Bonjour,
J'arrive en phase terminale de réalisation d'un projet, mais j'ai un do ute
sur l'utilisation de la crypto asymétrique dans mon cas.
En effet au lieu de voir une clé publique et une clé privé, je cons idère
plutot que j'ai 2 clé (K1,K2) qui chiffre/déchiffre ce qu'a fait l'au tre.
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce
code.- Un logiciel décrypte ceci avec K2.
K2 est écrit en dur dans le logiciel. Et le logiciel est éparpillé un peu
partout dans le monde.
Donc ma grande question est supposons qu'une personne arrive à partir d u
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne
ne peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
Bonjour,
J'arrive en phase terminale de réalisation d'un projet, mais j'ai un do ute
sur l'utilisation de la crypto asymétrique dans mon cas.
En effet au lieu de voir une clé publique et une clé privé, je cons idère
plutot que j'ai 2 clé (K1,K2) qui chiffre/déchiffre ce qu'a fait l'au tre.
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce
code.- Un logiciel décrypte ceci avec K2.
K2 est écrit en dur dans le logiciel. Et le logiciel est éparpillé un peu
partout dans le monde.
Donc ma grande question est supposons qu'une personne arrive à partir d u
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne
ne peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
Bonjour,
J'arrive en phase terminale de réalisation d'un projet, mais j'ai un do ute
sur l'utilisation de la crypto asymétrique dans mon cas.
En effet au lieu de voir une clé publique et une clé privé, je cons idère
plutot que j'ai 2 clé (K1,K2) qui chiffre/déchiffre ce qu'a fait l'au tre.
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce
code.- Un logiciel décrypte ceci avec K2.
K2 est écrit en dur dans le logiciel. Et le logiciel est éparpillé un peu
partout dans le monde.
Donc ma grande question est supposons qu'une personne arrive à partir d u
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne
ne peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
[...]
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce code.
- Un logiciel décrypte ceci avec K2.
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
[...]
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce code.
- Un logiciel décrypte ceci avec K2.
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
[...]
En partant de cela, j'ai établi un petit protocole :
- Un serveur crypte un code avec K1 et il est le seul à connaitre ce code.
- Un logiciel décrypte ceci avec K2.
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
Jean-Marc Desperrier wrote inDonc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl publique partir de la cl prive, et ce n'est pas un problme."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in
Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl publique partir de la cl prive, et ce n'est pas un problme."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
Jean-Marc Desperrier wrote inDonc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl publique partir de la cl prive, et ce n'est pas un problme."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
Bonjour,
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
Merci
Bonjour,
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
Merci
Bonjour,
[...]
Donc ma grande question est supposons qu'une personne arrive à partir du
logiciel (en faisant du reverse engenering) trouve K2. Est-ce que K1 est
compromis?
On peut voir ceci comme une signature presque, le logiciel doit pouvoir
decrypter le message et s'assurer qu'il provient bien du serveur.
Maintenant si K2 est découvert ce n'est pas trop grave tant que personne ne
peut se faire passer pour le serveur.
Expliqué comme ca, j'ai impression qu'on a donc bien à faire à une simple
signature donc la crypto asymétrique résoud mon problème.
Mais comme j'ai des doutes, je voudrais vos avis avant d'implementer ceci.
Merci
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
Désolé, mais j'ai mal interprété ta question alors.
Oui, pour la majorité des algo, on obtient très facilement la clé
public à partir de la clé privée.
C'est pour cela que le serveur doit chiffrer avec la clé privée (ce
que l'on appelle signer), et le client déchiffrer avec la clé public
(ce que l'on appelle vérifier la signature).
Il est hors de question de diffuser la clé privée dans le client.
Après déchiffrement, le fait que le résultat contient un padding
correct assure qu'on a utilisé la bonne clé publique pour déchiffrer,
et que donc l'émetteur a forcément utilisé *la* clé privée qui lui
correspond pour chiffrer. Donc qu'il connait cette clé privée, et donc
qu'il est bien la personne que l'on pense.
La solution plus haut sera efficace contre les keygen, les attaquants
seront donc obligés d'utiliser plutôt un patch, ce qui ne leur
représentera pas une difficulté supplémentaire sérieuse.
Une exemple de logicile qui se protégeait ainsi est Netscape 4, et la
réponse a été ceci : Fortify
http://www.fortify.net/intro_main.html
Désolé, mais j'ai mal interprété ta question alors.
Oui, pour la majorité des algo, on obtient très facilement la clé
public à partir de la clé privée.
C'est pour cela que le serveur doit chiffrer avec la clé privée (ce
que l'on appelle signer), et le client déchiffrer avec la clé public
(ce que l'on appelle vérifier la signature).
Il est hors de question de diffuser la clé privée dans le client.
Après déchiffrement, le fait que le résultat contient un padding
correct assure qu'on a utilisé la bonne clé publique pour déchiffrer,
et que donc l'émetteur a forcément utilisé *la* clé privée qui lui
correspond pour chiffrer. Donc qu'il connait cette clé privée, et donc
qu'il est bien la personne que l'on pense.
La solution plus haut sera efficace contre les keygen, les attaquants
seront donc obligés d'utiliser plutôt un patch, ce qui ne leur
représentera pas une difficulté supplémentaire sérieuse.
Une exemple de logicile qui se protégeait ainsi est Netscape 4, et la
réponse a été ceci : Fortify
http://www.fortify.net/intro_main.html
Désolé, mais j'ai mal interprété ta question alors.
Oui, pour la majorité des algo, on obtient très facilement la clé
public à partir de la clé privée.
C'est pour cela que le serveur doit chiffrer avec la clé privée (ce
que l'on appelle signer), et le client déchiffrer avec la clé public
(ce que l'on appelle vérifier la signature).
Il est hors de question de diffuser la clé privée dans le client.
Après déchiffrement, le fait que le résultat contient un padding
correct assure qu'on a utilisé la bonne clé publique pour déchiffrer,
et que donc l'émetteur a forcément utilisé *la* clé privée qui lui
correspond pour chiffrer. Donc qu'il connait cette clé privée, et donc
qu'il est bien la personne que l'on pense.
La solution plus haut sera efficace contre les keygen, les attaquants
seront donc obligés d'utiliser plutôt un patch, ce qui ne leur
représentera pas une difficulté supplémentaire sérieuse.
Une exemple de logicile qui se protégeait ainsi est Netscape 4, et la
réponse a été ceci : Fortify
http://www.fortify.net/intro_main.html
Jean-Marc Desperrier wrote in
Pour mon information pourrait-tu me dire quels sont les algo qui
permettent de ne pas obtenir la clé public à partir de la privée.
Ceci pourrait m'être utile plus tard peut être.
Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in
Pour mon information pourrait-tu me dire quels sont les algo qui
permettent de ne pas obtenir la clé public à partir de la privée.
Ceci pourrait m'être utile plus tard peut être.
Jean-Marc Desperrier wrote in
Pour mon information pourrait-tu me dire quels sont les algo qui
permettent de ne pas obtenir la clé public à partir de la privée.
Ceci pourrait m'être utile plus tard peut être.
Jean-Marc Desperrier wrote in
news:cndbi1$946$:Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl? publique ? partir de la cl? priv?e, et ce n'est pas un probl?me."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
Jean-Marc Desperrier <jmdesp@alussinan.org> wrote in
news:cndbi1$946$1@reader1.imaginet.fr:
Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl? publique ? partir de la cl? priv?e, et ce n'est pas un probl?me."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
Jean-Marc Desperrier wrote in
news:cndbi1$946$:Donc ma grande question est supposons qu'une personne arrive à partir
du logiciel (en faisant du reverse engenering) trouve K2. Est-ce que
K1 est compromis?
C'est la propriété de base des algo asymétriques qu'il ne l'est pas.
Pourtant j'ai lu il y a quelques jours ici ceci :
"En revanche, dans certains algorithmes, on peut facilement retrouver la
cl? publique ? partir de la cl? priv?e, et ce n'est pas un probl?me."
C'est en faite la lecture de cette phrase qui m'a poussé à poster mon
message afin d'avoir confirmation de ceci ou nan.
Je ne connais pas l'application, mais en général si quelqu'un peut
utiliser le reverse engineering pour trouver K2, il ne lui est pas
plus difficile de patcher le logiciel pour qu'il attende une autre
clé, ou lui faire accepter même un code non-signé, etc ...
Tout dépend contre quoi exactement tu veux te protéger.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué un
peu plus le travail du cracker.
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
Inutile d'utiliser la cryptographie (ou une autre techno compliquée) pour
contrer le travail des hackers.
En effet qu'elle que soit la methode utilisée pour verifier la clef du
logiciel, la facon la plus simple pour le hacker de deproteger le logiciel
est de la patcher. Il s'agit par exemple de 'simplement' supprimer du
logiciel la partie du code qui va faire la verification de la clef.
Du genre:
Soft initiale: if verifclef(...) = true then run(...)
Une fois patché: if true then run(...)
la fct verifclef(...) peut etre aussi compliqué que tu le veux....la seule
personne qui va passer un peu plus de temps a travailler, c toi !
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
Inutile d'utiliser la cryptographie (ou une autre techno compliquée) pour
contrer le travail des hackers.
En effet qu'elle que soit la methode utilisée pour verifier la clef du
logiciel, la facon la plus simple pour le hacker de deproteger le logiciel
est de la patcher. Il s'agit par exemple de 'simplement' supprimer du
logiciel la partie du code qui va faire la verification de la clef.
Du genre:
Soft initiale: if verifclef(...) = true then run(...)
Une fois patché: if true then run(...)
la fct verifclef(...) peut etre aussi compliqué que tu le veux....la seule
personne qui va passer un peu plus de temps a travailler, c toi !
C'est surtout pour lutter contre les keygens. Je ne sais pas trop comment
ils sont trouvés. Pour le fait de trafiquer l'application, quoiqu'on
fasse,
quelqu'un arrivera a patcher je pense, c'est juste histoire de compliqué
un
peu plus le travail du cracker.
Inutile d'utiliser la cryptographie (ou une autre techno compliquée) pour
contrer le travail des hackers.
En effet qu'elle que soit la methode utilisée pour verifier la clef du
logiciel, la facon la plus simple pour le hacker de deproteger le logiciel
est de la patcher. Il s'agit par exemple de 'simplement' supprimer du
logiciel la partie du code qui va faire la verification de la clef.
Du genre:
Soft initiale: if verifclef(...) = true then run(...)
Une fois patché: if true then run(...)
la fct verifclef(...) peut etre aussi compliqué que tu le veux....la seule
personne qui va passer un peu plus de temps a travailler, c toi !