15 AUDIT AND NORMS IN SECURITY

Code ECTS
AUDIT AND NORMS IN SECURITY - SMART CARD SECURITY [3 ECTS]
SECURITE DES CARTES A PUCE : Audit et normes de sécurité
Course total volume: 30h
Period : 2 bimester
Professors: Cécile Canovas, Florent Autréau , Marie-Laure Potet
E-mail : [email protected] , [email protected], [email protected]
Smart card security (Prof. C Canovas)
Objectives
Smart cards often use cryptographic functions in a hostile environment. So a good cryptographic algorithm may become
vulnerable if implemented into a smart card. The objective of the course is to present the smart card attacks and the adapted security
implementations.
Contents
A. Smart cards:
1. Historic 2. Presentation 3. Use
B. Algorithms and Implementations :
1. DES 2. AES 3. RSA
C. Attacks and Securisation
1. Observation Attacks 2. Statistical Attacks 3. Fault Attacks
Prerequisites
Cryptographic Algorithms DES, AES and RSA
Examination
Written examination 1h
Survivability and security audit (Prof. F Autreau)
After the introduction to methods and tools to assess and characterize security, availability and performance for Information System,
given during the first semester, this class will give the opportunity to exercise the methodologies and tools covered during the first
part of this course.
The hand-on labs will be based on a 'game-like' exercise played from the perspective of a system administrator, as well as an attacker.
Allowing learning techniques used to protect an IT infrastructure and to assess its security
Contents
Hand-on labs – 'Capture the Flag'
Prerequisites
System and Network Administration, Introduction to Security Audit - part1
Examination
Practical works.
___________________________________________________________________________________________________________
Java card applications development (Prof. ML Potet)
Objectives
This lecture presents the smart card technologies and smart card applications. A large part of the lecture will be dedicated to the open
standards (post issuance downloading) and particularly Java Card. Moreover you will have the opportunity to write and experiment
smart card applications.
Contents
Java card and its security model, experiments on smart cards, development and test of an application.
Prerequisites
Java programming, Cryptographic foundation
Evaluation
The last experimentation
___________________________________________________________________________________________________________
Final mark session 1: 30%TP (SSA) + 30%TP (JCAD) + 40%ET (SCS)
___________________________________________________________________________________________________________
15
DESCRIPTION IN FRENCH
SECURITE DES CARTES A PUCE
Objectifs de l’enseignement
La carte à puce est très souvent utilisée pour exécuter des fonctions cryptographiques dans un milieu non contrôlé et a priori hostile.
Aussi un bon algorithme cryptographique peut présenter des failles une fois (mal) implémenté dans une carte à puce. L'objectif de ce
cours est de présenter les attaques propres aux cartes à puce et les implémentations sécuritaires qui en découlent.
Contenu
A. Carte à puce :
1. Historique 2. Présentation 3. Utilisation
B. Algorithmes et implémentations :
1. DES 2. AES 3. RSA
C. Attaques et sécurisation
1. Attaques par observation 2. Attaques par observation et analyse 3. Attaques par perturbation
Pré requis
Algorithmes cryptographiques DES, AES et RSA
Forme d’examen
Examen écrit 1h
AUDIT DE SECURITE
A la suite de l'introduction aux méthodes et outils utilisés pour évaluer et mesurer la sécurité, la disponibilité et les performances d'un
S.I (module du premier bimestre), ce module permettra de mettre en pratique les concepts, méthodologies, outils et protections décrits
lors du premier module.
Les travaux pratiques seront basés sur un jeu de rôles au cours duquel les perspectives de l'administrateur du S.I., ainsi que de
l'assaillant seront abordées. Permettant ainsi la mise en pratique et l'utilisation de techniques de protection et d'évaluation de la
sécurité.
Contenu
Travaux Pratiques – Jeu de Roles
Pre requis
System and Network Administration, Introduction to Security Audit - part1
Evaluation
Travaux Pratiques
DEVELOPPEMENT d’APPLICATIONS SECURISEES JAVA CARD
Objectifs
Ce cours présente les technologies utilisées dans les cartes et les applications des cartes à puce. Une partie de cours sera dédiée aux
cartes ouvertes (chargement après délivrance) et principalement Java Card et à l’écriture et l’expérimentation d’applications carte à
puce.
Contenu
La technologie des cartes à puce, Java Card, son modèle de sécurité, les API. Travaux pratiques permettant de développer
une applette sécurisée.
Pre requis
Programmation Java
Base de cryptographie
Evaluation
Rendu de TP
16