Oi Euclides,
atendendo teu pedido, estou enviando a tua resposta na lista. Mas lembra
que eu sou leigo. Por tanto, gostaria te perguntar algumas coisas simples:
a) qual Webserver simples, de graca, para WIN, posso instalar na minha
maquina para fazer o teste de acessar localmente com Netscape uma pagina
estatica no server de forma criptografada usando SSL3 ? Serve o Tomcat ? o
JSDW ? qual pode ser ?
b) para que isto funcione vou precisar de um certificado para o servidor.
Serve o self-certificate gerado pelo Keytool ? Eu nao gostaria pagar um
certificado assinado por uma CA para poder fazer apenas meus testes. De que
outra forma posso gerar um certificado para que esto funcione ou fazer meus
testes ?
Muito obrigado pela resposta,
Daniel
>Return-Path: <[EMAIL PROTECTED]>
>From: Jose Euclides <[EMAIL PROTECTED]>
>To: Daniel Anibal Mazzuca <[EMAIL PROTECTED]>
>Subject: RES: Falando de seguranca..., algum "expert" que possa dar uma aj
> uda ?
>Date: Fri, 4 Feb 2000 10:56:20 -0300
>X-MIME-Autoconverted: from quoted-printable to 8bit by
cebolinha.pontocom.com.br id KAA06644
>
>Caro Daniel. Nao tive tempo de ler seu e-mail todo, por falta de tempo.
>Porem vai ai algumas dicas: A camada SSL eh uma extens�o do HTTP e nao um
>protocolo. O cabecalho e o dados do pacote HTTP s�o encriptografados usando
>um modelo DES ou RSA, o qual o primeiro utiliza uma chave unica para
>criptografar/decriptografar o pacote e o segundo modelo utiliza um par de
>chaves.No SSL 2.0, o par de chaves de secao eh assinado pela CA , QUE PODE
>SER QQ CERTIFICATE SERVER!!!! O que falam do problema do Netscape nao
>reconhecer o certificado passa pela falta de informacao dos tecnicos de
>seguranca e web. Basta configurar o servidor para suportar tal mime. A
>certificacao do servidor eh um processo de re-encriptacao das chaves
>publicas e privadas geradas com a chave privada do Certificate Server,
>gerando um novo hash. No SSL 3.0 o processo eh similar, porem o usuario do
>browser tambem eh autenticado e cria-se a necessidade de ter um PKI SERVER.
>Espero ter ajudado um pouco. FAVOR PASSAR ESTA MENSAGEM
>[EMAIL PROTECTED] . NAO ESTOU CONSEGUINDO PUBLICAR NADA NA LISTA, POIS O
>MEU DOMINIO LOCAL FOI ALTERADO.
>Boa sorte, Euclides.
>
>
>> -----Mensagem original-----
>> De: Daniel Anibal Mazzuca [SMTP:[EMAIL PROTECTED]]
>> Enviada em: Quinta-feira, 3 de Fevereiro de 2000 21:33
>> Para: [EMAIL PROTECTED]
>> Assunto: Falando de seguranca..., algum "expert" que possa
>> dar uma ajuda ?
>>
>> Bom dia Pessoal,
>>
>> preciso da ajuda de alguem que conheca de seguranca e me indique o
>> "caminho
>> das pedras". Meu objetivo e' praticar JAVA + SSL + JSSE e fazer alguns
>> exemplos apenas de teste, localmente, para aprender como todo funciona.
>>
>> Ja dei uma estudada em toda a parte Java de seguranca, a nivel conceptual
>> (digital signature, certificate, cryptography algorithm, encryption,
>> message digest, providers, etc), de API (java.security.*, JSSE) e
>> ferramentas (keytool, jarsigner, policytool) do Java 2, tudo menos JCE,
>> por
>> causa das restricoes de download de USA (saben quando a Sun vai liverar
>> este produto, porque, pelo que sei, USA ja abriu mao das restricoes).
>>
>>
>> Especificamente, minha ideia e' fazer os seguintes exemplos de teste:
>>
>> 1) um exemplo de acesso a um servidor com HTTPs atraves de Netscape, sem
>> java, e que retorne um HTML bobo, estatico, tipo "Hello World", mas
>> criptografado.
>>
>> Nao consegui achar um bom tutorial de HTTPs, mas pelo que entendi, forma
>> parte do protocolo que o servidor mande, antes de mais nada, seu
>> certificado. O browser checa que o certificado esteja regisrtado por algum
>> cartorio reconhecido (na lista de cartorios locais ao browser). Se nao
>> estiver, nada feito. Se reconhece o certificado como valido, comeca a
>> transmitir dados criptografados com a chave publica do certificado, que
>> somente poderao ser de-criptografados e lidos pelo servidor, porque so ele
>> possui a chave privada. O servidor, por sua vez, manda dados
>> criptografados
>> com sua chave privada; estes dados serao de-criptografados pelo browser
>> atraves da chave publica que tirou do certificado (porem qq hacker que
>> fique no meio, que pegue os dados enviados pelo servidor e tenha a chave
>> publica do mesmo, podera ler esta informacao; ai a necessidade de ter o
>> certificado tambem do cliente e por isto o crescimento do padrao SET).
>>
>>
>> Para rodar este exemplo vou precisar, e' claro, de um certificado para o
>> servidor. Vcs imaginam que nao quero pagar um certificado. Atraves do
>> Keytool e' possivel gerar chaves (publicas,privadas) e o correspondente
>> self-certificate. Este self-certificate pode ate ser exportado para
>> arquivo. Eu tentei importar no Netscape este certificao, na parte de
>> "yours", mas nao funcionou.
>>
>> Primeira pergunta:
>>
>> a) e' possivel gerar self-certificados com o Keytool para fazer este tipo
>> de teste ? Como ? O Netscape apenas importa certificados do tipo PKCS12 ?
>> Como gerar estes tipos com o Keytool ou API ? Existe alguma outra
>> alternativa ?
>>
>> Como disse anteriormente, nao consegui um link com informacao "para
>> leigos"
>> de HTTPs e por tanto nao imagino se devo colocar na pagina HTML algum
>> cabecalho especial, ou se o Webserver se encarrega de fazer tudo isto
>> automaticamente.
>>
>> Segunda pergunta:
>>
>> b) Como deve ser o cabecalho das paginas para HTTPs ?
>>
>> Terceira pergunta:
>>
>> c) Eu tenho apenas o servidor que vem com o jswdk, e agora tambem fiz o
>> download do Tomcat 3.0, que aparentemente suporta algo de seguranca. Pelo
>> que vi o Apache nem vem com a parte de seguranca por causa das restricoes
>> de USA, de qq forma nao tenho ele. Mas, e' possivel fazer este exemplo
>> teste com o jswdk ou Tomcat ? Se nao, existe algum webserver simples,
>> gratis, pequeno, pata WIN, com o qual possa fazer meus testes ?
>>
>>
>>
>> 2) um segundo exemplo de acesso que quero fazer e' atraves de Netscape,
>> porem chamando a um servlets, com alguns parametros, e que retorne um HTML
>> bobo, criptografado, usando JSSE. Imagino que se consigo fazer o teste
>> anterior nao terei problemas em fazer este. Porem:
>>
>> Quarta Pergunta:
>>
>>
>> d) existe alguma forma de usar browsers e webserevers, ou servelts + JSSE,
>> de tal forma de que o cliente tambem tenha um certificado e a autenticacao
>> seja dupla ? ou , e' possivel usar browsers e o SET ? Teria como eu fazer
>> uma exemplo local usando esta forma de autenticacao/criptografia com
>> browsers ? Como ? Como esta o "estado da arte" para que todas as empresas
>> e
>> individuos possam ser reconhecidos atraves de seu proprio certificado ?
>>
>>
>> Bom, disculpem que o e-mail seja um pouco longo. Mas resulta dificil falar
>> de seguranca e nao explicar direito o que se pretende, e desde ja, muito
>> obrigado a todos os pela ajuda,
>>
>>
>> Daniel (de Rio)
>>
>>
>> Daniel
>> * Para nao receber mais e-mails da lista, acesse
>> <http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu
>> e-mail, escolha a lista <[EMAIL PROTECTED]> e de um <submit>.
>
>
* Para nao receber mais e-mails da lista, acesse
<http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu e-mail, escolha a
lista <[EMAIL PROTECTED]> e de um <submit>.
