Synthesizing Secure Protocols

We propose a general transformation that maps a protocol secure in an extremely weak sense (essentially in a model where no adversary is present) into a protocol that is secure against a fully active adversary which interacts with an unbounded number of protocol sessions, and has absolute control over the network. The transformation works for arbitrary protocols with any number of participants, written with usual cryptographic primitives. Our transformation provably preserves a large class of security properties that contains secrecy and authenticity. An important byproduct contribution of this paper is a modular protocol development paradigm where designers focus their effort on an extremely simple execution setting – security in more complex settings being ensured by our generic transformation. Conceptually, the transformation is very simple, and has a clean, well motivated design. Each message is tied to the session for which it is intended via digital signatures and on-the-fly generated session identifiers, and prevents replay attacks by encrypting the messages under the recipient’s public key. Key-words: security protocols, signatures, public-key encryption ∗ LORIA, CNRS & INRIA project Cassis, Nancy, France. This work has been partly supported by the ACI Jeunes Chercheurs JC 9005 and the ACI Satin † Computer Science Department, University of Bristol Synthèse de protocoles sûrs Résumé : Nous proposons une transformation générale pour synthétiser des protocoles sûrs par construction. Notre transformation part d’un protocole sûr en un sens très faible (le protocole doit être sûr simplement lorsqu’il est exécuté une seule fois et sans adversaire) et produit un protocole sûr contre un adversaire contrôlant tous les échanges de messages sur le réseau durant un nombre illimité de sessions. Cette transformation fonctionne pour des protocoles arbitraires, avec un nombre quelconque de participants et des primitives cryptographiques usuelles. Nous prouvons la sécurité des protocoles synthétisés pour une large classe de propriété incluant le secret et l’authentification. Mots-clés : protocoles de sécurité, signatures, chiffrement publique Synthesizing secure protocols 3