Professional Documents
Culture Documents
Yves Deswarte
2
Vision classique de la sŽcuritŽÊ: PrŽvention
Base de confiance (TCB)Ê: incontournable, inviolable, prouvŽe correcte
Base de
confiance
Authentification
Utilitaires
Utilisateur
Matrice des
droits
d'acc•s
Sujets Moniteur de
Objets
rŽfŽrences
Fichier
d'audit
3
Qui sont les intrusÊ?
1)
Intrus externe
2) Accès autorisé
Accès
Intrus interne interdit
(extension de privilèges)
3)
Administrateur de sécurité
(abus de pouvoir)
Intrusion
6
TolŽrance aux intrusions
☞ Chiffrement
➤ confidentialitŽ (zone noire - zone rouge)
☞ RŽplication
¥ la rŽplication permet de se protŽger contre les modifications et les destructions
non-autorisŽes (comme pour les fautes d'origine accidentelle)
7
☞ DŽtection et recouvrement des intrusions :
DŽtecter, ralentir, intervenir (+ enregistrer, corriger)
¥ DŽtection :
➤ par les mŽcanismes de contr™le d'acc•s : authentification et autorisation
➤ par discrimination entre les comportements normaux (utilisateurs autori-
sŽs) et les comportement anormaux (intrus)
(syst•mes experts, analyse statistique)
➤ autres dŽtections : audits de sŽcuritŽ, dŽtection d'erreurs, dŽfaillances
¥ Ralentissement :
➤ rŽsilier les droits
➤ tromper l'attaquant (intoxication)
¥ Intervention :
➤ identifier et localiser l'attaquant
➤ poursuites judiciaires
➤ restauration des informations dŽtruites
☞ Brouillage
¥ Ajouter des informations superflues (bourrage), p.ex. des messages
¥ Augmentation de l'incertitude dans les rŽponses aux requ•tes statistiques
dans les bases de donnŽes (tolŽrance aux attaques de dŽduction par
infŽrences)
8
Fragmentation-Redondance-DissŽmination (FRD)
Objectif :
Faire en sorte que l'intrusion d'une partie du syst•me ne donne acc•s qu'ˆ des
informations non significatives : confidentialitŽ, intŽgritŽ, disponibilitŽ
Principe :
➤ DŽcouper l'information en fragments de telle sorte que des fragments isolŽs
ne fournissent pas d'information significative
➤ Ajouter de la redondance aux fragments pour tolŽrer les attaques en
modification, destruction ou dŽni de service
➤ Isoler les fragments en les dissŽminant :
= DissŽmination spatiale : utiliser diffŽrents sites de stockage ou voies de
communication
= DissŽmination temporelle : mŽlanger les fragments envoyŽs avec d'autres
fragments, ou les transmettre dans un ordre
alŽatoire
= DissŽmination frŽquentielle : envoyer les fragments sur des frŽquences
diffŽrentes (communications ˆ large bande)
= DissŽmination des privil•ges : exiger l'accord de plusieurs utilisateurs ou
entitŽs avant d'exŽcuter une opŽration (secret
partagŽ, ou sŽparation des pouvoirs)
9
Exemple : SchŽmas ˆ seuil
10
Exemple simple : Seuil = 2
P(x) = {y = a x + b}
y4
y3
y2
y 0 = a x0 + b = b
y y 1 = a x1 + b
1
y0
y 2 = a x2 + b
¥¥¥
y m = a xm + b
0 x1 x2 x3 x4
a, b secrets
x1, x2, ¥¥¥ xm fixŽs
=> ˆ partir de deux points quelconque on sait calculer a et b
¥ avec 2 images quelconques, on reconstruit le secret
¥ avec une seule image, on nÕa rien
=> Seuil = 2
11
Prototype de syst•me basŽ sur la FRD
Carte
ˆ puce
Sites utilisateur
Fen•tre
d'application
Image
de clŽ
Réseaux
Sites de Sites de
sécurité stockage
.. ..
. .
Fragment
de fichier
Sites de
traitement
Fragment
d'application
12
FRD appliquŽe ˆ la gestion de fichiers
Fichier Fragments
Site utilisateur
RŽseau ˆ diffusion
Sites de stockage
13
Fragmentation
P1 P1
sign.
Clé
P2
Page chiffrée Fragments
P3
P4
← bourrage
Fichier Pages
14
ƒcriture
Fonction ˆ sens
unique
(nom du fichier, n¡page, n¡fragment, clŽ) nom de fragment
SITE
UTILI-
SATEUR
15
Lecture
Fonction ˆ sens
unique
(nom du fichier, n¡page, n¡fragment, clŽ) nom de fragment
SITE
UTILI-
SATEUR
16
Gestion de la sŽcuritŽ dans les syst•mes rŽpartis
S1 O1 S2 O2 S3 O3 S4 O4
¥ confiance mutuelle entre les TCB (pour des niveaux de sŽcuritŽ donnŽs)
17
Approche de Kerberos , SESAME :
STATION STATION
DE DE ESPION
TRAVAIL TRAVAIL
SERVEURS
18
FRD appliquŽe ˆ la gestion de la sŽcuritŽ
① Authentification
et demande d'accès
② Tickets
Serveur de sécurité
Site
utili-
sateur
SITE DE SITE DE SITE DE
SÉCURITÉ SÉCURITÉ SÉCURITÉ
② Tickets
③ accès
Site
utili-
SERVEUR SERVEUR SERVEUR sateur
SERVEURS
19
Authentification
➂ décision
globale
➁ authentification
locale
site
utili-
CP8 sateur
20
Autorisation
serveur de sécurité
fichier1 droits i(k)
fichier2
site de site de site de
sécurité sécurité sécurité fichier3
fichier4
...
② vote
➀ requête
d'ouverture
de session
③ envoi de tickets
site
utilisateur
serveur sécurisé
④ session
21
FRD pour le traitement fiable de donnŽes confidentielles
Probl•meÊ:
IdŽe :
22
Traitement fragmentŽ
? Dj1
Di Dj ?
Di2
Di3 ?
DissŽmination
RŽplication ? Cj1
Fragmentation Ci
Ci2
Cj ?
D1
D1 . ?
D1 . Ci3
D D2
D: .
D D3 D2 Site j
DonnŽes D2 Site i
D3 .
D3 .
.
F R C1
C : Code C1 D
C1
C
C2 .
C C2 .
C2 C3 . Site l Site k
C3
C3 ? Dk1
. .
. . Dl Dk
. . ? Dk2
Dl3 ?
? Ck1
Cl Ck Ck2
?
Cl3 ?
23
IntŽgritŽ pour les syst•mes tolŽrant aux
fautes avec plusieurs niveaux de criticitŽ
➤ construire des pare-feux pour Žviter la contamination des t‰ches critiques par
des t‰ches moins critiquesÊ: É effort de validation adaptŽ au niveau de criticitŽ
24
IdŽeÊ:
¥ affecter diffŽrents niveaux dÕintŽgritŽ aux diffŽrentes t‰ches (programmes +
donnŽes), en fonction de leur criticitŽ
¥ observation dÕun objet par un sujet : (si, oj, observer) ⇒ il(si) ² il(oj)
¥ modification dÕun objet par un sujet : (si, oj, modifier) ⇒ il(oj) ² il(si)
¥ invocation dÕun sujet par un autre sujetÊ: (si, sj, invoquer) ⇒ il(sj) ² il(si)
➾ aucun flot dÕinformation fonctionnel ne devrait •tre interdit par les r•gles
➾ structuration de lÕapplication
26
R•gles
27
TolŽrance aux fautes
ExempleÊ: trois capteurs de tempŽrature non fiables
98°C
Calcul de
96°C mŽdiane 98°C
223°C
28
Exemple
Integrity
TCB Objects (OS and application) levels
O1 reads
from Val
Validation ML2
object O1 Level 3
O1 writes
OS to O2
µ-kernel O2 reads
from ML2
O2 Level 2
ML1
O3 reads
Integrity from O2 Level 1
kernel
Val reads
from O3, O3’
O3 Level 0
O3 writes
to ML1
Single-level Objects Multi-level Objects
29
Conclusion
La tolŽrance aux fautes peut apporter de nouvelles solutions
aux nouveaux probl•mes de sŽcuritŽÊ:
Exemples de probl•mes:
¥ Ver de Robert T. Morris Jr. (novembre 1988)Ê: 10 % des machines dÕInternet
contaminŽes, 98 % dÕInternet bloquŽ pendant plusieurs jours
Exemples de solutionsÊ:
¥ suppression des points durs par FRD
30