Outils d'aide à la recherche de vulnérabilités dans l'implantation d'applications embarquées sur carte à puce

Andouard, Philippe

18 December 2009

Les travaux présentés dans cette thèse ont pour objectif de faciliter les évaluations sécuritaires des logiciels embarqués dans les cartes à puce. En premier lieu, nous avons mis au point un environnement logiciel dédié à l'analyse de la résistance d'implémentations d'algorithmes cryptographiques face à des attaques par analyse de la consommation de courant. Cet environnement doit être vu comme un outil pour rechercher des fuites d'information dans une implémentation en vue d'évaluer la faisabilité d'une attaque sur le produit réel. En second lieu, nous nous sommes intéressé à l'analyse de programmes écrits en langage d'assemblage AVR dans le but de vérifier s'ils sont vulnérables aux \textsl{timing attacks}. Nous avons donc développé un outil qui consiste à décrire des chemins du flot de contrôle d'un programme grâce à des expressions régulières qui seront par la suite interprétées par notre outil afin de donner leur temps exact d'exécution (en terme de cycles d'horloge). Enfin, nous avons étudié comment faciliter la compréhension de programmes écrits en langage C dans le but de vérifier si des politiques de sécurité sont correctement implémentées. D'une part, nous fournissons des assistants de navigation qui au travers d'informations concernant les variables et procédures rencontrées, facilitent la compréhension du programme. D'autre part, nous avons au point une manière de vérifier les politiques de sécurité sans modélisation préalable (e.g. avec un automate à états finis) au moyen de requêtes exprimées dans la logique CTL. / The work presented in this thesis aims at easing the evaluation process of smartcards embedded software. On one hand, we set up a software environment dedicated to analyze the implementation resistance of cryptographic to power analysis attacks. This environment must be seen as a tool that facilitates a real attack by giving a way to find information leakages in an implementation. On the other hand, we focused on analyzing program written in AVR assembly language in order to check whether they are vulnerable to timing attacks. To achieve this goal we have developed a tool that makes possible the description of a path in the control flow of the program thanks to regular expressions. Those regular expressions will be interpreted by our tool in order to give the exact execution timing (expressed in clock cycles). Finally, we studied how to ease the global comprehension of a program written in C language in order to check whether security policies are well implemented. First, we provide graphical navigation assisants that helps to understand the progam being analyzed by giving information on variables and procedures. Then, we provide a way to check the security policies through the use of requests expressed with the CTL logic. This approach does not need prior modelisation of the program.

Carte à puce

Sécurité

Side channel attacks

Langage d'assemblage AVR

Langage C

Smartcard

Security

Microcontrollers

Side channel attacks

AVR assembly language

C language

An Appraisal Of The Supernova Minicomputer As A Process Simulation Tool

Foran, Charles

01 1900

<p> The object of this work was to evaluate the Supernova ninicomputer as a process simulation tool. To accomplish this obje c tive the GEMCS ste2dy-state simulation system wa.s programmed for the Supernova. This system was programmed to run in five different modes, BASIC , two modes which require that al.L progra1ns are written in Assembly Language, and two modes in which programs may be called from the disk. Of these latter two modes, one requires all programs to be written in Assembly Language; the other mode allows programs to be written in Assembly Language or FORTRAN IV. </p> <p> Two case studies which had previously been run on the CDC 6400 were run on the Supernova to test and evaluate f our of the modes in which GEMCS was proerammed for the Supernova. </p> <p> The studies have also provided an a ssessment of the hardware and softws.re facilities of the Supernova and the results of thjs assessment were documented. In addition the opera tion of the various strategies used to impl ement GEMCS have provided an indication of the feasibility of the impl ementation of the dynamic system simulation program, DYNSYS. </p> / Thesis / Doctor of Philosophy (PhD)

Implementace symetrické blokové šifry AES na moderních procesorech / Implementation of symmetric bloc cipher AES in modern processors

Škoda, Martin

January 2014

The main aim of master's thesis is usage of new instructions from instruction set called Intel® Advanced Encryption Standard New Instructions (AES-NI), which is available on processors with code name Westmere and newer. In theoretical part, there are described symmetric block ciphers and their operational modes. Cipher AES is described in details, especially used block transformations, key expansion and equivalent inverse cipher. Next topic is description of instructions of AES-NI instruction set – their function is explained using pseudo codes of instructions and there are examples of their usage in code. Further in work, dynamic-link library is created, which implements cipher AES with key sizes 128, 192 and 256 bites and implements operational modes described in theoretical part. Library functions are called from Matlab by scripts and their functionality is proved by checking test vectors values, which are provided in publications of National Institute of Standards and Technology.

Composants multiplateformes pour la prise en compte de l'hétérogénéité des terminaux mobiles / Cross-platform components to manage the heterogenity of mobile devices

Perchat, Joachim

08 January 2015

Ces travaux de thèse visent à diminuer le coût de développement des applications mobilespour smartphones Android, iOS, etc. Les applications mobiles sont de plus en plus complexes. Auparavant, une application mobile se contentait d’afficher des données provenant du web. Maintenant, en plus de cela, elles communiquent avec le monde extérieur. Par exemple, certaines applications communiquent avec des montres, avec des écrans de télévision etc. D’autres permettent le scan de codes barres ou encore l’interaction avec des objets réels à travers la réalité augmentée. Les serveurs peuvent envoyer des notifications aux applications, etc. Une application mobile est devenue un logiciel à part entière. Cependant, pour toucher un maximum d’utilisateurs de smartphones, les applications mobiles doivent être conçues, implémentées et déployées sur tous les smartphones possibles. Avec la multiplication des configurations matérielles différentes ainsi que la multiplication des systèmes d’exploitation mobiles, cette tâche devient de plus en plus ardue. En effet, une application mobile doit souvent être réalisée une fois pour chaque plate-forme cible (Android, iOS, Windows Phone 8, etc.). Le temps et le coût de réalisation d’applications mobiles est donc multiplié par le nombre de plates-formes ciblées. Dans ces travaux, nous proposons de combiner le développement natif avec la programmation par composants. Pour ce faire, nous introduisons la notion de composants multiplateformes. Ce sont des composants qui peuvent être exécutés sur plusieurs plates-formes mobiles. Pour la représentation des composants, nous avons introduit la notion d’interface indépendante à n’importe quelle plate-forme mobile. Ainsi, l’intégration et l’assemblage se font d’une façon unique, que l’on soit dans un environnement de développement Android, iOS ou autre. Pour ce faire, nous avons spécifié un nouveau langage de programmation basé sur les annotations. Cette approche a été validée à travers le développement d’une application mobile pour Android et iOS avec notre solution. L’application implémentée a été réalisée en concordance avec les problématiques que rencontrent les entreprises de développement mobile et plus particulièrement Keyneosoft. Ensuite, nous avons comparé ces versions de l’application avec les versions développées nativement. Nous avons montré qu’avec notre solution nous diminuons le temps de développement d’au moins 30% sans aucune limitation pour les développeurs d’applications (même expérience utilisateur, même performance). Nous avons aussi comparé notre solution avec des produits disponibles sur le marché Phonegap, Titanium mobile et Xamarin. Nous en avons conclu que notre solutiton offrait le plus de possibilités sans aucune limitation. / In this thesis, we aim to decrease the development cost of applications for smartphones running Android, iOS, etc. Mobile applications are more and more complex. A few year ago, a mobile application was only design to display web content. Today, in addition, they are connected with the external world. For example, some applications are connected with watches, TVs, etc. Mobile applications became real softwares. However, in order to be visible by all smartphones users, mobile applications are designed, developed and deployed on every kind of smartphone. With the increase of the multiplicity of hardware configurations and the diversity of mobile operating systems, this task is becoming more and more laborious. Indeed, a mobile application is often implemented one time for each target platform (Android, iOS, Windows Phone 8, etc.). Therefore, the time and the cost for a mobile application implementation is multiplied by the number of target platforms. In this thesis, we propose to combine native development with the advantages of component-based software engineering. To do that, we have introduced the concept of multiplatform components. Those components are capable to be executed on any mobile platform. In order to describe components, we have introduced interfaces that are independent of any mobile platform. Thus, component integration and assembly are common on Android, iOS and others systems. To achieve that, we have specified a new programming language based on Annotations. We have validated this approach with the implementation of a real mobile application for Android and iOS. We have compared this application with the same application developed natively. Results show that with our solution, developers implement a multiplatform application 30% faster than native development. Moreover, our solution does not show any limitation for developers (same user experience, same performances). Finally, we have compared our solution with real products available on the software market: Phonegap, Titanium mobile and Xamarin. This comparison illustrates that our solution provides the best features and does not limit developers possibilities.

Développement mobile multiplateforme

Programmation par composants

Composants multiplateformes

Assemblage

Langage commun

Compilateur source-À-Source.

Cross-Platform mobile development

Component-Based development

Cross-Platform components

Assembly language

Common programming language

Source-To-Sourcecompiler.