Foro de elhacker.net

Buenas tardes muchachos

Pasare al tema rápidamente, les platico, hace poco adquirí actualización de un software que he estado utilizando de manera genuina, el fabricante del software me ha mandando un archivo .bin el cual contiene la siguiente información:

<RSAKeyValue>

<Modulus>YXYMUUM6c9Diw6oTglMQ291IpIOsHDLW4Ia2xcb9U0cw+qtKfK
RavrMO7NjToRvodRnLTlvTlprg6k/bC9/PTKLlul1B+EfE1fCXeE8cD34TD36LpTU+NK4W5eB
5G+iTXNl++Y37j96cAb9oquGUWnYBY4s6aSlS8=</Modulus>


<Exponent>AQAB</Exponent>

</RSAKeyValue>

00000000-0000-0000-0000-00021a7559mi_dato_nombremi_dato_emailT+vbzOsDEvhejLiktlWhcB20RMBdz8aO0iEQOmU39modvXifg88pKYpPtESpPUuQZKO8x9MXaLMmse3LY9W5aNSfvJ9KxEPMp+M+8LemWj2owsgDeoUJ+yPPBS3

A mi ver es una llave válida para correr desde mi software genuino, implementa un algoritmo RSA; lo que no me queda claro es por que me mandan un módulo y un exponente, y si este es exponente publico o privado  :huh: :huh: .

Alguien de ustedes tiene idea de como se realiza la operación para que mi software encuentre esta llave como válida y por consiguiente SEA ACEPTADA dentro de mi software genuino, estas dudas las quiero disipar con el fin de conocer exactamente el funcionamiento del esta manera de recibir información cifrada interpretarla y validarla.

Cualquier ayuda es bienvenida amigos. Saludos  ;-) ;-)

Buenas,

las firmas digitales son creadas aplicando un algoritmo de resumen (Hash) sobre el plaintext (datos) y cifrando el hash resultante con la privada.

Ahora, el destinatario ha de validar la firma digital presentada sobre el plaintext. Para ello el destinatario ha de saber el módulo y el exponente, ambos públicos SIEMPRE.

El destinatario descifrará la firma digital mediante la exponencial modular (donde participan exponente y módulo) y obtendrá un hash. El destinatario comprobará que el hash del descifrado coincide con el hash del plaintext. En tal caso hacemos las siguientes afirmaciones:

- La key RSA asociada a la firma digital es válida, ya que la firma fue creada por la clave privada del emisor, la cual sólo es conocida por el mismo.
- Los datos recibidos son válidos, ya que la firma digital se ha verificado en su totalidad. Es decir, nadie modificó esos datos o modificó la estructura de la firma digital.

Me huele a que estás usando o configurando PGP.

Saludos!

Muchas gracias por el aporte amigo kub0x   :rolleyes:

A ver si entendí bien

Tanto el MODULO como el EXPONENTE que me maneja mi proveedor de software, SIEMPRE va a ser PUBLICO y cualquiera tendrá acceso a ese par de datos. Sin embargo, la clave privada de mi proveedor NUNCA y BAJO NINGÚN MOTIVO TENGO MANERA DE CONOCERLA; Sin embargo como el me entrego su clave publica, YO puedo validar su mensaje y firma, y decir que ÉL ES EL CREADOR LEGÍTIMO DE ESA FIRMA. ¿?

A lo que voy: MI copia de software de ninguna manera puede ser engañado aunque yo quisiera generar una nueva llave con datos propios y una firma ¿? ... Simplemente el software rechazaría dicha firma como falsa ¿?

No hay manera de hacerlo ¿?

Gracias Otra vez.  :) :)

en resumen, con la firma no podrás engañarlo... es un mentodo muy usado por su amplia seguridad...

en tal caso para engañarlo tendrías que crakearlo para que se salte la validación

Muchas gracias engel lex

Ni hablar, no soy muy fanático de C# (Lenguaje en el que se desarrollo este software) sin embargo por ahí anda un par de herramientas que me pueden ser muy útiles al momento de craquear dicha validación que, dicho sea de paso, se pudo implementar en una manera adecuada por esta casa de software.


Saludos y muchas gracias compañeros.   :rolleyes: :rolleyes:

 :xD ;-)


Justamente entre hoy a preguntar por eso que respondistes... vi el tema de Firmas RSA y me imagine que hablarian de mi duda, y en la primera respuesta de kub0x esta la solucion  ;-) ;-)

Saludos!