SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

PGP: Pontelo, ponselo

      4675

Autor: Jhames
-[ 0x04 ]--------------------------------------------------------------------
-[ PGP: PONTELO, PONSELO ]---------------------------------------------------
-[ by Er Jhames ]-----------------------------------------------------SET-14-

EL PGP PARA "BURROS" (que el para tontos, ya lo he leido)
====================

­­ Bueno... ya estoy dentro ;-) !!!

Jejeje.. no esta mal para un hacker aficionado.
­­­ Por fin estoy dentro de tu ordenata !!!

Supongo, que soy bastante torpe; aunque hace un par de a€os consegui crackear
un programita encriptado de las GAMETOOLS, llamado GT3-R.ARJ. Los crackeadores
que yo conozco de los password del ARJ, solo consiguen averiguar hasta 6
caracteres, sin embargo este poseia; vamos a ver: 01115C480f93, pues eso: 12
carateres. ­­ Pero hubiese sido igual que existieran 100 !!. Lo hubiera
conseguido igual.

La tarea no fue sencilla, (puesto que no tenia ni p... i... de como funcionaba
la encriptacion de este programa, y mis conocimientos de ensamblador son bas-
tante basicos, sin embargo una vez averiguado el procedimiento, lo demas es
coser y cantar. (Si alguien esta interesado, que me lo diga y le dire la
forma de hacerlo).

Bueno a lo que iba. Supongo, decia, que soy bastante torpe (o burro)
pues me ha costado un rato entender el funcionamiento del programa PGP,
y aunque he visto un articulo en la revista, de como funciona por dentro,
­­­ lessheesss...!!!  que no entendia como funcionaba por fuera.
(Con las mujeres me pasa, pero al reves ;-))

Lo unico que pretendo con este escrito, es que el que se encuentre por
primera vez ante el PGP (y no tenga a quien preguntarle), pues que no se
sienta tan perdido como yo... y cuando vea eso de BEGIN PGP KEY PUBLIC...
que sepa de que va.

El PGP lo que hace (creo no equivocarme, si es asi que alguien me corrija)
­­­ Noooooo... todos de golpe nooooo.... por favor  !!!!!
es encriptar ficheros... pero no lo hace de la forma tradicional, sino
que te da dos claves. šQue para que sirven, y como se consiguen?

Espera, que ya te lo explico:

1§) Lo primero que tienes que hacer es teclear PGP -kg
El programa lo primero que hace es pitar.. (ufff.. lo odio), y luego
muestra una pantallita, en la que te da 3 opciones:

        1)  512 bit
        2)  768 bit
        3) 1024 bit

Habiendo en la scene gente como la que se ve por aki, yo te recomiendo
que uses la 3Š opcion de modo que pulsa 3... No, ese tres, no.. el otro
­­­ ese si !!! PERFECTO...

­­ Has entrado en el modo militar !!! šNo te sientes importante?

šQue hace ahora el pgp? Pues saca mas texto en la pantalla.....
Ahora lo que hace es pedirte un identificador para tu clave publica.
Esta clave publica la conocera todios. O sea que, procura que quede bonita.
Teclea tu nick (nombre de guerra) y si te apetece tu e-mail, por ejemplo:

Nadiuska <nadiuska@destape.com>

Le vuelves a dar a intro... y...Lesheeeeessss... mas texto... ­­­ En fin !!!

Ahora lo que te pide y esto es importante, es tu clave secreta (clave RSA)
Esta clave solo la vas a conocer tu, por eso procura que tambien te quede
bonita, (aunque nunca la vas a ver), pero por lo menos que sepas que has
puesto una clave, sencillita y a la vez comoda, a la par que sencilla y
recatada (lo de re-catada, con las mujeres si que es una incongruencia)
(No olvides de mandarme una copia de tu clave secreta, esto es importantisimo
ya que se te puede olvidar, y siempre me tendrias a mi, para volver a pro-
porcionartela.. ;-) jejeje )

šYa? šLe has dado ya a enter? Pues bien.... šque pasa ahora?
Pues mas texto.. ­­ elemental querido Watson !!!

Lo que te pide ahora es una confirmacion de tu clave secreta.. no sea que
hayas pulsado una tecla erronea.. por ejemplo: durmiendo, no es lo mismo
que dormiendo; al igual que no es lo mismo estar dormido que durmiendo...
ni es lo mismo estar jodido, que jodiendo.... (sobre todo, esto ultimo)
                            
Pulsa enter... ­­ No !! ­­­ No me lo digas !!! šMas texto? šA que si?
Bien.. Lo que el programa pretende ahora.. es generar una clave..

­­­ Pero para ello utiliza un algoritmo con el tiempo que tardas en pulsar
las teclas en el teclado !!!"
­­­ Ingenioso šverdad? !!! Este Zimmerman, es un genio.. !!!

Hala.. a darle a las teclas.....hasta que te digan: BASTA, YA ES SUFICIENTE.
O algo similar.... con las gracias, por supuesto.

šY ahora que pasa?.. Pues nada. Que el programa esta calculando tus claves.
Y salen puntitos, para que no te mosquees, y creas que se ha colgado el
programa.

Ufff... mas pitiditos.. y el mensaje: Generacion de claves finalizada.

šY ahora que?

El programa ha generado dos ficheros (que no se porque les llaman
ring -anillo, en ingles-) y son el pubring.pgp y el secring.pgp
que son, el primero donde se almacena encriptada tu clave publica, y
el segundo el que almacena encriptada tu clave privada.

Bueno. Ahora lo primero que tienes que hacer es lo siguiente:
Teclea: PGP -kxa nadiuska
(si no pones nadiuska, te pedira el identificador de la clave)

Ok. Ahora te pide, donde quieres volcar el fichero; pon: nadiuska

Veras aparecer el mensaje: Clave extraida en el fichero 'nadiuska.asc'

Si visualizas este fichero veras algo similar a esto:
--------------------------------------------------------------------------
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.2

mQCNAzUlYo0AAAEEANQIfoPNmby7XBJdvFfX4VThnaJRHnsxiIESIcyJQmMlwCyc
ndkKJrs623a0KIKE2U1s8BJgD8j3tFYfjtmn0Ij4Z499T/gHSTrRPefiHrHPYawd
xiuRoV2uUyvUwH+Jg40SwbVqUvpZqDBw3e5bCsZm5CzqAjdliiWdC/7o5KRNAAUR
tB9uYWRpdXNrYSA8bmFkaXVza2FAZGVzdGFwZS5jb20+iQCVAwUQNSVpckA3wfbE
3QjpAQHgDgP7B99nbbrLEqOcVMbR5J/DgeH4OhBMELNVzkEBKIHBeh2siDUjJR1j
Sj56zs/AxgTY03D8VWxPm2enVNnGnPZhQzaT10//fgGKQn6EKQM0vBQu2D92B687
J+WXw+NKJ8DGhkBJZzByQtmDpuFP21GwAHcM4IfCrjhgKpc/pz0DM4k=
=Co7W
-----END PGP PUBLIC KEY BLOCK-----
--------------------------------------------------------------------------


Ok... estos simbolitos los he visto un oˆuf de veces, en la revista
de saqueadores.. Pero špara que sirven?

Bueno... (creo, no lo se seguro. Esta por confirmar)..
que esto es la clave publica de la srta. nadiuska.

Esto significa que para que "alguien" te pueda mandar un mensaje,
Y QUE SOLO TU LO PUEDAS LEER, (suponiendo que seas nadiuska)
tendras que hacer algo con este cumulo de letras sin sentido.

šQue hago con este cumulo de letras sin sentido?
Ahora, lo que tienes que hacer.. es enviar tu clave publica a quien
quieras que te mande un mensaje cifrado. Por ejemplo, tu amigo pepito.

Ahora tu amigo pepito, tiene tu clave publica, porque tu se la has
mandado.

šQue debe hacer pepito, con mi clave publica?
Pues algo que parece evidente, pero que a mi me costo una leche descifrar.
Pepito debe copiar el fichero "nadiuska.asc" (o el nombre que le haya dado)
en el directorio donde tenga el PGP, y teclear: PGP -ka nadiuska.asc

Co€o.. ­­ Mas pitidos !!!... (pero claro.. esto ocurre en casa de pepito,
o sea que a ti plin.. tu duermes en Pikolin).

El PGP te suelta lo siguiente:
" Buscando claves nuevas...
  pub  1024/E8E4A44D 1998/04/03  nadiuska <nadiuska@destape.com>

Comprobando las firmas...


El fichero de claves contiene:
   1 nueva(s) clave(s)

   Una o mas de las claves nuevas no estan completamente certificadas.
   šQuiere certificar alguna de ellas usted mismo (s/N)? "

Claro, lo normal en estos casos es responder con una N, pero "que carajo"
­­ šSomos, o no somos hackers? !!! Pues venga, valor y a pulsarle a la S
(Si pulsas la "s" tampoco tiene importancia)

Jo.. Mas pantallita.. pero sin pitidos.. (guau.. esto promete)
Ahora tu amigo pepito debe tener en su pantalla algo muy parecido a
esto, (pero claro tu no estas alli para verlo):

"Buscando claves nuevas...
pub  1024/E8E4A44D 1998/04/03  nadiuska <nadiuska@destape.com>

Comprobando las firmas...


El fichero de claves contiene:
   1 nueva(s) clave(s)

   Una o mas de las claves nuevas no estan completamente certificadas.
   šQuiere certificar alguna de ellas usted mismo (s/N)?"

Vaya.. šque hago ahora?... Pues.. ­­ Un dia es un dia !!! Tira la casa
por la ventana y pon otra S.

­­ Jo, que pesadez !!!! Bueno... alla va la pantallita siguiente:

"Buscando la clave de 'nadiuska <nadiuska@destape.com>':

Clave del usuario: nadiuska <nadiuska@destape.com>
 Clave de 1024 bits, con identificador E8E4A44D, creada el 1998/04/03
 Huella dactilar de la clave =  5E 96 6C 5A 85 84 6C DF  7F FF 11 3D 3E 02 4F 0D



 LEA ATENTAMENTE: Basandose en su conocimiento directo, šesta usted
 absolutamente seguro de estar preparado para certificar solemnemente que
 la clave publica anterior pertenece realmente al usuario especificado por
 ese identificador (s/N)? "

Pues la verdad, pepito no debe estar muy seguro, pero en fin... arriesguemonos
y recomendemosle a pepito que diga que si.
Aunque eso de solemnemente.. le deja a uno... un poco.. no se...

Vale.. parece que avanzamos....

Ahora, a pepito le saldra esto:

"Se necesita la contrase€a para abrir la clave secreta RSA.
Clave del identificador de usuario "pepito"

Introduzca la frase de contrase€a:        "

Llegados a este punto, pepito introducira _su_ clave secreta....
y....
Voila....
esto es lo que nos sale (acompa€ado de pitiditos, claro)

"Introduzca la frase de contrase€a: La frase es correcta.  Un momento....
Se ha a€adido el certificado de firma.

Decida usted mismo si esta clave realmente pertenece, segun la
evidencia a su alcance, a la persona que usted cree.  Si es asi,
conteste la siguiente pregunta, basandose en su estimacion de la
integridad de esa persona y de su conocimiento sobre gestion de claves:

šConfiaria en "nadiuska <nadiuska@destape.com>"
como referencia, y para certificar ante usted otras claves publicas?
(1=No se. 2=No. 3=Normalmente. 4=Si, siempre.) ?"

Hombre.... pepito en este caso, no deberia de fiarse mucho... porque
šquien es capaz de fiarse de una mujer.. jejeje). Pero en fin... ya
que todo esto es una suposicion... aconsejemos a pepito a decir que
Si, siempre..  (como si estuviese celebrando su matrimonio), y por
lo tanto, roguemosle encarecidamente que pulse el numero 4 de su teclado...
NO..... ESE NO.. el otro cuatro.... ­­ ese.. ahora si !!!

JOOORRRRLLL...  šQue ha pasado ahora? šEs que ya no salen mas pantallitas?

La respuesta es definitiva y contundente: NO

šQue hemos conseguido con todo esto?
Pues introducir en el fichero de claves publicas (pubring.pgp) de pepito,
la clave publica de nadiuska.

šEntonces, que debe hacer ahora pepito?
Bueno, pues pepito lo que debe hacer ahora, es coger un fichero de texto
que tenga a mano, en el que ponga por ejemplo: "Nos vemos esta noche a las
10, cuando haya despistado a mi mujer.. šOk? ". A este fichero, pepito
le llamara: "cita.txt"

Pues bien... ahora pepito coge y pone:

pgp -e cita.txt nadiuska

šY que tenemos ahora? ... Pues un mensaje cifrado en un fichero binario
llamado "cita.pgp"... Y que, solo.. y unicamente, podra abrir nadiuska
con su clave privada, cuando le sea enviado el fichero por pepito.

Supongamos que pepito, le envia el mensaje cifrado (cita.pgp) a nadiuska
šQue debe hacer ella?

Facil.. Ponerse bien guapa, pintarse, arreglarse, y cambiarse de bragas ;-)
Pero ša que hora es la cita?

Para ello nadiuska tiene que teclear.

PGP CITA.PGP.

šY que tenemos? ... Pues que nadiuska, ha conseguido un fichero de texto
en el que se puede leer perfectamente:

"Nos vemos esta noche a las 10, cuando haya despistado a mi mujer.. šOk?

Y claro.. la nadiuska.. se pone la minifalda y las medias negras de seda.
sabiendo perfectamente a que hora es la cita.

šHa quedado todo claro hasta aki?
Bueno.. pues ahora.. vamos a rizar el rizo....

Resulta.. que quieres mandarle el texto cifrado, pero por mail.
Sin que exista codigo binario.... y de esos que quedan tan chulos...
De esos que cuando te mandan un mail.. con ese formato te quedas
a cuadros, porque no sabes que hacer con el...

Bueno.. pues el pepito... (que dicho de paso, es muy inteligente, porque
se parece a mi, en la mayoria de sus aficiones, ;-))
ha descubierto que poniendo la opcion -seta en medio
(ša quien se le ocurriria lo de "seta", jejeje ) el mensaje
que se obtiene es en formato ASCII...es decir que se puede
cargar en cualquier editor de textos...

Pongamosnos en la piel de pepito... (pero solo hasta la 9,59 minutos, que
te conozco pillin...) y tecleemos:

PGP -seta cita.pgp

Vemos lo que nos sale en pantalla:

"Se necetita una clave para generar la firma.
No ha indicado ningun identificador para escoger la clave secreta,
por lo tanto el identificador y la clave por omision seran los ultimos
a€adidos al anillo.

Se necesita la contrase€a para abrir la clave secreta RSA.
Clave del identificador de usuario "pepito"

Introduzca la frase de contrase€a:       "

En este momento pepito, teclea su clave privada, y :

"Introduzca la frase de contrase€a: La frase es correcta.
Clave del usuario: pepito
 Clave de 1024 bits, con identificador C4DD08E9, creada el 1998/04/03
 Un momento....

 Se utilizan las claves publicas de los destinatarios para encriptar.
 Se necesita un identificador de usuario para encontrar la clave publica
 del destinatario.
 Introduzca el identificador del destinatario:   "

 Ahora pepito teclea: nadiuska.... y:

" Introduzca el identificador del destinatario: nadiuska

 Clave del usuario: nadiuska <nadiuska@destape.com>
  Clave de 1024 bits, con identificador E8E4A44D, creada el 1998/04/03
  .
  Fichero con armadura de transporte: cita.asc "

Pues bien.. ya tenemos el fichero en formato ASCII...
Vamos a ver que tal nos ha salido:


-----BEGIN PGP MESSAGE-----
Version: 2.6.2
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=fhRh
-----END PGP MESSAGE-----

­­ Jo, que chulo !!!  ­­ Las ganas que tenia de hacer esto !!!

Chachi... !!! >Todo esto .. se lo mandamos a nadiuska... y
ella, siguiendo el procedimiento habitual.... se preparara para la gran
fiesta....

En fin.... espero que esto os aclare un poquito como se usa el PGP.

Existen muchas mas opciones..  y formas de preservar la seguridad
de vuestros mensajes.. pero, la verdad.. ya estoy "cansao" de
escribir tanta gilipoyez. De modo, que si existen suficientes
peticiones... (y me entero de algo mas.. jejeje)... Escribire
otro capitulo de esta interesante serie.....


Ah... otra cosa que se me olvidaba...
Si estais leyendo esto.....­­­ Es que todo lo anterior ha funcionado !!!
porque este fichero se lo he mandado saqueadores.. ENCRIPTADO CON EL PGP
Jejeje.

Se declina toda responsabilidad, por el contenido de este articulo.
El productor del articulo certifica que ningun animal ha sufrido da€o
alguno, mientras se realizaba el mismo.
Cualquier parecido con la realidad es pura coincidencia.
Lo personajes que han aparecido en el desarrollo, son ficticios.
šAlguna cosa mas?

                                        Er Jhames  04-04-1998