openssl – Wenzlaff.de – Rund um die Programmierung

19. September 202320. September 2023

OpenSSL 3.1.2 auf dem Raspberry Pi

Die OpenSSL Version 1.1.1 Serie ist nur bis 11. Sep. 2023 supportet und sollte nicht mehr verwendet werden. Wir können uns aber auch selbst die 3.1.2 Version auf dem pi compilieren, solage es noch kein deb Archive gib.

OpenSSL ist eine weit verbreitete Open-Source-Sicherheitsbibliothek, die in vielen Bereichen der Informationstechnologie eine entscheidende Rolle spielt. Diese vielseitige Software wurde entwickelt, um Verschlüsselung, Authentifizierung und Sicherheitsfunktionen für eine breite Palette von Anwendungen bereitzustellen. In diesem Artikel werden wir einen zeigen wie die neue Version installiert bzw. compiliert werden kann, und zwar auf einem Raspberry Pi Zero: „OpenSSL 3.1.2 auf dem Raspberry Pi“ weiterlesen

1. August 202131. Juli 2021

CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen

Hier hatte ich beschrieben, wie ein 521-Bit private Elliptic Curve Cryptography (ECC) Key erzeugt werden kann. Mit diesem privaten Key können wir auch leicht eine CA-Zertifikat erzeugen. Einfach in dem Verzeichnis mit dem privaten Key ein:

openssl req -new -x509 -days 3650 -extensions v3_ca -key private-key.pem -out ecc-cacert.pem

eingeben und diese Fragen beantworten (oder einfach Return, dann wir der default verwendet).
Zuerst zweimal das gleich gutes Passwort eingeben. Wichtig ist auf jeden Fall der Common Name (e.g. server FQDN or YOUR name) Z.B. www.wenzlaff.de oä. und dann:

Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Niedersachsen
Locality Name (eg, city) []:Langenhagen
Organization Name (eg, company) [Internet Widgits Pty Ltd]:TW-Soft
Organizational Unit Name (eg, section) []:TW-Soft CA-Zertifikat
Common Name (e.g. server FQDN or YOUR name) []:pi-zero
Email Address []:info-anfrage@wenzlaff.de
Warning: No -copy_extensions given; ignoring any extensions in the request

Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter '.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:DE

State or Province Name (full name) [Some-State]:Niedersachsen

Locality Name (eg, city) []:Langenhagen

Organization Name (eg, company) [Internet Widgits Pty Ltd]:TW-Soft

Organizational Unit Name (eg, section) []:TW-Soft CA-Zertifikat

Common Name (e.g. server FQDN or YOUR name) []:pi-zero

Email Address []:info-anfrage@wenzlaff.de

Warning: No -copy_extensions given; ignoring any extensions in the request

Und schon liegt ein CA-Zertifikat in der Datei ecc-cacert.pem.

Die kann mit cat ecc-cacert.pem angesehen werden: „CA-Zertifikat mit Elliptic Curve Cryptography (ECC) Key auf dem Raspberry Pi für 10 Jahre erzeugen“ weiterlesen

26. Juli 202131. Juli 2021

Bitcoin (XBT) >38k wg. Amazon? – dann mal gleich ein private ECC Key auf dem Pi mit neuem OpenSSL 3.0.0-beta1 generieren

Ein 521-Bit private Elliptic Curve Cryptography (ECC) Key mit secp521r1 erzeugen. Kleiner geht auch 😉

Ganz einfach:

openssl ecparam -out private-key.pem -name secp521r1 -genkey

Ausgabe des keys mit cat private-key.pem z.B.: „Bitcoin (XBT) >38k wg. Amazon? – dann mal gleich ein private ECC Key auf dem Pi mit neuem OpenSSL 3.0.0-beta1 generieren“ weiterlesen

26. Juli 202126. Juli 2021

OpenSSL 3.0.0 beta selbst compilieren auf einem Raspberry Pi in ca. 1-2 Stunden

Auf einem Raspberry Pi kann leicht in ca. 1-2 Stunden die aktuellste OpenSSL 3.0.0 beta installiert werden.

Also dann mal erst das Archiv runterladen und die Checksumme prüfen, wie hier beschrieben.

// laden der Version von https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz
wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz

// auspacken des Archives, 
gunzip -c openssl-3.0.0-beta1.tar.gz | tar xf -

// in das Verzeichnis wechseln
cd openssl-3.0.0-beta1

// alles Konfigurieren
./config

// nun für das compilieren 1-2 Stunden (W Zero) einplanen
make

// das dauert auch, habe nicht auf die Uhr geschaut ...
sudo make install 

// Version checken
openssl version

// Reboot tut gut
sudo reboot now

// Version abfragen
openssl version
// Ergebnis
// OpenSSL 3.0.0-beta1 17 Jun 2021 (Library: OpenSSL 3.0.0-beta1 17 Jun 2021)

// laden der Version von https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz

wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz

// auspacken des Archives,

gunzip -c openssl-3.0.0-beta1.tar.gz | tar xf -

// in das Verzeichnis wechseln

cd openssl-3.0.0-beta1

// alles Konfigurieren

./config

// nun für das compilieren 1-2 Stunden (W Zero) einplanen

make

// das dauert auch, habe nicht auf die Uhr geschaut ...

sudo make install

// Version checken

openssl version

// Reboot tut gut

sudo reboot now

// Version abfragen

openssl version

// Ergebnis

// OpenSSL 3.0.0-beta1 17 Jun 2021 (Library: OpenSSL 3.0.0-beta1 17 Jun 2021)

Welche Algos. werden unterstüzt in diese Version? openssl dgst -list

Supported digests:
-blake2b512                -blake2s256                -md4
-md5                       -md5-sha1                  -mdc2
-ripemd                    -ripemd160                 -rmd160
-sha1                      -sha224                    -sha256
-sha3-224                  -sha3-256                  -sha3-384
-sha3-512                  -sha384                    -sha512
-sha512-224                -sha512-256                -shake128
-shake256                  -sm3                       -ssl3-md5
-ssl3-sha1                 -whirlpool

Supported digests:

-blake2b512 -blake2s256 -md4

-md5 -md5-sha1 -mdc2

-ripemd -ripemd160 -rmd160

-sha1 -sha224 -sha256

-sha3-224 -sha3-256 -sha3-384

-sha3-512 -sha384 -sha512

-sha512-224 -sha512-256 -shake128

-shake256 -sm3 -ssl3-md5

-ssl3-sha1 -whirlpool

Welche Verschlüsselungen werden in dieser Version unterstüzt? openssl enc -list

Supported ciphers:
-aes-128-cbc               -aes-128-cfb               -aes-128-cfb1
-aes-128-cfb8              -aes-128-ctr               -aes-128-ecb
-aes-128-ofb               -aes-192-cbc               -aes-192-cfb
-aes-192-cfb1              -aes-192-cfb8              -aes-192-ctr
-aes-192-ecb               -aes-192-ofb               -aes-256-cbc
-aes-256-cfb               -aes-256-cfb1              -aes-256-cfb8
-aes-256-ctr               -aes-256-ecb               -aes-256-ofb
-aes128                    -aes128-wrap               -aes192
-aes192-wrap               -aes256                    -aes256-wrap
-aria-128-cbc              -aria-128-cfb              -aria-128-cfb1
-aria-128-cfb8             -aria-128-ctr              -aria-128-ecb
-aria-128-ofb              -aria-192-cbc              -aria-192-cfb
-aria-192-cfb1             -aria-192-cfb8             -aria-192-ctr
-aria-192-ecb              -aria-192-ofb              -aria-256-cbc
-aria-256-cfb              -aria-256-cfb1             -aria-256-cfb8
-aria-256-ctr              -aria-256-ecb              -aria-256-ofb
-aria128                   -aria192                   -aria256
-bf                        -bf-cbc                    -bf-cfb
-bf-ecb                    -bf-ofb                    -blowfish
-camellia-128-cbc          -camellia-128-cfb          -camellia-128-cfb1
-camellia-128-cfb8         -camellia-128-ctr          -camellia-128-ecb
-camellia-128-ofb          -camellia-192-cbc          -camellia-192-cfb
-camellia-192-cfb1         -camellia-192-cfb8         -camellia-192-ctr
-camellia-192-ecb          -camellia-192-ofb          -camellia-256-cbc
-camellia-256-cfb          -camellia-256-cfb1         -camellia-256-cfb8
-camellia-256-ctr          -camellia-256-ecb          -camellia-256-ofb
-camellia128               -camellia192               -camellia256
-cast                      -cast-cbc                  -cast5-cbc
-cast5-cfb                 -cast5-ecb                 -cast5-ofb
-chacha20                  -des                       -des-cbc
-des-cfb                   -des-cfb1                  -des-cfb8
-des-ecb                   -des-ede                   -des-ede-cbc
-des-ede-cfb               -des-ede-ecb               -des-ede-ofb
-des-ede3                  -des-ede3-cbc              -des-ede3-cfb
-des-ede3-cfb1             -des-ede3-cfb8             -des-ede3-ecb
-des-ede3-ofb              -des-ofb                   -des3
-des3-wrap                 -desx                      -desx-cbc
-id-aes128-wrap            -id-aes128-wrap-pad        -id-aes192-wrap
-id-aes192-wrap-pad        -id-aes256-wrap            -id-aes256-wrap-pad
-id-smime-alg-CMS3DESwrap  -idea                      -idea-cbc
-idea-cfb                  -idea-ecb                  -idea-ofb
-rc2                       -rc2-128                   -rc2-40
-rc2-40-cbc                -rc2-64                    -rc2-64-cbc
-rc2-cbc                   -rc2-cfb                   -rc2-ecb
-rc2-ofb                   -rc4                       -rc4-40
-seed                      -seed-cbc                  -seed-cfb
-seed-ecb                  -seed-ofb                  -sm4
-sm4-cbc                   -sm4-cfb                   -sm4-ctr
-sm4-ecb                   -sm4-ofb

Supported ciphers:

-aes-128-cbc -aes-128-cfb -aes-128-cfb1

-aes-128-cfb8 -aes-128-ctr -aes-128-ecb

-aes-128-ofb -aes-192-cbc -aes-192-cfb

-aes-192-cfb1 -aes-192-cfb8 -aes-192-ctr

-aes-192-ecb -aes-192-ofb -aes-256-cbc

-aes-256-cfb -aes-256-cfb1 -aes-256-cfb8

-aes-256-ctr -aes-256-ecb -aes-256-ofb

-aes128 -aes128-wrap -aes192

-aes192-wrap -aes256 -aes256-wrap

-aria-128-cbc -aria-128-cfb -aria-128-cfb1

-aria-128-cfb8 -aria-128-ctr -aria-128-ecb

-aria-128-ofb -aria-192-cbc -aria-192-cfb

-aria-192-cfb1 -aria-192-cfb8 -aria-192-ctr

-aria-192-ecb -aria-192-ofb -aria-256-cbc

-aria-256-cfb -aria-256-cfb1 -aria-256-cfb8

-aria-256-ctr -aria-256-ecb -aria-256-ofb

-aria128 -aria192 -aria256

-bf -bf-cbc -bf-cfb

-bf-ecb -bf-ofb -blowfish

-camellia-128-cbc -camellia-128-cfb -camellia-128-cfb1

-camellia-128-cfb8 -camellia-128-ctr -camellia-128-ecb

-camellia-128-ofb -camellia-192-cbc -camellia-192-cfb

-camellia-192-cfb1 -camellia-192-cfb8 -camellia-192-ctr

-camellia-192-ecb -camellia-192-ofb -camellia-256-cbc

-camellia-256-cfb -camellia-256-cfb1 -camellia-256-cfb8

-camellia-256-ctr -camellia-256-ecb -camellia-256-ofb

-camellia128 -camellia192 -camellia256

-cast -cast-cbc -cast5-cbc

-cast5-cfb -cast5-ecb -cast5-ofb

-chacha20 -des -des-cbc

-des-cfb -des-cfb1 -des-cfb8

-des-ecb -des-ede -des-ede-cbc

-des-ede-cfb -des-ede-ecb -des-ede-ofb

-des-ede3 -des-ede3-cbc -des-ede3-cfb

-des-ede3-cfb1 -des-ede3-cfb8 -des-ede3-ecb

-des-ede3-ofb -des-ofb -des3

-des3-wrap -desx -desx-cbc

-id-aes128-wrap -id-aes128-wrap-pad -id-aes192-wrap

-id-aes192-wrap-pad -id-aes256-wrap -id-aes256-wrap-pad

-id-smime-alg-CMS3DESwrap -idea -idea-cbc

-idea-cfb -idea-ecb -idea-ofb

-rc2 -rc2-128 -rc2-40

-rc2-40-cbc -rc2-64 -rc2-64-cbc

-rc2-cbc -rc2-cfb -rc2-ecb

-rc2-ofb -rc4 -rc4-40

-seed -seed-cbc -seed-cfb

-seed-ecb -seed-ofb -sm4

-sm4-cbc -sm4-cfb -sm4-ctr

-sm4-ecb -sm4-ofb

26. Juli 202125. Juli 2021

Checksumme SHA256 für OpenSSL mit shasum oder OpenSSL überprüfen

Wer die Beta 3.0.0 Version von OpenSSL lädt, kann die Checksumme nach dem Download so überprüfen:

// Download OpenSSL
wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz
// Download SHA-256 Checksumme
wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz.sha256

// Überprüfen mit shasum
shasum -a 256 openssl-3.0.0-beta1.tar.gz

7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f  openssl-3.0.0-beta1.tar.gz

// ausgabe der Checksumme, mit cat ...
cat openssl-3.0.0-beta1.tar.gz.sha256
7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f

// oder auch direkt mit OpenSSL überprüfen wenn schon eine Version installiert
openssl sha256 openssl-3.0.0-beta1.tar.gz
SHA256(openssl-3.0.0-beta1.tar.gz)= 
7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f

// Download OpenSSL

wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz

// Download SHA-256 Checksumme

wget https://www.openssl.org/source/openssl-3.0.0-beta1.tar.gz.sha256

// Überprüfen mit shasum

shasum -a 256 openssl-3.0.0-beta1.tar.gz

7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f openssl-3.0.0-beta1.tar.gz

// ausgabe der Checksumme, mit cat ...

cat openssl-3.0.0-beta1.tar.gz.sha256

7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f

// oder auch direkt mit OpenSSL überprüfen wenn schon eine Version installiert

openssl sha256 openssl-3.0.0-beta1.tar.gz

SHA256(openssl-3.0.0-beta1.tar.gz)=

7bfedc9a1062cbd2aabc294acc93cbd5259e6e7bd5bbe38e454cc6a32564029f

24. Juli 202126. Juli 2021

OpenSSL nicht nur mit dem Raspberry Pi oder wie können Zertifikate selbst signiert werden mit eigener selbst-signierter Root-CA?

OpenSSL ist ein in C entwickeltes Kryptographiewerkzeug für das Secure Socket Layer (SSL). Es enthält das Mehrzweck-Befehlszeilenwerkzeug /usr/bin/openssl. Das Programm eignet sich für kryptographische Operationen wie:

Erzeugung von RSA-, DH- und DSA-Schlüssel-Parametern
Erzeugung von X.509-Zertifikaten, CSRs und CRLs
Berechnung von kryptographischen Einweg-Hashfunktionen
Ver- und Entschlüsselung mit Chiffren
Prüfung von SSL-/TLS-Clients und -Servern
Bearbeitung von S/MIME-signierter oder verschlüsselter E-Mail

Welche Version ist auf dem Raspberry Pi installiert? Ein „OpenSSL nicht nur mit dem Raspberry Pi oder wie können Zertifikate selbst signiert werden mit eigener selbst-signierter Root-CA?“ weiterlesen

12. Juni 202117. Juni 2021

Onion Webseite mit Elliptische Kurve Curve25519 absichern

Hier nun noch ein Level von Sicherheit mit dem Raspberry Pi. Wie hier beschrieben kann eine Website leicht für jedermann mit eigener onion Domain im Darknet bereitgestellt werden. Die Seiten können nun aber auch noch mit einen Curve25519-Key gesichert werden, so das nur Nutzer die den Key haben auf die Seiten zugreifen können. Wenn man dann z.B. die Adresse

http://tokc2fifswouszmp4jy3ejizmchy4damvhmdug5crvkvfgmymbejkqqd.onion

aufruft, erscheint im Browser, oben links ein Schloß. Wenn man darauf klickt erscheint der Dialog:

Hier wird dann der private Schlüssel, den man vom Bereitsteller erhalten hat eingegeben. Für diese Seite ist es der Schlüssel:

JDSQ2RRI2SLYCN4SG6ZBP4DHE4TEHZG26EJS5R6FYBPH6AU3FVEA

Jeder der diesen privaten Schlüssel hat, kann nun auf die Seiten zugreifen. Wer das falsche Passwort eingibt, kann nicht auf die Seite zugreifen: „Onion Webseite mit Elliptische Kurve Curve25519 absichern“ weiterlesen

29. Juli 201422. November 2021

Wie können die Beziehungen installierter Packages grafisch auf dem Raspberry Pi mit debtree erzeugt werden?

Die Abhängigkeiten der installierten Packages auf dem Raspberry Pi sind manchmal sehr umfangreich. Aber man kann diese Abhängigkeiten gut grafisch anzeigen bzw. ausgeben. Hier mal ein Beispiel vom Package openssl:

Und hier noch ein etwas umfangreicheres Beispiel, ich habe keine Mühe gescheut mit ssh

Wie kann so ein Diagramm erzeugt werden?
„Wie können die Beziehungen installierter Packages grafisch auf dem Raspberry Pi mit debtree erzeugt werden?“ weiterlesen