EP1278164B1 - Système et méthode pour changer la fonctionnalité d'un module de sécurité - Google Patents

Claims (13)

1. Système pour changer la fonctionnalité d'un module de sécurité, qui comporte un microprocesseur (120) et une mémoire de programme (128) reprogrammable, qui mémorise un chargeur d'amorçage pouvant partiellement être copié dans une mémoire vive (121), ladite mémoire de programme (128) reprogrammable comportant un espace de mémoire libre pour le programme d'application chargeable subséquemment, sur lequel est enregistré un ancien programme d'application, que le module de sécurité comporte un circuit (160) spécial équipé d'une interface de communication (150) destinée à l'établissement d'une liaison de communication avec un appareil d'un fabricant, qui met à disposition du module de sécurité une tension de système et des données du programme d'application, et dont le microprocesseur (120) est en liaison de communication par l'intermédiaire d'un bus avec la mémoire vive (121), la mémoire de programme (128) et une interface de communication (150), caractérisé en ce, que l'interface de communication (150) pour la mise à disposition de données soit formée par au moins une partie d'un programme d'application, d'un code de certification correspondant et de données d'identification et que le microprocesseur (120) soit programmé par le chargeur d'amorçage copié partiellement dans une mémoire vive (121) pour,

   - vérifier, à l'aide d'une variable d'état, l'état de programme de l'ancien programme d'application et pour vérifier les données d'identification correspondantes,

   - enregistrer les données de la partie mise à disposition du programme d'application chargeable subséquemment sur l'espace de mémoire libre de la mémoire de programme (128), ledit espace de mémoire libre étant destiné au programme d'application chargeable subséquemment, si la variable d'état caractérise l'invalidité de l'état de programme de l'ancien programme d'application ainsi que si les données d'identification de l'au moins une partie chargée du programme d'application modifié caractérisent un successeur par rapport à l'identificateur du prédécesseur enregistré,

   - contrôler l'authenticité de l'au moins une partie chargée du programme d'application chargeable subséquemment à l'aide du code de certification et d'enregistrer comme valide le programme d'application chargeable subséquemment en cas d'authenticité de la partie chargée dudit programme d'application chargeable subséquemment.
2. Système, selon la revendication 1, caractérisé en ce, que la mémoire de programme (128) soit une mémoire de programme FLASH, que l'interface de communication (150) comporte une commande interne et une mémoire tampon de communication, à partir de laquelle les données enregistrées en premier lieu soient délivrées et transmises en premier lieu, ainsi que soit prévu un type de microprocesseur qui permet d'exécuter son programme dans une mémoire vive (121).
3. Méthode pour changer la fonctionnalité d'un module de sécurité, dont la mémoire de programme (128) est reprogrammable et qui comporte un espace de mémoire libre pour un programme d'application chargeable subséquemment, sur lequel est enregistré un ancien programme d'application, et dont la fonctionnalité peut être modifiée à l'aide d'une reprogrammation de la mémoire de programme en utilisant un chargeur d'amorçage enregistré dans la mémoire de programme, ledit chargeur d'amorçage étant copié partiellement dans une mémoire vive pour l'exécution d'une partie de programme, caractérisée par les étapes :

   - exécution d'une partie de programme qui a été partiellement copiée dans une mémoire vive,

   - vérification à l'aide d'une variable d'état d'un état de programme de l'ancien programme d'application, ledit état de programme ayant été atteint lors de la programmation, et dont cet état de programme est enregistré de manière non volatile, afin de pouvoir exécuter la fonctionnalité du programme en fonction de l'état et vérifier les données d'identification de l'ancien programme d'application,

   - enregistrer les données de la partie du programme d'application chargeable subséquemment sur l'espace de mémoire libre de la mémoire de programme (128), ledit espace de mémoire libre étant destiné à un programme d'application, si la variable d'état caractérise l'invalidité de l'état de programme de l'ancien programme d'application ainsi que si les données d'identification de l'au moins une partie chargée du programme d'application chargeable subséquemment caractérisent un successeur par rapport à l'identificateur enregistré du prédécesseur,

   - autorisation du mode de fonctionnement modifié de la partie chargée subséquemment du programme d'application chargeable subséquemment en cas d'authenticité, enregistrement comme valide de la partie chargée subséquemment du nouveau programme d'application en cas d'authenticité de celui-ci et enregistrement des variables d'état.
4. Méthode, selon la revendication 3, caractérisée en ce, que soient mises à disposition dans une interface de communication (150) des données d'au moins une partie d'un programme d'application, un code de certification correspondant et des données d'identification correspondantes, et que les données de cette au moins une partie du programme d'application soient enregistrées sur un espace de mémoire libre de la mémoire de programme, si les données d'identification caractérisent un successeur par rapport à l'identificateur du prédécesseur, ainsi que l'authenticité de l'au moins une partie chargée du programme d'application soit vérifiée à l'aide du code de certification, et dont cette au moins une partie chargée du programme d'application soit enregistrée comme valide en cas d'authenticité.
5. Méthode, selon la revendication 4, caractérisée en ce, qu'en cas d'authenticité de l'au moins une partie chargée du programme d'application, une variable d'état, qui caractérise comme valide la partie de programme chargée précitée, soit enregistrée.
6. Méthode, selon la revendication 3, caractérisée en ce, qu'une clé de contrôle de code soit mise à disposition pour vérifier l'authenticité de la partie chargée du programme d'application.
7. Méthode, selon la revendication 6, caractérisée en ce, que la mise à disposition intègre un chargement de la clé de contrôle de code, laquelle étant chargée pendant la fabrication dans le cadre d'une pré-initialisation, que la clé de contrôle de code soit enregistrée dans le module de sécurité de manière sûre contre la lecture et qu'elle soit une clé secrète d'un procédé de cryptographie symétrique.
8. Méthode, selon la revendication 6, caractérisée en ce, que la mise à disposition intègre un chargement de la clé de contrôle de code, laquelle étant chargée pendant la fabrication dans le cadre d'une pré-initialisation, que la clé de contrôle de code soit une clé publique de vérification, que la clé publique de vérification et une clé secrète de signature correspondante forment une paire de clés, et dont le code de certification soit créé par le fabricant à l'aide de la clé secrète de signature en correspondance aux données de l'au moins une partie du programme d'application.
9. Méthode, selon la revendication 4, caractérisée en ce, que le microprocesseur (120) détermine si les données d'identification caractérisent un successeur par rapport à l'identificateur enregistré du prédécesseur en comparant les données d'identification avec des données comparatives correspondantes, qui sont enregistrées dans un autre espace de mémoire de la mémoire de programme (128), dans laquelle sont listées des données informatives relatives à un programme déjà chargé.
10. Méthode, selon la revendication 9, caractérisée en ce, que les données informatives soient livrées par le fabricant à l'interface de communication (150) en correspondance avec les données du programme d'application, les données informatives comportant l'adresse initiale et finale du programme, la somme de contrôle (CRC / contrôle par redondance cyclique) et les données d'identification.
11. Méthode, selon les revendications 9 à 10, caractérisée en ce, que le type de programme, les données de la version et de la révision fassent partie des données d'identification.
12. Méthode, selon les revendications 3 à 5, caractérisée en ce, que la variable d'état, nécessaire pour la vérification d'un état de programme atteint lors de la programmation, soit enregistrée et disponible dans la mémoire de programme (128) ou dans une mémoire non volatile du module de sécurité.
13. Méthode, selon la revendication 12, caractérisée en ce, que la variable d'état soit un drapeau qui permet de caractériser le programme d'application chargé comme valide après la vérification d'une signature cryptographique, qui prouve l'authenticité du programme d'application chargé.

Images