Más Tópicos de Seguridad
Este capítulo presenta dos tópicos de seguridades adicionales que podríamos encontrar interesantes.
Applets Firmados
Se puede definir un fichero de policía para requerir una firma de todos los applets o aplicaciones que intenten ejecutarse con el fichero de policía. La firma es una forma de verificar que el applet o la aplicación vienen de una fuente fiable y que puede ser creíada para ejecutarse con los permisos concedidos por el fichero de policía.
Si un fichero de policía requiere una firma, un applet o una aplicación pueden obtener el acceso concedido por el fichero de policía sólo si tienen la firma correcta. Si el applet o la aplicación tienen una firma errónea o no tienen firma, no obtendrán el acceso al fichero.
Esta sección muestra un ejemplo de firma de una applet, verificación de esa firma, y ejecución del applet con un fichero de policía.
Ejemplo del Applet Firmado
El fichero de policía para conceder accesos puede configurarse para que requiera o no una firma. Si se requiere una firma, el applet tiene que estár envuelto en un fichero JAR antes de poder ser firmado. Este ejemplo muestra cómo firmar y conceder los permisos a un applet para que pueda crear un fichero demo.ini en el directorio Home del usuario cuando se ejecuta en el AppletViewer.
Estos ficheros son los usados en el ejemplo. Podemos copiarlos o crearlos en nuestro directorio de trabajo.
Normalmente un applet se envulve y se firma mediante un desarrollador de intranet y es manejado por el usuario final que verifica la firma y ejecuta el applet. En este ejemplo, el desarrollador de intranet performa los pasos 1 al 5, y el usuario final realiza lo pasos del 6 al 8. Para mantener las cosas sencillas todos los pasos ocurren en el mismo directorio.
- Compilar el Applet.
- Crear el Fichero JAR.
- Generar las Claves.
- Firmar el Fichero JAR.
- Exportar el Certificado de Clave Pública.
- Importar el Certificado como Certificado Verdadero.
- Crear el Fichero de Policía.
- Ejecutar el Applet.
Desarrollador de Intranet
El desarrollador de intranet, envuelve el ejecutable del applet en un fichero JAR, lo firma y exporta el certificado de la clave pública.
1: Compilar el Applet
En su directorio de trabajo el desarrollador de intranet, usa el comando javac para compilar la clase SignedAppletDemo.java. La salida del comando javac es el SignedAppletDemo.class.
javac SignedAppletDemo.java
2: Crear el Fichero JAR
El desarrollador de intranet almacena el fichero SignedAppletDemo.class compilado en un fichero JAR. La opción -cvf del comando jar crea un nuevo archivo (c), usando modo verboso (v), y especifica el nombre del fichero archivado (f). El nombre del fichero es SignedApplet.jar.
jar cvf SignedApplet.jar SignedAppletDemo.class
3: Generar las Claves
Un fichero JAR se firma con la clave privada del creador del fichero JAR y la firma es verificada por el receptor del fichero JAR con el clave pública de la pareja. El certificado es una sentencia del propietario de la clave privada indicando que la clave pública de la pareja tiene una valor particular para que la persona que la está usando puede estar segura de que es auténtica. Las claves pública y privada deben existir en el almacen de calves antes de que se puede usar jarsigner para firmar o verificar la firma de un fichero JAR.
El desarrollador crea un base de datos keystore llamada compstore que tiene una entrada para cada pareja de claves recientemente generadas con la clave pública en un certificado usando el comando keytool.
En su directorio de trabajo, el desarrollador crea una base de datos keystore y genera las claves.
keytool -genkey -alias signFiles -keystore compstore
-keypass kpi135 -dname "cn=jones"
-storepass ab987c
Este comando keytool -genkey invoca una pareja de claves que están identificadas con el Alias signFiles. Subsecuentes llamadas al comando keytool que usarán este alias y la password (-keypass kpi135) para acceder a la clave privada en el par generado.
La pareja de claves generadas se almacena en un base de datos keystore llamada compstore (-keystore compstore) en el directorio actual y accedida con la password del compstore (-storepass ab987c).
La opción -dname "cn=jones" especifica un nombre distinguido X.500 con un valor de nombre común (cn). X.500 Distinguished Names identifica entidades para certificados X.509. En este ejemplo, el desarrollador usa su último nombre, Jones, para el nombre común. Podría haber usado cualquier otro nombre para este propósito.
Podemos ver todos las opciones y parámetros de ketool tecleando.
keytool -help
4: Firmar el Fichero JAR
JAR Signer es una herramienta de la línea de comandos para firmar y verificar la firma de ficheros JAR. En su directorio de trabajo, el desarrollado usa jarsigner para firmar una copia del fichero SignedApplet.jar.
jarsigner -keystore compstore -storepass ab987c
-keypass kpi135
-signedjar
SSignedApplet.jar SignedApplet.jar signFiles
Las opciones -storepass ab987c y -keystore compstore especifican la base de datos keystore y password donde se almacena la clave privada pra firmar el fichero JAR. La opción -keypass kpi135 es la password de la clave privada, SSignedApplet.jar es el nombre del fichero JAR firmado, y signFiles es el alias de la clave privada. jarsigner extrae el certificado desde la base de datos cuya entrada es signFiles y lo adjunta a la firma del fichero JAR firmado.
5: Exportar el Certificado de la Clave Pública
El certificado de la clave pública se envía con el fichero JAR al usuario final que usará el applet. Esta persona usa el certificado para autentificar la firma del fichero JAR. Un certificado se envía exportandolo desde la base de datos compstore.
En su directorio de trabajo, el desarrollador usa keytool para copiar el certificado desde compstore a un fichero llamado CompanyCer.cer de esta forma.
keytool -export -keystore compstore -storepass ab987c
-alias signFiles -file CompanyCer.cer
Como el último paso, el desarrollador coloca el fichero JAR y el certificado en un directorio de distribución o en una página web.
Usuario Final
El usuario final descarga el fichero JAR desde el directorio de distribución, importa el certificado, crea un fichero de policía concediendo los accesos al applet, y ejecuta el applet.
6: Importar el Certificado como Certificado Verdadero
El usuario descarga SSignedApplet.jar y CompanyCer.cer a su directorio home. Ahora debe crear un abase de datos keystore (raystore) e importar el certificado en ella usando el aplias company. El usuario usa keytool en su directorio home para hacer esto.
keytool -import -alias company -file
CompanyCer.cer -keystore
raystore -storepass abcdefgh
7: Crear el Fichero de Policía
El fichero de policía concede al fichero SSignedApplet.jar firmado por el alias company permiso para crear demo.ini (y no otro fichero) en el directorio home del usuario.
El usuario crea el fichero de policía en su directorio home usando policytool o un editor ASCII.
keystore "/home/ray/raystore";
// A sample policy file that lets a program
// create demo.ini in user's home directory
// Satya N Dodda
grant SignedBy "company" {
permission java.util.PropertyPermission
"user.home", "read";
permission java.io.FilePermission
"${user.home}/demo.ini", "write";
};
8: Ejecutar el Applet en el AppletViewer
AppletViewer conecta con documentos HTML y los recursos especificados en la llamada a appletviewer, y muestra el applet en su propia ventana. Para ejecutar el ejemplo, el usuario copia el fichero JAR firmado y el fichero HTML en /home/aURL/public_html y llama al Appletviewer desde su directorio raíz de esta forma.
appletviewer -J-Djava.security.policy=Write.jp
http://aURL.com/SignedApplet.html
Nota: Se teclea todo en una línea y se pone un espacio en blanco después de Write.jp
La opción -J-Djava.security.policy=Write.jp le dice al AppletViewer que ejecute el applet referenciado en el fichero SignedApplet.html con el fichero de policía Write.jp.
Nota: El fichero de policía puede almacenarse en el servidor y especificarse en la invocación al appletviewer como una URL.
Ejecutar una Aplicación con un Fichero de Policía
Esta invocación de aplicación restringe MyProgram a un entorno cerado de la misma forma en que se restringen los applet, pero permite los accesos especificados en el fichero de policía polfile.
java -Djava.security.manager
-Djava.security.policy=polfile MyProgram
Applets Firmados en JDK 1.1
Los applets firmados del JDK 1.1 pueden acceder a recursos del sistema local si éste está configurado para permitirlo. Puedes ver la páginas
ejemplos de Applets Firmados del JDK 1.1 para más detalles.
Escribir un Controlador de Seguridad
Un controlador de seguridad es un objeto de la Máquina Virtual Java (JVM) que implementa un policía de seguridad. Por defecto, la plataforma Java 2® proporciona un controlador de seguridad que desactiva todos los accesos a los recursos del sistema local menos los accesos de lectura al directorio y sus subdirectorios dónde es invocado el programa.
Podemos extender el controlador de seguridad por defecto para implementar verificaciones y aprovaciones personalizadas para applets y aplicaciones, pero la implementación debe incluir código de verificación de accesos apropiado para cada método checkXXX que sobreescribamos. Si no incluimos este código, no sucederá ningun chequeo de verificación, y nuestro programa escindirá el fichero de policía del sistema.
Esta sección usa una aplicación de ejemplo para explicar cómo escribir un controlador de seguridad personalizado antes de leer y escribir los ficheros especificados. La implementación incluye código de verificación de accesos por eso una vez que el usuario pasa el chequeo de password, todavía necesita que el fichero tenga permisos de lectura y escritua en su fichero de policía.
El ejemplo consiste en la aplicación FileIO, y el programa PasswordSecurityManager que proporciona la implementación del controlador de seguridad personalizado.
El programa FileIO
El programa FileIO muestra un sencillo interface de usuario que pide al usuario que introduzca algún texto. Cuando el usario pulsa el botón Click Me, el texto se graba en un fichero en el directorio home del usuario, y se abre y se lee un segundo fichero. El texto leído del segundo fichero se muestra al usuario.
Antes de Pulsar el botón |
Después de Pulsar el botón |
El controlador de seguridad personalizado para este programa le pude al usuario final que introduzca una password antes de permitir que FileIO escriba o lea texto desde un fichero. El método main de FileIO crea un controlador de seguridad personalizado llamando PasswordSecurityManager.
public static void main(String[] args){
BufferedReader buffy = new BufferedReader(
new InputStreamReader(System.in));
try {
System.setSecurityManager(
new PasswordSecurityManager("pwd", buffy));
} catch (SecurityException se) {
System.err.println("SecurityManager already set!");
}
La Clases PasswordSecurityManager
La clase PasswordSecurityManager declara dos variables de ejemplar privadas, que son inicializadas por el constructor cuando se instala el controlador de seguridad personalziado. La variable de ejemplar password contiene el password real, y la variable de ejemplar buffy es un buffer de entrada que almacena la password de entrada del usuario final.
public class PasswordSecurityManager
extends SecurityManager{
private String password;
private BufferedReader buffy;
public PasswordSecurityManager(String p,
BufferedReader b){
super();
this.password = p;
this.buffy = b;
}
El método accessOK le pide una password al usuario final, verifica la password, y devuelve
true si el password es correcto y false si no lo es.
private boolean accessOK() {
int c;
String response;
System.out.println("Password, please:");
try {
response = buffy.readLine();
if (response.equals(password))
return true;
else
return false;
} catch (IOException e) {
return false;
}
}
Verificar Accesos
La clase padre SecurityManager proporciona métodos para verificar accesos de lectura y escritura a ficheros del sistema. Los método checkRead y checkWrite tienen una versión que acepta un String y otra versión que acepta un descriptor de fichero.
Este ejemplo sólo sobreescrie las versiones String para mantener el ejemplo sencillo, y como el programa FileIO usa accesos a directorios y ficheros como Strings.
public void checkRead(String filename) {
if((filename.equals(File.separatorChar + "home" +
File.separatorChar + "monicap" +
File.separatorChar + "text2.txt"))){
if(!accessOK()){
super.checkRead(filename);
throw new SecurityException("No Way!");
} else {
FilePermission perm = new FilePermission(
File.separatorChar + "home" +
File.separatorChar + "monicap" +
File.separatorChar + "text2.txt", "read");
checkPermission(perm);
}
}
}
public void checkWrite(String filename) {
if((filename.equals(File.separatorChar + "home" +
File.separatorChar + "monicap" +
File.separatorChar + "text.txt"))){
if(!accessOK()){
super.checkWrite(filename);
throw new SecurityException("No Way!");
} else {
FilePermission perm = new FilePermission(
File.separatorChar + "home" +
File.separatorChar + "monicap" +
File.separatorChar + "text.txt" ,
"write");
checkPermission(perm);
}
}
}
}
El método checkWrite es llamado antes de escribir la entrada del usuario en el fichero de salida. Esto es porque la clase FileOutputStream llama primero a SecurityManager.checkWrite.
La implementación personalizadapara SecurityManager.checkWrite chequea el pathname /home/monicap/text.txt, si es true le pide al usuario una password. Si la password es correcta, el método checkWriterealiza el chequeo del acceso creando un ejemplar del permiso requerido y pasandolo al método SecurityManager.checkPermission. Este chequeo sucederá si el controlador de seguirdad encuentra un fichero de seguridad de sistemam de usuario o de programa con el permiso especificado.
Una vez completada la operación de escritura, al usuario final se le pide la password dos veces más. La primera vez para leer el directorio /home/monicap, y la segunda vez para leer el fichero text2.txt. Se realiza un chequeo de acceso antes de que tenga lugar la operación de lectura.
Fichero de Policía
Aquí está el fichero de policía que necesita el programa FileIO para las operaciones de lectura y escritura. También conceder permiso al controlador de seguridad personalizado para acceder a la cola de eventos en representación de la aplicación y mostrar la ventana de la aplicación si ningún aviso.
grant {
permission java.io.FilePermission
"${user.home}/text.txt", "write";
permission java.util.PropertyPermission
"user.home", "read";
permission java.io.FilePermission
"${user.home}/text2.txt", "read";
permission java.awt.AWTPermission
"accessEventQueue";
permission java.awt.AWTPermission
"showWindowWithoutWarningBanner";
};
Ejecutar el programa FileIO
Aquí está cómo ejecutar el programa FileIO con el fichero de policía.
java -Djava.security.policy=polfile FileIO
Información de Referencia
El Apéndice A: Seguridad y Permisos describe los permisos disponibles y explica las consecuencias de conceder permisos. Una forma de usar esta es información es para ayudarnos a limitar los permisos concedidos a un applet o aplciación podrían necesitar ser ejecutados satisfactoriamente. Otra forma de usar esta información es educarnos en la forma en un permiso particular puede ser explotado por código mailicioso.
El Apéndice B: Clases, Métodos y Permisos proporciona lista de métodos de la plataforma Java 2 que están implementados para chequeos de seguridad, los permisos que cada uno requiere, y el método java.security.SecurityManager llamado para realizar el chequeo de accesos.
Podemos usar esta referencia para escribir implementaciones de nuestro propio controlador de seguridad o cundo implementamos métodos abstactos que realizan tareas relacionadas con la seguridad.
El Apéndide C: Métodos del SecurityManager lista los chequeos de permisos para los método de SecurityManager.¡
Tutoriales
