formal security analysis of cryptographic protocol code
play

Formal Security Analysis of Cryptographic Protocol Code - PowerPoint PPT Presentation

Jan 01, 2024 •204 likes •472 views

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA IIT Delhi, Fall 2010 Lecture 1: WriCng Secure Web ApplicaCons

  1. Formal ¡Security ¡Analysis ¡of ¡ Cryptographic ¡Protocol ¡Code ¡ ¡ Karthikeyan ¡Bhargavan ¡ INRIA ¡ IIT ¡Delhi, ¡Fall ¡2010 ¡

  2. Lecture ¡1: ¡ WriCng ¡Secure ¡Web ¡ApplicaCons ¡ IntroducCon ¡

  3. WriCng ¡Secure ¡Web ¡ApplicaCons ¡ • An ¡increasing ¡number ¡of ¡security-­‑criCcal ¡services ¡ can ¡now ¡be ¡accessed ¡from ¡the ¡web ¡ • Online ¡banking, ¡Google ¡Health, ¡Electronic ¡tax ¡returns ¡ ¡ • A ¡parallel ¡increase ¡in ¡aNacks ¡on ¡web ¡applicaCons ¡ • Credit ¡card ¡fraud, ¡IdenCty ¡theO ¡ • Cryptography, ¡if ¡used ¡correctly, ¡can ¡help ¡ • Data ¡encrypCon, ¡Secure ¡hardware, ¡Access ¡control ¡ • MathemaCcally ¡proven ¡guarantees ¡ • But ¡easy ¡to ¡get ¡wrong, ¡even ¡for ¡experts ¡ • Need ¡for ¡training, ¡verificaCon ¡tools ¡ • Many ¡recent ¡advances ¡in ¡provers, ¡program ¡analysis ¡tools ¡ 3 ¡

  4. Example : ¡Secure ¡Online ¡Banking ¡ Secure ¡connec)on ¡ to ¡bank’s ¡website ¡ Nobody ¡other ¡than ¡ the ¡bank ¡can ¡read ¡ what ¡I ¡type ¡ (confidenCality) ¡ xxxxxxx ¡ My ¡secret ¡login ¡ ¡ Informa)on ¡ Nobody ¡other ¡than ¡ me ¡can ¡access ¡my ¡ account ¡page ¡ (authenCcaCon) ¡ Goal: ¡ Prevent ¡unauthorized ¡access ¡to ¡data ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡even ¡if ¡an ¡unknown ¡aBacker ¡controls ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡the ¡network ¡and ¡some ¡other ¡bank ¡clients. ¡ 4 ¡

  5. ApplicaCon-­‑Level ¡VulnerabiliCes ¡ Client ¡ Bank ¡ Banking ¡Procedure ¡ • Bank ¡holds ¡records ¡in ¡a ¡Database ¡ – Is ¡the ¡database ¡secure? ¡And ¡the ¡passwords? ¡ – Can ¡one ¡bypass ¡the ¡password ¡mechanism? ¡ • Client ¡keeps ¡copies ¡of ¡her ¡bank ¡records ¡ – Is ¡her ¡computer ¡secure? ¡ – Can ¡social ¡engineering ¡reveal ¡her ¡password? ¡ 5 ¡

  6. Network-­‑level ¡ANacks ¡ Client ¡ Bank ¡ Online ¡Banking ¡Procedure ¡ Web ¡Browser ¡ ¡ Web ¡Server ¡ ¡ Web ¡Session ¡ (Firefox+JS) ¡ (Apache+SQL) ¡ • An ¡aNacker ¡can ¡hijack ¡the ¡web ¡session ¡ • ImpersonaEon : ¡Pretend ¡to ¡be ¡the ¡client ¡ • Replay : ¡Resend ¡an ¡old ¡client ¡message ¡ • RedirecEon : ¡Divert ¡a ¡message ¡meant ¡for ¡one ¡ server ¡to ¡another ¡ 6 ¡

  7. Cryptographic ¡ProtecCons ¡ Client ¡ Bank ¡ • Secure ¡password ¡ Online ¡Banking ¡Procedure ¡ database ¡ Web ¡Browser ¡ ¡ Web ¡Server ¡ ¡ Web ¡Session ¡ • No ¡access ¡to ¡secrets ¡ (Firefox+JS) ¡ (Apache+SQL) ¡ • Strong ¡crypto ¡ Cryptographic ¡ Cryptographic ¡ Secure ¡Connec)on ¡ primiCves ¡ Protocol ¡ Protocol ¡ (HTTPS/TLS) ¡ (HTTPS/TLS) ¡ • No ¡side-­‑channel ¡ Networking ¡ Networking ¡ (Windows) ¡ (Linux) ¡ informaCon ¡leakage ¡ Insecure ¡Network ¡ 7 ¡

  8. Security ¡VerificaCon ¡Goal ¡ Given ¡a ¡ ¡ • Web ¡applica)on ¡ with ¡strong ¡security ¡goals, ¡ protected ¡using ¡a ¡ • Cryptographic ¡protocols ¡ and ¡secure ¡databases , ¡ against ¡an ¡ • Arbitrary ¡aDacker ¡ who ¡controls ¡the ¡ ¡ network ¡ and ¡some ¡clients ¡and ¡servers ¡ ¡ ¡ Goal: ¡MathemaEcal ¡proof ¡that ¡the ¡web ¡applicaEon ¡ preserves ¡its ¡security ¡goals ¡in ¡all ¡runs. ¡

  9. PotenCal ¡ANacks ¡at ¡All ¡Levels ¡ Client ¡ Bank ¡ Top ¡25 ¡Bugs ¡ 2010* ¡ Social ¡engineering ¡ Online ¡Banking ¡Procedure ¡ 10% ¡ MisconfiguraEon ¡ ¡ Web ¡Browser ¡ ¡ Web ¡Server ¡ ¡ Web ¡applicaEon ¡bugs ¡ Web ¡Session ¡ 40% ¡ Browser, ¡Server ¡bugs ¡ (Firefox+JS) ¡ (Apache+SQL) ¡ Cryptographic ¡ Cryptographic ¡ 20% ¡ Crypto ¡protocol ¡errors ¡ Secure ¡Connec)on ¡ Protocol ¡ Protocol ¡ Protocol ¡soMware ¡bugs ¡ (HTTPS/TLS) ¡ (HTTPS/TLS) ¡ Networking ¡ Networking ¡ OperaEng ¡system ¡bugs ¡ 30% ¡ (Windows) ¡ (Linux) ¡ Insecure ¡Network ¡ * ¡2010 ¡CWE/SANS ¡Top ¡25 ¡Most ¡Dangerous ¡SoMware ¡Errors ¡ ¡ 9 ¡

  10. A ¡Problem ¡of ¡Scale ¡ Client ¡ Bank ¡ D : ¡Client ¡and ¡ Bank ¡ share ¡ Online ¡Banking ¡Procedure ¡ ¡ ¡ ¡ ¡ ¡ ¡100 ¡lines ¡of ¡data ¡ Web ¡Browser ¡ ¡ Web ¡Server ¡ ¡ A : ¡Web ¡applicaCon ¡code ¡ Web ¡Session ¡ (Firefox+JS) ¡ (Apache+SQL) ¡ ¡ ¡ ¡ ¡ ¡100,000 ¡lines ¡(in ¡Java, ¡Javascript) ¡ Cryptographic ¡ Cryptographic ¡ P : ¡Security-­‑related ¡code ¡ Secure ¡Connec)on ¡ Protocol ¡ Protocol ¡ ¡ ¡ ¡ ¡ ¡10,000 ¡lines ¡(in ¡C, ¡Java) ¡ (HTTPS/TLS) ¡ (HTTPS/TLS) ¡ Networking ¡ Networking ¡ L : ¡System ¡libraries ¡ ¡ ¡ ¡ ¡1,000,000 ¡lines ¡(in ¡C) ¡ (Windows) ¡ (Linux) ¡ Insecure ¡Network ¡ O : ¡Unknown ¡Opponent ¡ 10 ¡

  11. A ¡Simpler ¡VerificaCon ¡Goal ¡ Write ¡and ¡verify ¡a ¡ ¡ • Simple ¡web ¡applicaCon ¡in ¡F#, ¡that ¡uses ¡a ¡ ¡ ¡ ¡ • Cryptographic ¡protocol ¡wriNen ¡in ¡F#, ¡on ¡top ¡of ¡ ¡ • Libraries ¡provided ¡by ¡the ¡.NET ¡Framework ¡ Under ¡the ¡following ¡trust ¡assumpCons ¡ • Fully ¡Trusted : ¡databases, ¡cryptographic ¡algorithms ¡ – Assume ¡they ¡are ¡implemented ¡correctly ¡ • ParEally ¡Trusted : ¡operaCng ¡systems, ¡web ¡browsers ¡ – Assume ¡they ¡do ¡not ¡leak ¡secret ¡data ¡ • No ¡Trust : ¡network, ¡compromised ¡clients ¡and ¡servers ¡ – Assume ¡they ¡are ¡under ¡the ¡control ¡of ¡the ¡aNacker ¡

  12. A ¡Simpler ¡VerificaCon ¡Goal ¡ Client ¡ Bank ¡ Password-­‑based ¡Authen)ca)on ¡ Client ¡and ¡ Bank ¡ share ¡ 100 ¡lines ¡of ¡data ¡ Abstract ¡ Web ¡Browser ¡ ¡ Web ¡Server ¡ ¡ A : ¡Web ¡applicaCon ¡code ¡ HTTPS ¡Session ¡ (Firefox+JS) ¡ (Apache+SQL) ¡ ¡ ¡ ¡ ¡100,000 ¡lines ¡ Cryptographic ¡ Cryptographic ¡ P ¡ : ¡Security-­‑related ¡code ¡ TLS ¡ ¡Connec)on ¡ Protocol ¡ Protocol ¡ ¡ ¡ ¡ ¡ ¡10,000 ¡lines ¡ ¡ (Windows ¡TLS) ¡ (OpenSSL) ¡ Abstract ¡ Networking ¡ Networking ¡ L : ¡System ¡libraries ¡ ¡ ¡ ¡ ¡1,000,000 ¡lines ¡ (Windows) ¡ (Linux) ¡ Insecure ¡Network ¡ O : ¡Opponent ¡ ¡ ¡ ¡ ¡<unknown> ¡lines ¡

  13. If ¡you ¡cannot ¡verify, ¡find ¡an ¡aNack ¡ • Protocols ¡are ¡designed ¡by ¡experienced ¡cryptographers ¡ – And ¡implemented ¡by ¡skilled ¡programmers ¡ • SCll, ¡serious ¡flaws ¡both ¡in ¡designs ¡and ¡implementaCons ¡ – Most ¡standards ¡got ¡it ¡wrong ¡once ¡or ¡twice ¡(SSL, ¡SSH, ¡IPSEC) ¡ – Just ¡in ¡2009, ¡bugs ¡in ¡Google ¡single-­‑sign-­‑on, ¡MicrosoO ¡Kerberos, ¡ and ¡OpenSSL ¡cerCficate ¡verificaCon ¡ Security ¡tesCng ¡does ¡not ¡help ¡much ¡ – How ¡to ¡test ¡for ¡all ¡aNack ¡scenarios? ¡ Independent ¡expert ¡review ¡may ¡help ¡ – E.g. ¡mandatory ¡Crypto ¡Board ¡review ¡for ¡any ¡non-­‑standard ¡ crypto ¡ – SCll, ¡more ¡an ¡art ¡than ¡a ¡science, ¡and ¡a ¡limited ¡resource ¡ Do ¡I ¡need ¡a ¡new ¡review ¡before ¡submikng ¡any ¡code ¡change? ¡

  14. Course ¡Outline ¡ • Write ¡web ¡applicaCons ¡in ¡F# ¡ – Using ¡simple ¡libraries ¡for ¡Networking, ¡Databases, ¡ Cryptography, ¡and ¡Key ¡Management ¡ • ¡Security ¡analysis ¡of ¡F# ¡programs ¡ – Syntax ¡and ¡semanCcs ¡of ¡F, ¡a ¡core ¡subset ¡of ¡F# ¡ – Understand ¡and ¡implement ¡aNacks ¡ – Formalize ¡security ¡properCes ¡of ¡programs ¡ • Automated ¡proofs ¡of ¡security ¡for ¡F# ¡programs ¡ – Syntax ¡and ¡semanCcs ¡of ¡applied ¡pi ¡calculus ¡ – TranslaCon ¡from ¡F ¡to ¡applied ¡pi ¡ – Verify ¡F# ¡programs ¡using ¡the ¡ProVerif ¡theorem ¡prover ¡ • Other ¡security ¡verificaCon ¡techniques ¡for ¡progams ¡ ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 3: Coding

527 views • 36 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 4: Security

348 views • 34 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 7: Using

393 views • 38 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 2: A

530 views • 41 slides
Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM Brussels, February 2020 What is Formal Verification? Using software tools in order to obtain guarantees on the security of cryptographic components.

319 views • 21 slides
Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu, Institute of Computer Science Agenda Introduction Probabilistic-spi calculus Security protocol verification Conclusion Q&amp;A

633 views • 19 slides
Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline TLS overview TLS Record Protocol Theory Attacks Security analysis TLS Handshake Protocol Security analysis Discussion 2

1.78k views • 173 slides
1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

Probabilistic Polynomial-Time Standard analysis methods Process Calculus for Security Finite-state analysis Protocol Analysis Easier Dolev-Yao model Symbolic search of protocol runs Proofs of correctness in formal logic

258 views • 7 slides
Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based NFC M-coupon Protocol Ali Alshehri and Steve Schneider Agenda Introduc?on. Approach

498 views • 25 slides
Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail Aizatulin 1 supervised by Andrew Gordon 23 , Jan J urjens 4 , Bashar Nuseibeh 1 1 The Open University 2 Microsoft Research Cambridge 3 University of

543 views • 29 slides
A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

ASIAN07 A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara Bodei 2 , Pierpaolo Degano 2 , Hanne Riis Nielson 1 Informatics and Mathematics Modelling, Technical University of Denmark 1 Dipartimento di

435 views • 20 slides
CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr egoire Santiago Zanella B eguelin Romain Janvier F ederico Olmedo IMDEA Software INRIA Sophia Antipolis INRIA-Microsoft Research Joint

760 views • 45 slides
Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security Conference October 22-25, 1996 Baltimore Convention Center Dr. Stephen H. Brackin Arca Systems, Inc. 303 E. Yates St., Ithaca, NY 14850

141 views • 12 slides
A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science University of Oxford 1 Why what is doing is . Luke Garratt Computer Science University of Oxford 2 Professors minions* Katriel Cohn-Gordon

591 views • 26 slides
1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

TECS Week 2005 Analysis Techniques Protocol Verification by the Inductive Method Crypto Protocol Analysis Dolev-Yao Formal Models Computational Models (perfect cryptography) Random oracle Probabilistic process calculi John Mitchell

63 views • 4 slides
Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar Departamento de Sistemas Inform aticos y Computaci on Universitat Polit` ecnica de Val` encia sescobar@dsic.upv.es Santiago Escobar (UPV)

892 views • 68 slides
Password Managers A way to cope with dozens of online accounts Felix Morsbach Uppsala University

Password Managers A way to cope with dozens of online accounts Felix Morsbach Uppsala University

Password Managers A way to cope with dozens of online accounts Felix Morsbach Uppsala University Sweden CryptoParty #9 presentation of 23rd January 2020 What is the problem? How can one solve it? What actually (not) to do? Making it (more)

346 views • 13 slides
Attacking Passwords Richard Frovarp About Me Senior Software Engineer - Enterprise Computing

Attacking Passwords Richard Frovarp About Me Senior Software Engineer - Enterprise Computing

Attacking Passwords Richard Frovarp About Me Senior Software Engineer - Enterprise Computing &amp; Infrastructure - NDSU Systems Administrator - EduTech Dabbler in Enterprise Wireless Member Apache Software Foundation 2 Standard Disclaimer

436 views • 32 slides
Joseph Bonneau jcb82@cl.cam.ac.uk Computer Laboratory Security Protocols Workshop Cambridge, UK

Joseph Bonneau jcb82@cl.cam.ac.uk Computer Laboratory Security Protocols Workshop Cambridge, UK

S TATISTICAL METRICS FOR INDIVIDUAL PASSWORD STRENGTH Joseph Bonneau jcb82@cl.cam.ac.uk Computer Laboratory Security Protocols Workshop Cambridge, UK April 12, 2012 Joseph Bonneau (University of Cambridge) Individual password strength

361 views • 21 slides
On the Usability and Security of Password-Based User Authentication Maximilian Golla Thesis

On the Usability and Security of Password-Based User Authentication Maximilian Golla Thesis

On the Usability and Security of Password-Based User Authentication Maximilian Golla Thesis Defense, Bochum, Germany, May 29, 2019 User Authentication Competing requirements of security and usability . [1] Common Factors: Knowledge ( Password ,

619 views • 34 slides
Mitigating Password Database Breaches with Intel SGX Helena Brekalo Raoul Strackx Frank

Mitigating Password Database Breaches with Intel SGX Helena Brekalo Raoul Strackx Frank

Mitigating Password Database Breaches with Intel SGX Helena Brekalo Raoul Strackx Frank Piessens imec - Distrinet, KU Leuven December 12, 2016 Brekalo, Strackx , Piessens (KU Leuven) Mitigating Password Database Breaches December 12, 2016 1

514 views • 36 slides
ELCE 2013 - Secure Embedded Linux Product (A Success Story) Marcin Bis http://bis-linux.com

ELCE 2013 - Secure Embedded Linux Product (A Success Story) Marcin Bis http://bis-linux.com

ELCE 2013 - Secure Embedded Linux Product (A Success Story) Marcin Bis http://bis-linux.com marcin@bis-linux.com Edinburgh - 2013.10.25 1 / 31 About me Marcin Bis Entrepreneur Embedded Linux: system development, kernel

623 views • 31 slides
SQL Used by all major vendors of relational databases SQL has been standardized by ISO and

SQL Used by all major vendors of relational databases SQL has been standardized by ISO and

Structured Query Language Developed by IBM (system R) in the 1970s SQL Used by all major vendors of relational databases SQL has been standardized by ISO and ANSI Lecture 11 SQL has many components Based on slides by R.

218 views • 4 slides

Introduction slide 150 Data Definition slide 152

317 views • 5 slides

More recommend