# Bezpieczeństwo Systemów Komputerowych

## Ćwiczenia 4: SSL/TLS

### 19 i 28 marca 2018 roku

# Wprowadzenie

Do rozwiązania dzisiejszego zestawu sugeruję użyć jednego z dwóch obrazków:
- `pawelbogdan/bsk:lab_4_1` - prosty obrazek, który ma zainstalowany interpreter pythona ze wszystkimi potrzebnymi bibliotekami po uruchomieniu kontenera:
```bash
docker run -it -P pawelbogdan/bsk:lab_4_1
```
uruchomi się `bash`
- `pawelbogdan/bsk:lab_4_2` - obrazek, który ma zainstalowane to samo co obrazek `pawelbogdan/bsk:lab_4_1` oraz do tego `jupytera`. Po uruchomieniu kontenera:
```bash
docker run -it -P pawelbogdan/bsk:lab_4_2
```
uruchomi się `jupyter`.

# Zadanie 1

Wygeneruj certyfikat typu *self-signed* używając narzędzi systemu Linux.

## Rozwiązanie

```bash
echo 'bskfajnejest' > passphrase.txt
openssl genrsa -aes128 -out server.key -passout file:passphrase.txt 2048
openssl req -new -key server.key -out server.csr
openssl x509 -req -days 10 -in server.csr -signkey server.key -out server.crt -outform PEM
```

# Zadanie 2

Wygeneruj certyfikat typu *self-signed* używając skryptu w języku Python.

## Rozwiązanie

#### Biblioteka `cryptography`

Na podstawie [tutoriala](https://cryptography.io/en/latest/x509/tutorial/):

In [13]:
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization, hashes
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography import x509
from cryptography.x509.oid import NameOID
import datetime


backend=default_backend()

# Generate our key
key = rsa.generate_private_key(
     public_exponent=65537,
     key_size=2048,
     backend=backend
)

key_content = key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.TraditionalOpenSSL,
    encryption_algorithm=serialization.BestAvailableEncryption(b'bskfajnejest')
)

print(key_content)

subject = issuer = x509.Name([
    x509.NameAttribute(NameOID.COUNTRY_NAME, u"PL"),
    x509.NameAttribute(NameOID.STATE_OR_PROVINCE_NAME, u"PD"),
    x509.NameAttribute(NameOID.LOCALITY_NAME, u"Suwałki"),
    x509.NameAttribute(NameOID.ORGANIZATION_NAME, u"Uniwersytet Jagielloński"),
    x509.NameAttribute(NameOID.COMMON_NAME, u"uj.edu.pl"),
])

csr = x509.CertificateSigningRequestBuilder().subject_name(subject).sign(key, hashes.SHA256(), default_backend())

csr_content = csr.public_bytes(serialization.Encoding.PEM)
print(csr_content)


cert = x509.CertificateBuilder().subject_name(
    subject
).issuer_name(
    issuer
).public_key(
    key.public_key()
).serial_number(
    x509.random_serial_number()
).not_valid_before(
    datetime.datetime.utcnow()
).not_valid_after(
    # Our certificate will be valid for 10 days
    datetime.datetime.utcnow() + datetime.timedelta(days=10)
).add_extension(
    x509.SubjectAlternativeName([x509.DNSName(u"localhost")]),
    critical=False,
# Sign our certificate with our private key
).sign(key, hashes.SHA256(), default_backend())

cert_content = cert.public_bytes(serialization.Encoding.PEM)
print(cert_content)

b'-----BEGIN RSA PRIVATE KEY-----\nProc-Type: 4,ENCRYPTED\nDEK-Info: AES-256-CBC,5EAE0BEDAAC3A6662FFC3820DC3DF7DA\n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\nIvgsbFISsBpyLSwIwftOKnQIY

Można też użyć biblioteki `pyOpenSSL`. Na podstawie [tego dokumentu](http://docs.ganeti.org/ganeti/2.5/html/design-x509-ca.html)

In [22]:
from OpenSSL import crypto

key = crypto.PKey()
key.generate_key(crypto.TYPE_RSA, 2048)

public_key_content = crypto.dump_publickey(crypto.FILETYPE_PEM, key)
private_key_content = crypto.dump_privatekey(crypto.FILETYPE_PEM, key)
print(private_key_content)

csr = crypto.X509Req()
csr.get_subject().CN = 'bsk1.ii.uj.edu.pl'
csr.set_pubkey(key)
csr.sign(key, 'sha256')

csr_content = crypto.dump_certificate_request(crypto.FILETYPE_PEM, csr)
print(csr_content)

cert = crypto.X509()
cert.set_subject(csr.get_subject())
cert.set_serial_number(1)
cert.gmtime_adj_notBefore(0)
cert.gmtime_adj_notAfter(10 * 24 * 60 * 60)
cert.set_pubkey(csr.get_pubkey())
cert.sign(key, 'sha256')

cert_content = crypto.dump_certificate(crypto.FILETYPE_PEM, cert)
print(cert_content)

b'-----BEGIN PRIVATE KEY-----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\nsDEiYSJx2a6LTwcaDmMm0v338QKBgQDIl0pVpfbvhFCN/

# Zadanie 3

Wykorzystaj klucz `server.key` oraz certyfikat `server.crt`, który jest w tym samym katalogu, w którym jest niniejszy dokument, aby wygenerować swój certyfikat, którego autentyczność będzie potwierdzona przez certyfikat `server.crt`.

## Rozwiązanie

Na podstawie [tego linka](https://www.area536.com/projects/be-your-own-certificate-authority-with-openssl/):

Mamy klucz serwera `server.key` i certyfikat serwera `server.crt`.

Potrzebujemy struktury katalogów:
```
CA
CA/certs
CA/certs/server.crt
CA/crl
CA/index.txt
CA/newcerts
CA/private
CA/private/server.key
CA/serial
```

Gdzie `CA/serial` zawiera jakąś małą liczbę, na przykład `1000`. A plik `CA/index.txt` zostawiamy puste. 

Tworzymy naszego `CSR` tak jak w rozwiązaniu zadania numer 2. 

Potrzebujemy jeszcze zaktualizować odpowiednie ścieżki w pliku `/etc/ssl/openssl.conf`.

A następnie już tworzymy certyfikat:
```
openssl ca -out certs/server.crt -infiles myreq.csr
```

Można też użyć instrukcji [stąd](http://docs.ganeti.org/ganeti/2.5/html/design-x509-ca.html).

# Praca domowa

Twoim zadaniem jest przygotowanie takiego obrazka dockera, aby po jego uruchomieniu i uruchomieniu usługi `apache2`
- można było się połączyć z serwerem przez protokół `https`
- wyświetlana strona będzie zawierać nazwisko autora rozwiązania 
- strona będzie się przedstawiać certyfikatem utworzonym przez autora rozwiązania
- wystawcą certyfikatu będzie właściciel certyfikatu `server.crt` 

Jako rozwiązanie przyślij archiwum `zip`, w którym będzie plik `Dockerfile` z którego można otrzymać wyżej opisany obrazek oraz wszystkie niezbędne do wygenerowania obrazka pliki.

Zadanie będzie zaliczone, gdy:
- server `https` będzie wyświetlał odpowiednią stronę (z nazwiskiem twórcy)
- się przedstawiał certyfikatem utworzonym przez autora rozwiązania
- wystawcą certyfikatu będzie certyfikat załączony do treści zadania