15 AUDIT AND NORMS IN SECURITY
Transcription
15 AUDIT AND NORMS IN SECURITY
Code ECTS AUDIT AND NORMS IN SECURITY - SMART CARD SECURITY [3 ECTS] SECURITE DES CARTES A PUCE : Audit et normes de sécurité Course total volume: 30h Period : 2 bimester Professors: Cécile Canovas, Florent Autréau , Marie-Laure Potet E-mail : [email protected] , [email protected], [email protected] Smart card security (Prof. C Canovas) Objectives Smart cards often use cryptographic functions in a hostile environment. So a good cryptographic algorithm may become vulnerable if implemented into a smart card. The objective of the course is to present the smart card attacks and the adapted security implementations. Contents A. Smart cards: 1. Historic 2. Presentation 3. Use B. Algorithms and Implementations : 1. DES 2. AES 3. RSA C. Attacks and Securisation 1. Observation Attacks 2. Statistical Attacks 3. Fault Attacks Prerequisites Cryptographic Algorithms DES, AES and RSA Examination Written examination 1h Survivability and security audit (Prof. F Autreau) After the introduction to methods and tools to assess and characterize security, availability and performance for Information System, given during the first semester, this class will give the opportunity to exercise the methodologies and tools covered during the first part of this course. The hand-on labs will be based on a 'game-like' exercise played from the perspective of a system administrator, as well as an attacker. Allowing learning techniques used to protect an IT infrastructure and to assess its security Contents Hand-on labs – 'Capture the Flag' Prerequisites System and Network Administration, Introduction to Security Audit - part1 Examination Practical works. ___________________________________________________________________________________________________________ Java card applications development (Prof. ML Potet) Objectives This lecture presents the smart card technologies and smart card applications. A large part of the lecture will be dedicated to the open standards (post issuance downloading) and particularly Java Card. Moreover you will have the opportunity to write and experiment smart card applications. Contents Java card and its security model, experiments on smart cards, development and test of an application. Prerequisites Java programming, Cryptographic foundation Evaluation The last experimentation ___________________________________________________________________________________________________________ Final mark session 1: 30%TP (SSA) + 30%TP (JCAD) + 40%ET (SCS) ___________________________________________________________________________________________________________ 15 DESCRIPTION IN FRENCH SECURITE DES CARTES A PUCE Objectifs de l’enseignement La carte à puce est très souvent utilisée pour exécuter des fonctions cryptographiques dans un milieu non contrôlé et a priori hostile. Aussi un bon algorithme cryptographique peut présenter des failles une fois (mal) implémenté dans une carte à puce. L'objectif de ce cours est de présenter les attaques propres aux cartes à puce et les implémentations sécuritaires qui en découlent. Contenu A. Carte à puce : 1. Historique 2. Présentation 3. Utilisation B. Algorithmes et implémentations : 1. DES 2. AES 3. RSA C. Attaques et sécurisation 1. Attaques par observation 2. Attaques par observation et analyse 3. Attaques par perturbation Pré requis Algorithmes cryptographiques DES, AES et RSA Forme d’examen Examen écrit 1h AUDIT DE SECURITE A la suite de l'introduction aux méthodes et outils utilisés pour évaluer et mesurer la sécurité, la disponibilité et les performances d'un S.I (module du premier bimestre), ce module permettra de mettre en pratique les concepts, méthodologies, outils et protections décrits lors du premier module. Les travaux pratiques seront basés sur un jeu de rôles au cours duquel les perspectives de l'administrateur du S.I., ainsi que de l'assaillant seront abordées. Permettant ainsi la mise en pratique et l'utilisation de techniques de protection et d'évaluation de la sécurité. Contenu Travaux Pratiques – Jeu de Roles Pre requis System and Network Administration, Introduction to Security Audit - part1 Evaluation Travaux Pratiques DEVELOPPEMENT d’APPLICATIONS SECURISEES JAVA CARD Objectifs Ce cours présente les technologies utilisées dans les cartes et les applications des cartes à puce. Une partie de cours sera dédiée aux cartes ouvertes (chargement après délivrance) et principalement Java Card et à l’écriture et l’expérimentation d’applications carte à puce. Contenu La technologie des cartes à puce, Java Card, son modèle de sécurité, les API. Travaux pratiques permettant de développer une applette sécurisée. Pre requis Programmation Java Base de cryptographie Evaluation Rendu de TP 16