В своей прошлой статье я описал процесс верификации примитивной функции на Си. Параллельно привел соображения, почему верификация Си кода недостаточна для того, чтоб считать программу безошибочной. В основном эти соображения сводятся к мысли, что написать код — это только часть истории о получении работающей программы. Следующим приближением к тому, чтобы получить действительно безошибочную программу, является верификация ассемблерных кодов, их уже не нужно будет транслировать и поэтому полностью исключится обширное поле для возникновения ошибок. В данной статье я опишу процесс доказательства некоторых свойств уже для ассемблерного кода, который на порядок примитивней, чем даже простейшая функция на Си, о которой говорилось в прошлой статье.
Вот этот код:
0x00: subs r0, r0, #1
0x04: bne 0x0C
0x08: mov r1, #0
0x0C: mov r1, #1
После выполнения этого кода в зависимости от равенства начального значения регистра r0 единице в регистре r1 окажется либо один, либо ноль.
Сначала скажу еще несколько слов о самом ассемблерном коде. В данном случае речь идет не об ассемблере как языке программирования, а о машинных кодах. То есть здесь будет доказано некоторое утверждение о следующей программе в бинарном виде:
0xE2500001
0x1A000000
0xE3A01000
0xE3A01001
Если бы мы говорили об ассемблере, то проблемы доказательств утверждений о коде на высокоуровневых языках программирования остались бы в силе. А именно необходимость не только иметь и доверять имеющейся модели языка программирования, но и доверять компилятору, а в идеале и верифицировать его. Современные ассемблеры предоставляют множество возможностей, например, возможность модульного программирования, а значит становится необходима компоновка. Здесь же стадия компиляции и компоновки отсутствует.
Для доказательств я буду пользоваться средством для интерактивного доказательства теорем HOL (или на github'е) и созданной для него моделью ассемблерных инструкции для ARMv4. После того как вы получили последнюю версию HOL, скомпилировали её и модель ARMv4 — можете проделать все доказательства. Код я приведу целиком, чтобы у тех, кому интересно, была возможность полностью повторить все шаги доказательства.
Будет доказано две теоремы. Первая goal_eq1 о том, что если начальное значение регистра r0 равно 1, то через три шага исполнения в регистре r1 будет 0, также как и во всех остальных регистрах общего назначения:
|- ((x :bool[32]) = (1w :bool[32])) ⇒
(STATE_ARM_MMU (NO_CP :unit coproc) (3 :num)
<|registers := (r0 =+ x) (λ(n :register). (0w :bool[32]));
psrs :=
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32]));
undefined := F; cp_state := ()|> =
<|registers :=
(pc =+ (12w :bool[32])) (λ(n :register). (0w :bool[32]));
psrs :=
(CPSR =+ SET_NZCV (F,T,T,F) (SET_IFMODE F F usr (0w :bool[32])))
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|>)
Вторая теорема goal_ne1, о том если начальное значение регистра r0 не равно 1, то через три шага исполнения в регистре r1 будет 1:
|- (x :bool[32]) ≠ (1w :bool[32]) ⇒
∃(a :bool) (c :bool) (d :bool).
STATE_ARM_MMU (NO_CP :unit coproc) (3 :num)
<|registers := (r0 =+ x) (λ(n :register). (0w :bool[32]));
psrs :=
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32]));
undefined := F; cp_state := ()|> =
<|registers :=
(pc =+ (16w :bool[32]))
((r1 =+ (1w :bool[32]))
((r0 =+
(n2w
(MOD_2EXP (32 :num)
(w2n x + (4294967294 :num) + (1 :num))) :
bool[32])) (λ(n :register). (0w :bool[32]))));
psrs :=
(CPSR =+
SET_NZCV (a,F,c,d) (SET_IFMODE F F usr (0w :bool[32])))
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|>
Код доказательства этих теорем я почти не буду комментировать — ясно, что по сравнению с, казалось бы, простотой и почти очевидностью доказательств код для проверки машиной должен быть несуразно подробным.
Вначале необходимо загрузить модель ARMv4, определить основные константы и собственно программу.
FileSys.chDir "/home/path/to/your/HOL/examples/ARM/v4";
load "arm_evalLib";
open arm_evalLib;
val _ = overload_on("sp", ``r13``);
val _ = overload_on("lr", ``r14``);
val _ = overload_on("pc", ``r15``);
fun evaluate_st n state =
let val memory = (rhs o concl) (SIMP_CONV (srw_ss()) [] ``^(state).memory``)
val registers = (rhs o concl) (SIMP_CONV (srw_ss()) [] ``^(state).registers``)
val psrs = (rhs o concl) (SIMP_CONV (srw_ss()) [] ``^(state).psrs``)
in evaluate(n, memory, registers, psrs) end;
fun evaluate_CONV state = evaluate_st 1 state;
val reg_r0_x = set_registers empty_registers `[(r0,x)]`;
val reg_r0_1 = set_registers empty_registers `[(r0,1w)]`;
val psr = set_status_registers empty_psrs
`[(CPSR,SET_NZCV (F,F,F,F) (SET_IFMODE F F usr 0w))]`;
val prog = list_assemble empty_memory
["0x00: subs r0, r0, #1",
"0x04: bne 0x0C",
"0x08: mov r1, #0",
"0x0C: mov r1, #1"];
Теперь доказательство первой из теорем и необходимых лемм. Доказательство происходит так: сначала доказывается, что после одного шага будет некоторое конкретное состояние регистров, затем доказывается, что необходимый бит регистра статуса будет равен 1, затем доказывается теорема про следующие два шага исполнения, и эти два доказательства используются для доказательства целевой теоремы.
val f1vx = evaluate(1,prog,reg_r0_x,psr);
val f1vx_lhsc = (lhs o concl) f1vx;
val f1vx_rhsc = (rhs o concl) f1vx;
val f1v1 = evaluate(1,prog,reg_r0_1,psr);
val f1v1_rhsc = (rhs o concl) f1v1;
val f1v_thm = prove(``(x = 1w) ==> (^(f1vx_lhsc) = ^(f1v1_rhsc))``, SIMP_TAC (srw_ss()) [f1vx, combinTheory.UPDATE_def]);
val f2v1 = evaluate_CONV f1v1_rhsc;
val f2v1_rhsc = (rhs o concl) f2v1;
val f2vx = evaluate_CONV f1vx_rhsc;
val f2vx_lhsc = (lhs o concl) f2vx;
val f2v_thm = prove(``(x = 1w) ==> (^(f2vx_lhsc) = ^(f2v1_rhsc))``, SIMP_TAC (srw_ss()) [f2vx, combinTheory.UPDATE_def]);
val f2v_thm_rhsc = (rhs o concl) (UNDISCH f2v_thm);
val f2f1v_thm = prove(``STATE_ARM_MMU (NO_CP :unit coproc) (2 :num) x = STATE_ARM_MMU (NO_CP :unit coproc) (1 :num) (STATE_ARM_MMU (NO_CP :unit coproc) (1 :num) x)``, REWRITE_TAC [systemTheory.STATE_ARM_MMU_def, numLib.num_CONV ``2``, numLib.num_CONV ``1``]);
val subgoal_eq1 = prove(``(x = 1w) ==> (STATE_ARM_MMU (NO_CP :unit coproc) (2 :num)
<|registers :=
(r0 =+ (x :bool[32])) (λ(n :register). (0w :bool[32]));
psrs :=
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|> = ^(f2v1_rhsc))``, REWRITE_TAC [f1vx, f2v_thm, f2f1v_thm]);
val f3v1 = evaluate_CONV f2v_thm_rhsc;
val f3v1_rhsc = (rhs o concl) f3v1;
val f3f2v_thm = prove(``STATE_ARM_MMU (NO_CP :unit coproc) (3 :num) x = STATE_ARM_MMU (NO_CP :unit coproc) (1 :num) (STATE_ARM_MMU (NO_CP :unit coproc) (2 :num) x)``, REWRITE_TAC [systemTheory.STATE_ARM_MMU_def, numLib.num_CONV ``3``, numLib.num_CONV ``1``]);
val goal_eq1 = prove(``(x = 1w) ==> (STATE_ARM_MMU (NO_CP :unit coproc) (3 :num)
<|registers :=
(r0 =+ (x :bool[32])) (λ(n :register). (0w :bool[32]));
psrs :=
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|> = ^(f3v1_rhsc))``, DISCH_TAC THEN REWRITE_TAC [f3v1, UNDISCH subgoal_eq1, f3f2v_thm]);
Доказательство второй теоремы несколько сложней, так как там участвует отрицание. Отличия от доказательства первой теоремы в том, что для того чтоб не тянуть за собой символические выражения для значений несущественных битов регистра статуса используются кванторы существования.
val ef1vx = prove(``?a c d. ^(f1vx_lhsc) = <|registers :=
(pc =+ (4w :bool[32]))
((r0 =+
(n2w
(MOD_2EXP (32 :num)
(w2n x + (4294967294 :num) + (1 :num))) :bool[32]))
(λ(n :register). (0w :bool[32])));
psrs :=
(CPSR =+
SET_NZCV
(a,
MOD_2EXP (32 :num) (w2n x + (4294967294 :num) + (1 :num)) =
(0 :
num),
c,
d)
(SET_IFMODE F F usr (0w :bool[32])))
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|>``, EXISTS_TAC ``(BIT (31 :num) (MOD_2EXP (32 :num) (w2n (x :bool[32]) + (4294967294 :num) + (1 :num))))`` THEN EXISTS_TAC ``ODD (DIV_2EXP (32 :num) (w2n (x :bool[32]) + (4294967294 :num) + (1 :num)))`` THEN EXISTS_TAC ``word_msb (x :bool[32]) / (BIT (31 :num) (MOD_2EXP (32 :num) (w2n x + (4294967294 :num) + (1 :num))) <> word_msb x)`` THEN REWRITE_TAC [f1vx]);
val MODlem1 = prove(``!x. (x MOD 4294967296 = 0) ==> (?k. (x = 4294967296*k))``, RW_TAC arith_ss [] THEN ASSUME_TAC (SPEC ``x :num`` (SIMP_RULE (srw_ss()) [] (SPEC ``4294967296`` arithmeticTheory.DIVISION))) THEN EXISTS_TAC ``x DIV (4294967296 :num)`` THEN RW_TAC arith_ss []);
val CPSRlem1 = prove(``((x :bool[32]) <> 1w) ==> ((MOD_2EXP (32 :num) (w2n x + (4294967294 :num) + (1 :num)) = (0 : num)) = F)``, SIMP_TAC (arith_ss) [arithmeticTheory.MOD_2EXP_def] THEN DISCH_TAC THEN SPOSE_NOT_THEN ASSUME_TAC THEN UNDISCH_TAC ``(x :bool[32]) <> (1w :bool[32])`` THEN RW_TAC bool_ss [] THEN SIMP_TAC arith_ss [MODlem1] THEN ASSUME_TAC (SPEC ``w2n (x :bool[32]) + (4294967295 :num)`` MODlem1) THEN `?(k :num). w2n x + (4294967295 :num) = (4294967296 :num) * k` by (RW_TAC arith_ss []) THEN `(k :num) > 0` by FULL_SIMP_TAC arith_ss [] THEN `?(r :num). w2n (x :bool[32]) = (4294967296 :num) * (r :num) + 1` by EXISTS_TAC ``(k :num) - 1`` THEN ASM_SIMP_TAC arith_ss [] THEN ` w2n (x :bool[32]) = (1 :num)` by ASSUME_TAC (SPEC ``(x :bool[32])`` (INST_TYPE [alpha |-> ``:32``] wordsTheory.w2n_lt)) THEN FULL_SIMP_TAC (arith_ss ++ wordsLib.SIZES_ss) [] THEN PROVE_TAC [wordsTheory.n2w_w2n]);
val subgoal_ne1 = prove(``((x :bool[32]) <> 1w) ==> (?a c d. ^(f1vx_lhsc) = <|registers :=
(pc =+ (4w :bool[32]))
((r0 =+
(n2w
(MOD_2EXP (32 :num)
(w2n x + (4294967294 :num) + (1 :num))) :bool[32]))
(λ(n :register). (0w :bool[32])));
psrs :=
(CPSR =+
SET_NZCV
(a,
F,
c,
d)
(SET_IFMODE F F usr (0w :bool[32])))
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|>)``, DISCH_TAC THEN ASSUME_TAC (UNDISCH CPSRlem1) THEN ASSUME_TAC ef1vx THEN FULL_SIMP_TAC pure_ss [] THEN EXISTS_TAC ``a :bool`` THEN EXISTS_TAC ``c :bool`` THEN EXISTS_TAC ``d :bool`` THEN REWRITE_TAC []);
val f3f1v_thm = prove(``STATE_ARM_MMU (NO_CP :unit coproc) (3 :num) x = STATE_ARM_MMU (NO_CP :unit coproc) (2 :num) (STATE_ARM_MMU (NO_CP :unit coproc) (1 :num) x)``, REWRITE_TAC [systemTheory.STATE_ARM_MMU_def, numLib.num_CONV ``3``, numLib.num_CONV ``2``, numLib.num_CONV ``1``]);
val f32vx = evaluate_st 2 (rhs (# 2 (strip_exists (concl (UNDISCH subgoal_ne1)))));
val f32vx_rhsc = (rhs o concl) f32vx;
val goal_ne1 = prove(``((x :bool[32]) <> 1w) ==> (?a c d. (STATE_ARM_MMU (NO_CP :unit coproc) (3 :num)
<|registers :=
(r0 =+ (x :bool[32])) (λ(n :register). (0w :bool[32]));
psrs :=
(λ(x :psr).
SET_NZCV (F,F,F,F) (SET_IFMODE F F usr (0w :bool[32])));
memory :=
((0w :bool[30]) |:
[
enc
(SUB AL T (0w :bool[4]) (0w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])) :
arm_instruction);
enc (B NE (0w :bool[24]));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (0w :bool[8])));
enc
(MOV AL F (1w :bool[4])
(Dp_immediate (0w :bool[4]) (1w :bool[8])))
]) (λ(a :bool[30]). (0xE6000010w :bool[32])); undefined := F;
cp_state := ()|> = ^(f32vx_rhsc)))``, DISCH_TAC THEN ASSUME_TAC (UNDISCH subgoal_ne1) THEN FULL_SIMP_TAC pure_ss [f3f1v_thm] THEN EXISTS_TAC ``a :bool`` THEN EXISTS_TAC ``c :bool`` THEN EXISTS_TAC ``d :bool`` THEN REWRITE_TAC [f32vx]);
Доказательства, на мой взгляд, достаточно трудоемкие, особенно если их проводить для чего-то существенного, но те аспиранты, которые делали модель, пишут в своих статьях, что с помощью разработанных ими моделей они верифицировали какие-то нетривиальные вещи. Так что, может быть, подобные доказательства это будущее программ существенных для безопасности.
Автор: telomejtel
