fr Tue, 30 Apr 2013 00:58:59 +0200 http://cedric.cnam.fr/index.php/publis/article/view?id=2736 http://cedric.cnam.fr/index.php/publis/article/view?id=2736 In the last few years appeared pedagogical propositional natural deduction systems. In these systems, one must satisfy the pedagogical constraint: the user must give an example of any introduced notion. First we expose the reasons of such a constraint and properties of these "pedagogical" calculi: the absence of negation at logical side, and the "usefulness" feature of terms at computational side (through the Curry-Howard correspondence). Then we construct a simple pedagogical restriction of the calculus of constructions (CC) called CCr. We establish logical limitations of this system, and compare its computational expressiveness to Godel system T. Finally, guided by the logical limitations of CCr, we propose a formal and general de?nition of what a pedagogical calculus of constructions should be. Tue, 30 Apr 2013 00:58:59 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2735 http://cedric.cnam.fr/index.php/publis/article/view?id=2735 Les systèmes pédagogiques sont apparus récemment à propos des calculs propositionnels (jusqu'à l'ordre supérieur), et consistent à donner systématiquement des exemples des notions (hypothèses) introduites. Formellement, cela revient à contraindre la règle d'hypothèse (Hyp) en déduction naturelle en une règle (P-Hyp) nécessitant la donnée d'exemples (i.e. instances prouvées) de formules introduites dans l'environnement. Autrement dit pour mettre un ensemble G de formules en hypothèse, il est requis de donner une substitution s telle que l'instance s(G) soit démontrable. Cette nécessité d'exemplification ayant été pointée du doigt par Poincaré (1913) comme relevant du bon sens: une définition d'un objet par postulat n'ayant d'intérêt que si un tel objet existe. Cette restriction appliquée à des systèmes formels intuitionnistes rejoint l'idée des mathématiques sans négation défendues par Griss (1946) au milieu du siècle dernier, et présentées comme une version radicale de l'intuitionnisme. À travers l'isomorphisme de Curry-Howard (1980), la contrepartie calculatoire est l'utilité des programmes définis dans les systèmes fonctionnels correspondant: toute fonction peut être appliquée à un argument clos. Les premiers résultats concernant les calculs propositionnels jusqu'au second ordre ont été publiés récemment par Colson et Michel (2007, 2008, 2009). Nous exposons dans ce rapport une tentative d'uniformisation et d'extension au Calcul des Constructions (CC) des précédents résultats. Tout d'abord une définition formelle et précise de sous-système pédagogique du Calcul des Constructions est introduite, puis différents tels sous-systèmes sont déclinés en exemple. Tue, 30 Apr 2013 00:47:42 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2734 http://cedric.cnam.fr/index.php/publis/article/view?id=2734 Theorem proving is crucial for the formal validation of properties about user specifications. With the help of the Coq proof assistant, we show how to certify properties about conditional specifications that are proved using automated proof techniques like those employed by the Spike prover, a rewrite-based implicit induction proof system. The certification methodology is based on a new representation of the implicit induction proofs for which the underlying induction principle is an instance of Noetherian induction governed by an induction ordering over equalities. We propose improvements of the certification process and show that the certification time is reasonable even for industrial-size applications. As a case study, we automatically prove and certify more than 40% of the lemmas needed for the validation of a conformance algorithm for the ABR protocol. Tue, 30 Apr 2013 00:36:53 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2675 http://cedric.cnam.fr/index.php/publis/article/view?id=2675 Proof assistants based on type theory allow the user to adopt either a functional style, or a relational style (e.g., by using inductive types). Both styles have pros and cons. Relational style may be pre- ferred because it allows the user to describe only what is true, discard momentarily the termination question, and stick to a rule-based descrip- tion. However, a relational specification is usually not executable. This paper proposes to turn an inductive specification into a functional one, in the logical setting itself, more precisely Coq in this work. We define for a certain class of inductive specifications a way to extract functions from them and automatically produce the proof of soundness of the extracted function w.r.t. its inductive specification. In addition, using user-defined modes which label inputs and outputs, we are able to extract several computational contents from a single inductive type. Fri, 02 Nov 2012 11:03:34 +0100 CPR Paper http://cedric.cnam.fr/index.php/labo/membre/view?id=1728 http://cedric.cnam.fr/index.php/labo/membre/view?id=1728 a Wed, 17 Oct 2012 16:24:19 +0200 CPR Job http://cedric.cnam.fr/index.php/publis/article/view?id=2672 http://cedric.cnam.fr/index.php/publis/article/view?id=2672 We introduce INICheck, a translation tool from a new programming language called INI, which combines both rule-based and event-based programming styles into Promela, the language of the model-checker SPIN. INI allows the definitions of rules that can be triggered by events, that are implemented in a multithreaded way. This makes it suitable for many types of applications such as embedded applications and self-adaptive software. Moreover, by using INICheck, programmers can verify constraints, which need to be satisfied in their INI programs. Tue, 09 Oct 2012 18:40:22 +0200 CPR Paper http://cedric.cnam.fr/index.php/labo/membre/view?id=1719 http://cedric.cnam.fr/index.php/labo/membre/view?id=1719 a Thu, 04 Oct 2012 13:20:13 +0200 CPR Job http://cedric.cnam.fr/index.php/labo/membre/view?id=1678 http://cedric.cnam.fr/index.php/labo/membre/view?id=1678 a Wed, 12 Sep 2012 21:15:10 +0200 CPR Job http://cedric.cnam.fr/index.php/publis/article/view?id=2570 http://cedric.cnam.fr/index.php/publis/article/view?id=2570 L'environnement Focal, développé conjointement par des chercheurs des laboratoires CÉDRIC, LIP6 et de l'INRIA, permet de construire de manière incrémentale des composants de bibliothèque avec un haut niveau de confiance et de qualité. Un composant de bibliothèque Focal peut contenir des spécifications, l'implantation des opérations spécifiées et des preuves que la spécification et l'implantation sont en conformité. Les composants Focal sont traduits en code exécutable OCaml et vérifiés par l'assistant à la preuve Coq. Même si un développement en Focal nous assure un haut degré de confiance dans le programme, de par une spécification formelle et les preuves de correction, nous ne pouvons nous passer du test. Les propriétés de bas niveau, comme les axiomes, ne sont en général pas prouvées. Focal autorise l'importation de code non sûr au sein de code Focal certifié, ce qui peut amener à « casser » la spécification. Finalement, le test peut être utilisé pour avoir confiance en une implantation dont la preuve de correction n'est pas encore effectuée ou terminée ou lorsqu'une tentative de preuve échoue, pour trouver des contre-exemples. Ce manuscrit présente le développement d'un outil de test intégré à Focal. La méthodologie repose sur le test automatique de propriétés. Les jeux de test sont définis comme des valuations des variables quantifiées de la propriété sous test, qui satisfont les prémisses de la propriété (précondition). La conclusion de la propriété sert d'oracle pour le test. Nous proposons deux stratégies de recherche des jeux de test : aléatoire et par résolution de contraintes. Pour cette dernière, nous traduisons la précondition de la propriété en un système de contraintes. Sa résolution nous permet d'obtenir les jeux de test recherchés. Cette méthodologie est formellement définie et nous prouvons que les jeux de test ainsi construits satisfont la précondition. Sun, 10 Jun 2012 16:58:39 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2569 http://cedric.cnam.fr/index.php/publis/article/view?id=2569 Le programme de sûreté (dans le transport aérien le terme sûreté correspond à des problèmes sécuritaires), établi au niveau de chaque aéroport, est régi par une série de réglementations internationales et de recommandations dont le but est de se protéger contre des actes d'intervention illicite dans l'aviation civile. Un aspect essentiel de l'application de ces normes est d'évaluer la conformité des procédures et artéfacts réglementés. Cependant, pour que le processus d'évaluation soit le plus efficace possible, il est aussi nécessaire de s'assurer de la qualité des documents normatifs. Cette thèse, qui a été réalisée dans le cadre du projet EDEMOI, décrit la méthodologie adoptée pour la formalisation et l'analyse des réglementations Annexe~17 (ICAO, niveau international) et Doc~2320 (ECAC, niveau européen) dans l'atelier Focal. Focal est utilisé principalement pour la production de composants certifiés formellement. La formalisation met en évidence la nécessité d'organiser la réglementation sous forme d'une hiérarchie de propriétés de sûreté. La validation de la réglementation s'effectue en raisonnant sur la hiérarchie établie afin de détecter des incohérences (ou de garantir leur absence), d'identifier des hypothèses cachées ou de détecter des failles potentielles de sûreté. L'évaluation de l'adéquation de Focal pour la modélisation des réglementations est une autre contribution de la thèse. Certaines améliorations sont aussi suggérées. De plus, comme la sécurité dans les aéroports est un problème de grande envergure, cela a aussi servi à valider le pouvoir d'expressivité et de raisonnement de Focal. Enfin, la thèse propose aussi une transformation automatique des spécifications Focal en diagrammes UML. L'objectif est ici de fournir une documentation graphique des modèles formels aux développeurs. À long terme, il est envisagé de produire des diagrammes à des niveaux d'abstraction plus élevés qui seront pertinents pour les autorités de certification. Un cadre formel est aussi décrit pour démontrer la correction de la transformation. Sun, 10 Jun 2012 16:38:34 +0200 CPR Paper http://cedric.cnam.fr/index.php/labo/membre/view?id=1578 http://cedric.cnam.fr/index.php/labo/membre/view?id=1578 a Sun, 10 Jun 2012 16:30:55 +0200 CPR Job http://cedric.cnam.fr/index.php/publis/article/view?id=2568 http://cedric.cnam.fr/index.php/publis/article/view?id=2568 Critical software needs to obtain an assessment before com- missioning. This assessment is given after a long task of software analysis performed by assessors. They may be helped by tools, used interactively, to build models using information-flow analysis. Tools like SPARK-Ada exist for Ada subsets used for critical software. But some emergent languages such as those of the ML family lack such adapted tools. Pro- viding similar tools for ML languages requires special attention on spe- cific features such as higher-order functions and pattern-matching. This paper presents an information-flow analysis for such a language specifi- cally designed according to the needs of assessors. This analysis can be parametrized to allow assessors getting a view of dependencies at several levels of abstraction and gives the basis for an efficient fault tolerance analysis. Sun, 10 Jun 2012 16:15:55 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2567 http://cedric.cnam.fr/index.php/publis/article/view?id=2567 Part 1 : introduction - Part 2 : verification of a compiler Sun, 10 Jun 2012 16:02:58 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2566 http://cedric.cnam.fr/index.php/publis/article/view?id=2566 We define a framework for automatic generation of loop invariants for a small language. The method proceeds by 1) translation to an intermediate language of parallel guarded assignments 2) pattern detection. The patterns are modular in the sense that they are independent of the loop they appear in. Some maximality results are also proved on some pattern invariants. Sun, 10 Jun 2012 15:58:49 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2555 http://cedric.cnam.fr/index.php/publis/article/view?id=2555 This is a companion paper of "Maximal and Compositional Pattern-Based Loop Invariants" currently accepted under condition to FM 2012. It provides nude definition and proofs that could not fit in the 15 pages of the original paper. Thu, 24 May 2012 19:56:17 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2548 http://cedric.cnam.fr/index.php/publis/article/view?id=2548 Wed, 16 May 2012 14:45:53 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2547 http://cedric.cnam.fr/index.php/publis/article/view?id=2547 Constraint programs such as those written in modern Con- straint Programming languages and platforms aim at solving problems coming from optimization, scheduling, planning, etc. Recently CP pro- grams have been used in business-critical or safety-critical areas as well, e.g., e-Commerce, air-traffic control applications, or software verification. This implies a more skeptical regard on the implementation of constraint solvers, especially when the result is that a constraint problem has no solution, i.e., unsatisfiability. For example, in software model checking, using an unsafe constraint solver may result in a dramatic wrong an- swer saying that a safety property is satisfied while there exist counter- examples. In this paper, we present a Coq formalization of a constraint filtering algorithm ? AC3 and one of its variant AC2001 ? and a sim- ple labeling procedure. The proof of their soundness and completeness has been completed using Coq. As a result, a formally verified constraint solver written in OCaml has been automatically extracted from the Coq specification of the filtering and labeling algorithms. The solver, yet not as efficient as specialized existing (unsafe) implementations, can be used to formally certify that a constraint system is unsatisfiable. Wed, 16 May 2012 14:14:50 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2546 http://cedric.cnam.fr/index.php/publis/article/view?id=2546 We propose a method which allows us to develop tableaux modulo theories using the principles of superdeduction, among which the theory is used to enrich the deduction system with new deduction rules. This method is presented in the framework of the Zenon automated theorem prover, and is applied to the set theory of the B method. This allows us to provide another prover to Atelier B, which can be used to verify B proof rules in particular. We also propose some benchmarks, in which this prover is able to automatically verify a part of the rules coming from the database maintained by Siemens IC-MOL. Wed, 16 May 2012 14:08:11 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2536 http://cedric.cnam.fr/index.php/publis/article/view?id=2536 Watermarking techniques are used to help identifying copies of publicly released information. They consist in applying a slight and secret modification to the data before its release, in a way that should be robust, i.e. remain recognizable even in (reasonably) modified copies of the data. In this paper, we present new results about the robustness of watermarking schemes against arbitrary attackers, and the formalization of those results in \coq. We used the \alea library, which formalizes probability theory and models probabilistic programs using a simple monadic translation. This work illustrates the strengths and particularities of the induced style of reasoning about probabilistic programs. Our technique for proving robustness is adapted from methods commonly used for cryptographic protocols, and we discuss its relevance to the field of watermarking. Thu, 03 May 2012 17:49:02 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2533 http://cedric.cnam.fr/index.php/publis/article/view?id=2533 Avec la prolifération des Services Web, le problème de la découverte de services est devenu crucial. Les approches basées sur UDDI ne permettant qu?une recherche syntaxique sur l?interface des services, des approches sémantiques à base d?ontologies, comme par exemple OWL-S, ont été développées. Ces approches permettent une description plus précise des fonctionnalités des Services Web mais ne proposent que peu d?éléments pour en capturer les aspects non fonctionnels qualifiés de Qualité de Services (QoS). Pour répondre à ce besoin, des travaux ont proposé des approches de découverte de Service Web basées sur des ontologies de QoS. Cependant, ces approches ne prennent pas en compte les différents standards de qualité existants et les relations que l?on peut établir entre eux. Pourtant, ces normes fournissent un référentiel commun pour les fournisseurs et les consommateurs de services facilitant ainsi la recherche de services. Dans cet article, nous proposons une extension de OWL-S permettant de décrire la qualité d?un Service Web en fonction d?un ou plusieurs standards. Nous proposons ensuite une approche permettant d?exploiter cette extension de OWL-S pour faciliter la recherche de Services Web en fonction de critères de qualité. Cette approche repose sur une extension de SPARQL pour simplifier l?expression de requêtes. Elle permet de retrouver un service même si celui-ci est décrit par des critères de qualité d?un autre standard que celui utilisé pour exprimer la requête. Enfin, elle permet d?exprimer les besoins non fonctionnels comme des préférences utilisateurs servant ainsi à ordonner les services répondant aux besoins fonctionnels. Wed, 02 May 2012 16:20:01 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2510 http://cedric.cnam.fr/index.php/publis/article/view?id=2510 FoCaLiZe is an object-oriented programming environment allowing to combine specifications, programs and proofs. This paper describes how such features can be used to formally express specifications and to go step by step (in an incremental approach) to design and implement secured systems while proving that the implementation meets its specification or design requirements. Thus, a modular implementation of a generic framework allowing to define security policies together with a certified enforcement mechanism is obtained. Tue, 10 Apr 2012 08:15:32 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2509 http://cedric.cnam.fr/index.php/publis/article/view?id=2509 A first step in the design of a formally verified constraint-based testing tool Mon, 09 Apr 2012 20:47:31 +0200 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2454 http://cedric.cnam.fr/index.php/publis/article/view?id=2454 ...Driss Sadoun, Catherine Dubois, Yacine Ghamri- Mon, 05 Mar 2012 10:37:52 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2432 http://cedric.cnam.fr/index.php/publis/article/view?id=2432 Despite their wide use and the maturity of their theory, only a few works have focused on the formal verification of graph proper- ties and algorithms. With the growing range and complexity of formally verified applications, the need for formally verified graph libraries natu- rally rises. This is even more relevant for the Coq system, in which the extraction facility motivates the need for efficient structures. In this work, we propose the core of a graph library (formally verified within the Coq system) that combines the expressivity needed to prove graph properties and efficient purely functional data structures required for algorithms. We illustrate the use of this library with a lightweight formally verified implementation of Dijkstra?s shortest path algorithm. The library, including Dijkstra?s shortest path algorithm, can freely be extracted in different languages including Ocaml and Haskell. Fri, 17 Feb 2012 20:43:14 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2431 http://cedric.cnam.fr/index.php/publis/article/view?id=2431 The maximum affinity K-coloring problem is a generalization of the classical K- coloring problem that enables to model that two vertices should be, if possible, colored with the same color. Such vertices are linked with another kind of edges, called affinities. Almost all the algorithms used in practice use local criteria to determine whether an affinity can be satisfied (i.e. its endpoints can be colored with the same color) or not. These criteria only rely on the colorability of the graph and do not take care of the global configuration of affinities. This paper has two objectives. First, highlight a problem that models many applications and on which much work has to be done. Second, point out that affinities have to be considered more globally than they currently are in the literature. We first describe complexity results, mostly in 2-colorable graphs. In partic- ular, we show that the problem is NP-hard in these graphs for K = 2, meaning that the problem is hard even if coloring the graph is easy. Then we prove that any affinity of a graph can be satisfied while preserving the K-colorability in partial (K ? 1)-trees. Finally, we prove that, in partial (K ? 1)-trees, an optimal affinity coloring can be found by solving a minimum multiway cut instance and a classical K-coloring instance separately. Fri, 17 Feb 2012 20:41:30 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2429 http://cedric.cnam.fr/index.php/publis/article/view?id=2429 nn Fri, 17 Feb 2012 19:18:42 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2388 http://cedric.cnam.fr/index.php/publis/article/view?id=2388 Mes thèmes de recherche visent au développement de programmes sûrs. Ils concernent la preuve automatique ; en particulier les moyens d?apporter autant d?automatisation que possible à la vérification mécanique de propriétés des programmes. Le contexte général de mes contributions suit un parcours commençant par les choix d?un formalisme de base et d?une propriété particulière. Il aborde pour cette dernière le développement de techniques de preuves qui doivent pouvoir être automatisées, qui s?adaptent à la pratique du développement logiciel, et dont l?efficacité va davantage se concentrer sur les problèmes rencontrés en pratique, plutôt que sur des cas pathologiques. L?étape suivante consiste à se rapprocher des langages de programmation courants, principalement en ajoutant au formalisme de base des constructions de plus en plus expressives et en y étudiant l?extension de nos techniques automatisées : présence de symboles associatifs et commutatifs, stratégies d?évaluation, conditions, etc. Je crois fermement que, tout au long de ce parcours, les résultats obtenus doivent être implantés : ils sont en premier lieu recherchés pour être utilisés dans des situations concrètes de développement. Les outils logiciels forment ainsi une composante essentielle de mes travaux. Se pose alors la question fondamentale de la confiance portée à ces outils, prouveurs automatiques, tout particulièrement dans le cadre de leurs liens avec des assistants à la preuve (où les preuves sont en général développées de façon interactive, puis vérifiées mécaniquement). Tenter d?y répondre va requérir des avancées dans différents domaines : modèles formels, communication entre outils, techniques pour la preuve formelle, etc. Ces étapes franchies, on pourra commencer à envisager dans le cadre de développements formels une délégation des preuves à des outils automatiques Fri, 17 Feb 2012 14:09:12 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2386 http://cedric.cnam.fr/index.php/publis/article/view?id=2386 Nous présentons dans cet article un ensemble de définitions réutilisables, et formellement vérifiées avec l'atelier FoCaLiZe, des concepts utilisés pour modéliser des systèmes sécurisés par une politique de sécurité. Ces différents concepts sont introduits très progressivement par le biais de composants logiciels abstraits connectés les uns aux autres par le jeu des mécanismes d'héritage et de paramétrisation de FoCaLiZe. Tout au long de ce développement, la définition d'un système de contrôle d'accès sécurisé illustre ces concepts généraux à l'aide d'instances concrètes. Fri, 17 Feb 2012 13:31:47 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2375 http://cedric.cnam.fr/index.php/publis/article/view?id=2375 This document proposes to present the results of more than ten years of research by the author, which aim to improve several techniques related to theorem proving. These improvements are guided by the following leitmotiv: how to make theorem proving easier to use? This work starts from the self-evident fact that theorem proving represents actually a very thin part of the spectrum of formal methods, especially compared to model checking. Automation is probably one of the main causes, but some other reasons may also be found elsewhere, such as in the way of building specifications or interacting with theorem provers. Thus, this document is organized around these three topics, that are structuring, automating, and communicating. The first part of this document focuses on the specification languages involved in theorem provers. In particular, we make use of the Focal language, which allows us to build certified applications. To understand how the design features of Focal can be appropriate in practice, a significant application, realized in the framework of the EDEMOI project, is described, and which consists of the formalization of airport security regulations in the domain of civil aviation. In the idea of clearly identifying specifications and implementations, we present, in the context of the Coq proof assistant, another work which aims to execute inductive relations. Finally, we discuss the notion of reuse with an experiment, which consists in retrieving information, typically theorems, in a proof library using types as keys and up to isomorphisms. The second part of this document is devoted to automation in theorem proving. First, the problem is handled in terms of power of automation, introducing a proof dedicated meta-language, which is intended to tailor automation in the framework of Coq. Next, we describe several experiments which aim to import computations from computer algebra systems into proof assistants in a pure skeptical way (i.e. verifying the soundness of the computations). Among these experiments, some interfaces have been realized between Coq and Maple, as well as between Focal and Axiom. Lastly, in the same idea of skeptical computations, we propose to adapt this idea to automated deduction with two contributions related to the Zenon automated theorem prover. These contributions respectively consist in verifying the proofs produced by Zenon by generating Coq proofs, and validating supplementary rules involved in applications developed using the B method by means of Zenon proofs. In the third part of this document, we aim to draw attention to several means of communicating with theorem provers. Regarding the input language and in the framework of Coq, we propose a language designed to describe proofs and intended to be style-independent. Concerning the output language, we present a transformation from Focal specifications to UML models, which is an appropriate means of producing comprehensible documents for end-users, such as the certification authorities in the context of the EDEDMOI project. Finally, still considering output languages, we introduce a scheme of compilation for Focal, which is based on the notion of modules and allows us to get traceability between Focal specifications and compiled codes. Thu, 16 Feb 2012 21:54:28 +0100 CPR Paper http://cedric.cnam.fr/index.php/publis/article/view?id=2374 http://cedric.cnam.fr/index.php/publis/article/view?id=2374 - Thu, 16 Feb 2012 21:29:37 +0100 CPR Paper