DESCIFRAR TRÁFICO SSL CON WIRESHARK

agosto 28, 2011 a las 10:00 pm | Escrito en Uncategorized | 4 comentarios

En “Edit – preferences – protocols – SSL” debemos configurar:

RSA keys list: <ip>,<puerto>,<protocolo>,<key>

IP: La IP interna del equipo en la interfaz que escuche el protocolo
Puerto: Puerto del protocolo a descifrar
Protocolo: Protocolo a descifrar
Key: Clave RSA descifrada (El fichero tiene que empezar con “—–BEGIN RSA PRIVATE KEY—–”

P.ej.: 192.168.1.1,995,pop3,/home/usuario/clave.key

SSL debig file: fichero.out

En este fichero aparecerá toda la salida del descifrado incluidos los propios datos.

Cuando seleccionemos un paquete en el Wireshark que haya sido descifrado, nos aparecerá una nues pestaña en la parte inferior para poder ver el contenido descifrado.

Para poder filtrar en Wireshark por una IP y puerto determinado usamos:

ip.addr==192.168.1.33 and ip.proto==995

Advertisement

4 comentarios »

RSS feed para los comentarios de esta entrada. URI para TrackBack.

  1. Perdona el desconocimiento, pero estoy tratando de reproducir estas pruebas con mi WhatsApp y no soy capaz de capturar los paquetes SSL con el WireShark

    ¿La clave RSA debe ser alguna concreta? Sin embargo, si hago un telnet hacia el teléfono sí que veo las trazas TCP…

    Sabrías decirme qué estoy haciendo mal?

    Gracias.

    Comment by Lu— noviembre 17, 2011 #

  2. Hola Lu,

    efectivamente, cuando se utiliza cifrado simétrico SSL/TLS, cada certificado que interviene para cifrar datos tiene su propia clave privada. Esa clave es la necesaria para descifrar el tráfico en ese tipo de comunicaciones.

    Luego si suponemos que WhatsApp utiliza este tipo de cifrado (lo desconozco) lo que sucederá es que si tu y yo nos comunicamos, nuestros terminales intercambiarán sus certificados. Luego yo utilizaré tu certificado para escribirte cifrado (ya que tu clave privada puede descifrar la información) y tú harás lo propio. La cuestión es que esas claves privadas no creo que estén al alcance de los usuarios tan facilmente, y si lo están lo estarán a su vez cifradas, lo que supone que no te vale para hacer el procedimiento que comento con el Wireshark.

    Saludos !

    Comment by J— noviembre 17, 2011 #

  3. como se consigue el fichero que contiene la clave RSA???

    Comment by banana— febrero 14, 2012 #

  4. consiguiendola

    Comment by fogoso— febrero 14, 2012 #


Deja un comentario

Fill in your details below or click an icon to log in:

Gravatar
Logo de WordPress.com

You are commenting using your WordPress.com account. Log Out / Cambiar )

Twitter picture

You are commenting using your Twitter account. Log Out / Cambiar )

Facebook photo

You are commenting using your Facebook account. Log Out / Cambiar )

Cancelar

Connecting to %s

Blog de WordPress.com. | Theme: Pool by Borja Fernandez.
Entradas y comentarios: feeds.

Seguir

Get every new post delivered to your Inbox.