¿Es posible recuperar una frase de contraseña perdida para un archivo de clave privada?

12

Tenemos un conjunto de claves públicas y privadas y certificados en el servidor. El problema es que, aunque el cifrado público funciona bien, la frase de contraseña para el archivo .key se perdió.

Entonces, al intentar ejecutar el siguiente comando:

openssl rsa -in the.key

Obviamente le pedirá la frase de contraseña. ¿Es posible obtener la contraseña perdida de alguna manera?

    
pregunta Alex Karshin 10.03.2016 - 14:59
fuente

5 respuestas

41

El punto central de tener una frase de contraseña es bloquear a cualquiera que no lo sepa. Permitir que se recupere desafiaría el principio y permitiría a los piratas informáticos que obtienen acceso a su certificado recuperar sus claves.

Entonces no, no hay tal cosa.

Lo que debe hacer es declarar las claves como perdidas al emisor para que revoquen su certificado. Entonces, tienes que crear uno nuevo desde cero.

    
respondido por el M'vy 10.03.2016 - 15:02
fuente
12

Según su descripción, parece que el servidor está usando actualmente la clave, lo que significa que el servidor "sabe" la frase de contraseña. Si esto es correcto y tiene acceso adecuado al servidor, debería poder extraerlo. La forma de hacerlo depende de qué es el software del servidor y cómo está configurado.

A modo de ejemplo, si estaba ejecutando Apache y tenía algo como esto en el archivo httpd.conf:

SSLPassPhraseDialog exec:/etc/apache2/getsslpassphrase

Eso significa que Apache ejecutará / etc / apache2 / getsslpassphrase para obtener frases de contraseña; y puedes hacer lo mismo:

sudo /etc/apache2/getsslpassphrase server.example.com:443 RSA

debe generar la frase de acceso para la clave server.example.com.

Para otro software de servidor (o Apache con diferentes opciones de configuración), deberías especificar los detalles.

    
respondido por el Gordon Davisson 11.03.2016 - 02:56
fuente
11

En algunas circunstancias, es posible recuperar la clave privada con una nueva contraseña. Requeriría que la CA emisora haya creado el certificado con soporte para la recuperación de clave privada.

Esto normalmente no se hace, excepto cuando la clave se utiliza para cifrar información, por ejemplo. cuando se utiliza para correo electrónico o cifrado de archivos. La CA emisora debería poder decirle si la recuperación de la clave es posible, y ayudarlo a volver a crearla con una nueva contraseña, si es.

    
respondido por el Jenny D 10.03.2016 - 16:01
fuente
8

En lo que respecta a nuestro conocimiento actual, solo hay fuerza bruta disponible. Pídale a la persona que creó la clave que intente recordar la frase de contraseña e intente. Si esto no está disponible, intente un programa de descifrado que genere contraseñas populares como un generador de frase de contraseña.

Sin embargo, cuando la frase de contraseña fue bien elegida, las posibilidades de descifrar la clave son mínimas.

    
respondido por el jknappen 10.03.2016 - 15:21
fuente
3

Solo para ofrecer una vista alternativa, diría que es muy posible. Sin embargo, es muy probable que no sea práctico en absoluto .

El proceso se conoce como cracking , y generalmente involucra un ataque de fuerza bruta o uno basado en diccionario (tal vez ayudado con las debilidades del algoritmo recientemente detectadas). Sin embargo, dependiendo de la complejidad de la frase de contraseña utilizada y de su potencia de cómputo, puede tardar desde varios minutos hasta muchos miles de millones de años.

Entonces, si recuerda la mayoría de las palabras de la frase de contraseña o si fue muy breve, y los datos que encripta son muy importantes para usted y, de lo contrario, no se pueden obtener, vale la pena intentarlo. De lo contrario, como dicen otros, se ha ido (a menos que la debilidad del algoritmo crítico se haga pública en los años siguientes, por supuesto).

Para el proceso en sí mismo si decide que vale la pena intentarlo, vea, por ejemplo, esta pregunta

    
respondido por el Matija Nalis 11.03.2016 - 18:34
fuente

Lea otras preguntas en las etiquetas