security_huks模块下hks_rkc.c代码评注第四部分

最新推荐文章于 2022-08-18 15:50:35 发布
最新推荐文章于 2022-08-18 15:50:35 发布
阅读量323 收藏
点赞数
分类专栏: security_huks OpenHarmony 文章标签: c语言 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HORHEART/article/details/119973450
版权

security_huks模块下hks_rkc.c代码评注第四部分

本篇概述

本篇是接着:

在讲解完密钥库文件的检查操作、密钥库文件中材料的生成相关操作和方法后,本篇将继续讲述hks_rkc.c代码中有关密钥获取以及写所有密钥库文件的部分内容。

代码框架

hks_rkc.c
├── get_related_key
│ └── hks_rkc_pbkdf2_hmac
│ └── hks_rkc_get_rmk_raw_key
│ └── hks_rkc_derive_rmk
├── write
│ └── hks_rkc_write_all_ksf

密钥获取部分

1. hks_rkc_pbkdf2_hmac

  • 函数功能:使用pbkdf2_hmac算法获取派生密钥
    root key component - calculate pbkdf2 hmac

  • 参数说明:hash算法、原始密钥、椒盐化、迭代次数、派生密钥
    parameter:
    hash_alg - [in] - hash algorithm.
    raw_key - [in] - raw key.
    salt - [in] - salt.
    iter_num - [in] - the number of iterater.
    dk - [in,out] - derived key.

  • 返回值:成功或错误代码
    return value:
    success or error code

为了掌握hks_rkc_pbkdf2_hmac函数中相关操作内容,我们需要关注一下几个重点内容:

  1. 有关mbedtls的相关定义及操作

  2. PBKDF2-HMAC算法

  3. mbedtls中预定义的mbedtls_pkcs5_pbkdf2_hmac函数

        int mbedtls_pkcs5_pbkdf2_hmac	(	
    mbedtls_md_context_t * 	ctx,
    const unsigned char * 	password,
    size_t 	plen,
    const unsigned char * 	salt,
    size_t 	slen,
    unsigned int 	iteration_count,
    uint32_t 	key_length,
    unsigned char * 	output 
    )

    PKCS#5 PBKDF2 using HMAC.

         Parameters  参数讲解:
     
     ctx				Generic HMAC context				通用HMAC上下文
     password			Password to use when generating key	生成密钥时使用的密码
     plen				Length of password					密钥长度
     salt				Salt to use when generating key		生成密钥使用的盐化量
     slen				Length of salt				 		盐化量长度
     iteration_count	Iteration count						迭代次数
     key_length	Length of generated key in bytes			生成密钥的存储长度
     
     output	Generated key. Must be at least as big as key_length
     输出:生成密钥
     
     Returns 返回值:
     0 on success, or a MBEDTLS_ERR_XXX code if verification fails.
     Definition at line 217 of file pkcs5.c.

详细代码及评注如下:

static int32_t hks_rkc_pbkdf2_hmac(uint32_t hash_alg,
    const struct hks_blob *raw_key, const struct hks_blob *salt,
    uint32_t iter_num, struct hks_blob *dk)
{
    //定义摘要算法类型变量
    mbedtls_md_type_t md_type;

    //此处我们只支持SHA256,检查传入参数hash_alg是否为SHA256,这代表了派生根主密钥使用的hash算法
    if (hash_alg == HKS_RKC_RMK_HMAC_SHA256) {
        md_type = MBEDTLS_MD_SHA256;
    } else {
        log_error("the hash algorithm(%u) is unsupported", hash_alg);
        return HKS_ERROR_NOT_SUPPORTED;
    }

    //初始化通用消息摘要上下文
    /* Initialize the generic message-digest context. */
    mbedtls_md_context_t sha_ctx;

    mbedtls_md_init(&sha_ctx);

    //通过hash算法来得到通用消息摘要上下文
    /* Get the generic message-digest context by hash algorithm. */
    const mbedtls_md_info_t *info_sha = mbedtls_md_info_from_type(md_type);

    if (info_sha == NULL) {
        log_error("info sha is invalid");
        return HKS_ERROR_INTERNAL_UNKOWN;
    }

    int32_t rc;

    do {
        //设置通用消息摘要上下文,简单理解成将info_sha的信息设置到sha_ctx通用消息摘要上下文地址下
        /* Setup the generic message-digest context. */
        rc = mbedtls_md_setup(&sha_ctx, info_sha,
            HKS_RKC_RMK_HMAC_FLAG);
        if (rc != HKS_SUCCESS) {
            log_error("setup mbedtls md fail,rc=%d", rc);
            break;
        }

        //利用PBKDF2-HMAC计算原始密钥rk的hash散列结果,结果存入派生密钥dk中
        /* PBKDF2-HMAC */
        rc = mbedtls_pkcs5_pbkdf2_hmac(&sha_ctx, raw_key->data,
            raw_key->size,
            salt->data, salt->size, iter_num, dk->size, dk->data);
        if (rc != HKS_SUCCESS) {
            log_error("mbedtls pbkdf2 hmac fail,rc=%d", rc);
            break;
        }
    } while (0);

    //释放通用信息摘要内容定义的空间
    /* Free the generic message-digest context. */
    mbedtls_md_free(&sha_ctx);
    if (rc != HKS_STATUS_OK)
        return HKS_ERROR_INTERNAL_UNKOWN;

    return HKS_STATUS_OK;
}

2. hks_rkc_get_rmk_raw_key

  • 函数功能:为根主密钥获取原始密钥
    root key component - get the raw key for derive root master key

  • 参数说明:为密钥库文件加载的数据、原始密钥(输出)
    parameter:
    ksf_data - [in] - the data which loaded from keystore file.
    raw_key - [out] - raw key

  • 返回值:成功或错误代码
    return value:
    success or error code

获取思路:用初始化材料与密钥库文件数据中的两个材料做异或,得到的结果即为原始密钥,并将其写入raw_key。
详细代码及评注如下:

static int32_t hks_rkc_get_rmk_raw_key(const struct hks_rkc_ksf_data *ksf_data,
    struct hks_blob *raw_key)
{
    //定义根密钥组件材料并初始化
    uint8_t material3[HKS_RKC_MATERIAL_LEN] = {0};

    //调用函数hks_rkc_get_fixed_material获取修复的材料
    /* Get the fixed material */
    int32_t rc = hks_rkc_get_fixed_material(material3, HKS_RKC_MATERIAL_LEN);

    if (rc != HKS_STATUS_OK)
        return rc;

    //材料之间按位做异或运算,得到的结果即为原始密钥
    /* materials xor */
    uint32_t i = 0;

    for (; i < HKS_RKC_MATERIAL_LEN; i++)
        raw_key->data[i] = (uint8_t)(ksf_data->rk_material1[i] ^
            ksf_data->rk_material2[i] ^ material3[i]);

    //附加硬件标识符,获取硬件唯一标识符存入原始密钥数据后,注意data的前HKS_RKC_MATERIAL_LEN位存的是异或后的材料
    /* append hardware UDID */
    rc = hks_get_hardware_udid(raw_key->data + HKS_RKC_MATERIAL_LEN,
        HKS_HARDWARE_UDID_LEN);
    if (rc != HKS_STATUS_OK)
        return rc;

    return HKS_STATUS_OK;
}

3. hks_rkc_derive_rmk

  • 函数功能:获取派生根主密钥
    root key component - derive root master key

  • 参数说明:为密钥库文件加载的数据、根主密钥(输出)、根主密钥长度
    parameter:
    ksf_data - [in] - the data which loaded from keystore file.
    rmk - [out] - root master key,
    使用后调用者必须清楚 it must be clear by caller after use.
    rmk_len - [in] - the length of root master key,
    它需要是64字节 it should be 64 bytes.

  • 返回值:成功或失败代码
    return value:
    success or error code

函数执行思路:
有密钥库文件数据ksf_data调用函数hks_rkc_get_rmk_raw_key,利用ksf_data中存储的密钥生成材料生成原始密钥raw_key,接着结合盐化量salt,通过调用函数hks_rkc_pbkdf2_hmac,经过pbkdf2_hmac算法生成派生密钥存入dk(derive key)中。
需要注意的是dk的定义为:struct hks_blob dk = { 0, rmk, rmk_len },本质上就是根主密钥rmk。
该函数的详细代码与评注如下:

static int32_t hks_rkc_derive_rmk(const struct hks_rkc_ksf_data *ksf_data,
    uint8_t *rmk, uint32_t rmk_len)
{
    //定义根密钥组件椒盐数据
    uint8_t salt_data[HKS_RKC_SALT_LEN] = {0};
    //将根密钥组件的密钥库文件数据中的根主密钥椒盐量ksf_data->rmk_salt复制到上面定义的椒盐数据变量salt_data中
    int32_t rc = memcpy_s(salt_data, HKS_RKC_SALT_LEN, ksf_data->rmk_salt,
        HKS_RKC_SALT_LEN);

    //判断系统状态是否成功生成了材料
    if (rc != HKS_STATUS_OK) {
        log_error("generate material fail,rc=%d", rc);
        return HKS_ERROR_INTERNAL_UNKOWN;
    }

    //定义并初始化派生密钥、椒盐、原始密钥数据
    struct hks_blob dk = { 0, rmk, rmk_len };//此处一旦dk确认,则rmk和rmk_len也随之确认,派生密钥即根主密钥信息
    struct hks_blob salt = { 0, salt_data, HKS_RKC_SALT_LEN };
    struct hks_blob raw_key;

    //初始化原始密钥raw_key,大小、类型、存储长度
    rc = hks_blob_init(&raw_key, sizeof(uint8_t), HKS_RKC_RAW_KEY_LEN,
        HKS_BLOB_TYPE_RAW);
    if (rc != HKS_STATUS_OK) {
        log_error("init raw key fail,rc=%d", rc);
        return rc;
    }

    do {
        //调用函数hks_rkc_get_rmk_raw_key(为根主密钥获取原始密钥函数)获取原始密钥
        /* get the raw key */
        rc = hks_rkc_get_rmk_raw_key(ksf_data, &raw_key);
        if (rc != HKS_STATUS_OK)
            break;

        //利用根主密钥的原始密钥raw_key结合PBKDF2-HMAC算法(调用函数hks_rkc_pbkdf2_hmac)获取派生根主密钥dk
        /* PBKDF2-HMAC */
        rc = hks_rkc_pbkdf2_hmac(ksf_data->rmk_hash_alg, &raw_key, &salt,
            ksf_data->rmk_iter, &dk);
        if (rc != HKS_STATUS_OK)
            break;
    } while (0);

    //释放空间(摧毁)原始密钥,以保证系统的安全
    hks_blob_destroy(&raw_key);

    return rc;
}

写所有密钥库文件

hks_rkc_write_all_ksf

  • 函数功能:写所有的密钥库文件
    root key component - write all keystore file

  • 参数说明:密钥库文件数据
    parameter:
    ksf_data - [in] - the data of keystore file.

  • 返回值:成功或错误代码
    return value:
    success or error code

此部分与文件服务hks_file.c部分相关,详细代码与评注如下:

static int32_t hks_rkc_write_all_ksf(const struct hks_rkc_ksf_data *ksf_data)
{
    //检查根密钥组件密钥库文件个数是否满足要求
    if (g_hks_rkc_cfg.ksf_attr.num > HKS_RKC_KSF_NUM) {
        log_error("invalid ksf num=%u", g_hks_rkc_cfg.ksf_attr.num);
        return HKS_ERROR_INTERNAL_UNKOWN;
    }

    uint32_t i = 0;
    int32_t rc;
    uint32_t success_num = 0;

    for (; i < g_hks_rkc_cfg.ksf_attr.num; ++i) {
        //跳过密钥库文件名为空的根密钥组件配置
        if (g_hks_rkc_cfg.ksf_attr.name[i] == NULL)
            continue;

        //调用写入密钥库文件函数,将ksf_data的数据写入密钥库文件名为g_hks_rkc_cfg.ksf_attr.name[i]的地址下
        rc = hks_rkc_write_ksf(g_hks_rkc_cfg.ksf_attr.name[i],
            ksf_data);
        //如果写入成功则进行计数
        if (rc != HKS_STATUS_OK)
            continue;
        ++success_num;
    }

    /* 如果所有密钥库文件写入失败,返回错误代码,否则,返回成功代码。
     * If all keystore file were wrotten fail, return error code,
     * otherwise, return success code.
     */
    //也就是说只要成功写入一个文件就返回成功
    if (success_num == 0)
        rc = HKS_ERROR_WRITE_FILE_FAIL;
    else
        rc = HKS_STATUS_OK;

    return rc;
}

本篇小结

本篇继续讲述了hks_rkc.c代码中有关密钥获取以及写所有密钥库文件的相关内容,下面将会继续更新有关密钥的加密以及密钥掩码的生成等相关函数,敬请期待。

心永向阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【鸿蒙OS开发入门】11 - 启动流程代码分析之第一个用户态进程:init 进程 之 Services简介
|~~~热爱生活、努力学习的小伙汁~~~|
12-23 1819
【鸿蒙OS开发入门】11 - 启动流程代码分析之第一个用户态进程:init 进程 之 Services详解
c++ ,java ,python实现同样的功能,速度大比拼
babytiger的专栏
11-13 734
测试是运行 pbkdf2_hmac_sha256进行加密100次,迭代参数5000 输入密码Aa123456 salt:cbc7c3050473db371bea7e27a2b8c60cb8f07f03a1638a7fdc67886430fe9b11 来统计耗时。结果都为 dd122685c81af9f6c2023fae613ad8a5763cd2923c727cd821e11bb975f7cd78 C++代码 #include <iostream> #include <..
HMAC_SHA1加密-PKCS5_PBKDF2_HMAC_SHA1的方法实现
zzzzzdddddxxxxx的专栏
10-11 6512
p5_crpt2.c   [plain text] /* p5_crpt2.c */ /* Written by Dr Stephen N Henson (shenson@bigfoot.com) for the OpenSSL * project 1999. */ /* ========================================================
iOS加密-AES-PKCS5_PBKDF2_HMAC_SHA1使用
pengyouyoupeng的博客
12-10 2671
1.公司要求实现AES加密算法,对于java,js及PHP,网上有现成的demo。唯独没有iOS的。气的一笔。没办法只能自己慢慢摸索了。 附上java及JS的实现地址 https://github.com/mpetersen/aes-example (开源项目) java部分代码: private static final int KEY_SIZE = 128;     p...
PC版微信数据库解密详细教程
Welcome to Garywang's IT BLOG.
09-29 2万+
转载自:https://bbs.pediy.com/thread-251303.htm,写得比较详细,未测试,备查! 在电子取证过程中,也会遇到提取PC版微信数据的情况,看雪、52破解和CSDN等网上的PC版微信数据库破解文章实在是太简略了,大多数只有结果没有过程。经过反复试验终于成功解密了数据库,现在把详细过程记录下来,希望大家不要继续在已经解决的问题上过度浪费时间,以便更投入地研究尚未解决的...
Mbedtls加密组件库使用
专注基础架构领域
10-26 6605
下载与安装 github的下载:https://github.com/ARMmbed/mbedtls 官网下载:https://tls.mbed.org mbedtls-2.6.0库我们要在工程中引用的目录有include,library和visualc这3文件夹: include: 库头文件所在 library:库源文件(.c)所在 visualc:工程文件所在,使用VS2010...
鸿蒙security-huks的层次分析-国家一级假勤奋大学生制作
最新发布
11-20
鸿蒙操作系统中的security_huks是其安全框架的重要组成部分,主要用于处理加密、解密、签名等安全相关的任务。本文将深入解析security_huks的各层次结构,帮助开发者理解和掌握其核心功能。 1. **frameworks层** -...
Hi3861_海思官方_安全模块使用指南1
08-04
【Hi3861安全模块使用指南】 本文档是针对Hi3861V100和Hi3861LV100芯片的安全模块使用的详细介绍,由上海海思技术有限公司编写并拥有版权。该指南旨在帮助技术支持工程师和软件开发工程师理解并有效利用安全模块的...
OpenHarmony代码仓分类统计表(包含代码量,子系统分类,gitee链接等统计项)
weixin_54516968的博客
08-18 1041
OpenHarmony代码统计
[HUKS]DtFuzz用例编写测试流程
qq_41568681的博客
06-15 2210
HUKS测试DTFuzz流程
mbedtls安装与入门
物联网 IoT 经验分享
05-28 3万+
本文讲介绍如何在Ubuntu/Debian/Raspbian主机上正确安装mbedtls
mbedtls学习笔记 AES GCM
weixin_43313383的博客
12-24 4354
AES-GCM算法简介 AES是一种对称加密算法,GCM是对该对称加密采用Counter模式,并带有GMAC消息认证码。 AES-GCM算法是带认证和加密的算法,同时可以对给定的原文,生成加密数据和认证码。参数如下: 1)带加密的原文、2)存储加密后密文、3)IV向量、4)生成的消息验证码tag、5)额外的消息认证数据aad,通信双方需要共享。 Ek 使用密钥k对输入做对称加密运算 ...
mbedtls学习(3)对称加密算法
jiang_2018的博客
11-17 3335
对称加密 使用相同密钥进行加密明文和解密密文的算法,有AES、DES、3DES,这些算法单次只能处理一个固定长度的数据。比如AES算法单次只能处理128bit数据,所以需要分组密码模式和填充方式处理 分组密码模式 ECB(Electronic Codebook)电子密码本模式 将明文进行分组加密,加密结果为密文分组,一个明文分组对应一个密文分组 CBC(cipher block chai...
基于mbedTLS算法库实现国密SM2签名和验签算法
詹天佐
04-25 6858
网上有大量的基于OpenSSL实现的国密算法库,比如著名的GmSSL,可以直接拿来用。我自己常用的是mbedTLS的算法库,比较小巧简单,在mbedTLS的大数算法的基础上实现了国密SM2的签名和验签算法。在基于mbedTLS实现SM2签名和验签算法的过程中走过一些弯路,现在把实现的过程记录下来备忘。国密SM2算法也是基于椭圆曲线公钥算法,椭圆曲线上的运算都是和国际算法一样的,国密SM2规范中给出...
mbedtls入门和使用
热门推荐
ccion的博客
03-20 5万+
1.mbedtls简介 ARM mbedtls使开发人员可以非常轻松地在(嵌入式产品中加入加密和 SSL/TLS 功能。它提供了具有直观的 API 和可读源代码的 SSL 库。该工具即开即用,可以在大部分系统上直接构建它,也可以手动选择和配置各项功能。 mbedtls 库提供了一组可单独使用和编译的加密组件,还可以使用单个配置头文件加入或排除这些组件。 从功能角...
python hashlib库(MD5,sha1,sha256,sha512,pbkdf2_hmac)用法及pbkdf2原理
桑凯旋的博客
12-06 6134
文章目录1 python hashlib 库1.1 md51.2 sha11.3 sha2561.4 sha5121.5 pbkdf2_hmac2 PBKDF2 函数原理2.1 PBKDF2 介绍2.2 PBKDF2 函数的定义2.3 PBKDF2 算法流程 1 python hashlib 库 Python 的 hashlib 提供了常见的摘要算法,如 MD5,SHA1 等等。摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串。 摘要函数是一个单向函数,通过摘要函数
mbedtls加密组件使用示例
@则强的博客
05-28 2144
目录1 mbedtls aes组件的使用1.1 AES ECB加解密接口使用1.2 AES ECB加解密接口使用 1 mbedtls aes组件的使用 1.1 AES ECB加解密接口使用 int main(int argc, char *argv[]) { char key[256]; char *inbuf = calloc(1, 257); char *outbuf = calloc(1, 257); char *buf = calloc(1,257); char *tmp_outbuf =
加盐密码哈希:如何正确使用
weixin_34014277的博客
03-19 2230
来源:http://blog.jobbole.com/61872/#csharp 本文由 伯乐在线 - 蒋生武 翻译自 Crackstation。欢迎加入技术翻译小组。转载请参见文章末尾处的要求。   如果你是Web开发者,你很可能需要开发一个用户账户系统。这个系统最重要的方面,就是怎样保护用户的密码。存放帐号的数据库经常成为入侵的目标,所以你必须做点什么来保护密码,以防网站被攻破时发生危险...
NDK编译mbedtls
wecode666
08-28 1861
LOCAL_PATH:=$(call my-dir) MY_CURRENT_PATH := $(LOCAL_PATH) $(info MY_CURRENT_PATH is = $(MY_CURRENT_PATH)) ######################################################################### libmbedx509 in...
mbedtls | 05 - 消息认证码的配置与使用(HMAC算法、GCM算法)
Mculover666的博客(嵌入式)
09-26 2612
mbedtls系列文章 mbedtls | 01 - 移植mbedtls库到STM32的两种方法 mbedtls | 02 - 伪随机数生成器(ctr_drbg)的配置与使用 mbedtls | 03 - 单向散列算法的配置与使用(MD5、SHA1、SHA256、SHA512) mbedtls | 04 - 对称加密算法的配置与使用(AES算法) Demo工程源码 https://github.com/Mculover666/mbedtls-study-demo 本工程基于STM32L41RCT6开
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值