Writeup CTF Clevis et Tang chiffrement et déchiffrement automatique
Une des épreuves de challenges préférés de l'équipe CTF LGHM
La capture du drapeau ou « capturez le drapeau » (souvent abrégé en CTF pour Capture the Flag), est un mode de jeu par équipe . Ce type de jeu a été adapté dans divers domaines ainsi qu'en cybersécurité. voir https://fr.wikipedia.org/wiki/Capture_du_drapeau certains pour passer le temps font des mots croisés, d'autres du sudoku, nous c'est du CTF :-)
Comment devenir pentesteur? Résoudre les énigmes CTF, et c'est facile avec l'outil pwnator LGHM by Ponemon technologies qui est un framework qui résume les principales étapes du pentest. Ideal pour récolter un max de points lors des épreuves CTF dans les conférences infosec . Mais avant, il faut s'entrainer: Pour commencer, voici comment obtenir un code de parrainage hack the box.
Bienvenue dans le writeup de Clevis et Tang! Il s'agit d'un CTF où les joueurs doivent chiffrer et déchiffrer une partition disque sur un serveur à distance. C'est parti!
Vous avez sans doute chacun dans vos organisations des ordinateurs
ou serveurs complètement chiffrés. J’utilise par exemple de mon
côté régulièrement LUKS pour chiffrer des partitions LVM.
Problème lorsqu’on redémarre. . .
Une difficulté se présente lorsque l’on doit redémarrer ces serveurs,
ce qui impose une présence physique ou via une console distante
pour accéder à la machine que vous souhaitez redémarrer.
Accès ssh pour redémarrer. . .
Un accès console ou une présence physique n’étant pas toujours
envisageable, des solutions comme dropbear-initramfs ont vu le jour.
Lorsqu’il s’agit d’une ou de quelques machines cette solution peut
être envisagée.
Writeup CTF Clevis et Tang chiffrement et déchiffrement automatique: Network-Bound Disk Encryption
Mais en automatique ?
Lorsque vous gérez des parcs informatiques plus larges, cette
intervention humaine à chaque démarrage n’est plus adaptée.
C’est là qu’arrive la “Network-Bound Disk Encryption”
Une question? Posez-la ici
Besoin d'aide?
Clevis et Tang
Dernière debconf online
Il est maintenant possible de faire un démarrage automa-
tique depuis un réseau de confiance.
Présentation de Christophe BIEDL 30/05/2020.
Writeup CTF Clevis et Tang chiffrement et déchiffrement automatique: what?
Clevis
Clevis is a plugable framework for automated decryption.
It can be used to provide automated decryption of data or
even automated unlocking of LUKS volumes.
$ clevis encrypt PIN CONFIG < PLAINTEXT > CIPHERTEXT.jwe
$ clevis decrypt < CIPHERTEXT.jwe > PLAINTEXT
Clevis sur github
Tang
Tang is a server implementation which provides cryptogra-
phic binding services without the need for an escrow. Clevis
has full support for Tang.
Tang is a server for binding data to network presence.
Tang Versus Key Escrow: Ease of Use and Simple Security
$ echo hi | clevis encrypt tang ’{"url": "http://tang.local
The advertisement is signed with the following keys:
kWwirxc5PhkFIH0yE28nc-EvjDY
Do you wish to trust the advertisement? [yN] y
Tang sur github
Une question? Posez-la ici
Besoin d'aide?
Writeup CTF Clevis et Tang chiffrement et déchiffrement automatique: Autres usages ?
Si le mécanisme est solide, pourquoi pas l’implémenter pour stocker
d’autres secrets (pour remplacer le mot de passe sur des réseaux de
confiance?)
Jusqu’où s’arrête le réseau?
Une question? Posez-la ici
Besoin d'aide ?
Echange
Avez-vous déja mis en oeuvre ces outils ?
Avez-vous une critique à formuler sur la mise en oeuvre de ces
outils (crypto, processus, . . . ).
Quel niveau de confiance peut-on accorder selon vous à ce
mécanisme de PIN selon vous? . . .
Cet article reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit. J'espère que ça vous a plu.
Vos commentaires/remarques sont les bienvenus: