Examen de SPI - I*38 - Junio 2006
!!!
-
Al acceder a una página web con explorer y tu clauer insertado,
te dice, inmediatamente y sin tu intervención,
cual es el identificador del clauer.
No has tenido que instalar ningún soft adicional.
Este identificador es el que se usa para acceder a biblioteca (mediateca) de la UJI.
Razona la implicaciones de seguridad y dónde crees que está el problema
si es que hay alguno.
%%%
Entiendo pues, que otras páginas puede que sepan leer el identificador
y por ello si accedo a ellas me copiaran el identificador y lo podrán
meter en otro clauer y hacerse pasar por mí en biblioteca.
La página no me ha pedido nada especial, no me ha instalado ningún soft,
luego es un problema del soft del clauer que tengo instalado.
Otro enfoque del tema es considerar que lo que está mal es lo que pasa en
biblioteca, pero quien se descargue el soft del clauer, verá que no se puede
averiguar el ident del clauer desde una página web sin permiso del usuario.
%%%
-
Algunas versiones de firefox parece se instalan con una configuración por defecto
tal que guardan las llaves privadas
asociadas a los certificados sin protegerlas con una contraseña.
Si ésta fuera tu situación en lynx, razona la seguridad de la situación.
%%%
Las llaves privadas estarían protegidas sólo por los permisos unix.
Si me he equivocado con los permisos o alguien me pilla la contraseña
me robará las llaves de los certificados sin problemas.
%%%
-
Con thunderbird, le envías un mail cifrado a un compañero (caso A),
otro mail cifrado con el mismo
contenido a tí mismo (caso B) y otro con el mismo contenido al compañero y
a tí (caso C). Hay dos correos que serán prácticamente iguales y uno
diferente, di cuales y por qué.
%%%
El correo que me mando a mi mismo (B) sólo va cifrado para mí. El que mando
al compañero (A) va cifrado para él y para mí y el que mando a los dos
(C) lo mismo, luego A y C son iguales, B mas pequeño.
%%%
-
A una persona le roban su clauer con los certificados de la GVA a las
11:00, se va al punto de registro y revoca los certificados. El clauer
llevaba una contraseña con al menos 3 minúsculas, 3 números y 3 mayúsculas.
Después acude a su casa y comprueba que con el mismo certificado
de firma que le acaban de robar, y que tenía instalado en el navegador
de casa, sigue pudiendo entrar en el
e-ujier a las 11:30 y, alarmada, te llama por teléfono, preocupada
por si quien le robó el clauer podrá usarlo para entrar en el e-ujier.
¿Qué le diríais a esta persona?.
%%%
Es realmente difícil violar la constraseña tal y como la tenía, por lo que
no es estrictamente necesario revocar el certificado, pues quien haya robado
el clauer no lo quiere por sus certificados sino por el dispositivo mismo.
En cualquier caso, si ya está revocado, pues mejor, más tranquilidad y si
sigue entrando en el e-ujier es normal, las autoridades certificadoras se
toman su tiempo en emitir los CRL y después el e-ujier se los tiene que descargar.
Seguro que en unas horas ya estará todo arreglado.
%%%
-
Tengo un texto (text/plain) cifrado con césar, clave 44, pero al descifrarlo con clave
76, veo que se lee más o menos. ¿Por qué será?
%%%
76-44=32 distancia en el código ascii entre mayúsculas y minúsculas. Es decir
que lo que debería ver en minúscula lo veo en mayúsculas, pero le veo.
%%%
-
Siempre que cifro algo con DES en modo CBC con openssl, el cifrado me sale un poco más
grande (número de bytes) que el original.
Cita todas las razones que se te ocurren por las que pueda pasar esto.
%%%
La más obvia es que DES cifra en bloques de 8 bytes.
No tan obvio es que el cifrado suele estar "sazonado" y esto añade unos pocos bytes al principio.
%%%
-
Una "cookie" es una pieza de información que un servidor manda a tu navegador para que éste la devuelva a todos
servidores (a los que conecte) de un ámbito determinado, asociado a la "cookie".
Cuando te autenticas en el e-ujier, recibes una "cookie",
que al ser devuelta al e-ujier le indica que estás autenticado. El ámbito de esa "cookie" es .uji.es.
Razona las implicaciones de seguridad.
%%%
Si después de autenticarme en el ujier, voy a la web de un compañero, le enviaré la cookie,
mi compañero tendría mi sesión, válida mientras yo no la cancele y podría hacer cosas en el e-ujier con mi nombre.
Se puede arreglar bastante si el ujier guarda la IP desde la que se realizó la autenticación y rechaza la sesión
si no viene de esa IP.
%%%
-
Quieres hacer copias de seguridad con una tarea automática, y quieres que sean cifradas. Pero no quieres que
una contraseña/llave esté explícitamente colocada en el script que hace la tarea. ¿Cómo puedes conseguirlo?
%%%
Usaré criptografía de llave pública combinada con llave privada, es decir, generaré una llave aleatoria para
DES3, con ella cifraré la copia de seguridad y esa llave la cifraré con una llave pública.
%%%
-
Pones un fichero .htaccess en un directorio para protegerlo de ciertas IPs, pero no te deja entrar de ninguna manera,
te dice acceso prohibido accediedo desde cualquier IP. Sin el .htaccess accede todo el mundo. ¿Qué es lo que puede estar pasando?
%%%
Probablemente el fichero .htaccess no tiene permisos de lectura para el servidor web.
También puede ser que todas las IPs desde las que he probado a acceder usen un proxy que sea una de las IPs que he denegado.
%%%
-
Supón que quieres cifrar un mensaje largo con RSA, pero no puedes (¡esto es un examen!)
usar un algoritmo de llave privada y cifrar la llave de sesión con RSA, sino todo el mensaje
con RSA. ¿Cómo lo harás? ¿Qué consideraciones tendrás que tomar antes de lanzarte a realizarlo?
Da respuestas prácticas.
%%%
No puedo cifrar todo el mensaje de golpe, sino partirlo en trozos cuyo tamaño sea menor
que p y q, los primos con los que se construye n. Esto no parece muy problemático.
El problema real es el tiempo de ejecución. Para ello cojeré un trozo del mensaje y
lo cifraré midiendo el tiempo, y haré una estimación temporal, para saber si el cifrado
acabará en este siglo o no. Por otra parte, si hay patrones repetitivos en el mensaje
deberé usar algo como RSA-CBC, es decir encadenar los bloques.
%%%