PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES

Transcripción

1 Luis Mengual PRÁCTICA 1: OBTENCIÓN DE CERTIFICADOS DIGITALES INCORPORACIÓN DE SERVICIOS DE SEGURIDAD EN CORREO ELECTRÓNICO S/MIME - 1 -

2 Luis Mengual 1. Objetivos Generales Estudio del proceso completo de Obtención de Certificados de Clave Publica Incorporación de servicios de seguridad en la aplicación de Correo electrónico 2. Objetivos específicos El alumno será capaz en el transcurso de la práctica de Generar en un sistema informático un par de claves publica/privada RSA de longitud deseada (1024/2048/4096) Crear una solicitud de certificado (Certificate Signing Request, CSR). Enviar la CSR a una Autoridad de Certificación (CA, (Certification Authority) con conexión segura TCP/SSL. Obtener del certificado de usuario firmado por la CA Crear de mensajes de correo electrónico confidenciales y autenticados 3. Metodología El alumno dispondrá de un software Sistema de Generación de Certificados(V63) compuesto de dos módulos (dos ejecutables): cliente.exe y CA.exe desarrollados con librerías de OpenSSL. El ejecutable CA.exe es el código de una Autoridad de Certificación y Cliente.exe es el código de un cliente que solicita un certificado firmado por la Autoridad de Certificación En un sistema informático arrancará el servicio proporcionado por la CA. En el mismo sistema informático arrancará la aplicación cliente que le guiara en el proceso de obtención de certificados. El alumno deberá construir un certificado que contenga una dirección de correo válida del alumno

3 Luis Mengual Durante este proceso el alumno obtendrá los siguientes ficheros: la clave privada del usuario, fichero privkey_user.pem, el fichero req.pem conteniendo la solicitud de certificado, fichero server.cer conteniendo la clave publica de la CA y, finalmente, el certificado de usuario firmado por la CA en el fichero cert_user.pem. Adicionalmente el sistema generará automáticamente un fichero cert_user.p12 que contiene el certificado de usuario y la clave privada juntos protegidos por la clave ppppp. Todos estos ficheros deberán entregarse como parte de la documentación. Con el certificado de usuario generado por el sistema, el alumno deberá construir mensajes firmados y cifrados con otros alumnos. 4. Contenidos 4.1 Proceso de generación de Certificados El software Sistema de Generacion de Certificados (v63) se compone de dos módulos (dos ejecutables): cliente.exe y CA.exe desarrollados con librerías de OpenSSL El software del cliente ejecuta las siguientes acciones: FASE 1: Generación de claves: Utilizando las librerías de OpenSSL el cliente genera un par de claves RSA de longitud establecida por el usuario. La clave privad del usuario es almacenada en el fichero privkey_user.pem FASE 2: Generación de una petición de Certificado... : El cliente genera una solicitud de certificado (Certificate Signing Request, CSR). Para la construcción de esta petición el cliente introducirá la información que desea que contenga el certificado. Entre estas informaciones introducirá la dirección de correo electrónico, país, organización, y otros. El código de la aplicación incorpora a la petición la clave pública del cliente generada en la Fase 1 y genera el fichero req.pem Esta petición se enviará en una fase posterior a la CA, para que ella construya un certificado. Este certificado llevará la firma de la CA En definitiva, en esta fase el cliente genera un certificado auto-firmado. FASE 3: Envío Fichero con Petición CSR

4 Luis Mengual El cliente establece en esta fase una conexión TCP/SSL con el servidor. El protocolo SSL es implementado con las librerías OpenSSL. El código del cliente recoge y almacena en el fichero server.cer el certificado de la CA, utilizado para la conexión SSL. En esta fase, el cliente envía a la CA (Certification Authority), la solicitud de certificado (Certificate Signing Request, CSR) creada en la fase anterior.esta petición (CSR) se envía utilizando los mecanismos de seguridad proporcionados por SSL. FASE 4: Recepción del certificado de usuario firmado por la CA... El cliente recibe en esta fase su certificado en respuesta a la petición realizada. El cliente almacena el certificado en el fichero cert_user.pem. Adicionalmente el código del cliente genera el fichero cert_user.p12 que contiene el certificado de clave publica del usuario y su clave privada (contenida en el fichero privkey_user.pem ) protegida por la clave ppppp El ejecutable Ca.exe es básicamente un servidor iterativo TCP/SSL. La funcionalidad SSL está incorporada a través de las librerías de OpenSSL. La autoridad de Certificación espera recibir una petición CSR de un cliente. Una vez recibida crea un certificado firmado por ella y se lo envía al cliente. A continuación la Autoridad de Certificación espera recibir otra petición. 4.2 Logs del Proceso de generación de Certificados En el Anexo 1se incluye los log del proceso 4.3 Servicio de correo En el Anexo 2 se describe como construir mensajes confidenciales y autenticados con un cliente de correo (Microsoft Outlook 2003) 4.4 Enlace Descarga Software

5 Luis Mengual 5. Entrega de la Práctica La práctica se realizará en grupos de 2 alumnos. El grupo de 2 alumnos deberá entregar en un CD: 1. Memoria de la práctica, describiendo el desarrollo de la práctica (metodología, problemas encontrados, etc). 2. Todos los ficheros generados por el ejecutable del cliente del cliente de los dos alumnos: En concreto: fichero privkey_user.pem, el fichero req.pem, fichero server.cer, fichero cert_user.pem y el fichero cert_user.p Las capturas en pantalla (formato jpeg) de tres mensajes intercambiados con otros alumnos utilizando el certificado obtenido anteriormente: 1 mensaje FIRMADO enviado a otro alumno; 1 mensaje CIFRADO enviado a otro alumno y, finalmente, 1 mensaje CIFRADO Y FIRMADO a la vez a otro alumno

6 Luis Mengual Anexo 1: LOGS PROCESO OBTENCIÓN CERTIFICADO DIGITAL - 6 -

7 FICHERO_LOGS_18nov09.txt PROCESO DE GENERACION DE UNA PETICION DE CERTIFICADO... FASE 1: GENERACION DE CLAVES......Claves RSA generadas de 4096 bits * SE IMPRIME CLAVE PRIVADA: Fichero 'privkey_user.pem' FASE 2: GENERACION DE UNA PETICION DE CERTIFICADO... INTRODUCIR DATOS PETICION DE CERTIFICADO <Certificate Signing Request, CSR>:... <Intoducir los datos sin espacios en blanco>: Correo Electronico < Adress>: alumno1@alumnos.fi.upm.es countryname: Espaa stateorprovincename: Madrid localityname: Boadilla organizationname: FIM organizationalunitname: UPM GENERADA PETICION!!!!... req.pem IP: PTO: 5000 CONEXION ESTABLECIDA CON EL SERVIDOR... < CERTIFICADO SSL RECIBIDO DEL SERVIDOR: DATOS DEL CERTIFICADO DEL SERVIDOR: VERSION : SSLv3 SERIAL: 00 FE EE B1 44 CC ISSUER: /C=es/ST=ma/O=FIM/OU=UPM/CN=LMENGUAL/ Address=lmengual@fi.upm. es VALIDO DESDE: 21/11/ :22:28 VALIDO HASTA: 16/11/ :22:28 CLAVE PUBLICA: D A F7 D F A B0 A9 06 C9 54 D5 F9 A0 04 A DD 96 3D 5F A 2F CD D8 93 8C 5A C CD 19 6C AC F F8 CC 42 9A B2 74 C C DB 46 2B D 4D D8 87 4F C9 A0 96 9B BF C1 BE F9 03 E 70 F2 AF AF 58 B9 F CB A2 9A E 17 9C A 04 B1 A4 4A F0 C7 37 3A 8F 1D E4 DD 77 A6 21 7F B7 FD 1B E B8 AD E D7 5D 4F 1D 77 A7 68 1E F7 D0 04 B5 91 9D D8 7F C F9 2D D0 92 BF 7D B2 4F 05 Página 1

8 FICHERO_LOGS_18nov09.txt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nvio por SSLwrite longitud fichero req.pem: > Envio por SSLwrite fichero req.pem LONGITUD PETICION CERTIFICADO : 1857 PETICION USUARIO : -----BEGIN CERTIFICATE REQUEST----- MIIFIjCCAwoCADCBizELMAkGA1UEBhMCRVMxGjAYBgNVBAMUEWFsdW1ubzFAZmku dxbtlmvzmsawhgyjkozihvcnaqkbfhfhbhvtbm8xqgzplnvwbs5lczepma0ga1ue CBMGTWFkcmlkMREwDwYDVQQHEwhCb2FkaWxsYTEMMAoGA1UEChMDRklNMQwwCgYD VQQLEwNVUE0wggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQDQR2uV8/kf /GiFLph2ps29+8gVI35M/v0exkdITIcA+csT5m8Paw/FCbrKSly1dZ1KfFccQM+h QVd6KTh9x+4z0MrtqcAl6U0KStRKuHxB9UgQNozeWX46lTQhoeki3Zis1yTnpvjt zlgjbok8z20w/nxpozqi7govdmyp+svoiusaskvfgawwhbavcnqqu4zt0wigh4pg kd0yztcquxk1ro/gjsumiz0bwgklhp5mpmlaofyxkbqdtjtzwvelsbaskwcqosr0 DTW6C5tHmaHJEQ2sAdBXvUntDR3dyrCp4rH0qDWQ2N5W3gQ65o+Ddri9i28prAcb k4luyp6dw+0l71wfrtjtbxsanbf9x33kzhmv7nzro+wdrwusmuvwwnqbd/sxzkjo mt7pguni208sarnbkrpco08gb9flz3nkp30yseerqps4uauvmszgd4gegmez7ik9 OK1lh2bnloMI9Wtp2+gsvj8F7DdXYaiMRfSQNez9gcf96Z003RVPcX9aOj2DuMPC 4foEei9Blzo4Eo8X+bGZQsdBUWvwadDxGjw9SFxKh4cLUfpPwX5jWLAOfei8T5CT 5XDAFI1nACv9ysyqFA6aAfY5+/7HKwu4Cs5rT2cXXeNwa66eE6+7qmkelXSrcvYi KCzwkbNOakB4UiyD6Hxorj+iMMH6QhtSuwIDAQABoFIwUAYJKoZIhvcNAQkOMUMw QTAOBgNVHQ8BAf8EBAMCBaAwHAYDVR0RBBUwE4ERYWx1bW5vMUBmaS51cG0uZXMw EQYJYIZIAYb4QgEBBAQDAgWgMA0GCSqGSIb3DQEBBQUAA4ICAQCBkurnT5iVyvAx ABUr1PIrsARpiJXEAcPeHVJr+7Axsiex0kpHeytD5/hIgEiBUEzx7V+0t443u3EM Ng/yqbLIv64WxnvxenOYmtm94UkpKVTvcFD9tEFlBxzVvJCAZuGYmd6EuKQfyGJf OaCZc9uempmBBXKVEnlKU+z5S/a54Xe5yvipIfG7nJfY8tOWaOnHt2ZYBR4MQvFU i5teotdpj097sxde6ydq1jgrxakvebijwdwwwrzwe1l5ncb3cw0znf0k0tea9m7i V2F3zAgVyPfw3J8EX/X4eEXyL0LkVyNIfMMtTvye9ZshAVRDIytjCnW1aAHZ8MPf InDtwyfMPz/v1vhZQACMJ4obBYkvxZFXMgO5a5bOFdGRi5TqEWgOkGltn8+Q/qST Página 2

9 FICHERO_LOGS_18nov09.txt l662ivyvtacyk0/z68v8ajilj/3r23s7xuhginzl6p6sjuufnieb1cbgfz2etdkf 6YbFxBYalcIugo1zR+wjDwdIFPlU36zTmVu6AX+eQFStyDcfOB6aM+kf+ulknjpY Dh2K+fy6gwabv2lbe8zCTMNwK2dQDreWzZiixbw7RYmMDWQHar6aQa3KBGm7GdqD TdfE0RaxnUKqDxoeiurWC3blMljosyEYj145w5nItmc4Y8ACGuSu/uKEaSvhsNIm N+uFtWUrMUMQgHF5H54X6WfB3UyS6g== -----END CERTIFICATE REQUEST----- FASE 4: RECIBIDO FICHERO CERTIFICADO DE USUARIO FIRMADO POR CA... < Recibimos SSLwrite longitud de certificado de usuario: 1995 < Recibimos por SSLwrite certificado de usuario firmado por CA 1857 LONGITUD CERTIFICADO: 1995 CERTIFICADO USUARIO: -----BEGIN CERTIFICATE----- MIIFljCCA36gAwIBAgIElxk/QDANBgkqhkiG9w0BAQUFADBsMQswCQYDVQQGEwJl czelmakga1uecbmcbwexddakbgnvbaota0zjttemmaoga1uecxmdvvbnmrewdwyd VQQDEwhMTUVOR1VBTDEhMB8GCSqGSIb3DQEJARYSbG1lbmd1YWxAZmkudXBtLmVz MB4XDTA5MDUwNTE2MDkxMloXDTEwMDUwNTE2MDkxMlowgYsxCzAJBgNVBAYTAkVT MRowGAYDVQQDFBFhbHVtbm8xQGZpLnVwbS5lczEgMB4GCSqGSIb3DQEJARYRYWx1 bw5vmubmas51cg0uzxmxdzanbgnvbagtbk1hzhjpzderma8ga1uebxmiqm9hzgls bgexddakbgnvbaota0zjttemmaoga1uecxmdvvbnmiicijanbgkqhkig9w0baqef AAOCAg8AMIICCgKCAgEA0EdrlfP5H/xohS6YdqbNvfvIFSN+TP79HsZHSEyHAPnL E+ZvD2sPxQm6ykpctXWdSnxXHEDPoUFXeik4fcfuM9DK7anAJelNCkrUSrh8QfVI EDaM3ll+OpU0IaHpIt2YrNck56b47c5YI2zpPM9tFvzVzzs0COxqL3ZsqfrL6IlL GrJFXxmsMIQWlQjUEFOM09Fohh+D4JA9GGU3EFFytazv4I7LpomdG8BipRz+TKZp QKH2FygUA0yU81lRJbAWrJFgkKEq9A01ugubR5mhyRENrAHQV71J7Q0d3cqwqeKx 9Kg1kNjeVt4EOuaPg3a4vYtvKawHG5OC7mD+nVvtJe9cH0bY7QcUmp23/V995M4T Fe5866PsHa8FEjFFVsJ0AXf7MWZCaJrezxrjYttPLGq5wSq6XDtPBgfRZc9zSqd9 MkhHkaj7OLmrlTLMxg+IBIDHs+yJPTitZYdm55aDCPVradvoLL4/Bew3V2GojEX0 kdxs/yhh/emdnn0vt3f/wjo9g7jdwuh6bhovqzc6obkpf/mxmulhqvfr8gnq8ro8 PUhcSoeHC1H6T8F+Y1iwDn3ovE+Qk+VwwBSNZwAr/crMqhQOmgH2Ofv+xysLuArO a09nf13jcguunhovu6pphpv0q3l2iigs8jgztmpaefisg+h8ak4/ojdb+kibursc AwEAAaMgMB4wHAYDVR0RBBUwE4ERYWx1bW5vMUBmaS51cG0uZXMwDQYJKoZIhvcN AQEFBQADggIBAGZcaQCqCyFN20cmNhoZ6FoIqHmpaPrnzZIyOXeNpW0lg9ZO9KK+ hptenkoi5a0khq0j9tmm+zstqhi2otyfnepztfwfllixuqu6g5kpztarwjrnavjm 6spC67fLI/ixoFP33dPtjQZOQnbPTsL9+UaEqGsy81SjdewOQwWoWDG9NX7P/kTo s/hgcqlh0deklcd7n0preavolz3i4qvurzdgu+cnautb+ffp6dah49xmoyh88t2g 74ZGjZB7LMl/OunREKWjHORdKPyGfdocb7hwI0/ZWhZVsxeejX5xC1PQDZ69jL/k bllnahxefb6vd8g2my5rw5tzblmiqmxre7xw0pnvtvid7rfwg7duslaa2/2arlkn WjLnsxdm+eE8/nhZN1BFwybCrbLhML9JnItom9N7R2cAMtY9/13MBrFwKBgXVGDp imvas0oqigkdlm/ng2qlycva/x8vmgumj4m67rxu14ma5/c1pd/gtluy/marfgaj 1qkj4y1utrtWNjukwswEP7nX1V+jk6JtNWIdNvv77JUMk6TsuvbhB1B+ZddU9f79 2e/d3oi/AZsWd5JBEIWo+jlYq2aZayZOy8Nz3giWWabI3nklvn114uW4r9rkYGv1 AXYAjYSPl5a9vVzNRsMbL5HyJDtD1NxP+6SLjz8eBo1CBZF871b9F3bo -----END CERTIFICATE----- GENERADA FICHERO cert_user.pem!!!!... Página 3

10 imprimo el certificado p.12!! FICHERO_LOGS_18nov09.txt Página 4

11 Luis Mengual Anexo 2: INCORPORACIÓN DE SERVICIOS DE SEGURIDAD EN CORREO ELECTRONICO S/MIME - 7 -

12 Instalación Certificado Usuario Almacén Sistema (I)

13 Instalación Certificado Usuario Almacén Sistema (II)

14 Instalación Certificado Usuario Almacén Sistema (III) ppppp

15 Instalación Certificado Usuario Almacén Sistema (IV)

16 Instalación Certificado de Usuario Almacén Sistema (V)

17 Instalación Certificado de Usuario Almacén Sistema (VI)

18 Instalación Certificado de Usuario Almacén Sistema (VII)

19 Instalación Certificado CA Almacén Sistema (I)

20 Instalación Certificado CA Almacén Sistema (II)

21 Instalación Certificado CA Almacén Sistema (III)

22 Instalación Certificado CA Almacén Sistema (IV)

23 Instalación Certificado CA Almacén Sistema (V)

24 Instalación Certificado CA Almacén Sistema (VI)

25 Instalación Certificado CA Almacén Sistema (VII)

26 Servicios de Seguridad Correo Electrónico Autenticación MSG Confidencialidad MSG Confidencialidad + Autenticación MSG CIFRADO CIFRADO + [H(MSG)] K PrA + Cert. A + [ Ks ] K PubB + [H(MSG)] KPrA + [ Ks ] K PubB + Cert. A K PrA: Clave Privada A K PuB: Clave Pública B

27 Cliente Correo Outlook 2003 (I)

28 Cliente Correo Outlook 2003 (II)

29 Cliente Correo Outlook 2003 (III)

30 Cliente Correo Outlook 2003 (IV)

31 Cliente Correo Outlook 2003 (V)

32 Cliente Correo Outlook 2003 (VI)

33 Correo Seguro Configuración certificados

34 Correo Seguro Mecanismo Firma (I)

35 Correo Seguro Mecanismo Firma (II)

36 Correo Seguro Mecanismo Firma (III)

37 Correo Seguro Mecanismo Cifrado Simétrico (I)

38 Correo Seguro Mecanismo Cifrado Simétrico (II)

39 Correo Seguro Mecanismo Cifrado Simétrico (II)

40 Correo Seguro Mecanismos Firma+Cifrado Simétrico (I)

41 Correo Seguro Mecanismos Firma+Cifrado Simétrico (II)