Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Implementaciones personalizadas para validar la integridad de los archivos de registros de CloudTrail
Dado que CloudTrail utiliza funciones hash y algoritmos criptográficos estándar del sector, puede crear sus propias herramientas para validar la integridad de los archivos de registros de CloudTrail. Cuando se habilita la validación de la integridad de los archivos de registros, CloudTrail entrega archivos de resumen a su bucket de Amazon S3. Puede utilizar estos archivos para implementar su propia solución de validación. Para obtener más información sobre los archivos de resumen, consulte Estructura de los archivos de resumen de CloudTrail.
En este tema se describe cómo se firman los archivos de resumen. A continuación, se detallan los pasos que debe seguir para implementar una solución que valide los archivos de resumen y los archivos de registro a los que hacen referencia.
Cómo se firman los archivos de resumen de CloudTrail
Los archivos de resumen de CloudTrail se firman con firmas digitales RSA. Para cada archivo de resumen, CloudTrail hace lo siguiente:
-
Crea una cadena para firmar datos en función de campos del archivo de resumen designados (que se describen en la sección siguiente).
-
Obtiene una clave privada única para la región.
-
Pasa el hash SHA-256 de la cadena y la clave privada al algoritmo de firma RSA, que produce una firma digital.
-
Codifica el código de bytes de la firma en formato hexadecimal.
-
Coloca la firma digital en la propiedad de metadatos
x-amz-meta-signature
del objeto del archivo de resumen de Amazon S3.
Contenido de la cadena de firma de datos
Los siguientes objetos de CloudTrail están incluidos en la cadena para la firma de datos:
-
La marca de tiempo de finalización del archivo de resumen en formato extendido UTC (por ejemplo,
2015-05-08T07:19:37Z
) -
La ruta S3 del archivo de resumen actual
-
El hash SHA-256 en codificación hexadecimal del archivo de resumen actual
-
La firma en codificación hexadecimal del archivo de resumen anterior
Más adelante en este documento se proporciona el formato de cálculo de esta cadena y una cadena de ejemplo.
Pasos de implementación de la validación personalizada
Cuando implemente una solución de validación personalizada, deberá validar en primer lugar el archivo de resumen y, a continuación, los archivos de registro a los que hace referencia.
Validar el archivo de resumen
Para validar un archivo de resumen, necesita su firma, la clave pública cuya clave privada se ha utilizado para firmarlo y una cadena de firma de datos que debe calcular.
-
Obtenga el archivo de resumen.
-
Compruebe que el archivo de resumen se haya recuperado de su ubicación original.
-
Obtenga la firma en codificación hexadecimal del archivo de resumen.
-
Obtenga la huella en codificación hexadecimal de la clave pública cuya clave privada se ha utilizado para firmar el archivo de resumen.
-
Recupere las claves públicas para el intervalo de tiempo correspondiente al archivo de resumen.
-
De entre las claves públicas recuperadas, elija la clave pública cuya huella coincida con la del archivo de resumen.
-
Con el hash y otros campos del archivo de resumen, vuelva a crear la cadena de firma que se utiliza para verificar la firma de dicho archivo.
-
Valide la firma pasando el hash SHA-256 de la cadena, la clave pública y la firma como parámetros al algoritmo de verificación de firmas RSA. Si el resultado es verdadero, el archivo de resumen es válido.
Validar los archivos de registros
Si el archivo de resumen es válido, valide cada uno de los archivos de registro a los que hace referencia.
-
Para validar la integridad de un archivo de registro, calcule su valor de hash SHA-256 en su contenido sin comprimir y compare los resultados con el hash del archivo de registro (registrado en formato hexadecimal) en el resumen. Si los hash coinciden, el archivo de registro es válido.
-
Sírvase de la información del archivo de resumen anterior que se incluye en el archivo de resumen actual para validar los archivos de resumen anteriores y sus correspondientes archivos de registro de manera sucesiva.
En las siguientes secciones se describen estos pasos de manera detallada.
A. Obtener el archivo de resumen
Los primeros pasos sirven para obtener el archivo de resumen más reciente, verificar que lo ha recuperado de la ubicación original, verificar su firma digital y obtener la huella de la clave pública.
-
Utilice
GetObject
de S3 o la clase AmazonS3Client (por ejemplo) para obtener el archivo de resumen más reciente de su bucket de Amazon S3 para el intervalo de tiempo que desee validar. -
Verifique que el bucket de S3 y el objeto de S3 utilizados para recuperar el archivo coinciden con las ubicaciones del objeto S3 y el bucket de S3 registradas en el propio archivo de resumen.
-
A continuación, obtenga la firma digital del archivo de resumen desde la propiedad de metadatos
x-amz-meta-signature
del objeto del archivo de resumen en Amazon S3. -
En el archivo de resumen, obtenga la huella de la clave pública cuya clave privada se ha utilizado para firmar el archivo de resumen en el campo
digestPublicKeyFingerprint
.
B. Recuperar la clave pública para validar el archivo de resumen
Para obtener la clave pública para validar el archivo de resumen, puede utilizar la AWS CLI o la API de CloudTrail. En ambos casos, debe especificar un intervalo de tiempo (es decir, una hora de inicio y una de finalización) para los archivos de resumen que desea validar. Se podrían devolver una o varias claves públicas para el intervalo de tiempo que se especifique. Las claves devueltas pueden tener intervalos de tiempo de validez que se solapan.
nota
Dado que CloudTrail utiliza diferentes pares de claves pública/privada por región, cada archivo de resumen se firma con una clave privada única para su región. Por lo tanto, al validar un archivo de resumen desde una región determinada, debe recuperar su clave pública desde la misma región.
Utilizar la AWS CLI para recuperar claves públicas
A fin de recuperar las claves públicas para los archivos de resumen mediante la AWS CLI, utilice el comando cloudtrail list-public-keys
. El comando tiene el siguiente formato:
aws cloudtrail list-public-keys [--start-time <start-time>] [--end-time <end-time>]
Los parámetros de la hora de inicio y de finalización son marcas de tiempo UTC (opcionales). Si no se especifica, se utiliza la hora actual y se devuelven las claves públicas que actualmente están activas.
Respuesta de ejemplo
La respuesta será una lista de objetos JSON que representan las claves devueltas:
{ "publicKeyList": [ { "ValidityStartTime": "1436317441.0", "ValidityEndTime": "1438909441.0", "Value": "MIIBCgKCAQEAn11L2YZ9h7onug2ILi1MWyHiMRsTQjfWE+pHVRLk1QjfWhirG+lpOa8NrwQ/r7Ah5bNL6HepznOU9XTDSfmmnP97mqyc7z/upfZdS/AHhYcGaz7n6Wc/RRBU6VmiPCrAUojuSk6/GjvA8iOPFsYDuBtviXarvuLPlrT9kAd4Lb+rFfR5peEgBEkhlzc5HuWO7S0y+KunqxX6jQBnXGMtxmPBPP0FylgWGNdFtks/4YSKcgqwH0YDcawP9GGGDAeCIqPWIXDLG1jOjRRzWfCmD0iJUkz8vTsn4hq/5ZxRFE7UBAUiVcGbdnDdvVfhF9C3dQiDq3k7adQIziLT0cShgQIDAQAB", "Fingerprint": "8eba5db5bea9b640d1c96a77256fe7f2" }, { "ValidityStartTime": "1434589460.0", "ValidityEndTime": "1437181460.0", "Value": "MIIBCgKCAQEApfYL2FiZhpN74LNWVUzhR+VheYhwhYm8w0n5Gf6i95ylW5kBAWKVEmnAQG7BvS5g9SMqFDQx52fW7NWV44IvfJ2xGXT+wT+DgR6ZQ+6yxskQNqV5YcXj4Aa5Zz4jJfsYjDuO2MDTZNIzNvBNzaBJ+r2WIWAJ/Xq54kyF63B6WE38vKuDE7nSd1FqQuEoNBFLPInvgggYe2Ym1Refe2z71wNcJ2kY+q0h1BSHrSM8RWuJIw7MXwF9iQncg9jYzUlNJomozQzAG5wSRfbplcCYNY40xvGd/aAmO0m+Y+XFMrKwtLCwseHPvj843qVno6x4BJN9bpWnoPo9sdsbGoiK3QIDAQAB", "Fingerprint": "8933b39ddc64d26d8e14ffbf6566fee4" }, { "ValidityStartTime": "1434589370.0", "ValidityEndTime": "1437181370.0", "Value": "MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqlzPJbvZJ42UdcmLfPUqXYNfOs6I8lCfao/tOs8CmzPOEdtLWugB9xoIUz78qVHdKIqxbaG4jWHfJBiOSSFBM0lt8cdVo4TnRa7oG9io5pysS6DJhBBAeXsicufsiFJR+wrUNh8RSLxL4k6G1+BhLX20tJkZ/erT97tDGBujAelqseGg3vPZbTx9SMfOLN65PdLFudLP7Gat0Z9p5jw/rjpclKfo9Bfc3heeBxWGKwBBOKnFAaN9V57pOaosCvPKmHd9bg7jsQkI9Xp22IzGLsTFJZYVA3KiTAElDMu80iFXPHEq9hKNbt9e4URFam+1utKVEiLkR2disdCmPTK0VQIDAQAB", "Fingerprint": "31e8b5433410dfb61a9dc45cc65b22ff" } ] }
Utilice la API de CloudTrail para recuperar claves públicas
Para recuperar las claves públicas de los archivos de resumen mediante la API de CloudTrail, pase los valores de la hora de inicio y finalización a la API ListPublicKeys
. La API ListPublicKeys
devuelve las claves públicas cuyas claves privadas se han utilizado para firmar archivos de resumen en el intervalo de tiempo especificado. Para cada clave pública, la API también devuelve la huella correspondiente.
ListPublicKeys
En esta sección se describen los parámetros de solicitud y los elementos de respuesta de la API ListPublicKeys
.
nota
La codificación de los campos binarios de ListPublicKeys
está sujeta a cambios.
Parámetros de solicitud
Nombre | Descripción |
---|---|
StartTime
|
Opcionalmente, especifique el inicio del intervalo de tiempo (en UTC) para buscar las claves públicas para los archivos de resumen de CloudTrail. Si StartTime no está especificado, se utiliza la hora actual y se devuelve la clave pública actual. Tipo: DateTime |
EndTime
|
Opcionalmente, especifique el fin del intervalo de tiempo (en UTC) para buscar las claves públicas para los archivos de resumen de CloudTrail. Si EndTime no está especificado, se utiliza la hora actual. Tipo: DateTime |
Elementos de respuesta
PublicKeyList
, una matriz de objetos PublicKey
que contiene:
Nombre | Descripción |
Value
|
El valor de clave pública codificado de DER en formato PKCS # 1. Tipo: Blob |
ValidityStartTime
|
La hora de inicio de la validez de la clave pública. Tipo: DateTime |
ValidityEndTime
|
La hora de finalización de la validez de la clave pública. Tipo: DateTime |
Fingerprint
|
La huella de la clave pública. La huella puede utilizarse para identificar la clave pública que debe usar para validar el archivo de resumen. Tipo: cadena |
C. Elegir la clave pública que va a utilizar para la validación
De entre las claves públicas recuperadas por list-public-keys
o ListPublicKeys
, elija la clave pública devuelta cuya huella coincida con la registrada en el campo digestPublicKeyFingerprint
del archivo de resumen. Esta es la clave pública que utilizará para validar el archivo de resumen.
D. Volver a crear la cadena de la firma de datos
Ahora que ya tiene la firma del archivo de resumen y la clave pública asociada, debe calcular la cadena de firma de datos. Después de haber calculado la cadena de la firma de datos, tendrá las entradas necesarias para verificar la firma.
La cadena de firma de datos tiene el siguiente formato:
Data_To_Sign_String = Digest_End_Timestamp_in_UTC_Extended_format + '\n' + Current_Digest_File_S3_Path + '\n' + Hex(Sha256(current-digest-file-content)) + '\n' + Previous_digest_signature_in_hex
Este es un ejemplo de Data_To_Sign_String
.
2015-08-12T04:01:31Z amzn-s3-demo-bucket/AWSLogs/111122223333/CloudTrail-Digest/us-east-2/2015/08/12/111122223333_us-east-2_CloudTrail-Digest_us-east-2_20150812T040131Z.json.gz 4ff08d7c6ecd6eb313257e839645d20363ee3784a2328a7d76b99b53cc9bcacd 6e8540b83c3ac86a0312d971a225361d28ed0af20d70c211a2d405e32abf529a8145c2966e3bb47362383a52441545ed091fb81 d4c7c09dd152b84e79099ce7a9ec35d2b264eb92eb6e090f1e5ec5d40ec8a0729c02ff57f9e30d5343a8591638f8b794972ce15bb3063a01972 98b0aee2c1c8af74ec620261529265e83a9834ebef6054979d3e9a6767dfa6fdb4ae153436c567d6ae208f988047ccfc8e5e41f7d0121e54ed66b1b904f80fb2ce304458a2a6b91685b699434b946c52589e9438f8ebe5a0d80522b2f043b3710b87d2cda43e5c1e0db921d8d540b9ad5f6d4$31b1f4a8ef2d758424329583897339493a082bb36e782143ee5464b4e3eb4ef6
Después de volver a crear esta cadena, puede validar el archivo de resumen.
E. Validar el archivo de resumen
Pase el hash SHA-256 de la cadena de firma de datos recreada, la firma digital y la clave pública al algoritmo de verificación de la firma RSA. Si el resultado es verdadero, la firma del archivo de resumen se verifica y el archivo de resumen es válido.
F. Validar los archivos de registros
Una vez que haya validado el archivo de resumen, puede validar los archivos de registro a los que hace referencia. El archivo de resumen contiene hashes SHA-256 de los archivos de registro. Si uno de los archivos de registros se ha modificado después de que CloudTrail lo haya entregado, los hashes SHA-256 cambiarán y la firma del archivo de resumen no coincidirá.
A continuación se muestra cómo validar los archivos de registro:
-
Realice una operación
S3 Get
para el archivo de registro utilizando la información de la ubicación de S3 en los camposlogFiles.s3Bucket
ylogFiles.s3Object
del archivo de resumen. -
Si la operación
S3 Get
se realiza correctamente, itérela en los archivos de registro que se encuentran en la matriz logFiles del archivo de resumen mediante los siguientes pasos:-
Recupere el hash original del archivo desde el campo
logFiles.hashValue
del registro correspondiente en el archivo de resumen. -
Convierta en hash el contenido sin comprimir del archivo de registro con el algoritmo de hash especificado en
logFiles.hashAlgorithm
. -
Compare el valor de hash que ha generado con el valor para el registro en el archivo de resumen. Si los hash coinciden, el archivo de registro es válido.
-
G. Validar los archivos de registros y de resumen adicionales
En cada archivo de resumen, los siguientes campos proporcionan la ubicación y la firma del archivo de resumen anterior:
-
previousDigestS3Bucket
-
previousDigestS3Object
-
previousDigestSignature
Utilice esta información para visitar archivos de resumen anteriores de forma secuencial. Para ello, valide la firma de cada archivo de resumen y de los archivos de registro a los que hacen referencia mediante los pasos que se indican en las secciones anteriores. La única diferencia es que, para los archivos de resumen anteriores, no es necesario recuperar la firma digital de las propiedades de los metadatos de Amazon S3 del objeto del archivo de resumen. La firma del archivo de resumen anterior se proporciona automáticamente en el campo previousDigestSignature
.
Puede retroceder hasta llegar al archivo de resumen de partida o hasta que la cadena de archivos de resumen se rompa, lo que ocurra primero.
Validación de archivos de registros y de resumen sin conexión
Cuando valida archivos de registro y de resumen sin conexión, generalmente puede seguir los procedimientos descritos en las secciones anteriores. No obstante, debe tener en cuenta lo siguiente:
Uso del archivo de resumen más reciente
La firma digital del archivo de resumen más reciente (es decir, “actual”) se encuentra en las propiedades de metadatos de Amazon S3 del objeto del archivo de resumen. En una situación sin conexión, la firma digital del archivo de resumen actual no estará disponible.
Hay dos maneras posibles de abordar esta situación:
-
Dado que la firma digital del archivo de resumen anterior se encuentra en el archivo de resumen actual, empiece la validación desde el archivo de resumen que esté junto al último. Con este método, el archivo de resumen más reciente no se puede validar.
-
Como primer paso, obtenga la firma del archivo de resumen actual de las propiedades de metadatos del objeto del archivo de resumen y, a continuación, guárdelo de forma segura sin conexión. Esto permite que el archivo de resumen actual se valide junto con los archivos anteriores de la cadena.
Resolución de la ruta de acceso
Los campos de los archivos de resumen descargados, como s3Object
y previousDigestS3Object
, seguirán apuntando a ubicaciones de Amazon S3 en línea para archivos de registros y archivos de resumen. Las soluciones sin conexión deben encontrar una forma de volverlos a direccionar a la ruta actual de los archivos de registro y de resumen descargados.
Claves públicas
Para realizar la validación sin conexión, primero se deben obtener en línea todas las claves públicas que necesita para validar los archivos de registro en un intervalo de tiempo determinado (llamando a ListPublicKeys
, por ejemplo) y, a continuación, guardarlos de forma segura sin conexión. Este paso debe repetirse siempre que desee validar más archivos fuera del intervalo de tiempo inicial especificado.
Fragmento de código de validación de ejemplo
El siguiente fragmento de código de ejemplo muestra el código básico para validar archivos de resumen y archivos de registros de CloudTrail. El código básico no depende del estado en línea o sin conexión; es decir, el usuario es quien debe decidir si lo implementará en línea o sin conexión a AWS. La implementación sugerida utiliza Java Cryptography Extension (JCE)
En el fragmento de código de ejemplo, se muestra lo siguiente:
-
Cómo crear la cadena de firma de datos que se utiliza para validar la firma de archivos de resumen.
-
Cómo verificar la firma de archivos de resumen.
-
Cómo verificar los valores hash del archivo de registro.
-
Una estructura de código para validar una cadena de archivos de resumen.
import java.util.Arrays; import java.security.MessageDigest; import java.security.KeyFactory; import java.security.PublicKey; import java.security.Security; import java.security.Signature; import java.security.spec.X509EncodedKeySpec; import org.json.JSONObject; import org.bouncycastle.jce.provider.BouncyCastleProvider; import org.apache.commons.codec.binary.Hex; public class DigestFileValidator { public void validateDigestFile(String digestS3Bucket, String digestS3Object, String digestSignature) { // Using the Bouncy Castle provider as a JCE security provider - http://www.bouncycastle.org/ Security.addProvider(new BouncyCastleProvider()); // Load the digest file from S3 (using Amazon S3 Client) or from your local copy JSONObject digestFile = loadDigestFileInMemory(digestS3Bucket, digestS3Object); // Check that the digest file has been retrieved from its original location if (!digestFile.getString("digestS3Bucket").equals(digestS3Bucket) || !digestFile.getString("digestS3Object").equals(digestS3Object)) { System.err.println("Digest file has been moved from its original location."); } else { // Compute digest file hash MessageDigest messageDigest = MessageDigest.getInstance("SHA-256"); messageDigest.update(convertToByteArray(digestFile)); byte[] digestFileHash = messageDigest.digest(); messageDigest.reset(); // Compute the data to sign String dataToSign = String.format("%s%n%s/%s%n%s%n%s", digestFile.getString("digestEndTime"), digestFile.getString("digestS3Bucket"), digestFile.getString("digestS3Object"), // Constructing the S3 path of the digest file as part of the data to sign Hex.encodeHexString(digestFileHash), digestFile.getString("previousDigestSignature")); byte[] signatureContent = Hex.decodeHex(digestSignature); /* NOTE: To find the right public key to verify the signature, call CloudTrail ListPublicKey API to get a list of public keys, then match by the publicKeyFingerprint in the digest file. Also, the public key bytes returned from ListPublicKey API are DER encoded in PKCS#1 format: PublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, PublicKey BIT STRING } AlgorithmIdentifier ::= SEQUENCE { algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL } */ pkcs1PublicKeyBytes = getPublicKey(digestFile.getString("digestPublicKeyFingerprint"))); // Transform the PKCS#1 formatted public key to x.509 format. RSAPublicKey rsaPublicKey = RSAPublicKey.getInstance(pkcs1PublicKeyBytes); AlgorithmIdentifier rsaEncryption = new AlgorithmIdentifier(PKCSObjectIdentifiers.rsaEncryption, null); SubjectPublicKeyInfo publicKeyInfo = new SubjectPublicKeyInfo(rsaEncryption, rsaPublicKey); // Create the PublicKey object needed for the signature validation PublicKey publicKey = KeyFactory.getInstance("RSA", "BC").generatePublic(new X509EncodedKeySpec(publicKeyInfo.getEncoded())); // Verify signature Signature signature = Signature.getInstance("SHA256withRSA", "BC"); signature.initVerify(publicKey); signature.update(dataToSign.getBytes("UTF-8")); if (signature.verify(signatureContent)) { System.out.println("Digest file signature is valid, validating log files…"); for (int i = 0; i < digestFile.getJSONArray("logFiles").length(); i++) { JSONObject logFileMetadata = digestFile.getJSONArray("logFiles").getJSONObject(i); // Compute log file hash byte[] logFileContent = loadUncompressedLogFileInMemory( logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object") ); messageDigest.update(logFileContent); byte[] logFileHash = messageDigest.digest(); messageDigest.reset(); // Retrieve expected hash for the log file being processed byte[] expectedHash = Hex.decodeHex(logFileMetadata.getString("hashValue")); boolean signaturesMatch = Arrays.equals(expectedHash, logFileHash); if (!signaturesMatch) { System.err.println(String.format("Log file: %s/%s hash doesn't match.\tExpected: %s Actual: %s", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"), Hex.encodeHexString(expectedHash), Hex.encodeHexString(logFileHash))); } else { System.out.println(String.format("Log file: %s/%s hash match", logFileMetadata.getString("s3Bucket"), logFileMetadata.getString("s3Object"))); } } } else { System.err.println("Digest signature failed validation."); } System.out.println("Digest file validation completed."); if (chainValidationIsEnabled()) { // This enables the digests' chain validation validateDigestFile( digestFile.getString("previousDigestS3Bucket"), digestFile.getString("previousDigestS3Object"), digestFile.getString("previousDigestSignature")); } } } }