FR2903544A1 - Procede de securisation d'une authentification par utilisation de plusieurs canaux - Google Patents

Procede de securisation d'une authentification par utilisation de plusieurs canaux Download PDF

Info

Publication number
FR2903544A1
FR2903544A1 FR0652796A FR0652796A FR2903544A1 FR 2903544 A1 FR2903544 A1 FR 2903544A1 FR 0652796 A FR0652796 A FR 0652796A FR 0652796 A FR0652796 A FR 0652796A FR 2903544 A1 FR2903544 A1 FR 2903544A1
Authority
FR
France
Prior art keywords
challenge
prover
response
verifier
transmission channel
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0652796A
Other languages
English (en)
Inventor
Herve Sibert
Sidonie Caron
Marc Girault
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0652796A priority Critical patent/FR2903544A1/fr
Publication of FR2903544A1 publication Critical patent/FR2903544A1/fr
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

La présente invention concerne un procédé d'authentification d'un prouveur auprès d'un vérifieur (1), comprenant les étapes :- de réception par le prouveur d'un défi (d) dont ledit vérifieur (1 ) connaît la valeur,- de calcul (12) d'une réponse (r) dépendant à la fois dudit défi (d) et d'un secret partagé (s), et- de transmission de la réponse (r) par le prouveur au vérifieur (1), ledit procédé étant caractérisé en ce que :- le canal de transmission du défi au prouveur et le canal de transmission de la réponse au vérifieur sont distincts, et- le calcul de la réponse nécessite un nombre compris entre 1 et 20 d'opérations sur des chiffres.

Description

1 L'invention se situe dans le domaine de la cryptographie. Elle concerne
plus précisément la sécurisation d'une authentification de type défi/réponse d'une entité appelée habituellement prouveur auprès d'une entité appelée habituellement vérifieur.
L'invention trouve une application particulièrement intéressante dans la sécurisation de l'authentification d'un utilisateur auprès d'un support cryptographique sécurisé. L'accès à de nombreux services du réseau et supports matériels comme 1 o des supports cryptographiques est conditionné par le résultat d'une authentification qui constitue la sécurisation de l'accès à de tels services et supports. Il s'agit de vérifier qu'un utilisateur qui souhaite accéder à un tel service ou support cryptographique, appelé ensuite dispositif sécurisé, est bien celui qu'il prétend être et est autorisé à accéder audit service ou support. 15 Dans une authentification de type défi/réponse, comme illustré dans le brevet n HK1052785, une première entité appelée prouveur cherche à prouver à une seconde entité appelée vérifieur, qu'il est bien celui qu'il prétend être en prouvant qu'il détient un secret détenu également par le vérifieur. Pour cela, le vérifieur soumet un défi au prouveur qui doit le surmonter. 20 De façon classique, un protocole d'authentification de type défi/réponse comprend un échange de données entre le vérifieur, qui est par exemple un serveur d'authentification et un prouveur, qui est par exemple un utilisateur auquel est associé un terminal. Le prouveur prouve au vérifieur qu'il connaît le secret que le vérifieur partage avec l'utilisateur sans envoyer ce secret en clair 25 sur le réseau. Pour cela, le vérifieur envoie un défi au prouveur. Le prouveur utilise ce défi et le secret fourni par l'utilisateur pour calculer une réponse qu'il retourne au vérifieur. De son côté le vérifieur a effectué la même opération avec le défi qu'il a expédié au prouveur et le secret qu'il partage avec l'utilisateur. Il compare alors les résultats et considère que le secret fourni par l'utilisateur est 30 correct lorsque les résultats sont identiques. Le principe du défi/réponse impose que le défi soit unique à chaque authentification de sorte que quelqu'un qui 2903544 2 écouterait le canal de communication qui relie le vérifieur au prouveur ne puisse pas rejouer les données d'authentification capturées. Un autre type d'authentification connu fait appel à un secret partagé par l'utilisateur et le dispositif sécurisé. Ainsi l'utilisateur qui souhaite accéder au 5 dispositif sécurisé, doit s'authentifier auprès de ce dispositif en prouvant qu'il détient bien le secret que détient également le dispositif. Pour ce faire, l'utilisateur saisit sur un terminal une donnée d'authentification appelée "code PIN" (de l'anglais "Personal Identification Number"), et qui est transmise au dispositif sécurisé via ledit terminal. 1 o Parmi les authentifications faisant appel à un secret partagé, on connaît également celle qui repose sur l'utilisation d'un mot de passe à usage unique (le terme couramment utilisé est le terme anglais "One Time Password", ou "OTP"). Avec ce type d'authentification, le dispositif sécurisé, qui est le vérifieur, et qui en pratique est un serveur d'authentification distant, demande à 15 l'utilisateur auquel est associé un terminal de s'authentifier. Lors d'une demande d'authentification d'un utilisateur par un dispositif sécurisé, l'utilisateur a généralement recours à un petit appareil qu'il détient appelé "générateur d'OTP". Ce générateur d'OTP est synchronisé avec le dispositif sécurisé (vérifieur), c'est-à-dire qu'il a la faculté de générer une donnée (OTP) identique 20 à celle générée au même moment par le dispositif sécurisé. La synchronisation se fait généralement par le temps et/ou par un compteur. En appuyant sur un bouton, le générateur d'OTP affiche un OTP, que l'utilisateur doit ensuite saisir sur son terminal à destination du dispositif sécurisé. Le dispositif sécurisé vérifie alors l'égalité entre l'OTP saisi par l'utilisateur et celui qu'il a lui-même généré. 25 L'OTP est généré à partir d'un secret connu uniquement du générateur d'OTP et du dispositif sécurisé (vérifieur), et d'un défi implicite synchronisé entre le dispositif sécurisé et le générateur d'OTP. Le prouveur comprend ici le générateur d'OTP, l'utilisateur et le terminal associé à l'utilisateur. Le défi et la réponse sont générés par le générateur d'OTP à la demande du dispositif 30 sécurisé, suite à une intervention de l'utilisateur. L'utilisateur saisit ensuite la réponse. Lors de toute authentification ultérieure, le générateur d'OTP et le dispositif sécurisé seront synchronisés sur un OTP différent. 2903544 3 Un inconvénient de la technique d'authentification distante par mot de passe à usage unique telle qu'on vient de la décrire, est que si le générateur d'OTP est subtilisé par une personne malveillante, alors celle-ci pourra s'authentifier à la place de l'utilisateur sans que l'usurpation ne soit détectée par 5 le dispositif sécurisé. Une réponse à cet inconvénient, proposée par la société RSA Security, consiste à demander à l'utilisateur de concaténer au mot de passe à usage unique généré par le générateur d'OTP un code PIN, et d'entrer le résultat sur le terminal qui transmet la réponse au dispositif sécurisé. Ce code PIN est connu du dispositif sécurisé, qui peut donc vérifier l'authentification. En revanche, il n'est pas connu du générateur d'OTP. Ainsi, le vol du générateur d'OTP n'est pas suffisant pour usurper l'identité de l'utilisateur. Dans ce cas, on considère que le mot de passe à usage unique constitue un défi, la réponse étant constituée par la concaténation au défi du code PIN, qui est un secret partagé entre l'utilisateur et le dispositif sécurisé.
Ces techniques d'OTP font appel à la génération à distance par un dispositif annexe synchronisé avec le dispositif sécurisé, d'une donnée identique à celle générée par le dispositif sécurisé. Une variante courante ne nécessite pas cette synchronisation : un défi est envoyé au terminal de l'utilisateur sur un canal de communication par le dispositif sécurisé. L'utilisateur saisit alors le défi sur une calculatrice programmée. La calculatrice programmée fournit une réponse que l'utilisateur saisit sur le terminal par le biais duquel il a reçu le défi. La calculatrice programmée peut être remplacée par une application sur le terminal possédant des capacités de calcul, comme un téléphone mobile 25 avancé. Les systèmes d'authentification de l'art antérieur faisant appel à un secret partagé présentent plusieurs inconvénients. En premier lieu, ces systèmes sont sujets à plusieurs types d'attaque. Dans le cas où le dispositif sécurisé est un objet cryptographique, comme une 30 carte à puce, une attaque simple consiste pour une personne malveillante à jeter un coup oeil par-dessus l'épaule de l'utilisateur lorsque celui-ci saisit sur un terminal à l'intention du dispositif sécurisé son code PIN qui est le secret 2903544 4 partagé par l'utilisateur et la puce. La personne malveillante n'a plus qu'à subtiliser la carte à puce pour pouvoir l'utiliser à la place de l'utilisateur. C'est une attaque fréquente dans le milieu bancaire. Dans le cas du générateur d'OTP classique ou de la calculette 5 programmée, le vol de ces appareils permet à une personne malveillante d'usurper l'identité de l'utilisateur. Dans le cas de la variante qui consiste à concaténer à la donnée affichée par le générateur d'OTP un code PIN partagé entre l'utilisateur et le dispositif sécurisé, l'attaque consistant pour une personne malveillante à jeter un coup 1 o d'oeil par-dessus l'épaule de l'utilisateur lorsque celui-ci saisit une réponse sur le terminal est efficace. En effet, la réponse comprend le code PIN en clair qui est donc lu par la personne malveillante. Celle-ci n'a plus alors qu'à subtiliser le générateur d'OTP à l'utilisateur pour pouvoir usurper son identité. Un deuxième type d'attaque est possible lorsque la saisie de la réponse 15 par l'utilisateur à la demande du dispositif sécurisé se fait sur un terminal tiers. Cette attaque consiste à installer sur ledit terminal tiers un logiciel espion appelé renifleur (le terme couramment utilisé est le terme anglais "sniffer"), qui mémorise les touches du clavier qui sont pressées et leur ordre, et enregistre ou retransmet à un tiers les actions faites sur le terminal, notamment celles 20 correspondant à la saisie d'un mot de passe. En second lieu, les systèmes d'authentification de l'art antérieur faisant appel à un secret partagé qui sont les plus sûrs font appel à des dispositifs de calcul pour appliquer des fonctions mathématiques complexes au secret partagé.
Ainsi, dans le cas de la calculatrice programmée, le même canal de communication voit transiter à la fois les défis et les réponses auxdits défis. Afin de ne pas fournir d'information sur le secret partagé contenu dans la calculatrice programmée, la génération de la réponse fait nécessairement appel à des fonctions qui sont cryptographiquement sûres, ce qui est très contraignant. En particulier, la taille minimale du secret partagé pour assurer une sécurité suffisante, et la complexité de la fonction de calcul des réponses aux défis impliquent l'utilisation d'un dispositif qui conserve le secret et qui 2903544 5 effectue les calculs. C'est la raison pour laquelle le calcul de la réponse est effectué par une calculatrice programmée qui contient le secret partagé. Le but de l'invention est de remédier aux inconvénients présentés ci-dessus. A cette fin, l'invention concerne un procédé d'authentification d'un 5 prouveur auprès d'un vérifieur, comprenant les étapes : - de réception par le prouveur d'un défi dont ledit vérifieur connaît la valeur, - de calcul d'une réponse dépendant à la fois dudit défi et d'un secret partagé, et 10 - de transmission de la réponse par le prouveur au vérifieur. Ledit procédé est caractérisé en ce que : - le canal de transmission du défi au prouveur et le canal de transmission de la réponse au vérifieur sont distincts, et - le calcul de la réponse nécessite un nombre compris entre 1 et 20 15 d'opérations sur des chiffres. Dans le cadre de l'invention, on entend par opérations des calculs élémentaires tels que l'addition, la soustraction, la multiplication et la division. Grâce à l'invention, en dissociant les canaux de transmission du défi et de la réponse audit défi, un utilisateur malveillant qui jetterait un coup oeil par- 20 dessus l'épaule de l'utilisateur qui s'authentifie, ou qui installerait sur le terminal de l'utilisateur un logiciel espion qui enregistrerait les touches tapées sur le terminal, aura au mieux connaissance du défi ou de la réponse, mais pas des deux. Si le logiciel espion qui enregistre les actions de l'utilisateur est installé sur le terminal, le logiciel espion n'enregistrera que la réponse au défi. Si 25 l'utilisateur malveillant regarde par-dessus l'épaule de l'utilisateur, il verra soit le défi affiché, qui est différent à chaque fois qu'une authentification est requise, soit la réponse saisie par l'utilisateur, qui est un mot de passe devenu obsolète à partir du moment où il a été saisi. La connaissance d'une seule information rend en outre les attaques par 30 force brute impossible. De telles attaques consistent pour un utilisateur malveillant, à partir d'un échantillon de couples défi/réponse, à retrouver la fonction de calcul de la réponse à partir du défi et permettent ainsi 2903544 6 l'authentification de cet utilisateur malveillant qui serait à même de calculer la réponse à un défi. En effet, l'utilisateur malveillant ne disposera jamais d'un couple défi/réponse. La fonction de calcul de la réponse en fonction du défi et du secret est, 5 contrairement aux fonctions à sens unique utilisées dans les authentifications à base de défi/réponse, une fonction qui ne met pas en oeuvre des mécanismes cryptographiques éprouvés en termes de sécurité. La fonction utilisée dans le procédé d'authentification selon l'invention est une fonction qui, à partir de la simple connaissance d'au moins un couple de valeurs défi et la réponse, 1 o permet de retrouver aisément le secret partagé entre le prouveur et le vérifieur. Ainsi, la fonction peut être qualifiée de simple et permet avantageusement au prouveur, dans le cas où celui-ci est un utilisateur, de calculer une réponse au défi en peu d'opérations, voire "de tête", c'est-à-dire sans l'aide d'une calculatrice, voire sans poser l'opération sur papier. Ce n'est pas le cas des 15 systèmes OTP connus qui utilisent des fonctions complexes, dites à sens unique. La réponse au défi peut être calculée de différentes façons. Par exemple, un utilisateur prouveur peut faire le calcul de la réponse au défi mentalement. La faculté d'effectuer ce calcul mentalement suppose que la simplicité de la 20 fonction ainsi que la longueur du défi le permettent. L'utilisateur peut utiliser un papier pour poser l'opération de calcul de la réponse. L'utilisateur peut également utiliser une calculatrice non programmée afin d'effectuer le calcul. L'utilisation d'une calculatrice peut s'avérer intéressante pour un degré de complexité de la fonction un peu plus élevé ou/et une taille de défi plus 25 importante. Il est évident qu'en augmentant la taille du défi, on améliore le niveau de sécurité du procédé d'authentification. Avantageusement, ledit nombre d'opérations nécessaires au calcul de la réponse est compris entre 4 et 10. Certains types de mot de passe ou secret ont des tailles usuelles. Ainsi, 30 la taille habituelle d'une code PIN associé à un utilisateur est 4 ; selon le niveau de sécurité requis, les tailles courantes des mots de passe attribués à un 2903544 7 utilisateur pour accéder à des applications sécurisées est habituellement 6 ou 8, voire 10 pour un accès fortement sécurisé. Avantageusement, la réponse est obtenue par addition chiffre à chiffre d'au moins un chiffre du défi et d'au moins un chiffre du secret, modulo une 5 valeur prédéfinie. Alternativement, la réponse est obtenue par addition du défi et du secret modulo une valeur prédéfinie. Avantageusement, lesdits deux canaux distincts sont associés respectivement à un premier et à un second terminal distincts au niveau du 1 o prouveur. Dans une réalisation particulière de l'invention, ledit premier terminal est connecté à une carte SIM apte à générer ledit défi de façon synchronisée avec le vérifieur. Avantageusement, ledit terminal associé au canal de transmission du 15 défi comprend une interface visuelle. Dans une réalisation alternative de l'invention, ledit terminal associé au canal de transmission du défi comprend une interface audio. L'interface visuelle, respectivement audio, utilisée pour transmettre le défi à l'utilisateur, ne nécessite pas d'implantation technique spécifique. Cela montre 20 la facilité de mise en oeuvre du procédé selon l'invention. En outre, le passage par cette interface visuelle, respectivement audio, marque la séparation des deux canaux techniques d'acheminement du défi et de la réponse audit défi. Avantageusement, le canal de transmission du défi (respectivement de la réponse) comprend un réseau radio et le canal de transmission de la réponse 25 (respectivement du défi) comprend un réseau IP. Avantageusement, le canal de transmission du défi (respectivement de la réponse) comprend un réseau téléphonique commuté et le canal de transmission de la réponse (respectivement du défi) comprend un réseau IP. L'invention concerne aussi un système d'authentification comprenant : 30 - un prouveur et un vérifieur, ledit prouveur étant agencé pour recevoir un défi dont ledit vérifieur connaît la valeur, et pour transmettre au vérifieur une 2903544 8 réponse audit défi, ladite réponse dépendant à la fois du défi et d'un secret partagé, et ledit vérifieur étant agencé pour vérifier la réponse, - des moyens de calcul de ladite réponse par le prouveur, ledit calcul nécessitant un nombre compris entre 1 et 20 d'opérations sur des chiffres, 5 - un premier canal de transmission destiné à la transmission du défi au prouveur, et -un second canal de transmission destiné à la transmission de la réponse au vérifieur, lesdits premier et second canaux de transmission étant distincts.
10 L'invention concerne aussi un programme d'ordinateur destiné à être stocké dans une mémoire d'un système d'authentification et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit système et/ou téléchargé via un réseau de télécommunication, le programme comprenant des instructions pour l'exécution des étapes du procédé selon l'invention lorsque 15 ledit programme est exécuté sur un ordinateur. De nombreux détails et avantages de l'invention seront mieux compris à la lecture de la description d'un mode particulier de réalisation en référence aux schémas annexés donnés à titre non limitatif et dans lesquels : La figure 1 présente les étapes du procédé d'authentification selon 20 l'invention. La figure 2 illustre un premier mode de réalisation du procédé selon l'invention. La figure 3 illustre un deuxième mode de réalisation du procédé selon l'invention.
25 La figure 4 illustre un troisième mode de réalisation du procédé selon l'invention. La figure 5 illustre un quatrième mode de réalisation du procédé selon l'invention. La figure 6 est une première représentation fonctionnelle d'un dispositif 30 d'authentification selon l'invention. La figure 7 est une seconde représentation fonctionnelle d'un dispositif d'authentification selon l'invention.
2903544 9 La figure 1 illustre les étapes du procédé d'authentification selon l'invention. Un vérifieur 1 est utilisé pour vérifier qu'un prouveur non représenté qui s'authentifie est bien celui qu'il prétend être. Le prouveur est par exemple un 5 utilisateur. Le prouveur a accès à un premier terminal 2. Le premier terminal 2 est muni d'une interface non représentée. Une telle interface est par exemple un afficheur. La liaison non représentée qui relie le vérifieur à l'interface du premier terminal 2 constitue un premier canal de transmission de données entre le vérifieur 1 et le prouveur. Le prouveur a également accès à un second 10 terminal 3. Le second terminal 3 est muni d'une interface non représentée. Une telle interface est par exemple un clavier. La liaison non représentée qui relie l'interface du second terminal 3 au vérifieur 1 constitue un second canal de transmission de données entre le prouveur et le vérifieur 1. Le vérifieur 1 et le prouveur partagent la connaissance d'un secret s et d'une fonction f de calcul 15 d'une réponse à un défi. Le secret partagé s et la fonction f sont inscrits dans une mémoire du vérifieur 1 non représentée. Dans une étape initiale 10, le vérifieur 1 choisit des données a de façon aléatoire. Lesdites données sont constituées uniquement d'un entier décimal a de taille I. Elles sont générées par exemple à l'aide d'un générateur de nombres 20 pseudo-aléatoires non représenté. Dans un premier mode de réalisation, les données a constituent un défi d. A la fin de l'étape initiale 10, le vérifieur envoie le défi d au terminal 2 via le premier canal de transmission qui est le canal de transmission du défi. Dans une étape 11, consécutive à l'étape initiale 10, le prouveur prend 25 connaissance du défi d via l'interface du premier terminal 2. Dans une étape 12, consécutive à l'étape 11 et à la prise de connaissance du défi d par le prouveur, le prouveur calcule une réponse r au défi d. La réponse r est le résultat de l'application de la fonction f au défi d et au secret partagé s. Dans le cas où le prouveur est un utilisateur, la réponse r est 30 calculée mentalement par l'utilisateur. Dans une autre réalisation de l'invention, l'utilisateur calcule la réponse r à l'aide d'une calculatrice non programmée.
2903544 10 La fonction f de calcul de la réponse à partir du défi et du secret nécessite un nombre borné d'opérations sur des chiffres. Typiquement ce nombre est compris entre 1 et 20. On estime que ce nombre 20 correspond à un nombre maximal d'opérations qui peuvent être faites par un utilisateur de 5 façon aisée, soit mentalement, soit en posant l'opération sur le papier, soit en s'aidant d'une table de calcul ou d'une calculatrice non programmée. De façon avantageuse, le nombre d'opérations variera de 4 à 10. Ce nombre est relatif aux tailles habituelles des mots de passe d'utilisateur pour accéder à des dispositifs sécurisés. En effet, la taille habituelle d'une code PIN associé à un 10 utilisateur est 4 ; selon le niveau de sécurité requis, les tailles courantes des mots de passe attribués à un utilisateur pour accéder à des applications sécurisées est habituellement 6 ou 8, voire 10 pour un accès fortement sécurisé. Avantageusement, la fonction est une addition chiffre à chiffre d'au moins 15 un chiffre du défi et d'au moins un chiffre du secret modulo une valeur prédéfinie. Par exemple, la fonction f se définit comme suit : pour deux nombres entiers x et y de même taille i en écriture décimale, dont les écritures décimales sont x1x2...x, et y,y2...y,, f(x, y) = z, dont l'écriture décimale est z1z2...z,, avec z; = x; + y, mod 10 ; z; est le résultat de l'addition modulo 10 de x; et y,. La valeur 20 prédéfinie étant dans cet exemple 10. Dans un autre exemple où l'entier x est de taille i et l'entier y de taille m, avec i < m, les écritures décimales de x et y sont x1x2...x, et y,y2...ym, et f(x, y) = z. L'écriture décimale de z est z1z2...zm, avec z; = x; + y, mod 10, pour 1 < i I et zi = y, pour l < j <_m. Ainsi la fonction est adaptée pour le cas où par exemple, le secret est plus court que le défi.
25 Comme on peut le constater dans cet exemple, la fonction f peut être qualifiée de simple par comparaison aux fonctions habituellement utilisées pour le calcul des mots de passe à usage unique. En fin d'étape 12, le prouveur transmet la réponse r au défi d via le second canal de transmission qui est le canal de transmission de la réponse r.
30 Pour cela, le prouveur saisit la réponse r au niveau de l'interface du second terminal 3. Ainsi, la réponse r emprunte le canal de transmission de la réponse r, distinct du canal de transmission du défi d.
2903544 11 Dans une étape 13, consécutive au choix du défi d effectué à l'étape 10, le vérifieur 1 calcule une valeur r' égale au résultat de l'application de la fonction f qu'il détient au secret partagé s et au défi d choisi à l'étape 10. Dans une étape 14, consécutive à la réception de la réponse r envoyée 5 en fin d'étape 12 par le prouveur et à l'étape 13, le vérifieur compare la réponse r reçue à la valeur r' calculée afin de vérifier l'authentification du prouveur. Dans un second mode de réalisation, proche du premier mode de réalisation, l'étape 10 consiste en ce que le défi d est dérivé de l'entier a généré aléatoirement, de façon à faciliter le calcul de la réponse r au défi d par le 1 o prouveur. Par exemple, dans ce second mode de réalisation, pour chaque indice i compris entre 1 et 1, le vérifieur 1 calcule a; + s; et choisit d; = + a;, si a; + s; < 10, et d; = aiû 10 sinon. d est la concaténation des entiers d; tels que calculés. Ainsi, chaque entier d; est précédé du signe + ou -. Par exemple, si le secret partagé s est "1234", si l'entier a généré aléatoirement par la carte est 15 "1789", alors le défi d affiché par la carte est "+1 +7-2-1", et la réponse r au défi, calculée par le prouveur est "2913". Grâce au calcul préconisé dans ce second mode de réalisation, le prouveur n'a jamais à faire une addition entre deux chiffres qui comporte une retenue. Ce mode de calcul est donc très confortable lorsque le prouveur est un utilisateur qui effectue un calcul mental pour obtenir 20 la réponse au défi. D'autres fonctions de calcul de la réponse sont possibles. Dans une réalisation alternative de l'invention, la fonction est définie par l'addition du défi et du secret modulo une valeur prédéfinie, par exemple 10. On notera que le secret se déduit facilement de la connaissance d'un ou 25 de plusieurs couples de valeurs défi et réponse. En effet les fonctions utilisées dans les modes de réalisation décrits peuvent être qualifiées de simples et permettent à un utilisateur prouveur aux capacités normales de calculer une réponse mentalement. Le surcroît de sécurité apporté dans l'invention par la séparation des canaux de transmission du défi et de la réponse permet de se 30 passer des fonctions habituellement utilisées en cryptographie.
2903544 12 La figure 2 illustre un premier exemple d'architecture qui met en oeuvre le procédé selon l'invention. Un utilisateur 4 cherche à s'authentifier auprès d'une carte à puce 5 afin d'accéder aux données de ladite carte à puce 5. La carte à puce 5 est le 5 vérifieur selon la figure 1. L'utilisateur 4 est le prouveur selon la figure 1. La carte à puce 5 est intégrée dans un dispositif numérique portatif 6 (le terme couramment utilisé est le terme anglais "dongle") qui est le premier terminal selon la figure 1. Le dongle 6 comprend un afficheur numérique 7 qui est l'interface du premier terminal selon la figure 1. Le dongle 6 est connecté au 1 o second terminal 3 via une liaison 8, par exemple de type "USB" (de l'anglais "Universal Serial Bus"). Le second terminal 3 comprend un clavier. La carte à puce 5 génère aléatoirement la donnée a et affiche le défi d issu de la donnée a au niveau de l'afficheur numérique 7. L'utilisateur 4 lit le défi affiché sur l'afficheur 7. Ainsi le défi est transmis via le canal de transmission du défi 9a qui 15 comprend la liaison entre la carte à puce 5 et l'afficheur 7 non représentée, et une interface visuelle associée à l'afficheur numérique 7. En réponse audit défi, l'utilisateur 4 saisit sur le clavier du second terminal 3 la réponse r qu'il a calculée mentalement. Ledit second terminal 3 transmet ladite réponse à la carte à puce 5 via le dongle 6. Ainsi la réponse est 20 transmise via le canal de transmission de la réponse 9b qui comprend la liaison USB 8 et le second terminal 3. La figure 3 illustre un second exemple d'architecture mettant en oeuvre le procédé selon l'invention.
25 Dans cet exemple le vérifieur selon la figure 1 comprend une carte à puce 15 particulière appelée carte "SIM" (de l'anglais "Subscriber Identity Module" pour module d'identification d'abonné), et un serveur d'authentification distant 16. La carte SIM 15 est insérée dans un terminal mobile 17 qui comprend un écran 18 qui est l'interface du premier terminal selon la figure 1.
30 Le prouveur selon la figure 1 est le terminal mobile 17. De manière connue, la carte SIM 15 est agencée pour exécuter des instructions pour afficher des données sur l'écran 18 du terminal mobile 17. Le serveur d'authentification 2903544 13 distant 16 est un serveur synchronisé avec la carte SIM 15 en ce qui concerne l'étape de génération d'un défi qui est l'étape 10 selon la figure 1. Il a connaissance du secret partagé s et de la fonction f de calcul d'une réponse à un défi. Dans cette architecture, la carte SIM 15 génère aléatoirement une 5 donnée a selon la figure 1 et affiche le défi d issu de la donnée a sur l'écran du terminal mobile 17. Grâce à la synchronisation, le serveur d'authentification distant 16 génère et donc connaît la même donnée et le même défi issu de ladite donnée généré par la carte SIM 15. Le défi est transmis à l'utilisateur 4 via le canal de transmission du défi 9a qui comprend la liaison entre la carte 10 SIM et l'écran 18 du terminal mobile 17. Dans une secondeinterprétation de cette architecture, le vérifieur comprend le serveur d'authentification 16, le prouveur comprend la carte SIM 15 et le terminal mobile 17, et le canal de transmission du défi 9a comprend un système non représenté au moyen duquel la synchronisation entre le serveur 15 d'authentification distant 16 et la carte SIM 15 peut être mise en place. L'utilisateur 4 calcule la réponse au défi et saisit sur le second terminal 3 ladite réponse. Le second terminal 3 transmet la réponse fournie par l'utilisateur au serveur d'authentification distant 16. La réponse est transmise par le canal de transmission de la réponse 9b constitué par le second terminal 3 et une 20 liaison réseau non représentée permettant au second terminal 3 de dialoguer avec le serveur d'authentification distant 16. Le serveur d'authentification 16, synchronisé avec la carte SIM 15, a généré la même donnée aléatoire a que la carte SIM 15, calculé le défi d et appliqué la fonction de calcul de la réponse au défi d. Le serveur d'authentification compare le résultat obtenu à la réponse r 25 reçue de l'utilisateur pour calculer le résultat de l'authentification. La figure 4 illustre un troisième exemple d'architecture mettant en oeuvre le procédé selon l'invention. Dans cet exemple un serveur d'authentification 33 est le vérifieur selon la 30 figure 1. En phase d'authentification, le serveur d'authentification 33 communique le défi à l'utilisateur 4 par l'intermédiaire du terminal mobile 17. Les communications entre le serveur d'authentification 33 et le terminal mobile 2903544 14 17 sont transmises via un réseau radio "GSM" 34 (de l'anglais "Global System for Mobile Communications"). Par exemple, le défi est transmis en mode synchrone dans un appel téléphonique. Ainsi, le défi est transmis à l'utilisateur 4 via le canal de transmission du défi 9a qui comprend le réseau GSM, le 5 terminal mobile 17 et une interface audio associé au terminal mobile 17. Dans une autre réalisation de l'invention, le défi est transmis par "SMS" (de l'anglais "Short Message Service"). L'interface associée au terminal mobile 17 est alors une interface visuelle. Le serveur d'authentification communique également avec l'utilisateur 4 via un réseau IP 35 et reçoit, via ce réseau IP 35 et depuis le 10 terminal 3 la réponse au défi. Le terminal 3 est connecté au réseau IP 35 par une liaison réseau non représentée. Par exemple, la liaison est de type "ADSL" (de l'anglais "Asynchronous Digital Subscriber Une"). Ainsi, la réponse au défi est transmise au serveur d'authentification 33 via le canal de transmission de la réponse 9b qui comprend le réseau IP 35, le terminal 3 et la liaison réseau 15 entre le terminal et le réseau IP 35. La figure 5 illustre un quatrième exemple d'architecture mettant en oeuvre le procédé selon l'invention. Dans cet exemple, proche de celui illustré par la figure 4, le défi est 20 transmis par un serveur d'authentification 33b via le réseau IP 35 et affiché sur l'écran du terminal 3. La réponse au défi est transmise par l'utilisateur 4 via le réseau GSM 34 en utilisant le terminal mobile 17. L'utilisateur peut envoyer la réponse au défi en mode vocal ou en mode textuel par SMS.
25 De nombreuses variantes d'architecture non représentées sont possibles. Par exemple, le canal de transmission du défi peut comprendre le "RTC" (pour "Réseau Téléphonique Commuté"). Dans ce cas l'utilisateur reçoit le défi sur un poste téléphonique fixe. Il renvoie la réponse au défi par un canal de transmission de la réponse au défi qui comprend par exemple le réseau IP.
30 Dans une variante de réalisation proche, le défi peut être transmis via le réseau IP, la réponse au défi peut alors être transmise par l'utilisateur via le réseau téléphonique commuté.
2903544 15 En référence à la figure 6, une représentation fonctionnelle schématique d'un exemple de système d'authentification selon l'invention est présentée. Ce système comprend un vérifieur 1 agencé pour vérifier l'authentification d'un 5 prouveur 30 et le prouveur 30 agencé pour prouver au vérifieur 1 qu'il est bien celui qu'il prétend être. La vérification est basée sur la connaissance d'un secret partagé par le vérifieur 1 et le prouveur 30, et sur l'envoi d'un défi par le vérifieur 1 et d'une réponse à ce défi par le prouveur 30. Le prouveur 30 prouve ainsi qu'il connaît le secret que détient le vérifieur 1. 1 o Le vérifieur 1 comprend des modules fonctionnels. Il comprend également au moins deux interfaces externes 20, 21. La première interface externe 20 permet au vérifieur 1 de communiquer avec le prouveur 30 sur un premier canal de transmission 9a et la seconde interface externe 21 lui permet de communiquer avec le prouveur 30 sur un second canal de transmission 9b.
15 Il comprend également des interfaces internes qui permettent aux modules fonctionnels de communiquer. Un module de génération d'un défi 22 comprend un générateur de nombres pseudo-aléatoires et un module de calcul d'un défi à partir d'un nombre pseudo-aléatoire généré. Dans un mode particulier de réalisation de 20 l'invention, le défi est égal au nombre généré. Un module 23 d'envoi du défi transmet le défi calculé par le module de génération d'un défi 22 sur le premier canal de transmission 9a. Un module de calcul d'une valeur d'authentification 24 calcule à partir du défi, une valeur d'authentification en appliquant la fonction f au défi et au secret 25 stockés dans une mémoire non représentée. Le calcul de la valeur d'authentification nécessite un nombre compris entre 1 et 20 d'opérations sur des chiffres. Un module 25 de vérification de l'authentification reçoit, via la seconde interface externe 21, la réponse au défi fournie par le prouveur 30. Il reçoit 30 également la valeur d'authentification calculée par le module de calcul 24. Le module 25 de vérification de l'authentification compare la réponse reçue du prouveur 30 à celle calculée par le module de calcul d'une valeur 2903544 16 d'authentification 24. Le résultat de la comparaison est le résultat de l'authentification. Le prouveur 30 comprend un module de réception 31 du défi, un module d'envoi 32 de la réponse au défi et un module 33 de calcul de la réponse à 5 partir du défi. Il possède deux interfaces externes 26, 27 qui lui permettent respectivement de recevoir le défi envoyé sur le canal de transmission du défi 9a, et d'envoyer la réponse sur le second canal de transmission de la réponse 9b. Les modules 31, 32 ne communiquent pas entre eux. 1 o En référence à la figure 7, une représentation fonctionnelle schématique d'un second exemple de système d'authentification selon l'invention est présentée. Dans cet exemple, le système vérifieur 1 comprend les unités 21, 22, 24 et 25 décrites en référence à la figure 6, et comprend en outre un module de génération du défi 22bis synchronisé avec le module de génération 15 du défi 22 du vérifieur 1, ce qui est symbolisé par le trait en pointillés 34; le canal de transmission du défi 9a est interne au prouveur 30. Selon une seconde interprétation de cette architecture, le module de génération du défi 22bis fait partie du système prouveur 30, et le canal de transmission du défi 9a comprend, au lieu du canal interne représenté sur la figure 7, un système (non 20 représenté) au moyen duquel la synchronisation peut être mise en place.

Claims (13)

REVENDICATIONS
1. Procédé d'authentification d'un prouveur (30) auprès d'un vérifieur (1), comprenant les étapes : - de réception par le prouveur (30) d'un défi (d) dont ledit vérifieur (1) connaît la valeur, - de calcul (12) d'une réponse (r) dépendant à la fois dudit défi (d) et d'un secret partagé (s), et - de transmission de la réponse (r) par le prouveur (30) au vérifieur (1), ledit procédé étant caractérisé en ce que : - le canal de transmission du défi (9a) au prouveur et le canal de transmission de la réponse (9b) au vérifieur sont distincts, et - le calcul de la réponse nécessite un nombre compris entre 1 et 20 d'opérations sur des chiffres.
2. Procédé selon la revendication 1, dans lequel ledit nombre d'opérations nécessaires au calcul de la réponse est compris entre 4 et 10.
3. Procédé selon la revendication 1 ou la revendication 2, dans lequel la réponse est obtenue par addition chiffre à chiffre d'au moins un chiffre du défi et d'au moins un chiffre du secret, modulo une valeur prédéfinie.
4. Procédé selon la revendication 1 ou la revendication 2, dans lequel la réponse est obtenue par addition du défi et du secret modulo une valeur prédéfinie.
5. Procédé selon l'une des revendications précédentes, caractérisé en ce que lesdits deux canaux (9a, 9b) distincts sont associés respectivement à un premier (2) et à un second terminal (3) distincts au niveau du prouveur. 2903544 18
6. Procédé selon la revendication 5, caractérisé en ce que ledit premier terminal (2) est connecté à une carte SIM (15) apte à générer ledit défi de façon synchronisée avec le vérifieur (1). 5
7. Procédé d'authentification selon la revendication 5 ou la revendication 6, caractérisé en ce que ledit terminal (2) associé au canal de transmission du défi (9a) comprend une interface visuelle.
8. Procédé d'authentification selon la revendication 5 ou la revendication 10 6, caractérisé en ce que ledit terminal (2) associé au canal de transmission du défi (9a) comprend une interface audio.
9. Procédé d'authentification selon l'une des revendications précédentes, caractérisé en ce que le canal de transmission du défi (9a) (respectivement de 15 la réponse (9b)) comprend un réseau radio et le canal de transmission de la réponse (9b) (respectivement du défi (9a)) comprend un réseau IP.
10. Procédé d'authentification selon l'une des revendications précédentes, caractérisé en ce que le canal de transmission du défi (9a) 20 (respectivement de la réponse (9b)) comprend un réseau téléphonique commuté et le canal de transmission de la réponse (9b) (respectivement du défi (9a)) comprend un réseau IP.
11. Système d'authentification comprenant : 25 - un prouveur (30) et un vérifieur (1), ledit prouveur (30) étant agencé pour recevoir un défi (d) dont ledit vérifieur (1) connaît la valeur, et pour transmettre au vérifieur (1) une réponse (r) audit défi, ladite réponse (r) dépendant à la fois du défi (d) et d'un secret partagé (s), et ledit vérifieur (1) étant agencé pour vérifier la réponse (r), 30 - des moyens (33) de calcul de ladite réponse (r) par le prouveur (30), ledit calcul nécessitant un nombre compris entre 1 et 20 d'opérations sur des chiffres, 2903544 19 un premier canal de transmission (9a) destiné à la transmission du défi au prouveur (30), et - un second canal de transmission (9b) destiné à la transmission de la réponse au vérifieur, 5 lesdits premier (9a) et second (9b) canaux de transmission étant distincts.
12. Programme d'ordinateur destiné à être stocké dans une mémoire d'un système d'authentification et/ou stocké sur un support mémoire destiné à coopérer avec un lecteur dudit système et/ou téléchargé via un réseau de 10 télécommunication, le programme comprenant des instructions pour l'exécution des étapes du procédé selon l'une des revendications 1 à 10 lorsque ledit programme est exécuté sur un ordinateur.
13. Moyen de stockage de données partiellement ou totalement 15 amovible, comportant des instructions de code de programme informatique pour l'exécution des étapes d'un procédé selon l'une quelconque des revendications 1 à 10.
FR0652796A 2006-07-04 2006-07-04 Procede de securisation d'une authentification par utilisation de plusieurs canaux Pending FR2903544A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0652796A FR2903544A1 (fr) 2006-07-04 2006-07-04 Procede de securisation d'une authentification par utilisation de plusieurs canaux

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0652796A FR2903544A1 (fr) 2006-07-04 2006-07-04 Procede de securisation d'une authentification par utilisation de plusieurs canaux

Publications (1)

Publication Number Publication Date
FR2903544A1 true FR2903544A1 (fr) 2008-01-11

Family

ID=37946776

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0652796A Pending FR2903544A1 (fr) 2006-07-04 2006-07-04 Procede de securisation d'une authentification par utilisation de plusieurs canaux

Country Status (1)

Country Link
FR (1) FR2903544A1 (fr)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179564A (zh) * 2011-12-22 2013-06-26 上海格尔软件股份有限公司 基于移动终端认证的网络应用登录方法
WO2014072667A1 (fr) * 2012-11-12 2014-05-15 Orange Procédé d'authentification mutuelle entre une étiquette radio et un lecteur

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020095507A1 (en) * 2001-01-17 2002-07-18 Jerdonek Robert A. Methods for pre-authentication of users using one-time passwords
US20050144449A1 (en) * 2003-12-30 2005-06-30 Entrust Limited Method and apparatus for providing mutual authentication between a sending unit and a recipient
WO2005114886A2 (fr) * 2004-05-21 2005-12-01 Rsa Security Inc. Systeme et procede permettant de reduire la fraude

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020095507A1 (en) * 2001-01-17 2002-07-18 Jerdonek Robert A. Methods for pre-authentication of users using one-time passwords
US20050144449A1 (en) * 2003-12-30 2005-06-30 Entrust Limited Method and apparatus for providing mutual authentication between a sending unit and a recipient
WO2005114886A2 (fr) * 2004-05-21 2005-12-01 Rsa Security Inc. Systeme et procede permettant de reduire la fraude

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MENEZES, VANSTONE, OORSCHOT: "Handbook of Applied Cryptography", 1997, CRC PRESS LLC, USA, XP002431608 *

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179564A (zh) * 2011-12-22 2013-06-26 上海格尔软件股份有限公司 基于移动终端认证的网络应用登录方法
CN103179564B (zh) * 2011-12-22 2016-04-06 上海格尔软件股份有限公司 基于移动终端认证的网络应用登录方法
WO2014072667A1 (fr) * 2012-11-12 2014-05-15 Orange Procédé d'authentification mutuelle entre une étiquette radio et un lecteur
FR2998075A1 (fr) * 2012-11-12 2014-05-16 France Telecom Procede d'authentification mutuelle entre une etiquette radio et un lecteur
CN104885404A (zh) * 2012-11-12 2015-09-02 奥林奇公司 无线电标签和阅读器之间相互认证的方法
US9542550B2 (en) 2012-11-12 2017-01-10 Orange Method of mutual authentication between a radio tag and a reader
CN104885404B (zh) * 2012-11-12 2020-02-14 奥林奇公司 无线电标签和阅读器之间相互认证的方法

Similar Documents

Publication Publication Date Title
US10592651B2 (en) Visual image authentication
EP1368930B1 (fr) Authentification cryptographique par modules ephemeres
US20190050554A1 (en) Logo image and advertising authentication
EP2619941B1 (fr) Procede, serveur et systeme d&#39;authentification d&#39;une personne
EP1549011A1 (fr) Procédé et système de communication entre un terminal et au moins un équipment communicant
EP2614458B1 (fr) Procede d&#39;authentification pour l&#39;acces a un site web
FR2973618A1 (fr) Authentification forte par presentation du numero
WO2009019298A1 (fr) Système d&#39;information et procédé d&#39;identification par un serveur d&#39;application d&#39;un utilisateur
US11693944B2 (en) Visual image authentication
EP3391614B1 (fr) Procédé de transmission d&#39;une information numérique
US11128453B2 (en) Visual image authentication
EP2509025A1 (fr) Procédé d&#39;accès à une ressource protégée d&#39;un dispositif personnel sécurisé
EP2568406B1 (fr) Procédé de mise en oeuvre, a partir d&#39;un terminal, de données cryptographiques d&#39;un utilisateur stockées dans une base de données
WO2010116109A1 (fr) Procédé d&#39;authentification auprès d&#39;un serveur par un utilisateur d&#39;un appareil mobile
EP2306668B1 (fr) Système et procédé de transaction sécurisée en ligne
FR2903544A1 (fr) Procede de securisation d&#39;une authentification par utilisation de plusieurs canaux
EP2056565A1 (fr) Procédé d&#39;authentification d&#39;un utilisateur accédant à un serveur distant à partir d&#39;un ordinateur
WO2019038323A1 (fr) Procédé d&#39;authentification d&#39;un utilisateur auprès d&#39;un serveur d&#39;authentification
US20230359764A1 (en) Visual Image Authentication
Jemin et al. Credit Card Forgery Identification By Location Using Android Based Monitoring
FR3007929A1 (fr) Procede d&#39;authentification d&#39;un utilisateur d&#39;un terminal mobile
WO2022135952A1 (fr) Procédé et dispositif de génération d&#39;informations d&#39;authentification pour une entité sécurisée et procédé et dispositif de contrôle d&#39;identité associés
WO2012022856A1 (fr) Procédé d&#39;authentification d&#39; un utilisateur du réseau internet
FR2902253A1 (fr) Procede et dispositif d&#39;authentification d&#39;un utilisateur
WO2016034812A1 (fr) Sécurisation de clés de cryptage pour transaction sur un dispositif dépourvu de module sécurisé