Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Keytool, OpenSSL und Co. Wofür nehme ich was und Warum?

on

  • 4,887 views

Kryptografie ist ein recht komplexes Thema, verbunden mit vielen Begriffen und Abkürzungen. In diesem Vortrag werden Begriffe erklärt und in Zusammenhang gebracht und die praktische Anwendung von ...

Kryptografie ist ein recht komplexes Thema, verbunden mit vielen Begriffen und Abkürzungen. In diesem Vortrag werden Begriffe erklärt und in Zusammenhang gebracht und die praktische Anwendung von Werkzeugen insbesondere im Java-Umfeld gezeigt.

Statistics

Views

Total Views
4,887
Views on SlideShare
4,884
Embed Views
3

Actions

Likes
1
Downloads
33
Comments
0

1 Embed 3

http://www.linkedin.com 3

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-ShareAlike LicenseCC Attribution-ShareAlike License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Keytool, OpenSSL und Co. Wofür nehme ich was und Warum? Presentation Transcript

  • 1. Keytool, OpenSSL und Co.Wofür nehme ich was und Warum? Jan Dittberner Communardo Software GmbH, Dresden 05.05.2011 . . . . . .
  • 2. Keytool, OpenSSL und Co. Jan Dittberner Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Zusammenfassung Sonstiges DateiformateKryptografie ist ein recht komplexes Thema, verbunden Lebenszyklusmit vielen Begriffen und Abkürzungen. In diesem PraktischesVortrag werden Begriffe erklärt und in Zusammenhang Werkzeuge Zertifikatslebenszyklusgebracht und die praktische Anwendung von Informationen zu KrypomaterialWerkzeugen insbesondere im Java-Umfeld gezeigt. Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 3. Keytool, OpenSSLBegriffserklärungen und Co. Allgemeines Jan Dittberner Symmetrische/Secret-Key Verschlüsselung Begriffe Asymmetrische/Public-Key Verschlüsselung Allgemeines Sym. Verschlüsselung PKI-Begriffe Asym. Verschlüsselung PKI Sonstiges Sonstiges DateiformateDateiformate Lebenszyklus PraktischesZertifikatlebenszyklus Werkzeuge ZertifikatslebenszyklusPraktisches Informationen zu Krypomaterial Werkzeuge Zertifikate konvertieren TLS-Tests mit OpenSSL Zertifikatslebenszyklus eigener Code? Fragen Informationen zu Krypomaterial Anhang Zertifikate konvertieren Literatur TLS-Tests mit OpenSSL eigener Code?Anhang . . . . . .
  • 4. Keytool, OpenSSLAllgemeines und Co. Jan DittbernerMessage Digest Hashfunktion, die möglichst kollisionsfrei Begriffe Nachrichten auf einen Zahlenwert abbilden, Allgemeines gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung Asym. Verschlüsselung SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI Sonstiges SHA-512) Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 5. Keytool, OpenSSLAllgemeines und Co. Jan DittbernerMessage Digest Hashfunktion, die möglichst kollisionsfrei Begriffe Nachrichten auf einen Zahlenwert abbilden, Allgemeines gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung Asym. Verschlüsselung SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI Sonstiges SHA-512) DateiformateMAC, Message Authentication Code kryptografisch Lebenszyklus gesicherte Prüfsumme für eine Nachricht, mit Praktisches Werkzeuge der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus Informationen zu können Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 6. Keytool, OpenSSLAllgemeines und Co. Jan DittbernerMessage Digest Hashfunktion, die möglichst kollisionsfrei Begriffe Nachrichten auf einen Zahlenwert abbilden, Allgemeines gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung Asym. Verschlüsselung SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI Sonstiges SHA-512) DateiformateMAC, Message Authentication Code kryptografisch Lebenszyklus gesicherte Prüfsumme für eine Nachricht, mit Praktisches Werkzeuge der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus Informationen zu können Krypomaterial Zertifikate konvertieren HMAC Verwendung eines mit einem symmetrischen TLS-Tests mit OpenSSL eigener Code? Verschlüsselungsverfahren verschlüsselten Fragen Message Digests als MAC Anhang Literatur . . . . . .
  • 7. Keytool, OpenSSLAllgemeines und Co. Jan DittbernerMessage Digest Hashfunktion, die möglichst kollisionsfrei Begriffe Nachrichten auf einen Zahlenwert abbilden, Allgemeines gängige Vertreter sind MD5, SHA-1 und die Sym. Verschlüsselung Asym. Verschlüsselung SHA-2-Familie (SHA-224, SHA-256, SHA-384, PKI Sonstiges SHA-512) DateiformateMAC, Message Authentication Code kryptografisch Lebenszyklus gesicherte Prüfsumme für eine Nachricht, mit Praktisches Werkzeuge der Integrität und Authentizität geprüft werden Zertifikatslebenszyklus Informationen zu können Krypomaterial Zertifikate konvertieren HMAC Verwendung eines mit einem symmetrischen TLS-Tests mit OpenSSL eigener Code? Verschlüsselungsverfahren verschlüsselten Fragen Message Digests als MAC Anhang Signatur mit einem asymmetrischen Verfahren Literatur verschlüsselter Message Digest einer Nachricht . . . . . .
  • 8. Keytool, OpenSSLSymmetrische/Secret-Key Verschlüsselung und Co. Jan Dittberner alle Beteiligten haben den gleichen geheimen Schlüssel Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren Abbildung: symmetrische Ver- und Entschlüsselung TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 9. Keytool, OpenSSLSymmetrische/Secret-Key Verschlüsselung und Co. Jan Dittberner alle Beteiligten haben den gleichen geheimen Schlüssel Begriffe der geheime Schlüssel wird für Ver- und Entschlüsselung Allgemeines Sym. Verschlüsselung verwendet Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren Abbildung: symmetrische Ver- und Entschlüsselung TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 10. Keytool, OpenSSLSymmetrische Verschlüsselung und Co. Jan Dittbernergeheimer Schlüssel, secret key gemeinsamer geheimer Begriffe Schlüssel der Kommunikationspartner bei Allgemeines symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 11. Keytool, OpenSSLSymmetrische Verschlüsselung und Co. Jan Dittbernergeheimer Schlüssel, secret key gemeinsamer geheimer Begriffe Schlüssel der Kommunikationspartner bei Allgemeines symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung Asym. Verschlüsselung PKIDES, Data Encryption Standard inzwischen als veraltet Sonstiges angesehenes symmetrisches Dateiformate Verschlüsselungsverfahren mit einer Lebenszyklus Schlüssellänge von 56 Bit Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 12. Keytool, OpenSSLSymmetrische Verschlüsselung und Co. Jan Dittbernergeheimer Schlüssel, secret key gemeinsamer geheimer Begriffe Schlüssel der Kommunikationspartner bei Allgemeines symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung Asym. Verschlüsselung PKIDES, Data Encryption Standard inzwischen als veraltet Sonstiges angesehenes symmetrisches Dateiformate Verschlüsselungsverfahren mit einer Lebenszyklus Schlüssellänge von 56 Bit Praktisches Werkzeuge3DES, Tripple DES, DESede Interimslösung vor Einführung Zertifikatslebenszyklus Informationen zu von AES bei der DES-Verschlüsselung- Krypomaterial Zertifikate konvertieren Entschlüsselung-Verschlüsselung mit drei TLS-Tests mit OpenSSL eigener Code? unterschiedlichen Schlüsseln durchgeführt wird Fragen (siehe Wikipedia [1, Triple-DES]) Anhang Literatur . . . . . .
  • 13. Keytool, OpenSSLSymmetrische Verschlüsselung und Co. Jan Dittbernergeheimer Schlüssel, secret key gemeinsamer geheimer Begriffe Schlüssel der Kommunikationspartner bei Allgemeines symmetrischen Verschlüsselungsverfahren Sym. Verschlüsselung Asym. Verschlüsselung PKIDES, Data Encryption Standard inzwischen als veraltet Sonstiges angesehenes symmetrisches Dateiformate Verschlüsselungsverfahren mit einer Lebenszyklus Schlüssellänge von 56 Bit Praktisches Werkzeuge3DES, Tripple DES, DESede Interimslösung vor Einführung Zertifikatslebenszyklus Informationen zu von AES bei der DES-Verschlüsselung- Krypomaterial Zertifikate konvertieren Entschlüsselung-Verschlüsselung mit drei TLS-Tests mit OpenSSL eigener Code? unterschiedlichen Schlüsseln durchgeführt wird Fragen (siehe Wikipedia [1, Triple-DES]) AnhangAES, Advanced Encryption Standard, Rijndael aktuelles Literatur symmetrisches Verschlüsselungsverfahren mit Schlüssellängen von 128, 192 oder 256 Bit . . . . . .
  • 14. Keytool, OpenSSLAsymmetrische/Public-Key Verschlüsselung und Co. Jan Dittberner jeder Kommunikationspartner hat einen geheimen Begriffe privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines Schlüssel Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur Abbildung: asymmetrische Ver- und Entschlüsselung . . . . . .
  • 15. Keytool, OpenSSLAsymmetrische/Public-Key Verschlüsselung und Co. Jan Dittberner jeder Kommunikationspartner hat einen geheimen Begriffe privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines Schlüssel Sym. Verschlüsselung Asym. Verschlüsselung PKI der private Schlüssel dient dazu Signaturen anzufertigen Sonstiges und Nachrichten zu entschlüsseln Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur Abbildung: asymmetrische Ver- und Entschlüsselung . . . . . .
  • 16. Keytool, OpenSSLAsymmetrische/Public-Key Verschlüsselung und Co. Jan Dittberner jeder Kommunikationspartner hat einen geheimen Begriffe privaten Schlüssel und veröffentlicht einen öffentlichen Allgemeines Schlüssel Sym. Verschlüsselung Asym. Verschlüsselung PKI der private Schlüssel dient dazu Signaturen anzufertigen Sonstiges und Nachrichten zu entschlüsseln Dateiformate Lebenszyklus der öffentliche Schlüssel dient dazu Nachrichten zu Praktisches verschlüsseln und Signaturen zu prüfen Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur Abbildung: asymmetrische Ver- und Entschlüsselung . . . . . .
  • 17. Keytool, OpenSSLAsymmetrische Verschlüsselung - Schlüssel und Co. Jan Dittbernerprivater Schlüssel, private key geheimer Teil eines Begriffe Allgemeines Schlüssels, der für Signaturen und Sym. Verschlüsselung Asym. Verschlüsselung Entschlüsselung verwendet werden PKI Sonstiges kann Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 18. Keytool, OpenSSLAsymmetrische Verschlüsselung - Schlüssel und Co. Jan Dittbernerprivater Schlüssel, private key geheimer Teil eines Begriffe Allgemeines Schlüssels, der für Signaturen und Sym. Verschlüsselung Asym. Verschlüsselung Entschlüsselung verwendet werden PKI Sonstiges kann Dateiformateöffentlicher Schlüssel, public key öffentlicher Teil Lebenszyklus eines Schlüssels, der zum Praktisches Werkzeuge Verschlüsseln und zum Prüfen von Zertifikatslebenszyklus Signaturen verwendet werden kann Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 19. Keytool, OpenSSLAsymmetrische Verschlüsselung - Schlüssel und Co. Jan Dittbernerprivater Schlüssel, private key geheimer Teil eines Begriffe Allgemeines Schlüssels, der für Signaturen und Sym. Verschlüsselung Asym. Verschlüsselung Entschlüsselung verwendet werden PKI Sonstiges kann Dateiformateöffentlicher Schlüssel, public key öffentlicher Teil Lebenszyklus eines Schlüssels, der zum Praktisches Werkzeuge Verschlüsseln und zum Prüfen von Zertifikatslebenszyklus Signaturen verwendet werden kann Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSLSchlüsselpaar, key pair ein Paar aus öffentlichem eigener Code? und dazugehörigem privatem Fragen Schlüssel Anhang Literatur . . . . . .
  • 20. Keytool, OpenSSLAsymmetrische Verschlüsselung - RSA, Elgamal und Co. Jan Dittberner RSA asymmetrisches Verschlüsselungs- Begriffe und Signatur-Verfahren (benannt Allgemeines Sym. Verschlüsselung nach den Erfindern Rivest, Shamir Asym. Verschlüsselung PKI und Adleman) beruht auf dem Sonstiges Problem große Zahlen in ihre Dateiformate Primfaktoren zu zerlegen (Wikipedia Lebenszyklus zu RSA-Kryptosystem [2]) Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 21. Keytool, OpenSSLAsymmetrische Verschlüsselung - RSA, Elgamal und Co. Jan Dittberner RSA asymmetrisches Verschlüsselungs- Begriffe und Signatur-Verfahren (benannt Allgemeines Sym. Verschlüsselung nach den Erfindern Rivest, Shamir Asym. Verschlüsselung PKI und Adleman) beruht auf dem Sonstiges Problem große Zahlen in ihre Dateiformate Primfaktoren zu zerlegen (Wikipedia Lebenszyklus zu RSA-Kryptosystem [2]) Praktisches Werkzeuge Elgamal asymmetrisches Verschlüsselungs- Zertifikatslebenszyklus Informationen zu und Signatur-Verfahren, beruht auf Krypomaterial Zertifikate konvertieren dem Problem des diskreten TLS-Tests mit OpenSSL eigener Code? Logarithmus (Wikipedia zu Fragen Elgamal-Kryptosystem [3]) Anhang Literatur . . . . . .
  • 22. Keytool, OpenSSLAsymmetrische Verschlüsselung - DSA, ECDSA und Co. Jan DittbernerDSA, Digital Signature Algorithm im Auftrag der Begriffe US-Regierung entwickeltes Verfahren für Allgemeines digitale Signaturen Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 23. Keytool, OpenSSLAsymmetrische Verschlüsselung - DSA, ECDSA und Co. Jan DittbernerDSA, Digital Signature Algorithm im Auftrag der Begriffe US-Regierung entwickeltes Verfahren für Allgemeines digitale Signaturen Sym. Verschlüsselung Asym. Verschlüsselung PKIECDSA, Elliptic Curve DSA erweiterte Variante von DSA, Sonstiges die statt großen Primzahlen Punkte auf Dateiformate elliptischen Kurven als Schlüsselwerte Lebenszyklus verwendet Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 24. Keytool, OpenSSLAsymmetrische Verschlüsselung - DH und ECDH und Co. Jan DittbernerDH, Diffie-Hellman Verfahren für den Austausch von Begriffe Session-Schlüsseln über unsichere Kanäle Allgemeines (siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung Asym. Verschlüsselung Grundlage des Elgamal-Kryptosystems (basiert PKI Sonstiges auf diskreten Logarithmen) Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 25. Keytool, OpenSSLAsymmetrische Verschlüsselung - DH und ECDH und Co. Jan DittbernerDH, Diffie-Hellman Verfahren für den Austausch von Begriffe Session-Schlüsseln über unsichere Kanäle Allgemeines (siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung Asym. Verschlüsselung Grundlage des Elgamal-Kryptosystems (basiert PKI Sonstiges auf diskreten Logarithmen) DateiformateECDH, Elliptic curve Diffie–Hellman verwendet elliptische Lebenszyklus Kurven statt große Zufallszahlen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 26. Keytool, OpenSSLAsymmetrische Verschlüsselung - DH und ECDH und Co. Jan DittbernerDH, Diffie-Hellman Verfahren für den Austausch von Begriffe Session-Schlüsseln über unsichere Kanäle Allgemeines (siehe Wikipedia [4]). Diffie-Hellman ist Sym. Verschlüsselung Asym. Verschlüsselung Grundlage des Elgamal-Kryptosystems (basiert PKI Sonstiges auf diskreten Logarithmen) DateiformateECDH, Elliptic curve Diffie–Hellman verwendet elliptische Lebenszyklus Kurven statt große Zufallszahlen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang LiteraturAbbildung: Prinzip des Diffie-Hellman-Schlüsselaustauschs, Quelle:Wikipedia . . . . . .
  • 27. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 1 und Co. Jan DittbernerPKI, Public Key Infrastructure System zum Beantragen, Begriffe Ausstellen, Verteilen und Prüfen von Allgemeines Zertifikaten Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 28. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 1 und Co. Jan DittbernerPKI, Public Key Infrastructure System zum Beantragen, Begriffe Ausstellen, Verteilen und Prüfen von Allgemeines Zertifikaten Sym. Verschlüsselung Asym. Verschlüsselung PKICA, Certicate Authority eine CA stellt Zertifikate für Sonstiges öffentliche Schlüssel aus und garantiert damit Dateiformate die Zugehörigkeit des privaten Schlüssels zu Lebenszyklus seinem Besitzer Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 29. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 1 und Co. Jan DittbernerPKI, Public Key Infrastructure System zum Beantragen, Begriffe Ausstellen, Verteilen und Prüfen von Allgemeines Zertifikaten Sym. Verschlüsselung Asym. Verschlüsselung PKICA, Certicate Authority eine CA stellt Zertifikate für Sonstiges öffentliche Schlüssel aus und garantiert damit Dateiformate die Zugehörigkeit des privaten Schlüssels zu Lebenszyklus seinem Besitzer Praktisches Werkzeuge Zertifikat ein Zertifikat ist ein digital signierter Public Zertifikatslebenszyklus Informationen zu Key mit zusätzlichen Attributen Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 30. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 2 und Co. Jan Dittberner X.509 ITU-T-Standard für eine PKI, fordert ein Begriffe hierarchisches System von vertrauenswürdigen Allgemeines Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung Asym. Verschlüsselung Sperrlisten PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 31. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 2 und Co. Jan Dittberner X.509 ITU-T-Standard für eine PKI, fordert ein Begriffe hierarchisches System von vertrauenswürdigen Allgemeines Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung Asym. Verschlüsselung Sperrlisten PKI Sonstiges PKIX IETF-Profil von X.509 welches konkrete Details Dateiformate für Zertifikate und CRLs, sowie Lebenszyklus X.509-Extensions definiert (RFC-5280 [5]) Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 32. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 2 und Co. Jan Dittberner X.509 ITU-T-Standard für eine PKI, fordert ein Begriffe hierarchisches System von vertrauenswürdigen Allgemeines Zertifizierungsstellen (CAs), Zertifikaten und Sym. Verschlüsselung Asym. Verschlüsselung Sperrlisten PKI Sonstiges PKIX IETF-Profil von X.509 welches konkrete Details Dateiformate für Zertifikate und CRLs, sowie Lebenszyklus X.509-Extensions definiert (RFC-5280 [5]) Praktisches WerkzeugeCSR, Certificate Signing Request wird mit dem privaten Zertifikatslebenszyklus Informationen zu Schlüssel signiert und an eine CA zum Krypomaterial Zertifikate konvertieren Signieren gegeben, enthält Wünsche für TLS-Tests mit OpenSSL eigener Code? Parameter des Zertifikats (Subject und Fragen X.509-Extensions), spezifiziert in RFC-2986 [6] Anhang Literatur . . . . . .
  • 33. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 3 und Co. Jan DittbernerCRL, Certificate Revocation List Zertifikatssperrlisten Begriffe werden von CAs herausgegeben um Allgemeines widerrufene Zertifikate bekanntzugeben Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 34. Keytool, OpenSSLBegriffe aus dem PKI-Umfeld - Teil 3 und Co. Jan DittbernerCRL, Certificate Revocation List Zertifikatssperrlisten Begriffe werden von CAs herausgegeben um Allgemeines widerrufene Zertifikate bekanntzugeben Sym. Verschlüsselung Asym. Verschlüsselung PKIOCSP, Online Certificate Status Protocol ein meist per Sonstiges HTTP zur Verfügung gestellter Dienst der CAs Dateiformate um direkt zu prüfen, ob ein Zertifikat Lebenszyklus widerrufen wurde Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 35. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPKCS, Public Key Cryptography Standard eine Serie von Begriffe Dokumenten zu kryptografischen Verfahren der Allgemeines Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung Asym. Verschlüsselung anderen Standards aufgenommen worden PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 36. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPKCS, Public Key Cryptography Standard eine Serie von Begriffe Dokumenten zu kryptografischen Verfahren der Allgemeines Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung Asym. Verschlüsselung anderen Standards aufgenommen worden PKI SonstigesASN.1, Abstract Syntax Notation One Standard für Dateiformate Textbeschreibung von Binärcodierung mit der Lebenszyklus die Daten fast aller kryptografischen Verfahren Praktisches Werkzeuge in den jeweiligen Standards beschrieben werden Zertifikatslebenszyklus Informationen zu (siehe Wikipedia [8]) Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 37. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPKCS, Public Key Cryptography Standard eine Serie von Begriffe Dokumenten zu kryptografischen Verfahren der Allgemeines Firma RSA-Laboratories [7] viele davon sind in Sym. Verschlüsselung Asym. Verschlüsselung anderen Standards aufgenommen worden PKI SonstigesASN.1, Abstract Syntax Notation One Standard für Dateiformate Textbeschreibung von Binärcodierung mit der Lebenszyklus die Daten fast aller kryptografischen Verfahren Praktisches Werkzeuge in den jeweiligen Standards beschrieben werden Zertifikatslebenszyklus Informationen zu (siehe Wikipedia [8]) Krypomaterial Zertifikate konvertierenCMS, Cryptographic Message Syntax Standard für die TLS-Tests mit OpenSSL eigener Code? Signierung und Verschlüsselung von Fragen Nachrichten, nutzt X.509-Infrastruktur für Anhang Schlüssel (spezifiziert in RFC-5652 [9]) Literatur . . . . . .
  • 38. Keytool, OpenSSLSonstige Begriffe und Co. Jan Dittberner S/MIME Standard für Signatur und Verschlüsselung von Begriffe MIME-Nachrichten auf Basis von CMS, Allgemeines benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung Asym. Verschlüsselung für E-Mail, kann aber auch für Web Services PKI Sonstiges und andere MIME-Anwendungen verwendet Dateiformate werden (spezifiziert in RFC-3851 [10]) Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 39. Keytool, OpenSSLSonstige Begriffe und Co. Jan Dittberner S/MIME Standard für Signatur und Verschlüsselung von Begriffe MIME-Nachrichten auf Basis von CMS, Allgemeines benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung Asym. Verschlüsselung für E-Mail, kann aber auch für Web Services PKI Sonstiges und andere MIME-Anwendungen verwendet Dateiformate werden (spezifiziert in RFC-3851 [10]) LebenszyklusSSL, Secure Sockets Layer, TLS, Transport Layer Security Praktisches Werkzeuge hybride Verschlüsselung für Zertifikatslebenszyklus Informationen zu Socket-Verbindungen. TLS ist der von der Krypomaterial Zertifikate konvertieren IETF standardisierte Nachfolger von SSL TLS-Tests mit OpenSSL eigener Code? (TLS 1.2 spezifiziert in RFC-5246 [11]) Fragen Anhang Literatur . . . . . .
  • 40. Keytool, OpenSSLSonstige Begriffe und Co. Jan Dittberner S/MIME Standard für Signatur und Verschlüsselung von Begriffe MIME-Nachrichten auf Basis von CMS, Allgemeines benötigt X.509-Zertifikate, wird hauptsächlich Sym. Verschlüsselung Asym. Verschlüsselung für E-Mail, kann aber auch für Web Services PKI Sonstiges und andere MIME-Anwendungen verwendet Dateiformate werden (spezifiziert in RFC-3851 [10]) LebenszyklusSSL, Secure Sockets Layer, TLS, Transport Layer Security Praktisches Werkzeuge hybride Verschlüsselung für Zertifikatslebenszyklus Informationen zu Socket-Verbindungen. TLS ist der von der Krypomaterial Zertifikate konvertieren IETF standardisierte Nachfolger von SSL TLS-Tests mit OpenSSL eigener Code? (TLS 1.2 spezifiziert in RFC-5246 [11]) FragenTLS-Handshake Verfahren zur Aushandlung der Anhang Verbindungsparameter bei TLS (gute Literatur Beschreibung in Wikipedia [12]) . . . . . .
  • 41. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPGP, OpenPGP Alternative für einige Anwendungsfälle von Begriffe X.509 (S/MIME, CMS), bei der die Allgemeines Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung Asym. Verschlüsselung Hierarchie von CAs sondern durch ein PKI Sonstiges Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate ursprüngliche Software, OpenPGP der später Lebenszyklus entwickelte Standard dazu Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 42. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPGP, OpenPGP Alternative für einige Anwendungsfälle von Begriffe X.509 (S/MIME, CMS), bei der die Allgemeines Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung Asym. Verschlüsselung Hierarchie von CAs sondern durch ein PKI Sonstiges Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate ursprüngliche Software, OpenPGP der später Lebenszyklus entwickelte Standard dazu Praktisches WerkzeugeGNUPG, GNU Privacy Guard freie, teils vom Zertifikatslebenszyklus Informationen zu Bundesministerium des Innern finanzierte, Krypomaterial Zertifikate konvertieren OpenPGP-Implementierung (in Version 2 auch TLS-Tests mit OpenSSL eigener Code? mit S/MIME und X.509-Unterstützung) Fragen Anhang Literatur . . . . . .
  • 43. Keytool, OpenSSLSonstige Begriffe und Co. Jan DittbernerPGP, OpenPGP Alternative für einige Anwendungsfälle von Begriffe X.509 (S/MIME, CMS), bei der die Allgemeines Vertrauenswürdigkeit nicht durch eine Sym. Verschlüsselung Asym. Verschlüsselung Hierarchie von CAs sondern durch ein PKI Sonstiges Web-Of-Trust gewährleistet wird. PGP ist die Dateiformate ursprüngliche Software, OpenPGP der später Lebenszyklus entwickelte Standard dazu Praktisches WerkzeugeGNUPG, GNU Privacy Guard freie, teils vom Zertifikatslebenszyklus Informationen zu Bundesministerium des Innern finanzierte, Krypomaterial Zertifikate konvertieren OpenPGP-Implementierung (in Version 2 auch TLS-Tests mit OpenSSL eigener Code? mit S/MIME und X.509-Unterstützung) Fragen SSH-Keys RSA-, DSA oder ECDSA-Schlüssel für Anhang Verwendung mit Secure Shell, in der Regel Literatur ohne Signatur . . . . . .
  • 44. Keytool, OpenSSLBegriffserklärungen und Co. Allgemeines Jan Dittberner Symmetrische/Secret-Key Verschlüsselung Begriffe Asymmetrische/Public-Key Verschlüsselung Allgemeines Sym. Verschlüsselung PKI-Begriffe Asym. Verschlüsselung PKI Sonstiges Sonstiges DateiformateDateiformate Lebenszyklus PraktischesZertifikatlebenszyklus Werkzeuge ZertifikatslebenszyklusPraktisches Informationen zu Krypomaterial Werkzeuge Zertifikate konvertieren TLS-Tests mit OpenSSL Zertifikatslebenszyklus eigener Code? Fragen Informationen zu Krypomaterial Anhang Zertifikate konvertieren Literatur TLS-Tests mit OpenSSL eigener Code?Anhang . . . . . .
  • 45. Keytool, OpenSSL und Co. Jan DittbernerTabelle: Dateiformate für Schlüssel und Zertifikate BegriffeFormat typische Dateiendungen Allgemeines Sym. VerschlüsselungDER .der, .crt Asym. VerschlüsselungPEM .crt, .pem, .csr.pem, .key.pem PKI SonstigesCSR .csr, .csr.pem DateiformateJKS .jks LebenszyklusPKCS#12 .pfx, .p12 Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 46. Keytool, OpenSSLDER-Format und Co. Jan DittbernerDateiendungen Begriffe Allgemeines.der, .crt Sym. Verschlüsselung Asym. Verschlüsselung PKIVerwendung SonstigesASN.1 DER (distinguished encoding rules) kodierte Dateiformate LebenszyklusBinärform von X.509-Zertifikaten Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 47. Keytool, OpenSSLPEM-Format und Co. Jan DittbernerDateiendungen Begriffe.crt, .pem, .csr.pem, .key.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI SonstigesBase64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformateoder Certificate Signing Requests, die Art der Information ist Lebenszyklusaus dem Dateianfang zu erkennen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zuBeispiel: RSA-Schlüssel Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?-----BEGIN RSA PRIVATE KEY----- FragenMIIEowIBAAKCAQEAnV9xp3adb8vNfljrPktWXfMk AnhangkAElT1Zr7LZHWP1k1QkxPAzHa/ZBrpok9Cwxm3fh Literatur...APoP0gAuvgvv74V34z1IdwmpAuGc894US3uu5AKF7cTsTFU2WaQ1bSq/DlZX1X5CB59ZFCQeCrQ+u75F-----END RSA PRIVATE KEY----- . . . . . .
  • 48. Keytool, OpenSSLPEM-Format und Co. Jan DittbernerDateiendungen Begriffe.crt, .pem, .csr.pem, .key.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI SonstigesBase64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformateoder Certificate Signing Requests, die Art der Information ist Lebenszyklusaus dem Dateianfang zu erkennen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zuBeispiel: Certificate Signing Request Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?-----BEGIN CERTIFICATE REQUEST----- FragenMIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR AnhangITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 Literatur...yMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQqGn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T-----END CERTIFICATE REQUEST----- . . . . . .
  • 49. Keytool, OpenSSLPEM-Format und Co. Jan DittbernerDateiendungen Begriffe.crt, .pem, .csr.pem, .key.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI SonstigesBase64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformateoder Certificate Signing Requests, die Art der Information ist Lebenszyklusaus dem Dateianfang zu erkennen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zuBeispiel: X.509-Zertifikat Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?-----BEGIN CERTIFICATE----- FragenMIIDXTCCAkWgAwIBAgIJAN5wwO9NJQ/MMA0GCSqG AnhangBAYTAkFVMRMwEQYDVQQIDApTb21lLVN0YXRlMSEw Literatur...HptNKsF1qNl0Hud//5colueA44Q4zwVdVk3tfG36AQ==-----END CERTIFICATE----- . . . . . .
  • 50. Keytool, OpenSSLPEM-Format und Co. Jan DittbernerDateiendungen Begriffe.crt, .pem, .csr.pem, .key.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI SonstigesBase64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformateoder Certificate Signing Requests, die Art der Information ist Lebenszyklusaus dem Dateianfang zu erkennen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zuBeispiel: DSA-Schlüssel Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?-----BEGIN DSA PRIVATE KEY----- FragenMIIDVgIBAAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUq Anhang/M3n90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbS Literatur.../uQ73RuPSaWYd2ZLp/XNdpok9FkBQEglLxKcBz7RVsEJSEKeQgIhAOyJXfhC/dR9Ze/JMkfW0tdx+PiX-----END DSA PRIVATE KEY----- . . . . . .
  • 51. Keytool, OpenSSLPEM-Format und Co. Jan DittbernerDateiendungen Begriffe.crt, .pem, .csr.pem, .key.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI SonstigesBase64-Variante von DER kodierten Zertifikaten, -Schlüsseln Dateiformateoder Certificate Signing Requests, die Art der Information ist Lebenszyklusaus dem Dateianfang zu erkennen Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zuBeispiel: DSA-Parameter Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?-----BEGIN DSA PARAMETERS----- FragenMIICLAKCAQEAtwA+O6KkHvhBhBvPdrNqjBUqE789 Anhang90/KvJ2rXsyS3L43n4pwLfjzOLSC3dD9UVbSdMsf Literatur...vTtpWyBLmitxSbnW4v4kEbfJu2Id8xfd5kv2vmGeFCjWnHvUSG9Za2R4pJ5fF4lqu/Nwg08Ccylt+a4z-----END DSA PARAMETERS----- . . . . . .
  • 52. Keytool, OpenSSLCSR - Certificate Signing Request und Co. Jan DittbernerDateiendungen Begriffe.csr, .csr.pem Allgemeines Sym. Verschlüsselung Asym. VerschlüsselungVerwendung PKI Sonstigesin der Regel PEM-kodierter PKCS#10 Certificate Signing DateiformateRequest, enthält Parameter für den Subject-Namen, optional Lebenszyklusmit gewünschten X.509-Erweiterungen Praktisches WerkzeugeBeispiel: CSR in PEM-Format Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL-----BEGIN CERTIFICATE REQUEST----- eigener Code?MIICijCCAXICAQAwRTELMAkGA1UEBhMCQVUxEzAR FragenITAfBgNVBAoMGEludGVybmV0IFdpZGdpdHMgUHR5 Anhang... LiteraturyMC285oI/yRSoUm+P6DnPrb9hbuArIYRQoEPzDQqGn/vebVHw2nu6TRPo7N3oyBCiXMrstvhRnsk374T-----END CERTIFICATE REQUEST----- . . . . . .
  • 53. Keytool, OpenSSLJKS - Java Keystore und Co. Jan DittbernerDateiendungen Begriffe Allgemeines.jks Sym. Verschlüsselung Asym. Verschlüsselung PKIVerwendung SonstigesJava-Keystore, proprietäres Format für KeyStores und Dateiformate LebenszyklusTrustStores im Java-Umfeld, kann als vertrauenswürdig Praktischeseingestufte Zertifikate und/oder Schlüsselpaare mit Werkzeugezugehörigen Zertifikaten enthalten Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertierenAnmerkung TLS-Tests mit OpenSSL eigener Code?Standardpasswort (leider oft ungeändert) ist changeit Fragen Anhang Literatur . . . . . .
  • 54. Keytool, OpenSSLPKCS#12 und Co. Jan DittbernerDateiendungen Begriffe Allgemeines.p12, .pfx Sym. Verschlüsselung Asym. Verschlüsselung PKIVerwendung SonstigesStandardformat für mit passwortbasierten Verfahren (PBE, Dateiformate Lebenszykluspassword based encryption) verschlüsselte Container für PraktischesSchlüsselpaare mit deren Zertifikaten Werkzeuge ZertifikatslebenszyklusAnmerkung Informationen zu Krypomaterial Zertifikate konvertierenDie mit dem JDK mitgelieferte PKCS#12-Implementierung TLS-Tests mit OpenSSL eigener Code?ist nur eingeschränkt standardkonform (kann z.B. keine FragenZertifikate ohne private Schlüssel speichern) Anhang Literatur . . . . . .
  • 55. Keytool, OpenSSLBegriffserklärungen und Co. Allgemeines Jan Dittberner Symmetrische/Secret-Key Verschlüsselung Begriffe Asymmetrische/Public-Key Verschlüsselung Allgemeines Sym. Verschlüsselung PKI-Begriffe Asym. Verschlüsselung PKI Sonstiges Sonstiges DateiformateDateiformate Lebenszyklus PraktischesZertifikatlebenszyklus Werkzeuge ZertifikatslebenszyklusPraktisches Informationen zu Krypomaterial Werkzeuge Zertifikate konvertieren TLS-Tests mit OpenSSL Zertifikatslebenszyklus eigener Code? Fragen Informationen zu Krypomaterial Anhang Zertifikate konvertieren Literatur TLS-Tests mit OpenSSL eigener Code?Anhang . . . . . .
  • 56. Keytool, OpenSSL und Co. Abbildung: Das Leben eines Zertifikats Jan Dittberner Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung CA-Key PKI f rru Sonstiges W ide Dateiformate Zertifikat Lebenszyklus Praktisches auf Abl WerkzeugeSchlüsselpaar Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?Signing Request Fragen ern Anhang . n eu Literatur Er . . . . . .
  • 57. Keytool, OpenSSLBegriffserklärungen und Co. Allgemeines Jan Dittberner Symmetrische/Secret-Key Verschlüsselung Begriffe Asymmetrische/Public-Key Verschlüsselung Allgemeines Sym. Verschlüsselung PKI-Begriffe Asym. Verschlüsselung PKI Sonstiges Sonstiges DateiformateDateiformate Lebenszyklus PraktischesZertifikatlebenszyklus Werkzeuge ZertifikatslebenszyklusPraktisches Informationen zu Krypomaterial Werkzeuge Zertifikate konvertieren TLS-Tests mit OpenSSL Zertifikatslebenszyklus eigener Code? Fragen Informationen zu Krypomaterial Anhang Zertifikate konvertieren Literatur TLS-Tests mit OpenSSL eigener Code?Anhang . . . . . .
  • 58. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 59. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe kann mit JKS- und rudimentär mit PKCS#12-Keystores Allgemeines Sym. Verschlüsselung umgehen Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 60. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe kann mit JKS- und rudimentär mit PKCS#12-Keystores Allgemeines Sym. Verschlüsselung umgehen Asym. Verschlüsselung PKI nutzt intern die JCE/JCA-APIs der Java-Runtime Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 61. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe kann mit JKS- und rudimentär mit PKCS#12-Keystores Allgemeines Sym. Verschlüsselung umgehen Asym. Verschlüsselung PKI nutzt intern die JCE/JCA-APIs der Java-Runtime Sonstiges Dateiformate rudimentär zum Erzeugen von Schlüsseln und CSRs Lebenszyklus geeignet Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 62. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe kann mit JKS- und rudimentär mit PKCS#12-Keystores Allgemeines Sym. Verschlüsselung umgehen Asym. Verschlüsselung PKI nutzt intern die JCE/JCA-APIs der Java-Runtime Sonstiges Dateiformate rudimentär zum Erzeugen von Schlüsseln und CSRs Lebenszyklus geeignet Praktisches spezialisiert auf Verwaltung von Zertifikaten im Werkzeuge Zertifikatslebenszyklus Java-spezifischen JKS-Format Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 63. Keytool, OpenSSLkeytool und Co. Jan Dittberner Wird mit dem JDK mitgeliefert Begriffe kann mit JKS- und rudimentär mit PKCS#12-Keystores Allgemeines Sym. Verschlüsselung umgehen Asym. Verschlüsselung PKI nutzt intern die JCE/JCA-APIs der Java-Runtime Sonstiges Dateiformate rudimentär zum Erzeugen von Schlüsseln und CSRs Lebenszyklus geeignet Praktisches spezialisiert auf Verwaltung von Zertifikaten im Werkzeuge Zertifikatslebenszyklus Java-spezifischen JKS-Format Informationen zu Krypomaterial Zertifikate konvertieren http://download.oracle.com/javase/6/docs/ TLS-Tests mit OpenSSL eigener Code? technotes/tools/windows/keytool.html Fragen Anhang Literatur . . . . . .
  • 64. Keytool, OpenSSLOpenSSL und Co. Jan Dittberner OpenSource-Crypto-Implementierung Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 65. Keytool, OpenSSLOpenSSL und Co. Jan Dittberner OpenSource-Crypto-Implementierung Begriffe bietet Funktionen für fast jeden Anwendungsfall im Allgemeines Sym. Verschlüsselung Bereich der Kryptografie Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 66. Keytool, OpenSSLOpenSSL und Co. Jan Dittberner OpenSource-Crypto-Implementierung Begriffe bietet Funktionen für fast jeden Anwendungsfall im Allgemeines Sym. Verschlüsselung Bereich der Kryptografie Asym. Verschlüsselung PKI openssl als Kommandozeilen-Frontend einer Sonstiges C-Bibliothek Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 67. Keytool, OpenSSLOpenSSL und Co. Jan Dittberner OpenSource-Crypto-Implementierung Begriffe bietet Funktionen für fast jeden Anwendungsfall im Allgemeines Sym. Verschlüsselung Bereich der Kryptografie Asym. Verschlüsselung PKI openssl als Kommandozeilen-Frontend einer Sonstiges C-Bibliothek Dateiformate Lebenszyklus http://www.openssl.org/ Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 68. Keytool, OpenSSLeigener Code und Co. Jan Dittberner für einige Grenzfälle die OpenSSL nicht abdeckt Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 69. Keytool, OpenSSLeigener Code und Co. Jan Dittberner für einige Grenzfälle die OpenSSL nicht abdeckt Begriffe für dynamische Erzeugung von Keys-, CSRs- oder Allgemeines Sym. Verschlüsselung Zertifikaten z.B. für Tests Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 70. Keytool, OpenSSLeigener Code und Co. Jan Dittberner für einige Grenzfälle die OpenSSL nicht abdeckt Begriffe für dynamische Erzeugung von Keys-, CSRs- oder Allgemeines Sym. Verschlüsselung Zertifikaten z.B. für Tests Asym. Verschlüsselung PKI kann z.B. mit der openssl-Library (C), m2crypto Sonstiges (Python) oder dem JDK in Zusammenarbeit mit Dateiformate Lebenszyklus BouncyCastle implementiert werden Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 71. Keytool, OpenSSLeigener Code und Co. Jan Dittberner für einige Grenzfälle die OpenSSL nicht abdeckt Begriffe für dynamische Erzeugung von Keys-, CSRs- oder Allgemeines Sym. Verschlüsselung Zertifikaten z.B. für Tests Asym. Verschlüsselung PKI kann z.B. mit der openssl-Library (C), m2crypto Sonstiges (Python) oder dem JDK in Zusammenarbeit mit Dateiformate Lebenszyklus BouncyCastle implementiert werden Praktisches Aufwand meist recht hoch, also erst prüfen was openssl Werkzeuge Zertifikatslebenszyklus und keytool schon können Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 72. Keytool, OpenSSL und Co. Jan Dittberner Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 1 Begriffe gut geeignet eingeschränkt geeignet nicht geeignet Allgemeines Sym. VerschlüsselungAnwendungsfall keytool openssl eigenes Asym. Verschlüsselung PKIRSA-Key erzeugen SonstigesCSR erzeugen DateiformateZertifikat (self-signed) erzeu- Lebenszyklusgen Praktisches WerkzeugeZertifikat aus CSR signieren Zertifikatslebenszyklus Informationen zuInformationen aus JKS anzei- Krypomaterial Zertifikate konvertierengen TLS-Tests mit OpenSSL eigener Code?Informationen aus PEM an- Fragenzeigen Anhang Literatur . . . . . .
  • 73. Keytool, OpenSSL und Co. Jan Dittberner Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 2 Begriffe gut geeignet eingeschränkt geeignet nicht geeignet Allgemeines Sym. VerschlüsselungAnwendungsfall keytool openssl eigenes Asym. Verschlüsselung PKIKeyPair als PEM speichern SonstigesKeyPair aus PEM in JKS im- Dateiformateportieren LebenszyklusKeyPair aus PKCS#12 in Praktisches WerkzeugeJKS importieren Zertifikatslebenszyklus Informationen zuKey und Zertifikat in Krypomaterial Zertifikate konvertierenPKCS#12 umwandeln TLS-Tests mit OpenSSL eigener Code?Zertifikat in JKS importieren Fragen Anhang Literatur . . . . . .
  • 74. Keytool, OpenSSL und Co. Jan Dittberner Tabelle: Entscheidungsmatrix für Crypto-Werkzeuge - Teil 3 Begriffe gut geeignet eingeschränkt geeignet nicht geeignet Allgemeines Sym. VerschlüsselungAnwendungsfall keytool openssl eigenes Asym. Verschlüsselung PKIVerwendung als CA SonstigesCRL erzeugen DateiformateZertifikat gegen CRL prüfen LebenszyklusTLS-Verbindung testen Praktisches WerkzeugeOCSP-Testserver betreiben Zertifikatslebenszyklus Informationen zuZertifikat gegen OCSP prü- Krypomaterial Zertifikate konvertierenfen TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 75. Keytool, OpenSSLZertifikats-Lebenszyklus und Co. Jan DittbernerBeispiele der Verwendung von OpenSSL und keytool Begriffe Erzeugen von Keys, CSRs, CRLs und Zertifikaten Allgemeines Sym. Verschlüsselung Widerrufen von Zertifikaten Asym. Verschlüsselung PKI Test-OCSP-Endpoint und OCSP-Client Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 76. Keytool, OpenSSL und Co. Abbildung: Das Leben eines Zertifikats Jan Dittberner Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung CA-Key PKI f rru Sonstiges W ide Dateiformate Zertifikat Lebenszyklus Praktisches auf Abl WerkzeugeSchlüsselpaar Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code?Signing Request Fragen ern Anhang . n eu Literatur Er . . . . . .
  • 77. Keytool, OpenSSLOpenSSL - Schlüssel und CSRs erzeugen und Co. Jan Dittberner Key erzeugen Begriffe openssl genrsa -out rsatest1.key.pem 2048 Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 78. Keytool, OpenSSLOpenSSL - Schlüssel und CSRs erzeugen und Co. Jan Dittberner Key erzeugen Begriffe openssl genrsa -out rsatest1.key.pem 2048 Allgemeines Sym. Verschlüsselung CSR erzeugen Asym. Verschlüsselung PKI openssl req -new -key rsatest1.key.pem -out Sonstiges csrtest1.csr.pem Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 79. Keytool, OpenSSLOpenSSL - Schlüssel und CSRs erzeugen und Co. Jan Dittberner Key erzeugen Begriffe openssl genrsa -out rsatest1.key.pem 2048 Allgemeines Sym. Verschlüsselung CSR erzeugen Asym. Verschlüsselung PKI openssl req -new -key rsatest1.key.pem -out Sonstiges csrtest1.csr.pem Dateiformate Lebenszyklus Key und CSR gemeinsam erzeugen Praktisches openssl req -new -newkey rsa:2048 -nodes Werkzeuge -keyout rsatest2.key.pem -out Zertifikatslebenszyklus Informationen zu Krypomaterial csrtest2.csr.pem Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 80. Keytool, OpenSSLOpenSSL - Schlüssel und CSRs erzeugen und Co. Jan Dittberner Key erzeugen Begriffe openssl genrsa -out rsatest1.key.pem 2048 Allgemeines Sym. Verschlüsselung CSR erzeugen Asym. Verschlüsselung PKI openssl req -new -key rsatest1.key.pem -out Sonstiges csrtest1.csr.pem Dateiformate Lebenszyklus Key und CSR gemeinsam erzeugen Praktisches openssl req -new -newkey rsa:2048 -nodes Werkzeuge -keyout rsatest2.key.pem -out Zertifikatslebenszyklus Informationen zu Krypomaterial csrtest2.csr.pem Zertifikate konvertieren TLS-Tests mit OpenSSL CSR-Informationen anzeigen eigener Code? openssl req -in csrtest2.csr.pem -noout -text Fragen Anhang Literatur . . . . . .
  • 81. Keytool, OpenSSLOpenSSL - Schlüssel und CSRs erzeugen und Co. Jan Dittberner Key erzeugen Begriffe openssl genrsa -out rsatest1.key.pem 2048 Allgemeines Sym. Verschlüsselung CSR erzeugen Asym. Verschlüsselung PKI openssl req -new -key rsatest1.key.pem -out Sonstiges csrtest1.csr.pem Dateiformate Lebenszyklus Key und CSR gemeinsam erzeugen Praktisches openssl req -new -newkey rsa:2048 -nodes Werkzeuge -keyout rsatest2.key.pem -out Zertifikatslebenszyklus Informationen zu Krypomaterial csrtest2.csr.pem Zertifikate konvertieren TLS-Tests mit OpenSSL CSR-Informationen anzeigen eigener Code? openssl req -in csrtest2.csr.pem -noout -text Fragen AnhangÜber eine angepasste openssl-Konfigurationsdatei können Literaturdem CSR auch gleich gewünschte X.509-Erweiterungenmitgegeben werden [13, clientcsr.conf] . . . . . .
  • 82. Keytool, OpenSSLSchlüssel und CSRs erzeugen - keytool und Co. Jan Dittberner Key erzeugen Begriffe keytool -genkeypair -keystore teststore1.jks Allgemeines -storepass secret -alias testkey3 -keyalg Sym. Verschlüsselung Asym. Verschlüsselung rsa -keysize 2048 PKI Sonstiges erzeugt auch gleich ein self-signed Zertifikat, weil Dateiformate Keystores immer ein Zertifikat zum Key brauchen Lebenszyklus die bei -genkeypair gemachten Angaben für den Praktisches Subject-DN können später nicht mehr geändert werden Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 83. Keytool, OpenSSLSchlüssel und CSRs erzeugen - keytool und Co. Jan Dittberner Key erzeugen Begriffe keytool -genkeypair -keystore teststore1.jks Allgemeines -storepass secret -alias testkey3 -keyalg Sym. Verschlüsselung Asym. Verschlüsselung rsa -keysize 2048 PKI Sonstiges erzeugt auch gleich ein self-signed Zertifikat, weil Dateiformate Keystores immer ein Zertifikat zum Key brauchen Lebenszyklus die bei -genkeypair gemachten Angaben für den Praktisches Subject-DN können später nicht mehr geändert werden Werkzeuge Zertifikatslebenszyklus CSR erzeugen Informationen zu Krypomaterial keytool -certreq -keystore teststore1.jks Zertifikate konvertieren TLS-Tests mit OpenSSL -storepass secret -alias testkey3 -file eigener Code? csrtest3.csr.pem Fragen Anhang Literatur . . . . . .
  • 84. Keytool, OpenSSLZertifikate erzeugen mit OpenSSL und Co. Jan Dittberner self-signed Zertifikat erzeugen Begriffe openssl req -new -x509 -key rsatest1.key.pem Allgemeines -out rsatest1.crt.pem Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 85. Keytool, OpenSSLZertifikate erzeugen mit OpenSSL und Co. Jan Dittberner self-signed Zertifikat erzeugen Begriffe openssl req -new -x509 -key rsatest1.key.pem Allgemeines -out rsatest1.crt.pem Sym. Verschlüsselung Asym. Verschlüsselung PKI CSR mit CA-Key unterschreiben Sonstiges openssl ca -in csrtest1.csr.pem -out Dateiformate crttest1.crt.pem Lebenszyklus (Aufsetzen einer CA siehe [13, createca.sh]) Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 86. Keytool, OpenSSLCRLs mit OpenSSL und Co. Jan Dittberner Zertifikat mit CA-Key widerrufen Begriffe openssl ca -revoke crttest1.crt.pem Allgemeines (trägt das Zertifikat in der Zertifikatsdatenbank als Sym. Verschlüsselung Asym. Verschlüsselung widerrufen ein) PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 87. Keytool, OpenSSLCRLs mit OpenSSL und Co. Jan Dittberner Zertifikat mit CA-Key widerrufen Begriffe openssl ca -revoke crttest1.crt.pem Allgemeines (trägt das Zertifikat in der Zertifikatsdatenbank als Sym. Verschlüsselung Asym. Verschlüsselung widerrufen ein) PKI Sonstiges CRL signieren Dateiformate openssl ca -gencrl -out myca.crl Lebenszyklus (Informationen über widerrufene Zertifikate kommen Praktisches Werkzeuge aus der Zertifikatsdatenbank) Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 88. Keytool, OpenSSLCRLs mit OpenSSL und Co. Jan Dittberner Zertifikat mit CA-Key widerrufen Begriffe openssl ca -revoke crttest1.crt.pem Allgemeines (trägt das Zertifikat in der Zertifikatsdatenbank als Sym. Verschlüsselung Asym. Verschlüsselung widerrufen ein) PKI Sonstiges CRL signieren Dateiformate openssl ca -gencrl -out myca.crl Lebenszyklus (Informationen über widerrufene Zertifikate kommen Praktisches Werkzeuge aus der Zertifikatsdatenbank) Zertifikatslebenszyklus Informationen zu Prüfen ob Zertifikat in CRL ist Krypomaterial Zertifikate konvertieren openssl verify -CApath cadir -crl_check TLS-Tests mit OpenSSL eigener Code? crttest1.crt.pem Fragen (CA-Zertifikate und CRLs müssen in cadir liegen und Anhang richtig verlinkt sein [13, cacrllink.sh]) Literatur . . . . . .
  • 89. Keytool, OpenSSLOCSP mit OpenSSL und Co. Jan Dittberner OCSP-Endpoint starten Begriffe openssl ocsp -index index.txt -CA Allgemeines ca/myca.crt.pem -rsigner ca/myca.crt.pem Sym. Verschlüsselung Asym. Verschlüsselung -rkey ca/private/myca.key.pem -port 8080 PKI Sonstiges -nmin 10 Dateiformate (mehr dazu in meinem OCSP-Blogpost [14]) Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 90. Keytool, OpenSSLOCSP mit OpenSSL und Co. Jan Dittberner OCSP-Endpoint starten Begriffe openssl ocsp -index index.txt -CA Allgemeines ca/myca.crt.pem -rsigner ca/myca.crt.pem Sym. Verschlüsselung Asym. Verschlüsselung -rkey ca/private/myca.key.pem -port 8080 PKI Sonstiges -nmin 10 Dateiformate (mehr dazu in meinem OCSP-Blogpost [14]) Lebenszyklus OCSP-Prüfung für Zertifikat durchführen Praktisches Werkzeuge openssl ocsp -issuer myca.crt.pem -cert Zertifikatslebenszyklus Informationen zu certtest1.crt.pem -url http://cahost:8080/ Krypomaterial Zertifikate konvertieren -resp_text TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 91. Keytool, OpenSSLkeytool - Informationen zu Keystores und und Co. Jan DittbernerZertifikaten Begriffe Inhalt eines Keystores auflisten keytool -list Allgemeines Sym. Verschlüsselung -keystore teststore1.jks -storepass secret Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 92. Keytool, OpenSSLkeytool - Informationen zu Keystores und und Co. Jan DittbernerZertifikaten Begriffe Inhalt eines Keystores auflisten keytool -list Allgemeines Sym. Verschlüsselung -keystore teststore1.jks -storepass secret Asym. Verschlüsselung PKI Details zu Eintrag in Keystore anzeigen keytool Sonstiges Dateiformate -list -v -keystore teststore1.jks -alias Lebenszyklus testkey3 -storepass secret Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 93. Keytool, OpenSSLkeytool - Informationen zu Keystores und und Co. Jan DittbernerZertifikaten Begriffe Inhalt eines Keystores auflisten keytool -list Allgemeines Sym. Verschlüsselung -keystore teststore1.jks -storepass secret Asym. Verschlüsselung PKI Details zu Eintrag in Keystore anzeigen keytool Sonstiges Dateiformate -list -v -keystore teststore1.jks -alias Lebenszyklus testkey3 -storepass secret Praktisches Details zu Zertifikat in Datei anzeigen keytool Werkzeuge Zertifikatslebenszyklus -printcert -v -file testcert1.crt.pem Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 94. Keytool, OpenSSLOpenSSL - Informationen zu Keys, CSRs und und Co. Jan DittbernerZertifikaten Begriffe Details zu RSA-Key anzeigen openssl rsa -in Allgemeines Sym. Verschlüsselung rsatest1.key -noout -text Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 95. Keytool, OpenSSLOpenSSL - Informationen zu Keys, CSRs und und Co. Jan DittbernerZertifikaten Begriffe Details zu RSA-Key anzeigen openssl rsa -in Allgemeines Sym. Verschlüsselung rsatest1.key -noout -text Asym. Verschlüsselung PKI Details zu CSR anzeigen openssl req -in Sonstiges Dateiformate csrtest1.csr.pem -noout -text Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 96. Keytool, OpenSSLOpenSSL - Informationen zu Keys, CSRs und und Co. Jan DittbernerZertifikaten Begriffe Details zu RSA-Key anzeigen openssl rsa -in Allgemeines Sym. Verschlüsselung rsatest1.key -noout -text Asym. Verschlüsselung PKI Details zu CSR anzeigen openssl req -in Sonstiges Dateiformate csrtest1.csr.pem -noout -text Lebenszyklus Details zu Zertifikat (PEM) anzeigen openssl x509 Praktisches -in testcert1.crt.pem -noout -text Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 97. Keytool, OpenSSLOpenSSL - Informationen zu Keys, CSRs und und Co. Jan DittbernerZertifikaten Begriffe Details zu RSA-Key anzeigen openssl rsa -in Allgemeines Sym. Verschlüsselung rsatest1.key -noout -text Asym. Verschlüsselung PKI Details zu CSR anzeigen openssl req -in Sonstiges Dateiformate csrtest1.csr.pem -noout -text Lebenszyklus Details zu Zertifikat (PEM) anzeigen openssl x509 Praktisches -in testcert1.crt.pem -noout -text Werkzeuge Zertifikatslebenszyklus Details zu Zertifikat (DER) anzeigen openssl x509 Informationen zu Krypomaterial Zertifikate konvertieren -inform der -in testcert1.crt -noout -text TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 98. Keytool, OpenSSLOpenSSL - Informationen zu und Co. Jan DittbernerPKCS#12-Keystores Begriffe Informationen zu PKCS#12-Keystore anzeigen openssl Allgemeines Sym. Verschlüsselung pkcs12 -info -in /teststore1.p12 -noout Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 99. Keytool, OpenSSLOpenSSL - Informationen zu und Co. Jan DittbernerPKCS#12-Keystores Begriffe Informationen zu PKCS#12-Keystore anzeigen openssl Allgemeines Sym. Verschlüsselung pkcs12 -info -in /teststore1.p12 -noout Asym. Verschlüsselung PKI Client-Zertifikate aus PKCS#12-Keystore anzeigen Sonstiges Dateiformate openssl pkcs12 -info -in /teststore1.p12 Lebenszyklus -nokeys -nodes -clcerts Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 100. Keytool, OpenSSLKonvertierung von Zertifikaten - Teil 1 und Co. Jan Dittberner PEM mit Textinformationen (so wie es oft von CAs Begriffe kommt) zu PEM ohne Textinformationen (so wie es Allgemeines meist gebraucht wird): Sym. Verschlüsselung Asym. Verschlüsselung openssl x509 -in cert_full.pem -out cert.pem PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 101. Keytool, OpenSSLKonvertierung von Zertifikaten - Teil 1 und Co. Jan Dittberner PEM mit Textinformationen (so wie es oft von CAs Begriffe kommt) zu PEM ohne Textinformationen (so wie es Allgemeines meist gebraucht wird): Sym. Verschlüsselung Asym. Verschlüsselung openssl x509 -in cert_full.pem -out cert.pem PKI Sonstiges PEM in DER: Dateiformate openssl x509 -in cert.pem -outform der Lebenszyklus -out cert.der Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 102. Keytool, OpenSSLKonvertierung von Zertifikaten - Teil 1 und Co. Jan Dittberner PEM mit Textinformationen (so wie es oft von CAs Begriffe kommt) zu PEM ohne Textinformationen (so wie es Allgemeines meist gebraucht wird): Sym. Verschlüsselung Asym. Verschlüsselung openssl x509 -in cert_full.pem -out cert.pem PKI Sonstiges PEM in DER: Dateiformate openssl x509 -in cert.pem -outform der Lebenszyklus -out cert.der Praktisches Werkzeuge verschlüsselten RSA-Key (mit Passwortschutz) in Zertifikatslebenszyklus Informationen zu unverschlüsselten: Krypomaterial Zertifikate konvertieren openssl rsa -in encrypted.key.pem -out TLS-Tests mit OpenSSL eigener Code? key.pem -passin pass:secret Fragen Anhang Literatur . . . . . .
  • 103. Keytool, OpenSSLKonvertierung von Zertifikaten - Teil 2 und Co. Jan Dittberner PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu Begriffe PKCS#12: Allgemeines openssl pkcs12 -export -chain -inkey key.pem Sym. Verschlüsselung Asym. Verschlüsselung -in cert.pem -CAfile cacerts.pem PKI Sonstiges -out cert.p12 -name certalias Dateiformate -passin pass:secret -passout pass:secret Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 104. Keytool, OpenSSLKonvertierung von Zertifikaten - Teil 2 und Co. Jan Dittberner PEM-Zertifikat, PEM-CA-Zertifikate und PEM-Key zu Begriffe PKCS#12: Allgemeines openssl pkcs12 -export -chain -inkey key.pem Sym. Verschlüsselung Asym. Verschlüsselung -in cert.pem -CAfile cacerts.pem PKI Sonstiges -out cert.p12 -name certalias Dateiformate -passin pass:secret -passout pass:secret Lebenszyklus PKCS#12 zu JKS: Praktisches Werkzeuge keytool -importkeystore Zertifikatslebenszyklus Informationen zu -srckeystore cert.p12 -destkeystore cert.jks Krypomaterial Zertifikate konvertieren -srcstoretype pkcs12 -deststoretype jks TLS-Tests mit OpenSSL eigener Code? -srcstorepass secret -deststorepass secret Fragen -srcalias certalias -destalias certalias Anhang -srckeypass secret -destkeypass secret Literatur . . . . . .
  • 105. Keytool, OpenSSLopenssl als Testserver und -client und Co. Jan Dittberner Testserver starten Begriffe openssl s_server -cert server.crt.pem -key Allgemeines server.key.pem -tls1 -www Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 106. Keytool, OpenSSLopenssl als Testserver und -client und Co. Jan Dittberner Testserver starten Begriffe openssl s_server -cert server.crt.pem -key Allgemeines server.key.pem -tls1 -www Sym. Verschlüsselung Asym. Verschlüsselung PKI Testclient starten Sonstiges openssl s_client -connect localhost:4433 Dateiformate -CApath cadir Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 107. Keytool, OpenSSLWann brauche ich eigenen Code? und Co. Jan Dittberner Zertifikate mit kaputten“ Daten erzeugen (z.B. für ” Begriffe Tests) Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 108. Keytool, OpenSSLWann brauche ich eigenen Code? und Co. Jan Dittberner Zertifikate mit kaputten“ Daten erzeugen (z.B. für ” Begriffe Tests) Allgemeines Sym. Verschlüsselung direkter Import von privaten Schlüsseln in Asym. Verschlüsselung PKI JKS-Keystores ohne Umweg über PKCS#12 Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 109. Keytool, OpenSSLWann brauche ich eigenen Code? und Co. Jan Dittberner Zertifikate mit kaputten“ Daten erzeugen (z.B. für ” Begriffe Tests) Allgemeines Sym. Verschlüsselung direkter Import von privaten Schlüsseln in Asym. Verschlüsselung PKI JKS-Keystores ohne Umweg über PKCS#12 Sonstiges … weitere kreative Ideen Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 110. Keytool, OpenSSL und Co. Jan Dittberner Begriffe Allgemeines Sym. Verschlüsselung Asym. Verschlüsselung PKI Sonstiges Dateiformate Lebenszyklus Praktisches Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang LiteraturGibt es noch Fragen? . . . . . .
  • 111. Keytool, OpenSSLBegriffserklärungen und Co. Allgemeines Jan Dittberner Symmetrische/Secret-Key Verschlüsselung Begriffe Asymmetrische/Public-Key Verschlüsselung Allgemeines Sym. Verschlüsselung PKI-Begriffe Asym. Verschlüsselung PKI Sonstiges Sonstiges DateiformateDateiformate Lebenszyklus PraktischesZertifikatlebenszyklus Werkzeuge ZertifikatslebenszyklusPraktisches Informationen zu Krypomaterial Werkzeuge Zertifikate konvertieren TLS-Tests mit OpenSSL Zertifikatslebenszyklus eigener Code? Fragen Informationen zu Krypomaterial Anhang Zertifikate konvertieren Literatur TLS-Tests mit OpenSSL eigener Code?Anhang . . . . . .
  • 112. Keytool, OpenSSLReferenzierte Dokumente I und Co. Jan Dittberner [1] Wikipedia. Data Encryption Standard. 2011. url: Begriffe http://de.wikipedia.org/wiki/Data_ Allgemeines Sym. Verschlüsselung Encryption_Standard. Asym. Verschlüsselung PKI Sonstiges [2] Wikipedia. RSA-Kryptosystem. 2011. url: http: Dateiformate //de.wikipedia.org/wiki/RSA-Kryptosystem. Lebenszyklus [3] Wikipedia. Elgamal-Kryptosystem. 2011. url: Praktisches Werkzeuge http://de.wikipedia.org/wiki/ElGamal- Zertifikatslebenszyklus Informationen zu Kryptosystem. Krypomaterial Zertifikate konvertieren [4] Wikipedia. Diffie-Hellman-Schlüsselaustausch. 2011. TLS-Tests mit OpenSSL eigener Code? url: http://de.wikipedia.org/wiki/Diffie- Fragen Hellman. Anhang Literatur . . . . . .
  • 113. Keytool, OpenSSLReferenzierte Dokumente II und Co. Jan Dittberner [5] D. Cooper u. a. Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation Begriffe Allgemeines List (CRL) Profile. RFC 5280 (Proposed Standard). Sym. Verschlüsselung Asym. Verschlüsselung Internet Engineering Task Force, Mai 2008. url: PKI Sonstiges http://www.ietf.org/rfc/rfc5280.txt. Dateiformate [6] M. Nystrom und B. Kaliski. PKCS #10: Certification Lebenszyklus Request Syntax Specification Version 1.7. RFC 2986 Praktisches Werkzeuge (Informational). Updated by RFC 5967. Internet Zertifikatslebenszyklus Engineering Task Force, Nov. 2000. url: Informationen zu Krypomaterial Zertifikate konvertieren http://www.ietf.org/rfc/rfc2986.txt. TLS-Tests mit OpenSSL eigener Code? [7] RSA Laboratories. Public-Key Cryptography Fragen Standards. 1991. url: Anhang http://rsa.com/rsalabs/node.asp?id=2124. Literatur [8] Wikipedia. Abstract Syntax Notation One. 2011. url: http://de.wikipedia.org/wiki/ASN.1. . . . . . .
  • 114. Keytool, OpenSSLReferenzierte Dokumente III und Co. Jan Dittberner [9] R. Housley. Cryptographic Message Syntax (CMS). RFC 5652 (Standard). Internet Engineering Task Begriffe Allgemeines Force, Sep. 2009. url: Sym. Verschlüsselung Asym. Verschlüsselung http://www.ietf.org/rfc/rfc5652.txt. PKI Sonstiges[10] B. Ramsdell. Secure/Multipurpose Internet Mail Dateiformate Extensions (S/MIME) Version 3.1 Message Lebenszyklus Specification. RFC 3851 (Proposed Standard). Praktisches Werkzeuge Obsoleted by RFC 5751. Internet Engineering Task Zertifikatslebenszyklus Force, Juli 2004. url: Informationen zu Krypomaterial Zertifikate konvertieren http://www.ietf.org/rfc/rfc3851.txt. TLS-Tests mit OpenSSL eigener Code?[11] T. Dierks und E. Rescorla. The Transport Layer Fragen Security (TLS) Protocol Version 1.2. RFC 5246 Anhang (Proposed Standard). Updated by RFCs 5746, 5878, Literatur 6176. Internet Engineering Task Force, Aug. 2008. url: http://www.ietf.org/rfc/rfc5246.txt. . . . . . .
  • 115. Keytool, OpenSSLReferenzierte Dokumente IV und Co. Jan Dittberner[12] Wikipedia. Transport Layer Security. 2011. url: http://de.wikipedia.org/wiki/Transport_ Begriffe Allgemeines Layer_Security. Sym. Verschlüsselung Asym. Verschlüsselung[13] Jan Dittberner. OpenSSL Konfigurationsbeispiele. PKI Sonstiges 2011. url: http://git.dittberner.info/?p= Dateiformate osslconfexamples.git;a=tree. Lebenszyklus Praktisches[14] Jan Dittberner. Techblog-Post: OCSP-Endpoint mit Werkzeuge OpenSSL. 13. Apr. 2011. url: Zertifikatslebenszyklus Informationen zu http://www.communardo.de/home/techblog/ Krypomaterial Zertifikate konvertieren 2011/04/13/ocsp-endpoint-mit-openssl/. TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .
  • 116. Keytool, OpenSSLKontakt und Co. Jan Dittberner Jan Dittberner Begriffe Allgemeines Communardo Software GmbH Sym. Verschlüsselung Asym. Verschlüsselung PKI E-Mail: Sonstiges jan.dittberner@communardo.de Dateiformate Lebenszyklus http://www.communardo.de/ Praktisches home/techblog/author/jdi Werkzeuge Zertifikatslebenszyklus Informationen zu Krypomaterial Zertifikate konvertieren TLS-Tests mit OpenSSL eigener Code? Fragen Anhang Literatur . . . . . .