Examen de SPI - I*38 - Junio 2011

Se indica entre paréntesis el número de líneas estimado de la respuesta.
!!!
  1. Cuando cifro con un algoritmo de criptografía simétrica, por ejemplo AES, suelo usar una contraseña, ¿qué relación tiene con la llave que emplea el algoritmo? (2) %%% La llave se deriva de la contraseña, utilizando un algoritmo que da muchas vueltas para dificultar los ataques. %%%
  2. Ejecuto openssl des <archivo -k patata >archivo2 . ¿Qué contiene archivo2? ¿Cuál es su tamaño? ¿Por qué? (4) %%% Contiene el cifrado con DES del contenido de archivo usando como contraseña patata. Es ligeramente mayor que el original (unos pocos bytes). Se debe a que el DES usa bloques de 8 bytes, y a que openssl coloca unas cabeceras que indican que está salted, el salt y el IV. %%%
  3. ¿Por qué RSA no se usa en modo CBC? (2) %%% Porque CBC es para cifrar varios bloques de datos y RSA se usa para cifrar llaves de sesión o hashes, para lo que basta un bloque. %%%
  4. Explica las principales diferencias entre el DNI electrónico y el clauer en el uso de las llaves privadas RSA. (6) %%% El clauer sólo es una memoria que almacena certificados y llaves de forma cómoda. Por ello se puede copiar lo que contiene y para usar la llave se debe transferir al ordenador que la almacena provisionalmente. En cambio el DNI es un ordenador en sí mismo, del que no se pueden extraer las llaves (no se pueden hacer copias) y la operación con llave privada la hace el pripio DNI. %%%
  5. A la hora de firmar un email, compara usar un certificado gratuito de VeriSign con uno de la Generalitat Valenciana. (6) %%% Los certificados de VeriSign están universalmente aceptados, por lo que cualquiera que lea el email con la herramienta adecuada lo verificará, mientras que para verificar un mail firmado con un cert de la GVA probablemente deberá instalarse las CAs. En el otro extremo, un certificado de VeriSign sólo certifica la dirección de correo, lo que aporta mucha menos certeza que los certificados de la Generalitat que certifican a la persona. %%%
  6. ¿Por qué los certificados que instalo en el almacén por defecto usando Internet Explorer también me funcionan en Outlook y no en Firefox? (3) %%% Porque al instalarlos con Internet Explorer quedan instalados a nivel de Windows (CryptoAPI) y pueden ser usados por todas las aplicaciones que usen CryptoAPI. En cambio Firefox usa su propio PKCS11 y su propio almacén de certificados. %%%
  7. ¿Para qué puede servir la opción optional_no_ca de la directiva SSLVerifyClient de apache, si se dispone de opciones como require? (3) %%% Obviamente para pruebas. Y en producción sirve para que el servidor web no intervenga en la validación del certificado y deje toda la labor a la aplicación. %%%
  8. Un amigo tiene una aplicación web que, sólo cuando él está autenticado, al acceder a la url http://..../app?borrar=todo borra su base de datos sin más. ¿Cómo le borrarás la base de datos sin que se entere? (2) %%% Procuraré que lea alguna página web en la que habré insertado la imagen: <img src=http://..../app?borrar=todo width=0 img=0> Si lo hace estando autenticado en la aplicación, hará su efecto. %%%
  9. Has olvidado la contraseña de root de tu Linux, ¿cómo puedes recuperar el acceso como administrador? (3) %%% Quito el disco duro y lo meto en otro linux, o arranco otro linux con un USB o CD. En cualquier caso, monto el HD y edito con vi el archivo /montado/etc/shadow. %%%
  10. Con un programa "setuidado" con errores, he conseguido "hacerme root" (tengo un shell con id root) en un Linux. Decido entonces cambiar la contraseña del administrador y al usar el comando passwd root , me dice que no puedo porque no soy administrador. ¿Qué pasa? (1) %%% Porque el programa me ha dado el uid efectivo de root pero no el real, y el programa passwd lo está detectando. Obiamente soy root y puedo cambiar la contraseña del root editando el /etc/shadow. %%%