Criptografía (CLXXXII): Solución Reto CyberOlympics 2019 "Follow the hint"

CyberOlympics es una competición en modalidad 'on-line', estilo 'Capture the Flag'  y formato 'Jeopardy' dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp.

Esta competiicón 'on-line' suele llevarse a cabo anualmente hacia el mes de octubre y, posteriormente, los diez centros que obtienen la mejor puntuación son invitados a la final presencial que suele tener lugar en el mes de noviembre, cada año en una ciudad española diferente.

Pues bien, aunque en Internet se pueden consultar los enunciados y soluciones de los retos de la fase final (CyberCamp), al menos, yo no consigo ver los correspondientes a la fase previa (CyberOlympics).

Algunos de los centros que han participado en ediciones anteriores, conocedores de que me gusta este mundo de los CTF y una vez finalizada la competición, me suelen pedir a ver si puedo resolver alguno de los retos y enviarles las soluciones, con objeto de preparar al equipo del centro para la próxima edición. Cosa que suelo hacer, como digo este tipo de desafíos me entretienen mucho.

Comienzo con este post a compartir algunas de las soluciones de esta competición con quienes estén interesados. En esta entrada pongo la solución a uno de los retos de criptografía de la edición de 2019, que lleva por título "Follow the hint" y que, en mi opinión, presenta un nivel de dificultad bajo (★★☆☆☆).

Su enunciado decía lo siguiente:

Un ciudadano anónimo es testigo del delito que estás investigando y te ha enviado un correo electrónico el cual contiene una pista clave para la investigación.
Dicho ciudadano se ha tomado la molestia de utilizar varias capas de criptografía con el fin de que solo un auténtico detective pueda descifrarlo.
También ha añadido una envoltura cifrada mediante "web tokens". Se te entrega un ZIP cifrado y el mensaje en el fichero TXT que alberga la contraseña, el cual tendrás que descifrar para cumplir con éxito tu investigación.
#webtoken #warsecrets #whatthisstringlookslike

Solución: Decodifico el  código base64 que contiene el fichero de texto que se proporciona (password.txt) y que según el enunciado alberga la contraseña:

Y obtengo otro texto codificado en base64, y así sucesivamente hasta que obtengo un texto en claro inteligible:

Y digo que inteligible porque a mí, tras las múltiples entradas que he escrito en este blog sobre la máquina de cifrado más famosa de la historia :), me queda claro que se trata de una clave de la máquina enigma utilizada por el ejército alemán en la segunda guerra mundial.

Por tanto, para intentar descifrar el criptograma, utilizo un simulador de dicha máquina que configuro conforme a la clave obtenida:

1.- Selecciono la versión de la máquina enigma que se indica en la clave:

2.- Introduzco el reflector utilizado:

3.- Indico Rotores empleados en el cifrado (lento, medio y rápido), su posición y el ajuste de los anillos de los mismos:

4.- Y, finalmente, para terminar de configurar la máquina con la clave obtenida, establezco las conexiones correspondientes en el tablero de clavijas:

5.- Con lo que lo único que me queda por hacer para descifrar el criptograma es introducir éste:

Y ya puedo ver que la contraseña del archivo ZIP cifrado (flag.zip) que contiene la solución a este reto sería “LEADKSZU". Pruebo con ella, pero me dice que es incorrecta.

Compruebo la configuración de la máquina y el criptograma introducido, pero no veo que me haya equivocado y se me ocurre probar con la contraseña obtenida en minúsculas, es decir, "leadkszu", y es correcta, lo que entiendo que es un pequeño error del reto :), ya que una máquina enigma sólo tenía letras mayúsculas.

Abro el archivo flag.txt descomprimido y ya puedo ver la solución a este reto (he sustituido cada uno de los caracteres de la flag por '*'):