You are on page 1of 3

Examen UE NI307 (SECUR), 2010-11

J. Leneutre, 14/09/2011
Dure 2H. Les supports de cours sont autoriss, les dispositifs lectroniques (calculette, ordinateurs, PDAs, ) interdits. Le barme dtaill est not titre indicatif, mais peut ventuellement tre rajust. Les questions bonus ne sont pas prises en compte dans le barme mais peuvent donner des points supplmentaires.

Exercice 1 : algorithme RSA (5 points)


1. Quels sont les paramtres utiliss dans RSA devant rester secrets ? 2. Un internaute a publi sa clef publique RSA sur sa page Web : (e, n) = (1763, 3599). En remarquant que (e,n) = (41 * 43, 602 1), retrouver tous les paramtres secrets.

Exercice 2 : Protocole SET (9 points)


Le standard SET propos en 1996/97 par les principaux groupements de carte bancaire (Visa et Mastercard) fournit un ensemble de protocoles de scurit pour le paiement par carte bancaire sur Internet bas sur des techniques cryptographiques asymtrique (RSA), clefs secrtes (DES), et de condensation (SHA-1). Larchitecture (simplifie) est la suivante :

PC de lacheteur

Banque du marchand

Banque de lacheteur

Serveur du marchand Rseau utilisateurs (internet+SET)

Passerelle de paiement

Rseau du groupement bancaire

La passerelle de paiement fait linterface entre le monde Internet utilisant SET et le rseau bancaire. Le fonctionnement est le suivant : lacheteur connecte son poste sur le serveur du marchand, passe commande, et autorise le paiement ; le marchand accepte la commande, la ralise, et adresse sa banque lautorisation de paiement de lacheteur via la passerelle.

SET se divise en trois protocoles permettant de raliser ces diffrentes tapes : un protocole dachat, un protocole dautorisation de paiement, un protocole de paiement.

1. Pour mettre en uvre les protocoles, SET dfinit une phase daccrditation pralable des acteurs par une autorit de certification (en fait une hirarchie dautorits) : lautorit dlivre des certificats aux diffrents acteurs. 1.a. Quest-ce quun certificat ? Quelles en sont les proprits principales ? Page 1 sur 3

1.b. Discutez les trois scnarios suivant en terme de scurit (il faudra, le cas chant, noncer les problmes de scurit potentiels) : deux certificats diffrents sont signs par la mme clef prive, deux certificats diffrents contiennent la mme clef publique, deux certificats diffrents ont la mme signature.

2. SET utilise DES pour chiffrer les messages, et RSA avec des cls dune longueur de 1024 bits pour distribuer des cls DES. Quels sont les avantages et les inconvnients dutiliser une telle longueur de clefs RSA ? Pourquoi ne pas utiliser uniquement RSA pour chiffrer les messages ? 3. SET utilise une mthode de signature numrique base sur la fonction de condensation SHA-1 et sur RSA : elle consiste appliquer SHA-1 au message, et chiffrer le rsultat en utilisant RSA avec la clef prive de lmetteur. Justifiez que la mthode de signature employe satisfait effectivement les proprits attendues dune signature. 4. Le processus dachat se droule comme suit : lacheteur envoie en clair au marchand une requte dintention dachat, le marchand rpond en envoyant : un identifiant de commande plus sa signature numrique, le certificat du marchand (contenant sa clef publique PK), le certificat de la passerelle de paiement (contenant la clef publique de la passerelle PKpasserelle),

lacheteur vrifie les certificats du marchand et de la passerelle en sadressant lautorit de certification, puis vrifie la signature du marchand, et envoie une requte dachat, contenant en particulier : les informations de commandes, IC, dtaillant les produits, les quantits, le prix et lidentification de commande fournie par le marchand lors de lchange prcdent, les informations de paiement, IP, qui seront communiques la passerelle de paiement, et dtaillant les informations relatives la carte bancaire de lacheteur, le prix et lidentification de la commande,

la requte dachat devra assure que : le paiement ne concerne que la commande identifie (le paiement nest effectue que si la commande est accepte par le marchand et la commande nest effective que si la banque approuve le paiement) le contenu de IC est cach la banque, le contenu de IP est cach au marchand.

4.a. Le protocole SET introduit un mcanisme de signature dit signature duale SD, bas sur la fonction SHA-1 et un chiffrement RSA. Cette signature SD est construite pat lacheteur en utilisant sa clef prive clef prive de lacheteur SKacheteur, et doit pouvoir tre vrifie par le vendeur ainsi que par la passerelle. SD est dfinie comme suit : SD= { SHA-1 (SHA-1(IC), SHA-1(IP)) }SKacheteur . Expliquer lintrt de ce mcanisme (on expliquera en particulier en quoi il nest ncessaire de raliser plusieurs hachages avec la fonction SHA-1). 4.b. Utiliser ce mcanisme pour construire la requte dachat envoye par lacheteur au vendeur. 4.c. (BONUS) Construire la requte de paiement envoye par le vendeur la passerelle.

Exercice 3 : Protocole MTI (6 points)


MTI est une famille de protocoles qui incorporent de lauthentification dans le protocole de distribution de clefs DiffieHellman1. Dans cet exercice, nous considrons le premier protocole de la famille MTI, sappelant MTI_ A[0]. On considrera les notations suivantes : - g est un gnrateur dun groupe multiplicatif G. - xA (resp. xB) une clef prive long terme de A (resp. B),

T. Matsumoto, Y. Takashima & H. Imai, On seeking smart public key distribution systems , Transactions of the IECE of Japan, E69(2) :99-106, 1986.

Page 2 sur 3

CertA (resp. CertB) est un certificat mis par une autorit de certification connue de A et de B, liant lidentit de A (resp. de B) sa clef publique g A (resp. g B),
x x

rA (resp. rB) une valeur pseudo-alatoire secrte, gnre par A (resp. B).

Les messages du protocole MTI_ A[0] sont les suivants : 1. A --> B : 2. B --> A : CertA, g A CertB, g B
r r

A calcule KAB= (g B) A (g B) A= g A B calcule KAB= (g A) B (g A) B= g A


r x x r

r x

x r

r xB + xA rB r xB + xA rB

A la fin du droulement du protocole, A et B utilisent KAB comme clef de session. 1. 2. Expliquez brivement le principe du protocole (on explicitera en particulier quelle(s) proprit(s) le protocole est sens vrifier) (10 lignes maximum). On dit quun protocole dauthentification avec distribution de clef vrifie la proprit de Perfect Forward Secrecy (PFS)2 si la compromission dune ou plusieurs clefs long terme nimplique pas la compromission des clefs de sessions passes. 2.a. Le protocole MTI_ A[0] satisfait-il la proprit de PFS si les deux clefs prives sont compromises (i.e. lattaquant connat xA et xB) ? (justifiez votre rponse). 2.b. Le protocole MTI_ A[0] satisfait-il la proprit de PFS si une seule des deux clefs prives est compromise (i.e. lattaquant connat soit xA, soit xB) ? (justifiez votre rponse). 3. On effectue lhypothse (H) suivante : un attaquant X possde un certificat CertX, liant la clef publique g identit, avec xX une valeur gnre par X, et CertX mis par une autorit de certification connue de B. On considre le scnario suivant : 1. A --> X/B : CertA, g A
r r r xA xX

son

1. X --> B : CertX, g A 2. B --> X : CertB, g B 2. X/B --> A : CertB, g B


r xX

Les messages 1 et 2 appartiennent une premire session impliquant A et X (se faisant passer pour B), et les messages 1 et 2 une seconde impliquant X et B. 3.a. Quel objectif de scurit du protocole est mis en dfaut par ce scnario (justifiez). Y a-til des consquences sur l(les) autre(s) objectif(s) du protocole ? 3.b. Lhypothse (H) concernant le certificat CertX, vous semble-telle raisonnable (justifiez) ? 4. (BONUS) Montrez que le scnario dattaque informel suivant est ralisable (pour cela, il faudra dtailler compltement le scnario en dcrivant tous les messages et leur contenu) : i. ii. X enregistre une session du protocole entre A et B, o la clef change est KAB ; X dmarre une nouvelle session du protocole avec A en utilisant une information enregistre au cours de ltape i ; on supposera que X connat la nouvelle clef de session KXA ; X ne peut pas calculer directement KXA, mais on considrera que X peut convaincre A de la lui fournir (cest une hypothse pouvant tre raisonnable pour certains scnarios dapplication dans le sens o A pense que X connat dj la clef) ;

iii. de mme X dmarre une nouvelle session du protocole avec B en utilisant une information enregistre au cours de ltape i ; on supposera que X connat la nouvelle clef de session KXB ; iv. grce aux informations acquises dans les prcdentes tapes, X dduit KAB.

Cette notion a apparemment initialement t introduite par C.G. Gnther en 1989. La proprit de PFS est supporte (en option) par le protocole Internet Key Exchange (IKE) dIPSEC. De nos jours, le terme de Perfect Forward Secrecy est souvent remplac par celui Forward Secrecy .

Page 3 sur 3