An offline dictionary attack against zkPAKE protocol

Password Authenticated Key Exchange (PAKE) allows a user to establish a secure cryptographic key with a server, using only knowledge of a pre-shared password. One of the basic security require- ments of PAKE is to prevent o ine dictionary attacks. In this paper, we revisit zkPAKE, an augmented PAKE that has been recently proposed by Mochetti, Resende, and Aranha (SBSeg 2015). Our work shows that the zkPAKE protocol is prone to o ine password guess- ing attack, even in the presence of an adversary that has only eavesdrop- ping capabilities. Results of performance evaluation show that our attack is practical and e cient.Therefore, zkPAKE is insecure and should not be used as a password-authenticated key exchange mechanism

An Offline Dictionary Attack Against zkPAKE Protocol

Password Authenticated Key Exchange (PAKE) allows a user to establish a strong cryptographic key with a server, using only knowledge of a pre-shared password. One of the basic security requirements of PAKE is to prevent o ine dictionary attacks. In this paper, we revisit zkPAKE, an augmented PAKE that has been recently proposed by Mochetti, Resende, and Aranha (SBSeg 2015). Our work shows that the zkPAKE protocol is prone to o ine password guessing attack, even in the presence of an adversary that has only eavesdropping capabilities. Therefore, zkPAKE is insecure and should not be used as a password-authenticated key exchange mechanis

Attacks and Security Proofs of Password Authenticated Key-Exchange Protocols

The vast majority of communication on the Internet and private networks heavily relies on Public-key infrastructure (PKI). One possible solution, to avoid complexities around PKI, is to use Password Authenticated Key-Exchange (PAKE) protocols. PAKE protocols enable a secure communication link between the two parties who only share a low-entropy secret (password). PAKEs were introduced in the 1990s, and with the introduction of the first security models and security proofs in the early 2000s, it was clear that PAKEs have a potential for wide deployment - filling the gap where PKI falls short. PAKEs' PKI-free nature, resistance to phishing attacks and forward secrecy are just some of the properties that make them interesting and important to study. This dissertation includes three works on various aspects of PAKEs: an attack on an existing PAKE proposal, an application of PAKEs in login (for password leak detection) and authentication protocols (HoneyPAKEs), and a security analysis of the J-PAKE protocol, that is used in practice, and its variants. In our first work, we provide an empirical analysis of the zkPAKE protocol proposed in 2015. Our findings show that zkPAKE is not safe against offline dictionary attacks, which is one of the basic security requirements of the PAKE protocols. Further, we demonstrate an implementation of an efficient offline dictionary attack, which emphasizes that, it is necessary to provide a rigorous security proof when proposing a new protocol. In our second contribution, we propose a combined security mechanism called HoneyPAKE. The HoneyPAKE construction aims to detect the loss of password files and ensures that PAKE intrinsically protects that password. This makes the PAKE part of the HoneyPAKE more resilient to server-compromise and pre-computation attacks which are a serious security threat in a client-server communication. Our third contribution facilitates the wider adoption of PAKEs. In this work, we revisit J-PAKE and simplify it by removing a non-interactive zero knowledge proof from the last round of the protocol and derive a lighter and more efficient version called sJ-PAKE. Furthermore, we prove sJ-PAKE secure in the indistinguishability game-based model, the so-called Real-or-Random, also satisfying the notion of perfect forward secrecy

Attacks and security proofs of authenticated key-exchange protocols

La grande majorité des communications sur internet et sur les réseaux privés repose fortement sur des infrastructures à clé publique (PKI). Une solution possible, pour réduire la complexité induite par les PKIs, consiste à utiliser des protocoles d'échange de clés authentifiés par des mots de passe (PAKE). Les protocoles PAKE permettent une communication sécurisée entre deux parties qui ne partagent qu'un secret de faible entropie (mot de passe). Les PAKEs furent introduits dans les années 1990. Les premiers modèles et preuves de sécurité ont suivi au début des années 2000. Ainsi, il devint clair que les PAKEs ont un potentiel de déploiement à grande échelle - comblant le vide, là où l'infrastructure à clé publique est insuffisante. Le fait que les PAKEs permettent de se passer d'un PKI, leur résistance aux attaques d'hameçonnage et la confidentialité qu'ils offrent ne sont que quelques-unes des propriétés rendant les PAKEs intéressants à étudier. Cette thèse comporte trois nouveaux résultats concernant divers aspects des PAKEs : une attaque sur une proposition PAKE existante, une application de PAKEs permettant la détection de fuites de mots de passe (HoneyPAKEs), et une analyse de sécurité du protocole J-PAKE qui est utilisé dans la pratique. Cette dernière analyse s'appliquant également aux variantes de J-PAKE. Dans notre premier travail, nous proposons une analyse empirique du protocole zkPAKE proposé en 2015. Nos résultats démontrent que zkPAKE n'est pas sûr contre les attaques par dictionnaire hors ligne, qui est l'une des exigences de sécurité de base des protocoles PAKE. De plus, nous exhibons une implémentation d'une attaque par dictionnaire hors ligne efficace qui souligne que lors de la proposition d'un nouveau protocole, qu'il est nécessaire de fournir une preuve de sécurité rigoureuse. Notre seconde propose un mécanisme de sécurité combiné appelé HoneyPAKE. La construction HoneyPAKE vise à détecter la perte de fichiers de mots de passe et garantit que le PAKE utilisé protège intrinsèquement les mots de passe. Cela rend la partie PAKE du HoneyPAKE plus résistante aux compromissions de serveurs et aux attaques par les communications client-serveur. Notre troisième contribution facilite l'adoption plus large des PAKE. Dans ce travail, nous revisitons J-PAKE, en le simplifiant. Cette simplification s'effectue en supprimant une preuve à divulgation nulle non interactive du dernier tour du protocole, résultant ainsi en une version plus légère appelée sJ-PAKE. De plus, nous prouvons que sJ-PAKE est sûr dans le modèle basé sur le jeu de l'indiscernabilité dit réel-ou-aléatoire (real-or-random), satisfaisant ainsi également la notion de secret avançant (forward secrecy).The vast majority of communication on the Internet and private networks heavily relies on Public-key infrastructure (PKI). One possible solution, to avoid complexities around PKI, is to use Password Authenticated Key-Exchange (PAKE) protocols. PAKE protocols enable a secure communication link between the two parties who only share a low-entropy secret (password). PAKEs were introduced in the 1990s, and with the introduction of the first security models and security proofs in the early 2000s, it was clear that PAKEs have a potential for wide deployment - filling the gap where PKI falls short. PAKEs’ PKI-free nature, resistance to phishing attacks and forward secrecy are just some of the properties that make them interesting and important to study. This dissertation includes three works on various aspects of PAKEs: an attack on an existing PAKE proposal, an application of PAKEs in login (for password leak detection) and authentication protocols (HoneyPAKEs), and a security analysis of the J-PAKE protocol, that is used in practice, and its variants. In our first work, we provide an empirical analysis of the zkPAKE protocol proposed in 2015. Our findings show that zkPAKE is not safe against offline dictionary attacks, which is one of the basic security requirements of the PAKE protocols. Further, we demonstrate an implementation of an efficient offline dictionary attack, which emphasizes that, it is necessary to provide a rigorous security proof when proposing a new protocol. In our second contribution, we propose a combined security mechanism called HoneyPAKE. The HoneyPAKE construction aims to detect the loss of password files and ensures that PAKE intrinsically protects that password. This makes the PAKE part of the HoneyPAKE more resilient to server-compromise and pre-computation attacks which are a serious security threat in a client-server communication. Our third contribution facilitates the wider adoption of PAKEs. In this work, we revisit J-PAKE and simplify it by removing a non-interactive zero knowledge proof from the last round of the protocol and derive a lighter and more efficient version called sJ-PAKE. Furthermore, we prove sJ-PAKE secure in the indistinguishability game-based model, the so-called Real-or-Random, also satisfying the notion of perfect forward secrecy

Attaques et preuves de sécurité des protocoles d'échange de clés authentifiés

The vast majority of communication on the Internet and private networks heavily relies on Public-key infrastructure (PKI). One possible solution, to avoid complexities around PKI, is to use Password Authenticated Key-Exchange (PAKE) protocols. PAKE protocols enable a secure communication link between the two parties who only share a low-entropy secret (password). PAKEs were introduced in the 1990s, and with the introduction of the first security models and security proofs in the early 2000s, it was clear that PAKEs have a potential for wide deployment - filling the gap where PKI falls short. PAKEs’ PKI-free nature, resistance to phishing attacks and forward secrecy are just some of the properties that make them interesting and important to study. This dissertation includes three works on various aspects of PAKEs: an attack on an existing PAKE proposal, an application of PAKEs in login (for password leak detection) and authentication protocols (HoneyPAKEs), and a security analysis of the J-PAKE protocol, that is used in practice, and its variants. In our first work, we provide an empirical analysis of the zkPAKE protocol proposed in 2015. Our findings show that zkPAKE is not safe against offline dictionary attacks, which is one of the basic security requirements of the PAKE protocols. Further, we demonstrate an implementation of an efficient offline dictionary attack, which emphasizes that, it is necessary to provide a rigorous security proof when proposing a new protocol. In our second contribution, we propose a combined security mechanism called HoneyPAKE. The HoneyPAKE construction aims to detect the loss of password files and ensures that PAKE intrinsically protects that password. This makes the PAKE part of the HoneyPAKE more resilient to server-compromise and pre-computation attacks which are a serious security threat in a client-server communication. Our third contribution facilitates the wider adoption of PAKEs. In this work, we revisit J-PAKE and simplify it by removing a non-interactive zero knowledge proof from the last round of the protocol and derive a lighter and more efficient version called sJ-PAKE. Furthermore, we prove sJ-PAKE secure in the indistinguishability game-based model, the so-called Real-or-Random, also satisfying the notion of perfect forward secrecy.La grande majorité des communications sur internet et sur les réseaux privés repose fortement sur des infrastructures à clé publique (PKI). Une solution possible, pour réduire la complexité induite par les PKIs, consiste à utiliser des protocoles d'échange de clés authentifiés par des mots de passe (PAKE). Les protocoles PAKE permettent une communication sécurisée entre deux parties qui ne partagent qu'un secret de faible entropie (mot de passe). Les PAKEs furent introduits dans les années 1990. Les premiers modèles et preuves de sécurité ont suivi au début des années 2000. Ainsi, il devint clair que les PAKEs ont un potentiel de déploiement à grande échelle - comblant le vide, là où l'infrastructure à clé publique est insuffisante. Le fait que les PAKEs permettent de se passer d'un PKI, leur résistance aux attaques d'hameçonnage et la confidentialité qu'ils offrent ne sont que quelques-unes des propriétés rendant les PAKEs intéressants à étudier. Cette thèse comporte trois nouveaux résultats concernant divers aspects des PAKEs : une attaque sur une proposition PAKE existante, une application de PAKEs permettant la détection de fuites de mots de passe (HoneyPAKEs), et une analyse de sécurité du protocole J-PAKE qui est utilisé dans la pratique. Cette dernière analyse s'appliquant également aux variantes de J-PAKE. Dans notre premier travail, nous proposons une analyse empirique du protocole zkPAKE proposé en 2015. Nos résultats démontrent que zkPAKE n'est pas sûr contre les attaques par dictionnaire hors ligne, qui est l'une des exigences de sécurité de base des protocoles PAKE. De plus, nous exhibons une implémentation d'une attaque par dictionnaire hors ligne efficace qui souligne que lors de la proposition d'un nouveau protocole, qu'il est nécessaire de fournir une preuve de sécurité rigoureuse. Notre seconde propose un mécanisme de sécurité combiné appelé HoneyPAKE. La construction HoneyPAKE vise à détecter la perte de fichiers de mots de passe et garantit que le PAKE utilisé protège intrinsèquement les mots de passe. Cela rend la partie PAKE du HoneyPAKE plus résistante aux compromissions de serveurs et aux attaques par les communications client-serveur. Notre troisième contribution facilite l'adoption plus large des PAKE. Dans ce travail, nous revisitons J-PAKE, en le simplifiant. Cette simplification s'effectue en supprimant une preuve à divulgation nulle non interactive du dernier tour du protocole, résultant ainsi en une version plus légère appelée sJ-PAKE. De plus, nous prouvons que sJ-PAKE est sûr dans le modèle basé sur le jeu de l'indiscernabilité dit réel-ou-aléatoire (real-or-random), satisfaisant ainsi également la notion de secret avançant (forward secrecy)