FR2965381A1 - Method for starting e.g. unprocessed system of personal computer, involves verifying authenticity of file representing operating system, and initiating starting of operating system via starting module if authenticity of file is valid - Google Patents

Method for starting e.g. unprocessed system of personal computer, involves verifying authenticity of file representing operating system, and initiating starting of operating system via starting module if authenticity of file is valid Download PDF

Info

Publication number
FR2965381A1
FR2965381A1 FR1003811A FR1003811A FR2965381A1 FR 2965381 A1 FR2965381 A1 FR 2965381A1 FR 1003811 A FR1003811 A FR 1003811A FR 1003811 A FR1003811 A FR 1003811A FR 2965381 A1 FR2965381 A1 FR 2965381A1
Authority
FR
France
Prior art keywords
module
file
operating system
authenticity
public key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1003811A
Other languages
French (fr)
Other versions
FR2965381B1 (en
Inventor
Lionel Fiat
Celine Burgod
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CLOUD SEAS
Original Assignee
CLOUD SEAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CLOUD SEAS filed Critical CLOUD SEAS
Priority to FR1003811A priority Critical patent/FR2965381B1/en
Publication of FR2965381A1 publication Critical patent/FR2965381A1/en
Application granted granted Critical
Publication of FR2965381B1 publication Critical patent/FR2965381B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2153Using hardware token as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

The method involves starting an input/output firmware e.g. basic input output system (BIOS) (E1), and providing priority to a starting module of an operating system of a terminal (E2) via the firmware. A public key in a chip card e.g. universal integrated circuit card, is read (E3) via the module. Authenticity of a file e.g. system core, boot loader or virtualization layer file, representing the system is verified (E4, E5) via the module with the key. Starting of the system is initiated (E6) via the module if the authenticity of the file is valid.

Description

1 1

Procédé de démarrage d'un terminal avec vérification d'authenticité du système d'exploitation du terminal Domaine technique de l'invention Method for starting a terminal with verification of authenticity of the operating system of the terminal Technical field of the invention

L'invention est relative à un procédé de démarrage d'un système d'exploitation d'un terminal comportant les étapes suivantes au démarrage 10 du terminal: démarrer un micrologiciel d'entrées/sorties, donner la main par le micrologiciel d'entrées/sorties à un module de démarrage d'un système d'exploitation. The invention relates to a method of starting an operating system of a terminal comprising the following steps at startup of the terminal: start an input / output firmware, give the hand by the input firmware / outputs to a boot module of an operating system.

15 État de la technique 15 State of the art

Les terminaux communicants proposent des plateformes de services à destinations d'utilisateurs ou de machines. Classiquement, un terminal 20 repose sur une architecture matérielle au-dessus de laquelle vient se greffer un système d'exploitation du terminal muni d'applications spécifiques. Les opérateurs de réseau proposent dans les terminaux des systèmes d'exploitations et des applications, pouvant tous deux être développés par des tiers, afin de former une plateforme associée aux services à fournir. Les 25 services à fournir peuvent comporter des services de téléphonie, des services de données, des services d'applications bancaires, ou d'autre types d'applications pouvant être soumises à un abonnement payant ou non, etc. Les terminaux peuvent être proposés à la location, ou vendus et être liés à un contrat limitant leurs fonctions et leurs utilisations, cette limitation peut elle 30 même être limitée dans le temps.5 2 The communicating terminals offer service platforms intended for users or machines. Conventionally, a terminal 20 is based on a hardware architecture above which is grafted a terminal operating system with specific applications. Network operators provide operating systems terminals and applications, both of which can be developed by third parties, to form a platform associated with the services to be provided. The 25 services to be provided may include telephony services, data services, banking application services, or other types of applications that may be subject to paid subscription or not, etc. Terminals may be offered for lease, or sold and be bound by a contract limiting their functions and uses, this limitation may itself be limited in time.

Les opérateurs voulant fournir une plateforme opérationnelle et maîtrisée se heurtent à des modifications non autorisées de leurs plateformes, allant souvent au-delà des conditions d'utilisation prévues par les contrats passés entre l'utilisateur et l'opérateur. Ces modifications peuvent se présenter sous la forme de mises à jour du système d'exploitation, d'applications, ou d'ajouts d'applications modifiant le fonctionnement global de la plateforme de services. Les mises à jour ou ajouts peuvent être réalisés par les concepteurs du système d'exploitation, des applications, ou encore par des utilisateurs ou tierces-parties souhaitant modifier le comportement de la plateforme à l'insu des opérateurs. Operators wanting to provide a controlled and operational platform face unauthorized changes to their platforms, often going beyond the terms and conditions of the contracts between the user and the operator. These changes can be in the form of operating system updates, applications, or additions of applications that modify the overall operation of the service platform. Updates or additions can be made by the developers of the operating system, applications, or by users or third parties wishing to change the behavior of the platform without the operators' knowledge.

Les solutions actuelles ne permettent pas d'assurer à un opérateur que sa plateforme sera toujours fonctionnelle de manière optimale car les systèmes d'exploitation peuvent être modifiés par les utilisateurs afin de leur apporter de nouvelles fonctionnalités. Ces nouvelles fonctionnalités peuvent être mises en concurrence avec des services de l'opérateur, et entraîner la modification de fichiers systèmes rendant non fonctionnels certains services fournis par l'opérateur. Current solutions do not ensure an operator that its platform will always be optimally functional because operating systems can be modified by users to bring them new features. These new features may be competing with operator services, and may result in the modification of system files that render some services provided by the operator non-functional.

Objet de l'invention Object of the invention

L'objet de l'invention consiste à réaliser un procédé de démarrage d'un système d'exploitation d'un terminal associé à un opérateur, et à s'assurer de l'authenticité de ce système. The object of the invention is to provide a method of starting an operating system of a terminal associated with an operator, and to ensure the authenticity of this system.

On tend vers ce but en ce que le procédé comporte les étapes suivantes : lire par le module une première clé publique dans une carte à puce, vérifier l'authenticité d'un fichier représentatif du système d'exploitation par le module avec la première clé publique, 3 It tends towards this goal in that the method comprises the following steps: read by the module a first public key in a smart card, verify the authenticity of a representative file of the operating system by the module with the first key public, 3

initier par le module le démarrage du système d'exploitation si l'authenticité du fichier est valable. initiate by the module the boot of the operating system if the authenticity of the file is valid.

Selon un développement, l'étape de lecture de la première clé publique 5 utilise un lien de communication de protocole de bus série universel. According to one development, the reading step of the first public key 5 uses a universal serial bus protocol communication link.

Selon un perfectionnement, le fichier représentatif du système d'exploitation est un fichier choisi parmi un noyau système, un chargeur d'amorçage ou un fichier de couche de virtualisation. Selon une variante, l'authenticité de la première clé publique est vérifiée par le module en utilisant une deuxième clé publique stockée dans le module ou dans une mémoire ROM associée au module. According to an improvement, the representative file of the operating system is a file chosen from a system kernel, a boot loader or a virtualization layer file. According to one variant, the authenticity of the first public key is verified by the module by using a second public key stored in the module or in a ROM memory associated with the module.

15 Selon un perfectionnement, l'étape de lecture de la première clé publique comporte la lecture d'un objet logiciel comprenant la première clé publique et un lien vers le fichier représentatif du système d'exploitation à démarrer. According to an improvement, the step of reading the first public key comprises reading a software object comprising the first public key and a link to the file representative of the operating system to be started.

Selon un mode de réalisation, le procédé comporte, après la vérification de 20 l'authenticité du fichier représentatif du système d'exploitation, une étape d'envoi d'un message par le module à la carte à puce pour l'informer du résultat de la vérification de l'authenticité. Après réception du message par la carte à puce, le procédé peut comporter une étape de blocage du terminal par la carte à puce si le résultat de la vérification d'authenticité est négatif. 25 Selon une variante, les échanges entre le module et la carte à puce sont réalisés avec un mécanisme assurant l'intégrité des échanges. 10 30 4 According to one embodiment, the method comprises, after verifying the authenticity of the representative file of the operating system, a step of sending a message by the module to the smart card to inform it of the result. verification of authenticity. After receiving the message by the smart card, the method may include a step of blocking the terminal by the smart card if the result of the authenticity check is negative. According to one variant, the exchanges between the module and the smart card are made with a mechanism ensuring the integrity of exchanges. 10 30 4

Description sommaire des dessins Brief description of the drawings

D'autres avantages et caractéristiques ressortiront plus clairement de la description qui va suivre de modes particuliers de réalisation de l'invention donnés à titre d'exemples non limitatifs et représentés aux dessins annexés, dans lesquels : Other advantages and features will emerge more clearly from the following description of particular embodiments of the invention given by way of non-limiting example and represented in the accompanying drawings, in which:

La figure 1 illustre un mode de réalisation particulier d'un terminal pouvant être utilisé dans le cadre de l'invention. FIG. 1 illustrates a particular embodiment of a terminal that can be used in the context of the invention.

La figure 2 illustre un diagramme des tâches effectuées lors du démarrage du terminal. Figure 2 shows a diagram of the tasks performed during terminal startup.

Description de modes préférentiels de réalisation Le présent procédé diffère des procédés de démarrage de terminaux selon l'art antérieur en ce que le micrologiciel d'entrées/sorties (« firmware » en anglais) par exemple de type BIOS (pour « Basic Input Output System » en anglais), donne la main à un module lançant lui-même le système d'exploitation en vérifiant l'authenticité de ce dernier par l'utilisation d'une clé publique accessible via une carte à puce. La carte à puce, ou une partie de la carte à puce pouvant être la propriété d'un opérateur fournissant, par exemple des services de type réseau de données ou de téléphonie. La clé publique permet de s'assurer de l'authenticité du système d'exploitation. DESCRIPTION OF PREFERRED EMBODIMENTS The present method differs from terminal start-up methods according to the prior art in that the input / output firmware ("firmware" in English) for example of the BIOS type (for "Basic Input Output System"). In English), gives the hand to a module launching itself the operating system by verifying the authenticity of the latter by the use of a public key accessible via a smart card. The smart card, or part of the smart card that may be the property of an operator providing, for example data network or telephony services. The public key ensures the authenticity of the operating system.

Comme illustré aux figures 1 et 2, le procédé de démarrage d'un système d'exploitation d'un terminal 1 comporte au démarrage du terminal une étape de démarrage d'un micrologiciel d'entrées/sorties 2 (étape E1). De manière classique, un micrologiciel d'entrées/sorties 2 peut par exemple passer en revue les composants connus du terminal 1 comme par exemple un processeur 3, un élément de communication 4, de la mémoire, un clavier, un écran, etc. Le micrologiciel d'entrées/sorties 2 peut alors comporter un ensemble de fonctions contenues par exemple dans une mémoire morte (ROM pour « read Only Memory » en anglais) d'une carte mère du terminal sur laquelle sont reliés, ou intégrés comme périphériques, les composants du 5 terminal 1. Le micrologiciel est en fait une couche basse interagissant avec le matériel (« hardware » en anglais), et qui sert de base à l'établissement du démarrage du terminal As illustrated in FIGS. 1 and 2, the starting method of an operating system of a terminal 1 comprises, at the start of the terminal, a step of starting an input / output firmware 2 (step E1). Typically, an input / output firmware 2 can for example review the known components of the terminal 1 such as for example a processor 3, a communication element 4, the memory, a keyboard, a screen, and so on. The input / output firmware 2 may then comprise a set of functions contained for example in a read-only memory (ROM) of a motherboard of the terminal to which are connected, or integrated as peripherals, The components of the terminal 1. The firmware is in fact a low layer interacting with the hardware ("hardware" in English), and which serves as a basis for setting up the terminal startup.

Le micrologiciel d'entrées/sorties 2 peut ensuite donner la main à un module 5 de démarrage d'un système d'exploitation, ledit module 5 pouvant être interne au micrologiciel d'entrées/sorties 2 ou annexe au micrologiciel 2, et par exemple être stocké dans une ROM de la carte mère, ou déporté sur une carte périphérique reliée à la carte mère mais contenant des instructions de type micrologiciel à exécuter au démarrage du terminal 1. The input / output firmware 2 can then hand over to a boot module of an operating system, said module 5 possibly being internal to the input / output firmware 2 or an appendix to the firmware 2, and for example be stored in a ROM of the motherboard, or deported on a peripheral card connected to the motherboard but containing instructions of the firmware type to be executed at startup of the terminal 1.

De préférence, le module 5 est interne au micrologiciel 2 de sorte à améliorer l'intégration du terminal et limiter les composants du terminal. De plus, l'intégrité du module 5 est de fait assurée quand le module fait partie 5 du micrologiciel 2. Preferably, the module 5 is internal to the firmware 2 so as to improve the integration of the terminal and limit the components of the terminal. In addition, the integrity of the module 5 is in fact ensured when the module is part of the firmware 2.

Le module 5 qu'il soit interne ou annexe peut comporter des instructions exécutables permettant de mettre en place un environnement et initier le démarrage d'un système d'exploitation certifié par un opérateur. Dans le cas présent, le module 5 aura pour rôle de lancer un système d'exploitation, et de s'assurer d'un début d'une chaîne de confiance pour le lancement de ce dernier. Par module interne, on entend une partie du micrologiciel d'entrées/sorties. Par module annexe, on entend par exemple une ROM d'une carte annexe. The module 5 that is internal or annex may include executable instructions for setting up an environment and initiate the start of an operating system certified by an operator. In this case, the role of module 5 will be to launch an operating system, and to ensure the beginning of a chain of trust for the launch of the latter. By internal module is meant a part of the input / output firmware. By add-on module, for example, is meant a ROM of an annex card.

Un fois que le module 5 a la main (étape E2), ce dernier va lire une première clé publique dans une carte à puce 6 (étape E3). La clé publique est en fait 6 Once the module 5 has the hand (step E2), the latter will read a first public key in a smart card 6 (step E3). The public key is actually 6

une clé publique d'authenticité permettant d'authentifier une entité, par exemple par signature électronique de l'entité. a public key of authenticity making it possible to authenticate an entity, for example by electronic signature of the entity.

Dans le cas présent, l'entité est un fichier représentatif du système d'exploitation à démarrer. Ainsi, si le fichier est authentique, le module 5 de démarrage peut décider d'initier le démarrage du système d'exploitation en considérant que la chaîne de confiance est établie. Pour vérifier l'authenticité du fichier (étape E4), en général un condensat (fichier supplémentaire de taille inférieure au fichier à condenser) de ce fichier est signé en fonction d'une clé publique et d'une clé privée, et le processus de vérification peut être le suivant : pour le fichier F représentatif du système d'exploitation, une signature S(F) est associée audit fichier avec S(F)=signl (clé_privée, (H(F)) où H est une fonction de hachage générant un condensat du fichier F, avec signl la fonction prenant le hachage du fichier F et l'encodant avec la clé_privée, la fonction de vérification d'authenticité peut alors prendre en paramètre le fichier F à vérifier, sa signature S(F), calcule H(F) et vérifie que H(F) est égal à sign2(clé_publique, S(F)) avec sign2 la fonction prenant la signature S(F) du fichier F à vérifier et la décodant avec la clé_publique. Si on a égalité, on considère que le fichier est authentique. In this case, the entity is a representative file of the operating system to boot. Thus, if the file is authentic, the boot module 5 may decide to initiate the boot of the operating system by considering that the chain of trust is established. To verify the authenticity of the file (step E4), in general a condensate (additional file smaller than the file to be condensed) of this file is signed according to a public key and a private key, and the process of The following can be verified: for the file F representative of the operating system, a signature S (F) is associated with said file with S (F) = signl (private_key, (H (F)) where H is a hash function generating a condensate of the file F, with signl the function taking the hash of the file F and encoding it with the key_privée, the authenticity verification function can then take as parameter the file F to check, its signature S (F), computes H (F) and verifies that H (F) is equal to sign2 (public key, S (F)) with sign2 the function taking the signature S (F) of the file F to be verified and decoding it with the key_public. equality, we consider that the file is authentic.

Le fichier à vérifier étant signé, sa signature S(F) est en général attachée avec ledit fichier. Le fichier représentatif du système d'exploitation à démarrer peut, par exemple, comporter un entête qui contient S(F). The file to be verified being signed, its signature S (F) is generally attached with said file. The representative file of the operating system to be started may, for example, include a header that contains S (F).

La fonction de hachage est une fonction particulière qui, à partir d'une donnée fournie en entrée, calcule une empreinte servant à identifier rapidement, bien qu'incomplètement, la donnée initiale.30 Bien entendu, à la place du hachage du fichier, le fichier entier pourrait être signé, cependant cela augmenterait le temps nécessaire à la vérification. The hash function is a particular function that, from input data, calculates a fingerprint that is used to quickly, although incompletely, identify the initial data.30 Of course, in place of the hash of the file, the entire file could be signed, however this would increase the time required for verification.

Si le fichier est authentique, le module 5 peut décider d'initier le démarrage 5 du système d'exploitation associé au fichier (étape E6 après avoir emprunté la sortie oui de l'étape E5). If the file is authentic, the module 5 may decide to initiate the startup 5 of the operating system associated with the file (step E6 after having borrowed the yes output of step E5).

La vérification de l'authenticité du fichier représentatif du système d'exploitation est réalisée par le module 5. Ainsi, le module 5 peut comporter 10 des moyens de vérification aptes à exploiter la première clé publique. De tels moyens peuvent, par exemple, comporter des instructions de déchiffrage et éventuellement de chiffrage. Dans ce cas, le module 5 forme l'autorité de vérification. Le module 5 peut alors lire le fichier, par exemple dans une mémoire de stockage du terminal afin de le récupérer pour en vérifier 15 l'authenticité avec la première clé publique. The verification of the authenticity of the representative file of the operating system is performed by the module 5. Thus, the module 5 may comprise 10 verification means able to exploit the first public key. Such means may, for example, include decryption instructions and possibly encryption. In this case, module 5 forms the verification authority. The module 5 can then read the file, for example in a storage memory of the terminal in order to retrieve it to verify its authenticity with the first public key.

Le fichier représentatif du système d'exploitation à démarrer peut être un noyau système, l'authenticité du noyau système, ou de son condensat, est vérifiée par le module 5 en utilisant la première clé publique. Dans ce cas, 20 après la vérification de l'authenticité du fichier, si le fichier est authentique, le module 5 peut décider de le lancer pour initier le démarrage du système d'exploitation (sortie oui de l'étape E5). The representative file of the operating system to be booted can be a system kernel, the authenticity of the system kernel, or its condensate, is verified by the module 5 by using the first public key. In this case, after verifying the authenticity of the file, if the file is authentic, the module 5 may decide to launch it to initiate the start of the operating system (yes output of step E5).

Le fichier représentatif du système d'exploitation peut aussi être un fichier de 25 démarrage de système d'exploitation par exemple de type chargeur d'amorçage (« BootLoader » en anglais). Dans le cas où le fichier est un chargeur d'amorçage, l'authenticité du chargeur d'amorçage, ou de son condensat, est vérifiée par le module 5 en utilisant la première clé publique. Si l'authenticité du chargeur d'amorçage est correcte, le module 5 décide 30 d'initier le démarrage du système d'exploitation en donnant la main au chargeur d'amorçage qui constitue alors la suite de la chaîne de confiance 8 The representative file of the operating system can also be an operating system startup file, for example of the bootloader type ("BootLoader"). In the case where the file is a boot loader, the authenticity of the boot loader, or its condensate, is verified by the module 5 using the first public key. If the authenticity of the bootloader is correct, the module 5 decides to initiate the booting of the operating system by giving the boot loader hand which then constitutes the continuation of the chain of confidence.

du démarrage. Le chargeur d'amorçage peut alors comporter une configuration statique d'un nom de noyau de système d'exploitation et d'une autre clé publique pour vérifier l'authenticité du noyau, stockée de préférence, au sein du chargeur d'amorçage pour continuer ainsi la chaîne de confiance. starting. The boot loader can then have a static configuration of an operating system kernel name and other public key to verify the authenticity of the kernel, preferably stored in the boot loader to continue thus the chain of trust.

Dans une variante, le chargeur d'amorçage peut pointer vers un système de couche de virtualisation capable de lancer plusieurs systèmes d'exploitation. II est ainsi possible de démarrer plusieurs systèmes d'exploitation dont l'un est certifié par l'opérateur, et pourra par exemple être le seul à s'interfacer avec la carte à puce 6 pour se connecter au réseau opérateur. Le fichier représentatif du système d'exploitation peut aussi directement être un fichier de couche de virtualisation permettant de lancer plusieurs systèmes d'exploitation. Ce fichier ou son condensat étant alors vérifié par le module 5 en utilisant la première clé publique 5. Alternatively, the boot loader can point to a virtualization layer system capable of launching multiple operating systems. It is thus possible to start several operating systems, one of which is certified by the operator, and may for example be the only one to interface with the smart card 6 to connect to the operator network. The operating system representative file can also directly be a virtualization layer file for launching multiple operating systems. This file or its condensate is then checked by the module 5 using the first public key 5.

La carte à puce 6 peut être de type carte sur circuit intégré universel UICC (pour « Universal Integrated Circuit Card » en anglais). Une telle carte à puce 6 est basée typiquement sur un microprocesseur et une mémoire. Cette carte à puce 6 peut comporter une application SIM (pour « Subscriber Identity Module » en anglais), USIM (pour « Universal Subscriber Identity Module » en anglais), ou autre application permettant à un opérateur, par exemple de téléphonie/données mobiles, de gérer l'authentification de l'abonné au réseau de l'opérateur et les droits d'utilisation du réseau. En outre, la carte à puce 6 peut comporter d'autres applications par exemple de type JavaCard. Ces applications peuvent être la propriété de l'opérateur qui, en utilisant les mécanismes de sécurité de la carte à puce 6, est le seul à pouvoir les modifier. 9 The smart card 6 may be UICC card type integrated circuit universal (for "Universal Integrated Circuit Card"). Such a smart card 6 is typically based on a microprocessor and a memory. This smart card 6 can include a SIM application (for "Subscriber Identity Module" in English), USIM (for "Universal Subscriber Identity Module" in English), or other application allowing an operator, for example telephony / mobile data, manage the authentication of the subscriber to the network of the operator and the rights of use of the network. In addition, the smart card 6 may include other applications for example JavaCard type. These applications may be the property of the operator who, using the security mechanisms of the smart card 6, is the only one to be able to modify them. 9

La première clé publique peut être stockée dans un champ opérateur de la carte à puce, tel que le champ EFoRPK (Operator Root Public Key) défini dans le standard 3GPP TS 11.11. The first public key can be stored in an operator field of the smart card, such as the Operator Root Public Key (EFoRPK) field defined in the 3GPP TS 11.11 standard.

La première clé publique et, le cas échéant le fichier représentatif du système d'exploitation ou son lien, peuvent aussi être stockés dans une application JavaCard associée à un domaine de sécurité tel que défini par le standard GlobalPlatform Card Specification v2.2. The first public key and, if applicable, the representative file of the operating system or its link, can also be stored in a JavaCard application associated with a security domain as defined by the GlobalPlatform Card Specification v2.2 standard.

En fait, un domaine de sécurité est une application spécifique de type applet, permettant de stocker une ou un ensemble de clés de chiffrage et/ou de déchiffrage (clé publique dans notre cas). Dans une application JavaCard, l'application est associée à un domaine de sécurité et cette association est réalisée au moment de l'installation et ne peut être détruite. Autrement dit, la carte à puce peut être au préalable initialisée en associant la première clé publique à un domaine de sécurité de la carte à puce 6. In fact, a security domain is a specific application of the applet type, making it possible to store one or a set of encryption and / or decryption keys (public key in our case). In a JavaCard application, the application is associated with a security domain and this association is performed at the time of installation and can not be destroyed. In other words, the smart card can be initialized by associating the first public key with a security domain of the smart card 6.

Ainsi, de préférence, la première clé publique sera stockée dans un domaine de sécurité de la carte à puce 6. Le fichier représentatif du système d'exploitation peut aussi être stocké sur un support de mémoire du terminal, par exemple un disque dur, une mémoire flash, une mémoire publique libre d'accès de la carte à puce (accessible en lecture/écriture ou écriture seule), etc. 25 En fait, les opérateurs ont le contrôle des cartes à puces qui leur fournissent un environnement verrouillé et sécurisé. Une application de la carte à puce 6 peut alors former une sorte de serveur, permettant à des services d'exécuter des fonctions sur la carte à puce 6, comme par exemple la lecture d'une clé 30 publique permettant la vérification de l'authenticité d'un fichier. Les applications de la carte à puce 6, notamment les applications JavaCard,20 10 Thus, preferably, the first public key will be stored in a security domain of the smart card 6. The representative file of the operating system may also be stored on a storage medium of the terminal, for example a hard disk, an flash memory, a public access memory of the smart card (accessible read / write or write only), etc. In fact, operators have control over smart cards that provide them with a locked and secure environment. An application of the smart card 6 can then form a kind of server, allowing services to perform functions on the smart card 6, such as for example the reading of a public key 30 allowing the verification of authenticity of a file. The applications of the smart card 6, in particular the JavaCard applications, 20 10

permettent à des opérateurs de fournir des services totalement sécurisés en définissant au sein de la carte à puce 6 des domaines de sécurité sous le contrôle unique de ces opérateurs. Ainsi, dans le présent mode de réalisation, la première clé publique située dans la carte à puce 6 pourra être stockée dans un domaine de sécurité associé à l'opérateur, par exemple de téléphonie et/ou de données mobiles. Ce domaine de sécurité sous l'autorité de l'opérateur ne peut être modifié par un tiers pour changer la logique de démarrage du terminal. enable operators to provide fully secure services by defining within the smart card 6 security domains under the sole control of these operators. Thus, in the present embodiment, the first public key located in the smart card 6 can be stored in a security domain associated with the operator, for example telephony and / or mobile data. This security domain under the authority of the operator can not be modified by a third party to change the startup logic of the terminal.

Le fichier, ou un lien vers le fichier, représentatif du système d'exploitation peut aussi être fourni par la carte à puce 6 avant ou après l'étape de lecture de la première clé publique (étape E3). De préférence, ledit fichier ou le lien pointant vers ce fichier sera fourni par la carte à puce 6 en même temps que la première clé publique. The file, or a link to the file, representative of the operating system may also be provided by the smart card 6 before or after the step of reading the first public key (step E3). Preferably, said file or the link pointing to this file will be provided by the smart card 6 at the same time as the first public key.

Pour des raisons de sécurité, il est préférable d'envoyer la première clé publique et le fichier, ou le lien pointant vers le fichier, en utilisant un seul envoi. Ceci peut être mis en oeuvre par l'utilisation d'un objet logiciel. Dès lors, l'étape de lecture de la première clé publique peut comporter la lecture d'un objet logiciel comprenant la première clé publique, et un lien vers le fichier représentatif du système d'exploitation à démarrer ou le fichier lui-même. Le lien peut correspondre à un nom de fichier plus un chemin d'accès au fichier, la taille du fichier, la partition sur laquelle est stocké le fichier, etc. For security reasons, it is best to send the first public key and the file, or the link pointing to the file, using a single send. This can be implemented by the use of a software object. Therefore, the reading step of the first public key may include reading a software object comprising the first public key, and a link to the representative file of the operating system to start or the file itself. The link can be a file name plus a file path, the file size, the partition on which the file is stored, and so on.

Toujours pour améliorer la sécurité, l'authenticité de la première clé publique peut être vérifiée par le module 5 en utilisant une deuxième clé publique par exemple stockée dans le module 5 ou dans une mémoire ROM associée au module 5. Une telle vérification peut imposer que la première clé publique, ou un condensat de la première clé publique, soit au préalable signé par une clé secrète (aussi appelée clé privée) associée à la seconde clé publique. Cette vérification permet d'éviter un détournement du démarrage du terminal par Il Always to improve the security, the authenticity of the first public key can be verified by the module 5 by using a second public key, for example stored in the module 5 or in a ROM associated with the module 5. Such a verification may require that the first public key, or a condensate of the first public key, is first signed by a secret key (also called private key) associated with the second public key. This check avoids a diversion of the terminal startup by Il

un tiers interceptant la première clé publique et la remplaçant par une clé publique modifiée signant un fichier représentatif d'un système d'exploitation modifié de son choix. En effet, dans ce cas le tiers pourrait faire croire au module 5 qu'il démarre bien le système d'exploitation certifié par l'opérateur de la carte à puce 6 alors que cela n'est pas le cas. a third party intercepting the first public key and replacing it with a modified public key signing a file representative of a modified operating system of his choice. Indeed, in this case the third party could make believe in module 5 that it starts the operating system certified by the operator of the smart card 6 when this is not the case.

Selon la variante utilisant un objet logiciel, l'objet lui-même peut être signé et l'authenticité de sa signature peut être vérifiée par la seconde clé publique. À ce moment précis, le module 5 sait que la première clé publique, et le cas io échéant le fichier, ou le lien vers le fichier, fait partie du cercle de confiance de l'opérateur, et la base de la chaîne de confiance est établie de manière plus sûre en utilisant un double contrôle. According to the variant using a software object, the object itself can be signed and the authenticity of its signature can be verified by the second public key. At this point, the module 5 knows that the first public key, and if appropriate the file, or the link to the file, is part of the circle of trust of the operator, and the base of the chain of trust is established more securely by using dual control.

Dans l'expectative de s'apercevoir de tout détournement du démarrage du 15 terminal, la carte à puce 6 peut comporter des moyens aptes à générer à différentes étapes du démarrage du terminal une image instantanée de ce démarrage. In the expectation of noticing any hijacking of the startup of the terminal, the smart card 6 may include means capable of generating at different stages of the startup of the terminal an instantaneous image of this start.

Ainsi, après la vérification de l'authenticité du fichier représentatif du système 20 d'exploitation, le procédé de démarrage du terminal peut comporter une étape d'envoi d'un message par le module 5 à la carte à puce 6 pour l'informer du résultat de la vérification de l'authenticité. À la réception de ce message, la carte à puce 6 peut générer une image instantanée du démarrage en associant le message à une action réalisée par le module 5 25 (dans le cas présent le résultat de la vérification de l'authenticité). Le message peut aussi être formé par un objet logiciel comprenant une valeur représentative d'une action et une valeur représentative du résultat de l'action. Thus, after verifying the authenticity of the representative file of the operating system 20, the start-up method of the terminal may comprise a step of sending a message by the module 5 to the smart card 6 to inform it. the result of the verification of authenticity. Upon receipt of this message, the smart card 6 can generate a snapshot of the boot by associating the message with an action performed by the module 25 (in this case the result of the authenticity check). The message may also be formed by a software object comprising a value representative of an action and a value representative of the result of the action.

30 Selon les cas, le module 5, même si l'authenticité du fichier représentatif du démarrage du terminal n'est pas valable, pourra quand même décider 12 Depending on the case, the module 5, even if the authenticity of the representative file of the startup of the terminal is not valid, can still decide 12

d'initier le démarrage du système d'exploitation appelé ci-après système d'exploitation modifié (étape E7 selon la sortie non de l'étape E5 de la figure 2). Dès lors, si le message reçu par la carte à puce 6 est négatif (authenticité non valable), c'est-à-dire que le fichier n'est pas celui de l'opérateur mais un fichier lançant le système d'exploitation modifié, la carte à puce 6 pourra en informer l'opérateur (propriétaire ou administrateur de la carte à puce 6) en utilisant les moyens de communication du terminal, typiquement un élément de communication, par exemple de type 3G+. La carte à puce pourra aussi remonter le message si la vérification est valable pour des raisons statistiques. L'opérateur pourra alors, selon les cas et notamment lorsque l'authenticité du fichier n'est pas valable, prendre la décision de limiter les accès à son réseau de téléphonie et/ou de données, par exemple en n'autorisant que les appels d'urgence dans le cas où le terminal est un téléphone mobile. L'opérateur pourra aussi renvoyer un message à la carte à puce 6 pour l'informer d'une action à effectuer sur le terminal, par exemple un blocage ou un arrêt de ce dernier. to initiate the startup of the operating system hereinafter referred to as the modified operating system (step E7 according to the non-output of step E5 of FIG. 2). Therefore, if the message received by the smart card 6 is negative (authenticity invalid), that is to say that the file is not that of the operator but a file launching the modified operating system , the smart card 6 may inform the operator (owner or administrator of the smart card 6) using the communication means of the terminal, typically a communication element, for example type 3G +. The smart card can also trace the message if the verification is valid for statistical reasons. The operator can then, depending on the case and especially when the authenticity of the file is not valid, make the decision to limit access to his telephony network and / or data, for example by allowing only calls emergency in the case where the terminal is a mobile phone. The operator can also send a message to the smart card 6 to inform him of an action to be performed on the terminal, for example a blocking or a stop of the latter.

Selon une variante la carte à puce 6 pourra à la réception d'un message négatif de la vérification de l'authenticité du système d'exploitation déclencher une étape de blocage du terminal par la carte à puce 6. According to one variant, the smart card 6 may, upon receipt of a negative message of the verification of the authenticity of the operating system, trigger a step of blocking the terminal by the smart card 6.

Ainsi, de manière générale, le procédé comporte, après réception du message par la carte à puce 6, une étape de blocage du terminal par la carte à puce 6 si le résultat de la vérification d'authenticité est négatif. Thus, in general, the method comprises, after receiving the message by the smart card 6, a blocking step of the terminal by the smart card 6 if the result of the authenticity check is negative.

Un tel blocage peut être réalisé en donnant un ordre d'arrêt à un modem, correspondant à un processeur dans le terminal gérant les communications. Un arrêt de l'appareil peut par exemple être réalisé si un processeur principal de la carte mère, par exemple le processeur 3 de la figure 1, du terminal supporte une fonction de blocage à distance, à titre d'exemple, on pourra utiliser la technologie Intel® vPro' 13 Pour améliorer la sécurité, les échanges, par exemple des messages, de la première clé publique, etc., entre le module 5 et la carte à puce 6 peuvent être réalisés en utilisant un mécanisme assurant l'intégrité des échanges, par exemple en utilisant des messages signés ou chiffrés. En effet, dans un cas particulier le message envoyé du module 5 à la carte à puce 6 pourrait être intercepté puis modifié pour faire croire à la carte à puce 6 que l'authenticité est valable alors que cela n'est pas le cas. Le chiffrement peut être mis en ceuvre de manière symétrique, ou asymétrique par un couple de clé publique et privé du module 5 et un couple de clé privée et publique de la carte à puce 6. Dès lors, le module 5 peut par exemple au moment où il prend la main (étape E2) initier un échange pour envoyer sa clé publique à la carte à puce 6 et récupérer la clé publique de la carte à puce 6 afin d'initier une transmission sécurisée de la première clé publique qui sera utilisée pour la vérification d'authenticité (les clés publique/privée du module 5 peuvent aussi être allouées dynamiquement par le module 5). II est aussi possible de disposer, lors de la fabrication du terminal et de la carte à puce 6, la clé publique de la carte à puce 6 et la clé privée du module 5 dans une ROM du module 5 (ou dans un autre élément de sécurité du terminal, par exemple un module TPM, composant matériel additionnel de confiance du terminal) et la clé publique du module 5 et la clé privée de la carte à puce 6 dans la carte à puce 6, de préférence dans un domaine de sécurité de la carte à puce 6. Such blocking can be achieved by giving a stop command to a modem, corresponding to a processor in the terminal managing the communications. For example, if the main processor of the motherboard, for example the processor 3 of FIG. 1, of the terminal supports a remote blocking function, for example, the device can be stopped. Intel® vPro technology 13 To improve security, the exchanges, for example messages, the first public key, etc., between the module 5 and the smart card 6 can be made using a mechanism ensuring the integrity of the data. exchanges, for example by using signed or encrypted messages. Indeed, in a particular case the message sent from the module 5 to the smart card 6 could be intercepted and then modified to make believe in the smart card 6 that the authenticity is valid when this is not the case. The encryption can be implemented symmetrically, or asymmetrically by a public and private key pair of the module 5 and a private and public key pair of the smart card 6. Therefore, the module 5 may for example at the moment where he takes the hand (step E2) initiate an exchange to send his public key to the smart card 6 and retrieve the public key of the smart card 6 to initiate a secure transmission of the first public key that will be used to the authenticity check (the public / private keys of module 5 can also be allocated dynamically by module 5). It is also possible to have, during the manufacture of the terminal and the smart card 6, the public key of the smart card 6 and the private key of the module 5 in a ROM of the module 5 (or in another element of terminal security, for example a TPM module, additional hardware component trusted terminal) and the public key of the module 5 and the private key of the smart card 6 in the smart card 6, preferably in a security domain of the smart card 6.

Selon un exemple particulier de mise en oeuvre, le module 5 peut, après avoir pris la main (étape E2), détecter la présence d'un élément de communication 4 (exemple du modem de communication intégré ou non à la carte mère du terminal), par exemple de type 3G+, ou de la carte à puce 6. According to a particular example of implementation, the module 5 can, after having taken the hand (step E2), detect the presence of a communication element 4 (example of the communication modem integrated or not to the motherboard of the terminal) , for example of the 3G + type, or of the smart card 6.

Dans le cas d'un élément de communication 4 comprenant une carte à puce 6, le module 5 peut se connecter au modem de l'élément de communication 4 qui forme alors la passerelle entre le module 5 et la carte à puce 6. À ce 14 In the case of a communication element 4 comprising a smart card 6, the module 5 can connect to the modem of the communication element 4 which then forms the gateway between the module 5 and the smart card 6. 14

jour, il est, par exemple, possible de se connecter à un modem d'une carte de communication 4 en utilisant une connexion USB (Bus Série Universel) série ou USB CDC (pour « Communication Device Class » en anglais). Bien entendu, l'homme du métier pourra adapter tous les types de communication permettant au module 5 de dialoguer avec la carte à puce 6 par l'intermédiaire de la carte de communication 4. Dans le cas d'une carte à puce 6 seule, le module 5 peut directement se connecter à la carte à puce 6 par USB (bus série universel) par exemple de type USB PC/SD (pour « Personal Computer / Smart Card ») ou par USB UICC-Terminal USB telle que définie dans le standard ETSI TS 102.600. day, it is, for example, possible to connect to a modem of a communication card 4 using a USB connection (serial serial bus) serial or USB CDC (for "Communication Device Class" in English). Of course, those skilled in the art will be able to adapt all the types of communication enabling the module 5 to communicate with the smart card 6 via the communication card 4. In the case of a single smart card 6, the module 5 can directly connect to the smart card 6 by USB (universal serial bus) for example USB PC / SD (for "Personal Computer / Smart Card") or USB UICC USB Terminal as defined in the standard ETSI TS 102.600.

Dans le cas où le fichier représentatif du système d'exploitation peut être stocké dans un espace mémoire, par exemple flash, de la carte de communication, si cet espace mémoire est public, le module 5 peut s'y connecter par USB, par exemple USB stockage de masse (« Mass Storage » en anglais). In the case where the representative file of the operating system can be stored in a memory space, for example flash, of the communication card, if this memory space is public, the module 5 can connect to it via USB, for example USB Mass Storage ("Mass Storage").

Dès lors, l'étape de lecture de la première clé publique utilise un lien de communication de protocole de bus série universel (USB), et en fonction des liaisons utilise des variantes de l'USB telles que décrites ci-dessus. As a result, the step of reading the first public key uses a universal serial bus (USB) protocol communication link, and depending on the links uses variants of the USB as described above.

Selon une variante, la liaison USB peut aussi être remplacée par un bus PCI, un bus interne à un chipset multi-processeur. Alternatively, the USB link can also be replaced by a PCI bus, an internal bus to a multi-processor chipset.

La présente invention permet à une entité contrôlant la carte à puce 6, par exemple un opérateur mobile, de maîtriser, contrôler complètement le système d'exploitation et les éléments logiciels du terminal pour, par exemple, offrir une configuration graphique du terminal et forcer, par exemple, l'affichage de son logo, l'installation de logiciels spécifiques à son offre qui ne peuvent être supprimés par l'utilisateur. L'opérateur peut aussi fournir un client de téléchargement d'applications validées par l'opérateur, 15 The present invention allows an entity controlling the smart card 6, for example a mobile operator, to control, completely control the operating system and the software elements of the terminal to, for example, provide a graphical configuration of the terminal and force, for example, the display of its logo, the installation of software specific to its offer that can not be deleted by the user. The operator can also provide a download client for applications validated by the operator, 15

ainsi seul le client de téléchargement de l'opérateur pourra être démarré et utilisé. thus only the operator download client can be started and used.

Une fois que la chaîne de confiance a été initiée par le module 5, le démarrage peut comporter d'autres vérifications au niveau du système d'exploitation. Ces vérifications peuvent comporter des étapes de vérification de l'authenticité par exemple lors du lancement d'une application du système d'exploitation. Le résultat de chaque étape de vérification d'authenticité peut alors être envoyé à la carte à puce 6 qui peut alors décider, en passant ou non par l'opérateur, d'effectuer une action de blocage du terminal. Once the chain of trust has been initiated by Module 5, the boot may include other checks at the operating system level. These verifications may include authenticity verification steps, for example when launching an operating system application. The result of each authenticity verification step can then be sent to the smart card 6 which can then decide, whether or not by the operator, to perform a blocking action of the terminal.

Le système d'exploitation peut être un système brut ou un système personnalisé avec des composants logiciels tels qu'une plateforme d'exécution logicielle, un client de boutique en ligne d'applications, des logiciels applicatifs. The operating system can be a raw system or a custom system with software components such as a software execution platform, an online store application client, application software.

Un des avantages de la présente solution permet de combiner un mécanisme de contrôle de démarrage du système d'exploitation aux mécanismes de sécurité de la carte à puce 6. Les méthodes de contournement de ce mécanisme de contrôle correspondant à retirer la carte à puce et la substituer par une autre, même si ces méthodes peuvent fonctionner, elles n'ont pas d'intérêt car le terminal n'aura plus les moyens de se connecter au réseau de l'opérateur, le terminal perdant alors tout son attrait communicatif. La présente solution permet aussi un contrôle d'authenticité avant le lancement du système d'exploitation, limitant les failles permettant de passer outre la vérification d'authenticité, grâce à l'utilisation d'une chaîne de confiance établie par la deuxième clé publique associée au module 5. One of the advantages of the present solution makes it possible to combine an operating system startup control mechanism with the security mechanisms of the smart card 6. The methods of circumventing this control mechanism corresponding to removing the smart card and the to substitute for another, even if these methods can work, they have no interest because the terminal will no longer have the means to connect to the network of the operator, the terminal then losing all its communicative appeal. The present solution also allows an authenticity check before launching the operating system, limiting flaws to bypass the authenticity check, by using a trust chain set by the associated second public key in module 5.

Selon un développement, l'étape consistant à donner la main par le micrologiciel d'entrées/sortie 2 au module est une étape obligatoire qui n'est 16 According to a development, the step of giving the hand by the input / output 2 firmware to the module is a mandatory step that is not 16

pas désactivable par paramétrage du micrologiciel d'entrées/sorties. Autrement dit, c'est une étape qui sera toujours réalisée lors du démarrage. not disabled by setting the input / output firmware. In other words, it is a step that will always be done at startup.

À titre d'exemple, le terminal peut être un téléphone mobile, un ordinateur 5 portable, ou une tablette tactile. For example, the terminal may be a mobile phone, a laptop computer, or a touch pad.

Claims (9)

REVENDICATIONS1. Procédé de démarrage d'un système d'exploitation d'un terminal (1) comportant les étapes suivantes au démarrage du terminal: démarrer (E1) un micrologiciel d'entrées/sortie (2), donner la main (E2) par le micrologiciel d'entrées/sortie (2) à un module (5) de démarrage d'un système d'exploitation, caractérisé en ce qu'il comporte les étapes suivantes : io lire (E3) par le module (5) une première clé publique dans une carte à puce (6), vérifier l'authenticité (E4, E5) d'un fichier représentatif du système d'exploitation par le module (5) avec la première clé publique, initier (E6) par le module (5) le démarrage du système d'exploitation si 15 l'authenticité du fichier est valable. REVENDICATIONS1. Method for starting an operating system of a terminal (1) comprising the following steps when the terminal is started: starting (E1) an input / output firmware (2), giving the hand (E2) by the firmware of inputs / output (2) to a module (5) for starting an operating system, characterized in that it comprises the following steps: io read (E3) by the module (5) a first public key in a smart card (6), verify the authenticity (E4, E5) of a file representative of the operating system by the module (5) with the first public key, initiate (E6) by the module (5) starting the operating system if the authenticity of the file is valid. 2. Procédé selon la revendication 1, caractérisé en ce que l'étape de lecture de la première clé publique utilise un lien de communication de protocole de bus série universel. 2. Method according to claim 1, characterized in that the step of reading the first public key uses a universal serial bus protocol communication link. 3. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que le fichier représentatif du système d'exploitation est un fichier choisi parmi un noyau système, un chargeur d'amorçage, ou un fichier de couche de virtualisation. 25 3. Method according to any one of the preceding claims, characterized in that the representative file of the operating system is a file chosen from a system kernel, a boot loader, or a virtualization layer file. 25 4. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'authenticité de la première clé publique est vérifiée par le module (5) en utilisant une deuxième clé publique stockée dans le module (5) ou dans une mémoire ROM associée au module (5). 17 20 30 4. Method according to any one of the preceding claims, characterized in that the authenticity of the first public key is verified by the module (5) using a second public key stored in the module (5) or in a ROM associated with the module (5). 17 20 30 5. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que l'étape de lecture (E3) de la première clé publique comporte la lecture d'un objet logiciel comprenant la première clé publique et un lien vers le fichier représentatif du système d'exploitation à démarrer. 5. Method according to any one of the preceding claims, characterized in that the reading step (E3) of the first public key comprises the reading of a software object comprising the first public key and a link to the file representative of the operating system to boot. 6. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce qu'il comporte, après la vérification de l'authenticité du fichier représentatif du système d'exploitation, une étape d'envoi d'un message par le module (5) à la carte à puce (6) pour l'informer du résultat de i o la vérification de l'authenticité. 6. Method according to any one of the preceding claims, characterized in that it comprises, after verifying the authenticity of the representative file of the operating system, a step of sending a message by the module (5). ) to the smart card (6) to inform it of the result of the verification of authenticity. 7. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que les échanges entre le module (5) et la carte à puce (6) sont réalisés avec un mécanisme assurant l'intégrité des échanges. 7. Method according to any one of the preceding claims, characterized in that the exchanges between the module (5) and the smart card (6) are made with a mechanism ensuring the integrity of exchanges. 8. Procédé selon la revendication 6, caractérisé en ce que après réception du message par la carte à puce (6), le procédé comporte une étape de blocage du terminal par la carte à puce (6) si le résultat de la vérification d'authenticité est négatif. 8. Method according to claim 6, characterized in that after reception of the message by the smart card (6), the method comprises a step of blocking the terminal by the smart card (6) if the result of the verification of authenticity is negative. 9. Procédé selon l'une quelconque des revendications précédentes, caractérisé en ce que la première clé publique est stockée dans un domaine de sécurité ou dans un champ opérateur de la carte à puce (6). 15 20 9. Method according to any one of the preceding claims, characterized in that the first public key is stored in a security domain or in an operator field of the smart card (6). 15 20
FR1003811A 2010-09-27 2010-09-27 METHOD FOR STARTING A TERMINAL WITH AUTHENTICITY VERIFICATION OF THE TERMINAL OPERATING SYSTEM Expired - Fee Related FR2965381B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1003811A FR2965381B1 (en) 2010-09-27 2010-09-27 METHOD FOR STARTING A TERMINAL WITH AUTHENTICITY VERIFICATION OF THE TERMINAL OPERATING SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR1003811A FR2965381B1 (en) 2010-09-27 2010-09-27 METHOD FOR STARTING A TERMINAL WITH AUTHENTICITY VERIFICATION OF THE TERMINAL OPERATING SYSTEM

Publications (2)

Publication Number Publication Date
FR2965381A1 true FR2965381A1 (en) 2012-03-30
FR2965381B1 FR2965381B1 (en) 2013-04-19

Family

ID=43488586

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1003811A Expired - Fee Related FR2965381B1 (en) 2010-09-27 2010-09-27 METHOD FOR STARTING A TERMINAL WITH AUTHENTICITY VERIFICATION OF THE TERMINAL OPERATING SYSTEM

Country Status (1)

Country Link
FR (1) FR2965381B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1168141A2 (en) * 2000-06-23 2002-01-02 Franklin Electronic Publishers, Incorporated A secure and open computer platform
US20050138414A1 (en) * 2003-12-17 2005-06-23 Zimmer Vincent J. Methods and apparatus to support the storage of boot options and other integrity information on a portable token for use in a pre-operating system environment
FR2901038A1 (en) * 2006-05-15 2007-11-16 France Telecom METHOD AND DEVICE FOR SECURELY CONFIGURING A TERMINAL USING A STARTING DATA STORAGE DEVICE

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1168141A2 (en) * 2000-06-23 2002-01-02 Franklin Electronic Publishers, Incorporated A secure and open computer platform
US20050138414A1 (en) * 2003-12-17 2005-06-23 Zimmer Vincent J. Methods and apparatus to support the storage of boot options and other integrity information on a portable token for use in a pre-operating system environment
FR2901038A1 (en) * 2006-05-15 2007-11-16 France Telecom METHOD AND DEVICE FOR SECURELY CONFIGURING A TERMINAL USING A STARTING DATA STORAGE DEVICE

Also Published As

Publication number Publication date
FR2965381B1 (en) 2013-04-19

Similar Documents

Publication Publication Date Title
US11126710B2 (en) Method and device for verifying the integrity of platform software of an electronic device
US8789037B2 (en) Compatible trust in a computing device
JP4939851B2 (en) Information processing terminal, secure device, and state processing method
US20080022380A1 (en) Method of patching applications on small resource-constrained secure devices
US20170177694A1 (en) System and method for maintaining device state coherency
FR2885424A1 (en) DATA PROCESSING DEVICE, TELECOMMUNICATION TERMINAL AND DATA PROCESSING METHOD USING DATA PROCESSING DEVICE.
RU2481616C2 (en) Method and device for software download
US20120266259A1 (en) Approaches for firmware to trust an application
FR3024915A1 (en)
CN108335105B (en) Data processing method and related equipment
WO2009136080A2 (en) System and method for securing a computer comprising a microcore
FR3026207A1 (en) SECURE DISPLAY TERMINAL
WO2022073340A1 (en) Mobile terminal application security detection method and system, terminal, and storage medium
EP2011048B1 (en) Secure system and method for processing data between a first device and at least one second device furnished with monitoring means
FR2901038A1 (en) METHOD AND DEVICE FOR SECURELY CONFIGURING A TERMINAL USING A STARTING DATA STORAGE DEVICE
CN114491565B (en) Firmware secure boot method, device, computing equipment and readable storage medium
WO2019129937A1 (en) Checking the integrity of an electronic device
WO2015150689A1 (en) Method for the secure configuration of an application in a user terminal
FR2965381A1 (en) Method for starting e.g. unprocessed system of personal computer, involves verifying authenticity of file representing operating system, and initiating starting of operating system via starting module if authenticity of file is valid
WO2009138641A1 (en) Method of use of a host terminal by an external device connected to the terminal
EP2053532A1 (en) Method of opening a microcircuit card that is secure to third parties
FR2997204A1 (en) METHOD FOR DOWNLOADING AT LEAST ONE COMPONENT SOFTWARE IN A COMPUTER APPARATUS, COMPUTER PROGRAM PRODUCT, COMPUTER APPARATUS AND COMPUTER SYSTEM THEREOF
EP3179400B1 (en) Method for loading a computing resource into an electronic device, electronic module and corresponding computer program
EP4206968A1 (en) Method and device for securely starting up a client operating system on a remote computer system
FR3094515A1 (en) secure code execution process, corresponding devices, system and programs

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20150529