Examen de SPI - I*38 - Junio 2006

!!!
  1. Al acceder a una p�gina web con explorer y tu clauer insertado, te dice, inmediatamente y sin tu intervenci�n, cual es el identificador del clauer. No has tenido que instalar ning�n soft adicional. Este identificador es el que se usa para acceder a biblioteca (mediateca) de la UJI. Razona la implicaciones de seguridad y d�nde crees que est� el problema si es que hay alguno. %%% Entiendo pues, que otras p�ginas puede que sepan leer el identificador y por ello si accedo a ellas me copiaran el identificador y lo podr�n meter en otro clauer y hacerse pasar por m� en biblioteca.
    La p�gina no me ha pedido nada especial, no me ha instalado ning�n soft, luego es un problema del soft del clauer que tengo instalado.
    Otro enfoque del tema es considerar que lo que est� mal es lo que pasa en biblioteca, pero quien se descargue el soft del clauer, ver� que no se puede averiguar el ident del clauer desde una p�gina web sin permiso del usuario. %%%
  2. Algunas versiones de firefox parece se instalan con una configuraci�n por defecto tal que guardan las llaves privadas asociadas a los certificados sin protegerlas con una contrase�a. Si �sta fuera tu situaci�n en lynx, razona la seguridad de la situaci�n. %%% Las llaves privadas estar�an protegidas s�lo por los permisos unix. Si me he equivocado con los permisos o alguien me pilla la contrase�a me robar� las llaves de los certificados sin problemas. %%%
  3. Con thunderbird, le env�as un mail cifrado a un compa�ero (caso A), otro mail cifrado con el mismo contenido a t� mismo (caso B) y otro con el mismo contenido al compa�ero y a t� (caso C). Hay dos correos que ser�n pr�cticamente iguales y uno diferente, di cuales y por qu�. %%% El correo que me mando a mi mismo (B) s�lo va cifrado para m�. El que mando al compa�ero (A) va cifrado para �l y para m� y el que mando a los dos (C) lo mismo, luego A y C son iguales, B mas peque�o. %%%
  4. A una persona le roban su clauer con los certificados de la GVA a las 11:00, se va al punto de registro y revoca los certificados. El clauer llevaba una contrase�a con al menos 3 min�sculas, 3 n�meros y 3 may�sculas. Despu�s acude a su casa y comprueba que con el mismo certificado de firma que le acaban de robar, y que ten�a instalado en el navegador de casa, sigue pudiendo entrar en el e-ujier a las 11:30 y, alarmada, te llama por tel�fono, preocupada por si quien le rob� el clauer podr� usarlo para entrar en el e-ujier. �Qu� le dir�ais a esta persona?. %%% Es realmente dif�cil violar la constrase�a tal y como la ten�a, por lo que no es estrictamente necesario revocar el certificado, pues quien haya robado el clauer no lo quiere por sus certificados sino por el dispositivo mismo.
    En cualquier caso, si ya est� revocado, pues mejor, m�s tranquilidad y si sigue entrando en el e-ujier es normal, las autoridades certificadoras se toman su tiempo en emitir los CRL y despu�s el e-ujier se los tiene que descargar.
    Seguro que en unas horas ya estar� todo arreglado. %%%
  5. Tengo un texto (text/plain) cifrado con c�sar, clave 44, pero al descifrarlo con clave 76, veo que se lee m�s o menos. �Por qu� ser�? %%% 76-44=32 distancia en el c�digo ascii entre may�sculas y min�sculas. Es decir que lo que deber�a ver en min�scula lo veo en may�sculas, pero le veo. %%%
  6. Siempre que cifro algo con DES en modo CBC con openssl, el cifrado me sale un poco m�s grande (n�mero de bytes) que el original. Cita todas las razones que se te ocurren por las que pueda pasar esto. %%% La m�s obvia es que DES cifra en bloques de 8 bytes.
    No tan obvio es que el cifrado suele estar "sazonado" y esto a�ade unos pocos bytes al principio. %%%
  7. Una "cookie" es una pieza de informaci�n que un servidor manda a tu navegador para que �ste la devuelva a todos servidores (a los que conecte) de un �mbito determinado, asociado a la "cookie". Cuando te autenticas en el e-ujier, recibes una "cookie", que al ser devuelta al e-ujier le indica que est�s autenticado. El �mbito de esa "cookie" es .uji.es. Razona las implicaciones de seguridad. %%% Si despu�s de autenticarme en el ujier, voy a la web de un compa�ero, le enviar� la cookie, mi compa�ero tendr�a mi sesi�n, v�lida mientras yo no la cancele y podr�a hacer cosas en el e-ujier con mi nombre. Se puede arreglar bastante si el ujier guarda la IP desde la que se realiz� la autenticaci�n y rechaza la sesi�n si no viene de esa IP. %%%
  8. Quieres hacer copias de seguridad con una tarea autom�tica, y quieres que sean cifradas. Pero no quieres que una contrase�a/llave est� expl�citamente colocada en el script que hace la tarea. �C�mo puedes conseguirlo? %%% Usar� criptograf�a de llave p�blica combinada con llave privada, es decir, generar� una llave aleatoria para DES3, con ella cifrar� la copia de seguridad y esa llave la cifrar� con una llave p�blica. %%%
  9. Pones un fichero .htaccess en un directorio para protegerlo de ciertas IPs, pero no te deja entrar de ninguna manera, te dice acceso prohibido accediedo desde cualquier IP. Sin el .htaccess accede todo el mundo. �Qu� es lo que puede estar pasando? %%% Probablemente el fichero .htaccess no tiene permisos de lectura para el servidor web.
    Tambi�n puede ser que todas las IPs desde las que he probado a acceder usen un proxy que sea una de las IPs que he denegado. %%%
  10. Sup�n que quieres cifrar un mensaje largo con RSA, pero no puedes (�esto es un examen!) usar un algoritmo de llave privada y cifrar la llave de sesi�n con RSA, sino todo el mensaje con RSA. �C�mo lo har�s? �Qu� consideraciones tendr�s que tomar antes de lanzarte a realizarlo? Da respuestas pr�cticas. %%% No puedo cifrar todo el mensaje de golpe, sino partirlo en trozos cuyo tama�o sea menor que p y q, los primos con los que se construye n. Esto no parece muy problem�tico.
    El problema real es el tiempo de ejecuci�n. Para ello cojer� un trozo del mensaje y lo cifrar� midiendo el tiempo, y har� una estimaci�n temporal, para saber si el cifrado acabar� en este siglo o no. Por otra parte, si hay patrones repetitivos en el mensaje deber� usar algo como RSA-CBC, es decir encadenar los bloques. %%%