In that process, I have become the lightening rod. I get undue attacks on every aspect of my life, but then I also get undue credit as some kind of balancing force.

Tot i els atacs que ha patit el web de WikiLeaks, a través de bittorrent qualsevol de nosaltres pot descarregar un fitxer d’1,40GB anomenat insurance.aes256 que WikiLeaks distribuïa en el seu Afghan War Diary, 2004–2010. Hi ha qui diu que és un hoax (en aquest cas concret, jo diria que, deguda la seva intenció, més aviat un farol) però aparentment (si fem cas del seu nom) es tracta d’un arxiu xifrat amb AES256 del qual se’n desconeix la clau. És per tant inexpugnable. Tampoc es pot comprovar si és –en efecte– el resultat d’un xifrat AES256 (o de qualsevol altre mètode simètric), tot i que l’anàlisi de probabilitats concorda: és del tot aleatori. Suposadament conté informació que els perseguidors del cap visible de l’organització, Julian Assange, no voldrien que es fes pública de cap de les maneres. Així que si li passa res a Assange, «algú» distribuirà la clau i tots els qui ja hagin descarregat el fitxer podran fer-lo públic. D’aquí el nom d’assegurança. Tot plegat sembla un punt de partida magnífic per a atrapar-nos, als lectors de Larson, en una nova aventura de Lisbeth Salander; però resulta que aquesta vegada ho llegim als diaris i no en una novel·la… Els amants de la conspiranoia deuen estar encantats.

S’han dit moltes coses sobre Assange i WikiLeaks (està confirmat que Suècia el busca per una acusació de delicte sexual –que també hi ha qui nega que aquesta acusació existeix) i la veritat és que no sé massa què pensar-ne, jo, de tot plegat. És cert, com diuen alguns mitjans, que algunes de les revelacions que han fet són més pròpies del camp de les tafaneries que dels secrets d’estat i d’altres no fan sinó confirmar sospites que tothom donava per sobreenteses. Alguns humoristes han sabut captar molt bé aquesta crítica a WikiLeaks, com Manel Fontdevila, per exemple:

Malauradament sempre hi ha qui, de l’humor, en pren només la banalització i no sap cercar-hi també la reflexió (tweet via ara.cat) i, per una cosa o altra, una part de l’opinió en els mitjans sembla instal·lada en la incredulitat acrítica (tant dolenta, en aquest cas com la credulitat) i oblida que també fou WikiLeaks qui va fer publica, per exemple, la mort d’un periodista de Reuters (i de la d’altres civils innocents) a Iraq a mans de l’exercit americà d’una forma absolutament criminal. És cert que hi ha algunes contradiccions en la reclamació de transparència que fa WikiLeaks, i potser també és veritat que hi ha secrets d’estat que ja està bé que ho siguin (de secrets); però si hi ha una organització que remenant una mica la merda dels governs aconsegueix que s’apliquin més controls i que es faci justícia ens casos d’abusos militars a Iraq, Afganistan, Rússia… o Espanya; a mi ja em sembla bé.

Jo m’he descarregat l’assegurança d’Assange.

Generar un parell de claus RSA de 1024 bits (privada xifrada amb DES3 + pública)

openssl genrsa -des3 -out cert.pem 1024
openssl rsa -in cert.pem -pubout -out pub.pem

Per xifrar tenim dues opcions (la primera és la més lògica, considerant que normalment xifrarem per a un altre usuari usant la seva clau pública):

openssl rsautl -in doc.txt -out doc.rsa -inkey pub.pem -pubin -encrypt
openssl rsautl -in doc.txt -out doc.rsa -inkey cert.pem -certin -encrypt

openssl rsautl -in doc.rsa -out doc.txt -inkey cert.pem -decrypt

openssl dgst -sign cert.pem -out doc.sign doc.txt

openssl dgst -verify pub.pem -signature doc.sign doc.txt

D’entrada, i a falta de realitzar més proves per a l’elaboració del tutorial, per fi he trobat la forma d’extreure només la clau pública del certificat idCAT; acció que m’ha donat prou maldecaps.

El primer pas és exportar el certificat des de Firefox en format P12 (PKCS#12), cosa que pot fer-se des de Preferències > Avançat > Xifratge > Visualitza els certificats > Els vostres certificats escollint l’opció Fes-ne còpia de seguretat.

Posteriorment, en un terminal (Linux o Mac OS X) on tinguem OpenSSL instal·lat executarem:

openssl pkcs12 -in certificat.p12 -out cpub.pem -nokeys

openssl crl2pkcs7 -certfile cpub.pem -nocrl -outform DER -out cpub.p7c
openssl crl2pkcs7 -certfile cpub.pem -nocrl -outform PEM -out cpub.p7b

Permet que l’alumne esculli els nombres p i q d’entre una llista amb els 1.000 nombres primers i triï quin serà l’exponent e que li farà de clau pública. El sistema calcula automàticament la clau privada corresponent i ofereix la possibilitat de xifrar una paraula de 5 lletres i desxifrar-la posteriorment. Com que la finalitat és purament docent i il·lustrativa (i tampoc em volia complicar la vida) no he implementat cap tècnica de padding scheme per a paliar les vulnerabilitats inherents al criptosistema RSA causades principalment per la falta de components aleatoris en el procés de xifratge. Es tracta que els alumnes entenguin la base, fer-los veure que la realitat és lleugerament diferent i que el procés pot aplicar-se de diverses formes…

El document inclou algunes funcions que he hagut de crear per a tasques tan diverses com comprovar si dos enters són coprimers o realitzar una potència modular, entre d’altres.

xifratRSA.xlsm [Excel 2007 amb macros, 61KB]

Per a qualsevol consulta, suggeriment o notificació d’errades utilitzeu els comentaris, si us plau!

Dies enrere en JM –arran d’un curs de preparació per l’ACTIC, precisament– va revocar el seu certificat digital idCAT en format clauer per tenir-ne un dels nous en format –en diuen– “programari” (ara es demanen presencialment i es descarreguen via web). Per sorpresa seva, un cop instal·lat en un ordinador, no podia exportar-lo de cap de les maneres per utilitzar-lo en un altre màquina.

En una trucada al servei d’atenció de l’idCAT (902901080) li diuen que, efectivament, el certificat no és exportable (!?). Confós, repeteix la trucada i una altra persona li confirma que sí, que el certificat és exportable però que en el procés d’instal·lació (mentre el descarregava del web) hauria d’haver marcat l’opció de fer-lo exportable i que si se n’havia descuidat no li quedava més remei que revocar-lo i demanar-ne un altre.

Segon intent: en JM revoca el certificat, en demana un altre i es disposa a instal·lar-lo, aquesta vegada amb l’ajuda d’una operadora del 902901080 a l’altra banda del telèfon. Clic per clic, segueix les instruccions i ¡oh, sorpresa! l’opció de Marcar el certificat com exportable no apareix per enlloc… Però, ¡més sorpreses! ara sí que pot exportar el certificat! L’operadora li diu que, en realitat, l’opció de fer un certificat exportable l’ha de triar el funcionari de l’ajuntament durant el procés de sol·licitud del certificat. Tercera versió dels operadors del telèfon de consultes de l’idCAT. Recordem:

1. El certificat NO és exportable.
2. El certificat SÍ que és exportable, sempre i quan així ho indiqui l’usuari durant la instal·lació.
3. El certificat SÍ que és exportable, sempre i quan així ho indiqui el funcionari durant la sol·licitud del certificat.

No està malament… Doncs bé, avui m’ha tocat a mi. El meu certificat en format clauer que, no sense barallar-m’hi, vaig aconseguir fer funcionar no només amb Windows sinó també amb Ubuntu i Snow Leopard; ja feia dies que havia dit prou. Suposo que és per les darreres actualitzacions del Firefox, però per una cosa o altra ja no em funcionava ni intentant carregar manualment el mòdul que indicava l’script d’instal·lació (script que, efectivament, no funcionava amb les darreres versions de Firefox).

He anat a l’ajuntament de Manresa a revocar el meu clauer i demanar un altre certificat, però previngut per en JM els he explicat el seu cas i he demanat que em marquessin, si us plau, l’opció de fer-lo exportable tal com ens havia indicat la darrera operadora del telèfon de consultes. La funcionaria, sorpresa, ha dit que aquesta opció l’havia de marcar jo durant la instal·lació (!?) i molt amablement ha trucat a idCAT per confirmar-ho. I, per desesperació meva, li han confirmat!

Un cop a casa he instal·lat el certificat, la re-maleïda opció no ha aparegut per enlloc durant la instal·lació i, malgrat tot, he pogut exportar el certificat complet (clau pública + clau privada) en format .P12 i usar-lo per identificar-me a un parell de llocs web tant amb el Lucid Lynx com amb el MAC.

< Continuarà… >