SSL/TLSV1.0 programe in linux
一、几个名词:
1. SSL(Secure Socket Layer)是Netscape公司设计的主要用于WEB的安全传输协议。这种协议在WEB上获得了广泛的应用。
2. IETF将SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),从技术上讲,TLS1.0与SSL3.0的差别非常微小。
SSL可以用于保密的传输,这样我们与Web Server之间传输的消息便是“安全的”。
二、原理
1. SSL是一个介于HTTP协议与TCP之间的一个可选层,其位置大致如下:
|
--------- | HTTP | --------- | SSL | --------- | TCP | --------- | IP | --------- |
SSL层:借助下层协议的的信道安全的协商出一份加密密钥,并用此密钥来加密HTTP请求。
TCP层:与web server的443端口建立连接,传递SSL处理后的数据。接收端与此过程相反。
SSL在TCP之上建立了一个加密通道,通过这一层的数据经过了加密,因此达到保密的效果。
SSL协议分为两部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用来协商密钥,协议的大部分内容就是通信双方如何利用它来安全的协商出一份密钥。 Record Protocol则定义了传输的格式。
2. 需要的加密方面的基础知识
了解SSL原理需要一点点加密的概念,这里把需要的概念做一下简单阐述:
加密一般分为三类,对称加密,非对称加密及单向散列函数。
对称加密:又分分组密码和序列密码。
分组密码是将明文按一定的位长分组,明文组经过加密运算得到密文组,密文组经过解密运算(加密运算的逆运算),还原成明文组。
序列密码是指利用少量的密钥(制乱元素)通过某种复杂的运算(密码算法)产生大量的伪随机位流,用于对明文位流的加密。
解密是指用同样的密钥和密码算法及与加密相同的伪随机位流,用以还原明文位流。
CBC(Cipher Block Chaining)模式这个词在分组密码中经常会用到,它是指一个明文分组在被加密之前要与前一个的密文分组进行异或运算。当加密算法用于此模式的时候除 密钥外,还需协商一个初始化向量(IV),这个IV没有实际意义,只是在第一次计算的时候需要用到而已。采用这种模式的话安全性会有所提高。
分组密码的典型例子为DES、RC5、IDEA。
序列密码的典型例子为RC4。
公钥加密:
简单的说就是加密密钥与解密密钥不同,分私钥和公钥。这种方法大多用于密钥交换,RSA便是一个我们熟知的例子。
还有一个常用的称作DH,它只能用于密钥交换,不能用来加密。
单向散列函数:
由于信道本身的干扰和人为的破坏,接受到的信息可能与原来发出的信息不同,一个通用的办法就是加入校验码。
单向散列函数便可用于此用途,一个典型的例子是我们熟知的MD5,它产生128位的摘要,在现实中用的更多的是安全散列算法(SHA),SHA的早期版本存在问题,目前用的实际是SHA-1,它可以产生160位的摘要,因此比128位散列更能有效抵抗穷举攻击。
由于单向散列的算法都是公开的,所以其它人可以先改动原文,再生成另外一份摘要。解决这个问题的办法可以通过HMAC(RFC 2104),它包含了一个密钥,只有拥有相同密钥的人才能鉴别这个散列。
3. 密钥协商过程
由于对称加密的速度比较慢,所以它一般用于密钥交换,双方通过公钥算法协商出一份密钥,然后通过对称加密来通信,当然,为了保证数据的完整性,在加密前要先经过HMAC的处理。
SSL缺省只进行server端的认证,客户端的认证是可选的。以下是其流程图(摘自TLS协议)。
|
Client Server
Clienth*llo --------> Serverh*llo Certificate* ServerKeyExchange* CertificateRequest* <-------- Serverh*lloDone Certificate* ClientKeyExchange CertificateVerify* [ChangeCipherSpec] Finished --------> [ChangeCipherSpec] <-------- Finished Application Data <-------> Application Data |
简单的说便是:SSL客户端(也是TCP的客户端)在TCP链接建立之后,发出一个 Clienth*llo来发起握手,这个消息里面包含了自己可实现的算法列表和其它一些需要的消息,SSL的服务器端会回应一个Serverh*llo, 这里面确定了这次通信所需要的算法,然后发过去自己的证书(里面包含了身份和自己的公钥)。Client在收到这个消息后会生成一个秘密消息,用SSL服 务器的公钥加密后传过去,SSL服务器端用自己的私钥解密后,会话密钥协商成功,双方可以用同一份会话密钥来通信了。
4. 加密的计算
上一步讲了密钥的协商,但是还没有阐明是如何利用加密密钥,加密初始化向量和hmac的密钥来加密消息的。
其实其过程不过如此:
1 借助hmac的密钥,对明文的消息做安全的摘要处理,然后和明文放到一起。
2 借助加密密钥,加密初始化向量加密上面的消息。
三、安全性
SecurityPortal在2000年底有一份文章《The End of SSL and SSH?》激起了很多的讨论,目前也有一些成熟的工具如dsniff可以通过man in the middle攻击来截获https的消息。
从上面的原理可知,SSL的结构是严谨的,问题一般出现在实际不严谨的应用中。常见的攻击就是middle inthe middle攻击,它是指在A和B通信的同时,有第三方C处于信道的中间,可以完全听到A与B通信的消息,并可拦截,替换和添加这些消息。
1 SSL可以允许多种密钥交换算法,而有些算法,如DH,没有证书的概念,这样A便无法验证B的公钥和身份的真实性,从而C可以轻易的冒充,用自己的密钥与双方通信,从而窃听到别人谈话的内容。 而为了防止middlein the middle攻击,应该采用有证书的密钥交换算法。
2 有了证书以后,如果C用自己的证书替换掉原有的证书之后,A的浏览器会弹出一个警告框进行警告,但又有多少人会注意这个警告呢?
3 由于美国密码出口的限制,IE,netscape等浏览器所支持的加密强度是很弱的,如果只采用浏览器自带的加密功能的话,理论上存在被破解可能。
四、关于证书
如果对于一般的应用,管理员只需生成“证书请求”(后缀大多为.csr),它包含你的名字和公钥,然后把这份请求交给诸如verisign等有CA服务公司,你的证书请求经验证后,CA用它的私钥签名,形成正式的证书发还给你。管理员再在web server上导入这个证书就行了。
从CA的角度讲,你需要CA的私钥和公钥。从想要证书的服务器角度讲,需要把服务器的证书请求交给CA。
如果你要自己做CA,别忘了客户端需要导入CA的证书(CA的证书是自签名的,导入它意味着你“信任”这个CA签署的证书)。
而商业CA的一般不用,因为它们已经内置在你的浏览器中了。
SSL/TLSv1.0 Programe
一、初始化
1. 加载所有的SSL算法和错误字符串信息:
加载SSL算法:
#define OpenSSL_add_ssl_algorithms() SSL_library_init()
#define SSLeay_add_ssl_algorithms() SSL_library_init()
所以load SSL算法的时候, 以上三个函数都是同样的.
加载错误字符串信息:
SSL_load_error_strings();
bio_err=BIO_new_fp(stderr,BIO_NOCLOSE);
以后就可以调用ERR_print_errors(bio_err)打印出错信息。
2. 建立SSL所用的method:
SSL_METHOD *meth=SSLv23_method(); // SSLv3 but can rollback to v2
另外还有两个函数:
SSLv23_client_method(); //用于客户端
SSLv23_server_method(); //用于服务端
v23表示使用的是SSL第三版本但是可以回滚到第二版本.还有一些其它的专门针对特定版本的建立method的方法:
SSL_METHOD *TLSv1_server_method(void); /* TLSv1.0 */
SSL_METHOD *TLSv1_client_method(void); /* TLSv1.0 */
SSL_METHOD *SSLv2_method(void); /* SSLv2 */
SSL_METHOD *SSLv2_server_method(void); /* SSLv2 */
SSL_METHOD *SSLv2_client_method(void); /* SSLv2 */
SSL_METHOD *SSLv3_method(void); /* SSLv3 */
SSL_METHOD *SSLv3_server_method(void); /* SSLv3 */
SSL_METHOD *SSLv3_client_method(void); /* SSLv3 */
3. 初始化上下文情景:
SSL_CTX *ctx=SSL_CTX_new(meth);
ctx->options|=SSL_OP_ALL
SSL/TLS有几个公认的bug,这样设置会使出错的可能更小
SSL_CTX_set_options(ctx,SSL_OP_ALL);
4. 加载CA证书:
SSL_CTX_load_verify_locations(ctx, CAfile, CApath);
用于加载受信任的CA证书,用于验证对方的证书.CAfile如果不为NULL,则他指向的文件包含PEM编码格式的一个或多个证书。
CApath如果不为NULL,则它指向一个包含PEM格式的CA证书的目录,目录中每个文件包含一份CA证书,文件名是证书中CA名的HASH值.
5. 设置最大的验证用户证书的上级数。
SSL_CTX_set_verify_depth(ctx,10);
6. 设置临时DH密钥:
当使用RSA算法鉴别的时候,会有一个临时的DH密钥磋商发生。这样会话数据将用这个临时的密钥加密,而证书中的密钥中做为签名。 所以这样增强了安全性,临时密钥是在会话结束消失的,所以就是获取了全部信息也无法把通信内容给解密出来。
static unsigned char dh512_p[]={
0xDA,0x58,0x3C,0x16,0xD9,0x85,0x22,0x89,0xD0,0xE4,0xAF,0x75,
0x6F,0x4C,0xCA,0x92,0xDD,0x4B,0xE5,0x33,0xB8,0x04,0xFB,0x0F,
0xED,0x94,0xEF,0x9C,0x8A,0x44,0x03,0xED,0x57,0x46,0x50,0xD3,
0x69,0x99,0xDB,0x29,0xD7,0x76,0x27,0x6B,0xA2,0xD3,0xD4,0x12,
0xE2,0x18,0xF4,0xDD,0x1E,0x08,0x4C,0xF6,0xD8,0x00,0x3E,0x7C,
0x47,0x74,0xE8,0x33,
};
static unsigned char dh512_g[]={0x02,};
DH *dh=DH_new();
dh->p=BN_bin2bn(dh512_p,sizeof(dh512_p),NULL);
dh->g=BN_bin2bn(dh512_g,sizeof(dh512_g),NULL);
SSL_CTX_set_tmp_dh(ctx,dh);
7. 加载证书和私钥:
私钥可以和证书在一个文件之中。判断私钥和证书是否匹配。默认情况下,通信进行服务端证书的认证,所以客户端可以不加载证书.
加载自己的证书:
char *cert_file="server.pem";
SSL_CTX_use_certificate_file(ctx, cert_file, SSL_FILETYPE_PEM);
由于私钥有可能采用了密码加密,所以获取私钥之前先写上私钥的密码
char *pKeyPasswd="serve";
SSL_CTX_set_default_passwd_cb_userdata(ctx, pKeyPasswd);
加载自己的私钥,以用于签名:
SSL_CTX_use_PrivateKey_file(ctx, cert_file,SSL_FILETYPE_PEM);
检查私钥与密码是否配对:
SSL_CTX_check_private_key(ctx);
设置一个临时的RSA,在出口算法中,有规定需要这么做的。
RSA *rsa=RSA_generate_key(512,RSA_F4,NULL,NULL);
SSL_CTX_set_tmp_rsa(ctx,rsa);
8. 设置验证方式:
SSL_CTX_set_verify(ctx, mode, verify_callback*);
mode是以下值的逻辑或:
SSL_VERIFY_NONE表示不验证;
SSL_VERIFY_PEER用于客户端时要求服务器必须提供证书,用于服务器时服务器会发出证书请求消息要求客户端提供证书,但是客户端也可以不提供;
SSL_VERIGY_FAIL_IF_NO_PEER_CERT只适用于服务器且客户端必须提供证书。他必须与SSL_VERIFY_PEER一起使用 .
任何一个验证失败信息都会终止TLS连接。但是是否证书就是不正确的呢,这要看视具体情况而定了,当SSL_VERIFY_PEER被设置时verify_callback可以控制验证的行为,比如自签名错误或者证书过了有效期是否继续,就可以通过这个回调函数来控制。
9. 产生session_id:
为了从自己本身的程序中产生一个session_id,所以要给本程序设定一个session_id_context,否则程序从外部获取session_id_context来得到session_id,那很容易产生错误 ,长度不能大于SSL_MAX_SSL_SESSION_ID_LENGTH
const unsigned char s_server_session_id_context[100]="1111asdfd";
SSL_CTX_set_session_id_context(ctx,s_server_session_id_context,
sizeof(s_server_session_id_context));
10. void RAND_seed(const void *buf,int num);
在win32的环境中client程序运行时出错(SSL_connect返回-1)的一个主要机制便是与UNIX平台下的随机数生成机制不同(握手的时候用的到).解决办法就是调用此函数,其中buf应该为一随机的字符串,作为"seed".
至此初始化工作完成。下面是连接过程
二、连接过程
1. 客户端:
普通的socket
sock = socket(AF_INET, SOCK_STREAM, 0);
addr.sin_family = AF_INET;
addr.sin_port = htons(port);
addr.sin_addr.s_addr = inet_addr(host);
connect(sock, (struct sock_addr *)&addr, sizeof (addr));
初始化SSL:
ssl = SSL_new(ctx);
与bio关联:
sbio=BIO_new_socket(s,BIO_NOCLOSE);
SSL_set_bio(ssl,sbio,sbio);
SSL连接
SSL_connect(ssl);
获得证书检查的结果:
SSL_get_verify_result(ssl);
证书正常返回X509_V_OK, 其他错误号用命令man verify可以查看.
因为SSL_get_verify_result函数,当没有接收到证书的时候返回也是X509_V_OK,所以还需要使用函数SSL_get_peer_certificate(SSL* ssl)来确保接收到证书。
X509 *peer = SSL_get_peer_certificate(ssl);
2. 服务端:
普通的socket
sock = socket(AF_INET, SOCK_STREAM, 0);
addr.sin_addr.s_addr=INADDR_ANY;
addr.sin_family=AF_INET;
addr.sin_port=htons(HTTPS_PORT);
bind(sock, (struct sock_addr *)&addr, sizeof(addr) );
listen(sock, 5);
recv_sock = accept(sock, 0, 0);
初始化SSL:
ssl = SSL_new(ctx);
与bio关联:
sbio=BIO_new_socket(s,BIO_NOCLOSE);
SSL_set_bio(ssl,sbio,sbio);
SSL accept:
SSL_accept(ssl);
获得证书检查的结果同客户端。
至此整个的通信过程沟通完成,至于接收和发送数据很简单,只要把正常的接收函数read和write函数替换成下面的两个函数就可以了.
SSL_read(ssl, buf, size);
SSL_write(ssl, buf, size);
收尾工作:
当通信结束,需要做一些收尾工作,如下:
SSL_shutdown(ssl);
SSL_free(ssl);
SSL_CTX_free(ctx);
close(sock);
附:其他一些有用的函数
X509_NAME *X509_get_subject_name(X509 *a);
得到证书所有者的名字,参数可用通过SSL_get_peer_certificate()得到的X509对象.
X509_NAME *X509_get_issuer_name(X509 *a);
得到证书签署者(往往是CA)的名字,参数可用通过SSL_get_peer_certificate()得到的X509对象.
X509_NAME_get_text_by_NID(X509_NAME *name, int nid, char *buf,int len);
根据name id得到各个name的信息。
char *X509_NAME_oneline(X509_NAME *a,char *buf,int size);
将以上三个函数得到的对象变成字符型,以便打印出来.
