authenti cation par biom etrie et s ecurit e mat erielle · quelques applications a l’authenti...

Authentification par biometrieSecurite materielle

Quelques applications a l’authentification

Authentification par biometrie et securitematerielle

Sebastien Gambs

[email protected]

2 decembre 2015

Sebastien Gambs Autour de l’authentification : cours 6 1



Authentification par biometrie

Securite materielle





Authentification par biometrie




Biometrie

I Biometrie : analyse statistique des donnees biologiques d’unindividu.

I L’authentification par biometrie consiste a utiliser un systemede reconnaissance base sur les caracteristiques physiques oucomportementales d’un individu pour verifier son identite.

I Exemples : empreinte digitale, iris, visage, voix.I Deux phases importantes :

1. Capture des donnees biometriques : enregistrement del’utilisateur en capturant un modele de ses caracteristiquesbiometriques (par exemple son empreinte digitale).

2. Verification de son identite : le systeme capture des donnees etles compare au modele.⇒ s’il y a correspondance l’utilisateur est authentifie

I Il est possible aussi de faire de la reconnaissance (identifierune personne parmi tous les enregistrements de la base).




Exemples d’utilisation de l’authentification par biometrie

I Controle d’acces a des locaux ou batiment.

I Authentification pour utiliser un ordinateur.




Caracteristiques des donnees biometriques

I Les donnees biometriques peuvent naturellement varierlegerement d’une fois a l’autre.

I Exemple : empreinte de voix differente a cause d’un mal degorge ou iris dilate differemment a cause de la prise demedicament.

I Il faut etre capable de prendre en compte cette variabilitenaturelle a l’interieur du systeme d’authentification parbiometrie.




Methode d’identification des donnees biometriques

I Capture (etape 1) : on acquiert bi le profil biometrique del’utilisateur d’index i .

I La representation de bi depend de la methode biometriqueutilisee (cela peut aller d’un vecteur de bits a unerepresentation beaucoup plus complexe).

I Identification (etape 2) : on mesure b′, les donneesbiometriques fraıches d’un utilisateur qui souhaites’authentifier comme etant l’utilisateur d’index i .

I But : verifier si b′ est suffisamment similaire de bi qu’on astocke en memoire.

I Si c’est le cas, on accepte l’utilisateur, sinon on le rejette.




Fonctionnement de l’authentification par biometrie




Distance entre profils biometriques

I Soit dist(b, b′) une mesure de distance entre deux profilsbiometriques b et b′.

I Exemples de mesure de distance : distance de Hamming oudistance d’edition.

I Si les deux profils correspondent parfaitement sidist(b, b′) = 0.

I En general on fixe un seuil θ tel que si dist(b, b′) < θ alors onconsidere que les profils sont suffisamment similaires,

I sinon on considere l’authentification comme non-reussie.I La valeur du seuil θ va dependre de la methode biometrique

utilisee et de la variabilite naturelle a l’interieur de lapopulation.

I Il est possible d’utiliser une mesure de similarite au lieu d’unemesure de distance.




Erreur d’identification

I Deux types principaux d’erreurs d’identification : faux negatifset faux positifs.

I Faux positifs : reconnaissance a tort d’un individu qui n’auraitpas du etre reconnu.

I Mesure par le taux de fausse acceptation (FAR pour FalseAcceptance Rate en anglais).

I Faux negatifs : non-reconnaissance d’un individu qui aurait duetre reconnu.

I Mesure par le taux de faux rejet (FFR pour False RejectionRate en anglais).

I Baisser un des deux taux augmente l’autre.I Exemple : on rejette toute identification ou la correspondance

n’est pas parfaite (baisse le FAR mais augmente le FFR).I Une bonne methode d’identification cherche a trouver un

compromis efficace pour avoir deux taux bas.Sebastien Gambs Autour de l’authentification : cours 6 10



Compromis entre FAR et FRR




Securite des donnees biometriques

I Systeme securitaire du moment qu’il n’est pas realisted’acquerir les donnees biometriques d’un individu.

I Exemple : facile pour les empreintes digitales, je prends uncafe avec vous et je recupere votre gobelet ensuite.

I Conseil : pour plus de securite, utiliser la biometrie encombinaison avec autre methode d’authentification (parexemple connaissance d’un mot de passe ou jetoncryptographique).




Empreinte digitale

I Une des plus anciennes formes d’authentification biometrique.

I Represente les caracteristiques d’une empreinte digitale sousforme de points caracteristiques appeles minuties.

I La probabilite de trouver deux individus avec des empreintessimilaires est de 1 sur 1024.

I Remarque : les jumeaux ont des empreintes tres proches maisnon semblables.

I Avantages : facile a mettre en place et a utiliser et donne unbon taux de detection.

I Inconvenients : il est relativement facile de copier lesempreintes digitales d’une personne.

I Demande aussi a faire une nouvelle capture des donnees sil’utilisateur se coupe ou se brule.




Illustration des empreintes digitales




Systeme de reconnaissance faciale et vocale

I Prend une empreinte (fingerprint en anglais) du visage ou dela voix d’un individu.

I Avantages : facile a utiliser tout comme les systemesd’empreintes digitales.

I Inconvenients : peut etre trompe par la photographie d’unvisage ou l’enregistrement d’une voix.




Illustration de la reconnaissance faciale




Scan d’iris et de retine

I Fait une capture de l’iris ou de la retine.

I La probabilite de trouver deux individus avec des iris ayant descaracteristiques similaires est de 1 sur 1072.

I L’identification peut faire jouer la lumiere pour changer entemps reel l’image de l’iris mesuree.

I Avantages : methode qui offre un des meilleurs tauxd’identification et considere comme etant un des plus surs dufait de la difficulte de faire une capture du comportementd’une iris.

I Meme deux jumeaux possedent un scan d’iris et de retinedifferent.

I Inconvenient : procedure de capture plus contraignante.




Illustration du scan d’iris




Autres methodes d’authentification biometriques

I Scan du reseau veineux : utiliser la structure du reseau veineuxcomme information biometrique.

I Pas encore tout a fait au point mais tres prometteur commetechnologie.

I L’authentification par biometrie s’interesse aussi a identifierles individus par rapport a leur comportement.

I Dynamique des frappes au clavier : identification d’un individupar rapport a sa dynamique de frappe au clavier (par exempleduree entre frappes, frequence des erreurs ou duree globalenecessaire pour taper un texte.

I Dynamique de signature : utilisee lors de l’acquisition designatures par palette graphique en mesurant par exemple lavitesse ou encore la pression et les accelerations.




PrincipesAttaques et contre-mesures

Securite materielle





Securite materielle

I Idee principale : faire reposer la securite d’une application(totalement ou en partie sur un objet physique) quel’utilisateur legitime doit posseder pour s’authentifier.

I Exemples : puces securises qui contient de l’information priveecomme des cles de chiffrement ou de la monnaie electronique.

I Souvent on fait l’hypothese que cet objet a une certaineresistance contre les attaques physiques et logiques (tamperresistance en anglais).

I Autrement dit, aucune securite materielle parfaite n’existemais . . .

I on souhaite que briser le systeme requiert trop de ressourcespour lui pour que ca soit interessant en pratique.

I Exemple : briser le systeme requiert un investissement de lapart de l’attaquant dont le cout est evalue a plusieurs dizainesde milliers d’euros.





Quelques principes de la securite materielle

I Principe 1 : si possible, on souhaite que l’acces a l’informationqui est sur la puce se fasse a travers un logiciel integre danscelle-ci et pas a travers des moyens externes.

I Principe 2 : le fait que le materiel soit brise ne devrait pascompromettre l’entiere securite du systeme.

I Principe 3 : degradation progressive du systeme en casd’attaques.

I Peut etre obtenu en organisant les mecanismes de defenses encouche afin qu’une breche dans la couche superieure ne causepas une compromission complete.





Methodes possibles d’acces au materiel securise

I Achat : l’attaquant a acheter un exemplaire du produit a laboutique specialise du coin.

I But possible : briser le materiel afin de comprendre sonfonctionnement et les mecanismes de securite integres.

I Evaluation : l’attaquant a pu louer ou emprunter le materielpour une courte periode.

I Actif : le materiel est en operation mais pas dans les mains del’attaquant.

I Acces distant : l’attaque peut se lancer a distance, pas besoind’un contact direct avec le produit.





Objectifs possibles de l’attaquant

I Espionnage : avoir acces a l’information stocke sur le materiel(possiblement sans l’ouvrir).

I Interruption : empecher le materiel de fonctionnernormalement.

I Modification : pouvoir corrompre les valeurs stockees dans lemateriel.

I Fabrication : pouvoir cloner ou contrefaire le materiel securise.





Quelques attaques possibles

I Attaque physique sur le materiel,

I Analyse de la consommation electrique,

I Analyse du rayonnement electromagnetique,

I Application de voltage tres important,

I Changement de la vitesse de l’horloge,

I Introduction d’erreurs logiciels par radiation,

I . . .





Types de mecanismes de protection

I Resistance aux alterations : materiel specialise qui rendl’alteration difficile a realiser.

I Exemples : vis a sens unique, encapsulation dans de l’epoxy.

I Evidence d’une alteration : mecanisme faisant que toutealteration physique laisse une trace.

I Exemples : detecteurs passifs comme sceaux, billes depeinture, . . .

I Detection d’une alteration : mecanisme permettant al’appareil de realiser qu’il est attaque.

I Exemples : interrupteur detectant l’ouverture d’une zone,capteur mesurant les conditions environnementales, . . .

I Reponse a une alteration : declenchement d’unecontre-mesure si une attaque est detectee.





Mecanismes de resistance aux attaques

I Mecanisme physique : protege physiquement la zone sensibleafin d’essayer d’emecher toute attaque physique ou intrusion.

I Plus efficace si organise en couches successives.

I Si possible inclure des mecanisme de detection d’attaques quipeuvent ensuite servir a declencher une contre-mesureappropriee (allant jusqu’a simplement le suicide de la puce).





Illustration de la resistance aux alterations





Illustration de l’evidence d’alteration





Zeroisation

I Zeroisation : certaines puces sont capables d’effacer lesdonnees sensibles si elles detectent une tentative depenetration dans l’enceinte de securite ou suite a deschangements extremes de l’environnement.

I Exemple : effacement des cles utilisees pour le chiffrement oul’authentification.

I Permet d’assurer un bon niveau de securite meme sil’attaquant a reussi a mettre la main sur l’appareil.

I Certaines puces ont une source d’energie independante pourassurer la zeroisation.





Analyse de puissance

I Analyse de puissance : forme d’attaque de type canal auxiliaireou l’attaquant analyse la consommation electrique d’unappareil cryptographique.

I Attaque non-invasive qui peut etre utilisee pour deduire descles cryptographiques ou d’autres donnees stockees dansl’appareil.

I Analyse simple : interpretation visuelle des traces d’activiteselectriques de l’appareil.

I Chaque operation cryptographique a une signature differentequi peut etre reconnu.

I Analyse differentielle de la consommation : forme plus evolueed’analyse des traces du signal qui combine du traitement dusignal avec de la correction d’erreur.





Illustration de l’analyse de puissance





Contre-mesures contre l’analyse de puissance

I Difficulte principale : l’attaque etant non-invasive il n’est paspossible de la deceler par un mecanisme de detection.

I Contre-mesure principale : faire que les variations dans lapuissance ne revele pas d’informations sur les operations faites.

I Exemple : faire que la consommation electrique soitindependante de la branche de calcul prise.

I Autres contre-mesures : modifications algorithmiques,injection d’aleatoire dans le programme pour rendre soncomportement moins previsible.





Interference electromagnetique

I Tout appareil genere de l’activite electromagnetique.

I Cette activite peut etre surveillee pour deduire del’information secrete comme les donnes sur un disque dur oules cles cryptographiques stockees sur une puce.

I Attaque active : l’attaquant peut aussi injecterintentionnellement une interference magnetique pour causerune faute exploitable.

I Mecanismes de protection possibles : utilisation d’enveloppelimitant les emanations magnetiques ou generationintentionnelle de bruit electromagnetique.




Quelques applications al’authentification




Jeton cryptographique

I Jeton cryptographique : dispositif physique qui permet a sonpossesseur legitime de s’authentifier aupres d’une autre entite.

I Idee principale : il est necessaire de posseder cet objetphysique pour que l’authentification reussisse.

I Exemple : cle USB.

I Peut stocker des cles cryptographiques, des signaturesdigitales ou encore des donnees biometriques.

I Les jetons cryptographiques sont concus pour etre facilementtransportable et pouvoir etre emporte partout par leurutilisateur.

I Peuvent s’utiliser seul ou en combinaison avec une autremethode d’authentification (par exemple login et mot depasse).




Quelques jetons cryptographiques

(Extrait d’une demo des laboratoires RSA sur SecurID)Sebastien Gambs Autour de l’authentification : cours 6 37



Jeton cryptographique (suite)

I Certains jetons dispose de puce resistante aux attaques alorsque d’autres se content d’un clavier pour entrer un PIN quiactive le jeton (ou meme simplement d’un bouton).

I Durant l’authentification, le jeton peut soit communiquerdirectement avec un peripherique, soit affiche une informationtelle qu’un nombre aleatoire que l’utilisateur devra taperlui-meme.




Types de jeton

I Mot de passe statique : le jeton sert simplement a stocker unmot de passe de maniere securisee.

I Mot de passe dynamique et synchrone : le mot de passechange dynamiquement en fonction du temps.

I Exemple : generateur pseudo-aleatoire dont le germe (seed enanglais) est stocke dans le jeton.

I Defi-reponse : protocole de type defi-reponse qui requiert de lacommunication a double sens (contrairement aux methodesprecedentes).

I Exemple : signature digitale ou mecanisme base sur unchiffrement symmetrique.




Un petit detour : chaıne de hachage

I Chaıne de hachage : methode pour produire plusieurs cles ausage unique a partir d’un seul mot de passe.

I Imagine par Lamport en 1981.I Le serveur stocke la valeur du mot de passe hache

recursivement un grand nombre de fois (par exemple 1000fois) : h1000(motdepasse) = h(h999(motdepasse)).

I Lorsque l’utilisateur doit s’authentifier, il envoieh999(motdepasse) au serveur (possiblement en clair).

I Supposons que le serveur stocke la valeur deh1000(motdepasse), il va considerait l’utilisateur comme validesi l’application de la fonction de hachage sur la valeur envoyeepar l’utilisateur correspond a la valeur qu’il garde en memoire.

I Le serveur garde maintenant h999(motdepasse) en memoire etl’utilisateur devra fournir h998(motdepasse) la prochaine foisqu’il souhaite s’authentifier.




Fonction physiquement non-clonable

I Fonction physiquement non-clonable (Physically UnclonableFunction ou PUF en anglais) : fonction contenue a l’interieurd’une structure physique qui est facile a evaluer mais difficile acaracteriser.

I Peut-etre vu comme l’equivalent physique d’une fonction asens unique.

I Principe general : la structure physique qui contient lafonction est issue d’un processus physique comportant unepart importante d’aleatoire qui ne peut pas etre controllee.

I Peut-etre utilise pour des protocoles de type defi-reponse.

I Lorsqu’un certain stimulus est applique a la PUF, celle reagitde maniere difficilement predictible.

I Le stimulus peut constituer le defi et la reaction la reponse.




Types de fonction physiquement non-clonable

PUFs bases sur de l’aleatoire introduit explicitement :I Optique : se base sur materiel transparent dans lequel on

introduit des impuretes qui diffusent la lumiere.I Enrobage : recouvre un circuit imprime d’un revetement qui

lui donne une signature electrique particuliere (qui peut etrevu comme un identifiant unique).

I Permet aussi de proteger le circuit recouvert contre lesattaques d’ingenierie inverse.

PUFs bases sur de l’aleatoire intrinseque :I Silicone : exploite les variations aleatoires dans le

comportement de propagation de l’information dans un circuit.I Magnetique : utilise l’empreinte magnetique caracteristique

d’un medium comme signature.I Pour une carte de taille standard, la probabilite que deux

cartes et la meme empreinte est de 1 sur 900 millions.Sebastien Gambs Autour de l’authentification : cours 6 42



Module materiel de securite

I Module materiel de securite : appareil resistant aux attaquesdisposant de capacites cryptographiques.

I Sert a stocker et gerer des cles cryptographiques et permetaussi d’effectuer des calculs cryptographiques plus rapidement.

I Exemple : carte electronique pouvant etre insere dans unordinateur ou boitier externe.

I La plupart des modules se basent sur une infrastructure a clepublique et stocke des certificats signes par une autorite decertification.




Cryptoprocesseurs securitaires

I Cryptoprocesseurs securitaires : microprocesseur dedie auxoperations cryptographiques et qui est situe sur une puceresistante aux attaques.

I Sert souvent de pierre angulaire a la securite d’un systeme etelimine la necessite d’avoir d’autres mesures de securite pourles autres sous-systemes.

I Exemple : carte a puce.

I Le cryptoprocesseur dispose de sa propre memoire et leresultat des etapes intermediaires de calcul ne quittent pas lapuce.

I Les donnees manipulees par la puce peuvent elles-memes etrechiffrees.




Mesures de securite dans les cryptoprocesseurs securitaires

I Mecanisme de detection d’attaques et partitionnement ducontenu,

I Zeroisation automatique des secrets en cas d’attaque,

I Batterie interne,

I Chaıne de confiance pour authentifier le code du systemed’exploitation qui sera utilise,

I Chaıne de confiance pour authentifier le code d’uneapplication avant de la charger,

I Implementation de registres separes avec possiblement desniveaux de privileges differents.




Attaque de demarrage a froid

I Attaque de demarrage a froid : forme d’attaque de type canalauxiliaire ou l’attaquant redemarre le systeme a froid a partirde son etat initial.

I Profite de la reminiscence des donnees dans la memoire RAMpour retrouver dans le contenu de la memoire desinformations privees (comme des cles de chiffrement).

I Attaque possible pendant plusieurs minutes, voir plusieursheures (en cas de refroidissement provoque) car les donneespersistent en memoire pendant un certain temps.

I Protection possible : chiffrer les donnees en memoire entredeux operations cryptographiques.




TPM

I TPM (Trusted Platform Module en anglais) : forme decryptoprocesseur securitaire mis en place par le TrustedComputing Group.

I Permet d’authentifier des composants materiels.

I Contient un generateur pseudo-aleatoire interne ainsi que descapacites de generation et de gestion de cles cryptographiques.

I Permet entre autres de faire de l’attestation a distance (atravers le protocole DAA).

I Peut ainsi certifier l’integrite d’un programme ou logiciel, c’esta dire que celui-ci n’a pas ete corrompu.




Une TPM en “vraie”




Composants d’une TPM




Gestion des droits numeriques

I Gestion des droits numeriques (Digital Rights Management ouDRM en anglais) : mecanisme de controle d’acces a desoeuvres numeriques.

I But principal : utiliser des mesures de protection pourpermettre un acces conditionnel seulement aux utilisateurslegitimes.

I Exemples : restreindre la lecture d’un DVD a une zonegeographique, empecher la copie d’un support numerique,tatouage numerique.

I Beaucoup de systemes de DRM se basent sur des methodesde chiffrement pour proteger les oeuvres.

I Si la cle de dechiffrement est stockee sur un peripheriqueresistant aux attaques cela empeche en theorie tout utilisateurqui ne possede pas le materiel requis de consulter l’oeuvre.




Scenario

I Le contenu numerique protege par des droits d’auteurs eststockee sur un serveur.

I Le client est le peripherique qui souhaite acceder a ce contenu(par exemple le balladeur MP3 ou un ordinateur portable).

1. Lorsque le client souhaite acceder au contenu, il envoie unerequete au serveur dans laquelle figure un identifiant unique.

2. Le serveur chiffre ensuite l’oeuvre en utilisant la cle dechiffrement correspondant a cet identifiant et envoie leresultat au client.

3. Lorsque la personne souhaite consulter l’oeuvre, leperipherique utilise la cle de dechiffrement contenu dans lalicence correspondante.

4. S’il n’a pas de licence, le client doit interagir avec le serveurpour en acquerir une (probablement en acquittant unecertaine somme).

Remarque : la licence contient aussi d’autres informations sur lesconditions d’utilisation de l’oeuvre par exemple d’eventuellesrestrictions liees a un type de materiel ou encore une dated’expiration.




DRM et droit

I Dans beaucoup de legislations, il est autorise de faire descopies privees ce qui est difficile a mettre en place avec unsysteme de DRM.

I Problematique liee au respect de la vie privee si on est capablede pister les achats d’un internaute (ou encore de tracerl’utilisation des oeuvres avec le tatouage numerique).

I Probleme d’interoperabilite entre les differents standards.


authenti cation par biom etrie et s ecurit e mat erielle · quelques applications a l’authenti...

Documents