Preliminary Results on TOR Routing Protocol Statistical and Combinatorial Analysis

Preliminary Results on TOR Routing Protocol Statistical and Combinatorial Analysis

In the present document, we share the preliminary results of a 4-month study about the TOR routing protocol from a statistical and combinatorial point of view. For the moment we only give the final data not the algorithms and technical/mathematical approaches (to be fair with conferences where we will present them first).

We have modeled exhaustively all possible routes while taking di fferent parameters into account with the data provided by the TOR foundation only. We have then confronted our theoretical model with the reality on the ground. To do this, we generated thousands of roads on the TOR network and compared the results obtained with those predicted by the theory. A last step of combinatorial analysis has enabled us to identify critical subsets of Onion routers (ORs). We have also managed to extract most of the relay bridges and give an initial list of nearly 2500 relays bridges.

Important notice: we do not claim to have broken TOR in any way. These results are just  preliminary results data that will be presented in two parts, each in an international security event. Right after those events, this paper will be extended to provide most of technical details, algorithms, protocols we have set up and used. From those results anyone can figure out the interest, the impact and consequences of them.

Mathematical Backdoors in Symmetric Encryption Systems - Presentation at ForSE 2017

Arnaud Bannier and I have designed a full symmetric encryption algorithm containing an exploitable backdoor. Our paper which presents the algorithm has just been accepted for presentation at the First International Conference of FORmal Methods in Security Engineering (ForSE) 2017 in Porto, Portugal in February. Here is the abstract of our talk

The algorithm proposed in this paper is a first humble step in a long research work and we hope that it will incite research in an aera which is quite never addressed.

The solution on how to exploit this backdoor operationnally will be presented in exclusivity at the RusKrypto 2017 conference in Moscow.

The New GOST Standard from the Russian Federation: GOST Grasshopper

The Russian Federation has recently published the project of new standard for block encryption algorithm. This is still a project which has not been formally validated and approved yet.
 

This algorithm called Gost - Grasshopper intends to supersede (in the future) the current GOST 28147-89 algorithm (64-bit block and 256-bit key, Feistel structure).

I have translated the text from Russian which relates to the Grasshopper algorithm and implemented this new algorithm in C language, using the test vectors sets provided in the reference document. The translation is available here while the source code (under GPLv3) is given here.

I have performed a first quick analysis of the new GOST Grasshopper algorithm and here are the first observations I have made (of course this analysis needs to be pushed on further):

• Contrary to the GOST 28147-89 algorithm, GOST Grasshopper belongs to the SPN family (Substitution Permutation Network), an block encryption algorithm family which contains the AES (Rijndael).
• The main features are: 128-bit blocks (plaintext, ciphertext), a 256-bit master key from which 10 128-bit subkeys are derived according to highly nonlinear process, 10 rounds. The general structure is then very common to SPN and is sketched as follows

•  The statistical analysis of the cipher does not reveal any statistical bias and has passed all the tests (performed with NIST STS SP800-22 revision 1 and L'ecuyer & Simard's TESTU01 suite). Gost Grasshopper seems to have far better algebraic and combinatorial complexities that the existing SPN and especially than the AES (whose relatively weak algebraic complexity has been pinpointed by several cryptographers [see Harris Nover 2009 for a summary]). Further analyses have to be conducted to confirm this initial result.

Gost Grasshopper seems to be a very promising algorithm both for its speed encryption and for its high cryptogaphic security. Upon confirmation, it should be included soon in the Gostcrypt suite with the same approach and settings (variable S-Box [Substitution S in the reference document], S-Box mutation based on the user's master key, 512-byte cluster ID used as salt value). 

Have a nice day.

E.F.

Focus on my situation with EICAR

A number of authors who have submitted to the EICAR conference have recently contacted because the relevant conference website still mention me as the Scientific Director of EICAR and as the EICAR conference Program Chair. The issue is that they absolutely go no notification regarding their paper. I am sorry for that situation but I am no longer the Scientific Director nor the EICAR Conference Chair since the end of 2013. I have officially announced that in October 2013. 

I have held these two positions on a strict voluntary basis. This was a great experience which have provided a lot of intellectual satisfaction. I tried to increase the scientific level of the EICAR conference and had the occasion to meet nice people, authors and attendees. After six years I decided to stop because first I think that no one should occupy the same positions too longer in order to remain efficient and second I was disagreeing with the lack of real and total independence withe respect to the Antivirus vendors community. Moreover, being myself in charge of developping the sovereign antimalware products for France (called DAVFI and commercially available unde rthe brand Uhuru), staying with EICAR would have been a contradiction with my own principles.

So I am very sorry for the authors who have been misled by seeing my name as the EICAR Program Chair. I am no longer involved in this conference. For any claims, please contact this address.

Have a nice week end

E. F.

LibPerseus 1.4 Available

LibPerseus has been updated to version 1.4.1. The new changes are

• Code optimization for 32 and 64 bits
• Code portability for 32 and 64 bits
• Better management of random number generation (used for encoder and noise generators) improved and sanitized

 The source code of the archive is available here.

E.F.

Scandale à l'universite Antilles-Guyane (UAG)

Aidons la nouvelle et courageuse présidente de l'UAG

Aidons la nouvelle et courageuse présidente de l'UAG dans sa lutte contre les dérives et corruptions de tous genres qui donnent une image exécrable de l’université française. La situation qu'elle a mis a jour est tout bonnement sidérante dans un État de droit.

En soutien à cette femme courageuse qui a décidé de mener une lutte sans merci contre toutes ces dérives, je reproduis ici le message de son comité de soutien et vous invite à la soutenir.

Chers amis

Il est rare de rencontrer des personnes animées d'un tel courage et d'une si grande humilité. 

Corinne MENCE CASTER, Présidente de l'université est une femme brillante guidée par sa rectitude. Elle a une saine ambition, une véritable vision, un projet ambitieux pour l'Université des Antilles qui forme nos enfants, la jeunesse du pays et la relève de demain! Elle force l'admiration et le respect. Elle mérite tout notre soutien.

Le dernier rapport du sénat sur l'avenir de l'Université des Antilles nous y invite : 

Extrait : 

 " L'actuelle présidente de l'UAG, qui, malgré les nombreuses intimidations exercées sur elle, met un point d'honneur à renverser un système organisé illicite de préservation d'intérêts privés, mérite d'être encouragée et doit être accompagnée dans la poursuite de ses efforts dans le sens du rétablissement des principes fondamentaux d'un État de droit dans la gestion de l'université. Le déferlement d'attaques personnelles dont elle a fait l'objet a profondément choqué la délégation de votre groupe de travail lors de son déplacement, sentiment renforcé par la prise de connaissance de nombreux documents transmis depuis (coupures de presse, courriels...). Le contenu de certains messages de menace, d'intimidation et de dénigrement, qui lui ont été adressés en représailles de sa volonté de faire toute la lumière sur les dysfonctionnements relevés par le dernier rapport de la Cour des comptes, porte une atteinte grave à sa dignité, voire à sa sécurité morale et physique, et doit être fermement condamné. "

Le JT Martinique Première 22 avril confirme qu'elle mène ce combat au péril de sa sécurité. Ce reportage commence à partir du 6:34 sur le compteur  

http://pluzz.francetv.fr/videos/info_1ere_,101138735.html .
Cette vidéo est également disponible sur Youtube ici. 

La pétition de soutien à Corinne MENCE-CASTER est en ligne depuis le 4 avril. Plus de 1600 signataires ont adhéré à cette dynamique, mais on peut faire mieux.

Merci de vous joindre à nous !

Il vous suffit de cliquer sur le lien suivant : 

Lien pétition :

http://www.change.org/fr/p%C3%A9titions/benoit-hamon-soutenez-corinne-menc%C3%A9-caster-dans-son-combat-pour-sauver-l-universit%C3%A9-des-antilles?utm_medium=email&utm_source=notification&utm_campaign=new_petition_recruit#share

Pour signer, cliquez sur "signer" à droite de l'écran et laissez un message si vous le souhaitez.

Pour un soutien plus discret, si vous ne voulez pas que votre nom apparaisse, signez et juste en dessous,"décocher" la case "afficher ma signature sur change.org

Pour amplifier le mouvement, merci de transférer ce mail à vos contact et relayer le lien de la pétition par tous moyens (SMS, Facebook, Twitter, ...)

Ci-dessous, le lien du rapport complet du sénat : 

http://www.senat.fr/rap/r13-470/r13-4700.html#toc0

Madame la Présidente du Comité de soutien

"Soutenons Corinne MENCE CASTER dans son combat pour sauver l'Université des Antilles"

En aidant cette femme nous apportons tous notre pierre à l'édifice d'un monde meilleur à léguer à nos enfants

Merci par avance

E.F.

Les incohérences de Microsoft

Bonjour à tous

Microsoft ne soutient plus XP. Donc à part la gendarmerie nationale que cela fait sourire (une fois de plus nos gendarmes ont été clairvoyants), les autres utilisateurs (environ 30 à 40 % du parc) vont souffrir:

• soit financièrement : il faut passer à Windows 7 (ou pire à Windows 8) mais aussi changer beaucoup d'applications, en particulier métier, voire changer le matériel (juste passer un scanner Canon Canoscan de XP à Windows 7, par exemple, pour madame Michu c'est impossible). Bref cela va avoir un cout exorbitant
• soit se dire tant pis je ne fais rien et tant pis pour les attaques (je frémis à l’idée de ce choix que certains vont faire : rappel le parc informatique sous XP est encore important dans bien des secteurs et infrastructures critiques, donc beaucoup connectées sur Internet).

Microsoft annonce qu'en payant très cher (voir par exemple ce lien) il est possible de bénéficier d'une protection prolongée. C'est une gestion en mode Titanic : seuls les passagers de première classe peuvent espérer embarquer dans les canots de sauvetage, les autres peuvent se noyer. Or, ce matin le Directeur technique de Microsoft sur France Inter (Journal de 07:30, index à 10 minutes 50) déclarait : "on n'arrive plus à protéger XP..." (écouter la suite tout aussi sidérante).

La question est alors : pourquoi faire payer pour un service impossible à assurer (dixit le responsable sécurité de Microsoft en France ce matin sur France Inter) ?

Cela appelle donc deux commentaires :

• Il est vraiment temps de passer à une alternative crédible dont ne serons plus les otages et les vaches à lait, à savoir le logiciel libre. Si on doit payer, autant que ce soit à des entreprises françaises qui assurerons un soutien plus réactif, moins opaque et à un coût réduit et qui pourront assurer rapidement la migration des applications métier en quelques mois. La Gendarmerie Nationale y est parvenue brillamment, c'est donc possible et ce, sans perte de capacité opérationnelle. Il y a là une occasion en or de créer un véritable choc économique, de compétitivité et des opportunités de création de richesses, et, pour la France de redevenir un exemple (et donc un leader) éclairé en Europe. Mais pour cela, il faut du courage.
• Espérons que l’État français ne paiera pas, comme l'Angleterre et les Pays-Bas, pour un service qui n'existe pas.

Bonne journée

E.F.