On the security of instante messaging : towards solutions for multi-device and group applications - INRIA - Institut National de Recherche en Informatique et en Automatique Accéder directement au contenu
Thèse Année : 2021

On the security of instante messaging : towards solutions for multi-device and group applications

Autour de la sécurité des applications de messagerie instantanée : vers des solutions pour des applications multi-appareils et des applications de groupe.

Résumé

Secure Instant Messaging applications (such as WhatsApp or Signal) have become unavoidable means of communications in our every day lives. These applications offer desirable security features such as end-to-end encryption, forward and post-compromise security. However, these properties are often limited to one-to-one communications. The purpose of the work presented here is to reach, in the multi device context as well as in group messaging, an optimal level of security, as for the classial one-to-one communications. On the multi-device side, we propose a Multi-Device Instant Messaging protocole, based on the Ratcheted Key exchange used in Signal, and already widely deployed in other applications. On the group side, we are insterested in the Messaging Layer Security (MLS) protocol, which aims at providing a secure group messaging solution. The security of the protocol relies in particular on the possibility for any user to update the group secrets. In its actual design, a flaw appears in this updating process. We propose a solution to secure the update mechanism, using Zero-Knowledge (ZK) technics as building blocks. As a main contribution, we provide two different ZK protocols to prove knowledge of the input of a pseudorandom function implemented as a circuit, given an algebraic commitment of the output and the input.
Les applications de messagerie instantanée sécurisée, telles WhatsApp ou Signal, sont devenues incontournables pour nos communications quotidiennes. Ces applications apportent une sécurité caractérisée notamment par le chiffrement de bout en bout, la confidentialité persistante ou encore la sécurité après compromission. Mais ces propriétés sont généralement limitées aux communications deux à deux. L'objectif des travaux présentés ici est d'atteindre, pour les communications à partir de plusieurs appareils et pour les communications de groupe, un niveau de sécurité optimal, comparable à celui existant pour les communications deux à deux. Concernant l'accessibilité multi-appareils, nous proposons une solution basée sur l'échange de clé à cliquet utilisé dans Signal, déjà largement déployé dans les applications existantes. Concernant les communications de groupe, nous nous intéressons au protocole MLS (Messaging Layer Security) qui vise à offrir une messagerie de groupe sécurisée. La sécurité de ce protocole repose notamment sur la possibilité pour chaque utilisateur de mettre à jour la clé de groupe. Mais, telle que spécifiée actuellement, cette fonctionnalité présente une faille.N ous proposons une solution pour sécuriser le mécanisme de mise à jour, en se basant notamment sur de nouveaux protocoles de preuve à divulgation nulle.
Fichier principal
Vignette du fichier
DUGUEY_Celine.pdf (2.46 Mo) Télécharger le fichier
Origine : Version validée par le jury (STAR)

Dates et versions

tel-03592828 , version 1 (01-03-2022)

Identifiants

  • HAL Id : tel-03592828 , version 1

Citer

Céline Duguey. On the security of instante messaging : towards solutions for multi-device and group applications. Other [cs.OH]. Université de Rennes, 2021. English. ⟨NNT : 2021REN1S077⟩. ⟨tel-03592828⟩
78 Consultations
491 Téléchargements

Partager

Gmail Facebook X LinkedIn More