Mise en oeuvre de politiques avec confidentialité dans un système multiparti
Responsable(s)
BALZAROTTI, Davide
MOLVA, Refik
Le but de cette thèse est de concevoir un ensemble de solutions permettant l'application d'une politique au sein d'un système transactionnel dans lequel sont impliquées plusieurs entités différentes. Le système transactionnel consiste en l'exécution d'un ensemble de tâches dans un ordre préétabli à travers un logiciel de workflow distribué ou simplement par l'échange de messages entre les entités distribuées. L'application d'une politique dans ce contexte vise à assurer que l'exécution des tâches conformément à un ensemble de règles exprimant les exigences en terme d'organisation, de sécurité ou de règlementation. Au-delà de la simple conformité à une politique donnée, la thèse traitera aussi des questions annexes comme la génération automatique des preuves de conformité et l'imputabilité des utilisateurs. L'aspect multiparti du système transactionnel implique que plus d'une entité participent à l'exécution des tâches et que ces entités n'ont pas forcément confiance entre elles. L'absence de confiance à ce niveau pose plusieurs questions de sécurité. Plutôt que les besoins classiques comme l'authentification, la confidentialité et l'intégrité des données et le contôle d'accès, la thèse se concentrera sur les besoins suivants qui sont spécifiques à l'environnement transactionnel multiparti:
-Protection des données privées (privacy) : l'identité, les données personnelles et le comportement de chaque utilisateur doivent être protégés contre leur divulgation par des intrus ou par des entités participant dans le système transactionnel.
-Imputabilité: les entités impliquées dans l'exécution des actions critiques doivent pouvoir être identifiées d'une façon indéniable après exécution des tâches.
La combinaison de ces deux besoins posent à nouveau un problème difficile à résoudre : comment assurer la preuve d'exécution par une entité tout en gardant secret l'identité de cette entité ou en respectant la confidentialité de ses données privées? En effet la preuve d'exécution nécessite l'accès aux traces d'exécution de l'ensemble des entités par l'entité chargée d'obtenir la preuve appelée vérificateur. L'approche simpliste qui consisterait à divulguer l'ensemble des traces au vérificateur ne répondrait pas aux besoins de confidentialité puisque, même si le vérificateur est une entité fiable par rapport à la génération de la preuve, il n'est pas forcément autorisé à connaître ni à divulguer le comportement de l'ensemble des entités. Il s'agit dans ce contexte de fournir des preuves d'exécution tout en assurant l'anonymat ou la confidentialité des données privées.
Une approche préliminaire consiste à utiliser une architecture distribuée d'audit sécurisé comme base des fonctions d'imputabilité et de preuve de respect de la politique. Le principe de l'audit sécurisé est de garder des traces (logs) d'exécution qui sont protégées contre la modification intempestive ou malveillante. L'audit sécurisé mènera à la conception des mécanismes plus complexes permettant de générer automatiquement des preuves structurées pour garantir l'imputabilité et assurer le respect de la politique tout en respectant la confidentialité des données privées. Le problème de l'audit sécurisé a été partiellement traité par des travaux qui se sont focalize
Contrairement à l'intégrité des traces d'exécution, la protection des données privées au niveau des audits n'a pas été abordée par des travaux existants et de ce fait se présente comme une question propice à la recherche de solutions originales. Le cadre multiparti rend la question de la protection des données privées encore plus intéressante car il s'agit de fournir sélectivement des preuves sur certains éléments du comportement d'une entité tout en respectant la confidentialité de l'ensemble des données privées dans un milieu potentiellement hostile. La conception de solutions d'audit sécurisé en tenant compte des besoins de protection de données privées dans le cadre multiparti fera appel à de nouveaux mécanismes cryptographiques ou à l'adaptation des techniques existantes comme private information retrieval, keyword search, computing with encrypted data et evaluating encrypted functions. L'imputabilité dans ce contexte nécessite le développement des mécanismes de non-répudiation
