Estoy descubriendo OpenSSL, y ya lo usé para diagnosticar una conexión SMTP TLS defectuosa, pero me gustaría entender mejor y mejor la herramienta y cómo usarla.
¿Qué recursos debo usar para comenzar a aprender esta herramienta?
Estoy interesado en cualquier cosa, desde comandos de muestra, a cualquier guía sobre cómo entender y usar el resultado. Tengo un conocimiento básico de TLS, PKI, cifrado, etc., pero dada la complejidad de esta herramienta, ¡hay mucho más que aprender!
No hay buena documentación en OpenSSL, guarda su código fuente. Tristemente. Lo mejor que puede hacer es obtener cierta comprensión de los conceptos subyacentes y luego hacer algunas pruebas con OpenSSL para ver cómo les corresponde. Para SSL / TLS, sugiero leer la especificación TLS 1.0 , que es bastante legible e incluye algunos esquemas de cómo van las cosas un apretón de manos TLS.
Para los algoritmos criptográficos elementales, consulte el indispensable Manual de criptografía aplicada , que se puede descargar libremente. El capítulo 13 incluye una discusión sobre el concepto de certificados de clave pública.
Para los certificados X.509, primero debe comprender de qué se trata ASN.1; vea ASN.1 Complete , por John Larmouth. El libro se puede descargar libremente (después del registro) y es bueno siempre y cuando no compre la idea de que ASN.1 es genial: es una encarnación terrible de lo que podría haber sido una gran solución (el Diablo está en los detalles; en En el caso de ASN.1, el diablo tenía suficiente espacio para esconder una legión de demonios con él. Una vez que vea de qué se trata ASN.1, puede intentar echar un vistazo al estándar X.509, o al menos su perfil de Internet . Es un dominio profundo, oscuro y complejo, pavimentado con todas las Buenas Intenciones del mundo, y como una pesadilla que podría imaginar un científico demente que leyó demasiado Lovecraft. Toda esperanza, abandónense quienes entren aquí. También, eche un vistazo a X.509 Guía de estilo .
Mi amigo de confianza, Google, creó esta página que enlaza con algún código de ejemplo y documentación (como dos archivos PDF). ) explicando cómo usar OpenSSL (como una biblioteca).
Odio tratar de aprender cosas desde el punto de vista de "aquí hay una herramienta, ¿qué puedes hacer con ella?".
En cambio, me gustan las cosas desde el punto de vista de "aquí hay un problema, así es como puedes resolverlo con una herramienta".
Esta publicación de verificar la clave del hacker de Comodo es un buen ejemplo. Comienza con el problema donde un pirata informático afirma haber obtenido una clave SSL fraudulenta para "addons.mozilla.org". ¿Está diciendo la verdad? ¿Cómo puedes usar la herramienta 'openssl' para verificar esto? Luego trabajo hacia atrás para mostrar cómo, usando el 'openssl', para mostrar cómo se hace esto, desde varias perspectivas.
Aquí hay algunos comandos utilizados en OpenSSL
# Generate a public private key pair
openssl genrsa -out private-key.pem 2048
# Extract the public key in PEM format
openssl rsa -in private-key.pem -pubout > public-key.pem
# Encrypt a file
openssl rsautl -encrypt -inkey public-key.pem -pubin -in verify.txt -out encrypted
# Decrypt a file
openssl rsautl -decrypt -inkey private.pem -in encrypted -out decrypted.txt
(más por venir a medida que los encuentre)
Lea otras preguntas en las etiquetas public-key-infrastructure tls certificates