Thursday, May 26, 2011

Additional information about the libperseus challenge

Hi guys

(French version below)

I have received (strange) questions about the Perseus lib chalenge asking to provide the binaries/source code that has been used to produce the two files for the challenge. Well,
the source code is for months available here. And the binaries have been produced from it directly.

It is important to stress on the fact that the problem is algorithmic by nature (mathematical problem) and that you will have to do more than simply trying to base your attack on flaws or anything like that. It is here useless. It would be simple. Just consider that you have wiretapped the files (this is the operational reality) and you have the source code (Kerckhoffs conditions).

Indeed security is a little bit more difficult to overcome when there is no flaw.

(French version)

J'ai eu des questions récemment (étranges) concernant le challenge Perseus me demandant de fournir le code source et les binaires ayant servi à produire les deux fichiers du challenge. Le code source est disponible depuis des mois sur le site de la librairie et le binaire a été produit directement à partir de ce code source.

Il est important de rappeler que le problème est par nature algorithmique et que vous devrez faire une peu plus que de chercher à fonder une attaque sur une vulnérabilité (qui en l'espèce n'existe pas). Cela n'a ici pas de sens. Considérez que vous avez intercepté les fichiers (cas des conditions opérationnelles) et que vous connaissez le procédé (règle de Kerckhoffs). C'est suffisant.

Contourner la sécurité quand il n'y a pas de faille d'implémentation est certes plus dur mais c'est plus excitant.
Bon courage à tous et à samedi aux RSSIL

E.F.