openssl3.2 - 官方demo学习 - 索引贴

openssl3.2 - 官方demo学习 - 索引贴

概述

如果要将openssl在自己的业务逻辑中用起来, 只从网上找零星的代码片段肯定不行的.
且不说人家写的好不好, 主要是我们不知道人家为啥那么写.
openSSL的API, 不同版本, API调用名称, 调用顺序. 是否为已经废弃, 都不同.
如果不是官方demo中推荐的写法, 如果有问题, 那也不好找问题. 作为研发, 我们比对能力还是强的.
如果是从网上找的代码片段, 在最新的openSS中是否能编译过, 都是个问题.

如果要用某个版本的openSSL(如果是新工程, 最好用新版的openSSL) , 看看官方提供的demo, 都清楚了.
如果是旧工程, 就要找对应的openSSL的版本的官方demo来看.
如果是从已有工程的旧openSSL版本迁移到最新的openSSL版本, 官方也有文档说明.
官方提供的Demo, 知识点比较全, 人家就是给用户写的很多具体例子(每个demo集中展示一个或几个小知识点), 用代码来展示openSSL库某个具体知识点具体咋用.

想将openssl3.2的官方demo过一遍, 过完之后, 就知道openssl能具体干啥了. 应用openssl库的编程细节也就知道了.
要想知道openssl3.2的编程细节, 看官方demo是最直接的方法.
在走读openssl demo实现时, 哪里有疑问, 可以自己写测试代码, 自己试试. 有自己的理解, 可以写注释给以后看.

当然, 在用openSSL干活之前, 密码学的书和资料也要稍微看看. 要不就不知道官方demo的知识背景.
如果能找到大佬出的教程, 初步看一下, 被大佬带一下, 让师傅领进门是最好的.
能出书和出教程的大佬, 人家也是看官方demo, 自己学出来的.

openSSL官方的demo都是在一个.c中实现的, 数了一下, 大概70个.
准备将这70个demo的源码走读完, 预计花7天.
等全部走读完, 业务逻辑上用到哪些openSSL操作, 就知道去哪个demo中找了.
移植(迁移)代码这事, 作为研发都熟悉, 不是问题.

笔记

工程的搭建和调试环境

VS2019 vc++ console
openSSL3.2安装到了c:\openssl_3d2
建立一个vs2019 c++ 控制台工程.
包含openssl3.2的头文件路径 => .;C:\openssl_3d2\include;
包含openssl3.2的库路径 => C:\openssl_3d2\lib;
删掉工程模板的.cpp实现
将官方实现(e.g. client-arg.c)放到工程中, 作为主实现
在.c中, 将库包含上, 将openssl/applink.c包进去.

#pragma comment(lib, "libcrypto.lib")
#pragma comment(lib, "libssl.lib")#include <openssl/applink.c> /*! for OPENSSL_Uplink(00007FF8B7EF0FE8,08): no OPENSSL_Applink */

根据编译选项, 加入一些编译宏, 使程序0错误0警告.

add _CRT_SECURE_NO_WARNINGS to VS2019 option

此时编译工程, 就是能编译过的. 0错误0警告
然后就是自己单步看看程序功能和API用法.
在这个过程中, 看看此demo包含哪些知识点?
这些知识点的API的建立, 调用, 释放的流程?
这3步中, 参数都是咋给定的?
自己能从这个demo中学到啥? 如果有, 可以加个注释以后看.
是不是自己也可以尝试改2句试试?
如果此demo要和其他demo配合用, 等过到相关demo时, 再打开这个demo配合用一下, 能更好的理解demo的实现.

BIO

BIO是openssl处理输入/输出的API, 可以处理文件, SSL连接的读写.

BIO - client-arg.c

TLS客户端(服务器连接串从命令行参数来), 向服务器get一个东西
openssl3.2 - 官方demo学习 - client-arg.c

BIO - client-conf.c

TLS客户端(服务器连接串从配置文件来), 向服务器get一个东西
openssl3.2 - 官方demo学习 - client-conf.c

BIO - saccept.c

建立TLSServer(使用了证书, 和证书中的私钥), 接收客户端的连接, 并将客户端发来的信息打印到屏幕
openssl3.2 - 官方demo学习 - saccept.c

BIO - sconnect.c

TLS客户端 - 使用根证书, 非阻塞, 向服务器要东西.
openssl3.2 - 官方demo学习 - saccept.c

BIO - server-arg.c

TLS服务器, 等客户端来连接; 如果客户端断开了, 通过释放bio来释放客户端socket, 然后继续通过bio读来aceept.

openssl3.2 - 官方demo学习 - server-arg.c

BIO - server-cmod.c

从配置文件中读参数, 建立TLS服务器, 死等客户端来连接. 客户端连接后, 打印客户端发来的内容.
配置文件格式有要求

openssl3.2 - 官方demo学习 - server-cmod.c

BIO - server-conf.c

建立TLS服务器, 参数从配置文件中来.通过SSL_CONF_CTX_set_flags()来决定读那些TLS参数
遍历配置文件, 通过SSL_CONF_cmd()来读取预期的配置项.
如果不是TLS直接用的参数(e.g. BIO), 自己从配置文件Item中赋值到变量.

openssl3.2 - 官方demo学习 - server-conf.c

BIO - 总结

官方BIOdemo工程就这7个.
可以看出, BIO主要是和TLS通讯相关的. 隐藏了socket操作, TLS两端通讯时, 直接用BIO读写.
BIO隐藏了数据读写2边的信息, 需要在BIO在建立和配置时, 才能知道具体操作的是文件, 内存还是socket.

certs

这个目录中没有c实现, 是官方展示如何使用openssl命令行来干活.
openssl3.2 - 官方demo学习 - certs

cipher

这个目录是算法调用的例子(e.g. 调用EVP接口进行对称加解密)

cipher - aesccm.c

AES-192-CCM
openssl3.2 - 官方demo学习 - cipher - aesccm.c

cipher - aesgcm.c

AES-256-GCM
在这个实验中验证了EVP_CIPHER_fetch()中算法名称字符串的来源定位.

每次看官方一个demo工程, 都能有收获, 这就很好了. 即使从一个demo中仅仅学到或者体会到一点新东西.
e.g. 因为是调用的EVP接口, 不同的加解密算法之间的应用, 差别不大(有时只是调用的算法名称字符串不同), 那么看不同的cipher, 除了第一个cipher demo, 其他的cipher demo工程, 收获就没那么大.

openssl3.2 - 官方demo学习 - cipher - aesgcm.c

cipher - aeskeywrap.c

AES-256-WRAP
经过实验 EVP_CIPHER_CTX_set_flags(ctx, EVP_CIPHER_CTX_FLAG_WRAP_ALLOW); 不是必须的.
openssl3.2 - 官方demo学习 - cipher - aeskeywrap.c

cipher - ariacbc.c

ARIA-256-CBC
EVP_EncryptInit_x()的区别
EVP_EncryptInit() 参数为ctx, cipher, key, iv
EVP_EncryptInit_ex2() 参数为 ctx, cipher, key, iv, params[]
EVP_EncryptInit_ex() 参数为 ctx, cipher, engine_imp, key, iv
看了参数就知道:
如果不给params[], 就调用EVP_EncryptInit()
如果给params[], 就调用EVP_EncryptInit_ex2()
如果给engine, 就调用EVP_EncryptInit_ex()
openssl3.2 - 官方demo学习 - cipher - ariacbc.c

cipher - 总结

openssl3.2共支持130种算法
官方给的demos数量比较少, 这说明官方的算法API接口封装的比较好, 换用不同算法, 大多数只要改一下算法名称字符串即可.
官方给的例子全部使用EVP接口, 而不是底层具体的算法接口, 这样换算法时,非常方便.
取算法指针时, 都使用EVP_CIPHER_fetch(). 说明这是官方推荐的方法.

加解密流程(以加密为例):
EVP_CIPHER_CTX_new() 建立算法上下文.
EVP_CIPHER_fetch() 选择算法.
EVP_EncryptInit()/EVP_EncryptInit_ex2()/EVP_EncryptInit_ex() 算法初始化(给定key, iv, …)
EVP_EncryptUpdate() 连续加密buffer
EVP_EncryptFinal_ex() 加密结束
EVP_CIPHER_free() 释放算法
EVP_CIPHER_CTX_free() 释放算法上下文

END