HARLEY Modèle FXS Blackline FLSTF Fat Boy

Exercícios de Criptografia - Edgard Jamhour
Criptografia com Open SSL
OpenSSL é um toolkit que implementa o Secure Sockets Layer (SSL v2/v3) e o
Transport Layer Security (TLS v1).
Além de fornecer uma biblioteca em C para suportar o desenvolvimento de aplicações
que utilizam o SSL, o toolkit inclui um utilitário de comando de linha que permite:
1.
2.
3.
4.
5.
6.
Criar chaves RSA, DH e DSA
Criar certificados X.509 certificates, CSRs e CRLs
Calcular Message Digests
Criptografar e Descriptografar com Algorítmos
Um cliente e um servidor genérico para testar SSL/TLS
Manipular email assinado e criptgrafadoc com S/MIME
Os exercícios desta prática devem ser executados no servidor espec.
Criptografia Simétrica
Algoritmos suportados: base64, blowfish (bf, bf-cbc, bf-ecb), des, des3, idea,
Sintaxe: rc2, rc4, rc5.
openssl [enc] ciphername [-in filename] [-out filename] [-d] [-a] [-K key] [-iv
IV] [-p] [-P]
Exemplos:
Base64 não criptografa, apenas codifica, por isso não precisa de chave.
Base64: - d implica em descriptgrafia
openssl [enc] base64 -in teste.txt -out teste.b64
openssl [enc] base64 -d -in teste.b64 -out teste.txt
3DES utiliza 4 chaves de 56 bits calculadas a partir de um password
-salt é um argumento para melhorar o processo de geração de chave
3DES: -a implica em codificação base64 após a criptografia ou descriptografia
openssl des3 -a -salt -in teste.txt -out teste.des3
openssl des3 -a -d -salt -in teste.des3 -out teste.res
RC4:
rc4-40 é uma antiga versão para exportação com chave de 40 bits, do algoritmo
rc4
openssl rc4-40 -a -in teste.txt -out teste.rc4 -K 0102030405 –iv 01
openssl rc4-40 -d -a -in teste.rc4 -out teste.txt -K 0102030405 –iv 01
Exercício 1: Crie o arquivo teste.txt usando o editor de texto com uma frase de sua
escolha. Em seguida, execute todos os comandos do exemplo acima para este arquivo,
Exercícios de Criptografia - Edgard Jamhour
para observar o funcionamento dos algoritmos.
Relatório - Parte 1: Inclua no seu relatório o arquivo teste.rc4, gerado com o algoritmo
RC4.
Criptografia Assimétrica
gera a chave:
openssl genrsa [-out filename] [-passout arg] [-des] [-des3] [-idea] [f4] [-3] [-rand file(s)] [-engine id] [numbits]
processa a chave gerada:
openssl rsa [-inform PEM|NET|DER] [-outform PEM|NET|DER] [-in
filename] [-passin arg] [-out filename] [-passout arg] [-sgckey] [-des]
Sintaxe:
[-des3] [-idea] [-text] [-noout] [-modulus] [-check] [-pubin] [-pubout]
[-engine id]
utiliza a chave gerada:
openssl rsautl [-in file] [-out file] [-inkey file] [-pubin] [-certin] [-sign]
[-verify] [-encrypt] [-decrypt] [-pkcs] [-ssl] [-raw] [-hexdump] [asn1parse]
Exemplos:
Geração:
Gera um part de chaves RSA de 512 bits (default)
openssl genrsa –out key.pem
Gera um part de chaves RSA de 1024 bits criptografada com DES
openssl genrsa -des -out key.pem 1024
Informações:
Mosta as informações sobre a chave gerada e extrai a chave pública
openssl rsa -in key.pem –text
openssl rsa –in key.pem –pubout –out pubkey.pem
openssl rsa -in key.pem -out keyout.pem // remove o password
Criptografa com a Chave Pública e Descriptografa com a Privada
Criptografia e
openssl rsautl –in teste.txt –out teste.rsa –encrypt –pubin –inkey
Descriptografia:
pubkey.pem
openssl rsautl –in teste.rsa –out teste.txt –decrypt –inkey key.pem
Exercício 2: Crie o arquivo teste.txt usando o editor de texto com uma frase de sua
escolha. Em seguida, execute todos os comandos de criptografia assimétrica do exemplo
acima para este arquivo, para observar o funcionamento dos algoritmos.
Relatório - Parte 2: Inclua no seu relatório o arquivo teste.rsa, gerado quando você
efetuou a criptografia do arquivo usando a chave pública.
Exercícios de Criptografia - Edgard Jamhour
Algoritmos de Hashing (Digest)
Sintaxe:
openssl dgst [-md5|-md4|-md2|-sha1|-sha|-mdc2|-ripemd160|-dss1] [-c] [-d]
[-hex] [-binary] [-out filename] [-sign filename] [-verify filename] [-prverify
filename] [-signature filename] [file...]
Exemplos :
Geração do digest sem criptografia
Hashing: openssl dgst –md5 teste.txt
openssl dgst –sha -out teste.digest teste.txt
Geração e verificação da assinatura digital (com criptografia)
openssl dgst –sha1 –sign teste.pem –out teste.sign teste.txt (teste.pem é a
Assinatura
chave privada)
Digital:
openssl dgst –sha1 –verify pubkey.pem –signature teste.sign teste.txt
(pubkey.pem é a chave pública)
Exercício 3: Execute os exemplos acima e observe o comportamento dos algoritmos de
hashing e assinatura digital.
Relatório - Parte 3: Inclua no seu relatório o valor do teste.digest obtido com os
algorithms md5 e sha (comandos de Hashing). Em seguida, modifique o arquivo
teste.txt e repita os comandos. Seu relatório deve ter 4 valores de hashing (os valores
obtidos com md5 e sha antes de alterar o arquivo teste.txt e após alterar o arquivo
teste.txt)
Geração de Certificados Digitais
Geração:
openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout] [verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits] [-newkey
dsa:file] [-nodes] [-key filename] [-keyform PEM|DER] [-keyout filename]
[-[md5|sha1|md2|mdc2]] [-config filename] [-subj arg] [-x509] [-days n] [set_serial n] [-asn1-kludge] [-newhdr] [-extensions section] [-reqexts
section] [-utf8] [-nameopt] [-batch] [-verbose] [-engine id]
Exemplos:
Gera um
CSR:
Gera uma chave privada e uma solicitação de certificado (CSR):
openssl genrsa -out key.pem 1024
openssl req -new -key key.pem -out req.pem
Idem ao comando acima, mas usando apenas a opção req:
openssl req -newkey rsa:1024 -keyout key.pem -out req.pem
Visualiza
um CSR: Examina uma solicitação de certificado:
Exercícios de Criptografia - Edgard Jamhour
openssl req -in req.pem -text -verify –noout
Certificado
Gera um certificado de raiz auto assinado:
AutoAssinado: openssl req -x509 -newkey rsa:1024 -keyout key.pem -out req.pem
Exercício 4: Gere um certificado auto assinado, criando um CSR para um servidor Web
de uma empresa fictícia conforme o exemplo acima.
Relatório - Parte 4: Inclua no seu relatório o resultado do segundo passo acima
(visualizar um CSR)
Análise e Assinatura de Certificados X509
Sintaxe:
openssl x509 [-inform DER|PEM|NET] [-outform DER|PEM|NET] [keyform DER|PEM] [-CAform DER|PEM] [-CAkeyform DER|PEM] [-in
filename] [-out filename] [-serial] [-hash] [-subject_hash] [-issuer_hash]
[-subject] [-issuer] [-nameopt option] [-email] [-startdate] [-enddate] [purpose] [-dates] [-modulus] [-fingerprint] [-alias] [-noout] [-trustout] [clrtrust] [-clrreject] [-addtrust arg] [-addreject arg] [-setalias arg] [days arg] [-set_serial n] [-signkey filename] [-x509toreq] [-req] [-CA
filename] [-CAkey filename] [-CAcreateserial] [-CAserial filename] [text] [-C] [-md2|-md5|-sha1|-mdc2] [-clrext] [-extfile filename] [extensions section] [-engine id]
Exemplos
Informações: Mostra as informações de um certificado:
openssl x509 -in cert.pem -noout -text
Converte uma solicitação de certificado em um certificado auto-assinado
Certificado de CA:
Auto- o certificado é gerado com o flag CA = TRUE
Assinado: openssl x509 -req -in req.pem -extfile /etc/pki/tls/openssl.cnf -extensions
v3_ca -signkey key.pem -out cacert.pem
Certicado
com CA:
Assina uma requisição de certificado utilizando um certificado de CA:
- v3_usr adiciona ao certificado alguns campos específicos para usuário
-key.pem é a chave privada do CA
-openssl.cnf está geralmente em /etc/pki/tls
openssl x509 -days 360 -req -in req.pem -extfile /etc/pki/tls/openssl.cnf extensions usr_cert -CA cacert.pem -CAkey key.pem -CAcreateserial -out
meucert.pem
Certificado
Seta um certificado para funcionar como certificado SSL de Cliente
de Cliente:
openssl x509 -in cert.pem -addtrust clientAuth -setalias "Steve's Class 1
Exercícios de Criptografia - Edgard Jamhour
CA" -out trust.pem
Formado do Converte o formato do certificado para PCSK12:
Certificado: openssl pkcs12 –export –in cert.pem –inkey pkey.pem –out cert.p12 –name
“Nome Amigavel”
Exercício 5: Execute os comandos acima e verifique seu funcionamento. Instale o
certificado assinado no passo 1 no navegador Web na sua conta na espec (peça auxílio
ao professor para que ele mostre como fazer a instalação).
Relatório - Parte 5: Inclua no seu relatório as informações contidas em "meucert.pem",
que foi gerado no segundo exemplo dos comandos acima. Observe que para isso você
precisará executar o primeiro comando da lista, substituindo cert.pem por
"meucert.pem".