spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Schritt 5:
Von Sombreros und Lords

Zuletzt betrachteten wir den QR-Code, der im Profilbild von Hans Kobalt versteckt ist. Er enthält folgenden Text:

<!-- contest/17 glaubNichtWasDuSiehst -->

Dabei handelt es sich um einen Verweis auf die Programmier-Contests, die früher einmal mehr oder weniger regelmäßig in diesem Forum stattgefunden haben (ein neuer Contest wird sicherlich irgendwann noch kommen ). Einen Contest Nr. 17 gibt es jedoch nicht (damit das auch so bleibt, wird der nächste Contest einfach die Nummer 18 bekommen!).

Die Auflösungen früherer Contests waren häufig unter URLs wie https://www.spieleprogrammierer.de/contest/14/ zu finden.
Versuchen wir doch einfach mal die Nummer 17 dort einzusetzen:
https://www.spieleprogrammierer.de/contest/17/

Wir gelangen auf eine Seite, die wie eine typische 404-Fehlerseite ausschaut.
Sieht man jedoch genauer hin, so erkennt man einen Hinweis ("Or was it?"), der nahelegt, dass es hier sehr wohl etwas gibt. Ein Blick in den HTML-Quellcode bringt dann folgenden Kommentar ans Tageslicht:


OK, das sieht wieder nach ROT13 aus.
Wir erhalten:


Den ersten Satz mit dem roten Sombrero behalten wir erst einmal nur im Hinterkopf. Wir werden ihn später noch brauchen.
Es folgt ein "Datenblock", der einmal Base64-kodiert und einmal hexadezimal angegeben ist. Ob diese Daten wohl irgendwie verschlüsselt sind?
Dass die beiden Lords Daemen und Rijmen uns weiterhelfen können, legt dies nahe - handelt es sich dabei doch um die beiden Erfinder der AES-Verschlüsselung.

Wenn der Datenblock also tatsächlich mit AES verschlüsselt wurde, dann fehlt uns jetzt noch der Schlüssel.
Und den bekommen wir wohl, indem wir mindestens 9000 Punkte bei "ComicAttack" erreichen. Was das überhaupt ist, und wie man das bewerkstelligt - damit geht's beim nächsten Mal weiter!

Zum Abschluss noch TGGCs "verrückte Ideen" hierzu:

Schritt 6:
It's over 9000!!!!!!111

Um den Schlüssel für die geheime Botschaft zu finden, die uns der Mann mit dem Sombrero zugesteckt hat, sollen wir also über 9000 Punkte bei "ComicAttack" erreichen (wer das mit der 9000 nicht versteht, sollte mal hier vorbeischauen). Wenn man bei Google nach "ComicAttack" sucht, findet man erst einmal nicht das Richtige. Bezieht man aber noch "spieleprogrammierer" mit ein, so stößt man auf den 2. sppro-Spiele-Programmierwettbewerb und das Spiel "ComicAttack", das zu jenem Wettbewerb außer Konkurrenz von mir eingereicht wurde.



Nun erwarte ich nicht ernsthaft, dass es jemand schafft, über 9000 Punkte in diesem Spiel zu erreichen. Das dürfte auch so gut wie unmöglich sein. Aber wir sind doch schließlich hier in einem Programmiererforum, also sollte ein Blick in den Quellcode des Spiels zumutbar sein. Dort sollte es doch irgendwo eine Abfrage wie if (score >= 9000) geben. Sucht man nach "9000", so stößt man auch gleich auf folgende Programmzeile:

String secretKeyScore9000 = "ThatWasEasy";

Ist "ThatWasEasy" nun also unser AES-Schlüssel?
Kurze Antwort: Nein, das ist eine Falle! Die Variable secretKeyScore9000 kommt nirgends im Spiel vor - außer in dieser einen Zeile. Das wäre auch tatsächlich ein bisschen zu einfach gewesen, oder?

Suchen wir ein bisschen weiter, so finden wir folgende Zeile:

if (score >= 30 * 30 * 10) rating = "Key (128-Bit): Username(3480)";

Wie gemein von mir. Da habe ich die 9000 doch glatt als 30 * 30 * 10 dargestellt, damit man nicht so leicht danach suchen kann!
Anstatt den Quellcode zu durchforsten, hätte man auch einfach die Punktzahl zu Beginn des Spiels direkt auf 9000 setzen können, dann hätte man die entsprechende Nachricht bei Ende des Spiels gesehen.

Gut, unser AES-Schlüssel soll nun also Username(3480) sein. Und wer ist der Benutzer mit der ID 3480? Es ist BlueCobold!
Entschlüsseln wir unsere geheime Botschaft also mit dem Schlüssel "BlueCobold". Dazu kann man beispielsweise diese Website benutzen. Wir erhalten folgenden Text:

nunsagsmirschon (RFC 1464)

Und damit geht's beim nächsten Mal weiter.
Zum Abschluss wie immer TGGCs Video: