Recupero passphrase perso per SSL

6

Oggi è venerdì e sono un sysadmin disperato. Ho emesso una richiesta di certificato per un server HTTPS e l'ho appena ricevuta dopo più di una lunga settimana di attesa, ma mentre la mia richiesta è stata elaborata ho perso la passphrase che ha protetto la mia chiave privata.

Dato che ho la chiave privata e la chiave pubblica generati congiuntamente con la passphrase (che conoscevo prima), potrebbe esserci un modo intelligente per recuperare la passphrase perduta.

Grazie in anticipo.

    
posta Nicocube 27.07.2012 - 18:48
fonte

2 risposte

14

Sei sfortunato. Una chiave privata cifrata protetta da passphrase significa che devi indovinarla e con l'alta entropia di una frase segreta tipica sarà molto difficile. Ammesso che tu abbia una vaga idea di cosa sia la passphrase, puoi scrivere uno script per provare a forzarlo bruto (ad esempio, era qualcosa come "horse batteria corretta _ _" e soggetto a un dizionario attacco).

Questo è l'intero motivo per cui inserisci la passphrase sulla chiave privata. (Certo di solito rimuovo la passphrase dalle mie chiavi private SSL sul mio server per riavviare convenientemente apache / nginx, anche se lascia che siano leggibili solo da root, se qualcuno è riuscito a eseguire il root può installare un keylogger e comunque catturare la mia passphrase).

EDIT: dovrei aggiungere in linea di principio che potresti ottenere la tua chiave privata se interrompi RSA (risolvi il problema del factoring del modulo N il prodotto di due numeri primi a 1024 bit che è nella chiave pubblica non crittografata; rigenerare rapidamente la chiave privata) o il meccanismo di crittografia della passphrase (in genere DES3) per recuperare la chiave privata. Tuttavia, se potessi fare l'uno o l'altro, potrebbe anche qualcun altro, il che non sarebbe una buona situazione. Inoltre, a meno che tu non abbia compiuto scoperte fondamentali nella teoria dei numeri, nell'informatica o nello sviluppo di un computer quantistico, è proibitivo il ricorso alla rottura della forza bruta RSA (come un milioni di computer per un milione di anni avrebbero una probabilità dello 0.02% di rompere una chiave RSA a 2048 bit).

    
risposta data 27.07.2012 - 18:58
fonte
2

( Semplicemente rimappando la risposta che ho dato a la domanda incrociata su SO , poiché è ora chiuso. )

Non proprio. Il punto di queste protezioni è proprio quello di rendere impossibile il recupero della password.

Se la password non fosse troppo lunga, potresti provare la forza bruta ...

L'opzione migliore è probabilmente contattare la CA e chiedere loro di riemettere un certificato con un nuovo CSR. Alcuni potrebbero consentire il re-keying senza costi aggiuntivi durante il periodo di validità del certificato.

Nel caso in cui, è possibile verificare se la chiave privata che hai generato è stata crittografata. Dipende da dove è memorizzato. Se si trova in un file PEM che inizia con -----BEGIN RSA PRIVATE KEY----- e contiene la parola ENCRYPTED dopo, è un brutto segno ...

    
risposta data 28.07.2012 - 03:53
fonte

Leggi altre domande sui tag