Pregunta:
¿Es posible recuperar una frase de contraseña perdida para un archivo de clave privada?
Alex Karshin
2016-03-10 19:59:05 UTC
view on stackexchange narkive permalink

Tenemos un conjunto de claves y certificados públicos y privados en el servidor. El problema es que si bien el cifrado público funciona bien, la frase de contraseña para el archivo .key se perdió.

Entonces, al intentar ejecutar el siguiente comando: 

  openssl rsa -in the.key

Obviamente pedirá la contraseña. ¿Es posible obtener la frase de contraseña perdida de alguna manera?

Si la frase de contraseña se puede recuperar, ¿por qué molestarse en tener una frase de contraseña?
Dependiendo de las condiciones y la longitud de su frase de contraseña habitual, puede considerar los ataques de fuerza bruta. Si usa la misma variación de un código de acceso o un montón de diferentes, utilice "cewl" para generar su lista de palabras.
Sí, prueba todas las posibilidades hasta que adivines bien.
@immibis Para ser justos, también hay cosas como la contraseña de pdf, que es básicamente un "bonito, por favor, no hagas eso" o esquemas de cifrado de contraseña que se han roto durante años. Entonces, en general, no es tan irrazonable preguntar.
Seis respuestas:
M'vy
2016-03-10 20:02:12 UTC
view on stackexchange narkive permalink

El objetivo de tener una frase de contraseña es bloquear a cualquiera que no la sepa. Permitir que se recupere desafiaría el principio y permitiría a los piratas informáticos que obtienen acceso a su certificado recuperar sus claves.

Así que no, no existe tal cosa.

Qué debe hacer usted Es declarar las claves como perdidas al emisor para que revoquen su certificado. Luego, debes crear uno nuevo desde cero.

Creo que es importante tener en cuenta aquí que muchas CA comerciales le permitirán (revocar y) volver a emitir un certificado al menos algunas veces sin cargo adicional. (Menciono esto porque para mi oído "desde cero" suena como si quisieras "pagar de nuevo").
@Calrion Eso depende mucho de CA, por supuesto. Por ejemplo, con StartCom y sus certificados * gratis *, revocar un certificado * no * es gratis (no estoy seguro si se debe a un trabajo adicional de su parte o simplemente para educar a las personas para que no llenen la Lista de revocación de certificados). Pero, por supuesto, esta es una situación muy diferente a un certificado piad de todos modos ...
@HagenvonEitzen True;esa es en realidad la razón por la que ya no confío en StartCom: es imposible determinar el estado de revocación (es decir, la diferencia entre "el certificado es válido" y "el suscriptor no pudo / no pagaría por la revocación")
Gordon Davisson
2016-03-11 07:56:54 UTC
view on stackexchange narkive permalink

De su descripción, parece que el servidor está usando la clave, lo que significa que el servidor "conoce" la frase de contraseña. Si esto es correcto y tiene el acceso adecuado al servidor, debería poder extraerlo. La forma de hacerlo depende de cuál sea el software del servidor y cómo esté configurado.

Solo como ejemplo, si estuviera ejecutando Apache y tuviera algo como esto en el archivo httpd.conf: 

  SSLPassPhraseDialog exec: / etc / apache2 / getsslpassphrase

Eso significa que Apache ejecutará / etc / apache2 / getsslpassphrase para obtener contraseñas; y puede hacer lo mismo: 

  sudo / etc / apache2 / getsslpassphrase server.example.com:443 RSA

debe generar la contraseña para el servidor .example.com clave.

Para otro software de servidor (o Apache con diferentes opciones de configuración), tendría que especificar los detalles.

JBOSS hace algo similar donde habrá un archivo cifrado que tiene la frase de contraseña, por lo que puede extraer el archivo y descifrarlo externamente.
Jenny D
2016-03-10 21:01:24 UTC
view on stackexchange narkive permalink

En algunas circunstancias, es posible recuperar la clave privada con una nueva contraseña. Requeriría que la CA emisora ​​haya creado el certificado con soporte para la recuperación de la clave privada.

Esto normalmente no se hace, excepto cuando la clave se utiliza para cifrar información, p. Ej. cuando se utiliza para el cifrado de archivos o correo electrónico. La CA emisora ​​debería poder decirle si la recuperación de la clave es posible y ayudarlo a volver a crear la clave con una nueva contraseña si lo es.

interesante. Nunca he oído hablar del soporte de recuperación de claves privadas. ¿Puede proporcionar algunos enlaces que hablen de esto?
@stochastic Aquí hay un enlace, para la CA con la que suelo trabajar: [recuperación de clave EJBCA] (/https://www.ejbca.org/docs/adminguide.html#Key%20Recovery). También se menciona en [RFC 3647] (https://www.ietf.org/rfc/rfc3647.txt), que describe la plantilla estándar para CP y CPS para CA.
jk - Reinstate Monica
2016-03-10 20:21:35 UTC
view on stackexchange narkive permalink

En lo que respecta a nuestro conocimiento actual, solo hay fuerza bruta disponible. Pídale a la persona que creó la clave que intente recordar la frase de contraseña e intente. Si no está disponible, pruebe con un programa de descifrado que genere contraseñas populares como generador de frase de contraseña.

Sin embargo, cuando la frase de contraseña fue bien elegida, sus posibilidades de descifrar la clave son mínimas.

Si la persona que creó la clave puede proporcionar algunas pautas, incluso si no recuerdan la frase específica, la fuerza bruta será mucho más fácil. Cosas como "Fue largo. No usé símbolos. Fue una cita famosa".
Matija Nalis
2016-03-11 23:34:26 UTC
view on stackexchange narkive permalink

Solo para ofrecer una vista alternativa, diría que sin duda es posible. Sin embargo, probablemente no sea nada práctico .

El proceso se conoce como craqueo y, por lo general, implica un ataque de fuerza bruta o uno basado en diccionario (quizás ayudado con las debilidades del algoritmo recién detectadas). Sin embargo, dependiendo de la complejidad de la frase de contraseña utilizada y su potencia informática, podría llevar desde varios minutos hasta miles de millones de años.

Entonces, si recuerda la mayoría de las palabras de la frase de contraseña o si fue muy corta, y Los datos que cifra son muy importantes para usted y, de lo contrario, no podrían obtenerse; valdría la pena intentarlo. De lo contrario, como dicen otros, desaparecerá (a menos que la debilidad crítica del algoritmo se haga pública en los años siguientes, por supuesto).

Para el proceso en sí, si decide que vale la pena intentarlo, consulte, por ejemplo, este pregunta

DimiDak
2020-02-03 23:32:06 UTC
view on stackexchange narkive permalink 
  /usr/share/john/ssh2john.py id_rsa > id_rsa.hash

luego 

  john --wordlist = / usr /share/wordlists/rockyou.txt id_rsa.hash

Y obtienes la contraseña si está en la lista.

... quieres decir, si la contraseña está en la lista de rockyou, ¿verdad?Ese no es un comando mágico para obtener una contraseña de cualquier archivo de clave.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...