UNIVERSITATEA ALEXANDRU IOAN CUZA IAŞI        FACULTATEA DE INFORMATICĂ      REZUMAT LUCRARE DE DISERTAŢIEModelarea şi ver...
MODELAREA SI VERIFICAREAPROTOCOALELOR DE SECURITATEBAZATE PE SMART CARDURI      Protejarea sesiunilor de comunicare pentru...
transmiterea şi recepţionarea de mesaje. Pentru cunoştinţele agenţilor, în special cele ale intrusului,trebuie propuse noi...
Abadi şi Needham în *4+ enunţă 11 principii informale, care nu sunt suficiente pentru demonstrareacorectitudinii protocoal...
Abordarea propusă de Paulson preia de la logica BAN ideea obţinerii de noi informaţii ca urmare arecepţiei mesajelor, dar ...
2.2.5 Urme     Urmele protocolului sunt liste de evenimente de lungime variabilă pe baza cărora se va construimodelul prot...
modelat printr-o altă regulă numită Fake, care formalizează faptul că acesta poate trimite orice mesaj pecare îl poate cre...
2.3.3 Cunoştinţele agenţilor     În această secţiune este prezentat modul în care poate fi extinsă mulţimea cunoştinţelor ...
   Corectitudinii modelării serverului       Corectitudinii modelării modului în care sunt utilizate cardurile       Co...
Upcoming SlideShare
Loading in …5
×

Rezumat disertatie

1,540 views

Published on

MODELAREA SI VERIFICAREA PROTOCOALELOR DE SECURITATE BAZATE PE SMART CARDURI

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,540
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Rezumat disertatie

  1. 1. UNIVERSITATEA ALEXANDRU IOAN CUZA IAŞI FACULTATEA DE INFORMATICĂ REZUMAT LUCRARE DE DISERTAŢIEModelarea şi verificarea protocoalelor bazate pe Smart Carduri propusă de Alexandra Buruciuc Sesiunea: iulie, 2011 Coordonator ştiinţific Profesor, Dr. Ferucio Laurenţiu Ţiplea
  2. 2. MODELAREA SI VERIFICAREAPROTOCOALELOR DE SECURITATEBAZATE PE SMART CARDURI Protejarea sesiunilor de comunicare pentru a împiedica furtul şi alterarea informaţiilor sensibile adevenit o problemă la nivel mondial. Smart cardurile au apărut ca o soluţie la acestă problemă oferindsecuritate prin stocarea într-un mod sigur, pe termen lung, a datelor cu caracter personal şi a secretelorutilizate de către primitivele criptografice. Sistemele tradiţionale bazate pe parole sunt înlocuite tot maides cu cele bazate pe smart carduri. Scopul acestei lucrări este de a prezenta o metodă de analiză aprotocoalelor de securitate bazate pe smart carduri astfel încât raţionamentele legate de gradul desecuritate pe care acestea îl oferă să aibe un suport formal. Verificarea protocoalelor de securitate este fundamentală înainte ca acestea să fie utilizate înpractică. Datorită numărului mare de vulnerabilităţi posibile la nivel de protocol de securitate dar şi deimplementare a acestora, singura metodă prin care ne putem asigura că un astfel de protocol estecorect, este demonstraţia matematică. O demonstraţie nu este altceva decât dovada că fiecare pas dinprotocol păstrează o anumită proprietate. În cest scop de-a lugul timpului au fost propuse numeroaseabordări, iar odată cu dezvoltarea sistemelor IT, calculatorul a început sa-şi arate utilitatea înautomatizarea acestor analize. Inducţia matematică este considerată suficientă pentru a modela şi a crea raţionamente referitoarela obiectivele protocoalelor de securitate. Demonstraţiile proprietăţilor pentru protocoalele bazate pesmart carduri sunt mai complexe decât pentru protocoalele clasice, iar metodele de analiză formalăspecifice acestora sunt în număr limitat. Metoda Inductivă este o tehnică importantă folosită în demonstrarea formală a corectitudiniiprotocoalelor de securitate, ce poate fi utilizată în cadrul demonstratorului de teoreme Isabelle. Bazeleacestei metode au fost puse de Paulson în *3+ iar Bella în *2+ propune o extensie pentru a putea verificaanaliza protocoale bazate pe smart carduri. În Metoda Inductivă se foloseşte conceptul de urmă, o listă de evenimente ce au loc în reţea în timpce un număr nelimitat de agenţi execută protocolul. Aceasta poate fi văzută ca o istorie a evenimentelorreţelei care au loc în momentul execuţiei protocolului şi se defineşte inductiv. Mulţimea tuturor urmelorposibile reprezintă modelul formal al protocolului. Proprietăţile care pot fi demonstrate cu ajutorulMetodei Inductive sunt: cofidenţialitatea, integritatea, autenticitatea, distribuţia cheilor şi diferite formede autentificare, şi sunt exprimate prin teoreme. Demonstratorul de teoreme Isabelle poate fi utilizatpentru a demonstra aceste teoreme în mod semi-automat. Pentru protocoalele de e-commerce în care sunt utilizate smart carduri este necesară extindereaMetodei Inductive, introducând elemente noi pentru modelarea cardurilor ţinând cont de riscurileclonării şi de modul de interacţiune a acestora cu agenţii. Pentru a stabili proprietăţile unui protocol desecuritate bazat pe smart carduri este foarte important să stabilim în primul rând rolul pe care îl arecardul propriu-zis, dar şi modul în care un atacator ar putea interveni. Extensia trebuie să permitămodelarea interacţiunii dintre carduri şi posesorii acestora prin evenimente care marchează 1
  3. 3. transmiterea şi recepţionarea de mesaje. Pentru cunoştinţele agenţilor, în special cele ale intrusului,trebuie propuse noi definiţii ţinând cont că toate cheile sunt stocate pe card, dar şi mediul de execuţie,dacă atacatorul poate interveni sau nu în transmiterea informaţiilor. Pe parcursul lucrării vor fi scoase în evidenţă principiile generale care stau la baza protocoalelorcorecte. Aceste principii contribuie la garanţiile de securitate dar nu sunt suficiente. Unul din principiilefundamentale în proiectarea protocoalelor de securitate conform autorilor Abadi şi Needham în [4] esteclaritatea care sugerează că fiecare mesaj ar trebui să spună exact ce înseamnă fară a crea ambiguitate,iar alt principiu sugerează renunţarea la criptare atunci când nu este necesară. G. Bella în *5+ dezvoltăideea unui principiu de analiză prudentă a protocoalelor de securitate numit principiul utilităţii scopuluicare este respectat atunci când există garanţii că din punctul de vedere al agentului, obiectivulprotocolului este atins. Aceste garanţii trebuie să se bazeze pe ipoteze pe care agentul le poate verificaîn practică.Contribuţii Utilizând Metoda Inductivă şi extensia acesteia pentru protocoale bazate pe smart carduri, şiintroducând alte elemente necesare precum mărcile de timp, am modelat şi verificat protocolul Klomppropus de Bakker în *8+, protocol care nu a mai fost analizat formal până în acest moment. Protocoluleste unul de autentificare şi distribuţie a cheilor de sesiune în cadrul tranzacţiilor electronice. Pentruverificarea proprietăţilor de securitate am utilizat demonstratorul de teoreme Isabelle formalizândfiecare proprietate printr-o teoremă pe care am demonstrat-o pentru fiecare pas din protocol. Printreproprietăţile studiate se numără cele de autentificare şi distribuţie a cheilor, unicitate, integritate şiconfidenţialitate. În urma analizei am descoperit că anumiţi paşi ai protocolului încalcă unul din principiilefundamentale în construcţia protocoalelor de securitate şi anume: comunicarea explicită. Bakkerpropune ca în urma interogării smart cardurilor agenţii să primească o cheie temporară creată princriptarea unor date furnizate de aceştia. Folosind aceste chei agenţii vor crea o cheie de sesiune şicertificate de autenticitate. Una din vulnerabilităţile posibile care trebuie considerate atunci când seface analiza protocoalelor bazate pe smart carduri este faptul că acestea ar putea să nu funcţionezecorect cum ar fi în cazul în care un atacator le-ar corupe magistralele de date în momentul fabricăriiastfel încât acestea să furnizeze răspunsuri într-o ordine greşită. În acest caz agentul primind doar cheiatemporară nu va putea face corect asocierea cu cel cu care doreşte să stabilească un canal decomunicare sigur. Soluţia propusă se bazează pe ideea că agentul trebuie să poată verificacomponentele din care este creată cheia temporară dar fără a cunoaşte cheia cardului. Prin urmaremesajul returnat de smart card agentului va conţine atât cheia temporară cât şi rezumatul hash din careeste construită. În momentul recepţiei mesajului agentul va putea reconstrui rezumatul hash si va puteaface asocierea dintre cheie şi serverul cu care doreşte să comunice.Capitolul 1Principii de construcţie şi analiză a protocoalelor de securitate Literatura de specialitate prezintă foarte multe exemple de protocoale de securitate care conţinerori. Aceste erori arată necesitatea considerării unor reguli care să ghideze construcţia protocoalelor. 2
  4. 4. Abadi şi Needham în *4+ enunţă 11 principii informale, care nu sunt suficiente pentru demonstrareacorectitudinii protocoalelor de securitate, dar prin aplicarea lor se pot evită suficient de multe erori.  Principiul 1: comunicarea explicită.  Principiul 2: acţiune potrivită.  Principiul 3: adăugarea identităţii agenţilor în mesaj.  Principiul 4: criptarea.  Principiul 5: semnarea informaţiilor criptate.  Principiul 6: scopul utilizării nonceurilor.  Principiul 7: nonceuri generate aleator vs nonceuri predictibile.  Principiul 8: utilizarea mărcilor de timp.  Principiul 9: diferenţa între utilizarea recentă şi generarea recentă.  Principiul 10: recunoaşterea mesajelor.  Principiul 11: încredere. Toate aceste principii, sunt explicate in cadrul Capitolului 1 din lucrare. Principiul utilităţii scopului propus de Bella în *5+ complementează principiile de construcţieprudentă amintite mai sus şi sugerează ca proprietăţile protocoalelor să fie bazate pe ipoteze pe careparticipanţii le pot verifica. În lucrare sunt prezentate conceptele esenţiale care stau la baza acestuiprincipiu: scop util, garanţie aplicabilă, încrederi minimale.Capitolul 2Metoda Inductivă Metoda Inductivă poate fi folosită pentru demonstrarea formală a corectitudinii protocoalelor desecuritate. Această metodă se află în clasa metodelor de demonstrare de teoreme şi oferă rezultatevalabile pentru toate comportările posibile ale protocolului de securitate studiat. Demonstratorul deteoreme Isabelle oferă un foarte bun suport mecanic pentru această metodă, fiind un instrumentcomplex semi-automat în care este necesară ghidarea din partea celui care face demonstraţia pentru aajunge la obiectivul protocolului. Un protocol de securitate este un program concurent care este executat de un număr indefinit deagenţi şi procesul tinde să atingă dimensiuni foarte mari. Studierea unui obiectiv al protocoluluiînseamnă derivarea unui raţionament prin care să se poată demonstra că toţi paşii protocoluluipăstrează o anumită proprietate. În Metoda Inductivă pentru a demonstra că un protocol de securitateeste corect şi nu este vulnerabil în faţa unor noi ameninţări, odată ce acestea sunt descoperite vor fimodelate ca o mulţime definită inductiv iar obiectivele protocolului vor fi redemonstrate prin inducţieasupra întregului model. Modelul intrusului este Dolev-Yao şi nu se impun restricţii asupra numărului deagenţi sau a numărului de sesiuni. Inducţia în faza de specificare permite definirea tuturor operatorilor de mesaje relevanţi şi amodelului protocolului. În faza de verificare inducţia oferă principiul demonstraţiei prin care se stabilescproprietăţile modelului. Proprietăţile care pot fi verificate sunt doar cele de siguranţă (safety) care indicăcă niciodată nu se va întâmpla nimic rău, dar nu putem verifica proprietăţile de viabilitate (liveness) careafirmă că ceva bun va avea loc. 3
  5. 5. Abordarea propusă de Paulson preia de la logica BAN ideea obţinerii de noi informaţii ca urmare arecepţiei mesajelor, dar proprietăţile de securitate nu se mai referă exclusiv la autentificare. Semanticaoperaţională este asemănătoare cu cea a formalizării CSP, cu excepţia faptului că modelele suntnemărginite. Tot în stil CSP este considerată şi noţiunea de eveniment dar şi faptul că proprietăţile desecuritate sunt exprimate ca predicate pe mulţimea urmelor protocolului.2.1 Isabelle Isabelle este un demonstrator de teoreme generic interactiv. Cea mai populară versiune esteIsabelle/HOL, care permite specificarea şi verificarea protocoalelor de securitate. Interactiv se referă lafaptul că demonstratorul nu este complet automat, necesitând intervenţia umană pentru a conducedemonstraţiile. Metoda Inductivă poate fi folosită în cadrul demonstratorului de teoreme Isabelle deoarece acestaoferă un foarte bun suport pentru mulţimile definite inductiv, simplificări eficiente prin reguli derescriere condiţionale şi împărţiri automate pe cazuri pentru expresiile if-the-else. Demonstrarea teoremelor este dificilă şi necesită multă experienţă din partea celui care doreşte sărealizeze demonstraţia. Analiza unui sistem în Isabelle începe cu dezvoltarea unei teorii care cuprindespecificarea sistemului şi teoremele necesare analizei. Distribuţiile de Isabelle cuprind o serie de astfelde teorii deja dezvoltate care au fost utilizate şi pentru verificarea protocolului din cadrul lucrării.2.2 Modelarea protocoalelor de securitate2.2.1 Agenţii Metoda Inductivă nu are restristricţii referitoare la numărul de agenţi care pot executa un protocol.În modelarea formală a protocoalelor de securitate se utilizează tipuri de agenţi: cei oneşti care vor finotaţi cu Friend i (i număr natural), intrusul care va fi notat cu Spy şi serverul notat S sau Server.Agenţii compromişi vor fi sun modelaţi printr-o mulţime va fi notată cu bad şi se consideră că atacatorulface parte din această mulţime.2.2.2 Cheile criptografice Pentru a modela formal cheile criptografice se introduce un nou tip key. Metoda Inductivă permitemodelarea atât a cheilor simetrice cât şi a celor asimetrice2.2.3 Mesajele Tipul de date pentru mesaje va fi notat cu msg. Mesajele pot conţine nume de agenţi, nonceuri şichei criptografice. Mesajele pot fi create din concatenarea mai multor mesaje folosind constructorulMPair; rezumatul unui mesaj se obţine cu ajutorul operatorului Hash, iar criptarea unui mesaj se va facecu ajutorul constructorului Crypt folosind o cheie de criptare simetrică sau asimetrică. Criptarea sepresupune a fi perfectă deci nu există nici o modalitate de a obţine plaintextul dintr-un criptotext fără aşti cheia de criptare.2.2.4 Evenimente Tipul de date pentru evenimente permite formalizarea evenimentelor de transmitere (Says),recepţie (Gets) şi memorare a mesajelor (Notes). 4
  6. 6. 2.2.5 Urme Urmele protocolului sunt liste de evenimente de lungime variabilă pe baza cărora se va construimodelul protocolului şi care vor fi utilizate în verifiarea proprietăţilor. O urmă poate fi utilizată pentru aînregistra toate evenimentele care au loc de-a lungul unei istorii a reţelei în care se execută protocolul.Un eveniment poate fi declanşat de un număr indefinit de ori într-o urmă şi este foarte important camodelul protocolului să considere toate urmele posibile.2.2.6 Modelul intrusului Atunci când analizăm protocoale de securitate este foarte important să se considere un modelrealist pentru vulnerabilităţi. În cazul Metodei Inductive se consideră modelul Dolev-Yao, în caremodelarea şi verificarea protocoalelor de securitate presupune ipoteza criptografiei perfecte. Conformacestei presupuneri atacatorul este înregistrat ca şi un agent onest capabil să controleze mediul, adicăpoate intercepta toate mesajele şi poate împiedica transmiterea lor către destinatar dar nu poate obţinenici o informaţie dintr-un mesaj dacă nu cunoaşte cheia de decriptare Pentru a respecta aceste cerinţe este necesară formalizarea cunoştinţelor atacatorului. Pentru aspecifica cunoştinţele iniţiale ale agenţilor Metoda Inductivă include funcţia initState şi acesteatrebuie specificate în funcţie de tipurile agenţilor.Pentru formalizarea cunoştinţelor pe care intrusul leobţine din observarea urmelor protocolului Paulson propune funcţia spies. Aceste cunoştinţe suntformate din starea sa iniţială, toate mesajele trimise de orice agent şi toate mesajele memorate deagenţii compromişi.2.2.7 Operatori Pentru mulţimile de mesaje se introduc trei operatori: parts, analz şi synth. Operatorul analz sefoloseşte pentru a modela descompunerea mesajelor. Operatorul synth se foloseşte atunci când seconstruiesc mesaje din componentele cunoscute. Mulţimea synth(analz(spies evs)) reprezintă mulţimea tuturor mesajelor pe care intrusul le poatecrea prin concatenarea şi criptarea componentelor derivate din observarea urmei evs. Operatorul parts se foloseşte pentru extragerea tuturor componentelor unei mulţimi de mesajeprin proiecţie şi decriptare. Spre deosebire de funcţia analz, parts nu necesită cunoaşterea cheii dedecriptare. Noutatea este importantă atunci când generăm nonceuri sau chei de sesiune. Pentru a ajuta laformalizarea acestui concept Metoda Inductivă introduce funcţia used care reprezintă mulţimea tuturorcomponentelor care fac parte din cunoştinţele iniţiale ale agenţilor împreună cu toate componentelemesajelor care apar într-o urmă.2.2.8 Modelarea protocolului Modelarea formală a unui protocol se face printr-o mulţime definită inductiv de liste deevenimente (urme ale protocolului), fiecare descriind o posibilă istorie a reţelei în care protocolul esterulat. Pentru a modela formal un protocol trebuie să specificăm regulile de construcţie a acestei mulţimi.Regula Nil defineşte cazul de bază specificând faptul că urma vidă aparţine modelului. Fiecare pas dinprotocol este formalizat printr-o regulă inductivă care specifică cum se extinde o anumită urmă prinevenimentul de tip Says care descrie acel pas din protocol. Comportamentul unui posibil atacator este 5
  7. 7. modelat printr-o altă regulă numită Fake, care formalizează faptul că acesta poate trimite orice mesaj pecare îl poate crea din componentele pe care le cunoaşte.2.2.9 Modelarea mărcilor de timp Bella în *5+ propune o extensie a Metodei Inductive care permite modelarea mărcilor de timp(timestamps) în formalizarea mesajelor. Mărcile de timp sunt numere care marchează o anumităinstanţă de timp şi care permit evitarea atacurilor de tip reluare. Pentru a modela aceste numere avemnevoie de noi construcţii. Tipul de date msg este extins cu constructorul Number iar mărcile de timp T vorfi reprezentate într-un mesaj prin componenta Number T.2.3 Modelarea protocoalelor bazate pe smart carduri Smart cardurile întăresc obiectivele protocoalelor care le utilizează, dar acest lucru trebuiedemonstrat formal. Metoda Inductivă propusă de Paulson în *3+ poate fi adaptată conform *2+ pentru averifica corectitudinea protocoalelor bazate pe smart carduri. În analiza acestor protocoale de securitatebazate pe smart carduri, diverşi factori pot influenţa evoluţia protocolului, de aceea este important caatunci când modelăm să luăm în calcul tipul cardului, dacă este cu PIN sau fară, şi mediul de execuţieadică dacă intrusul poate intercepta mesajele care sunt transmise între card şi posesorul acestuia.2.3.1 Smart Cardurile Abordarea propusă presupune modelarea funcţionalităţii smart cardurilor şi nu a modului în caresunt implementate protocoalele. Pentru aceasta se introduce un nou tip card, iar pentru a specifica căfiecare agent deţine un card vom declara o funcţie injectivă card.Agenţii interacţionează cu propriilecarduri prin transmiterea de inputuri şi recepţionarea de outputuri de la acestea.2.3.1.1 Vulnerabilităţi Tipurile de vulnerabilităţi considerate de către Bella în analiza protocolului creat de Shoup şi Rubinsunt: furtul, clonarea, clonarea fără furt aparent, defecţiuni ale magistralelor de date, defecţiuni interne.Acestea vor fi considerate şi pentru protocolul propus de Bakker analizat în cadrul lucrării.2.3.1.2 Utilizarea cardului Agenţii oneşti pot utiliza propriile cardurile doar legal. Atacatorul utilizează cardurile furate sauclonate ilegal şi propriul card în mod legal.2.3.1.3 Secrete Deoarece ne interesează doar partea operaţională, vom modela doar cum secretele sunt utilizate şicine le cunoaşte. De obicei pe smart carduri se stochează 2 chei simetrice: PIN-ul şi cheia cardului. În cazul protocoalelor de distribuţie de chei, fiecare card stochează şi o cheie a posesorului, care nueste cunoscută de acesta ca în cazul protocoalelor.2.3.2 Evenimente Abordarea propusă de Bella în *2+ extinde tipul de date pentru evenimente propus de Paulson cu 4noi construcţii care permit modelarea interacţiunii cu cardul. Agenţii pot trimite inputuri către card(Inputs) şi cardurile să le recepţioneze (CGets). Cardurile pot trimite outputuri către agenţi (Outputs)iar agenţii să le recepţioneze (AGets). Mesajele de pe reţea sunt transmise pe alte canale decât celepentru comunicarea dintre agenţi şi carduri, de aceea se face distincţia la recepţie. 6
  8. 8. 2.3.3 Cunoştinţele agenţilor În această secţiune este prezentat modul în care poate fi extinsă mulţimea cunoştinţelor iniţiale aleficărui agent. Pentru a modela cunoştinţele pe care agenţii le pot extrage din observarea traficului de peo anumită urmă, se introduce o nouă funcţie knows.2.3.4 Modelul intrusului Pentru protocoalele bazate pe smart carduri, pe lângă mesajele false pe care acesta le poate creacu ajutorul operatorilor synth şi analz, atacatorul trebuie să poată exploata utilizarea în mod ilegal acardurilor atunci când agenţii şi cardurile comunică prin mijloace nesigure. De exemplu să poată trimiteinputuri false către cardurile pe care le utilizează în mod ilegal dar şi outputuri false către agenţipretinzând că sunt din partea propriilor carduri.Dacă agenţii şi cardurile comunică prin mijloace sigureatunci atacatorul nu poate trimite outputuri false către agenţi.2.3.5 Modelarea formală a protocolalelor Definirea modelului pentru protocoale bazate pe smart carduri necesită reguli adiţionale derecepţie numai în cazul în care agenţii şi cardurile comunică prin mijloace nesigure. Aceste reguli nu suntforţate să se declanşeze, deoarece atacatorul ar putea împiedica transmiterea mesajelor. În cazulmijloacelor de comunicare sigură recepţia este garantată.Capitolul 3Protocolul KLOMP Bakker propune în *8+ protocolul Klomp ca soluţie pentru securizarea acestor tranzacţii din cadrulcomerţului electronic, fiind un protocol de autentificare şi distribuţie a cheilor bazat pe smart carduri şicare utilizează tehnici de criptare care pot fi exportate legal. Acesta este derivat din familia deprotocoale KryptoKnight proiectată de IBM şi a fost testat pentru smart cardurile Dutch Chipper şiChipKnip care au deja funcţia de portofel electronic implementată. Protocolul presupune că mijloacele de comunicare dintre smart card şi deţinătorul de card suntsigure deoarece cheile temporare care stau la baza cheii de sesiune sunt transmise în clar, iar smartcardurile nu utilizează PIN-uri. Descrierea protocolului şi explicaţiile fiecărui pas se regăsesc în lucrare.Capitolul 4Analiza protocolului KLOMP4.1 Modelarea protocolului În această parte a lucrării sunt prezentate componentele esenţiale necesare modelării protocolului(agenţi, chei şi funcţii utilizate, cunoştinţe iniţiale etc.). Fiecare pas din protocol şi fiecare vulnerabilitatesunt formalizate printr-o regulă inductivă descrisă în amănunt în această secţiune.4.2 Verificarea protocolului Proprietăţile protocolului şi ale modelului sunt specificate prin teoreme care sunt verificate cuajutorului demonstratorului Isabelle pentru fiecare pas din protocol. În primul rând se verificăconsistenţa modelului prin analizarea:  Corectitudinii modelului pentru protocolul Klomp 7
  9. 9.  Corectitudinii modelării serverului  Corectitudinii modelării modului în care sunt utilizate cardurile  Corectitudinii modelării outputurilor cardurilor  Corectitudinii modelării inputurilor agenţilor oneşti Verificarea protocolului constă în studierea proprietăţilor acestuia de autentificare şi distribuţie acheilor, unicitate, integritate şi confidenţialitate. În urma analizei am descoperit că protocolul încalcă unul din principiile fundamentale aleconstrucţiei protocoalelor de securitate şi anume:comunicarea explicită. Soluţia la această problemă segăseşte în lucrare în acest capitol. Această vulnerabilitate ar putea conduce la erori de asociere a cheilordacă smart cardurile nu ar funcţiona corect, ca de exemplu în cazul în care apar defecte ale magistralelorde date sau eventual coruperi ale acestora în faza de fabricare a cardului.Concluzii Analiza protocoalelor de securitate este fundamentală înainte ca acestea să fie utilizate în practicăiar în lucrare arăt că Metoda Inductivă poate fi utilizată cu succes pentru demonstrarea formală acorectitudinii protocoalelor de securitate. Această metodă permite extinderea cu uşurinţă în funcţie demodelarea diferitelor sisteme din lumea reală. Analizând protocolul Klomp am descoperit că smart cardurile sunt o soluţie eficientă pentruprotejarea datelor transmise în cadrul sesiunilor de comunicare, oferind un mod sigur de a stocainformaţii secrete pe termen lung, dar trebuie ţinut cont de principiile de construcţie prudentă aprotocoalelor de securitate dacă dorim să beneficiem de aceste avantaje.Bibliografie [1] M. Abadi, M. Burrows, C. Kaufman, and B. Proc. Of 27th ACM SIGACT Symposium onLampson. Authentication and Delegation with Theory of Computing, 57-66, ACM Press andSmart-cards. Research Report 125, Digital - Addison Wesley, 1995.Systems Research Center, 1994. [7] V. Shoup and A. Rubin. Session Key [2] G. Bella. Inductive Verification of Smart Card Distribution using Smart Cards, In U. Maurer,Protocols. Journal of Computer Security, editor. Advanced in Cryptology - EuroCrypt96,11(1):87-123,2003. LNCS 1070, 321-331, Springer-Verlag, 1996. [3] L. C. Paulson. The Inductive Approach to [8] B. Bakker. Mutual Authentication with SmartVerifying Cryptographic Protocols. Journal of Cards. Proceedings of the USENIX Workshop onComputer Security, 6:85-128, 1998. Smartcard Technology on USENIX Workshop on [4] M. Abadi, R. M. Needham. Prudent Smartcard Technology, Berkeley: USENIXengineering practice for cryptographic Association, 1999.protocols. IEEE Transactions on SoftwareEngineering, 22(2):6-15, 1996. [5] G. Bella. Formal Correctness of SecurityProtocols, Springer, 2007.[6] M. Bellare and P. Rogaway. Provably SecureSession Key Distribution - the Three Party Case. 8

×