Безопасность и оптимизация Linux.Редакция для Red Hat
       

Linux OPENSSL сервер


Краткий обзор

Большинство серверов подобных IMAP & POP, Samba, OpenLDAP, FTP, Apache и других, которым необходима аутентификация пользователей перед разрешением использования сервиса, по умолчанию, передают имя пользователя и пароль в простом текстовом виде. Альтернативные механизмы шифрования подобные SSL гарантируют надежность и безопасность транзакций. С этой технологией, данные передаются через сеть в зашифрованном виде. Однажды установив OpenSSL на своем сервере, вы можете использовать его как стороннюю утилиту в других приложениях, для включения в них возможностей SSL.

Из описания OpenSSL:

Проект OpenSSL – это совместная попытка разработать надежную, коммерчески независимую, полнофункциональную и распространяемую с открытыми кодами реализацию протоколов Secure Sockets Layer (SSL v2/v3) и Transport Layer Security (TLS v1) с полной криптографией. Проект управляется добровольцами всемирного сообщества, которые используют Интернет для общения, планирования и разработки инструментария OpenSSL и связанной с ним документацией.

Linux OPENSSL сервер


Преимущества криптографии

Основные преимущества использования технологий шифрования следующие:

  • Конфиденциальность данных

    Когда сообщение зашифровано, входной открытый текст трансформируется по алгоритму в зашифрованный текст, который скрывает смысл сообщения и может быть отправлен через общедоступный механизм. В этот процесс вовлекается секретный ключ, который используется при шифровании, а позже при расшифровании данных. Без этого ключа, зашифрованные данные становятся бессмысленными.

  • Целостность данных

    Криптографическая контрольная сумма, называемая message authentication code (MAC), может рассчитываться на произвольном определенном пользователем тексте для защиты целостности данных. Результат (текст и MAC) отправляется принимающей стороне, который может проверить контрольный MAC присоединенный к сообщению пересчитывая MAC для сообщения, используя соответствующий секретный ключ и проверяя, что полученный MAC эквивалентен контрольному.


  • Аутентификация

    Персональная идентификация – это другое применение криптографии, где пользователь/отправитель знает ключ, который может служить для установления его/ее подлинности.


  • Электронные подписи

    Цифровые подписи заверяет отправителя и получателя, что сообщение подлинное и что только владелец ключа мог создать цифровую подпись.


    • Патенты

    Несколько юридических проблем существует при использовании SSL технологии. Если вы планируете использовать OpenSSL для коммерческих целей, то необходимо получить у RSA лицензию на использование RSA библиотек.

    Здесь приведено извлечение из файла README OpenSSL:

    Разные компании владеют патентами на разные алгоритмы в разных местах мира. Вы сами отвечаете за то, что бы использование любых алгоритмов для вас было юридически законно, проверяя имеются ли какие-либо патенты у вас в стране. Этот файл включает некоторые патенты о которых мы точно или “по слухам” знаем. Это не точный список.

    RSA Data Security держит программный патент на алгоритмы RSA и RC5. Если принадлежащий им код используется в США (и Японии?), вы должны контактировать с RSA Data Security об условиях лицензии. Их веб-сервер: .

    RC4 – это торговая марка RSA Data Security, так что его использование возможно только с разрешения RSA Data Security.

    Алгоритм IDEA патентован Ascom в Австрии, Франции, Германии, Италии, Японии, Нидерландах, Испании, Швеции, Швейцарии, Соединенном Королевстве и США. С ними нужно войти в контакт если вы используете этот алгоритм; их веб-сервер: .

    Эти инструкции предполагают.

    Unix-совместимые команды.

    Путь к исходным кодам “/var/tmp” (возможны другие варианты).

    Инсталляция была проверена на Red Hat Linux 6.1 и 6.2.

    Все шаги инсталляции осуществляются суперпользователем “root”.

    OpenSSL версии 0.9.5a

    Пакеты.

    Домашняя страница OpenSSL:

    Вы должны скачать: openssl-0.9.5a.tar.gz

    Тарболы.

    Хорошей идеей будет создать список файлов установленных в вашей системе до инсталляции Sendmail и после, в результате, с помощью утилиты diff вы сможете узнать какие файлы были установлены. Например,

    До инсталляции:

    find /* > OpenSSL1

    После инсталляции:

    find /* > OpenSSL2

    Для получения списка установленных файлов:

    diff OpenSSL1 OpenSSL2 > OpenSSL-Installed

    Раскройте тарбол:

    [root@deep /]# cp openssl-version.tar.gz /var/tmp

    [root@deep /]# cd /var/tmp

    [root@deep tmp]# tar xzpf openssl-version.tar.gz


    Содержание раздела