Ana Sayfa » *nix » OpenSSL ile 5651 Sayılı Kanun Gereği Log Imzalamak

OpenSSL ile 5651 Sayılı Kanun Gereği Log Imzalamak


BerbatKötüİdare EderGüzelHarika (Toplam 17 oy. 5 puan üzerinden ortalama 5.00 || Oy vererek siz de katkıda bulunabilirsiniz.)
Loading ... Loading ...

time-stamp5651 sayılı kanun, internet ile ilgili herhangi bir iş yapan kurum ya da firmalara çeşitli sorumluluklar yüklemekte. Bu sorumluluklardan birisi de Trafik Erişim bilgisinin 6 ay boyunca saklanması ve bu dosyaların değiştirilmediğini ispat edebilmek için Elektronik Zaman Damgası ile imzalanmasıdır. Kanuna göre bu işlem, tüm internet ve yer sağlayıcı firmaların yerine getirmesi gereken bir zorunluk. Üstelik kendi sunucuları bulunan her firma da yer sağlayıcısı kapsamına girmekte.

Bir başka değişle, örneğin web sitenizi kendi sunucularınızda barındırıyorsanız Yer Sağlayıcı kapsamına giriyorsunuz. Durum bu olunca da sunucularınız ile ilgili log dosyalarını elektronik zaman damgası ile imzalamanız ve arşivlemeniz gerekiyor. Ayrıca, Toplu Internet Kullanım Sağlayıcıları ismi ile adlandırılan duruma göre, örneğin şirketinizde internet kullanımı bulunuyorsa, IP dağıtım loglarını (DHCP vs.) da imzalamalı ve arşivlemelisiniz.

Piyasada log imzalamak üzere geliştirilmiş programlar mecvut ancak bu paralı yazılımları kullanmak yerine aynı işi ile de yapmak mümkün. Bu yazıda bu işin nasıl yapıldığından bahsetmek istiyorum.

Kurulum ve uygulama bölümlerine bakmadan önce kısaca zaman damgasının ne olduğuna değinmek iyi olacaktır.

Elektronik Zaman Damgası


Direk kurulum notlarına geçmeden önce, zaman damgası ve çalışma mantığına kısaca değinmek istiyorum.

Zaman Damgası Nedir ?

Elektronik Zaman Damgası, elektronik ortamdaki log, döküman sözleşme vs. gibi herhangi bir verinin, belirli bir zamandan önce var olduğunu ispat etmek için kullanılır. Örneğin, bir log dosyasını zaman damgası ile imzalarsanız, o log dosyasının imzalandığı tarihte orjinal haliyle var olduğunu, sonradan herhangi bir değişikliğe uğramadığını ispat edebilirsiniz.

Bu işlem, imzalanacak dosyanın bir hash’inin (kısaca sayısal özet’inin) çıkarılması ve bu hash’in x tarihinde alındığının bilgisinin tutulmasından ibarettir. Bu şekilde eğer ileriki bir tarihte dosyayı değiştirirseniz, imzalanmış olan hash değeri, dosya’nın kendisi ile eşleşmeyeceği için dosyanın değiştirildiği anlaşılacaktır.

Elektronik Zaman Damgası ile İmza İşlemleri Nasıl Yapılabilir ?

Elektronik zaman damgası ile imzalama işlemi için izlenebilecek bir iki yol var; eğer Windows kullanıyorsanız TİB (Telekominikasyon İletişim Başkanlığı)’nın bu iş için yayınladığı IP İmzalayıcı isimli programı kullanabilirsiniz. Ya da piyasada bu iş için hizmet veren firmalardan yararlanabilirsiniz. Ayrıca ile imzalama yöntemini uygulayabilirsiniz. Zaten bu yazının konusu da bu.

ve Time Stamp Authority Patch’i


Önemli Güncelleme: Sisteminizde openSSL’in 1.0.x sürümü bulunuyorsa, 1.0 ile TSA özelliği default olarak geldiğinden dolayı, “OpenSSL’in TS Patchi İle Derlenerek Kurulması” bölümünde anlatılan patch geçme işlemini yapmanıza gerek bulunmamaktadır. Ancak 1.0.x sürümüne özel olarak conf dosyasında yapılması gereken iki küçük değişiklik bulunmaktadır. Bu değişiklikleri http://www.syslogs.org/openssl-1-0-x-tsa-ozelligi-ve-5651a-uygun-log-imzalamak/ adresinde anlatıldığı şekilde yaptıktan sonra, bu yazıya “OpenSSL ve Time Stamping Authority Yapılandırması” isimli bölümden devam edebilirsiniz.

OpenSSL’in TS (Time Stamping Authority) isimli bir özelliği bulunuyor. Ancak bu desteğin OpenSSL’e kazandırılabilmesi için TS isimli patch’in geçilmesi gerekiyor. TS desteğinin bir sonraki sürümde OpenSSL’e ekleneceği söyleniyor. Ancak şu an için böyle bir durum olmadığı için patch’i manuel olarak geçmeliyiz.

Şimdi bu işin nasıl yapıldığından bahsetmek istiyorum.

Warning UYARI: TS patch’inin şu anki son sürümü, 0.9.8c’dir ve OpenSSL’in 0.9.8c sürümünde çalışmaktadır. Ancak OpenSSL’in şu anki son sürümü 0.9.8k’dır. Yani TS patch’i güncel sürümde çalışmamakta ve bu nedenle OpenSSL 0.9.8c sürümünü kullanmamız gerekmektedir. Bu nedenle log imzalama işlemleri için kullanacağınız bilgisayarın dışarıdan erişilebilir bir makina olmamasına dikkat ediniz. Böylece, OpenSSL’in eski sürümlerine ait güvenlik açıklarından etkilenmemiş olursunuz.

Şimdi OpenSSL’i TS patch’i ile derleyip sisteme kuralım.

OpenSSL’in TS Patchi İle Derlenerek Kurulması

Normalde, sisteminizde OpenSSL’in son sürümü yüklüdür, fakat biz OpenSSL 0.9.8c sürümümü ts-0.9.8c patchi ile derleyerek ayrıca kuracağız. Bu şekilde sistemde ayrı pathlerde duran iki adet OpenSSL binary’si bulunacak ve imzalama işleri için 9.0.8c sürümüne ait binary’i kullanacağız.

Warning UYARI: OpenSSL kurulumu yapacağınız bilgisayarda, daha önceden kaynak koddan derleme sureti ile OpenSSL kurduysanız, şimdi yapılacak OpenSSL kurulumunun var olan binary dosyalarını değiştireceğini bilmelisiniz. Böyle bir durumunuz varsa, şimdiki kurulumda binary dosyalarının başka bir path’e yüklenmesini sağlamak için ./config sırasında –openssldi=/dizin şeklinde yeni bir path belirtiniz.

Aşağıdaki adımları izleyerek kurulumu yapabiliriz.
Ben dosyaları düzenli olması açısından /usr/local/src dizinine download ediyorum. Bu dizine girelim.

# cd /usr/local/src/

OpenSSL’in 0.9.8c sürümünü download edelim:

# wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz

indirdiğimiz paketi açıyoruz:

# tar xvfz openssl-0.9.8c.tar.gz

openssl-0.9.8c dizinine girelim.

# cd openssl-0.9.8c

Bu dizindeyken, patch dosyasını download ediyoruz:

# wget http://www.opentsa.org/ts/ts-20060923-0_9_8c-patch.gz

Patch’i uyguluyoruz.

# gzip -cd ts-20060923-0_9_8c-patch.gz | patch -p1

ve OpenSSL’i derleyerek kuruyoruz.

# ./config
# make
# make install

Herhangi bir sorunla karşılaşmadıysanız, kurulum tamam demektir. Yeni kurulan OpenSSL’e ait dosyalar sistemde /usr/local/ssl/ path’in de tutuluyor. TS desteklik OpenSSL binary’si bu dizinin bin klasorunde bulunuyor; yani /usr/local/ssl/bin/openssl

Şimdi ts desteğinin çalışıp çalışmadığını teyit etmek için şu komutu verelim:

# /usr/local/ssl/bin/openssl ts

Çıktı şu şekilde olacaktır:

usage:
ts -query [-rand file:file:...] [-config configfile] [-data file_to_hash] [-digest digest_bytes][-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160] [-policy object_id] [-no_nonce] [-cert] [-in request.tsq] [-out request.tsq] [-text]
or
ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password] [-signer tsa_cert.pem] [-inkey private_key.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id]
or
ts -verify [-data file_to_hash] [-digest digest_bytes] [-queryfile request.tsq] -in response.tsr [-token_in] -CApath ca_path -CAfile ca_file.pem -untrusted cert_file.pem

Evet görüldüğü üzere yeni kurduğumuz OpenSSL’in TS desteği var. Şimdi sırada, TS kullanımı için OpenSSL’in yapılandırılmasında.

OpenSSL ve Time Stamping Authority Yapılandırması

Imzalama işlemlerini yapabilmek için öncesinde, bir takım yapılandırma ayarlarını tamamlamak gerekiyor. Sırası ile işlemler şu şekilde:

Bu işlem için bir çalışma dizini oluşturun. Örneğin sertifikalar isimli bir dizin:

# mkdir /sertifikalar

Şimdi bu dizine girip, OpenSSL için bir certificate authority oluşturalım.

# cd /sertifikalar
# openssl req -config /usr/local/ssl/openssl.cnf -days 1825 -x509 -newkey rsa:2048 -out cacert.pem -outform PEM

Bu komutu verdiğiniz zaman, certificate authority için oluşturulacak private key için kullanılacak parolayı belirlemeniz istenecek, belirleyeceğiniz parola ileride lazım olacağı için önemlidir; unutmamalısınız:

Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:

Pass phrase (parola) belirledikten sonra sertifika bilgilerini belirlemeniz istenecek.

Country Name (2 letter code) [AU]:TR
State or Province Name (full name) [Some-State]:Marmara
Locality Name (eg, city) []:Istanbul
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cagri AS
Organizational Unit Name (eg, section) []:CagriAS
Common Name (eg, YOUR name) []:Cagri Ersen
Email Address []:cagri.ersen@gmail.com

Bu kısımda ise yukarıda gördüğünüz ülke, bölge, şehir, firma ismi, e-mail gibi bilgiler soruluyor. Bu soruları yukarıdaki cevaplarda verildiği gibi formal bir şekilde yanıtlayın. Bu kısıma girdiğiniz bilgileri bir yere not edin. Çünkü biraz sonra yapılacak Time Stamp Authority için oluşturulacak private key’de de aynı bilgilerin kullanılması gerekiyor.

İşlem bittiği zaman çalışma dizininde, aşağıdaki gibi iki dosya oluşturulduğunu göreceksiniz:

-rw-r--r-- 1 root root 1675 Aug 25 01:15 cacert.pem
-rw-r--r-- 1 root root 1743 Aug 25 01:15 privkey.pem

cacert.pm isimli dosya, Certificate Authority’nin public key’i, diğeri ise private key’idir.

Aslında, OpenSSL kurulum aşamasında ön tanımlı olarak public ve private key’leri oluşturuyor. Fakat bizim kendi key’lerimizi oluşturmamız ve default gelen key’lerin yerine koymamız gerekiyor. Şimdi oluşturulan bu key’leri yerlerine taşıyalım.

Ben daha derli toplu olması için Certificate Authority ile ilgili dosyaları / (kök) dizininin altında CA isimli klasorde tutuyorum. OpenSSL ile birlikte gelen Certificate Authority dosyalar, download edip açtığımız openssl-0.9.8c/apss dizininde demoCA ismi ile duruyor. (Yazının başında download için /usr/local/src dizinini belirlemiştik.) Şimdi demoCA isimli bu dizini /CA olarak kopyalayalım ve yeni sertifikalar için burada bir newcerts isimli bir dizin oluşturalım.

# cp -r /usr/local/src/openssl-0.9.8c/apps/demoCA /CA
# mkdir /CA/newcerts

Şu an CA dizini içerisinde default gelen public ve private key’ler de bulunuyor. Bunların bir yedeğini alalım ve sonrasında kendi oluşturduğumuz dosyaları buraya taşıyalım:
Önce public key:

# mv /CA/cacert.pem /CA/cacert.pem.old
# cp /sertifikalar/cacert.pem /CA/

Şimdi aynı işlemleri, private key için de yapıyoruz:

# mv /CA/private/cakey.pem /CA/private/cakey.pem.old
# cp /sertifikalar/privkey.pem /CA/private/cakey.pem

Dosyaları yerlerine taşıdıktan sonra openssl.cnf dosyasında bir iki değişiklik yapmamız gerekiyor.

openssl.cnf dosyasını editleyin:

vi /usr/local/ssl/openssl.cnf

Dosya içerisinde ./demoCA yazan yerleri /CA olarak değiştirin. Ilgili ibareler dosyada iki yerde geçiyor ve son halleri aşağıdaki gibi olmalı:

dir             = /CA                  # Where everything is kept

dir             = /CA                  # TSA root directory

Değişiklikleri yaptıktan sonra dosyadan kaydederek çıkın.

Sırada, Time Stamp Authority (TSA) için bir private key oluşturma işlemi var.
Şu şekilde yapıyoruz.

# cd /sertifikalar
# openssl genrsa -aes256 -out tsakey.pem 2048

Komutu verdiğiniz zaman gene bir parola belirlemeniz istenecek:

Enter pass phrase for tsakey.pem:
Verifying - Enter pass phrase for tsakey.pem:

Elbette bu parolayı da unutmayın.

Şimdi bu key ile birlikte, Certificate Authority’den bir sertifika isteğinde bulunuyoruz:

# openssl req -new -key tsakey.pem -out tsareq.csr

Komutu girdiğiniz aman aşağıdaki gibi parolanızı girmenizi isteyen bir çıktı alacaksınız.

Enter pass phrase for tsakey.pem:

Bu key hemen bir önceki adımda, tsakey.pem dosyasını oluştururken belirlediğimiz paroladır.
Parolanızı girdikten sonra, aşağıdaki görüldüğü gibi, ülke, bölge, şehir, firma ismi, e-mail gibi bilgilerin girilmesi istenecek.

Warning UYARI: Bu bilgilerin, certificate authority’nin private key’ini oluştururken girdiğiniz bilgilerle aynı olması gerekir. Aksi halde log imzalama işlemlerine hata alabilirsiniz.

Bizim örneğimize göre çıktı ve cevaplar şu şekilde olmalı:

Country Name (2 letter code) [AU]:TR
State or Province Name (full name) [Some-State]:Marmara
Locality Name (eg, city) []:Istanbul
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cagri AS
Organizational Unit Name (eg, section) []:CagriAS
Common Name (eg, YOUR name) []:Cagri Ersen
Email Address []:cagri.ersen@gmail.com

Ayrıca extra attiribute’lerin sorulduğu şöyle bir çıktı daha alacaksınız:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:sifre
An optional company name []: Bos gecebilirsiniz.

Şimdi, /sertifikalar dizininde tsareq.csr isimli bir request dosyası oluştu. Artık bu csr. dosyasını kullanarak time stamp authority’nin public key’ini oluşturacağız.

Şu şekilde:

# openssl ca -config /usr/local/ssl/openssl.cnf -in tsareq.csr -out tsacert.pem

Komutu girdiğiniz zaman aşağıdaki gibi görünen ve Certificate Authority için belirlediğiniz parolayı girmenizi isteyen çıktıyı alırsınız. (Cert. Authority’nin private key’ini oluştururken belirlediğiniz parola’nızı girin.

Using configuration from /usr/local/ssl/openssl.cnf
Enter pass phrase for /CA/private/cakey.pem:

Sonrasonda da sertifikanın imzalanmasına onay vermenizi isteyen aşağıdaki gibi bir ekran ile karşılaşırsınız:

Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 286 (0x11e)
        Validity
            Not Before: Aug 24 23:24:35 2009 GMT
            Not After : Aug 24 23:24:35 2010 GMT
        Subject:
            countryName               = TR
            stateOrProvinceName       = Marmara
            organizationName          = Cagri AS
            organizationalUnitName    = CagriAS
            commonName                = Cagri Ersen
            emailAddress              = cagri.ersen@gmail.com
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                5F:C3:B7:8A:95:A1:2C:6D:CA:9D:74:CA:BF:F9:5A:49:A7:EB:33:62
            X509v3 Authority Key Identifier:
                keyid:34:4A:79:0E:42:7B:50:B1:32:54:4C:C5:72:1E:96:D2:6D:FA:72:A2

            X509v3 Extended Key Usage: critical
                Time Stamping
Certificate is to be certified until Aug 24 23:24:35 2010 GMT (365 days)
Sign the certificate? [y/n]:y

y dediğiniz zaman tekrar onay isteyen bir ekran gelecek ve sertifika imzalanacak:

1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

Şimdi, TSA’nın public key’i /sertifikalar dizininde tsacert.pem ismi ile oluşturuldu. Artık son adım olarak, hem public hem de private key’i yerlerine taşıyabiliriz.

# cp /sertifikalar/tsacert.pem /CA/
# cp /sertifikalar/tsakey.pem /CA/private/

Evet artık, oluşturduğumuz time stamp authority’i kullanarak log imzalama işlemlerini yapabiliriz.

OpenSSL TSA Kullanarak Log İmzalamak


Log imzalamayla ilgili komutları vermeden önce, log dosyasının teoride nasıl imzalandığından bahsetmek istiyorum.

Nasıl ?

OpenSSL TSA kullanarak, bir log dosyasını ya da herhangi bir dökümanı imzalamak istediğiniz zaman teorik olarak şu işlem adımları gerçekleştirilir.

  1. TSA istemcisi, imzalanacak log dosyasının bir hash’ini (özetini) alır ve TSA’ya (time stamp authority)’e gönderir.
  2. Time Stamp Authority’si ise gelen bu hash değerine, tarih ve zaman bilgisini ekler, imzalar ve time stamp token olarak geri gönderir. Bu şekilde TSA, kendisine gelen hash’ın o tarihteki durumunu belgelendirir.
  3. TSA client ise, gelen bu token’in imzasını ve token’in hash değerinin gönderilenle aynı olup olmadığını kontrol eder.

Bu şekilde imzalam işlemi tamamlanmış olur. Şimdi bir log dosyasını imzalamanın nasıl yapılabileceğine bakalım.

TSA ile Bir Log Dosyasının İmzalanması


Ben örnek olarak, /imza isimli bir dizin açacağım ve örneğin sunucunun /var/log/messages isimli log dosyasını buraya alıp imzaya tabi tutacağım.

Önce dizini açıp imzalanacak log dosyasının bir kopyasını buraya alalım:

# mkdir /imza
# cd /imza
# cp /var/log/messages .

Şimdi imzalama işlemine başlayabiliriz.

Log Dosyası İçin TSA Request’i Oluşturmak


Öncelikli olarak, teorik bölümde bahsettiğim gibi log dosyasının imzalanması için bir request oluşturuyoruz:

# /usr/local/ssl/bin/openssl ts -query -data messages -no_nonce -out messages.tsq

Not: Gördüğünüz gibi bu komutta kullanilan openssl /usr/local/ssl/bin/ dizini altındaki openssl binary’si. Bu sürümde ts desteği var. Komut satırından direk olarak openssl derseniz /usr/bin altındaki openssl binary’si çalıştırılır ve hata alırsınız.

Komutu verdiğiniz zaman imza dizini içerisinde messages.tsq isimli request dosyasının oluşturulduğunu görürsünüz.

Şimdi request için TSA’ın bir cevap (response) oluşturmasını söyleyeceğiz.

Request için TSA’ya bir Response Oluşturtmak


Bu işlemi şu şekilde yapıyoruz:

# /usr/local/ssl/bin/openssl ts -reply -queryfile messages.tsq -out messages.tsr -config /usr/local/ssl/openssl.cnf

Bu komutu girdiğiniz zaman, aşağıda görüldüğü şekilde, TSA’nın private key’ini oluştururken belirlediğiniz parolanın girilmesi istenecek:

Using configuration from /usr/local/ssl/openssl.cnf
Enter PEM pass phrase:

Parolayı girdiğiniz zaman response oluşturulacak ve messages.tsr isimli (time stamp response) cevap dosyası oluşturulacak.
tsr dosyasını normal yollar ile editler ya da içine bakarsanız herhangi bir şey anlayamazsınız. Ancak insanların okuyabileceği (human-readable) şekilde içerisini okumak için şu komutu verebilirsiniz.

# /usr/local/ssl/bin/openssl ts -reply -in messages.tsr -text

Komutun çıktısı aşağıdaki gibi olacaktır:

Status info:
Status: Granted.
Status description: unspecified
Failure info: unspecified

TST info:
Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
    0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b   [.....A=.+.43!.+
    0010 - 6b 68 41 5e                                       khA^
Serial number: 0x01
Time stamp: Aug 25 00:20:44 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:

Gördüğünüz gibi imzalanma tarihi, imzalayan otoritenin bilgileri falan mevcut.

Şimdi bir de, request dosyasını kullanarak time stamp response yerine time stamp token oluşturalım.

Request için TSA'ya bir Token Oluşturtmak


Bu işi de şu komut ile yapabilirsiniz:

# /usr/local/ssl/bin/openssl ts -reply -queryfile messages.tsq -out messages.der -token_out -config /usr/local/ssl/openssl.cnf

Parolanız tekrar sorulacak:

Using configuration from /usr/local/ssl/openssl.cnf
Enter PEM pass phrase:
Response has been generated.

Sonrasında ise token oluşturulacak.

Response has been generated.

Şimdi imza dizini içinde bir de messages.der isimli bir token bulunuyor. Bu token'in içeriğini okumak için komut şu:

# /usr/local/ssl/bin/openssl ts -reply -in messages.der -token_in -text -token_out

Çıktı

Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
    0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b   [.....A=.+.43!.+
    0010 - 6b 68 41 5e                                       khA^
Serial number: 0x02
Time stamp: Aug 25 00:29:09 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:

Daha detaylı görmek isterseniz aşağıdaki komutu kullanabilirsiniz:

# /usr/local/ssl/bin/openssl asn1parse -in messages.der -inform DER

Çıktı şuna benzer olacaktır:

Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
    0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b   [.....A=.+.43!.+
    0010 - 6b 68 41 5e                                       khA^
Serial number: 0x02
Time stamp: Aug 25 00:29:09 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:
# /usr/local/ssl/bin/openssl ts -reply -in messages.der -token_in -text -token_out
# /usr/local/ssl/bin/openssl asn1parse -in messages.der -inform DER
    0:d=0  hl=4 l= 873 cons: SEQUENCE
    4:d=1  hl=2 l=   9 prim: OBJECT            :pkcs7-signedData
   15:d=1  hl=4 l= 858 cons: cont [ 0 ]
   19:d=2  hl=4 l= 854 cons: SEQUENCE
   23:d=3  hl=2 l=   1 prim: INTEGER           :03
   26:d=3  hl=2 l=  11 cons: SET
   28:d=4  hl=2 l=   9 cons: SEQUENCE
   30:d=5  hl=2 l=   5 prim: OBJECT            :sha1
   37:d=5  hl=2 l=   0 prim: NULL
   39:d=3  hl=3 l= 238 cons: SEQUENCE
   42:d=4  hl=2 l=  11 prim: OBJECT            :id-smime-ct-TSTInfo
   55:d=4  hl=3 l= 222 cons: cont [ 0 ]
   58:d=5  hl=3 l= 219 prim: OCTET STRING      [HEX DUMP]:3081D802010106042A0304013021300906052B0E03021A050004145BB7CE87D9AD413DEA2BC0343321E42B6B68415E020102180F32303039303832353030323930395A300A020101800201F48101640101FFA08186A48183308180310B30090603550406130254523110300E060355040813074D61726D6172613111300F060355040A130843616772692041533110300E060355040B130743616772694153311430120603550403130B436167726920457273656E3124302206092A864886F70D010901161563616772692E657273656E40676D61696C2E636F6D
  280:d=3  hl=4 l= 593 cons: SET
  284:d=4  hl=4 l= 589 cons: SEQUENCE
  288:d=5  hl=2 l=   1 prim: INTEGER           :01
  291:d=5  hl=3 l= 154 cons: SEQUENCE
  294:d=6  hl=3 l= 147 cons: SEQUENCE
  297:d=7  hl=2 l=  11 cons: SET
  299:d=8  hl=2 l=   9 cons: SEQUENCE
  301:d=9  hl=2 l=   3 prim: OBJECT            :countryName
  306:d=9  hl=2 l=   2 prim: PRINTABLESTRING   :TR
  310:d=7  hl=2 l=  16 cons: SET
  312:d=8  hl=2 l=  14 cons: SEQUENCE
  314:d=9  hl=2 l=   3 prim: OBJECT            :stateOrProvinceName
  319:d=9  hl=2 l=   7 prim: PRINTABLESTRING   :Marmara
  328:d=7  hl=2 l=  17 cons: SET
  330:d=8  hl=2 l=  15 cons: SEQUENCE
  332:d=9  hl=2 l=   3 prim: OBJECT            :localityName
  337:d=9  hl=2 l=   8 prim: PRINTABLESTRING   :Istanbul
  347:d=7  hl=2 l=  17 cons: SET
  349:d=8  hl=2 l=  15 cons: SEQUENCE
  351:d=9  hl=2 l=   3 prim: OBJECT            :organizationName
  356:d=9  hl=2 l=   8 prim: PRINTABLESTRING   :Cagri AS
  366:d=7  hl=2 l=  16 cons: SET
  368:d=8  hl=2 l=  14 cons: SEQUENCE
  370:d=9  hl=2 l=   3 prim: OBJECT            :organizationalUnitName
  375:d=9  hl=2 l=   7 prim: PRINTABLESTRING   :CagriAS
  384:d=7  hl=2 l=  20 cons: SET
  386:d=8  hl=2 l=  18 cons: SEQUENCE
  388:d=9  hl=2 l=   3 prim: OBJECT            :commonName
  393:d=9  hl=2 l=  11 prim: PRINTABLESTRING   :Cagri Ersen
  406:d=7  hl=2 l=  36 cons: SET
  408:d=8  hl=2 l=  34 cons: SEQUENCE
  410:d=9  hl=2 l=   9 prim: OBJECT            :emailAddress
  421:d=9  hl=2 l=  21 prim: IA5STRING         :cagri.ersen@gmail.com
  444:d=6  hl=2 l=   2 prim: INTEGER           :011E
  448:d=5  hl=2 l=   9 cons: SEQUENCE
  450:d=6  hl=2 l=   5 prim: OBJECT            :sha1
  457:d=6  hl=2 l=   0 prim: NULL
  459:d=5  hl=3 l= 140 cons: cont [ 0 ]
  462:d=6  hl=2 l=  26 cons: SEQUENCE
  464:d=7  hl=2 l=   9 prim: OBJECT            :contentType
  475:d=7  hl=2 l=  13 cons: SET
  477:d=8  hl=2 l=  11 prim: OBJECT            :id-smime-ct-TSTInfo
  490:d=6  hl=2 l=  28 cons: SEQUENCE
  492:d=7  hl=2 l=   9 prim: OBJECT            :signingTime
  503:d=7  hl=2 l=  15 cons: SET
  505:d=8  hl=2 l=  13 prim: UTCTIME           :090825002909Z
  520:d=6  hl=2 l=  35 cons: SEQUENCE
  522:d=7  hl=2 l=   9 prim: OBJECT            :messageDigest
  533:d=7  hl=2 l=  22 cons: SET
  535:d=8  hl=2 l=  20 prim: OCTET STRING      [HEX DUMP]:B947896286699B2D9501B88F81311C32E778A5D0
  557:d=6  hl=2 l=  43 cons: SEQUENCE
  559:d=7  hl=2 l=  11 prim: OBJECT            :id-smime-aa-signingCertificate
  572:d=7  hl=2 l=  28 cons: SET
  574:d=8  hl=2 l=  26 cons: SEQUENCE
  576:d=9  hl=2 l=  24 cons: SEQUENCE
  578:d=10 hl=2 l=  22 cons: SEQUENCE
  580:d=11 hl=2 l=  20 prim: OCTET STRING      [HEX DUMP]:277FF0E8A397E4BC4D3F6415BCD44065CD5D8500
  602:d=5  hl=2 l=  13 cons: SEQUENCE
  604:d=6  hl=2 l=   9 prim: OBJECT            :rsaEncryption
  615:d=6  hl=2 l=   0 prim: NULL
  617:d=5  hl=4 l= 256 prim: OCTET STRING      [HEX DUMP]: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

Böylece imzalama işlemini gerçekleştirmiş oluyoruz. Şimdi sırada imzalanan dosyanın doğrulanması işlemi var.

Doğrulama (Verify) İşlemleri


Doğrulama işlemleri için birden fazla yol var, imzaladığınız dosyaları aşağıdaki yöntemler ile doğrulayabilirsiniz.

Time Stamp Token’ın Log Dosyası üzerinden Doğrulanması

Bu işlem için komut şu şekilde:

# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.der -token_in -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem

Çıktı şu şekilde olacaktır:

Verification: OK

Görüldüğü gibi doğrulama sağlandı. messages dosyasının kendisinde ya da messages.der dosyasında bir oynama yapmadığınız sürece doğrulama düzgün olarak gerçekleşecektir. Ancak dosyalardan birini değiştirirseniz doğrulama onaylanmayacak ve dosyanın değiştirilmiş olduğu anlaşılacaktır.

Aynı doğrulama işinin, token yerine response (tsr – time stamp response) üzerinden de yapılması mümkün.

TS Response’un Log Dosyası üzerinden Doğrulanması

Komut şu şekilde:

# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.tsr -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem

Sonuç gene aynı olacaktır:

Verification: OK

Doğrulama işlemlerinden birisi de, time stamp replay’in (tsr request’e karşı doğrulanmasıdır.

Time Stamp Reply’nin Request üzerinden Doğrulanması

Bu işlem için komut şu:

# /usr/local/ssl/bin/openssl ts -verify -queryfile messages.tsq -in messages.tsr -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem

Çıktı:

Verification: OK

Görüldüğü üzere, verify işlemleri sorunsuz gitti. Artık, request, token ve log dosyasını arşivleyebilir, herhangi bir zamanda değiştirilmediğini ispat edebilirsiniz.

Dosyalardan herhangi biri üzerinde oynama yaparsınız, doğrulama işlemi gerçekleşmeyecektir.
Örneğin log dosyasını editleyerek bir şeyler silin ve ya ekleyin, sonrasında da aşağıdaki gibi , yeniden doğrulamada işlemi yapın.

# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.der -token_in -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem

Sonuç fail olacaktır:

Verification: FAILED
20321:error:2D064067:time stamp routines:TS_CHECK_IMPRINTS:message imprint mismatch:ts_resp_verify.c:656:

Ya da response (tsr) dosyasını bozup verify ettiğiniz zaman da sonuc fail olacaktır.

Evet genel olarak OpenSSL ve TSA kullanarak imzalama işleri bu kadar. Detaylı bilgi için kaynak linklerine göz atabilirsiniz:

Kaynaklar:
http://www.opentsa.org/
http://www.openssl.org/docs/apps/ts.html
http://www.bluequartz.us/phpBB2/viewtopic.php?t=91551&sid=7a25df58028c6cb69b89040fa0fe02a8
http://www.metu.edu.tr/5651/sss.php
http://blog.lifeoverip.net/2008/11/10/5651-sayili-kanun-gereksinimleri-icin-loglari-imzalamak/

 

Etiketler: ,

Kategoriler: *nix,ipucu |

Bu yazılar da ilginizi çekebilir:


- Update: openSSL 1.0 TSA Özelliği – 5651′a Uygun Log İmzalamak
- openSSL ve TSA ile Otomatik Log Imzalayıcı (Shell) Script
- MySQL Server Time Zone Değişikliği
- GPG (GnuPG) ile Şifreleme İşlemleri
- mailsend – Komut Satırından Posta Göndermek

Yorumlar


  1. Mücahid | (Ağustos 25th, 2009 2:30 pm)

    Hocam Merhaba ;

    Elinize sağlık , güzel makale olmuş .

    [Cevapla]

  2. Erol Öz | (Ağustos 26th, 2009 11:45 pm)

    Harika ve çok yararlı bir makale. Eline sağlık.
    Bir tek konudan emin olmak istedim:
    OpenSSL 0.9.8c sürümünü kurarken bu sürümün hangi path’e kurulacağını belirtediğizde, sistemimizde yüklü yeni sürümün üzerine yazma riski ile karşılaşmaz mıyız?
    Mesela daha önce 0.9.8k sürümünü kaynak kodundan derleyip yüklemiş olsak, bunların pathleri çakışmaz mı?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Evet abi, o sekilde oyle olur. Ancak cogu linux dagitiminda openssl default geliyor, dolayisi ile kaynak koddan derleme ihtiyaci olmuyor genelde.

    Fakat, oyle bir durum varsa kurulum sirasinda ayri bir path belirtilebilir.

    Yarin dener sonucu soylerim.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Şimdi denedim, normal olarak dosyalar yeni sürümün üzerine yazıldı.

    Ancak böyle bir durumda, ikinci sürümü için config sırasında ayrı path belirtince sorun çıkmıyor.

    ./config --openssldir=/usr/local/yeni-dizin/
    

    Bu şekilde bir kurulum yaptım; şu an sistemde 3 farklı ssl kurulumu yüklü durumda.

    [Cevapla]

  3. Huseyin Yuce | (Ağustos 31st, 2009 8:03 pm)

    OpenSSL surum 1.0 dan itibaren RFC3161 time stamp destegi ile birlikte geliyor. Hatirlatma fayda var 1.0 halen BETA 3 de.

    http://www.openssl.org/news/news.html

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Evet, yazının ilgili bölümünde bundan bahsetmiştim. Ancak dediğiniz gibi şu an 1.0 beta olduğu için direk patch yöntemini kullanıyorum.

    Katkınız için teşekkür ederim.

    [Cevapla]

  4. nulkarp | (Ekim 24th, 2009 12:02 pm)

    Süper bir döküman olmuş ellerinize sağlık, zihnim açıldı desem yeri :)

    [Cevapla]

    png tarafından yanıtlandı.

    Illegal instruction
    :o)

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Bu hatayi mi aldiniz ?

    Eger oyle ise sisteminiz 64bit’tir ya da vmware uzerinde calisiyordur. Bu durumlarda bu hatayi veriyor.

    Cozum ise 1.0 beta 4 sürümünü yüklemek (bu sürümde patch gecmenize gerek yok, 1.0 sürümü tsa ile birlikte geliyor.)

    [Cevapla]

    Engin Yüce tarafından yanıtlandı.

    Bende illegal instruction hatasını alıyorum. Sistemim 64 bit. Hocam 64 bit bi sistemde bu şekilde kullanamayacak mıyız? Bir yolu yok mu bunun? Sonuçta beta birşey kullanmak istemiyorum. Mutlaka 64 bit sistemde kullanmanın da bir yolu olmalı diye düşünüyorum.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Patch 64 bit sistemler icin degil. O nedenle bildigim bir yolu yok malesef. Beta kullanmaktan baska ne gibi bir sansiniz var bilemiyorum.

    Belki imzalama islemlerini uretim ortami disinda lokal bir ortamda yaparsaniz beta surum kullanmak sorun olmaz.

    [Cevapla]

  5. Ali E.İMREK | (Kasım 3rd, 2009 2:26 pm)

    İmzalama için zaman değerinin bir zaman sunucusundan alması gerekmiyor mu? TİB’in istesindeki Windows programı öyle yapıyor yanlış görmediysem.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Evet o yuzden kendi zaman damgasi otoritenizi olusturuyorsunuz. OpenSSL TSA sunucunuzun saatine gore UTC formatinda zaman damgasi basiyor.

    Sunucu saatiniz geri kalmamali yani.

    [Cevapla]

  6. emrah | (Kasım 5th, 2009 3:08 pm)

    Makale cok guzel ve faydali olmus. Tesekkur ve tebrik ederim.

    Debian Lenny’de TS yamali openssl derlerken sorun yasamistim. Dagitimla gelen openssl’e yama uygulanamiyordu, openssl sitesinden indirilen uygun surumlu paket ise Lenny’de derlenemiyordu (galiba glibc ile ilgili bir sorun vardi). Etch’de derleyip Lenny’de calistiriyorum o nedenle.

    Ihtiyac duyanlar icin derlenmis hali:
    http://www.emrah.com/medya/opentsa.tar.gz

    [Cevapla]

  7. Meczub | (Mart 18th, 2010 8:38 am)

    Bu güzel makaleniz içun teşekkür ederim. Dimağınıza ve kaleminize sağlık.

    [Cevapla]

  8. nihat | (Mart 30th, 2010 11:06 am)

    hocam elinize sağlık teşekkürler.
    bunu pfsense üzerinde nasıl uygulayabiliriz?
    teşekkürler

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhaba,

    Pfsense uzerinde openssl’e patch gecmek mumkun degildi. Bu nedenle zannedersem kullanamiyordunuz. (Aslında birebir denemedigim icin net bilemiyorum ama aldigim duyumlar oyleydi.)
    Fakat TSA destegi OpenSSL’in 1.0 sürümünde mevcut ki bu stable olarak yeni yayinlandi. Eger Pfsense icin openssl 1.0.0 güncellemesi gelecekse (geldiyse) bu durumda yazida anlatildigi sekli ile (patch gecmeye gerek kalmadan) imzalama islemi yapabilirsiniz.

    Elimin altinda pfsense bulunmadigi icin openssl’in durumu hakkinda bilgim yok; siz kontrol eder bizi de bilgilendirirseniz sevinirim.

    [Cevapla]

  9. Hakkkı Oral | (Mayıs 11th, 2010 12:08 pm)

    Merhabalar,

    Bu log imzalama konusunda. Sertifikamızın bir otoriteden alınması mı gerekiyor, yoksa kendi ürettiğimiz sertifika TIB için gerçekli oluyor mu? Bunda nasıl bir yol izlenmeli. Log imzalama servisleri bulunuyor. Kanuni olarak bizim imzaladigimiz log ile imzalama servislerinin imzaladigi log ayni hukuki nitelikte oluyor mu? Konu hakkinda bilgi aktarilabilirse, bu mukemmel doküman tamamlanmış olacaktır.

    Teşekkürler.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhabalar,

    Kanunda imzalama isleminde kullanilacak sertifikalarin herhangi bir otorite tarafindan saglanmis olmasi ile ilgili bir zorunluluk yok. Yani kendi sertifikanizi olusturup imzalama islemi yapabiliyorsunuz.

    TIB’in kendi yazilimi da imzalamayi ayni sekilde yapiyor. Buradaki amac sertifikanin guvenilirliginden ziyade, log dosyasinin imzalandigi tarihten itibaren degistirilmedigini ispat etmek. Bu nedenle otorite gereksinimi bulunmuyor.

    [Cevapla]

    Zafer Yılmaz tarafından yanıtlandı.

    Peki, bu sertifikaların korunumu nasıl sağlanıyor? CA ya da signing key gibi firmalara özel key’lerin sadece ilgili directory’lerde durması bir zaafiyet değil midir? ve ayrıca yine log’ların büyüklüğüne bağlı olarak imzalama yapılacak data’nın boyutu, performans darboğazlarına sebebiyet vereceğini düşünüyorum.

    [Cevapla]

    Aydın Y. tarafından yanıtlandı.

    Sertifikalara erişim için ilgili cihaz da yetkili kullanıcı adı ve şifresi gerekmektedir. Bu bilgilere sahip bir kişinin de güvenlik zaafiyeti oluşturması o kişinin kendi sorunudur. Burada bahsedilen loglar max 100kb boyutlarda olacağından dolayı ki .tar.gz olması nedeniyle bu boyut 1kb gibi rakamlara düşecektir, sorun yaratmayacaktır. Zaten önemli olan dosyaların boyutlarının büyük olması her durumda bir “darboğaza” neden olmaz :)

    [Cevapla]

  10. Oktay Hakkı Eskiyayla | (Ekim 8th, 2010 11:32 pm)

    Peki arkadaşlar bu işlemicin hangi linux versionu kullanalım debian freebsd centos ?
    Yani en iyi sonucu test edip alan arkadaşlar varsa yazsınlar lütfen ben cunki 3 unede kurmayı planlıyorum su anda isletimsistemleri download ediliyor…

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    Üç sistemde de istediğiniz sonucu olabilirsiniz; farketmez. Bu nedenle en kolayınıza hangisi gidiyorsa onu kullanın.

    [Cevapla]

  11. ahmet yilmaz | (Kasım 25th, 2010 2:20 pm)

    ben logu imzaladım işlem bitti diyelim. yarın saati geriye alıp logu degistirip tekrar imzalamadıgımı nasıl garanti edecgim. bu nasıl engellenir?
    Dışarıdan bir otoriteden bu hizmeti almak mumkunmu yani tib gibi saati degistirirsem imzalamamasını nasıl saglarım

    [Cevapla]

    rxrxrx tarafından yanıtlandı.

    bence bunun bir cikar yolu yok.
    saati kontrol etse bile program, firewall ile proxy ile her turlu kandirilabilir.
    tabi gelismis sifreli bir sekilde kontrol etmiyor ise saatin dogrulunu biryerden.

    [Cevapla]

  12. Mustafa BTT | (Nisan 26th, 2011 4:13 pm)

    Çağrı Hocam elinize sağlık.
    Her şey güzelde bu işlemi (acemi) Kullanıcılar için biraz sıkıntı yani freeBSD üzerinde nasıl kurulum yapıcagız. Komutların yarısından çogu BSD içinde mevcut değil.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    FreeBSD dışında bir BSD dağıtımında mı yapmak istiyorsunuz ?

    [Cevapla]

  13. Cuneyt | (Mayıs 16th, 2011 4:19 pm)

    Merhaba ,

    Sertifikaları imzaladıktan sonra baktığımda zaman olarak gmt “Time stamp: May 16 14:17:10 2011 GMT” görünüyor ve sistem saatinden 2 saat geride bunu nasıl düzelte biliriz acaba.

    [Cevapla]

  14. Emre | (Ağustos 6th, 2011 11:13 pm)

    # openssl ca -config /usr/local/ssl/openssl.cnf -in tsareq.csr -out tsacert.pem

    yazıp şifre girdikten sonra

    default is an unsupported message digest type
    924:error:02001002:system library:fopen:No such file or directory:bss_file.c:126:fopen(‘/CA/index.txt.attr’,'rb’)
    924:error:2006D080:BIO routines:BIO_new_file:no such file:bss_file.c:129:
    924:error:0E078072:configuration file routines:DEF_LOAD:no such file:conf_def.c:197:

    böyle bir hata alıyorum.. Sorun nedir nasıl aşabilirim..?

    Teşekkürler..

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Bir dosyayi bulamadigindan oturu hata veriyor; sorunun kaynagi yapilandirma gorunuyor. Islem adimlari sirasinda gozunuzden kacmis bir seyler olabilir. Yeniden kontrol etmenizi tavsiye ederim.

    [Cevapla]

    Emre tarafından yanıtlandı.

    sorunu çözdüm hocam.. aynı hatayı alan arkadaşlar

    # nano /usr/local/ssl/openssl.cnf

    komutunu uygulasınlar ve default_md = md5 yapsınlar.. sorun düzelir.

    [Cevapla]

  15. Sami Çelik | (Ekim 10th, 2011 4:54 pm)

    Bilgilendirme için teşekkürler.
    Pek tabi Linux üzerinde apache loglarini sign ve verificate edebiliyoruz.Fakat biliyorsuz access ve error loglari devamli guncelleniyor.Bu durumda sign ve verificate islemi sizce en dogru ve mantikli sekilde nasil yapilmalidir?
    iyi çalışmalar

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Rotate periyodlarini kendinize gore duzenleyebilirsiniz, rotate edilmeden once imzalanmasini saglayabilirsiniz.
    İsleri otomatize etmek icin http://www.syslogs.org/openssl-ve-tsa-ile-otomatik-log-imzalayici-shell-script/ adresinde bir script yayinlamistim.
    Kendinize gore duzenleyip otomatik imzalama yapabilirsiniz.

    [Cevapla]

  16. Ali | (Kasım 10th, 2011 8:50 am)

    Merhaba bu işlemeri smoothwall üzerinde yapmaya calısıyorum fakat olmuyor :(

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    Smoothwall kullanmadim ancak yazida bahsedilen aynı sürüm openssl binary’lerini kullanırsanız sorun cikmamali. Ayrica sorununuzla ilgili detay verirseniz belki daha iyi yardimci olabilirim.

    [Cevapla]

  17. Ali Tuna ÇİL | (Kasım 23rd, 2011 11:58 am)

    Merhaba Arkadaşlar smoothwall üzerinde yayınlamış oldugunuz makeleyi denedim fakat gzip -cd ts-20060923-0_9_8c-patch.gz | patch -p1 komutuna kadar hata almadım taki üst tarafta belirtmiş oldugum patch komutunu yazdıgımda -bash: patch: command not found
    hata mesajını alıyorum.
    Ardından patch yapmadan devam etmeye kalktıgımda ise
    ./config dediğimde hata almıyorum.
    make dedegımde gene -bash: patch: command not found
    hatasını alıyorum.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    Smoothwall ozellestirilmis bir linux surumu oldugu icin patch komutu kaldirilmis olabilir; bu nedenle de yamayi gecemiyor olabilirsiniz. Ancak smoothwall’da eger openSSL’in 1.0.x surumu kullaniliyorsa zaten patch gecmenize gerek yok, ts destegi o surumden itibaren default gelmeye basladi.

    [Cevapla]

    Ali Tuna ÇİL tarafından yanıtlandı.

    Merhaba Cagrı Bey;

    Ama ben network üzerindeki kullanıcıların girşmiş olduğu web siteleri smoothwall a imzalatamıyorum.
    konu ile ilgili olarak yardımcı olurmusunuz.

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Dediğim gibi smoothwall hiç kullanmadığım için sizi yanıltmak istemem. Sorunuzu bir de LKD’nin email listelerine göndermeyi deneyin, orada smoothwall kullanan arkadaşlar olabilir.

    [Cevapla]

    Ali Tuna Çİl tarafından yanıtlandı.

    Merhaba Cagrı Bey;

    Konu ile ilgilendiğiniz için çok teşkkür ederim.

    [Cevapla]

  18. ahmet | (Aralık 12th, 2011 8:54 am)

    /usr/local/ssl/bin/openssl ts -query -data messages -no_nonce -out messages.tsq

    bu komutu verdikten sonra
    “Illegal instruction” hatasını alıyorum sizin bahsettiğiniz gibi gerçek makina üzerine ve 32bit işletim sistemi üzerine kurmama rağmen hata alıyorum ne yapabilirim… teşekkürler

    [Cevapla]

  19. Murat | (Şubat 1st, 2012 11:42 pm)

    time stamp authority’nin public key’ini oluştururken aşağıdaki hatayı alıyoruz;
    daha önce karşılaşıp çözüm bulan varsa şimdiden teşekkür ederiz;

    # openssl ca -config /etc/ssl/openssl.cnf -in tsareq.csr -out tsacert.pem
    Using configuration from /etc/ssl/openssl.cnf
    variable lookup failed for ca::default_ca
    555369308:error:0E06D06C:configuration file routines:NCONF_get_string:no value:/usr/src/lib/libssl/crypto/../src/crypto/conf/conf_lib.c:335:group=ca name=default_ca

    OS:OpenBSD 5.1 GENERIC.MP#172 i386 (wmvare üzerinde)
    OpenSSL Ver: OpenSSL 1.0.0f 4 Jan 2012

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    variable lookup failed for ca::default_ca hatası yapilandirmada ki bir soruna isaret ediyor gibi.

    yapilandirma adimlarina bir daha goz atmanizi tavsiye ederim.

    [Cevapla]

  20. Eda FLORAT | (Mart 26th, 2012 8:39 pm)

    Merhaba Çağrı Bey,
    Şöyle bir hata alıyorum:

    # openssl ca -config /usr/local/ssl/openssl.cnf -in tsareq.csr -out tsacert.pem
    Using configuration from /usr/local/ssl/openssl.cnf
    Enter pass phrase for /partaguard/CA/private/cakey.pem:
    Check that the request matches the signature
    Signature ok
    The stateOrProvinceName field needed to be the same in the
    CA certificate (IZMIR) and the request (IZMIR)

    Yardımcı olabilir misiniz?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhaba,

    Aldığınız hata openssl CA için oluşturulan sertifika ile timestamp otoritesi için oluşturulan sertifikanın bilgilerinin birbirleri ile örtüşmemesine işaret ediyor. Yazının “OpenSSL ve Time Stamping Authority Yapılandırması” bölümünde bu konuya değinmiştim:

    Alıntı:

    Bu kısımda ise yukarıda gördüğünüz ülke, bölge, şehir, firma ismi, e-mail gibi bilgiler soruluyor. Bu soruları yukarıdaki cevaplarda verildiği gibi formal bir şekilde yanıtlayın. Bu kısıma girdiğiniz bilgileri bir yere not edin. Çünkü biraz sonra yapılacak Time Stamp Authority için oluşturulacak private key’de de aynı bilgilerin kullanılması gerekiyor.

    Yazının ilgili kısmında anlatıldığı şekilde bu konuya dikkat ederek sertifika oluşturma işlemlerini yeniden yaparsanız sorun kalmayacaktır.

    [Cevapla]

  21. TicTacTux | (Ağustos 8th, 2012 2:22 pm)

    Merhabalar Çağrı bey;

    Öncelikle ellerinize sağlık döküman çok güzel olmuş. Fakat bir noktada birşeyleri kaçırıyoruz ki bir türlü log imzalama başlıklarından “Request için TSA’ya bir Response Oluşturtmak” adımındaki, aşağıdaki hatayı geçemiyoruz.

    Dökümanınızı birebir uyguluyoruz ancak bu adımda bir sorun var. Ya bu adımdaki yöntem yanlış yada sertifika oluşturma adımlarında bir sorun var.

    ilgilenirseniz memnun oluruz…

    /usr/local/ssl/bin/openssl ts -reply -queryfile system.log.tsq -out system.log.tsr -config /usr/local/ssl/openssl.cnf
    Using configuration from /usr/local/ssl/openssl.cnf
    Response is not generated.
    674760520:error:2F083075:time stamp routines:TS_RESP_CTX_set_signer_cert:invalid signer certificate purpose:ts_rsp_sign.c:206:

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Selamlar,

    Aldığınız hataya göre imzalayıcı sertifikanız da hata var. (invalid signer certificate) Bu problemin nedeni işlem adımlarında bir şey atlamış olmanız olabilir.
    Yazıda bahsi anlatıldığı şekilde defalarca imzalama yaptım. Yazıda sorun olmadığından eminim.

    [Cevapla]

  22. Kaan | (Ekim 15th, 2012 2:33 pm)

    openssl req -new -key tsakey.pem -out tsareq.csr
    komutundan sonra parolayı istiyor fakat sonrasında hata vermeden direkt .csr dosyasını oluşturuyor, bahsettiğiniz gibi bilgileri istemiyor. Neden olabilir?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Peki imzalama işlemi doğru olarak gerçekleşiyor mu ?

    [Cevapla]

    Kaan tarafından yanıtlandı.

    Sorunu buldum, freebsd üzerinde “openssl req..” komutu verildiğin de 0.9.8n versiyonu ile yani tsa olmadan çalışıyor ve dolayısı ile paroladan sonra hiçbir işlem yapmıyor. Asıl olması gereken ise “/usr/local/bin/openssl req..” şeklinde kullanmak.

    Teşekkürler tüm açıklamaların için..

    [Cevapla]

  23. Kaan | (Ekim 18th, 2012 10:18 pm)

    Tekrar merhaba,

    openssl req -config /usr/local/ssl/openssl.cnf -days 1825 -x509 -newkey rsa:2048 -out cacert.pem -outform PEM

    ile işlemi yaparken çıkan PEM pass ve Country, Location, Email vb. alanları shell script ile otomatik girilmesi işlemini nasıl sağlayabiliriz veya openssl’in bunlar için bir parametresi varmı?

    Teşekkürler..

    [Cevapla]

  24. Ercihan NEŞELİ | (Nisan 23rd, 2013 2:26 pm)

    Merhaba.

    http://www.opentsa.org/ts/ts-20060923-0_9_8c-patch.gz linkinde geçen tsa yı bir türlü indiremiyorum. sitesi kapatılmış. Onca aramama rağmen net ortamında temin edemedim dosyayı. Elinde olan bir arkadaş paylaşabilir mi acaba ? yada alternatif olarak kullanabileceğim benzer bir yazılım biliyor musunuz ?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Merhaba,

    OpenSSL’in 1.x sürümünden itibaren ts özelliği default olarak geliyor. Bir başka deyişle, yeni sürüm kullanırsanız patch gecmeniza gerek kalmaz.

    http://www.syslogs.org/openssl-1-0-x-tsa-ozelligi-ve-5651a-uygun-log-imzalamak/

    [Cevapla]

  25. Adem | (Nisan 27th, 2013 11:06 am)

    hocam
    wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz bu adresteki yamayı indiremedim ? alternatif bi adres varmı sa çok ikrama gececek emeğinize sağlık bu arada çok gzel bi paylaşım

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    Bağlantınızla alakalı bir sorun olabilir mi ? Zira ben download edebiliyorum.
    Ayrıca bir hatırlatma: eğer openssl 1.x sürümü kullanıyorsanız patch geçmenize gerek kalmıyor.

    [Cevapla]

  26. Hakkı | (Mayıs 13th, 2013 5:22 pm)

    Dosyaları SSL sertifikasıyla imzalama zorunluluğu var mı yoksa dosyayı timestamp’le birlikte herhangi bir hashleme algoritmasıyla hashlemek yeterli midir?

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    O konu için bir çok yorum var; ancak kendi ürettiğiniz herhangi bir ssl cert ile imzalama yapmanızda sakınca yok. Dosyanın imzalandığı günden sonraki günlerde değiştirilmemiş olduğunu teknik olarak ispat etmeniz yeterli. Kullanılan aracın herhangi bir otorite tarafından sağlanmış olmasına gerek yok yani.

    [Cevapla]

  27. Yusuf Erciyes | (Ağustos 5th, 2013 9:28 am)

    Merhaba burdaki talimata göre 5651 loglama yapıyorum.
    5651 loglama ile ilgili “Sistem her saniye kayıtlar için HASH üretebilmelidir.” gibi ifadeler internette görüyorum. Burda kasdedilen nedir? Yada zorunlu mudur?
    Teşekkürler.

    [Cevapla]

  28. İsmail DELİGÖZ | (Ocak 24th, 2014 1:07 pm)

    Merhaba Arkadaşlar;

    Bende Daha Önceden Endian Firewall Kullanmış Biri Olarak Yeni Çalıştığım Firmaya Bu Sistemi Kurmak istiyorum.

    Fakat Bu işlemi Kurduktan Sonra 5651 Nolu Yasada Kabul Edilen Özelliklere Göre Log imzalama işlemini Gerçekleştirecek Olan Patch’i Endian Firewall Üzerine Kurmam Gerekecek mi Bilmiyorum.

    Tabi Endian Firewall Üzerinde Çalışıp Çalışmadığı Hakkında da Bilgim Yok.

    Şuan Firmamızda PfSense Kurulu Ve Hiç Kullanışlı Değil. Endian’a Geçmek istiyorum Tavsiyeleriniz Nedir ?

    [Cevapla]

Trackbacks

Yorumda bulunun.