Безопасность компьютерных систем 2017/Задание 4 — различия между версиями
Enr1g (обсуждение | вклад) (Новая страница: «== Описание задания == Задание состоит из двух независимых этапов: задача на криптоанализ…») |
Inviz (обсуждение | вклад) (→Оценивание) |
||
| (не показано 10 промежуточных версии 2 участников) | |||
| Строка 11: | Строка 11: | ||
* decrypt.py — расшифрование данных | * decrypt.py — расшифрование данных | ||
* encrypted_password.txt — файл с зашифрованным паролем | * encrypted_password.txt — файл с зашифрованным паролем | ||
| + | |||
| + | Скачать дамп можно здесь [https://drive.google.com/file/d/1cQo-biEZUExlktSYXd8Kw19gQcfLQ3vY/view?usp=sharing] | ||
=== Задача === | === Задача === | ||
| Строка 33: | Строка 35: | ||
== Задание на асимметричную криптографию == | == Задание на асимметричную криптографию == | ||
=== Легенда === | === Легенда === | ||
| − | + | В корпорации «Pupa&Lupa» любят и ценят безопасность, поэтому к устройствам во внутренней сети можно подключиться только по ssh только при помощи ключей. Однако безопасники корпорации всё перепутали и сгенерировали приватные RSA-ключи для всех устройств в сети на старой машине с плохим ГПСЧ (с низкой энтропией). | |
| + | |||
| + | Нам удалось собрать 1000 соответствующих [https://drive.google.com/open?id=1jZxlBxTT0VZkcwbtjYJYkR1wUZEInUvc публичных ключей]. Ваша задача — суметь проникнуть на одну из машин во внутренней сети «Pupa&Lupa»: | ||
| + | |||
| + | <syntaxhighlight lang="bash"> | ||
| + | ssh pupalupa@94.130.175.205 -p9022 | ||
| + | </syntaxhighlight> | ||
| + | |||
=== Задача === | === Задача === | ||
| − | + | * Взломать RSA-ключ, позволяющий получить доступ по ssh. | |
| + | * Подключиться к машине из условия задачи и получить флаг. | ||
| + | |||
=== Формат решения === | === Формат решения === | ||
| − | + | * Флаг. | |
| + | * Скрипт для Python или Sage, взламывающий ключ. | ||
| + | * Текстовое описание того, как был взломана криптосистема. | ||
| + | * Описание недостатка, который позволил получить доступ к машине с флагом. | ||
| + | |||
| + | === Сдача решения === | ||
| + | Присылайте решения на почту [mailto:arthur@khashaev.ru?subject=%5Bcrypto@hsecurity%5D arthur@khashaev.ru] с темой «[crypto@hsecurity] Ф.И.О.» | ||
== Оценивание == | == Оценивание == | ||
| − | + | Выполнение каждого этапа даёт 1 балл. В сумме можно получить максимум 2 балла. Также возможно начисление дополнительных баллов за альтернативные способы решения. | |
== Сроки == | == Сроки == | ||
| Строка 46: | Строка 63: | ||
== Примечание == | == Примечание == | ||
| + | Вопросы и баги можно писать на почту enr1g[at]seclab.cs.msu.su, в чат курса в Telegram и в личку @Enr1g | ||
Текущая версия на 22:15, 12 декабря 2017
Содержание
Описание задания
Задание состоит из двух независимых этапов: задача на криптоанализ симметричного шифра и асимметричного шифра. В обоих этапах нужно будет получить доступ к ssh-серверу, на котором хранится флаг в формате HSE{...SOME_TEXT...}
Задание на симметричную криптографию
Легенда
У вас есть дамп домашней папки пользователя hse_task_sc, где он хранил зашифрованный пароль своей учётной записи от машины 94.130.175.205.
- encrypt.py — шифрование данных
- decrypt.py — расшифрование данных
- encrypted_password.txt — файл с зашифрованным паролем
Скачать дамп можно здесь [1]
Задача
- Понять, как работает эта криптосистема.
- Понять, как будете атаковать: Known-Plaintext, Chosen Plaintext, Ciphertext Only, что-то другое?
- Узнать пароль пользователя без применения бандитского криптоанализа, социальной инженерии и помощи коллег.
Формат решения
Решение должно содержать следующий минимум:
- Программный код на языке Python (последние версии python2 и python3, а также совместимые с ними), взламывающий пароль.
- Текстовое описание того, как был взломан шифр.
- Какой недостаток в этой криптосистеме позволил вам дешифровать шифртекст.
- Флаг, как доказательство получения доступа по ssh.
Если было обнаружено несколько способов взлома (их минимум 3 разной степени элегантности), то подобное описание стоит сделать для каждой атаки.
Куда и как сдавать
Присылайте на почту enr1g[at]seclab.cs.msu.su с темой [crypto@hsecurity] Фамилия И.О.. На случай коллизии ФИО, напишите его полностью =)
Задание на асимметричную криптографию
Легенда
В корпорации «Pupa&Lupa» любят и ценят безопасность, поэтому к устройствам во внутренней сети можно подключиться только по ssh только при помощи ключей. Однако безопасники корпорации всё перепутали и сгенерировали приватные RSA-ключи для всех устройств в сети на старой машине с плохим ГПСЧ (с низкой энтропией).
Нам удалось собрать 1000 соответствующих публичных ключей. Ваша задача — суметь проникнуть на одну из машин во внутренней сети «Pupa&Lupa»:
ssh pupalupa@94.130.175.205 -p9022
Задача
- Взломать RSA-ключ, позволяющий получить доступ по ssh.
- Подключиться к машине из условия задачи и получить флаг.
Формат решения
- Флаг.
- Скрипт для Python или Sage, взламывающий ключ.
- Текстовое описание того, как был взломана криптосистема.
- Описание недостатка, который позволил получить доступ к машине с флагом.
Сдача решения
Присылайте решения на почту arthur@khashaev.ru с темой «[crypto@hsecurity] Ф.И.О.»
Оценивание
Выполнение каждого этапа даёт 1 балл. В сумме можно получить максимум 2 балла. Также возможно начисление дополнительных баллов за альтернативные способы решения.
Сроки
Задание принимается до 20:00, 25 декабря 2017 года.
Примечание
Вопросы и баги можно писать на почту enr1g[at]seclab.cs.msu.su, в чат курса в Telegram и в личку @Enr1g
