• Abstract and Figures
• Public Full-text

THÈSE DE DOCTORAT de l’Université de recherche Paris Sciences et Lettres PSL Research University Préparée dans le cadre d’une cotutelle entre l’École Normale Supérieure et l’Inria Paris-Rocqencourt On the Security of Authentication Protocols for the Web Ecole doctorale n°386 Sciences Mathématiques de Paris Centre Spécialité Informatique COMPOSITION DU JURY : Mme. CORTIER Véronique LORIA, Rapporteur M. GREEN Matthew U. John Hopkins, Rapporteur M. POINTCHEVAL David Soutenue par Antoine ENS Paris, Membre du jury Delignat-Lavaud M. MAFFEIS Sergio le 14 mars 2016 Imperial College, Membre du jury M. KUESTERS Ralf Dirigée par Karthikeyan U. Trier, Membre du jury Bhargavan M. BHARGAVAN Karthikeyan Inria, Directeur de thèse The École Normale Supérieure neither endorse nor censure authors’ opinions expressed in the theses: these opinions must be considered to be those of their authors. Keywords: web security, authentication, protocol analysis, http, transport layer security, tls, javascript, same-origin policy, x.509, public key infrastructure, single sign-on, delegated authentication, compositional security, channel binding, compound authentication, triple handshake Mots clés : sécurité du web, authentification, analyse de protocoles, http, transport layer security, tls, javascript, same-origin policy, x.509, infrastructure à clé publique, authentification unique, composition de protocoles, lieur de canal, triple poignée de main This thesis has been prepared at Inria Paris-Rocquencourt B.P. 105 Team Prosecco Domaine de Voluceau - Rocquencourt 78153 Le Chesnay France T +33 (0)1 39 63 55 11 v +33 (0)1 39 63 53 30 Web Site http://www.inria.fr Abstract xiii On the Security of Authentication Protocols for the Web Abstract As ever more private user data gets stored on the Web, ensuring proper protection of this data (in partic- ular when it transits through untrusted networks, or when it is accessed by the user from her browser) becomes increasingly critical. However, in order to formally prove that, for instance, email from GMail can only be accessed by knowing the user’s password, assuming some reasonable set of assumptions about what an attacker cannot do (e.g. he cannot break AES encryption), one must precisely understand the se- curity properties of many complex protocols and standards (including DNS, TLS, X.509, HTTP, HTML, JavaScript), and more importantly, the composite security goals of the complete Web stack. In addition to this compositional security challenge, one must account for the powerful additional attacker capabilities that are specific to the Web, besides the usual tampering of network messages. For instance, a user may browse a malicious pages while keeping an active GMail session in a tab; this page is allowed to trigger arbitrary, implicitly authenticated requests to GMail using JavaScript (even though the isolation policy of the browser may prevent it from reading the response). An attacker may also inject himself into honest page (for instance, as a malicious advertising script, or exploiting a data sanitization flaw), get the user to click bad links, or try to impersonate other pages. Besides the attacker, the protocols and applications are themselves a lot more complex than typical ex- amples from the protocol analysis literature. Logging into GMail already requires multiple TLS sessions and HTTP requests between (at least) three principals, representing dozens of atomic messages. Hence, ad hoc models and hand written proofs do not scale to the complexity of Web protocols, mandating the use of advanced verification automation and modeling tools. Lastly, even assuming that the design of GMail is indeed secure against such an attacker, any single pro- gramming bug may completely undermine the security of the whole system. Therefore, in addition to modeling protocols based on their specification, it is necessary to evaluate implementations in order to achieve practical security. The goal of this thesis is to develop new tools and methods that can serve as the foundation towards an extensive compositional Web security analysis framework that could be used to implement and formally verify applications against a reasonably extensive model of attacker capabilities on the Web. To this end, we investigate the design of Web protocols at various levels (TLS, HTTP, HTML, JavaScript) and evaluate their composition using a broad range of formal methods, including symbolic protocol models, type sys- tems, model extraction, and type-based program verification. We also analyze current implementations and develop some new verified versions to run tests against. We uncover a broad range of vulnerabilities in protocols and their implementations, and propose countermeasures that we formally verify, some of which have been implemented in browsers and by various websites. For instance, the Triple Handshake attack we discovered required a protocol fix (RFC 7627), and influenced the design of the new version 1.3 of the TLS protocol. Keywords: web security, authentication, protocol analysis, http, transport layer security, tls, javascript, same-origin policy, x.509, public key infrastructure, single sign-on, delegated authentication, com- positional security, channel binding, compound authentication, triple handshake Inria Paris-Rocquencourt B.P. 105 Team Prosecco – Domaine de Voluceau - Rocquencourt – 78153 Le Chesnay – France xiv Abstract La sécurité des protocoles d’authentification sur le Web Résumé Est-il possible de démontrer un théorème prouvant que l’accès aux données confidentielles d’un utili- sateur d’un service Web (tel que GMail) nécessite la connaissance de son mot de passe, en supposant certaines hypothèses sur ce qu’un attaquant est incapable de faire (par exemple, casser des primitives cryptographiques ou accéder directement aux bases de données de Google), sans toutefois le restreindre au point d’exclure des attaques possibles en pratique? Il existe plusieurs facteurs spécifiques aux protocoles du Web qui rendent impossible une application directe des méthodes et outils existants issus du domaine de l’analyse des protocoles cryptographiques. Tout d’abord, les capacités d’un attaquant sur le Web vont largement au-delà de la simple manipulation des messages echangés entre le client et le serveur sur le réseau. Par exemple, il est tout à fait possible (et même fréquent en pratique) que l’utilisateur ait dans son navigateur un onglet contenant un site contrôlé par l’adversaire pendant qu’il se connecte à sa messagerie (par exemple, via une bannière publicitaire) ; cet onglet est, comme n’importe quel autre site, capable de provoquer l’envoi de requêtes arbitraires vers le serveur de GMail, bien que la politique d’isolation des pages du navigateur empêche la lecture directe de la réponse à ces requêtes. De plus, la procédure pour se connecter à GMail implique un empilement complexe de protocoles : tout d’abord, un canal chiffré, et dont le serveur est authentifié, est établi avec le protocole TLS ; puis, une session HTTP est créée en utilisant un cookie ; enfin, le navigateur exécute le code JavaScript retourné par le client, qui se charge de demander son mot de passe à l’utilisateur. Enfin, même en imaginant que la conception de ce système soit sûre, il suffit d’une erreur minime de programmation (par exemple, une simple instruction goto mal placée) pour que la sécurité de l’ensemble de l’édifice s’effondre. Le but de cette thèse est de bâtir un ensemble d’outils et de librairies permettant de programmer et d’ana- lyser formellement de manière compositionelle la sécurité d’applications Web confrontées à un modère plausible des capacités actuelles d’un attaquant sur le Web. Dans cette optique, nous étudions la concep- tion des divers protocoles utilisés à chaque niveau de l’infrastructure du Web (TLS, X.509, HTTP, HTML, JavaScript) et évaluons leurs compositions respectives. Nous nous intéressons aussi aux implémentations existantes et en créons de nouvelles que nous prouvons correctes afin de servir de référence lors de com- paraisons. Nos travaux mettent au jour un grand nombre de vulnérabilités aussi bien dans les protocoles que dans leurs implémentations, ainsi que dans les navigateurs, serveurs, et sites internet ; plusieures de ces failles ont été reconnues d’importance critiques. Enfin, ces découvertes ont eu une influence sur les versions actuelles et futures du protocole TLS. Mots clés : sécurité du web, authentification, analyse de protocoles, http, transport layer security, tls, javascript, same-origin policy, x.509, infrastructure à clé publique, authentification unique, compo- sition de protocoles, lieur de canal, triple poignée de main Acknowledgments This work owes much to Karthik’s ambitious and original vision of Web security as a meeting point for research topics as diverse as cryptography, type systems, compilers, process calculi, or automated logical solvers (among many others); mixed with a hefty amount of practical experimentation and old fashioned hacking. Virtually all the results presented in this dissertation were obtained through some degree of collaboration with a broad panel of amazing researchers, who all deserve my gratitude, as well as all due credit, for their essential contributions to this document. Although the specific details of these collaborations will appear within each relevant section of the thesis, I would like to collectively thank all my co-authors Martin, Andrew, Chetan, Benjamin, Karthik, Cédric, Chantal, Nadim, Markulf, Sergio, Ilya, Alfredo, Pierre-Yves, Nikhil, Ted, Yinglian, and Jean- Karim for

Load more

  386

Copy Link