Journée Cryptis
Archive 2003
Quatrième Journée Cryptographie et Sécurité de l'Information
Vendredi 28 novembre 2003 - Université de Limoges
Programme
- 10:30 Marc Girault, Expert Emérite, France Télécom R&D.
Authentification active à très bas coût
Le marché des puces à
mémoire simple (c'est-à-dire sans microprocesseur) est
à la veille d'une explosion sans précédent. De
coût inférieur à 10 centimes d'euros, elles
disposent d'une capacité de calcul très faible,
typiquement limitée à 500 portes logiques. On rencontre
ce
type de puces dans les télécartes (plusieurs centaines de
millions par an), dans les étiquettes sans contact (RFID tags),
destinées entre autres à remplacer les codes-barres
optiques sur toutes sortes de produits, ou encore dans les tickets de
transport tels que ceux que la RATP s'apprête à
déployer.
L'authentification active de ces puces, si peu dotées en
puissance de calcul, semble être mission impossible. Pourtant, au
cours des dix dernières années, France
Télécom R&D a développé trois familles
de solutions à ce problème. Il y a tout d'abord les
Fonctions Anti-Clones, qui sont de type symétrique et permettent
un nombre d'authentifications illimité. L'une de ces fonctions,
intégrée dans la télécarte dite de
deuxième génération, constitue l'un des
algorithmes cryptographiques les plus déployés au monde.
Les deux autres familles, respectivement symétrique et
asymétrique, présentent l'avantage d'offrir une
sécurité prouvée, au prix d'un nombre
d'authentifications limité (typiquement 50). Dans le cas
asymétrique, il s'agit du protocole GPS et de certaines de ses
variantes. Il semble qu'aucune autre technique existante ne permette
d'allier authentification à clé publique,
sécurité prouvée et moyens de calculs aussi
rudimentaires.
- 11:30 Jean-Louis Lanet, Gemplus Software Research Lab & chercheur à l'INRIA
Méthodes formelles et développement de cartes à puce
La carte à puce est un domaine où l’utilisation de méthodes formelles semble idéal. En effet, trois besoins sont clairement identifiés : gérer la complexité des nouveaux système d'exploitation embarqués, certification à un haut niveau des cartes et réduire le coût du processus de qualification. Nous avons démontré précédemment que l’utilisation de méthodes formelles était techniquement faisable, il nous reste à démontrer qu’elle est économiquement viable. Pour ce faire nous avons réalisé une évaluation comparative des coûts de développement entre un processus traditionnel et un processus de développement formel. Ces travaux ont été présenté à Sun, Visa et le Nist. Nous présenterons ces résultats ainsi que les métriques obtenues. Plusieurs enseignements ont été tiré de cette expérimentation ce qui nous a amené à déveloper un front-end Java pour ces technologies au sein de l'INRIA que nous présenterons ainsi que des alternatives viables de ces techniques rigoureuses de développement.
- 12:30 Buffet offert aux participants .
- 14:30 Séverine Baudry, Ingénieur, Nextamp (spin-off de Thales)
Les termes de tatouage et surtout sa variante anglaise watermarking apparaissent de plus en plus fréquemment dans les discussions relatives à la sécurité et à la protection du copyright ou des droits d’auteurs. Comme souvent pour les thématiques nouvelles et « à la mode », il est peut être utile de redéfinir ou de délimiter ce que couvre le terme et ce que ces techniques ne sont pas. Une fois ces points éclaircis, on peut alors explorer plus sereinement les possibilités d’applications du watermarking voire en imaginer d’inédites. La curiosité nous conduit alors inévitablement à se demander : tatouer des images, oui, au fait, comment faire ? et à explorer quelques principales classes d’algorithmes. On pourra au final, examiner plus en détail une application et envisager en quoi le tatouage participe à la sécurité et à la protection des droits.
- 15:30 Philippe Gaborit, Maître de Conférences, Université de Limoges.
Les mathématiques peuvent-elles endiguer le spam ?
L'envoi en masse de courriers électroniques
à caractère publicitaire, sortant du champ d'une relation
commerciale légitime, est devenu une nuisance majeure de
l'Internet. L'absence de réponse appropriée a conduit au
développement d'une véritable «
économie du spam ». La législation, tant en France
que dans les grands pays développés, se raffermit, mais
semble impuissante face aux acteurs qui s'en affranchissent
volontairement. Les solutions techniques couramment utilisées
sont loin d'être satisfaisantes: le filtrage automatique au
niveau
de l'utilisateur conduit à des faux positifs ou à des
faux
négatifs, tandis que la légitimité de
l'utilisation de listes noires par les administrateurs systèmes
et les ISP est régulièrement remise en cause.
Des méthodes visant à faire payer à
l'émetteur de courrier une « pénalité
calculatoire » ont récemment été
proposées pour limiter l'envoi en masse. Elles sont
basées
sur des propriétés de certaines fonctions
mathématiques et les aspects techniques sont bien
maitrisés.
Dans cet exposé, nous ferons le point sur les solutions
techniques informatiques utilisées, nous présenterons les
principales méthodes à base de mathématiques qui
débouchent sur la notion « d'impôt computationnel
» et nous essaierons de proposer des scenarii d'utilisations
réalistes pour la lutte contre le « pourriel »,
tenant compte notamment des envois légitimes.
- 16:30 Collation offerte aux participants.