OpenSSL ile 5651 Sayılı Kanun Gereği Log Imzalamak
(Toplam 4 oy. Ortalama puan 5 üzerinden 5.00 || Oy vererek siz de katkıda bulunabilirsiniz.)| 5651 sayılı kanun, internet ile ilgili herhangi bir iş yapan kurum ya da firmalara çeşitli sorumluluklar yüklemekte. Bu sorumluluklardan birisi de Trafik Erişim bilgisinin 6 ay boyunca saklanması ve bu dosyaların değiştirilmediğini ispat edebilmek için Elektronik Zaman Damgası ile imzalanmasıdır. Kanuna göre bu işlem, tüm internet ve yer sağlayıcı firmaların yerine getirmesi gereken bir zorunluk. Üstelik kendi sunucuları bulunan her firma da yer sağlayıcısı kapsamına girmekte. |  |
Bir başka değişle, örneğin web sitenizi kendi sunucularınızda barındırıyorsanız Yer Sağlayıcı kapsamına giriyorsunuz. Durum bu olunca da sunucularınız ile ilgili log dosyalarını elektronik zaman damgası ile imzalamanız ve arşivlemeniz gerekiyor. Ayrıca, Toplu Internet Kullanım Sağlayıcıları ismi ile adlandırılan duruma göre, örneğin şirketinizde internet kullanımı bulunuyorsa, IP dağıtım loglarını (DHCP vs.) da imzalamalı ve arşivlemelisiniz.
Piyasada log imzalamak üzere geliştirilmiş programlar mecvut ancak bu paralı yazılımları kullanmak yerine aynı işi OpenSSL ile de yapmak mümkün. Bu yazıda bu işin nasıl yapıldığından bahsetmek istiyorum.
Kurulum ve uygulama bölümlerine bakmadan önce kısaca zaman damgasının ne olduğuna değinmek iyi olacaktır.
Elektronik Zaman Damgası
Direk kurulum notlarına geçmeden önce, zaman damgası ve çalışma mantığına kısaca değinmek istiyorum.
Zaman Damgası Nedir ?
Elektronik Zaman Damgası, elektronik ortamdaki log, döküman sözleşme vs. gibi herhangi bir verinin, belirli bir zamandan önce var olduğunu ispat etmek için kullanılır. Örneğin, bir log dosyasını zaman damgası ile imzalarsanız, o log dosyasının imzalandığı tarihte orjinal haliyle var olduğunu, sonradan herhangi bir değişikliğe uğramadığını ispat edebilirsiniz.
Bu işlem, imzalanacak dosyanın bir hash’inin (kısaca sayısal özet’inin) çıkarılması ve bu hash’in x tarihinde alındığının bilgisinin tutulmasından ibarettir. Bu şekilde eğer ileriki bir tarihte dosyayı değiştirirseniz, imzalanmış olan hash değeri, dosya’nın kendisi ile eşleşmeyeceği için dosyanın değiştirildiği anlaşılacaktır.
Elektronik Zaman Damgası ile İmza İşlemleri Nasıl Yapılabilir ?
Elektronik zaman damgası ile imzalama işlemi için izlenebilecek bir iki yol var; eğer Windows kullanıyorsanız TİB (Telekominikasyon İletişim Başkanlığı)’nın bu iş için yayınladığı IP İmzalayıcı isimli programı kullanabilirsiniz. Ya da piyasada bu iş için hizmet veren firmalardan yararlanabilirsiniz. Ayrıca OpenSSL ile imzalama yöntemini uygulayabilirsiniz. Zaten bu yazının konusu da bu.
OpenSSL ve Time Stamp Authority Patch’i
OpenSSL’in TS (Time Stamping Authority) isimli bir özelliği bulunuyor. Ancak bu desteğin OpenSSL’e kazandırılabilmesi için TS isimli patch’in geçilmesi gerekiyor. TS desteğinin bir sonraki sürümde OpenSSL’e ekleneceği söyleniyor. Ancak şu an için böyle bir durum olmadığı için patch’i manuel olarak geçmeliyiz.
Şimdi bu işin nasıl yapıldığından bahsetmek istiyorum.
 |
UYARI: TS patch’inin şu anki son sürümü, 0.9.8c’dir ve OpenSSL’in 0.9.8c sürümünde çalışmaktadır. Ancak OpenSSL’in şu anki son sürümü 0.9.8k’dır. Yani TS patch’i güncel sürümde çalışmamakta ve bu nedenle OpenSSL 0.9.8c sürümünü kullanmamız gerekmektedir. Bu nedenle log imzalama işlemleri için kullanacağınız bilgisayarın dışarıdan erişilebilir bir makina olmamasına dikkat ediniz. Böylece, OpenSSL’in eski sürümlerine ait güvenlik açıklarından etkilenmemiş olursunuz. |
Şimdi OpenSSL’i TS patch’i ile derleyip sisteme kuralım.
OpenSSL’in TS Patchi İle Derlenerek Kurulması
Normalde, sisteminizde OpenSSL’in son sürümü yüklüdür, fakat biz OpenSSL 0.9.8c sürümümü ts-0.9.8c patchi ile derleyerek ayrıca kuracağız. Bu şekilde sistemde ayrı pathlerde duran iki adet OpenSSL binary’si bulunacak ve imzalama işleri için 9.0.8c sürümüne ait binary’i kullanacağız.
|
UYARI: OpenSSL kurulumu yapacağınız bilgisayarda, daha önceden kaynak koddan derleme sureti ile OpenSSL kurduysanız, şimdi yapılacak OpenSSL kurulumunun var olan binary dosyalarını değiştireceğini bilmelisiniz. Böyle bir durumunuz varsa, şimdiki kurulumda binary dosyalarının başka bir path’e yüklenmesini sağlamak için ./config sırasında –openssldi=/dizin şeklinde yeni bir path belirtiniz. |
Aşağıdaki adımları izleyerek kurulumu yapabiliriz.
Ben dosyaları düzenli olması açısından /usr/local/src dizinine download ediyorum. Bu dizine girelim.
# cd /usr/local/src/
OpenSSL’in 0.9.8c sürümünü download edelim:
# wget http://www.openssl.org/source/openssl-0.9.8c.tar.gz
indirdiğimiz paketi açıyoruz:
# tar xvfz openssl-0.9.8c.tar.gz
openssl-0.9.8c dizinine girelim.
# cd openssl-0.9.8c
Bu dizindeyken, patch dosyasını download ediyoruz:
# wget http://www.opentsa.org/ts/ts-20060923-0_9_8c-patch.gz
Patch’i uyguluyoruz.
# gzip -cd ts-20060923-0_9_8c-patch.gz | patch -p1
ve OpenSSL’i derleyerek kuruyoruz.
# ./config # make # make install
Herhangi bir sorunla karşılaşmadıysanız, kurulum tamam demektir. Yeni kurulan OpenSSL’e ait dosyalar sistemde /usr/local/ssl/ path’in de tutuluyor. TS desteklik OpenSSL binary’si bu dizinin bin klasorunde bulunuyor; yani /usr/local/ssl/bin/openssl
Şimdi ts desteğinin çalışıp çalışmadığını teyit etmek için şu komutu verelim:
# /usr/local/ssl/bin/openssl ts
Çıktı şu şekilde olacaktır:
usage: ts -query [-rand file:file:...] [-config configfile] [-data file_to_hash] [-digest digest_bytes][-md2|-md4|-md5|-sha|-sha1|-mdc2|-ripemd160] [-policy object_id] [-no_nonce] [-cert] [-in request.tsq] [-out request.tsq] [-text] or ts -reply [-config configfile] [-section tsa_section] [-queryfile request.tsq] [-passin password] [-signer tsa_cert.pem] [-inkey private_key.pem] [-chain certs_file.pem] [-policy object_id] [-in response.tsr] [-token_in] [-out response.tsr] [-token_out] [-text] [-engine id] or ts -verify [-data file_to_hash] [-digest digest_bytes] [-queryfile request.tsq] -in response.tsr [-token_in] -CApath ca_path -CAfile ca_file.pem -untrusted cert_file.pem
Evet görüldüğü üzere yeni kurduğumuz OpenSSL’in TS desteği var. Şimdi sırada, TS kullanımı için OpenSSL’in yapılandırılmasında.
OpenSSL ve Time Stamping Authority Yapılandırması
Imzalama işlemlerini yapabilmek için öncesinde, bir takım yapılandırma ayarlarını tamamlamak gerekiyor. Sırası ile işlemler şu şekilde:
Bu işlem için bir çalışma dizini oluşturun. Örneğin sertifikalar isimli bir dizin:
# mkdir /sertifikalar
Şimdi bu dizine girip, OpenSSL için bir certificate authority oluşturalım.
# cd /sertifikalar # openssl req -config /usr/local/ssl/openssl.cnf -days 1825 -x509 -newkey rsa:2048 -out cacert.pem -outform PEM
Bu komutu verdiğiniz zaman, certificate authority için oluşturulacak private key için kullanılacak parolayı belirlemeniz istenecek, belirleyeceğiniz parola ileride lazım olacağı için önemlidir; unutmamalısınız:
Enter PEM pass phrase: Verifying - Enter PEM pass phrase:
Pass phrase (parola) belirledikten sonra sertifika bilgilerini belirlemeniz istenecek.
Country Name (2 letter code) [AU]:TR State or Province Name (full name) [Some-State]:Marmara Locality Name (eg, city) []:Istanbul Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cagri AS Organizational Unit Name (eg, section) []:CagriAS Common Name (eg, YOUR name) []:Cagri Ersen Email Address []:cagri.ersen@gmail.com
Bu kısımda ise yukarıda gördüğünüz ülke, bölge, şehir, firma ismi, e-mail gibi bilgiler soruluyor. Bu soruları yukarıdaki cevaplarda verildiği gibi formal bir şekilde yanıtlayın. Bu kısıma girdiğiniz bilgileri bir yere not edin. Çünkü biraz sonra yapılacak Time Stamp Authority için oluşturulacak private key’de de aynı bilgilerin kullanılması gerekiyor.
İşlem bittiği zaman çalışma dizininde, aşağıdaki gibi iki dosya oluşturulduğunu göreceksiniz:
-rw-r--r-- 1 root root 1675 Aug 25 01:15 cacert.pem -rw-r--r-- 1 root root 1743 Aug 25 01:15 privkey.pem
cacert.pm isimli dosya, Certificate Authority’nin public key’i, diğeri ise private key’idir.
Aslında, OpenSSL kurulum aşamasında ön tanımlı olarak public ve private key’leri oluşturuyor. Fakat bizim kendi key’lerimizi oluşturmamız ve default gelen key’lerin yerine koymamız gerekiyor. Şimdi oluşturulan bu key’leri yerlerine taşıyalım.
Ben daha derli toplu olması için Certificate Authority ile ilgili dosyaları / (kök) dizininin altında CA isimli klasorde tutuyorum. OpenSSL ile birlikte gelen Certificate Authority dosyalar, download edip açtığımız openssl-0.9.8c/apss dizininde demoCA ismi ile duruyor. (Yazının başında download için /usr/local/src dizinini belirlemiştik.) Şimdi demoCA isimli bu dizini /CA olarak kopyalayalım ve yeni sertifikalar için burada bir newcerts isimli bir dizin oluşturalım.
# cp -r /usr/local/src/openssl-0.9.8c/apps/demoCA /CA # mkdir /CA/newcerts
Şu an CA dizini içerisinde default gelen public ve private key’ler de bulunuyor. Bunların bir yedeğini alalım ve sonrasında kendi oluşturduğumuz dosyaları buraya taşıyalım:
Önce public key:
# mv /CA/cacert.pem /CA/cacert.pem.old # cp /sertifikalar/cacert.pem /CA/
Şimdi aynı işlemleri, private key için de yapıyoruz:
# mv /CA/private/cakey.pem /CA/private/cakey.pem.old # cp /sertifikalar/privkey.pem /CA/private/cakey.pem
Dosyaları yerlerine taşıdıktan sonra openssl.cnf dosyasında bir iki değişiklik yapmamız gerekiyor.
openssl.cnf dosyasını editleyin:
vi /usr/local/ssl/openssl.cnf
Dosya içerisinde ./demoCA yazan yerleri /CA olarak değiştirin. Ilgili ibareler dosyada iki yerde geçiyor ve son halleri aşağıdaki gibi olmalı:
dir = /CA # Where everything is kept dir = /CA # TSA root directory
Değişiklikleri yaptıktan sonra dosyadan kaydederek çıkın.
Sırada, Time Stamp Authority (TSA) için bir private key oluşturma işlemi var.
Şu şekilde yapıyoruz.
# cd /sertifikalar # openssl genrsa -aes256 -out tsakey.pem 2048
Komutu verdiğiniz zaman gene bir parola belirlemeniz istenecek:
Enter pass phrase for tsakey.pem: Verifying - Enter pass phrase for tsakey.pem:
Elbette bu parolayı da unutmayın.
Şimdi bu key ile birlikte, Certificate Authority’den bir sertifika isteğinde bulunuyoruz:
# openssl req -new -key tsakey.pem -out tsareq.csr
Komutu girdiğiniz aman aşağıdaki gibi parolanızı girmenizi isteyen bir çıktı alacaksınız.
Enter pass phrase for tsakey.pem:
Bu key hemen bir önceki adımda, tsakey.pem dosyasını oluştururken belirlediğimiz paroladır.
Parolanızı girdikten sonra, aşağıdaki görüldüğü gibi, ülke, bölge, şehir, firma ismi, e-mail gibi bilgilerin girilmesi istenecek.
|
UYARI: Bu bilgilerin, certificate authority’nin private key’ini oluştururken girdiğiniz bilgilerle aynı olması gerekir. Aksi halde log imzalama işlemlerine hata alabilirsiniz. |
Bizim örneğimize göre çıktı ve cevaplar şu şekilde olmalı:
Country Name (2 letter code) [AU]:TR State or Province Name (full name) [Some-State]:Marmara Locality Name (eg, city) []:Istanbul Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cagri AS Organizational Unit Name (eg, section) []:CagriAS Common Name (eg, YOUR name) []:Cagri Ersen Email Address []:cagri.ersen@gmail.com
Ayrıca extra attiribute’lerin sorulduğu şöyle bir çıktı daha alacaksınız:
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:sifre An optional company name []: Bos gecebilirsiniz.
Şimdi, /sertifikalar dizininde tsareq.csr isimli bir request dosyası oluştu. Artık bu csr. dosyasını kullanarak time stamp authority’nin public key’ini oluşturacağız.
Şu şekilde:
# openssl ca -config /usr/local/ssl/openssl.cnf -in tsareq.csr -out tsacert.pem
Komutu girdiğiniz zaman aşağıdaki gibi görünen ve Certificate Authority için belirlediğiniz parolayı girmenizi isteyen çıktıyı alırsınız. (Cert. Authority’nin private key’ini oluştururken belirlediğiniz parola’nızı girin.
Using configuration from /usr/local/ssl/openssl.cnf Enter pass phrase for /CA/private/cakey.pem:
Sonrasonda da sertifikanın imzalanmasına onay vermenizi isteyen aşağıdaki gibi bir ekran ile karşılaşırsınız:
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 286 (0x11e)
Validity
Not Before: Aug 24 23:24:35 2009 GMT
Not After : Aug 24 23:24:35 2010 GMT
Subject:
countryName = TR
stateOrProvinceName = Marmara
organizationName = Cagri AS
organizationalUnitName = CagriAS
commonName = Cagri Ersen
emailAddress = cagri.ersen@gmail.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Comment:
OpenSSL Generated Certificate
X509v3 Subject Key Identifier:
5F:C3:B7:8A:95:A1:2C:6D:CA:9D:74:CA:BF:F9:5A:49:A7:EB:33:62
X509v3 Authority Key Identifier:
keyid:34:4A:79:0E:42:7B:50:B1:32:54:4C:C5:72:1E:96:D2:6D:FA:72:A2
X509v3 Extended Key Usage: critical
Time Stamping
Certificate is to be certified until Aug 24 23:24:35 2010 GMT (365 days)
Sign the certificate? [y/n]:y
y dediğiniz zaman tekrar onay isteyen bir ekran gelecek ve sertifika imzalanacak:
1 out of 1 certificate requests certified, commit? [y/n]y Write out database with 1 new entries Data Base Updated
Şimdi, TSA’nın public key’i /sertifikalar dizininde tsacert.pem ismi ile oluşturuldu. Artık son adım olarak, hem public hem de private key’i yerlerine taşıyabiliriz.
# cp /sertifikalar/tsacert.pem /CA/ # cp /sertifikalar/tsakey.pem /CA/private/
Evet artık, oluşturduğumuz time stamp authority’i kullanarak log imzalama işlemlerini yapabiliriz.
OpenSSL TSA Kullanarak Log İmzalamak
Log imzalamayla ilgili komutları vermeden önce, log dosyasının teoride nasıl imzalandığından bahsetmek istiyorum.
Nasıl ?
OpenSSL TSA kullanarak, bir log dosyasını ya da herhangi bir dökümanı imzalamak istediğiniz zaman teorik olarak şu işlem adımları gerçekleştirilir.
- TSA istemcisi, imzalanacak log dosyasının bir hash’ini (özetini) alır ve TSA’ya (time stamp authority)’e gönderir.
- Time Stamp Authority’si ise gelen bu hash değerine, tarih ve zaman bilgisini ekler, imzalar ve time stamp token olarak geri gönderir. Bu şekilde TSA, kendisine gelen hash’ın o tarihteki durumunu belgelendirir.
- TSA client ise, gelen bu token’in imzasını ve token’in hash değerinin gönderilenle aynı olup olmadığını kontrol eder.
Bu şekilde imzalam işlemi tamamlanmış olur. Şimdi bir log dosyasını imzalamanın nasıl yapılabileceğine bakalım.
TSA ile Bir Log Dosyasının İmzalanması
Ben örnek olarak, /imza isimli bir dizin açacağım ve örneğin sunucunun /var/log/messages isimli log dosyasını buraya alıp imzaya tabi tutacağım.
Önce dizini açıp imzalanacak log dosyasının bir kopyasını buraya alalım:
# mkdir /imza # cd /imza # cp /var/log/messages .
Şimdi imzalama işlemine başlayabiliriz.
Log Dosyası İçin TSA Request’i Oluşturmak
Öncelikli olarak, teorik bölümde bahsettiğim gibi log dosyasının imzalanması için bir request oluşturuyoruz:
# /usr/local/ssl/bin/openssl ts -query -data messages -no_nonce -out messages.tsq
Not: Gördüğünüz gibi bu komutta kullanilan openssl /usr/local/ssl/bin/ dizini altındaki openssl binary’si. Bu sürümde ts desteği var. Komut satırından direk olarak openssl derseniz /usr/bin altındaki openssl binary’si çalıştırılır ve hata alırsınız.
Komutu verdiğiniz zaman imza dizini içerisinde messages.tsq isimli request dosyasının oluşturulduğunu görürsünüz.
Şimdi request için TSA’ın bir cevap (response) oluşturmasını söyleyeceğiz.
Request için TSA’ya bir Response Oluşturtmak
Bu işlemi şu şekilde yapıyoruz:
# /usr/local/ssl/bin/openssl ts -reply -queryfile messages.tsq -out messages.tsr -config /usr/local/ssl/openssl.cnf
Bu komutu girdiğiniz zaman, aşağıda görüldüğü şekilde, TSA’nın private key’ini oluştururken belirlediğiniz parolanın girilmesi istenecek:
Using configuration from /usr/local/ssl/openssl.cnf Enter PEM pass phrase:
Parolayı girdiğiniz zaman response oluşturulacak ve messages.tsr isimli (time stamp response) cevap dosyası oluşturulacak.
tsr dosyasını normal yollar ile editler ya da içine bakarsanız herhangi bir şey anlayamazsınız. Ancak insanların okuyabileceği (human-readable) şekilde içerisini okumak için şu komutu verebilirsiniz.
# /usr/local/ssl/bin/openssl ts -reply -in messages.tsr -text
Komutun çıktısı aşağıdaki gibi olacaktır:
Status info:
Status: Granted.
Status description: unspecified
Failure info: unspecified
TST info:
Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b [.....A=.+.43!.+
0010 - 6b 68 41 5e khA^
Serial number: 0x01
Time stamp: Aug 25 00:20:44 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:
Gördüğünüz gibi imzalanma tarihi, imzalayan otoritenin bilgileri falan mevcut.
Şimdi bir de, request dosyasını kullanarak time stamp response yerine time stamp token oluşturalım.
Request için TSA'ya bir Token Oluşturtmak
Bu işi de şu komut ile yapabilirsiniz:
# /usr/local/ssl/bin/openssl ts -reply -queryfile messages.tsq -out messages.der -token_out -config /usr/local/ssl/openssl.cnf
Parolanız tekrar sorulacak:
Using configuration from /usr/local/ssl/openssl.cnf Enter PEM pass phrase: Response has been generated.
Sonrasında ise token oluşturulacak.
Response has been generated.
Şimdi imza dizini içinde bir de messages.der isimli bir token bulunuyor. Bu token'in içeriğini okumak için komut şu:
# /usr/local/ssl/bin/openssl ts -reply -in messages.der -token_in -text -token_out
Çıktı
Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b [.....A=.+.43!.+
0010 - 6b 68 41 5e khA^
Serial number: 0x02
Time stamp: Aug 25 00:29:09 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:
Daha detaylı görmek isterseniz aşağıdaki komutu kullanabilirsiniz:
# /usr/local/ssl/bin/openssl asn1parse -in messages.der -inform DER
Çıktı şuna benzer olacaktır:
Version: 1
Policy OID: 1.2.3.4.1
Hash Algorithm: sha1
Message data:
0000 - 5b b7 ce 87 d9 ad 41 3d-ea 2b c0 34 33 21 e4 2b [.....A=.+.43!.+
0010 - 6b 68 41 5e khA^
Serial number: 0x02
Time stamp: Aug 25 00:29:09 2009 GMT
Accuracy: 0x01 seconds, 0x01F4 millis, 0x64 micros
Ordering: yes
Nonce: unspecified
TSA: DirName:/C=TR/ST=Marmara/O=Cagri AS/OU=CagriAS/CN=Cagri Ersen/emailAddress=cagri.ersen@gmail.com
Extensions:
# /usr/local/ssl/bin/openssl ts -reply -in messages.der -token_in -text -token_out
# /usr/local/ssl/bin/openssl asn1parse -in messages.der -inform DER
0:d=0 hl=4 l= 873 cons: SEQUENCE
4:d=1 hl=2 l= 9 prim: OBJECT :pkcs7-signedData
15:d=1 hl=4 l= 858 cons: cont [ 0 ]
19:d=2 hl=4 l= 854 cons: SEQUENCE
23:d=3 hl=2 l= 1 prim: INTEGER :03
26:d=3 hl=2 l= 11 cons: SET
28:d=4 hl=2 l= 9 cons: SEQUENCE
30:d=5 hl=2 l= 5 prim: OBJECT :sha1
37:d=5 hl=2 l= 0 prim: NULL
39:d=3 hl=3 l= 238 cons: SEQUENCE
42:d=4 hl=2 l= 11 prim: OBJECT :id-smime-ct-TSTInfo
55:d=4 hl=3 l= 222 cons: cont [ 0 ]
58:d=5 hl=3 l= 219 prim: OCTET STRING [HEX DUMP]:3081D802010106042A0304013021300906052B0E03021A050004145BB7CE87D9AD413DEA2BC0343321E42B6B68415E020102180F32303039303832353030323930395A300A020101800201F48101640101FFA08186A48183308180310B30090603550406130254523110300E060355040813074D61726D6172613111300F060355040A130843616772692041533110300E060355040B130743616772694153311430120603550403130B436167726920457273656E3124302206092A864886F70D010901161563616772692E657273656E40676D61696C2E636F6D
280:d=3 hl=4 l= 593 cons: SET
284:d=4 hl=4 l= 589 cons: SEQUENCE
288:d=5 hl=2 l= 1 prim: INTEGER :01
291:d=5 hl=3 l= 154 cons: SEQUENCE
294:d=6 hl=3 l= 147 cons: SEQUENCE
297:d=7 hl=2 l= 11 cons: SET
299:d=8 hl=2 l= 9 cons: SEQUENCE
301:d=9 hl=2 l= 3 prim: OBJECT :countryName
306:d=9 hl=2 l= 2 prim: PRINTABLESTRING :TR
310:d=7 hl=2 l= 16 cons: SET
312:d=8 hl=2 l= 14 cons: SEQUENCE
314:d=9 hl=2 l= 3 prim: OBJECT :stateOrProvinceName
319:d=9 hl=2 l= 7 prim: PRINTABLESTRING :Marmara
328:d=7 hl=2 l= 17 cons: SET
330:d=8 hl=2 l= 15 cons: SEQUENCE
332:d=9 hl=2 l= 3 prim: OBJECT :localityName
337:d=9 hl=2 l= 8 prim: PRINTABLESTRING :Istanbul
347:d=7 hl=2 l= 17 cons: SET
349:d=8 hl=2 l= 15 cons: SEQUENCE
351:d=9 hl=2 l= 3 prim: OBJECT :organizationName
356:d=9 hl=2 l= 8 prim: PRINTABLESTRING :Cagri AS
366:d=7 hl=2 l= 16 cons: SET
368:d=8 hl=2 l= 14 cons: SEQUENCE
370:d=9 hl=2 l= 3 prim: OBJECT :organizationalUnitName
375:d=9 hl=2 l= 7 prim: PRINTABLESTRING :CagriAS
384:d=7 hl=2 l= 20 cons: SET
386:d=8 hl=2 l= 18 cons: SEQUENCE
388:d=9 hl=2 l= 3 prim: OBJECT :commonName
393:d=9 hl=2 l= 11 prim: PRINTABLESTRING :Cagri Ersen
406:d=7 hl=2 l= 36 cons: SET
408:d=8 hl=2 l= 34 cons: SEQUENCE
410:d=9 hl=2 l= 9 prim: OBJECT :emailAddress
421:d=9 hl=2 l= 21 prim: IA5STRING :cagri.ersen@gmail.com
444:d=6 hl=2 l= 2 prim: INTEGER :011E
448:d=5 hl=2 l= 9 cons: SEQUENCE
450:d=6 hl=2 l= 5 prim: OBJECT :sha1
457:d=6 hl=2 l= 0 prim: NULL
459:d=5 hl=3 l= 140 cons: cont [ 0 ]
462:d=6 hl=2 l= 26 cons: SEQUENCE
464:d=7 hl=2 l= 9 prim: OBJECT :contentType
475:d=7 hl=2 l= 13 cons: SET
477:d=8 hl=2 l= 11 prim: OBJECT :id-smime-ct-TSTInfo
490:d=6 hl=2 l= 28 cons: SEQUENCE
492:d=7 hl=2 l= 9 prim: OBJECT :signingTime
503:d=7 hl=2 l= 15 cons: SET
505:d=8 hl=2 l= 13 prim: UTCTIME :090825002909Z
520:d=6 hl=2 l= 35 cons: SEQUENCE
522:d=7 hl=2 l= 9 prim: OBJECT :messageDigest
533:d=7 hl=2 l= 22 cons: SET
535:d=8 hl=2 l= 20 prim: OCTET STRING [HEX DUMP]:B947896286699B2D9501B88F81311C32E778A5D0
557:d=6 hl=2 l= 43 cons: SEQUENCE
559:d=7 hl=2 l= 11 prim: OBJECT :id-smime-aa-signingCertificate
572:d=7 hl=2 l= 28 cons: SET
574:d=8 hl=2 l= 26 cons: SEQUENCE
576:d=9 hl=2 l= 24 cons: SEQUENCE
578:d=10 hl=2 l= 22 cons: SEQUENCE
580:d=11 hl=2 l= 20 prim: OCTET STRING [HEX DUMP]:277FF0E8A397E4BC4D3F6415BCD44065CD5D8500
602:d=5 hl=2 l= 13 cons: SEQUENCE
604:d=6 hl=2 l= 9 prim: OBJECT :rsaEncryption
615:d=6 hl=2 l= 0 prim: NULL
617:d=5 hl=4 l= 256 prim: OCTET STRING [HEX DUMP]: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
Böylece imzalama işlemini gerçekleştirmiş oluyoruz. Şimdi sırada imzalanan dosyanın doğrulanması işlemi var.
Doğrulama (Verify) İşlemleri
Doğrulama işlemleri için birden fazla yol var, imzaladığınız dosyaları aşağıdaki yöntemler ile doğrulayabilirsiniz.
Time Stamp Token’ın Log Dosyası üzerinden Doğrulanması
Bu işlem için komut şu şekilde:
# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.der -token_in -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem
Çıktı şu şekilde olacaktır:
Verification: OK
Görüldüğü gibi doğrulama sağlandı. messages dosyasının kendisinde ya da messages.der dosyasında bir oynama yapmadığınız sürece doğrulama düzgün olarak gerçekleşecektir. Ancak dosyalardan birini değiştirirseniz doğrulama onaylanmayacak ve dosyanın değiştirilmiş olduğu anlaşılacaktır.
Aynı doğrulama işinin, token yerine response (tsr – time stamp response) üzerinden de yapılması mümkün.
TS Response’un Log Dosyası üzerinden Doğrulanması
Komut şu şekilde:
# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.tsr -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem
Sonuç gene aynı olacaktır:
Verification: OK
Doğrulama işlemlerinden birisi de, time stamp replay’in (tsr request’e karşı doğrulanmasıdır.
Time Stamp Reply’nin Request üzerinden Doğrulanması
Bu işlem için komut şu:
# /usr/local/ssl/bin/openssl ts -verify -queryfile messages.tsq -in messages.tsr -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem
Çıktı:
Verification: OK
Görüldüğü üzere, verify işlemleri sorunsuz gitti. Artık, request, token ve log dosyasını arşivleyebilir, herhangi bir zamanda değiştirilmediğini ispat edebilirsiniz.
Dosyalardan herhangi biri üzerinde oynama yaparsınız, doğrulama işlemi gerçekleşmeyecektir.
Örneğin log dosyasını editleyerek bir şeyler silin ve ya ekleyin, sonrasında da aşağıdaki gibi , yeniden doğrulamada işlemi yapın.
# /usr/local/ssl/bin/openssl ts -verify -data messages -in messages.der -token_in -CAfile /CA/cacert.pem -untrusted /CA/tsacert.pem
Sonuç fail olacaktır:
Verification: FAILED 20321:error:2D064067:time stamp routines:TS_CHECK_IMPRINTS:message imprint mismatch:ts_resp_verify.c:656:
Ya da response (tsr) dosyasını bozup verify ettiğiniz zaman da sonuc fail olacaktır.
Evet genel olarak OpenSSL ve TSA kullanarak imzalama işleri bu kadar. Detaylı bilgi için kaynak linklerine göz atabilirsiniz:
Kaynaklar:
http://www.opentsa.org/
http://www.openssl.org/docs/apps/ts.html
http://www.bluequartz.us/phpBB2/viewtopic.php?t=91551&sid=7a25df58028c6cb69b89040fa0fe02a8
http://www.metu.edu.tr/5651/sss.php
http://blog.lifeoverip.net/2008/11/10/5651-sayili-kanun-gereksinimleri-icin-loglari-imzalamak/
Belki şu konular da ilginizi çeker
YORUMLAR
Trackbacks
Yorumda bulunun.
Hocam Merhaba ;
Elinize sağlık , güzel makale olmuş .
[Cevapla]
Harika ve çok yararlı bir makale. Eline sağlık.
Bir tek konudan emin olmak istedim:
OpenSSL 0.9.8c sürümünü kurarken bu sürümün hangi path’e kurulacağını belirtediğizde, sistemimizde yüklü yeni sürümün üzerine yazma riski ile karşılaşmaz mıyız?
Mesela daha önce 0.9.8k sürümünü kaynak kodundan derleyip yüklemiş olsak, bunların pathleri çakışmaz mı?
[Cevapla]
Evet abi, o sekilde oyle olur. Ancak cogu linux dagitiminda openssl default geliyor, dolayisi ile kaynak koddan derleme ihtiyaci olmuyor genelde.
Fakat, oyle bir durum varsa kurulum sirasinda ayri bir path belirtilebilir.
Yarin dener sonucu soylerim.
[Cevapla]
Şimdi denedim, normal olarak dosyalar yeni sürümün üzerine yazıldı.
Ancak böyle bir durumda, ikinci sürümü için config sırasında ayrı path belirtince sorun çıkmıyor.
Bu şekilde bir kurulum yaptım; şu an sistemde 3 farklı ssl kurulumu yüklü durumda.
[Cevapla]
OpenSSL surum 1.0 dan itibaren RFC3161 time stamp destegi ile birlikte geliyor. Hatirlatma fayda var 1.0 halen BETA 3 de.
http://www.openssl.org/news/news.html
[Cevapla]
Evet, yazının ilgili bölümünde bundan bahsetmiştim. Ancak dediğiniz gibi şu an 1.0 beta olduğu için direk patch yöntemini kullanıyorum.
Katkınız için teşekkür ederim.
[Cevapla]
Süper bir döküman olmuş ellerinize sağlık, zihnim açıldı desem yeri :)
[Cevapla]
Illegal instruction
:o)
[Cevapla]
Bu hatayi mi aldiniz ?
Eger oyle ise sisteminiz 64bit’tir ya da vmware uzerinde calisiyordur. Bu durumlarda bu hatayi veriyor.
Cozum ise 1.0 beta 4 sürümünü yüklemek (bu sürümde patch gecmenize gerek yok, 1.0 sürümü tsa ile birlikte geliyor.)
[Cevapla]
Bende illegal instruction hatasını alıyorum. Sistemim 64 bit. Hocam 64 bit bi sistemde bu şekilde kullanamayacak mıyız? Bir yolu yok mu bunun? Sonuçta beta birşey kullanmak istemiyorum. Mutlaka 64 bit sistemde kullanmanın da bir yolu olmalı diye düşünüyorum.
[Cevapla]
Patch 64 bit sistemler icin degil. O nedenle bildigim bir yolu yok malesef. Beta kullanmaktan baska ne gibi bir sansiniz var bilemiyorum.
Belki imzalama islemlerini uretim ortami disinda lokal bir ortamda yaparsaniz beta surum kullanmak sorun olmaz.
[Cevapla]
İmzalama için zaman değerinin bir zaman sunucusundan alması gerekmiyor mu? TİB’in istesindeki Windows programı öyle yapıyor yanlış görmediysem.
[Cevapla]
Evet o yuzden kendi zaman damgasi otoritenizi olusturuyorsunuz. OpenSSL TSA sunucunuzun saatine gore UTC formatinda zaman damgasi basiyor.
Sunucu saatiniz geri kalmamali yani.
[Cevapla]
Makale cok guzel ve faydali olmus. Tesekkur ve tebrik ederim.
Debian Lenny’de TS yamali openssl derlerken sorun yasamistim. Dagitimla gelen openssl’e yama uygulanamiyordu, openssl sitesinden indirilen uygun surumlu paket ise Lenny’de derlenemiyordu (galiba glibc ile ilgili bir sorun vardi). Etch’de derleyip Lenny’de calistiriyorum o nedenle.
Ihtiyac duyanlar icin derlenmis hali:
http://www.emrah.com/medya/opentsa.tar.gz
[Cevapla]
Bu güzel makaleniz içun teşekkür ederim. Dimağınıza ve kaleminize sağlık.
[Cevapla]
hocam elinize sağlık teşekkürler.
bunu pfsense üzerinde nasıl uygulayabiliriz?
teşekkürler
[Cevapla]
Merhaba,
Pfsense uzerinde openssl’e patch gecmek mumkun degildi. Bu nedenle zannedersem kullanamiyordunuz. (Aslında birebir denemedigim icin net bilemiyorum ama aldigim duyumlar oyleydi.)
Fakat TSA destegi OpenSSL’in 1.0 sürümünde mevcut ki bu stable olarak yeni yayinlandi. Eger Pfsense icin openssl 1.0.0 güncellemesi gelecekse (geldiyse) bu durumda yazida anlatildigi sekli ile (patch gecmeye gerek kalmadan) imzalama islemi yapabilirsiniz.
Elimin altinda pfsense bulunmadigi icin openssl’in durumu hakkinda bilgim yok; siz kontrol eder bizi de bilgilendirirseniz sevinirim.
[Cevapla]
Merhabalar,
Bu log imzalama konusunda. Sertifikamızın bir otoriteden alınması mı gerekiyor, yoksa kendi ürettiğimiz sertifika TIB için gerçekli oluyor mu? Bunda nasıl bir yol izlenmeli. Log imzalama servisleri bulunuyor. Kanuni olarak bizim imzaladigimiz log ile imzalama servislerinin imzaladigi log ayni hukuki nitelikte oluyor mu? Konu hakkinda bilgi aktarilabilirse, bu mukemmel doküman tamamlanmış olacaktır.
Teşekkürler.
[Cevapla]
Merhabalar,
Kanunda imzalama isleminde kullanilacak sertifikalarin herhangi bir otorite tarafindan saglanmis olmasi ile ilgili bir zorunluluk yok. Yani kendi sertifikanizi olusturup imzalama islemi yapabiliyorsunuz.
TIB’in kendi yazilimi da imzalamayi ayni sekilde yapiyor. Buradaki amac sertifikanin guvenilirliginden ziyade, log dosyasinin imzalandigi tarihten itibaren degistirilmedigini ispat etmek. Bu nedenle otorite gereksinimi bulunmuyor.
[Cevapla]
Peki, bu sertifikaların korunumu nasıl sağlanıyor? CA ya da signing key gibi firmalara özel key’lerin sadece ilgili directory’lerde durması bir zaafiyet değil midir? ve ayrıca yine log’ların büyüklüğüne bağlı olarak imzalama yapılacak data’nın boyutu, performans darboğazlarına sebebiyet vereceğini düşünüyorum.
[Cevapla]