本节将对OpenSSL的结构、功能以及在Windows平台、Linux平台下的编译安装做一个简单的介绍。
OpenSSL---简介
OpenSSL是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有:SSL协议实现(包括SSLv2、SSLv3和TLSv1)、大量软算法(对称/非对称/摘要)、大数运算、非对称算法密钥生成、ASN.1编解码库、证书请求(PKCS10)编解码、数字证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和PKCS12个人数字证书格式实现等功能。
OpenSSL采用C语言作为开发语言,这使得它具有优秀的跨平台性能。OpenSSL支持Linux、UNIX、windows、Mac等平台。OpenSSL目前最新的版本是openssl-1.0.0e;
OpenSSL---结构
第一次从openssl的官方网站下载了OPenSSL压缩包并解压到硬盘时,面对OpenSSL目录里面的众多目录和文件,感觉是一头雾水,不知从何下手。本节将对OpenSSL的这些目录结构做个大概介绍,对于了解OpenSSL做个基础。
OpenSSL---总体结构
Openssl软件包大体可以分为3个模块:密码算法库、SSL协议库以及应用程序。
Openssl的根目录下有许多文件,这些文件包含Openssl各个平台下的编译安装的说明文档、编译安装的配置文件以及Openssl本身版本变化的说明文档。例如以INSTALL*开头的都是基于不同平台的安装编译说明文件。格式为:INSTALL.平台。平台说明见图1-1。
图1-1 Openssl安装说明文件和相应的平台
在Openssl中有一些目录不是很重要。例如MacOS、Netware、ms、os2、VMS这几个目录,是不同的平台编译时候的环境变量配置文件。在安装编译完成后,这几个目录就失效了。Bugs、certs、perl、shlib、times、tools、utils目录是一些辅助的目录,对实际学习OpenSSL是没有多大作用的,所以不用详细去研究它们。
Crypto目录是OpenSSL所有加密算法源码文件和一些PKI相关标准源码存放的目录(如X509源码文件)。包含了OpenSSL密码算法库的所有内容。是OpenSSL中最重要的目录。
SSL目录存放了SSL协议各个版本的实现源码(SSL2.0、SSL3.0)以及TLS1.0的协议源码文件。包含了OpenSSL协议库的所有内容。
Doc目录是OpenSSL使用的说明文档存放的目录。包含三个部分:应用程序说明文档、加密算法库API说明文档以及SSL协议API说明文档。
APPs目录存放了OpenSSL所有应用程序的源代码文件。即OpenSSL中的各个命令的实现代码。
Demos目录OPenSSL应用的实例。主要由一些openSSL的爱好者写的应用实例的例子,在刚开始学习之前,可以研究研究。
Include目录存放了使用OpenSSL的库进行编程的时候可能需要使用到的一些头文件。
test目录存放了OpenSSL自身功能测试程序的源码文件。
如果在windows平台编译成功后,会增加三个目录:inc32、outdll32以及tmp32dll。inc32存放windows平台下使用OpenSSL进行编程要包含的头文件;outdll32存放了OpenSSL编译成功后的可执行应用程序、链接库LIB文件和动态DLL文件;tmp32dll则是在编译过程中存放OBJ等临时文件的目录;
OpenSSL---算法目录
OpenSSL算法目录Crypto目录包含了OpenSSL密码算法库的所有源代码实现文件,是OpenSSL中最重要的目录之一。OpenSSL的密码算法库包含了OpenSSL中所有密码算法、密钥管理和证书管理相关标准的实现。Crypto目录不仅仅包含了密码算法和标准的实现,还包含了OpenSSL本身的一些相关功能文件,例如BIO、EVP等;
图1-2(Crypto子目录)列出了Crypto目录主要子目录的功能以及简单说明
在Crypto根目录下还有一些文件,也是密码算法库的组成部分之一,由于不是很重要的部分,这里就不在一一介绍了。对OpenSSL提供的密码算法大概总结了一下:对称加密算法8种,非对称加密算法4中,信息摘要算法6种。
OpenSSL---文档目录
简单来说,OpenSSL文档目录doc提供的文档并不全面,并没有随着版本的更新而更新,但对刚刚接触OpenSSL的偏移来说,是个值得留念的地方,能够解决很多问题。
OpenSSL的文档使用Perl文档格式来保存,为.pod文件。在windows下,阅读文档可能有点困难,因为用写字板或者其它阅读器打开这些文档会显得格式非常凌乱。可以使用Perl工具pod2text或者pod2html命令将文档转换成txt文本格式或者html格式以方便阅读。
OpenSSL的文档分为三部分:应用程序说明文档(apps目录)、密码算法库API文档(crypto目录)以及SSL协议库API目录(ssl目录)。应用程序说明文档目录包含了大部分应用程序的使用(即命令行)和参数说明,并有相关的实例说明。密码算法库API文档包含了部分的密码算法库API说明(不全面)。SSL协议库目录包含了实现SSL协议以及TLS协议的大部分API的说明。OpenSSL目录下还有一个HOWTO目录,主要内容是证书的一些说明。
OpenSSL的功能
作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
密码算法库
OpenSSL中密码算法库的功能非常强大,它实现了现在密码学大部分主流的密码算法和标准,主要包括公开密钥(非对称)算法、对称加密算法、信息摘要算法、X509数字证书标准、PKCS12个人信息交换语法标准、PKCS#7加密消息语法标准、OCSP在线证书状态查询协议、CRL证书吊销列表等标准。OpenSSL还提供了Engine机制,利用Engine可以将加密卡、key等外部硬件算法模块无缝集成到OpenSSL中。密码算法库在Windows平台下编译后其库文件为libeay32.lib(如果编译成动态库则为ibeay32.dll),在linux编译后其库文件名称为libcrypto.a。
对称加密算法
OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常用的分组密码加密模式。其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥3DES算法。
虽然每种对称加密算法都定义了自己的接口函数,但是在OpenSSL中还使用EVP封装了所有的对称加密算法,使得各种对称加密算法能够是用统一的API接口EVP_Encrypt和EVP_Decrypt进行数据的加密和解密,增加了代码的可重用性。
非对称加密算法
OpenSSL一共实现了4种非对称加密算法,包括DH算法、RSA算法、DSA算法和椭圆曲线算法(EC)。DH算法一般用户密钥交换。RSA算法既可以用于密钥交换,也可以用于数字签名,当然,如果你能够忍受其缓慢的速度,那么也可以用于数据加密。DSA算法则一般只用于数字签名。EC算法既可以用于数字签名(即椭圆曲线数字签名算法ECDSA),也可用于密码交换(椭圆曲线密钥交换算法ECDH)。
跟对称加密算法一样,OpenSSL也使用EVP封装了不同功能的非对称加密算法,提供了统一的API接口。如果使用非对称加密算法来进行数字签名,则使用EVP_Sign和EVP_Verify进行数字签名和验证;如果使用非对称加密算法来进行密钥加密和密钥交换,则使用EVP_Seal和EVP_Open进行加密和解密。
信息摘要算法
OpenSSL实现了6种信息摘要算法,分别是MD2、MD4、MD5、MDC2、SHA(SHA1)和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法,此外,OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。
同上面两种算法一样,OpenSSL也使用EVP封装了信息摘要算法,它的接口是EVP_Digest。与上面不同的是,信息摘要算法是不可逆的。
密钥和证书管理
密钥和证书管理是PKI的一个重要组成部分,OpenSSL为之提供了丰富的功能,支持多种标准。
首先,OpenSSL实现了ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。
在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。
事实上,OpenSSL提供的CA应用程序就是一个小型的证书管理中心(CA),实现了证书签发的整个流程和证书管理的大部分机制。
SSL协议
SSL协议完全实现和封装了SSL协议的3个版本(SSL1.0、SSL2.0 SSL3.0)和TLS协议TLS1.0。
SSL协议库是基于密码算法库的基础上实现的。利用该库,可以建立一个SSL通信服务器和客户端。该部分在Linux下编译后,文件名为libssl.a;在Windows下,则为ssleay.lib。(如果编译成动态库则为ssleay32.dll。)
虽然已经有众多的软件实现了OpenSSL的功能,但是OpenSSL里面实现的SSL协议能够让我们对SSL协议有一个更加清楚的认识,因为至少存在两点:一是OpenSSL实现的SSL协议是开放源代码的,我们可以追究SSL协议实现的每一个细节;二是OpenSSL实现的SSL协议是纯粹的SSL协议,没有跟其它协议(如HTTP)协议结合在一起,澄清了SSL协议的本来面目。
应用程序
OpenSSL的应用程序已经成为了OpenSSL重要的一个组成部分,其重要性恐怕是OpenSSL的开发者开始没有想到的。现在OpenSSL的应用中,很多都是基于OpenSSL的应用程序而不是其API的,如OpenCA,就是完全使用OpenSSL的应用程序实现的。OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的,所以也是一些非常好的OpenSSL的API使用范例,读懂所有这些范例,你对OpenSSL的API使用了解就比较全面了,当然,这也是一项锻炼你的意志力的工作。
OpenSSL的应用程序提供了相对全面的功能,在相当多的人看来,OpenSSL已经为自己做好了一切,不需要再做更多的开发工作了,所以,他们也把这些应用程序成为OpenSSL的指令。OpenSSL的应用程序主要包括密钥生成、证书管理、格式转换、数据加密和签名、SSL测试以及其它辅助配置功能。图1-3是OpenSSL常用的命令表。
图1-3 OpenSSL常用命令表
利用上面的命令可以完成很多操作。
Engine机制
Engine机制的出现是在OpenSSL的0.9.6版的事情,开始的时候是将普通版本跟支持Engine的版本分开的,到了OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。
Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSL的Engine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。
目前,OpenSSL的0.9.7及其以上的版本支持的内嵌第三方加密设备有8种,包括:CryptoSwift、nCipher、Atalla、Nuron、UBSEC、Aep、SureWare以及IBM 4758 CCA的硬件加密设备。现在还出现了支持PKCS#11接口的Engine接口,支持微软CryptoAPI的接口也有人进行开发。当然,所有上述Engine接口支持不一定很全面,比如,可能支持其中一两种公开密钥算法。图1-4是OpenSSL-0.9.7及其以上版本支持的硬件及其对应的简要描述名称,这个简要描述名称在很多时候是要使用的,如编程或执行命令的时候,简要密钥名称是大小写敏感的,目前一般都是采用小写字符。
图1-4 OpenSSL-0.9.7及其以上版本支持的硬件及其对应的简要描述名称
辅助功能
前面介绍了OpenSSL的大部分功能,如果你第一次接触OpenSSL而又对密码学技术有所了解,这些功能相信会让你激动不已,如果你愿意,OpenSSL其实还有一些能让你高兴的地方。
首先最值的一提的就是OpenSSL的BIO机制。BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。前面介绍的EVP封装也提高了OpenSSL代码的可重用性。
从前面应用程序的介绍就可以得知,OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提,OpenSSL给我提供了这么一个解决方案,虽然不一定在所有的应用中都能令人满意。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。
OpenSSL的优缺点
OpenSSL具有以下优点:
Ø 采用C语言开发,支持多种操作系统,可移植性好。
Ø 功能全面,支持大部分主流密码算法、相关标准协议和SSL协议。
Ø 开放源代码,应用者能很好的了解其算法的实现过程。
Ø 有应用程序(即OpenSSL指令),既可以直接使用,也可以进行二次开发。
Ø 免费使用,能够用于商业和非商业。
当然,OpenSSL也存在以下的缺点:
Ø 代码采用C语言开发,结构复杂庞大,向剥离部分功能比较困难。
Ø 文档不全面,增加了使用的困难性。