formal security analysis of cryptographic protocol code
play

Formal Security Analysis of Cryptographic Protocol Code - PowerPoint PPT Presentation

Aug 22, 2022 •160 likes •527 views

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 3: Coding

  1. Formal ¡Security ¡Analysis ¡of ¡ Cryptographic ¡Protocol ¡Code ¡ ¡ Karthikeyan ¡Bhargavan ¡ INRIA ¡ Karthikeyan.Bhargavan@inria.fr ¡ IIT ¡Delhi, ¡Fall ¡2010 ¡

  2. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ IntroducCon ¡

  3. A ¡Crypto ¡Protocol ¡ImplementaCon ¡ ApplicaCon ¡ ParGally ¡Trusted ¡ Code ¡ Network ¡ ¡ Protocol ¡ Based ¡ Code ¡ Opponent ¡ Key ¡ Cryptographic ¡ ¡ Network ¡ ¡ Management ¡ Library ¡ Stack ¡ Database ¡of ¡secrets ¡ Crypto ¡algorithms ¡ Network ¡Protocols ¡ (keys, ¡passwords) ¡ Untrusted ¡Network ¡

  4. Towards ¡Symbolic ¡VerificaCon ¡ One ¡Source, ¡Many ¡Tasks ¡ ApplicaCons ¡ ¡ One ¡Source ¡ Many ¡Tasks ¡ Security ¡ Protocol ¡Code ¡ Goals ¡ ¡ ¡ Crypto, ¡Net ¡ ¡ ¡ Crypto, ¡Net ¡ Other ¡ ¡ ¡Concrete ¡Libraries ¡ ¡ ¡ ¡Symbolic ¡Libraries ¡ Implementa3ons ¡ ¡ AAack ¡ ¡ ¡Compile ¡ ¡ ¡Compile ¡ Verify ¡ Diverges ¡ Run ¡ Run ¡ No ¡AAack ¡ Network ¡ Symbolic ¡ ¡ Symbolic ¡ ¡ Interoperability ¡Tes3ng ¡ Debugging ¡ Verifica3on ¡

  5. Lecture ¡Outline ¡ • Library ¡modules ¡review: ¡Data, ¡Net, ¡Crypto ¡ • An ¡example ¡protocol ¡using ¡these ¡modules ¡ – AuthenCcated ¡RPC ¡ – Security ¡goals, ¡how ¡shall ¡we ¡formalize ¡them? ¡ • A ¡symbolic ¡cryptographic ¡library ¡ – New ¡implementaCons ¡for ¡Data, ¡Crypto, ¡Net ¡ • Symbolic ¡debugging ¡ – AuthenCcated ¡EncrypCon ¡example ¡

  6. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ Library ¡Modules ¡

  7. Data ¡Module: ¡Strings, ¡Bytestrings ¡ Interface ¡ • str ¡represents ¡string ¡ • bytes ¡represents ¡byte[] ¡ ¡

  8. Net ¡Module: ¡Networking ¡ • Uses ¡Data.bytes ¡ • fork ¡creates ¡a ¡new ¡thread ¡running ¡the ¡funcCon ¡ ¡ ¡

  9. Crypto ¡Module: ¡Cryptography ¡

  10. request ¡ HMAC(key,request) ¡ response ¡ HMAC(key,request,response) ¡ Client ¡ ¡ Server ¡ SAMPLE ¡PROTOCOL ¡ AUTHENTICATED ¡RPC ¡

  11. Informal ¡DescripCon ¡

  12. Why ¡Is ¡This ¡Protocol ¡Secure? ¡

  13. Logical ¡SpecificaCon ¡

  14. F# ¡ImplementaCon ¡

  15. Test ¡ Connecting to localhost:8080 Sending {BgAyICsgMj9mhJa7iDAcW3Rrk...} (28 bytes) Listening at ::1:8080 Received Request 2 + 2? Sending {AQA0NccjcuL/WOaYS0GGtOtPm...} (23 bytes) Received Response 4

  16. Is ¡The ¡Protocol ¡Code ¡Secure? ¡ 1. Can ¡the ¡opponent ¡cause ¡one ¡of ¡our ¡ authenCcaCon ¡goals ¡to ¡fail? ¡ 2. What ¡if ¡the ¡opponent ¡sent ¡a ¡forged ¡message ¡to ¡ the ¡server? ¡ 3. What ¡if ¡the ¡client ¡started ¡concurrent ¡sessions ¡ with ¡both ¡an ¡honest ¡and ¡a ¡dishonest ¡server? ¡ 4. What ¡if ¡the ¡MAC ¡key ¡is ¡compromised? ¡ More ¡importantly, ¡what ¡is ¡the ¡formal ¡model ¡under ¡ which ¡we ¡may ¡prove ¡our ¡security ¡goals? ¡ ¡

  17. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ A ¡Symbolic ¡AbstracCon ¡of ¡ Cryptography ¡

  18. A ¡New ¡ImplementaCon ¡of ¡Data, ¡Crypto ¡ str, ¡bytes ¡are ¡both ¡now ¡algebraic ¡datatypes ¡ • operaCons ¡on ¡bytes ¡are ¡represented ¡as ¡constructors ¡ • – One-­‑one ¡determinisCc ¡funcCons ¡

  19. Recall: ¡Data ¡Interface ¡ • We ¡must ¡implement ¡all ¡these ¡funcCons ¡

  20. Conversions ¡using ¡InverCble ¡Constructors ¡ • UTF8, ¡Base64, ¡Concat ¡modeled ¡as ¡constructors ¡ ¡ – one-­‑one ¡determinisCc ¡funcCons ¡ • Inverse ¡funcCons ¡modeled ¡using ¡pacern ¡matching ¡

  21. Random ¡Values ¡using ¡Fresh ¡Names ¡ • A ¡name ¡is ¡a ¡freshly ¡generated ¡value ¡ – The ¡name ¡datatype ¡is ¡hidden ¡from ¡the ¡interface ¡ – Hence, ¡given ¡a ¡name, ¡one ¡cannot ¡deconstruct ¡it ¡ – And ¡given ¡a ¡counter, ¡one ¡cannot ¡construct ¡a ¡name ¡

  22. Hash/MAC ¡as ¡One-­‑way ¡Constructors ¡ • Hash, ¡MAC ¡are ¡constructors ¡ – One-­‑one ¡funcCons ¡[ Collision ¡resistance ] ¡ • The ¡implementaCon ¡of ¡type ¡bytes ¡is ¡hidden ¡ – No ¡funcCon ¡for ¡inverCng ¡Hash/MAC ¡ – Hence, ¡noboby ¡can ¡look ¡inside ¡a ¡Hash ¡or ¡a ¡MAC ¡ – [ Preimage ¡resistance ] ¡ • To ¡construct ¡a ¡MAC ¡one ¡must ¡use ¡mac ¡ – One ¡must ¡know ¡the ¡key ¡[ Unforgeability ] ¡ • AssumpGons ¡too ¡strong? ¡ – Nobody ¡can ¡read ¡the ¡contents ¡of ¡MAC ¡[Secrecy] ¡

  23. Symbolic ¡Symmetric ¡EncrypCon ¡ ¡ • DecrypCon ¡succeeds ¡on ¡encrypted ¡values ¡ – [ DeterminisGc ¡DecrypGon ] ¡ • SymEncrypt ¡constructor ¡hidden ¡from ¡interface ¡ – Only ¡way ¡to ¡open ¡it ¡is ¡to ¡use ¡sym_decrypt ¡ – Hence, ¡one ¡must ¡know ¡key ¡to ¡recover ¡plaintext ¡ – [ Secrecy ] ¡

  24. Public ¡and ¡Private ¡Keys ¡ • Private ¡keys ¡are ¡fresh ¡names ¡ • One ¡can ¡go ¡from ¡a ¡private ¡key ¡to ¡a ¡public ¡key ¡ – But ¡not ¡the ¡other ¡way ¡round ¡[ Private ¡Key ¡Secrecy ] ¡

  25. Symbolic ¡Asymmetric ¡EncrypCon ¡ • EncrypCon ¡with ¡public ¡key ¡ – DecrypCon ¡with ¡private ¡key ¡ – AsymEncrypt ¡constructor ¡is ¡hidden ¡from ¡interface ¡ – Nobody ¡can ¡access ¡plaintext ¡without ¡calling ¡ asym_decrypt ¡with ¡private ¡key ¡[ Secrecy ] ¡ ¡

  26. Symbolic ¡Signatures ¡ ¡ • Only ¡way ¡to ¡construct ¡Sign(k,b) ¡is ¡through ¡sign ¡ – One ¡must ¡know ¡k ¡[ Unforgeability ] ¡ • VerificaCon ¡guarantees ¡that ¡the ¡signer ¡knows ¡ the ¡private ¡key ¡[ Non-­‑repudiaGon ] ¡

  27. Recall: ¡Net ¡Interface ¡

  28. Networking ¡using ¡Channels ¡ • The ¡network ¡is ¡a ¡public ¡channel ¡ • Channels ¡are ¡asynchronous, ¡unordered, ¡buffered ¡ – send ¡adds ¡a ¡message ¡to ¡the ¡buffer ¡

  29. Networking ¡using ¡Channels ¡ • recv ¡is ¡blocking ¡ – It ¡waits ¡for ¡a ¡message ¡to ¡appear ¡on ¡the ¡network ¡ – Code ¡uses ¡monitors ¡to ¡avoid ¡race ¡condiCons ¡

  30. Network-­‑based ¡Acacker ¡ • The ¡network ¡channel ¡netChan ¡is ¡made ¡ available ¡to ¡the ¡acacker ¡ – He ¡knows ¡all ¡connecCon ¡idenCfiers ¡ – He ¡can ¡send ¡any ¡message ¡using ¡Net.send ¡ – He ¡can ¡intercept ¡any ¡message ¡using ¡Net.recv ¡ • Hence, ¡the ¡acacker ¡controls ¡the ¡network ¡

  31. request ¡ HMAC(key,request) ¡ response ¡ HMAC(key,request,response) ¡ Client ¡ ¡ Server ¡ SAMPLE ¡PROTOCOL ¡ AUTHENTICATED ¡RPC ¡REVISITED ¡

  32. F# ¡ImplementaCon ¡

  33. Test ¡with ¡Symbolic ¡Libraries ¡ Connecting to http://localhost:8081 Listening at http://localhost:8081 Accepted channels Sending: Foo | HMAC-SHA1{symkey[1]}[Foo] Sending Bar in response to Foo Sending: Bar | HMAC-SHA1{symkey[1]}[Foo | Bar] Accepted Bar as response to Foo Compare ¡with ¡the ¡original ¡concrete ¡run: ¡ Connecting to localhost:8080 Sending {BgAyICsgMj9mhJa7iDAcW3Rrk...} (28 bytes) Listening at ::1:8080 Received Request 2 + 2? Sending {AQA0NccjcuL/WOaYS0GGtOtPm...} (23 bytes) Received Response 4

  34. Is ¡The ¡Protocol ¡Code ¡Secure? ¡ 1. Can ¡the ¡opponent ¡cause ¡one ¡of ¡our ¡ authenCcaCon ¡goals ¡to ¡fail? ¡ 2. What ¡if ¡the ¡opponent ¡sent ¡a ¡forged ¡message ¡to ¡ the ¡server? ¡ 3. What ¡if ¡the ¡client ¡started ¡concurrent ¡sessions ¡ with ¡both ¡an ¡honest ¡and ¡a ¡dishonest ¡server? ¡ 4. What ¡if ¡the ¡MAC ¡key ¡is ¡compromised? ¡ More ¡importantly, ¡what ¡is ¡the ¡formal ¡model ¡under ¡ which ¡we ¡may ¡prove ¡our ¡security ¡goals? ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA IIT Delhi, Fall 2010 Lecture 1: WriCng Secure Web ApplicaCons

472 views • 25 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 4: Security

348 views • 34 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 7: Using

393 views • 38 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 2: A

530 views • 41 slides
Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM Brussels, February 2020 What is Formal Verification? Using software tools in order to obtain guarantees on the security of cryptographic components.

319 views • 21 slides
Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu, Institute of Computer Science Agenda Introduction Probabilistic-spi calculus Security protocol verification Conclusion Q&A

633 views • 19 slides
Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline TLS overview TLS Record Protocol Theory Attacks Security analysis TLS Handshake Protocol Security analysis Discussion 2

1.78k views • 173 slides
1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

Probabilistic Polynomial-Time Standard analysis methods Process Calculus for Security Finite-state analysis Protocol Analysis Easier Dolev-Yao model Symbolic search of protocol runs Proofs of correctness in formal logic

258 views • 7 slides
Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based NFC M-coupon Protocol Ali Alshehri and Steve Schneider Agenda Introduc?on. Approach

498 views • 25 slides
Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail Aizatulin 1 supervised by Andrew Gordon 23 , Jan J urjens 4 , Bashar Nuseibeh 1 1 The Open University 2 Microsoft Research Cambridge 3 University of

543 views • 29 slides
A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

ASIAN07 A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara Bodei 2 , Pierpaolo Degano 2 , Hanne Riis Nielson 1 Informatics and Mathematics Modelling, Technical University of Denmark 1 Dipartimento di

435 views • 20 slides
CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr egoire Santiago Zanella B eguelin Romain Janvier F ederico Olmedo IMDEA Software INRIA Sophia Antipolis INRIA-Microsoft Research Joint

760 views • 45 slides
Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security Conference October 22-25, 1996 Baltimore Convention Center Dr. Stephen H. Brackin Arca Systems, Inc. 303 E. Yates St., Ithaca, NY 14850

141 views • 12 slides
A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science University of Oxford 1 Why what is doing is . Luke Garratt Computer Science University of Oxford 2 Professors minions* Katriel Cohn-Gordon

591 views • 26 slides
1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

TECS Week 2005 Analysis Techniques Protocol Verification by the Inductive Method Crypto Protocol Analysis Dolev-Yao Formal Models Computational Models (perfect cryptography) Random oracle Probabilistic process calculi John Mitchell

63 views • 4 slides
Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar Departamento de Sistemas Inform aticos y Computaci on Universitat Polit` ecnica de Val` encia sescobar@dsic.upv.es Santiago Escobar (UPV)

892 views • 68 slides
Hash functions : MAC / HMAC Outline Message Authentication Codes Keyed hash family

Hash functions : MAC / HMAC Outline Message Authentication Codes Keyed hash family

Hash functions : MAC / HMAC Outline Message Authentication Codes Keyed hash family Unconditionally Secure MACs Ref: D Stinson: Cryprography Theory and Practice (3 rd ed), Chap 4. Universal hash family Notations: X is a

457 views • 12 slides
size_t Does Matter Hash Length Extension Attacks Explained Mika Bostrm <bostik@iki.fi>,

size_t Does Matter Hash Length Extension Attacks Explained Mika Bostrm <bostik@iki.fi>,

size_t Does Matter Hash Length Extension Attacks Explained Mika Bostrm <bostik@iki.fi>, <mika.bostrom@smarkets.com> dc4420, 2015-10-29 Cryptographic Hash Properties Digest Size (n bits) Input Block Size (m bits) m >

537 views • 17 slides
Outline Hash functions and MACs, contd Building a secure channel CSci 5271 Announcements

Outline Hash functions and MACs, contd Building a secure channel CSci 5271 Announcements

Outline Hash functions and MACs, contd Building a secure channel CSci 5271 Announcements intermission Introduction to Computer Security Crypto combined slides Public-key crypto basics Public key encryption and signatures Stephen McCamant

588 views • 9 slides
Verified Boot: From ROM to Userspace ROM-Code Bootloader Kernel Root File System ELC Europe

Verified Boot: From ROM to Userspace ROM-Code Bootloader Kernel Root File System ELC Europe

Verified Boot: From ROM to Userspace ROM-Code Bootloader Kernel Root File System ELC Europe 2016, 12.10.2016 Marc Kleine-Budde <mkl@pengutronix.de> Slide 1 - http://www.pengutronix.de - 13.10.2016 Why Verified Boot? Attractive hacking

774 views • 20 slides
the future of hardware wallets D419 C410 1E24 5B09 0D2C 46BF 8C3D 2C48 560E 81AC @StepanSnigirev

the future of hardware wallets D419 C410 1E24 5B09 0D2C 46BF 8C3D 2C48 560E 81AC @StepanSnigirev

the future of hardware wallets D419 C410 1E24 5B09 0D2C 46BF 8C3D 2C48 560E 81AC @StepanSnigirev stepan@cryptoadvance.io hardware wallets can : spend funds user input spending output user input user output receive funds multisig do

195 views • 15 slides
IP IPSec ( ) 13 Network

IP IPSec ( ) 13 Network

IP IPSec ( ) 13 Network Security, Principles and Practice,2nd Ed. : http://www.fata.ir

567 views • 23 slides
SSH - Secure SHell Lecture 25 COMP4631 Slides prepared by Joseph Zhaojun Wu Revised by

SSH - Secure SHell Lecture 25 COMP4631 Slides prepared by Joseph Zhaojun Wu Revised by

SSH - Secure SHell Lecture 25 COMP4631 Slides prepared by Joseph Zhaojun Wu Revised by Professor Cunsheng Ding Outline l Introduction l Protocol details l Applications l References Introduction What is SSH? A set of standards

805 views • 44 slides
Cryptography [Finish Hash Functions; Start Asymmetric Cryptography] Spring 2020 Franziska

Cryptography [Finish Hash Functions; Start Asymmetric Cryptography] Spring 2020 Franziska

CSE 484 / CSE M 584: Computer Security and Privacy Cryptography [Finish Hash Functions; Start Asymmetric Cryptography] Spring 2020 Franziska (Franzi) Roesner franzi@cs.washington.edu Thanks to Dan Boneh, Dieter Gollmann, Dan Halperin, Yoshi

406 views • 19 slides

More recommend