Bibm@th

Forum de mathématiques - Bibm@th.net

Bienvenue dans les forums du site BibM@th, des forums où on dit Bonjour (Bonsoir), Merci, S'il vous plaît...

Vous n'êtes pas identifié(e).

#1 02-12-2018 10:57:35

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Decryptage fichier CHAT.log

Bonjour
j'ai un fichier chat.log a decrypter, pour recuperer les messages échangés, je crois que la clé de chiffrement est "The cake is a lie"

merci de m'aider a trouver les messages échangés

voici le fichier
https://ufile.io/9owke

merci d'avance

Dernière modification par fraxn (Hier 11:43:54)

Hors ligne

#2 05-12-2018 19:21:33

Rossignol
Membre
Inscription : 19-06-2015
Messages : 158

Re : Decryptage fichier CHAT.log

On n'a pas besoin de la clé de chiffrement pour retrouver les dialogues !

Regarder bien ce fichier LOG. Vous ne remarquez rien de louche ?

(Il y a une grosse faille de sécurité :-)

@+

Hors ligne

#3 06-12-2018 15:26:26

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Re : Decryptage fichier CHAT.log

hmm, ya bcp d'informations dans le fichier, pouvez vous être plus précis ?

Hors ligne

#4 09-12-2018 12:44:14

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Re : Decryptage fichier CHAT.log

j'arrive pas a trouver la faille ! pouvez vous etre plus précis svp :)

Hors ligne

#5 12-12-2018 11:06:41

vigevénère
Membre
Inscription : 12-12-2018
Messages : 7

Re : Decryptage fichier CHAT.log

Bonjour,

J'ai bien trouvé la faille, mais il est assez complexe de trouver la bonne configuration RSA... ECDHE-RSA-AES256-GCM-SHA384

Vous utilisez un outil en ligne ou vous émulez vous même le décryptage ?

Hors ligne

#6 12-12-2018 11:09:47

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Re : Decryptage fichier CHAT.log

Bonjour,

j'ai essayé les outils enligne mais ça n'a rien donné, du coup je cherche des trucs en python pour le dechiffrer, je sais qu'il est chiffré en aes-256-gcm, puis encapsulé en session TLS


est ce que vous avez un algo en python qui peut résoudre ça ?

merci

Hors ligne

#7 12-12-2018 17:58:07

Rossignol
Membre
Inscription : 19-06-2015
Messages : 158

Re : Decryptage fichier CHAT.log

Vous n'avez pas encore l'oeil du cryptanalyste :-)

Il y a 17 échanges enregistrés dans ce fichier LOG.

Pour chaque échange; la première ligne est la même. Ce doit être un hash qui correspond à la chatroom en cours d'enregistrement. On ne s'en occupe pas. Occupons-nous de ce qui suit cette ligne.

Chaque échange commence soit par les octets CAF26FF9890E6F soit par les octets DDF277F1830E6F.

C'est louche. Un bon système de cryptographie ne doit laisser passer aucune répétition : la sortie doit ressembler à du hasard.

On nous dit que le système utilisé est le "top security AES-256-GCM encryption".

Il s'agit tout bonnement d'un chiffrement AES-256 en mode CTR (la partie GCM ne sert qu'à l'authentication dans la transmission : le récepteur peut vérifier que le message est authentique donc qu'il n'a pas été modifié en cours de route).

Le chiffrement AES ne sert qu'à obtenir un flux d'octets à partir d'un compteur incrémenté à chaque pas. On fait un xor entre le clair et un octet du flux (le masque) pour obtenir le chiffré.

Le problème ici est que le compteur est réinitialisé à chaque message (grosse faille de sécurité) : les 17 messages sont chiffrés avec la même suite d'octets (les anglo-saxons disent que les messages  sont "in depth").

D'après le fichier LOG il y a seulement deux membres qui discutent : yohan et nopid

Puisqu'il s'agit d'un chat, on s'attend à trouver quelque chose comme

yohan: blabla....
nopid: blablabla...
yohan: blabla..
...etc.

On ne peut pas savoir lequel des deux commence la conversation, car leurs pseudos sont de même longueur.

Supposons que ce soit nopid, on a le début des messages :
(je note _ les espaces pour bien les visualiser)

A49D1F90ED344F  <-- masques
 
CAF26FF9890E6F D712355840B10C...
 n o p i d : _  
DDF277F1830E6F CD1F794051BD5E
 y o h a n : _
DDF277F1830E6F C816794B5DFE44
 y o h a n : _  
CAF26FF9890E6F C854385D44F145
 n o p i d : _
DDF277F1830E6F C31C36491ABD6F
 y o h a n : _
CAF26FF9890E6F CC162C5F51E85F
 n o p i d : _
DDF277F1830E6F D01B3C0D57FC47
 y o h a n : _
CAF26FF9890E6F C7543C5E40BD48
 n o p i d : _
DDF277F1830E6F C7162B5955F442
 y o h a n : _
CAF26FF9890E6F CB06300114FE0B
 n o p i d : _
DDF277F1830E6F CA32177F66CE7C
 y o h a n : _
CAF26FF9890E6F C71B365851E958
 n o p i d : _
DDF277F1830E6F C712794951EB5E
 y o h a n : _
CAF26FF9890E6F D006794C47BD58
 n o p i d : _
DDF277F1830E6F CB06300114F04D
 y o h a n : _
CAF26FF9890E6F CE16795951BD40
 n o p i d : _
DDF277F1830E6F CB06384444B10C
 y o h a n : _

En cherchant les quatre octets du masque qui donnent le meilleur score des quadrigrammes, on obtient le début des messages :

A49D1F90ED344F 8473592D    <-- masques
 
CAF26FF9890E6F D712355840B10C...
 n o p i d : _  S a l u
DDF277F1830E6F CD1F794051BD5E
 y o h a n : _  I l _ m  
DDF277F1830E6F C816794B5DFE44
 y o h a n : _  L e _ f
CAF26FF9890E6F C854385D44F145
 n o p i d : _  L ' a p
DDF277F1830E6F C31C36491ABD6F
 y o h a n : _  G o o d
CAF26FF9890E6F CC162C5F51E85F
 n o p i d : _  H e u r
DDF277F1830E6F D01B3C0D57FC47
 y o h a n : _  T h e _
CAF26FF9890E6F C7543C5E40BD48
 n o p i d : _  C ' e s
DDF277F1830E6F C7162B5955F442
 y o h a n : _  C e r t
CAF26FF9890E6F CB06300114FE0B
 n o p i d : _  O u i ,
DDF277F1830E6F CA32177F66CE7C
 y o h a n : _  N A N R
CAF26FF9890E6F C71B365851E958
 n o p i d : _  C h o u
DDF277F1830E6F C712794951EB5E
 y o h a n : _  C a _ d
CAF26FF9890E6F D006794C47BD58
 n o p i d : _  T u _ a
DDF277F1830E6F CB06300114F04D
 y o h a n : _  O u i ,
CAF26FF9890E6F CE16795951BD40
 n o p i d : _  J e _ t
DDF277F1830E6F CB06384444B10C
 y o h a n : _  O u a i

On se doute que le premier mot du premier message est Salut.

$"t"=74$ donc le masque est $M= 40\oplus74=34$

En appliquant ce masque à toutes les lignes, on obtient :

A49D1F90ED344F 8473592D34    <-- masques
 
CAF26FF9890E6F D712355840B10C...
 n o p i d : _  S a l u t
DDF277F1830E6F CD1F794051BD5E
 y o h a n : _  I l _ m e  
DDF277F1830E6F C816794B5DFE44
 y o h a n : _  L e _ f i
CAF26FF9890E6F C854385D44F145
 n o p i d : _  L ' a p p
DDF277F1830E6F C31C36491ABD6F
 y o h a n : _  G o o d .
CAF26FF9890E6F CC162C5F51E85F
 n o p i d : _  H e u r e
DDF277F1830E6F D01B3C0D57FC47
 y o h a n : _  T h e _ c
CAF26FF9890E6F C7543C5E40BD48
 n o p i d : _  C ' e s t
DDF277F1830E6F C7162B5955F442
 y o h a n : _  C e r t a
CAF26FF9890E6F CB06300114FE0B
 n o p i d : _  O u i , _
DDF277F1830E6F CA32177F66CE7C
 y o h a n : _  N A N R R
CAF26FF9890E6F C71B365851E958
 n o p i d : _  C h o u e
DDF277F1830E6F C712794951EB5E
 y o h a n : _  C a _ d e
CAF26FF9890E6F D006794C47BD58
 n o p i d : _  T u _ a s
DDF277F1830E6F CB06300114F04D
 y o h a n : _  O u i , m
CAF26FF9890E6F CE16795951BD40
 n o p i d : _  J e _ t e
DDF277F1830E6F CB06384444B10C
 y o h a n : _  O u a i p

Et ainsi de suite, on peut compléter simultanément les 17 messages.
Attention, les caractères accentués sont en utf8.

Pas besoin d'aller jusqu'au bout, on voit déjà le début du token :-)

The cake is a lie.

@+

Hors ligne

#8 12-12-2018 21:07:01

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Re : Decryptage fichier CHAT.log

Ah Oui, apparement oui je n'ai pas l'oeil de la cryptanalyse haha :-) mais la effectivement oui je viens de remarquer ce que vous venez de me dire, par contre la seul chose que je n'ai pas compris c'est comment vous avez fait pour obtenir le mask ? j'ai réussi a obtenir les premiers 17 octets et puis j'arrive pas a avancer

Hors ligne

#9 13-12-2018 11:07:20

fraxn
Membre
Inscription : 27-11-2018
Messages : 25

Re : Decryptage fichier CHAT.log

Bonjour Rossignol,

J'ai réussi a avancer ( et trouver le token)  la je suis arrivé au 41eme octets, mais je trouve cette méthode un peu embetante de chercher a completer les mots pour trouver les octets, il n'existe pas une autre méthode plus optimale, ou on peut récupérer le masque en entier ?

Hors ligne

Réponse rapide

Veuillez composer votre message et l'envoyer
Nom (obligatoire)

E-mail (obligatoire)

Message (obligatoire)

Programme anti-spam : Afin de lutter contre le spam, nous vous demandons de bien vouloir répondre à la question suivante. Après inscription sur le site, vous n'aurez plus à répondre à ces questions.

Quel est le résultat de l'opération suivante (donner le résultat en chiffres)?
quatre-vingt seize moins vingt et un
Système anti-bot

Faites glisser le curseur de gauche à droite pour activer le bouton de confirmation.

Attention : Vous devez activer Javascript dans votre navigateur pour utiliser le système anti-bot.

Pied de page des forums