El blog de García Larragan y Cía

Solución a otro reto de la plataforma picoCTF 2018 . Aunque en dicha plataforma este desafío está catalogado como de 'Web Exploitation' , en mi opinión, encaja mejor en la categoría de 'Cryptography' , por lo que en este humilde blog lo catalogo de forma preferente como de criptografía. En este reto se ve involucrado nuevamente el modo de operación   CBC  ( 'Cipher Block Chaining' )  de los algoritmos de cifrado por bloques, y  creo que tiene  un nivel de dificultad alto ( ★ ★ ★ ★ ☆ ) . - Secure Logon  - Points: 500 : Su  enunciado  dice lo siguiente:  ' Uh oh, the login page is more secure... I think. ( link ).  Source ' . Solución:  La pista que se da en la pesta ña 'Hints'  ( ' There are versions of AES that really aren't secure ' ) indica que en este desafío se ve involucrado el citptosistema AES , y  a la vista del archivo fuente que se proporciona (server_noflag.py) puedo ver que se emplea dicho algoritmo de cifrado

En este y siguientes posts  comparto lo que voy aprendiendo sobre los ataques a los algoritmos de cifrado simétrico por bloques. En este caso me referiré al ataque 'Padding Oracle' a cifradores de este tipo en modo de operación  CBC ( ' Cipher Block Chaining ' ). Para ello, explico muy brevemente lo que he entendido sobre este ataque (por favor, como siempre, agradecería que si no lo he comprendido bien y/o no lo explico correctamente, se realicen las correcciones y/o ampliaciones de información oportunas en forma de comentarios a esta entrada). Ante de empezar, comentar que este tipo de ataque sirve tanto para descifrar criptogramas como para "cifrar" mensajes en claro  (lo he entrecomillado porque creo que es más correcto decir: obtener un texto cifrado para forzar que éste se descifre como el texto plano deseado, ya que hay que tener en cuenta que no se conoce la clave de cifrado/descifrado y mediante este ataque no se consigue obtenerla). No obst

Solución al último reto de criptografía que he puesto recientemente en este blog   y  en el que pretendo poner de manifiesto la importancia de la integridad de la información , es decir, de chequear ésta con objeto de asegurar que la información es exactamente la que el remitente nos envió y que ésta no ha sido interceptada y manipulada por un tercero. Como en los más recientes de los posts de criptografía que he incluido en este blog, en este desafío también se ve involucrado el criptosistema  de cifrado simétrico más utilizado,  AES  ( 'Advanced Encryption Standard' ),  en el modo de operación  CBC  ( 'Cipher Block Chaining' )  de los algoritmos de cifrado por bloques . El enunciado del reto decía lo siguiente: " Supongamos que he interceptado un criptograma de una organización criminal que sé que se ha obtenido cifrando el texto en claro con  AES  en modo de operación  CBC  y, además, que también me las he ingeniado para hacerme con el texto en claro. Los

Solución al reto de dificultad media  sobre criptografía que he puesto recientemente en este blog y en el que se ve involucrado el criptosistema  de cifrado simétrico más utilizado, AES  ( 'Advanced Encryption Standard' ),  en el modo de operación  CBC  ( 'Cipher Block Chaining' )  de los algoritmos de cifrado por bloques . Su enunciado decía lo siguiente: " Para resolver este reto se necesita conocer cómo funciona el modo   CBC   de los cifradores por bloques. Demuestra que tú sí conoces dicho funcionamiento y obtén la solución de este reto con las siguientes pistas: - Los primeros 14 de los 16 caracteres de la clave: ' 5rjIubT&Op_$3D '. - Los tres últimos Bytes del cuarto bloque del criptograma: b1607e. - El quinto bloque completo del criptograma: 925275279e9ca54278d6636884970397. - Mensaje en claro: 'Veamos si eres capaz de encontrar la flag, que es el vector de inicializacion-IV'" . Antes de pasar a explicar la solución de est