Synthesis of opaque systems with static and dynamic masks

International audienceOpacity is a security property formalizing the absence of secret information leakage and we address in this paper the problem of synthesizing opaque systems. A secret predicate S over the runs of a system G is opaque to an external user having partial observability over G, if s/he can never infer from the observation of a run of G that the run belongs to S. We choose to control the observability of events by adding a device, called a mask, between the system G and the users. We first investigate the case of static partial observability where the set of events the user can observe is fixed a priori by a static mask. In this context, we show that checking whether a system is opaque is PSPACE-complete, which implies that computing an optimal static mask ensuring opacity is also a PSPACE-complete problem. Next, we introduce dynamic partial observability where the set of events the user can observe changes over time and is chosen by a dynamic mask.We show how to check that a system is opaque w.r.t. to a dynamic mask and also address the corresponding synthesis problem: given a system G and secret states S, compute the set of dynamic masks under which S is opaque. Our main result is that the set of such masks can be finitely represented and can be computed in EXPTIME and this is a lower bound. Finally we also address the problem of computing an optimal mask

Supervisory Control for Modal Specifications of Services

International audienceIn the service oriented architecture framework, a modal specification, as defined by Larsen in \cite{Lar89}, formalises how a service should interact with its environment. More precisely, a modal specification determines the events that the server may or must allow at each stage in an interactive session. Therefore, techniques to enforce a modal specification on a system would be useful for practical applications. In this paper, we investigate the adaptation of the supervisory control theory of Ramadge and Wonham to enforce a modal specification (with final states marking the ends of the sessions) on a system modelled by a finite LTS. We prove that there exists at most one most permissive solution to this control problem. We also prove that this solution is regular and we present an algorithm for the effective computation of the corresponding controlle

Monitoring Information flow by Diagnosis Techniques

In this paper, we are interested in constructing monitors for the detection of confidential information flow in the context of partially observable discrete event systems. We focus on the case where the secret information is given as a regular language. We first characterize the set of observations allowing an attacker to infer the secret behaviors. We consider the general case where the attacker and the administrator have different partial views of the system. Further, based on the diagnosis of discrete event systems, we provide necessary and sufficient conditions under which detection and prediction of secret information flow can be ensured and a construction of a monitor ensuring this task

Construction de moniteurs pour la surveillance de propriétés de sécurité

National audienceNous nous intéressons à la construction de moniteurs permettant de détecter la fuite d'information confidentielle pour des systèmes partiellement observables, modélisés par des systèmes de transition finis. Nous considérons le cas où le secret peut se modéliser par des langages réguliers. Nous commençons par définir la notion d'opacité pour formaliser la fuite d'information. Nous caractérisons l'ensemble des observations pour lesquelles un attaquant infère de l'information confidentielle. En adaptant les techniques de diagnostic sur des systèmes à événement discrets, nous explicitons des conditions nécessaires et suffisantes sur le système pour permettre la détection et/ou la prédiction de cette fuite d'information et construisons un moniteur permettant un administrateur d'assurer cette détection. Nous considérons le cas général où l'attaquant et l'administrateur ont des vues partielles différentes du système

Génération automatique de tests pour des propriétés de sécurité

National audienceDans cet article, nous nous intéressons à l'utilisation conjointe de techniques de génération automatique de tests et de synthèse de contrôleurs pour tester des propriétés de sécurité. Nous suivons une approche orientée modèle, c'est-à-dire que nous supposons disposer d'une spécification du comportement du système. Sur celle-ci nous étudions la satisfaction de certaines classes de propriétés de confidentialité et d'intégrité. Nous proposons une méthode qui consiste à calculer automatiquement un modèle du contrôle d'accès idéal assurant ces deux types de propriétés de sécurité. Nous montrons ensuite comment en dériver des cas de tests qui, exécutés sur l'implémentation, permettent de détecter la non-conformité de l'implémentation et sous certaines hypothèses, la violation des propriétés de sécurité, et une éventuelle mauvaise implémentation du contrôle d'accès mis en place

Vérification et Synthèse de Contrôleur pour des Propriétés de Confidentialité

In this thesis, we investigate the problems of verifying and enforcing confidentiality on critical systems. As a confidentiality property, we consider the notion of opacity which is a very general notion modeling the absence of information flow towards inquisitive attackers. Then, we study the application to opacity properties of formal methods developed in the context of discrete event systems. In the first part, we present how some classical abstract interpretation techniques can be applied to the computation of monitors to detect confidentiality vulnerabilities. We also present how the diagnosis theory can be adapted to detect opacity violations at runtime. In the second part, we develop some new techniques to enforce the opacity properties on a critical system. We study the supervisory control theory to restrict the behavior of a system in order to avoid information leakage. We show that this problem is in general out of the scope of the classical Ramadge & Wonham synthesis techniques. Therefore, we develop new algorithms to compute a most permissive controller enforcing the opacity property on a given system. Such techniques can be applied to the design of secure systems on a component based architecture. Finally, we consider an other approach to enforce opacity which is based on modifying at runtime the observability of the events. We show that this problem can be reduced to the computation of the set of winning strategies on a safety 2-player game. A possible application of such techniques is to generate dynamic firewalls to preserve confidential information.Les systèmes fonctionnant sur un réseau ouvert tels que les bases de données médicales ou les systèmes bancaires peuvent manipuler des informations dont la confidentialité doit être impérativement préservée. Dans ce contexte, la notion d'opacité formalise la capacité d'un système à garder secrètes certaines informations critiques. Dans cette thèse, nous nous intéressons à la fois à vérifier que la propriété d'opacité est satisfaite et à la synthèse de systèmes opaques. Vérifier l'opacité est un problème décidable pour des systèmes de transition finis. Pour les systèmes infinis, nous étudions l'application de techniques d'interprétation abstraite à la détection de vulnérabilité. Nous présentons aussi une méthode alternative qui s'appuie sur des abstractions régulières et sur des techniques de diagnostique pour détecter de telles vulnérabilité à l'exécution du système. Pour la synthèse de système opaque, nous appliquons dans un premier temps la théorie du contrôle à la Ramadge et Wonham pour calculer un contrôleur assurant l'opacité. Nous montrons que les techniques habituelles de synthèse de contrôleur ne peuvent être appliqué pour ce problème d'opacité et nous développons alors de nouveaux algorithmes pour calculer l'unique système opaque qui soit maximal au sens de l'inclusion des langages. Ces résultats sont à rapprocher des techniques de construction de système sécurisé par assemblage de composant. Finalement, nous présentons une autre approche pour la synthèse de système opaque qui consiste à synthétiser un filtre qui décide, dynamiquement, de masquer des événements observable afin d'éviter que de l'information secrète ne soit révélée. Ceci permet d'étudier dans un cadre formel la synthèse automatique de pare-feu assurant la confidentialité de certaines informations critiques

Opacity and Abstraction

International audienceThe opacity property characterizes the absence of confidential information flow towards inquisitive attackers. Verifying opacity is well established for finite automata but is known to be not decidable for more expressive models like Turing machines or Petri nets. As a consequence, for a system dealing with confidential information, certifying its confidentiality may be impossible, but attackers can infer confidential information by approximating systems' behaviours. Taking such attackers into account, we investigate the verification of opacity using abstraction techniques to compute executable counterexamples (attack scenarios). Considering a system and a predicate over its executions, attackers are modeled as semi-conservative decision process determining from observed traces the truth of that predicate. Moreover, we will show that the most precise the abstraction is, the most accurate (and then dangerous) the corresponding class of attackers will be. Consequently, when no attack scenario is detected on an approximate analysis, we know that this system is safe against all ``less precise'' attackers. This can therefore be used to provide a level of certification relative to the precision of abstractions

Dynamic Observers for the Synthesis of Opaque Systems.

Abstract. In this paper, we address the problem of synthesizing opaque systems by selecting the set of observable events. We first investigate the case of static observability where the set of observable events is fixed a priori. In this context, we show that checking whether a system is opaque and computing an optimal static observer ensuring opacity are both PSPACE-complete problems. Next, we introduce dynamic partial observability where the set of observable events can change over time. We show how to check that a system is opaque w.r.t. a dynamic observer and also address the corresponding synthesis problem: given a system G and secret states S, compute the set of dynamic observers under which S is opaque. Our main result is that the synthesis problem can be solved in EXPTIME