[Load] Animations occasionnelles

[Jean Sébastien]

C’est une super bonne idée.
Il faut effectivement prévoir plusieurs séances, personnellement je pense qu’il faudrait les limiter à 1h30 max (genre sur le créneau 18h30-20h)

Ca me rappellera mon doctorat et j’en profiterai pour dépoussiérer mes vieilles gemxpresso/gemsafe et cyberflex.

On avait monté un TP javacard en 2003 pour des etudiants de (feu) l’IUP MESSI de Valence, on avait 16 lecteurs et un pack de cartes, mais elles ont fini dans un placard et personne ne sais remettre la main dessus :-((

S.

On 24 Sep,2014, at 20:19 , Lionel VICTOR <lionel.victor at gmail.com> wrote:

> Hello les l0aders !
> 
> Comme évoqué hier en AG, je vous propose un sujet d'animation sur le thème des cartes à puce... histoire de voir si le sujet intéresse du monde.
> 
> C'est un truc pas très classique, donc je pense qu'il faudrait prévoir plusieurs séances pour faire l'introduction, puis 2 ou 3 TPs...
> 
> J'ai quelques cartes JavaCard assez musclées que je peux prêter pour le TP et 2 lecteurs Gemplus très bien supportés sous linux (et windows bien sur)... ceux qui ont des ordi portables un peu onéreux auront peut être un lecteur intégré ?? Dell le fait souvent...
> 
> Voilà une ébauche de plan pour cette formation (on peut assez facilement voir que c'est long et qu'il faudra scinder en plusieurs fois):
> Si il y a un intérêt pour ce 'module', je travaillerai sur la découpe idéale et je pondrai du contenu, mais comme c'est chronophage, je préfère attendra vos remarques :o)
> 
> Introduction
> - Qu'est-ce qu'une carte à puce ?
>   - Historique : carte magnétique, cartes à mémoire (permet d'automatiser les traitements, mais ne protège pas les secrets)
>   - Carte à microprocesseur (LA carte à puce qui peut stocker des information mais également les traiter, potentiellement en utilisant des données secrètes qu'elle ne révélera jamais et qui seront donc bien gardées!)
> - Quel intérêt ?
>   - Pas d'interface sexy, mais...
>   - c'est un objet personnel qui peut garder des secrets
>     - PIN code pour autoriser une transaction/fonction
>     - Clés secrètes pour chiffrer des données (si les clés ne sont pas connues par d'autres, alors personne ne peut chiffrer/déchiffrer/signer sans la carte!)
>   - bref: c'est surtout un objet pour faire du chiffrement, de la signature ou de l'authentification...
>   - c'est vachement bien pour faire les joints silicones dans la salle de bain aussi...
> - petit disclaimer:
>   - c'est super de faire de la sécurité, mais...
>   - la crypto mal implémenté, c'est comme se tirer une balle dans le pied !!!
>   - les attaques c'est un autre sujet, mais grosso modo:
>     - toujours faire simple
>     - standard
>     - lire la doc, trouver les api qui font ce qu'on veut et éviter de ré-inventer la roue !!!
> - Quels standards?
>   - ISO 7816 bien sur
>   - JavaCard
>   - companions : PKCS#11 et PKCS#15
> 
> Communiquer avec une carte à puce
> - standard ISO 7816 L1-2?
>   - explication du T=0
>     - APDU typique, Status Word
>     - cas 1, 2 et 3 ??? (pas de données, données sortantes, données entrantes)
>     - Introduction au get-response (cas 4)
> - standard ISO 7816 L3
>   - très rapide introduction aux commandes ISO haut niveau... select, readbinary, etc...
> - PCSC: introduction au développement... coté PC...
>   - sous windows (winscard.dll ???)
>   - sous linux macOS (pcsc lite : j'ai pas macOS, donc... ca restera théorique :op )
> - SCSH3/javascript : l'outil de la mort que je recommande (et qu'on utilisera vraisemblablement pour le TP)
> - GPShell (ca existe sous linux ce truc ???)
> 
> Développer...
> - cartes silver card, goldcard etc, phoenix reader/programmer
> - mais surtout !!! JavaCard !!!
>   - Subset de Java plutot limité
>   - pas de garbage collector digne de ce nom (donc pratiques de programmation particulières et piégeuses !!!)
>   - mais standardisé donc on ne code qu'une fois... en théorie (API privées parfois)
> - JavaCard et GlobalPlateform...
>   - souvent associés (toujours ?)
>   - présentation du card manager de GP, notions d'AIDs, chargement...
> 
> JavaCard
> - petit tour de l'API, introduction aux fonctions vitales
>   - Util.arraycopy
>   - alloc mémoire statique (clear on select/reset)
> - Introduction au modèle de développement et la chaîne de compilation
>   - Compil Java
>   - Le converter (plusieurs formats ijc, cap)
>   - Chargement dans la carte
> 
> - Installation des drivers pour ceux qui veulent faire des manips à la suite
> - Installation des SDK pour nos cartes JC2.2.1 (ou un truc comme ca)
> - configuration des environnements
> 
> - première applet/ genre de hello world
>   - plusieurs commandes pour tester un peu tous les cas (entrant, sortant et sans données)
>   - compil, chargement, problèmes ... on se bat ... 
>   - SCSH3 pour causer à la carte et à l'applet
> 
> - seconde applet
>   - génération d'une clé symmétrique (3DES)
>   - chiffrement / déchiffrement de données par blocs
>   - SCSH3 pour causer à la carte et à l'applet
> 
> - troisième applet
>   - génération d'une clé ECC (asymétrique donc)
>   - signature (digest+sign)
>   - gestion d'un PIN (objet standard de l'API javacard)
>     - mise en garde sur les dangers d'une mauvaise gestion des PINs
>     - attaques par timing, arrachement, etc...
>   - SCSH3 pour causer à la carte et à l'applet et vérifier les signatures
> 
> introduction aux API propriétaires et aux "export-files"
> 
> - dernière applet
>   - API propriétaire pour faire du sign-only avec la carte :) -> ca y est: si vous voyagez aux US avec cette carte vous êtes un terroriste !
>   - attention aux lois sur l'exportation de matériel crytpographique!!!
> 
> Conclusion sur le firewall et l'échange d'objets entre applets (mais là, je suis pas un cador.. :o( )
> 
> _______________________________________________
> Load mailing list
> Load at lists.l0ad.org
> http://lists.l0ad.org/cgi-bin/mailman/listinfo/load

IUT de Valence - 51, Rue B. de Laffemas, BP 29 - 26021 Valence Cedex 9
Tél : 04 75 41 88 00 - Fax : 04 75 41 88 44 - Web <http://www.iut-valence.fr>

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.l0ad.org/pipermail/load/attachments/20140925/0fb615a3/attachment.html>