SwissCrypt : défi pour les cocoricos !

Arnold McDonald $AMcD$

23/02/2006 à 18:40

Lol (bis).

Non mais je rêve...

Il y a 5 jours, tu as sous-entendu que nous étions (dont moi) des branleurs.
Je t'ai donc mis au défi de m'envoyer ton soft pour que je te montre ce que
c'est, un branleur. Soft + prime, bien évidemment, surtout qu'il y a déjà
longtemps tu devais rétribuer mes judicieuses remarques. Eh oui, pas de
prime, pas de boulot, faut arrêter de prendre les gens pour des ânes, on ne
va pas tester les softs à la place de ceux qui sont payés pour cela, faire
leur boulot quoi...

Qui plus est, j'ai spécifié que j'avais du temps libre jusqu'au 22 au soir à
peu près. Bilan ? Tu poste aujourd'hui, le 23. Premier lol.

Pour le second lol, je crois que tu dois le faire exprès, il est
inconcevable d'être aussi nul en crypto que l'idée que l'on se fait de toi
lorsqu'on te lit. En crypto, on casse, on analyse à partir des algos, des
sources, etc. N'importe quel guignol peut fournir un fichier indechiffrable,
c'est à la portée de n'importe qui de produire de l'indéchiffrable ! Tiens,
vas-y, déchiffre moi celui-là (algo AMcD658-R-205b)

sjaoosplaisyesjajjoolssyajjsjsjlaouxjnnbkklqlpdmpkqjncnahhqyejdjqkaidkckllapppalaljjsqnncbgziut

Comment ça tu y arrives pas à déchiffrer ? Tsss.

Allez, courage... ne vous dégonflez pas, tout le monde vous observe !

Eh bien écoute, puisque tu nous prends pour des imbéciles, même si je suis
très occuppé, je réitère mon offre !

**********
Envoie-moi ton soft et fixe une prime, je vais te faire voir moi si je suis
un branleur prétentieux. Je n'ai même pas besoin de tes sources ou de ton
algo ! Juste ton logiciel. Bien sûr tu me laisseras quelques jours pour
m'occupper de son cas, j'ai pas vraiment que ça à faire là...
**********

Allez, envoie ton soft !!!! Cette adresse est libre :

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Arnold McDonald $AMcD$

23/02/2006 à 19:52

Ben alors ? Déjà 1h ! Si à 2h du mat' demain matin je n'ai pas de réponse,
ne compte plus sur moi. J'ai pas que ça à faire non plus.

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Raymond H.

23/02/2006 à 22:09

"--- SwissCrypt.com ---" a écrit dans le message de
news: 43fdcacb$0$728$

www.swisscrypt.com

Bonjour,
1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?
2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?
3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. Cela voudrait donc
dire que le fichier crypté est BEAUCOUP plus grand en taille que le fichier
lui-même avant qu'il soit chiffré (problablement de double). En plus le
client doit conserver un fichier volumineux pour la clef; ce qui fait que si
on chiffre 50 fichiers Waves on doit concerver 50 fichiers cryptés qui sont
plus gros en taille que le fichier d'origine non crypté (peut-être le
double), et cela sans parler de chacune des clefs qui aurait une taille au
moins égales à chacun des fichiers non cryptés (ou même cryptés).

Je ne dis pas cela pour manquez de respect envers vous puisque je vous
ai toujours traité respectueusement. Mais j'aimerais que vous répondiez sur
chacun des point ci-dessous pour me m'éclairer sur SwissCrypt...
Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de
vos clients pourraient augmenter (il ne faut pas oublier qu'une recherche
sur Internet pourrait les amener sur ce groupe-ci pour lire les commentaires
des gens de ce groupe); ce serait un plus pour vous. Qu'en pensez-vous?
Car comme j'ai déjà dis ailleurs, un jour quelqu'un pourrait tomber sur
votre logiciel et le décompiler afin de rendre public sur ce groupe-ci votre
algorithme de SwissCrypt (il y a beaucoup de gens qui ne respectent pas les
droits d'auteur). Si votre algo tombe, il serait mieux qu'il tombe au
départ plutôt que ce soit dans quelques mois avec pour résultat la honte et
la publicité d'une mauvaise foi de votre part concernant vos affirmations
que "SwissCrypt est le meilleur logiciel de chiffrement et qu'il est
réellement inviolable". Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo afin que des gens sur ce groupe-ci puisse vous rendre un grand
service en le testant tout à fait gratuitement pour vous. C'est un cadeau
qu'ils vous font. Si vos dires sont juste alors vous sortirez vainqueur
:-)
Moi-même (selon des conseils de ce groupe) je veux amené, sur ce forum
dans peu de temps, l'algorithme utilisée dans la version 3 de mon logiciel
'AllCrypter' afin que les gens puissent juger eux-mêmes (s'ils le désirent)
de la qualité de mon algo; il me reste un petit point à régler sur le point
d'arrêt de l'accusé de réception. Mon algo aussi utilise un 'One Time Pad'
(deux même), mais contrairement au vôtre, mon algo ne retient que la partie
finale du 'One Time Pad' (de la longeur de la clef personnelle de
l'utilisateur qui n'est pas la clef utilisée pour le chiffrement, car ce
sont 2 autres clefs de session générées automatiquement à chaque chiffrement
qui sont utilisées pour le chiffrement); ainsi je n'ai pas le problème d'une
énorme taille de fichier pour chaque clef à conserver pour chaque fichier
crypté. J'attend de vos nouvelles.

Passez une bonne journée
Raymond H.

"--- SwissCrypt.com ---" <site@swisscrypt.com> a écrit dans le message de
news: 43fdcacb$0$728$5402220f@news.sunrise.ch...

www.swisscrypt.com

Bonjour,
1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?
2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?
3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. Cela voudrait donc
dire que le fichier crypté est BEAUCOUP plus grand en taille que le fichier
lui-même avant qu'il soit chiffré (problablement de double). En plus le
client doit conserver un fichier volumineux pour la clef; ce qui fait que si
on chiffre 50 fichiers Waves on doit concerver 50 fichiers cryptés qui sont
plus gros en taille que le fichier d'origine non crypté (peut-être le
double), et cela sans parler de chacune des clefs qui aurait une taille au
moins égales à chacun des fichiers non cryptés (ou même cryptés).

Je ne dis pas cela pour manquez de respect envers vous puisque je vous
ai toujours traité respectueusement. Mais j'aimerais que vous répondiez sur
chacun des point ci-dessous pour me m'éclairer sur SwissCrypt...
Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de
vos clients pourraient augmenter (il ne faut pas oublier qu'une recherche
sur Internet pourrait les amener sur ce groupe-ci pour lire les commentaires
des gens de ce groupe); ce serait un plus pour vous. Qu'en pensez-vous?
Car comme j'ai déjà dis ailleurs, un jour quelqu'un pourrait tomber sur
votre logiciel et le décompiler afin de rendre public sur ce groupe-ci votre
algorithme de SwissCrypt (il y a beaucoup de gens qui ne respectent pas les
droits d'auteur). Si votre algo tombe, il serait mieux qu'il tombe au
départ plutôt que ce soit dans quelques mois avec pour résultat la honte et
la publicité d'une mauvaise foi de votre part concernant vos affirmations
que "SwissCrypt est le meilleur logiciel de chiffrement et qu'il est
réellement inviolable". Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo afin que des gens sur ce groupe-ci puisse vous rendre un grand
service en le testant tout à fait gratuitement pour vous. C'est un cadeau
qu'ils vous font. Si vos dires sont juste alors vous sortirez vainqueur
:-)
Moi-même (selon des conseils de ce groupe) je veux amené, sur ce forum
dans peu de temps, l'algorithme utilisée dans la version 3 de mon logiciel
'AllCrypter' afin que les gens puissent juger eux-mêmes (s'ils le désirent)
de la qualité de mon algo; il me reste un petit point à régler sur le point
d'arrêt de l'accusé de réception. Mon algo aussi utilise un 'One Time Pad'
(deux même), mais contrairement au vôtre, mon algo ne retient que la partie
finale du 'One Time Pad' (de la longeur de la clef personnelle de
l'utilisateur qui n'est pas la clef utilisée pour le chiffrement, car ce
sont 2 autres clefs de session générées automatiquement à chaque chiffrement
qui sont utilisées pour le chiffrement); ainsi je n'ai pas le problème d'une
énorme taille de fichier pour chaque clef à conserver pour chaque fichier
crypté. J'attend de vos nouvelles.

Passez une bonne journée
Raymond H.

Vous avez filtré cet utilisateur ! Consultez son message

"--- SwissCrypt.com ---" a écrit dans le message de
news: 43fdcacb$0$728$

www.swisscrypt.com

Bonjour,
1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?
2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?
3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. Cela voudrait donc
dire que le fichier crypté est BEAUCOUP plus grand en taille que le fichier
lui-même avant qu'il soit chiffré (problablement de double). En plus le
client doit conserver un fichier volumineux pour la clef; ce qui fait que si
on chiffre 50 fichiers Waves on doit concerver 50 fichiers cryptés qui sont
plus gros en taille que le fichier d'origine non crypté (peut-être le
double), et cela sans parler de chacune des clefs qui aurait une taille au
moins égales à chacun des fichiers non cryptés (ou même cryptés).

Je ne dis pas cela pour manquez de respect envers vous puisque je vous
ai toujours traité respectueusement. Mais j'aimerais que vous répondiez sur
chacun des point ci-dessous pour me m'éclairer sur SwissCrypt...
Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de
vos clients pourraient augmenter (il ne faut pas oublier qu'une recherche
sur Internet pourrait les amener sur ce groupe-ci pour lire les commentaires
des gens de ce groupe); ce serait un plus pour vous. Qu'en pensez-vous?
Car comme j'ai déjà dis ailleurs, un jour quelqu'un pourrait tomber sur
votre logiciel et le décompiler afin de rendre public sur ce groupe-ci votre
algorithme de SwissCrypt (il y a beaucoup de gens qui ne respectent pas les
droits d'auteur). Si votre algo tombe, il serait mieux qu'il tombe au
départ plutôt que ce soit dans quelques mois avec pour résultat la honte et
la publicité d'une mauvaise foi de votre part concernant vos affirmations
que "SwissCrypt est le meilleur logiciel de chiffrement et qu'il est
réellement inviolable". Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo afin que des gens sur ce groupe-ci puisse vous rendre un grand
service en le testant tout à fait gratuitement pour vous. C'est un cadeau
qu'ils vous font. Si vos dires sont juste alors vous sortirez vainqueur
:-)
Moi-même (selon des conseils de ce groupe) je veux amené, sur ce forum
dans peu de temps, l'algorithme utilisée dans la version 3 de mon logiciel
'AllCrypter' afin que les gens puissent juger eux-mêmes (s'ils le désirent)
de la qualité de mon algo; il me reste un petit point à régler sur le point
d'arrêt de l'accusé de réception. Mon algo aussi utilise un 'One Time Pad'
(deux même), mais contrairement au vôtre, mon algo ne retient que la partie
finale du 'One Time Pad' (de la longeur de la clef personnelle de
l'utilisateur qui n'est pas la clef utilisée pour le chiffrement, car ce
sont 2 autres clefs de session générées automatiquement à chaque chiffrement
qui sont utilisées pour le chiffrement); ainsi je n'ai pas le problème d'une
énorme taille de fichier pour chaque clef à conserver pour chaque fichier
crypté. J'attend de vos nouvelles.

Passez une bonne journée
Raymond H.

Arnold McDonald $AMcD$

24/02/2006 à 03:05

Bien, 3h du mat et toujours pas de réponse/mail/etc... Cela va tout de même
bientôt faire une semaine que je t'ai exposé les conditions de mon défi !

Allez, je suis bon prince, je te laisse jusqu'à midi. Après, quoique tu
proposes, ce sera définitivement sans moi ! Bah oui, je ne vais pas
consacrer ma vie à attendre ton bon plaisir ou ta bonne volonté, j'ai autre
chose à faire !

Comme je sais déjà que je ne recevrai rien, eh bien... sans rancune !

Bien amicalement,

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Sylvain

24/02/2006 à 04:10

Raymond H. wrote on 23/02/2006 22:09:

1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?

normal, le vendeur indique que l'installation chez le client est réalisé
suite à une "analyse de ses besoins"; comme il s'agit de lui installer
une machine à xorer, il est raissonnable de lui vendre en plus du service.

2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?

comme également indiqué, c'est plus la maintenance qui est facturée
(selon la durée de l'abonnement) que le soft (qui fait des xor).
est-ce que cette maintenance inclut la livraison de DVD de clés OTP ?...
là est tout le mystère de ce logiciel.

3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. [...]

non pas vraiment, ils ont été publiés en base64 pour être
téléchargeables; à noter que ramener en base256, la distribution est
(relativement) homogène, pour CodeRouge.jpg de 361880 octets, la plus
grande occurence est de 1508, la plus faible 1322 - mais rien ne nous
prouve que le fichier ait été généré honnêtement et non pas pour
satisfaire cette distribution (en forgeant une clé sur mesure).

Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP - qui peux être "cassé" dans le sens où s'il est
infame, quelqu'un serait prédire une clé future à partir d'un chiffre
passé (en faisant par exemple des hypothèses sur le header d'un fichier)

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo [...]

un vrai bon générateur de bruit (de clé) aurait une bonne valeur
commerciale, donc si il y a à craindre ... mais dans le même temps il
existe déjà de tels générateurs donc il y a encore plus à craindre
d'être ridicule.

Sylvain.

Raymond H. wrote on 23/02/2006 22:09:

1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?

normal, le vendeur indique que l'installation chez le client est réalisé
suite à une "analyse de ses besoins"; comme il s'agit de lui installer
une machine à xorer, il est raissonnable de lui vendre en plus du service.

2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?

comme également indiqué, c'est plus la maintenance qui est facturée
(selon la durée de l'abonnement) que le soft (qui fait des xor).
est-ce que cette maintenance inclut la livraison de DVD de clés OTP ?...
là est tout le mystère de ce logiciel.

3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. [...]

non pas vraiment, ils ont été publiés en base64 pour être
téléchargeables; à noter que ramener en base256, la distribution est
(relativement) homogène, pour CodeRouge.jpg de 361880 octets, la plus
grande occurence est de 1508, la plus faible 1322 - mais rien ne nous
prouve que le fichier ait été généré honnêtement et non pas pour
satisfaire cette distribution (en forgeant une clé sur mesure).

Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP - qui peux être "cassé" dans le sens où s'il est
infame, quelqu'un serait prédire une clé future à partir d'un chiffre
passé (en faisant par exemple des hypothèses sur le header d'un fichier)

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo [...]

un vrai bon générateur de bruit (de clé) aurait une bonne valeur
commerciale, donc si il y a à craindre ... mais dans le même temps il
existe déjà de tels générateurs donc il y a encore plus à craindre
d'être ridicule.

Sylvain.

Vous avez filtré cet utilisateur ! Consultez son message

Raymond H. wrote on 23/02/2006 22:09:

1) Je suis allez voir sur votre site et je n'ai trouvé aucun lien pour
télécharger votre logiciel SwissCrypt. Par exemple, avez-vous une démo de
10 jours ou de 30 jours pour qu'on puisse l'essayer ?

normal, le vendeur indique que l'installation chez le client est réalisé
suite à une "analyse de ses besoins"; comme il s'agit de lui installer
une machine à xorer, il est raissonnable de lui vendre en plus du service.

2) Je n'ai trouvé à aucun endroit su votre site le montant de votre
logiciel SwissCrypt. Combien le vendez-vous ?

comme également indiqué, c'est plus la maintenance qui est facturée
(selon la durée de l'abonnement) que le soft (qui fait des xor).
est-ce que cette maintenance inclut la livraison de DVD de clés OTP ?...
là est tout le mystère de ce logiciel.

3) J'ai aussi remarqué dans vos exemples de cryptogrammes (fichiers
cryptés) sur votre site que les caractères utilisés ne sont pas tous les
caractères ascii. Autrement dit vous n'utilisez pas la table complète des
256 caractères (base 256), même pour les fichiers waves. [...]

non pas vraiment, ils ont été publiés en base64 pour être
téléchargeables; à noter que ramener en base256, la distribution est
(relativement) homogène, pour CodeRouge.jpg de 361880 octets, la plus
grande occurence est de 1508, la plus faible 1322 - mais rien ne nous
prouve que le fichier ait été généré honnêtement et non pas pour
satisfaire cette distribution (en forgeant une clé sur mesure).

Je vous encouragerais aussi de fournir votre logiciel SwissCrypt à
quelques personnes de ce groupe pour le tester (par exemple à AMcD); cela
vous serait profitable s'il ne parvenait pas à le casser et la confiance de

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP - qui peux être "cassé" dans le sens où s'il est
infame, quelqu'un serait prédire une clé future à partir d'un chiffre
passé (en faisant par exemple des hypothèses sur le header d'un fichier)

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Vous n'avez rien à craindre puisque vous avez les
droits sur votre algo; alors pourquoi ne pas dévoiler le calcul effectué de
votre algo [...]

un vrai bon générateur de bruit (de clé) aurait une bonne valeur
commerciale, donc si il y a à craindre ... mais dans le même temps il
existe déjà de tels générateurs donc il y a encore plus à craindre
d'être ridicule.

Sylvain.

Arnold McDonald $AMcD$

24/02/2006 à 11:29

Sylvain wrote:

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP

Exactement. Titiller le générateur de clé, détecter son mode de sélection
(bah oui, on nous dit qu'il y a... 9.000 clés possibles ! C'est nouveau ça,
un OTP "discret"...) et le soft est mort. On peut aussi analyser les
en-têtes de fichiers, les messages échangés durant l'exécution du programme,
etc. J'ai tout ce qu'il faut pour ça, des outils connus et... inconnus (les
miens !).

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Du code Delphi n'est pas franchement marrant à analyser, mais en hookant son
application, on peut déceler où les phases intéressantes sont exécutées.
Après, on désassemble ou débuggue. On peut même analyser les données en
mémoire, les objets crées, etc. Il peut même packer son appli aves des
packers ésotériques, chiffrer son code ou tout coder en mode kernel (avec
Delphi ??? Mouarf) cela ne m'empêchera pas de voir les appels, de les tracer
et les analyser.

Bref, comme d'habitude, il y a au moins trois voies possibles :

- La voie crypto, étudier l'algorithme, le code source, les clairs/chiffrés,
etc. Mais ici, on peut rêver, on ne l'obtiendra jamais. Notre ami n'ayant
strictement rien compris aux principes de base de la cryptographie.

- La voie MITM (man In The Middle), hook, capture de messages, analyse de
données, etc. Ici, on espionne le soft en cours de fonctionnement. Très
souvent, les softs complexes ont beau utiliser des algorithmes sûrs,
incassables, quand tu voies les données qui véhiculent en clair... Bref, on
peut inférer sur pas mal de choses rien qu'en analysant les données qui
circulent. ici, ce n'est plus vraiment de la crypto, plutôt du hack. Mais
bon, si tu peux accèder facilement aux clés, via un spyware ou, soyons plus
politiquement correct, un espiogiciel externe, eh bien cela revient au même,
le soft est cassé. C'est un concept qu'ont bien du mal à admettre beaucoup
d'éditeurs de logiciels de sécu. Bien souvent, on ignore totalement les
arcanes des algos internes, les méthodes de chiffrement, etc. Mais si on
peut comprendre les en-têtes, détourner les messages, analyser les données,
on se moque bien de ces algos et de ces chiffrages, le soft est bel et bien
mort ! Il est à noter que cette méthode permet de déduire souvent des choses
sans vraiment aller jusqu'au bout. Par exemple, une simple analyse globale
des données générées permet, en crypto, de tirer pas mal de conclusion.

- La voie SDIYGD (Spelunking Deep Inside Your Guts Dude).Là, c'est
l'artillerie lourde, désassemblage, débugguing, décompilation. À moins de
précautions spéciales, layers de chiffrement et d'obfuscation de code (qui
ne font que rendre la tâche très très très longue), aucun soft n'y résiste.

Moi, je suis spécialisé dans deux voies :-).

PS à Mr SwissCrypt. Dans 30' je me désintéresserai totalement de ton
affaire, quoi que tu publies ou proposes par la suite. Je ne vais pas passer
ma vie à te proposer des challenges hein...

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Sylvain wrote:

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP

Exactement. Titiller le générateur de clé, détecter son mode de sélection
(bah oui, on nous dit qu'il y a... 9.000 clés possibles ! C'est nouveau ça,
un OTP "discret"...) et le soft est mort. On peut aussi analyser les
en-têtes de fichiers, les messages échangés durant l'exécution du programme,
etc. J'ai tout ce qu'il faut pour ça, des outils connus et... inconnus (les
miens !).

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Du code Delphi n'est pas franchement marrant à analyser, mais en hookant son
application, on peut déceler où les phases intéressantes sont exécutées.
Après, on désassemble ou débuggue. On peut même analyser les données en
mémoire, les objets crées, etc. Il peut même packer son appli aves des
packers ésotériques, chiffrer son code ou tout coder en mode kernel (avec
Delphi ??? Mouarf) cela ne m'empêchera pas de voir les appels, de les tracer
et les analyser.

Bref, comme d'habitude, il y a au moins trois voies possibles :

- La voie crypto, étudier l'algorithme, le code source, les clairs/chiffrés,
etc. Mais ici, on peut rêver, on ne l'obtiendra jamais. Notre ami n'ayant
strictement rien compris aux principes de base de la cryptographie.

- La voie MITM (man In The Middle), hook, capture de messages, analyse de
données, etc. Ici, on espionne le soft en cours de fonctionnement. Très
souvent, les softs complexes ont beau utiliser des algorithmes sûrs,
incassables, quand tu voies les données qui véhiculent en clair... Bref, on
peut inférer sur pas mal de choses rien qu'en analysant les données qui
circulent. ici, ce n'est plus vraiment de la crypto, plutôt du hack. Mais
bon, si tu peux accèder facilement aux clés, via un spyware ou, soyons plus
politiquement correct, un espiogiciel externe, eh bien cela revient au même,
le soft est cassé. C'est un concept qu'ont bien du mal à admettre beaucoup
d'éditeurs de logiciels de sécu. Bien souvent, on ignore totalement les
arcanes des algos internes, les méthodes de chiffrement, etc. Mais si on
peut comprendre les en-têtes, détourner les messages, analyser les données,
on se moque bien de ces algos et de ces chiffrages, le soft est bel et bien
mort ! Il est à noter que cette méthode permet de déduire souvent des choses
sans vraiment aller jusqu'au bout. Par exemple, une simple analyse globale
des données générées permet, en crypto, de tirer pas mal de conclusion.

- La voie SDIYGD (Spelunking Deep Inside Your Guts Dude).Là, c'est
l'artillerie lourde, désassemblage, débugguing, décompilation. À moins de
précautions spéciales, layers de chiffrement et d'obfuscation de code (qui
ne font que rendre la tâche très très très longue), aucun soft n'y résiste.

Moi, je suis spécialisé dans deux voies :-).

PS à Mr SwissCrypt. Dans 30' je me désintéresserai totalement de ton
affaire, quoi que tu publies ou proposes par la suite. Je ne vais pas passer
ma vie à te proposer des challenges hein...

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Vous avez filtré cet utilisateur ! Consultez son message

Sylvain wrote:

sans restreintre les leçons qu'apporterait Arnold, il n'y a rien à
casser dans le seul chiffrement, il y a juste à évaluer le système de
génération des clés OTP

Exactement. Titiller le générateur de clé, détecter son mode de sélection
(bah oui, on nous dit qu'il y a... 9.000 clés possibles ! C'est nouveau ça,
un OTP "discret"...) et le soft est mort. On peut aussi analyser les
en-têtes de fichiers, les messages échangés durant l'exécution du programme,
etc. J'ai tout ce qu'il faut pour ça, des outils connus et... inconnus (les
miens !).

je parie gros que l'intéressé ne publiera jamais son système et qu'il
tremble que l'on le désassemble (en préparant ses layers).

Du code Delphi n'est pas franchement marrant à analyser, mais en hookant son
application, on peut déceler où les phases intéressantes sont exécutées.
Après, on désassemble ou débuggue. On peut même analyser les données en
mémoire, les objets crées, etc. Il peut même packer son appli aves des
packers ésotériques, chiffrer son code ou tout coder en mode kernel (avec
Delphi ??? Mouarf) cela ne m'empêchera pas de voir les appels, de les tracer
et les analyser.

Bref, comme d'habitude, il y a au moins trois voies possibles :

- La voie crypto, étudier l'algorithme, le code source, les clairs/chiffrés,
etc. Mais ici, on peut rêver, on ne l'obtiendra jamais. Notre ami n'ayant
strictement rien compris aux principes de base de la cryptographie.

- La voie MITM (man In The Middle), hook, capture de messages, analyse de
données, etc. Ici, on espionne le soft en cours de fonctionnement. Très
souvent, les softs complexes ont beau utiliser des algorithmes sûrs,
incassables, quand tu voies les données qui véhiculent en clair... Bref, on
peut inférer sur pas mal de choses rien qu'en analysant les données qui
circulent. ici, ce n'est plus vraiment de la crypto, plutôt du hack. Mais
bon, si tu peux accèder facilement aux clés, via un spyware ou, soyons plus
politiquement correct, un espiogiciel externe, eh bien cela revient au même,
le soft est cassé. C'est un concept qu'ont bien du mal à admettre beaucoup
d'éditeurs de logiciels de sécu. Bien souvent, on ignore totalement les
arcanes des algos internes, les méthodes de chiffrement, etc. Mais si on
peut comprendre les en-têtes, détourner les messages, analyser les données,
on se moque bien de ces algos et de ces chiffrages, le soft est bel et bien
mort ! Il est à noter que cette méthode permet de déduire souvent des choses
sans vraiment aller jusqu'au bout. Par exemple, une simple analyse globale
des données générées permet, en crypto, de tirer pas mal de conclusion.

- La voie SDIYGD (Spelunking Deep Inside Your Guts Dude).Là, c'est
l'artillerie lourde, désassemblage, débugguing, décompilation. À moins de
précautions spéciales, layers de chiffrement et d'obfuscation de code (qui
ne font que rendre la tâche très très très longue), aucun soft n'y résiste.

Moi, je suis spécialisé dans deux voies :-).

PS à Mr SwissCrypt. Dans 30' je me désintéresserai totalement de ton
affaire, quoi que tu publies ou proposes par la suite. Je ne vais pas passer
ma vie à te proposer des challenges hein...

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

Pierre Vandevenne

01/03/2006 à 23:00

Je filerai ma femme, mes bagnole et ma societe à Arnold plutôt que de
confier mes données à swisscheese. C'est tout dire ;-)

Arnold McDonald $AMcD$

01/03/2006 à 23:30

Pierre Vandevenne wrote:

Je filerai ma femme,

Laquelle ? Ta quatrième était pas mal...

mes bagnole

T'as toujours l'Aston Martin et la Lotus Super 7 dédicacée par McGoohan ?

et ma societe

Je me contenterai juste de quelques codes source je suis pas exigeant.

à Arnold plutôt que de
confier mes données à swisscheese.

Tiens, que t'en parles, on l'a plus revu l'animal :-).

C'est tout dire ;-)

Bah, tu comprendras bien un jour que je ne suis pas un mauvais bougre.

--
Arnold McDonald (AMcD)

http://arnold.mcdonald.free.fr/

SwissCrypt : défi pour les cocoricos !

8 réponses

Veuillez sélectionner un problème