PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES...
41
PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES INCORPORACIÓN DE SERVICIOS DE SEGURIDAD EN CORREO ELECTRÓNICO S/MIME
Transcript of PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES...
Luis Mengual ©
PRÁCTICA 1:
OBTENCIÓN DE CERTIFICADOS DIGITALES
INCORPORACIÓN DE SERVICIOS DE SEGURIDAD EN CORREO ELECTRÓNICO S/MIME
- 1 -
Luis Mengual ©
1. Objetivos Generales
• Estudio del proceso completo de Obtención de Certificados de Clave Publica
• Incorporación de servicios de seguridad en la aplicación de Correo electrónico
2. Objetivos específicos
El alumno será capaz en el transcurso de la práctica de
• Generar en un sistema informático un par de claves publica/privada RSA de longitud deseada (1024/2048/4096)
• Crear una solicitud de certificado (Certificate Signing Request, CSR).
• Enviar la CSR a una Autoridad de Certificación (CA, (Certification Authority) con conexión segura TCP/SSL.
• Obtener del certificado de usuario firmado por la CA
• Crear de mensajes de correo electrónico confidenciales y autenticados
3. Metodología
El alumno dispondrá de un software “Sistema de Generación de Certificados(V63)” compuesto de dos módulos (dos ejecutables): “cliente.exe” y “CA.exe” desarrollados con librerías de OpenSSL.
El ejecutable “CA.exe” es el código de una Autoridad de Certificación y “Cliente.exe” es el código de un cliente que solicita un certificado firmado por la Autoridad de Certificación
En un sistema informático arrancará el servicio proporcionado por la CA. En el mismo sistema informático arrancará la aplicación cliente que le guiara en el proceso de obtención de certificados. El alumno deberá construir un certificado que contenga una dirección de correo válida del alumno.
- 2 -
Luis Mengual ©
Durante este proceso el alumno obtendrá los siguientes ficheros: la clave privada del usuario, fichero “privkey_user.pem”, el fichero “req.pem” conteniendo la solicitud de certificado, fichero “server.cer” conteniendo la clave publica de la CA y, finalmente, el certificado de usuario firmado por la CA en el fichero “cert_user.pem”. Adicionalmente el sistema generará automáticamente un fichero “cert_user.p12” que contiene el certificado de usuario y la clave privada juntos protegidos por la clave “ppppp”. Todos estos ficheros deberán entregarse como parte de la documentación.
Con el certificado de usuario generado por el sistema, el alumno deberá construir mensajes firmados y cifrados con otros alumnos.
4. Contenidos
4.1 Proceso de generación de Certificados
El software “Sistema de Generacion de Certificados (v63)” se compone de dos módulos (dos ejecutables): “cliente.exe” y “CA.exe” desarrollados con librerías de OpenSSL
El software del cliente ejecuta las siguientes acciones:
FASE 1: Generación de claves:
Utilizando las librerías de OpenSSL el cliente genera un par de claves RSA de longitud establecida por el usuario. La clave privad del usuario es almacenada en el fichero “privkey_user.pem”
FASE 2: Generación de una petición de Certificado....... :
El cliente genera una solicitud de certificado (Certificate Signing Request, CSR). Para la construcción de esta petición el cliente introducirá la información que desea que contenga el certificado. Entre estas informaciones introducirá la dirección de correo electrónico, país, organización, y otros.
El código de la aplicación incorpora a la petición la clave pública del cliente generada en la Fase 1 y genera el fichero “req.pem”
Esta petición se enviará en una fase posterior a la CA, para que ella construya un certificado. Este certificado llevará la firma de la CA
En definitiva, en esta fase el cliente genera un certificado auto-firmado.
FASE 3: Envío Fichero con Petición CSR.......
- 3 -
Luis Mengual ©
El cliente establece en esta fase una conexión TCP/SSL con el servidor. El protocolo SSL es implementado con las librerías OpenSSL. El código del cliente recoge y almacena en el fichero “server.cer” el certificado de la CA, utilizado para la conexión SSL.
En esta fase, el cliente envía a la CA (Certification Authority), la solicitud de certificado (Certificate Signing Request, CSR) creada en la fase anterior.Esta petición (CSR) se envía utilizando los mecanismos de seguridad proporcionados por SSL.
FASE 4: Recepción del certificado de usuario firmado por la CA.......
El cliente recibe en esta fase su certificado en respuesta a la petición realizada. El cliente almacena el certificado en el fichero “cert_user.pem”.
Adicionalmente el código del cliente genera el fichero “cert_user.p12” que contiene el certificado de clave publica del usuario y su clave privada (contenida en el fichero “privkey_user.pem”) protegida por la clave “ppppp”
El ejecutable “Ca.exe” es básicamente un servidor iterativo TCP/SSL. La funcionalidad SSL está incorporada a través de las librerías de OpenSSL. La autoridad de Certificación espera recibir una petición CSR de un cliente. Una vez recibida crea un certificado firmado por ella y se lo envía al cliente.
A continuación la Autoridad de Certificación espera recibir otra petición.
4.2 Logs del Proceso de generación de Certificados
En el Anexo 1se incluye los log del proceso
4.3 Servicio de correo
En el Anexo 2 se describe como construir mensajes confidenciales y autenticados con un cliente de correo (Microsoft Outlook 2003)
4.4 Enlace Descarga Software
http://pegaso.ls.fi.upm.es/~lmengual/ARQ_REDES/PRACT_ARQ.html
- 4 -
Luis Mengual ©
5. Entrega de la Práctica
La práctica se realizará en grupos de 2 alumnos. El grupo de 2 alumnos deberá entregar en un CD:
1. Memoria de la práctica, describiendo el desarrollo de la práctica (metodología, problemas encontrados, etc).
2. Todos los ficheros generados por el ejecutable del cliente del cliente de los dos alumnos: En concreto: fichero “privkey_user.pem”, el fichero “req.pem”, fichero “server.cer”, fichero “cert_user.pem” y el fichero “cert_user.p12”.
3. Las capturas en pantalla (formato jpeg) de tres mensajes intercambiados con otros alumnos utilizando el certificado obtenido anteriormente: 1 mensaje FIRMADO enviado a otro alumno; 1 mensaje CIFRADO enviado a otro alumno y, finalmente, 1 mensaje CIFRADO Y FIRMADO a la vez a otro alumno.
- 5 -
Luis Mengual ©
Anexo 1:
LOGS PROCESO OBTENCIÓN CERTIFICADO DIGITAL
- 6 -
FICHERO_LOGS_18nov09.txtPROCESO DE GENERACION DE UNA PETICION DE CERTIFICADO........
FASE 1: GENERACION DE CLAVES........
...Claves RSA generadas de 4096 bits
* SE IMPRIME CLAVE PRIVADA: Fichero 'privkey_user.pem'
FASE 2: GENERACION DE UNA PETICION DE CERTIFICADO.......
INTRODUCIR DATOS PETICION DE CERTIFICADO<Certificate Signing Request, CSR>: ........
<Intoducir los datos sin espacios en blanco>:
Correo Electronico <EmailAdress>: [email protected]: Espa�astateOrProvinceName: MadridlocalityName: BoadillaorganizationName: FIMorganizationalUnitName: UPM
GENERADA PETICION !!!!....... req.pem
IP: 127.0.0.1 PTO: 5000 CONEXION ESTABLECIDA CON EL SERVIDOR..........
<---------- CERTIFICADO SSL RECIBIDO DEL SERVIDOR:
DATOS DEL CERTIFICADO DEL SERVIDOR: --------------------------------------------------VERSION : SSLv3SERIAL: 00 FE 31 61 89 EE B1 44 CCISSUER: /C=es/ST=ma/O=FIM/OU=UPM/CN=LMENGUAL/[email protected] DESDE: 21/11/2008 14:22:28VALIDO HASTA: 16/11/2028 14:22:28CLAVE PUBLICA: 30 82 02 22 30 D 06 09 2A 86 48 86 F7 D 01 01 01 0500 03 82 02 F 00 30 82 02 A 02 82 02 01 00 B0 A9 06 C9 54 D5 F9 A004 A2 13 41 DD 96 3D 5F 63 33 45 43 42 5A 2F CD 54 78 83 D8 93 8C 5A C CD 19 6C AC F4 38 72 24 F8 CC 42 9A 79 12 B2 74 C3 23 84 2C 95 45 30 DB 46 2B 74 13 81 5D 4D D8 87 4F C9 A0 96 9B BF 87 38 87 C1 BE F9 03 E 70 F2 AF AF 58 B9 F0 10 46 CB A2 9A 70 86 7E 17 9C 33 76 53 3A 04 B1 A4 4A F0 C7 37 3A 8F 1D E4 DD 77 A6 21 7F B7 FD 1B 61 59 E7 36 80 B8 AD E 27 84 D7 5D 4F 1D 77 A7 68 1E F7 D0 04 B5 91 9D 12 93 D8 7F C0 37 24 F9 2D D0 92 BF 7D 14 16 04 B2 4F 05
Página 1
FICHERO_LOGS_18nov09.txt11 4C 94 F7 F3 DF B1 BA 3D 9D 01 04 B8 65 74 B8 FD 5E 4B 35 70 40 96 13 E8 E4 28 6A 35 B8 5F 4F 68 56 39 28 3B 22 D5 12 5A 7F 82 CB 73 9F DF FD 6C 77 FB C2 9C BB C9 56 E8 3A E8 C3 BC F9 6C 2B 6B B5 87 D3 2D E7 1C C8 7A A7 F5 AF 2F F3 E2 55 1B 97 5C 11 64 C1 D5 BB B4 26 91 32 B5 D0 F6 5C 64 4F 92 7E 61 92 E1 6A 2C 1C F3 91 A9 37 88 1B 14 D1 4D D 23 8D 62 02 F3 EE F1 BD 58 99 B8 D6 39 63 E0 AA CC 8A F7 E1 8E 50 1F 5A B9 75 3F 17 12 08 9F B0 20 B 91 6B 5B C0 B8 96 AC 29 8C 46 2D 15 72 AA FD F4 ED 4D D7 74 74 6B 74 38 DF 36 99 E5 3C 50 A9 95 11 8D A3 8B D8 6C B2 E2 F8 48 17 F2 C2 D5 67 4E CE 95 CB 92 EB D B2 15 E9 DF E3 15 38 88 35 51 D 27 24 AC CC 94 48E2 F5 07 E1 37 80 3B 88 DF F1 CD A4 2D 86 8A C 17 C1 C4 F4 7C E0 B2 9D A 67 CD 98 2A 4B C9 57 42 8F CD A 00 14 30 97 82 83 23 E1 245F 22 A3 76 B5 37 90 12 9D 33 55 05 5D D6 9B 92 42 20 65 A B9 12 7C 1A 61 A1 80 06 F4 B3 8E A2 A4 8F BC A 97 35 4B B0 28 A8 D1 EE 76 CE FD AD E8 19 C2 92 F6 6F 6B F1 A9 5A 3F F7 CC BF B7 24 7E 09 4F 98 5C 72 10 D 18 49 AE 53 CF E E2 C6 B8 A 68 9D 02 03 01 00 01SKID: 14 CD 49 A7 B2 68 BD 63 98 72 05 F2 EA 40 8C F7 4E 01 67 B1HUELLA DIGITAL: C6 69 E6 1E 7A F2 12 64 05 6E A4 DC 54 56 C2 06 93BF D9 34ALGORITMO CIFRADO: AES256-SHA--------------------------------------------------
FASE 3: ENVIO FICHERO CON PETICION CSR.......
-----------------> Envio por SSLwrite longitud fichero req.pem: 1857
-----------------> Envio por SSLwrite fichero req.pem
LONGITUD PETICION CERTIFICADO : 1857PETICION USUARIO :-----BEGIN CERTIFICATE REQUEST-----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
Página 2
FICHERO_LOGS_18nov09.txtl662IVyvTacYk0/z68V8AJiLJ/3R23S7xuHginzL6p6sjuUFniEb1CbGfz2eTdkF6YbFxBYalcIugo1zR+wjDwdIFPlU36zTmVu6AX+eQFStyDcfOB6aM+kf+ulknjpYDh2K+fy6gwabv2lbe8zCTMNwK2dQDreWzZiixbw7RYmMDWQHar6aQa3KBGm7GdqDTdfE0RaxnUKqDxoeiurWC3blMljosyEYj145w5nItmc4Y8ACGuSu/uKEaSvhsNImN+uFtWUrMUMQgHF5H54X6WfB3UyS6g==-----END CERTIFICATE REQUEST-----
FASE 4: RECIBIDO FICHERO CERTIFICADO DE USUARIO FIRMADO POR CA.......
<----------------- Recibimos SSLwrite longitud de certificado deusuario: 1995
<----------------- Recibimos por SSLwrite certificado de usuariofirmado poR CA 1857LONGITUD CERTIFICADO: 1995CERTIFICADO USUARIO:-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
GENERADA FICHERO cert_user.pem !!!!.......
Página 3
FICHERO_LOGS_18nov09.txt
imprimo el certificado p.12 !!
Página 4
Luis Mengual ©
- 7 -
Anexo 2:
INCORPORACIÓN DE SERVICIOS DE SEGURIDAD EN CORREO ELECTRONICO S/MIME
LUIS MENGUAL (c)
Instalación Certificado UsuarioAlmacén Sistema (I)
LUIS MENGUAL (c)
Instalación Certificado Usuario Almacén Sistema (II)
LUIS MENGUAL (c)
Instalación Certificado Usuario Almacén Sistema (III)
“ppppp”
LUIS MENGUAL (c)
Instalación Certificado UsuarioAlmacén Sistema (IV)
LUIS MENGUAL (c)
Instalación Certificado de Usuario Almacén Sistema (V)
LUIS MENGUAL (c)
Instalación Certificado de Usuario Almacén Sistema (VI)
LUIS MENGUAL (c)
Instalación Certificado de UsuarioAlmacén Sistema (VII)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (I)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (II)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (III)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (IV)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (V)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (VI)
LUIS MENGUAL (c)
Instalación Certificado CAAlmacén Sistema (VII)
LUIS MENGUAL (c)
Servicios de SeguridadCorreo Electrónico
MSG
+[H(MSG)] KPrA+
Cert. A
KPrA: Clave Privada A KPuB: Clave Pública B
[ Ks ] KPubB+
Cert. A
CIFRADO
MSG
+[H(MSG)] KPrA
+
+
MSG
CIFRADO
[ Ks ] KPubB
ConfidencialidadAutenticaciónConfidencialidad +
Autenticación
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (I)
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (II)
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (III)
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (IV)
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (V)
LUIS MENGUAL (c)
Cliente Correo Outlook 2003 (VI)
LUIS MENGUAL (c)
Correo SeguroConfiguración certificados
LUIS MENGUAL (c)
Correo SeguroMecanismo Firma (I)
LUIS MENGUAL (c)
Correo SeguroMecanismo Firma (II)
LUIS MENGUAL (c)
Correo SeguroMecanismo Firma (III)
LUIS MENGUAL (c)
Correo SeguroMecanismo Cifrado Simétrico (I)
LUIS MENGUAL (c)
Correo SeguroMecanismo Cifrado Simétrico (II)
LUIS MENGUAL (c)
Correo SeguroMecanismo Cifrado Simétrico (II)
LUIS MENGUAL (c)
Correo SeguroMecanismos Firma+Cifrado Simétrico (I)
LUIS MENGUAL (c)
Correo SeguroMecanismos Firma+Cifrado Simétrico (II)
