加密解密基础、OpenSSL通信 及 搭建私有CA (Blog 11)

加密解密技术基础、PKI及创建私有CA

 

常见的算法是ssl/tls协议得以实现的基础保证;
ssl: secure socket layer,安全的套接字层 网景公司维护,1994年发布 3.0出现漏洞但仍在使用
tls: transport layer secure,传输层安全 IETF: 国际电子工程师协会,1999年发布 兼容ssl,tls v1.2是通用标准

ssl和tls协议的实现:OpenSSL,用户空间的软件程序;其组件提供了”加解密”算法库;
OpenSSL组成:
libcrypto: 加密和解密算法库
libssl: 通信安全实现
openssl:用户空间命令行程序

程序员仅需要调用libcrypto, libssl就能实现常见的加密解密算法实现;
而作为 一个资深的运维工程师,哦不,一个资深的运维工程师至少也能通过工具实现各种加密解密算法;

早期能使用互联网通信就已经很了不起了,并没有考虑加密;所以流行的服务程序不会自带加解密功能;
如何实现通信:
局域网:MAC
互联网:IP
如何实现主机上进程间通信?
同主机:share memory, semphor, signal, message queue, unix sock
跨主机:socket, rpc

使用的网络通信模型:ISO/OSI,四层
应用层:编码数据为特定可传输在网络上的格式;数据流式化的过程
传输层:封装传输层首部;协议:tcp, udp
互联网层:封装网络层首部:协议:ip, ipv6
数据链路层:封装帧首部及尾部;

在此模型中并没有对数据进行加密,如果修改会“牵一发而动全身”构建在其上的所有应用都必需修改;
网景公司为http提供一个模块ssl;在 应用层和传输层之间添加半层;遵循此协议(ssl,tls),通信过程中即可完成对数据加密;

SSL如何通信:

SSL HandShark
SSL Handshark
1、客户端生成随机数,发送自己支持的对称加密、单向加密算法、随机数及OpenSSL version;
2、服务端生成随机数,发送自己确认的对称加密、单向加密算法;并发送自己的证书;有必要时,需要索要客户端的证书;
3、客户端生成随机数,验证证书;发送编码变更通知(确认此次通信使用协商的算法)、随机数;客户端握手结束;
4、服务端接收客户端发来的第二个随机数,生成临时密钥;发送编码变更通知;服务端握手结束;
5、建立SSL连接

SSL通信
6、服务端对明文数据提取指纹,用自己的私钥加密指纹:签名;
7、服务端用生成的临时会话密钥加密整个数据;用对方的公钥加密会话密钥;
8、客户端用自己的私钥解密出会话密钥;用会话密钥解密出数据和加密后的特征码
9、客户端用对方的公钥解密出指纹;用协商的签名算法加密数据与解密的比较;

数字签名

密钥交换

证书格式:
version
serail
发行者名
发行者唯一 标识
主体名
主体公钥
主体唯一 标识
签名算法ID
证书有效期
扩展
发行者签名:对以上数据的数字签名,发行者用自己的私钥加密数据指纹;

证书验证:
1、用发行者公钥解密数字签名;来源合法
2、用相同签名算法ID 加密数据与解密出的特征码比较;相同则,完整性;
3、有效期
4、主体名与被访问主机名或人名相同;
5、证书没有在吊销列表中;

 

公钥基础设施:PKI(Public Key Infrastructure)
CA: 发行者
RA:注册机构
CRL:证书吊销列表 /etc/pki/CA/crl
CB:证书存取库:/etc/pki/certs

公钥作用:
KE: Key Exchange
encrypto
Signature Algorithm

如果要基于SSL通信就必须在可信的CA那里去获取一个证书,是不理想的;在私有网络中可以使用SSL协议实现工具openssl,完成创建私有CA

私有CA创建步骤:

CA搭建

协议最基础依赖是基本算法,所以对基本算法应该有基本的了解

对称加密
加密解密使用同一密钥
加密算法:
des: Data Encryption Standard,IBM公司安全实验室研发,成为事实上的标准;在2003年被美国100万的服务破解;
des3:3轮des加密,3个数量级(10^3倍)的des
aes:NIST,密钥长度(128bits, 192bits, 256bits),对于临时密钥没有必要使用
blowfish,twofish,idea,rc6,cast5

加密:openssl enc -e 加密算法 -a -salt -in fstab -out fstab.ciphertext [-k PASS]
解密:openssl enc -d 加密算法 -a -salt -in fstab -out fstab.ciphertext [-k PASS]
加密算法列表获取:openssl ? –> Cipher commands 下的所有;引用时需要在其前加 –
例如:
使用123加密,复制至/tmp目录下的fstab文件:
[root@localhost tmp]# openssl enc -e -aes-256-ecb -a -salt -in fstab -out fstab.ciphertext -k 123
[root@localhost tmp]# ll
总用量 8
-rw-r–r– 1 root root 541 11月 27 17:37 fstab
-rw-r–r– 1 root root 760 11月 27 17:37 fstab.ciphertext
[root@localhost tmp]# cat fstab.ciphertext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使用123解密:
[root@localhost tmp]# openssl enc -d -aes-256-ecb -a -salt -in fstab.ciphertext -out fstab.plaintext -k 1234 <—注意密码不是同一密码
bad decrypt
140461914601376:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad decrypt:evp_enc.c:604:
[root@localhost tmp]# openssl enc -d -aes-256-ecb -a -salt -in fstab.ciphertext -out fstab.plaintext -k 123 <–使用同一密码时
[root@localhost tmp]# ll
总用量 12
-rw-r–r– 1 root root 541 11月 27 17:37 fstab
-rw-r–r– 1 root root 760 11月 27 17:37 fstab.ciphertext
-rw-r–r– 1 root root 541 11月 27 17:38 fstab.plaintext
[root@localhost tmp]# cat fstab.plaintext

#
# /etc/fstab
# Created by anaconda on Fri Nov 10 05:24:27 2017
#
# Accessible filesystems, by reference, are maintained under ‘/dev/disk’
# See man pages fstab(5), findfs(8), mount(8) and/or blkid(8) for more info
#
/dev/mapper/centos-root / xfs defaults 0 0
UUID=5b4e0db2-8c87-4422-9ac5-37142e5cc600 /boot xfs defaults 0 0
/dev/mapper/centos-home /home xfs defaults 0 0
/dev/mapper/centos-swap swap swap defaults 0 0

非对称加密:
加密解密使用一对儿密钥
私钥:private key,自己留存;
公钥:public key,公开;
算法:
DSA(Algorithm): 也被称为DSS(Digital Signature Standard):只能签名
RSA: 既能签名,又能加解密;

功能:
数字签名:用私钥加密数据的指纹;
密钥交换:用对方的公钥加密对称密码;
数据加密:效率不高;

生成私钥:(umask 077; openssl genrsa -out private.key NUM_BITS)
从私钥中提取公钥:openssl rsa -in private.key -pubout
(): bash中特殊含义:在括号中运行的命令在当前shell的子shell进程中运行。若在子shell中定义的特性仅在子shell的生命周期中有效;
NUM_BITS:密钥长度:2^n;

例如:
[root@localhost tmp]# openssl genrsa 768
Generating RSA private key, 768 bit long modulus
…………..++++++++
…..++++++++
e is 65537 (0x10001)
—–BEGIN RSA PRIVATE KEY—–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—–END RSA PRIVATE KEY—–
[root@localhost tmp]# openssl genrsa 768 > private_key_file <– 重定向保存密钥
Generating RSA private key, 768 bit long modulus
…………………..++++++++
…………………………………………………………..++++++++
e is 65537 (0x10001)
[root@localhost tmp]# openssl genrsa -out private_key2_file 768 <–指定输出路径保存密钥
Generating RSA private key, 768 bit long modulus
…++++++++
…..++++++++
e is 65537 (0x10001)
[root@localhost tmp]# ll private_key*
-rw-r–r– 1 root root 688 11月 27 17:56 private_key2_file
-rw-r–r– 1 root root 692 11月 27 17:56 private_key_file

注意:其权限是其它用户可读,而private key是不公开的。所以因该将其权限修改为其它用户不可读;当然有一种更为简便的方法,如下:
[root@localhost tmp]# (umask 077; openssl genrsa -out private_key3_file 768)
Generating RSA private key, 768 bit long modulus
……..++++++++
………………….++++++++
e is 65537 (0x10001)
[root@localhost tmp]# ll private_key3_file
-rw——- 1 root root 692 11月 27 17:59 private_key3_file
[root@localhost tmp]# cat !$
cat private_key3_file
—–BEGIN RSA PRIVATE KEY—–
MIIBywIBAAJhALDOWj5q2VuqlNyfOadojFHtAnVUR/iE5En89zzi/fL91ey52IAe
ukGxwYWjb6rob+rJLvxO6xWdJEs2OpPKjgvlBCNPg4lR3BQ4ze47GdnUsyDuIfls
Q1y3bLk6hPg8awIDAQABAmEAjos/fJUeemXzsE965vpGLwLbeYaio71YZEJbfi4v
uYlmwH0xDFI5rh9Gu5yBuhO8Vxgm6ZpFUT11x3mPDCkV7I4iaEoBsVKQMlFT350q
EUirIKbU9SXCDHSDc1D2DkHJAjEA51cxjv/Nl9MBYvvB8S8bgou2g2qGSNIg1yc5
rpscAsgoFicLm+TbdNMw6LhnTQMdAjEAw6cGNlrrEOgvfXrQ+15dbZ6/gaFLM/fj
GYSIY1aDMbE007fhadi124E4SIJrWV8nAjBni/mcvhax/DpEqdc3MxSnLA33aHjO
o28bnm0NIFQ7UofO0o85qggolFbx84gZSmkCMFVEq65wvVWm+1uCdSW4IJuvveKu
+ulxNWZfnlk80PyNMGq9Dt5kdg1uKatgO4y9rQIxAKX0Iy2CEXWKaR63oK6Pq2h7
ztssk4Co5cCW8Nhq5OABxErqGLsDmdJVLF8HxpYKAA==
—–END RSA PRIVATE KEY—–

对私钥提取公钥:
[root@localhost tmp]# openssl rsa -in private_key3_file -pubout
writing RSA key
—–BEGIN PUBLIC KEY—–
MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhALDOWj5q2VuqlNyfOadojFHtAnVUR/iE
5En89zzi/fL91ey52IAeukGxwYWjb6rob+rJLvxO6xWdJEs2OpPKjgvlBCNPg4lR
3BQ4ze47GdnUsyDuIflsQ1y3bLk6hPg8awIDAQAB
—–END PUBLIC KEY—–

单向加密
提取数据的特征码;类似于指纹;能把人的指纹提取出来,可以把指纹还原成人吗?不行!
工具:openssl dgst, md5sum, sha#sum #=(1:160 224bits 384bits 512bits)
特性:
定长输出:输出长度相同,与数据大小无关;
雪崩效应:初始条件的微小改变,引起结果巨大变化;
功能:
完整性验证:因为这个世界上没有两片相同的树叶;

加密格式:工具 文件
openssl dgst -md5 file
md5sum file
sha1sum file

例如:
[root@localhost tmp]# openssl dgst -md5 fstab
MD5(fstab)= 9d99b0444a3e8c6236b5660b598a67a9
[root@localhost tmp]# md5sum fstab
9d99b0444a3e8c6236b5660b598a67a9 fstab
[root@localhost tmp]# sha1sum fstab
4b96a9f1b0431d93dab3a9d8e57e58153f1424d8 fstab
[root@localhost tmp]# openssl dgst -sha1 fstab
SHA1(fstab)= 4b96a9f1b0431d93dab3a9d8e57e58153f1424d8

本文来自投稿,不代表Linux运维部落立场,如若转载,请注明出处:http://www.178linux.com/89080

(1)
逆神阳逆神阳
上一篇 2017-11-29 12:52
下一篇 2017-11-29

相关推荐

  • N22-妙手-第五周博客作业

    1、显示/boot/grub/grub.conf中以至少一个空白字符开头的行; [root@localhost grub]# grep "^[[:space:]]\+" /boot/grub/grub.conf 2、显示/etc/rc.d/rc.sysinit文件中以#开头,后面跟至少一个空白字符,…

    Linux干货 2016-09-19
  • 【Linux基础】文件管理类命令

    总结下linux系统文件管理类的命令 mkdir -> make dirtctories 创建目录 语法:mkdir [OPTION]… DIRECTORY… 常用选项-p: 自动按需创建父目录;-v: verbose,显示详细过程;-m MODE:直接给定权限;注意:路径基名方为命令的作用对象;基名之前的路径必须得存在;示例:~]# mkdir -p…

    Linux干货 2018-03-11
  • HA之corosync+pacemaker+crmsh

    高可用集群框架 图片转载之http://www.178linux.com/16656 实验拓扑: 两台节点服务器: node1     192.168.150.137     node1.com node2     192.168.150.138     node2.com nf…

    Linux干货 2017-01-18
  • LAMP基于编译安装方式实现(httpd与php以fastcgi方式结合)3

    概述     在某些现有rpm包不能满足需求的时候,可能需要编译安装LAMP环境,本篇就介绍下php与httpd结合方式为fastcgi方式结合时的编译安装,同时,由于httpd与php以module方式结合时,仅是编译选项有所差别,故也会简单说明下编译选项的差异 环境     CentOS7系统,…

    Linux干货 2016-10-17
  • 通过Nginx来安装一个discuz,软件并不是编译安装的

    这次由于时间有限,所以我就没有用编译安装来启动LMP,只有Nginx 是编译安装的 因为是在centos7上面安装的Nginx所以我们这里由于能力有限,暂时不能将其加入开机启动,日后我会进行改进,将其加入开机启动。这里我们给出Nginxd的编译选项及环境   yum groupinstall "Development&…

    Linux干货 2016-10-25
  • 8.1_Linux管道的使用和用户管理

    什么是管道? 管道就是把命令1的标准输出发送给命令2的标准输入,把命令2发的标准输出发送给命令3的标准输入。。。 最后一个命令会在当前shell进程的子shell进程中执行用来 管道实现了使用目的单一的小程序,组合小程序完成复杂的任务 管道需要配合其他命令的使用 tr命令的使用,常常用于配合管道     -c或–co…

    Linux干货 2016-08-10