats de dé idabilité ont été établis( f. [Cor05℄). Ces résul-tatsde dé idabilité,dansle adred'unnombrenonbornédesessions,sontobtenusenfaisant deshypothèsessouventtrèsfortessurlesproto oles.Dansle adred'unnombrebornéde ses-sions, 'est-à-direlorsquel'on onsidèreunnombrenid'instan esduproto ole,lesrésultats sont assezsatisfaisants(e.g. [ALV02,Bor01,RT03℄).Parexemple,dansun modèle,similaire à elui que nous utilisons dans ette thèse, M. Rusinowit h et M. Turuani établissent une pro édure non-déterministe s'exé utant en temps polynomial et permettant de traiter une lasse de proto olestrèsgénérale [RT03℄.

Cestravaux,pourlaplupart,reposentsurl'hypothèsedu hirementparfaitetidéalisent les primitives ryptographiques. Cettehypothèselimite, parfoisd'une façon dramatique, les apa itésde l'intrus.

1.4 Aaiblissement de l'hypothèse du hirement parfait

Comptetenu dela omplexité desproblèmes de véri ation,un ertainnombres d'hypo-thèses simpli atri es ont étéprises, permettant d'idéaliser les primitives ryptographiques. Ainsi, lesmodèlesgénéralementutiliséspourlavéri ationformelledeproto oles ryptogra-phiques fontunesérie d'hypothèses.

Générateur aléatoire parfait

L'hypothèsedu générateur aléatoire parfait onfèreun ara tère omplètement impré-visible auxnombres,en oreappelésnon es,engendrésaléatoirementau oursde l'exé ution d'un proto ole. Or, ertaines spé i ations de proto oles, destinées à des systèmes aux res-sour es limitées (e.g. artes à pu es), suggèrent expli itement l'emploi de mé anisme peu oûteuxpourlagénérationdesnon es[SR96℄telquel'usage de ompteurs.Le ara tère pré-visible de e type de non es rend possible de nouvelles attaques qui ne sont pas prises en

Mots de passe et données de type faible.

Dans le même ordre d'idées, de nombreux proto oles font intervenir un mot de passe hoisi par un utilisateur.Or, il est bien onnu que lorsquel'on demandeà un utilisateur de hoisir un motde passe,laprobabilitéqu'il hoisissent un motfa ileà retenir,etdon fa ile à deviner, est trèsgrande.Cette faiblesseva pouvoir être exploitéeparl'intrus pourréaliser une attaque. Ce type d'attaque, appelée  attaque par di tionnaire , onsiste pour l'intrus à deviner quel mot a été utilisé en testant tous les motsd'un di tionnaire donné jusqu'à e qu'il re onnaisse uneinformation ara téristique.Ce type d'attaqueest égalementréalisable sur des proto oles faisant intervenir des données prenant leur valeur dans un domaine ni onnu de l'intrus, omme 'est souvent le as pour les proto oles de vote référendaire. Des résultats ré entsproposentdespro édurespermettantde vérierlarésistan edesproto oles aux attaques pardi tionnaire[DJ04a, Bau05℄.

Propriétés algébriques des primitives ryptographiques

Au moment où ettethèse a ommen é,laplupart des démonstrateursne prenaient pas en omptelespropriétésalgébriquesdesprimitives ryptographiques.Ilstravaillaientdansle modèlestandardditdeDolev-Yao[DY81℄.Dans emodèle,les apa itésd'analysedel'intrus sont très limitées. L'évolution des onnaissan es de l'intrus est dénie par un ensemble de règles dedédu tion permettantà edernierde onstruire denouveauxmessages( 'est-à-dire une paire ou un hiré), à partir des messages qu'il onnaît, en utilisant les opérations de on aténation etde hirement.Il peut également ré upérer les diérents omposantsd'une paire. Enrevan he, laseulefaçonqu'ilad'obtenirlemessageen lair a hédansun message hiréetde onnaîtrela lefdedé hirement.Cettehypothèse,appelée ommunément hypo-thèsedu hirementparfait,estex essivedansbeau oupde as.Typiquement,lesproto oles de distribution de lefss'appuient sur des propriétés d'asso iativitéet de ommutativité de ertaines te hniques de hirement. D'autre part, es propriétés algébriques, même si elles ne sont pas utilisées lors d'une exé ution normale du proto ole, existent et peuvent être exploitées parun agent malveillant pourréaliser uneattaque.

Considérons le proto ole d'é hange de lefs de W. Die et M. Hellman [DH76℄, dé rit i-dessous. Il permet l'é hange d'une lef entre deux entités ne possédant au un se ret en ommun au préalable.Deplus, les deux parti ipantssontà l'originede ette lef de session. Cet é hangeestrendupossiblegrâ eauxpropriétésdel'exponentiellemodulaire.L'initiateur duproto oleengendreunnon e

N

a

etreçoit

exp(g, N

b

)

.Deson té,l'autreagentengendreun non e

N

b

etreçoit

exp(g, N

a

)

.Cesdeuxé hangespeuventsereprésenterdelafaçonsuivante:

A → B : exp(g, N

a

)

B → A : exp(g, N

b

)

Cha undispose,àl'issuede eté hange,desusammentd'informationpour al ulerla lefde session

exp(g, N

a

× N

b

)

puisque

exp(g, N

a

× N

b

) = exp(exp(g, N

a

), N

b

) = exp(exp(g, N

b

), N

a

)

. D'autre part, seuls les agents

A

et

B

, ayant parti ipé à et é hange, sont en mesure de al uler

exp(g, N

a

× N

b

)

.En eet,un agent ré upérant les messages

exp(g, N

a

)

et

exp(g, N

b

)

nepeutpasen déduire lese ret

exp(g, N

a

× N

b

)

.

Citonsparexemple,lestandard802.11,unproto oleréseausansldeplusenplusutilisépour les réseaux lo aux.Il intègreen optionun proto ole de sé urité, le WEP(Wired Equivalent Priva y). Celui- i, très simple à administrer et à utiliser, est malheureusement peu sûr. Il omportedesfaillesdesé uritéliéesauxpropriétésdel'opérateurdeouex lusif[BGW01℄. Un autre exemple est une faille dans le proto ole dû à T. Tatebayashi, N. Matsuzaki et D. Newman [TMN89℄. L'attaque, dé ouverte par G. Simmons [Sim94℄, fait intervenir un intrus a tif, inter eptant et émettant des messages sur le réseau, qui exploite la propriété d'homomorphismesatisfaiteparl'algorithme de hirement RSA.

Dans ette thèse, nous allons relâ her l'hypothèse du hirement parfait et prendre en ompteles propriétés algébriquesdesprimitives ryptographiques.L'undes plus an ien tra-vaux sur le sujet est sans doute elui de S. Even et al. [EGS86℄ où les auteurs étudient les proto olesping-pongutilisantdu hirementRSA.Ilsmontrentqu'ilestinutilede onsidérer lespropriétésde RSA:siunproto ole peutêtre attaquéenutilisantles faiblessesdu hire-ment RSA, alors il existe une attaque quin'utilise pas es faiblesses. Depuis, en parti ulier au ours de es dernières années, de nombreux résultats ont été établis. La plupart de es résultats ont été établisdans le adre d'un nombre borné de sessions, ils sont listésau ha-pitre2.Enrevan he,dansle adred'unnombrenon-bornédesessions,lesrésultatssont plus rares [CLC03, Ver03℄. Le problème étant déjà indé idable sous l'hypothèse du hirement parfait, les pro édures proposées doivent restreindre la lasse des proto oles étudiée et/ou fairequelques abstra tions.

1.5 Contributions

Dans ette thèse, nous nous intéressons au problème de la sé urité d'un proto ole dans le adre d'un nombre borné de sessions et nous onsidérons des modèles d'intrus plus réa-listesquelemodèled'intrus standard lassiquementutilisé dansledomaine.Pour ela,nous enri hissonslemodèled'intrusdeDolev-Yao[DY81℄parl'ajoutd'unerèglededédu tion per-mettantà edernierde réaliserdesétapesderaisonnementéquationnel.Nousrelâ honsainsi l'hypothèsedu hirementparfaitentenant omptedespropriétésalgébriquesdesprimitives ryptographiques.

Sur le plan de la modélisation, un point important et plutt satisfaisant est que nous n'introduisons pasdenouveaux modèles. Lestravaux réalisésdans ettethèseutilisent deux variantesd'unmodèledéjàbienétablidansledomaine:lemodèleparrlesàbasederèglesde réé riture ave ltrageou tests d'égalités. Bienque trèspro hes,la omparaisondu pouvoir d'expressionde esdeuxmodèless'estrévélée trèsintéressanteetapermisde mettreaujour quelquessubtilités. Lepassaged'un modèleà l'autre s'avère nalementassezdi ile.

Surleplandelavéri ation,leproblèmededédu tiondel'intrus(re her hed'attaquesen présen e d'un intrus passif, 'est-à-dire se ontentant d'é outer les messages ir ulant sur le réseau)etlasé uritéd'unproto olepourunnombrebornédesessionsenprésen ed'unintrus a tifont été étudiés pourplusieurs théories équationnellesparti ulières omme parexemple le  ou  ex lusif [CKRT03b,CLS03℄ et l'exponentielle modulaire [CKRT03a,MS05℄. Mais pourdenombreusesthéorieséquationnellesintéressantes, esproblèmesrestentouverts.Nous

Nousavonsd'une partmenésl'étudede nouvellesthéorieséquationnelles plus omplexes que ellesétudiéesjusqu'àprésent.Ilspermettentde traiterdesthéorieséquationnelles om-plexes faisant intervenir un opérateur asso iatif- ommutatif et une propriété d'homomor-phisme sur et opérateur. Une ara térisation algébrique des problèmes onsidérés a permis de les réduireàlarésolution desystèmesd'équations, etd'établirdespro édures dedé ision et desrésultats d'indé idabilité.

D'autre part,nous nous sommes intéressés à obtenir des résultats génériques. Nous pro-posons des pro édures permettant de traiter la lasse des théories équationnelles publique-eondrantes.Lesalgorithmesproposésontlamême omplexitéthéoriquequelespro édures onnuesdansle asdumodèledeDolev-Yaostandard.Ils'agissait,en2004,dupremier résul-tatdedé idabilité duproblèmede lasé uritépourune lassedethéorieéquationnelledénie de manièresyntaxique.Enn,nousapportonsquelquesréponsespourl'obtentiond'un résul-tatgénériquequipermettraitde traiterune lassetrèslargede théorieséquationnelles.Nous dénissons unepropriété, vériéeparungrandnombredethéorieséquationnellesetqui per-metde simplierlathéorie équationnelleétudiée. Cettepropriété, vériéeparlaplupartdes théories pertinentes du point de vuede la véri ation desproto oles ryptographiques, per-metde réduireleproblèmedelavéri ationenprésen ed'unethéorieéquationnelleàl'étude de deux théorieséquationnelles :lathéorie videetlathéorie asso iativeet ommutative.

1.6 Plan de la thèse

Cette thèse est omposée de deux parties. Nous ommençons par aborder les diérents problèmes liés à la modélisation et nous dénissons formellement les deux problèmes dont nous menonsl'étudedans ladeuxièmepartie.

Première partie : Modélisation.

Dansle hapitre2,nousdressonsunelistedespropriétésalgébriquespertinentesdupoint de vue de lavéri ationdesproto oles rytographiques etnousen protonspourdonner les résultats existant aujourd'hui sur es diérentes théories. Nous nous limitons aux résultats on ernant leproblème de dédu tion de l'intrus et leproblème de lasé uritéd'un proto ole pour un nombre borné de sessions. Nousintroduisons également quelques notions lassique-ment utilisées en réé riture. Dans le hapitre 3, nous nous intéressons à la modélisation des proto olesproprement ditsetà lamodélisation de l'intrus. Ce dernier représente l'envi-ronnement hostile dans lequel le proto ole évolue. Du point de vue de la modélisation des proto oles, nous introduisons deux modèles légèrement diérents, le modèles par rles ave ltrage etle modèleparrlesave testsd'égalités.Une omparaisonde esdeux modèlesest également proposée dans e hapitre. Enn, au hapitre 4, nous dénissons formellement les deux problèmes dont nous faisons l'étude dans ette thèse : le problème de dédu tion de l'intrus, et le problème de lasé urité pour un nombreborné de sessions. Nous montrons omment es deuxproblèmes s'expriment en termede résolution de ontraintes.

Deuxième partie : Véri ation.

Dans ettepartie,nousprésentonsdiérentsrésultatsdedé idabilitéetde omplexitépour le problème de dédu tion de l'intrus et le problème de la sé urité en présen e d'opérateurs ayant des propriétés algébriques. Dans le hapitre 5, nous présentons une lasse de théo-rieséquationnelles,lesthéorieséquationnellespublique-eondrantes,etnousétablissonsune

Cetteétude aété réalisée dans lemodèle parrle ave tests d'égalités.Dans le hapitre 6, untravailsimilaireestréalisé.Cetteétudeestréaliséedanslemodèleparrlesave ltrageet permetde on lurepourdesthéorieséquationnellesparti ulières(disjointesde ellesétudiées au hapitrepré édent).

Le hapitre 7 permet de faire un pas supplémentaire vers l'obtention d'un résultat gé-nérique permettant de traiter un grand nombre de théories équationnelles. Pour ela, nous proposons une propriété, la propriété des variants nis, qui permet de se débarrasser de ertains axiomes omposant une théorie équationnelle. Nous montrons son intérêt dans le adre de la véri ation des proto oles ryptographiques. Cette propriété, satisfaite par un grand nombre de théories équationnelles, permet de réduire la théorie équationnelle. Cette rédu tion estvalabledansles deux modèlesprésentés dans ettethèse.

L'étatde l'art,présentéau hapitre 2,a été publié dans l'arti le[CDL06℄. Le hapitre 5 a fait l'objet de l'arti le [DJ04a℄et les résultats présentés dans le hapitre 6 ont fait l'objet desarti les[DLLT06,Del06a,Del06b℄.Lesrésultatsdé ritsdansle hapitre7ont étépubliés dans l'arti le [CD05℄. Par sou i d'homogénéité, nous avons hoisi de ne présenter que les résultats ontribuant à l'aaiblissement de l'hypothèse du hirement parfait par la prise en ompte de propriétés algébriques. Nous ne présenterons don pas les résultats publiés dansles arti les[DJ04b, DJ06℄ on ernant lapriseen ompte desdonnées de type faibleset desattaques par di tionnaires. Demême, nousne parleronspas des propriétés d'anonymat, s'exprimant sous forme d'équivalen e entre pro essus, dont nous avons fait l'étude dans le adredesproto oles devote[DKR06℄.

Modélisation des proto oles

Messages

Sommaire

2.1 Primitives ryptographiques lassiques  . . . 22 2.1.1 Con aténation . . . 22 2.1.2 Chirement . . . 22 2.2 Propriétésalgébriques . . . 23 2.2.1 Retoursurlesprimitives lassiques . . . 23 2.2.2 Asso iativité(

A

) . . . 25 2.2.3 Commutativité(

C

) . . . 25 2.2.4 Ouex lusif (

ACUN

) . . . 26 2.2.5 Groupeabélien(

AG

) . . . 26 2.2.6 Signatureenaveugle . . . 27 2.2.7 Propriétépréxe . . . 27 2.2.8 Homomorphisme . . . 28 2.2.9 Distributivitédu hirement . . . 28 2.2.10 Die-Hellman(

DH

) . . . 29 2.3 Modélisationdes messages . . . 29 2.3.1 Termes,sous-termes . . . 30 2.3.2 Uni ation . . . 31 2.3.3 Systèmesderéé riture . . . 32

L

e butde e hapitre est d'introduirelamodélisation que nous allonsutiliser pour repré-senter les messagesé hangés au oursde l'exé ution d'un proto ole. Ces messagessont obtenusparappli ationd'opérations( on aténation, hirement,...)surdesdonnées(dansla réalité,dessuites de bits).Nous lesmodéliseronspardestermes.Cesopérateursutiliséslors dela réationdesmessagespossèdentdespropriétésalgébriques.Ainsi,dénirunmessagepar lasuite d'opérationspermettantde l'obtenir aboutità unereprésentation non anonique : deux messages identiques peuvent être représentés diéremment. Une manière lassique de traiter e problème est de raisonner modulo une théorie équationnelle, et de onsidérer un représentantpour ha une des lassesd'équivalen es induitespar ettethéorie.

Nous ommen eronspardé rirelesopérationsde on aténationetde hirement( f. par-tie 2.1), et nous dresserons une liste de propriétés algébriques pertinentes du point de vue

quelques notions et notations lassiques en réé riture très utiles pour la manipulation des termes.

2.1 Primitives ryptographiques  lassiques 

Nous présentons i i deux primitives ouramment utilisées dansles proto oles ryptogra-phiques:la on aténationetle hirement.

2.1.1 Con aténation

Cet opérateur est généralement modélisé par un symbole binaire, noté

h·, ·i

1

. Ainsi le message

hm

1

, hm

2

, m

3

ii

représentela on aténationdumessage

m

1

ave lemessage

hm

2

, m

3

i

. Il est diérent du messagereprésenté parle terme

hhm

1

, m

2

i, m

3

i

.Nous pouvons ependant modéliserl'asso iativitéde et opérateur de on aténation,en oreappelépaire,en ajoutant la théorieéquationnellede l'asso iativitédu symbole

h., .i

, 'est-à-dire :

hx, hy, zii = hhx, yi, zi.

2.1.2 Chirement

Le hirement est un algorithme prenant en entrée un message

m

et une lef

k

, appelée lef de hirement, et qui retourne un message, généralement noté

{m}

k

, que l'onappelle le hiré de

m

par

k

.Ce message hiré est tel qu'il est très di ile, voire impossible, de retrouverlemessaged'origineàpartirdu hirésans onnaîtrela lefdedé hirement.Cette hypothèse,souventappeléehypothèse du hirement parfait,ne orrespondpasàlaréalité. Nousverrons ( f. partie2.2) qu'ilexiste de nombreux algorithmesde hirement, ayant des propriétésalgébriques (e.g. hirement RSA[RSA78℄).

Enn, on distingue généralement deux grandes lasses d'algorithmes de hirement : le hirement symétrique et le hirement asymétrique. Les algorithmes de hirement sy-métrique sont eux pour lesquels la lef utilisée lors du dé hirement est identique à elle utilisée lorsdu hirement.Pour le hirement asymétrique,lesdeux lefsutiliséessont dis-tin tes. On parle souvent de hirement à lefs publiques, ar le hirement asymétrique est généralement utilisé en publiant la lef de hirement ( lefpublique, notée

pub(·)

) et en gardantla lefde dé hirementse rète ( lefprivée,notée

priv(·)

).Ilsemblenaturelde repré-senter es deux types d'algorithmes de hirement par des symbolesdiérents ( ommepar exemple

{m}

a

k

et

{m}

s

k

).Cependant,nousutiliserons parfoislemême symbole.L'algorithme utilisédépendalorsimpli itementdu typede la lef utilisée.

Dansle asdumodèled'intrusstandard,ditdeDolev-Yao,ilaétéétablitqueleproblème dedédu tion de l'intrusest dé idableen tempspolynomialetque leproblèmede lasé urité d'unproto ole pourun nombrebornéde sessions est o-NP- omplet [RT03℄.

Dans ette thèse, nous aaiblissons l'hypothèse du hirement parfait par la prise en ompte de ertaines propriétés algébriques. Il y a plusieurs raisons à ela. Tout d'abord, l'exé ution même de ertainsproto olesest baséesur lefait que ertainesprimitivesont des propriétés algébriques. En faire abstra tion donne un proto ole non exé utable sur lequel on ne peut plus raisonner. D'autre part, même si le proto ole n'utilise pas es propriétés

1

algébriques lorsqu'il s'exé ute normalement, ertaines attaques reposent sur l'utilisation de es propriétés. Ainsi, le proto ole présenté dans [Pau97℄ a été montré orre t par L. Paul-son[Pau97℄en onsidérant l'opérateurouex lusif ommeunsymbolelibre.MaisP.Ryan et S. S hneider ont trouvé une attaque sur e proto ole [RS98℄ : ette attaque utilise les propriétés algébriques du  ou  ex lusif. Il est don né essaire de prendre en ompte les propriétésalgébriques desopérateurs lorsde lavéri ation desproto oles.

L'ajoutde théorieséquationnellespermetdemieuxreprésenterles propriétésalgébriques desprimitives ryptographiques, mais elles rendent leproblème de la véri ation des proto- olesbeau oup plus di iles.

2.2 Propriétés algébriques

Certainespropriétésalgébriquesdu hirement,tellesquelapropriétéd'homomorphisme du hirement RSA [RSA78℄ou les propriétés induites par les méthodes de hirement par blo s,sonttrèsutiliséesdanslesproto oles.Denombreusesattaquesexploitent espropriétés. Il est don important d'en tenir ompte. Ré emment, un ertain nombre de pro édures, en parti ulier dans le adre d'un nombre borné de sessions, ont été proposées pour vérier les proto oles enprésen e de propriétés algébriques.

Dans ettepartie, nousdressons uneliste desthéories équationnellespertinentes dansle adrede lavéri ation des proto oles. Nous présentons également un ertain nombre de ré-sultatsexistantsrelatifsauproblèmededédu tiondel'intrusetauproblèmedelavéri ation dansle adred'unnombrebornédesessions.Tout esrésultats ontribuentàl'aaiblissement del'hypothèsedu hirement parfaitetsontrésumés danslagure 2.1.

2.2.1 Retour sur les primitives  lassiques 

On peut hoisir de représenter les primitives de bases a ompagnées de leurs destru -teurset de représenter les propriétés algébriques entre es opérateurs à l'aide d'une théorie équationnelle.Celanous onduità onsidérer:

 un symbole

dec

pourreprésenter l'algorithmede dé hirement,  des symboles

proj

1

et

proj

2

pour représenter les proje tions permettant d'a éder aux omposantesd'une paire,

 lathéorie équationnellesuivantepourexprimerlelienentre esdiérentes primitives:

E

DY

:=







dec({x}

y

, y) = x,

proj

₁

(hx

1

, x

2

i) = x

1

,

proj

₂

(hx

1

, x

2

i) = x

2

.

Parfois, on onsidère en plus l'équation

{dec(x, y)}

y

= x

. Cette dernière permet de mo-déliser unepropriétéde  ommutativitéentreles algorithmes de hirement etde dé hif-frement.Ce hangement danslamodélisation desprimitives lassiques n'est pasanodin.En eet,ave ettenouvellemodélisation,ilestdésormaispossibledeparlerduterme

dec(m, k)

. Autrement dit, il est possible d'appliquer l'algorithme de dé hirement à un message qui n'estpasun hiréetde onsidérerlerésultatobtenu ommeétantunmessagevalide.Ainsi, unagents'attendantàre evoirun messagedelaforme

{x}

k

a epteraenfaitn'importequel message

m

puisque elui- i est biende laformeattendue (ona

m = {dec(m, k)}

k

).

Problèmede dédu tionde l'intrus

Problèmedelasé urité nombrebornédesessions Commutativitédu

hirement

PTIME [CKRT04℄ o-NP- omplet [CKRT04 ℄

Asso iativité- Commutativité Dé idable [AC05℄ 2

?

+

homomorphisme NP- omplet [LLT05a℄

Indé idable ( arl'uni ation estindé idable[Nar96℄)

Ouex lusif

(ACUN)

PTIME [CKRT03b℄

Dé idable [CLS03 ,MS05 ℄ o-NP- omplet [CKRT03b ℄ +

homomorphisme PTIME [Thèse℄ Dé idable[Thèse℄

Groupe abélien

(AG)

NPTIME [CLS03 ℄ PTIME [CKRT03a℄

Dé idable [MS05 ℄

+

homomorphisme PTIME [Thèse℄ Indé idable[Thèse℄

Signatureen aveugle PTIME [Ber06 ℄ Dé idable [Ber06℄

Préxe

PTIME [CKRT03b℄ o-NP- omplet [CKRT03b ℄ Distributivitédu hirement

- surlapaire - surunsymbole

AC

- surunsymbole

ACUN

- surunsymbole

AG

PTIME [CLT03 ℄ NP- omplet [LLT05a℄ EXPTIME [LLT05a,LLT05b ℄ EXPTIME [LLT05a℄ ? ? ? ? DistributivitéetCommutativité

du hirement sur

ACUN

EXPTIME [Laf05℄

?

Die-Hellman

(DH)

PTIME [CKRT03a℄

Dé idable [MS05 ℄ o-NP- omplet [CKRT03a ℄

2

CeproblèmeestenfaitNP- ompletenutilisantlate hniquedé ritedans[LLT05a℄pourlathéorie

ACh

. Dans le as d'un nombre borné de sessions, les résultats ités ne onsidèrent pas toujours exa tement lamême lasse de proto oles. Ce i explique les diéren es dans les résultats de omplexitéobtenus.

Dans[Mil03℄, J.Millen justie lefait de ne pas onsidérer esopérateurs (dé hirement, proje tions) et de travailler dans l'algèbre libre (sans théorie équationnelle). Il montre que dès lors que le proto ole vérie un ertain nombre de propriétés syntaxiques raisonnables, es deux modèlessont en fait équivalents. C. Lyn h et C. Meadows étendent e résultat au as du hirement asymétrique [LM04℄. Dans le hapitre 5 de ette thèse, nous regardons le problème sous un angle diérent. Nous montrons qu'il n'est pasplus di ile, d'un point de vue théorique, de vérier les proto oles en présen e de es destru teurs.Nous proposons unepro éduregénériquedere her hed'attaquesNP- omplète( ommedansle asdumodèle standard de Dolev-Yao) permettant de résoudre le problème de la sé urité d'un proto ole dans le asd'unnombrebornéde sessions.La lasse dethéories équationnelles omprenden parti ulier la théorie proposée i-dessus ainsi que quelques variantes. En 2004, il s'agissait du premierrésultatgénérique s'appliquant à une lasse de théories équationnellesdénie de façonsyntaxique.Àl'heurea tuelle,d'autresrésultatsgénériquesexistentpourles deux pro-blèmesde véri ation auxquelles nous noussommes intéressés dans ettethèse. Con ernant le problème de dédu tion de l'intrus, V. Cortier et M. Abadi ont montré que e problème était dé idable en temps polynomial pour une lasse plus générale que la ntre : la lasse des théories sous-termes onvergentes [AC04℄. Ils ont également mis en pla e un ensemble de onditions susantes permettant d'obtenir la dé idabilité du problème de dédu tion de l'intrus et ils ont montré qu'un ertain nombre de théories (e.g.  ou  ex lusif,

AC

) satis-font es onditions [AC05℄. Depuis, M. Baudet a montré la dé idabilité du problème de la re her he d'attaquespourun nombre borné de sessions,dansle asdes théoriessous-termes onvergentes[Bau05℄. Nousreviendronssur estravaux àlan du hapitre5.

2.2.2 Asso iativité (

A

)

L'asso iativité est unepropriété pouvant être modéliséepar

f (f (x, y), z) = f (x, f (y, z))

. Parexemple,onpeutvouloirmodéliserl'asso iativitédelasommepar

(x+y)+z = x+(y+z)

. Ànotre onnaissan e,iln'existepasderésultatthéoriques'intéressantà ettepropriétéseule. Un autre exemple intéressant, mentionné i-dessus, est l'asso iativité de la on aténation. Cettepropriété est prise en ompte, maisseulement en partie, parl'outil Casrul [JRV00℄et permetde trouverbeau oup d'attaquespar onfusion de type.Cesattaquesreposent surle fait que les agents exé utant le proto ole onfondent deux messages de type très diérents, ommeparexemple unnon e etunepaire forméed'un non eetde l'identitéd'unagent.Ce typed'attaquen'estpastrèsréaliste arlatailled'unnon eetd'unetellepairesontenréalité trèsdiérentes.

2.2.3 Commutativité (

C

)

Dans[CKRT04℄,Y.Chevalieretal.ontproposéunepro édurededé isionNP- omplètepour le problèmede lare her he d'attaquesen présen ed'un symbolede hirement ommutatif, 'est-à-diresatisfaisant lapropriété:

{{x}

y

}

z

= {{x}

z

}

y

.

Cettepropriétéestsatisfaiteparle hirementRSAlorsqueles lefsutilisentlemêmemodule. Une forme restreinte de ommutativité est satisfaite par le hirement RSA lorsque l'on

unepropriétéde ommutation,maisuniquement entre la lefetson inverse. Cettepropriété peutêtre prise en ompteparles deux équationssuivantes:

{{x}

k

}

k

−

₁

= x

et

{{x}

k

−

₁

}

_k

= x.

Ce type de théorie entre dans la lasse des théories équationnelles publiques-eondrantes dontnousfaisonsl'étudeau hapitre5.Dans[RT03℄,M.Rusinowit hetM.Turuani onsidère aussi un tel opérateur en donnant à l'intrus la apa ité de retrouver le message

m

lorsqu'il onnaît

{{m}

k

}

k

. Cependant, e odage ne permet pas de traiter l'ensemble de la théorie représentéeparl'équation

{{m}

k

}

k

= m

.

2.2.4  Ou  ex lusif (

ACUN

)

Lesymbole

+

dénotei il'opérateurbinaireappeléouex lusif.Ilestégalementsouvent noté

⊕

.Lespropriétés algébriquesde etopérateur sont les suivantes:

x + (y + z) = (x + y) + z

Asso iativité (

A

)

x + y = y + x

Commutativité (

C

)

x + 0 = x

Unité (

U

)

x + x = 0

Nilpoten e (

N

)

Cette opération est utilisée dansde nombreuxproto oles etasus ité beau oup d'intérêt es dernières années. H. Comon-Lundh et V. Shmatikov ont montré que le problème de la véri ation d'un proto ole était dé idablepour ettethéorie [CLS03℄. Ce résultat est égale-ment montré dans [MS05℄. Dans [CKRT03b℄, Y. Chevalier et al. améliorent e résultat en onsidérant des règles d'ora les (règlesde dédu tion satisfaisant ertaines onditions) et en montrantquelathéorieduouex lusifestuneinstan ede e adregénéral.Ilsobtiennent ainsi que le problème de la sé urité pour un nombre borné de sessions est o-NP- omplet en présen e de la théorie équationnelle du  ou  ex lusif. Pour obtenir un tel résultat, ils ont dû onsidérer une lasse de proto ole raisonnable mais plus restri tive que elle traitée dans [CLS03,MS05℄.

2.2.5 Groupe abélien (

AG

)

Le symbole

×

dénotei i unopérateur binairesatisfaisant les propriétéssuivantes :

x × (y × z) = (x × y) × z

Asso iativité

(A

)

x × y = y × x

Commutativité (

C

)

x × 1 = x

Unité (

U

)

x × x

−1

= 1

Inverse (

I

)

On préférera parfois la notation additive, et on utilisera alors le symbole

+

, le symbole unaire

−

pour l'inverse et la onstante

0

pour représenter l'élément neutre. Le premier ré-sultat on ernant le problème de dédu tion de l'intrus en présen e d'un opérateur

AG

est une pro édure dans NP. Ce premier résultat, obtenu par H. Comon-Lundh et V. Shmati-kov[CLS03℄,a été amélioréparY. Chevalieret al.. Cesderniersont proposé unepro édure polynomiale [CKRT03a℄.

résolutionde ontraintessymboliquesetilsréduisentleproblèmedelasé uritéd'unproto ole à la résolution de systèmes d'équations quadratiques dans

Z

[MS03℄. V. Shmatikov montre alors que lasatisfaisabilité de telssystèmesest dé idable en exploitant les parti ularitésdes systèmesgénérés [Shm04℄. Cependant,lapro édureproposéen'estpas orre teetun ertain nombredelemmes ru iauxpermettantd'établirla orre tionetla omplétudedeleur pro é-duresontfaux.Late hniqueestnéanmoinsintéressanteetastu ieuse.Elleestàlabasedela pro édurequenousavonsdéveloppée( f. hapitre6),pourrésoudreleproblèmedelasé urité dansle as de lathéorie du ou  ex lusifen ombinaison ave l'axiomed'homomorphisme

h(x + y) = h(x) + h(y)

( f.partie2.2.8 i-après).Notrepro édurepermetégalementde traiter la théorie

ACUN

(théorie du  ou  ex lusif sans l'axiome d'homomorphisme), ainsi que la théorie

AG

.Nousreviendrons sur esappli ations àlan du hapitre 6 lorsquenous aurons présenténotre pro édurepermettant de traiterla théorie

ACUNh

.

2.2.6 Signature en aveugle

Les s hémas de signature en aveugle ont été introduits par D. Chaum [Cha84℄ dans les années 1980. Ils permettent à une entité d'obtenir d'une autre la signature d'un message sans quelesignatairen'apprenne quoique esoitsur lemessagequ'ellea pourtant signé.Ce mé anisme est trèsutilisé dans les proto oles de voteéle tronique [FOO92, Tra05℄ : haque éle teur doit, avant de déposer son vote dans l' urne , obtenir la signature de son vote par une autorité. Cette autorité ee tue un ertain nombre de véri ation avant d'apposer sa signature mais elle ne doit rien apprendre sur le vote de l'éle teur en question an de préserver l'anonymat du vote. Ce mé anisme de signature en aveugle peut se modéliser à l'aide de lathéorie équationnellesuivante:

checksign(sign(x, priv(y)), pub(y)) = x

unblind(blind(x, y), y) = x

unblind(sign(blind(x, y), z), y) = sign(x, z)

L'éle teur désirant obtenir la signature de son vote

v

par l'autorité

A

ommen era par amouersonvoteàl'aidedelafon tionblind,etilprésenteralemessage

blind(v, r)

àl'autorité hargéd'apposersasignature.L'éle teurobtientainsi

sign(blind(v, r))

et, onnaissant

r

,ilpeut ré upérer

sign(v, r)

en appliquant lafon tion

unblind

.

Cette théorieéquationnellea étéutilisée parS. KremeretM. Ryan [KR05a℄pourmener l'étude du proto ole de vote dû à A. Fujioka et al. [FOO92℄. Cette théorie a également fait l'objet de quelques résultats théoriques. Le problème de dédu tion de l'intrus est dé idable en temps polynomial [Ber06℄. Dans le as d'un intrus a tif, le problème de la sé urité pour un nombre borné de sessions est dé idable. Ce résultat a été obtenu omme instan e d'un résultatgénériquedéveloppé danslathèsede V.Bernat[Ber06℄.

2.2.7 Propriété préxe

Cette propriété permet à l'intrus de ré upérer, à partir d'un message hiré, le hiré de n'importe quel préxe. À partir d'un message

{x, y}

z

, il peut déduire le message

{x}

z

. Cettepropriétéestutiliséedansle asdu hirementparblo save haînage :le hirement d'un blo dépend du blo pré édent. Ave une telle méthode de hirement, le hirement d'un message

P

1

P

2

. . . P

n

(où ha un des

P

i

onstitue un blo ) ave la lef

K

est un

mes-sage

C

0

C

1

C

2

. . . C

n

où

C

0

= I

(blo d'initialisation) et

C

i

= {C

i−1

+ P

i

}

K

. Le hirement par blo ave haînage a lapropriétésuivante:

si

C

0

C

1

. . . C

i

C

i+1

· · · C

n

= {P

1

. . . P

i

P

i+1

· · · P

n

}

K

alors

C

0

C

1

. . . C

i

= {P

1

. . . P

i

}

K

. Autrement dit, un attaquant peut obtenir

{x}

z

à partir de

{x, y}

z

si la longueur de

x

est un multiple de la longueur des blo s utilisé par l'algorithme de hirement. Dans [KR05b℄, S. Kremer et M. Ryan remarquent que e type de propriétés est également vraie pour les suxes. Autrementdit,

C

i+1

. . . C

n

,extrait du hiré

C

0

C

1

C

2

. . . C

n

,est un hiré valide. Il sutd'initialiser le blo d'initialisationave

C

i

pour obtenirun hirévalide orrespondant au hirement des

n − i

derniersblo s du messagede départ.

Le adredéveloppédans[CKRT03b℄parY.Chevalieretal.pourétudierleouex lusif s'applique également à etype de propriétés. Ils ont montré que le problème de la sé urité estégalement o-NP- omplet enprésen e d'un opérateurde hirementparblo s.

2.2.8 Homomorphisme

Nous onsidérons un symbole

h

satisfaisant lapropriété d'homomorphismesuivante:

h(x + y) = h(x) + h(y).

(h)

Le hapitre 6 de ette thèse est onsa ré à l'étude de et axiome d'homomorphisme où

+

représenteunopérateur

AC

,

ACUN

( ouex lusif) ou

AG

(groupe abélien).Dans[LLT05a℄, P. Lafour ade et al. ont étudié le problème de dédu tion de l'intrus pour les théories

ACh

,

ACUNh

et

AGh

,etontobtenuunepro édureEXPTIMEpourlesthéories

ACUNh

et

AGh

.Le problème estNP- omplet dansle asde lathéorie

ACh

.

Nousreviendrons sur estrois théorieséquationnelles au hapitre 6etnous améliorerons les résultats de omplexité obtenus par P. Lafour ade et al. en proposant une nouvelle ap-pro hepourtraiter lesymbole d'homomorphisme.Nous détailleronsun peuplus les travaux de P. Lafour adeet al. à etteo asion ( f. partie 6.2.4).Cette nouvelle appro he, dans le traitement dusymboled'homomorphisme,vanouspermettred'obtenirunepro édurede dé- ision pour le problème de la sé urité d'un proto ole, en s'inspirant des te hniquesutilisées par J.Millen etV.Shmatikovdansle asde lathéorie

AG

[MS05℄.

2.2.9 Distributivité du hirement

Dans [CLT03℄, H. Comon-Lundh et R. Treinen ont mis en pla e des onditions sur la théorieéquationnelle permettant d'assurerla dé idabilitédu problèmede dédu tion de l'in-trus.Enparti ulier, ela leur apermisd'établir quele problèmede dédu tion de l'intrus est dé idableentemps polynomialen présen e de lapropriétéd'homomorphismesuivante:

{hu, vi}

k

= h{u}

k

, {v}

k

i.

Cette propriété est parti ulièrement intéressante puisqu'elle est satisfaite par les algo-rithmes de hirements utilisant le hirement par blo s sans haînage. Cette te hnique onsisteà hirer lesmessagesenpro édantàun dé oupageen blo seten hirant séparant ha un desblo s.

Dans [LLT05a, LLT05b℄, P. Lafour ade et al. onsidèrent le problème de dédu tion de l'intrus en présen e de lapropriété d'homomorphisme

{x + y}

k

= {x}

k

+ {y}

k

.Ilsmontrent

que dans le as d'un opérateur

AC

, le problème est NP- omplet, alors qu'il est EXPTIME lorsque

+

estun opérateur

ACUN

ou

AG

.Dans[Laf05℄, P.Lafour adeobtient unrésultat si-milairepourle asd'unopérateur

ACUN

enprésen ed'unopérateurde hirementdistributif et ommutatif.

2.2.10 Die-Hellman (

DH

)

Lesymbole

×

représenteun opérateur

AG

,etlesymbole,noté

exp

,estutilisé pour repré-senterl'exponentiellemodulaire. Cenouvelopérateursatisfait les propriétéssuivantes :

exp(exp(x, y), z) = exp(x, y × z)

exp(x, 1) = x

Cette théorie équationnelle permet de prendre en ompte quelques propriétés simples du produit et de l'exponentielle modulaire.Ces opérateurs sont utilisés dans le hirement RSA[RSA78℄,etdansl'é hangeDie-Hellman[DH76℄(d'oùlenomdelathéorie).Cedernier permet, grâ e aux propriétés de l'exponentielle modulaire dé rite i-dessus, l'établissement d'une lef de session entre deux parti ipants. L'originalité de et é hange est que les deux parti ipants sont à l'origine de ette lef de session. L'initiateur du proto ole génère

N

a

et reçoit

exp(g, N

b

)

. De son té, l'autre agent génère

N

b

et reçoit

exp(g, N

a

)

. Cha un dispose alorsde susammentd'information pour al ulerla lefdesession

exp(g, N

a

× N

b

)

.Eneet,

exp(g, N

a

× N

b

) = exp(exp(g, N

a

), N

b

) = exp(exp(g, N

b

), N

a

).

Lesrésultatsobtenuspour ettethéoriesupposequelesymbole

×

estutilisé uniquement dans les exposants.En parti ulier, les exponentielles ne sont pasmultipliées entreelles.

DesrésultatspartielsontétéobtenusparM.BorealeetM.G.Bus emidans[BB03℄etpar Y. Chevalier et al. dans [CKRT03a℄. La pro édure de dé ision de [BB03℄ né essite le al ul d'une borne sur le nombre de fa teurs pouvant apparaître dans ha un des produits et ils ne donnent pasde résultats de omplexité. Y. Chevalier et al. [CKRT03a℄ montrent que le problèmedelasé uritéest o-NP- ompleten présen e d'unetellethéorie équationnellepour une lassedeproto oleraisonnable.Dans[MS05℄leproblèmeestréduitàlasatisfaisabilité d'unproblèmeéquivalent dansle asd'un opérateur

AG

, equipermetd'obtenirunrésultat de dé ision pour une lassede proto olesplus grande que elle traitée dans[CKRT03a℄.

2.3 Modélisation des messages

Dansle adredel'hypothèsedu hirement parfait,lesmessagessontreprésentés pardes termes et l'égalité entre messages orrespond en fait à l'égalité syntaxique sur les termes. Ainsi, les deux messages hirés

{m

1

}

k

1

et

{m

2

}

k

2

sont égaux si et seulement si

m

1

= m

2

et

k

1

= k

2

. L'introdu tion d'une théorie équationnelle permet de prendre en ompte les propriétés algébriquesde ertainsopérateurs,etainsidetenir omptedeségalitésentre mes-sages pourtant onstruitsdiéremment.Par exemple,si

+

représenteun opérateurasso iatif et ommutatif(

AC

),les messages

a + (b + c)

et

(b + a) + c

sont indistinguables etsont don représentésparlamêmesuitede bits. Cetteégalité seretrouve auniveau de lamodélisation par lefaitque

a + (b + c) =

AC

(b + a) + c

: es deux termessont égauxmodulo

AC

.

Dans la suite, nous allons onsidérer des théories équationnelles dé rites sous forme de systèmes de réé riture onvergents (éventuellement modulo

AC

). Cela nous permettra de