authenti cation de messages et authenti cation par biom etrie · pas et e pr ealablement authenti e...

Authentification de messagesAuthentification par biometrie

Authentification de messages etauthentification par biometrie

Sebastien Gambs

[email protected]

12 octobre 2015

Sebastien Gambs Introduction a la securite : cours 4 1


Authentification de messagesCode d’authentification de messageHMAC

Authentification par biometrieAuthentification par biometrie



Code d’authentification de messageHMAC

Authentification de messages




Authentification de messages

I Question fondamentale : comment est ce que Bob peuts’assurer que le message pretendument envoye par Alice a bienete envoye par Alice et non pas par Eve?

I Rappel : dans ce cours, on se focalise sur l’authenticite dumessage, pas sur sa confidentialite bien que cela soit unbesoin complementaire.

I Confidentialite 6⇒ authenticite

I Hypothese : Alice et Bob partagent en commun un secret nonconnu de Eve.




Code d’authentification de message

I Code d’authentification de message ou CAM (MessageAuthentication Code ou MAC en anglais) : systemed’authentification de messages a partir d’une cle secretepartagee.

I Objectif principal : empecher qu’Eve, qui ne connaıt pas la clesecrete de Alice et Bob, puisse fabriquer de faux messages etemprunter l’identite de l’un aupres de l’autre.

I Algorithme d’authentification : genere un CAM s a partird’une cle k et d’un message m : s = Sk(m).

I Lorsqu’Alice veut communiquer avec Bob, elle lui envoie lapaire (m, s) sur un canal ou Eve est potentiellement presente.

I Algorithme de verification : verifie si un CAM s correspondbien au message m en utilisant la cle secrete s :Vk(s,m) = accept si s = Sk(m) et reject sinon.




Illustration du principe de CAM

(Extrait de Wikipedia)




Proprietes des CAMs

I Resistance a l’imitation : sans connaissance de la cle secrete,un adversaire ne peut pas generer un message valide qui n’apas ete prealablement authentifie par l’envoyeur legitime.

I Resistance a la falsification : l’adversaire ne peut pas modifierl’integrite d’un message sans etre detecte par le receveur.

I Rappel : integrite 6= confidentialite.

I Un message peut etre confidentiel sans etre integre.

I Exemple : le masque jetable (one-time pad en anglais) qui estinconditionnellement securitaire pour la confidentialite maisdont un bit peut etre change facilement.

I Un message peut etre integre sans etre confidentiel.

I Exemple : m est envoye en clair sans aucun chiffrementprealable, en meme temps que s le CAM de ce message.




Probleme de la fraıcheur du message

I L’integrite n’implique pas que le message est recent⇒ attaque par rejeu possible

I Scenario : supposons par exemple qu’Alice envoie lundi lemessage suivant a Bob avec son code s :(’rendez-vous au restaurant ce soir a 20h’, s)

I Eve qui est jalouse d’Alice et ecoute ses communications voitpasser ce message et l’enregistre.

I Mardi, Eve peut renvoyer le meme message a Bob sans quecelui-ci puisse mettre son authenticite en doute.




Contre-mesures possibles pour eviter le rejeu

Contre-mesure 1 :

I Inclure un index i dans chaque message en plus de soncontenu.

I Bob enregistre tous les messages envoyes par Alice et refuseun message qu’il a deja recu.

I Il peut aussi detecter si Eve a bloque la transmission d’unmessage s’il recoit les messages d’indexes i et i + 2 mais pasle message i + 1.

Contre-mesure 2 :

I Alice introduit une etiquette temporelle dans le messagetransmis a Bob.

I Exemple : ’message envoye lundi 12 octobre a 10h45’.

I Bob refuse un message dont l’etiquette temporelle a depasseun certain delai.




Integrite inconditionnelle

I Il existe des mecanismes qui permettent d’assurer une integriteinconditionnelle mais qui sont plutot inefficaces en pratique.

I Par exemple supposons qu’Alice souhaite envoyer a Bob unmessage parmi n possibles : m ∈ {m1, . . . ,mn}.

I A chaque mi est associe une chaıne aleatoire si de k bits.

I Exemple :

message CAM

m1 s1m2 s2. . . . . .

mn snI Lorsqu’Alice veut envoyer le message mi a Bob, elle envoie

aussi si . Bob verifie si le si recu est celui associe a mi .I La probabilite qu’un adversaire puisse authentifier un message

mj non vu auparavant est egale a 2k (c’est-a-dire laprobabilite de deviner sj aleatoirement).




Limite pratique de l’integrite inconditionnelle

I La longueur des cles va dependre du nombre de messagesqu’on souhaite authentifier.

I L’integrite inconditionnelle reclame des cles de longueur tresimportante des que l’espace possible des messages devientnon-trivial.

I Exemple : si on considere tous les messages possibles sur 1000bits, il faudrait qu’Alice et Bob stockent un tableau de 21000

lignes, soit plus de lignes qu’il n’y a d’atomes dans l’univers.

I Probleme fondamental en securite et cryptographie : commentregler le probleme de la distribution de cles?

I Facile si Alice et Bob se sont rencontres auparavant maisdifficile sur un canal qu’Eve espionne potentiellement.

I Desideratum pratique : avoir un systeme necessitant des clescourtes et reutilisables.




Attaque par fouille exhaustive

I Si la cle choisie est de longueur trop courte et l’adversairecollecte quelques messages⇒ la cle est probablement uniquement determinee⇒ l’adversaire peut la trouver en pratiquant une fouilleexhaustive sur l’espace des cles⇒ l’adversaire peut produire tous les messages valides qu’ildesire

I Solution : utiliser une cle de longueur suffisante pour evitertoute espoir de fouille exhaustive (par exemple au moins 128bits).




Fonction de hachage cryptographique

Soit h une fonction de hachage qui accepte en entree des messagesde longueur arbitraire et produit en sortie des empreintes de tailleconstante (par exemple de k bits) : h : {0, 1}∗ → {0, 1}k .h est une fonction de hachage cryptographique si :

1. h peut etre calculee efficacement,

2. il est difficile de generer un message correspondant a uneempreinte particuliere,

3. il est difficile de modifier un message sans changer sonempreinte,

4. il est difficile de trouver une collision, cad une paire demessages x 6= y tel que h(x) = h(y).

⇒ k doit etre choisi suffisamment grand pour qu’une fouilleexhaustive soit impossible.




HMAC

I HMAC (Hash-based MAC) : pemet la generation d’un CAM apartir d’une fonction de hachage cryptographique h.

I Utilise dans IpSec et SSL.

I Sk(m) = h((k ⊕ opad) ‖ h((k ⊕ ipad) ‖ m)).

I Vk(m, s) = accept si h((k ⊕ opad) ‖ h((k ⊕ ipad) ‖ m)) = set reject sinon.

I opad = 0x5c5c5c . . . 5c5c et ipad = 0x363636 . . . 3636, ilssont tous les deux de la taille de la cle k et ont ete choisis afind’avoir une distance de Hamming importante.

I La taille utilisee pour la cle est habituellement de 128 ou 160bits (avec par exemple MD5 ou SHA-1 comme fonction dehachage).




MD5 et SHA-1

I MD5 : fonction de hachage cryptographique avec une sortiede 128 bits cree par Ron Rivest en 1994.

I Utilise couramment de nombreuses applications dont verifierl’integrite de fichier ou pour les certificats de SSL.

I SHA-1 : fonction de hachage qui en pratique peut servir defonction de hachage cryptographique.

I Produite des empreintes de 160 bits en sortie.I A ete choisi par le NIST pour remplacer SHA-0 qui etait

soupconne d’avoir des failles permettant de trouver descollisions mais SHA-1 semble lui-meme avoir des faiblesses.

I Des familles de fonctions de hachage SHA-2 existent mais unecompetition pour trouver qui sera le successeur pour SHA-3s’est termine en octobre 2012 avec la victoire d’un algorithmedu nom de Keccak (Bertoni, Daemen, Peters et Van Assche).




Annonce du resultat de la competition sur SHA-3

Remarque : avec SHA-3, il est possible de construire un HMACdirectement de la forme h(k ‖ m).




Du resultat de la competition a la standardisation deSHA-3




Illustration du HMAC base sur SHA-1




Paradoxe de l’anniversaire

Experience 1 :

I Quelle est la probabilite dans une classe de 23 etudiants qu’ilsy aient deux qui soient nes le meme jour?

Experience 2 :

I Supposons qu’il y ait n boules dans une urne avec desetiquettes differentes.

I Question : combien de fois est ce que je dois piocher auhasard en moyenne dans l’urne pour esperer tomber deux foissur la meme boule si a chaque fois que je pioche une boule, jela remets ensuite dans l’urne?

I Reponse : environ√n de fois en moyenne pour avoir une

probabilite de succes d’au moins 12 .




Comprendre le paradoxe de l’anniversaire

I Soit une annee qui compte 365 jours (on ne s’occupe pas desannees bissextiles).

I Parmi n individus (on suppose n < 365), on veut savoir s’ilexiste au moins une paire d’individus qui ont le memeanniversaire, soit p(n) la probabilite de cet evenement.

I Soit p(n), la probabilite que n individus aient des datesd’anniversaire differentes.

I p(n) = 1×(1− 1365)×(1− 2

365)× . . .×(1− n−1365 ) = 365!

365n(365−n)!I p(n) = 1− p(n),

I des que n ≥ 23⇒ p(n) > 50% (et meme 99% si n ≥ 57).




Probabilite de succes du paradoxe de l’anniversaire

(Extrait de wikipedia)




Utiliser l’attaque de l’anniversaire pour trouver une collision

Algorithme :

1. Rencontre ← {}2. xj choisi au hasard dans le domaine de h

3. Repeter tant que (xj , h(xj)) ∈ Rencontre ou h(xj) n’apparaıtpas dans Rencontre

I Rencontre ← Rencontre + (xj , h(xj))I xj choisi au hasard dans le domaine de h

4. Retourner (xi , xj) tel que xi 6= xj et (xj , h(xi )) ∈ Rencontre

Theoreme : l’algorithme ci-dessus peut generer une collision apres

2(k2) tours de boucle en moyenne pour k le nombre de bits de sortie

de la fonction de hachage h.




Probleme de la longueur de la sortie pour les CAMs

I Pour un cryptosysteme, on considere souvent que 64 bits decle sont suffisants pour offrir une securite relativement bonneen pratique (bien qu’on tende vers 128 bits minimummaintenant pour AES).

I Pour une fonction de hachage, une sortie sur 64 bits n’est passuffisante car un adversaire pourrait reussir a trouver une

collision en 2(642) = 232 = 4 294 967 296 etapes de calcul en

moyenne.

I Solution : avoir une sortie de longueur au moins 128 bits pourque le travail demande pour trouver une collision soitequivalent a celui requis pour faire une fouille exhaustive surun espace de cles de 64 bits pour un cryptosysteme.




Types d’attaque sur fonction de hachage

I Attaque par collision : chercher a generer deux messages x ety tel que x 6= y mais h(x) = h(y).

I L’attaque reposant sur le paradoxe de l’anniversaire trouvetoujours une collision en temps espere 2k/2 pour k la taille dela sortie de la fonction de hachage mais . . .

I il est parfois possible de trouver des attaques plus efficacesreposant sur la structure specifique de la fonction de hachage.

I Attaque par pre-image :1. etant donne un hash z cherche a generer un message x (une

pre-image) tel que h(x) = z (attaque de pre-image de premiereordre) ou

2. etant donne un message x , trouver un autre message y tel queh(x) = h(y) (attaque par pre-image de second ordre).

I Question : quelles sont les implications pratiques de ces typesd’attaque?




Etat des lieux des fonctions de hachage

Probleme fondamental : existe t’il reellement des familles defonction de hachage cryptographiques qui sont a collision difficile?Etat des lieux des fonctions utilisees en pratique :

(Extrait de wikipedia)




CAM a partir d’un chiffrement par blocs (voir cours dePierre-Alain)

I La methode de chiffrements par blocs dans descryptosystemes symmetriques tel que DES ou AES peut etreutilise pour authentifier un message.

I Exemple : methode d’enchaınements de blocs (Cipher BlockChaining ou CBC en anglais).

I Fonctionnement d’un CBC-MAC : le message m est decoupeen blocs de taille constante, m = m1, . . . ,ml et le chiffrementdu dernier bloc cl joue le role de CAM pour le message.




Quelques mots sur les signatures numeriques

I Signature numerique : equivalent digital de la signature papierqui peut etre utilise pour authentifier un document numeriqueet garantir son authenticite.

I Base sur le concept de cryptographie asymetrique ou unutilisateur possede :

I une cle secrete de signature qu’il peut utiliser pour signer undocument et

I une cle de verification publique qui peut etre utilise parn’importe qui pour verifier l’authenticite d’une signature.

I La signature numerique fournit aussi la propriete denon-repudiation, le fait qu’un utilisateur ne puisse pas nieravoir signe un document (elle a valeur legale en France).

I Pour des raisons d’efficacite, c’est souvent la valeur hacheed’un message qui est signee et non pas le message. Quelrisque cela pose t-il si le hachage n’est pas a collision difficile?




Scenario : ouverture de porte de garage a distance

I Contexte : supposons que je souhaite creer un systeme qui mepermet d’ouvrir mon garage a distance sans sortir de mavoiture en utilisant une telecommande.

I Probleme : je veux eviter qu’un potentiel cambrioleur puisseutiliser ce systeme pour s’introduire chez moi. Comment faire?

I Est ce que si je chiffre les communications entre matelecommande et ma porte cela regle le probleme?

I Est ce que l’authentification suffirait?

I Aussi comment eviter les risques de rejeu?



Authentification par biometrie





Biometrie

I Biometrie : analyse statistique des donnees biologiques d’unindividu.

I L’authentification par biometrie consiste a utiliser un systemede reconnaissance base sur les caracteristiques physiques oucomportementales d’un individu pour verifier son identite.

I Exemples : empreinte digitale, iris, visage, voix.I Deux phases importantes :

1. Capture des donnees biometriques : enregistrement del’utilisateur en capturant un modele de ses caracteristiquesbiometriques (par exemple son empreinte digitale).

2. Verification de son identite : le systeme capture des donnees etles compare au modele.⇒ s’il y a correspondance l’utilisateur est authentifie

I Il est possible aussi de faire de la reconnaissance (identifierune personne parmi tous les enregistrements de la base).




Exemples d’utilisation de l’authentification par biometrie

I Controle d’acces a des locaux ou batiment.

I Authentification pour utiliser un ordinateur.




Caracteristiques des donnees biometriques

I Les donnees biometriques peuvent naturellement varierlegerement d’une fois a l’autre.

I Exemple : empreinte de voix differente a cause d’un mal degorge ou iris dilate differemment a cause de la prise demedicament.

I Il faut etre capable de prendre en compte cette variabilitenaturelle a l’interieur du systeme d’authentification parbiometrie.




Methode d’identification des donnees biometriques

I Capture (etape 1) : on acquiert bi le profil biometrique del’utilisateur d’index i .

I La representation de bi depend de la methode biometriqueutilisee (cela peut aller d’un vecteur de bits a unerepresentation beaucoup plus complexe).

I Identification (etape 2) : on mesure b′, les donneesbiometriques fraıches d’un utilisateur qui souhaites’authentifier comme etant l’utilisateur d’index i .

I But : verifier si b′ est suffisamment similaire de bi qu’on astocke en memoire.

I Si c’est le cas, on accepte l’utilisateur, sinon on le rejette.




Fonctionnement de l’authentification par biometrie




Distance entre profils biometriques

I Soit dist(b, b′) une mesure de distance entre deux profilsbiometriques b et b′.

I Exemples de mesure de distance : distance de Hamming oudistance d’edition.

I Si les deux profils correspondent parfaitement sidist(b, b′) = 0.

I En general on fixe un seuil θ tel que si dist(b, b′) < θ alors onconsidere que les profils sont suffisamment similaires,

I sinon on considere l’authentification comme non-reussie.

I La valeur du seuil θ va dependre de la methode biometriqueutilisee et de la variabilite naturelle a l’interieur de lapopulation.

I Il est possible d’utiliser une mesure de similarite au lieu d’unemesure de distance.




Erreur d’identification

I Deux types principaux d’erreurs d’identification : faux negatifset faux positifs.

I Faux positifs : reconnaissance a tort d’un individu qui n’auraitpas du etre reconnu.

I Mesure par le taux de fausse acceptation (FAR pour FalseAcceptance Rate en anglais).

I Faux negatifs : non-reconnaissance d’un individu qui aurait duetre reconnu.

I Mesure par le taux de faux rejet (FFR pour False RejectionRate en anglais).

I Baisser un des deux taux augmente l’autre.I Exemple : on rejette toute identification ou la correspondance

n’est pas parfaite (baisse le FAR mais augmente le FFR).I Une bonne methode d’identification cherche a trouver un

compromis efficace pour avoir deux taux bas.




Compromis entre FAR et FRR




Securite des donnees biometriques

I Systeme securitaire du moment qu’il n’est pas realisted’acquerir les donnees biometriques d’un individu.

I Exemple : facile pour les empreintes digitales, je prends uncafe avec vous et je recupere votre gobelet ensuite.

I Conseil : pour plus de securite, utiliser la biometrie encombinaison avec autre methode d’authentification (parexemple connaissance d’un mot de passe ou jetoncryptographique).




Empreinte digitale

I Une des plus anciennes formes d’authentification biometrique.

I Represente les caracteristiques d’une empreinte digitale sousforme de points caracteristiques appeles minuties.

I La probabilite de trouver deux individus avec des empreintessimilaires est de 1 sur 1024.

I Remarque : les jumeaux ont des empreintes tres proches maisnon semblables.

I Avantages : facile a mettre en place et a utiliser et donne unbon taux de detection.

I Inconvenients : il est relativement facile de copier lesempreintes digitales d’une personne.

I Demande aussi a faire une nouvelle capture des donnees sil’utilisateur se coupe ou se brule.




Illustration des empreintes digitales




Systeme de reconnaissance faciale et vocale

I Prend une empreinte (fingerprint en anglais) du visage ou dela voix d’un individu.

I Avantages : facile a utiliser tout comme les systemesd’empreintes digitales.

I Inconvenients : peut etre trompe par la photographie d’unvisage ou l’enregistrement d’une voix.




Illustration de la reconnaissance faciale




Scan d’iris et de retine

I Fait une capture de l’iris ou de la retine.

I La probabilite de trouver deux individus avec des iris ayant descaracteristiques similaires est de 1 sur 1072.

I L’identification peut faire jouer la lumiere pour changer entemps reel l’image de l’iris mesuree.

I Avantages : methode qui offre un des meilleurs tauxd’identification et considere comme etant un des plus surs dufait de la difficulte de faire une capture du comportementd’une iris.

I Meme deux jumeaux possedent un scan d’iris et de retinedifferent.

I Inconvenient : procedure de capture plus contraignante.




Illustration du scan d’iris




Autres methodes d’authentification biometriques

I Scan du reseau veineux : utiliser la structure du reseau veineuxcomme information biometrique.

I Pas encore tout a fait au point mais tres prometteur commetechnologie.

I L’authentification par biometrie s’interesse aussi a identifierles individus par rapport a leur comportement.

I Dynamique des frappes au clavier : identification d’un individupar rapport a sa dynamique de frappe au clavier (par exempleduree entre frappes, frequence des erreurs ou duree globalenecessaire pour taper un texte.

I Dynamique de signature : utilisee lors de l’acquisition designatures par palette graphique en mesurant par exemple lavitesse ou encore la pression et les accelerations.




C’est la fin !

Merci pour votre attention.Si vous avez des questions,n’hesitez pas a m’ecrire a

[email protected]


authenti cation de messages et authenti cation par biom etrie · pas et e pr ealablement authenti e...

Documents