openssl s_server está esperando clave y certificado en caso de prueba de cifrado PSK

1

Soy nuevo en el dominio de seguridad,

En el caso de PSK, por qué openssl s_server está esperando el certificado y la clave . Si no doy entonces da error como abajo.

$ openssl s_server -psk fcc56e7668194a4775e5b36e2735551a -accept 1440
-cipher PSK-AES128-CBC-SHA 

Error opening server certificate private key file server.pem 139623549462168:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('server.pem','r')

139623549462168:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400: unable to load server certificate private key file

Si proporciono el certificado, se inicia openssl s_server .

$ openssl s_server -psk fcc56e7668194a4775e5b36e2735551a -key key.pem
-accept 1440 -cipher PSK-AES128-CBC-SHA -psk_hint Client_identity

openssl s_client no necesita un certificado

$ openssl s_client -connect localhost:1440 -psk fcc56e7668194a4775e5b36e2735551a 

Tengo las siguientes preguntas?

  1. el certificado y la clave no se van a usar en el cliente, solo se usará PSK, entonces ¿por qué s_server necesita un certificado?
  2. ¿Es este el enfoque correcto para probar PSK utilizando el servidor y el cliente de openssl?
  3. Estoy usando la clave RSA en el caso del servidor openssl para verificar el cifrado PSK-AES128-CBC-SHA, este es el formato de clave correcto para que lo verifique este cifrado.
pregunta Sachin 12.07.2017 - 22:42
fuente

1 respuesta

1

Tiene que usar explícitamente la opción -nocert para que no intente cargar el certificado predeterminado:

$ openssl s_server -psk fcc56e7668194a4775e5b36e2735551a -accept 1440 \
   -cipher PSK-AES128-CBC-SHA \
   -nocert
Using default temp DH parameters
ACCEPT
  
  1. el certificado y la clave no se usarán en el cliente, solo se usará PSK, ¿por qué s_server necesita el certificado?
  2.   

Un servidor TLS generalmente se usa con un certificado y, por lo tanto, s_server espera uno por defecto (y tiene una ruta predeterminada donde lo espera). Un cliente TLS se usa generalmente sin un certificado y, por lo tanto, s_client no espera uno.

  
  1. ¿Es este el enfoque correcto para probar PSK utilizando el servidor y el cliente de openssl?
  2.   

Además de agregar la opción -nocert y omitir el certificado, sí.

  
  1. Estoy usando la clave RSA en el caso del servidor openssl para verificar el cifrado PSK-AES128-CBC-SHA, es el formato correcto de la clave que debe verificar este cifrado.
  2.   

No se usa ningún certificado cuando se usa PSK, lo que significa que tampoco se usa una clave RSA.

    
respondido por el Steffen Ullrich 12.07.2017 - 23:03
fuente

Lea otras preguntas en las etiquetas