PRÁCTICA 2: FIRMA DIGITAL REMOTA (SELLO DE TIEMPO)

Transcripción

1 PRÁCTICA 2: FIRMA DIGITAL REMOTA (SELLO DE TIEMPO) - 1 -

2 1. Objetivos Generales Obtención de un Ticket Digital firmado de una Autoridad de Certificación (CA, (Certification Authority) remota a través del protocolo SSL Verificación de la firma digital de la CA 2. Objetivos específicos El alumno será capaz en el transcurso de la práctica de Acceder a una CA remota obtener un Certificado Digital y un Ticket Firmado por esa CA que acredite su acceso Probar la validez de la firma de la CA en ese ticket digital 3. Metodología El alumno dispondrá de un software Sistema de Generación de Certificados(V81) y del Sistema de Verificación de Firma (V81). El Sistema de Generación de Certificados(V81) está compuesto de dos módulos (dos ejecutables): cliente.exe y CA.exe desarrollados con librerías de OpenSSL. El ejecutable CA.exe es el código de una Autoridad de Certificación y Cliente.exe es el código de un cliente que solicita un certificado firmado por la Autoridad de Certificación. Este software realiza las mismas funciones que la versión V.63 y una función añadida de firma. Otra diferencia respecto de la versión 63 es que el cliente imprime el certificado del servidor en formato PEM(server.pem). Este fichero será necesario para el ejecutable de Verificación de Firma (v.81). También el cliente de la versión 81 imprime el fichero publickey_user.pem con la clave pública del usuario

3 La función añadida de firma consiste en que la CA genera un ticket. Este ticket es la firma de los campos del certificado pedido por el cliente concatenados con la fecha y hora actuales: El cliente recibe pues dos ficheros: Fichero: datos_firma.txt, que contiene los datos en claro Fichero datos_firmados que el ticket generado por la CA. Con ello el cliente recibe un documento telemático que acredita su petición de certificado. Se distribuye sólo el ejecutable del Cliente ( Cliente.exe ). La Autoridad de Certificación está en una máquina remota cuya dirección IP se proporcionará El resultado de todo el proceso de obtención de un certificado se almacena en el fichero FICHERO_LOGS_XXX.txt con fines docentes. Durante este proceso el alumno podrá obtener los siguientes ficheros: la clave privada del usuario, fichero privkey_user.pem, el fichero req.pem conteniendo la solicitud de certificado, fichero server.cer conteniendo la clave publica de la CA (también generada en formato PEM, server.pem), el fichero publickey_user.pem y, finalmente, el certificado de usuario firmado por la CA en el fichero cert_user.pem. Todo ello junto con los ficheros datos_firma.txt y datos_firmados.txt. El alumno podrá verificar la firma recibida con el Sistema de Verificación de Firma (V81) que tomará como entradas los ficheros datos_firma.txt y datos_firmados.txt y el certificado de la CA en formato PEM ( server.pem ). 4. Contenidos 4.1 Proceso de Generación de Certificados y Verificación Firma El software Sistema de Generación de Certificados (V81) se compone de dos módulos (dos ejecutables): cliente.exe y CA.exe desarrollados con librerías de OpenSSL El software del cliente ejecuta las siguientes acciones: FASE 1: Generación de claves: - 3 -

4 Utilizando las librerías de OpenSSL el cliente genera un par de claves RSA de longitud establecida por el usuario. La clave privad del usuario es almacenada en el fichero privkey_user.pem FASE 2: Generación de una petición de Certificado... : El cliente genera una solicitud de certificado (Certificate Signing Request, CSR). Para la construcción de esta petición el cliente introducirá la información que desea que contenga el certificado. Entre estas informaciones introducirá la dirección de correo electrónico, país, organización, y otros. El código de la aplicación incorpora a la petición la clave pública del cliente generada en la Fase 1 y genera el fichero req.pem Esta petición se enviará en una fase posterior a la CA, para que ella construya un certificado. Este certificado llevará la firma de la CA En definitiva, en esta fase el cliente genera un certificado auto-firmado. FASE 3: Envío Fichero con Petición CSR... El cliente establece en esta fase una conexión TCP/SSL con el servidor. El protocolo SSL es implementado con las librerías OpenSSL. El código del cliente recoge y almacena en el fichero server.cer el certificado de la CA, utilizado para la conexión SSL. También genera el certificado en formato PEM (server.pem) utilizado posteriormente para la verificación de firma. En esta fase, el cliente envía a la CA (Certification Authority), la solicitud de certificado (Certificate Signing Request, CSR) creada en la fase anterior.esta petición (CSR) se envía utilizando los mecanismos de seguridad proporcionados por SSL. FASE 4: Recepción del certificado de usuario firmado por la CA... El cliente recibe en esta fase su certificado en respuesta a la petición realizada. El cliente almacena el certificado en el fichero cert_user.pem. Adicionalmente el código del cliente genera el fichero cert_user.p12 que contiene el certificado de clave publica del usuario y su clave privada (contenida en el fichero privkey_user.pem ) protegida por la clave ppppp FASE 5: Recepción de datos en claro Proceso Firma El cliente recibe los datos que la Autoridad de certificación va a utilizar para firmar. Por ejemplo - 4 -

5 Boadilla/FIM/UPM/ Estos datos se almacenan en un fichero datos_firma. FASE 6: Recepción del Ticket. Proceso Firma El cliente recibe de la Autoridad de Certificación una firma de los datos anteriores: 5ö E+ 07 ö&øav«êîø ëgíp ÄIWñ.C0WÒÀOáæÇ[9å5 lül[ SÙrù 8îÏé)ŒV Ñ"ñÿ ù6x/«kºï$œû*ˆàj.šà ê³í éôúx ŸÈS 1}C, Estos datos se almacenan en el fichero firma.txt. Con la clave pública de la CA extraída del certificado server.pem y los ficheros datos_firma y fima.txt se puede verificar la validez de la firma con el Sistema de Verificación de firma (V81) y acreditar el acceso del cliente El ejecutable Ca.exe es básicamente un servidor iterativo TCP/SSL. La funcionalidad SSL está incorporada a través de las librerías de OpenSSL. La Autoridad de Certificación espera recibir una petición CSR de un cliente. Una vez recibida crea un certificado firmado por ella y se lo envía al cliente. A continuación la Autoridad de Certificación espera recibir otra petición. 4.2 Logs del Proceso de generación de Certificados En el Anexo 1 se incluye los log del proceso. 4.3 Enlace descarga Software

6 5. Entrega de la Práctica El alumno deberá entregar en un CD (el mismo que la práctica 1): 1. Memoria de la práctica, describiendo el desarrollo de la práctica (metodología, problemas encontrados, etc). 2. Todos los ficheros generados por el ejecutable del cliente. En concreto: fichero privkey_user.pem, el fichero req.pem, fichero server.cer, fichero server.pem, fichero cert_user.pem, fichero cert_user.p12, fichero publickey_user.pem y, finalmente, los ficheros datos_firma.txt y datos_firmados.txt que acreditan el acceso y solicitud del alumno a la Autoridad de Certificación. 3. La capturas en pantalla del proceso de verificación de firma. Para ello deberá utilizar los ficheros datos_firma.txt y datos_firmados.txt y el certificado del servidor server.pem como parámetros de entrada al ejecutable del Sistema de Verificación de Firma

7 Anexo 1: LOGS PROCESO OBTENCIÓN CERTIFICADO DIGITAL Y TICKET DIGITAL - 7 -

8 FICHERO_LOGS_19nov09.txt PROCESO DE GENERACION DE UNA PETICION DE CERTIFICADO... FASE 1: GENERACION DE CLAVES......Claves RSA generadas de 4096 bits * SE IMPRIME CLAVE PRIVADA: Fichero 'privkey_user.pem' FASE 2: GENERACION DE UNA PETICION DE CERTIFICADO... INTRODUCIR DATOS PETICION DE CERTIFICADO <Certificate Signing Request, CSR>:... <Intoducir los datos sin espacios en blanco>: Correo Electronico < Adress>: alumno1@alumnos.fi.upm.es countryname: Espaa stateorprovincename: Madrid localityname: Boadilla organizationname: FIM organizationalunitname: UPM GENERADA PETICION!!!!... req.pem IP: PTO: 5000 CONEXION ESTABLECIDA CON EL SERVIDOR... < CERTIFICADO SSL RECIBIDO DEL SERVIDOR: DATOS DEL CERTIFICADO DEL SERVIDOR: VERSION : SSLv3 SERIAL: 00 FE EE B1 44 CC ISSUER: /C=es/ST=ma/O=FIM/OU=UPM/CN=LMENGUAL/ Address=lmengual@fi.upm. es VALIDO DESDE: 21/11/ :22:28 VALIDO HASTA: 16/11/ :22:28 CLAVE PUBLICA: D A F7 D F A B0 A9 06 C9 54 D5 F9 A0 04 A DD 96 3D 5F A 2F CD D8 93 8C 5A C CD 19 6C AC F F8 CC 42 9A B2 74 C C DB 46 2B D 4D D8 87 4F C9 A0 96 9B BF C1 BE F9 03 E 70 F2 AF AF 58 B9 F CB A2 9A E 17 9C A 04 B1 A4 4A F0 C7 37 3A 8F 1D E4 DD 77 A6 21 7F B7 FD 1B E B8 AD E D7 5D 4F 1D 77 A7 68 1E F7 D0 04 Página 1

9 FICHERO_LOGS_19nov09.txt B5 91 9D D8 7F C F9 2D D0 92 BF 7D B2 4F C 94 F7 F3 DF B1 BA 3D 9D B B8 FD 5E 4B E8 E4 28 6A 35 B8 5F 4F B 22 D5 12 5A 7F 82 CB 73 9F DF FD 6C 77 FB C2 9C BB C9 56 E8 3A E8 C3 BC F9 6C 2B 6B B5 87 D3 2D E7 1C C8 7A A7 F5 AF 2F F3 E2 55 1B 97 5C C1 D5 BB B B5 D0 F6 5C 64 4F 92 7E E1 6A 2C 1C F3 91 A B 14 D1 4D D 23 8D F3 EE F1 BD B8 D E0 AA CC 8A F7 E1 8E 50 1F 5A B9 75 3F F B0 20 B 91 6B 5B C0 B8 96 AC 29 8C 46 2D AA FD F4 ED 4D D B DF E5 3C 50 A D A3 8B D8 6C B2 E2 F F2 C2 D5 67 4E CE 95 CB 92 EB D B2 15 E9 DF E D AC CC E2 F5 07 E B 88 DF F1 CD A4 2D 86 8A C 17 C1 C4 F4 7C E0 B2 9D A 67 CD 98 2A 4B C F CD A E1 24 5F 22 A3 76 B D D D6 9B A B9 12 7C 1A 61 A F4 B3 8E A2 A4 8F BC A B B0 28 A8 D1 EE 76 CE FD AD E8 19 C2 92 F6 6F 6B F1 A9 5A 3F F7 CC BF B7 24 7E 09 4F 98 5C D AE 53 CF E E2 C6 B8 A 68 9D SKID: 14 CD 49 A7 B2 68 BD F2 EA 40 8C F7 4E B1 HUELLA DIGITAL: C6 69 E6 1E 7A F E A4 DC C BF D9 34 ALGORITMO CIFRADO: AES256-SHA FASE 3: ENVIO FICHERO CON PETICION CSR > Envio por SSLwrite longitud fichero req.pem: > Envio por SSLwrite fichero req.pem LONGITUD PETICION CERTIFICADO : 1837 PETICION USUARIO : -----BEGIN CERTIFICATE REQUEST----- MIIFFDCCAvwCADB+MRowGAYDVQQDFBFhbHVtbm8xQGZpLnVwbS5lczEgMB4GCSqG SIb3DQEJARYRYWx1bW5vMUBmaS51cG0uZXMxDzANBgNVBAgTBk1hZHJpZDERMA8G A1UEBxMIQm9hZGlsbGExDDAKBgNVBAoTA0ZJTTEMMAoGA1UECxMDVVBNMIICIjAN BgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEAwXywCcLftGjC/yBg1RTqtoWQx+ip Cs2zQUrSMqvbTzwkQF8uP7d4G1G7JG5ReT+LFJlcIbWN+z0FGTr0LyBFvTuA5Tps bhoqcz897vuro2bofrzie9tse9zwu1az1incv6adkzu/ekoeqmoebnfbyl1vn08u umrruosiwkhqgsywlecrjx6jkjlhxq1zjkk7s0fcvzbgkm0rvzduloo5bxkrzjd2 qzpfe1hve3ad9vihfhnrt3tyjmoa/nounev0eekap0w0gmzyyi8ovra5lqs9n0h6 Q2Blo7w5gPP10gjxvGEaA3UCgtpdsv41lUPhxARVyr3lIQ2e6/o9vYASx/VVOiVO xm/nqnmgflbtjo1cecddamkdq+mdkkbr2dj1412mnq1d49duvxk0xuadotihaebg ZLRq8WUD7/nh6EjbevdrsDG0g2EISZBKl3zxBOiGR8AlPixxbkbUHx67asry6Lpn dfhj0bdhirgjc92r+6ugsxwg5qthzo5yvoswl2ja+hlxxv54jf1vjg4572i3q6yt e38nzv3dbfix69btjexugye7ceongjhss2in75v6uknayhjjfw6dni1wbugyjvqk qt0coga+6nznuydtejjyfodaksx6zqkbsyk9pzipfxglpdgntugbjotgcejjhppd lnuzd+nej2ny710caweaaabsmfagcsqgsib3dqejdjfdmeewdgydvr0paqh/baqd AgWgMBwGA1UdEQQVMBOBEWFsdW1ubzFAZmkudXBtLmVzMBEGCWCGSAGG+EIBAQQE AwIFoDANBgkqhkiG9w0BAQUFAAOCAgEAMs0HOpWFNmPjE/+cbX/NHjby2m0Vh9R2 e8ahl4npchvwmpwijg0xi1r1osy9o51ubf4zzhczjx8qkdcwjtqqgmzhm8urbqfm hkalfshp3auxboam1lcmcwnkstn22p/os+5cnbpuf8ja6jreeqyz/btmk/idxa5i j4jwvpiyc3ztnszkrk1dmjutip0dvmlr2i4aj5unvnjruwpwc53i1odsmzzcq4zr Nf03KG2xWiWn+57kDXIweXfxQDJOCFn2iBSGnQgKLvH3yZsU8WJIzaEbQoxcmU/O dxzsleqvezwv6iosrbvoleoku3ioqwxqu9as0iwihhsls/n40ts5ev8kk37ufy3w Página 2

10 FICHERO_LOGS_19nov09.txt apqebl/epzuov7gaihkhijn3r4ru2cwoshhzrijfinskf+oshkb3c+9y9eh2wlnh VnLOg07ArIdaMZmwa1CXhpg3zgPwhtKp9YS436P5rBsfeE6U8MEGDxts2GLnShVV fqfoq6lzpr+o4mevzldaxfuyyvmtifz5bolhnlg+bbbkshvszln3osscuruavn4g 2pEbz25J8B6pYQ9kb0h7I6fQ7QEVyrtJaAyrNmYhYWADBd7O8BMkQpPXJ7ICOW7E ymcmjix/s+44g0clch3xim3ya/3stpptae+hggjpje0mj9dcf1n6zd4b4r6mx7ci wr8rbu+e2nk= -----END CERTIFICATE REQUEST----- FASE 4: RECIBIDO FICHERO CERTIFICADO DE USUARIO FIRMADO POR CA... < Recibimos SSLwrite longitud de certificado de usuario: 1979 < Recibimos por SSLwrite certificado de usuario firmado por CA 1837 LONGITUD CERTIFICADO: 1979 CERTIFICADO USUARIO: -----BEGIN CERTIFICATE----- MIIFiDCCA3CgAwIBAgIEhlhiYDANBgkqhkiG9w0BAQUFADBsMQswCQYDVQQGEwJl czelmakga1uecbmcbwexddakbgnvbaota0zjttemmaoga1uecxmdvvbnmrewdwyd VQQDEwhMTUVOR1VBTDEhMB8GCSqGSIb3DQEJARYSbG1lbmd1YWxAZmkudXBtLmVz MB4XDTA5MDUwNTIwMjM0MloXDTEwMDUwNTIwMjM0MlowfjEaMBgGA1UEAxQRYWx1 bw5vmubmas51cg0uzxmxidaebgkqhkig9w0bcqewewfsdw1ubzfazmkudxbtlmvz MQ8wDQYDVQQIEwZNYWRyaWQxETAPBgNVBAcTCEJvYWRpbGxhMQwwCgYDVQQKEwNG SU0xDDAKBgNVBAsTA1VQTTCCAiIwDQYJKoZIhvcNAQEBBQADggIPADCCAgoCggIB AMF8sAnC37Rowv8gYNUU6raFkMfoqQrNs0FK0jKr2088JEBfLj+3eBtRuyRuUXk/ ixszxcg1jfs9brk69c8grb07gou6bgx6kgs/pe1veanmzhucyhvbbbpc1lnqm9sd XFemg5GVP3ijnkDKBGzRQci9VTdPLrpkUVKLCFpB6hkslixHKyceiZIy4cUNWYyi u0thwr82xpdnk72xvjtjuqcsq843dqmarrnr73t2nfvsirr560908ozdmvztrjxr 9HnimqdFtIDM2GCPKFUQOS0LPTdB+kNgZaO8OYDz9dII8bxhGgN1AoLaXbL+NZVD 4cQEVcq95SENnuv6Pb2AEsf1VTolTsZvzUDZhhZQbY6NXHgnXWjCg6vpgyim69gy dendjj6tq+pxvfvytf1ggzryh2haygs0avfla+/54ehi23r3a7axtinhcemqspd8 8QTohkfAJT4scW5G1B8eu2rK8ui6Z3Xx49Gw4YkRiQvdq/ulIEl1huULYWTuWFaE lpdo2vh5v11eeixdbyruoe9in0omlxt/dc1dw234sevqbsrmboghu3hqj4i4ukti J++VerpJ2soYyX1ug54tVgboGI1UCqrdAqBgPup2Z1Mg03o48nzg2ikses6pG0si vac4qrcyjaq4j7vbmytryanisrzz3zz7s3fpxi9jwo9dagmbaagjidaembwga1ud EQQVMBOBEWFsdW1ubzFAZmkudXBtLmVzMA0GCSqGSIb3DQEBBQUAA4ICAQCCqJsG zilynzflzq3hg71y/o5lenbt9eu5b1ghul/1i4nqc7ziv1fuf4bbzx6ty5ciqhqn s48ml+qtrg24jyxj+1pm8cwsvt5mf5cpcnbkfzdhd5kcupevuqtdwjl/fp3bjnoo DennNU6c03gdrJJdAMDiU6CtiMGPj8Uq6C2j8EUltHXxnzK5LAiuV4BeKIAwTvFD LtjLvR2yXhWNFoDV/yu2eda5nhfoVsTMHY2rxp5g+2eJbJkoKBWdhiiCbeWG5o5R HTe91nirCI+SLgnU8CclgSB0pRFV95s5WsC2zvdftOkv2FqMNaXLUMqVgC7EvTWf g8rgb1/9gafwo3ss+jt9855pszpeq8mf5btg25jiiy8k5nm+oerlpgldg5kewun8 V2XlhZ/6oEMVGRVOw0caVX4/Hj1/QfNBoYycHcqvoSdXR0P+ErVtbQ2xDCM0VDNb wtcymtbaftq9zi1q+odbactut84klapztdf2icxbqpzapsoobzchemaoy8ilopu2 t4k5x7ayj1jyacxrdwgc0o1inzkmxnzzkhul9elkpuwy+wgwxj3lghn1jojnz5tt a+qboodnbwem+ipuxh/e0pmp0vorsdtxabfuuy2wr9lt5d/q5xrjvnfp80iijgkd gr4xlv3fdcmwbem+rtzjxrexblmfjnzksruata== -----END CERTIFICATE----- GENERADA FICHERO cert_user.pem!!!!... Página 3

11 FICHERO_LOGS_19nov09.txt Creado el certificado 'cert_user.p12'!!!! PROCESO RECEPCION FIRMA DE LA CA... longitud datos de firma por SSL_read: 88 Datos Firma: nos.fi.upm.es/madrid/boadilla/fim/upm/ Creado fichero datos_firma.txt!!!! longitud firma por SSL_read: 512 Firma: U'#~`KΚ Creado fichero firma.txt!!!! Página 4