58 lines
1.6 KiB
Markdown
58 lines
1.6 KiB
Markdown
|
---
|
|||
|
date: 2024-04-24T13:34:21+01:00
|
|||
|
title: Engineering
|
|||
|
---
|
|||
|
|
|||
|
L'objectif de cet exercice est d'implémenter un engine SSL qui permettrait de réduire la sécurité cryptographique de celui qui l'utilise.
|
|||
|
|
|||
|
Le joueur devra comprendre ce qui a été rendu vulnérable et déchiffrer lui-même le contenu chiffré avec l'aide de l'engine.
|
|||
|
|
|||
|
{{% tag %}}Cryptographie{{% /tag %}}
|
|||
|
|
|||
|
{{% tag %}}OpenSSL Engine{{% /tag %}}
|
|||
|
|
|||
|
{{% tag %}}Facile / Moyen{{% /tag %}}
|
|||
|
|
|||
|
Contexte du défi
|
|||
|
----------------
|
|||
|
|
|||
|
Une entreprise remarque que des informations internes se retrouvent divulguées sur Internet. Pourtant, ces informations sont chiffrées de bout en bout...
|
|||
|
|
|||
|
|
|||
|
Infrastructure à mettre en place
|
|||
|
--------------------------------
|
|||
|
|
|||
|
2 PCs et 1 routeur
|
|||
|
|
|||
|
Pas-à-pas
|
|||
|
---------
|
|||
|
|
|||
|
Vous devez créer ou modifier un engine OpenSSL.
|
|||
|
L'engine doit être utilisé pour réduire la sécurité des secrets.
|
|||
|
Le joueur doit reconnaître les impacts, comprendre les actions de l'engine.
|
|||
|
|
|||
|
Risques
|
|||
|
-------
|
|||
|
|
|||
|
OpenSSL peut être assez lourd à prendre en main.
|
|||
|
|
|||
|
Traces à enregistrer
|
|||
|
--------------------
|
|||
|
|
|||
|
Fichiers à fournir :
|
|||
|
- un dump de RAM de la machine cible
|
|||
|
- des logs pertinents de l’attaque
|
|||
|
|
|||
|
Questions à poser :
|
|||
|
- Questions sur le code de votre engine
|
|||
|
- Questions sur les impacts de l'engine
|
|||
|
- Le contenu des fichiers chiffrés
|
|||
|
|
|||
|
|
|||
|
Liens
|
|||
|
-----
|
|||
|
|
|||
|
* [openSSL](https://www.openssl.org)
|
|||
|
* [openSSL engines](https://www.openssl.org/docs/man1.0.2/man3/engine.html)
|
|||
|
* [openSSL SSTIC paper](https://www.sstic.org/media/SSTIC2023/SSTIC-actes/exploring_openssl_engines_to_smash_cryptography/SSTIC2023-Article-exploring_openssl_engines_to_smash_cryptography-goudarzi_valadon.pdf)
|