Verification of Red-Black Trees in KeY - A Case Study in Deductive Java Verification

Während das ausführliche Testen von Software das Auftreten von Fehlern unwahrscheinlicher macht, kann mit formaler Verifikation durch Beweise garantiert werden, dass sich ein Programm für sämtliche Eingaben korrekt verhält. Besonders für tausendfach verwendete Grundelemente wie die Datenstrukturen und Algorithmen einer Standardbibliothek ist eine formale Verifikation daher erstrebenswert. In dieser Fallstudie spezifizieren und verifizieren wir eine Java-Implementierung von Rot-Schwarz-Bäumen mit KeY. KeY ist ein Tool zur formalen Verifikation von Java-Programmen, und verwendet dabei Dynamic Frames für Aussagen über Speicherbereiche, also das Framing. Rot-Schwarz-Bäume sind eine beliebte Datenstruktur für das effiziente Speichern und Auslesen von Elementen und sind zum Beispiel in der Klasse java.util.TreeMap der Java Class Library umgesetzt. In beiden Bereichen existieren verschiedenste Fallstudien – die in KeY betrachten jedoch kaum Baumstrukturen und existierende Rot-Schwarz-Baum-Verifizierungen gehen auf andere Weise als KeY mit Framing um. In dieser Arbeit kommen wir zu dem Schluss, dass die Verifikation von Baumstrukturen mit Dynamic Frames möglich ist, jedoch im Vergleich zu anderen Ansätzen viel zusätzlichen Aufwand mit sich bringt. Darüber hinaus erkunden wir generelle Stärken und Schwächen von KeY und machen einige Vorschläge zur Verbesserung der Benutzbarkeit. Außerdem testen wir mit JML Scripts und Proof Caching neue Methoden zur Beweis-Automatisierung und -Persistierung

Results on the verification of satellite data based on a comparison with radiosonde data

Results of the verification of satellite wind data are represented by comparing them with radiosonde data for the geostationary satellites METEOSAT, GOES and GMS. The quality of METEOSAT pictures improved, reaching the quality of GOES and GMT wind data

Automated and foundational verification of low-level programs

Formal verification is a promising technique to ensure the reliability of low-level programs like operating systems and hypervisors, since it can show the absence of whole classes of bugs and prevent critical vulnerabilities. However, to realize the full potential of formal verification for real-world low-level programs one has to overcome several challenges, including: (1) dealing with the complexities of realistic models of real-world programming languages; (2) ensuring the trustworthiness of the verification, ideally by providing foundational proofs (i.e., proofs that can be checked by a general-purpose proof assistant); and (3) minimizing the manual effort required for verification by providing a high degree of automation. This dissertation presents multiple projects that advance formal verification along these three axes: RefinedC provides the first approach for verifying C code that combines foundational proofs with a high degree of automation via a novel refinement and ownership type system. Islaris shows how to scale verification of assembly code to realistic models of modern instruction set architectures-in particular, Armv8-A and RISC-V. DimSum develops a decentralized approach for reasoning about programs that consist of components written in multiple different languages (e.g., assembly and C), as is common for low-level programs. RefinedC and Islaris rest on Lithium, a novel proof engine for separation logic that combines automation with foundational proofs.Formale Verifikation ist eine vielversprechende Technik, um die Verlässlichkeit von grundlegenden Programmen wie Betriebssystemen sicherzustellen. Um das volle Potenzial formaler Verifikation zu realisieren, müssen jedoch mehrere Herausforderungen gemeistert werden: Erstens muss die Komplexität von realistischen Modellen von Programmiersprachen wie C oder Assembler gehandhabt werden. Zweitens muss die Vertrauenswürdigkeit der Verifikation sichergestellt werden, idealerweise durch maschinenüberprüfbare Beweise. Drittens muss die Verifikation automatisiert werden, um den manuellen Aufwand zu minimieren. Diese Dissertation präsentiert mehrere Projekte, die formale Verifikation entlang dieser Achsen weiterentwickeln: RefinedC ist der erste Ansatz für die Verifikation von C Code, der maschinenüberprüfbare Beweise mit einem hohen Grad an Automatisierung vereint. Islaris zeigt, wie die Verifikation von Assembler zu realistischen Modellen von modernen Befehlssatzarchitekturen wie Armv8-A oder RISC-V skaliert werden kann. DimSum entwickelt einen neuen Ansatz für die Verifizierung von Programmen, die aus Komponenten in mehreren Programmiersprachen bestehen (z.B., C und Assembler), wie es oft bei grundlegenden Programmen wie Betriebssystemen der Fall ist. RefinedC und Islaris basieren auf Lithium, eine neue Automatisierungstechnik für Separationslogik, die maschinenüberprüfbare Beweise und Automatisierung verbindet.This research was supported in part by a Google PhD Fellowship, in part by awards from Android Security's ASPIRE program and from Google Research, and in part by a European Research Council (ERC) Consolidator Grant for the project "RustBelt", funded under the European Union’s Horizon 2020 Framework Programme (grant agreement no. 683289)

Wie lässt sich die globale Aufrüstungsdynamik umkehren? Handlungsoptionen für eine friedenssichernde Abrüstungs- und Rüstungskontrollpolitik

Through the effective democratization process during the 2004 enlargement the European Union has exercised what many scholars have regarded as ‘normative power’. The biggest enlargement in the history of the EU has extended the borders of the Union towards new neighbourhood of democratically and economically unstable states. Less willing to accept new members and yet willing to export its norms and values in order to secure a stable neighbourhood, the EU launched its European Neighbourhood Policy with the ambition to create well governed ‘ring of friends’. Following the success of the use of positive conditionality during the enlargement, the ENP was created based on the same logic, however, unlike the enlargement policies, the ENP lacks the membership carrot. This thesis analyzes the ability of the EU to promote and diffuse its democratic norms and values through the ENP and to have a ‘normative impact’ beyond its borders. The results of the case study on Armenia show that though the ENP has a strong rhetoric and ambition in promoting normative values, and in spite of the fact it has succeeded in norm and rule transfer, it did not succeed in norm-adoption and implementation by the target states

Formale Verifikation digitaler Systeme mit Petrinetzen

Die Arbeit beschäftigt sich mit dem Entwurf und der Verifikation digitaler Systeme. Ziel ist die Modellierung und formale Verifikation digitaler Systeme mit Petrinetzen auf funktionaler Ebene. Im ersten Teil der Arbeit wird eine petrinetz-basierte Hardware-Entwurfsmethodik vorgeschlagen. Petrinetze werden als Beschreibungsmittel für digitale Systeme und als Werkzeug für deren Simulation, Validierung, Analyse und Verifikation genutzt. Die formale Verifikation eines Petrinetz-Modells wird mit der Methode der Eigenschaftsprüfung realisiert

Der Einfluß der Technik der Hautmarkierung auf die Reproduzierbarkeit der Patientenlagerung bei der perkutanen Strahlenbehandlung

Zur adäquaten Bestrahlung maligner Tumoren ist eine gute Reproduzierbarkeit der angestrebten Bestrahlungsposition bei jeder Therapiefraktion von entscheidender Bedeutung. Bei der freien Lagerung von Patienten muß die Bestrahlungsposition anhand von Hautmarkierungen sicher nachvollziehbar sein. Häufiges Nachzeichnen schränkt die Identifizierbarkeit dieser Einstellhilfen durch ein zunehmendes Maß an Ungenauigkeit ein. Im ersten Teil der Studie wurden drei verschiedene Markierungsverfahren in bezug auf ihre Eignung in der Bestrahlungsroutine verglichen. Es handelte sich um zwei Verfahren zur Konservierung der Haumarkierungen mit Hilfe von Wundverbänden und um die Hautmarkierung mit einem speziellen Hautmarkierungsstift. Zur Bewertung dienten die Kriterien Haltbarkeitsdauer und Identifizierbarkeit, sowie Hautverträglichkeit. Es zeigte sich, daß ausschließlich der Viomedex ® Hautmarkierungsstift für den Einsatz bei der Bestrahlung geeignet war. Im zweiten Teil der Studie wurde prospektiv untersucht, ob verglichen mit der bisher geübten Praxis mit Viomedex ® eine Verlängerung der Haltbarkeit der Hautmarkierungen und eine Verbesserung der Reproduzierbarkeit der Patientenlagerung erreicht werden kann. Haltbarkeit und Reproduzierbarkeit wurden in Abhängigkeit von den Hautmerkmalen Nachtschweiß, Schweißneigung, Behaarungsgrad und Hauttyp sowie dem Zeitpunkt der Einzeichnung ermittelt. Die durchschnittliche Haltbarkeit, betrug 11,02 Tage. Sie stand in keinem signifikanten Zusammenhang zu bestimmten Hautparametern. Einzeichnungen, die zu einem späteren Zeitpunkt im Verlauf der Strahlenbehandlung erfolgten, wiesen eine etwas längere Haltbarkeit auf, der Unterschied war statistisch nicht signifikant. Durch Identifizierung anatomischer Bildpunkte wurden die Verifikationsaufnahmen mit der jeweiligen Simulationsaufnahme verglichen und die mittlere Gesamtabweichung aller untersuchten Einstellungen als Maß für die Reproduzierbarkeit der Bestrahlung berechnet. Ein signifikanter Zusammenhang mit dem Zeitpunkt der Einzeichnung oder mit bestimmten Hautparametern trat nicht auf. Gegenüber früheren Untersuchungen unseres Institutes ergab sich eine stark verbesserte Reproduzierbarkeit. So verringerte sich der Wert der Gesamtabweichung bei der Bestrahlung der weiblichen Brust von 0,605 cm auf 0,490 cm. Bei Betrachtung der übrigen Patienten, die ohne Fixationshilfen bestrahlt wurden, konnte die Gesamtabweichung von 1,082 cm auf 0,655 cm gesenkt werden. Auch der Prozentsatz sehr großer Einstellfehler (>1 cm) ist im internen Vergleich bei der Bestrahlung aller Körperregionen von 47,7 % auf 20,4 % zurückgegangen. Es wurde gezeigt, daß durch langhaftende, sorgfältig eingezeichnete Hautmarkierungen, die Reproduzierbarkeit der Einstellungen bei frei gelagerten Patienten verbessert werden kann. Eine Problem­Patientengruppe, die aufgrund ihrer Hauteigenschaften einer gesonderten Markierungsmethode bedarf, wurde nicht ermittelt. Es konnten feste Regeln zum Anbringen und Überwachen der Hautmarkierungen formuliert werden, die in die Bestrahlungsroutine der Klinik für Strahlentherapie der J. W. Goethe­Universität aufgenommen wurden

KIV zur Verifikation von ASM-Spezifikationen am Beispiel der DLX-Pipelining Architektur

In der hier beschriebenen Fallstudie wurde das KIV-System (Karlsruhe Interactive Verifier) zur Verifikation von ASM-Spezifikationen (Abstract State Machines) eingesetzt. Diese Fallstudie behandelt die von Boerger & Mazzanti aufbereitete Verifikation der DLX-Pipelining-Architektur. Wir geben Details der formalen Spezifikation und Verifikation mit KIV, schaetzen den damit verbundenen Arbeitsaufwand ab und skizzieren kleinere Unzulaenglichkeiten der informellen Verifikation, welche durch die Formalisierung aufgedeckt werden konnten. Zudem wird von einer Erweiterung des KIV-Systems um zwei neue Beweistaktiken berichtet, welche speziell auf die effiziente Verifikation von ASM-Spezifikationen zugeschnitten sind. Diese wurden im Rahmen der hier behandelten Fallstudie erarbeitet, implementiert und eingesetz

Anforderungen an ein System zur Dokumentanalyse im Unternehmenskontext : Integration von Datenbeständen, Aufbau- und Ablauforganisation

Workflowmanagementsysteme werden im Bürobereich verstärkt zur effizienten Geschäftsprozeßabwicklung eingesetzt. Das bereits Mitte der 70er Jahre propagierte papierlose Büro bleibt jedoch gegenwärtig immer noch Utopie, da auch durch den allgegenwärtigen Einsatz von Computern im Bürobereich der Durchsatz an Schriftstücken nicht gesenkt wird. Insbesondere die Handhabung von papierintensiven Vorgängen ist in hohem Maße abhängig von einer Identifikation und Aufbereitung der in den Dokumenten enthaltenen Informationen. Allerdings müssen solche Daten z. B. bei eingehender Post immer noch von Hand eingegeben werden. In diesem Dokument werden Anforderungen an ein System aufgestellt, das diesen Medienbruch überwinden solI. Techniken aus dem Gebiet der Dokumentanalyse und des Dokumentverstehens werden in den Workflowkontext integriert und nutzen das dort verfügbare Wissen zur Steigerung der Erkennungsqualität. Durch Einschränkung des aktuellen Kontextes - etwa in Form offener Vorgänge - soll eine Erhöhung der Erkennungspräzision erreicht werden. Bei der Beschreibung der Systemanforderungen wurde nach den Richtlinien des V-Modells vorgegangen

Using model checking for interlocking software verification

The application of different verification methods is a prominent part of the development process for safety related systems. Some methods are suitable for the early lifecycle phases, while others are best used later. In the end, the most significant thing is that all the lifecycle phases can be verified in a sufficient manner and using the method best suited for the purpose. At Mipro, we have found that formal verification increases diversity in order to achieve the best possible verification results and improve the quality and safety of the deliveries