certificat x509 et cryptage de documents [linux]

Le
octane
Bonjour

je cherche à réaliser les opérations suivantes:

-tirer une clé publique/privée
-générer un certificat auto-signé
pour Alice

répéter l'opération pour Bob

Voir le contenu des certificats (avec quel outil?)

Importer le certificat de l'un chez l'autre et vice versa (avec quel
outil?)

Utiliser un outil (lequel?) qui va me crypter (ou signer) un document.

l'envoyer a Bob.
Déchiffrer (vérifier la signature (avec quel outil?) ) le document.

J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?) Par contre c'est un peu
trop gros pour l'avaler en une seule fois et j'aimerai un petit peu
d'aide pour mes debuts avec.

Merci
Questions / Réponses high-tech
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bastien Durel
Le #860028
On 06/03/2007 13:41, * wrote:
Bonjour

Bonjour,


je cherche à réaliser les opérations suivantes:

-tirer une clé publique/privée
-générer un certificat auto-signé
:/tmp$ openssl req -newkey rsa:1024 -x509 -out alice.pem

Generating a 1024 bit RSA private key
[...]
pour Alice

répéter l'opération pour Bob

La même chose avec le -out qui va bien


Voir le contenu des certificats (avec quel outil?)

:/tmp$ openssl x509 -text -in alice.pem

Certificate:
Data:
[...]

Importer le certificat de l'un chez l'autre et vice versa (avec quel
outil?)

cp, mail ... ou import du fichier dans le courielleur


Utiliser un outil (lequel?) qui va me crypter (ou signer) un document.

:/tmp$ openssl smime -encrypt -in file.plain -out

file.enc alice.pem
:/tmp$ openssl smime -sign -signer bob.pem -inkey
privkey.pem -in file.enc -out file.enc.sign
Enter pass phrase for privkey.pem:

l'envoyer a Bob.
Déchiffrer (vérifier la signature (avec quel outil?) ) le document.

:/tmp$ openssl smime -verify -signer bob.pem -in

file.enc.sign -noverify -out file.enc.verified
Verification successful
:/tmp$ openssl smime -decrypt -inkey privkey.pem -in
file.enc.verified
Enter pass phrase for privkey.pem:

J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?)
C'est le couteau suisse ;)


Par contre c'est un peu
trop gros pour l'avaler en une seule fois et j'aimerai un petit peu
d'aide pour mes debuts avec.

Merci
Pour les opérations de chiffrement/signature/vérification/déchiffrement,

le plus simple est encore d'utiliser les fonctions du courrielleur dans
lequel on aura importé les certificats.

Bonne journée,

--
Bastien

octane
Le #859836
On 6 mar, 14:50, Bastien Durel
-tirer une clé publique/privée
-générer un certificat auto-signé


:/tmp$ openssl req -newkey rsa:1024 -x509 -out alice.pem
Generating a 1024 bit RSA private key
[...]> pour Alice

J'obtiens deux fichiers, un alice.pem et un privkey.pem

Le alice.pem, c'est le x509, et le privkey.pem, la cle privée si je
comprends bien?

Importer le certificat de l'un chez l'autre et vice versa (avec quel
outil?)


cp, mail ... ou import du fichier dans le courielleur

on parle donc bien du certificat x509, autrement dit de alice.pem qui

est librement diffusable, au contraire de privkey.pem?

Utiliser un outil (lequel?) qui va me crypter (ou signer) un document.


:/tmp$ openssl smime -encrypt -in file.plain -out
file.enc alice.pem


ca ok, mais:

:/tmp$ openssl smime -decrypt -inkey privkey.pem -in
file.enc.verified
Enter pass phrase for privkey.pem:

et la j'ai:

# echo bonjour > file.plain
# openssl smime -encrypt -in file.plain -out file.enc alice.pem
# ls
alice.pem file.enc file.plain privkey.pem
# file file.enc
file.enc: MIME entity text
# openssl smime -decrypt -inkey privkey.pem -in file.enc
No recipient certificate and key specified

je ne comprends pas, ca devrait fonctionner, pourtant?

J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?)


C'est le couteau suisse ;)

effectivement. A priori, on pourrai monter une PKI complete en

n'utilisant que openssl? (autorite de certifs, CRL, sous CA,
utilisateurs etc..)

Pour les opérations de chiffrement/signature/vérification/déchiffrement,
le plus simple est encore d'utiliser les fonctions du courrielleur dans
lequel on aura importé les certificats.

Le but pour moi c'est justement de comprendre ce qui se passe

reellement et de ne pas utiliser de frontend quelconque qui me
cacherait quelquechose.


Bastien Durel
Le #859835
On 07/03/2007 11:36, * wrote:
On 6 mar, 14:50, Bastien Durel
-tirer une clé publique/privée
-générer un certificat auto-signé
:/tmp$ openssl req -newkey rsa:1024 -x509 -out alice.pem

Generating a 1024 bit RSA private key
[...]> pour Alice

J'obtiens deux fichiers, un alice.pem et un privkey.pem

Le alice.pem, c'est le x509, et le privkey.pem, la cle privée si je
comprends bien?

Tout à fait.


Importer le certificat de l'un chez l'autre et vice versa (avec quel
outil?)
cp, mail ... ou import du fichier dans le courielleur


on parle donc bien du certificat x509, autrement dit de alice.pem qui

est librement diffusable, au contraire de privkey.pem?

Exactement. Note qu'il faudra peut-être ajouter la clef au certificat

pour l'importer ensuite dans un courrielleur ou l'outil qui s'en servira.

Utiliser un outil (lequel?) qui va me crypter (ou signer) un document.
:/tmp$ openssl smime -encrypt -in file.plain -out

file.enc alice.pem


ca ok, mais:

:/tmp$ openssl smime -decrypt -inkey privkey.pem -in
file.enc.verified
Enter pass phrase for privkey.pem:

et la j'ai:

# echo bonjour > file.plain
# openssl smime -encrypt -in file.plain -out file.enc alice.pem
# ls
alice.pem file.enc file.plain privkey.pem
# file file.enc
file.enc: MIME entity text
# openssl smime -decrypt -inkey privkey.pem -in file.enc
No recipient certificate and key specified

je ne comprends pas, ca devrait fonctionner, pourtant?

Oui. Ce message d'erreur ne devrait apparaître que si tu ne précises pas

de destinataire pour l'opération de chiffrement.

:/tmp/openssl$ openssl version
OpenSSL 0.9.8c 05 Sep 2006
:/tmp/openssl$ openssl smime -encrypt -in file.plain
-out file.enc bob.pem
:/tmp/openssl$ openssl smime -decrypt -inkey privkey.pem
-in file.enc bob.pem
Enter pass phrase for privkey.pem:
[...]

J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?)
C'est le couteau suisse ;)


effectivement. A priori, on pourrai monter une PKI complete en

n'utilisant que openssl? (autorite de certifs, CRL, sous CA,
utilisateurs etc..)

Oui.


Pour les opérations de chiffrement/signature/vérification/déchiffrement,
le plus simple est encore d'utiliser les fonctions du courrielleur dans
lequel on aura importé les certificats.

Le but pour moi c'est justement de comprendre ce qui se passe

reellement et de ne pas utiliser de frontend quelconque qui me
cacherait quelquechose.
But louable :)


Bonne chance,

--
Bastien
Lorsque la chance nous sourit, nous rencontrons des amis ; lorsqu'elle
est contre nous, une jolie femme.
-+- Proverbe chinois -+-



Philippe WEILL
Le #859833
wrote:
Bonjour

je cherche à réaliser les opérations suivantes:

-tirer une clé publique/privée
-générer un certificat auto-signé
pour Alice

répéter l'opération pour Bob

Voir le contenu des certificats (avec quel outil?)

Importer le certificat de l'un chez l'autre et vice versa (avec quel
outil?)

Utiliser un outil (lequel?) qui va me crypter (ou signer) un document.

l'envoyer a Bob.
Déchiffrer (vérifier la signature (avec quel outil?) ) le document.

J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?) Par contre c'est un peu
trop gros pour l'avaler en une seule fois et j'aimerai un petit peu
d'aide pour mes debuts avec.

Merci


tu peux t'appuyer sur ce document


http://www.formation.jussieu.fr/ars/2006-2007/SECURITE/tp/tp-ssl-ars-2007-corrige.pdf

corrigé d'un TP SSL que l'on fait

octane
Le #859829
On 8 mar, 09:26, Philippe WEILL wrote:
J'ai vu openssl sous linux. Je pense que c'est l'outil qui me servira
(oui? non? pour l'ensemble des opérations?) Par contre c'est un peu
trop gros pour l'avaler en une seule fois et j'aimerai un petit peu
d'aide pour mes debuts avec.

Merci


tu peux t'appuyer sur ce document

http://www.formation.jussieu.fr/ars/2006-2007/SECURITE/tp/tp-ssl-ars-...

corrigé d'un TP SSL que l'on fait


Merci.

Connaitriez vous des liens ou meme des livres oriente openssl?

idealement je voudrais etre capable de maqueter un petit systeme
CA, une ou plusieurs sous-CA, des utilisateurs de chiffrement et/ou de
signature, des CRL, et tester des revocations, des maj, des
modifications d'users etc..

J'ai egalement vu qu'openssl peut jouer le role d'un client ou d'un
serveur.
Est-ce qu'openssl me permettrait de faire du debug de services TLS?
Visualiser le certificat du serveur, par exemple.
Tester differents certificats a envoyer a un serveur.
C'est possible?


Damien Wyart
Le #859828
* in fr.comp.securite:
Connaitriez vous des liens ou meme des livres oriente openssl?


Il y a celui-ci : http://www.oreilly.com/catalog/openssl/, mais il
commence à dater un peu.

--
DW

Sebastien Monbrun aka TiChou
Le #861999
Dans le message ** tapota sur f.c.securite :

Connaitriez vous des liens ou meme des livres oriente openssl?


Il y a quelques articles intéressants et consacrés à SSL, x509 et OpenSSL
sur le site de HSC.
Un TP autour de OpenSSL et qui avait retenu mon attention à une époque :

http://www2.lifl.fr/~fontaine/PAC/TP5/

idealement je voudrais etre capable de maqueter un petit systeme
CA, une ou plusieurs sous-CA, des utilisateurs de chiffrement et/ou de
signature, des CRL, et tester des revocations, des maj, des
modifications d'users etc..


La formation en ligne de la DCSSI (ssi.gouv.fr) sur la cryptographie et les
IGC est un bon début pour la partie théorique.

J'ai egalement vu qu'openssl peut jouer le role d'un client ou d'un
serveur.
Est-ce qu'openssl me permettrait de faire du debug de services TLS?


Oui.

--
Sébastien Monbrun aka TiChou

Publicité
Poster une réponse
Anonyme