Les crypto-processeurs et l informatique de confiance. Guillaume Duc Encadrant : Ronan Keryell
|
|
- Joëlle Roussel
- il y a 8 ans
- Total affichages :
Transcription
1 Les crypto-processeurs et l informatique de confiance Guillaume Duc Encadrant : Ronan Keryell 19 décembre 2003
2 Table des matières Introduction 3 1 Les crypto-processeurs Principes Architecture classique pour l exécution de programmes chiffrés Aegis TCG - Trusted Computing Group Applications Exécution certifiée Gestion Numérique des Droits La vérification mémoire Les différents types d attaques L injection La permutation physique Le rejeu Les arbres de Merkle Principes Optimisations Un vérificateur hors-ligne Problèmes Les aspects logiciels La mise en œuvre logiciel Exemple de CryptoPage NGSCB / Palladium Isolation forte des processus Stockage sécurisé Attestation cryptographique Chemins sécurisés vers l utilisateur Les simulateurs de machines virtuelles SimpleScalar Bochs Conclusion 16 Bibliographie 17 2
3 Introduction Le problème de la sécurité informatique est relativement ancien. De très nombreux protocoles, algorithmes, etc. ont été développés pour augmenter la sécurité dans de nombreux domaines mais tous sont vulnérables à des attaques physique où l attaquant a accès au support d exécution de ces programmes. En effet, quelqu un disposant de connaissances techniques et de moyens appropriés peut par exemple instrumentaliser le bus du processeur et ainsi récupérer d éventuelles données sensibles. De même, un système d exploitation ou un administrateur malveillant peut avoir accès au contenu de la mémoire. Il est donc nécessaire de disposer de fonctions matérielles afin de contrer ce type d attaques. Dans un premier temps réservés aux seules applications sensibles (armée, banques, etc.), les crypto-processeurs commencent à pénétrer le marché des consoles de jeux et des ordinateurs personnels à cause de la très forte augmentation du piratage informatique. En disposant d un environnement matériel sécurisé, on peut concevoir des systèmes anti-copie fiables pour des programmes ou des œuvres numériques, ce qui était auparavant impossible avec des moyens purement logiciels. Nous allons tout d abord étudier les principes de fonctionnement des crypto-processeurs, puis les algorithmes qu ils mettent en œuvre afin de sécuriser les échanges avec la mémoire centrale de l ordinateur, les modifications nécessaires au niveau logiciel (système d exploitation et programmes) afin de pouvoir les utiliser et enfin des outils permettant de simuler leur fonctionnement et de mesurer leurs performances. 3
4 Chapitre 1 Les crypto-processeurs 1.1 Principes Le principe de base d un crypto-processeur est d intégrer des fonctions de cryptographie (chiffrement, signature numérique, gestion des clés) directement à l intérieur d un microprocesseur classique. Son but est de résister à toute attaque physique ou logicielle, par exemple sur les bus de données et d adresses, sur la mémoire (modification du programme ou de ses données) ou sur le processeur lui-même. Les crypto-processeurs peuvent être séparés en deux grandes catégories : ceux qui permettent l exécution fiable d un programme en clair (le processeur va certifier qu il n y a pas eu d attaque durant l exécution de celui-ci dont le code est en clair) et ceux qui permettent l exécution fiable d un programme chiffré (le code exécutable du programme est chiffré pour un processeur en particulier et un adversaire ne peut pas le déchiffrer ni le copier sur une autre machine). Certains crypto-processeurs comme Aegis [8] permettent l exécution de programmes dans les deux modes. La seconde approche est celle qui a été la plus privilégiée dans le passé et avait pour objectif d empêcher la copie ou l analyse du fonctionnement du programme. Nous allons donc tout d abord voir l architecture classique d un crypto-processeur réalisant cette fonction puis étudier Aegis qui permet également la première approche. Enfin, nous verrons le système proposé par le TCG (Trusted Computing Group) Architecture classique pour l exécution de programmes chiffrés Chaque crypto-processeur va disposer d une paire de clés (une clé publique et une clé privée) qui lui est propre. Le producteur du logiciel va chiffrer le code exécutable à l aide de la clé publique du processeur afin qu une fois chiffré, il ne puisse être déchiffré qu avec la clé secrète correspondante et donc que par le processeur pour lequel il est destiné. La copie du programme devient donc inutile (sauf pour des raisons de sauvegarde privée) puisqu aucun autre processeur ne pourra le déchiffrer et donc l exécuter. Comme les algorithmes de chiffrement asymétriques sont lents, les crypto-processeurs utilisent des algorithmes mixtes : le producteur génère une clé de session symétrique, chiffre son programme avec cette clé puis chiffre la clé avec la clé publique du processeur. Ce dernier récupère la clé de session à l aide de sa clé privée puis déchiffre le programme. Comme la mémoire interne au processeur est généralement trop faible pour stocker les données du programme, celles-ci sont envoyées en mémoire. La mémoire étant supposée accessible par un adversaire, les données sont chiffrées avec une clé de session spécifique au programme avant d être stockées en mémoire et déchiffrées lors de la lecture. Comme la clé utilisée pour chiffrer les données est différente d un programme à un autre, seul le processus 4
5 propriétaire des données peut les lire. Il est également nécessaire de mettre en place des algorithmes pour prévenir les modifications du contenu de la mémoire par un adversaire (cf. chapitre 2). Un crypto-processeur va donc gérer en interne une table contenant la liste des processus chiffrés qu il est en train d exécuter avec leur clé de session correspondante. Lors d une interruption, le processeur sauvegarde son état interne comme normalement mais en plus, il le chiffre avec sa clé privée afin que le système d exploitation n y ait pas accès. De plus, il efface les valeurs des registres pour ne pas divulguer d informations sensibles Aegis Dans [8] est présenté une architecture pour un crypto-processeur capable d effectuer des opérations résistantes aux attaques et de le prouver. Il fournit deux environnements d exécution pour les programmes : un mode sécurisé non chiffré et un mode sécurisé et chiffré. L environnement d exécution non chiffrée a pour but de garantir l intégrité de l exécution du programme. L environnement d exécution chiffrée apporte en plus la garantie que personne ne peut avoir accès au code exécutable du programme ni à ses données. Le processeur dispose d une clé publique (P K p ) et d une clé privée (SK p ). Aegis n ayant pas besoin d un système d exploitation spécial, il a besoin de garder la trace des processus qui s exécutent en mode sécurisé. Il dispose donc d un gestionnaire de contexte sécurisé (Secure Context Manager, SCM ) implémenté au niveau matériel. Ce SCM maintient une table contenant un certain nombre d informations sur chaque processus qui s exécute en mode sécurisé : un identifiant (SPID), un résumé cryptographique du programme (H(P rog)), des registres (H(Regs)) et un dernier utilisé pour la vérification de la mémoire. Une nouvelle entrée est créée lorsqu un programme exécute l instruction enter tee (pour entrer en mode d exécution sécurisé) et est détruite lors de l appel de exit tee (pour sortir du mode d exécution sécurisé). Cette table peut être stockée dans le processeur mais pour qu elle soit plus extensible, elle peut être stockée en mémoire moyennant un chiffrement et une vérification de son contenu. Lors de l entrée en mode sécurisé, le SCM calcul un résumé cryptographique du programme et de ses données qu il stocke dans sa table afin de permettre ultérieurement de s assurer que le programme n a pas été altéré avant son exécution. Lors d un changement de contexte, le SCM sauvegarde les valeurs des registres du processus en cours dans sa table pour pouvoir ensuite les restaurer. Il empêche également le système d exploitation d avoir accès à ces valeurs. Un programme peut envoyer un message à un utilisateur à l aide de l instruction sign msg qui retourne {H(P rog), M} SKp, c est-à-dire l ensemble message et résumé cryptographique du programme signé avec la clé privée du processeur. Ainsi l utilisateur peut savoir quel processeur exécutant quel programme lui a envoyé le message. Dans le mode chiffré, deux instructions sont ajoutées, set key et store private qui permette respectivement de spécifier avec quelle clé est chiffré le code machine du programme et de sauvegarder une valeur chiffrée en mémoire. Pour partager un secret avec un programme, l utilisateur envoie un message chiffré au processeur E P Kp (H(P rog), M). Pour déchiffrer le message, le programme exécute une instruction particulière qui déchiffre le message avec la clé privée du processeur et renvoie M si et seulement si H(P rog) correspond bien au programme en cours d exécution. Le processeur utilise également des algorithmes de vérification mémoire (cf. chapitre 2) afin de s assurer que la mémoire externe se comporte normalement. 5
6 1.2 TCG - Trusted Computing Group Le Trusted Computing Group, formé de grandes entreprises du monde de l informatique, a également réfléchi sur comment obtenir une informatique de confiance, c est-à-dire comment garantir qu un programme va s exécuter de façon fiable en dépit des attaques, un peu à la manière du mode sécurisé mais non chiffré de Aegis. Les spécifications [9] de cette plate-forme de confiance sont basées sur une puce (baptisée TPM Trusted Platform Module), indépendante du processeur, résistante à l investigation et qui est chargée d un certain nombre de fonctions. Tout d abord, cette puce contient une paire de clé publique/privée qui lui est propre et qui est signée par son fabriquant. Elles lui permettent de prouver son identité et d assurer des fonctions cryptographiques de base. Lors du démarrage, cette puce va collecter des données sur l état de la machine et va calculer un résumé cryptographique des programmes utilisés lors de la séquence de démarrage (BIOS, boot-loader, etc.). La puce utilisera ensuite ces informations afin de déterminer si la machine a bien été démarrée dans un état jugé digne de confiance. Cette méthode de vérification du démarrage est basé sur [10]. Elle offre aussi la possibilité à une application de chiffrer des messages qui ne pourront être déchiffrés que dans une configuration matérielle et logicielle particulière. Par exemple, un programme peut demander à cette puce de chiffrer des informations qui ne pourront être déchiffrées que dans la configuration actuelle. Tout changement de système d exploitation ou autre rendra les données indéchiffrables. La spécification décrit un certain nombre d autres fonctionnalités. Cependant, [11] fait remarquer que le TPM n a pas été conçu pour résister à des attaques matérielles, les participants au TCG ayant jugé que celles-ci sont hors de portée de particuliers. Par contre, la compromission d un module TPM est limitée et n affecte pas les autres modules vendus. Cette architecture en elle-même n est pas très utile. Associée à un système d exploitation ad-hoc (par exemple Palladium, cf. section 3.2) elle permet une informatique de confiance mais peut avoir de très nombreux effets pervers sur la libre concurrence dans ce domaine (cf. [12]). 1.3 Applications Nous allons maintenant voir quelques applications qui peuvent bénéficier de l utilisation de crypto-processeurs Exécution certifiée L exécution certifiée consiste à s assurer qu un programme s est exécuté sur une machine sans modification extérieure du programme en lui-même, de ses résultats, ou de ses états intermédiaires. Cette propriété est importante par exemple dans les grilles de calcul. Les applications actuelles qui utilisent la puissance inutilisée de milliers d ordinateurs connectés à Internet, comme SETI@home 1 ou distributed.net 2, n ont aucun moyen de s assurer que les résultats reçus n ont pas été altérés d une façon ou d une autre. Elles sont donc obligées d effectuer les calculs de façon redondante afin de tenter de détecter les résultats anormaux, ce qui entraîne une perte d efficacité et n est pas totalement fiable (par exemple si le nombre de noeuds byzantins est important). [8] présente comment il est possible d utiliser le crypto-processeur Aegis afin de répondre à ce problème. Le concepteur de l application calcule un résumé cryptographique de son programme et le distribue aux différents noeuds. Le programme rentre en mode d exécution
7 sécurisé dans Aegis 3 qui calcule alors le résumé cryptographique du programme. Il s exécute et produit un résultat qui est alors concaténé avec le résumé cryptographique du programme et signé par le crypto-processeur. Ce dernier retourne ce résultat signé avec un certificat numérique de son fabriquant certifiant la clé publique du processeur. L application qui centralise les résultats récupère le tout, vérifie la signature numérique et le résumé cryptographique du programme avant d accepter le résultat. À l aide de la signature numérique, elle sait quel processeur a exécuté le programme. Avec le résumé cryptographique, elle est assurée que le programme et ses données initiales n ont pas été altérés avant l exécution, et comme le programme s exécute en mode sécurisé dans le processeur, elle sait que ce dernier ni ses données n ont été modifiés pendant l exécution. Ainsi au lieu de devoir faire confiance à tous les participants de la grille, le concepteur de l application n a plus qu à faire confiance qu au fabriquant des crypto-processeurs Gestion Numérique des Droits La gestion des droits (Digital Rights Management, DRM ) est un sujet d actualité. Il s agit de limiter ce qu un utilisateur peut faire avec une œuvre numérique (musique, film, etc.). Par exemple, celui-ci peut ne pas être autorisé à copier l œuvre en question, peut n être autorisé qu à regarder une seule fois l œuvre, etc. Afin de permettre ces différentes politiques, le contenu de l œuvre est chiffrée et un lecteur particulier tente de faire respecter les droits qui sont associés avec celle-ci. Malheureusement, cette technique est vulnérable à une personne mal intentionnée qui utiliserait des outils de déverminage, voire même des attaques de plus bas niveau (comme l interception des données transitant par le bus de l ordinateur) pour récupérer la version non chiffrée de l œuvre et qui pourrait ainsi la recopier sans contraintes. Dans [8] est décrit une architecture permettant d imposer le DRM à l aide du cryptoprocesseur Aegis. Ils envisagent le cas où l utilisateur n a le droit de lire l œuvre qu une seule fois. Le concepteur du programme de lecture distribue celui-ci, qui fonctionne en mode sécurisé dans le processeur. Le programme demande à l utilisateur de choisir une œuvre particulière. Il envoie alors un message au fournisseur de contenu avec le choix de l utilisateur, une donnée aléatoire, le tout étant signé par le processeur afin que le fournisseur puisse vérifier son intégrité ainsi que celle du programme de lecture. Il chiffre alors l œuvre et la donnée aléatoire avec une clé aléatoire qu il chiffre avec la clé publique du processeur. Le crypto-processeur déchiffre alors la clé de session utilisée. Le programme vérifie la donnée aléatoire afin d empêcher un adversaire de rejouer un message, déchiffre le contenu de l œuvre et la joue. Cependant, malgré ces précautions, le contenu de l œuvre est encore vulnérable lorsqu il transite sur des canaux analogiques. Un adversaire peut très bien reconvertir le signal analogique en signal numérique, moyennant certes une perte de qualité. 3 Avec l instruction enter tee 7
8 Chapitre 2 La vérification mémoire 2.1 Les différents types d attaques Lors de l utilisation de crypto-processeurs, on suppose que le comportement de tout ce qui est à l extérieur de celui-ci peut être entièrement sous le contrôle d un adversaire. Cette hypothèse est en particulier vraie pour un composant important : la mémoire. Pour que l exécution d un programme par le crypto-processeur soit correcte, il est nécessaire que ce dernier détecte tout comportement anormal de la mémoire où est stockée le programme et les données temporaires qu il manipule. Le crypto-processeur doit s assurer que la valeur qu il lit à une adresse mémoire particulière est la valeur la plus récente qu il a stockée à cette adresse. La mémoire peut faire l objet de trois type d attaques : l injection ; la permutation physique ; le rejeu. Les crypto-processeurs doivent mettre en place des algorithmes afin de détecter ces attaques et de ne pas révéler de données sensibles. Nous allons voir quelques uns de ces algorithmes L injection Dans ce type d attaque, l adversaire génère une valeur et essaye de la faire passer pour une donnée valide. Il peut aussi bien affecter le code que les données du programme. Si le crypto-processeur accepte sans vérifier ces données, il peut révéler des informations sensibles. C est à l aide d une attaque ressemblant à celle-ci que le DS5002FP (de Dallas Semiconductor) a été cassé [15]. La solution couramment adoptée est d utiliser un Message Authentication Code (MAC) (par exemple dans [3, 1]). Un MAC est une fonction de hachage cryptographique utilisant une clé. En possédant la clé, il est facile de recalculer le résumé cryptographique pour vérifier l authenticité de la valeur lue mais il est difficile de trouver une autre valeur produisant le même résumé. La clé est utilisée pour empêcher l adversaire d utiliser cette fonction pour générer un résumé correct pour la valeur qu il essaie d injecter. Lorsque le crypto-processeur sauvegarde une valeur en mémoire, il calcule le MAC correspondant à celle-ci qu il stocke également en mémoire. Lorsqu il lit une valeur, il lit également le MAC correspondant et le vérifie. Si le MAC n est pas identique, la valeur en mémoire a été modifiée et donc le crypto-processeur doit s arrêter. 8
9 2.1.2 La permutation physique Dans ce type d attaque, l adversaire prend une valeur valide (c est-à-dire la valeur et le MAC calculé par le crypto-processeur) et l enregistre à un autre endroit de la mémoire. Lorsque le crypto-processeur essaye d accéder à cette adresse, il lit la valeur et vérifie le MAC et ne détecte aucune erreur car le MAC correspond bien à la valeur lue. Ici aussi, une solution largement répandue consiste à utiliser, pour générer le MAC, une fonction qui dépend de l adresse mémoire de la valeur à stocker. Ainsi, lorsque le processeur va lire la valeur permutée, il va détecter que le MAC ne correspond pas puisque celui-ci aura été calculé pour une autre adresse mémoire Le rejeu Le rejeu consiste à remplacer la valeur située à une adresse mémoire par une valeur que cette adresse a déjà prise dans le passé. Comme la valeur remplaçante a été prise à la même adresse mémoire, les deux protections vues précédemment sont inefficaces. la grande majorité des crypto-processeurs est vulnérable à cette attaque, comme par exemple CryptoPage 1 ([1]). Voici un exemple d utilisation de ce type d attaque. Si le programme contient par exemple : for(i=0; i < TAILLE; i++) affiche(*p++); et si l adversaire arrive à localiser l adresse de i et qu il rejoue toujours une même valeur, le programme est amené à afficher des données potentiellement confidentielles. Pour contrer ce type d attaque, on doit disposer d un vérificateur global de la mémoire. Deux types de vérificateurs ont été développés : les vérificateurs hors-ligne et les vérificateur en-ligne. Un vérificateur hors-ligne permet de vérifier régulièrement l intégrité de la mémoire mais il reste des risques de piratage entre les passages du vérificateur. On peut néanmoins l utiliser dans des portions de codes qui, si jamais la mémoire est corrompue, ne risquent pas de révéler de informations sensibles et appeler la fonction de vérification quand des données doivent être transmises à l utilisateur pour voir si les calculs précédents n ont pas été affectés par une modification de la mémoire. Les vérificateurs en-ligne vérifient la mémoire à chaque accès à celle-ci. Ils sont donc sûrs (ils détectent les attaques avant qu une valeur puisse être utilisée) mais ils sont nécessairement plus lents car ils ajoutent un surcoût à chaque accès mémoire. Nous allons voir dans les sections suivantes plusieurs vérificateurs mémoire utilisés dans différents crypto-processeur afin de contrer les attaques par rejeu. 2.2 Les arbres de Merkle [5, 4] proposent d utiliser des variantes des arbres de Merkle afin d effectuer des vérifications sur les mémoires. Cette technique est utilisée par exemple dans CryptoPage-2 [2] Principes Les feuilles de l arbre sont constituées des données à protéger et les noeuds contiennent un résumé cryptographique des noeuds ou des feuilles situées en dessous d eux. Le résumé cryptographique de la racine de l arbre est stocké dans une mémoire sécurisée, par exemple à l intérieur même du crypto-processeur. Pour vérifier qu une feuille ou un noeud n a pas été altéré, on compare son résumé avec celui stocké dans le noeud parent et on vérifie que ce dernier n a pas été altéré. On répète 9
10 l opération jusqu à arriver au résumé du noeud racine stocké dans la mémoire inaltérable. Pour écrire une valeur en mémoire, on doit mettre à jour tous les noeuds au dessus de la modification jusqu au résumé racine Optimisations Dans [6] est décrit une méthode pour optimiser les algorithmes de lecture et d écriture vérifiées en utilisant le cache du crypto-processeur. L idée est que si le contenu d un noeud ancêtre est stocké dans le cache, supposé résistant aux attaques, il n est alors pas nécessaire de parcourir toute une branche et de remonter au noeud racine car on peut s arrêter à ce noeud contenu en cache puisque la branche située entre ce noeud et le noeud racine aura déjà été vérifiée lors du chargement dans le cache. Avec cette optimisation, la pénalité au niveau des performances est d environ 20% et 12,5 à 25% de la mémoire externe est utilisée pour le stockage des noeuds de l arbre. 2.3 Un vérificateur hors-ligne [7] présente un vérificateur de mémoire hors-ligne. Il est basé sur des fonctions de hachage incrémentales. Lors d un accès mémoire (en lecture ou en écriture), il met à jour un résumé cryptographique stocké dans une mémoire sécurisée. Lorsque le processeur à besoin de vérifier que les données qu il a utilisé jusqu à présent n ont pas été altérées, il appel une fonction du vérificateur qui va lire le contenu entier de la mémoire et vérifier à l aide du résumé l intégrité de la mémoire. Avec un vérificateur hors-ligne, il est important que le crypto-processeur appelle la fonction de vérification dès qu il a besoin d envoyer un résultat sous forme non chiffrée à l utilisateur. 2.4 Problèmes Jusqu à présent, on a considéré que l ensemble de la mémoire était vérifiée et que seul le crypto-processeur (ou un adversaire) y accède. Or, des périphériques peuvent accéder à la mémoire en utilisant le DMA. Pour résoudre ce problème, [6] propose d utiliser une portion de mémoire non vérifiée pour les transferts DMA. Le programme devra ensuite copier le contenu de cette zone vers la mémoire protégée. Cette solution nécessite néanmoins une copie supplémentaire des données transférées. 10
11 Chapitre 3 Les aspects logiciels 3.1 La mise en œuvre logiciel Exemple de Crypto- Page Les modifications à apporter à la couche logicielle (programmes et système d exploitation) dépendent du crypto-processeur considéré. Dans tous les cas, de nouvelles instructions sont ajoutées afin d utiliser les fonctionnalités particulières de ces processeurs. Selon ses concepteurs, le processeur Aegis [8] n a pas besoin de modifications au niveau système d exploitation pour pouvoir fonctionner. Au contraire, pour pouvoir exploiter la puce TPM [9], des modifications du système sont nécessaires (cf. section 3.2). Dans [1] est décrite la mise en œuvre logicielle du processeur CryptoPage dans un environnement de type Unix permettant l exécution coexistante de processus utilisateurs ou superviseurs, chacun pouvant être crypté ou non. Aucun processus, même superviseur, ne peut surveiller ce qui se passe à l intérieur d un processus chiffré. Par contre, un processus chiffré peut partager des données avec un autre processus chiffré avec la même clé. Appels au système Afin de pouvoir faire des appels systèmes, un processus chiffré doit tout d abord déchiffrer les arguments passés au noyau pour que celui-ci les comprenne lors du trap. Certains appels systèmes doivent également supporter un mode chiffré et un mode non chiffré comme par exemple write() qui permettra d enregistrer des informations chiffrées dans un fichier et qui devra avoir un complémentaire write nc() qui lui écrira des informations non chiffrées. Les fonctions d allocation mémoire comme malloc() devront réserver de la mémoire en plus afin de permettre le stockage des signatures utilisées pour vérifier l intégrité des données. Création de processus chiffrés La création d un nouveau processus en Unix se fait par appel à la fonction fork(). Si le processus qui l appelle est chiffré, le processus créé sera lui aussi chiffré. Lors de l appel à exec() qui permet de lancer un nouveau programme, si le système rencontre un exécutable chiffré, il fera appel à la primitive d initialisation de processus chiffré du crypto-processeur en lui passant comme paramètre le contexte matériel chiffré présent dans l exécutable. Signaux Les signaux en Unix sont des interruptions logicielles qui se traduisent par des appels de fonctions par le noyau lorsque le processus reçoit un signal. Or il y a un problème si 11
12 Fig. 3.1 Interactions entre applications et matériel sur un ordinateur NGSCB le noyau s exécute en mode non chiffré et qu il doit appeler une fonction d un processus chiffré. Il faut donc ajouter une couche qui permettra de chiffrer les paramètres à passer à la fonction. Compilation Le format exécutable produit par le compilateur doit être étendu pour supporter les exécutables chiffrés. Il doit notamment comporter un entête pour indiquer qu on a affaire à un exécutable chiffré, un descripteur chiffré avec la clé publique du processeur et qui contient la clé symétrique de chiffrement de l exécutable, une zone text comportant le code exécutable chiffré et une zone initialized data contenant les données initialisées du programme sous forme chiffrée. 3.2 NGSCB / Palladium NGSCB (Next-Generation Secure Computing Base, anciennement Palladium) est un projet d extension proposé par Microsoft pour son système d exploitation Windows. Il est décrit assez superficiellement dans [13, 14]. Ce modèle se base sur un noyau sécurisé appelé Nexus et sur des primitives matérielles comme celles offertes par TCG (cf. section 1.2). Le nexus s intercale entre le processeur et le système d exploitation (cf. figure 3.1), considéré comme non sécurisé. Cependant, il n effectue que les opérations jugées sensibles, délégant les autres au système. Il offre quatre fonctions de base qui sont l isolation forte des processus, le stockage sécurisé, l attestation cryptographique et les chemins sécurisés Isolation forte des processus Le nexus, par un dispositif de marquage des adresses, va empêcher les applications et le système d exploitation d accéder à certaines parties de la mémoire utilisées par luimême ou par des NCA (Nexus Computing Agent) qui sont des portions de programmes qui 12
13 nécessitent un environnement protégé particulier. Il interdit également les transferts DMA en direction ou en provenance de ces pages mémoire. La mémoire sera donc découpée entre les applications sécurisées (les NCA) et le nexus, et les applications normales et le système d exploitation Stockage sécurisé Le nexus utilise les fonctions proposées par le TPM pour assurer un stockage sécurisé sur le disque aux NCA. Ces derniers peuvent demander au nexus que les informations qui sont ainsi chiffrées ne soient accessibles qu à lui-même ou à d autres applications. Par exemple, les informations ne peuvent être lues que par l application qui les a sauvegardées et seulement sur une machine donnée. Ainsi, en cas de vol du disque, les informations ne pourront pas être déchiffrées. NGSCB propose également une méthode pour permettre la sauvegarde sécurisée des données sur d autres machines Attestation cryptographique Cette fonctionnalité permet à un logiciel d attester qu une donnée a été produite à l aide d une configuration logicielle cryptographiquement identifiable. Si elle est utilisée avec une infrastructure de certification, ce mécanisme permet à l utilisateur de prouver que le matériel et la couche logicielle sont légitimes Chemins sécurisés vers l utilisateur Le nexus s assure que lorsqu un NCA a besoin d effectuer des opérations d entrées/sorties, les données qui transitent ne peuvent pas être interceptées par d autres applications ou par le système d exploitation. 13
14 Chapitre 4 Les simulateurs de machines virtuelles Afin d évaluer les performances de divers crypto-processeurs ainsi que des éventuelles modifications à apporter au système d exploitation et/ou aux logiciels, on peut avoir recours à des simulateurs. 4.1 SimpleScalar SimpleScalar 1 est une suite d outils permettant de simuler le fonctionnement de plusieurs processeurs actuels (Alpha, ARM, i386, etc.) et d évaluer précisément leurs performances. Les modèles de processeurs qu il intègre peuvent simuler des fonctions avancées présentes dans certains processeurs comme l exécution spéculative, la prédiction de branchement. On peut également par exemple, modéliser finement le fonctionnement des différents niveaux et politiques de gestion des caches. SimpleScalar a été crée par Todd Austin. Il est maintenant commercialisé par la société SimpleScalar LLC mais il est possible de l utiliser et de le modifier dans un but non commercial. De plus, il est très portable, flexible (il permet par exemple de simuler des architectures little-endian sur une machine big-endian par exemple) et très populaire 2. Les auteurs de [8] l utilisent notamment afin de mesurer l impact en terme de performance des algorithmes choisis pour l implantation du crypto-processeur Aegis. Cependant, il ne simule que le processeur ainsi que la hiérarchie mémoire. Il transfère tous les appels systèmes au système hôte. Il ne permet donc pas de simuler l exécution d un système d exploitation complet sur le processeur virtuel mais uniquement l exécution d applications compilées pour celui-ci (via une adaptation spéciale de gcc pour SimpleScalar), contrairement à Bochs (cf. section 4.2). 4.2 Bochs Bochs 3 est un émulateur portable open-source de PC. Il permet d émuler sur un grand nombre de plate-forme un PC standard avec tous ses composants : processeur (x86), BIOS, carte graphique, disque dur, mémoire, etc. et ainsi de faire tourner sans modification pratiquement tous les systèmes d exploitation et logiciels destinés aux PC D après le site web, en l an 2000, près d un tiers des articles publiés dans les plus grandes conférences sur l architecture des ordinateurs l utilisaient
15 En modifiant le modèle de processeur utilisé pour l émulation, il devient alors possible de simuler l ajout de fonctions cryptographiques à un processeur de type i386 et donc de simuler le comportement des applications lors de l utilisation d un crypto-processeur. Cependant, Bochs ne dispose pas d outils permettant la réalisation de tests de performance. Si l on veut disposer de mesures sur l impact du crypto-processeur, il faudra soit rajouter des sondes à l intérieur du code source de Bochs, soit utiliser un autre outil plus adapté à la simulation d un processeur (cf. SimpleScalar, section 4.1). 15
16 Conclusion Nous venons donc de voir qu il existe un certain nombre de travaux sur les cryptoprocesseurs et leur environnement (vérification de la mémoire et aspects système d exploitation) visant à disposer d une architecture matérielle sécurisée afin de permettre l exécution fiable de programmes. À partir de ces systèmes, on peut développer par exemple des solutions de protection contre le piratage d œuvres numériques ou permettre l exécution sécurisée d applications dans les grilles de calcul. Il reste à évaluer précisément les ajouts à effectuer dans un système d exploitation particulier et dans un compilateur et d évaluer les impacts de ceux-ci en terme de performance dans le cadre du crypto-processeur Crypto- Page, ce qui fait l objet de ce stage. 16
17 Bibliographie [1] Ronan Keryell. «CryptoPage-1 : vers la fin du piratage informatique?». Dans Symposium d Architecture (SympA 6), pages 35 44, Besançon, juin enstb.org/~keryell/publications/enstbr_info_ [2] Cédric Lauradoux et Ronan Keryell. «CryptoPage-2 : un processeur sécurisé contre le rejeu». RENPAR 15/CFSE 3/SympAAA 2003, La Colle sur Loup, octobre [3] David Lie, Chandramohan Thekkath, Mark Mitchell, Patrick Lincoln, Dan Boneh, John Mitchell et Mark Horowitz. «Architectural Support for Copy and Tamper Resistant Software». Dans Architectural Support for Programming Languages and Operating Systems, pages , [4] Manuel Blum, William S. Evans, Peter Gemmell, Sampath Kannan et Moni Naor. «Checking the Correctness of Memories». Dans IEEE Symposium on Foundations of Computer Science, pages 90 99, [5] Manuel Blum et Sampath Kannan. «Designing programs that check their work». Dans STOC89, pages 86 97, [6] Blaise Gassend, G. Edward Suh, Dwaine Clarke, Marten van Dijk et Srinivas Devadas. «Caches and Markle Trees for Efficient Memory Authentication», [7] Dwaine Clarke, Blaise Gassend, G. Edward Suh, Marten van Dijk, Srinivas Devadas. «Offline Integrity Checking of Untrusted Storage». Dans Technical Report MIT-LCS-TR-871, Massachusetts Institute of Technology, novembre Disponible sur [8] G. Edward Suh, Dwaine Clarke, Blaise Gassend, Marten van Dijk et Srinivas Devadas. «The Aegis Processor Architecture for Tamper-Evident and Tamper- Resistant Processing». Dans Technical Report MIT-LCS-TM-461, Massachusetts Institute of Technology, février Disponible sur memos/memo-461/memo-461.pdf. [9] Trusted Computing Group. «TCG Main Specification». Disponible sur trustedcomputinggroup.org, septembre [10] William A. Arbaugh, David J. Farber et Jonathan M. Smith. «A Secure and Reliable Bootstrap Architecture». Dans IEEE Symposium on Security and Privacy, pages 65 71, [11] Andrew Huang. «The Trusted PC : Skin-Deep Security». Dans Computer, pages , octobre [12] Bill Arbaugh. «Improving the TCPA Specification». Dans Computer, pages 77 79, août [13] Windows Platform Design Notes. «Security Model for the Next-Generation Secure Computing Base». Disponible sur
18 [14] Windows Platform Design Notes. «NGSCB : Trusted Computing Base and Software Authentication». Disponible sur [15] Markus G. Kuhn. «Cipher Instruction Search Attack on the Bus-Encryption Security Microcontroller DS5002FP». Dans IEEE Transactions on Computers, 47(10) : , octobre
Cryptoprocesseurs et virtualisation
Cryptoprocesseurs et virtualisation Étude bibliographique Master Recherche en Informatique 2 1 er février 2007 Auteur : Cyril Brulebois Encadrants : Guillaume Duc et
Plus en détailSécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte
Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique
Plus en détail1 Architecture du cœur ARM Cortex M3. Le cœur ARM Cortex M3 sera présenté en classe à partir des éléments suivants :
GIF-3002 SMI et Architecture du microprocesseur Ce cours discute de l impact du design du microprocesseur sur le système entier. Il présente d abord l architecture du cœur ARM Cortex M3. Ensuite, le cours
Plus en détailGestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader
Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:
Plus en détailLa prise de conscience de la Cyber Sécurité est en hausse
1 2 La prise de conscience de la Cyber Sécurité est en hausse Les sociétés et les individus sont de plus en plus connectés Cloud Computing Mobile Computing Utilisation génerale des Médias/Réseaux Sociaux
Plus en détailSRS Day. Attaque BitLocker par analyse de dump mémoire
SRS Day Attaque BitLocker par analyse de dump mémoire Benjamin Noel Olivier Détour noel_b detour_o Sommaire Partie théorique Etude de cas Attaque BitLocker Contre-mesures Introduction Analyse forensique
Plus en détailLa mémoire. Un ordinateur. L'octet. Le bit
Introduction à l informatique et à la programmation Un ordinateur Un ordinateur est une machine à calculer composée de : un processeur (ou unité centrale) qui effectue les calculs une mémoire qui conserve
Plus en détailSur un ordinateur portable ou un All-in-One tactile, la plupart des éléments mentionnés précédemment sont regroupés. 10) 11)
1/ Généralités : Un ordinateur est un ensemble non exhaustif d éléments qui sert à traiter des informations (documents de bureautique, méls, sons, vidéos, programmes ) sous forme numérique. Il est en général
Plus en détailUtilisez Toucan portable pour vos sauvegardes
Utilisez Toucan portable pour vos sauvegardes Préambule Toucan est un logiciel libre et gratuit, permettant de réaliser des sauvegardes ou synchronisation de vos données. Il est possible d automatiser
Plus en détailSécurité des réseaux IPSec
Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique
Plus en détailIntroduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima
Introduction à la sécurité Cours 8 Infrastructure de clés publiques Catalin Dima 1 Gestion des clés La gestion des clés concerne : La distribution de clés cryptographiques, Les mécanismes utilisés pour
Plus en détailManuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150
Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150 Référence : 376352-051 Décembre 2004 Ce manuel contient le mode d emploi du logiciel permettant de définir les paramètres
Plus en détailÉPREUVE COMMUNE DE TIPE 2008 - Partie D
ÉPREUVE COMMUNE DE TIPE 2008 - Partie D TITRE : Les Fonctions de Hachage Temps de préparation :.. 2 h 15 minutes Temps de présentation devant le jury :.10 minutes Entretien avec le jury :..10 minutes GUIDE
Plus en détailLa sécurité dans les grilles
La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation
Plus en détailCryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI
Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures
Plus en détailOrganiser les informations ( approche technique )
Organiser les informations ( approche technique ) Introduction : Le stockage des informations est une fonctionnalité essentielle de l outil informatique, qui permet de garantir la pérennité des informations,
Plus en détailLivre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés
Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur
Plus en détailOrganiser le disque dur Dossiers Fichiers
Ce document contient des éléments empruntés aux pages d aide de Microsoft Organiser le disque dur Dossiers Fichiers Généralités La connaissance de la logique d organisation des données sur le disque dur
Plus en détailSSL ET IPSEC. Licence Pro ATC Amel Guetat
SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique
Plus en détailSignature électronique. Romain Kolb 31/10/2008
Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...
Plus en détailInformatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse
Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître
Plus en détailLe protocole SSH (Secure Shell)
Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction
Plus en détailVMware ESX/ESXi. 1. Les composants d ESX. VMware ESX4 est le cœur de l infrastructure vsphere 4.
VMware ESX/ESXi 1. Les composants d ESX VMware ESX4 est le cœur de l infrastructure vsphere 4. C est un hyperviseur, c est à dire une couche de virtualisation qui permet de faire tourner plusieurs systèmes
Plus en détailRouteur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.
Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05
Plus en détailFonctionnement de Windows XP Mode avec Windows Virtual PC
Fonctionnement de Windows XP Mode avec Windows Virtual PC Guide pratique pour les petites entreprises Table des matières Section 1 : présentation de Windows XP Mode pour Windows 7 2 Section 2 : démarrage
Plus en détailCHARTE INFORMATIQUE LGL
CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification
Plus en détailGestion des clés cryptographiques
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 28 mars 2006 N 724/SGDN/DCSSI/SDS/AsTeC Gestion des clés cryptographiques
Plus en détailDNSSEC. Introduction. les extensions de sécurité du DNS. Les dossiers thématiques de l AFNIC. 1 - Organisation et fonctionnement du DNS
Les dossiers thématiques de l AFNIC DNSSEC les extensions de sécurité du DNS 1 - Organisation et fonctionnement du DNS 2 - Les attaques par empoisonnement de cache 3 - Qu est-ce que DNSSEC? 4 - Ce que
Plus en détailMachines virtuelles Cours 1 : Introduction
Machines virtuelles Cours 1 : Introduction Pierre Letouzey 1 pierre.letouzey@inria.fr PPS - Université Denis Diderot Paris 7 janvier 2012 1. Merci à Y. Régis-Gianas pour les transparents Qu est-ce qu une
Plus en détailProtocoles cryptographiques
MGR850 Hiver 2014 Protocoles cryptographiques Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan Motivation et Contexte Notations Protocoles
Plus en détailConcept Compumatica Secure Mobile
LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com La solution voix
Plus en détailSécurisation du réseau
Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités
Plus en détailFiche Technique. Cisco Security Agent
Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit
Plus en détailI.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.
DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de
Plus en détailTAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES
TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES 1 DECOUVERTE DE LA VIRTUALISATION... 2 1.1 1.2 CONCEPTS, PRINCIPES...2 UTILISATION...2 1.2.1 Formation...2
Plus en détailCRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie
CRYPTOGRAPHIE Chiffrement par flot E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr CHIFFREMENT PAR FLOT Chiffrement par flot Chiffrement RC4 Sécurité du Wi-fi Chiffrement
Plus en détailSécurisation de Windows NT 4.0. et Windows 2000
Pratique système : Sécurité Sécurisation de Windows NT 4.0 et Windows 2000 Partie 3/3 Patrick CHAMBET patrick.chambet@edelweb.fr Patrick CHAMBET - 1 - Au cours des deux premières parties de cet article,
Plus en détailHSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI
HSM, Modules de sécurité matériels de SafeNet Gestion de clés matérielles pour la nouvelle génération d applications PKI Modules de sécurité matériels de SafeNet Tandis que les entreprises transforment
Plus en détailConcilier mobilité et sécurité pour les postes nomades
Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de
Plus en détailGestion des sauvegardes
Gestion des sauvegardes Penser qu un système nouvellement mis en place ou qui tourne depuis longtemps ne nécessite aucune attention est illusoire. En effet, nul ne peut se prémunir d événements inattendus
Plus en détailCahier n o 6. Mon ordinateur. Fichiers et dossiers Sauvegarde et classement
Cahier n o 6 Mon ordinateur Fichiers et dossiers Sauvegarde et classement ISBN : 978-2-922881-10-3 2 Table des matières Fichiers et dossiers Sauvegarde et classement La sauvegarde 4 Enregistrer 4 De quelle
Plus en détailSécurité des réseaux sans fil
Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification
Plus en détailManuel de System Monitor
Chris Schlaeger John Tapsell Chris Schlaeger Tobias Koenig Traduction française : Yves Dessertine Traduction française : Philippe Guilbert Traduction française : Robin Guitton Relecture de la documentation
Plus en détailLes sauvegardes de l ordinateur
Les sauvegardes de l ordinateur Les sauvegardes de l ordinateur sont de deux natures : * les sauvegardes de vos documents personnels * les sauvegardes du système d exploitation Vos documents photos, textes,
Plus en détailProgrammation C. Apprendre à développer des programmes simples dans le langage C
Programmation C Apprendre à développer des programmes simples dans le langage C Notes de cours sont disponibles sur http://astro.u-strasbg.fr/scyon/stusm (attention les majuscules sont importantes) Modalités
Plus en détailQu est-ce qu un Ordinateur
Qu est-ce qu un Ordinateur Différents types d ordinateurs existent : ordinateur de bureau, portable et micro-portable. Quelques soit l ordinateur que vous utilisez, les principes généraux sont les mêmes
Plus en détailRapport de certification
Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma
Plus en détailSystèmes d exploitation
Systèmes d exploitation Virtualisation, Sécurité et Gestion des périphériques Gérard Padiou Département Informatique et Mathématiques appliquées ENSEEIHT Novembre 2009 Gérard Padiou Systèmes d exploitation
Plus en détailLES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL. CNRS RSSIC version du 11 mai 2012
LES REGLES ELEMENTAIRES DE SECURITE LE POSTE DE TRAVAIL CNRS RSSIC version du 11 mai 2012 Un poste de travail mal protégé peut mettre en péril non seulement les informations qui sont traitées sur le poste
Plus en détailNote technique. Recommandations de sécurité relatives aux mots de passe
P R E M I E R M I N I S T R E Secrétariat général Paris, le 5 juin 2012 de la défense et de la sécurité nationale N o DAT-NT-001/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document
Plus en détailCCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet
Curriculum Name Guide du participant CCENT 3 Section 9.3 Dépannage de l adressage IP de la couche 3 Cette section consacrée au dépannage vous permettra d étudier les conditions nécessaires à l obtention
Plus en détailProtocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009
Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell
Plus en détailCréer et partager des fichiers
Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation
Plus en détailQuels sont les espaces disponibles sur l ordinateur pour stocker ses documents et comment accéder facilement au dossier «My Documents»?
Quels sont les espaces disponibles sur l ordinateur pour stocker ses documents et comment accéder facilement au dossier «My Documents»? Qui n a jamais eu de peine à retrouver ses documents informatiques?
Plus en détailCours 14. Crypto. 2004, Marc-André Léger
Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)
Plus en détailEVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité
en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité Vue d ensemble des principaux avantages Permet au service informatique de gérer les données mobiles en définissant des règles
Plus en détailwww.rohos-fr.com Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur
Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur La connexion par reconnaissance faciale L accès sécurisé sous Windows et Mac à l aide d une clé USB www.rohos-fr.com
Plus en détailLa sécurité dans un réseau Wi-Fi
La sécurité dans un réseau Wi-Fi Par Valérian CASTEL. Sommaire - Introduction : Le Wi-Fi, c est quoi? - Réseau ad hoc, réseau infrastructure, quelles différences? - Cryptage WEP - Cryptage WPA, WPA2 -
Plus en détailWin UR Archive. Manuel de l utilisateur. Version 3.0, mars 2009
1 Win UR Archive Manuel de l utilisateur Version 3.0, mars 2009 2 Table des matières AVANT D UTILISER LE SYSTÈME 4 Vérification du contenu Win UR Archive 4 Responsabilité du détenteur de la clé privée
Plus en détailDIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN 2005.-V.1.
1 BUT 1.1 Le but de la présente directive est de définir les droits et les devoirs des utilisateurs à propos des moyens de communication (Internet, messagerie électronique, téléphonie) et des postes de
Plus en détailPerspective : la sauvegarde croisée
A Perspective : la sauvegarde croisée Et si, grâce à la redondance et au chiffrement, les réseaux pair-à-pair assuraient bientôt la sauvegarde de vos données? La quantité de données personnelles stockées
Plus en détailDémarrer et quitter... 13
Démarrer et quitter... 13 Astuce 1 - Ouvrir, modifier, ajouter un élément dans le Registre... 14 Astuce 2 - Créer un point de restauration... 18 Astuce 3 - Rétablir un point de restauration... 21 Astuce
Plus en détailRetrouver de vieux programmes et jouer sur VirtualBox
CHAPITRE 3 Retrouver de vieux programmes et jouer sur VirtualBox Ce chapitre présente des notions avancées de VirtualBox. Elles permettront de réaliser des configurations spécifiques pour évaluer des systèmes
Plus en détailLivre blanc. Sécuriser les échanges
Livre blanc d information Sécuriser les échanges par emails Octobre 2013 www.bssi.fr @BSSI_Conseil «Sécuriser les échanges d information par emails» Par David Isal Consultant en Sécurité des Systèmes d
Plus en détaillaissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.
Nom du service par défaut conseillé remarques Accès à distance au Registre Automatique Désactivé Acquisition d'image Windows (WIA) Administration IIS Automatique Désactivé Affichage des messages Automatique
Plus en détailqwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx cvbnmqwertyuiopasdfghjklzxcvbnmq
qwertyuiopasdfghjklzxcvbnmqwerty uiopasdfghjklzxcvbnmqwertyuiopasd fghjklzxcvbnmqwertyuiopasdfghjklzx COURS DE PERFECTIONNEMENT cvbnmqwertyuiopasdfghjklzxcvbnmq L ordinateur et Windows 2014-2015 wertyuiopasdfghjklzxcvbnmqwertyui
Plus en détailTous les autres noms de produits ou appellations sont des marques déposées ou des noms commerciaux appartenant à leurs propriétaires respectifs.
Apache, Mod_proxy et 4D Par Timothy PENNER, Technical Services Team Member, 4D Inc. Note technique 4D-201003-05-FR Version 1 - Date 1 mars 2010 Résumé Cette note technique porte sur l utilisation du serveur
Plus en détailMODULE I1. Plan. Introduction. Introduction. Historique. Historique avant 1969. R&T 1ère année. Sylvain MERCHEZ
MODULE I1 Plan Chapitre 1 Qu'est ce qu'un S.E? Introduction Historique Présentation d'un S.E Les principaux S.E R&T 1ère année Votre environnement Sylvain MERCHEZ Introduction Introduction Rôles et fonctions
Plus en détailLa sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta
La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL Dr Hervé LECLET Tous les centres d'imagerie médicale doivent assurer la sécurité informatique de leur système d'information
Plus en détail4. Utilisation d un SGBD : le langage SQL. 5. Normalisation
Base de données S. Lèbre slebre@unistra.fr Université de Strasbourg, département d informatique. Présentation du module Contenu général Notion de bases de données Fondements / Conception Utilisation :
Plus en détailConsolidation de stockage
(Information sur la technologie Sto-2003-2) Wolfgang K. Bauer Spécialiste stockage Centre de compétence transtec AG Waldhörnlestraße 18 D-72072 Tübingen Allemagne TABLE DES MATIÈRES 1 RÉSUMÉ...3 2 INTRODUCTION...4
Plus en détail5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération
Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération 5.4 Pour l exercice terminé le 31 décembre 2013 Sécurité des réseaux sans fil 5.4. Sécurité des
Plus en détailCryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1
Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système
Plus en détailWindows 7 - Installation du client
Windows 7 - Installation du client 1 - Présentation Windows 7 est un système d exploitation client basé sur le noyau NT 6.1, disponible en six versions, commercialisé depuis octobre 2009. Résumé des fonctionnalités
Plus en détailWHITE PAPER. Quels avantages la déduplication offre-t-elle aux entreprises? Livre blanc Acronis
Quels avantages la déduplication offre-t-elle aux entreprises? Livre blanc Acronis Copyright Acronis, Inc. 2000 2009 Table des matières Résumé... 3 Qu est-ce que la déduplication?... 4 Déduplication au
Plus en détailInstallation et prise en main
TP1 Installation et prise en main Android est le système d'exploitation pour smartphones, tablettes et autres appareils développé par Google. Pour permettre aux utilisateurs d'installer des applications
Plus en détailUn ordinateur, c est quoi?
B-A.BA Un ordinateur, c est quoi? Un ordinateur, c est quoi? Un ordinateur est une machine dotée d'une unité de traitement lui permettant d'exécuter des programmes enregistrés. C'est un ensemble de circuits
Plus en détailTrueCrypt : installation et paramétrage
Ministère de l écologie, du développement durable des transports et du logement Centre de prestation et d'ingénierie informatique (CPII) Département Opérationnel du Sud-Ouest PNE Sécurité Affaire suivie
Plus en détailInstallation d un poste i. Partage et Portage & permissions NTFS
Filière : Technicien des Réseaux Informatique Installation d un poste i Partage et Portage & permissions NTFS Plan Partage et Permissions NTFS 1. Partage de dossiers 2. Sécurité des systèmes de fichiers
Plus en détailAnalyse des protections et mécanismes de chiffrement fournis par BitLocker
HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Analyse des protections et mécanismes de chiffrement fournis par BitLocker
Plus en détailGuide de l administrateur CorpoBack
Table des matières Introduction...4 Infrastructure...4 Systèmes d exploitation... 4 Serveur de données SQL... 4 Infrastructure Microsoft Sync... 4 Infrastructure.NET... 5 Espace d entreposage des données
Plus en détailCette option est aussi disponible sur les clients Windows 7 sous la forme d un cache réparti entre les différentes machines.
Le BranchCache Cette fonctionnalité qui apparaît dans Windows 2008 R2 permet d optimiser l accès aux ressources partagées hébergées sur des partages de fichiers ou des serveurs webs internes de type documentaire
Plus en détailUtiliser Glary Utilities
Installer Glary Utilities Après avoir téléchargé Glary Utilities sur le site "http://secured-download.com/softwares/1737-glary-utilities ", double-cliquez dessus pour lancer l'installation. Choisissez
Plus en détailSommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références
Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références 2 http://securit.free.fr Introduction aux concepts de PKI Page 1/20
Plus en détailAuthentification. Règles et recommandations concernant les mécanismes d authentification de niveau de robustesse standard
PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 12 avril 2007 N 729/SGDN/DCSSI/SDS/AsTeC Authentification Règles et recommandations
Plus en détailCryptographie. Cours 3/8 - Chiffrement asymétrique
Cryptographie Cours 3/8 - Chiffrement asymétrique Plan du cours Différents types de cryptographie Cryptographie à clé publique Motivation Applications, caractéristiques Exemples: ElGamal, RSA Faiblesses,
Plus en détailLA VIRTUALISATION. Etude de la virtualisation, ses concepts et ses apports dans les infrastructures informatiques. 18/01/2010.
Guillaume ANSEL M2 ISIDIS 2009-2010 / ULCO Dossier d étude sur la virtualisation LA VIRTUALISATION 18/01/2010 Etude de la virtualisation, ses concepts et ses apports dans les infrastructures informatiques.
Plus en détailInstallation d'un TSE (Terminal Serveur Edition)
Installation d'un TSE (Terminal Serveur Edition) Par LoiselJP Le 01/05/2013 (R2) 1 Objectifs Le TSE, comprenez Terminal Server Edition est une application de type 'main-frame' de Microsoft qui réside dans
Plus en détailIV- Comment fonctionne un ordinateur?
1 IV- Comment fonctionne un ordinateur? L ordinateur est une alliance du hardware (le matériel) et du software (les logiciels). Jusqu à présent, nous avons surtout vu l aspect «matériel», avec les interactions
Plus en détailKonica Minolta, un leader aux standards de sécurité les plus élevés du marché
SéCURITé Konica Minolta, un leader aux standards de sécurité les plus élevés du marché A l ère du numérique, les communications mondiales connaissent une croissance sans précédent, et les risques de failles
Plus en détailProblèmes arithmétiques issus de la cryptographie reposant sur les réseaux
Problèmes arithmétiques issus de la cryptographie reposant sur les réseaux Damien Stehlé LIP CNRS/ENSL/INRIA/UCBL/U. Lyon Perpignan, Février 2011 Damien Stehlé Problèmes arithmétiques issus de la cryptographie
Plus en détailLe stockage. 1. Architecture de stockage disponible. a. Stockage local ou centralisé. b. Différences entre les architectures
Le stockage 1. Architecture de stockage disponible a. Stockage local ou centralisé L architecture de stockage à mettre en place est déterminante pour l évolutivité et la performance de la solution. Cet
Plus en détailChameleon Mode d emploi
Chameleon Mode d emploi Table des matières 1 Introduction... 2 2 Installation et réglages... 2 2.1 Désinstaller... 5 3 Disques cryptés Chameleon : protéger vos données... 5 4 Crypter des fichiers et dossiers
Plus en détailTutoriel Création d une source Cydia et compilation des packages sous Linux
Tutoriel Création d une source Cydia et compilation des packages sous Linux 1. Pré-requis 1. Quelques connaissances sous Linux 2. Avoir à disposition un Serveur FTP pour héberger votre source 3. Un thème
Plus en détailOrdinateur Logiciel Mémoire. Entrées/sorties Périphériques. Suite d'instructions permettant de réaliser une ou plusieurs tâche(s), de résoudre un
ESZ Introduction à l informatique et à l environnement de travail Éric Gaul (avec la collaboration de Dominic Boire) Partie 1: Concepts de base Ordinateur Logiciel Mémoire Données Entrées/sorties Périphériques
Plus en détailSauvegarde collaborative entre pairs Ludovic Courtès LAAS-CNRS
Sauvegarde collaborative entre pairs 1 Sauvegarde collaborative entre pairs Ludovic Courtès LAAS-CNRS Sauvegarde collaborative entre pairs 2 Introduction Pourquoi pair à pair? Utilisation de ressources
Plus en détailCIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)
CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document
Plus en détailSolutions IBM Client Security. Logiciel Client Security version 5.3 Guide d installation
Solutions IBM Client Security Logiciel Client Security ersion 5.3 Guide d installation Solutions IBM Client Security Logiciel Client Security ersion 5.3 Guide d installation Important Aant d utiliser
Plus en détailMétriques de performance pour les algorithmes et programmes parallèles
Métriques de performance pour les algorithmes et programmes parallèles 11 18 nov. 2002 Cette section est basée tout d abord sur la référence suivante (manuel suggéré mais non obligatoire) : R. Miller and
Plus en détail