Authenticated Key Exchange Protocols in Three Parties Benjamin Richard
Total Page:16
File Type:pdf, Size:1020Kb
Authenticated key exchange protocols in three parties Benjamin Richard To cite this version: Benjamin Richard. Authenticated key exchange protocols in three parties. Cryptography and Security [cs.CR]. Université Rennes 1, 2017. English. NNT : 2017REN1S037. tel-01661412 HAL Id: tel-01661412 https://tel.archives-ouvertes.fr/tel-01661412 Submitted on 11 Dec 2017 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. ANN EE´ 2017 TH ESE` / UNIVERSITE´ DE RENNES 1 sous le sceau de l’Universite´ Bretagne Loire pour le grade de DOCTEUR DE L’UNIVERSITE´ DE RENNES 1 Mention : Informatique Ecole doctorale MATISSE present´ ee´ par Benjamin Richard prepar´ ee´ a` l’Institut de Recherche en Informatique et Systemes´ Aleatoires´ (IRISA), UMR no6074 These` soutenue a` Rennes Etude´ des protocoles le 30 Aout 2017 devant le jury compose´ de : d’authentification et Michel FERREIRA ABDALLA Directeur de recherches, CNRS/ENS (rapporteur) de derivation´ de clefs Refik MOLVA Professeur, EUROCOM (rapporteur) en 3 parties. Fred´ eric´ CUPPENS Professeur, IMT Atlantique Rennes (examinateur) Jacques TRAORE Chercheur, Orange Labs Caen (examinateur) Pierre-Alain FOUQUE Professeur, U. Rennes1 (directeur de these)` Gilles MACARIO-RAT Chercheur, Orange Labs Chatillon (co-encadrant) Maria Cristina ONETE PostDoc, U. Rennes1 (co-encadrant) 2 3 Remerciements En premier lieu, je tiens a` remercier mon directeur de these,` Pierre-Alain Fouque, pour son soutien, sa patience et son aide au quotidien. Au dela` de ses indispensables qualites´ scientifiques dont j’ai pu ben´ eficier´ durant mes 3 annees´ de these,` je tiens a` le remercier pour cette experience,´ qui a su m’aider a` grandir aussi bien d’un point de vue personnel que professionnel. Merci egalement´ a` Maria Cristina Onete, de s’etreˆ jointe a` cette these,` pour son soutien au quotidien, et pour les nombreuses discussions qu’on a pu avoir ensemble. Je remercie aussi Gilles Macario-rat pour m’avoir encadre´ au sein d’Orange, d’avoir accepte´ de me suivre et de m’avoir fait confiance durant mon changement de sujet de these.` Je tiens ensuite a` remercier l’ensemble des membres du jury d’avoir accepte´ de participer a` ce jury. Un merci tout particulier a` Michel Ferreira Abdalla et Refik Molva d’avoir accepte´ d’etreˆ les rapporteurs de cette these.` Je voudrai egalement´ remercier Jannick Dreier et Steve Kraemer, pour m’avoir accueilli a` titre occasionnel dans les locaux du Loria a` Nancy. Merci a` eux pour leurs disponibilites´ et pour les echanges´ toujours tres` productifs et interessants´ que nous avons eu ensemble. Je tiens a` remercier l’ensemble de l’equipe´ DSS d’Orange Labs pour m’avoir accueilli durant ces trois annees´ de these.` Un merci particulier a` Pascal pour avoir essaye´ en vain de recadrer mes gouts cinematographiques,´ Todor pour avoir su mettre un peu de lumiere` dans le monde de la standardisation, Alex pour nos nombreuses parties de basket et nos debriefings´ de l’actualite´ sportive, et surtout Tiphaine, ma responsable de stage de 3ieme` pref´ er´ ee.´ Merci aux autres thesards´ de galere` (Xiao, Maxime) a` qui je souhaite bon courage pour la suite. Merci a` tous les autres Xavier, Ghada, Said, Kahina, Michael, Matthieu ... d’avoir participe´ quotidiennement a` la bonne ambiance de cette equipe.´ Une petite pensee´ aux anciens Laura, Georgian, Aurelien,´ Pierre, Amira, Nizar, Wafa avec qui j’ai pu avoir des conversations serieuses´ et prolifiques, mais aussi des fou- rires tres` agreables.´ Merci aussi a` tous les autres que je n’ai pas cite,´ mais qui etaient´ present´ au quotidien :) Merci a` l’ensemble des membres de l’equipe´ EMSEC de l’IRISA pour leur accueil et pour la bonne ambiance qu’ils ont su instaurer au sein de nos bureaux. Je tiens a` remercier l’ensemble du groupe des thesards´ made in EMSEC : Alban le roi des Spares au bowling, Baptiste mon el´ eve` de beaufitude pref´ er´ e,´ Chen mon portugais pref´ er´ e,´ Claire une des pilieres` de la pause cafe,´ Pauline la bordelaise de service, Florent et s’est ”pourquoi pas” quand tu lui proposes a` manger, et Raphael¨ le taulier du jeudi soir. Merci aussi aux titulaires Patrick, le serieux´ du Badminton, Stephanie´ qui sait organiser des soirees´ barbecue a` merveille et Adeline, pour son aide et son soutien. Petite pensee´ a` l’ancien, Brice Minaud, sa presence´ au badminton et sa sympathie quotidienne nous manque a` tous, et a` la petite nouvelle, Angele,` qui je suis sur, s’epanouira´ a` merveille dans cette equipe.´ Merci a` toi Cyrille, le meilleur co-bureau qu’un thesard´ puisse esperer.´ Merci a` toi mon ami pour toute l’aide que tu m’as apporte,´ nos fou-rires et nos chants. La meilleure ambiance etait´ chez nous a` ne pas en douter :p Ah oui merci, aussi d’avoir supporter les 30 degres´ que j’imposai reguli´ erement` dans notre bureau. Je tiens a` present´ a` remercier ma famille pour leur aide et leur soutien. Un remerciement tout particulier a` Thomas et Charlotte. Vous m’avez offert plus qu’un canape´ pour dormir durant ces trois annees.´ Merci a` vous mes parents, sans vous je ne serai pas l’homme que je suis aujourd’hui. Je vous dois beaucoup, et je vous en serai eternellement´ reconnaissant. Merci a` toi mon amour, Kun, d’avoir su repondre´ present´ pendant les moments de doutes. Cette these` nous a permis de nous rencontrer, et rien que pour cela cette these` valait le coup d’etreˆ vecue.´ Cette these` prend fin mais en ce qui nous concerne, ce n’est que le debut...´ 4 R esum´ e´ en franc¸ais Protocoles AKE La transmission de donnees´ personnelles entre deux entites´ a` travers un canal non securis´ e´ comme Internet ou les voix radios au sein des reseaux´ mobiles, est l’un des enjeux majeurs en cryptogra- phie. L’etablissement´ d’un canal securis´ e´ permet d’echanger´ des donnees´ sensibles en garantissant leurs confidentialites´ et integrit´ es´ durant leurs echanges.´ Dans le but de garantir ses propriet´ es,´ l’utilisation de primitives cryptographiques telles que des algorithmes de chiffrement authentifie,´ est requise. Ses algorithmes necessitent´ que les deux entites´ possedent` une clef secrete` au prealable´ echang´ ee.´ Par consequent,´ un echange´ au prealable´ de clefs entre les deux entites´ doit etreˆ effectue´ entre les deux entites´ afin d’etablir´ le canal securis´ e.´ L’etablissement´ d’un canal securis´ e´ se repose sur l’execution´ d’un protocole d’echange´ de clefs authentifies,´ appele´ AKE (Authenticated Key Exchange). Propriet´ es´ de securit´ e´ classiques. Les protocoles AKE execut´ es´ entre deux entites´ doivent garan- tir l’etablissement´ d’un canal securis´ e,´ a` travers l’echange´ d’une ou plusieurs clefs temporaires (autrement appelees´ clefs de sessions), en considerant´ la presence´ potentielle d’un adversaire de type ”Homme-du-Milieu” (MitM) capable d’observer et d’intercepter l’ensemble des commu- nications entre ses entites.´ Cet attaquant peut etreˆ soit passif (espionnant les communications echang´ ees)´ ou actif (capable de stopper, reordonner´ et injecter les messages de son choix). Con- siderant´ les adversaires de type MitM, les protocoles AKE doivent garantir les propriet´ es´ suivantes: • La confidentialite´ des clefs de sessions echang´ ees´ : un adversaire ne peut pas obtenir la moindre information a` propos des clefs de sessions durant leur etablissement.´ • La confidentialite´ des secrets permanents : un adversaire ne peut pas obtenir la moin- dre information a` propos des informations secretes` permanentes qui sont utilisees´ durant l’execution´ du protocole. • L’authentification : toutes les entites´ qui doivent etreˆ authentifies´ durant le protocole AKE ne peuvent pas etreˆ impersonnifiees´ par un adversaire. • La ”non-rejouabilite”´ des messages : cette propriet´ e´ requit la fraicheur des messages echang´ es´ durant l’execution´ du protocole AKE. Une propriet´ e´ supplementaire´ primordiale : le respect de la vie privee.´ La notion de vie privee´ peut prendre different´ sens, comme le soulignent Pftzmann et Hansen [95]. Dans ce manuscrit, les notions qui seront utilisees,´ sont celles qui sont habituellement utilisees´ pour etudier´ les protocoles d’authentification et de derivations´ de clefs, e.g., la confidentialite´ de donnees´ caracteristiques´ des utilisateurs, et de trac¸abilite.´ Les utilisateurs sont tous caracteris´ es´ par des donnees´ personnelles permanentes qui les caracterisent´ telles qu’un identifiant, des etats,´ une localisation etc. Un pre- mier niveau de respect de la vie privee´ des utilisateurs est garanti par une propriet´ e´ consistant a` 5 6 assurer la confidentialite´ de l’ensemble de ses donnees.´ Cette propriet´ e´ est essentiellement cap- turee´ par l’incapacite´ pour un attaquant de type ”Homme-du-Milieu” d’obtenir de l’information a` propos de donnees´ caracteristiques´ des utilisateurs. La non trac¸abilite´ des utilisateurs est la notion la plus forte, qui en plus de considerer´ la confidentialite´ des donnees´ usagers, considere` qu’un attaquant ne peut pas tracer un utilisateur, ce qui est potentiellement possible memeˆ sans avoir des informations sur ses donnees´ permanentes. En effet, par exemple, en reliant certaines informations temporelles, le profil de l’utilisateur pourrait etreˆ retrouve.´ Typiquement, les protocoles AKE requierent` la garantie de non trac¸abilite´ des utilisateurs, qui est globalement definit´ par le fait qu’aucun adversaire n’est capable de distinguer si deux executions´ distinctes du protocole ont implique´ le memeˆ client ou deux clients distincts.