DEMONEY : Modélisation en B et vérification de propriétés

Transcription

1 DEMONEY : Modélisation en B et vérification de propriétés Nicolas Stouls (nicolas.stouls@imag.fr) Laboratoire LSR de Grenoble / IMAG Le 6 mai 2004 Page 1/42

2 Objectifs Expression et vérification de propriétés de sécurité Choix méthodologiques : Construction par raffinement Utiliser au maximum la preuve Invariants, préconditions, etc. Compléter par vérification d'un automate des comportements autorisés Génération automatique d'un graphe comportemental Outil GénéSyst Comparaison automatique d'un graphe comportemental avec une propriété Page 2/42

3 Plan I. Rappels généraux sur DEMONEY II. Exemple de propriétés et objectifs de sécurité III. Présentation du modèle IV. Vérification de propriétés et politiques de sécurité V. Conclusion Page 3/42

4 I. Rappels généraux sur DEMONEY Page 4/42

5 DEMONEY Applet JavaCard d'un porte monnaie électronique Développée par : Trusted Logic Cadre : projet SecSafe Objectif : faire une étude de cas représentative des Applets JavaCard Différentes implantations avec différentes API mais le même comportement Ici,on ne traite que du cas DEMONEY StandAlone I. Présentation générale de DEMONEY Page 5/42

6 Concepts de base d'une architecture carte à puce Carte (RAM+ ROM+CPU+OS+ Applets) Echange de paquets APDU Terminal CPU Terminal La carte possède : CPU, RAM, ROM, OS (Java Card) et programmes (Applets) Une communication est menée par le terminal La carte ne fait que répondre Communication = échange de paquets APDU APDU = Tableau de bytes contenant une commande et des données I. Présentation générale de DEMONEY Page 6/42

7 Cycle de vie d'une applet JCRE Loading Téléchargement de l'applet sur la carte JCRE + Applet INSTALLATION Instanciation de l'applet PROCESSING Vie de la carte CAP File (Applet) JCRE + Applet + Instance JCRE + Applet + Instance initialisée Vérifications statiques et simplifications Class File (Applet) Compilation en ByteCode Possibilité d'utilisation partielle de la carte pour sa configuration (PROCESSING limité) PERSONALIZATION Initialisation de certains paramètres de l'instance Appel d'une instruction Java File (Applet) I. Présentation générale de DEMONEY Page 7/42

8 2 interfaces différentes Interface avec le système d'exploitation Méthodes Interface avec le terminal APDU reçus par la méthode process I. Présentation générale de DEMONEY Page 8/42

9 Quelques méthodes externes Select : Informe l'applet qu'elle est sélectionnée process : Transmet une commande APDU deselect : Informe l'applet qu'elle n'est plus sélectionnée II. Spécification de DEMONEY Page 9/42

10 Quelques commandes APDU passées à l'applet par la commande process Com m ande STO RE DATA SELECT INITIALIZE UPDATE EXTERNAL AUTHENTIFICATIO N PIN VERIFY INITIALIZE TRANSACTIO N CO M PLETE TRANSACTIO N GET DATA Effet Personalisation des données de la carte Seul CodeOp imposé par JavaCard Sélectionne l'applet précisée et renvoie les données publiques Entam e la procédure de sécurisation du canal Term ine la procédure de sécurisation du canal Vérifie que le code PIN entré est correct Initialise un crédit ou un débit Finalise un crédit ou un débit Renvoie les inform ations publiques de l'instance II. Spécification de DEMONEY Page 10/42

11 Différents niveaux de sécurité imbriqués Publique Accès aux données publiques (GETDATA) Sécurisation du canal (INITIALIZEUPDATE, EXTERNALUPDATE, VERIFYPIN) Débit (terminal de débit et canal chiffré) Débit de la carte (INITIALIZETRANSACTION[Debit], COMPLETE TRANSACTION) Crédit (terminal de crédit et canal chiffré) Crédit de la carte avec des espèces (INITIALIZETRANSACTION [Credit par espèces]) Crédit-Identifié (terminal bancaire de crédit et code PIN vérifié) Crédit de la carte par virement (INITIALIZETRANSACTION[Credit par virement bancaire]) Administration (terminal d'administration et canal chiffré) II. Spécification de DEMONEY Page 11/42

12 PROCESSING Utilisation d'une Applet Select APDU (choix d'un AID Applet IDentifier) Select : Renvoie les infos publiques de l'instance de l'applet Process APDU : exécution d'une commande Deselect : Par selection d'une applet. Note : Reset n'appelle pas la méthode Deselect II. Spécification de DEMONEY Page 12/42

13 Terminal PROCESS Envoi d'une commande à une instance de l'applet APDU_1 (Commande) APDU_2 (Résultat) JCRE Process(APDU_1) (Commande) APDU_2 (Résultat) Instance de l'applet AID non précisé Message traité par l'applet sélectionnée II. Spécification de DEMONEY Page 13/42

14 SELECT APDU Terminal APDU_1 (SELECT + AID) JCRE Instance de l'applet Deselect() (Si nécessaire) Select() Process (APDU_1) APDU_2 (Données publiques du porte monnaie) (APDU_2 : Données publiques du porte monnaie) II. Spécification de DEMONEY Page 14/42

15 Terminal Sécurisation canal JCRE APDU_1 (Initialize update + challenge1 + Niveau de sécurité voulu) Instance de l'applet APDU_2 ((challenge1 + challenge2) Clef ) APDU_3 (external authenticate + ((challenge2 + challenge1) Clef )) APDU_4 (Successful execution of the command) II. Spécification de DEMONEY Page 15/42

16 Comportements possibles dans la phase de PROCESSING Select Publique Crédit-Ident Administration Débit ou crédit (suivant le terminal) Page 16/42

17 Comportements possibles dans la phase de PROCESSING Select Publique Crédit-Ident GetData ReadRecord Administration Débit ou crédit (suivant le terminal) Page 17/42

18 Comportements possibles dans la Publique Crédit-Ident phase de PROCESSING GetData ReadRecord Select InitUpdate CompleteTrans. Ext.Auth. InitTransaction PutData PutKey PINChange PINUnblock StoreData Administration Débit ou crédit (suivant le terminal) II. Spécification de DEMONEY Page 18/42

19 Comportements possibles dans la Publique Crédit-Ident phase de PROCESSING GetData ReadRecord Select InitUpdate CompleteTrans. Ext.Auth. InitTransaction PutData PutKey PINChange PINUnblock StoreData Administration Débit ou crédit (suivant le terminal) InitUpdate InitTransaction Ext.Auth. CompleteTrans. II. Spécification de DEMONEY GetData ReadRecord Page 19/42

20 Comportements possibles dans la Publique Crédit-Ident GetData ReadRecord VerifyPin VerifyPin phase de PROCESSING GetData ReadRecord Select InitUpdate CompleteTrans. Ext.Auth. InitTransaction PutData PutKey PINChange PINUnblock StoreData Administration Débit ou crédit (suivant le terminal) InitTransaction CompleteTrans. InitTransaction GetData ReadRecord VerifyPin CompleteTrans. InitUpdate VerifyPin II. Spécification de DEMONEY Ext.Auth. CompleteTrans. InitTransaction GetData ReadRecord Page 20/42

21 Comportements possibles dans la Publique Crédit-Ident GetData ReadRecord VerifyPin EtatCanal=CreditIdent EtatTransaction=none VerifyPin DonneesChiffrées=False InitTransaction CompleteTrans. EtatCanal=CreditIdent EtatTransaction=Ec DonneesChiffrées=False phase de PROCESSING InitTransaction GetData ReadRecord VerifyPin GetData ReadRecord Select InitUpdate EtatCanal=public EtatTransaction=none EtatCanal=CreditIdent EtatTransaction=Ec DonneesChiffrées=True CompleteTrans. InitUpdate VerifyPin II. Spécification de DEMONEY CompleteTrans. EtatCanal=Admin_ec EtatTransaction=none Ext.Auth. EtatCanal=Admin Ext.Auth. EtatCanal={Débit,Credit}_ec EtatTransaction=none EtatCanal=CreditIdent EtatTransaction=none DonneesChiffrées=True CompleteTrans. InitTransaction EtatTransaction=Ec EtatCanal=Admin PutData PutKey PINChange PINUnblock EtatTransaction=none StoreData Administration Débit ou crédit (suivant le terminal) EtatCanal={Débit,Credit} EtatTransaction=Ec InitTransaction EtatCanal={Débit,Credit} EtatTransaction=none GetData ReadRecord Page 21/42

22 Comportements possibles dans la Publique Crédit-Ident GetData ReadRecord VerifyPin InitTransaction CompleteTrans. VerifyPin phase de PROCESSING InitTransaction GetData ReadRecord VerifyPin GetData ReadRecord Select CompleteTrans. InitUpdate InitUpdate VerifyPin II. Spécification de DEMONEY CompleteTrans. Ext.Auth. Ext.Auth. InitTransaction CompleteTrans. InitTransaction PutData PutKey PINChange PINUnblock StoreData Administration Débit ou crédit (suivant le terminal) InitTransaction GetData ReadRecord Page 22/42

23 II. Exemples de propriétés et objectifs de sécurité Page 23/42

24 Propriété de DEMONEY Atomicité : Les opérations de mise à jour du solde ne doivent pas être interrompues Les opérations de sécurisation du canal ne doivent pas être interrompues III. Propriétés et objectifs de sécurité Page 24/42

25 Objectifs et politiques de sécurité Sans prise en compte de la cryptographie On ne peut pas créer d'argent : Crédit : récupérer de l'argent avant de créditer Solde >= 0 Il est difficile de perdre de l'argent : Solde mis à jour seulement si débit possible Crédit : récupérer de l'argent avant de créditer Seul le titulaire du compte peut créditer la carte par virement : III. Propriétés et objectifs de sécurité Page 25/42

26 III. Présentation du modèle Page 26/42

27 Organisation du modèle Constantes Sees Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU APDU du terminal Includes Includes Includes Refines Refines Refines Refines Refines affinement de 'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. Includes de DEMONEY ProcessAPDU Inclusion avec exportation des opérations et variables incluses. d'une machine par une autre. GestionSolde Refines de DEMONEY GestionSolde Page 27/42

28 Organisation du modèle Constantes Sees Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU APDU du terminal Includes Includes Includes Refines Refines Refines Refines Refines affinement de l'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. Interface : SetAPDU de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. Includes de DEMONEY ProcessAPDU Inclusion avec exportation des opérations et variables incluses. d'une machine par une autre. GestionSolde Refines de DEMONEY GestionSolde Page 28/42

29 Organisation du modèle Constantes Interface : Extends rdonnanceur ResetSecuLevel Terminal JCRE DEMONEY ProcessAPDU APDU du terminal INS_APDU_Select Includes Includes Includes Refines Refines Refines Refines Refines Reset_ProcessAPDU INS_APDU_GetData INS_APDU_StoreData affinement de l'ordonnanceur Sees : du terminal du JCRE Vision des constantes. INS_APDU_InitializeUpdate INS_APDU_ExternalAuthentification Sees Includes de DEMONEY de DEMONEY ProcessAPDU Includes INS_APDU_InitializeTransaction : Recopie du code. Les invariants importés sont préservés par la machine qui les importe. INS_APDU_InitializeTransactionFromBank Extends : INS_APDU_CompleteTransaction Refines : INS_APDU_VerifyPIN Inclusion avec exportation des opérations et variables incluses. d'une machine par une autre. GestionSolde Refines de DEMONEY GestionSolde Page 29/42

30 Organisation du modèle Constantes Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU APDU du terminal ResetTransaction Includes Includes Includes Refines Refines Refines Refines Refines affinement de l'ordonnanceur Sees : Includes : Extends : Refines : Interface : SW <-- PeutCrediterSolde(vv) Sees SW <-- PeutDebiterSolde(vv) EffectuerTransaction du terminal du JCRE Vision des constantes. de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. d'une machine par une autre. Includes de DEMONEY ProcessAPDU Inclusion avec exportation des opérations et variables incluses. GestionSolde Refines de DEMONEY GestionSolde Page 30/42

31 Organisation du modèle Constantes Sees Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU du terminal APDU Includes Includes Includes Refines Refines Refines Refines Refines affinement de Includes de DEMONEY l'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. Interface : bb <-- Select Recopie du code. Les invariants importés sont préservés par la machine qui les importe. DeSelect Reset_DEMONEY d'une machine par une autre. de DEMONEY ProcessAPDU GestionSolde Inclusion avec exportation des opérations et variables incluses. Process Refines de DEMONEY GestionSolde Page 31/42

32 Organisation du modèle Constantes Sees Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU du terminal APDU Includes Includes Includes Refines Refines Refines Refines Refines affinement de Includes de DEMONEY l'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. d'une machine par une autre. ProcessAPDU Interface : Inclusion avec exportation des opérations et variables incluses. GestionSolde Refines EmissionAPDUVersCarte TraitementAPDU Reset_JCRE de DEMONEY GestionSolde Page 32/42

33 Organisation du modèle Constantes Extends rdonnanceur EmissionStoreData Terminal JCRE DEMONEY ProcessAPDU APDU du terminal EmissionInitializeUpdate Includes Includes Includes Refines Refines Refines Refines Refines affinement de l'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. Sees de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. d'une machine par une autre. Interface : EmissionReset EmissionSelect EmissionGetData EmissionExternalAuthentification EmissionInitializeTransaction EmissionCompleteTransaction Includes de DEMONEY ProcessAPDU EmissionVerifyPIN Traitement Inclusion avec exportation des opérations et variables incluses. GestionSolde Refines de DEMONEY GestionSolde Page 33/42

34 Organisation du modèle Constantes Sees Extends rdonnanceur Terminal JCRE DEMONEY ProcessAPDU APDU du terminal Includes Includes Includes Refines Refines Refines Refines Refines affinement de l'ordonnanceur Sees : Includes : Extends : Refines : du terminal du JCRE Vision des constantes. Evénements déclenchables : AttenteCarte RetraitCarte de DEMONEY Recopie du code. Les invariants importés sont préservés par la machine qui les importe. EmissionsHasardeuses EmissionsCoherentes Inclusion avec exportation des opérations et variables incluses. Traitement d'une machine par une autre. Includes de DEMONEY ProcessAPDU GestionSolde Refines de DEMONEY GestionSolde Page 34/42

35 IV. Vérification de propriétés et politiques de sécurité Page 35/42

36 Atomicité : Vérification des propriétés de DEMONEY Les opérations de mise à jour du solde ne doivent pas être interrompues Si l'on finalise une transaction alors elle était en cours : PROCESS_APDU : INS_APDU_CompleteTransaction = PRE TransactionEc=TRUE THEN... END Si l'on interprète un APDU différent de CompleteTransaction alors PROCESS_APDU : aucune transaction n'est en cours : INS_APDU_GetData = PRE TransactionEc=FALSE THEN... END (pour toute les autres commandes) Vérifier sur le graphe comportemental Les opérations de sécurisation du canal ne doivent pas être interrompues III. Propriétés et objectifs de sécurité Page 36/42

37 Vérification des objectifs et politiques de sécurité On ne peut pas créer d'argent : Crédit : récupérer de l'argent avant de créditer Vérifier sur le graphe comportemental DEMONEY_GestionSolde : INVARIANT SommeTransEc : Int16 & SommeTransEc >= 0 & ((TransactionEc = Trans_Credit) => ((SoldeCourant + SommeTransEc) : 0..SoldeMaxi)) DEMONEY_GestionSolde Solde >= 0 : INVARIANT SoldeCourant : 0..SoldeMaxi III. Propriétés et objectifs de sécurité Page 37/42

38 Vérification des objectifs et politiques de sécurité Il est difficile de perdre de l'argent : Solde mis à jour seulement si débit possible DEMONEY_GestionSolde : INVARIANT SommeTransEc : Int16 & SommeTransEc >= 0 & ((TransactionEc = Trans_Debit) => ((SoldeCourant - SommeTransEc) : 0..SoldeMaxi)) III. Propriétés et objectifs de sécurité Page 38/42

39 Vérification des objectifs et politiques de sécurité Seul le titulaire du compte peut créditer la carte par virement : Code PIN avec nombre d'essais limité Process_APDU : INVARIANT NbEssaisPINRestant>0 => PINBlocked=FALSE OPERATIONS INS_APDU_VerifyPIN = PRE TransactionEc=Trans_None & NbEssaisPINRestant > 0 THEN NbEssaisPINRestant := NbEssaisPINRestant-1 ;... END III. Propriétés et objectifs de sécurité Page 39/42

40 V. Conclusion Page 40/42

41 Travail à venir Règles systématiques d'expression de propriétés de sécurité en B. Méthode de conversion automatique d'un modèle B classique en un système B événementiel. GénéSyst : la possibilité de vérifier une propriété sur un automate. Page 41/42

42 Références Présentation de l'application DEMONEY C. Paulin (01/2004) DEMONEY : a démonstrative Electronic purse R. Marlet et C. Mesnil (Trusted Logic, 11/2002) DEMONEY : JavaCard implementation, R. Marlet (11/ pages pour préciser l'annexe B) Security properties and Java Card Specificities to be studied in the SacSafe Project, R. Marlet, D. Le Metayer (8/2001 Spécificités des applets JavaCard. Propriétés à vérifier par analyse statique) JavaCard 2.1 Platform Specifications Références Page 42/42