UŻYCIE CZASOWYCH AUTOMATÓW PROBABILISTYCZNYCH DO MODELOWANIA PROTOKOŁÓW ZABEZPIECZAJĄCYCH

Transkrypt

1 STUDIA INFORMATICA 2017 Volume 38 Number 3 (132) Olga SIEDLECKA-LAMCH Częstochowa University of Technology, Institute of Computer and Information Sciences UŻYCIE CZASOWYCH AUTOMATÓW PROBABILISTYCZNYCH DO MODELOWANIA PROTOKOŁÓW ZABEZPIECZAJĄCYCH Streszczenie. Czasowe automaty probabilistyczne mogą zostać użyte do modelowania i weryfikacji systemów przetwarzanych w czasie rzeczywistym i posiadających cechy probabilistyczne. Biorąc pod uwagę stochastyczne zachowania komunikacji w sieci, można znaleźć wspólne cechy protokołów i automatów. Modelowanie z wykorzystaniem automatów umożliwia użycie relacji i algorytmów, takich jak bisymulacja czy minimalizacja. To może ułatwić weryfikację/uproszczenie protokołów. Słowa kluczowe: czasowe automaty probabilistyczne, protokoły zabezpieczające, modelowanie protokołów zabezpieczających USE OF PROBABILISTIC TIMED AUTOMATA FOR SECURITY PROTOCOLS MODELING Summary. Probabilistic timed automata can be used for modeling and verification of systems whose characteristic is real-time and probabilistic. Analyzing stochastic behavior of network communication, many common points of security protocols and automata can be easily found. Modeling with automata allows to use relations and algorithms, such as bisimulation or minimization. This can lead to verification/simplification protocols. Keywords: probabilistic timed automata, security protocols, security protocols modeling

2 192 O. Siedlecka-Lamch 1. Wprowadzenie Projektanci współczesnych systemów informatycznych dążą do wykluczenia sytuacji nieprzewidywalnych lub przypadkowych, a w praktyce nie jest to realne. Analizując zachowania protokołów bezpieczeństwa w sieci, można dostrzec ich probabilistyczne zależności oraz ograniczenia czasowe. Do złamania wielu z nich wystarczyło zastosowanie odpowiednich przeplotów wykonań [13, 14] lub odpowiednie czasowe przeciąganie komunikacji [2]. Pomimo że współcześnie stosowane klucze nie są w praktyce możliwe do złamania, pojawiło się nowe zagrożenie administratorzy zmagając się z ogromem wykorzystywanych haseł i kluczy mogą, przy nieodpowiedniej polityce, dopuścić do ich przejęcia. Zatem, jak modelować współczesną komunikację, zakładając, że istnieje prawdopodobieństwo przejęcia choćby fragmentu poufnej informacji, i że istnieją pewne ograniczenia czasowe, których powinniśmy dopilnować? Pomocnym modelem mogą okazać się automaty probabilistyczne. Liczne zastosowania automatów probabilistycznych można znaleźć w pracach zespołu prof. Kwiatkowskiej [10-12] czy [16, 17]. Model probabilistyczny pozwala uchwycić i ukazać stany systemu, jego akcje i prawdopodobieństwa, z jakimi system przejdzie ze stanu do stanu przy wykonaniu zadanej akcji (lub odczytaniu konkretnego symbolu). W pracy skupiono się na jego wersji czasowej, czyli akcja wykona się z określonym prawdopodobieństwem przy narzuconych ograniczeniach czasowych. Sam problem weryfikacji protokołów zabezpieczających jest ciągle podnoszony i rozważany na wiele sposobów, powstają nowe protokoły i nowe coraz dokładniejsze metody ich analizy i weryfikacji. Do najpopularniejszych narzędzi należą AVISPA [3], ProVerif [5], VerICS [7], Scyther [6] czy narzędzie stosowane w pracach zespołu prof. Kurkowskiego [9, 16, 17]. Jedynie w tych ostatnich badaniach zaczęto rozważać sytuację, kiedy porzucono założenie o idealnej kryptografii i wprowadzono do użycia model probabilistyczny, formułując ciekawe wnioski. Artykuł, oprócz wprowadzenia, zawiera definicje modelu probabilistycznego oraz czasowego modelu probabilistycznego. Pokazuje definicję relacji bisymulacji dla wymienionych modeli. W następnej części omówiony zostaje przykład prostego protokołu oraz jego model w postaci automatu probabilistycznego i czasowego automatu probabilistycznego. Całość podsumowano wnioskami i planami na przyszłość.

3 Użycie czasowych automatów probabilistycznych do modelowania Definicja modelu Odkąd matematycy zajmują się automatami probabilistycznymi, zdefiniowano wiele ich postaci w zależności od systemu, który chciano modelować z ich wykorzystywaniem dodawano lub ujmowano drobne cechy. Znamy więc z literatury automaty reaktywne, generatywne, wejścia/wyjścia, Vardiego, Hannsona, Segala itp. Ich zestawienie można znaleźć w pracach Sokolovej [18]. Dla dalszych rozważań wykorzystany zostanie model reaktywnego automatu probabilistycznego ze stanem inicjującym, który od tej pory będzie nazywany w skrócie automatem probabilistycznym lub po prostu PA Automat probabilistyczny Automat probabilistyczny to piątka PA = (Q, Σ, δ, q 0, F), w której: Q jest skończonym zbiorem stanów, Σ jest alfabetem wejściowym, δ jest funkcją (częściową) prawdopodobieństwa przejść δ : Q Σ D(Q); gdzie D(Q) to dyskretny rozkład prawdopodobieństwa, q 0 Q jest stanem początkowym, F Q jest zbiorem stanów końcowych (akceptowalnych). Po każdym kroku automat probabilistyczny znajduje się w stanie superpozycji stanów: p 0 q 0 + p 1 q p n q n (w stanie q 0 z prawdopodobieństwem p 0, w stanie q 2 z prawdopodobieństwem p 2 itp.), gdzie p 0 + p p n = 1. Na rysunku 1 przedstawiono przykładowy automat probabilistyczny, który akceptuje język L={00, 01, 011}. Rys. 1. Przykładowy PA Fig. 1. The PA example

4 194 O. Siedlecka-Lamch 2.2. Zegary Dla dalszych rozważań niezbędne będzie zdefiniowanie odpowiednich pojęć związanych z czasem, zegarami i nakładanymi na nie ograniczeniami. Niech T R 0 będzie dziedziną czasu zawierającą jedynie nieujemne liczby rzeczywiste, zaś C będzie skończonym zbiorem symboli oznaczających zegary. Zegary przyjmują wartości ze zbioru T, i co jest logiczne wartości zegarów rosną wraz z upływem czasu. Wartościowanie zegarów realizuje funkcja v: C T, zbiór wszystkich wartościowań to T C. Dla każdej funkcji będącej wartościowaniem zegara v T C, oraz dla czasu t T przyrost czasu na wszystkich zegarach zostanie oznaczony jako v+t, zaś dla dowolnego zegara c C zapis v[c := 0] oznacza wyzerowanie tego konkretnego zegara, wszystkich zegarów (dla wygody zapisu, skrótowo: 0). v[c := 0] wyzerowanie Ponieważ zegary są zależne od czasu, muszą zachowywać jego ograniczenia, nie mogą płynąć do tyłu ani zmieniać wartości o różne przedziały czasowe. Ograniczenia nałożone na zegary wykorzystywane w dalszych rozważaniach można zebrać w postaci koniunkcji atomowych formuł: true, false, c t, gdzie c C, t T, zaś zostaną dalej oznaczone jako G(C). {<,,=,>, }. Ograniczenia te 2.3. Probabilistyczny automat czasowy Czasowe automaty probabilistyczne są zbliżone budową do klasycznych automatów czasowych, używających zegarów [1, 4, 10-12, 15]. Probabilistyczny automat czasowy to krotka PTA = (Q, Σ, C, inv, δ, q 0, F), w której: Q jest skończonym zbiorem stanów, Σ jest alfabetem wejściowym, C jest skończonym zbiorem symboli zegarów, inv jest funkcją inv: Q G(C) (miara niezmiennicza), δ jest funkcją (częściową) prawdopodobieństwa przejść: δ : Q Σ G(C) D(2 C Q), q 0 Q jest stanem początkowym, F Q jest zbiorem stanów końcowych (akceptowalnych). Stan automatu opisuje para (q, v), gdzie q Q i v T C. Model startuje ze stanu (q 0, 0), w którym wszystkie zegary są wyzerowane. Każdy następny stan (q, v) wiąże się z dokonaniem wyboru albo wykonywana jest tranzycja, albo czas dalej płynie. W wypadku przejścia zostaje ono wykonane ze stanu do innego lub tego samego stanu, przy odczycie określonego symbolu i przy spełnieniu aktualnych warunków czasowych z określonym

5 Użycie czasowych automatów probabilistycznych do modelowania prawdopodobieństwem. Na rysunku 2 pokazano przykładowy probabilistyczny automat czasowy. Rys. 2. Przykładowy PTA Fig. 2. The PTA example 2.4. Relacja bisymulacji Relacja bisymulacji pełni istotną rolę w procesie weryfikacji systemów. Budując (lub automatycznie generując) rozległe modele opisujące rzeczywiste struktury, takie jak protokoły bezpieczeństwa, należy poszukiwać w nich fragmentów prowadzących do błędów, ataków czy wręcz niemożliwych do wykonania. Zastosowanie relacji bisymulacji pozwoli zaimplementować wykrycie wzorców wyżej wymienionych sytuacji. Dwa systemy tranzycyjne TS 1 =(T, Σ, δ T, t 0 ) i TS 2 =(S, Σ, δ S, s 0 ) są bisymilarne wtedy i tylko wtedy, jeżeli istnieje relacja R S T taka, że (s 0, t 0 ) R i dla wszystkich par (s, t) R i wszystkich symboli σ Σ spełnione pozostaje: jeżeli istnieje przejście δ T (t, σ) = t', wówczas istnieje s' S takie, że δ S (s, σ) = s' i (s', t') R; jeżeli zachodzi δ S (s, σ) = s', wówczas istnieje t' T takie, że δ T (t, σ) = t' i (s', t') R. Stany s, t są nazywane bisymilarnymi, co zapisuje się w postaci s t. By zdefiniować relacje bisymulacji dla automatów probabilistycznych, najpierw należy porównać rozkłady prawdopodobieństwa. Niech R S T będzie relacją na zbiorach S i T. Niech P 1 D(S) i P 2 D(T) będą rozkładami prawdopodobieństw. Relacja P 1 R P 2 zachodzi wtedy i tylko wtedy, gdy istnieje rozkład Pr D(S T) taki, że: Pr(s, T) = P 1 (s) dla każdego s S oraz Pr(S, t) = P 2 (t) dla każdego t T oraz Pr(s, t) 0 oraz (s, t) R.

6 196 O. Siedlecka-Lamch Niech R będzie relacją równoważności na zbiorze S i niech P 1, P 2 D(S) będą rozkładami prawdopodobieństwa. Wówczas: P 1 R P 2 abstrakcji. K S/R : P 1 (K) = P 2 (K), gdzie K jest klasą Niech R będzie relacją równoważności na zbiorze S, A będzie zbiorem pomocniczym, niech P 1, P 2 D(S) będą rozkładami prawdopodobieństwa. Wówczas: P 1 R,A P 2 K S/R, a A : P 1 (a, K) = P 2 (a, K). Ostatecznie można zdefiniować relację bisymulacji dla automatów probabilistycznych. Niech PA 1 = (S, Σ, δ S ) i PA 2 = (T, Σ, δ T ) będą dwoma automatami probabilistycznymi. Relacja bisymulacji R S T zachodzi, jeżeli dla wszystkich par (s, t) R i dla wszystkich symboli σ Σ zostaje zachowane: δ S (s, σ) = P 1, wówczas istnieje rozkład prawdopodobieństwa P 2 taki, że dla pewnego t T istnieje δ T (t, σ) = P 2 oraz P 1 R,Σ P 2, δ T (t, σ) = P 2, wówczas istnieje rozkład prawdopodobieństwa P 1 taki, że dla pewnego s S istnieje δ S (s, σ) = P 1 oraz P 1 R,Σ P 2. Relacja bisymulacji dla automatów czasowych jest zdefiniowana analogicznie, należy jedynie brać pod uwagę warunki czasowe poszczególnych przejść. Niech PTA 1 = (S, Σ, C S, δ S ) i PA 2 = (T, Σ, C T, δ T ) będą dwoma czasowymi automatami probabilistycznymi. Relacja czasowej bisymulacji R S T zachodzi, jeżeli dla wszystkich ((s, v S ), (t, v T )) R i dla wszystkich symboli σ Σ zostaje zachowane: δ S (s, σ, G S (c s )) = P 1, wówczas istnieje rozkład prawdopodobieństwa P 2 taki, że dla pewnego t T istnieje δ T (t, σ, G T (c t )) = P 2, G S (c s ) G T (c t ) oraz P 1 R,Σ P 2, δ T (t, σ, G T (c t )) = P 2, wówczas istnieje rozkład prawdopodobieństwa P 1 taki, że dla pewnego s S istnieje δ S (s, σ, G S (c s )) = P 1, G T (c t ) G S (c s ) oraz P 1 R,Σ P Modelowanie protokołów We wcześniejszych pracach pokazano możliwość modelowania protokołów z wykorzystaniem tzw. łańcuchów stanów i automatów probabilistycznych [16]. Do celów weryfikacji rozważań teoretycznych zbudowano narzędzie i przeprowadzono serię eksperymentów na różnych protokołach. Model ukazywał ważność poszczególnych kluczy w zadanym na wejściu protokole i jego słabe punkty [17]. Analogicznie możemy modelować protokół dokładając do niego warunki czasowe, a zatem wykorzystać łańcuchy stanów wraz z czasowymi automatami probabilistycznymi.

7 Użycie czasowych automatów probabilistycznych do modelowania Rozważmy przykład protokołu NSPKL [13] zapisanego w Common Language: A B <i(a), N A > KB B A <N A, N B, i(b)> KA A B <N B > KB Komunikacja odbywa się między użytkownikami A i B. W pierwszym kroku użytkownik A przesyła do B swój identyfikator, wygenerowaną jednorazowo liczbę losową (ang. nonce), całość szyfrując kluczem publicznym użytkownika B. W drugim kroku użytkownik B musi odszyfrować nonce N A, następnie generuje własny nonce i wraz z własnym identyfikatorem wysyła zaszyfrowaną wiadomość do A (używając klucza publicznego A). Po tym kroku B potwierdził swoją tożsamość wobec A. A deszyfruje N B i odsyła go w postaci wiadomości zaszyfrowanej kluczem publicznym B następuje autoryzacja A. Można rozpocząć bezpieczną komunikację. Oczywiście w sieci protokoły wykonują się równocześnie między wieloma użytkownikami, stąd występują przeploty różnych kroków z różnych wykonań, sytuację tę może próbować wykorzystywać Intruz. Idea łańcuchów stanów w wielkim skrócie opiera się na sekwencjach zawierających stany odpowiadające krokom danego wykonania S i k (i-te wykonanie, k-ty krok), wiedzy potrzebnej do wykonania kroku: P w u (wiedza w posiadana przez użytkownika u) oraz G w u (wiedza w generowana przez użytkownika u), i wiedzy zdobytej po jego wykonaniu K w u (wiedza w zdobyta przez użytkownika u). Szczegóły algorytmu i modelu można znaleźć w pracy [9]. Dla protokołu NSPKL rozróżniamy stany reprezentujące kroki wykonania pierwszego: S11, S21, S31. Metoda dla tego przykładu generuje następujące łańcuchy stanów: (G NA A, S 1 1, K NA B), (P NA B, G NB B, S 1 2, K NB A), (P NB A, S 1 3). Jak widać, model wyraźnie rozróżnia, z jaką wiedzą należy podejść do wykonania kroku, by móc go wykonać, a co za tym idzie przy przeplocie kroków z różnych wykonań, jaką wiedzę musi posiąść Intruz. Biorąc pod uwagę możliwość przejęcia części utajnionej informacji, zdefiniowany i zaimplementowany został model z wykorzystaniem automatów probabilistycznych [17]. Na rysunku 3 pokazano automat probabilistyczny, którego stany są opisane przez łańcuchy stanów, zawierające wiedzę uczciwych użytkowników (pierwsza linia), wiedzę Intruza po wykonaniu danego kroku (druga linia), wiedzę niezbędną do wykonania następnego kroku (ostatnia linia). W miejsce symboli odczytywanych przez automat zostały wstawione akcje reprezentujące wykonanie danego kroku protokołu. Dla każdego ze stanów można założyć prawdopodobieństwo osiągnięcia tego punktu, a co za tym idzie wyliczyć prawdopodobieństwo dojścia do poszczególnych stanów należących do ataku (stany zaznaczone ciemniejszym wypełnieniem). Na rysunku pokazano

8 198 O. Siedlecka-Lamch jedynie pojedyncze wykonanie protokołu, narzędzie rozważa także wszystkie możliwe (realne) przeploty wykonań. Rys. 3. PA dla protokołu NSPKL Fig. 3. PA for NSPKL protocol Analogicznie należy podejść do budowania czasowego automatu probabilistycznego modelującego wykonanie lub przeploty wykonań protokołu. Jednakże najpierw należy określić warunki czasowe G(C) dla całego wykonania i poszczególnych kroków. Takie ograniczenia zostały już zdefiniowane i zaimplementowane w pracy [19]. Rozważane będą czasy generowania t g, szyfrowania t s, deszyfrowania t d i przesyłu informacji (z uwzględnionym przedziałem opóźnień w sieci Op). Dla modelu najistotniejsze będą maksymalne czasy dla danego k-tego kroku: t kmax = t k-1max + t smax + t gmax + Op max + t dmax. Dla pierwszego kroku nie ma członu czasu z poprzedniego kroku czy opóźnienia i deszyfrowania jest to krok inicjujący komunikację. Maksymalny czas sesji to suma maksymalnych czasów poszczególnych kroków. Uzupełniając poprzedni model o wyliczone ograniczenia czasowe, otrzymujemy model, który przedstawiono na rys. 4. Po takiej analizie protokołu wiedza zostaje poszerzona o możliwość sprawdzenia, czy dany krok mieści się w wymaganym czasie. O ile w poprzednim modelu nie ograniczano działań Intruza czasowo, o tyle teraz można sprawdzić (co będzie szczególnie ważne przy przeplotach wykonań), czy Intruz ze swoimi często dodatkowymi ruchami nadal mieści się w akceptowalnym czasie. Dzięki temu będzie można po wprowadzeniu protokołu do narzędzia określić jego ramy czasowe, a na wyjściu podać ewentualny atak lub elementy,

9 Użycie czasowych automatów probabilistycznych do modelowania które są wrażliwsze i nie mogą zostać przejęte i jakie wahania czasu w otrzymaniu wiadomości z kolejnych kroków powinny wzbudzić niepokój administratora. Rys. 4. PA dla protokołu NSPKL Fig. 4. PA for NSPKL protocol 4. Podsumowanie W artykule pokazano dwa modele probabilistyczne służące do weryfikacji i modelowania protokołów. Istniejące narzędzie pozwala weryfikować i opisywać protokół z wykorzystaniem automatów probabilistycznych. Jako efekt jego działania otrzymujemy informację o możliwym ataku lub wrażliwości poszczególnych fragmentów protokołu. W przyszłości zaplanowano zaimplementowanie rozważanego w dalszej części artykułu modelu czasowego automatu probabilistycznego, tak by do dotychczasowych wyników dołożyć ograniczenia czasowe. BIBLIOGRAFIA 1. Alur R., Dill D.: A Theory of Timed Automata. Theoretical Computer Science 126, 1994, s

10 200 O. Siedlecka-Lamch 2. Anderson R.J. and Needham R.M.: Programming Satan s Computer. Computer Science Today-Commemorative Issue. Lecture Notes in Computer Science, vol. 1000, Springer- Verlag, Berlin Germany 1995, s Armando A., et. al.: The AVISPA Tool for the Automated Validation of Internet Security Protocols and Applications. Proceedings of 17 th Int. Conf. on Computer Aided Veriffcation CAV 05, LNCS, vol. 3576, Springer, 2005, s Bengtsson J., Yi W.: Timed Automata: Semantics, Algorithms and Tools. In Lectures on Concurrency and Petri Nets, Lecture Notes in Computer Science, vol. 3098, Springer, 2013, s Blanchet B.: Modeling and Verifying Security Protocols with the Applied Pi Calculus and ProVerif. Foundations and Trends in Privacy and Security, 1(1-2), 2016, s Cremers C.: The Scyther Tool: Verification, Falsification, and Analysis of Security Protocols. Proceedings CAV 08, vol. 5123, 2008, s Dembinski P., Janowska A., Janowski P., Penczek W., Polrola A., Szreter M., Wozna B., Zbrzezny A.: VerICS: A Tool for Verifying Timed Automata and Estelle Specifications. Proceedings of 9 th Int. Conf. TACAS 03, LNCS, vol. 2619, Springer- Verlag, 2003, s Kurkowski, M., Penczek, W.: Verifying Security Protocols Modelled by Networks of Automata. Fundamenta Informaticae, vol. 79 (3-4), 2007, s Kurkowski M., Siedlecka-Lamch O., Dudek P.: Using Backward Induction Techniques in (Timed) Security Protocols Verification. Proceedings of 12 th Int. Conf. CISIM 2013, Lecture Notes in Computer Science, vol. 8104, Krakow Poland 2013, s Kwiatkowska M., Norman G., Parker D., Sproston J.: Performance Analysis of Probabilistic Timed Automata Using Digital Clocks. Formal Methods in System Design, vol. 29 (1), 2006, s Kwiatkowska M., Norman G., Segala R., Sproston J.: Automatic Verification of Realtime Systems with Discrete Probability Distributions. Theoretical Computer Science, vol. 282, 2002, s Kwiatkowska M., Norman G., Sproston J., Wang F.: Symbolic Model Checking for Probabilistic Timed Automata. Information and Computation, vol. 205(7), 2007, s Lowe G.: Breaking and Fixing the Needham-Schroeder Public-key Protocol Using fdr. In TACAS, LNCS, Springer, 1996, s Lowe G.: Some New Attacks Upon Security Protocols, IEEE Computer Society Press. Proceedings of the Computer Security Foundations Workshop VIII, 1996.

11 Użycie czasowych automatów probabilistycznych do modelowania Norman G., Parker D., Sproston J.: Model Checking for Probabilistic Timed Automata. Formal Methods in System Design 43(2), 2013, s Siedlecka-Lamch O., Kurkowski M., Piatkowski J.: Using Probabilistic Automata for Security Protocols Verification. Journal of Applied Mathematics and Computational Mechanics, vol. 15, issue 2, 2016, s Siedlecka-Lamch O., Kurkowski M., Piatkowski J.: Probabilistic Model Checking of Security Protocols without Perfect Cryptography Assumption. Proceedings of 23 rd International Conference on Computer Networks, Brunow, Poland, Communications in Computer and Information Science, vol. 608, Springer-Verlag, 2016, s Sokolova A., de Vink E.: Probabilistic Automata: System Types, Parallel Composition and Comparison. Validation of Stochastic Systems: A Guide to Current Research, LNCS vol. 2925, 2004, s Szymoniak S., Siedlecka-Lamch O., Kurkowski M.: Timed Analysis of Security Protocols. Proceeding of 37 th International Conference ISAT 2016, Advances in Intelligent Systems and Computing, vol. 522, Springer, Karpacz Poland 2016, s Abstract Probabilistic timed automata can be used for modeling and verification of systems whose characteristic is real-time and probabilistic. Analyzing stochastic behavior of network communication, many common points of security protocols and automata can be easily found. Modeling with automata allows to use relations and algorithms, such as bisimulation or minimization. This can lead to verification/simplification protocols. In this article definitions of probabilistic automata (Fig. 1), clocks and probabilistic timed automata (Fig. 2) were given. Relation of PA bisimulation and PTA timed bisimulation was defined. In the next section example of protocol and idea of chains of states were presented. For NSPKL protocol models of PA (Fig. 3) and PTA (Fig. 4) were illustrated. The existing tool can verify and observe protocols with use of PA in the future also PTA will be implemented. Adres Olga SIEDLECKA-LAMCH: Czestochowa University of Technology, Institute of Computer Sciences and Information Sciences, ul. Dąbrowskiego 73, Czestochowa, Poland, olga.siedlecka@icis.pcz.pl