Obrigado Euclides,
a teu pedido, aqui as ultimas respostas as minhas perguntas.
>Return-Path: <[EMAIL PROTECTED]>
>From: Jose Euclides <[EMAIL PROTECTED]>
>To: Daniel Anibal Mazzuca <[EMAIL PROTECTED]>, [EMAIL PROTECTED]
>Subject: RES: Falando de seguranca..., algum "expert" que possa dar uma aj
> uda ?
>Date: Fri, 4 Feb 2000 12:34:26 -0300
>X-MIME-Autoconverted: from quoted-printable to 8bit by
cebolinha.pontocom.com.br id MAA16880
>
>1- Vc pode usar qq Web Server que suporte SSL: Netscape FastTrack, IIS,
>APACHE(Gratis0, JSP(Gratis), OAS... Depois, acesse o site da
>Verisig(www.verisign.com) e peca um certificado trial de 30 dias.Nao sei se
>tem o trial para 3.0, para o SSL 2.0 tem com certeza.
>2- Todos os web-servers de mercado trabalham com o padrao X-509 e sendo
>assim, abstraia-se da plataforma para pensar em certificacao digital.
>OBS.: peco outra vez, que repasse esta resposta para o terra.sun
>
>Boa sorte,
>
>Jos� Euclides J�nior
>E-mail: [EMAIL PROTECTED]
>
>
>
>
>
>> -----Mensagem original-----
>> De: Daniel Anibal Mazzuca [SMTP:[EMAIL PROTECTED]]
>> Enviada em: Sexta-feira, 4 de Fevereiro de 2000 12:12
>> Para: [EMAIL PROTECTED]
>> Assunto: RES: Falando de seguranca..., algum "expert" que
>> possa dar uma ajuda ?
>>
>> Oi Euclides,
>>
>> atendendo teu pedido, estou enviando a tua resposta na lista. Mas lembra
>> que eu sou leigo. Por tanto, gostaria te perguntar algumas coisas simples:
>>
>> a) qual Webserver simples, de graca, para WIN, posso instalar na minha
>> maquina para fazer o teste de acessar localmente com Netscape uma pagina
>> estatica no server de forma criptografada usando SSL3 ? Serve o Tomcat ? o
>> JSDW ? qual pode ser ?
>>
>> b) para que isto funcione vou precisar de um certificado para o servidor.
>> Serve o self-certificate gerado pelo Keytool ? Eu nao gostaria pagar um
>> certificado assinado por uma CA para poder fazer apenas meus testes. De
>> que
>> outra forma posso gerar um certificado para que esto funcione ou fazer
>> meus
>> testes ?
>>
>> Muito obrigado pela resposta,
>>
>> Daniel
>>
>>
>>
>> >Return-Path: <[EMAIL PROTECTED]>
>> >From: Jose Euclides <[EMAIL PROTECTED]>
>> >To: Daniel Anibal Mazzuca <[EMAIL PROTECTED]>
>> >Subject: RES: Falando de seguranca..., algum "expert" que possa dar uma
>> aj
>> > uda ?
>> >Date: Fri, 4 Feb 2000 10:56:20 -0300
>> >X-MIME-Autoconverted: from quoted-printable to 8bit by
>> cebolinha.pontocom.com.br id KAA06644
>> >
>> >Caro Daniel. Nao tive tempo de ler seu e-mail todo, por falta de tempo.
>> >Porem vai ai algumas dicas: A camada SSL eh uma extens�o do HTTP e nao um
>> >protocolo. O cabecalho e o dados do pacote HTTP s�o encriptografados
>> usando
>> >um modelo DES ou RSA, o qual o primeiro utiliza uma chave unica para
>> >criptografar/decriptografar o pacote e o segundo modelo utiliza um par de
>> >chaves.No SSL 2.0, o par de chaves de secao eh assinado pela CA , QUE
>> PODE
>> >SER QQ CERTIFICATE SERVER!!!! O que falam do problema do Netscape nao
>> >reconhecer o certificado passa pela falta de informacao dos tecnicos de
>> >seguranca e web. Basta configurar o servidor para suportar tal mime. A
>> >certificacao do servidor eh um processo de re-encriptacao das chaves
>> >publicas e privadas geradas com a chave privada do Certificate Server,
>> >gerando um novo hash. No SSL 3.0 o processo eh similar, porem o usuario
>> do
>> >browser tambem eh autenticado e cria-se a necessidade de ter um PKI
>> SERVER.
>> >Espero ter ajudado um pouco. FAVOR PASSAR ESTA MENSAGEM
>> >[EMAIL PROTECTED] . NAO ESTOU CONSEGUINDO PUBLICAR NADA NA LISTA,
>> POIS O
>> >MEU DOMINIO LOCAL FOI ALTERADO.
>> >Boa sorte, Euclides.
>> >
>> >
>> >> -----Mensagem original-----
>> >> De: Daniel Anibal Mazzuca [SMTP:[EMAIL PROTECTED]]
>> >> Enviada em: Quinta-feira, 3 de Fevereiro de 2000 21:33
>> >> Para: [EMAIL PROTECTED]
>> >> Assunto: Falando de seguranca..., algum "expert" que possa
>> >> dar uma ajuda ?
>> >>
>> >> Bom dia Pessoal,
>> >>
>> >> preciso da ajuda de alguem que conheca de seguranca e me indique o
>> >> "caminho
>> >> das pedras". Meu objetivo e' praticar JAVA + SSL + JSSE e fazer alguns
>> >> exemplos apenas de teste, localmente, para aprender como todo funciona.
>>
>> >>
>> >> Ja dei uma estudada em toda a parte Java de seguranca, a nivel
>> conceptual
>> >> (digital signature, certificate, cryptography algorithm, encryption,
>> >> message digest, providers, etc), de API (java.security.*, JSSE) e
>> >> ferramentas (keytool, jarsigner, policytool) do Java 2, tudo menos JCE,
>> >> por
>> >> causa das restricoes de download de USA (saben quando a Sun vai liverar
>> >> este produto, porque, pelo que sei, USA ja abriu mao das restricoes).
>> >>
>> >>
>> >> Especificamente, minha ideia e' fazer os seguintes exemplos de teste:
>> >>
>> >> 1) um exemplo de acesso a um servidor com HTTPs atraves de Netscape,
>> sem
>> >> java, e que retorne um HTML bobo, estatico, tipo "Hello World", mas
>> >> criptografado.
>> >>
>> >> Nao consegui achar um bom tutorial de HTTPs, mas pelo que entendi,
>> forma
>> >> parte do protocolo que o servidor mande, antes de mais nada, seu
>> >> certificado. O browser checa que o certificado esteja regisrtado por
>> algum
>> >> cartorio reconhecido (na lista de cartorios locais ao browser). Se nao
>> >> estiver, nada feito. Se reconhece o certificado como valido, comeca a
>> >> transmitir dados criptografados com a chave publica do certificado, que
>> >> somente poderao ser de-criptografados e lidos pelo servidor, porque so
>> ele
>> >> possui a chave privada. O servidor, por sua vez, manda dados
>> >> criptografados
>> >> com sua chave privada; estes dados serao de-criptografados pelo browser
>> >> atraves da chave publica que tirou do certificado (porem qq hacker que
>> >> fique no meio, que pegue os dados enviados pelo servidor e tenha a
>> chave
>> >> publica do mesmo, podera ler esta informacao; ai a necessidade de ter o
>> >> certificado tambem do cliente e por isto o crescimento do padrao SET).
>> >>
>> >>
>> >> Para rodar este exemplo vou precisar, e' claro, de um certificado para
>> o
>> >> servidor. Vcs imaginam que nao quero pagar um certificado. Atraves do
>> >> Keytool e' possivel gerar chaves (publicas,privadas) e o correspondente
>> >> self-certificate. Este self-certificate pode ate ser exportado para
>> >> arquivo. Eu tentei importar no Netscape este certificao, na parte de
>> >> "yours", mas nao funcionou.
>> >>
>> >> Primeira pergunta:
>> >>
>> >> a) e' possivel gerar self-certificados com o Keytool para fazer este
>> tipo
>> >> de teste ? Como ? O Netscape apenas importa certificados do tipo PKCS12
>> ?
>> >> Como gerar estes tipos com o Keytool ou API ? Existe alguma outra
>> >> alternativa ?
>> >>
>> >> Como disse anteriormente, nao consegui um link com informacao "para
>> >> leigos"
>> >> de HTTPs e por tanto nao imagino se devo colocar na pagina HTML algum
>> >> cabecalho especial, ou se o Webserver se encarrega de fazer tudo isto
>> >> automaticamente.
>> >>
>> >> Segunda pergunta:
>> >>
>> >> b) Como deve ser o cabecalho das paginas para HTTPs ?
>> >>
>> >> Terceira pergunta:
>> >>
>> >> c) Eu tenho apenas o servidor que vem com o jswdk, e agora tambem fiz o
>> >> download do Tomcat 3.0, que aparentemente suporta algo de seguranca.
>> Pelo
>> >> que vi o Apache nem vem com a parte de seguranca por causa das
>> restricoes
>> >> de USA, de qq forma nao tenho ele. Mas, e' possivel fazer este exemplo
>> >> teste com o jswdk ou Tomcat ? Se nao, existe algum webserver simples,
>> >> gratis, pequeno, pata WIN, com o qual possa fazer meus testes ?
>> >>
>> >>
>> >>
>> >> 2) um segundo exemplo de acesso que quero fazer e' atraves de Netscape,
>> >> porem chamando a um servlets, com alguns parametros, e que retorne um
>> HTML
>> >> bobo, criptografado, usando JSSE. Imagino que se consigo fazer o teste
>> >> anterior nao terei problemas em fazer este. Porem:
>> >>
>> >> Quarta Pergunta:
>> >>
>> >>
>> >> d) existe alguma forma de usar browsers e webserevers, ou servelts +
>> JSSE,
>> >> de tal forma de que o cliente tambem tenha um certificado e a
>> autenticacao
>> >> seja dupla ? ou , e' possivel usar browsers e o SET ? Teria como eu
>> fazer
>> >> uma exemplo local usando esta forma de autenticacao/criptografia com
>> >> browsers ? Como ? Como esta o "estado da arte" para que todas as
>> empresas
>> >> e
>> >> individuos possam ser reconhecidos atraves de seu proprio certificado ?
>> >>
>> >>
>> >> Bom, disculpem que o e-mail seja um pouco longo. Mas resulta dificil
>> falar
>> >> de seguranca e nao explicar direito o que se pretende, e desde ja,
>> muito
>> >> obrigado a todos os pela ajuda,
>> >>
>> >>
>> >> Daniel (de Rio)
>> >>
>> >>
>> >> Daniel
>> >> * Para nao receber mais e-mails da lista, acesse
>> >> <http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu
>> >> e-mail, escolha a lista <[EMAIL PROTECTED]> e de um <submit>.
>> >
>> >
>> * Para nao receber mais e-mails da lista, acesse
>> <http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu
>> e-mail, escolha a lista <[EMAIL PROTECTED]> e de um <submit>.
>
>
Daniel
* Para nao receber mais e-mails da lista, acesse
<http://www.sun.com.br:8080/guest/RemoteAvailableLists>, coloque seu e-mail, escolha a
lista <[EMAIL PROTECTED]> e de um <submit>.
