Шифрование с использованием симметричных алгоритмов. Генерация зарытого ключа для асимметричных алгоритмов шифрования. Применение асимметричных алгоритмов шифрования. Управление цифровыми сертификатами и управление списками отзыва сертификатов.
С помощью OPENSSL возможно осуществить шифрование/дешифрование, хеширование, операции над ЭЦП и цифровыми сертификатами и т.д. При вызове openssl без команды и параметров будет открыта интерактивная оболочка, из которой можно выполнять все те же команды, что и в неинтерактивном режиме. • псевдокоманда list-message-digest-commands - выводит перечень команд для применения алгоритмов хеширования; • псевдокоманда list-cipher-commands - выводит перечень команд для применения алгоритмов шифрования и кодирования; Есть множество других команд, однако некоторые команды дублируют основную функциональность друг друга, добавляя, например, расширенные возможности вывода или преобразования между форматами.В качестве параметров используются следующие ключи (дефисы перед ключами обязательны): •-out - имя файла, в который будет записан ключ; •-genparam - генерировать файл с параметрами ключа для последующего создания самого ключа (указывается до параметров-algorithm,-paramfile,-pkeyopts); Параметры генерации ключей для DSA: • dsa_paramgen_bits: - длина параметров (по умолчанию 1024, задается при генерировании файла параметров). Примеры: • Сгенерировать закрытый ключ длиной 2048 бит без парольной фразы для алгоритма RSA и записать их в файл keys.rsa: $ openssl genpkey-out keys.rsa-algorithm RSA-pkeyopt rsa_keygen_bits:2048 • Сгенерировать ключ длиной 1024 бита без парольной фразы для алгоритма DSA и записать его в файл keys.dsa: $ openssl genpkey-out keys_param.dsa-genparam-algorithm DSAПримеры: • Зашифровать файл file с использованием алгоритма RSA, используя отрытый ключ из файла pubkey.rsa, результат записать в файл file.enc: $ openssl pkeyutl-encrypt-in file-out file.enc-pubin-inkey pubkey.rsa • Зашифровать длинный файл с использованием RSA с ключом длиной 2048 бит: $ split-b 245 file • Расшифровать файл file.enc с использованием алгоритма RSA, используя закрытый ключ из файла keys.dsa, результат записать в файл file: $ openssl pkeyutl-decrypt-in file.dec-out file-inkey keys.rsa • Расшифровать длинный файл с использованием RSAC ключом длиной 2048 бит: $ split-b 256 file • Подписать файл file с использованием алгоритма DSA, сохранить подпись в файл file.dat: $ openssl pkeyutl-sign-in file-inkey keys.dsa-out file.dat • Проверить цифровую подпись file.dat для файла file с использованием алгоритма DSA: $ openssl pkeyutl-verify-in file-sigfile file.dat-inkey keys.dsa•-passout - указание на источник пароля для запроса в выходном файле; •-text - вывести запрос на сертификацию в текстовом виде; •-noout - не выводить значение запроса в кодированном виде; •-modulus - вывести длину открытого ключа из запроса; •-new - генерировать новый запрос на сертификацию (будет запрошена информация о пользователе; если не указан параметр-key, то будет сгенерирован ключ RSA); •-key - указывает на файл с ключом, для которого необходимо подготовить запрос; Примеры: • Создать запрос на сертификацию вместе с ключом: $ openssl req-newkey rsa:1024-keyout key.pem-out req.pem • Создать запрос на сертификацию имеющегося ключа: $ openssl req-new-key key.pem-out req.pem • Вывести запрос на сертификацию в текстовом виде: $ openssl req-in req.pem-text-nooutDER • Создать самоподписанный сертификат из переданного запроса на сертификацию: $ openssl x509-req-in cert_req.pem-signkey key.pem-out cert.pem В качестве параметров используются следующие ключи (дефисы перед ключами обязательны): •-config - указывает на файл с настройками центра сертификации (описание файла дано ниже; также на этот файл указывает содержимое переменной окружения OPENSSL_CONF); •-name - указывает на секцию файла настроек, которую нужно использовать, иначе используется секция [ca ] или секция, указанная в параметре default_ca в секции [ca ]; •-ss_cert - указывает на входной файл, содержащий самоподписанный сертификат, требующий подписи центра сертификации; •-selfsign - указывает на то, что сертификат должен быть подписан тем же ключом, что и запрос на сертификациюкаталог DEMOCA в текущем каталоге, в каталоге DEMOCA сохранить сертификат центра сертификации под именем cacert.pem, создать пустой файл index, создать файл serial и записать туда серийный номер первого сертификата (например, 01), создать каталог newcerts, создать каталог private, сохранить в каталоге private закрытый ключ центра сертификации под именем cakey.pem, создать в каталоге private пустой файл .rand. Примеры (подразумевается параметр-config openssl.cnf, где openssl.cnf - корректный файл конфигурации): • Подписать запрос на сертификацию: $ openssl ca-in req.pem-out newcert.pem • Создать CRL $ openssl ca-gencrl-out crl.pem • Отозвать сертификат: $ openssl ca-revoke cert.pem Для управления списками отзыва сертификатов X.509 используется следующая команда: $ openssl crl В качестве параметров используются следующие ключи (дефисы перед ключами обязательны): •-CAPATH - каталог с доверенными сертификатами (сертификаты должны иметь имена вида .0 или иметь символичесткие ссылки такого вида, где - хэшированное?-VAFILE - файл, содержа
План
Содержание
1.OPENSSL(1.0.0f).........................................................................................................................2 1.1.Шифрование с использованием симметричных алгоритмов ........................................3 1.2.Генерация зарытого ключа для асимметричных алгоритмов шифрования..................4 1.3.Выполнение операций над ключами асимметричных алгоритмов шифрования........5 1.4.Применение асимметричных алгоритмов шифрования.................................................6 1.5.Применение алгоритмов хеширования............................................................................7 1.6.Создание запросов на сертификацию X.509 и управление ими....................................8 1.7.Управление цифровыми сертификатами X.509 ..............................................................9 1.8.Создание центра сертификации и управление им........................................................11 1.9.Управление списками отзыва сертификатов .................................................................13 1.10.Проверка подлинности сертификатов..........................................................................14 1.11.Управление протоколом OCSP......................................................................................15 2.GNUPG (2.0.18) .........................................................................................................................17 3.cryptsetup (1.3.1).......................................................................................................................25 4.aide (0.15.1)...............................................................................................................................28 5.Stunnel (4.44)............................................................................................................................31 6.OPENSWAN (2.6.37)....................................................................................................................33
2 Криптография — Пособие по управлению
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы
