去年，我们发布了一些加密挑战，让你暂时不去参加庆典。今年，我们也在做同样的事情。无论你是无聊还是只是想了解更多有关加密互联网的技术，请随时给这些简短的密码测验去吧，我们在新的一年开始之前，你要保留答案，这样你就有机会在没有破坏者的情况下解决问题。在我们揭晓答案之前，如果你能解决这些问题，我们会给前5个人一些Cloudflare swag。请使用此表格填写您的答案和详细信息，以便我们知道发送到哪里它。有有趣！更新：此测验现已结束。感谢所有参加比赛的人。我们已经收到了许多答复，其中15个答复都是正确的；我们不久将向那些得到正确答案的人发出一些口号。注意：提示，现在跟着解决方案，在问题下面，如果你想避免任何提示，请避免滚动太远扰流器。挑战者客户机说hello客户打招呼，作为如下：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[无文字包装的原始拼图]基于时间的一次性密码验证器设备生成登录银行网站的一次性密码。该实现包含一个致命的缺陷。在以下时间，将生成以下代码（均以GMT/UTC表示）：2018年12月21日星期五16:29:28-084342，2018年12月22日星期六13:11:53-411907 2018年12月25日星期二12:15:03-617041 2019年1月1日午夜将生成什么代码？rpkiatcloudflare，我们只设置了RPKI：为了减少路由泄漏，我们签署了几百个前缀。但是有些前缀隐藏了一个秘密信息。找到不同的ROA，解码这个词！HintsClient说HelloThis的挑战有3个提示，比如以下：挑战是基于网络上限turehttps://blog.cloudflare.com/encrypted-sni/What是不是很奇怪？基于RFC4226（为HOTP提供了一种算法）的rfc6238描述了基于时间的一次性口令算法。TOTP算法需要输入两个重要的参数，时间和共享秘密-可能会丢失一个？用于生成挑战的TOTP代码的实现使用SHA-1作为摘要算法。此挑战在2019年1月中旬后将不再有效。此挑战有4个提示，如以下：提示0：四个还是六个？可能六。提示#1： 如果有办法只列出我们的IP地址就好了！提示2：ROA中唯一可以隐藏信息的部分是什么？提示3：减去保留，字符将显示自己的解决方案如果您喜欢视频形式，有人在YouTube上制作了一个关于如何解决问题的视频，否则书面解决方案是下图：客户说HelloThe字符串（主要）是从Wireshark捕获的tls1.2handshake中的客户机Hello帧；因此，它显示了连接的目标服务器名称；在本例中cfl.re.那里是这个十六进制流的后缀字符串，它不应该在那里；它是一个base64编码的字符串  








         











 
。解码此字符串分隔缝：GET/2AdKzgBTEXT相应地，在第4行和第5行；https://cfl.re/2AdKzgB重定向到https://www.cloudflare.com/robots.txt；在第4行和第5行是这样的短语："亲爱的robot be nice"，GET请求显然不会像这样附加到客户机Hello；但是SNI信息会是这样的。您可以在下面的帖子中找到更多关于Cloudflare加密此类信息的工作，这样攻击者就看不到您访问的是哪个站点：Encrypting SNI:Fixing One the Core Internet bugstotp for this part，我将使用pyotp库来演示如何设置挑战：>>>import pyotp>>>totp=pyotp.TOTP（''）>>>打印总计（1545409768）084342>>打印总计（1545484313）411907>>打印总计（1545740103）617041请注意，TOTP函数的参数设置为空字符串，这意味着没有适当的秘密；并且一次性密码仅由时间哈希生成。因此，时间戳在新年午夜生成的TOTP是301554。虽然对于开发人员来说，最终搜索GitHub似乎有点难以置信，但我甚至能够找到对所有想要验证网站的用户使用默认密码（base32secret3232）的实现。这意味着任何其他用户的一次性密码对任何其他帐户都是有效的，而且该机密很可能很容易被泄露（因为它不是随机生成的）。RPKICloudflare只能根据其前缀生成roa。IPv6前缀如下所示：https://cloudflare.com/ips-v6.Using任何RPKI验证的前缀列表(https://rpki.cloudflare.com/rpki.json，或使用RIPE的RPKI验证器的GUI），测试我们的IPv6前缀。他们中的一些人会出现在为私人保留的ASN中用途：2803：f800：cfcf:cfcf:cfcf:cfcf:cfcf:1-B2803:f800：cfcf:cfcf:cfcf:cfcf:cfcf:2-R2803:f800:cfcf:cfcf:cfcf:cfcf:cfcf:3-A2803:f800：cfcf:cfcf:cfcf:cfcf:（四）V2803:f800:cfcf:cfcf:cfcf:cfcf:cfcf:5-OSubtract 4200000000，它将为机密的每个字符提供一个字节单词。重复直到有消息说解码。感兴趣在帮助建立一个更好的互联网和推动网上安全？Cloudflare正在招聘。