Information flow analysis for embedded systems : from practical to theoretical aspects / Analyse de flot d'information pour les systèmes embarqués : aspects pratiques et théoriques

Ghindici, Dorina

04 December 2008

Nos travaux ont pour but de fournir une solution aux problèmes de confidentialité dans les systèmes multi-applicatifs: assurer la sécurité des applications dédiées aux systèmes portables et autonomes en vérifiant des propriétés de sécurité en termes de flot d'information au moment du chargement des applications, contrairement aux travaux existants qui ne sont ni modulaires ni dynamiques. Afin de fournir un solution complète, nous avons traité les aspects à la fois pratiques et théoriques du problème. Dans un premier temps, nous proposons un modèle et un outil adaptés aux contraintes inhérentes aux systèmes embarqués. Notre approche est modulaire et supporte l'héritage et Ia surcharge. La vérification est donc incrémentale et s'effectue sur le système cible, le seul endroit ou la sécurité peut être garantie. Il s'agit à notre connaissance, du premier vérifieur embarqué pour l'analyse de flot d'information. Afin de prouver l'utilité pratique de notre modèle nous avons mené des expérimentations et nous avons testé l'outil dans des contextes différents. Dans un deuxième temps, nous traitons les aspects théoriques: nous proposons un modèle formel basé sur des graphes de l'abstraction de la mémoire. Un graphe de l'abstraction de la mémoire est un graphe « points-to» prolongé par des noeuds de type primitif et par des liens issus de flots implicites. Notre construction est prouvée correcte par un théorème de non-interférence. De plus, les politiques de sécurité ne nécessitent pas d'être connues pendant l'analyse: le flot d'information est vérifié a posteriori en étiquetant le graphe de l'abstraction de la mémoire avec des niveaux de sécurité. / This work aims at providing a solution to confidentiality issues in multiapplicative systems: ensuring security for an applications running on small and autonomous systems by verifying information flow properties at deployment time. Existing work on information flow does not scale to small open systems due to resources limitations and due to lack of modularity, which is essential in a dynamically evolving environment. ln order to provide a complete solution, we address both practical and theoretical aspects. We first propose a model and a tool dedicated to small open systems running Java bytecode, with support for inheritance and override. Our approach is modular, hence the verification is incremental and is performed on the target device, the only place where the security can be guaranteed. To our knowledge, it is the first information flow verifier for embedded systems. To prove its usability, we ran different experiments and we tested the tool in several contexts. Secondly, we tackle the information flow issue from a theoretical point of view. We propose a formal model, based on abstract memory graphs; an abstract memory graph is a points-to graph extended with nodes abstracting input values of primitive type and flows arising trom implicit flow. Our construction is proved correct with respect to non-interference. Contrary to most type-based approached, our abstract memory graph is build independently on any security level knowledge. Information flow is checked by labeling graphs a posteriori.

Flot d'information

Graphe de dépendances

Typage, compilation, et cryptographie pour la programmation repartie securisée

Planul, Jeremy

08 February 2012

Mes travaux s'articulent principalement autour de trois axes concernant la programmation sécurisée, plus particulièrement dans le cadre d'applications distribuées. Ainsi, nous considérons plusieurs participants ne se faisant pas mutuellement confiance et ayant des niveaux de sécurité différents. On s'intéresse alors au garanties restantes lorsque certains de ces participants sont compromis. Par exemple, lors d'une opération de commerce électronique, le client, le serveur, et la banque ne se font pas mutuellement confiance et font encore moins confiance aux machines intermédiaires du réseau; on veut pourtant qu'une transaction sécurisée puisse avoir lieu.

Confidentiality Enforcement Using Dynamic Information Flow Analyses

Le Guernic, Gurvan

25 October 2007

Avec l'augmentation des communications entre systèmes d'information, l'intérêt pour les mécanismes de sécurité s'est accru. La notion de non-interférence, introduite par Goguen and Meseguer (1982), est fréquemment utilisée pour formaliser des politiques de sécurité impliquant la confidentialité des secrets manipulés par un programme. Un programme est dit non-interférant si son comportement observable par tous n'est pas influencé par la valeur des secrets qu'il manipule. Si ce n'est pas le cas, alors un attaquant ayant connaissance du code source du programme peut déduire des information concernant les secrets manipulés à partir de l'observation du comportement du programme.<br /><br /> À la différence de la majorité des travaux précédents sur la non-interférence (principalement des analyses statiques), ce rapport de thèse s'intéresse au contrôle dynamique de la non-interférence. Le contrôle dynamique des flux d'information est une tâche complexe car l'information transportée par un message n'est pas une propriété intrinsèque de ce message. Elle dépend aussi, lorsque le destinataire connaît l'ensemble des message qui peuvent être envoyés, de la composition de cet ensemble. Le travail présenté dans ce rapport se base sur la composition d'analyses dynamiques et statiques des flux d'information. Des moniteurs de non-interférence sont développés pour différents langages dont un langage concurrent intégrant une commande de synchronisation. L'exactitude de ces moniteurs est prouvée et leur précision est comparée à des travaux précédents.

Sécurité

Confidentialité

Noninterférence

Flot d'information

Analyse dynamique

Moniteur

Test