Examen de SPI - I*38 - Septiembre 2008
!!!
-
Supón un cifrador en el que cada byte se cifra sumándole el byte siguiente de la secuencia de entrada. El último se cifra sumándole la clave.
¿Qué te parece el cifrador?. Está claro que no es seguro, pero ¿por qué? ¿Qué otro problema le ves?.
%%%
La seguridad es pésima, pues usa llaves de 8 bits. No es necesario ni pensar si es seguro el algoritmo, que no lo es.
Además no puede cifrarse en flujo, es totalmente inutilizable.
%%%
-
Berta tiene un par de llaves RSA (e,n) y (d,n). Alberto tiene un mensaje m.
Genera un número aleatorio r y envía a Berta x = (rem) mod n.
Berta no puede sacar m (cosas de las matemáticas), pero calcula xd mod n
y lo envía de vuelta a Alberto, quien multiplica el resultado por r-1 (mod n).
¿Qué obtiene Alberto?. Responde la fórmula y su significado.
%%%
Alberto obtiene md mod n, es decir m "firmado" por Berta sin que Berta vea lo que firma.
Esto se denomina firma ciega de Chaum y es realmente interesante.
xd mod n = (rem)d mod n = redmd mod n
Como red mod n = r, al multiplicar por r-1 queda md mod n.
%%%
-
Discute la afirmación: RC4 es el mejor generador de números pseudoaleatorios, de hecho si la semilla
es totalmente aleatoria, es prácticamente un verdadero generador de números aleatorios.
%%%
Totalmente cierto. Es un generador cíclico pero al permitir llaves de 2048 bits, el ciclo es prácticamente
infinito. Si la llave/semilla es totalmente aleatoria podemos considerar aleatorios todos los número generados
por RC4 a partir de la llave.
%%%
-
¿Por qué desde la ventana de gestión de certificados de Windows puedo borrar certificados guardados
en el disco duro, pero no los del clauer? Responde con concreción, sin vaguedades.
%%%
Porque el soft del clauer (store provider) no implementa la función de borrado.
%%%
-
Si borro una línea del PEM de un certificado, al cargarlo con openssl me dice que el certificado
es incorrecto. Es obvio que es así, pero ¿cómo lo sabe openssl?. (respuesta técnica).
%%%
El certificado es un objeto firmado, al verificar la firma se produce un error de hash.
%%%
-
¿Qué significa la sentencia
SSLRequire %{SSL_CLIENT_S_DN_CN} =~ m/.*NIF 123456788Z$/
en un fichero .htaccess? ¿Para qué tipo de certificados sirve?.
%%%
Se requiere que el cliente presente un certificado cuyo Subject haga "match" con esa regexp.
Sirve para un certificado que al final del subject lleve la cadana "NIF 123456788Z".
%%%
-
Recibes un correo SMIME firmado en el que el programa lector de correo (outlook, thunderbird) te advierte
que la firma es correcta desde el punto de vista del x509, pero la dirección del remitente
no es la misma que figura en el certificado
cuya llave asociada se ha empleado para firmar. Explica que riesgos de seguridad puede haber para que
el lector de correo esté considerando la firma como incorrecta.
%%%
El lector de correo simplemente nos informa de este hecho, que puede considerarse como anecdótico
pero en ningún caso es un problema de seguridad. No obstante si no advirtiera, dejaría en manos del
usuario lector del correo el verificar el propietario del certificado de firma, algo que probablemente
no realizaría y podrían producirse situaciones confusas.
%%%
-
Envío varios correos firmados a varios amigos y veo que los pkcs#7 de la firma son muy similares, salvo
pequeñas diferencias. Explica si es normal y por qué, o es que estoy haciendo algo mal.
%%%
Normalmente adjunto el certificado que se necesita para verificar la firma e incluso algún certificado de
CA intermedia que puede necesitarse para validarlo, con lo que hay partes del pkcs#7 que siempre son
iguales, es normal y no hay ningún problema. Habrá partes diferentes, obviamente, pues la firma
de correos diferentes es diferente.
%%%
-
Firefox 3 y otros navegadores, cuando accedemos a una página https cuyo certificado está firmado
por una de ciertas CA (precargadas), nos muestra un color verde junto al amarillo habitual, indicando
que se trata de un certificado de "calidad". ¿Por qué están haciendo esto?. ¿Beneficia al usuario o a
ciertas CAs?.
%%%
Debido a la cantidad de CAs, presentes en Firefox y otros navegadores, que emiten certificados
de escasa verificación (baratos), han optado por premiar a las CAs que certifican de verdad lo que
el usuario quiere: saber con quien conecta. Beneficia a los usuarios claramente. A las CAs poderosas
de momento también, depende del procedimiento que usen los de Firefox para admitir nuevos certificados
de CAs
%%%
-
Soy administrador de una máquina con Linux y pongo el bit S a un programa ya instalado para que los
usuarios lo puedan usar con privilegios, pero no funciona, no adquieren privilegios.
Explica todas las razones que pueden provocarlo.
%%%
Obviamente se puede ejecutar porque el enunciado dice que se prueba y no funciona.
Puede ser que el programa no sea propiedad del root. Puede ser que el filesystem esté montado sin
permisos de suid. Puede ser que el propio programa mire si está siendo ejecutado con suid y lo deshabilite
usando setreuid.
%%%