Posibles avances en la modificacion de los certificados

Thanks Thanks:  43
Likes Likes:  3
Dislikes Dislikes:  0
Página 1 de 5 123 ... ÚltimoÚltimo
Resultados 1 al 15 de 66
  1. #1
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado Posibles avances en la modificacion de los certificados

    Abro este tema con la intencion de que comprendamos mejor como es la modificacion de un certificado, junto con posibles metodos para la modificacion de estos.

    Recientemente me puse a abrir certificados y a buscarlos y he dado con algo que talvez nos pueda servir.

    El modem tiene 5 archivos en sus certificados que son estos:

    ca_cert.cer
    cm_cert.cer
    private.key
    public.key
    root.ket

    Los dos archivos que son la base del certificado son ca_cert.cer y cm_cert.cer en los cuales estan las firmas digitales y la MAC que sirve para ese certificado

    los .key vendrian siendo el resultado de la creacion del certificado, algo asi como una guia para el funcionamiento de estos.


    Segun lo que he entendido private.key vendria siendo la firma digital privada expedida por Motorola para el funcionamiento del cablemodem public.key vendria siendo la firma digital expedida por el ISP para reconocer los certificados y root.key no he averiguado bien de que se trata.


    lo anterior que esta en rojo es una suposicion pues teoricamente estos datos tambien se encuentran dentro del .cer
    ¿Porque un certificado no funciona con diferentes macs?
    es sencillo, la firma CA de un certificado es decir el emisor lo programa para que funcione bajo X dominio por ejemplo tenemos una web el CA Expide el certificado para para que pueda navegar a travez de SSL y quede si ese mismo certificado lo ponemos en el certificado no va a ser valido y el protocolo SSL va a quedar inutilizado.

    Miren unas capturas de pantalla:
    ca_cert.cer:

    Ahi vemos quien da el certificado

    cm_cert.cer:


    Ahi vemos que el certificado funciona para esa MAC, si le ponemos otra MAC al modem sencillamente el certificado no se va a usar pues no tiene una MAC que haga uso de el.

    Luego en los detalles de cada certficado podemos ver la firma y otros objetos. Como por ejemplo lo que se deberia de modificar en los certificados para que funcione con cierta MAC.

    ca_cert.cer:

    aqui se muestra todo lo relacionado con el certificado, pero no hay nada que sea editable y si editamos algo de ahi lo mas seguro es que dañemos el certificado.

    cm_cert.cer


    Aqui al parecer lo que abria que editar son las dos lineas que dicen CN pues en ellas esta la mac que se usa en ese certificado.

    mi teoria es que podemos hacer dos cosas:

    1.Buscar alguna forma de editar el certificado
    2.Buscar como hacemos para generar nuestros propios certificados, rellenarlos con todos los datos de los originales del modem pero obviamente abria que cambiar la MAC por la que vamos a usar

    Yo estoy intentando buscar la forma de hacer la segunda opcion pero por el momento solo encuentro informacion sobre crear certificados aparentemente para celulares pues hay que poner numero IMEI y hablan de telefonos y todo.

    pero no encuentro por ejemplo para creacion de certificados SSL

    Ahora la pregunta del millon

    Alguien tiene idea de como hacer cualquiera de las dos opciones¿?
    Última edición por josehf34; 18/07/2009 a las 21:06

  2. #2
    Avatar de duna

    User Premium
    Fecha de Ingreso
    14-03-2008
    Mensajes
    1,067
    Gracias (Dados)
    10
    Gracias (Recibidos)
    696
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    13
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    3
    Descargas
    47
    Uploads
    3
    Mencionado
    0 Post(s)
    Poder de reputación
    167

    Predeterminado

    Si no recuerdo mal las primeras versiones de ipfull te permitian editar los cert y cambiarle la mac. Dudo ke funcione = funcionaba en bpi 0
    La mac esta en ascii, pero cada certificado tiene datos encriptados, yo creo ke hay esta el problema

  3. #3
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    pero los datos estan encriptados en SHA1 nada fuera de lo comun

    he estado buscando y podemos crear certificados totalmente nuevos con OPENSSL, pero solo he encontrado tutoriales bajo linux, me tocara virtualizar linux e intentar probar.

    A lo que yo me refiero de editar los certificados, es hacer uno nuevo pero con diferente MAC y todo lo demas igual o editar los ya existentes.

    a mi me parece mas facil crear unos nuevos

    aun asi quedo a la espera de que alguien mas aporte

  4. Gracias kingreparaciones, Juniior Lorraine agradecido(s) por este post
  5. #4
    Avatar de uriah
    Cablero Alejandrita
    Fecha de Ingreso
    22-06-2008
    Ubicación
    en muchos sitios
    Mensajes
    124
    Gracias (Dados)
    4
    Gracias (Recibidos)
    38
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    20
    Uploads
    5
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    olvidaros del tema. para k kreeis k sta la huella digital? no vais a poder falsear el certificado; para tener un certificado valido para el cm tiene k firmarlo el certificado raiz con su clave (fichero.key) y esos no vienen en el modem, ya lo miré hace mucho.. :S


    A buen entendedor pocas palabras bastan..

  6. #5
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    la huella digital viene en los .cer esta tanto la huella del dominio (modem) como la huella del CA (ISP) y teoricamente eso no hay que tocarlo para nada. Solo hay que tratar el dominio la MAC porque es la unica variante

    o por lo menos en los de mi modem es asi

    Tengo tanto la clave publica como privata y el fichero root. pero todos esos datos estan en los ficheros .cer serial huellas digitales, datos de encriptado etc
    Última edición por josehf34; 19/07/2009 a las 18:11

  7. #6
    Avatar de MonKEY_Jeff
    Cablero se va iniciando
    Fecha de Ingreso
    05-06-2005
    Ubicación
    Internet
    Mensajes
    3
    Gracias (Dados)
    0
    Gracias (Recibidos)
    3
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    4
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    Buenas...

    Primero aclarar que sha1 no es un algoritmo de encriptación, es un algoritmo de hash, para poder firmar contenidos, del mismo modo que md5, y además aclarar que no tengo mucho tiempo y no se muy bien de lo que hablo así que disculpas si digo alguna sandez.

    Lo que quiero expresar es otro punto de vista, me ha parecido entender que supones que private.key y public.key pertenecen a la misma pareja? si es así no creo que tenga mucho sentido
    Ejemplo :
    Si yo me quiero comunicar contigo de manera segura con un sistema como RSA yo generaré un par de claves, una pública y otra privada y tu harás lo mismo, nos intercambiaremos las claves públicas y así estaremos seguros de quienes somos de la siguiente manera:
    Si yo quiero enviarte algo cifraré con mi clave privada lo que quiera enviarte, y tú usando mi clave pública podrás saber lo que te quiero decirte y además podrás estar seguro de que soy yo quoen lo dice.

    Si tú quieres comunicarte conmigo haremos lo mismo pero al revés, es decir tu cifrarás tu mensaje con tu clave privada y yo usaré tu pública.

    Lo que quiero decir con este pedazo de tostón (que supongo que ya sabiais) es que aqui hay 2 parejas de claves porque la comunicación en bidireccional.

    Ojalá y me equivoque...

    Saludos a todos

    PD: SHA1 ->

  8. Gracias julcar, Pichardo, kingreparaciones agradecido(s) por este post
  9. #7
    Avatar de uriah
    Cablero Alejandrita
    Fecha de Ingreso
    22-06-2008
    Ubicación
    en muchos sitios
    Mensajes
    124
    Gracias (Dados)
    4
    Gracias (Recibidos)
    38
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    20
    Uploads
    5
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    ya t digo; llevo años trabajando con certificados para soportes pki y, salvo k el algoritmo de encriptacion tenga alguna debilidad para romper las claves.., no hay manera de falsear la huella digital k es la k asegura la veracidad del certificado. No se trata de un simple fichero de texto k puedas modificar a tu gusto.
    Buscad en google la definicion de encriptacion digital y luego conspiramos..


    A buen entendedor pocas palabras bastan..

  10. Gracias Pichardo, kingreparaciones agradecido(s) por este post
  11. #8
    Avatar de uriah
    Cablero Alejandrita
    Fecha de Ingreso
    22-06-2008
    Ubicación
    en muchos sitios
    Mensajes
    124
    Gracias (Dados)
    4
    Gracias (Recibidos)
    38
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    20
    Uploads
    5
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    moneky_jeff, no podias haberte explicado mejor! a mi sk m da perreria, pero vamos, a efectos practicos el cm y el cmts funcionan como tu has dicho con ls certificados


    A buen entendedor pocas palabras bastan..

  12. #9
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    no creo que me hallan entendido.

    Lo que a mi me han explicado sobre esto es lo siguiente.

    lo unico que TALVEZ haya que modificar son los valores de la escala, espacio o como la quieran llamar del CN! ya que ahi es donde seesta definiendo el dominio que se usa para dicho certificado es decir Si yo hago un certificado para un CN: 12345 no le va a servir a un CN: 6789 porque el certificado no fue hecho para trabajar para ese dominio.

    yo aun no hago la primera prueba porque descargar un total de 1.6GB en archivos necesarios para generar los certificados con una conexion de 128kbps no es nada facil.

    Por lo que yo he entendido no hay motivos para modificar huellas digitales ni firmas ni contraseñas, o por lo menos eso es lo que yo y una persona que me esta ayudando creemos. Es una simple hipotesis les recuerdo que aun ni siquiera he echo la primera prueba de esto.

    y con solo decir que algo no va a funcionar o que es imposible, no se gana nada. las cosas se solucionan probando y equivocandose.

  13. #10
    Avatar de kevlar15
    cablero indigente
    Fecha de Ingreso
    23-04-2009
    Ubicación
    cajero automatico de C/maisonabo
    Mensajes
    205
    Gracias (Dados)
    83
    Gracias (Recibidos)
    19
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    24
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    vale y ese mismo certificado copiado en un mismo modem( marca modelo y mak-arron ) subido en otro nodo de zona diferente a la original
    saludos a todos
    uriah no va el link de descarga de las herramientas de marras

  14. #11
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    eso que dices funciona, es la copia de certificados y un certificado funciona en otros nodos siempre y cuando no este duplicado en el mismo nodo. Es decir no puede haver mas de un certificado para una misma mac en un mismo nodo

  15. Gracias Pichardo agradecido(s) por este post
  16. #12
    Avatar de elalak
    Cablero Amatista
    Fecha de Ingreso
    14-06-2009
    Mensajes
    53
    Gracias (Dados)
    19
    Gracias (Recibidos)
    10
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    58
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    Hola .... creo que lo q dices no funciona siempre ... como explicas que un cm legal no funcione a 15 Km de su sitio original .... ¿¿¿¿???? ... es otro nodo .. of course ... (se queda esperando la respuesta 1 del dhcp ... que no esta en ese nodo, claro) ....

    Cuando decis a un nodo "adyacente" ... entiendo que es otro nodo que gestiona el mismo cmts ... ¿¿ es asi ??

    Salu2 compis !!!

  17. Gracias Pichardo agradecido(s) por este post
  18. #13
    Avatar de josehf34
    Cablero Alejandrita
    Fecha de Ingreso
    07-07-2009
    Mensajes
    170
    Gracias (Dados)
    1
    Gracias (Recibidos)
    31
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    3
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    182
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    claro la misma central la debe manejar.
    Si no tendriamos firmas totalmente distintas y el certificado no va a ser reconocido.

    Yo hablo es de diferentes Nodos mas no de Diferentes centrales ahi ya la cosa seria totalmente distinta

  19. Gracias Pichardo agradecido(s) por este post
  20. #14
    Avatar de elalak
    Cablero Amatista
    Fecha de Ingreso
    14-06-2009
    Mensajes
    53
    Gracias (Dados)
    19
    Gracias (Recibidos)
    10
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    58
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado

    Hola de nuevo !!!!
    Tests:
    1-Mismo nodo, solamente cargando el cert5 (ca_root) .. a rular con el original off.

    2-Mismo nodo (con cert5), el original a on y ... no da canal de subida (logico, el cmts ya tiene asignado el time slot de subida para esa mac).

    3-Otro nodo (creo que mismo cmts, misma poblacion) ... no da subida con el orig a on ... Yo creia que me daria subida pero fallaria el dhcp-req ...

    4.-Otro nodo, otro cmts ... sin respuesta de dhcp, tanto el "clon" como el original .... sin pega con los time slot

    Pues eso ..

  21. #15
    Avatar de elalak
    Cablero Amatista
    Fecha de Ingreso
    14-06-2009
    Mensajes
    53
    Gracias (Dados)
    19
    Gracias (Recibidos)
    10
    Me Gusta (Dados)
    0
    Me Gusta (Recibidos)
    0
    Me Disgusta (Dados)
    0
    Me Disgusta (Recibidos)
    0
    Descargas
    58
    Uploads
    0
    Mencionado
    0 Post(s)
    Poder de reputación
    0

    Predeterminado



    Prueba solamente con el cert5 dentro del cm ... y nos cuentas ... en este cert no veo nada de macs ...
    Yo creo que aún no han llegado al extremo de "gestionar" los certs de usuario uno a uno ....
    Mas bien creo que lo usan para asegurar que la config le llegue al modelo de cm para la cual ha sido creada ... al menos .. mis logs apuntan a eso ... y para esto les vale solamente con el ca_root ....

    Y ¿¿¿como haces para que te de canal de subida el mismo cmts en alguno de los nodos que gestiona ??? ... yo no lo consigo ... Y despues de coger el canal de subida ... tendriamos el problema de mac duplicada en el mismo cmts por diferente nodo ... no creo que nos diese ip ...

    Lo suyo seria encontrar "algo" que se pudiese "colar" en cualquier cmts ...

    Última edición por elalak; 20/07/2009 a las 06:35 Razón: + info

  22. Gracias Pichardo agradecido(s) por este post

Página 1 de 5 123 ... ÚltimoÚltimo

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •