Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Resumen. Palabras Clave —Firma digital, hash MD5 Abstract- Keywords— Digital signature, hash MD5 I. INTRODUCCIÓN La criptografía responde a la necesidad de codificar mensajes que sólo pueda descifrar el destinatario y se ha aplicado tanto a defensa, como a secretos industriales y, en los últimos años, sobre todo, al comercio electrónico. Esto es así porque actualmente la seguridad de los sistemas informáticos se ve debilitada por el fuerte crecimiento de las redes y cuando se trata este tema hay que tener en cuenta un aspecto tan importante como la privacidad e integridad de los datos. II. OBJETIVOS • Comprender el funcionamiento de la firma digital. III Generar firma digital de un archivo Ejecutar el siguiente comando en el terminal de Debian: “openssl genrsa” para generar una pareja de claves: Clave privada: rsa_2048.key ➢ Archivo de salida: rsa_2048.key ➢ Tamaño de la pareja de claves en bits: 2048 ➢ Exponente público: “65537” ➢ Cifrado de la clave privada: AES ➢ con una clave de 128 bits ➢ Contraseña: cripto2015 ➢ Comando: openssl genrsa -aes192 -f4 -passout pass:cripto2015 -out rsa_2048.key 2048 Fig. 1 Generación de clave privada La cual genera el siguiente archivo: rsa_2048.key Fig. 2 archivo clave privada • El siguiente paso es extraer la clave, se debe ejecutar el siguiente comando en el terminal de Debian: “openssl rsa”: Clave pública: rsa_2048_pub.key ➢ Archivo de entrada: rsa_2048.key ➢ Archivo de salida: rsa_2048_pub.key Gilbert Jair Sanchez Avila Escuela de Ciencias Básicas, Tecnología e Ingeniería “ECBTI”, Universidad Nacional Abierta y a Distancia “UNAD” Colombia Segunda Fase - Diseño y construcción ➢ Comando: openssl rsa -in rsa_2048.key -passin pass:cripto2015 –pubout –out rsa_2048_pub.key Fig. 3 Generación de la clave publica La cual genera el siguiente archivo: rsa_2048_pub.key Fig.4 Archivo clave publica Deberán firmar con el comando “openssl dgst” y la clave “rsa_2048.key” el documento “archivo_2z.ps”. Se hará uso de la función hash (resumen) criptográfica MD5 para calcular la firma. ➢ Archivo que se va a proceder a firmar: archivo_2z.ps ➢ Clave privada: rsa_2048.key ➢ Contraseña: cripto2015 ➢ Función hash (resumen): md5 ➢ Archivo de salida (firma): firma_archivo_2z.txt ➢ Comando a ejecutar en el terminal de Debian para ejecutar el proceso antes mencionado: openssl dgst -sign rsa_2048.key -md5 -passin pass:cripto2015 -out firma_archivo_2z.txt archivo_2z.ps Fig. 5 Generación de la firma digital Fig. Firma digital Fig. 7 archivo de la firma digital Deberán verificar con el comando “openssl dgst” y la clave pública “rsa_2048_pub.key” la firma digital del archivo generado en el proceso anterior “firma_archivo_2z.txt” pero haciendo uso del archivo “archivo_1y.ps” como documento firmado. ➢ Archivo que contiene la firma digital: firma_archivo_2z.txt ➢ Archivo firmado: archivo_2z.ps ➢ Clave pública: rsa_2048_pub.key ➢ Función hash (resumen): md5 ➢ Comando: openssl dgst -verify rsa_2048_pub.key -md5 - signature firma_archivo_2z.txt archivo_1y.ps Fig. 8 verificación de la firma digital PREGUNTAS ¿Qué resultado obtuvieron en este proceso de firma digital, esto sí debería suceder o ser posible? Se generaron un par de claves una privada y una publica para poder firmar el documento. ¿Qué es una función hash MD5? La función hash MD5 es un algoritmo que consiguen crear a partir de una entrada ya sea un texto, una contraseña o un archivo una salida alfanumérica de longitud de 128bits (32 dígitos hexadecimales) que representa un resumen de toda la información que se le ha dado. ¿Por qué obtuvieron dicho resultado? ¿Cuál es la debilidad en el sistema de firma digital OpenSSL? Se generó un archivo con la firma digital (firma_archivo_2z.txt ) para el archivo archivo_2z.ps utilizando el hash MD5, pero al verificar la firma digital (firma_archivo_2z.txt) se utilizó otro archivo archivo_1y.ps dando como resulto OK, podemos verificar la función hash MD5 de los dos archivos por medio del siguiente comando md5sum archivo_1y.ps y md5sum archivo_2z.ps podemos observar que son los mismos Fig. 9 comprobación del hash md5 Este es una vulnerabilidad llamada ataque de colisión hash “se produce al aplicar a dos archivos distintos una función hash y que éstos arrojen la misma salida” IV Ataque de fuerza bruta utilizando un script Fig. 10 script a ejecutar Asignamos privilegios plenos Fig. 11 permisos de ejecución Ejecutamos el script para el primer alfabeto Fig. 12 primera clave Editamos el script cambiando el número del alfabeto a trabajar space1 lo cambiamos por space2 Fig.13 edición del script Obtenemos la segunda clave Fig.14 segunda clave La tercera clave no se obtuvo con el script Fig. 15 tercera clave Como este script no pudo descifrar le tercera clave utilizaremos el programa john the ripper, procedemos a instalarlo Fig. 16 instalación de John the ripper Para la obtención de la sexta clave creamos un texto con el hash llamando hash6 Fig. 17 hash6 Procedemos a realizar el taque Tabla 1 VI. REFERENCIAS [1]https://www.youtube.com/watch?v=6S8FQGGgvZE Instalar las Guest Additions en Debian,. [Último acceso: Septiembre 2015]. [2]https://www.youtube.com/watch?v=Le7lD0RxSI0, Compartir carpetas Windows-8 a Linux-Ubuntu12 (VirtualBox) [Último acceso: Septiembre 2015]. [3]http://www.seguridad.unam.mx/noticia/?noti=2012, El último clavo al ataúd del hash MD5: Generalizan colisiones criptográficas [Último acceso: Septiembre 2015]. [4]http://blog.loretahur.net/2007/07/instalando-john- ripper.html, Instalando John The Ripper- Publicado por Lorena Fernández el 25-07-2007 [Último acceso: Septiembre 2015]. Alfabeto Número caracteres Salt Hash contraseña Contraseña Tiempo Alfabeto 1 3 zz zzxro5xjinmvM yep 57 seg Alfabeto 2 3 OO OOxtB6h5YruaA YEP 7 min 45seg Alfabeto 3 3 U. U./Se8tPqytD2 Alfabeto 4 3 4Y 4Yy77AHdCPNqY Alfabeto 1 5 bb bbzNErQvUSZOI. marta Alfabeto 1 6 uu uuFPJnWAcNys2 madrid 0.2 seg https://www.youtube.com/watch?v=6S8FQGGgvZE https://www.youtube.com/watch?v=Le7lD0RxSI0 http://www.seguridad.unam.mx/noticia/?noti=2012 http://blog.loretahur.net/2007/07/instalando-john-ripper.html http://blog.loretahur.net/2007/07/instalando-john-ripper.html
Compartir