formal security analysis of cryptographic protocol code
play

Formal Security Analysis of Cryptographic Protocol Code - PowerPoint PPT Presentation

Aug 22, 2022 •160 likes •527 views

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 3: Coding

  1. Formal ¡Security ¡Analysis ¡of ¡ Cryptographic ¡Protocol ¡Code ¡ ¡ Karthikeyan ¡Bhargavan ¡ INRIA ¡ Karthikeyan.Bhargavan@inria.fr ¡ IIT ¡Delhi, ¡Fall ¡2010 ¡

  2. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ IntroducCon ¡

  3. A ¡Crypto ¡Protocol ¡ImplementaCon ¡ ApplicaCon ¡ ParGally ¡Trusted ¡ Code ¡ Network ¡ ¡ Protocol ¡ Based ¡ Code ¡ Opponent ¡ Key ¡ Cryptographic ¡ ¡ Network ¡ ¡ Management ¡ Library ¡ Stack ¡ Database ¡of ¡secrets ¡ Crypto ¡algorithms ¡ Network ¡Protocols ¡ (keys, ¡passwords) ¡ Untrusted ¡Network ¡

  4. Towards ¡Symbolic ¡VerificaCon ¡ One ¡Source, ¡Many ¡Tasks ¡ ApplicaCons ¡ ¡ One ¡Source ¡ Many ¡Tasks ¡ Security ¡ Protocol ¡Code ¡ Goals ¡ ¡ ¡ Crypto, ¡Net ¡ ¡ ¡ Crypto, ¡Net ¡ Other ¡ ¡ ¡Concrete ¡Libraries ¡ ¡ ¡ ¡Symbolic ¡Libraries ¡ Implementa3ons ¡ ¡ AAack ¡ ¡ ¡Compile ¡ ¡ ¡Compile ¡ Verify ¡ Diverges ¡ Run ¡ Run ¡ No ¡AAack ¡ Network ¡ Symbolic ¡ ¡ Symbolic ¡ ¡ Interoperability ¡Tes3ng ¡ Debugging ¡ Verifica3on ¡

  5. Lecture ¡Outline ¡ • Library ¡modules ¡review: ¡Data, ¡Net, ¡Crypto ¡ • An ¡example ¡protocol ¡using ¡these ¡modules ¡ – AuthenCcated ¡RPC ¡ – Security ¡goals, ¡how ¡shall ¡we ¡formalize ¡them? ¡ • A ¡symbolic ¡cryptographic ¡library ¡ – New ¡implementaCons ¡for ¡Data, ¡Crypto, ¡Net ¡ • Symbolic ¡debugging ¡ – AuthenCcated ¡EncrypCon ¡example ¡

  6. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ Library ¡Modules ¡

  7. Data ¡Module: ¡Strings, ¡Bytestrings ¡ Interface ¡ • str ¡represents ¡string ¡ • bytes ¡represents ¡byte[] ¡ ¡

  8. Net ¡Module: ¡Networking ¡ • Uses ¡Data.bytes ¡ • fork ¡creates ¡a ¡new ¡thread ¡running ¡the ¡funcCon ¡ ¡ ¡

  9. Crypto ¡Module: ¡Cryptography ¡

  10. request ¡ HMAC(key,request) ¡ response ¡ HMAC(key,request,response) ¡ Client ¡ ¡ Server ¡ SAMPLE ¡PROTOCOL ¡ AUTHENTICATED ¡RPC ¡

  11. Informal ¡DescripCon ¡

  12. Why ¡Is ¡This ¡Protocol ¡Secure? ¡

  13. Logical ¡SpecificaCon ¡

  14. F# ¡ImplementaCon ¡

  15. Test ¡ Connecting to localhost:8080 Sending {BgAyICsgMj9mhJa7iDAcW3Rrk...} (28 bytes) Listening at ::1:8080 Received Request 2 + 2? Sending {AQA0NccjcuL/WOaYS0GGtOtPm...} (23 bytes) Received Response 4

  16. Is ¡The ¡Protocol ¡Code ¡Secure? ¡ 1. Can ¡the ¡opponent ¡cause ¡one ¡of ¡our ¡ authenCcaCon ¡goals ¡to ¡fail? ¡ 2. What ¡if ¡the ¡opponent ¡sent ¡a ¡forged ¡message ¡to ¡ the ¡server? ¡ 3. What ¡if ¡the ¡client ¡started ¡concurrent ¡sessions ¡ with ¡both ¡an ¡honest ¡and ¡a ¡dishonest ¡server? ¡ 4. What ¡if ¡the ¡MAC ¡key ¡is ¡compromised? ¡ More ¡importantly, ¡what ¡is ¡the ¡formal ¡model ¡under ¡ which ¡we ¡may ¡prove ¡our ¡security ¡goals? ¡ ¡

  17. Lecture ¡3: ¡ Coding ¡Symbolic ¡Abstrac3ons ¡in ¡F# ¡ A ¡Symbolic ¡AbstracCon ¡of ¡ Cryptography ¡

  18. A ¡New ¡ImplementaCon ¡of ¡Data, ¡Crypto ¡ str, ¡bytes ¡are ¡both ¡now ¡algebraic ¡datatypes ¡ • operaCons ¡on ¡bytes ¡are ¡represented ¡as ¡constructors ¡ • – One-­‑one ¡determinisCc ¡funcCons ¡

  19. Recall: ¡Data ¡Interface ¡ • We ¡must ¡implement ¡all ¡these ¡funcCons ¡

  20. Conversions ¡using ¡InverCble ¡Constructors ¡ • UTF8, ¡Base64, ¡Concat ¡modeled ¡as ¡constructors ¡ ¡ – one-­‑one ¡determinisCc ¡funcCons ¡ • Inverse ¡funcCons ¡modeled ¡using ¡pacern ¡matching ¡

  21. Random ¡Values ¡using ¡Fresh ¡Names ¡ • A ¡name ¡is ¡a ¡freshly ¡generated ¡value ¡ – The ¡name ¡datatype ¡is ¡hidden ¡from ¡the ¡interface ¡ – Hence, ¡given ¡a ¡name, ¡one ¡cannot ¡deconstruct ¡it ¡ – And ¡given ¡a ¡counter, ¡one ¡cannot ¡construct ¡a ¡name ¡

  22. Hash/MAC ¡as ¡One-­‑way ¡Constructors ¡ • Hash, ¡MAC ¡are ¡constructors ¡ – One-­‑one ¡funcCons ¡[ Collision ¡resistance ] ¡ • The ¡implementaCon ¡of ¡type ¡bytes ¡is ¡hidden ¡ – No ¡funcCon ¡for ¡inverCng ¡Hash/MAC ¡ – Hence, ¡noboby ¡can ¡look ¡inside ¡a ¡Hash ¡or ¡a ¡MAC ¡ – [ Preimage ¡resistance ] ¡ • To ¡construct ¡a ¡MAC ¡one ¡must ¡use ¡mac ¡ – One ¡must ¡know ¡the ¡key ¡[ Unforgeability ] ¡ • AssumpGons ¡too ¡strong? ¡ – Nobody ¡can ¡read ¡the ¡contents ¡of ¡MAC ¡[Secrecy] ¡

  23. Symbolic ¡Symmetric ¡EncrypCon ¡ ¡ • DecrypCon ¡succeeds ¡on ¡encrypted ¡values ¡ – [ DeterminisGc ¡DecrypGon ] ¡ • SymEncrypt ¡constructor ¡hidden ¡from ¡interface ¡ – Only ¡way ¡to ¡open ¡it ¡is ¡to ¡use ¡sym_decrypt ¡ – Hence, ¡one ¡must ¡know ¡key ¡to ¡recover ¡plaintext ¡ – [ Secrecy ] ¡

  24. Public ¡and ¡Private ¡Keys ¡ • Private ¡keys ¡are ¡fresh ¡names ¡ • One ¡can ¡go ¡from ¡a ¡private ¡key ¡to ¡a ¡public ¡key ¡ – But ¡not ¡the ¡other ¡way ¡round ¡[ Private ¡Key ¡Secrecy ] ¡

  25. Symbolic ¡Asymmetric ¡EncrypCon ¡ • EncrypCon ¡with ¡public ¡key ¡ – DecrypCon ¡with ¡private ¡key ¡ – AsymEncrypt ¡constructor ¡is ¡hidden ¡from ¡interface ¡ – Nobody ¡can ¡access ¡plaintext ¡without ¡calling ¡ asym_decrypt ¡with ¡private ¡key ¡[ Secrecy ] ¡ ¡

  26. Symbolic ¡Signatures ¡ ¡ • Only ¡way ¡to ¡construct ¡Sign(k,b) ¡is ¡through ¡sign ¡ – One ¡must ¡know ¡k ¡[ Unforgeability ] ¡ • VerificaCon ¡guarantees ¡that ¡the ¡signer ¡knows ¡ the ¡private ¡key ¡[ Non-­‑repudiaGon ] ¡

  27. Recall: ¡Net ¡Interface ¡

  28. Networking ¡using ¡Channels ¡ • The ¡network ¡is ¡a ¡public ¡channel ¡ • Channels ¡are ¡asynchronous, ¡unordered, ¡buffered ¡ – send ¡adds ¡a ¡message ¡to ¡the ¡buffer ¡

  29. Networking ¡using ¡Channels ¡ • recv ¡is ¡blocking ¡ – It ¡waits ¡for ¡a ¡message ¡to ¡appear ¡on ¡the ¡network ¡ – Code ¡uses ¡monitors ¡to ¡avoid ¡race ¡condiCons ¡

  30. Network-­‑based ¡Acacker ¡ • The ¡network ¡channel ¡netChan ¡is ¡made ¡ available ¡to ¡the ¡acacker ¡ – He ¡knows ¡all ¡connecCon ¡idenCfiers ¡ – He ¡can ¡send ¡any ¡message ¡using ¡Net.send ¡ – He ¡can ¡intercept ¡any ¡message ¡using ¡Net.recv ¡ • Hence, ¡the ¡acacker ¡controls ¡the ¡network ¡

  31. request ¡ HMAC(key,request) ¡ response ¡ HMAC(key,request,response) ¡ Client ¡ ¡ Server ¡ SAMPLE ¡PROTOCOL ¡ AUTHENTICATED ¡RPC ¡REVISITED ¡

  32. F# ¡ImplementaCon ¡

  33. Test ¡with ¡Symbolic ¡Libraries ¡ Connecting to http://localhost:8081 Listening at http://localhost:8081 Accepted channels Sending: Foo | HMAC-SHA1{symkey[1]}[Foo] Sending Bar in response to Foo Sending: Bar | HMAC-SHA1{symkey[1]}[Foo | Bar] Accepted Bar as response to Foo Compare ¡with ¡the ¡original ¡concrete ¡run: ¡ Connecting to localhost:8080 Sending {BgAyICsgMj9mhJa7iDAcW3Rrk...} (28 bytes) Listening at ::1:8080 Received Request 2 + 2? Sending {AQA0NccjcuL/WOaYS0GGtOtPm...} (23 bytes) Received Response 4

  34. Is ¡The ¡Protocol ¡Code ¡Secure? ¡ 1. Can ¡the ¡opponent ¡cause ¡one ¡of ¡our ¡ authenCcaCon ¡goals ¡to ¡fail? ¡ 2. What ¡if ¡the ¡opponent ¡sent ¡a ¡forged ¡message ¡to ¡ the ¡server? ¡ 3. What ¡if ¡the ¡client ¡started ¡concurrent ¡sessions ¡ with ¡both ¡an ¡honest ¡and ¡a ¡dishonest ¡server? ¡ 4. What ¡if ¡the ¡MAC ¡key ¡is ¡compromised? ¡ More ¡importantly, ¡what ¡is ¡the ¡formal ¡model ¡under ¡ which ¡we ¡may ¡prove ¡our ¡security ¡goals? ¡ ¡

Recommend

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA IIT Delhi, Fall 2010 Lecture 1: WriCng Secure Web ApplicaCons

472 views • 25 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 4: Security

348 views • 34 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 7: Using

393 views • 38 slides
Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code

Formal Security Analysis of Cryptographic Protocol Code Karthikeyan Bhargavan INRIA Karthikeyan.Bhargavan@inria.fr IIT Delhi, Fall 2010 Lecture 2: A

530 views • 41 slides
Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM

Verifpal Cryptographic protocol analysis for students and engineers Nadim Kobeissi FOSDEM Brussels, February 2020 What is Formal Verification? Using software tools in order to obtain guarantees on the security of cryptographic components.

319 views • 21 slides
Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu,

Formal Analysis of Imperfect Cryptographic Protocols Long Nguyen Hoang University of Tartu, Institute of Computer Science Agenda Introduction Probabilistic-spi calculus Security protocol verification Conclusion Q&A

633 views • 19 slides
Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline

Cryptographic Analysis of TLS Kenny Paterson FOSAD 2013 Information Security Group 1 Outline TLS overview TLS Record Protocol Theory Attacks Security analysis TLS Handshake Protocol Security analysis Discussion 2

1.78k views • 173 slides
1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

1 Roscoe 95, Schneider 96, Compositionality Language Approach Abadi-Gordon97

Probabilistic Polynomial-Time Standard analysis methods Process Calculus for Security Finite-state analysis Protocol Analysis Easier Dolev-Yao model Symbolic search of protocol runs Proofs of correctness in formal logic

258 views • 7 slides
Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based

Formal Security Analysis and Improvement of a hash-based NFC M-coupon Protocol Ali Alshehri and Steve Schneider Agenda Introduc?on. Approach

498 views • 25 slides
Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail

Extracting and Verifying Cryptographic Models from C Protocol Code by Symbolic Execution Mihhail Aizatulin 1 supervised by Andrew Gordon 23 , Jan J urjens 4 , Bashar Nuseibeh 1 1 The Open University 2 Microsoft Research Cambridge 3 University of

543 views • 29 slides
A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara

ASIAN07 A Formal Analysis for Capturing Replay Attacks in Cryptographic Protocols Han Gao 1 , Chiara Bodei 2 , Pierpaolo Degano 2 , Hanne Riis Nielson 1 Informatics and Mathematics Modelling, Technical University of Denmark 1 Dipartimento di

435 views • 20 slides
CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr

CertiCrypt: formal certification of code-based cryptographic proofs Gilles Barthe Benjamin Gr egoire Santiago Zanella B eguelin Romain Janvier F ederico Olmedo IMDEA Software INRIA Sophia Antipolis INRIA-Microsoft Research Joint

760 views • 45 slides
Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security

Automatic Formal Analyses of Cryptographic Protocols 19th National Information Systems Security Conference October 22-25, 1996 Baltimore Convention Center Dr. Stephen H. Brackin Arca Systems, Inc. 303 E. Yates St., Ithaca, NY 14850

141 views • 12 slides
A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science

A Formal Security Analysis of the Signal Messaging Protocol Luke Garratt Computer Science University of Oxford 1 Why what is doing is . Luke Garratt Computer Science University of Oxford 2 Professors minions* Katriel Cohn-Gordon

591 views • 26 slides
1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

1 Use second form Sample Protocol Goals Given set of traces Authenticity: who sent it?

TECS Week 2005 Analysis Techniques Protocol Verification by the Inductive Method Crypto Protocol Analysis Dolev-Yao Formal Models Computational Models (perfect cryptography) Random oracle Probabilistic process calculi John Mitchell

63 views • 4 slides
Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar

Term Rewriting applied to Cryptographic Protocol Analysis: the Maude-NPA tool Santiago Escobar Departamento de Sistemas Inform aticos y Computaci on Universitat Polit` ecnica de Val` encia sescobar@dsic.upv.es Santiago Escobar (UPV)

892 views • 68 slides
Cryptographic Security for Mobile Code Sean Kugele CS 6204, Spring 2005 1 Mobile Code A

Cryptographic Security for Mobile Code Sean Kugele CS 6204, Spring 2005 1 Mobile Code A

Cryptographic Security for Mobile Code Sean Kugele CS 6204, Spring 2005 1 Mobile Code A program produced by one entity, called the originator, and transferred to a different entity, called the host, where it is immediately executed

601 views • 23 slides
stateless analysis of a cryptographic protocol emina torlak february 22, 2005 authentication

stateless analysis of a cryptographic protocol emina torlak february 22, 2005 authentication

stateless analysis of a cryptographic protocol emina torlak february 22, 2005 authentication to be nobody-but-yourselfin a world which is doing its best to make you everybody else - e e cummings authentication: verifying the

490 views • 15 slides
TLS Security EPL682 Neophytos Christou What is TLS? - Cryptographic protocols that provide

TLS Security EPL682 Neophytos Christou What is TLS? - Cryptographic protocols that provide

TLS Security EPL682 Neophytos Christou What is TLS? - Cryptographic protocols that provide secure communication on the internet - Consists of two phases: - TLS Handshake protocol: agree on the cipher suite that will be used to encrypt

320 views • 31 slides
Symbolic Execution of Security Protocol Impl.: Handling Cryptographic Primitives Mathy Vanhoef

Symbolic Execution of Security Protocol Impl.: Handling Cryptographic Primitives Mathy Vanhoef

Symbolic Execution of Security Protocol Impl.: Handling Cryptographic Primitives Mathy Vanhoef @vanhoefm USENIX WOOT, Baltimore, US, 14 August 2018 Overview Symbolic Execution 4-way handshake Handling Crypto Results 2 Overview Symbolic

446 views • 41 slides
Outline Cryptographic Algorithm Engineering and Provable Security Crypto refresher

Outline Cryptographic Algorithm Engineering and Provable Security Crypto refresher

Bart Preneel September 2007 Cryptographic Algorithm Engineering and Provable Security Outline Cryptographic Algorithm Engineering and Provable Security Crypto refresher Basic concepts Foundations of Security Analysis and

958 views • 31 slides
Formal analysis of security models for critical systems: Virtualization platforms and mobile

Formal analysis of security models for critical systems: Virtualization platforms and mobile

Formal analysis of security models for critical systems: Virtualization platforms and mobile devices Carlos Luna Grupo de Seguridad Inform atica, InCo Facultad de Ingenier a, Universidad de la Rep ublica, Uruguay Formal analysis

751 views • 56 slides
Automated Reasoning for Security Protocol Analysis The ASW Protocol Revisited: A Unified View

Automated Reasoning for Security Protocol Analysis The ASW Protocol Revisited: A Unified View

Automated Reasoning for Security Protocol Analysis The ASW Protocol Revisited: A Unified View Paul Hankes Drielsma and Sebastian M odersheim Information Security, ETH Zurich ARSPA Paul Hankes Drielsma 1 Introduction ASW: an

508 views • 14 slides
Context Generation from Formal Specifications for C Analysis Tools Michele Alberti 1 Julien

Context Generation from Formal Specifications for C Analysis Tools Michele Alberti 1 Julien

Context Generation from Formal Specifications for C Analysis Tools Michele Alberti 1 Julien Signoles 2 1 TrustInSoft 2 CEA LIST, Software Reliability and Security Laboratory LOPSTR 2017, Namur, Belgium 1 Code Analysis Tools Effective enough

575 views • 35 slides

More recommend