Examen de SPI - I*38 - Septiembre 2008

!!!
  1. Supón un cifrador en el que cada byte se cifra sumándole el byte siguiente de la secuencia de entrada. El último se cifra sumándole la clave. ¿Qué te parece el cifrador?. Está claro que no es seguro, pero ¿por qué? ¿Qué otro problema le ves?. %%% La seguridad es pésima, pues usa llaves de 8 bits. No es necesario ni pensar si es seguro el algoritmo, que no lo es.
    Además no puede cifrarse en flujo, es totalmente inutilizable. %%%
  2. Berta tiene un par de llaves RSA (e,n) y (d,n). Alberto tiene un mensaje m. Genera un número aleatorio r y envía a Berta x = (rem) mod n. Berta no puede sacar m (cosas de las matemáticas), pero calcula xd mod n y lo envía de vuelta a Alberto, quien multiplica el resultado por r-1 (mod n). ¿Qué obtiene Alberto?. Responde la fórmula y su significado. %%% Alberto obtiene md mod n, es decir m "firmado" por Berta sin que Berta vea lo que firma.
    Esto se denomina firma ciega de Chaum y es realmente interesante.
    xd mod n = (rem)d mod n = redmd mod n
    Como red mod n = r, al multiplicar por r-1 queda md mod n. %%%
  3. Discute la afirmación: RC4 es el mejor generador de números pseudoaleatorios, de hecho si la semilla es totalmente aleatoria, es prácticamente un verdadero generador de números aleatorios. %%% Totalmente cierto. Es un generador cíclico pero al permitir llaves de 2048 bits, el ciclo es prácticamente infinito. Si la llave/semilla es totalmente aleatoria podemos considerar aleatorios todos los número generados por RC4 a partir de la llave. %%%
  4. ¿Por qué desde la ventana de gestión de certificados de Windows puedo borrar certificados guardados en el disco duro, pero no los del clauer? Responde con concreción, sin vaguedades. %%% Porque el soft del clauer (store provider) no implementa la función de borrado. %%%
  5. Si borro una línea del PEM de un certificado, al cargarlo con openssl me dice que el certificado es incorrecto. Es obvio que es así, pero ¿cómo lo sabe openssl?. (respuesta técnica). %%% El certificado es un objeto firmado, al verificar la firma se produce un error de hash. %%%
  6. ¿Qué significa la sentencia
    SSLRequire %{SSL_CLIENT_S_DN_CN} =~ m/.*NIF 123456788Z$/
    en un fichero .htaccess? ¿Para qué tipo de certificados sirve?. %%% Se requiere que el cliente presente un certificado cuyo Subject haga "match" con esa regexp. Sirve para un certificado que al final del subject lleve la cadana "NIF 123456788Z". %%%
  7. Recibes un correo SMIME firmado en el que el programa lector de correo (outlook, thunderbird) te advierte que la firma es correcta desde el punto de vista del x509, pero la dirección del remitente no es la misma que figura en el certificado cuya llave asociada se ha empleado para firmar. Explica que riesgos de seguridad puede haber para que el lector de correo esté considerando la firma como incorrecta. %%% El lector de correo simplemente nos informa de este hecho, que puede considerarse como anecdótico pero en ningún caso es un problema de seguridad. No obstante si no advirtiera, dejaría en manos del usuario lector del correo el verificar el propietario del certificado de firma, algo que probablemente no realizaría y podrían producirse situaciones confusas. %%%
  8. Envío varios correos firmados a varios amigos y veo que los pkcs#7 de la firma son muy similares, salvo pequeñas diferencias. Explica si es normal y por qué, o es que estoy haciendo algo mal. %%% Normalmente adjunto el certificado que se necesita para verificar la firma e incluso algún certificado de CA intermedia que puede necesitarse para validarlo, con lo que hay partes del pkcs#7 que siempre son iguales, es normal y no hay ningún problema. Habrá partes diferentes, obviamente, pues la firma de correos diferentes es diferente. %%%
  9. Firefox 3 y otros navegadores, cuando accedemos a una página https cuyo certificado está firmado por una de ciertas CA (precargadas), nos muestra un color verde junto al amarillo habitual, indicando que se trata de un certificado de "calidad". ¿Por qué están haciendo esto?. ¿Beneficia al usuario o a ciertas CAs?. %%% Debido a la cantidad de CAs, presentes en Firefox y otros navegadores, que emiten certificados de escasa verificación (baratos), han optado por premiar a las CAs que certifican de verdad lo que el usuario quiere: saber con quien conecta. Beneficia a los usuarios claramente. A las CAs poderosas de momento también, depende del procedimiento que usen los de Firefox para admitir nuevos certificados de CAs %%%
  10. Soy administrador de una máquina con Linux y pongo el bit S a un programa ya instalado para que los usuarios lo puedan usar con privilegios, pero no funciona, no adquieren privilegios. Explica todas las razones que pueden provocarlo. %%% Obviamente se puede ejecutar porque el enunciado dice que se prueba y no funciona. Puede ser que el programa no sea propiedad del root. Puede ser que el filesystem esté montado sin permisos de suid. Puede ser que el propio programa mire si está siendo ejecutado con suid y lo deshabilite usando setreuid. %%%