Security and Privacy of Hash-Based Software Applications

Amrit Kumar 1
1 PRIVATICS - Privacy Models, Architectures and Tools for the Information Society
Inria Grenoble - Rhône-Alpes, CITI - CITI Centre of Innovation in Telecommunications and Integration of services
Résumé : Les fonctions de hachage et les structures de données qui leur sont associées sont omniprésentes dans le monde numérique. En dehors de leurs rôles dans la conception d’algorithmes efficaces, elles sont aussi essentielles dans le domaine de sécurité et de protection de la vie privée. Elles permettent de protéger les mots de passe stockés sur les serveurs d’authentification ou protéger l’intégrité lors d’échange de fichiers. Elles sont omniprésentes dans tous les protocoles cryptographiques comme ceux de signature électronique. L’objective de cette thèse est d’analyser la sécurité et la protection de la vie privée des logiciels basés sur des fonctions de hachage. Dans ce contexte, nous nous intéressons plus particulièrement à deux applications. La première concerne les logiciels basés sur des filtres de Bloom — une structure de données basée sur le hachage. La deuxième est le service de “Safe Browsing”. Ce service, développé par Google, fournit une méthode sécurisée pour naviguer sur Internet tout en détectant les sites malveillants (sites de phishing ou malwares). Les deux applications sont très populaires, ayant des milliards d’utilisateurs. Pour des filtres de Bloom, nous étudions un nouveau cas d’utilisation, où ils constituent un outil essentiel pour interroger une base de données en respectant la vie privée. Nous analysons aussi la sécurité associée aux utilisations des filtres de Bloom dans un logiciel sensible. Notre étude aborde aussi bien les aspects théoriques que pratique. D’un point de vue théorique, nous définissons des modèles d’adversaire qui captent les différents accès au filtre pour un adversaire. Nous mettons la théorie en pratique en identifiant la vulnérabilité de plusieurs logiciels basés sur des filtres de Bloom. Cela comprend: un robot web, un proxy, un filtre de malware, les outils de forensique et un système de détection d’intrusion. Nos attaques ressemblent aux attaques par déni de service. En ce qui concerne le service de “Safe Browsing”, nous étudions les vulnérabilités dans l’architecture qu’un adversaire puisse exploiter. Nous montrons plusieurs attaques qui peuvent simultanément augmenter le trafic vers le serveur et le client. Nous étudions également le niveau de la vie privée assuré par le service en analysant la possibilité de ré-indentifier des visites aux certains sites web. Notre analyse et les résultats expérimentaux montrent que le service de “Safe Browsing” pourrait être potentiellement utile comme un outil pour tracer certaines classes des individus sur Internet. Cette thèse met en lumière les idées fausses liées à l’utilisation de hachage et les structures de données basées sur le hachage dans le contexte de sécurité et de protection de la vie privée. Motivés par nos résultats, nous explorons en outre plusieurs contremesures pour augmenter le niveau de sécurité et de protection de la vie privée.
Type de document :
Thèse
Computer science. Université Grenoble Alpes, 2016. English
Liste complète des métadonnées

Littérature citée [171 références]  Voir  Masquer  Télécharger

https://hal.inria.fr/tel-01385488
Contributeur : Amrit Kumar <>
Soumis le : vendredi 28 octobre 2016 - 12:43:00
Dernière modification le : mardi 12 juin 2018 - 10:34:00

Fichier

Identifiants

  • HAL Id : tel-01385488, version 2

Citation

Amrit Kumar. Security and Privacy of Hash-Based Software Applications. Computer science. Université Grenoble Alpes, 2016. English. 〈tel-01385488v2〉

Partager

Métriques

Consultations de la notice

509

Téléchargements de fichiers

800