DESCIFRAR TRÁFICO SSL CON WIRESHARK

agosto 28, 2011 a las 10:00 pm | Publicado en Uncategorized | 7 comentarios

En “Edit – preferences – protocols – SSL” debemos configurar:

RSA keys list: <ip>,<puerto>,<protocolo>,<key>

IP: La IP interna del equipo en la interfaz que escuche el protocolo
Puerto: Puerto del protocolo a descifrar
Protocolo: Protocolo a descifrar
Key: Clave RSA descifrada (El fichero tiene que empezar con “—–BEGIN RSA PRIVATE KEY—–”

P.ej.: 192.168.1.1,995,pop3,/home/usuario/clave.key

SSL debig file: fichero.out

En este fichero aparecerá toda la salida del descifrado incluidos los propios datos.

Cuando seleccionemos un paquete en el Wireshark que haya sido descifrado, nos aparecerá una nues pestaña en la parte inferior para poder ver el contenido descifrado.

Para poder filtrar en Wireshark por una IP y puerto determinado usamos:

ip.addr==192.168.1.33 and ip.proto==995

7 comentarios »

RSS feed for comments on this post. TrackBack URI

  1. Perdona el desconocimiento, pero estoy tratando de reproducir estas pruebas con mi WhatsApp y no soy capaz de capturar los paquetes SSL con el WireShark

    ¿La clave RSA debe ser alguna concreta? Sin embargo, si hago un telnet hacia el teléfono sí que veo las trazas TCP…

    Sabrías decirme qué estoy haciendo mal?

    Gracias.

  2. Hola Lu,

    efectivamente, cuando se utiliza cifrado simétrico SSL/TLS, cada certificado que interviene para cifrar datos tiene su propia clave privada. Esa clave es la necesaria para descifrar el tráfico en ese tipo de comunicaciones.

    Luego si suponemos que WhatsApp utiliza este tipo de cifrado (lo desconozco) lo que sucederá es que si tu y yo nos comunicamos, nuestros terminales intercambiarán sus certificados. Luego yo utilizaré tu certificado para escribirte cifrado (ya que tu clave privada puede descifrar la información) y tú harás lo propio. La cuestión es que esas claves privadas no creo que estén al alcance de los usuarios tan facilmente, y si lo están lo estarán a su vez cifradas, lo que supone que no te vale para hacer el procedimiento que comento con el Wireshark.

    Saludos !

  3. como se consigue el fichero que contiene la clave RSA???

  4. consiguiendola

  5. que basura tu blog

  6. Debes tener acceso al archivo con la clave privada del servidor. No hay otra opción.

  7. Hola! si yo uso el commview tenés idea de como tendría que hacerlo? estoy medio perdido! gracias.


Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Crea un blog o un sitio web gratuitos con WordPress.com.
Entries y comentarios feeds.

A %d blogueros les gusta esto: