FR3071082A1 - Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur - Google Patents

Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur Download PDF

Info

Publication number
FR3071082A1
FR3071082A1 FR1758507A FR1758507A FR3071082A1 FR 3071082 A1 FR3071082 A1 FR 3071082A1 FR 1758507 A FR1758507 A FR 1758507A FR 1758507 A FR1758507 A FR 1758507A FR 3071082 A1 FR3071082 A1 FR 3071082A1
Authority
FR
France
Prior art keywords
code
instruction
arithmetic
microprocessor
function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR1758507A
Other languages
English (en)
Other versions
FR3071082B1 (fr
Inventor
Olivier Savry
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Commissariat a lEnergie Atomique et aux Energies Alternatives CEA
Original Assignee
Commissariat a lEnergie Atomique CEA
Commissariat a lEnergie Atomique et aux Energies Alternatives CEA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Commissariat a lEnergie Atomique CEA, Commissariat a lEnergie Atomique et aux Energies Alternatives CEA filed Critical Commissariat a lEnergie Atomique CEA
Priority to FR1758507A priority Critical patent/FR3071082B1/fr
Publication of FR3071082A1 publication Critical patent/FR3071082A1/fr
Application granted granted Critical
Publication of FR3071082B1 publication Critical patent/FR3071082B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • G06F21/755Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Executing Machine-Instructions (AREA)
  • Devices For Executing Special Programs (AREA)
  • Storage Device Security (AREA)

Abstract

Ce procédé comporte : 1) à chaque chargement d'une donnée Di, le calcul (202) d'un code Ci,* à l'aide d'une relation Ci,* = F*(Di), où la fonction F* est un homomorphisme d'un ensemble A de nombres munis d'une opération arithmétique et logique « * » vers un ensemble B de nombres munis de l'opération « # » ou cette fonction F* est telle que F*(D1) = T*(F*(D1)), 2) l'exécution de l'instruction arithmétique et logique « * » et l'enregistrement du résultat Dres-p, puis 3) le calcul (210, 226) d'un code Cres-p à l'aide de la relation Cres-p = F*(Dres-p) ou Cres-p –T*(Dres-p), et d'un code Cres-t (218, 224) à l'aide d'une relation Cres-t = C1,* # C2,* #... # Cn,*, puis la comparaison (220) des codes Cres-p et Cres-t et le déclenchement d'un signalement d'une faute d'exécution si le code Cres-p ne correspond pas au code Cres-t

Description

PROCÉDÉ D'EXÉCUTION D'UN CODE BINAIRE D'UNE FONCTION SÉCURISÉE PAR UN MICROPROCESSEUR [001] L’invention concerne un procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur. L'invention concerne également un microprocesseur pour la mise en oeuvre de ce procédé d'exécution.
[002] Pour obtenir des informations sur un code binaire ou provoquer un fonctionnement inattendu du code binaire, de nombreuses attaques sont possibles. Par exemple, des attaques connues sous le terme d'« injection de fautes » ou « fault attack » en anglais peuvent être mises en oeuvre. Ces attaques consistent à perturber le fonctionnement du microprocesseur ou de la mémoire contenant le code binaire, par divers moyens physiques comme des modifications des tensions d'alimentation, des modifications du signal d'horloge, l'exposition du microprocesseur à des ondes électromagnétiques et autres.
[003] À l'aide de telles attaques, un attaquant peut altérer l'intégrité des instructions machines ou des données pour, par exemple, retrouver une clé secrète d'un système cryptographique, contourner des mécanismes de sécurité tels que la vérification d'un code PIN lors d'une authentification ou simplement empêcher l'exécution d'une fonction essentielle pour la sécurité d'un système critique.
[004] Ces attaques peuvent provoquer notamment trois types de fautes, dites fautes d'exécution, lors de l'exécution du code binaire :
1) une altération des instructions du code machine exécuté,
2) une altération des données stockées dans la mémoire principale ou dans des registres du microprocesseur, et
3) une altération du flot de contrôle du code machine.
[005] Le flot de contrôle correspond au chemin d'exécution suivi lors de l'exécution du code machine. Le flot de contrôle est classiquement représenté sous la forme d'un graphe connu sous le terme de graphe de flot de contrôle ou « control flow graph » en anglais.
[006] Le code binaire d'une fonction peut être instrumenté pour permettre la détection et le signalement des fautes d'exécution. Lorsque le code binaire d'une fonction est ainsi instrumenté, ce code binaire est qualifié de « code binaire d'une fonction sécurisée ». En effet, contrairement au code binaire d'une fonction nonsécurisée, ce code binaire est apte à permettre le signalement de fautes d'exécution typiquement rencontrées en cas d'attaques.
[007] L'objectif ici est de proposer un procédé d'exécution d'un code binaire d'une fonction sécurisée qui offre au moins l'une des possibilités suivantes :
- détecter une faute d'exécution si une instruction du code machine de la fonction sécurisée est altérée,
- détecter une faute d'exécution si le flot de contrôle est altéré,
- détecter une faute d'exécution en cas de dysfonctionnement d'une unité arithmétique et logique lors de l'exécution d'une instruction par cette unité,
- détecter une faute d'exécution si les données traitées lors de l'exécution de la fonction sécurisée sont altérées.
[008] L'invention a donc pour objet un tel procédé d'exécution d’un code binaire d’une fonction sécurisée par un microprocesseur, ce procédé comportant :
a) la fourniture du code binaire, ce code binaire contenant :
- une instruction arithmétique et logique comportant un opcode et un ou plusieurs opérandes qui, lorsqu’elle est exécutée par une unité arithmétique et logique du microprocesseur, provoque la réalisation de l’opération Di*D2*...*Dn et l’enregistrement du résultat de cette opération dans un registre Rres, où :
- Di à Dn sont des données enregistrées, respectivement, dans des registres Ri à Rn du microprocesseur,
- les registres Ri à Rn sont les registres désignés par les opérandes de l’instruction arithmétique et logique,
- le symbole « * » est l'opération arithmétique et logique désignée par l’opcode de l’instruction arithmétique et logique, et
- l’indice n est un entier supérieur ou égal à un,
- pour chaque registre Ri à Rn, une instruction de chargement qui, lorsqu’elle est exécutée par le microprocesseur, provoque le chargement d’une donnée D, dans le registre R., où l’indice i est un identifiant du registre R, parmi les registres Ri à Rn,
b) lors de l’exécution (152) du code binaire par le microprocesseur, le procédé comporte les opérations suivantes :
1) à chaque fois qu’une instruction de chargement d’une donnée D, dans le registre R, est exécutée par le microprocesseur, un module matériel de sécurisation du microprocesseur calcule un code C.,* à l’aide d’une relation Ci,* = F*(Di), et la donnée chargée D, est enregistrée dans le registre R, et le code C.,* calculé est enregistré dans le même registre R. ou dans un registre associé au registre Ri, la fonction F* étant une fonction préprogrammée du module matériel de sécurisation,
- dans le cas où n est supérieur ou égal à deux, cette fonction F* étant un homomorphisme d’un ensemble A de nombres munis de l’opération « * » vers un ensemble B de nombres munis de l’opération « # », qui vérifie la relation : F*(Di * D2 * ... * Dn) = F*(Di) # F*(D2) # ... # F*(Dn) = Ci* # C2* # ... # Cn,*,
- dans le cas où n est égal à un, cette fonction F* est telle que F*(Di) = T*(F*(Di)), où la fonction T* est une fonction préprogrammée dans le module matériel de sécurisation,
2) l’exécution par l’unité arithmétique et logique de l’instruction arithmétique et logique contenue dans le code binaire et l’enregistrement du résultat Dres-P de cette exécution dans le registre Rres, puis
3) le module matériel de sécurisation :
- calcule un code Cres-P à l’aide de la relation Cres-P = F*(Dres-P) si n est supérieur à un et, sinon, à l'aide de la relation Cres-P =T*(Dres-P) si n est égal à un, et
- calcule un code Cres-t à l’aide de la relation Cres-t = Ci,*# C2,* # ... # Cn,*, puis
- compare les codes Cres-P et Cres-t et déclenche le signalement d’une faute d’exécution si le code Cres-P ne correspond pas au code Cres-t et, dans le cas contraire, inhibe ce signalement..
[009] Les modes de réalisation de ce procédé d'exécution peuvent comporter une ou plusieurs des caractéristiques suivantes :
la fonction F* est choisie dans le groupe constitué de :
- une fonction qui calcule un code détecteur d’erreur permettant de détecter une erreur dans la donnée D,,
- une fonction logarithmique,
- une fonction qui retourne un bit de parité qui indique si la donnée D, est paire ou impaire ;
l’opération « # » est choisie dans le groupe constitué des opérations suivantes :
- l’opération arithmétique d’addition,
- l’opération arithmétique de soustraction,
- l’opération arithmétique de multiplication,
- l’opération arithmétique de division,
- l’opération logique « OU »,
- l’opération logique « OU exclusif »,
- l’opération logique « ET » ;
l’opération « # » est identique à l’opération « * » ;
l’opération « * » est choisie dans le groupe constitué des opérations suivantes :
- l’opération arithmétique d’addition,
- l’opération arithmétique de soustraction,
- l’opération arithmétique de multiplication,
- l’opération arithmétique de division,
- l’opération logique « OU »,
- l’opération logique « OU exclusif »,
- l’opération logique « ET »,
- l’opération arithmétique de décalage à droite des bits,
- l’opération arithmétique de décalage à gauche des bits.
[0010] L'invention a également pour objet un microprocesseur pour l'exécution du procédé revendiqué, ce microprocesseur comportant :
- une unité arithmétique et logique apte à exécuter l'opération 2) du procédé revendiqué, et
- un module matériel de sécurisation, dans lequel le module matériel de sécurisation est configuré pour exécuter les opérations 1) et 3) du procédé revendiqué.
[0011] L'invention sera mieux comprise à la lecture de la description qui va suivre, donnée uniquement à titre d'exemple non limitatif et faite en se référant aux dessins sur lesquels :
- la figure 1 est une illustration schématique de l'architecture d'un appareil électronique apte à exécuter un code binaire d'une fonction sécurisée ;
- la figure 2 est une illustration schématique de la structure d'une ligne de code codant une instruction du code binaire exécuté par l'appareil de la figure 1,
- les figures 3 à 5 sont des illustrations schématiques de différentes portions du code binaire de la fonction sécurisée susceptible d'être exécutée par l'appareil de la figure 1;
- la figure 6 est un organigramme d'un procédé d'exécution du code binaire de la fonction sécurisée ;
- la figure 7 est une illustration schématique de la structure d'un registre du microprocesseur de l'appareil de la figure 1,
- la figure 8 est un organigramme d'un détail d'une étape du procédé de la figure 6 mise en œuvre pour sécuriser le fonctionnement d'une unité arithmétique et logique du microprocesseur de l'appareil de la figure 1,
- la figure 9 est une illustration schématique de la structure d'une ligne de code codant une donnée traitée lors de l'exécution du code binaire par l'appareil de la figure 1,
- la figure 10 est un organigramme d'un détail d'une étape du procédé de la figure 6 mise en œuvre pour sécuriser les données traitées lors de l'exécution du code binaire par l'appareil de la figure 1
- la figure 11 est une illustration schématique d'un compilateur apte à générer le code machine exécuté par l'appareil de la figure 1.
[0012] Chapitre I : Conventions, notations et définitions :
[0013] Dans les figures, les mêmes références sont utilisées pour désigner les mêmes éléments. Dans la suite de cette description, les caractéristiques et fonctions bien connues de l’homme du métier ne sont pas décrites en détails.
[0014] Dans cette description, les définitions suivantes sont adoptées.
[0015] Un « programme » désigne un ensemble d'une ou de plusieurs fonctions prédéterminées que l'on souhaite faire exécuter par un microprocesseur.
[0016] Un « code source » est une représentation du programme dans un langage informatique, n'étant pas directement exécutable par un microprocesseur et étant destiné à être transformé par un compilateur en un code machine directement exécutable par le microprocesseur.
[0017] Un programme ou un code est dit être « directement exécutable » lorsqu'il est apte à être exécuté par un microprocesseur sans que ce microprocesseur n'ait besoin au préalable de le compiler au moyen d'un compilateur ou de l'interpréter au moyen d'un interpréteur.
[0018] Une « instruction » désigne une instruction machine exécutable par un microprocesseur. Une telle instruction est constituée :
- d'un opcode, ou code d'opération, codant la nature de l'opération à exécuter, et -d'un ou plusieurs opérandes définissant la ou les valeurs des paramètres de cette opération.
[0019] Un « code machine » est un ensemble d'instructions machines. Il s'agit typiquement d'un fichier contenant une succession de bits portant la valeur « 0 » ou « 1 », ces bits codant les instructions à exécuter par le microprocesseur. Le code machine est directement exécutable par le microprocesseur, c'est-à-dire sans nécessiter une compilation ou une interprétation préalable.
[0020] Un « code binaire » est un fichier contenant une succession de bits portant la valeur « 0 » ou « 1 ». Ces bits codent des données et des instructions à exécuter par le microprocesseur. Ainsi, le code binaire comprend au moins un code machine et en plus, généralement, des données numériques traitées par ce code machine.
[0021] Un « flot d'instructions » est une succession d'instructions classées les unes après les autres et qui forme, dans le code machine, une suite ordonnée de bits. Le flot d'instructions débute par une instruction initiale et se termine par une instruction finale. Par rapport à une instruction donnée du flot d'instructions, les instructions situées du côté de l'instruction initiale sont appelées « instructions précédentes » et les instructions situées du côté de l'instruction finale, sont appelées « instructions suivantes ». Dans ce texte, ce flot d'instructions en mémoire est découpé en une succession de blocs de base immédiatement consécutifs ou séparés par des blocs de données.
[0022] Dans ce texte, un « bloc de base » est un groupe d'instructions successives du flot d'instructions qui débute à une adresse de branchement et qui se termine par une seule instruction de branchement explicite ou implicite. Une instruction de branchement explicite se caractérise par la présence explicite d'un opcode dans le code machine qui code l'instruction de branchement. Une instruction de branchement implicite correspond au cas où l'exécution d'un bloc de base précédent se poursuit systématiquement par l'exécution d'un bloc de base suivant situé, dans le code machine, immédiatement après le bloc de base précédent. Dans ce cas, étant donné qu'en absence d'instruction de branchement explicite, les instructions du code machine sont exécutées dans l'ordre les unes après les autres, il n'est pas nécessaire d'introduire à la fin du bloc de base précédent une instruction de branchement explicite vers le bloc de base suivant. Dans cette description, on dit que dans ce cas, le bloc de base précédent se termine par une instruction de branchement implicite car elle n'est pas explicitement codée dans le code machine. Dans ce cas, le bloc de base précédent se termine juste avant l'adresse de branchement du bloc de base suivant. Dans cette demande, l'expression « instruction de branchement » désigne une instruction de branchement explicite à défaut de mention contraire. Ainsi, l'exécution d'un bloc de base débute systématiquement par l'exécution de l'instruction située à son adresse de branchement et se termine systématiquement par l'exécution de l'instruction de branchement qui termine ce bloc de base. Un bloc de base ne comporte pas d'autres instructions de branchement que celle située à latin de ce bloc de base. Ainsi, les instructions d'un bloc de base sont systématiquement toutes lues par le microprocesseur les unes après les autres dans l'ordre où elles sont présentes dans ce bloc de base. L'instruction de branchement peut diriger, lorsqu'elle est exécutée, le flot de contrôle systématiquement vers la même adresse de branchement ou, en alternance, vers différentes adresses de branchement. Ce dernier cas de figure se rencontre, par exemple, lorsqu'à la fin du bloc de base exécuté, le flot de contrôle peut se poursuivre vers un premier et, en alternance, vers un deuxième bloc de base.
[0023] Une « instruction de branchement » est une instruction qui, lorsqu'elle est exécutée par le microprocesseur, déclenche un saut vers l'adresse de branchement d'un autre bloc de base. Cette instruction de branchement comporte donc au moins l'adresse de branchement de cet autre bloc de base. Typiquement, à cet effet, cette instruction remplace la valeur actuelle du compteur ordinal par la valeur de l'adresse de branchement. On rappelle que le compteur ordinal contient l'adresse de la prochaine instruction à exécuter par le microprocesseur. En absence d'instruction de branchement, à chaque fois qu'une instruction est exécutée, le compteur ordinal est incrémenté de la taille de l'instruction actuellement exécutée. En absence d'instruction de branchement, les instructions sont systématiquement exécutées séquentiellement les unes après les autres dans l'ordre où elles sont enregistrées dans une mémoire principale. L'instruction de branchement peut être inconditionnelle, c'est à dire que le saut vers l'adresse de branchement est systématiquement réalisé dès que cette instruction est exécutée. Une instruction de branchement inconditionnel est par exemple l'instruction « JMP » en langage assembleur pour les microprocesseurs de la série x86. L'instruction de branchement peut aussi être conditionnelle, c'est-à-dire que le saut vers l'adresse de branchement est déclenché lors de son exécution uniquement si une condition particulière est vérifiée. Par exemple, une instruction de branchement conditionnel est une instruction « JE », « JA » ou « JNE » en assembleur. L’instruction de branchement peut aussi bien être un appel à une fonction. Dans ce texte, le terme « instruction de branchement » désigne aussi bien les instructions de branchement direct qu'indirect. Une instruction de branchement direct est une instruction de branchement qui contient directement la valeur numérique de l'adresse de branchement. Une instruction de branchement indirect, est une instruction de branchement vers une adresse de branchement contenue dans une mémoire ou un registre du microprocesseur. Ainsi, contrairement à une instruction de branchement direct, une instruction de branchement indirect ne contient pas directement la valeur numérique de l'adresse de branchement.
[0024] Une « adresse de branchement » est l'adresse dans la mémoire principale à laquelle se trouve la première instruction exécutée d'un bloc de base. Par la suite, on parle d'adresse de branchement même pour les blocs de base dont la première instruction est exécutée suite à l'exécution d'une instruction de branchement implicite. [0025] On parle d'exécution d'une fonction pour désigner l'exécution des instructions réalisant cette fonction.
[0026] Dans un souci de simplification, dans cette description et dans les figures, les instructions ne sont pas représentées sous forme binaire, mais plutôt sous une forme symbolique exprimée dans un langage évolué de plus haut niveau.
[0027] Chapitre II : Architecture de l'appareil :
[0028] La figure 1 représente un appareil électronique 1 comportant un microprocesseur 2, une mémoire principale 4 et un support 6 de stockage de masse. Par exemple, l'appareil 1 est un ordinateur, un smartphone, une tablette électronique ou similaire.
[0029] Le microprocesseur 2 comporte ici :
- une unité arithmétique et logique 10 ;
- un ensemble 12 de registres ;
- un module de commande 14 ;
- une interface 16 d'entrée/sortie de données,
- un chargeur 18 d'instructions comportant un compteur ordinal 26,
- une file 22 d'instructions à exécuter, et
- un module matériel 28 de sécurisation.
[0030] La mémoire 4 est configurée pour stocker des instructions d'un code binaire 30 d'un programme devant être exécuté par le microprocesseur 2. La mémoire 4 est une mémoire à accès aléatoire. Typiquement, la mémoire 4 est une mémoire volatile. La mémoire 4 peut être une mémoire externe au microprocesseur 2 comme représenté sur la figure 1. Dans ce cas, la mémoire 4 est réalisée sur un substrat mécaniquement séparé du substrat sur lequel sont réalisés les différents éléments du microprocesseur 2 comme l'unité 10.
[0031] Ici, la mémoire 4 est divisée en mots-machines successifs de longueur fixe. Chaque mot-machine peut être transféré en un seul cycle d'horloge depuis la mémoire 4 jusque dans un registre du microprocesseur. A cet effet, la taille N mm d'un mot-machine est égale au nombre maximum de bits qui peuvent être transférés simultanément de la mémoire 4 vers un registre de l'ensemble 12. Ici, la taille N mm est strictement supérieure Ninst bits, où Ninst bits est le nombre de bits des instructions du jeu d'instructions du microprocesseur 2. Typiquement, Ninst est un entier supérieure ou égale à 8, 16, 32 ou 64. Dans cet exemple, Ninst est égal à 32 et la taille NMm est égale à 128 bits.
[0032] A titre d'illustration, le code binaire 30 comporte notamment un code machine 32 d'une fonction sécurisée et un bloc 34 de données nécessaires au déchiffrement du code binaire 30. Chaque fonction sécurisée correspond à un ensemble de plusieurs lignes de code, par exemple plusieurs centaines ou milliers de lignes de code, enregistrées à des adresses successives dans la mémoire 4. Ici, chaque ligne de code correspond à un mot-machine. Ainsi, une ligne de code est chargée dans un registre du microprocesseur 12 en une seule opération de lecture. De même, une ligne de code est écrite dans la mémoire 4 par le microprocesseur 2 en une seule opération d'écriture. Chaque ligne de code code soit une seule instruction soit une seule donnée. La structure d'une ligne de code des fonctions sécurisées est décrite en détail en référence aux figures 2 et 9.
[0033] Le bloc 34 est typiquement situé dans une plage d'adresses prédéterminée au début du code binaire 30. Ainsi, l'exécution du code binaire 30 débute par le chargement et le traitement des données du bloc 34. Ici, le bloc 34 comporte notamment :
- un cryptogramme ka* obtenu en chiffrant une clé ka à l'aide d'une clé publique pkCpu du microprocesseur 2,
- le cryptogramme ivini* obtenu en chiffrant, à l'aide de la clé publique pkCPu, un vecteur d'initialisation ivini utilisé pour chiffrer le premier bloc de base par lequel l'exécution du code machine 32 débute systématiquement,
- une signature Ska* du cryptogramme ka* obtenue en chiffrant une étiquette, construite à partir du cryptogramme ka*, à l'aide d'une clé privée skaut d'un auteur du code binaire 30,
- un certificat cryptographique Caut qui permet de vérifier la signature Ska*, ce certificat étant signé à l'aide d'une clé privée sk0S d'un système d'exploitation et contenant une clé publique pkaut qui permet de vérifier l'authenticité de la signature Ska*.
[0034] L'étiquette du cryptogramme ka* est typiquement obtenue en appliquant une fonction de hachage prédéterminée (« hash function » en anglais) sur le cryptogramme ka*. Une telle étiquette est plus connue sous le terme anglais de « digest ».
[0035] A titre d'illustration, le microprocesseur 2 est conforme à l'architecture RISC (« Reduced Instructions Set Computer »).
[0036] Ici, l'unité 10 est une unité arithmétique et logique de Ninst bits.
[0037] Le chargeur 18 charge dans la file 22 la prochaine instruction à exécuter par l'unité 10 à partir de la mémoire 4. Plus précisément, le chargeur 18 charge l'instruction sur laquelle pointe le compteur ordinal 26. Dans ce mode de réalisation, le chargeur 18 charge dans la file 22 systématiquement et à chaque fois une instruction lj et un code correcteur d'erreur ECCij. Le code ECCij est codé sur Neccij bits, où Neccij est un nombre entier souvent strictement inférieur à Ninst et, généralement, supérieur à 1 ou 2 ou 3 bits. A cet effet, la file 22 comprend une succession de plusieurs registres chacun de largeur égale à N ECCij + Ninst bits.
[0038] L'unité 10 est notamment configurée pour exécuter les unes après les autres les instructions chargées dans la file 22. Les instructions chargées dans la file 22 sont généralement systématiquement exécutées dans l'ordre où ces instructions ont été enregistrées dans cette file 22. L'unité 10 est aussi capable d'enregistrer le résultat de ces instructions exécutées dans un ou plusieurs des registres de l'ensemble 12.
[0039] Dans cette description, on utilisera comme synonymes « exécution par le microprocesseur 2 » et « exécution par l'unité 10 ».
[0040] Le module 14 est configuré pour déplacer des données entre l'ensemble 12 de registres et l'interface 16. L'interface 16 est notamment apte à acquérir des données et des instructions, par exemple, depuis la mémoire 4 et/ou le support 6 extérieurs au microprocesseur 2.
[0041] Le module 28 est capable d'exécuter automatiquement les différentes opérations décrites en détails dans les chapitres suivants pour sécuriser l'exécution des fonctions sécurisées. Le module 28 fonctionne indépendamment et sans utiliser l'unité 10. Ainsi, il est capable de traiter les lignes de code avant et/ou après que celles-ci soient traitées par l'unité 10. A cet effet, il comporte notamment une mémoire non-volatile sécurisée 29. Aucun accès à cette mémoire 29 sans passer par l’intermédiaire du module 28 n'est prévu. Dans ce mode de réalisation, le module 28 est pré-programmé, par exemple lors de sa conception, pour exécuter des opérations telles que les opérations suivantes :
- vérifier un code correcteur d'erreur et corriger l'erreur à partir de ce code si nécessaire,
- vérifier un code détecteur d'erreur,
- construire un code détecteur ou correcteur d'erreur à partir d'une donnée,
- vérifier l'intégrité et l'authenticité d'une donnée à partir d'un code d'authentification de message plus connu sous l'acronyme MAC (« Message Authentification Code »),
- chiffrer une donnée pour obtenir un cryptogramme,
- déchiffrer un cryptogramme pour obtenir une donnée en claire,
- vérifier une signature cryptographique et/ou un certificat cryptographique,
- exécuter une fonction préprogrammée Fiv.
[0042] La mémoire 29 est utilisée pour stocker les informations secrètes nécessaires à la mise en œuvre du procédé de la figure 6. Ici, elle comporte donc notamment des informations secrètes pré-enregistrées avant le début de l'exécution du code binaire 30. En particulier, elle comporte les informations pré-enregistrées suivantes :
- une clé secrète k' utilisée pour la vérifications des codes d'authentification de message,
- un certificat cryptographique Cos émis par une autorité de confiance et comportant une clé publique pkos de cette autorité de confiance,
- un certificat cryptographique Ccpu qui est signé par l'autorité de confiance à l'aide d'une clé privée sk0S qui permet de chiffrer des données qui doivent être déchiffrées à l'aide de la clé publique pkos, ce certificat contenant une clé publique pkCPu,
- un clé privée secrète skCPU qui permet de déchiffrer les données qui ont été chiffrées à l'aide de la clé publique pk CPU[0043] Dans cet exemple de réalisation, l'ensemble 12 comporte des registres généraux utilisables pour stocker tout type de données. La taille de chacun de ces registres est, par exemple, égale à NMM.
[0044] Un bus d'échange de données 24 qui relie les différents composants du microprocesseur 2 entre eux est représenté sur la figure 1 pour indiquer que les différents composants du microprocesseur peuvent échanger des données entre eux. [0045] Le support 6 est typiquement une mémoire non volatile. Par exemple, il s'agit d'une mémoire du type EEPROM ou Flash. II contient ici une copie 40 de sauvegarde du code binaire 30. Typiquement, c'est cette copie 40 qui est automatiquement recopiée dans la mémoire 4 pour restaurer le code 30, par exemple, après une coupure de courant ou similaire ou juste avant que débute l'exécution du code 30.
[0046] CHAPITRE III : SÉCURISATION DU CODE MACHINE :
[0047] Ici, la structure du code machine de la fonction sécurisée est décrite dans le cas particulier du code machine 32. Toutefois, ce qui est décrit dans ce cas particulier se transpose sans difficulté à tout code machine d'une fonction sécurisée.
[0048] Le code machine 32 comporte une succession de lignes de code Llj enregistrées les unes après les autres dans la mémoire 4. Par la suite, dans ce chapitre, l’indice j est utilisé pour identifier la ligne de code Llj parmi les autres lignes de code du code machine 32. De plus, l’indice j est aussi utilisé comme un numéro d’ordre indiquant dans quel ordre les lignes Llj sont classées. Ainsi, on note LIJ+i la ligne de code située immédiatement après la ligne Llj. Chaque ligne de code Llj code une instruction du jeu d’instructions du microprocesseur 2 apte à être exécutée après avoir été déchiffrée et décodée par l’unité 10 de ce microprocesseur.
[0049] La structure de toutes les lignes Llj sont identiques. Elle est représentée en détail sur la figure 2 dans le cas particulier de la ligne Llj. La ligne Llj comporte un cryptogramme Clj*, un code MACj, et un code ECClj.
[0050] Le cryptogramme Clj* est obtenu en chiffrant une concaténation Clj à l’aide de la clé secrète ka et d’un vecteur d’initialisation ivk. Plus précisément, le cryptogramme Clj* est obtenu à l’aide de la relation suivante : Clj* = fka(Clj ; ivk), où fka est une fonction de chiffrement correspondant à une fonction de déchiffrement fio1 préprogrammée dans le module 28. Typiquement, la fonction fka est une fonction de chiffrement symétrique. Dès lors, la clé ka permettant de déchiffrer le cryptogramme Clj* est préenregistrée dans la mémoire 29 afin de permettre au module 28 de déchiffrer ce cryptogramme Clj*. Comme expliqué plus loin, le vecteur d’initialisation ivk est quant à lui contenu dans une ligne de code précédente du code machine 32.
[0051] La concaténation Clj est ici la concaténation d’une instruction lj à exécuter par le microprocesseur 2 et d’un code ECCij. Le code ECCij permet de détecter une erreur dans l’instruction lj et de corriger cette erreur. Par exemple, le code ECCij peut être le code connu sous l’acronyme BCH (Bose, Ray-Chaudhuri, Hocquenghem) qui présente l'avantage d’être particulièrement facile à mettre en œuvre. Toutefois, tout autre code correcteur d’erreur connu peut être mis en œuvre. La taille du code ECCij est supérieure ou égale à 1 ou 2 ou 3 bits et, généralement, inférieure à Ninst. La taille du code ECCij est déterminée en fonction de la robustesse souhaitée. Plus on veut être capable de corriger un nombre de bits erronés important dans l’instruction lj, plus la taille du code ECCij sera grande.
[0052] Le code MACj est un code permettant de vérifier l’intégrité et l’authenticité du cryptogramme Clj*. Ce code est communément appelé « code d’authentification de message » et connu sous l’acronyme MAC (« Message Authentification Code »). Un tel code MACj est obtenu en construisant une étiquette à partir du cryptogramme Clj* qui comporte normalement moins de bits que le cryptogramme Cij*. Cette étiquette est construite à l’aide d’une fonction prédéterminée telle qu’une fonction de hachage. Ensuite, cette étiquette est chiffrée avec la clé secrète k’ connue seulement de l’auteur du code binaire 30 et du microprocesseur 2. Ici, la clé k’ est préenregistrée dans la mémoire 29.
[0053] À titre d’exemple, pour générer le cryptogramme Clj* et le code MACj, un algorithme de chiffrement par flot authentifié est utilisé. Cet algorithme de chiffrement par flot authentifié peut être choisi parmi les différents candidats à la compétition CAESAR (« Compétition for Authentificated Encryption : Security, Applicability, and Robustness ») comme par exemple l’un des algorithmes désignés par les noms suivants : « ACORN », « ASCON », « SILC », « CLOC », « JAMBU », « KETJE ».
[0054] Le code ECClj est un code correcteur d’erreur qui permet de détecter et de corriger une erreur dans le cryptogramme Clj* et le code MACj. Il est par exemple construit comme décrit dans le cas du code ECCij.
[0055] Par la suite, on note @j l’adresse dans la mémoire 4 à laquelle est enregistrée la ligne Llj.
[0056] Le code machine 32 se compose d'une succession de blocs de base qui doivent être exécutés les uns après les autres. Ici, chaque bloc de base se compose d'une succession de lignes de code qui chacune comporte le cryptogramme Clj* de l'instruction lj à exécuter.
[0057] La figure 3 représente un premier agencement de deux blocs de base 50 et 52 du code machine 32. Dans ce premier agencement, les blocs de base 50 et 52 sont systématiquement exécutés l'un après l'autre. Dans l'ordre d'exécution, le bloc de base 50 précède le bloc de base 52. Dans cette figure et les figures suivantes :
- l'ordre d'exécution des blocs de base est représenté par une flèche qui pointe du bloc de base précédent vers le bloc de base suivant,
- une flèche en pointillés qui pointe sur un bloc de base représenté indique que le ou les blocs de base qui précèdent ce bloc de base n'ont pas été représentés pour simplifier la figure,
- une flèche en pointillés qui pointe dans le vide depuis un bloc de base représenté indique que le ou les blocs de base suivants ce bloc de base représenté n'ont pas été représentés pour simplifier la figure,
- le symbole « ... » à l'intérieur d'un bloc de base indique que toutes les lignes de code de ce bloc de base n'ont pas été représentées.
[0058] Chaque bloc de base débute par une adresse de branchement et se termine par une ligne de code qui contient le cryptogramme d'une instruction de branchement. Sur la figure 2, les symboles « @50 » et « @52 » à côté de la première ligne de code de chaque bloc de base désignent les adresses de branchement, respectivement, des blocs de base 50 et 52. Le symbole « @XX » désigne l'adresse de branchement d'un autre bloc de base non représenté sur la figure 2.
[0059] Le symbole « Load ivxx» indiqué dans l'avant dernière ligne de code du bloc de base indique que cette ligne de code comporte le cryptogramme d'une instruction qui, lorsqu'elle est exécutée par le microprocesseur 2, provoque le chargement d'un nouveau vecteur d'initialisation ivxx dans la mémoire 29. Ainsi, le symbole « Load iv52» indique que le vecteur d'initialisation iv52 est chargé dans la mémoire 29 avant que débute l'exécution du bloc de base 52.
[0060] Le symbole « Branch @XX» indiqué à l'intérieur de la dernière ligne de code du bloc de base indique que cette dernière ligne comporte le cryptogramme d'une instruction qui, lorsqu'elle est exécutée par le microprocesseur 2, provoque un branchement inconditionnel vers l'adresse de branchement @XX.
[0061] Ici, le même vecteur d'initialisation ivk est utilisé pour déchiffrer tous les cryptogrammes CI,* de toutes les lignes de code du même bloc de base BBk. L'indice k identifie sans ambiguïté le bloc de base BBk parmi l'ensemble des blocs de base du code machine 32. Dans les figures et dans la description, le symbole ivk est par la suite utilisé pour désigner de façon générale le vecteur d'initialisation à utiliser pour déchiffrer le bloc de base BBk. De plus, dans les cas simples comme celui représenté sur la figure 3 où deux blocs de base se suivent dans l'ordre d'exécution du code machine 32, l'indice k est aussi utilisé pour indiquer l'ordre dans lequel ces blocs de base sont exécutés. Par exemple, la notation BBk_i est, dans ces cas simples, utilisée pour désigner le bloc de base systématiquement exécuté immédiatement avant le bloc de base BBk.
[0062] Ici, le vecteur d'initialisation ivk est unique pour chaque bloc de base BBk. Par « unique pour chaque bloc de base», on désigne le fait que la probabilité que deux blocs de base différent du code machine 32 soient chiffrés avec le même vecteur d'initialisation ivk est inférieure à une chance sur 100 ou sur 1000. En particulier, l'expression « unique pour chaque bloc de base» couvre donc le cas où les vecteurs d'initialisation ivk de tous les blocs de base sont systématiquement différents les uns des autres. Par exemple, dans un mode de réalisation simple, lors de la génération du code 32, les vecteurs d'initialisation ivk de chaque bloc de base sont tirées de façon aléatoire ou pseudo-aléatoire dans l'ensemble {1 ; ...;2Ninst}.
[0063] Comme représenté sur la figure 3, dans le code 32, le vecteur d'initialisation ivk est chargé dans la mémoire 29 uniquement lors de l'exécution d'un bloc de base précédent le bloc de base BBk. Sur la figure 3, le vecteur d'initialisation iv52 nécessaire pour déchiffrer le bloc 52 est chargé lors de l'exécution du bloc 50.
[0064] La figure 4 représente un autre agencement possible de plusieurs blocs de base du code 32 dans le cas particulier de deux blocs de base précédents 60 et 62 et d'un bloc de base suivant 64. Ici, les blocs 60 et 64 sont, par exemple, identiques, respectivement, aux blocs 50 et 52 sauf que le vecteur d'initialisation du bloc 64 est noté «iv64 ». Le bloc 62 est construit comme le bloc 60 et, en particulier, il se termine par deux lignes de code qui codent les mêmes instructions que celles codées dans les deux dernières lignes du bloc 60. Toutefois, même si ces deux dernières lignes codent les mêmes instructions, les cryptogrammes de ces instructions sont différents parce que le bloc 62 est chiffré en utilisant un vecteur d'initialisation iv62 différent du vecteur iv60 utilisé pour chiffrer le bloc 60. Les autres lignes de code du bloc 62 sont différentes de celles du bloc 60.
[0065] La figure 5 représente une partie de l’architecture du code machine 32 lorsqu'un bloc de base se termine par un appel à un code machine 68 d’une sousfonction sécurisée. Le code machine 68 est agencé comme précédemment décrit pour le code machine 32. Il se compose donc d’une succession de blocs de base. Pour simplifier la figure 5, seul le premier bloc de base 80 et le dernier bloc de base 82 de ce code machine 68 ont été représentés.
[0066] Le code machine 68 peut être appelé à partir de différents blocs de base du code machine 32 et, lorsque l’exécution du code machine 68 est terminée, le flot d’instructions peut retourner vers différents blocs de base du code machine 32. Ainsi, le bloc de base qui doit être exécuté après le bloc de base 82 dépend du bloc de base qui a appelé le code machine 68. Par conséquent, contrairement à ce qui a été décrit en référence aux figures 3 et 4, le bloc de base 80 ne se termine pas par une ligne de code qui code une instruction de branchement systématiquement vers la même adresse mais par une ligne de code qui code une instruction « Return ». Par conséquent, sur la figure 5, le symbole « Return » est utilisé pour identifier la dernière ligne du bloc 82.
[0067] Contrairement à l’instruction « Branch » précédemment décrite, l’instruction « Return » ne comporte pas explicitement l’adresse du prochain bloc de base à exécuter. L’instruction « Return » n’est pas non plus précédée d’une instruction de chargement d’un vecteur d’initialisation à utiliser pour déchiffrer le prochain bloc de base à exécuter.
[0068] Ici, lorsque l’instruction « Return » est exécutée par le microprocesseur 2, elle provoque :
- le chargement d’un nouveau vecteur d’initialisation contenu dans un registre Rp2 du microprocesseur, puis
- un saut inconditionnel vers une adresse contenue dans un registre Rpi du microprocesseur 2.
[0069] Ces registres Rpi et Rp2 sont chargés avec les valeurs adéquates lors de l’exécution du bloc de base à partir duquel le code machine 68 est appelé. Par exemple, sur la figure 5, le code machine 68 est appelé à partir d’un bloc de base 70 et, après l’exécution du code machine 68, l’exécution du code machine 32 doit se poursuivre par l’exécution d’un bloc de base 72. Le bloc de base 70 se termine par deux lignes codant respectivement, le chargement du vecteur d’initialisation iv8o dans la mémoire 29 et un saut inconditionnel vers l’adresse @80 du bloc de base 80 du code machine 68.
[0070] De plus, avant ces lignes, le bloc 70 comporte aussi :
- une ligne qui code une instruction de chargement dans le registre Rpi de l’adresse @72 du bloc de base 72, et
- une ligne qui code une instruction de chargement dans le registre Rp2 du vecteur d’initialisation iv72 nécessaire pour déchiffrer le bloc de base 72.
[0071] Sur la figure 5, ces lignes sont désignées par les symboles, respectivement « Load Rpi, @72 » et « Load Rp2, iv72 ».
[0072] Ainsi, lors de l’exécution de l’instruction « Return », le prochain bloc de base exécuté sera le bloc de base 72 et le vecteur d’initialisation utilisé pour le déchiffrer sera le vecteur iv72 chargé dans le registre Rp2.
[0073] De préférence, les registres Rpi et Rp2 sont des registres d’une pile d’appel de manière à permettre des appels à des sous-fonctions à partir des blocs de base d’autres sous-fonctions.
[0074] La figure 6 représente un procédé d'exécution du code binaire 30 par le microprocesseur 2.
[0075] Le procédé débute par une étape 150 de fourniture du code binaire 30 dans la mémoire 4. Pour cela, par exemple, le microprocesseur 2 recopie la copie 40 à l'intérieur de la mémoire 4 pour obtenir le code binaire 30 enregistré dans la mémoire
4.
[0076] Ensuite, lors d'une phase 152, le microprocesseur 2 exécute le code binaire 30 et, en particulier, le code machine 32.
[0077] L’exécution du code binaire 30 commence par une étape 154 d’authentification de l’auteur de ce code binaire. Lors de cette étape, le module 28 réalise successivement les opérations suivantes :
- lors d’une opération 156, le module 28 vérifie l’authenticité du certificat Ccpu à l’aide de la clé publique pkos contenue dans le certificat Cos.
- lors d’une opération 158, le module 28 charge le certificat Caut à partir du bloc 34 puis vérifie son authenticité à l’aide de la clé publique pkos contenue dans le certificat Cos15
- lors d’une opération 160, le module 28 charge la signature Ska* à partir du bloc 34 et vérifie son authenticité à l’aide de la clé pkAuT contenue dans le certificat Caut.
[0078] Si toutes les opérations de vérification 156, 158 et 160 ont été réussies avec succès, alors le code binaire est correctement authentifié et le procédé se poursuit par une étape 162. À l’inverse, si l’une des opérations 156, 158 ou 160 n’a pas été réussie avec succès, le module 28 considère alors que l’authentification de l’auteur du code binaire 30 a échoué et le procédé se poursuit par une étape 163. Lors de l’étape 163, l’exécution du code binaire 30 est arrêtée.
[0079] Lors de l’étape 162, le module 28 charge les cryptogrammes ka* et ivini* contenus dans le bloc 34 et les déchiffre à l’aide de la clé skCPU contenue dans la mémoire 29. À l’issue de l’étape 162, la clé ka et le vecteur d’initialisation ϊνΙηι utilisé pour déchiffrer le premier bloc de base du code machine 32 sont contenus dans la mémoire 29.
[0080] Après l’étape 162, le microprocesseur 2 exécute, les uns après les autres, les blocs de base en commençant par le premier bloc de base BBini du code machine 32. [0081] L’exécution de chaque bloc de base consiste à exécuter, dans l’ordre où les lignes de code Llj de ce bloc de base sont enregistrées dans la mémoire 4, les instructions codées par chacune de ces lignes de code.
[0082] Pour chacune des lignes de code Llj à exécuter du code machine 32, le microprocesseur 2 exécute les étapes suivantes.
[0083] Lors d’une étape 164, le microprocesseur 2 charge dans un registre de l’ensemble 12, la ligne de code enregistrée à l’adresse @j contenue dans le compteur ordinal 26.
[0084] Ensuite, le module 28 procède à une étape 166 de sécurisation de l’instruction codée dans la ligne de code chargée.
[0085] Le fonctionnement de l’étape 166 est maintenant décrit dans le cas de la ligne Llj. Plus précisément, lors de l’étape 166, le module 28 réalise successivement les opérations suivantes.
[0086] Lors d’une opération 170, le module 28 vérifie s’il existe une erreur dans le cryptogramme Clj* ou le code MACj à l’aide du code ECCLj contenu dans la ligne Llj chargée. Par exemple, pour cela, le module 28 construit, à l’aide d’une fonction préprogrammée et du cryptogramme Clj* et du code MACj, un code ECCLj’. Si le code ECCLj’ est différent du code ECCLj5 alors une erreur est détectée. Si une erreur est détectée, le module 28 procède immédiatement à une étape 172.
[0087] Lors de l’étape 172, le module 28 déclenche le signalement d’une faute d’exécution.
[0088] Ici, en parallèle de l'étape 172, si une erreur est détectée, le module 28 procède à une opération 174. Lors de l'opération 174, il corrige le cryptogramme Clj* et le code MACj à partir des informations contenues dans le code ECClj. à l’issue de l’étape 174, le cryptogramme Clj* corrigé et le code MACj corrigé sont utilisés à la place, respectivement, du cryptogramme Clj* et du code MACj contenus dans la ligne Llj[0089] L’opération 170 permet notamment de détecter et de corriger des fautes introduites dans les lignes de code stockées dans la mémoire 4 ou dans le support 6. [0090] À l’issue de l’opération 174 ou si aucune erreur n’a été détectée lors de l’opération 170, le procédé se poursuit par une opération 176.
[0091] Lors de l’opération 176, le module 28 vérifie l’intégrité et l’authenticité du cryptogramme Clj* à l’aide du code MACj. Par exemple, pour cela, le module 28 construit une étiquette du cryptogramme Clj* puis chiffre cette étiquette avec la clé k’ contenue dans sa mémoire 29. Si le cryptogramme ainsi construit est identique au code MAQ chargé, alors l’intégrité et l’authenticité du cryptogramme Clj* est confirmée. Dans ce cas, le module 28 procède à une opération 178. Dans le cas contraire, le module 28 procède à l’étape 172.
[0092] L’opération 176 permet d’une part de valider l’authenticité de la ligne de code chargée et aussi de valider que, lors de l’opération 174, le cryptogramme Clj* et/ou le code MACj ont correctement été corrigés. La vérification de l’authenticité empêche le remplacement de la ligne de code par une autre ligne de code construite par un auteur qui ne connaît pas la clé k’.
[0093] Lors de l’opération 178, le module 28 déchiffre le cryptogramme Clj* en utilisant la clé ka et le vecteur d’initialisation ivk pour obtenir l’instruction lj et le code ECCij déchiffrés. La clé ka a été enregistrée dans la mémoire 29 lors de l’étape 162. Le vecteur ivk nécessaire pour déchiffrer le cryptogramme Clj* a été enregistré dans la mémoire 29 lors de l’exécution du bloc de base précédent celui qui contient cette ligne Llj actuellement traitée. Si la ligne Llj est contenue dans le premier bloc de base BBini du code machine 32, c’est le vecteur ϊνΙηι enregistré dans la mémoire 29 lors de l’étape 162 qui est utilisé.
[0094] Ici, c’est l’exécution de l’instruction de branchement par l’unité 10 qui indique au module 28 qu’il doit remplacer le vecteur d’initialisation actuellement utilisé par le vecteur d’initialisation chargé lors de l’exécution du bloc de base précédent.
[0095] Ensuite, lors d’une opération 180, le module 28 enregistre l’instruction lj déchiffrée et le code ECCij déchiffré dans la file 22.
[0096] Une fois que l’unité 10 a exécuté toutes les instructions qui précédent l’instruction lj dans la file 22, c’est-à-dire lorsque l’instruction lj est la prochaine instruction à exécuter par l’unité 10, le module 28 procède à une opération 184.
[0097] Lors de l’opération 184, le module 28 vérifie s’il existe une erreur dans l’instruction lj contenue dans la file 22 à l’aide du code ECCij associé à l’instruction lj et contenu dans cette même file 22. Cette opération est réalisée de façon similaire à ce qui a été décrit pour l’opération 170.
[0098] Si le module 28 détecte une erreur, alors il procède immédiatement à l'étape 172. De plus, en parallèle, lors d’une opération 186, le module 28 corrige l’instruction lj à l’aide du code ECCij. L’opération 186 est similaire à l’opération 174. [0099] Ensuite, à l’issue de l’opération 186 ou si aucune erreur n’a été détectée lors de l’opération 184, l’étape 166 se termine et le procédé se poursuit par une étape 190 d’exécution de l’instruction lj par l’unité 10.
[00100] Comme représenté sur la figure 6, en parallèle de l’étape 190, le procédé peut comporter :
- une étape 198 de sécurisation de l’unité 10, et/ou
- une étape 250 de sécurisation des données traitées.
[00101] Ces étapes 198 et 250 sont décrites plus en détail dans les chapitres suivants.
[00102] L’opération 184 permet de détecter une modification de l’instruction lj qui interviendrait entre l'instant où elle est enregistrée dans la file 22 et l’instant où elle est exécutée par l’unité 10. L’opération 184 permet aussi de déclencher une faute d’exécution si le flot de contrôle du code machine 32 a été modifié. En effet, une modification du flot de contrôle se traduit par le fait qu’après l’exécution du bloc de base BBk_i ce n’est pas le bloc de base BBk qui est exécuté mais un autre bloc de base BBt. Dans ce cas, lors de l’exécution du bloc BBk_i, le vecteur d’initialisation ivk_i est chargé dans la mémoire 29. Dès lors, lors de l’exécution du bloc BBt, le cryptogramme Clj* est déchiffré à l’aide du vecteur ivk qui correspond au BBk et non pas à l’aide du vecteur ivt qui correspond au bloc BBt. Par conséquent, le déchiffrement du cryptogramme Clj* à l’aide du vecteur ivk conduit à l’obtention d’une instruction lj et d’un code ECCij incorrects et ceci est détecté lors de l’opération 184.
[00103] De façon similaire, l’opération 184 permet aussi de détecter une perturbation de l’exécution de l’opération « Return » du bloc de base 82.
[00104] Lors de l'exécution du code machine 32, si des attaques conduisent à altérer une instruction à protéger ou à modifier le flot de contrôle, le microprocesseur 2 signale, lors de l'étape 172, une faute dans l'exécution du code machine 32. En réponse à un tel signalement, lors d'une étape 192, le microprocesseur 2 met en oeuvre une ou plusieurs contre-mesures. De très nombreuses contre-mesures sont possibles. Les contre-mesures mises en oeuvre peuvent avoir des degrés de sévérité très différents. Par exemple, les contre-mesures mises en oeuvre peuvent aller d'un simple affichage ou une simple mémorisation d'un message d'erreur sans interrompre l'exécution normale du code machine 32 jusqu'à une mise hors service définitive du microprocesseur 2. Le microprocesseur 2 est considéré comme étant hors service lorsqu'il est définitivement placé dans un état où il est incapable d'exécuter un quelconque code machine. Entre ces degrés de sévérité extrêmes, il existe de nombreuses autres contre-mesures possibles telles que :
- l'indication par l'intermédiaire d'une interface homme-machine de la détection des fautes,
- l'interruption immédiate de l'exécution du code machine 32 et/ou sa réinitialisation, et
- la suppression du code machine 32 de la mémoire 4 et/ou la suppression de la copie 40 de sauvegarde et/ou la suppression des données secrètes.
[00105] De plus, ici, la contre-mesure mise en œuvre lors de l'étape 192 peut être sélectionnée en fonction de l'erreur détectée et donc en fonction de l'opération qui a conduit à la détection de cette faute. Par exemple, la contre-mesure sélectionnée ne sera pas la même selon que l'erreur a été détectée lors de l'opération 170, 176 ou 184.
[001061 CHAPITRE IV: SÉCURISATION DE L’UNITÉ ARITHMÉTIQUE ET LOGIQUE 10 :
[00107] Dans ce chapitre, par « instruction arithmétique et logique », on désigne une instruction du jeu d’instructions du microprocesseur 2 qui, lorsqu’elle est exécutée par ce microprocesseur, enregistre dans un registre Rres du microprocesseur une donnée obtenue :
- soit en modifiant les bits d’une seule donnée Di enregistrée dans un registre du microprocesseur, ou,
- soit en combinant entre eux les bits de plusieurs données Di à Dn enregistrées, respectivement, dans des registres Ri à Rn du microprocesseur 2, où n est un entier égal au nombre de données à combiner.
Classiquement, n est égal à deux dans le cas où plusieurs données doivent être combinées, n égal à un correspond au cas où l’instruction arithmétique et logique modifie les bits d’une seule donné Di.
[00108] Les registres dans lesquels sont enregistrées la ou les données à traiter sont typiquement identifiés par un ou plusieurs opérandes de l’instruction arithmétique et logique. De même, le registre Rres dans lequel le résultat Dres-P de l’instruction arithmétique et logique doit être enregistré peut aussi être identifié par un opérande de cette instruction arithmétique et logique.
[00109] L’opcode de l’instruction arithmétique et logique identifie l’opération à exécuter par l’unité 10 pour modifier ou combiner la ou les données Di à Dn. Par la suite, le symbole « * » est utilisé pour désigner de façon générique cette opération. Ainsi, la notation Di*D2*...*Dn désigne de façon générique l’opération exécutée par l’instruction arithmétique et logique lorsqu’elle est exécutée par le microprocesseur 2.
[00110] Dans le cas où n est égal à un, l’opération arithmétique et logique est par exemple choisie dans le groupe constitué :
- des opérations de décalage à droite et à gauche des bits de la donnée Di, et
- des opérations d’extraction d’une plage de bits prédéfinie de la donnée Di.
[00111] Dans le cas où n est supérieur ou égal à deux, l’opération « * » est choisie dans le groupe constitué des opérations suivantes :
- l’opération arithmétique d’addition,
- l’opération arithmétique de soustraction,
- l’opération arithmétique de multiplication,
- l’opération arithmétique de division,
- l’opération logique « OU »,
- l’opération logique « OU exclusif »,
- l’opération logique « ET ».
[00112] En injectant des fautes lors du fonctionnement de l’unité 10, il est possible de perturber son fonctionnement de sorte que le résultat de l’exécution de l’instruction arithmétique et logique ne correspond pas à celui attendu. On dit alors qu’on a provoqué un dysfonctionnement de l’unité 10.
[00113] Ce chapitre décrit une solution pour détecter un tel dysfonctionnement de l’unité 10. Ici, cette solution est décrite dans le cas particulier où elle est implémentée en combinaison avec la solution décrite au chapitre précédent. Elle correspond à l’étape 198 représentée sur la figure 6.
[00114] Les registres Ri à Rn et le registre Rres sont, par exemple, des registres de l’ensemble 12 du microprocesseur 2.
[00115] Par la suite, l’étape 198 est décrite dans le cas particulier où les instructions arithmétique et logique dont on souhaite sécuriser l’exécution sont les instructions de la liste suivante :
: L’instruction d’addition des données Di et D2 contenues dans, respectivement, les registres Ri et R2. Cette opération est désignée par le pseudocode « ADD Ri, R2 ».
: L’instruction de soustraction des données Di et D2 contenues dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « SU B Ri, R2 ».
: L’instruction de multiplication des données Di et D2 contenues dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « MUL Ri, R2».
: L’instruction de division de la donnée Di par la donnée D2 contenue dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « DIV Ri, R2 ».
: L’instruction « OU exlcusif » entre les données Di et D2 contenues dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « XOR Ri, R2».
: L’instruction « ET logique » entre les données Di et D2 contenues dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « AND Ri, R2 ».
: L’instruction « OU logique » entre les données Di et D2 contenues dans, respectivement, les registres Ri et R2. Le pseudocode utilisé pour désigner cette opération est « OR Ri, R2 ».
: L’instruction de décalage d’un bit à droite de la donnée Di contenue dans le registre Ri. Le pseudocode utilisé pour désigner cette opération est « SHIFTR Ri ».
: L’instruction de décallage d’un bit à gauche de la donnée Di contenue dans le registre Ri. Le pseudocode utilisé pour désigner cette opération est « SHIFTL Ri ».
[00116] Par la suite, le numéro associé par la liste ci-dessus à chaque instruction arithmétique et logique est utilisé pour identifier cette instruction. Ainsi, l’instruction k est l’addition, l’instruction l2 est la soustraction et ainsi de suite.
[00117] Ici, la taille de chaque donnée Di, D2 et Dres est par exemple égale à la taille des instructions lj du jeu d’instructions du microprocesseur 2. Ici, cette taille est donc égale à 32 bits.
[00118] Les structures des registres Ri, R2 et Rres sont identiques et représentées dans le cas particulier du registre Ri sur la figure 7.
[00119] Le registre RI comporte :
- une plage de 32 bits contenant la donnée Di,
- une plage contenant un code ECCdi permettant de détecter et de corriger une erreur dans la donnée Di, et
- neuf plages de bits successives contenant, respectivement, des codes Ci,i à Ci,g. [00120] Le code ECCdi est par exemple construit comme décrit dans le cas du code ECCij sauf qu’il est construit à partir de la donnée Di et non pas à partir de l’instruction lj. Par exemple, ce code ECCdi est généré lors de l’exécution ou lors de la génération du code binaire 30.
[00121] Lors de l’enregistrement de la donnée Di dans le registre Ri, chaque code Ci,i à Ci,g est généré par le module 28 à l’aide d’une relation préprogrammée définie de façon générique de la façon suivante : C.,* = F*(D,) où :
- l’indice i identifie un registre parmi les registres Ri, R2 et Rres,
- l’indice * identifie l’instruction arithmétique et logique parmi les instructions k à l9, et
- la fonction F* est une fonction préprogrammée dans le module 28 associée à l’instruction arithmétique et logique identifiée par l’indice *.
[00122] La taille du code Ci,* est notée Ni,*. La taille N,,* est généralement inférieure à la taille des données Di, D2 et Dres et souvent au moins deux fois plus petite.
[00123] Ici, les valeurs 1, 2 et 3 de l’indice i désigne, respectivement, les registres Ri, R? et Rres. Les valeurs 1 à 9 de l’indice * désigne, respectivement, les instructions k à Ig[00124] Dans le cas des instructions pour lesquelles n est supérieur ou égal à 2, c’est-à-dire ici dans le cas des instructions k à l7, la fonction F* est un homomorphisme d’un ensemble A muni de l’opération « * » vers un ensemble B muni de l’opération « # » telle que F*(Di*D2) = F*(Di) # F*(D2). Ici, l’ensemble A est l’ensemble des nombres codables sur 32 bits, c’est-à-dire l’ensemble des données Di et D2 possibles. L’ensemble B est l’ensemble des nombres codables sur N.,* bits. Autrement dit, en utilisant les notations précédemment introduites, la fonction F* est telle que F*(Dres-p) = Ci,* # C2,* en cas d’absence de dysfonctionnement de l’unité 10.
[00125] Pour chaque instruction k à l7, il est possible de trouver de nombreuses fonctions F* qui conviennent. Ci-dessous, à titre d’illustration, pour chacune des instructions k à l7, une ou plusieurs fonctions F* possibles sont données.
[00126] Une fonction EDC(D,) qui retourne à un code détecteur d’erreur de la donnée D,. Cette fonction EDC est par exemple une somme de contrôles (« checksum » en anglais). De telles fonctions EDC(D,) présentent une ou plusieurs des propriétés suivantes :
- EDC(Di + D2) = EDC(Di) + EDC(D2),
- EDC(Di - D2) = EDC(Di) - EDC(D2),
- EDC(Di x D2) = EDC(Di) x EDC(D2), où les symboles « + », « - », et « x » désignent respectivement, les opérations d’addition, de soustraction et de multiplication.
[00127] Ainsi, de telle fonctions EDC conviennent pour la réalisation des fonctions Fi, F2 et F3. On notera de plus que dans ce cas particulier, les opérations « # » et « * » sur les ensembles B et A sont identiques.
[00128] La fonction p(D,) qui retourne 0 si la donnée D, est paire et 1 sinon. Cette fonction présente la propriété suivante : p(Di + D2) = p(Di) XOR p(D2) et p(Di x D2) = p(Di) OR p(D2), où les symboles « XOR » et « OR » désignent, respectivement, les opérations « OU exclusif » et « OU ».Cette fonction convient donc pour l’implémentation des fonctions Fi et F3.
[00129] Une fonction logarithme notée « Log ». Une fonction logarithme présente les propriétés suivantes : Log(Di x D2) = Log(Di) + Log(D2) et Log (Di/D2) - Log(Di) Log(D2), où le symbole « / » désigne l’opération de division. Ainsi, un logarithme convient pour des implémentations des fonctions F3 et F4. Dans ce cas, l’opération « # » est l’addition ou la soustraction.
[00130] La fonction CS(D,) qui retourne la somme de contrôles de la donnée D,. Cette fonction présente les propriétés suivantes :
- CS(Di XOR D2) = CS(Di) XOR CS(D2),
- CS(Di AND D2) = CS(Di) AND CS(D2),
- CS(Di OR D2) = CS(Di) OR CS(D2), où le symbole «AND» désigne l’opération «ET» logique. Ainsi, cette fonction convient pour une implémentation des fonctions F5, F6 et F7.
[00131] Dans le cas où n est égal à 1, c’est-à-dire ici dans le cas des instructions l8 et l9, la fonction F* n’est pas un homomorphisme. Dans ce cas, la fonction F* est tel qu’il existe une fonction T* tel que F*(Di) = T*(F*(Di)). Autrement dit, la fonction T* est invariante par F*(Di). La fonction T* retourne donc le code Cv à partir du code Cv.
[00132] Dans le cas de l’instruction l9, la fonction Fg est par exemple la fonction qui calcule une somme de contrôle sur tous les bits de la donnée Di sauf sur son bit de poids le plus fort, c’est-à-dire sans prendre en compte le bit le plus à gauche de la donnée Di. La fonction T9 est alors la même somme de contrôle sur tous les bits de F9(Di) sauf le bit de poids le plus faible, c’est-à-dire celui situé le plus à droite dans
Fg(Di). Avec de telles fonctions Fg et T9, on a bien la relation suivante : F9(Di) = T9(F9(Di)). Ces fonctions F9 et T9 conviennent donc pour l’instruction l9.
[00133] De plus, en choisissant les fonctions F8 et T8 égales, respectivement, aux fonctions T9 et Fg, on obtient une implémentation possible pour les fonctions F8 et T8.
[00134] La figure 8 représente le détail des opérations réalisées par microprocesseur 2 lors de l’exécution de l’étape 198 pour sécuriser l’exécution des instructions arithmétique et logique k à l9.
[00135] À chaque fois qu’une instruction de chargement d'une donnée dans l’un des registres R, est exécutée par l’unité 10, lors de l’étape 190, la donnée D, et le code EECdî sont écrits dans ce registre R,.
[00136] En réponse, lors d’une opération 202, pour chaque instruction k à l9, le module 28 calcule chacun des codes C,,* correspondant à l’aide de la relation C,,* F*(Di), où :
- D, est la nouvelle donnée chargée dans le registre R,, et
- la fonction F* est la fonction préprogrammée dans le module 28 et associée à l’opération « * ».
[00137] Chacun des codes Ci,* ainsi calculés est enregistré dans le registres R, comme représenté sur la figure 7.
[00138] Avant l’exécution des instructions k à k, l’opération 202 est exécutée une fois pour la donnée Di et une fois pour la donnée D2. Dans le cas des instructions l8 et l9, il suffit que l’opération 202 soit exécutée une seule fois pour la donnée Di avant l’exécution de l’une des instructions l8 et l9.
[00139] Ensuite, à chaque fois qu’une instruction arithmétique et logique est sur le point d’être exécutée par l’unité 10, juste avant son exécution, lors d’une opération 204, le module 28 vérifie s’il existe une erreur dans la donnée contenue dans le registre R, identifié par un opérande de l’instruction lj à exécuter.
[00140] Lors de cette opération, pour chaque registre R, concerné, le module 28 vérifie, à l’aide du code EECdî, si la donnée Di actuellement enregistrée dans ce registre présente une erreur ou pas. Cette opération est, par exemple, réalisée comme décrit dans le cas de l’opération 170.
[00141] Si le module 28 détecte une erreur, il procède à l’étape 172 et, en parallèle, à une opération 206. Lors de l'opération 206, il corrige la donnée D,. L’opération 206 est par exemple réalisée de façon similaire à ce qui a été décrit pour l’opération 174.
[00142] Si le module 28 ne détecte aucune erreur ou à l’issue de l’opération 206, lors de l’étape 190, le microprocesseur 2 décode l’instruction lj puis l’unité 10 l’exécute et enregistre le résultat Dres-P dans le registre Rres.
[00143] En réponse, lors d’une opération 210, le module 28 calcule le code ECCds et tous les codes C3,* à partir de la donnée Dres-P enregistrée dans le registre Rres et enregistre ces différents codes calculés dans le registre Rres. Typiquement, le calcul des codes C3,* est ici réalisé comme décrit pour l'opération 202.
[00144] Ensuite, lors d’une opération 212, le module 28 vérifie si un dysfonctionnement de l’unité 10 s’est produit lors de l’exécution de l’instruction arithmétique et logique.
[00145] Si l’instruction exécutée lors de l’étape 190 est l’une des instructions li à l7, alors le module 28 exécuté les sous-opérations suivantes.
[00146] Lors d’une sous-opération 214, le module 28 sélectionne, parmi les instructions k à l7, celle qui correspond à l'opération arithmétique exécutée. Dans les sous-opérations suivantes, le symbole « * » désigne l'instruction ainsi sélectionnée et F* la fonction préprogrammée qui lui est associée.
[00147] Lors d’une sous-opération 216, le module 28 sélectionne aussi, parmi les différents codes C3,* enregistrés dans le registre Rres, le seul code C3,* qui correspond à l'instruction sélectionnée. Par la suite, le code C3,* sélectionné lors de cette sousopération est noté Cres-P.
[00148] Puis, lors d’une sous-opération 218, le module 28 calcule aussi un code Cres-t en combinant les codes Ci,* et C2,* enregistrés, respectivement, dans les registres Ri et R2 préalablement à l’exécution de l’instruction arithmétique et logique. Plus précisément, le module 28 calcule le code Cres-t à l’aide de la relation suivante : Cres-t = Ci,*# C2,*, où le symbole « # » désigne l’opération telle que F*(Di*D2) = F*(Di) # F*(D2).
[00149] Par exemple, dans le cas de l’instruction k et de la fonction parité p(..) précédemment décrite, l’opération « # » est l'opération « OU exclusif ». Dans ce cas, le code Cres-t est le résultat du ou exclusif suivant Ci,i XOR C2,i.
[00150] Enfin, lors d’une sous-opération 220, le module 28 compare les codes Cres-P et Cres-t calculés. Si ces codes sont différents, le module 28 déclenche l’exécution de l’étape 172. Dans le cas contraire, aucun signalement d’une faute d’exécution n’est déclenché et le procédé se poursuit par l’exécution de l’instruction suivante de la file 22.
[00151] L’exécution de ces sous-opérations 214 à 220 permet de détecter un dysfonctionnement de l’unité 10 car les codes calculés Cres-P et Cres-t sont identiques seulement si l’unité 10 a correctement exécuté l'opération « * ». Ceci s’explique par la relation suivante : Cres-P = F*(Dres-P) = F*(Di*D2) = F*(Di) # F*(D2) = Ci,*# C2,* = Cres-t.
[00152] Si l’instruction exécutée lors de l’étape 190 est l’une des instructions l8 et l9, alors lors d’une sous-opération 222, le module 28 sélectionne la fonction T* associée à cette instruction arithmétique et logique, c’est-à-dire la fonction T8 s’il s’agit de l’instruction l8, sinon la fonction T9.
[00153] Lors d’une sous-opération 224, le module 28 sélectionne le code Cv associé à l’opération « * » exécutée lors de l’étape 190. Ce code sélectionné est noté Cres-t.
[00154] Lors d’une sous-opération 226, le module 28 calcule un code Cres-P à l’aide de la relation Cres-P - T*(Dres-p) où T* est la fonction sélectionnée lors de la sousopération 222.
[00155] Après la sous-opération 224, le procédé se poursuit par la sous-opération
220.
[00156] Dans le cas des instructions l8 et Ig, les codes Cres-p et Cres-t sont identiques uniquement si l’unité 10 a correctement fonctionné. Ceci se démontre à l’aide de la relation suivante : Cres-P = T*(Dres-p) = T*(F*(Di)) = F*(Di) = Ci* = Cres-t.
[001571 CHAPITRE V : SÉCURISATION DES DONNÉES [00158] Le code binaire 30, en plus du code machine 32, peut comporter des données à traiter lors de l’exécution du code machine 32. De plus, lors de l’exécution du code machine 32, celui-ci peut générer des données. Ces données sont typiquement contenues dans des blocs de données qui correspondent chacun à une plage prédéterminée d’adresses de la mémoire 4 dédiée au stockage de ces données. De tels blocs de données sont aussi connus sous le terme de « segment de données » ou de « page de données ».
[00159] Pour lire une donnée d’un bloc de données, le code machine 32 comporte une instruction de chargement qui, lorsqu’elle est exécutée par le microprocesseur 2, provoque le chargement d’une ligne de code LDj située à l’adresse @j à l’intérieur de ce bloc de données. Dans ce cas, contrairement aux lignes de code Llj décrites dans le chapitre III, la ligne LDj code une donnée Dj à traiter par le microprocesseur et non pas une instruction lj exécutable par l’unité 10.
[00160] Pour écrire une donnée dans un bloc de données, le code machine 32 comporte une instruction d’écriture qui, lorsqu’elle est exécutée par le microprocesseur 2, provoque l’écriture d’une ligne LDj dans l’un des blocs de données.
[00161] De façon similaire à ce qui a été décrit dans le cas des instructions lj, une donnée Dj peut être corrompue dans la mémoire 4 ou dans des registres du microprocesseur 2 par la mise en œuvre d’attaques telle qu’une attaque par injection de fautes. De plus, un attaquant peut aussi essayer de modifier le fonctionnement du code binaire 30 en déplaçant les données codées dans la mémoire 4 ou en les remplaçant par des données plus anciennes. Ainsi, il est aussi utile de sécuriser les données enregistrées dans la mémoire 4 ou dans des registres internes du microprocesseur.
[00162] À cet effet, chaque ligne de code LDj codant une donnée présente la structure représentée sur la figure 9. La structure des lignes LDj est pratiquement identique à celle des lignes Llj codant des instructions. Plus précisément, la structure de la ligne LDj est identique à la structure de la ligne Llj sauf que le cryptogramme Clj* est remplacé par un cryptogramme CDj*. Étant donné que les codes MACj et ECCLj de la ligne LDj sont calculés comme déjà décrit dans le cas des lignes Llj, ils sont ici désignés par les mêmes symboles et ne seront pas décrits à nouveau.
[00163] Le cryptogramme CDj* est obtenu en chiffrant, avec la fonction fka, une concaténation CDj. Ici, la fonction fka est la même que celle déjà décrite dans le cas des lignes Llj. Ainsi, le cryptogramme CDj* est obtenu à l'aide de la relation suivante :
CDj* = fka(CDj ; iVj). La fonction fka est préprogrammée dans le module 28.
[00164] La concaténation CDj est la concaténation de la donnée Dj et d’un code ECCdj. Le code ECCDj permet de détecter et de corriger une erreur dans la donnée Dj. II est typiquement construit comme décrit pour le code ECCij.
[00165] Le cryptogramme CDj* diffère du cryptogramme Clj* en ce que le vecteur d’initialisation ivj utilisé lors du chiffrement de la concaténation CDj est fonction de l’adresse @j où est enregistrée la ligne LDj. À cet effet, le module 28 comporte une fonction préprogrammée Fiv qui, à chaque adresse @j de la mémoire 4 associe un vecteur d’initialisation ivj différent. De préférence, la fonction Fiv est telle qu'à deux adresses consécutives quelconque @j et @j+i, elle associe deux vecteurs différents, respectivement ivj et ivj+i, et l'écart entre les valeurs numériques de ces deux vecteurs ivj et iVj+i varie en fonction de l'indice j. Par exemple, la fonction Fiv est une fonction de hachage ou de chiffrement. On a donc la relation suivante : ivj = Fiv(@j).
[00166] La sécurisation des données Dj va maintenant être décrite plus en détail en référence au procédé de la figure 10 et dans le cas particulier où elle est mise en œuvre en combinaison avec les enseignements des chapitres précédents. Plus précisément, la sécurisation des données Dj intervient à chaque fois que l’instruction exécutée lors de l’étape 190 est une instruction de chargement ou d’écriture ou de traitement d’une donnée Dj. Le procédé de la figure 10 représente les opérations exécutées lors de l’étape 250 pour sécuriser les données Dj.
[00167] À chaque fois que lors de l’étape 190, l’unité 10 exécute une instruction qui conduit à enregistrer une nouvelle donnée Dj dans un registre noté ici Rj du microprocesseur 2, lors d’une opération 252, le module 28 calcule le code ECCDj à partir de la donnée Dj. Ce code ECCdj calculé est ensuite concaténé avec la donnée Dj dans le registre Rj.
[00168] Ultérieurement, lors d’une nouvelle exécution de l’étape 190, l’unité 10 exécute une instruction d’enregistrement de la donnée Dj contenue dans le registre Rj à l’adresse @j de la mémoire 4.
[00169] En réponse, lors d’une opération 254, le module 28 construit la ligne de code LDj qui doit être enregistrée à l’adresse @j à partir de la donnée Dj. Pour cela, lors de cette opération, le module 28 :
- calcule un vecteur d’initialisation ivj à l’aide de la relation ivj = Fiv(@j), puis
- chiffre la concaténation CDj de la donnée Dj et du code ECCDj à l’aide de la fonction fka et du vecteur d’initialisation ivj calculé selon la relation suivante : CDj* = fka(CDj ; ivj), puis
- calcule le code MACj à partir du cryptogramme CDj*, puis
- calcule le code ECCLj à partir du cryptogramme CDj* et du code MACj calculé.
[00170] Ensuite, la ligne LDj construite est transférée et enregistrée dans la mémoire 4 à l’adresse @j.
[00171] L’adresse @j est située à l’intérieur d’un bloc prédéterminé de données BDm.
Chaque bloc de données BDm est associé à un code EDCm qui permet de détecter une erreur si l’une des lignes de code contenues dans ce bloc BDm a été modifiée depuis la dernière mise à jour du code EDCm. Le code EDCm est donc un code détecteur d’erreur.
[00172] Le code EDCm peut être contenu dans la mémoire 4, par exemple à la fin du bloc de données BDm associé à ce code ou dans un registre du microprocesseur associé au bloc BDm.
[00173] Lors d’une opération 256, immédiatement après ou en parallèle de l’exécution de l’instruction d’écriture de la nouvelle ligne LDj dans le bloc BDm, le code EDCm associé à ce bloc BDm est mis à jour puis enregistré. Ici, pour accélérer l’exécution de cette opération 256, le code EDCm est défini par la relation suivante : EDCm = MACi Φ MAC2 Φ ... Φ MACmm, OÙ :
- le symbole Φ désigne l’opération « OU exclusif »,
- les code MACi à MACmm sont les codes MACj de toutes les lignes LDj du bloc BDm, et
- mm est le nombre de lignes LDj contenues dans le bloc BDm.
[00174] Lorsque le code EDCm est ainsi défini, l’opération 256 peut être réalisée à l’aide de la relation suivante : EDCm = EDCm Φ MACjOid Φ MACjnew, où :
- les symboles EDCm à droite et à gauche du signe « = » désignent, respectivement, l’ancienne valeur du code EDCm avant l’enregistrement de la nouvelle ligne LDj et la nouvelle valeur du code EDCm après l’enregistrement de cette nouvelle ligne LDj,
- MACjoid désigne le code MACj de l’ancienne ligne LDj qui est remplacée par la nouvelle ligne LDj, et
- MAQnew désigne le code MACj de la nouvelle ligne LDj qui est enregistrée à l’adresse @j.
[00175] Ainsi, le nombre d’opérations à exécuter pour mettre à jour le code EDCm est limité.
[00176] L’opération 256 peut être réalisée par le module 28 ou par une unité de calcul incorporée dans la mémoire 4. De telles mémoires 4 incorporant une unité de calcul sont connues sous le terme anglais de « Smart RAM » ou « ln-memory computing ». [00177] Si la prochaine instruction à exécuter lors de l’étape 190 est une instruction de chargement d’une ligne LDj, alors, lors d’une opération 260, le module 28 vérifie, à l’aide du code EDCm, s’il existe une erreur dans le bloc BDm qui contient cette ligne LDj.
[00178] Si le module 28 détecte qu’il existe une erreur, alors le procédé se poursuit par l’exécution de l’étape 172 et la ligne LDj n’est pas chargée dans le microprocesseur 2.
[00179] Si le module 28 ne détecte aucune erreur, alors l’unité 10 exécute une instruction de chargement de la ligne LDj et celle-ci est chargée dans un registre du microprocesseur 2. Typiquement, cette instruction de chargement comporte un opérande qui indique à quelle adresse @j se trouve la ligne LDj à charger. Ici, lorsque l’unité 10 exécute cette instruction de chargement, elle charge la ligne LDj dans un registre Rj de l’ensemble 12 par exemple.
[00180] Ensuite, le module 28 exécute des opérations 270, 274, 276 et 278 identiques, respectivement, aux opérations 170, 174, 176 et 178 du procédé de la figure 6 sauf que ce sont les codes correspondants contenus dans la ligne LDj qui sont utilisés et non pas ceux contenus dans une ligne Llj.
[00181] De plus, lors de l’opération 278, le module 28 calcule le vecteur d’initialisation ivj nécessaire pour déchiffrer le cryptogramme CDj* à partir de l’adresse @j et à l’aide de la relation ivj = Fiv(@j).
[00182] Une fois que le cryptogramme CDj* a été déchiffré, lors d’une opération 280, le module 28 enregistre la donnée Dj déchiffrée et le code ECCDj déchiffré dans le registre Rj en attendant que cette donnée soit traitée par l’unité 10.
[00183] Lorsque la prochaine instruction qui va être exécutée par l’unité 10 est une instruction qui traite la donnée Dj, le module 28 procède à des opérations 284 et 286. Le module 28 identifie que la prochaine instruction à exécuter va traiter la donnée Dj car cette instruction comporte généralement un opérande qui identifie le registre Rj dans laquelle est enregistrée la donnée Dj. Les opérations 284 et 286 sont, par exemple, identiques, respectivement, aux opérations 184 et 186 du procédé de la figure 6, sauf qu’ici, c’est la donnée Dj et le code ECCDj qui sont utilisés et non pas l’instruction lj et le code ECCij.
[00184] Ensuite, à l’issue de l’opération 286 ou si aucune erreur n’a été détectée lors de l’opération 284, l’unité 10 exécute l’instruction qui traite la donnée Dj.
[00185] Le procédé de sécurisation des données décrit ici présente en outre les mêmes avantages que ceux présentés au chapitre III notamment à cause du fait que la structure de la ligne LDj est pratiquement identique à celle de la ligne Llj.
[00186] De plus, le fait de chiffrer la donnée Dj à l’aide d’un vecteur d’initialisation ivj qui dépend de l’adresse @j permet de détecter si une ligne LDj a été déplacée à l’intérieur d’un bloc de données BDm. En effet, si deux lignes LDi et LD2 d’un même bloc BDm sont permutées, cela ne modifie pas nécessairement le code EDCm et une telle permutation des lignes LDi et LD2 n’est pas nécessairement détectée lors de l’opération 260. Par contre, puisque la donnée Di est chiffrée avec un vecteur d’initialisation ivi qui dépend de l’adresse @i, si la ligne LDi est déplacée et se situe à une adresse @2 dans la mémoire 4, lors du chargement de cette ligne à partir de cette adresse @2, le cryptogramme CD? va être déchiffré à l’aide du vecteur d’initialisation iv2 et non pas à l’aide du vecteur ivi. Un tel déchiffrement incorrect de la donnée Di et du code ECCdi est alors détecté lors de l’opération 284.
[00187] L’étape 250 décrite ici permet aussi de détecter une attaque consistant à remplacer une ligne LDi par une ligne LDiOid différente et précédemment enregistrée à la même adresse @i. Un tel remplacement ne pourra pas être détecté lors de l’exécution de l’opération 284. Par contre, il sera détecté lors de l’exécution de l’opération 260 car les lignes LDi et LDiOid sont différentes.
[00188] La figure 11 représente un compilateur 300 apte à générer automatiquement le code binaire 30 à partir d'un code source 302. À cet effet, le compilateur 300 comporte typiquement un microprocesseur 304 programmable et une mémoire 306. La mémoire 306 contient les instructions et les données nécessaires pour, lorsqu'elles sont exécutées par le microprocesseur 304, générer automatiquement le code binaire 30 à partir du code source 302. En particulier, lors de la compilation du code source 302, le microprocesseur 304 génère automatiquement les vecteurs d'initialisation ivk appropriés et les lignes de code Llj et LDj. La conception et la réalisation d'un tel compilateur sont à la portée de l'homme du métier à partir des explications données dans cette description.
[00189] Chapitre VI : VARIANTES :
[00190] Variantes de l'appareil 1 :
[00191] La mémoire 4 peut aussi être une mémoire non volatile. Dans ce cas, il n'est pas nécessaire de copier le code binaire 30 à l'intérieur de cette mémoire avant le lancement de son exécution puisqu'il s'y trouve déjà.
[00192] En variante, la mémoire 4 peut aussi être une mémoire interne intégrée à l'intérieur du microprocesseur 2. Dans ce dernier cas, elle est réalisée sur le même substrat que les autres éléments du microprocesseur 2. Enfin, dans d'autres configurations, la mémoire 4 se compose de plusieurs mémoires dont certaines sont des mémoires internes et d'autres des mémoires externes.
[00193] La mémoire principale 4 peut comporter une première mémoire volatile de grande capacité et une seconde mémoire volatile de plus petite capacité mais dans laquelle les opérations de lecture et d’écriture sont plus rapides. La deuxième mémoire est connue sous le terme de « mémoire cache ». La mémoire cache peut être une mémoire externe au microprocesseur 2 ou une mémoire interne du microprocesseur 2. Dans certains modes de réalisation, plusieurs mémoires caches de niveaux différents peuvent être utilisées.
[00194] De nombreuses architectures matérielles différentes sont possibles pour réaliser le module 28. En particulier, le module 28 peut être composé par la combinaison de plusieurs blocs matériels du microprocesseur 2 remplissant des fonctions respectives et situés chacun dans une aire différente de la puce du microprocesseur 2.
[00195] Variantes de la sécurisation du code machine :
[00196] En variante, certaines fonctions ou parties du code binaire 30 ne sont pas sécurisées. Pour gérer l’exécution d’un tel code binaire qui comporte à la fois une fonction sécurisée et des fonctions non-sécurisées, le jeu d’instructions du microprocesseur 2 peut être complété par :
- une instruction d’activation d’un mode sécurisé de fonctionnement du microprocesseur 2, et
- une instruction de désactivation de ce mode sécurisé.
[00197] Dans ce cas, l’instruction d’activation du mode sécurisé se trouve dans le code binaire 30 juste avant l’appel à la fonction sécurisée et l’instruction de désactivation du mode sécurisé se trouve juste après la fin de la fonction sécurisée. Lorsque l’instruction d’activation du mode sécurisé est chargée par le microprocesseur 2, en réponse, le module 28 commence à traiter les instructions et les données suivantes du code binaire comme décrit dans les chapitres précédents. Lorsque l’instruction de désactivation du mode sécurisé est chargée par le microprocesseur 2, en réponse, le module 28 est désactivé. Dans ce dernier cas, le traitement des instructions et des données suivantes du code binaire ne sont pas traitées par le module 28 mais directement chargées dans la file 22 ou dans les registres de l’ensemble 12.
[00198] En variante, une instruction « update » est ajoutée au jeu d’instructions du microprocesseur. Lorsque cette instruction « update » est exécutée par le microprocesseur 2, elle indique au module 28 qu’à partir de maintenant, le nouveau vecteur ivk précédemment chargé dans la mémoire 29 doit être utilisé pour déchiffrer les lignes de code Llj. Dès lors, dans ce cas, l’utilisation d’un nouveau vecteur d’initialisation ivk peut être déclenchée autrement que par l’exécution d’une instruction de branchement. Dans ce cas, le procédé décrit peut aussi être mis en oeuvre avec des instructions de branchement implicites. En effet, la dernière instruction qui se termine par une instruction de branchement implicite, est alors l’instruction « update ». Au lieu d’implémenter une instruction « update » en tant qu’instruction à part dans le jeu d’instructions du microprocesseur, il est possible d’ajouter un bit supplémentaire à chaque instruction du jeu d’instructions du microprocesseur 2 et de déclencher le changement de vecteur d’initialisation ivk uniquement lorsque ce bit supplémentaire prend une valeur spécifique.
[nniQQ] Variantes de la structure d'une ligne Llj ou LDj [00200] En variante, la structure d’une ligne de code décrite en référence à la figure 2 ou 9 est mise en œuvre seulement pour les instructions lj ou seulement pour les données Dj de la fonction sécurisée.
[00201] Le code ECCij ou le code ECCDj peut être remplacé par un simple code détecteur d’erreur permettant seulement de détecter une erreur dans l’instruction lj ou la donnée Dj avec laquelle il est concaténé. Un code détecteur d'erreur ne permet pas de corriger l'erreur détectée. Dans ce cas, l’opération 186 ou 286 de correction de l’erreur est omise. Dès lors, dès que le module 28 détecte une erreur dans une instruction lj déchiffré ou dans une donnée Dj déchiffrée, par exemple, l’exécution de la fonction sécurisée est systématiquement interrompue.
[00202] Dans une variante simplifiée, le code ECCij ou ECCdj est omis. Dans ce cas, le cryptogramme Clj* ou CDj* est seulement le cryptogramme de l’instruction lj ou de la donnée Dj. Dans ce mode de réalisation, le microprocesseur 2 n’est plus capable de détecter une modification de l’instruction lj ou de la donnée Dj qui interviendrait entre l’instant où celle-ci est enregistrée dans la file 22 ou un registre de l’ensemble 12 et l’instant où elle est exécutée ou traitée par l’unité 10.
[00203] Le code ECClj peut être remplacé par un simple code détecteur d’erreur permettant seulement de détecter une erreur dans le cryptogramme Clj* ou CDj* et/ou le code MACj contenus dans la même ligne de code. Dans ce cas, l’opération 174 ou 274 de correction est omise. Dès lors, dès que le module 28 détecte une erreur dans le cryptogramme Clj* ou CDj* ou dans le code MACj, par exemple, l’exécution de la fonction sécurisée est interrompue.
[00204] Dans une autre variante, le code ECClj est construit de manière à permettre seulement la détection d’une erreur, soit seulement dans le cryptogramme Clj* ou CDj* soit seulement dans le code MACj.
[00205] Le code ECClj peut être omis. Dans ce cas, une erreur dans le cryptogramme Clj* ou CDj* ou dans le code MACj ne peut être détectée que lors de l’exécution de l’opération 176 ou 276 de vérification de l’intégrité et de l’authenticité du cryptogramme. La détection d’une erreur à l’aide d’un code MAC est généralement plus complexe qu’à l’aide d’un simple code détecteur d’erreur ou d’un simple code correcteur d’erreur. De plus, lorsque le code ECClj est omis, dans le cas où il existe une erreur dans le cryptogramme Clj* ou CDj* ou le MACj, il n’est pas possible de corriger cette erreur. Dans ce dernier cas, par exemple, l’exécution de la fonction sécurisée est donc systématiquement interrompue en cas d’erreur.
[00206] La fonction utilisée pour générer le cryptogramme CDj* peut être différente de celle utilisée pour générer le cryptogramme Clj*. Par exemple, ces deux fonctions diffèrent par le fait qu’elles utilisent des clés de chiffrement différentes.
[00207] Variantes de la sécurisation de l’unité arithmétique et logique :
[00208] Le nombre de codes Ci,* calculés et associés à la donnée D, chargée n’est pas forcément égal au nombre total d’instructions arithmétiques et logiques différentes qui existent dans le jeu d’instructions du microprocesseur 2. Par exemple, le nombre de code C,,* peut être réduit quand les mêmes codes C,,* sont utilisés pour différentes instructions arithmétiques et logiques. Par exemple, le code C,,4 peut être omis si les fonctions F3 et F4 sont toutes les deux des fonctions logarithmiques. En effet, dans ce cas, lorsque l’instruction arithmétique et logique à exécuter est une multiplication, lors de l’opération 284, le module 28 calcule le code Cres-t à l'aide de la relation suivante : Cres-t = Ci,3 + C2,3. Pour vérifier que l’unité 10 a correctement réalisé une instruction arithmétique et logique de division, le module 28 peut calculer le code Ges-t à l'aide de l'opération suivante : Cres-t = Ci,3 - C2,3, où les codes Ci,3 et C2,3 sont les même que ceux utilisés pour vérifier l'opération de multiplication. Dans ce cas, il n’est pas nécessaire de calculer les codes Ci,4 et C2,4 puisqu'ils sont identiques, respectivement, aux codes Ci,3 et C2,3. Par contre, le code C3,4 doit être calculé à partir de la donnée Dres-p. De façon similaire, il est possible de détecter le dysfonctionnement de l’unité 10 lors de l’exécution d’une instruction de soustraction en calculant le code Cres-t à l'aide de la relation suivante : Cres-t = Ci,i - C2,i dans le cas où la fonction Fi est aussi un homomorphisme pour l’ensemble B muni de l’opération de soustraction.
[00209] Dans un autre mode de réalisation, il est possible de détecter un dysfonctionnement de l’unité 10 uniquement lorsqu’elle exécute une seule ou un groupe restreint d’instructions arithmétiques et logiques du jeu d’instructions du microprocesseur 2. Dans ce cas, il existe des instructions arithmétiques et logiques pour lesquelles le microprocesseur ne vérifie pas si elles ont correctement été exécutées par l'unité 10. Cela permet de réduire le nombre de codes C,* utilisés.
[00210] En variante, le code C,,* n’est pas enregistré dans le même registre R, que celui où est enregistrée la donnée D, mais dans un autre registre spécifiquement associé à ce registre R,.
[00211] Variantes de la sécurisation des données :
[00212] La structure des lignes LDj utilisée pour sécuriser les données peut être simplifiée. Par exemple, les codes MACj et/ou ECCLj peuvent être omis.
[00213] Le code ECCDj peut être remplacé par un simple code détecteur d’erreur dans la donnée Dj.
[00214] En variante, la fonction Fiv est identique à la fonction fka sauf qu’elle est appliquée à l’adresse @j. La fonction Fiv peut aussi utiliser le même algorithme de chiffrement que la fonction fka mais avec une clé de chiffrement différente de la clé ka. [00215] Dans une variante simplifiée, la fonction Fiv est la fonction identité. Dans ce cas, le vecteur d’initialisation ivj est systématiquement égal à l’adresse @j.
[00216] Dans d’autres modes de réalisation, pour détecter un déplacement d’une ligne LDj, le code MACj est calculé en fonction du vecteur ivj. Par exemple, le code MAQ est calculé à partir de la concaténation du cryptogramme CDj* et du vecteur ivj. Le code MACj peut aussi être calculé à partir d’une combinaison du cryptogramme CDj* et du vecteur ivj telle que la combinaison suivante : CDj* Φ ivj. Dans le cas où le code MAQ dépend du vecteur ivj, alors il peut être utilisé à la place du code ECCDj pour détecter une erreur en cas de déplacement de la ligne LDj dans la mémoire 4. En effet, dans ce cas, lors de la vérification de l’intégrité et de l’authenticité du cryptogramme CDj*, le module 28 :
- calcule le vecteur ivj à l’aide de la relation ivj = Fiv(@j), puis
- combine le cryptogramme CDj* lu à l’adresse @j avec le vecteur ivj calculé, puis
- vérifie l’intégrité et l’authenticité de cette combinaison à partir du code MACj contenu dans la même ligne LDj.
Si cette ligne LDj a été déplacée, le vecteur d’initialisation calculé est différent de celui attendu. Dès lors, l’intégrité de la combinaison du cryptogramme CDj* et du vecteur d’initialisation ne peut pas être vérifiée, ce qui déclenche le signalement d’une faute d’exécution. On remarquera que dans ce mode de réalisation, il est possible de détecter un déplacement de la ligne LDj sans même avoir à déchiffrer le cryptogramme CDj*. Dans cette variante, pour détecter un déplacement de la ligne LDj, les code ECCDj et ECCLj peuvent être omis.
[00217] De façon similaire à ce qui a été décrit ci-dessus pour le code MACj, le code ECCLj peut aussi être construit de manière à dépendre du vecteur iVj. Dans ce cas, le déplacement de la ligne LDj est détecté lors de la vérifications du code ECCLj. Dès lors, pour détecter un déplacement de la ligne LDj, les codes ECCdj et MACj peuvent être omis.
[00218] L’étape 250 a été décrite dans le cas particulier de la sécurisation d’une donnée Dj. Toutefois, en variante, la même étape peut être réalisée sur des lignes de code comportant une instruction lj à la place de la donnée Dj. Dans ce cas, le cryptogramme Clj* est obtenu en utilisant un vecteur d’initialisation ivj et non pas le vecteur ivk comme décrit au chapitre III. Puisque le vecteur ivj est fonction de l’adresse @j où est enregistrée cette ligne de code Llj, il est alors possible de détecter le déplacement d’une ligne de code codant une instruction à exécuter. Dans ce cas, typiquement, le code ECCij est utilisé pour détecter ce déplacement et non plus pour détecter une modification du flot de contrôle.
[00219] Dans les modes de réalisation décrits jusqu’à présent, à la fois la donnée Dj et le code ECCDj sont codés en fonction du vecteur ivj puisque le cryptogramme CDj* est chiffré à l’aide de ce vecteur ivj. En variante, soit seulement la donnée Dj soit seulement le code ECCdj est codé en fonction du vecteur ivj. Par exemple, dans la ligne de code, le cryptogramme de la donnée Dj est obtenu à partir d’une fonction de chiffrement qui n’utilise pas le vecteur ivj, tandis que le cryptogramme ECCdj* du code ECCoj est obtenu à l’aide de la fonction de chiffrement fka(ECCDj ; ivj). Dans ce cas, lors de l’opération 278, le module 28 déchiffre le cryptogramme de la donnée Dj sans utiliser le vecteur ivj et déchiffre le cryptogramme ECCDj* en utilisant ce vecteur ivj. Ensuite, le reste du procédé est identique à ce qui a déjà été décrit. Dans un mode de réalisation simplifiée, puisque la donnée Dj n’a pas besoin d’être codée en fonction du vecteur ivj, il est aussi possible de ne pas la chiffrer. Par exemple, la ligne de code contient alors la donnée Dj en clair et le cryptogramme ECCdj*. Dès lors, lors de l’opération 278, le déchiffrement de la donnée Dj est omis puisqu'il suffit de l’extraire de la plage de bits dans laquelle elle est contenue dans la ligne LDj.
[00220] A l'inverse, il est aussi possible de modifier la structure des lignes LDj de manière à ce que seule la donnée Dj soit codée en fonction du vecteur ivj. Par exemple, la ligne LDj comporte un cryptogramme Dj* de la donnée Dj obtenue en la chiffrant à l’aide de la fonction fka(Dj ; ivj) et un cryptogramme ECCdj* obtenu en chiffrant le code ECCdj à l’aide d’une fonction de chiffrement indépendante du vecteur ivj. Lors de l’opération 270, le module 28 déchiffre le cryptogramme Dj* à l’aide du vecteur ivj calculé et déchiffre le cryptogramme ECCDj* sans utiliser ce vecteur ivj.
[00221] Jusqu’à présent, c’est une fonction de chiffrement qui a été décrite comme exemple de mode de réalisation permettant de coder la donnée Dj ou le code ECCDj en fonction du vecteur ivj. Cette fonction de chiffrement peut toutefois être aussi simple qu’une simple opération « OU » logique entre la donnée Dj et le vecteur ivj ou entre le code ECCDj et le vecteur ivj.
[00222] Dans un autre mode de réalisation simplifié, le code ECCDj et le code MACj sont omis. Dans ce cas, au moins l’un du cryptogramme Dj* et du code ECCLj est construit en fonction du vecteur ivj.
[00223] Pour la détection du déplacement de la ligne LDj, il n’est pas nécessaire d’utiliser un code correcteur d’erreur. Un simple code détecteur d’erreur est suffisant. Ainsi, en variante, le ou les codes correcteurs d’erreur sont remplacés par des codes détecteurs d’erreur.
[00224] Dans un autre mode de réalisation, le code EDCm est omis. Dans ce cas, les opérations de traitement de ce code EDCm sont également omises, telles que les opérations 256 et 260.
[00225] Il est possible de construire le code EDCm différemment. Par exemple, en variante, le code EDCm est un code correcteur d’erreur qui permet en plus de corriger une erreur dans le bloc de données BDm. Dans ce cas, lorsqu’une erreur est détectée dans le bloc BDm, le code EDCm est utilisé pour corriger l’erreur détectée, puis le procédé se poursuit par l’opération 270.
[00226] D’autres méthodes de calcul du code EDCm sont possibles. Par exemple, en variante, le code EDCm est une somme de contrôles ou un code d’authentification de message.
[00227] Avantageusement le code EDCm est enregistré dans la mémoire 29.
[00228] Autres variantes :
[00229] Dans une autre variante, les clés ka et k’ sont les mêmes.
[00230] La clé ka peut être pré-enregistrée dans la mémoire 29. Dans ce cas, le cryptogramme ka* peut être omis du bloc 34.
[00231] Une ligne de code peut être plus longue qu’un mot-machine. Dans ce cas, chaque ligne de code se compose de plusieurs mots-machine généralement situés à des adresses mémoires immédiatement consécutives dans la mémoire 4. Dans ce cas, une ligne de code est chargée dans le microprocesseur 2 non pas en une seule opération de lecture, mais en exécutant plusieurs opérations de lecteur. Chaque opération de lecture charge dans le microprocesseur un mot-machine respectif de la ligne de code.
[00232] En variante, l'opération 176 ou 276 se poursuit systématiquement par l'opération 178 ou 278 même si l'intégrité ou l’authenticité du cryptogramme n'a pas pu être confirmée. Dans ce cas, l'opération 176 ou 276 sert à déclencher le signalement d'une faute d'exécution sans interrompre l'exécution du code binaire.
[00233] Tout ce qui a été décrit au chapitre III peut être mise en oeuvre indépendamment de ce qui a été décrit dans les autres chapitres. Par exemple, les étapes 198 et 250 peuvent être omises.
[00234] Dans une autre variante, le procédé décrit au chapitre III pour détecter une erreur dans le flot de contrôle est mis en œuvre indépendamment de ce qui a été décrit dans les chapitres IV et V mais aussi indépendamment de certaines des caractéristiques du procédé décrit dans le chapitre III. En particulier, pour être capable de détecter une erreur dans le flot de contrôle, les codes ECCLj et MACj peuvent être omis, ainsi que toutes les opérations de traitement de ces deux codes.
[00235] Tout ce qui a été décrit au chapitre IV peut être mis en œuvre indépendamment de ce qui a été décrit dans les autres chapitres. Par exemple, ce qui a été décrit au chapitre IV peut être mis en œuvre :
- sans que le code binaire soit chiffré,
- sans que le code MACj soit compris dans chaque ligne de code,
- sans que les codes ECCLj et ECCij ou ECCDj soient mis en œuvre,
- sans que les données Dj soient chiffrées à l’aide du vecteur ivj.
[00236] Tout ce qui a été décrit au chapitre V peut également être mis en œuvre indépendamment de ce qui a été décrit dans les autres chapitres. Par exemple, ce qui a été décrit au chapitre V peut être mis en œuvre :
- sans que les données Dj soient chiffrées,
- en ne conservant qu’un seul code détecteur d’erreur choisi dans le groupe constitué des codes ECCLj, MACj et ECCDj, et
- sans qu’un code Ci,* soit calculé à chaque chargement d’une donnée dans un registre.
[00237] Tous les modes de réalisation décrits dans ce texte et, en particulier, les différentes variantes, peuvent être combinés entre eux.
[00238] CHAPITRE VII : AVANTAGES DES MODES DE RÉALISATION DÉCRITS : [00239] Avantage de la sécurisation du code binaire :
[00240] Le chiffrement des instructions lj ou des données Dj permet de garantir la confidentialité du code binaire 30, ce qui rend le « Reverse Engineering » du code binaire très difficile. La vérification de l’intégrité du cryptogramme Clj* ou CDj* permet de détecter les modifications du code binaire provoquées, par exemple, par des attaques telles que l'injection de fautes dans la mémoire 4 ou le support 6. Le fait de vérifier l’authenticité des instructions et des données permet de détecter et de rendre très difficile l’ajout d’instructions supplémentaires dans le code binaire 30 par un attaquant, par exemple, pour y introduire des logiciels malveillants tels que des virus. En effet, même si l’attaquant connaît l’algorithme utilisé pour chiffrer les instructions lj ou les données Dj, il ne connaît pas la clé secrète k’ utilisée pour construire le code MACj.
[00241] La vérification, à l'aide du code ECCij ou ECCDj, de l’existence d’une erreur dans l’instruction lj ou la donnée Dj juste avant qu’elle soit utilisée permet de détecter une modification de cette instruction ou de cette donnée Dj alors qu'elle est stockée dans la file 22 ou un registre de l’ensemble 12. En effet, de telles modifications peuvent être provoquées par injection de fautes dans la file 22 ou les registres de l’ensemble 12. Ainsi, l’utilisation du code ECCij ou ECCDj permet de détecter ce type d’attaque.
[00242] Le fait que le code ECCij ou ECCDj soit un code correcteur d’erreur et pas seulement un code détecteur d'erreur, permet de rendre le procédé d'exécution plus robuste vis-à-vis des attaques par injection de fautes dans la file 22 ou dans les registres de l’ensemble 12. En effet, dans ce cas, le code correcteur d’erreur permet souvent de corriger l’erreur introduite dans l’instruction lj ou dans la donnée Dj de sorte que malgré la présence de telles erreurs, la fonction sécurisée continue de s’exécuter correctement.
[00243] L’utilisation du code ECCLj permet de détecter plus rapidement une erreur dans le cryptogramme Clj* ou CDj* ou dans le code MACj que si seul le code MACj était utilisé pour cela. L’utilisation du code ECCLj permet donc d’accélérer l’exécution du code binaire.
[00244] L’utilisation d'un code correcteur d'erreur pour le code ECCLj permet de rendre le procédé revendiqué plus robuste vis-à-vis des attaques par injection de fautes dans la mémoire 4 ou dans le support 6. En effet, dans ce cas, le code correcteur d’erreur permet souvent de corriger le cryptogramme Clj* ou CDj* ou le code MACj de sorte que malgré la présence de telles erreurs, la fonction sécurisée s’exécute correctement.
[00245] Le fait d’utiliser des clés secrètes différentes pour déchiffrer le cryptogramme Clj* ou CDj* et pour vérifier l’intégrité et l’authenticité du code MACj permet d’accroître la sécurité du procédé.
[00246] Lors de l’exécution d’un bloc de base précédent, le fait de charger dans le microprocesseur le vecteur d’initialisation ivk nécessaire au déchiffrement du bloc de base BBk suivant permet de déclencher le signalement d’une faute d’exécution si un attaquant essaie de modifier l’ordre dans lequel les blocs de base du code machine 32 doivent normalement être exécutés. Plus précisément, une telle modification du flot de contrôle sera détectée grâce au code ECCij lors de l’opération 184.
[00247] L’enregistrement dans un registre du microprocesseur du vecteur d’initialisation ivk à utiliser pour déchiffrer le bloc de base exécuté après l’exécution d’une sous-fonction sécurisée permet d’appeler cette sous-fonction sécurisée depuis différents blocs de base du code machine 32 de la fonction sécurisée. En effet, dans ce cas, il n’est pas possible de coder le vecteur ivk à utiliser dans le dernier bloc de base de la sous-fonction sécurisée puisque le bloc de base suivant n’est pas toujours le même et n’est donc pas toujours chiffré à l’aide du même vecteur ivk.
[00248] La vérification de l’authenticité de la clé d’application ka à partir de différents certificats cryptographiques dont au moins un est enregistré dans la mémoire sécurisée du microprocesseur permet de garantir que le code binaire 30 a été généré par un auteur autorisé à faire cela et non pas par un tiers qui n’a pas le droit de générer de tel code binaire pour le microprocesseur 2.
[00249] Avantages de la sécurisation de l’unité arithmétique et logique :
[00250] Lorsque des fautes sont injectées dans l’unité 10, le résultat Dres-p obtenu à l’issue de l’exécution de l’opération arithmétique et logique peut être différent du résultat théorique Dres-t attendu. Le procédé revendiqué permet de détecter un tel dysfonctionnement de l’unité 10 sans, par exemple, avoir à exécuter plusieurs fois l’opération arithmétique et logique défaillante.
[00251] Avantages de la sécurisation des données :
[00252] Dans le procédé revendiqué, si un attaquant déplace une ligne LDh une erreur est alors détectée à l’aide d’un code détecteur d’erreur. Grâce à cela, il est donc beaucoup plus difficile de mettre en œuvre une attaque dans laquelle les lignes de code sont déplacées sans que cette attaque soit détectée.
[00253] L’utilisation du code détecteur d’erreur EDCm permet de détecter une attaque qui consiste à remplacer une ligne de code située à une adresse @j par une autre ligne de code qui était précédemment enregistrée à la même adresse @j. En effet, un tel remplacement ne peut pas toujours être détecté en absence de ce code EDCm.
[00254] Le fait de construire le code EDCm uniquement à partir des codes MAC; des lignes LDj accélère le calcul de ce code EDCm car les codes MACj sont généralement beaucoup plus courts que la ligne de code complète. De plus, cette accélération du calcul est obtenue sans modifier la fiabilité de la détection d’erreur car le code MACj dépend de la donnée Dj.
[00255] L’utilisation d’un « OU exclusif » pour mettre à jour le code EDCm permet une mise à jour de ce code de manière itérative, ce qui est bien plus rapide que de calculer, à chaque écriture d’une nouvelle ligne de code, le nouveau code EDCm à partir du contenu de chacune des lignes contenues dans le bloc BDm.
[00256] Utiliser un code correcteur d’erreur en tant que code ECCdj permet, en plus, de corriger une erreur détectée. Cela permet donc de poursuivre l’exécution de la fonction sécurisée même si une erreur a été signalée.
[00257] Enregistrer le code EDCm dans la mémoire 29 accroît la sécurité du procédé car cette mémoire est très difficilement modifiable par un attaquant.
[00258] Le fait de coder à la fois la donnée Dj et le code ECCDj en le chiffrant à l’aide d’une fonction de chiffrement paramétrée par le vecteur ivj permet d’accroître la sécurité du procédé. En effet, en plus, la confidentialité de la donnée Dj et du code ECCoj est assurée.
[00259] Le fait d’utiliser en tant que code détecteur d’erreur un code capable de détecter une erreur dans le cryptogramme CDj* permet de détecter un déplacement d’une ligne de code sans même avoir à déchiffrer ce cryptogramme CDj*.

Claims (6)

  1. REVENDICATIONS
    1. Procédé d’exécution d’un code binaire d’une fonction sécurisée par un microprocesseur, ce procédé comportant :
    a) la fourniture (150) du code binaire, ce code binaire contenant :
    - une instruction arithmétique et logique comportant un opcode et un ou plusieurs opérandes qui, lorsqu’elle est exécutée par une unité arithmétique et logique du microprocesseur, provoque la réalisation de l’opération Di*D2*...*Dn et l’enregistrement du résultat de cette opération dans un registre Rres, où :
    - Di à Dn sont des données enregistrées, respectivement, dans des registres Ri à Rn du microprocesseur,
    - les registres Ri à Rn sont les registres désignés par les opérandes de l’instruction arithmétique et logique,
    - le symbole « * » est l'opération arithmétique et logique désignée par l’opcode de l’instruction arithmétique et logique, et
    - l’indice n est un entier supérieur ou égal à un,
    - pour chaque registre Ri à Rn, une instruction de chargement qui, lorsqu’elle est exécutée par le microprocesseur, provoque le chargement d’une donnée D, dans le registre R., où l’indice i est un identifiant du registre R, parmi les registres Ri à Rn,
    b) caractérisé en ce que lors de l’exécution (152) du code binaire par le microprocesseur, le procédé comporte les opérations suivantes :
    1) à chaque fois qu’une instruction de chargement d’une donnée D, dans le registre R, est exécutée par le microprocesseur, un module matériel de sécurisation du microprocesseur calcule (202) un code C,,* à l’aide d’une relation C.,* = F*(Dj), et la donnée chargée D, est enregistrée dans le registre R, et le code Ci,* calculé est enregistré dans le même registre R, ou dans un registre associé au registre R., la fonction F* étant une fonction préprogrammée du module matériel de sécurisation,
    - dans le cas où n est supérieur ou égal à deux, cette fonction F* étant un homomorphisme d’un ensemble A de nombres munis de l’opération « * » vers un ensemble B de nombres munis de l’opération « # », qui vérifie la relation : F*(Di * D2 * ... * Dn) = F*(Di) # F*(D2) # ... # F*(Dn) = Ci,* # C2,* # ... # Cn.*,
    - dans le cas où n est égal à un, cette fonction F* est telle que F*(Di) = T*(F*(Di)), où la fonction T* est une fonction préprogrammée dans le module matériel de sécurisation,
  2. 2) l’exécution (190) par l’unité arithmétique et logique de l’instruction arithmétique et logique contenue dans le code binaire et l’enregistrement du résultat Dres-P de cette exécution dans le registre Rres, puis
  3. 3) le module matériel de sécurisation :
    - calcule (210, 226) un code Cres-P à l’aide de la relation Cres-P = F*(Dres-p) si n est supérieur à un et, sinon, à l'aide de la relation Cres-P =T*(Dres-p) si n est égal à un, et
    - calcule un code Cres-t (218, 224) à l’aide de la relation Cres-t = Ci,* # C2,* # ... # Cn,*, puis
    - compare (220) les codes Cres-P et Cres-t et déclenche (172) le signalement d’une faute d’exécution si le code Cres-P ne correspond pas au code Cres-t et, dans le cas contraire, inhibe ce signalement.
    2. Procédé selon la revendication 1 dans lequel la fonction F* est choisie dans le groupe constitué de :
    - une fonction qui calcule un code détecteur d’erreur permettant de détecter une erreur dans la donnée D,,
    - une fonction logarithmique,
    - une fonction qui retourne un bit de parité qui indique si la donnée D, est paire ou impaire.
    3. Procédé selon l’une quelconque des revendications précédentes, dans laquelle l’opération « # » est choisie dans le groupe constitué des opérations suivantes :
    - l’opération arithmétique d’addition,
    - l’opération arithmétique de soustraction,
    - l’opération arithmétique de multiplication,
    - l’opération arithmétique de division,
    - l’opération logique « OU »,
    - l’opération logique « OU exclusif »,
    - l’opération logique « ET ».
  4. 4. Procédé selon l’une quelconque des revendications précédentes, dans lequel l’opération « # » est identique à l’opération « * ».
  5. 5. Procédé selon l’une quelconque des revendications précédentes, dans lequel l’opération « * » est choisie dans le groupe constitué des opérations suivantes :
    - l’opération arithmétique d’addition,
    - l’opération arithmétique de soustraction,
    - l’opération arithmétique de multiplication,
    - l’opération arithmétique de division,
    - l’opération logique « OU »,
    - l’opération logique « OU exclusif »,
    - l’opération logique « ET »,
    - l’opération arithmétique de décalage à droite des bits,
    - l’opération arithmétique de décalage à gauche des bits.
  6. 6. Microprocesseur pour l'exécution d'un procédé conforme à l'une quelconque des revendications précédentes, ce microprocesseur comportant :
    5 - une unité arithmétique et logique (10) apte à exécuter l'opération 2) du procédé conforme à la revendication 1, et
    - un module matériel (28) de sécurisation, caractérisé en ce que le module matériel (28) de sécurisation est configuré pour exécuter les opérations 1) et 3) du procédé conforme à la revendication 1.
FR1758507A 2017-09-14 2017-09-14 Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur Expired - Fee Related FR3071082B1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1758507A FR3071082B1 (fr) 2017-09-14 2017-09-14 Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1758507A FR3071082B1 (fr) 2017-09-14 2017-09-14 Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur
FR1758507 2017-09-14

Publications (2)

Publication Number Publication Date
FR3071082A1 true FR3071082A1 (fr) 2019-03-15
FR3071082B1 FR3071082B1 (fr) 2020-09-18

Family

ID=60955151

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1758507A Expired - Fee Related FR3071082B1 (fr) 2017-09-14 2017-09-14 Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur

Country Status (1)

Country Link
FR (1) FR3071082B1 (fr)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3832947A1 (fr) 2019-12-04 2021-06-09 Commissariat à l'Energie Atomique et aux Energies Alternatives Procédé d' exécution d'un programme d'ordinateur par un appareil électronique
FR3122754A1 (fr) 2021-05-10 2022-11-11 Commissariat à l'Energie Atomique et aux Energies Alternatives Microprocesseur équipé d'une unité arithmétique et logique et d'un module matériel de sécurisation
FR3122753A1 (fr) 2021-05-10 2022-11-11 Commissariat à l'Energie Atomique et aux Energies Alternatives Procédé d'exécution d'un code binaire par un microprocesseur
FR3138257A1 (fr) * 2022-07-19 2024-01-26 Idemia France Procédé de détermination d’une somme d’intégrité arithmétique d’une séquence de données, dispositif électronique et programme d’ordinateur associés

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007010009A2 (fr) * 2005-07-19 2007-01-25 Gemplus Integrite materielle permanente des donnees

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007010009A2 (fr) * 2005-07-19 2007-01-25 Gemplus Integrite materielle permanente des donnees

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
KULIKOWSKI ET AL: "Robust codes and robust, fault-tolerant architectures of the Advanced Encryption Standard", JOURNAL OF SYSTEMS ARCHITEC, ELSEVIER BV, NL, vol. 53, no. 2-3, 20 January 2007 (2007-01-20), pages 139 - 149, XP005855100, ISSN: 1383-7621, DOI: 10.1016/J.SYSARC.2006.09.007 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3832947A1 (fr) 2019-12-04 2021-06-09 Commissariat à l'Energie Atomique et aux Energies Alternatives Procédé d' exécution d'un programme d'ordinateur par un appareil électronique
FR3104286A1 (fr) * 2019-12-04 2021-06-11 Commissariat à l'Energie Atomique et aux Energies Alternatives Procédé d’exécution d’un programme d’ordinateur par un appareil électronique
US11651086B2 (en) 2019-12-04 2023-05-16 Commissariat A L'energie Atomique Et Aux Energies Alternatives Method for executing a computer program by means of an electronic apparatus
FR3122754A1 (fr) 2021-05-10 2022-11-11 Commissariat à l'Energie Atomique et aux Energies Alternatives Microprocesseur équipé d'une unité arithmétique et logique et d'un module matériel de sécurisation
FR3122753A1 (fr) 2021-05-10 2022-11-11 Commissariat à l'Energie Atomique et aux Energies Alternatives Procédé d'exécution d'un code binaire par un microprocesseur
EP4089559A1 (fr) 2021-05-10 2022-11-16 Commissariat à l'énergie atomique et aux énergies alternatives Microprocesseur équipé d'une unité arithmétique et logique et d'un module matériel de sécurisation
EP4089557A1 (fr) 2021-05-10 2022-11-16 Commissariat à l'énergie atomique et aux énergies alternatives Procédé d'exécution d'un code binaire par un microprocesseur
FR3138257A1 (fr) * 2022-07-19 2024-01-26 Idemia France Procédé de détermination d’une somme d’intégrité arithmétique d’une séquence de données, dispositif électronique et programme d’ordinateur associés

Also Published As

Publication number Publication date
FR3071082B1 (fr) 2020-09-18

Similar Documents

Publication Publication Date Title
EP3457620B1 (fr) Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
EP3736719B1 (fr) Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
EP3457621B1 (fr) Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
EP3761199B1 (fr) Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
FR3071082A1 (fr) Procede d'execution d'un code binaire d'une fonction securisee par un microprocesseur
EP3712795B1 (fr) Procédé d'exécution, par un microprocesseur, d'un code binaire comportant une fonction appelante et une fonction appelee
EP3712794B1 (fr) Procédé d'exécution d'un code binaire d'une fonction sécurisée par un microprocesseur
EP3610372B1 (fr) Procédé d'exécution d'un code machine d'une fonction sécurisée
EP3685259B1 (fr) Procédé d'exécution d'un code machine d'une fonction sécurisée
EP4057169B1 (fr) Procédé d'exécution d'un code binaire d'un programme d'ordinateur par un microprocesseur
EP3832947B1 (fr) Procédé d' exécution d'un programme d'ordinateur par un appareil électronique
EP4057168B1 (fr) Procédé d exécution d'un programme d ordinateur par un appareil électronique
EP4089557B1 (fr) Procédé d'exécution d'un code binaire par un microprocesseur
EP4089559B1 (fr) Microprocesseur équipé d'une unité arithmétique et logique et d'un module matériel de sécurisation
EP4328771A1 (fr) Procédé d'exécution d'un code machine par un calculateur
FR2898199A1 (fr) Procede de securisation de l'execution d'une suite d'etapes logiquement enchainees

Legal Events

Date Code Title Description
PLSC Publication of the preliminary search report

Effective date: 20190315

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4

PLFP Fee payment

Year of fee payment: 5

ST Notification of lapse

Effective date: 20230505