PDA

Ver la versión completa : Cómo se descifraría el fichero seguro de Wikileaks insurance.aes256



LUK
15-12-2010, 11:38
Con todo el revuelo que está volviendo a montar Wikileaks (http://213.251.145.96/) (y más con la detención de Assange (https://secure.wikimedia.org/wikipedia/es/wiki/Julian_Assange)) se han reavivado asuntos (http://www.kriptopolis.org/descifrar-wikileaks-insurance) que estaban en segundo plano, como el supuesto seguro de vida de Julian Assange. Para los menos puestos en el tema, el seguro se trata de un fichero fuertemente cifrado que distribuyó Wikileaks y cuya clave de cifrado se desconoce. En el caso de que a Julian Assange le sucediera algo (presuntamente, si falleciera), la clave de cifrado se liberaría y todo el mundo podría ver el contenido.

Lo que hay dentro es un misterio, según Wikileaks es información altamente comprometedora.

Vamos a estudiar la forma de ver el contenido del fichero si la clave se liberara.

Según comentaba Wikileaks el fichero está cifrado con AES Crypt (http://www.aescrypt.com/), un software libre multiplataforma que utiliza el algoritmo AES - Rijndael (https://secure.wikimedia.org/wikipedia/es/wiki/Advanced_Encryption_Standard) de 256 bits (cifrado también usado por la NSA (https://secure.wikimedia.org/wikipedia/es/wiki/Agencia_de_Seguridad_Nacional)). El asunto es que hay sospechas (http://cryptome.org/0002/wl-diary-mirror.htm) de que, aunque Wikileaks lo documentara así, realmente no esté cifrado con AES Crypt. Personalmente yo tampoco creo que esté cifrado con este software, sino con OpenSSL (http://www.openssl.org/), pero ésto lo dejamos para el análisis posterior.

Dicho esto, vamos a ver como se descifraría con ambos programas.

- AES Crypt en Windows [Información (http://www.aescrypt.com/windows_aes_crypt.html) - Descarga (http://www.aescrypt.com/download.html)]

El uso es muy intuitivo. Solo tendríamos que instalar AES Crypt, y pulsar click derecho sobre el fichero cifrado. Se abre una ventana pidiendo la clave y si es correcta comienza la extracción.


http://2.bp.blogspot.com/_EjEMMY_-ciA/TP7C5o7YtxI/AAAAAAAAA5Y/TDheAHq1w7g/s1600/decrypt_menu.gif (http://2.bp.blogspot.com/_EjEMMY_-ciA/TP7C5o7YtxI/AAAAAAAAA5Y/TDheAHq1w7g/s1600/decrypt_menu.gif)


- AES Crypt en GNU/Linux [Información (http://www.aescrypt.com/linux_aes_crypt.html) - Descarga (http://www.aescrypt.com/download.html)]

Utilizando la versión de terminal el uso también es muy fácil. Una vez compilado, solamente habría que ejecutarlo de la siguiente forma.

aescrypt -d -p clave_de_cifrado insurance.aes

- OpenSSL [Disponible en la mayoría de distribuciones GNU/Linux y sistemas Unix-like]

El comando es algo más largo pero el funcionamiento es parecido.

openssl enc -aes256 -d -in insurance.aes256 -out insurance_dec
[Nos pedirá la clave y descifrará]

Vale, hasta aquí la guia para descifrarlo, ahora el análisis del fichero y el porqué no AES Crypt y si OpenSSL.

La mayoría de los programas cuando trabajan con ficheros, graban al inicio de ellos una cabecera. Ésto les ayuda a identificar sus propios ficheros cuando vuelven a trabajar con ellos, y a veces marcan pautas de como funcionar con ese fichero. Además, muchas veces ayuda al sistema o a los usuarios a saber que tipo de fichero es (una foto, un vídeo, audio, etc ...), y en consecuencia tratarlo con un programa u otro.

Vamos a echar una ojeada a los primeros bytes del fichero insurance.aes256 para ver como es su cabecera. Ojo a la parte derecha, donde vemos los caracteres ASCII.


http://1.bp.blogspot.com/_EjEMMY_-ciA/TP6-XBvTyzI/AAAAAAAAA5E/iN2BYpe3yOo/s400/insurance_header.png (http://1.bp.blogspot.com/_EjEMMY_-ciA/TP6-XBvTyzI/AAAAAAAAA5E/iN2BYpe3yOo/s1600/insurance_header.png)

Ahora vamos a cifrar un fichero cualquiera con AES Crypt y por otro lado con OpenSSL, y vamos a ver que cabecera tiene cada uno de los ficheros cifrados.


http://1.bp.blogspot.com/_EjEMMY_-ciA/TP6-xvz41KI/AAAAAAAAA5I/XvuS_rl5Tec/s400/aescrypt_header.png (http://1.bp.blogspot.com/_EjEMMY_-ciA/TP6-xvz41KI/AAAAAAAAA5I/XvuS_rl5Tec/s1600/aescrypt_header.png)
Cabecera del fichero cifrado con AES Crypt



http://4.bp.blogspot.com/_EjEMMY_-ciA/TP6_GuLszXI/AAAAAAAAA5M/EgRPiu8P9Qc/s400/openssl_header.png (http://4.bp.blogspot.com/_EjEMMY_-ciA/TP6_GuLszXI/AAAAAAAAA5M/EgRPiu8P9Qc/s1600/openssl_header.png)
Cabecera del fichero cifrado con OpenSSL

Como podéis comprobar, la cabecera del fichero de Wikileaks es parecida a la del fichero cifrado con OpenSSL. Por el contrario, la cabecera del fichero cifrado con AES Crypt no se parece en nada, ya que almacena datos diferentes.

Si hacemos la prueba de intentar descifrar el insurance.aes256 con AES Crypt y una clave inventada sucede lo siguiente.


http://4.bp.blogspot.com/_EjEMMY_-ciA/TP6_XJ2vuQI/AAAAAAAAA5Q/fb06tWVrE6I/s400/aescrypt_pete.png (http://4.bp.blogspot.com/_EjEMMY_-ciA/TP6_XJ2vuQI/AAAAAAAAA5Q/fb06tWVrE6I/s1600/aescrypt_pete.png)

El error es de cabecera corrupta, pero no de clave incorrecta.

Con este artículo no se pretende atacar a la credibilidad de Wikileaks, ni mucho menos. Simplemente llama la atención que en un principio se documentara que el fichero había sido cifrado con AES Crypt cuando parece que no es así.

Sea como sea, más vale tener a mano ambos programas por lo que pueda pasar.

- Descarga de insurance.aes256
http://insurance.pentbox.net/ [Confirmado]
http://www.0z0ne.com/insurance.aes256 [Confirmado]
http://thepiratebay.org/search/insurance.aes256/0/99/0 [No confirmados]

Publicado por Alberto Ortega en http://www.securitybydefault.com/2010/12/como-se-descifraria-el-fichero-seguro.html

FERKO
29-04-2011, 16:47
Opcion B, archivo encriptado son AES Cryp, encriptado con OpenSSL. o seria demasiado?.