Challenge 2022 - CB TAC vérif.
Test d'Aptitudes Cryptographiques
Qui saura fournir un QR code valide, puis retrouver le FLAG, en utilisant le système «CB TAC vérif.» ci-dessous ?
Pour vous aider, voici un vieux PASS de John DOE ainsi que le certificat permettant de vérifier la signature.
Archive : data2022.zip
(SHA256 de l'archive : 87ebd98e0aa5dee68abcdcf5d53b913e1f82c910fd592b63d5f377e242ee457c)
NB: Le QR code suit la même structure qu'un «European Digital Green Certificate (DGC)» qui lui même respecte le format générique HCERT («Electronic Health Certificate Specification (v1.0.5-2021-04-18)»). Par contre, le contenu du CWT (CBOR Web Token) a été adapté pour réaliser une identification LINUX :
Protected Header
Signature Algorithm (alg, label 1)
Key Identifier (kid, label 4)
Payload
Issuer (iss, claim key 1)
Issued At (iat, claim key 6)
Expiration Time (exp, claim key 4)
Health Certificate (hcert, claim key -260)
** CB Identifcation DGC ** (id, claim key 1)
Signature
Pour la signature des données, le système «CB TAC vérif.» ne supporte que l'identifiant COSE (CBOR Object Signing and Encryption) -1 et reprend les mêmes principes que l'algorithme Es256 : Elliptic Curve Digital Signature Algorithm (ECDSA) en combinaison avec la fonction de hachage SHA256, mais sur une courbe elliptique différente...