JOKERSOFT · SECURITY ASSESSMENT · 2026
chkcert_V1R1M1
PKI certificate analysis tool — bilan protection & objetPKI certificate analysis tool — protection overview
objet du produitproduct overview
chkcert est un outil CLI d'analyse PKI couvrant les formatsis a PKI analysis CLI tool covering the formats
.kdb / .cms (IBM MQ / GSKit),
.jks / .jck / .jceks / .p12 / .pfx (Java),
.pem / .cer / .crt / .der / .arm,
.p7b (PKCS#7) et .csr.
Il extrait les métadonnées certificats, vérifie les dates d'expiration, audite les algorithmes,
construit les chaînes de confiance et génère des rapports HTML/JSON avec plan de remédiation.
Distribué en source Python avec compilation Nuitka onefile optionnelle.Extracts certificate metadata, checks expiry dates, audits algorithms,
builds trust chains and generates HTML/JSON reports with a remediation plan.
Distributed as Python source with optional Nuitka onefile compilation.
architecture de protectionprotection architecture
01
Fichier de configuration chiffréEncrypted configuration file
properties/
Fichier chiffré machine-bound et version-bound — non transférable entre machines ou versions.
Écriture atomique avec permissions restreintes.
Créé automatiquement au premier lancement — aucun fichier à livrer.
02
Liée à l'intégrité du binaireBound to binary integrity
source mode uniquementsource mode only
Toute modification du source invalide la protectionAny source modification invalidates the protection — les fichiers d'état existants sont bloqués.
En mode binaire Nuitka : le binaire est opaque, aucune modification possible.
En mode binaire Nuitka : le binaire est opaque, aucune modification possible.
03
État trial protégé — double stockage OSProtected trial state — dual OS storage
Deux fichiers de contrôle indépendants dans le répertoire OS de l'utilisateur.
Contiennent la date d'installation et le compteur de fichiers.
Réconciliation : la valeur la plus restrictive l'emporte.
La suppression d'un seul fichier entraîne sa reconstruction depuis l'autre — sans perte de compteur.
04
Expiration irréversible — protection non réinitialisableIrreversible expiry — non-resettable protection
permanentpermanent
À quota épuisé : le fichier de configuration est écrasé avec un marqueur d'expiration irréversible.
Au prochain lancement, le marqueur est détecté → blocage immédiat avant toute analyse.
05
Contrôle de flux avant analyseFlow control before analysis
Vérification dates + compteur au démarrage.
Appelé avant chaque analyse — le fichier N+1 n'est jamais traité si quota atteint. Aucun résultat partiel produit.
Après l'analyse du dernier fichier autorisé, le message "next launch will be blocked" est affiché.
matrice des vecteurs d'attaque
actionaction
conséquenceconsequence
statutstatus
Modifier
TRIAL_FILES_MAXModify TRIAL_FILES_MAXModification détectée → protection invalidée → blocageModification detected → protection invalidated → block
BLOQUÉBLOCKED
Désactiver le contrôle de flux
Toute modification du source invalide la protectionAny source modification invalidates the protection
BLOQUÉBLOCKED
Supprimer un fichier de contrôleDelete one control file
Reconstruit depuis l'autre fichier — compteur préservéRebuilt from the other file — counter preserved
BLOQUÉBLOCKED
Supprimer les deux fichiers de contrôleDelete both control files
Le fichier de configuration a le marqueur d'expiration → blocage immédiatConfiguration file has expiry marker → immediate block
BLOQUÉBLOCKED
Restaurer runtime.dat d'avant expiration
Protection re-dérivée ≠ signature existante → blocageRe-derived protection ≠ existing signature → block
BLOQUÉBLOCKED
Copier runtime.dat d'une autre machine
Fichier non transférable — déchiffrement invalide → nouvelle clé généréeNon-transferable file — invalid decryption → new key generated
BLOQUÉBLOCKED
Supprimer runtime.dat seul (post-expiration)
Les fichiers de contrôle indiquent quota atteint → blocage au démarrageControl files indicate quota reached → block at startup
BLOQUÉBLOCKED
Tout supprimer, source intact non modifié
Repart en first-run avec nouvelle clé. Vecteur résiduel en mode source uniquement.Restarts as first-run with new key. Residual vector in source mode only.
RÉSIDUELRESIDUAL
Décompiler le binaire Nuitka
Non couvert par ce système. Nécessite l'option Fort (licence serveur).Not covered by this system. Requires the Fort option (server licence).
V1R2M0
niveau de protection par mode de distributionprotection level by distribution mode
Source PythonPython source
moyen
Protection active. Résiste aux tentatives de contournement.Active protection. Resists bypass attempts.
Vecteur résiduel : reset complet (tout supprimer) sans modifier le source.
Risque faible en pratique car nécessite de connaître les 3 emplacements de fichiers.Residual vector: full reset (delete all) without modifying the source.
Low risk in practice as it requires knowing the 3 file locations.
Binaire Nuitka onefileNuitka onefile binary
bon
Source non lisible. Couche 2 (dérivation source) remplacée par opacité binaire.
Reset complet possible mais nouveau fichier de configuration → fichier de contrôle existant invalide.
Résistant à tout utilisateur standard.Source not readable. Layer 2 (source derivation) replaced by binary opacity.
Full reset possible but new configuration file → existing control file invalid.
Resistant to any standard user.
fichiers déployésdeployed files
chkcert_V1R1M1.py
Script principal. Livré à l'utilisateur. 5 500+ lignes.Main script. Delivered to the user. 5,500+ lines.
constantes_V1R1M1.properties
Config externe RSA + répertoire sortie. Livré. Fallback silencieux si absent.External RSA config + output directory. Delivered. Silent fallback if absent.
runtime.dat
Créé au 1er lancement. Non livré. Chiffré. Non transférable.Created at first launch. Not delivered. Encrypted. Non-transferable.
prochaine étape recommandée — V1R2M0recommended next step — V1R2M0