Cryptographie et reverse engineering en ... - Actes du SSTIC
Cryptographie et reverse engineering en ... - Actes du SSTIC
Cryptographie et reverse engineering en ... - Actes du SSTIC
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
16 <strong>Actes</strong> <strong>du</strong> symposium <strong>SSTIC</strong>04<br />
8019597783518338703988943892690267676516452058792970835515533\<br />
672288089042904491091450944254399<br />
real<br />
user<br />
sys<br />
1m46.711s<br />
1m46.710s<br />
0m0.000s<br />
Le principe est simple, les résultats obt<strong>en</strong>us tout à fait satisfaisants. Le temps<br />
moy<strong>en</strong> de cassage d’une clé RSA de 1024 bits générée par ASProtect est de<br />
l’ordre de 2 minutes.<br />
4 Conclusion<br />
Cas particulier? Libre à chacun de le p<strong>en</strong>ser. Néanmoins ce n’est pas l’avis<br />
d’un certain nombre de ’crackers’ qui a amplem<strong>en</strong>t parcouru le suj<strong>et</strong> avec un<br />
succès pour le moins surpr<strong>en</strong>ant : récupération de clés privées, falsification de<br />
signatures quel que soit l’algorithme, exploitation de débordem<strong>en</strong>t de buffer, <strong>et</strong><br />
ce avec un unique point commun : une faiblesse d’implém<strong>en</strong>tation trouvée <strong>et</strong><br />
exploitée. Du p<strong>et</strong>it éditeur de logiciels, au géant <strong>du</strong> système d’exploitation, personne<br />
n’est l’abri <strong>du</strong> <strong>reverse</strong>-<strong><strong>en</strong>gineering</strong> de ses binaires, dans des conditions plus<br />
ou moins légales. La sécurité de l’implém<strong>en</strong>tation <strong>du</strong> système cryptographique<br />
par l’obscurité est alors une bi<strong>en</strong> piètre protection? La technique d’exploitation<br />
de la faiblesse <strong>du</strong> générateur de nombres aléatoires pour la génération des<br />
clés RSA de ASProtect prés<strong>en</strong>te l’avantage de s’adapter facilem<strong>en</strong>t à d’autres<br />
problèmes sous des <strong>en</strong>vironnem<strong>en</strong>ts variés [7].<br />
Référ<strong>en</strong>ces<br />
1. Cryptos, http://www.palmsoft.fr/<br />
2. OllyDbg, http://home.t-online.fr/home/Ollydbg/<br />
3. Interactive Disassembler Pro, http://www.datarescue.com/<br />
4. Miller-Rabin’s Primality Test, http://www.security-labs.org/index.php3?<br />
page=5<br />
5. Randomness Recomm<strong>en</strong>dations for Security,http://www.i<strong>et</strong>f.org/rfc/rfc1750.<br />
txt<br />
6. How Many Primes Are There ? : http://www.utm.e<strong>du</strong>/research/primes/<br />
howmany.shtml<br />
7. Enigme : problème d’aléa <strong>en</strong> JAVA MISC n ◦ 13.