Ethical Hacking utilizando BackTrack - Fedora-es

More documents

Recommendations

Info

46 seguridad y ethical hacking Criptografía de Curva Elíptica Listado 1. Test de verificación de la aplicación SPG gcc -g -Wall -O2 -c curves.c gcc -g -Wall -O2 -c ecc.c gcc -g -Wall -O2 -c ec_point.c gcc -g -Wall -O2 -c main.c gcc -g -Wall -O2 -c utils.c gcc -g -Wall -O2 -c sym_cipher.c gcc -g -Wall -O2 -c help.c gcc -o spg curves.o ecc.o ec_point.o main.o utils.o sym_cipher.o help.o -lgcrypt -pthread -lssl -lcrypto echo "done" rm -rf tests/keys/* rm -rf tests/message.txt.enc rm -rf tests/message.txt.sign rm -rf tests/message.txt.decrypted cp spg tests/ && cd tests && ./tests.sh Listado 2. Los comandos y opciones admitidos por la aplicación spg Use: spg commands [options] [file ...] Commands are: -g --gen_key Generate private key -x --xport eXport public key from private key -s --sign Generate message signature -v --verify Verify message signature -e --encrypt Encrypt -d --decrypt Decrypt -l --list_curves List implemented curves -h --help Print help and exit Options are: -c --curve Use this curve -i --input Input file -o --output Output file -V --verbose Be loud -t --timing Print time spent computing ecc algorythms Listado 3. Clave ECC basada en la curva elíptica secp521r1 -----BEGIN SPG PRIVATE KEY----- QQYIehs0rMVKFNPcgiXFHJT+H6lOupm54ICJhAxkUja5vzeJPZBpqkdHeWSke5oE Xi0KswHyU8lg14Ap7R08BOESQgHU+wr0Q4dfvltuFzSjTxj15cVeFhfq4xhrVxxn 86LsISGw8oeTeAab3scOiSxdjTD3hqHWdRfVwnjN2+tOk6Ez40F/rpqFeU5iTgMV rNCB8IJmcOxB0J9nwWlWuyD3rBVrP8ox6tSIHEKaiVR+0ogyJL3oQ78LfIW8hl4d QLQaJtOD5QlzZWNwNTIxcjE= -----END SPG PRIVATE KEY----- Listado 4. Contenido del fichero a firmar message.txt $ cat message.txt Recuerde el alma dormida, avive el seso y recuerde contemplando: Cómo se pasa la vida, cómo se viene la muerte tan callando. junto de puntos sobre una curva elíptica con coeficientes a, b Z_p. Dicho algoritmo puede desglosarse en dos según sean utilizados para la encriptación o la generación de firmas. Vamos a estudiar por separado cada uno de ellos. Generación de claves pública y privada ECDSA La generación de las claves antagónicas pública y privada, fundamento de los algoritmos ECD- SA, se sustenta en el seguimiento del procedimiento detallado en los siguientes pasos: Linux+ 7-8/2009 • Elegir una curva elíptica definida sobre un conjunto Z_p. El número de puntos de dicha curva elíptica debe ser divisible por un número entero primo grande n. • Seleccionar un punto P sobre dicha curva elíptica de orden n; esto es, que cumpla nP=0. • Seleccionar un entero d en el intervalo {1, 2, ..., n-1} • Calcular Q=dP Como resultado obtenemos un algoritmo de clave pública en el que: • Clave pública. Es la cuaterna de valores (E, P, n, Q) • Clave privada. Es el entero d perteneciente al intervalo {1, 2, ... n-1} Veamos a continuación los tres esquemas de aplicación a los problemas básicos de la criptografía de clave pública, que pueden hacerse extensivos a los algoritmos ECC en general y en particular, los derivados de los algoritmos ECDSA, como son el cifrado de mensajes, la generación de una firma digital y la verificación de la misma. Generación y verificación de firma digital ECDSA Para firmar digitalmente un mensaje, la propuesta de los algoritmos ECDSA es la siguiente: • Seleccionar un número entero k en el conjunto {1,2, ... n-1}, • Calcular kP=(x_1,y_1) y hagamos r = x mod n., • Si r=0, volver al paso 1, como condición de seguridad, ya que si r=0 la ecuación utilizada en la forma s=k^{-1}[h(m)+dr] mod n no contiene la clave privada d., • Calcular k^{-1} mod n, • Calcular s=k^{-1}[h(m)+dr] mod n donde h será el valor obtenido por el algoritmo SHA-1, • Si s=0 volver al paso 1, a fin de garantizar la existencia de la inversa s^{-1}. Como resultado, la firma digital ECDSA del mensaje m es el par de enteros (r,s). Para la verificación de la firma digital ECDSA, el proceso a seguir será el siguiente: • Obtener una copia de la clave pública (E, P, n, Q) y verificar que la firma (r,s) está contenida en el conjunto {1, ..., n-1}, • 2. Calcular w=s^{-1} mod n y h(m).,
• Calcular u_1=h(m)w mod n y u_2=rw mod n, • Calcular u_1P + u_2Q=(x_0,y_0) y v=x_0 mod n. De este modo, se puede concluir que la firma digital será válida si se cumple que v=r. Con ello hemos conseguido una descripción simple de los sistemas de cifrado, descifrado, autentificación de usuarios y firma digital característicos de toda técnica criptográfica moderna. Aplicaciones prácticas: Small Privacy Guard (SPG) Liberada en abril de 2009, la versión 0.3.1 de Small Privacy Guard se plantea como una aplicación basada en criptografía de clave pública ECC utilizable tanto para el cifrado y descifrado de mensajes como para la firma digital de los mismos y posterior verificación. Es, por decirlo de alguna forma, la contrapartida en algoritmos ECDSA sobre el conoci do Pretty Privacy Guard (PGP) de P. Zimmermann, desarrollado a partir de 1991 y las versiones OpenSource como OpenPGP y GnuPG. Esta aplicación se halla disponible en la URL http://spg.sourceforge.net en la forma de código fuente para su descarga por parte del lector y a diferencia de PGP, las claves no están vinculadas a direcciones de correo electrónico o nombres de usuario. La potencia de esta aplicación, como cualquier producto que admita criptografía de curva elíptica (ECC) se basa en el número y complejidad de curvas elípticas implementadas. En el caso objeto de estudio, SPG posee en esta versión 11 de estas curvas: • secp112r1 • secp112r2 • secp128r1 • secp128r2 • secp160r1 • secp160r2 • secp192r1 • secp224r1 • secp256r1 Listado 5. Firma digital del fichero message.txt • secp384r1 • secp521r1 cuyos tamaños de clave van de 112 a 521 bytes. El lector familiarizado con GPG no tendrá problema en adaptar SPG como herramienta sustituta en aplicaciones criptográficas en sistemas GNU/Linux en particular y Unix en general. Para iniciar el proceso de generación del ejecutable, deben satisfacerse los siguientes requisitos: • Instalación de las librerías de desarrollo OpenSSL. • Instalación de las librerías de desarrollo gcrypt. En distribuciones GNU/Linux cuyo formato de paquetes sea RPM, mediante el comando rpm(8), podemos verificar su existencia: $ rpm -q openssl openssl-0.9.8g-9.12.fc9.i686 $ rpm -q libgcrypt libgcrypt-1.4.4-1.fc9.i386 y en caso contrario, proceder a su instalación antes de proceder a la descarga del código fuente de la aplicación. Una vez ubicado éste en nuestro computador, proceder a desempaquetar los ficheros: $ tar xvf spg.tar.gz && cd spg y mediante la utilidad make(1), generar el ejecutable spg: $ make all Opcionalmente, es posible verificar el correcto comportamiento de la aplicación mediante la batería de tests recogida en el Listado 1. Para ello, ejecutar el comando: $ make tests ... INFO: File encrypted Message encrypted ok $ cat signature -----BEGIN SPG SIGNATURE----- QdpgUmdMn+5IFH+1MCVx9WcjrHT8fmKdu4LB4jn/UxmYa2if4vfSWugq7W59tv3J texOuBez6mj7AXiu58QKLcYBQZ9FQrfrkVZ4tESoQ0NujxQYkXKeBesyb2m9Ydir IdcmNXyWFQ4RRZ4VeuAc7siaJDUT/fJT10+aZkLOmpx133Ze -----END SPG SIGNATURE----- www.lpmagazine.org seguridad y ethical hacking Criptografía de Curva Elíptica ######### secp521r1 decrypting data ################# INFO: File decrypted successufuly Message decrypted ok INFO: File decrypted successufuly Message decrypted ok ALL TESTS PASSED y comprobar que todos los test propuestos son realizados de forma satisfactoria. Una vez concluido este paso, es posible empezar a dar los primeros pasos en criptografía ECC mediante esta aplicación, para ver su utilización en la generación de claves, cifrado, descifrado y firma digital explicadas para los algoritmos ECDSA. La aplicación spg utiliza una interfaz basada en línea de comandos (CLI) que admite los comandos y opciones indicadas en el Listado 2. A continuación, vamos a estudiar la aplicación de esta sencilla herramienta en los problemas básicos de la criptografía digital. Generación de claves privadas ECC Todo proceso que conlleva la criptografía de curva elíptica (ECC) debe partir de la selección de una de las 11 curvas elípticas actualmente implementadas en SPG 0.3.1. Para generar una de estas claves utilizando la curva secp521r1 que proporciona el nivel de seguridad más elevado, el comando a utilizar es el siguiente: $ spg -g -c secp521r1 -o ecc.key que almacena dicha clave en el fichero ASCII ecc.key mostrado en el Listado 3. Una vez generada nuestra clave privada, es necesario extraer la clave pública complementaria de ésta mediante el comando: $ spg -x -k ecc.key -o ecc_pub.key en el fichero ecc_pub.key, cuyo contenido se muestra a continuación. Nótese que en lo sucesivo, ya no es necesario una vez generada la clave privada de partida, especificar la curva elíptica a utilizar. -----BEGIN SPG PUBLIC KEY----- QQYIehs0rMVKFNPcgiXFHJT+H6lOupm54ICJh AxkUja5vzeJPZBpqkdHeWSke5oE Xi0KswHyU8lg14Ap7R08BOESQgHU+wr0Q4dfv ltuFzSjTxj15cVeFhfq4xhrVxxn 86LsISGw8oeTeAab3scOiSxdjTD3hqHWdRfVw 47
Page 3 and 4: a modo de introducción ¿Un hacker
Page 5 and 6: 58 Tema del número Seguridad y Eth
Page 7 and 8: Figura 2. Configuración xfc que no
Page 9 and 10: contenidos del servicio LastFM (cuy
Page 11 and 12: Si no puedes leer el disco DVD y no
Page 13 and 14: Build Service se va a Linux Foundat
Page 15 and 16: Fedora 11 usará Nouveau por defect
Page 18 and 19: seguridad y ethical hacking BackTra
Page 20 and 21: 20 seguridad y ethical hacking Back
Page 28 and 29: seguridad y ethical hacking Xprobe2
Page 30 and 31: 30 seguridad y ethical hacking Xpro
Page 32 and 33: seguridad y ethical hacking Hacking
Page 38: seguridad y ethical hacking Hacking
Page 42 and 43: seguridad y ethical hacking Criptog
Page 44 and 45: 44 seguridad y ethical hacking Crip
Page 48 and 49: 48 seguridad y ethical hacking Crip
Page 50 and 51: seguridad ECOPFN ECOPFN - Plataform
Page 52 and 53: seguridad y ethical hacking El Arte
Page 54 and 55: 54 seguridad y ethical hacking El A
Page 56 and 57: 56 seguridad y ethical hacking El A
Page 58 and 59: seguridad y ethical hacking Histori
Page 60 and 61: 60 seguridad y ethical hacking Hist
Page 62: 62 seguridad y ethical hacking Hist
Page 65 and 66: Pedido de suscripción Por favor, r
Page 67 and 68: Figura 1. Pantalla de Cinelerra 2.1
Page 69 and 70: Figura 5. Opciones a la hora de ins
Page 71 and 72: Licencia del presente artículo Est
Page 73 and 74: Agradecimientos En este apartado, m
Page 75 and 76: Al igual que ocurre con SELECT, pod
Page 77 and 78: Figura 4. Diseño de nuestra Tabla
Page 79 and 80: Listado 1. Conexión a la Base de D
Page 81 and 82: Figura 7. Sitio web de GambasRAD Fi
Page 84 and 85: programación php - Muuu Forms Form
Page 86 and 87: 86 programación php - Muuu Forms F
Page 88 and 89: 88 programación php - Muuu Forms L
Page 90 and 91: El tema principal del siguiente nú

Ethical Hacking utilizando BackTrack - Fedora-es

Create successful ePaper yourself

Delete template?

Save as template?