Les crypto-processeurs et l informatique de confiance. Guillaume Duc Encadrant : Ronan Keryell

Dimension: px
Commencer à balayer dès la page:

Download "Les crypto-processeurs et l informatique de confiance. Guillaume Duc Encadrant : Ronan Keryell"

Transcription

1 Les crypto-processeurs et l informatique de confiance Guillaume Duc Encadrant : Ronan Keryell 19 décembre 2003

2 Table des matières Introduction 3 1 Les crypto-processeurs Principes Architecture classique pour l exécution de programmes chiffrés Aegis TCG - Trusted Computing Group Applications Exécution certifiée Gestion Numérique des Droits La vérification mémoire Les différents types d attaques L injection La permutation physique Le rejeu Les arbres de Merkle Principes Optimisations Un vérificateur hors-ligne Problèmes Les aspects logiciels La mise en œuvre logiciel Exemple de CryptoPage NGSCB / Palladium Isolation forte des processus Stockage sécurisé Attestation cryptographique Chemins sécurisés vers l utilisateur Les simulateurs de machines virtuelles SimpleScalar Bochs Conclusion 16 Bibliographie 17 2

3 Introduction Le problème de la sécurité informatique est relativement ancien. De très nombreux protocoles, algorithmes, etc. ont été développés pour augmenter la sécurité dans de nombreux domaines mais tous sont vulnérables à des attaques physique où l attaquant a accès au support d exécution de ces programmes. En effet, quelqu un disposant de connaissances techniques et de moyens appropriés peut par exemple instrumentaliser le bus du processeur et ainsi récupérer d éventuelles données sensibles. De même, un système d exploitation ou un administrateur malveillant peut avoir accès au contenu de la mémoire. Il est donc nécessaire de disposer de fonctions matérielles afin de contrer ce type d attaques. Dans un premier temps réservés aux seules applications sensibles (armée, banques, etc.), les crypto-processeurs commencent à pénétrer le marché des consoles de jeux et des ordinateurs personnels à cause de la très forte augmentation du piratage informatique. En disposant d un environnement matériel sécurisé, on peut concevoir des systèmes anti-copie fiables pour des programmes ou des œuvres numériques, ce qui était auparavant impossible avec des moyens purement logiciels. Nous allons tout d abord étudier les principes de fonctionnement des crypto-processeurs, puis les algorithmes qu ils mettent en œuvre afin de sécuriser les échanges avec la mémoire centrale de l ordinateur, les modifications nécessaires au niveau logiciel (système d exploitation et programmes) afin de pouvoir les utiliser et enfin des outils permettant de simuler leur fonctionnement et de mesurer leurs performances. 3

4 Chapitre 1 Les crypto-processeurs 1.1 Principes Le principe de base d un crypto-processeur est d intégrer des fonctions de cryptographie (chiffrement, signature numérique, gestion des clés) directement à l intérieur d un microprocesseur classique. Son but est de résister à toute attaque physique ou logicielle, par exemple sur les bus de données et d adresses, sur la mémoire (modification du programme ou de ses données) ou sur le processeur lui-même. Les crypto-processeurs peuvent être séparés en deux grandes catégories : ceux qui permettent l exécution fiable d un programme en clair (le processeur va certifier qu il n y a pas eu d attaque durant l exécution de celui-ci dont le code est en clair) et ceux qui permettent l exécution fiable d un programme chiffré (le code exécutable du programme est chiffré pour un processeur en particulier et un adversaire ne peut pas le déchiffrer ni le copier sur une autre machine). Certains crypto-processeurs comme Aegis [8] permettent l exécution de programmes dans les deux modes. La seconde approche est celle qui a été la plus privilégiée dans le passé et avait pour objectif d empêcher la copie ou l analyse du fonctionnement du programme. Nous allons donc tout d abord voir l architecture classique d un crypto-processeur réalisant cette fonction puis étudier Aegis qui permet également la première approche. Enfin, nous verrons le système proposé par le TCG (Trusted Computing Group) Architecture classique pour l exécution de programmes chiffrés Chaque crypto-processeur va disposer d une paire de clés (une clé publique et une clé privée) qui lui est propre. Le producteur du logiciel va chiffrer le code exécutable à l aide de la clé publique du processeur afin qu une fois chiffré, il ne puisse être déchiffré qu avec la clé secrète correspondante et donc que par le processeur pour lequel il est destiné. La copie du programme devient donc inutile (sauf pour des raisons de sauvegarde privée) puisqu aucun autre processeur ne pourra le déchiffrer et donc l exécuter. Comme les algorithmes de chiffrement asymétriques sont lents, les crypto-processeurs utilisent des algorithmes mixtes : le producteur génère une clé de session symétrique, chiffre son programme avec cette clé puis chiffre la clé avec la clé publique du processeur. Ce dernier récupère la clé de session à l aide de sa clé privée puis déchiffre le programme. Comme la mémoire interne au processeur est généralement trop faible pour stocker les données du programme, celles-ci sont envoyées en mémoire. La mémoire étant supposée accessible par un adversaire, les données sont chiffrées avec une clé de session spécifique au programme avant d être stockées en mémoire et déchiffrées lors de la lecture. Comme la clé utilisée pour chiffrer les données est différente d un programme à un autre, seul le processus 4

5 propriétaire des données peut les lire. Il est également nécessaire de mettre en place des algorithmes pour prévenir les modifications du contenu de la mémoire par un adversaire (cf. chapitre 2). Un crypto-processeur va donc gérer en interne une table contenant la liste des processus chiffrés qu il est en train d exécuter avec leur clé de session correspondante. Lors d une interruption, le processeur sauvegarde son état interne comme normalement mais en plus, il le chiffre avec sa clé privée afin que le système d exploitation n y ait pas accès. De plus, il efface les valeurs des registres pour ne pas divulguer d informations sensibles Aegis Dans [8] est présenté une architecture pour un crypto-processeur capable d effectuer des opérations résistantes aux attaques et de le prouver. Il fournit deux environnements d exécution pour les programmes : un mode sécurisé non chiffré et un mode sécurisé et chiffré. L environnement d exécution non chiffrée a pour but de garantir l intégrité de l exécution du programme. L environnement d exécution chiffrée apporte en plus la garantie que personne ne peut avoir accès au code exécutable du programme ni à ses données. Le processeur dispose d une clé publique (P K p ) et d une clé privée (SK p ). Aegis n ayant pas besoin d un système d exploitation spécial, il a besoin de garder la trace des processus qui s exécutent en mode sécurisé. Il dispose donc d un gestionnaire de contexte sécurisé (Secure Context Manager, SCM ) implémenté au niveau matériel. Ce SCM maintient une table contenant un certain nombre d informations sur chaque processus qui s exécute en mode sécurisé : un identifiant (SPID), un résumé cryptographique du programme (H(P rog)), des registres (H(Regs)) et un dernier utilisé pour la vérification de la mémoire. Une nouvelle entrée est créée lorsqu un programme exécute l instruction enter tee (pour entrer en mode d exécution sécurisé) et est détruite lors de l appel de exit tee (pour sortir du mode d exécution sécurisé). Cette table peut être stockée dans le processeur mais pour qu elle soit plus extensible, elle peut être stockée en mémoire moyennant un chiffrement et une vérification de son contenu. Lors de l entrée en mode sécurisé, le SCM calcul un résumé cryptographique du programme et de ses données qu il stocke dans sa table afin de permettre ultérieurement de s assurer que le programme n a pas été altéré avant son exécution. Lors d un changement de contexte, le SCM sauvegarde les valeurs des registres du processus en cours dans sa table pour pouvoir ensuite les restaurer. Il empêche également le système d exploitation d avoir accès à ces valeurs. Un programme peut envoyer un message à un utilisateur à l aide de l instruction sign msg qui retourne {H(P rog), M} SKp, c est-à-dire l ensemble message et résumé cryptographique du programme signé avec la clé privée du processeur. Ainsi l utilisateur peut savoir quel processeur exécutant quel programme lui a envoyé le message. Dans le mode chiffré, deux instructions sont ajoutées, set key et store private qui permette respectivement de spécifier avec quelle clé est chiffré le code machine du programme et de sauvegarder une valeur chiffrée en mémoire. Pour partager un secret avec un programme, l utilisateur envoie un message chiffré au processeur E P Kp (H(P rog), M). Pour déchiffrer le message, le programme exécute une instruction particulière qui déchiffre le message avec la clé privée du processeur et renvoie M si et seulement si H(P rog) correspond bien au programme en cours d exécution. Le processeur utilise également des algorithmes de vérification mémoire (cf. chapitre 2) afin de s assurer que la mémoire externe se comporte normalement. 5

6 1.2 TCG - Trusted Computing Group Le Trusted Computing Group, formé de grandes entreprises du monde de l informatique, a également réfléchi sur comment obtenir une informatique de confiance, c est-à-dire comment garantir qu un programme va s exécuter de façon fiable en dépit des attaques, un peu à la manière du mode sécurisé mais non chiffré de Aegis. Les spécifications [9] de cette plate-forme de confiance sont basées sur une puce (baptisée TPM Trusted Platform Module), indépendante du processeur, résistante à l investigation et qui est chargée d un certain nombre de fonctions. Tout d abord, cette puce contient une paire de clé publique/privée qui lui est propre et qui est signée par son fabriquant. Elles lui permettent de prouver son identité et d assurer des fonctions cryptographiques de base. Lors du démarrage, cette puce va collecter des données sur l état de la machine et va calculer un résumé cryptographique des programmes utilisés lors de la séquence de démarrage (BIOS, boot-loader, etc.). La puce utilisera ensuite ces informations afin de déterminer si la machine a bien été démarrée dans un état jugé digne de confiance. Cette méthode de vérification du démarrage est basé sur [10]. Elle offre aussi la possibilité à une application de chiffrer des messages qui ne pourront être déchiffrés que dans une configuration matérielle et logicielle particulière. Par exemple, un programme peut demander à cette puce de chiffrer des informations qui ne pourront être déchiffrées que dans la configuration actuelle. Tout changement de système d exploitation ou autre rendra les données indéchiffrables. La spécification décrit un certain nombre d autres fonctionnalités. Cependant, [11] fait remarquer que le TPM n a pas été conçu pour résister à des attaques matérielles, les participants au TCG ayant jugé que celles-ci sont hors de portée de particuliers. Par contre, la compromission d un module TPM est limitée et n affecte pas les autres modules vendus. Cette architecture en elle-même n est pas très utile. Associée à un système d exploitation ad-hoc (par exemple Palladium, cf. section 3.2) elle permet une informatique de confiance mais peut avoir de très nombreux effets pervers sur la libre concurrence dans ce domaine (cf. [12]). 1.3 Applications Nous allons maintenant voir quelques applications qui peuvent bénéficier de l utilisation de crypto-processeurs Exécution certifiée L exécution certifiée consiste à s assurer qu un programme s est exécuté sur une machine sans modification extérieure du programme en lui-même, de ses résultats, ou de ses états intermédiaires. Cette propriété est importante par exemple dans les grilles de calcul. Les applications actuelles qui utilisent la puissance inutilisée de milliers d ordinateurs connectés à Internet, comme 1 ou distributed.net 2, n ont aucun moyen de s assurer que les résultats reçus n ont pas été altérés d une façon ou d une autre. Elles sont donc obligées d effectuer les calculs de façon redondante afin de tenter de détecter les résultats anormaux, ce qui entraîne une perte d efficacité et n est pas totalement fiable (par exemple si le nombre de noeuds byzantins est important). [8] présente comment il est possible d utiliser le crypto-processeur Aegis afin de répondre à ce problème. Le concepteur de l application calcule un résumé cryptographique de son programme et le distribue aux différents noeuds. Le programme rentre en mode d exécution

7 sécurisé dans Aegis 3 qui calcule alors le résumé cryptographique du programme. Il s exécute et produit un résultat qui est alors concaténé avec le résumé cryptographique du programme et signé par le crypto-processeur. Ce dernier retourne ce résultat signé avec un certificat numérique de son fabriquant certifiant la clé publique du processeur. L application qui centralise les résultats récupère le tout, vérifie la signature numérique et le résumé cryptographique du programme avant d accepter le résultat. À l aide de la signature numérique, elle sait quel processeur a exécuté le programme. Avec le résumé cryptographique, elle est assurée que le programme et ses données initiales n ont pas été altérés avant l exécution, et comme le programme s exécute en mode sécurisé dans le processeur, elle sait que ce dernier ni ses données n ont été modifiés pendant l exécution. Ainsi au lieu de devoir faire confiance à tous les participants de la grille, le concepteur de l application n a plus qu à faire confiance qu au fabriquant des crypto-processeurs Gestion Numérique des Droits La gestion des droits (Digital Rights Management, DRM ) est un sujet d actualité. Il s agit de limiter ce qu un utilisateur peut faire avec une œuvre numérique (musique, film, etc.). Par exemple, celui-ci peut ne pas être autorisé à copier l œuvre en question, peut n être autorisé qu à regarder une seule fois l œuvre, etc. Afin de permettre ces différentes politiques, le contenu de l œuvre est chiffrée et un lecteur particulier tente de faire respecter les droits qui sont associés avec celle-ci. Malheureusement, cette technique est vulnérable à une personne mal intentionnée qui utiliserait des outils de déverminage, voire même des attaques de plus bas niveau (comme l interception des données transitant par le bus de l ordinateur) pour récupérer la version non chiffrée de l œuvre et qui pourrait ainsi la recopier sans contraintes. Dans [8] est décrit une architecture permettant d imposer le DRM à l aide du cryptoprocesseur Aegis. Ils envisagent le cas où l utilisateur n a le droit de lire l œuvre qu une seule fois. Le concepteur du programme de lecture distribue celui-ci, qui fonctionne en mode sécurisé dans le processeur. Le programme demande à l utilisateur de choisir une œuvre particulière. Il envoie alors un message au fournisseur de contenu avec le choix de l utilisateur, une donnée aléatoire, le tout étant signé par le processeur afin que le fournisseur puisse vérifier son intégrité ainsi que celle du programme de lecture. Il chiffre alors l œuvre et la donnée aléatoire avec une clé aléatoire qu il chiffre avec la clé publique du processeur. Le crypto-processeur déchiffre alors la clé de session utilisée. Le programme vérifie la donnée aléatoire afin d empêcher un adversaire de rejouer un message, déchiffre le contenu de l œuvre et la joue. Cependant, malgré ces précautions, le contenu de l œuvre est encore vulnérable lorsqu il transite sur des canaux analogiques. Un adversaire peut très bien reconvertir le signal analogique en signal numérique, moyennant certes une perte de qualité. 3 Avec l instruction enter tee 7

8 Chapitre 2 La vérification mémoire 2.1 Les différents types d attaques Lors de l utilisation de crypto-processeurs, on suppose que le comportement de tout ce qui est à l extérieur de celui-ci peut être entièrement sous le contrôle d un adversaire. Cette hypothèse est en particulier vraie pour un composant important : la mémoire. Pour que l exécution d un programme par le crypto-processeur soit correcte, il est nécessaire que ce dernier détecte tout comportement anormal de la mémoire où est stockée le programme et les données temporaires qu il manipule. Le crypto-processeur doit s assurer que la valeur qu il lit à une adresse mémoire particulière est la valeur la plus récente qu il a stockée à cette adresse. La mémoire peut faire l objet de trois type d attaques : l injection ; la permutation physique ; le rejeu. Les crypto-processeurs doivent mettre en place des algorithmes afin de détecter ces attaques et de ne pas révéler de données sensibles. Nous allons voir quelques uns de ces algorithmes L injection Dans ce type d attaque, l adversaire génère une valeur et essaye de la faire passer pour une donnée valide. Il peut aussi bien affecter le code que les données du programme. Si le crypto-processeur accepte sans vérifier ces données, il peut révéler des informations sensibles. C est à l aide d une attaque ressemblant à celle-ci que le DS5002FP (de Dallas Semiconductor) a été cassé [15]. La solution couramment adoptée est d utiliser un Message Authentication Code (MAC) (par exemple dans [3, 1]). Un MAC est une fonction de hachage cryptographique utilisant une clé. En possédant la clé, il est facile de recalculer le résumé cryptographique pour vérifier l authenticité de la valeur lue mais il est difficile de trouver une autre valeur produisant le même résumé. La clé est utilisée pour empêcher l adversaire d utiliser cette fonction pour générer un résumé correct pour la valeur qu il essaie d injecter. Lorsque le crypto-processeur sauvegarde une valeur en mémoire, il calcule le MAC correspondant à celle-ci qu il stocke également en mémoire. Lorsqu il lit une valeur, il lit également le MAC correspondant et le vérifie. Si le MAC n est pas identique, la valeur en mémoire a été modifiée et donc le crypto-processeur doit s arrêter. 8

9 2.1.2 La permutation physique Dans ce type d attaque, l adversaire prend une valeur valide (c est-à-dire la valeur et le MAC calculé par le crypto-processeur) et l enregistre à un autre endroit de la mémoire. Lorsque le crypto-processeur essaye d accéder à cette adresse, il lit la valeur et vérifie le MAC et ne détecte aucune erreur car le MAC correspond bien à la valeur lue. Ici aussi, une solution largement répandue consiste à utiliser, pour générer le MAC, une fonction qui dépend de l adresse mémoire de la valeur à stocker. Ainsi, lorsque le processeur va lire la valeur permutée, il va détecter que le MAC ne correspond pas puisque celui-ci aura été calculé pour une autre adresse mémoire Le rejeu Le rejeu consiste à remplacer la valeur située à une adresse mémoire par une valeur que cette adresse a déjà prise dans le passé. Comme la valeur remplaçante a été prise à la même adresse mémoire, les deux protections vues précédemment sont inefficaces. la grande majorité des crypto-processeurs est vulnérable à cette attaque, comme par exemple CryptoPage 1 ([1]). Voici un exemple d utilisation de ce type d attaque. Si le programme contient par exemple : for(i=0; i < TAILLE; i++) affiche(*p++); et si l adversaire arrive à localiser l adresse de i et qu il rejoue toujours une même valeur, le programme est amené à afficher des données potentiellement confidentielles. Pour contrer ce type d attaque, on doit disposer d un vérificateur global de la mémoire. Deux types de vérificateurs ont été développés : les vérificateurs hors-ligne et les vérificateur en-ligne. Un vérificateur hors-ligne permet de vérifier régulièrement l intégrité de la mémoire mais il reste des risques de piratage entre les passages du vérificateur. On peut néanmoins l utiliser dans des portions de codes qui, si jamais la mémoire est corrompue, ne risquent pas de révéler de informations sensibles et appeler la fonction de vérification quand des données doivent être transmises à l utilisateur pour voir si les calculs précédents n ont pas été affectés par une modification de la mémoire. Les vérificateurs en-ligne vérifient la mémoire à chaque accès à celle-ci. Ils sont donc sûrs (ils détectent les attaques avant qu une valeur puisse être utilisée) mais ils sont nécessairement plus lents car ils ajoutent un surcoût à chaque accès mémoire. Nous allons voir dans les sections suivantes plusieurs vérificateurs mémoire utilisés dans différents crypto-processeur afin de contrer les attaques par rejeu. 2.2 Les arbres de Merkle [5, 4] proposent d utiliser des variantes des arbres de Merkle afin d effectuer des vérifications sur les mémoires. Cette technique est utilisée par exemple dans CryptoPage-2 [2] Principes Les feuilles de l arbre sont constituées des données à protéger et les noeuds contiennent un résumé cryptographique des noeuds ou des feuilles situées en dessous d eux. Le résumé cryptographique de la racine de l arbre est stocké dans une mémoire sécurisée, par exemple à l intérieur même du crypto-processeur. Pour vérifier qu une feuille ou un noeud n a pas été altéré, on compare son résumé avec celui stocké dans le noeud parent et on vérifie que ce dernier n a pas été altéré. On répète 9

10 l opération jusqu à arriver au résumé du noeud racine stocké dans la mémoire inaltérable. Pour écrire une valeur en mémoire, on doit mettre à jour tous les noeuds au dessus de la modification jusqu au résumé racine Optimisations Dans [6] est décrit une méthode pour optimiser les algorithmes de lecture et d écriture vérifiées en utilisant le cache du crypto-processeur. L idée est que si le contenu d un noeud ancêtre est stocké dans le cache, supposé résistant aux attaques, il n est alors pas nécessaire de parcourir toute une branche et de remonter au noeud racine car on peut s arrêter à ce noeud contenu en cache puisque la branche située entre ce noeud et le noeud racine aura déjà été vérifiée lors du chargement dans le cache. Avec cette optimisation, la pénalité au niveau des performances est d environ 20% et 12,5 à 25% de la mémoire externe est utilisée pour le stockage des noeuds de l arbre. 2.3 Un vérificateur hors-ligne [7] présente un vérificateur de mémoire hors-ligne. Il est basé sur des fonctions de hachage incrémentales. Lors d un accès mémoire (en lecture ou en écriture), il met à jour un résumé cryptographique stocké dans une mémoire sécurisée. Lorsque le processeur à besoin de vérifier que les données qu il a utilisé jusqu à présent n ont pas été altérées, il appel une fonction du vérificateur qui va lire le contenu entier de la mémoire et vérifier à l aide du résumé l intégrité de la mémoire. Avec un vérificateur hors-ligne, il est important que le crypto-processeur appelle la fonction de vérification dès qu il a besoin d envoyer un résultat sous forme non chiffrée à l utilisateur. 2.4 Problèmes Jusqu à présent, on a considéré que l ensemble de la mémoire était vérifiée et que seul le crypto-processeur (ou un adversaire) y accède. Or, des périphériques peuvent accéder à la mémoire en utilisant le DMA. Pour résoudre ce problème, [6] propose d utiliser une portion de mémoire non vérifiée pour les transferts DMA. Le programme devra ensuite copier le contenu de cette zone vers la mémoire protégée. Cette solution nécessite néanmoins une copie supplémentaire des données transférées. 10

11 Chapitre 3 Les aspects logiciels 3.1 La mise en œuvre logiciel Exemple de Crypto- Page Les modifications à apporter à la couche logicielle (programmes et système d exploitation) dépendent du crypto-processeur considéré. Dans tous les cas, de nouvelles instructions sont ajoutées afin d utiliser les fonctionnalités particulières de ces processeurs. Selon ses concepteurs, le processeur Aegis [8] n a pas besoin de modifications au niveau système d exploitation pour pouvoir fonctionner. Au contraire, pour pouvoir exploiter la puce TPM [9], des modifications du système sont nécessaires (cf. section 3.2). Dans [1] est décrite la mise en œuvre logicielle du processeur CryptoPage dans un environnement de type Unix permettant l exécution coexistante de processus utilisateurs ou superviseurs, chacun pouvant être crypté ou non. Aucun processus, même superviseur, ne peut surveiller ce qui se passe à l intérieur d un processus chiffré. Par contre, un processus chiffré peut partager des données avec un autre processus chiffré avec la même clé. Appels au système Afin de pouvoir faire des appels systèmes, un processus chiffré doit tout d abord déchiffrer les arguments passés au noyau pour que celui-ci les comprenne lors du trap. Certains appels systèmes doivent également supporter un mode chiffré et un mode non chiffré comme par exemple write() qui permettra d enregistrer des informations chiffrées dans un fichier et qui devra avoir un complémentaire write nc() qui lui écrira des informations non chiffrées. Les fonctions d allocation mémoire comme malloc() devront réserver de la mémoire en plus afin de permettre le stockage des signatures utilisées pour vérifier l intégrité des données. Création de processus chiffrés La création d un nouveau processus en Unix se fait par appel à la fonction fork(). Si le processus qui l appelle est chiffré, le processus créé sera lui aussi chiffré. Lors de l appel à exec() qui permet de lancer un nouveau programme, si le système rencontre un exécutable chiffré, il fera appel à la primitive d initialisation de processus chiffré du crypto-processeur en lui passant comme paramètre le contexte matériel chiffré présent dans l exécutable. Signaux Les signaux en Unix sont des interruptions logicielles qui se traduisent par des appels de fonctions par le noyau lorsque le processus reçoit un signal. Or il y a un problème si 11

12 Fig. 3.1 Interactions entre applications et matériel sur un ordinateur NGSCB le noyau s exécute en mode non chiffré et qu il doit appeler une fonction d un processus chiffré. Il faut donc ajouter une couche qui permettra de chiffrer les paramètres à passer à la fonction. Compilation Le format exécutable produit par le compilateur doit être étendu pour supporter les exécutables chiffrés. Il doit notamment comporter un entête pour indiquer qu on a affaire à un exécutable chiffré, un descripteur chiffré avec la clé publique du processeur et qui contient la clé symétrique de chiffrement de l exécutable, une zone text comportant le code exécutable chiffré et une zone initialized data contenant les données initialisées du programme sous forme chiffrée. 3.2 NGSCB / Palladium NGSCB (Next-Generation Secure Computing Base, anciennement Palladium) est un projet d extension proposé par Microsoft pour son système d exploitation Windows. Il est décrit assez superficiellement dans [13, 14]. Ce modèle se base sur un noyau sécurisé appelé Nexus et sur des primitives matérielles comme celles offertes par TCG (cf. section 1.2). Le nexus s intercale entre le processeur et le système d exploitation (cf. figure 3.1), considéré comme non sécurisé. Cependant, il n effectue que les opérations jugées sensibles, délégant les autres au système. Il offre quatre fonctions de base qui sont l isolation forte des processus, le stockage sécurisé, l attestation cryptographique et les chemins sécurisés Isolation forte des processus Le nexus, par un dispositif de marquage des adresses, va empêcher les applications et le système d exploitation d accéder à certaines parties de la mémoire utilisées par luimême ou par des NCA (Nexus Computing Agent) qui sont des portions de programmes qui 12

13 nécessitent un environnement protégé particulier. Il interdit également les transferts DMA en direction ou en provenance de ces pages mémoire. La mémoire sera donc découpée entre les applications sécurisées (les NCA) et le nexus, et les applications normales et le système d exploitation Stockage sécurisé Le nexus utilise les fonctions proposées par le TPM pour assurer un stockage sécurisé sur le disque aux NCA. Ces derniers peuvent demander au nexus que les informations qui sont ainsi chiffrées ne soient accessibles qu à lui-même ou à d autres applications. Par exemple, les informations ne peuvent être lues que par l application qui les a sauvegardées et seulement sur une machine donnée. Ainsi, en cas de vol du disque, les informations ne pourront pas être déchiffrées. NGSCB propose également une méthode pour permettre la sauvegarde sécurisée des données sur d autres machines Attestation cryptographique Cette fonctionnalité permet à un logiciel d attester qu une donnée a été produite à l aide d une configuration logicielle cryptographiquement identifiable. Si elle est utilisée avec une infrastructure de certification, ce mécanisme permet à l utilisateur de prouver que le matériel et la couche logicielle sont légitimes Chemins sécurisés vers l utilisateur Le nexus s assure que lorsqu un NCA a besoin d effectuer des opérations d entrées/sorties, les données qui transitent ne peuvent pas être interceptées par d autres applications ou par le système d exploitation. 13

14 Chapitre 4 Les simulateurs de machines virtuelles Afin d évaluer les performances de divers crypto-processeurs ainsi que des éventuelles modifications à apporter au système d exploitation et/ou aux logiciels, on peut avoir recours à des simulateurs. 4.1 SimpleScalar SimpleScalar 1 est une suite d outils permettant de simuler le fonctionnement de plusieurs processeurs actuels (Alpha, ARM, i386, etc.) et d évaluer précisément leurs performances. Les modèles de processeurs qu il intègre peuvent simuler des fonctions avancées présentes dans certains processeurs comme l exécution spéculative, la prédiction de branchement. On peut également par exemple, modéliser finement le fonctionnement des différents niveaux et politiques de gestion des caches. SimpleScalar a été crée par Todd Austin. Il est maintenant commercialisé par la société SimpleScalar LLC mais il est possible de l utiliser et de le modifier dans un but non commercial. De plus, il est très portable, flexible (il permet par exemple de simuler des architectures little-endian sur une machine big-endian par exemple) et très populaire 2. Les auteurs de [8] l utilisent notamment afin de mesurer l impact en terme de performance des algorithmes choisis pour l implantation du crypto-processeur Aegis. Cependant, il ne simule que le processeur ainsi que la hiérarchie mémoire. Il transfère tous les appels systèmes au système hôte. Il ne permet donc pas de simuler l exécution d un système d exploitation complet sur le processeur virtuel mais uniquement l exécution d applications compilées pour celui-ci (via une adaptation spéciale de gcc pour SimpleScalar), contrairement à Bochs (cf. section 4.2). 4.2 Bochs Bochs 3 est un émulateur portable open-source de PC. Il permet d émuler sur un grand nombre de plate-forme un PC standard avec tous ses composants : processeur (x86), BIOS, carte graphique, disque dur, mémoire, etc. et ainsi de faire tourner sans modification pratiquement tous les systèmes d exploitation et logiciels destinés aux PC D après le site web, en l an 2000, près d un tiers des articles publiés dans les plus grandes conférences sur l architecture des ordinateurs l utilisaient

15 En modifiant le modèle de processeur utilisé pour l émulation, il devient alors possible de simuler l ajout de fonctions cryptographiques à un processeur de type i386 et donc de simuler le comportement des applications lors de l utilisation d un crypto-processeur. Cependant, Bochs ne dispose pas d outils permettant la réalisation de tests de performance. Si l on veut disposer de mesures sur l impact du crypto-processeur, il faudra soit rajouter des sondes à l intérieur du code source de Bochs, soit utiliser un autre outil plus adapté à la simulation d un processeur (cf. SimpleScalar, section 4.1). 15

16 Conclusion Nous venons donc de voir qu il existe un certain nombre de travaux sur les cryptoprocesseurs et leur environnement (vérification de la mémoire et aspects système d exploitation) visant à disposer d une architecture matérielle sécurisée afin de permettre l exécution fiable de programmes. À partir de ces systèmes, on peut développer par exemple des solutions de protection contre le piratage d œuvres numériques ou permettre l exécution sécurisée d applications dans les grilles de calcul. Il reste à évaluer précisément les ajouts à effectuer dans un système d exploitation particulier et dans un compilateur et d évaluer les impacts de ceux-ci en terme de performance dans le cadre du crypto-processeur Crypto- Page, ce qui fait l objet de ce stage. 16

17 Bibliographie [1] Ronan Keryell. «CryptoPage-1 : vers la fin du piratage informatique?». Dans Symposium d Architecture (SympA 6), pages 35 44, Besançon, juin enstb.org/~keryell/publications/enstbr_info_ [2] Cédric Lauradoux et Ronan Keryell. «CryptoPage-2 : un processeur sécurisé contre le rejeu». RENPAR 15/CFSE 3/SympAAA 2003, La Colle sur Loup, octobre [3] David Lie, Chandramohan Thekkath, Mark Mitchell, Patrick Lincoln, Dan Boneh, John Mitchell et Mark Horowitz. «Architectural Support for Copy and Tamper Resistant Software». Dans Architectural Support for Programming Languages and Operating Systems, pages , [4] Manuel Blum, William S. Evans, Peter Gemmell, Sampath Kannan et Moni Naor. «Checking the Correctness of Memories». Dans IEEE Symposium on Foundations of Computer Science, pages 90 99, [5] Manuel Blum et Sampath Kannan. «Designing programs that check their work». Dans STOC89, pages 86 97, [6] Blaise Gassend, G. Edward Suh, Dwaine Clarke, Marten van Dijk et Srinivas Devadas. «Caches and Markle Trees for Efficient Memory Authentication», [7] Dwaine Clarke, Blaise Gassend, G. Edward Suh, Marten van Dijk, Srinivas Devadas. «Offline Integrity Checking of Untrusted Storage». Dans Technical Report MIT-LCS-TR-871, Massachusetts Institute of Technology, novembre Disponible sur [8] G. Edward Suh, Dwaine Clarke, Blaise Gassend, Marten van Dijk et Srinivas Devadas. «The Aegis Processor Architecture for Tamper-Evident and Tamper- Resistant Processing». Dans Technical Report MIT-LCS-TM-461, Massachusetts Institute of Technology, février Disponible sur memos/memo-461/memo-461.pdf. [9] Trusted Computing Group. «TCG Main Specification». Disponible sur trustedcomputinggroup.org, septembre [10] William A. Arbaugh, David J. Farber et Jonathan M. Smith. «A Secure and Reliable Bootstrap Architecture». Dans IEEE Symposium on Security and Privacy, pages 65 71, [11] Andrew Huang. «The Trusted PC : Skin-Deep Security». Dans Computer, pages , octobre [12] Bill Arbaugh. «Improving the TCPA Specification». Dans Computer, pages 77 79, août [13] Windows Platform Design Notes. «Security Model for the Next-Generation Secure Computing Base». Disponible sur

18 [14] Windows Platform Design Notes. «NGSCB : Trusted Computing Base and Software Authentication». Disponible sur [15] Markus G. Kuhn. «Cipher Instruction Search Attack on the Bus-Encryption Security Microcontroller DS5002FP». Dans IEEE Transactions on Computers, 47(10) : , octobre

Portage de l architecture sécurisée CRYPTOPAGE sur un microprocesseur x86

Portage de l architecture sécurisée CRYPTOPAGE sur un microprocesseur x86 RENPAR 16 / CFSE 4 / SympAAA 2005 / Journées Composants Le Croisic, France, 5 au 8 avril 2005 Portage de l architecture sécurisée CRYPTOPAGE sur un microprocesseur x86 Guillaume DUC et Ronan ERYELL Laboratoire

Plus en détail

Portage de l architecture sécurisée CryptoPage sur un microprocesseur x86

Portage de l architecture sécurisée CryptoPage sur un microprocesseur x86 Portage de l architecture sécurisée CryptoPage sur un microprocesseur x86 Guillaume Duc Ronan Keryell Département Informatique École Nationale Supérieure des Télécommunications de Bretagne Symposium en

Plus en détail

Cryptoprocesseurs et virtualisation

Cryptoprocesseurs et virtualisation Cryptoprocesseurs et virtualisation Étude bibliographique Master Recherche en Informatique 2 1 er février 2007 Auteur : Cyril Brulebois Encadrants : Guillaume Duc et

Plus en détail

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé

Cible de Sécurité CSPN. Produit TrueCrypt version 7.1a. Catégorie Stockage Sécurisé Cible de Sécurité CSPN Produit TrueCrypt version 7.1a Catégorie Stockage Sécurisé Date : le 15/01/2013 Page 1 sur 18 Siège : 4 bis Allée du Bâtiment 35000 Rennes France www.amossys.fr SIRET : 493 348 890

Plus en détail

Systèmes d exploitation. Introduction. (Operating Systems) http://www.sir.blois.univ-tours.fr/ mirian/

Systèmes d exploitation. Introduction. (Operating Systems) http://www.sir.blois.univ-tours.fr/ mirian/ Systèmes d exploitation (Operating Systems) Introduction SITE : http://www.sir.blois.univ-tours.fr/ mirian/ Systèmes d exploitation - Mírian Halfeld-Ferrari p. 1/2 Qu est-ce qu un SE? Ensemble de logiciels

Plus en détail

Système d exploitation

Système d exploitation Chapitre 2 Système d exploitation 2.1 Définition et rôle Un ordinateur serait bien difficile à utiliser sans interface entre le matériel et l utilisateur. Une machine peut exécuter des programmes, mais

Plus en détail

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif

TLS C.1 CRYPTAGE SYMÉTRIQUE. Objectif C TLS Objectif Cette annexe présente les notions de cryptage asymétrique, de certificats et de signatures électroniques, et décrit brièvement les protocoles SSL (Secure Sockets Layer) et TLS (Transport

Plus en détail

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader

Gestion des Clés. Pr Belkhir Abdelkader. 10/04/2013 Pr BELKHIR Abdelkader Gestion des Clés Pr Belkhir Abdelkader Gestion des clés cryptographiques 1. La génération des clés: attention aux clés faibles,... et veiller à utiliser des générateurs fiables 2. Le transfert de la clé:

Plus en détail

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte

Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte thawte thawte thawte thawte Sécurisez votre serveur Web Internet Information Services de Microsoft (MS IIS) avec un certificat numérique de thawte UN GUIDE ÉTAPE PAR ÉTAPE, pour tester, acheter et utiliser un certificat numérique

Plus en détail

MORPHEO. 1 - Serveur de rechargement MIFARE. 2 - Web service sécurisé. 3 - Couche de sécurité intégrée au lecteur sans contact

MORPHEO. 1 - Serveur de rechargement MIFARE. 2 - Web service sécurisé. 3 - Couche de sécurité intégrée au lecteur sans contact MORPHEO Solution sécurisée de rechargement en ligne de supports 1 - Serveur de rechargement 2 - Web service sécurisé 3 - Couche de sécurité intégrée au lecteur sans contact 4 - Lecteur sans contact personnalisé

Plus en détail

Applications de la cryptographie à clé publique

Applications de la cryptographie à clé publique pplications de la cryptographie à clé publique Crypter un message M revient à appliquer à celui-ci une fonction bijective f de sorte de former le message chiffré M = f ( M ). Déchiffrer ce dernier consiste

Plus en détail

1 Architecture du cœur ARM Cortex M3. Le cœur ARM Cortex M3 sera présenté en classe à partir des éléments suivants :

1 Architecture du cœur ARM Cortex M3. Le cœur ARM Cortex M3 sera présenté en classe à partir des éléments suivants : GIF-3002 SMI et Architecture du microprocesseur Ce cours discute de l impact du design du microprocesseur sur le système entier. Il présente d abord l architecture du cœur ARM Cortex M3. Ensuite, le cours

Plus en détail

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie.

Ce document fait office d introduction au cryptage des données ainsi qu aux solutions de stockage à cryptage fiable proposées par LaCie. Livre blanc : CRYPTAGE Au regard du formidable succès des disques durs externes pour le stockage et la sauvegarde des données personnelles, commerciales et organisationnelles, le besoin de protection des

Plus en détail

Conseil économique et social

Conseil économique et social NATIONS UNIES E Conseil économique et social Distr. GÉNÉRALE ECE/TRANS/WP.30/AC.2/2008/2 21 novembre 2007 FRANÇAIS Original: ANGLAIS COMMISSION ÉCONOMIQUE POUR L EUROPE Comité de gestion de la Convention

Plus en détail

Chiffrement et signature électronique

Chiffrement et signature électronique Chiffrement et signature électronique (basée sur le standard X509) Frédéric KASMIRCZAK 1 Sommaire I. La cryptologie base de la signature électronique... 3 1. Les systèmes symétriques à l origine de la

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

La prise de conscience de la Cyber Sécurité est en hausse

La prise de conscience de la Cyber Sécurité est en hausse 1 2 La prise de conscience de la Cyber Sécurité est en hausse Les sociétés et les individus sont de plus en plus connectés Cloud Computing Mobile Computing Utilisation génerale des Médias/Réseaux Sociaux

Plus en détail

SRS Day. Attaque BitLocker par analyse de dump mémoire

SRS Day. Attaque BitLocker par analyse de dump mémoire SRS Day Attaque BitLocker par analyse de dump mémoire Benjamin Noel Olivier Détour noel_b detour_o Sommaire Partie théorique Etude de cas Attaque BitLocker Contre-mesures Introduction Analyse forensique

Plus en détail

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima

Introduction à la sécurité Cours 8 Infrastructure de clés publiques. Catalin Dima Introduction à la sécurité Cours 8 Infrastructure de clés publiques Catalin Dima 1 Gestion des clés La gestion des clés concerne : La distribution de clés cryptographiques, Les mécanismes utilisés pour

Plus en détail

Chameleon Pro Mode d emploi du Dispositif Master

Chameleon Pro Mode d emploi du Dispositif Master Chameleon Pro Mode d emploi du Dispositif Master Doc# 100-22-081 Table des matières 1 Introduction... 1 2 Installation du Master Chameleon Pro... 1 2.1 Désinstaller... 4 3 Disques cryptés Chameleon : protéger

Plus en détail

La mémoire. Un ordinateur. L'octet. Le bit

La mémoire. Un ordinateur. L'octet. Le bit Introduction à l informatique et à la programmation Un ordinateur Un ordinateur est une machine à calculer composée de : un processeur (ou unité centrale) qui effectue les calculs une mémoire qui conserve

Plus en détail

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150

Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150 Manuel de la sécurité intégrée HP ProtectTools Ordinateurs d entreprise HP modèle dx5150 Référence : 376352-051 Décembre 2004 Ce manuel contient le mode d emploi du logiciel permettant de définir les paramètres

Plus en détail

FICHE N 10 SÉCURITÉ DES DONNÉES

FICHE N 10 SÉCURITÉ DES DONNÉES L article 34 de la loi «Informatique et Libertés» impose à un responsable de traitement de prendre toutes les précautions utiles pour préserver la sécurité des données dont il est responsable, en fonction

Plus en détail

La sécurité dans les grilles

La sécurité dans les grilles La sécurité dans les grilles Yves Denneulin Laboratoire ID/IMAG Plan Introduction les dangers dont il faut se protéger Les propriétés à assurer Les bases de la sécurité Protocoles cryptographiques Utilisation

Plus en détail

fichiers Exemple introductif : stockage de photos numériques

fichiers Exemple introductif : stockage de photos numériques b- La Gestion des données Parmi les matériels dont il a la charge, le système d exploitation s occupe des périphériques de stockage. Il s assure, entre autres, de leur bon fonctionnement mais il doit être

Plus en détail

Sécurité des réseaux IPSec

Sécurité des réseaux IPSec Sécurité des réseaux IPSec A. Guermouche A. Guermouche Cours 4 : IPSec 1 Plan 1. A. Guermouche Cours 4 : IPSec 2 Plan 1. A. Guermouche Cours 4 : IPSec 3 Pourquoi? Premier constat sur l aspect critique

Plus en détail

Sur un ordinateur portable ou un All-in-One tactile, la plupart des éléments mentionnés précédemment sont regroupés. 10) 11)

Sur un ordinateur portable ou un All-in-One tactile, la plupart des éléments mentionnés précédemment sont regroupés. 10) 11) 1/ Généralités : Un ordinateur est un ensemble non exhaustif d éléments qui sert à traiter des informations (documents de bureautique, méls, sons, vidéos, programmes ) sous forme numérique. Il est en général

Plus en détail

Utilisez Toucan portable pour vos sauvegardes

Utilisez Toucan portable pour vos sauvegardes Utilisez Toucan portable pour vos sauvegardes Préambule Toucan est un logiciel libre et gratuit, permettant de réaliser des sauvegardes ou synchronisation de vos données. Il est possible d automatiser

Plus en détail

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI

Cryptologie. Algorithmes à clé publique. Jean-Marc Robert. Génie logiciel et des TI Cryptologie Algorithmes à clé publique Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Cryptographie à clé publique Les principes essentiels La signature électronique Infrastructures

Plus en détail

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité

Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Offre d archivage des transactions en ligne Certification CSPN Cible sécurité Date : 2010-09-08 Référence 20100906-CSPN-CibleSécurité-V1.1.doc VALIDITE DU DOCUMENT Identification Client Projet Fournisseur

Plus en détail

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D

ÉPREUVE COMMUNE DE TIPE 2008 - Partie D ÉPREUVE COMMUNE DE TIPE 2008 - Partie D TITRE : Les Fonctions de Hachage Temps de préparation :.. 2 h 15 minutes Temps de présentation devant le jury :.10 minutes Entretien avec le jury :..10 minutes GUIDE

Plus en détail

Les systèmes RAID Architecture des ordinateurs

Les systèmes RAID Architecture des ordinateurs METAIS Cédric 2 ème année Informatique et réseaux Les systèmes RAID Architecture des ordinateurs Cédric METAIS ISMRa - 1 - LES DIFFERENTS SYSTEMES RAID SOMMAIRE INTRODUCTION I LES DIFFERENTS RAID I.1 Le

Plus en détail

Toshiba EasyGuard en action :

Toshiba EasyGuard en action : Toshiba EasyGuard en action Toshiba EasyGuard en action : tecra s3 Une plate-forme professionnelle complètement évolutive offrant une sécurité et une fiabilité de haut niveau. Toshiba EasyGuard comprend

Plus en détail

SSL ET IPSEC. Licence Pro ATC Amel Guetat

SSL ET IPSEC. Licence Pro ATC Amel Guetat SSL ET IPSEC Licence Pro ATC Amel Guetat LES APPLICATIONS DU CHIFFREMENT Le protocole SSL (Secure Socket Layer) La sécurité réseau avec IPSec (IP Security Protocol) SSL - SECURE SOCKET LAYER Historique

Plus en détail

Organiser les informations ( approche technique )

Organiser les informations ( approche technique ) Organiser les informations ( approche technique ) Introduction : Le stockage des informations est une fonctionnalité essentielle de l outil informatique, qui permet de garantir la pérennité des informations,

Plus en détail

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Routeur Chiffrant Navista Version 2.8.0. Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1. Routeur Chiffrant Navista Version 2.8.0 Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.0 Cibles de sécurité C.S.P.N Référence : NTS-310-CSPN-CIBLES-1.05

Plus en détail

Chapitre II. Introduction à la cryptographie

Chapitre II. Introduction à la cryptographie Chapitre II Introduction à la cryptographie PLAN 1. Terminologie 2. Chiffrement symétrique 3. Chiffrement asymétrique 4. Fonction de hachage 5. Signature numérique 6. Scellement 7. Echange de clés 8. Principe

Plus en détail

AxCrypt : Logiciel de chiffrement pour Windows. Guide d installation rapide. Version 1.6.3. Mars 2007

AxCrypt : Logiciel de chiffrement pour Windows. Guide d installation rapide. Version 1.6.3. Mars 2007 AxCrypt : Logiciel de chiffrement pour Windows Guide d installation rapide Version 1.6.3 Mars 2007 Copyright 2004 Svante Seleborg, Axantum Software AB Ce document décrit l installation et la prise en main

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification Évaluation EAL 2 + du système d exploitation Data Domain version 5.2.1.0 Préparé par : Le Centre de la sécurité des télécommunications Canada à titre d organisme de certification

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Motion Computing tablette PC

Motion Computing tablette PC Motion Computing tablette PC ACTIVATION DU MODULE TPM (TRUSTED PLATFORM MODULE) Guide de l utilisateur Activation du module TPM (Trusted Platform Module) Avec les outils de plate-forme de sécurité Infineon

Plus en détail

EPREUVE OPTIONNELLE d INFORMATIQUE

EPREUVE OPTIONNELLE d INFORMATIQUE EPREUVE OPTIONNELLE d INFORMATIQUE A) QCM Les réponses au QCM doivent être portées directement sur la feuille de sujet de QCM. Ne pas omettre de faire figurer votre numéro de candidat sur cette feuille

Plus en détail

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2.

I.1. Chiffrement I.1.1 Chiffrement symétrique I.1.2 Chiffrement asymétrique I.2 La signature numérique I.2.1 Les fonctions de hachage I.2. DTIC@Alg 2012 16 et 17 mai 2012, CERIST, Alger, Algérie Aspects techniques et juridiques de la signature électronique et de la certification électronique Mohammed Ouamrane, Idir Rassoul Laboratoire de

Plus en détail

Organiser le disque dur Dossiers Fichiers

Organiser le disque dur Dossiers Fichiers Ce document contient des éléments empruntés aux pages d aide de Microsoft Organiser le disque dur Dossiers Fichiers Généralités La connaissance de la logique d organisation des données sur le disque dur

Plus en détail

Signature électronique. Romain Kolb 31/10/2008

Signature électronique. Romain Kolb 31/10/2008 Romain Kolb 31/10/2008 Signature électronique Sommaire I. Introduction... 3 1. Motivations... 3 2. Définition... 3 3. La signature électronique en bref... 3 II. Fonctionnement... 4 1. Notions requises...

Plus en détail

VMware ESX/ESXi. 1. Les composants d ESX. VMware ESX4 est le cœur de l infrastructure vsphere 4.

VMware ESX/ESXi. 1. Les composants d ESX. VMware ESX4 est le cœur de l infrastructure vsphere 4. VMware ESX/ESXi 1. Les composants d ESX VMware ESX4 est le cœur de l infrastructure vsphere 4. C est un hyperviseur, c est à dire une couche de virtualisation qui permet de faire tourner plusieurs systèmes

Plus en détail

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI

HSM, Modules de sécurité matériels de SafeNet. Gestion de clés matérielles pour la nouvelle génération d applications PKI HSM, Modules de sécurité matériels de SafeNet Gestion de clés matérielles pour la nouvelle génération d applications PKI Modules de sécurité matériels de SafeNet Tandis que les entreprises transforment

Plus en détail

Concept Compumatica Secure Mobile

Concept Compumatica Secure Mobile LivreBlanc Concept Compumatica Secure Mobile La solution voix et SMS sécurisés pour les organisations et Compumatica secure networks 2014 Compumatica secure networks www.compumatica.com La solution voix

Plus en détail

Fonctionnement de Windows XP Mode avec Windows Virtual PC

Fonctionnement de Windows XP Mode avec Windows Virtual PC Fonctionnement de Windows XP Mode avec Windows Virtual PC Guide pratique pour les petites entreprises Table des matières Section 1 : présentation de Windows XP Mode pour Windows 7 2 Section 2 : démarrage

Plus en détail

CHARTE INFORMATIQUE LGL

CHARTE INFORMATIQUE LGL CHARTE INFORMATIQUE LGL Selon la réglementation indiquée dans la charte informatique du CNRS, tout accès aux ressources informatiques du LGLTPE nécessite une authentification des personnels. Cette authentification

Plus en détail

ASR3. Partie 1 principes de base. Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010

ASR3. Partie 1 principes de base. Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010 ASR3 Partie 1 principes de base 1 Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010 Plan 1- Historique 2- Qu est-ce que Windows Server 2008? 3- Les versions de Windows Server 2008 4-

Plus en détail

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse Questions - Révision- - 1 er Semestre Informatique Durée de l examen : 1h pour 40 questions. Aucun document n est autorisé. L usage d appareils électroniques est interdit. Les questions faisant apparaître

Plus en détail

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés

Livre blanc. La sécurité de nouvelle génération pour les datacenters virtualisés Livre blanc La sécurité de nouvelle génération pour les datacenters virtualisés Introduction Ces dernières années, la virtualisation est devenue progressivement un élément stratégique clé pour le secteur

Plus en détail

Fiche Technique. Cisco Security Agent

Fiche Technique. Cisco Security Agent Fiche Technique Cisco Security Agent Avec le logiciel de sécurité de point d extrémité Cisco Security Agent (CSA), Cisco offre à ses clients la gamme de solutions de protection la plus complète qui soit

Plus en détail

Gestion des clés cryptographiques

Gestion des clés cryptographiques PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Paris, le 28 mars 2006 N 724/SGDN/DCSSI/SDS/AsTeC Gestion des clés cryptographiques

Plus en détail

Les entrées/sorties Les périphériques

Les entrées/sorties Les périphériques Les entrées/sorties Les périphériques La fonction d un ordinateur est le traitement de l information (fonction réalisée au niveau de la mémoire et l UC). L ordinateur acquiert cette information et restitue

Plus en détail

Instructions d installation de IBM SPSS Modeler Server 15 pour Windows

Instructions d installation de IBM SPSS Modeler Server 15 pour Windows Instructions d installation de IBM SPSS Modeler Server 15 pour Windows IBM SPSS Modeler Server peut être installé et configuré de manière à s exécuter en mode d analyse réparti, avec une ou plusieurs installations

Plus en détail

Protocoles cryptographiques

Protocoles cryptographiques MGR850 Hiver 2014 Protocoles cryptographiques Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1 Plan Motivation et Contexte Notations Protocoles

Plus en détail

Machines virtuelles Cours 1 : Introduction

Machines virtuelles Cours 1 : Introduction Machines virtuelles Cours 1 : Introduction Pierre Letouzey 1 pierre.letouzey@inria.fr PPS - Université Denis Diderot Paris 7 janvier 2012 1. Merci à Y. Régis-Gianas pour les transparents Qu est-ce qu une

Plus en détail

Gestion des sauvegardes

Gestion des sauvegardes Gestion des sauvegardes Penser qu un système nouvellement mis en place ou qui tourne depuis longtemps ne nécessite aucune attention est illusoire. En effet, nul ne peut se prémunir d événements inattendus

Plus en détail

Présentation. Logistique. Introduction

Présentation. Logistique. Introduction Présentation Diapo01 Je m appelle Michel Canneddu. Je développe avec 4D depuis 1987 et j exerce en tant qu indépendant depuis 1990. Avant de commencer, je tiens à remercier mes parrains Jean-Pierre MILLIET,

Plus en détail

La sécurité dans un réseau Wi-Fi

La sécurité dans un réseau Wi-Fi La sécurité dans un réseau Wi-Fi Par Valérian CASTEL. Sommaire - Introduction : Le Wi-Fi, c est quoi? - Réseau ad hoc, réseau infrastructure, quelles différences? - Cryptage WEP - Cryptage WPA, WPA2 -

Plus en détail

Rapport de certification

Rapport de certification Rapport de certification BMC Real End User Experience Monitoring and Analytics 2.5 Préparé par le Centre de la sécurité des télécommunications à titre d organisme de certification dans le cadre du Schéma

Plus en détail

Le protocole SSH (Secure Shell)

Le protocole SSH (Secure Shell) Solution transparente pour la constitution de réseaux privés virtuels (RPV) INEO.VPN Le protocole SSH (Secure Shell) Tous droits réservés à INEOVATION. INEOVATION est une marque protégée PLAN Introduction

Plus en détail

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES

TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES TAI049 Utiliser la virtualisation en assistance et en dépannage informatique TABLE DES MATIERES 1 DECOUVERTE DE LA VIRTUALISATION... 2 1.1 1.2 CONCEPTS, PRINCIPES...2 UTILISATION...2 1.2.1 Formation...2

Plus en détail

Chiffrement : Échanger et transporter ses données en toute sécurité

Chiffrement : Échanger et transporter ses données en toute sécurité Chiffrement : Échanger et transporter ses données en toute sécurité Septembre 2014 Chiffrement : Confidentialité des données Malgré les déclarations de Google et autres acteurs du Net sur les questions

Plus en détail

LES DISQUES DURS. Catégorie. Fiche. technique N 8. Hardware. Tête de lecture et d écriture. Axe de rotation. Alimentation

LES DISQUES DURS. Catégorie. Fiche. technique N 8. Hardware. Tête de lecture et d écriture. Axe de rotation. Alimentation Plateau Tête de lecture et d écriture Axe de rotation Bras de lecture et d écriture Alimentation Jumpers Interface Connecteur IDE Alimentation IDE Alimentation SATA Connecteur SATA www.alphatic.be : fiches

Plus en détail

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération 5.4 Pour l exercice terminé le 31 décembre 2013 Sécurité des réseaux sans fil 5.4. Sécurité des

Plus en détail

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie

CRYPTOGRAPHIE. Chiffrement par flot. E. Bresson. Emmanuel.Bresson@sgdn.gouv.fr. SGDN/DCSSI Laboratoire de cryptographie CRYPTOGRAPHIE Chiffrement par flot E. Bresson SGDN/DCSSI Laboratoire de cryptographie Emmanuel.Bresson@sgdn.gouv.fr CHIFFREMENT PAR FLOT Chiffrement par flot Chiffrement RC4 Sécurité du Wi-fi Chiffrement

Plus en détail

Cryptographie. Cours 3/8 - Chiffrement asymétrique

Cryptographie. Cours 3/8 - Chiffrement asymétrique Cryptographie Cours 3/8 - Chiffrement asymétrique Plan du cours Différents types de cryptographie Cryptographie à clé publique Motivation Applications, caractéristiques Exemples: ElGamal, RSA Faiblesses,

Plus en détail

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage.

Cryptographie et utilisation. Utilisation de la cryptographie. Rappel des propriétés à assurer. Assurer le secret :stockage. Rappel des propriétés à assurer Cryptographie et utilisation Secret lgorithmes symétriques : efficace mais gestion des clés difficiles lgorithmes asymétriques : peu efficace mais possibilité de diffuser

Plus en détail

Sécurisation de Windows NT 4.0. et Windows 2000

Sécurisation de Windows NT 4.0. et Windows 2000 Pratique système : Sécurité Sécurisation de Windows NT 4.0 et Windows 2000 Partie 3/3 Patrick CHAMBET patrick.chambet@edelweb.fr Patrick CHAMBET - 1 - Au cours des deux premières parties de cet article,

Plus en détail

Cours 14. Crypto. 2004, Marc-André Léger

Cours 14. Crypto. 2004, Marc-André Léger Cours 14 Crypto Cryptographie Définition Science du chiffrement Meilleur moyen de protéger une information = la rendre illisible ou incompréhensible Bases Une clé = chaîne de nombres binaires (0 et 1)

Plus en détail

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet Curriculum Name Guide du participant CCENT 3 Section 9.3 Dépannage de l adressage IP de la couche 3 Cette section consacrée au dépannage vous permettra d étudier les conditions nécessaires à l obtention

Plus en détail

Historique. Évolution des systèmes d exploitation (à travers les âges)

Historique. Évolution des systèmes d exploitation (à travers les âges) Historique Évolution des systèmes d exploitation (à travers les âges) Historique L histoire des systèmes d exploitation permet de dégager des concepts de base que l on retrouve dans les systèmes actuels

Plus en détail

www.rohos-fr.com Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

www.rohos-fr.com Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur La connexion par reconnaissance faciale L accès sécurisé sous Windows et Mac à l aide d une clé USB www.rohos-fr.com

Plus en détail

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité

EVault Endpoint Protection en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité en détails : Gestion de l entreprise, Sauvegarde, Restauration et Sécurité Vue d ensemble des principaux avantages Permet au service informatique de gérer les données mobiles en définissant des règles

Plus en détail

Module 7 : Gestion de la tolérance de pannes

Module 7 : Gestion de la tolérance de pannes Module 7 : Gestion de la tolérance de pannes 0RGXOH#:#=#*HVWLRQ#GH#OD#WROpUDQFH#GH#SDQQHV# # 568 # 3UpVHQWDWLRQ#JpQpUDOH 3UpVHQWHU#OHV#SULQFLSDX[ VXMHWV#HW#REMHFWLIV#pWXGLpV GDQV#FH#PRGXOH1 :LQGRZV#17#SUHQG#HQ

Plus en détail

Concilier mobilité et sécurité pour les postes nomades

Concilier mobilité et sécurité pour les postes nomades Concilier mobilité et sécurité pour les postes nomades Gérard Péliks Responsable Marketing Solutions de Sécurité EADS TELECOM 01 34 60 88 82 gerard.peliks@eads-telecom.com Pouvoir utiliser son poste de

Plus en détail

Authentification et Autorisation

Authentification et Autorisation Authentification et Autorisation Jean-Marc Robert Génie logiciel et des TI Plan de la présentation Introduction Contrôle accès Identification Authentifiction Autorisation Imputabilité (Accoutability) Conclusion

Plus en détail

Sécurité des réseaux sans fil

Sécurité des réseaux sans fil Sécurité des réseaux sans fil Francois.Morris@lmcp.jussieu.fr 13/10/04 Sécurité des réseaux sans fil 1 La sécurité selon les acteurs Responsable réseau, fournisseur d accès Identification, authentification

Plus en détail

WHITE PAPER. Quels avantages la déduplication offre-t-elle aux entreprises? Livre blanc Acronis

WHITE PAPER. Quels avantages la déduplication offre-t-elle aux entreprises? Livre blanc Acronis Quels avantages la déduplication offre-t-elle aux entreprises? Livre blanc Acronis Copyright Acronis, Inc. 2000 2009 Table des matières Résumé... 3 Qu est-ce que la déduplication?... 4 Déduplication au

Plus en détail

Programmation C. Apprendre à développer des programmes simples dans le langage C

Programmation C. Apprendre à développer des programmes simples dans le langage C Programmation C Apprendre à développer des programmes simples dans le langage C Notes de cours sont disponibles sur http://astro.u-strasbg.fr/scyon/stusm (attention les majuscules sont importantes) Modalités

Plus en détail

INTRODUCTION AU CHIFFREMENT

INTRODUCTION AU CHIFFREMENT INTRODUCTION AU CHIFFREMENT Par Gérard Peliks Expert sécurité Security Center of Competence EADS Defence and Security Avril 2008 Un livre blanc de Forum ATENA Un livre blanc 1 / 6 SOMMAIRE INTRODUCTION

Plus en détail

quelques problèmes de sécurité dans les réseaux de capteurs

quelques problèmes de sécurité dans les réseaux de capteurs quelques problèmes de sécurité dans les réseaux de capteurs Marine MINIER Laboratoire CITI INSA de Lyon Journées EmSoC 2007 1 Introduction Réseaux sans fil multi-sauts utilisés en général pour monitorer

Plus en détail

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN 2005.-V.1.

DIRECTIVE SUR L UTILISATION DES OUTILS INFORMATIQUES, D INTERNET, DE LA MESSAGERIE ELECTRONIQUE ET DU TELEPHONE ( JUIN 2005.-V.1. 1 BUT 1.1 Le but de la présente directive est de définir les droits et les devoirs des utilisateurs à propos des moyens de communication (Internet, messagerie électronique, téléphonie) et des postes de

Plus en détail

Les sauvegardes de l ordinateur

Les sauvegardes de l ordinateur Les sauvegardes de l ordinateur Les sauvegardes de l ordinateur sont de deux natures : * les sauvegardes de vos documents personnels * les sauvegardes du système d exploitation Vos documents photos, textes,

Plus en détail

Systèmes d exploitation

Systèmes d exploitation Systèmes d exploitation Virtualisation, Sécurité et Gestion des périphériques Gérard Padiou Département Informatique et Mathématiques appliquées ENSEEIHT Novembre 2009 Gérard Padiou Systèmes d exploitation

Plus en détail

Note technique. Recommandations de sécurité relatives aux mots de passe

Note technique. Recommandations de sécurité relatives aux mots de passe P R E M I E R M I N I S T R E Secrétariat général Paris, le 5 juin 2012 de la défense et de la sécurité nationale N o DAT-NT-001/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document

Plus en détail

INDICATIONS IMPORTANTES POUR L INSTALLATION DE VERTEC

INDICATIONS IMPORTANTES POUR L INSTALLATION DE VERTEC INDICATIONS IMPORTANTES POUR L INSTALLATION DE VERTEC Le présent document est destiné à vous aider dans les premiers pas d utilisation du CD d installation Vertec. Il aborde notamment les thèmes suivants:

Plus en détail

Toshiba EasyGuard en action :

Toshiba EasyGuard en action : Toshiba EasyGuard en action Toshiba EasyGuard en action : portégé m400 Le Tablet PC ultra-portable tout-en-un Toshiba EasyGuard comprend un ensemble de fonctionnalités qui permettent de répondre aux exigences

Plus en détail

Quels sont les espaces disponibles sur l ordinateur pour stocker ses documents et comment accéder facilement au dossier «My Documents»?

Quels sont les espaces disponibles sur l ordinateur pour stocker ses documents et comment accéder facilement au dossier «My Documents»? Quels sont les espaces disponibles sur l ordinateur pour stocker ses documents et comment accéder facilement au dossier «My Documents»? Qui n a jamais eu de peine à retrouver ses documents informatiques?

Plus en détail

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL

Master Informatique 1ère Année 2007. Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL VPN SSL : Présentation Master Informatique 1ère Année Année 2006-2007 2007 Participants: Tarek Ajroud Jérémy Ameline Charles Balle Fabrice Douchant VPN SSL Durée : 20 minutes Remarques Intervention : 15-20

Plus en détail

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1

Cryptographie. Master de cryptographie Architectures PKI. 23 mars 2015. Université Rennes 1 Cryptographie Master de cryptographie Architectures PKI 23 mars 2015 Université Rennes 1 Master Crypto (2014-2015) Cryptographie 23 mars 2015 1 / 17 Cadre Principe de Kercho : "La sécurité d'un système

Plus en détail

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009 Janvier 2009 1 2 Etablissement des clés de session Protection des données échangées 3 Identification par mot de passe Identification par clé publique Identification par hôte 4 Utilisations de Secure Shell

Plus en détail

Livre blanc. Sécuriser les échanges

Livre blanc. Sécuriser les échanges Livre blanc d information Sécuriser les échanges par emails Octobre 2013 www.bssi.fr @BSSI_Conseil «Sécuriser les échanges d information par emails» Par David Isal Consultant en Sécurité des Systèmes d

Plus en détail

Consolidation de stockage

Consolidation de stockage (Information sur la technologie Sto-2003-2) Wolfgang K. Bauer Spécialiste stockage Centre de compétence transtec AG Waldhörnlestraße 18 D-72072 Tübingen Allemagne TABLE DES MATIÈRES 1 RÉSUMÉ...3 2 INTRODUCTION...4

Plus en détail