JC Inspector est l'extension idéale à la suite officielle de tests Java Card TCK*. Avec plus de 20 000 cas de test, JC Inspector est l'une des suites de tests Java Card les plus complètes du marché. Avec des tests en profon-deur, il met l'accent sur de nombreux aspects de test pour offrir à votre Java Card une protection idéale.

JC Inspector + Qumate.Testcenter = Gestion flexible des tests de Java Cards

Basé sur la solution haute performance Qumate.Testcenter d'achelos, JC Inspector a été développé pour le Qumate.Security.World. Grâce à cette combinaison puissante, vous pouvez facilement appliquer des véri-fications automatisées de sécurité, de fonctionnalité et de conformité à votre solution Java Card avant et après le développement, et même sur le terrain. JC Inspector révèle les points faibles de l'implémentation de Java Card. Les risques deviennent apparents et, si nécessai-re, des mesures de protection peuvent être appliquées immédiatement.

achelos se concentre en particulier sur la sécurité et la fonctionnalité du pare-feu, de la machine virtuelle (VM) et de la cryptographie d'une Java Card. Afin de tester une large gamme de cartes, les tests couvrent toutes les cartes à partir de JC version 2.2.1. Qumate.Testcenter offre des options complètes de créa-tion de rapport et de débogage pour une gestion des tests professionnelle et vérifiable. La solution vous aide à analyser les erreurs détectées. JC Inspector et Qumate.Testcenter sont entièrement implémentés en Java, ce qui permet de les adapter et de les étendre facilement et ef-ficacement, même sans connaissances particulières dans le domaine.

JC Inspector – Suite de tests pour Java CardsTM sécurisées

Rendez visibles la sécurité et la qualité

Les attaques sur Java Cards fréquentes

En plus des applications de paiement, de nombreuses autres applications peuvent être installées simultané-ment sur une Java CardTM multi application. Le rôle du pare-feu de la Java Card est d'isoler en toute sécurité les applications les unes des autres, et de protéger les données contre les accès non autorisés, l'espionnage et les manipulations.Les attaques de pare-feu ne sont souvent détectées seu-lement qu’après, par exemple, une carte de crédit a été compromise. En plus d'une perte de confiance et de ré-putation, des dommages consécutifs inattendus peuvent survenir, surtout lorsque les applications de paiement ont été consultées.

Domaines d'application et dangers potentiels

La technologie Java Card est de plus en plus intégrée aux appareils en tant que solution embarquée, par ex. avec les (e)UICC. Comme l‘unité centrale de commu-nication, elle devient donc la cible des pirates informa-tiques. Les experts d'achelos ont développé des suites de tests adaptées à différents groupes cibles : Émetteurs Intégrateurs système Laboratoires de tests Fournisseurs de services Fournisseurs de réseau Fabricants de cartes à puce

Avec JC Inspector, vous pouvez tester de façon fiable la sécurité et la qualité de votre solution Java Card, même dans la zone embarquées.

* Java Card Technology Compatibility Kit (Java Card TCK) et le banc d'essai. Ce logiciel a été développé par Oracle.

Oracle et Java sont des marques déposées d’Oracle ou de ses filiales. Les autres noms peuvent être des marques déposées de leurs propriétaires respectifs.

Plateforme Java Card

Vérifiez votre Java Card avec JC Inspector

Avec la solution JC Inspector d'achelos, vous pouvez vérifier la sécurité fonctionnelle des Java Cards, la conformité avec les spécifications officielles et la sécu-rité des composants essentiels, comme le pare-feu Java Card, la machine virtuelle et la cryptographie.

Avec une transparence et des performances élevées, JC Inspector permet d'effectuer la gestion des tests au plus haut niveau. Choisissez la meilleure combinaison possible pour votre application parmi nos nombreuses suites de tests. Pour répondre aux exigences de votre projet, nous vous proposons les suites de tests suivantes dans notre série JC Inspector :

Protégez l'intégrité de votre Java Card

De nombreuses Java Cards n'ont aucun moyen de véri-fier l'intégrité des applets chargées lors de l'installation sur la carte. Un comportement correct, conforme aux spécifications de Java Card est indispensable, surtout pour le fonctionnement des composants de sécurité critiques du système d'exploitation de la Java Card, comme le pare-feu de l'environnement d'exécution, la machine virtuelle ou encore l'API de cryptographie.

JC Inspector d'achelos soutien un grand nombre de versions de Java Card (à partir de la version 2.2.1) et différents types de cartes, comme (e)UICC, EMV ou M2M. La suite de tests utilise exclusivement les interfaces et protocoles officiels de Java Card et GlobalPlatform.

JC Inspector :

Exécute des cas de test automatisés Coordonne le chargement et la suppression des applets de Java Card de façon intelligente visualise les résultats des tests en détail

De plus, JC Inspector comprend également la spécifica-tion de test complète de l'ensemble des tests, pour que l'analyse détaillée des erreurs et des risques détectés puisse être effectuée par l'utilisateur.

Smart-Cap File-Loader améliore les performances de la suite de tests

Smart-Cap File-Loader, développé par achelos pour JC Inspector, est un outil intelligent de chargement et de suppression d'applets de test. En analysant le plan de test à effectuer, Smart-Cap File-Loader empêche les chargements ou suppressions inutiles de packages sur la Java Card lors de l'exécution du test. Cela améliore les performances du test et réduit le nombre d'accès en écriture sur la mémoire persistante de la Java Card.

API Java Card (JCAPI)

Environnement d'exécution (JCRE)

Système d’exploitation natif

Machine virtuelle (JCVM)

Applet 1 Applet nApplet 2 ...

Suites de tests et aspects de test - vue d’ensemble

1. JC Inspector.Firewall.TS

Cette suite de tests contrôle l'implémentation sûre et correcte du pare-feu Java Card. Les tests vérifient si les applets installées sur la carte ont un accès mutuel non autorisé au code ou aux données (sans mécanisme d'interface partageable). L'objectif ici est d'accéder aux objets dans le même package ou dans d'autres packa-ges (appelés contextes). En outre, la bonne implémenta-tion des objets de point d'entrée JCRE est vérifiée.

La suite de test JC Inspector.Firewall.TS d'achelos ana-lyse, teste et enregistre toutes les règles de pare-feu spécifiées avec environ 14 000 cas de test. Toutes les combinaisons applicables de bytecodes, des bytecodes jusqu'aux objets/tableaux et contextes de pare-feu, sont systématiquement vérifiées.

2. JC Inspector.Cryptographic Security.TS

Cette suite de tests vérifie différents aspects d’une Java Card en matière de sécurité des API, de pare-feu et de fonctionnalité.

(en cours de développement) Test de l'API de cryptographie :Vérifie la bonne implémentation des interfaces et la ma-nipulation des paramètres passés. Les experts d'achelos savent que beaucoup d'API ne sont pas directement programmées en Java pour des raisons de performan-ces, mais implémentées dans des couches natives du système d'exploitation. Afin d'exclure les risques, l'API de cryptographie vérifie tous les paramètres avant l’exécu-tion pour s'assurer qu'ils respectent les plages de valeurs valides et le comportement correct, lorsqu’ils sont utilisés de manière incorrecte.

Test du pare-feu d'objets :Vérifie si l'accès aux objets cryptographiques d'une Java Card est correct. Près de 3 000 cas de test avec 500 000 tests atomiques vérifient systématiquement que tous les algorithmes ou objets cryptographiques dispo-nibles sur la Java Card respectent les règles de pare-feu spécifiées.

(en cours de développement) Test de fonctionnalité : Tous les algorithmes disponibles sur la Java Card et leurs calculs sont vérifiés. Des vecteurs de test standardisés pour les opérations DES, AES, RSA et ECC, par exemple sont utilisés pour vérifier le calcul valide des différents algorithmes.

3. JC Inspector.Virtual Machine.TS

La suite de tests charge des tests avec des instructions pour la machine virtuelle de la Java Card sous forme d'applets dans l'objet de test. La machine virtuelle inter-prète les bytecodes dans les applets chargées pendant l'exécution, et les traduit en commandes machine sur la plateforme cible. Les tests vérifient le bon comportement de la Java Card en matière de bytecodes à exécuter, y compris les variantes qui ne respectent pas la spécifica-tion officielle Java Card.

JC Inspector.Virtual Machine.TS contient environ 1 600 cas de test, couvrant les cas de tests positifs pour de nombreux bytecodes jusqu'à un grand nombre de tests négatifs pour chacun de ces bytecodes. Les byte-codes particulièrement importants pour la sécurité,par ex. check cast (vérifie les types d’objets et les by-tecodes, qui sont responsables de l’accès aux champs définis et doivent respecter les limites des champs) sont explicitement vérifiés par un grand nombre de tests.

4. JC Inspector.Feature Analysis.TS

Il existe une large gamme de Java Cards différentes sur le marché, pouvant avoir différents paramètres, par ex. la version de Java Card, la version de GlobalPlatform, les protocoles, la taille de la mémoire ou progiciels préinstallés supplémentaires. JC.Inspector.Feature Analysis.Testsuite vérifie ces données ainsi que les autres informations essentiel-les d'une Java Card et les enregistre pour pouvoir les analyser de manière approfondie. En outre, des parties de cette suite de tests servent de tests préliminaires pour tous les tests précités, afin de s'assurer que seuls les tests adéquats soient exécutés sur l'objet de test.

Avec Feature Analysis.Test Suite, JC Inspector vous offre un outil qui vérifie, analyse et documente initialement les différentes caractéristiques d'une carte. Il génère un profil cryptographique de votre Java Card, qui est utilisé dynamiquement par la suite de tests. Les résultats des tests affichent clairement les fonctionnalités disponibles et non disponibles de la Java Card. Les résultats d'ana-lyse sont temporairement stockés en interne et support-ent l‘exécution efficace de l‘ensemble du test.

achelos GmbH Vattmannstraße 1 33100 Paderborn Allemagne T +49 5251 14212-0 info@achelos.de www.achelos.de

JC Inspector a été développé par achelos et est basé sur Qumate.Testcenter. La gestion des exigences et des spécifications de test, ainsi que les tests réels, font partie intégrante de Qumate.Testcenter. Qumate est continuel-lement étendu avec des modules de test supplémentaires et offre des solutions et des implémentations étendues spécifiques au client.

www.qumate-world.com

Plus d'avantages en un coup d'œil : Basé sur la plateforme client Eclipse Rich Architecture modulaire Extensible avec des plug-ins clients Exécution des tests et création de rapports automatisées Tests facilement modifiables Résultats de test reproductibles Documentation professionnelle des procédures de test

Ces fonctionnalités comprennent, entre autres : Le codage de l‘ATR Le contenu des informations de contrôle de fichier de l‘émetteur du domaine de sécurité Des AID de packages chargés et d‘applets installées

Algorithmes de chiffrement pris en chargeLongueurs de clés prises en charge État et taille de la mémoire non volatile (NVM)

Produits et solutions pour une Java Card sécurisée

La solution JC Inspector d'achelos est complétée par plusieurs services. Nos experts vous aideront à analyser et à corriger les éventuelles erreurs d'implémentation, vous soutiendront lors des campagnes de test et de l'exécution des cas de test, l'écriture de tests automatisés et le processus de certification selon les Critères Com-muns (Common Criteria Certification), par exemple.

Nos services comprennent :

Assistance : Aide à la configuration et au lancement Analyse des erreurs et résolution des bogues Mise à jour de Qumate.Testcenter (correction de bogues) Système de tickets Jira : pour enregistrer rapidement la description de la demande ou du problème

Services supplémentaires : Mise à niveau des suites de tests (nouvelle version de la spécification officielle) Mise à niveau de Qumate.Testcenter (nouvelles versions) Analyses de sécurité des Java Cards basées sur JC Inspector Développement de solutions pour les erreurs de sécurité existantes / détectées Extensions personnalisées de JC Inspector, par ex. :

Protocoles de canal sécurisé supplémentairesAnalyse et test des packages Java Card propriétaires

Extension continue avec d‘autres modules de test

Qumate rend la qualité... visible !

SCP01 (i=05)SCP02 (i=15, i=55)SCP80 (planifié)

JC Inspector.Virtual MachineJC Inspector.FirewallSécurité de JC Inspector.Cryptographic Pare-feu d'objets API de cryptographie (planifié) Fonctionnalité de cryptographie (planifié)JC Inspector.Feature Analysis Testsuite (planifié)

Environ 20 000 tests

Spécifications Java Card à partir de la version 2.2.1GP à partir de la version 2.1.1

PC/SCMicropross MP300 CT APISICCT

MySQLSQLite

Protocoles de canal sécurisé GPpris en charge

Suites de testsdisponibles

Nombre de cas de test

Normes prises en charge

Lecteurs de cartes pris en charge

Base de données

Données techniques :