Sélectionner la langue

Vers la vérification formelle des algorithmes de génération de mots de passe dans les gestionnaires de mots de passe

Un article de recherche proposant une implémentation de référence formellement vérifiée pour les générateurs de mots de passe aléatoires dans les gestionnaires de mots de passe, utilisant EasyCrypt pour les preuves de correction fonctionnelle et de sécurité.
computationalcoin.com | PDF Size: 0.1 MB
Note: 4.5/5
Votre note
Vous avez déjà noté ce document
Couverture du document PDF - Vers la vérification formelle des algorithmes de génération de mots de passe dans les gestionnaires de mots de passe
Voir le document PDF Télécharger PDF Traduire PDF
Accueil » Documentation » Vers la vérification formelle des algorithmes de génération de mots de passe dans les gestionnaires de mots de passe

1. Introduction

Les gestionnaires de mots de passe (GdMP) sont des outils essentiels recommandés par les experts en sécurité pour atténuer les vulnérabilités associées à l'authentification par mot de passe, telles que les mots de passe faibles et la réutilisation de mots de passe. Ils permettent l'utilisation de mots de passe forts et uniques en gérant le stockage et la génération. Cependant, leur adoption par les utilisateurs est entravée par un manque de confiance dans ces applications. Cet article identifie la fonctionnalité de génération aléatoire de mots de passe (GAMP) comme un facteur clé influençant à la fois la confiance et l'utilisation. Pour y remédier, les auteurs proposent le développement et la vérification formelle d'une implémentation de référence pour un algorithme de GAMP, visant à fournir une base cryptographiquement saine et prouvée sécurisée en laquelle les utilisateurs et les développeurs peuvent avoir confiance.

Le problème central est que si les GdMP promeuvent la sécurité, leurs mécanismes internes—en particulier la génération de mots de passe—sont souvent des boîtes noires opaques. Sans garanties vérifiables, les utilisateurs restent sceptiques. La voie de solution implique l'utilisation de méthodes formelles, spécifiquement le cadre EasyCrypt, pour spécifier mathématiquement l'algorithme et prouver ses propriétés de correction et de sécurité contre un modèle d'adversaire bien défini.

2. Algorithmes actuels de génération de mots de passe

L'article examine 15 gestionnaires de mots de passe, en se concentrant sur trois exemples open source largement utilisés : le gestionnaire intégré de Google Chrome, Bitwarden et KeePass. L'analyse révèle des modèles communs et des différences critiques dans leurs approches de génération de mots de passe aléatoires.

2.1 Politiques de composition des mots de passe

Tous les GdMP étudiés permettent aux utilisateurs de définir des politiques contraignant la structure des mots de passe générés. Ces politiques incluent typiquement :

  • Longueur du mot de passe : De 1 à 200 (Chrome) à un extrême de 1 à 30000 (KeePass).
  • Jeux de caractères : Les jeux standards incluent les lettres minuscules, majuscules, chiffres et caractères spéciaux. KeePass offre une granularité supplémentaire avec des jeux séparés pour les crochets, l'espace, le tiret et le souligné.
  • Minimum/Maximum par jeu : Chrome et Bitwarden permettent de définir un nombre minimum d'occurrences par jeu de caractères. KeePass ne le permet pas.
  • Exclusion des caractères ambigus : Les trois permettent d'exclure les caractères visuellement similaires (par ex., 'l', '1', 'O', '0') pour réduire les erreurs utilisateur.
  • Jeux personnalisés et doublons : KeePass permet uniquement de définir des jeux de caractères personnalisés à inclure ou exclure, et peut supprimer les caractères en double du mot de passe généré.

La variation dans les options de politique souligne un manque de standardisation, ce qui complique la création d'un modèle universel et vérifiable.

2.2 Génération aléatoire de mots de passe

L'algorithme général consiste à sélectionner aléatoirement des caractères parmi les jeux autorisés tout en respectant les contraintes de la politique (longueur, minimums, maximums). L'article décrit en détail l'algorithme de Chrome :

  1. Premièrement, générer des caractères pour chaque jeu ayant un nombre minimum d'occurrences défini.
  2. Ensuite, générer les caractères restants en sélectionnant aléatoirement dans l'union de tous les jeux qui n'ont pas encore atteint leur nombre maximum d'occurrences autorisé.
  3. Enfin, appliquer une permutation aléatoire à la chaîne de caractères générés.

Ce processus, bien qu'apparemment simple, doit être implémenté avec soin pour garantir un véritable caractère aléatoire et une distribution non biaisée sur l'ensemble de l'espace des mots de passe contraint par la politique. Des biais subtils dans la sélection ou la permutation peuvent affaiblir les mots de passe résultants.

3. Implémentation formellement vérifiée proposée

La contribution centrale de l'article est la proposition de construire une implémentation de référence de GAMP avec des preuves vérifiées par machine de ses propriétés.

3.1 Spécification formelle

La première étape est de créer une spécification mathématique précise de l'algorithme de génération de mots de passe dans EasyCrypt. Cette spécification définit :

  • Entrées : Paramètres de la politique (longueur $L$, jeux de caractères $S_1, S_2, ..., S_n$, minimums $min_i$, maximums $max_i$).
  • Sortie : Une chaîne de mot de passe $p$ de longueur $L$.
  • Préconditions : La politique doit être cohérente (par ex., $\sum min_i \leq L$).
  • Postconditions (Correction fonctionnelle) : La sortie $p$ doit satisfaire toutes les contraintes de la politique. Formellement, $\forall i, min_i \leq count(p, S_i) \leq max_i$, où $count$ compte les caractères du jeu $S_i$ dans $p$.

3.2 Propriétés de sécurité et preuves

Au-delà de la correction, l'implémentation doit être prouvée sécurisée. L'article adopte une approche de preuve cryptographique basée sur des jeux. La propriété de sécurité clé est l'échantillonnage aléatoire uniforme à partir de l'ensemble de tous les mots de passe satisfaisant la politique donnée.

Cela est formalisé comme un jeu de sécurité où un adversaire essaie de distinguer entre un mot de passe généré par l'algorithme réel et un mot de passe échantillonné uniformément dans l'espace des mots de passe valides. La preuve démontre qu'aucun adversaire efficace ne peut gagner ce jeu avec une probabilité significativement meilleure qu'une supposition aléatoire (1/2). Cela garantit que l'algorithme n'introduit pas de motifs prévisibles ou de biais.

La preuve s'appuierait sur les bibliothèques d'EasyCrypt pour raisonner sur les calculs probabilistes et l'échantillonnage aléatoire.

4. Résultats expérimentaux et analyse

Bien que le PDF fourni soit un travail préliminaire et ne contienne pas de résultats expérimentaux complets, il en pose les bases. La vérification proposée produirait les résultats tangibles suivants :

  • Rapport de vérification : Un certificat de preuve généré par machine par EasyCrypt, confirmant que le code de l'algorithme adhère à sa spécification formelle et à ses théorèmes de sécurité.
  • Analyse comparative : L'algorithme vérifié pourrait être comparé aux implémentations existantes dans Chrome, Bitwarden et KeePass. Les tests impliqueraient de générer de grands lots de mots de passe (par ex., 1 million) sous des politiques identiques et d'analyser statistiquement la distribution.
  • Métrique : Une métrique clé serait la Divergence de Kullback-Leibler (KL) ou le test du Chi-deux entre la distribution empirique des mots de passe générés et la distribution uniforme théorique sur l'espace défini par la politique. Un algorithme formellement vérifié devrait montrer une divergence statistiquement indiscernable de zéro, tandis que des implémentations non vérifiées pourraient révéler des biais subtils.
  • Description du graphique : Un diagramme à barres comparant l'entropie (en bits) de la distribution des mots de passe générés pour l'algorithme de chaque GdMP par rapport à l'entropie maximale théorique pour la politique donnée. La barre de l'implémentation de référence vérifiée devrait s'aligner parfaitement avec la barre "Maximum théorique".

5. Détails techniques et cadre mathématique

La vérification formelle repose sur une modélisation mathématique précise. Définissons les concepts centraux :

Espace des mots de passe : Étant donné une politique de longueur $L$ et de jeux de caractères autorisés $S_1, ..., S_n$, l'ensemble total des mots de passe conformes $\mathcal{P}$ est un sous-ensemble du produit cartésien $\mathcal{C}^L$, où $\mathcal{C} = \bigcup_{i=1}^n S_i$. La taille de $\mathcal{P}$ est contrainte par les règles de minimum et de maximum.

Distribution uniforme : L'objectif de sécurité est que l'algorithme $\mathcal{A}$ implémente une fonction indiscernable d'un véritable échantillonneur uniforme $\mathcal{U}_{\mathcal{P}}$. Pour tout mot de passe $p \in \mathcal{P}$, la probabilité devrait être : $$\Pr[\mathcal{A}(policy) = p] = \frac{1}{|\mathcal{P}|}$$ où $|\mathcal{P}|$ est la cardinalité de l'ensemble des mots de passe valides.

Ébauche de preuve basée sur un jeu : La sécurité est formulée comme un jeu "Réel ou Aléatoire" (RoR).

  1. Le challenger tire à pile ou face une pièce secrète $b \xleftarrow{\$} \{0,1\}$.
  2. L'adversaire $\mathcal{D}$ peut interroger le challenger avec des politiques de mots de passe.
  3. Si $b=0$ (Réel), le challenger exécute l'algorithme réel $\mathcal{A}$.
  4. Si $b=1$ (Aléatoire), le challenger échantillonne uniformément dans $\mathcal{P}$ en utilisant $\mathcal{U}_{\mathcal{P}}$.
  5. $\mathcal{D}$ produit une supposition $b'$.
L'avantage de l'adversaire est défini comme : $$\mathbf{Adv}^{ror}_{\mathcal{A},\mathcal{D}}(\lambda) = \left| \Pr[b' = b] - \frac{1}{2} \right|$$ La preuve démontre que pour tous les adversaires $\mathcal{D}$ probabilistes en temps polynomial, cet avantage est négligeable dans le paramètre de sécurité $\lambda$ (lié à la source d'aléa).

6. Cadre d'analyse : un exemple sans code

Puisque le PDF n'inclut pas de code réel, voici un cadre d'analyse conceptuel pour évaluer un algorithme de GAMP, présenté sous forme de liste de contrôle :

Cas : Évaluation du générateur de mots de passe de "PM-X".

Étape 1 - Déconstruction de la politique : Mapper les options de l'interface utilisateur de PM-X (cases à cocher, curseurs) vers un tuple de politique formelle : (L=12, Sets={Minuscules, Majuscules, Chiffres}, min_Minuscules=1, min_Majuscules=1, min_Chiffres=1, exclude={'l','O','0'}).

Étape 2 - Transparence algorithmique : Les étapes de l'algorithme (comme le processus en 3 étapes de Chrome) peuvent-elles être clairement décrites à partir de la documentation ou du code source ? Sinon, il échoue au test de transparence.

Étape 3 - Calcul de l'entropie : Calculer l'entropie maximale théorique pour la politique : $log_2(|\mathcal{P}|)$ bits. Pour la politique ci-dessus, $|\mathcal{P}|$ est le nombre de chaînes de 12 caractères d'un alphabet (par ex., 70 caractères après exclusions) satisfaisant les contraintes minimales. C'est la référence de sécurité.

Étape 4 - Conception du test statistique : Concevoir une expérience pour générer $N$ mots de passe et tester la distribution uniforme. Utiliser le test du Chi-deux sur l'ensemble de l'espace des mots de passe ou un sous-ensemble astucieusement échantillonné.

Étape 5 - Détection des biais : Rechercher des biais spécifiques : certaines positions de caractères sont-elles moins aléatoires ? L'algorithme pour satisfaire les minimums réduit-il l'aléa pour les emplacements restants ?

Ce cadre fournit une méthodologie structurée, sans code, pour examiner de manière critique tout GAMP, s'alignant sur l'objectif de l'article de passer de l'obscurité à une analyse vérifiable.

7. Applications futures et axes de recherche

Ce travail ouvre plusieurs voies prometteuses :

  • Standardisation : Un GAMP formellement vérifié pourrait devenir un composant standard (comme une bibliothèque) intégré dans les GdMP à travers l'industrie, similaire à la façon dont libsodium fournit des primitives cryptographiques vérifiées.
  • Intégration aux navigateurs et OS : Les systèmes d'exploitation (par ex., Windows Hello, macOS Keychain) et les navigateurs pourraient adopter le générateur vérifié pour leurs fonctionnalités intégrées de suggestion de mots de passe, élevant le niveau de sécurité de base pour tous les utilisateurs.
  • Génération assistée par matériel : L'algorithme vérifié pourrait être implémenté dans des éléments matériels sécurisés (TPM, Secure Enclave) pour une génération à la fois physiquement et logiquement sécurisée.
  • Considérations post-quantiques : Des recherches futures pourraient explorer des politiques de génération de mots de passe produisant des mots de passe résistants aux attaques par force brute classiques et quantiques, avec des preuves formelles s'adaptant aux nouveaux modèles de menace.
  • Vérification du compromis utilisabilité-sécurité : Étendre le modèle formel pour prouver des propriétés concernant la mémorabilité ou la facilité de saisie des mots de passe générés, comblant l'écart entre la cryptographie pure et l'interaction homme-machine.
  • Analyse automatisée des politiques : Développer des outils utilisant le modèle formel pour analyser automatiquement une politique définie par l'utilisateur et rapporter son entropie effective et toute contrainte non intentionnelle affaiblissant l'espace des mots de passe.

8. Références

  1. Grilo, M., Ferreira, J. F., & Almeida, J. B. (2021). Towards Formal Verification of Password Generation Algorithms used in Password Managers. arXiv preprint arXiv:2106.03626.
  2. Bellare, M., & Rogaway, P. (2006). The security of triple encryption and a framework for code-based game-playing proofs. In Advances in Cryptology-EUROCRYPT 2006 (pp. 409-426). Springer.
  3. Barthe, G., Dupressoir, F., Grégoire, B., Kunz, C., Schmidt, B., & Strub, P. Y. (2016). EasyCrypt: A computer-aided cryptography toolset. Lecture Notes in Computer Science, 9573, 3-32.
  4. National Institute of Standards and Technology (NIST). (2020). Digital Identity Guidelines: Authentication and Lifecycle Management (SP 800-63B).
  5. Shannon, C. E. (1948). A mathematical theory of communication. The Bell System Technical Journal, 27(3), 379-423. (Travail fondateur sur l'entropie et la théorie de l'information).
  6. Florêncio, D., Herley, C., & Van Oorschot, P. C. (2014). An administrator's guide to internet password research. In 28th Large Installation System Administration Conference (LISA14) (pp. 44-61).

9. Perspective de l'analyste : idée centrale et critique

Idée centrale

Cet article identifie correctement une vulnérabilité critique, mais souvent négligée, dans la chaîne d'approvisionnement en cybersécurité : l'aléa non vérifié au cœur des gestionnaires de mots de passe. La véritable idée n'est pas que la génération de mots de passe est complexe—c'est que le modèle de confiance pour un outil de sécurité fondamental est rompu. On demande aux utilisateurs de faire confiance à une boîte noire avec leurs clés numériques. La proposition des auteurs d'appliquer la vérification formelle, une technique plus courante dans la conception matérielle et les logiciels critiques d'aviation (comme les systèmes certifiés DO-178C), à une primitive de sécurité grand public est à la fois ambitieuse et nécessaire. C'est une tentative de transplanter la rigueur du laboratoire de recherche de SRI International ou de l'INRIA dans le monde souvent négligé de la sécurité applicative.

Flux logique

L'argumentation suit un flux logique partant d'un problème bien établi (la méfiance des utilisateurs envers les GdMP) vers une cause racine technique spécifique (la génération opaque de mots de passe), puis vers une voie de solution concrète et à haute assurance (spécification formelle et preuve). L'enquête sur les GdMP existants n'est pas seulement académique ; elle démontre efficacement l'incohérence sauvage des implémentations, étayant le besoin d'une référence standard et vérifiée. Le pivot vers EasyCrypt et les preuves basées sur des jeux est approprié, car ce cadre, développé par des institutions de premier plan en cryptographie formelle, est précisément conçu pour cette classe de problèmes. Le flux reflète la méthodologie des travaux fondateurs en cryptographie vérifiée, comme la vérification du générateur HMAC-DRBG.

Points forts et faiblesses

Points forts : Le plus grand atout de l'article est sa focalisation sur un problème à fort impact et traitable. Il n'essaie pas de vérifier un GdMP entier ; il vise le cœur cryptographique. L'utilisation de GdMP open source pour l'analyse ancre la recherche dans la réalité. Le choix des preuves basées sur des jeux est la norme de l'industrie pour l'analyse crypto moderne.

Faiblesses critiques et lacunes : L'article, tel que présenté, est plus une proposition convaincante qu'une étude achevée. L'omission la plus flagrante est le code EasyCrypt réel et les preuves complétées. Sans ceux-ci, l'affirmation reste théorique. De plus, il minimise le problème de complexité des politiques. La spécification formelle doit gérer chaque cas limite des politiques définies par l'utilisateur (par ex., min/max conflictuels, jeux de caractères personnalisés). Cela pourrait conduire à une spécification aussi complexe que l'implémentation, un défi connu des méthodes formelles. Il évite également la source d'entropie réelle—l'algorithme n'est aussi bon que le CSPRNG du système (par ex., /dev/urandom). Un algorithme vérifié alimenté par un aléa faible reste faible. L'article serait plus fort en bornant explicitement ses garanties sur l'hypothèse d'une source d'entropie parfaite.

Perspectives actionnables

1. Pour les développeurs de GdMP : Ouvrez immédiatement le code de génération de mots de passe et soumettez-le à un audit tiers. Commencez à modéliser votre algorithme, même informellement, pour identifier les biais potentiels. Envisagez d'intégrer une bibliothèque vérifiée comme celle que cette recherche vise à produire.

2. Pour les auditeurs de sécurité : Ajoutez "Analyse de l'algorithme de GAMP" à votre liste de contrôle d'audit standard des GdMP. Utilisez le cadre statistique décrit dans la Section 6 pour tester les biais de distribution dans les sorties client.

3. Pour les organismes de normalisation (par ex., NIST, FIDO Alliance) : Initiez un groupe de travail pour définir une API standard et un ensemble d'exigences de sécurité pour les générateurs de mots de passe, ouvrant la voie à des implémentations certifiées. Cela reflète la standardisation réussie des algorithmes cryptographiques.

4. Pour les chercheurs : Ce travail est un point de départ parfait. L'étape suivante est de compléter l'implémentation et les preuves dans EasyCrypt. Une phase cruciale ultérieure est de développer un harnais de test qui peut prendre le code vérifié et le fuzzer contre le code réel de Chrome, Bitwarden, etc., pour trouver des divergences et des vulnérabilités concrètes, passant de la théorie à l'impact pratique.

En conclusion, cet article éclaire un coin sombre nécessaire de notre infrastructure de sécurité. Bien qu'incomplet, sa direction est correcte. L'industrie des gestionnaires de mots de passe a mûri au-delà de la phase "faites-nous simplement confiance" ; il est temps pour une confiance vérifiable et mathématique. Le succès de cette recherche pourrait établir un nouveau précédent sur la façon dont nous construisons tous les logiciels de sécurité côté client.