Universidad de Antioquia. Pregrado en Ingeniería de Sistemas. Seminario de Servicios en Internet. Profesor: Camilo Zapata -

Transcripción

1 Universidad de Antioquia Pregrado en Ingeniería de Sistemas Seminario de Servicios en Internet Profesor: Camilo Zapata - czapata@udea.edu.co Laboratorio Nro 14: Aplicaciones Criptográficas Objetivo: Configurar y observar el proceso de establecimiento de comunicaciones seguras a traves de mecanismso de encripción: SSH y GPG Material de Trabajo 2 routers, 2 cables rollover, 1 cable DCE, 1 cable DTE, 2 PC's de escritorio y 2 servidores Requerimientos: Implemente y configure el siguiente diagrama de Red:

2 Qué es SSH? SSHTM (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas. Recursos ServidorSSH: habilitamos sshd, OS: Knoppix 5.1 Cliente SSH: PuTTY, OS: Ubuntu 7.10 Habilitar SSH en un servidor, observar y analizar todo el proceso de establecimiento de sesión a traves de Wireshark. Qué es GPG? GnuPG es una herramienta de seguridad en comunicaciones electrónicas. Este sesion es una guía rápida que cubre las funciones básicas de GnuPG. Estas funciones incluyen generar un par de claves, intercambiar y comprobar la autenticidad de claves, cifrar y descifrar documentos. Cómo se generan un par de claves? Para generar un par de claves se utiliza el comando gpg con la opcion --gen-key [root@localhost ~]# gpg --gen-key gpg (GnuPG) 1.4.7; Copyright (C) 2006 Free Software Foundation, Inc. This program comes with ABSOLUTELY NO WARRANTY. This is free software, and you are welcome to redistribute it under certain conditions. See the file COPYING for details. gpg: directorio `/root/.gnupg' creado gpg: creado un nuevo fichero de configuración `/root/.gnupg/gpg.conf' gpg: AVISO: las opciones en `/root/.gnupg/gpg.conf' no están aún activas en esta ejecución gpg: anillo `/root/.gnupg/secring.gpg' creado gpg: anillo `/root/.gnupg/pubring.gpg' creado Por favor seleccione tipo de clave deseado: (1) DSA y ElGamal (por defecto) (2) DSA (sólo firmar) (5) RSA (sólo firmar) Su elección: Hay que escoger un tamaño para la clave:

3 El par de claves DSA tendrá 1024 bits. las claves ELG-E pueden tener entre 1024 y 4096 bits de longitud. De qué tamaño quiere la clave? (2048) 1024 Hay que escoger la fecha de caducidad: Por favor, especifique el período de validez de la clave. 0 = la clave nunca caduca <n> = la clave caduca en n días <n>w = la clave caduca en n semanas <n>m = la clave caduca en n meses <n>y = la clave caduca en n años Validez de la clave (0)? 0 La clave nunca caduca Es correcto? (s/n) s Se debe crear además un identificador de usuario (ID). Este ID se utiliza para asociar la clave que se está creando con un usuario real Necesita un identificador de usuario para identificar su clave. El programa construye el identificador a partir del Nombre Real, Comentario y Dirección de Correo Electrónico de esta forma: "Heinrich Heine (Der Dichter) <heinrichh@duesseldorf.de>" Nombre y apellidos: Luz Gonzalez Dirección de correo electrónico: lgonza27@udea.edu.co Comentario: casa Ha seleccionado este ID de usuario: "Luz Gonzalez (casa) <lgonza27@udea.edu.co>" Cambia (N)ombre, (C)omentario, (D)irección o (V)ale/(S)alir? V GnuPG necesita una contraseña para proteger las claves del usuario Necesita una frase contraseña para proteger su clave secreta. Después de esto se generan las claves: gpg: /root/.gnupg/trustdb.gpg: se ha creado base de datos de confianza gpg: clave 50F9CF50 marcada como de confianza absoluta claves pública y secreta creadas y firmadas. gpg: comprobando base de datos de confianza gpg: 3 dudosa(s) necesarias, 1 completa(s) necesarias, modelo de confianza PGP gpg: nivel: 0 validez: 1 firmada: 0 confianza: 0-, 0q, 0n, 0m, 0f, 1u Huella de clave = 1AED A8C2 B55E 5F0A 18C7 9D6E 7534 CF33 50F9 CF50

4 uid Luz Gonzalez (casa) Para listar las claves se utiliza la opción --list-keys ~]# gpg --list-keys /root/.gnupg/pubring.gpg uid Luz Gonzalez (casa) Cómo exportar una clave? Para exportar la clave se utiliza la opción --export ~]# gpg --armor --output luzakey.asc --export La opción --armor es para obligar a que la salida sea en formato armadura-ascii, y no en binario, que es el formato por defecto. Cómo importar una clave? Para importar una clave publica se utiliza la opción --import [root@localhost ~]# gpg --import camilo.asc A lo cual el sistema contestara que dicha operación fue exitosa: gpg: clave A70CA3D5: clave pública "camilo (miclave) <czapata1@eafit.edu.co>" importada gpg: Cantidad total procesada: 1 gpg: importadas: 1 Si volvemos a listar las claves, tendremos: [root@localhost ~]# gpg --list-keys /root/.gnupg/pubring.gpg uid Luz Gonzalez (casa) <lgonza27@eafit.edu.co> pub 1024D/A70CA3D uid camilo (miclave) <czapata1@eafit.edu.co>

5 sub 1024g/3A577C Cifrando y descifando documentos: Para cifrar se utiliza la opción --encrypt, lo haremos utilizando la clave publica de Camilo, con lo cual obtenemos confidencialidad. La opción --output se utiliza para especificar la salida, en este caso es doccamilo.gpg. La opción --recipient se utiliza para especificar la clave publica con la que cifraremos el mensaje, en este caso es la de Camilo, y finalmente el documento que queremos cifrar, en este caso DocCamilo. [root@localhost ~]# gpg --output doccamilo.gpg --encrypt --recipient czapata1@eafit.edu.co DocCamilo El sistema nos da una advertencia gpg: 3A577C54: No hay seguridad de que esta clave pertenezca realmente al usuario que se nombra pub 1024g/3A577C camilo (miclave) <czapata1@eafit.edu.co> Huella de clave primaria: 71E6 7F8F A4 1BE7 93CC F A70C A3D5 Huella de subclave: EABB AB86 1FD3 B3F6 B75B F302 F17D B0FA 3A57 7C54 No es seguro que la clave pertenezca a la persona que se nombra en el identificador de usuario. Si *realmente* sabe lo que está haciendo, puede contestar sí a la siguiente pregunta. Usar esta clave de todas formas? (s/n) s Para desencriptar un mensaje se utiliza la opción --decrypt [root@localhost ~]# gpg --output doc --decrypt doc.gpg Necesita una frase contraseña para desbloquear la clave secreta del usuario: "Luz Gonzalez (casa) <lgonza27@eafit.edu.co>" clave ELG-E de 1024 bits, ID C1387A33, creada el (ID de clave primaria 50F9CF50) gpg: cifrado con clave ELG-E de 1024 bits, ID C1387A33, creada el "Luz Gonzalez (casa) <lgonza27@udea.edu.co>"