Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Structure de données

La chasse aux bugs [5mm] …Quand la théorie aide la

publicité 
La chasse aux bugs
. . . Quand la théorie aide la pratique. . .
Marc Zeitoun
Informatique Théorique 1, nov. 2013
La chasse aux bugs : pourquoi ?
◮
Les bugs sont partie intégrante de l’informatique.
◮
Mais en fait. . . les bugs, est-ce si grave ?
2/27
La chasse aux bugs : pourquoi ?
◮
Les bugs sont partie intégrante de l’informatique.
◮
Mais en fait. . . les bugs, est-ce si grave ?
Mariner 1
Spirit
Ariane 5
2/27
Des bugs logiciels aux conséquences désastreuses (1)
Aéronautique
1962 Perte d’itinéraire de la sonde Mariner 1 (NASA) au lancement.
2 causes, dont erreur de transcription d’une équation.
1996 Auto-destruction d’Ariane 5 (1er vol), 37 secondes après décollage.
Cause. Conversion flottant 64 bits trop grand, vers entier 16 bits.
2004 Blocage du robot Mars Rover Spirit.
Cause. Trop de fichiers ouverts en mémoire flash.
Médecine
85–87 5 morts par irradiations massives dues à la machine Therac-25.
Cause. Conflit d’accès aux ressources entre 2 parties logicielles.
3/27
Des bugs logiciels aux conséquences désastreuses (2)
Télécoms
1990 Crash à grande échelle du réseau AT&T, effet domino.
Cause. Toute unité défaillante alertait ses voisines, mais la
réception du message d’alerte causait une panne du récepteur !
Énergie
2003 Panne d’électricité aux USA & Canada, General Electric.
Cause. À nouveau : mauvaise gestion d’accès concurrents aux
ressources dans un programme de surveillance.
Finance
2/2012 Bourse de Tokyo paralysée par un bug.
4/27
Des bugs logiciels aux conséquences désastreuses (3)
Informatique
1994 Bug du Pentium FDIV Intel sur opérations en nombres flottants.
Cause. Algorithme de division erroné (découvert par Th. Nicely).
06–08 Clés générées par OpenSSL et données cryptées non sûres,
impactant les applications l’utilisant (comme ssh).
Cause. Générateur de nombres aléatoires d’OpenSSL cassé.
78–95 Faille dans le protocole d’authentification de
Needham-Schroeder.
Cause. Attaque man in the middle détectée par G. Lowe.
5/27
Les bugs sont-ils fréquents ?
◮
◮
Mettez à jour les apps de votre smartphone pour le constater.
2 exemples récents en France :
◮
◮
Bug Carte Vitale, janvier 2013.
Bug SFR et chiffres du chômage, octobre 2013.
6/27
Un exemple concret : le protocole de
Needham-Schroeder
◮
But du protocole : authentification sur un réseau.
◮
Moyens : chaque agent A a une paire de « clés » :
◮
◮
◮
KA−1 , clé privée, connue seulement de A. Joue le rôle de clé.
KA , clé publique, connue de tous. Joue le rôle de cadenas.
On l’utilise pour coder les messages envoyés à A.
[m]KA désigne le message m chiffré par KA .
Chaque partie doit s’assurer de l’identité de l’autre partie,
◮
◮
en transmettant un nombre aléatoire chiffré, appelé nonce,
en demandant que le nonce soit décodé et renvoyé.
7/27
Protocole de Needham-Schroeder
[A,NA ]KB
Alice
[NA ,NB ]KA
Bob
[NB ]KB
◮
◮
◮
Hypothèse : un message peut être intercepté, mais pas décrypté sans
clé privée correspondante. Clés privées sûres.
Pour Alice : la seule personne à pouvoir connaître NA est celui qui
possède la clé privée correspondant à KB , c’est donc Bob.
Raisonnement similaire pour Bob.
8/27
Protocole de Needham-Schroeder : attaque
Mais si Alice utilise le protocole pour parler à Charlie, malhonnête...
... Charlie peut se faire passer pour Alice auprès de Bob.
9/27
Protocole de Needham-Schroeder : attaque
Mais si Alice utilise le protocole pour parler à Charlie, malhonnête...
... Charlie peut se faire passer pour Alice auprès de Bob.
[A, NA ]KC
Alice
[NA , NB ]KA
[NB ]KC
[A,NA ]KB
Charlie
[NA ,NB ]KA
Bob
[NB ]KB
9/27
Protocole de Needham-Schroeder : attaque
Mais si Alice utilise le protocole pour parler à Charlie, malhonnête...
... Charlie peut se faire passer pour Alice auprès de Bob.
[A, NA ]KC
Alice
[NA , NB ]KA
[NB ]KC
[A,NA ]KB
Charlie
[NA ,NB ]KA
Bob
[NB ]KB
◮
Alice et Bob suivent honnêtement le protocole (pas Charlie).
◮
Alice parle à Charlie : ok.
9/27
Protocole de Needham-Schroeder : attaque
Mais si Alice utilise le protocole pour parler à Charlie, malhonnête...
... Charlie peut se faire passer pour Alice auprès de Bob.
[A, NA ]KC
Alice
[NA , NB ]KA
[NB ]KC
[A,NA ]KB
Charlie
[NA ,NB ]KA
Bob
[NB ]KB
◮
Alice et Bob suivent honnêtement le protocole (pas Charlie).
◮
Alice parle à Charlie : ok.
9/27
Protocole de Needham-Schroeder : attaque
Mais si Alice utilise le protocole pour parler à Charlie, malhonnête...
... Charlie peut se faire passer pour Alice auprès de Bob.
[A, NA ]KC
Alice
[NA , NB ]KA
[A,NA ]KB
Charlie
[NB ]KC
[NA ,NB ]KA
Bob
[NB ]KB
◮
Alice et Bob suivent honnêtement le protocole (pas Charlie).
◮
Alice parle à Charlie : ok.
◮
◮
Mais Bob parle à Charlie croyant parler à Alice (NB a été révélé à
Charlie).
Comment corriger simplement ?
9/27
Historique du protocole
1978 Publié par Needham et Schroeder.
1989 « Prouvé » correct par Burrows, Abadi, et Needham.
1995 Prouvé erroné par Lowe (17 ans d’utilisation !).
1996 Prouvé erroné par Lowe de façon automatique, en le modélisant
en CSP et en utilisant le logiciel de model-checking FDR.
10/27
Comment détecter et corriger des bugs ?
Il suffirait d’écrire un super-compilateur qui, en plus de compiler,
détecterait les bugs.
11/27
Comment détecter et corriger des bugs ?
Il suffirait d’écrire un super-compilateur qui, en plus de compiler,
détecterait les bugs.
◮
Comment décrire le comportement attendu du programme à vérifier ?
◮
Peut-on réellement écrire un tel super-compilateur ?
11/27
Les programmes ne peuvent pas tout. . .
Théorème de Rice
Toute propriété non triviale des langages récursivement énumérables est
indécidable.
12/27
Les programmes ne peuvent pas tout. . .
Théorème de Rice
Toute propriété non triviale des langages récursivement énumérables est
indécidable.
En clair : on ne peut pas programmer un « super compilateur » qui, à la
super-compilation, prendrait en entrée un programme source et qui :
◮
Détecterait les instructions non atteintes,
◮
Détecterait les assertions fausses.
◮
...
12/27
Les programmes ne peuvent pas tout. . .
Théorème de Rice
Toute propriété non triviale des langages récursivement énumérables est
indécidable.
En clair : on ne peut pas programmer un « super compilateur » qui, à la
super-compilation, prendrait en entrée un programme source et qui :
◮
Détecterait les instructions non atteintes,
◮
Détecterait les assertions fausses.
◮
...
Et cela, même pour les programmes qui n’utilisent que 2 variables
entières, et juste 2 types d’instructions :
◮
x++
◮
if (x==0) goto p else x-- goto q
12/27
... et ne savent même pas carreler
◮
À partir d’un ensemble fini de tuiles comme entrée :
Peut-on réaliser un carrelage rectangulaire à couleurs jointives de
bord vert ?
◮
. . . ni résoudre le puzzle d’Emil Post
13/27
La chasse aux bugs n’est pas facile
◮
On ne peut donc pas détecter des bugs automatiquement.
◮
Et pourtant, c’est une nécessité.
14/27
La vérification de logiciel
Constat. Problèmes logiciels très coûteux, dus à des bugs.
Pour les détecter, approches complémentaires
◦ Simulation/test.
Peut trouver des bugs,
Pas garantir leur absence.
◦ Preuve de théorème.
Donne des garanties.
Pas entièrement automatique, demande de l’expertise.
◦ Vérification de modèle, ou model-checking.
Donne des garanties.
Automatique.
Ne fonctionne que sur des abstractions du système.
◦ ...
15/27
Le model-checking.
Clarke/Emerson & Queille/Sifakis, 1981
◮
◮
◮
Objectif : détecter de façon automatique les bugs dans les circuits,
dans les protocoles de communication,...
S’applique bien en phase de conception, ou après modélisation.
Travaille sur un modèle de système pour en vérifier des propriétés.
E.M. Clarke
E.A. Emerson
J. Sifakis
Prix Turing 2007.
16/27
Principe du model-checking
Système
vérifie ?
propriété
17/27
Principe du model-checking
Système
vérifie ?
propriété
Expression
dans une
logique adaptée
Modélisation
S
φ
17/27
Principe du model-checking
Système
vérifie ?
propriété
Expression
dans une
logique adaptée
Algorithme
Modélisation
?
S
|=
φ
17/27
Comment contourner le théorème de Rice ?
◮
Vérifier des modèles moins réalistes que les machines de Turing,
en se concentrant sur certains aspects. Aujourd’hui : systèmes finis.
◮
Compromis réalisme des modèles / expressivité des logiques.
◮
Vérifier de façon approchée.
◮
◮
◮
Vérifier à nombre de pas de calcul borné.
Semi-algorithmes, plus de garantie de terminaison.
...
Un modèle très simple de programme : les automates
finis
◮
◮
Machine lisant un mot en entrée et qui accepte ou rejette ce mot.
Capacités de calcul très limitées : chaque lettre lue ne peut
qu’influencer une mémoire interne finie, les états.
1
a
2
b
b
a, b
3
19/27
Un modèle très simple de programme : les automates
finis
◮
◮
Machine lisant un mot en entrée et qui accepte ou rejette ce mot.
Capacités de calcul très limitées : chaque lettre lue ne peut
qu’influencer une mémoire interne finie, les états.
1
a
2
b
b
a, b
3
◮
États,
19/27
Un modèle très simple de programme : les automates
finis
◮
◮
Machine lisant un mot en entrée et qui accepte ou rejette ce mot.
Capacités de calcul très limitées : chaque lettre lue ne peut
qu’influencer une mémoire interne finie, les états.
1
a
2
b
b
a, b
3
◮
◮
États,
Transitions, étiquetées sur un alphabet (ici 5, sur Σ = {a, b}),
19/27
Un modèle très simple de programme : les automates
finis
◮
◮
Machine lisant un mot en entrée et qui accepte ou rejette ce mot.
Capacités de calcul très limitées : chaque lettre lue ne peut
qu’influencer une mémoire interne finie, les états.
1
a
2
b
b
a, b
3
◮
◮
◮
États,
Transitions, étiquetées sur un alphabet (ici 5, sur Σ = {a, b}),
États initiaux,
19/27
Un modèle très simple de programme : les automates
finis
◮
◮
Machine lisant un mot en entrée et qui accepte ou rejette ce mot.
Capacités de calcul très limitées : chaque lettre lue ne peut
qu’influencer une mémoire interne finie, les états.
1
a
2
b
b
a, b
3
◮
◮
◮
◮
États,
Transitions, étiquetées sur un alphabet (ici 5, sur Σ = {a, b}),
États initiaux,
États acceptants.
19/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
20/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
20/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
20/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
20/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
20/27
Runs et langage accepté
a
1
2
b
b
a, b
3
t= a b b a
◮
Run sur un mot t : chemin étiqueté par t depuis un état initial.
◮
Mot t accepté si au moins un run sur t va à un état acceptant.
◮
Langage de l’automate : ensemble des mots acceptés.
Ici : a[b + b(a + b)a]∗ .
20/27
Exemple d’utilisation d’automate : recherche de motif
◮
Pour rechercher le mot ananas dans un texte sur {a, n, s}∗ , il suffit
de lire le texte dans l’automate :
a, n, s
0
a
1
n
2
a
3
n
4
a
5
s
6
21/27
Exemple d’utilisation d’automate : recherche de motif
◮
Pour rechercher le mot ananas dans un texte sur {a, n, s}∗ , il suffit
de lire le texte dans l’automate déterministe :
a
n, s
0
a
s
a
a
a
1
n
a
2
3
n
4
a
5
s
6
n
n, s
s
n, s
n, s
◮
Calcul efficace de cet automate : algorithme Knuth-Morris-Pratt.
◮
Représentation compacte, peu de transitions utiles (I. Simon).
21/27
Vérifier des systèmes finis : Structures de Kripke
◮
Structure de Kripke K : automate fini dont les états sont étiquetés
par des propriétés d’un alphabet AP (et sans état final).
◮
Permet de modéliser des systèmes finis.
◮
Chaque run engendre un mot sur l’alphabet Σ = 2AP
◮
On utilise ensuite un langage logique pour spécifier.
◮
Une formule φ définit un langage L(φ) sur Σ = 2AP .
◮
On veut vérifier si tout comportement du système K satisfait φ :
L(K) ⊆ Σ∗ .
L(K) ⊆ L(φ) ?
22/27
Le model-checking : schéma
Modèle K d’un système =
Système de transitions
(Structure de Kripke).
Chaque état satisfait des
propriétés atomiques de AP
Propriété φ :
comportements corrects
dans Σ∗ , où Σ = 2AP
Algorithme de vérification
K |= φ : OK
K 6|= φ : trace d’erreur
23/27
Exemple : algorithme de Peterson
Deux processus P0 , P1 . Variables req[0], req[1] et turn partagées.
Code pour Pi :
req [ i] = true
tour = 1- i
while ( req [1 - i] && tour == 1- i)
; // attente
section_critique ()
req [ i] = false
◮
Garantit plusieurs propriétés, en particulier l’exclusion mutuelle.
24/27
Algorithme de Peterson : modélisation
◮
◮
4 états de contrôle par processus et 3 variables Booléennes
⇒ 42 × 23 = 128 états au plus pour la structure de Kripke.
Seuls ∼ 30 sont accessibles mais protocole non immédiat à prouver.
Pi
idlei
req[i] = true
req[i] = false
printingi
requesti
tour = 1 − i
tour == i ||
¬req[1 − i]?
waiti
else
◮
Autres algorithmes MutEx : http://en.wikipedia.org/wiki/Mutex.
◮
Exemple : Dekker, ∼ 10 lignes de code, ∼ 140 états accessibles.
25/27
Le model-checking en pratique
◮
Algorithme compilant une formule φ (l’entrée) en un automate Aφ
reconnaissant les comportements (mots) satisfaisant φ :
∀t ∈ Σ∗ : t |= φ ⇐⇒ t ∈ L(Aφ ).
◮
Vérifier que tous les comportements de K satisfont φ :
L(K) ∩ L(A¬φ ) = ∅ ⇐⇒ K |= φ.
26/27
Le model-checking en pratique
◮
Algorithme compilant une formule φ (l’entrée) en un automate Aφ
reconnaissant les comportements (mots) satisfaisant φ :
∀t ∈ Σ∗ : t |= φ ⇐⇒ t ∈ L(Aφ ).
◮
Vérifier que tous les comportements de K satisfont φ :
L(K) ∩ L(A¬φ ) = ∅ ⇐⇒ K |= φ.
◮
Tout ça peut être fait automatiquement, par exemple avec SPIN :
26/27
SPIN
27/27
Documents connexes
Organigramme Exemple
Organigramme Exemple
Calculabilité et vérification
Calculabilité et vérification
Alice se retrouve face à un lapin élégamment vêtu. Intriguée, Alice le
Alice se retrouve face à un lapin élégamment vêtu. Intriguée, Alice le
Dossier A lice #144 – J ames Hamlet
Dossier A lice #144 – J ames Hamlet
Alice au pays des merveilles - Ciné
Alice au pays des merveilles - Ciné
Cas Woss
Cas Woss
A. P. M. E. P. 2. Il faut ensuite calculer K = (p −1)×(q
A. P. M. E. P. 2. Il faut ensuite calculer K = (p −1)×(q
2. 2 sin x 1 = AE, AD gggd gggd CD,CF gggd ggd DA, DE gggd
2. 2 sin x 1 = AE, AD gggd gggd CD,CF gggd ggd DA, DE gggd
Lutte contre les cancers féminins /3e édition de la
Lutte contre les cancers féminins /3e édition de la
exam 2012-2013 - Université de Bourgogne
exam 2012-2013 - Université de Bourgogne
biographie-de-charlie
biographie-de-charlie
Présentation du cahier des charges du cas pratique (Version 02)
Présentation du cahier des charges du cas pratique (Version 02)
Examen Mi-terme Novembre 2014 I
Examen Mi-terme Novembre 2014 I
Atelier Centre Galois - 2015 [Mode de compatibilité]
Atelier Centre Galois - 2015 [Mode de compatibilité]
Le support « contenu JDE » du 16-01-15
Le support « contenu JDE » du 16-01-15
Document
Document
correction-exo-biabète-Alice
correction-exo-biabète-Alice
Vendredi 9 janvier 2015 à 11h - Palais des Festivals de Cannes
Vendredi 9 janvier 2015 à 11h - Palais des Festivals de Cannes
info528 : Mathématiques pour l`informatique TD 4
info528 : Mathématiques pour l`informatique TD 4
Le livre et les jambes – Charlie et le chocolaterie
Le livre et les jambes – Charlie et le chocolaterie
Téléchargement
publicité