FR2888348A1 - Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered - Google Patents

Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered Download PDF

Info

Publication number
FR2888348A1
FR2888348A1 FR0507124A FR0507124A FR2888348A1 FR 2888348 A1 FR2888348 A1 FR 2888348A1 FR 0507124 A FR0507124 A FR 0507124A FR 0507124 A FR0507124 A FR 0507124A FR 2888348 A1 FR2888348 A1 FR 2888348A1
Authority
FR
France
Prior art keywords
digital image
processor
execution
execution mode
electronic device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR0507124A
Other languages
French (fr)
Inventor
Sebastien Allard
Geoffroy Montel
Jerome Decourbe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Orange SA
Original Assignee
France Telecom SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by France Telecom SA filed Critical France Telecom SA
Priority to FR0507124A priority Critical patent/FR2888348A1/en
Publication of FR2888348A1 publication Critical patent/FR2888348A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

The device has a processor (30) adapted for switching execution of the device in a secured execution mode. Requests of the processor necessary for the execution of a secured applicative program (APs) are taken into account, in the secured execution mode. A joystick permits to displace a pointer. A memory manager (32) is provided for storing digital images in a memory zone (33) which is accessible only in the secured execution mode. The screen displays a digital image representing a formula with three cases constituting entering zones. Independent claims are also included for the following: (1) a method for capturing a digital image and being implemented by a processor having a secured execution mode (2) a computer program comprising instructions for implementing a method for capturing a digital image (3) a data medium on which a computer program comprising instructions for the execution of a method for capturing a digital image is stored.

Description

2888348 12888348 1

Titre de l'invention Procédé et dispositif de dématérialisation permettant de garantir l'intégrité d'une image numérique, notamment signée.  Title of the Invention Method and dematerialization device for guaranteeing the integrity of a digital image, in particular signed.

Arrière-plan de l'invention La présente invention se rapporte au domaine général de la sécurisation des appareils électroniques.  BACKGROUND OF THE INVENTION The present invention relates to the general field of securing electronic devices.

Préférentiellement, mais de façon non limitative, l'invention s'applique aux terminaux à architecture ouverte, c'est-à-dire aux terminaux dans lesquels un utilisateur peut installer de nouvelles applications. Elle peut notamment être utilisée dans un téléphone portable ou dans un organiseur personnel (PDA).  Preferably, but without limitation, the invention applies to open architecture terminals, that is to say terminals in which a user can install new applications. It can especially be used in a mobile phone or in a personal organizer (PDA).

Plus précisément, l'invention se situe dans le contexte de la dématérialisation de documents électroniques, c'est-à-dire dans le contexte du remplacement d'un document papier par son équivalent électronique.  More precisely, the invention is in the context of the dematerialization of electronic documents, that is to say in the context of the replacement of a paper document by its electronic equivalent.

On connaît déjà, notamment dans le domaine de la distribution de courrier, des dispositifs écrans tactiles sur lesquels un utilisateur peut, à l'aide d'un stylet, apposer une signature manuscrite sur l'image numérique représentant un bon de livraison.  Already known, particularly in the field of mail delivery, devices touch screens on which a user can, with the aid of a stylus, affix a handwritten signature on the digital image representing a delivery note.

De tels dispositifs présentent deux inconvénients majeurs.  Such devices have two major disadvantages.

Tout d'abord, il n'y a pas de garantie que l'image numérique affichée à l'écran corresponde au fichier numérique associé en mémoire. Ce fichier pourrait notamment être modifié par un programme informatique mal intentionné, ou par un virus.  First of all, there is no guarantee that the digital image displayed on the screen corresponds to the associated digital file in memory. This file could be modified by a malicious computer program, or by a virus.

Deuxièmement, il n'y a pas de garantie que le fichier numérique représentant l'image numérique et la signature apposée par l'utilisateur ne soient altérés ultérieurement.  Secondly, there is no guarantee that the digital file representing the digital image and the signature affixed by the user will be altered later.

D'autres techniques de dématérialisation sont basées sur l'utilisation de clés cryptographiques personnelles. De tels procédés utilisent le plus souvent une paire de clés, l'utilisateur se servant d'une clé cryptographique pour signer le document électronique, une clé de vérification associée étant utilisée pour vérifier la signature.  Other dematerialization techniques are based on the use of personal cryptographic keys. Such methods most often use a pair of keys, the user using a cryptographic key to sign the electronic document, an associated verification key being used to verify the signature.

Mais là non plus, il n'y a pas de garantie que l'image affichée à l'écran corresponde au fichier numérique censé la représenter. Lorsque l'on s'intéresse à la signature électronique, ce problème est connu sous le 2888348 2 nom de "WYSIWYS" (What You See Is What You Sign) ; il peut se poser de la façon suivante: garantir que le fichier numérique sur lequel s'opère le calcul cryptographique de signature correspond effectivement à l'image qui est à l'écran.  But here again, there is no guarantee that the image displayed on the screen corresponds to the digital file that is supposed to represent it. When one is interested in the electronic signature, this problem is known as the 2888348 2 name of "WYSIWYS" (What You See Is What You Sign); it can be posed in the following way: to guarantee that the digital file on which the cryptographic calculation of signature takes place corresponds effectively to the image which is on the screen.

Au surplus, les procédés à gestion de clés sont complexes et délicats à mettre en oeuvre.  In addition, key management processes are complex and difficult to implement.

Le but de l'invention est donc de fournir un procédé et un dispositif qui ne nécessitent aucune clé cryptographique personnelle et tels que le fichier comportant la représentation de l'image affichée à l'écran soit fidèle à cette image, non répudiable par son auteur, et inaltérable ultérieurement.  The object of the invention is therefore to provide a method and a device that do not require any personal cryptographic key and such that the file comprising the representation of the image displayed on the screen is faithful to this image, not repudiatable by its author , and unalterable later.

A cet effet, l'invention concerne un dispositif électronique comportant des moyens d'affichage d'une image numérique, des moyens de saisie d'information, et des moyens de mise en oeuvre d'un programme applicatif invitant un utilisateur à saisir au moins une donnée sensible devant être associée à une image numérique qui lui est présentée.  For this purpose, the invention relates to an electronic device comprising means for displaying a digital image, means for entering information, and means for implementing an application program inviting a user to enter at least one a sensitive data item to be associated with a digital image presented to it.

Ce dispositif comporte un processeur adapté à faire basculer l'exécution du dispositif dans un mode d'exécution sécurisé, à savoir un mode dans lequel seules les requêtes du processeur nécessaires à l'exécution du programme applicatif sont prises en compte par les moyens d'affichage et de saisie.  This device comprises a processor adapted to switch the execution of the device in a secure execution mode, namely a mode in which only the requests of the processor necessary for the execution of the application program are taken into account by the means of display and input.

Ainsi, l'invention permet de garantir qu'en mode d'exécution sécurisé, toutes les opérations et ressources utilisées pour l'affichage et la saisie sont sous l'unique contrôle du programme applicatif.  Thus, the invention makes it possible to guarantee that, in secure execution mode, all the operations and resources used for display and input are under the sole control of the application program.

L'homme du métier comprendra que l'image numérique présentée à l'utilisateur est nécessairement fidèle à sa représentation numérique, et que toute donnée apposée sur cette image, par exemple une signature manuscrite, sera protégée d'une attaque malintentionnée.  Those skilled in the art will understand that the digital image presented to the user is necessarily faithful to its digital representation, and that any data affixed to this image, for example a handwritten signature, will be protected from malicious attack.

Préférentiellement, le dispositif selon l'invention comporte des moyens de mémorisation d'une image numérique dans une zone mémoire accessible uniquement dans le mode d'exécution sécurisé.  Preferably, the device according to the invention comprises means for storing a digital image in a memory zone accessible only in the secure execution mode.

Cette caractéristique permet avantageusement de mémoriser, dans cette zone protégée, la deuxième image numérique résultant de la combinaison de l'image numérique initiale (par exemple le bon de livraison) et de la donnée sensible saisie par l'utilisateur (par exemple sa signature manuscrite).  This characteristic advantageously makes it possible to store, in this protected area, the second digital image resulting from the combination of the initial digital image (for example the delivery note) and of the sensitive data input by the user (for example his handwritten signature ).

2888348 3 Dans un mode préféré de réalisation, le dispositif comporte en outre des moyens de mise en oeuvre, dans le mode d'exécution sécurisé, d'un programme de signature d'une image numérique.  In a preferred embodiment, the device further comprises means for implementing, in the secure execution mode, a signature program of a digital image.

Ainsi, l'image numérique résultat de la combinaison précitée 5 peut être signée, par exemple avec une clé cryptographique, pour être ultérieurement transmise à une autre application qui détient la clé de vérification associée.  Thus, the digital image resulting from the above combination 5 can be signed, for example with a cryptographic key, to be subsequently transmitted to another application that holds the associated verification key.

Dans un mode préféré de réalisation, les moyens d'affichage comportent un écran et les moyens de saisie une dalle tactile superposée 10 sur cet écran.  In a preferred embodiment, the display means comprise a screen and the input means a touch screen plate superimposed on this screen.

Préférentiellement, le processeur est adapté à faire basculer l'exécution du dispositif dans un mode d'exécution non sécurisé.  Preferably, the processor is adapted to switch the execution of the device in an unsecured execution mode.

Cette caractéristique permet avantageusement de hiérarchiser les différentes applications mises en oeuvre par le dispositif électronique.  This characteristic advantageously makes it possible to prioritize the different applications implemented by the electronic device.

Plus précisément, les applications importantes, critiques, tournent dans l'environnement sécurisé et sont isolées des autres applications qui ne sont pas de confiance et qui peuvent comporter des virus.  Specifically, critical, critical applications run in the secure environment and are isolated from other applications that are not trusted and may contain viruses.

Corrélativement, l'invention concerne un procédé de capture d'image numérique susceptible d'être mis en oeuvre par un processeur comportant au moins un mode d'exécution sécurisé, ce procédé comportant les étapes suivantes: - basculement du processeur en mode d'exécution sécurisé si ledit processeur ne se trouve pas dans ce mode; - affichage d'une première image numérique; - obtention d'au moins une donnée sensible en provenance d'un utilisateur du dispositif, cette donnée devant être associée à l'image numérique; - affichage d'une deuxième image numérique constituée de la première image numérique et d'une représentation de la donnée sensible; - capture et mémorisation de cette deuxième image numérique dans une mémoire sécurisée.  Correlatively, the invention relates to a digital image capture method capable of being implemented by a processor comprising at least one secure execution mode, this method comprising the following steps: switching the processor into execution mode secure if said processor is not in this mode; - display of a first digital image; - Obtaining at least one sensitive data from a user of the device, this data to be associated with the digital image; displaying a second digital image consisting of the first digital image and a representation of the sensitive data; - Capture and storage of this second digital image in a secure memory.

Préférentiellement, le processeur comporte en outre un mode d'exécution non sécurisé et le procédé de capture selon l'invention comporte une étape de basculement en mode d'exécution non sécurisé, cette étape étant mise en oeuvre après l'étape de capture et de mémorisation de la deuxième d'image numérique dans la mémoire sécurisée.  Preferably, the processor furthermore comprises a non-secure execution mode and the capture method according to the invention comprises a step of failover in unsecured execution mode, this step being implemented after the capture and defrosting step. storing the second digital image in the secure memory.

2888348 4 Dans cette variante préférée, le processeur peut exécuter des applications non sécurisées, par exemple téléchargées depuis Internet, de telles applications étant malheureusement susceptibles d'installer des virus.  In this preferred embodiment, the processor can execute insecure applications, for example downloaded from the Internet, such applications being unfortunately likely to install viruses.

Mais grâce à l'invention, les applications critiques d'affichage et de capture d'image notamment sont protégées de ces virus car elles s'exécutent en mode sécurisé.  But thanks to the invention, the critical applications of display and image capture in particular are protected from these viruses because they run in secure mode.

Préférentiellement, on effectue aussi l'étape de basculement en mode d'exécution non sécurisé lorsque l'obtention de la donnée sensible n'a pas été effectuée après l'expiration d'un délai.  Preferably, the failover step is also performed in the unsecured execution mode when the obtaining of the sensitive data has not been performed after the expiration of a delay.

Cette caractéristique fournit un niveau de sécurité supplémentaire, notamment dans le cas où l'utilisateur abandonne temporairement son dispositif au moment de la saisie de la donnée sensible.  This feature provides an additional level of security, especially in the case where the user temporarily abandons his device when entering the sensitive data.

La donnée sensible peut être représentative d'une signature manuscrite, mais aussi d'un choix dans un formulaire électronique, d'un numéro, d'un code secret,...  The sensitive data may be representative of a handwritten signature, but also a choice in an electronic form, a number, a secret code, ...

Selon une mise en oeuvre préférée, les différentes étapes du procédé de capture sont exécutées par des instructions de programme d'ordinateur.  According to a preferred implementation, the different steps of the capture method are executed by computer program instructions.

En conséquence, l'invention vise aussi un programme d'ordinateur, ce programme étant susceptible d'être mis en oeuvre dans un dispositif électronique, ce programme comportant des instructions adaptées à la mise en oeuvre des étapes du procédé de capture.  Consequently, the invention also relates to a computer program, this program being capable of being implemented in an electronic device, this program comprising instructions adapted to the implementation of the steps of the capture method.

Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable.  This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.

L'invention vise aussi un support d'informations lisible par un dispositif électronique et comportant des instructions d'un programme d'ordinateur tel que mentionné ci-dessus.  The invention also relates to an information carrier readable by an electronic device and comprising instructions of a computer program as mentioned above.

Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy disc) ou un disque dur.  The information carrier may be any entity or device capable of storing the program. For example, the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a diskette (floppy disc) or a disk hard.

D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.  On the other hand, the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means. The program according to the invention can be downloaded in particular on an Internet type network.

Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté 10 pour exécuter ou pour être utilisé dans l'exécution du procédé en question.  Alternatively, the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.

Brève description des dessinsBrief description of the drawings

D'autres caractéristiques et avantages de la présente invention 15 ressortiront de la description faite ci-dessous, en référence aux dessins annexés qui en illustrent un exemple de réalisation dépourvu de tout caractère limitatif. Sur les figures: - les figures 1A et 1B représentent schématiquement un dispositif électronique conforme à l'invention dans un premier mode de 20 réalisation; - les figures 2A et 2B représentent un dispositif électronique conforme à l'invention dans un deuxième mode de réalisation; - les figures 3A et 3B représentent un dispositif électronique conforme à l'invention dans un troisième mode de réalisation; - la figure 4 représente l'architecture du dispositif électronique des figures 2A et 2B; et - la figure 5 représente, sous forme d'organigramme, les principales étapes d'un procédé de capture conforme à l'invention dans un mode préféré de réalisation.  Other features and advantages of the present invention will emerge from the description given below, with reference to the accompanying drawings which illustrate an embodiment having no limiting character. In the figures: FIGS. 1A and 1B schematically represent an electronic device according to the invention in a first embodiment; - Figures 2A and 2B show an electronic device according to the invention in a second embodiment; FIGS. 3A and 3B show an electronic device according to the invention in a third embodiment; FIG. 4 represents the architecture of the electronic device of FIGS. 2A and 2B; and FIG. 5 represents, in flowchart form, the main steps of a capture method according to the invention in a preferred embodiment.

Description détaillée d'un mode de réalisation  Detailed description of an embodiment

La figure 1A représente un dispositif électronique 101 conforme à l'invention.  FIG. 1A represents an electronic device 101 according to the invention.

Ce dispositif 101 comporte des moyens d'affichage constitués 35 par un écran 10.  This device 101 comprises display means constituted by a screen 10.

Sur cet écran est affichée une image numérique IiA représentant un formulaire avec trois cases constituant des zones de saisie possibles.  On this screen is displayed a digital image IiA representing a form with three boxes constituting possible input areas.

Le dispositif électronique 101 comporte des moyens de saisie constitués ici par un bouton (joystick) 21 permettant de déplacer un pointeur.  The electronic device 101 comprises input means constituted here by a button (joystick) 21 for moving a pointer.

Le dispositif électronique 101 comporte également un indicateur lumineux 70 dont l'utilisation sera décrite ultérieurement.  The electronic device 101 also includes a light indicator 70 whose use will be described later.

La figure 1B représente le dispositif 101 de la figure 1A, après que l'utilisateur a saisi une donnée sensible Dl correspondant à la sélection de la deuxième case du formulaire. On a référencé I1B l'image numérique constituée par la combinaison de l'image IlA représentant le formulaire vierge et de la donnée sensible D1.  FIG. 1B represents the device 101 of FIG. 1A, after the user has entered a sensitive data item D1 corresponding to the selection of the second box of the form. The digital image constituted by the combination of the image IlA representing the blank form and the sensitive data item D1 has been referenced I1B.

La figure 2A représente un dispositif électronique 102 conforme à l'invention dans un autre mode de réalisation.  FIG. 2A represents an electronic device 102 according to the invention in another embodiment.

Dans cette variante, les moyens de saisie sont constitués par une dalle tactile 22 superposée à l'écran 10, et par un stylet 23 ou une main 24 auxquels peut réagir la dalle tactile 22.  In this variant, the input means consist of a touch screen 22 superimposed on the screen 10, and a stylet 23 or a hand 24 to which the touch screen 22 can react.

L'image numérique I2A est ici représentative d'un texte.  The digital image I2A here is representative of a text.

La figure 2B représente l'image numérique I2B constituée par le texte de l'image numérique I2A et une signature D2 (donnée sensible) apposée sur l'image numérique I2A au moyen du stylet 23.  FIG. 2B represents the digital image I2B constituted by the text of the digital image I2A and a signature D2 (sensitive data) affixed to the digital image I2A by means of the stylus 23.

La figure 3A représente un autre dispositif électronique 103 conforme à l'invention.  FIG. 3A represents another electronic device 103 according to the invention.

Ce dispositif électronique comporte des moyens de saisie 25 constitué par un clavier.  This electronic device comprises input means 25 constituted by a keyboard.

L'image I3A représente notamment une zone de saisie que l'utilisateur peut renseigner grâce au clavier 25.  The image I3A represents in particular an input area that the user can enter through the keyboard 25.

A la figure 3B, on a supposé que l'utilisateur a saisi la donnée sensible D3 en remplissage de ce champ. On a référencé I3B l'image numérique constituée par la combinaison de l'image numérique initiale I3A et de la donnée sensible D3.  In Figure 3B, it has been assumed that the user has entered the sensitive data D3 filling this field. The digital image constituted by the combination of the initial digital image I3A and the sensitive data item D3 has been referenced I3B.

La figure 4 représente de façon schématique l'architecture du dispositif électronique des figures 2A et 2B.  Figure 4 schematically shows the architecture of the electronic device of Figures 2A and 2B.

Cette architecture comporte un processeur 30, une mémoire flash 35, une mémoire 34, et un gestionnaire de mémoire 32.  This architecture comprises a processor 30, a flash memory 35, a memory 34, and a memory manager 32.

Elle comporte également un écran 10 associé à son contrôleur 50, une dalle tactile 22 associée à son contrôleur 60, une horloge 80 et l'indicateur lumineux 70.  It also comprises a screen 10 associated with its controller 50, a touch screen 22 associated with its controller 60, a clock 80 and the indicator light 70.

Tous ces éléments sont reliés entre eux par un système de bus 100.  All these elements are interconnected by a bus system 100.

Conformément à l'invention, le processeur 30 est un processeur adapté à faire basculer l'exécution du dispositif 102 dans un mode d'exécution sécurisé.  According to the invention, the processor 30 is a processor adapted to switch the execution of the device 102 in a secure execution mode.

Dans l'exemple préféré de réalisation décrit ici, l'environnement est conforme à celui de l'architecture TrustZone d'ARM tel que décrit dans le document "TrustZone: integrated hardware and software security" de Tiago Alves et Don Felton, juillet 2004, publié notamment à l'adresse Internet suivante http://www.arm.com/products/CPUs/archtrustzone.html.  In the preferred embodiment described here, the environment is consistent with that of the ARM TrustZone architecture as described in the document "TrustZone: integrated hardware and software security" by Tiago Alves and Don Felton, July 2004, published in particular at the following Internet address http://www.arm.com/products/CPUs/archtrustzone.html.

Dans ce mode de réalisation, le processeur 30 propose une nouvelle instruction, notée ici "IS", permettant de basculer en mode sécurisé, et un nouveau niveau de permission "sécurisé", noté ici "MS", qui s'ajoute au mode connu "utilisateur" et "noyau" du processeur.  In this embodiment, the processor 30 proposes a new instruction, noted here "IS", to switch to secure mode, and a new level of "secure" permission, noted here "MS", which adds to the known mode "user" and "kernel" processor.

Le bus de données 100, qui relie tous les composants, dispose d'un bit supplémentaire de sécurisation (appelé "bit secure") qui n'est positionnable que par le processeur 30.  The data bus 100, which connects all the components, has an additional bit of security (called "bit secure") which can only be set by the processor 30.

Ce bit de sécurisation peut être interprété par le contrôleur d'écran 50 et le contrôleur de la dalle tactile 60.  This security bit may be interpreted by the screen controller 50 and the controller of the touch screen panel 60.

Dans la variante préférée décrite ici, ce bit de sécurisation peut 25 également être interprété par le gestionnaire de mémoire 32.  In the preferred variant described here, this security bit may also be interpreted by the memory manager 32.

Dans cette variante, le gestionnaire de mémoire 32 contrôle deux zones mémoires, à savoir une zone 36 qui peut être utilisée lorsque le processeur est en mode "utilisateur" ou "noyau", et une autre zone mémoire 33 accessible uniquement dans le mode d'exécution sécurisé, c'est- à-dire lorsque le processeur 30 a positionné le bit de sécurisation.  In this variant, the memory manager 32 controls two memory zones, namely a zone 36 that can be used when the processor is in the "user" or "kernel" mode, and another memory zone 33 accessible only in the mode of operation. secure execution, i.e., when the processor 30 has set the security bit.

Dans le mode préféré de réalisation décrit ici, la mémoire flash 35 comporte un programme applicatif sécurisé AP_S et une application non sécurisée AP.  In the preferred embodiment described here, the flash memory 35 comprises a secure application program AP_S and an unsecured application AP.

Dans le mode de réalisation décrit ici, la mémoire 34 comporte 35 un programme de signature d'image numérique P_SIG, ce programme ne pouvant être exécuté que lorsque le processeur 30 est en mode sécurisé.  In the embodiment described herein, the memory 34 includes a digital image signature program P_SIG, which program can only be executed when the processor 30 is in secure mode.

2888348 8 Nous allons maintenant décrire en référence à la figure 5 les principales étapes d'un procédé de capture d'image numérique conforme à l'invention.  We will now describe with reference to Figure 5 the main steps of a digital image capture method according to the invention.

On supposera dans cette description que l'application non 5 sécurisée AP est en cours d'exécution.  It will be assumed in this description that the unsecured AP application is running.

On supposera également que ce programme applicatif non sécurisé AP requiert l'affichage d'une image numérique I2A, la saisie d'une signature manuscrite D2 devant être associée à cette image numérique I2A, la capture et l'archivage de l'image numérique I2B constituée par l'image d'origine I2A et la signature D2.  It will also be assumed that this non-secure application program AP requires the display of an I2A digital image, the capture of a handwritten signature D2 to be associated with this digital image I2A, the capture and archiving of the digital image I2B constituted by the original image I2A and the signature D2.

A cet effet, le programme applicatif AP lance l'exécution du programme applicatif sécurisé AP_S.  For this purpose, the application program AP initiates the execution of the secure application program AP_S.

Au cours d'une première étape E10, le programme applicatif sécurisé AP_S bascule le dispositif 102 dans un mode d'exécution sécurisé.  During a first step E10, the secure application program AP_S switches the device 102 in a secure execution mode.

Pour ce faire, le processeur 30 exécute l'instruction IS, ce qui a pour effet de basculer le système dans le mode sécurisé MS.  To do this, the processor 30 executes the instruction IS, which has the effect of switching the system into the secure mode MS.

Le processeur 30 positionne alors le bit sécurisé sur le bus 100 et les contrôleurs écran 50, de dalle tactile 60, et de gestion mémoire 32, en détectant ce bit sécurisé sur le bus 100, se mettent dans un mode où seules les requêtes du processeur 30 nécessaires à l'exécution du programme applicatif sécurisé AP_S sont prises en compte.  The processor 30 then positions the secure bit on the bus 100 and the screen controllers 50, touch screen 60, and memory management 32, detecting this secure bit on the bus 100, put themselves in a mode where only the processor requests 30 necessary for the execution of the secure application program AP_S are taken into account.

L'étape de basculement E10 est suivie par une étape E20 au cours de laquelle l'image I2A représentant un texte est affichée.  The switching step E10 is followed by a step E20 during which the image I2A representing a text is displayed.

Lorsque cette image est affichée, on allume l'indicateur 70.  When this image is displayed, the indicator 70 is turned on.

L'homme du métier comprendra que cette image est nécessairement fidèle à sa représentation en mémoire, puisque aucune application autre que l'application sécurisée AP_S n'a pu intervenir sur le gestionnaire de mémoire ni sur le contrôleur d'écran 50.  Those skilled in the art will understand that this image is necessarily faithful to its representation in memory, since no application other than the secure application AP_S could intervene on the memory manager or on the screen controller 50.

Cette étape E20 d'affichage est suivie par une étape E30 au 30 cours de laquelle on déclenche un compteur de temporisation supporté par l'horloge 80.  This display step E20 is followed by a step E30 during which a timer is started that is supported by the clock 80.

L'étape E30 de déclenchement est suivie par un test E40 au cours duquel on vérifie si un délai prédéterminé a expiré depuis le déclenchement du compteur à l'étape E30.  The triggering step E30 is followed by an E40 test in which it is checked whether a predetermined time has elapsed since the start of the counter in step E30.

Si tel est le cas, le procédé de capture se termine.  If this is the case, the capture process ends.

Dans le cas contraire, le test E40 est suivi par un test E50 au cours duquel on vérifie si l'utilisateur a terminé sa saisie. Dans un mode de réalisation préféré, lorsque l'utilisateur a saisi sa signature D2 au moyen du stylet 23 sur l'écran tactile 22, il notifie cette fin de saisie au système par l'appui sur un bouton virtuel affiché sur l'écran.  Otherwise, the E40 test is followed by an E50 test in which it is checked whether the user has finished entering it. In a preferred embodiment, when the user has entered his signature D2 by means of the stylus 23 on the touch screen 22, he notifies this end of input to the system by pressing a virtual button displayed on the screen.

Si tel n'est pas le cas, le résultat du test E50 est négatif. Ce test est alors suivi par le test E40 de contrôle de la fin de temporisation déjà décrit.  If this is not the case, the result of the E50 test is negative. This test is then followed by the control test E40 of the end of delay already described.

Lorsque la signature a été apposée (donnée sensible D2 obtenue), le test E50 est suivi par une étape E60 au cours de laquelle on affiche sur l'écran 10, une image I2B constituée par la combinaison de l'image d'origine I2A et de la signature manuscrite D2.  When the signature has been affixed (sensitive data D2 obtained), the test E50 is followed by a step E60 during which an image I2B is displayed on the screen 10 constituted by the combination of the original image I2A and of the handwritten signature D2.

On supposera ici qu'une étape E70 de confirmation permet à l'utilisateur de valider cette signature en demandant expressément la capture de l'image I2B.  It will be assumed here that a confirmation step E70 allows the user to validate this signature by expressly requesting the capture of the I2B image.

Cette étape E70 de confirmation est suivie par une étape E80 au cours de laquelle on capture et on mémorise la deuxième image numérique I2B dans la zone 33 sécurisée contrôlée par le gestionnaire de mémoire 32.  This confirmation step E70 is followed by a step E80 in which the second digital image I2B is captured and stored in the secure zone 33 controlled by the memory manager 32.

L'étape E80 de capture et de mémorisation est suivie par une étape E85 au cours de laquelle on signe numériquement, en utilisant le programme de signature P_SIG, l'image numérique I2B.  The capture and storage step E80 is followed by a step E85 in which the digital image I2B is digitally signed using the P_SIG signature program.

Cette étape de signature est connue de l'homme du métier et ne sera pas décrite ici. Elle peut par exemple faire appel à un système de clés privée/publique.  This signature step is known to those skilled in the art and will not be described here. For example, it can use a private / public key system.

L'étape E85 de signature est suivie d'une étape E90 au cours de laquelle on rebascule dans le mode d'exécution non sécurisé.  The signature step E85 is followed by a step E90 in which it is rebased in the unsecured execution mode.

Pour ce faire, le processeur 30 supprime le positionnement du bit de sécurisation. Au cours de cette étape E90 de basculement, on éteint l'indicateur 70.  To do this, the processor 30 deletes the positioning of the security bit. During this switching step E90, the indicator 70 is turned off.

Ainsi l'indicateur lumineux 70 ne reste allumé que pendant l'exécution des opérations d'affichage de l'image numérique, de saisie et de capture d'écran.  Thus the indicator light 70 remains lit only during the execution of the display operations of the digital image, capture and screenshot.

Le programme applicatif AP_S sécurisé se termine et l'exécution 35 du programme appelant non sécurisé AP se poursuit.  The secure AP_S application program terminates and execution of the unsecured AP calling program continues.

A l'issue du procédé de capture d'écran, le fichier correspondant à l'image I2B forme une image numérique dont on a maîtrisé le processus de création et qui peut ensuite être recopiée dans la mémoire non sécurisée 36 et/ou transférée à un tiers. Le programme applicatif sécurisé AP_S garantit que l'image numérique capturée est bien celle que l'utilisateur a signée sur l'écran 10 du dispositif 102.  At the end of the screen capture process, the file corresponding to the image I2B forms a digital image which has been mastered by the creation process and which can then be copied to the unsecure memory 36 and / or transferred to a third. The secure application program AP_S ensures that the digital image captured is the one that the user has signed on the screen 10 of the device 102.

Et comme cette application tourne dans l'environnement sécurisé, il est impossible que cette image ait été copiée et/ou modifiée par une application malintentionnée.  And as this application runs in the secure environment, it is impossible that this image was copied and / or modified by a malicious application.

La signature de l'image garantit son intégrité et son origine lors d'un transfert. Si cette image est modifiée par une application tierce, la signature ne sera plus valide.  The signature of the image guarantees its integrity and its origin during a transfer. If this image is modified by a third-party application, the signature will no longer be valid.

L'image numérique I2B est l'équivalent électronique d'un papier signé manuellement par l'utilisateur.  The digital image I2B is the electronic equivalent of a paper manually signed by the user.

Claims (12)

REVENDICATIONS 1. Dispositif électronique (101) comportant des moyens d'affichage (10) d'une image numérique (I1A, I1B, I2A, I2B, I3A, I3B), des moyens de saisie d'information (21), et des moyens (30, 31, 32, 33) de mise en oeuvre d'un programme applicatif (AP_S) invitant un utilisateur à saisir au moins une donnée (Dl) devant être associée à une image numérique (I1A, I2A, I3A) qui lui est présentée, ce dispositif (101) étant caractérisé en ce qu'il comporte un processeur (30) adapté à faire basculer l'exécution dudit dispositif (101) dans un mode d'exécution sécurisé (MS), dans lequel seules les requêtes dudit processeur nécessaires à l'exécution dudit programme applicatif (AP_S) sont prises en compte par lesdits moyens (10) d'affichage et de saisie (21).  An electronic device (101) having display means (10) for a digital image (I1A, I1B, I2A, I2B, I3A, I3B), information capturing means (21), and means ( 30, 31, 32, 33) for implementing an application program (AP_S) inviting a user to enter at least one datum (D1) to be associated with a digital image (I1A, I2A, I3A) presented to him , said device (101) being characterized in that it comprises a processor (30) adapted to switch the execution of said device (101) in a secure execution mode (MS), in which only the requests of said processor necessary at the execution of said application program (AP_S) are taken into account by said means (10) for display and input (21). 2. Dispositif électronique selon la revendication 1, caractérisé en ce qu'il comporte en outre des moyens (32, 33) de mémorisation d'une image numérique (I1A, I1B, I2A, I2B, I3A, I3B) dans une zone mémoire (33) accessible uniquement dans le mode d'exécution sécurisé (MS).  2. Electronic device according to claim 1, characterized in that it further comprises means (32, 33) for storing a digital image (I1A, I1B, I2A, I2B, I3A, I3B) in a memory area ( 33) accessible only in the Safe Execution (MS) mode. 3. Dispositif électronique selon la revendication 1 ou 2, caractérisé en ce qu'il comporte en outre, des moyens (30, 32, 33, 34) adaptés à mettre en oeuvre, dans ledit mode d'exécution sécurisé, un programme (P_SIG) de signature d'une image numérique (I1B, I2B, I3B).  3. Electronic device according to claim 1 or 2, characterized in that it further comprises means (30, 32, 33, 34) adapted to implement, in said secure execution mode, a program (P_SIG ) for signing a digital image (I1B, I2B, I3B). 4. Dispositif électronique selon l'une quelconque des revendications 1 à 3, caractérisé en ce que lesdits moyens d'affichage (10) comportent un écran, et lesdits moyens de saisie une dalle tactile (22) superposée sur ledit écran (10).  4. Electronic device according to any one of claims 1 to 3, characterized in that said display means (10) comprise a screen, and said input means a touch screen (22) superimposed on said screen (10). 5. Dispositif électronique selon l'une quelconque des revendications 1 à 4, caractérisé en ce que ledit processeur (30) est adapté à faire basculer l'exécution dudit dispositif dans un mode d'exécution non sécurisé.  5. Electronic device according to any one of claims 1 to 4, characterized in that said processor (30) is adapted to switch the execution of said device in an unsecured execution mode. 2888348 12  2888348 12 6. Procédé de capture d'image numérique pouvant être mis en oeuvre par un processeur (30) comportant un mode d'exécution sécurisé, caractérisé en ce qu'il comporte les étapes suivantes: -basculement (E10) du processeur (30) en mode d'exécution sécurisé 5 (MS) si le même processeur ne se trouve pas dans ce mode; - affichage (E20) d'une première image numérique (I1A, I2A, I3A) ; - obtention (E50) d'au moins une donnée (D1) en provenance d'un utilisateur dudit dispositif, cette donnée (D1) devant être associée à ladite image numérique (I1A, I2A, I3A) ; affichage (E60) d'une deuxième image numérique (I1B, I2B, I3B) constituée de ladite première image numérique (I1A, I2A, I3A) et d'une représentation (Dl) de ladite donnée (Dl) ; et - capture (E80) et mémorisation de ladite deuxième image numérique (I1B, I2B, I3B) dans une mémoire sécurisée (33).6. Digital image capture method that can be implemented by a processor (30) having a secure execution mode, characterized in that it comprises the following steps: -basch (E10) processor (30) in secure execution mode 5 (MS) if the same processor is not in this mode; - displaying (E20) a first digital image (I1A, I2A, I3A); obtaining (E50) at least one datum (D1) originating from a user of said device, this datum (D1) to be associated with said digital image (I1A, I2A, I3A); displaying (E60) a second digital image (I1B, I2B, I3B) consisting of said first digital image (I1A, I2A, I3A) and a representation (D1) of said data item (D1); and capturing (E80) and storing said second digital image (I1B, I2B, I3B) in a secure memory (33). 7. Procédé de capture d'image selon la revendication 6, dans lequel ledit processeur comporte en outre un mode d'exécution non sécurisé, caractérisé en ce qu'il comporte une étape (E90) de basculement du processeur dans un mode d'exécution non sécurisé, cette étape étant mise en oeuvre après ladite étape (E80) de capture et de mémorisation de la dernière image numérique (I1B, I2B, I3B) dans la mémoire sécurisée (33).  7. An image capture method according to claim 6, wherein said processor further comprises an unsecured execution mode, characterized in that it comprises a step (E90) for switching the processor in an execution mode. unsecured, this step being implemented after said step (E80) for capturing and storing the last digital image (I1B, I2B, I3B) in the secure memory (33). 8. Procédé de capture selon la revendication 6 ou 7, caractérisé en ce que on bascule en mode d'exécution non sécurisé lorsque ladite étape (E50) d'obtention n'a pas été effectuée après l'expiration d'un délai prédéterminé.  8. capture method according to claim 6 or 7, characterized in that one switches to unsecured execution mode when said step (E50) of obtaining has not been performed after the expiration of a predetermined time. 9. Procédé de capture selon l'une quelconque des 30 revendications 6 à 8, caractérisé en ce qu'il comporte une étape (E85) de signature de ladite deuxième image numérique (I1B, I2B, I3B), cette signature étant effectuée en mode d'exécution sécurisé (MS).  9. Capture method according to any one of claims 6 to 8, characterized in that it comprises a step (E85) of signature of said second digital image (I1B, I2B, I3B), this signature being carried out in secure execution (MS). 10. Procédé de capture d'image selon l'une quelconque des 35 revendications 6 et 9, caractérisé en ce que ladite donnée (Dl) est un signal représentatif d'une signature manuscrite.  10. An image capture method according to any one of claims 6 and 9, characterized in that said datum (D1) is a signal representative of a handwritten signature. 2888348 13  2888348 13 11. Programme d'ordinateur sur un support d'informations, ledit programme étant caractérisé en ce qu'il comporte des instructions adaptées à mettre en oeuvre un procédé de capture d'image selon l'une 5 quelconque des revendications 6 à 10 lorsque ledit programme est exécuté par un ordinateur.11. Computer program on an information carrier, said program being characterized in that it comprises instructions adapted to implement an image capture method according to any one of claims 6 to 10 when said program is run by a computer. 12. Support d'informations lisible par un ordinateur, sur lequel est enregistré un programme d'ordinateur qui comporte des instructions pour l'exécution du procédé de capture d'image selon l'une quelconque des revendications 6 à 10.  12. A computer readable information medium on which a computer program is stored which includes instructions for executing the image capture method according to any one of claims 6 to 10.
FR0507124A 2005-07-05 2005-07-05 Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered Pending FR2888348A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR0507124A FR2888348A1 (en) 2005-07-05 2005-07-05 Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0507124A FR2888348A1 (en) 2005-07-05 2005-07-05 Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered

Publications (1)

Publication Number Publication Date
FR2888348A1 true FR2888348A1 (en) 2007-01-12

Family

ID=36088459

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0507124A Pending FR2888348A1 (en) 2005-07-05 2005-07-05 Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered

Country Status (1)

Country Link
FR (1) FR2888348A1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108537036A (en) * 2017-03-02 2018-09-14 深圳兆日科技股份有限公司 Safety certifying method, device and corresponding mobile terminal

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1056014A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company System for providing a trustworthy user interface
EP1329787A2 (en) * 2002-01-16 2003-07-23 Texas Instruments Incorporated Secure mode indicator for smart phone or PDA
US20040103294A1 (en) * 2000-06-02 2004-05-27 Walter Mohrs Method and arrangement for securing a man-machine dialogue

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1056014A1 (en) * 1999-05-28 2000-11-29 Hewlett-Packard Company System for providing a trustworthy user interface
US20040103294A1 (en) * 2000-06-02 2004-05-27 Walter Mohrs Method and arrangement for securing a man-machine dialogue
EP1329787A2 (en) * 2002-01-16 2003-07-23 Texas Instruments Incorporated Secure mode indicator for smart phone or PDA

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HALFHILL T R: "ARM DONS ARMOR : TrustZone Security Extensions Strengthen ARMv6 Architecture", MICROPROCESSOR REPORT, MICRODESIGN RESOURCES, MOUNTAIN VIEW, CA, US, 25 August 2003 (2003-08-25), pages 1 - 4, XP002278308, ISSN: 0899-9341 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108537036A (en) * 2017-03-02 2018-09-14 深圳兆日科技股份有限公司 Safety certifying method, device and corresponding mobile terminal
CN108537036B (en) * 2017-03-02 2020-09-18 深圳兆日科技股份有限公司 Security authentication method and device and corresponding mobile terminal

Similar Documents

Publication Publication Date Title
US11062037B2 (en) Automated management of confidential data in cloud environments
EP3446436B1 (en) Method for obtaining a security token by a mobile terminal
FR2885424A1 (en) DATA PROCESSING DEVICE, TELECOMMUNICATION TERMINAL AND DATA PROCESSING METHOD USING DATA PROCESSING DEVICE.
US10834289B2 (en) Detection of steganography on the perimeter
FR2929733A1 (en) Computer securing method, involves verifying that predefined access rules at external unit are validated by communication between external unit and operating system and transmitting communication to recipient if rules are validated
EP1649363A2 (en) Method of managing software components that are integrated into an embedded system
Cappos et al. Package management security
FR2888348A1 (en) Electronic device e.g. portable telephone, for e.g. mail distribution field, has processor switching device`s execution in secured execution mode in which processor requests necessary for applicative program execution are considered
US11520866B2 (en) Controlling processor instruction execution
EP3350745B1 (en) Management of a display of a view of an application on a screen of an electronic data input device, corresponding method, device and computer program product
WO2008084154A2 (en) Processing of data associated with a digital service
WO2009138641A1 (en) Method of use of a host terminal by an external device connected to the terminal
EP3547602A1 (en) Method for implementing a cryptographic function for a secret key
EP2280380B1 (en) Method for customising an electronic entity, and electronic entity implementing this method
EP2071799A1 (en) Method and server for accessing an electronic strongbox via several entities
WO2024069087A1 (en) Smartphone incorporating a hardware wallet for storing cryptographic keys implementing hardware multiplexing of the display of the smartphone
Gallagher Securing Docker
WO2024133604A1 (en) Method for securing the input of the digits of a personal identification code and corresponding device
WO2020193583A1 (en) Method for running secure code, corresponding devices, system and programs
EP4338079A1 (en) Method for securing the use of software
FR3124288A1 (en) Technique for accessing a storage medium.
FR3140688A1 (en) Method for managing authentication data allowing a user to access a service from a terminal
WO2008087332A2 (en) Method enabling a security policy to be applied to a downloadable application accessing resources of the network
FR2819602A1 (en) METHOD FOR MANAGING COMPUTER APPLICATIONS BY THE OPERATING SYSTEM OF A MULTI-APPLICATION COMPUTER SYSTEM
FR2854706A1 (en) Information protecting process, involves signing identifiers of protected information parts with private key and transferring protected information and each identifier of part on information medium