Criptografia de chave pública
Entendendo a criptografia de chave pública em switches
A criptografia descreve as técnicas relacionadas aos seguintes aspectos da segurança da informação:
Privacidade ou confidencialidade
Integridade dos dados
Autenticação
Não observação ou nãorepudiação de origem — a não observação da origem significa que os signers não podem afirmar que não assinaram uma mensagem enquanto afirmam que sua chave privada permanece em segredo. Em alguns esquemas de nãorepudiação usados em assinaturas digitais, um temporizador é anexado à assinatura digital, de modo que, mesmo que a chave privada seja exposta, a assinatura permanece válida. As chaves públicas e privadas são descritas no texto a seguir.
Na prática, os métodos criptográficos protegem os dados transferidos de um sistema para outro em redes públicas criptografando os dados usando uma chave de criptografia. A criptografia de chave pública (PKC), usada em switches de ethernet da Série EX da Juniper Networks, usa um par de chaves de criptografia: uma chave pública e uma chave privada. As chaves públicas e privadas são criadas simultaneamente usando o mesmo algoritmo de criptografia. A chave privada é mantida por um usuário secretamente e a chave pública é publicada. Os dados criptografados com uma chave pública só podem ser descriptografados com a chave privada correspondente e vice-versa. Quando você gera um par de chaves público/privado, o switch salva automaticamente o par-chave em um arquivo na loja de certificados, do qual é posteriormente usado em comandos de solicitação de certificados. O par-chave gerado é salvo como certificate-id.Priv.
O tamanho padrão da chave RSA e DSA é de 1024 bits. Se você estiver usando o protocolo de inscrição de certificados simples (SCEP), o sistema operacional Junos (Junos OS) da Juniper Networks oferece suporte apenas à RSA.
Certificados de infraestrutura de chaves públicas (PKI) e digitais
A infraestrutura de chave pública (PKI) permite a distribuição e o uso das chaves públicas em criptografia de chave pública com segurança e integridade. O PKI gerencia as chaves públicas usando certificados digitais. Um certificado digital fornece um meio eletrônico de verificar a identidade de um indivíduo, uma organização ou um serviço de diretório que pode armazenar certificados digitais.
Um PKI normalmente consiste em uma Autoridade de Registro (RA) que verifica as identidades das entidades, autoriza suas solicitações de certificados e gera pares de chave assimétricos únicos (a menos que as solicitações de certificado dos usuários já contenham chaves públicas); e uma Autoridade de Certificado (CA) que emite os certificados digitais correspondentes para as entidades solicitantes. Opcionalmente, você pode usar um Repositório de certificados que armazena e distribui certificados e uma lista de revogação de certificados (CRL) identificando os certificados que não são mais válidos. Cada entidade que possua a chave pública autentica de uma CA pode verificar os certificados emitidos por essa CA.
As assinaturas digitais exploram o sistema criptográfico de chave pública da seguinte forma:
Um remetente assina dados digitalmente aplicando uma operação criptográfica, envolvendo sua chave privada, em uma digestão dos dados.
A assinatura resultante é anexada aos dados e enviada ao receptor.
O receptor obtém o certificado digital do remetente, que fornece a chave pública do remetente e a confirmação do enlace entre sua identidade e a chave pública. O certificado do remetente é frequentemente anexado aos dados assinados.
O receptor confia neste certificado ou tenta verificar. O receptor verifica a assinatura dos dados usando a chave pública contida no certificado. Essa verificação garante a autenticidade e a integridade dos dados recebidos.
Como alternativa ao uso de um PKI, uma entidade pode distribuir sua chave pública diretamente para todos os verificadores de assinatura em potencial, desde que a integridade da chave seja protegida. O switch faz isso usando um certificado auto-assinado como um contêiner para a chave pública e a identidade da entidade correspondente.
Veja também
Entendendo certificados auto-assinados em switches da Série EX
Quando você inicia um switch de ethernet da Série EX da Juniper Networks com a configuração padrão de fábrica, o switch gera um certificado auto-assinado, permitindo acesso seguro ao switch através do protocolo Secure Sockets Layer (SSL). O protocolo de transferência de hipertexto sobre a camada de sockets seguros (HTTPS) e o gerenciamento de rede XML sobre a camada secure sockets (XNM-SSL) são os dois serviços que podem fazer uso dos certificados auto-assinados.
Os certificados auto-assinados não fornecem segurança adicional, assim como os gerados pelas Autoridades de Certificados (CAs). Isso ocorre porque um cliente não pode verificar se o servidor ao qual ele ou ela se conectou é o anunciado no certificado.
Os switches fornecem dois métodos para gerar um certificado autoassinado:
Geração automática
Neste caso, o criador do certificado é o switch. Um certificado autoassinado gerado automaticamente (também chamado de "gerado pelo sistema") é configurado no switch por padrão.
Após a inicialização do switch, ele verifica a presença de um certificado autoassinado gerado automaticamente. Se não encontrar um, o switch gera um e o salva no sistema de arquivos.
Um certificado auto-assinado que é gerado automaticamente pelo switch é semelhante a uma chave de host SSH. Ele é armazenado no sistema de arquivos, não como parte da configuração. Ele persiste quando o switch é reiniciado, e é preservado quando um
request system snapshotcomando é emitido.O switch usa o seguinte nome distinto para o certificado gerado automaticamente:
" CN=<descrivão de série>, CN=sistema gerado, CN=auto-assinada"
Se você excluir o certificado auto-assinado gerado pelo sistema no switch, o switch gera automaticamente um certificado autoassinado.
Geração manual
Neste caso, você cria o certificado auto-assinado para o switch. A qualquer momento, você pode usar a CLI para gerar um certificado autoassinado. Os certificados auto-assinados gerados manualmente são armazenados no sistema de arquivos, não como parte da configuração.
Os certificados auto-assinados são válidos por cinco anos a partir do momento em que são gerados. Quando expira a validade de um certificado auto-assinado gerado automaticamente, você pode deletá-lo do switch para que o switch gere um novo certificado autoassinado.
Certificados autoassinados gerados pelo sistema e certificados autoassinados gerados manualmente podem coexistir no switch.
Geração manual de certificados autoassinados em switches (procedimento CLI)
Os switches da Série EX permitem que você gere certificados autoassinados personalizados e os armazene no sistema de arquivos. O certificado gerado manualmente pode coexistir com o certificado autoassinado gerado automaticamente no switch. Para permitir um acesso seguro ao switch por SSL, você pode usar o certificado autoassinado gerado pelo sistema ou um certificado gerado manualmente.
Para gerar certificados autoassinar manualmente, você deve realizar as seguintes tarefas:
Gerando um par de chaves público-privado em switches
Um certificado digital tem um par de chave criptográfica associado que é usado para assinar o certificado digitalmente. O par de chaves criptográficas compreende uma chave pública e uma chave privada. Ao gerar um certificado autoassinado, você deve fornecer um par de chaves público-privado que pode ser usado para assinar o certificado autoassinado. Portanto, você deve gerar um par de chaves público-privado antes de poder gerar um certificado autoassinado.
Para gerar um par de chaves público-privado:
user@switch> request security pki generate-key-pair certificate-id certificate-id-name
Opcionalmente, você pode especificar o algoritmo de criptografia e o tamanho da chave de criptografia. Se você não especificar o algoritmo de criptografia e o tamanho da chave da criptografia, os valores padrão são usados. O algoritmo de criptografia padrão é RSA, e o tamanho padrão da chave de criptografia é de 1024 bits.
Após a geração do par chave público-privado, o switch exibe o seguinte:
generated key pair certificate-id-name, key size 1024 bits
Gerando certificados autoassinados em switches
Para gerar o certificado auto-assinado manualmente, inclua o nome de ID do certificado, o assunto do nome distinto (DN), o nome de domínio, o endereço IP do switch e o endereço de e-mail do titular do certificado:
user@switch> request security pki local-certificate generate-self-signed certificate-id certificate-id-name domain-name domain-name email email-address ip-address switch-ip-address subject subject-of-distinguished-name
O certificado gerado por você está armazenado no sistema de arquivos do switch. A ID do certificado que você especificou ao gerar o certificado é um identificador exclusivo que você pode usar para habilitar os serviços HTTPS ou XNM-SSL.
Para verificar se o certificado foi gerado e carregado corretamente, entre no show security pki local-certificate comando operacional.
Exclusão de certificados autoassinados (procedimento CLI)
Você pode excluir um certificado auto-assinado que é gerado automaticamente ou manualmente a partir do switch da Série EX. Ao excluir o certificado autoassinado gerado automaticamente, o switch gera um novo certificado autoassinado e o armazena no sistema de arquivos.
Para excluir o certificado gerado automaticamente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate system-generated
Para excluir um certificado gerado manualmente e seu par-chave associado do switch:
user@switch> clear security pki local-certificate certificate-id certificate-id-name
Para excluir todos os certificados gerados manualmente e seus pares-chave associados do switch:
user@switch> clear security pki local-certificate all
Habilitação de serviços HTTPS e XNM-SSL em switches usando certificados autoassinados (procedimento CLI)
Você pode usar o certificado autoassinado gerado pelo sistema ou um certificado autoassinado gerado manualmente para permitir o gerenciamento da Web de serviços HTTPS e XNM-SSL.
Para habilitar serviços HTTPS usando o certificado autoassinado gerado automaticamente:
[edit] user@switch# set system services web-management https system-generated-certificate
Para habilitar serviços HTTPS usando um certificado autoassinado gerado manualmente:
[edit] user@switch# set system services web-management https pki-local-certificate certificate-id-name
Nota:O valor do certificate-id-name deve corresponder ao nome que você especificou quando você gerou o certificado auto-assinado manualmente.
Para habilitar serviços XNM-SSL usando um certificado autoassinado gerado manualmente:
[edit] user@switch# set system services xnm-ssl local-certificate certificate-id-name
Nota:O valor do certificate-id-name deve corresponder ao nome que você especificou quando você gerou o certificado auto-assinado manualmente.