Ir al contenido principal

Entradas

Mostrando entradas de julio, 2019

Criptografía (CLVI): Solución Reto picoCTF 2018 "Secure Logon"

Solución a otro reto de la plataforma picoCTF 2018.

Aunque en dicha plataforma este desafío está catalogado como de 'Web Exploitation', en mi opinión, encaja mejor en la categoría de 'Cryptography', por lo que en este humilde blog lo catalogo de forma preferente como de criptografía.

En este reto se ve involucrado nuevamente el modo de operaciónCBC ('Cipher Block Chaining') de los algoritmos de cifrado por bloques, y creo que tiene un nivel de dificultad alto ().

- Secure Logon - Points: 500:

Su enunciado dice lo siguiente: 'Uh oh, the login page is more secure... I think.
(link). Source'.
Solución: La pista que se da en la pestaña 'Hints' ('There are versions of AES that really aren't secure') indica que en este desafío se ve involucrado el citptosistema AES, y a la vista del archivo fuente que se proporciona (server_noflag.py) puedo ver que se emplea dicho algoritmo de cifrado por bloques en modo de operaciónCBC.

A través del link q…

Criptografía (CLV): ataque a cifrados por bloques en modo CBC mediante "Padding Oracle" (I)

En este y siguientes posts comparto lo que voy aprendiendo sobre los ataques a los algoritmos de cifrado simétrico por bloques. En este caso me referiré al ataque 'Padding Oracle' a cifradores de este tipo en modo de operación CBC ('Cipher Block Chaining').

Para ello, explico muy brevemente lo que he entendido sobre este ataque (por favor, como siempre, agradecería que si no lo he comprendido bien y/o no lo explico correctamente, se realicen las correcciones y/o ampliaciones de información oportunas en forma de comentarios a esta entrada).

Ante de empezar, comentar que este tipo de ataque sirve tanto para descifrar criptogramas como para "cifrar" mensajes en claro (lo he entrecomillado porque creo que es más correcto decir: obtener un texto cifrado para forzar que éste se descifre como el texto plano deseado, ya que hay que tener en cuenta que no se conoce la clave de cifrado/descifrado y mediante este ataque no se consigue obtenerla). No obstante, en este pos…

Criptografía (CLIV): Solución Reto 32

Solución al último reto de criptografía que he puesto recientemente en este blogen el que pretendo poner de manifiesto la importancia de la integridad de la información, es decir, de chequear ésta con objeto de asegurar que la información es exactamente la que el remitente nos envió y que ésta no ha sido interceptada y manipulada por un tercero.

Como en los más recientes de los posts de criptografía que he incluido en este blog, en este desafío también se ve involucrado el criptosistema de cifrado simétrico más utilizado,  AES ('Advanced Encryption Standard'), en el modo de operación CBC ('Cipher Block Chaining') de los algoritmos de cifrado por bloques.

El enunciado del reto decía lo siguiente:

"Supongamos que he interceptado un criptograma de una organización criminal que sé que se ha obtenido cifrando el texto en claro con AES en modo de operación CBC y, además, que también me las he ingeniado para hacerme con el texto en claro. Los dígitos que en él figuran se …

Criptografía (CLIII): Solución Reto 31

Solución al reto de dificultad media sobre criptografía que he puesto recientemente en este blogy en el que se ve involucrado el criptosistema de cifrado simétrico más utilizado, AES ('Advanced Encryption Standard'), en el modo de operación CBC ('Cipher Block Chaining') de los algoritmos de cifrado por bloques. Su enunciado decía lo siguiente:

"Para resolver este reto se necesita conocer cómo funciona el modoCBCde los cifradores por bloques. Demuestra que tú sí conoces dicho funcionamiento y obtén la solución de este reto con las siguientes pistas:

- Los primeros 14 de los 16 caracteres de la clave: '5rjIubT&Op_$3D'.
- Los tres últimos Bytes del cuarto bloque del criptograma: b1607e.
- El quinto bloque completo del criptograma: 925275279e9ca54278d6636884970397.
- Mensaje en claro: 'Veamos si eres capaz de encontrar la flag, que es el vector de inicializacion-IV'".

Antes de pasar a explicar la solución de este reto, comparto cómo lo preparé. Para…