Os exercícios desta prática devem ser executados no servidor espec.

Transcrição

1 Criptografia com Open SSL OpenSSL é um toolkit que implementa o Secure Sockets Layer (SSL v2/v3) e o Transport Layer Security (TLS v1). Além de fornecer uma biblioteca em C para suportar o desenvolvimento de aplicações que utilizam o SSL, o toolkit inclui um utilitário de comando de linha que permite: 1. Criar chaves RSA, DH e DSA 2. Criar certificados X.509 certificates, CSRs e CRLs 3. Calcular Message Digests 4. Criptografar e Descriptografar com Algorítmos 5. Um cliente e um servidor genérico para testar SSL/TLS 6. Manipular assinado e criptgrafadoc com S/MIME Os exercícios desta prática devem ser executados no servidor espec. Criptografia Simétrica Base64: Algoritmos suportados: base64, blowfish (bf, bf-cbc, bf-ecb), des, des3, idea, rc2, rc4, rc5. openssl [enc] ciphername [-in filename] [-out filename] [-d] [-a] [-K key] [-iv IV] [-p] [-P] Base64 não criptografa, apenas codifica, por isso não precisa de chave. - d implica em descriptgrafia openssl [enc] base64 -in teste.txt -out teste.b64 openssl [enc] base64 -d -in teste.b64 -out teste.txt 3DES: 3DES utiliza 4 chaves de 56 bits calculadas a partir de um password -salt é um argumento para melhorar o processo de geração de chave -a implica em codificação base64 após a criptografia ou descriptografia openssl des3 -a -salt -in teste.txt -out teste.des3 openssl des3 -a -d -salt -in teste.des3 -out teste.res RC4: rc4-40 é uma antiga versão para exportação com chave de 40 bits, do algoritmo rc4 openssl rc4-40 -a -in teste.txt -out teste.rc4 -K iv 01 openssl rc4-40 -d -a -in teste.rc4 -out teste.txt -K iv 01 Exercício 1: Crie o arquivo teste.txt usando o editor de texto com uma frase de sua escolha. Em seguida, execute todos os comandos do exemplo acima para este arquivo,

2 para observar o funcionamento dos algoritmos. Relatório - Parte 1: Inclua no seu relatório o arquivo teste.rc4, gerado com o algoritmo RC4. Criptografia Assimétrica gera a chave: openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [- f4] [-3] [-rand file(s)] [-engine id] [numbits] processa a chave gerada: openssl rsa [-inform PEM NET DER] [-outform PEM NET DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-sgckey] [-des] [-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout] [-engine id] utiliza a chave gerada: openssl rsautl [-in file] [-out file] [-inkey file] [-pubin] [-certin] [-sign] [-verify] [-encrypt] [-decrypt] [-pkcs] [-ssl] [-raw] [-hexdump] [- asn1parse] Geração: Gera um part de chaves RSA de 512 bits (default) openssl genrsa out key.pem Gera um part de chaves RSA de 1024 bits criptografada com DES openssl genrsa -des -out key.pem 1024 Informações: Mosta as informações sobre a chave gerada e extrai a chave pública openssl rsa -in key.pem text openssl rsa in key.pem pubout out pubkey.pem openssl rsa -in key.pem -out keyout.pem // remove o password Criptografa com a Chave Pública e Descriptografa com a Privada Criptografia e openssl rsautl in teste.txt out teste.rsa encrypt pubin inkey Descriptografia: pubkey.pem openssl rsautl in teste.rsa out teste.txt decrypt inkey key.pem Exercício 2: Crie o arquivo teste.txt usando o editor de texto com uma frase de sua escolha. Em seguida, execute todos os comandos de criptografia assimétrica do exemplo acima para este arquivo, para observar o funcionamento dos algoritmos. Relatório - Parte 2: Inclua no seu relatório o arquivo teste.rsa, gerado quando você efetuou a criptografia do arquivo usando a chave pública.

3 Algoritmos de Hashing (Digest) openssl dgst [-md5 -md4 -md2 -sha1 -sha -mdc2 -ripemd160 -dss1] [-c] [-d] [-hex] [-binary] [-out filename] [-sign filename] [-verify filename] [-prverify filename] [-signature filename] [file...] Exemplos : Hashing: Geração do digest sem criptografia openssl dgst md5 teste.txt openssl dgst sha -out teste.digest teste.txt Geração e verificação da assinatura digital (com criptografia) openssl dgst sha1 sign teste.pem out teste.sign teste.txt (teste.pem é a Assinatura chave privada) Digital: openssl dgst sha1 verify pubkey.pem signature teste.sign teste.txt (pubkey.pem é a chave pública) Exercício 3: Execute os exemplos acima e observe o comportamento dos algoritmos de hashing e assinatura digital. Relatório - Parte 3: Inclua no seu relatório o valor do teste.digest obtido com os algorithms md5 e sha (comandos de Hashing). Em seguida, modifique o arquivo teste.txt e repita os comandos. Seu relatório deve ter 4 valores de hashing (os valores obtidos com md5 e sha antes de alterar o arquivo teste.txt e após alterar o arquivo teste.txt) Geração de s Digitais Geração: Gera um CSR: openssl req [-inform PEM DER] [-outform PEM DER] [-in filename] [- passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout] [- verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits] [-newkey dsa:file] [-nodes] [-key filename] [-keyform PEM DER] [-keyout filename] [-[md5 sha1 md2 mdc2]] [-config filename] [-subj arg] [-x509] [-days n] [- set_serial n] [-asn1-kludge] [-newhdr] [-extensions section] [-reqexts section] [-utf8] [-nameopt] [-batch] [-verbose] [-engine id] Gera uma chave privada e uma solicitação de certificado (CSR): openssl genrsa -out key.pem 1024 openssl req -new -key key.pem -out req.pem Idem ao comando acima, mas usando apenas a opção req: openssl req -newkey rsa:1024 -keyout key.pem -out req.pem Visualiza um CSR: Examina uma solicitação de certificado:

4 openssl req -in req.pem -text -verify noout Auto- Gera um certificado de raiz auto assinado: Assinado: openssl req -x509 -newkey rsa:1024 -keyout key.pem -out req.pem Exercício 4: Gere um certificado auto assinado, criando um CSR para um servidor Web de uma empresa fictícia conforme o exemplo acima. Relatório - Parte 4: Inclua no seu relatório o resultado do segundo passo acima (visualizar um CSR) Análise e Assinatura de s X509 Exemplos openssl x509 [-inform DER PEM NET] [-outform DER PEM NET] [- keyform DER PEM] [-CAform DER PEM] [-CAkeyform DER PEM] [-in filename] [-out filename] [-serial] [-hash] [-subject_hash] [-issuer_hash] [-subject] [-issuer] [-nameopt option] [- ] [-startdate] [-enddate] [- purpose] [-dates] [-modulus] [-fingerprint] [-alias] [-noout] [-trustout] [- clrtrust] [-clrreject] [-addtrust arg] [-addreject arg] [-setalias arg] [- days arg] [-set_serial n] [-signkey filename] [-x509toreq] [-req] [-CA filename] [-CAkey filename] [-CAcreateserial] [-CAserial filename] [- text] [-C] [-md2 -md5 -sha1 -mdc2] [-clrext] [-extfile filename] [- extensions section] [-engine id] Informações: Mostra as informações de um certificado: openssl x509 -in cert.pem -noout -text Auto- Assinado: Converte uma solicitação de certificado em um certificado auto-assinado de CA: - o certificado é gerado com o flag CA = TRUE openssl x509 -req -in req.pem -extfile /etc/pki/tls/openssl.cnf -extensions v3_ca -signkey key.pem -out cacert.pem Certicado com CA: de Cliente: Assina uma requisição de certificado utilizando um certificado de CA: - v3_usr adiciona ao certificado alguns campos específicos para usuário -key.pem é a chave privada do CA -openssl.cnf está geralmente em /etc/pki/tls openssl x509 -days 360 -req -in req.pem -extfile /etc/pki/tls/openssl.cnf - extensions usr_cert -CA cacert.pem -CAkey key.pem -CAcreateserial -out meucert.pem Seta um certificado para funcionar como certificado SSL de Cliente openssl x509 -in cert.pem -addtrust clientauth -setalias "Steve's Class 1

5 CA" -out trust.pem Formado do : Converte o formato do certificado para PCSK12: openssl pkcs12 export in cert.pem inkey pkey.pem out cert.p12 name Nome Amigavel Exercício 5: Execute os comandos acima e verifique seu funcionamento. Instale o certificado assinado no passo 1 no navegador Web na sua conta na espec (peça auxílio ao professor para que ele mostre como fazer a instalação). Relatório - Parte 5: Inclua no seu relatório as informações contidas em "meucert.pem", que foi gerado no segundo exemplo dos comandos acima. Observe que para isso você precisará executar o primeiro comando da lista, substituindo cert.pem por "meucert.pem".