A continuación os presentamos un reto criptográfico que ha sido publicado por OWASP con el objetivo de promover unas conferencias en Estocolmo los días 21 al 24 de Junio organizadas por los capítulos de Suecia, Noruega y Dinamarca.
¿Qué se gana con este reto? Pues el primero en resolver el reto se lleva una entrada gratuita para estas conferencias valorada en unos 300€. Según anuncian en su página web, estos retos se realizan todos los días 21 hasta la celebración de las conferencias. En este caso, el objetivo de este reto en concreto es sencillo: obtener 8 contraseñas, compuestas por 5 caracteres codificadas en alfabeto tradicional, es decir [a-zA-z].
El esquema del reto es iterativo, como se puede comprobar en la siguiente ilustración. Es decir, obtenemos la primera contraseña, que se debe utilizar en el segundo paso para averiguar la segunda contraseña, ésta se usa para obtener la tercera y así sucesivamente.
Y cómo sabemos que la contraseña encontrada es la correcta? Pues con la información que se detalla a continuación:
- LM(pwd1) 0C04DACA901299DBAAD3B435B51404EE
- MD2(pwd2 + pwd1) 16189F5462BF906E9D88CF6F152DE86F
- MD4(pwd3 + pwd2) FA8F46A6D347087D6980C3FA77DD4DE9
- MD5(pwd4 + pwd3) 425B33D6F60394C897B8413B5C185845
- RIPEMD160(pwd5 + pwd4) 35F34671D30472D403937820DCABC1C78C837071
- SHA1(pwd6 + pwd5) AE81A30510B2931921934218636B26A803330EB1
- SHA256(pwd7 + pwd6) B2FF0269E927C6559804A37590A0688C45DF143F85CEE0E3F239F846B65C9644
- GOST3411(pwd8 + pwd7) 16CC9F1FF65688E040F5ADA82A41A258FF948769CDA4C4A17D85228A6F358971
El reto está desarrollado en Java y el código fuente que genera las hash se encuentra disponible (.ZIP), a excepción del algoritmo LM para el que se ha utilizado Bouncy Castle 1.4.5. Aunque el reto ya está resuelto en los foros, y no, no conocemos a quien lo ha resuelto de hecho yo me he enterado cuando ya estaba resuelto, eso no quita para intentar obtener las claves en menos tiempo que el ganador: 15 horas después de su publicación.
Siempre les quedará la victoria moral, que no es poca.
¡Muchas gracias David!
Yo también estoy intentando sacar el reto, eso si, creo que estoy tardando algo más que el ganador X-P.