formal security analysis of cryptographic protocol code
play

Formal Security Analysis of Cryptographic Protocol Code - PowerPoint PPT Presentation

Jan 23, 2023 •13 likes •393 views

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 7: Using

  1. Formal ¡Security ¡Analysis ¡of ¡ Cryptographic ¡Protocol ¡Code ¡ ¡ Karthikeyan ¡Bhargavan ¡ INRIA ¡ Karthikeyan.Bhargavan@inria.fr ¡ IIT ¡Delhi, ¡Fall ¡2010 ¡

  2. Lecture ¡7: ¡ Using ¡ProVerif: ¡ ¡ Encodings ¡and ¡Embeddings ¡ IntroducCon ¡

  3. Values: ¡Channels, ¡Messages, ¡PaFerns ¡ 3 ¡

  4. Processes ¡

  5. DeclaraCons ¡and ¡Scripts ¡

  6. ReducCon ¡SemanCcs ¡

  7. Query ¡SaCsfacCon ¡ • Recall ¡the ¡definiCon ¡of ¡queries ¡in ¡F ¡ • We ¡say ¡a ¡process ¡P ¡saCsfies ¡a ¡query ¡q: ¡P ¡|= ¡q ¡

  8. Opponents, ¡Robust ¡Safety ¡ A ¡ ∆s-­‑opponent ¡ is ¡a ¡process ¡O ¡with ¡no ¡events, ¡s.t. ¡ ¡ • the ¡script ¡∆s ¡ process ¡O ¡is ¡well ¡formed ¡and ¡ ¡ • O ¡contains ¡no ¡constructor ¡or ¡destructor ¡ declared ¡private ¡in ¡∆s. ¡ A ¡script ¡∆s ¡ process ¡P ¡is ¡ robustly ¡safe ¡ for ¡q ¡ ¡ if ¡and ¡only ¡if ¡for ¡all ¡∆s-­‑opponents ¡O, ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡P ¡| ¡O ¡is ¡safe ¡for ¡q. ¡

  9. Correctness ¡of ¡ProVerif ¡ ¡ [Abadi,Blanchet ¡JACM’05] ¡ ¡ ¡ ¡ Theorem: ¡ Given ¡a ¡script ¡S ¡= ¡∆s ¡ process ¡P ¡ ¡ containing ¡a ¡query ¡q ¡ – If ¡ProVerif ¡returns ¡true, ¡then ¡S ¡is ¡robustly ¡safe ¡for ¡q ¡ – If ¡ProVerif ¡returns ¡false, ¡then ¡S ¡is ¡not ¡robustly ¡safe ¡for ¡q ¡ – If ¡ProVerif ¡returns ¡“cannot ¡be ¡proved”, ¡ ¡ or ¡if ¡ProVerif ¡does ¡not ¡terminate, ¡we ¡don’t ¡know ¡ • Usually, ¡“Cannot ¡be ¡proved” ¡means ¡“Not ¡robustly ¡safe” ¡

  10. Using ¡ProVerif ¡on ¡F# ¡Programs ¡ To ¡verify ¡realisCc ¡programs, ¡we ¡need ¡to ¡ ¡ understand ¡various ¡modeling ¡idioms: ¡ • How ¡do ¡we ¡encode ¡database ¡servers? ¡ • How ¡do ¡we ¡model ¡key ¡leakage? ¡ • How ¡do ¡we ¡specify ¡message ¡secrecy? ¡ • How ¡do ¡we ¡translate ¡F# ¡to ¡ProVerif? ¡ – funcCons ¡to ¡processes, ¡programs ¡to ¡scripts ¡

  11. Lecture ¡7: ¡ Using ¡ProVerif: ¡ ¡ Encodings ¡and ¡Embeddings ¡ Databases ¡and ¡Key ¡Servers ¡

  12. A ¡Simple ¡Private ¡Database ¡ • Let ¡us ¡treat ¡a ¡database ¡like ¡a ¡hash ¡table ¡that ¡ maps ¡indices ¡to ¡values ¡ – Insert ¡adds ¡a ¡mapping ¡from ¡an ¡index ¡to ¡a ¡value ¡ – Select ¡retrieves ¡a ¡value ¡at ¡an ¡index ¡ – There ¡is ¡no ¡operaCon ¡to ¡remove ¡a ¡value ¡ • By ¡default, ¡a ¡database ¡can ¡only ¡be ¡used ¡by ¡ someone ¡who ¡is ¡explicitly ¡given ¡access ¡to ¡it ¡ ¡ – Indices ¡are ¡typically ¡not ¡secret, ¡but ¡values ¡may ¡be ¡

  13. A ¡Database ¡Server ¡in ¡ProVerif ¡ • The ¡private ¡database ¡is ¡modeled ¡as ¡a ¡channel ¡ ¡ ¡ ¡ ¡ ¡private ¡free ¡ db. ¡ • The ¡contents ¡of ¡the ¡database ¡are ¡messages ¡sent ¡ ¡ (but ¡not ¡yet ¡received) ¡on ¡this ¡channel ¡db ¡ • To ¡insert ¡a ¡value ¡v ¡with ¡index ¡i, ¡send ¡(i,v) ¡on ¡db ¡ ¡ ¡ ¡ ¡ ¡ out (db,(i,v)); ¡… ¡ • To ¡select ¡at ¡index ¡i, ¡receive ¡and ¡paFern-­‑match: ¡ ¡ ¡ ¡ ¡ ¡ in (db,(=i,v’)); ¡ ¡ ¡ ¡ ¡(* ¡Remove ¡from ¡database ¡at ¡i ¡*) ¡ ¡ ¡ ¡ ¡ ¡ out (db,(i,v’)); ¡ ¡ ¡ ¡ ¡(* ¡Restore ¡value ¡to ¡database ¡*) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡… ¡ ¡ ¡

  14. Recall ¡ProVerif ¡Example ¡ • We ¡code ¡a ¡simple ¡client, ¡server ¡example: ¡ ¡A ¡logs ¡Send(x) ¡ ¡A ¡  ¡B: ¡msg(enc(x,kab)) ¡ ¡B ¡logs ¡Accept(x) ¡ – All ¡messages ¡are ¡sent ¡on ¡a ¡public ¡channel ¡net ¡ – Messages ¡are ¡tagged ¡with ¡a ¡tag ¡msg ¡ – A ¡and ¡B ¡are ¡triggered ¡by ¡a ¡message ¡on ¡channel ¡app ¡ – A ¡and ¡B ¡share ¡the ¡key ¡kab ¡ – Security ¡Goal: ¡Accept(x) ¡=> ¡Send(x) ¡

  15. Recall ¡ProVerif ¡Script ¡ • msg: ¡constructor ¡tag ¡ • enc-­‑dec: ¡constructor-­‑destructor ¡pair ¡ • kab: ¡fresh ¡name ¡(key) ¡generated ¡for ¡this ¡script ¡ • client, ¡server: ¡replicated ¡processes ¡(share ¡kab ¡

  16. Generalizing ¡to ¡MulCple ¡Principals ¡ • A ¡and ¡B ¡are ¡not ¡hard-­‑coded ¡(A ¡chooses ¡B): ¡ ¡A ¡logs ¡Send(A,B,x) ¡ ¡A ¡  ¡B: ¡msg(A,B,enc(x,kab)) ¡ ¡B ¡logs ¡Accept(A,B,x) ¡ – Each ¡pair ¡of ¡principals ¡(p1,p2) ¡shares ¡a ¡key ¡ – Security ¡Goal: ¡Accept(p1,p2,x) ¡=> ¡Send(p1,p2,x) ¡

  17. Example: ¡A ¡Key ¡Database ¡ • We ¡encode ¡a ¡database ¡that ¡stores ¡symmetric ¡ keys, ¡indexed ¡by ¡names ¡of ¡principals ¡(a,b) ¡ ¡ ¡ ¡ ¡private ¡free ¡ keydb ¡ • We ¡represent ¡principals ¡by ¡0-­‑ary ¡constructors ¡ ¡ ¡ ¡ ¡ data ¡ A/0. ¡ data ¡ B/0. ¡ data ¡C/0. ¡ • For ¡each ¡principal ¡pair, ¡we ¡generate ¡keys ¡ new ¡kAB; ¡ out (keydb,((A,B),kAB); ¡ new ¡ kAC; ¡ out (keydb,((A,C),kAC); ¡… ¡

  18. Example ¡ProVerif ¡Script ¡

  19. Unbounded ¡Number ¡of ¡Principals ¡ • How ¡can ¡we ¡generalize ¡further? ¡ • The ¡current ¡model ¡has ¡a ¡fixed ¡A, ¡B, ¡C. ¡ • How ¡about ¡unlimited ¡number ¡of ¡principals? ¡ – Let ¡the ¡aFacker ¡choose ¡an ¡arbitrary ¡p1, ¡p2 ¡ – We ¡will ¡need ¡a ¡key ¡in ¡keydb ¡for ¡(p1,p2) ¡ – Shall ¡we ¡give ¡the ¡aFacker ¡db? ¡ – How ¡can ¡we ¡control ¡access ¡to ¡db, ¡but ¡sCll ¡allow ¡ the ¡aFacker ¡to ¡generate ¡a ¡key ¡for ¡any ¡(p1,p2)? ¡

  20. Keys ¡Controlled ¡by ¡the ¡AFacker ¡ • How ¡about ¡keys ¡between ¡A ¡and ¡the ¡aFacker? ¡ – Can ¡we ¡allow ¡the ¡aFacker ¡to ¡inject ¡keys ¡for ¡principals ¡ he ¡controls? ¡ – Would ¡the ¡query ¡sCll ¡be ¡true? ¡ ¡ ¡ ¡ ¡ query ¡ ev :Accept(p1,p2,x) ¡==> ¡ ev :Send(p1,p2,x) ¡ • We ¡use ¡a ¡new ¡event ¡BadKey ¡to ¡indicate ¡keys ¡that ¡ belong ¡to ¡the ¡adversary ¡ ¡ ¡ ¡ ¡ ¡query ¡ ev :Accept(p1,p2,x) ¡==> ¡ ev :Send(p1,p2,x) ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡| ¡ ev :BadKey(p1,p2,k) ¡

  21. Lecture ¡7: ¡ Using ¡ProVerif: ¡ ¡ Encodings ¡and ¡Embeddings ¡ Advanced ¡Security ¡Goals ¡

  22. AuthenCcaCon ¡and ¡Secrecy ¡ • We ¡use ¡crypto ¡for ¡secure ¡communicaCons ¡over ¡an ¡ insecure ¡network ¡ • We ¡are ¡concerned ¡with ¡two ¡kinds ¡of ¡threats ¡ – The ¡aFacker ¡should ¡not ¡be ¡able ¡to ¡inject ¡his ¡(tainted) ¡ messages ¡into ¡our ¡servers ¡ ¡ – The ¡aFacker ¡should ¡not ¡be ¡able ¡to ¡steal ¡our ¡secrets ¡ • For ¡authenCcaCon, ¡check ¡every ¡received ¡message ¡ • For ¡secrecy, ¡guard ¡every ¡sent ¡message ¡

  23. AuthenCcaCon ¡Queries ¡ ¡ • Message ¡integrity ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ query ¡ev: Accept(x) ¡==> ¡ ev: Send(x) ¡ – The ¡message ¡was ¡not ¡tampered ¡with ¡ • Sender ¡authenCcaCon ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ query ¡ev: Accept(a,x) ¡==> ¡ ev: Send(a,x) ¡ – Message ¡was ¡indeed ¡sent ¡by ¡this ¡sender ¡ • Intended ¡receiver ¡authenCcaCon ¡ ¡ ¡ ¡ ¡ query ¡ev: Accept(a,b,x) ¡==> ¡ ev: Send(a,b,x) ¡ – Message ¡was ¡intended ¡for ¡this ¡receiver ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA IIT Delhi, Fall 2010 Lecture 1: WriCng Secure Web ApplicaCons

472 views • 25 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 3: Coding

527 views • 36 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 4: Security

348 views • 34 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 2: A

530 views • 41 slides
Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM Brussels, February 2020 What is Formal Verification? Using software tools in order to obtain guarantees on the security of cryptographic components.

319 views • 21 slides
Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu, Institute of Computer Science Agenda Introduction Probabilistic-spi calculus Security protocol verification Conclusion Q&A

633 views • 19 slides
Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline TLS overview TLS Record Protocol Theory Attacks Security analysis TLS Handshake Protocol Security analysis Discussion 2

1.78k views • 173 slides
1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

Probabilistic Polynomial-Time Standard analysis methods Process Calculus for Security Finite-state analysis Protocol Analysis Easier Dolev-Yao model Symbolic search of protocol runs Proofs of correctness in formal logic

258 views • 7 slides
Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based NFC M-coupon Protocol Ali Alshehri and Steve Schneider Agenda Introduc?on. Approach

498 views • 25 slides
Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail Aizatulin 1 supervised by Andrew Gordon 23 , Jan J urjens 4 , Bashar Nuseibeh 1 1 The Open University 2 Microsoft Research Cambridge 3 University of

543 views • 29 slides
A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

ASIAN07 A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara Bodei 2 , Pierpaolo Degano 2 , Hanne Riis Nielson 1 Informatics and Mathematics Modelling, Technical University of Denmark 1 Dipartimento di

435 views • 20 slides
CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr egoire Santiago Zanella B eguelin Romain Janvier F ederico Olmedo IMDEA Software INRIA Sophia Antipolis INRIA-Microsoft Research Joint

760 views • 45 slides
Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security Conference October 22-25, 1996 Baltimore Convention Center Dr. Stephen H. Brackin Arca Systems, Inc. 303 E. Yates St., Ithaca, NY 14850

141 views • 12 slides
A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science University of Oxford 1 Why what is doing is . Luke Garratt Computer Science University of Oxford 2 Professors minions* Katriel Cohn-Gordon

591 views • 26 slides
1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

TECS Week 2005 Analysis Techniques Protocol Verification by the Inductive Method Crypto Protocol Analysis Dolev-Yao Formal Models Computational Models (perfect cryptography) Random oracle Probabilistic process calculi John Mitchell

63 views • 4 slides
Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar Departamento de Sistemas Inform aticos y Computaci on Universitat Polit` ecnica de Val` encia sescobar@dsic.upv.es Santiago Escobar (UPV)

892 views • 68 slides
Cryptography, quantum computing, and evolutionary computation Thijs Laarhoven mail@thijs.com

Cryptography, quantum computing, and evolutionary computation Thijs Laarhoven mail@thijs.com

Cryptography, quantum computing, and evolutionary computation Thijs Laarhoven mail@thijs.com http://www.thijs.com/ CFMAI 2019, Bangkok, Thailand (December 13, 2019) Cryptography History Cryptography Classical cryptography Some operations

371 views • 36 slides
Message-Passing Programming with MPI Message-Passing Concepts Overview This lecture will

Message-Passing Programming with MPI Message-Passing Concepts Overview This lecture will

Message-Passing Programming with MPI Message-Passing Concepts Overview This lecture will cover message passing model SPMD communication modes collective communications Programming Models Message-Passing Serial Programming

406 views • 28 slides
Cyber@UC Meeting 63 Contributing to the Website If Youre New! Join our Slack:

Cyber@UC Meeting 63 Contributing to the Website If Youre New! Join our Slack:

Cyber@UC Meeting 63 Contributing to the Website If Youre New! Join our Slack: ucyber.slack.com SIGN IN! (Slackbot will post the link in #general every Wed@6:30) Feel free to get involved with one of our committees: Content

491 views • 14 slides
Microscope Slide Holder (10 slides fl at) R Robert VIEW IN BROWSER updated 22. 3. 2020 |

Microscope Slide Holder (10 slides fl at) R Robert VIEW IN BROWSER updated 22. 3. 2020 |

Microscope Slide Holder (10 slides fl at) R Robert VIEW IN BROWSER updated 22. 3. 2020 | published 22. 3. 2020 Summary Inspired by the recent push by Prusa research to design and manufacture useful items in the fi ght against coronavirus, I

239 views • 3 slides
Shared Memory Programming with OpenMP Lecture 3: Parallel Regions Parallel region directive

Shared Memory Programming with OpenMP Lecture 3: Parallel Regions Parallel region directive

Shared Memory Programming with OpenMP Lecture 3: Parallel Regions Parallel region directive Code within a parallel region is executed by all threads. Syntax: Fortran: !$OMP PARALLEL block !$OMP END PARALLEL C/C++: #pragma omp

321 views • 15 slides
Operating Systems Threads ENCE 360 Outline Model Motivation Libraries Chapter 2.2

Operating Systems Threads ENCE 360 Outline Model Motivation Libraries Chapter 2.2

Operating Systems Threads ENCE 360 Outline Model Motivation Libraries Chapter 2.2 Chapter 26.1, 26.2 MODERN OPERATING SYSTEMS (MOS) OPERATING SYSTEMS: THREE EASY PIECES By Andrew Tanenbaum By Arpaci-Dusseau and Arpaci-Dusseau

382 views • 20 slides
Josh Bloch Charlie Garrod 17-214 1 Administrivia HW 5a due 9am tomorrow Presentations

Josh Bloch Charlie Garrod 17-214 1 Administrivia HW 5a due 9am tomorrow Presentations

Principles of Software Construction: Objects, Design, and Concurrency Part 3: Concurrency Introduction to concurrency Josh Bloch Charlie Garrod 17-214 1 Administrivia HW 5a due 9am tomorrow Presentations in recitation tomorrow

768 views • 37 slides
CSL 860: Modern Parallel Computation Computation Hello OpenMP #pragma omp parallel { // I am

CSL 860: Modern Parallel Computation Computation Hello OpenMP #pragma omp parallel { // I am

CSL 860: Modern Parallel Computation Computation Hello OpenMP #pragma omp parallel { // I am now thread i of n switch(omp_get_thread_num()) { Parallel case 0 : blah1.. Construct case 1: blah2.. } } } // Back to normal Extremely

560 views • 32 slides

More recommend