On the security of authentication protocols on the web Antoine Delignat-Lavaud To cite this version: Antoine Delignat-Lavaud. On the security of authentication protocols on the web. Cryptography and Security [cs.CR]. Université Paris sciences et lettres, 2016. English. NNT : 2016PSLEE018. tel-01469937 HAL Id: tel-01469937 https://tel.archives-ouvertes.fr/tel-01469937 Submitted on 16 Mar 2017 HAL is a multi-disciplinary open access L’archive ouverte pluridisciplinaire HAL, est archive for the deposit and dissemination of sci- destinée au dépôt et à la diffusion de documents entific research documents, whether they are pub- scientifiques de niveau recherche, publiés ou non, lished or not. The documents may come from émanant des établissements d’enseignement et de teaching and research institutions in France or recherche français ou étrangers, des laboratoires abroad, or from public or private research centers. publics ou privés. École Normale Supérieure Doctoral School ED386: Sciences Mathématiques de Paris Centre University Department Inria Paris-Rocquencourt Thesis defended by Antoine Delignat-Lavaud In order to become Doctor from École Normale Supérieure Academic Field Computer Science Speciality Security On the Security of Authentication Protocols for the Web Thesis supervised by Karthikeyan Bhargavan École Normale Supérieure Doctoral School ED386: Sciences Mathématiques de Paris Centre University Department Inria Paris-Rocquencourt Thesis defended by Antoine Delignat-Lavaud In order to become Doctor from École Normale Supérieure Academic Field Computer Science Speciality Security On the Security of Authentication Protocols for the Web Thesis supervised by Karthikeyan Bhargavan École Normale Supérieure École doctorale ED386: Sciences Mathématiques de Paris Centre Unité de recherche Inria Paris-Rocquencourt Thèse présentée par Antoine Delignat-Lavaud En vue de l’obtention du grade de docteur de l’École Normale Supérieure Discipline Informatique Spécialité Sécurité La sécurité des protocoles d’authentification sur le Web Thèse dirigée par Karthikeyan Bhargavan The École Normale Supérieure neither endorse nor censure authors’ opinions expressed in the theses: these opinions must be considered to be those of their authors. Keywords: sécurité du web, authentification, analyse de protocoles, http, transport layer security, tls, javascript, same-origin policy, x.509, infrastructure à clé publique, authentification unique, composition de protocoles, lieur de canal, triple poignée de main Mots clés : web security, authentication, protocol analysis, http, transport layer security, tls, javascript, same-origin policy, x.509, public key infrastructure, single sign-on, delegated authentication, compositional security, channel binding, compound authentication, triple handshake This thesis has been prepared at Inria Paris-Rocquencourt B.P. 105 Team Prosecco Domaine de Voluceau - Rocquencourt 78153 Le Chesnay France T +33 (0)1 39 63 55 11 v +33 (0)1 39 63 53 30 Web Site http://www.inria.fr Abstract xiii On the Security of Authentication Protocols for the Web Abstract Est-il possible de démontrer un théorème prouvant que l’accès aux données confidentielles d’un util- isateur d’un service Web (tel que GMail) nécessite la connaissance de son mot de passe, en supposant certaines hypothèses sur ce qu’un attaquant est incapable de faire (par exemple, casser des primitives cryptographiques ou accéder directement aux bases de données de Google), sans toutefois le restreindre au point d’exclure des attaques possibles en pratique? Il existe plusieurs facteurs spécifiques aux protocoles du Web qui rendent impossible une application directe des méthodes et outils existants issus du domaine de l’analyse des protocoles cryptographiques. Tout d’abord, les capacités d’un attaquant sur le Web vont largement au-delà de la simple manipulation des messages echangés entre le client et le serveur sur le réseau. Par exemple, il est tout à fait possible (et même fréquent en pratique) que l’utilisateur ait dans son navigateur un onglet contenant un site contrôlé par l’adversaire pendant qu’il se connecte à sa messagerie (par exemple, via une bannière publicitaire) ; cet onglet est, comme n’importe quel autre site, capable de provoquer l’envoi de requêtes arbitraires vers le serveur de GMail, bien que la politique d’isolation des pages du navigateur empêche la lecture directe de la réponse à ces requêtes. De plus, la procédure pour se connecter à GMail implique un empilement complexe de protocoles : tout d’abord, un canal chiffré, et dont le serveur est authentifié, est établi avec le protocole TLS ; puis, une session HTTP est créée en utilisant un cookie ; enfin, le navigateur exécute le code JavaScript retourné par le client, qui se charge de demander son mot de passe à l’utilisateur. Enfin, même en imaginant que la conception de ce système soit sûre, il suffit d’une erreur minime de programmation (par exemple, une simple instruction goto mal placée) pour que la sécurité de l’ensemble de l’édifice s’effondre. Le but de cette thèse est de bâtir un ensemble d’outils et de librairies permettant de programmer et d’analyser formellement de manière compositionelle la sécurité d’applications Web confrontées à un mod- ère plausible des capacités actuelles d’un attaquant sur le Web. Dans cette optique, nous étudions la conception des divers protocoles utilisés à chaque niveau de l’infrastructure du Web (TLS, X.509, HTTP, HTML, JavaScript) et évaluons leurs compositions respectives. Nous nous intéressons aussi aux implé- mentations existantes et en créons de nouvelles que nous prouvons correctes afin de servir de référence lors de comparaisons. Nos travaux mettent au jour un grand nombre de vulnérabilités aussi bien dans les protocoles que dans leurs implémentations, ainsi que dans les navigateurs, serveurs, et sites internet ; plusieures de ces failles ont été reconnues d’importance critiques. Enfin, ces découvertes ont eu une influence sur les versions actuelles et futures du protocole TLS. Keywords: sécurité du web, authentification, analyse de protocoles, http, transport layer security, tls, javascript, same-origin policy, x.509, infrastructure à clé publique, authentification unique, compo- sition de protocoles, lieur de canal, triple poignée de main Inria Paris-Rocquencourt B.P. 105 Team Prosecco – Domaine de Voluceau - Rocquencourt – 78153 Le Chesnay – France xiv Abstract La sécurité des protocoles d’authentification sur le Web Résumé As ever more private user data gets stored on the Web, ensuring proper protection of this data (in parti- cular when it transits through untrusted networks, or when it is accessed by the user from her browser) becomes increasingly critical. However, in order to formally prove that, for instance, email from GMail can only be accessed by knowing the user’s password, assuming some reasonable set of assumptions about what an attacker cannot do (e.g. he cannot break AES encryption), one must precisely understand the se- curity properties of many complex protocols and standards (including DNS, TLS, X.509, HTTP, HTML, JavaScript), and more importantly, the composite security goals of the complete Web stack. In addition to this compositional security challenge, one must account for the powerful additional attacker capabilities that are specific to the Web, besides the usual tampering of network messages. For instance, a user may browse a malicious pages while keeping an active GMail session in a tab; this page is allowed to trigger arbitrary, implicitly authenticated requests to GMail using JavaScript (even though the isolation policy of the browser may prevent it from reading the response). An attacker may also inject himself into honest page (for instance, as a malicious advertising script, or exploiting a data sanitization flaw), get the user to click bad links, or try to impersonate other pages. Besides the attacker, the protocols and applications are themselves a lot more complex than typical examples from the protocol analysis literature. Logging into GMail already requires multiple TLS sessions and HTTP requests between (at least) three principals, representing dozens of atomic messages. Hence, ad hoc models and hand written proofs do not scale to the complexity of Web protocols, mandating the use of advanced verification automation and modeling tools. Lastly, even assuming that the design of GMail is indeed secure against such an attacker, any single pro- gramming bug may completely undermine the security of the whole system. Therefore, in addition to modeling protocols based on their specification, it is necessary to evaluate implementations in order to achieve practical security. The goal of this thesis is to develop new tools and methods that can serve as the foundation towards an extensive compositional Web security analysis framework that could be used to implement and formally verify applications against a reasonably extensive model of attacker capabilities on the Web. To this end, we investigate the design of Web protocols at various levels (TLS, HTTP, HTML, JavaScript) and evaluate their composition using a broad range of formal methods, including symbolic protocol models, type sys- tems, model extraction, and type-based program verification. We also analyze current implementations and develop some new verified versions to run tests against. We uncover a broad range of vulnerabilities in protocols and their implementations, and propose countermeasures that we formally verify, some of which have been implemented in browsers and by various websites.