OpenSSl 个人学习

1、OpenSSL介绍

OpenSSL是套开放源代码的软件库包，实现了SSL与TLS协议。其主要库是以C语言所写成，实现了基本的加密功能。
OpenSSL 是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。
OpenSSL采用C语言作为开发语言，这使得OpenSSL具有优秀的跨平台性能，这对于广大技术人员来说是一件非常美妙的事情，可以在不同的平台使用同样熟悉的东西。

OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台，这使得OpenSSL具有广泛的适用性。
OpenSSL整个软件包大概可以分成三个主要的功能部分：密码算法库，SSL协议库，应用程序。
OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

2、openssl - 加密算法

作为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

2.1.对称加密算法
OpenSSL一共提供了8种对称加密算法，其中7种是分组加密算法，仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5，都支持电子密码本模式（ECB）、加密分组链接模式（CBC）、加密反馈模式（CFB）和输出反馈模式（OFB）四种常用的分组密码加密模式。其中，AES使用的加密反馈模式（CFB）和输出反馈模式（OFB）分组长度是128位，其它算法使用的则是64位。事实上，DES算法里面不仅仅是常用的DES算法，还支持三个密钥和两个密钥3DES算法。

2.2.非对称加密算法
OpenSSL一共实现了4种非对称加密算法，包括DH算法、RSA算法、DSA算法和椭圆曲线算法（EC）。
DH算法一般用户密钥交换。
RSA算法既可以用于密钥交换，也可以用于数字签名。
DSA算法则一般只用于数字签名。

2.3.信息摘要算法
OpenSSL实现了5种信息摘要算法，分别是MD2、MD5、MDC2、SHA（SHA1）和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法，此外，OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。

2.4.密钥和证书管理 
密钥和证书管理是PKI的一个重要组成部分，OpenSSL为之提供了丰富的功能，支持多种标准。
首先，OpenSSL实现了ASN.1的证书和密钥相关标准，提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序，同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能，使得密钥可以安全地进行存储和分发。
在此基础上，OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库，支持证书的管理功能，包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。
OpenSSL提供的CA应用程序就是一个小型的证书管理中心（CA），实现了证书签发的整个流程和证书管理的大部分机制。

2.5.SSL和TLS协议
OpenSSL实现了SSL协议的SSLv2和SSLv3，支持了其中绝大部分算法协议。OpenSSL也实现了TLSv1.0，TLS是SSLv3的标准化版，虽然区别不大，但毕竟有很多细节不尽相同。
虽然已经有众多的软件实现了OpenSSL的功能，但是OpenSSL里面实现的SSL协议能够对SSL协议有一个更加清楚的认识，因为至少存在两点：一是OpenSSL实现的SSL协议是开放源代码的，可以追究SSL协议实现的每一个细节；二是OpenSSL实现的SSL协议是纯粹的SSL协议，没有跟其它协议（如HTTP）协议结合在一起，澄清了SSL协议的本来面目。

2.6.应用程序
OpenSSL的应用程序已经成为了OpenSSL重要的一个组成部分，其重要性恐怕是OpenSSL的开发者开始没有想到的。现在OpenSSL的应用中，很多都是基于OpenSSL的应用程序而不是其API的，如OpenCA，就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的，所以也是一些非常好的OpenSSL的API使用范例。
OpenSSL的应用程序提供了相对全面的功能，在相当多的人看来，OpenSSL已经为自己做好了一切，不需要再做更多的开发工作了，所以，他们也把这些应用程序成为OpenSSL的指令。OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试以及其它辅助配置功能。

2.7.Engine机制
Engine机制的出现是在OpenSSL的0.9.6版的事情，开始的时候是将普通版本跟支持Engine的版本分开的，到了OpenSSL的0.9.7版，Engine机制集成到了OpenSSL的内核中，成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的，这使得OpenSSL已经不仅仅使一个加密库，而是提供了一个通用地加密接口，能够与绝大部分加密库或者加密设备协调工作。当然，要使特定加密库或加密设备更OpenSSL协调工作，需要写少量的接口代码，但是这样的工作量并不大，虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。目前，OpenSSL的0.9.7版本支持的内嵌第三方加密设备有8种，包括：CryptoSwift、nCipher、Atalla、Nuron、UBSEC、Aep、SureWare以及IBM 4758 CCA的硬件加密设备。现在还出现了支持PKCS#11接口的Engine接口，支持微软CryptoAPI的接口也有人进行开发。当然，所有上述Engine接口支持不一定很全面，比如，可能支持其中一两种公开密钥算法。

2.8.辅助功能
BIO机制是OpenSSL提供的一种高层IO接口，该接口封装了几乎所有类型的IO接口，如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高，OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能，如从口令生成密钥的API，证书签发和管理中的配置文件机制等等。

3、SSL介绍

SSL是Secure Sockets Layer（安全套接层协议）的缩写，可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时，提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为Internet上保密通讯的工业标准。
SSL能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。

4、OpenSSL心脏出血漏洞Heartbleed

OpenSSL的代码中存在一个漏洞，可这个漏洞可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息，及其各自传输数据。这个可怕的64K，可以直接看到password也就是用户的密码。我们知道服务器上一般是不会存用户的明文密码的，都是通过把密码经过加密转存在服务器，而且这些加密都是不可逆的，也就是说除了你，没有人知道你的密码，按照这个思维网络是比较安全的，可是在传输数据的时候https使用OpenSSL就会出现上面的情况，就是在处理数据的64K的内存会爆出漏洞，而攻击者就是直接读取64K的数据。heartbleed漏洞介绍

什么是heartbleed漏洞？大家从不同的渠道可能都已经有所了解了，但是本文还是需要再简要的描述一下，以帮助大家更好的理解这个漏洞。当使用基于openssl通信的双方建立安全连接后，客户端需要不断的发送心跳信息到服务器，以确保服务器是可用的。

基本的流程是：客户端发送一段固定长度的字符串到服务器，服务器接收后，返回该固定长度的字符串。比如客户端发送"hello,world"字符串到服务器，服务器接受后，原样返回"hello,world"字符串，这样客户端就会认为openssl服务器是可用的。

我们假设客户端发送的心跳信息结构体定义为：

struct hb {
int type;
int length;
unsigned char *data;
};
其中type为心跳的类型，length为data的大小，其中data的结构为type字段占一个字节，payload字段占两个字节，其余的为payload的具体内容，具体的结构信息如下所示：

字节序号 备注

0 type

1-2 data中具体的内容的大小为payload

3-len 具体的内容pl

当服务器收到消息后，会对该消息进行解析，也就是对data中的字符串进行解析，通过解析第0位得到type，第1-2位得到payload，接着申请(1+2+payload)大小的内存，然后再将相应的数据拷贝到该新申请的内存中。

以下举个简单的示例来说明该问题，假如客户端发送的data数据为"006abcdef"，那么服务器端解析可以得到type=0, payload=06, pl='abcdef'，申请(1+2+6=9)大小的内存，然后再将type, payload, pl写到新申请的内存中。

如果大家都是老实人，那么上述流程不会出现任何问题。可是世界上总是存在着那么多不“安分”的人，他们会非常的不诚实，比如客户端发送的字符串“abcdef”明明只有6个，而我非得把payload设置为500，如果服务器傻不拉几的不做任何边界检查，直接申请(1+2+500)大小内存，而且更过分的是还把"abcdef********"所有的内容拷贝到新申请的内存处，并发回给客户端。

这样那些不安分的人就获得了服务器上很多非常敏感的信息，这些信息可能包括银行帐号信息，电子交易信息等等诸多安全信息。

至此，您可能对heartbleed漏洞有了一些初步的了解了，接下来我们看看它的源码长什么样子的。

heartbleed漏洞源码分析

上面我们已经简单的描述了heartbleed漏洞，您应该已经有了一个初步的了解了，接下来我们具体的来看一看openssl的heartbleed漏洞是什么样的。

我们直接来看一下他们最近修复提交的代码和之前代码的区别在什么地方就可以了。

--- a/ssl/d1_both.c+++ b/ssl/d1_both.c@@ -1459,26 +1459,36 @@ dtls1_process_heartbeat(SSL *s)unsigned int payload;unsigned int padding = 16; /* Use minimum padding */- /* Read type and payload length first */- hbtype = *p++;- n2s(p, payload);- pl = p;-if (s->msg_callback)s->msg_callback(0, s->version, TLS1_RT_HEARTBEAT,&s->s3->rrec.data[0], s->s3->rrec.length,s, s->msg_callback_arg);+ /* Read type and payload length first */+ if (1 + 2 + 16 > s->s3->rrec.length)+ return 0; /* silently discard */+ hbtype = *p++;+ n2s(p, payload);+ if (1 + 2 + payload + 16 > s->s3->rrec.length)+ return 0; /* silently discard per RFC 6520 sec. 4 */+ pl = p;+if (hbtype == TLS1_HB_REQUEST){unsigned char *buffer, *bp;+ unsigned int write_length = 1 /* heartbeat type */ ++ 2 /* heartbeat length */ ++ payload + padding;int r;+ if (write_length > SSL3_RT_MAX_PLAIN_LENGTH)+ return 0;+/* Allocate memory for the response, size is 1 byte* message type, plus 2 bytes payload length, plus* payload, plus padding*/- buffer = OPENSSL_malloc(1 + 2 + payload + padding);+ buffer = OPENSSL_malloc(write_length);bp = buffer;/* Enter response type, length and copy payload */@@ -1489,11 +1499,11 @@ dtls1_process_heartbeat(SSL *s)/* Random padding */RAND_pseudo_bytes(bp, padding);- r = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, 3 + payload + padding);+ r = dtls1_write_bytes(s, TLS1_RT_HEARTBEAT, buffer, write_length);if (r >= 0 && s->msg_callback)s->msg_callback(1, s->version, TLS1_RT_HEARTBEAT,- buffer, 3 + payload + padding,+ buffer, write_length,s, s->msg_callback_arg);OPENSSL_free(buffer);从上面的差异我们可以看到，服务器处理心跳原来的方式是首先直接解析type和payload，什么都不做任何的检查。unsigned int payload;unsigned int padding = 16; /* Use minimum padding */- /* Read type and payload length first */- hbtype = *p++;- n2s(p, payload);- pl = p;-

接下来我们再看看修复之后他们是如何处理的：

我们之前介绍的示例代码和openssl的代码的data数据格式有一点差别就是openssl的data进行了16字节的数据对齐，其他格式一致。示例代码是为了让大家更好的理解原理，所以很多细节的东西就没有添加，避免由于复杂度过高而不易理解。

接下来我们来看一下openssl添加的两个最重要的判断条件：

if (1 + 2 + 16 > s->s3->rrec.length)
return 0; /* silently discard */
这个判断的目的是为了避免data的length为0这一特殊情况的处理；

if (1 + 2 + payload + 16 > s->s3->rrec.length)
return 0; /* silently discard per RFC 6520 sec. 4 */
从这个判断条件我们可以看出，对payload的大小做了检查，如果超出了length就表示你可能是恶意攻击，直接返回0。

结论

从openssl的heartbleed漏洞我们可以看出，尽管已经被大家广泛使用的openssl技术，且应用于很多金融领域，但是这里面依然存在着很多致命的漏洞。从上面的分析，您或许可以得出为什么这次的漏洞会叫heartbleed漏洞了，确实太heart bleed了。

如果大家对openssl感兴趣的话，后续博文将继续深入分析其具体实现。