38 segunda fase criptografia modificada

Vista previa del material en texto

Resumen. 
 
Palabras Clave —Firma digital, hash MD5 
 
 Abstract- 
 
Keywords— Digital signature, hash MD5 
 
 
I. INTRODUCCIÓN 
 
La criptografía responde a la necesidad de codificar mensajes que 
sólo pueda descifrar el destinatario y se ha aplicado tanto a defensa, 
como a secretos industriales y, en los últimos años, sobre todo, al 
comercio electrónico. Esto es así porque actualmente la seguridad de 
los sistemas informáticos se ve debilitada por el fuerte crecimiento de 
las redes y cuando se trata este tema hay que tener en cuenta un 
aspecto tan importante como la privacidad e integridad de los datos. 
 
II. OBJETIVOS 
 
 
• Comprender el funcionamiento de la firma digital. 
 
 
III Generar firma digital de un archivo 
 
Ejecutar el siguiente comando en el terminal de Debian: “openssl 
genrsa” para generar una pareja de claves: 
 
Clave privada: rsa_2048.key 
 
 
➢ Archivo de salida: rsa_2048.key 
➢ Tamaño de la pareja de claves en bits: 2048 
➢ Exponente público: “65537” 
➢ Cifrado de la clave privada: AES 
➢ con una clave de 128 bits 
➢ Contraseña: cripto2015 
➢ Comando: openssl genrsa -aes192 -f4 -passout 
pass:cripto2015 -out rsa_2048.key 2048 
 
 
Fig. 1 Generación de clave privada 
 
La cual genera el siguiente archivo: rsa_2048.key 
 
 
Fig. 2 archivo clave privada 
 
 
 
• El siguiente paso es extraer la clave, se debe ejecutar el 
siguiente comando en el terminal de Debian: “openssl rsa”: 
Clave pública: rsa_2048_pub.key 
 
➢ Archivo de entrada: rsa_2048.key 
➢ Archivo de salida: rsa_2048_pub.key 
Gilbert Jair Sanchez Avila 
Escuela de Ciencias Básicas, Tecnología e Ingeniería “ECBTI”, 
Universidad Nacional Abierta y a Distancia “UNAD” 
Colombia 
 
Segunda Fase - Diseño y construcción 
➢ Comando: openssl rsa -in rsa_2048.key 
 -passin pass:cripto2015 –pubout –out 
rsa_2048_pub.key 
 
Fig. 3 Generación de la clave publica 
 
 
La cual genera el siguiente archivo: rsa_2048_pub.key 
 
 
 
Fig.4 Archivo clave publica 
 
Deberán firmar con el comando “openssl dgst” y la clave 
“rsa_2048.key” el documento “archivo_2z.ps”. Se hará uso de la 
función hash (resumen) criptográfica MD5 para calcular la firma. 
 
➢ Archivo que se va a proceder a firmar: archivo_2z.ps 
➢ Clave privada: rsa_2048.key 
➢ Contraseña: cripto2015 
➢ Función hash (resumen): md5 
➢ Archivo de salida (firma): firma_archivo_2z.txt 
➢ Comando a ejecutar en el terminal de Debian para ejecutar 
el proceso antes mencionado: openssl dgst -sign 
rsa_2048.key -md5 -passin pass:cripto2015 -out 
firma_archivo_2z.txt archivo_2z.ps 
 
 
 
Fig. 5 Generación de la firma digital 
 
 
Fig. Firma digital 
 
 
 
Fig. 7 archivo de la firma digital 
 
Deberán verificar con el comando “openssl dgst” y la clave pública 
“rsa_2048_pub.key” la firma digital del archivo generado en el 
proceso anterior “firma_archivo_2z.txt” pero haciendo uso del archivo 
“archivo_1y.ps” como documento firmado. 
 
➢ Archivo que contiene la firma digital: firma_archivo_2z.txt 
➢ Archivo firmado: archivo_2z.ps 
➢ Clave pública: rsa_2048_pub.key 
➢ Función hash (resumen): md5 
➢ Comando: openssl dgst -verify rsa_2048_pub.key -md5 - 
signature firma_archivo_2z.txt archivo_1y.ps 
 
 
 
Fig. 8 verificación de la firma digital 
 
 
 
 
 
PREGUNTAS 
¿Qué resultado obtuvieron en este proceso de firma digital, esto sí 
debería suceder o ser posible? 
Se generaron un par de claves una privada y una publica para poder 
firmar el documento. 
 
 
¿Qué es una función hash MD5? 
 
La función hash MD5 es un algoritmo que consiguen crear a partir de 
una entrada ya sea un texto, una contraseña o un archivo una salida 
alfanumérica de longitud de 128bits (32 dígitos hexadecimales) que 
representa un resumen de toda la información que se le ha dado. 
 
¿Por qué obtuvieron dicho resultado? ¿Cuál es la debilidad en el 
sistema de firma digital OpenSSL? 
 
Se generó un archivo con la firma digital (firma_archivo_2z.txt ) para 
el archivo archivo_2z.ps utilizando el hash MD5, pero al verificar la 
firma digital (firma_archivo_2z.txt) se utilizó otro archivo 
archivo_1y.ps dando como resulto OK, podemos verificar la función 
hash MD5 de los dos archivos por medio del siguiente comando 
md5sum archivo_1y.ps y md5sum archivo_2z.ps podemos observar 
que son los mismos 
 
 
Fig. 9 comprobación del hash md5 
 
Este es una vulnerabilidad llamada ataque de colisión hash “se produce 
al aplicar a dos archivos distintos una función hash y que éstos arrojen 
la misma salida” 
 
 
IV Ataque de fuerza bruta utilizando un script 
 
 
Fig. 10 script a ejecutar 
 
 
 
 
 
Asignamos privilegios plenos 
 
 
 
Fig. 11 permisos de ejecución 
 
 
 
 
 
Ejecutamos el script para el primer alfabeto 
 
 
Fig. 12 primera clave 
 
 
Editamos el script cambiando el número del alfabeto a trabajar space1 
lo cambiamos por space2 
 
 
Fig.13 edición del script 
 
 
 
Obtenemos la segunda clave 
 
 
 
 
Fig.14 segunda clave 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
La tercera clave no se obtuvo con el script 
 
 
 
 
Fig. 15 tercera clave 
 
Como este script no pudo descifrar le tercera clave utilizaremos el 
programa john the ripper, procedemos a instalarlo 
 
 
Fig. 16 instalación de John the ripper 
 
 
Para la obtención de la sexta clave creamos un texto con el hash 
llamando hash6 
 
 
Fig. 17 hash6 
 
 
 
 
 
 
 
 
 
 
 
 
 
Procedemos a realizar el taque 
 
 
 
 
 
 
 
Tabla 1 
 
 
 
 
VI. REFERENCIAS 
 
[1]https://www.youtube.com/watch?v=6S8FQGGgvZE 
Instalar las Guest Additions en Debian,. [Último acceso: 
Septiembre 2015]. 
 
[2]https://www.youtube.com/watch?v=Le7lD0RxSI0, Compartir 
carpetas Windows-8 a Linux-Ubuntu12 (VirtualBox) [Último acceso: 
Septiembre 2015]. 
 
[3]http://www.seguridad.unam.mx/noticia/?noti=2012, El último 
clavo al ataúd del hash MD5: Generalizan colisiones criptográficas 
[Último acceso: Septiembre 2015]. 
 
[4]http://blog.loretahur.net/2007/07/instalando-john-
ripper.html, Instalando John The Ripper- Publicado por Lorena 
Fernández el 25-07-2007 [Último acceso: Septiembre 2015]. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Alfabeto Número 
caracteres 
 
Salt 
 
Hash contraseña 
 
Contraseña 
 
 
Tiempo 
Alfabeto 
1 
 
3 
 
zz 
 
zzxro5xjinmvM 
yep 57 seg 
Alfabeto 
2 
 
3 
 
OO 
 
OOxtB6h5YruaA 
YEP 7 min 
45seg 
Alfabeto 
3 
 
3 
 
U. 
 
U./Se8tPqytD2 
 
Alfabeto 
4 
 
3 
 
4Y 
 
4Yy77AHdCPNqY 
 
Alfabeto 
1 
 
5 
 
bb 
 
bbzNErQvUSZOI. 
marta 
Alfabeto 
1 
 
6 
 
uu 
 
uuFPJnWAcNys2 
madrid 0.2 seg 
https://www.youtube.com/watch?v=6S8FQGGgvZE
https://www.youtube.com/watch?v=Le7lD0RxSI0
http://www.seguridad.unam.mx/noticia/?noti=2012
http://blog.loretahur.net/2007/07/instalando-john-ripper.html
http://blog.loretahur.net/2007/07/instalando-john-ripper.html