(二)wireguard-tools源码解读之genkey_main

最新推荐文章于 2024-05-13 06:38:51 发布
最新推荐文章于 2024-05-13 06:38:51 发布
阅读量908 收藏 3
点赞数
文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/laobeng/article/details/124797887
版权
文章详细介绍了如何使用genkey_main模块生成用户私钥和预共享密钥,涉及Base64编码和Curve25519算法。通过调用getrandom_bytes获取随机数,再经curve25519_clamp_secret处理生成私钥,最后通过key_to_base64将密钥转换为Base64字符串。此外,还阐述了Base64编码的基本原理和Curve25519的用途。
摘要由CSDN通过智能技术生成

文章目录

前言

genkey_main模块,主要用于生成用户私钥和预共享密钥。
启动wg genkey 和 wk genpsk ,都是调用该模块。

源码详解

int genkey_main(int argc, const char *argv[])
{
	/*
	key(是32个单字节编码的字符数组
	*/
	uint8_t key[WG_KEY_LEN];
	/*
	把原始key转换成base64编码的字符串,所以需要在数组最后面加上'/0',长度成了44+1=45.
	*/
	char base64[((((WG_KEY_LEN) + 2) / 3) * 4 + 1)];
	struct stat stat;

	if (argc != 1) {
		fprintf(stderr, "Usage: %s %s\n", PROG_NAME, argv[0]);
		return 1;
	}
    /*
	标准C函数
	struct stat,是一个保存文件状态信息的结构体.
	文件操作权限的检查。可以Linux 文件操作的C函数库。
	*/
	if (!fstat(STDOUT_FILENO, &stat) && S_ISREG(stat.st_mode) && stat.st_mode & S_IRWXO)
		fputs("Warning: writing to world accessible file.\nConsider setting the umask to 077 and trying again.\n", stderr);

    /*
    如下是调用系统函数__NR_getrandom,获取32字节随机数key
	*/
	if (!get_random_bytes(key, WG_KEY_LEN)) {
		perror("getrandom");
		return 1;
	}
	/*
	如果是生成私钥的指令,需要再将随机数key,转换成curve25519算法处理的key
	如果是生成预共享密钥额指令,就不执行curve25519
	*/
	if (!strcmp(argv[0], "genkey"))
		curve25519_clamp_secret(key);
	/*
	将key编码成base64,函数调用见以下的代码
	*/
	key_to_base64(base64, key);
	puts(base64);
	return 0;
}

调用函数

void key_to_base64(char base64[static WG_KEY_LEN_BASE64], const uint8_t key[static WG_KEY_LEN])
{
	unsigned int i;

	for (i = 0; i < WG_KEY_LEN / 3; ++i)
		encode_base64(&base64[i * 4], &key[i * 3]);
	encode_base64(&base64[i * 4], (const uint8_t[]){ key[i * 3 + 0], key[i * 3 + 1], 0 });
	/*
	根据base64的编码规则,32位的原始数据,不是3的整数倍,需要填补一个字节位,这个位置编码为“=”;
	也就是base64数字的倒数第二位置,最后补上字符串结尾字符'\0'.
	*/
	base64[WG_KEY_LEN_BASE64 - 2] = '=';
	base64[WG_KEY_LEN_BASE64 - 1] = '\0';
}

备注(1)Base64

1.算法介绍

Base64是一种转换算法,常用于网络传输编码用。要求把3个8位字节(38=24)转化为4个6位的字节(46=24)。
先将三个byte(1byte=8bit)的数据转换为ASCII码二进制值,按序放入一个24bit的缓冲区中。

每次取出6个bit,按照其索引值选择ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/

为了保证所输出的编码位可读字符,Base64制定了一个编码表,以便进行统一转换。编码表的大小为2^6=64,这也是Base64名称的由来。
在这里插入图片描述

2.举例说明

举个例子:

在这里插入图片描述
但是转换到最后你发现不够三个字节了怎么办呢?愿望终于实现了,我们可以用两 个Base64来表示一个字符或用三个Base64表示两个字符,像下图的A对应的第二个Base64的二进制位只有两个,把后边的四个补0就是了。所以 A对应的Base64字符就是QQ。原则是Base64字符的最小单位是四个字符一组,那这才两个字符,后边补两个"=“吧。其实不用”=“也不耽误解码,之所以用”=",可能是考虑到多段编码后的Base64字符串拼起来也不会引起混淆。由此可见 Base64字符串只可能最后出现一个或两个"=",中间是不可能出现"="的。下图中字符"BC"的编码过程也是一样的。

在这里插入图片描述
在这里插入图片描述

备注(2)Curve 25519

1. 算法简介

Curve25519 是Diffie-Hellman函数,由Daniel J. Bernstein教授设计。

(1) 给定一个用户的32字节私钥(通常通过随机数,再进行变换的方式获得),curve25519计算该私钥对应的公钥(32字节)。
(2) 给定该用户的32字节私钥和其他用户的32字节公钥,curve25519计算出一个32字节的共享密钥供这两个用户使用。然后可以使用这个密钥对两个用户进行身份验证和信息加密。

2.算法使用

更多关于Curve25519的介绍和用法,可参考https://cr.yp.to/ecdh.html
这个地方都是比较老的内容,但是易于大家理解。

laobeng
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
wireguard.tar.gz
04-27
KoolShare-LEDE-酷软中心-缺失的插件之wireguard.tar.gz,直接在酷软中心进行离线安装即可!
qubes-wireguard
03-16
描述 Qubes OS中Fedora 33模板的Wireguard配置脚本,其在dom0中至少运行内核5.4。 设置完成后,您将具有以下优势: 可重用的线卫模板 由wg-quick管理的Wireguard VPN,在启动时自动启动 正确配置的防火墙仅将流量转发到VPN TCP MSS钳位,以避免在用作网络提供程序时出现MTU问题 通过Qubes的DNS DNAT规则处理的Wireguard DNS 可重复使用的线卫模板 首先将fedora 33模板克隆到例如fedora-33-wireguard 。 然后在此模板中安装Wireguard工具。 我还喜欢包括几个额外的工具,以使疑难解答更加容易。 sudo dnf install -y wireguard-tools tcpdump bind-utils bash-completion sudo rm -r /etc/wireguard
Wireguard握手交互代码分析
jacicson1987的专栏
11-17 2830
Wireguard握手交互代码分析 消息结构 握手请求消息 struct message_handshake_initiation { struct message_header header; // header里只有一个type, 发起0x01 __le32 sender_index; // Sender的标识,自定义。 u8 unencrypted_ephemeral[NOISE_PUBLIC_KEY_LEN]; // 本地临时公钥 // AEA.
WireGuard 组网教程:快速构建安全高效的私密网络并实现内网穿透_wire guard
最新发布
m0_54903333的博客
05-13 1572
WireGuard 的核心是一个称为加密密钥路由的概念,它的工作原理是将公钥与隧道内允许的隧道 IP 地址列表相关联。每个peer都有一个公钥。并不是特殊的节点,它和其他peer一样,唯一的区别是它有公网 IP,并且开启了内核级别的 IP 转发,可以将 威屁恩 的流量转发到其他客户端。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
wireguard-tools源码解读main
laobeng的专栏
05-13 1649
目录源码解读备注:函数指针 源码解读 // SPDX-License-Identifier: GPL-2.0 /* * Copyright (C) 2015-2020 Jason A. Donenfeld <Jason@zx2c4.com>. All Rights Reserved. */ #include <stddef.h> #include <stdio.h> #include <string.h> #include "subcommands.
wireguard-tools源码解读之pubkey_main
laobeng的专栏
05-16 794
目录前言一、动手操作、代码解读 前言 基于私钥生成公钥的模块 一、动手操作 1、生成私钥 wg genkey > privatekey GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 2、生成公钥 wg pubkey 输入:GOhFlzedvzYljeCIlbYLHiEVJqcfn4Oy1wiwDKE3YW0= 按CTRL+D,把私钥输入进去。 或者cat privatekey | wg pubkey 或者echo GOhFlzedvzYljeCIlbY
DH、DHE、ECDHE加密算法
迷雾总会解
09-12 4554
于是,DH 交换密钥时就只有客户端的公钥是变化,而服务端公钥是不变的,那么随着时间延长,黑客就会截获海量的密钥协商过程的数据,因为密钥协商的过程有些数据是公开的,黑客就可以依据这些数据暴力破解出服务器的私钥,然后就可以计算出会话密钥了,于是之前截获的加密数据会被破解,所以 static DH 算法不具备前向安全性。但反过来,知道真数却很难推算出对数。static DH 算法里有一方的私钥是静态的,也就说每次密钥协商的时候有一方的私钥都是一样的,一般是服务器方固定,即 a 不变,客户端的私钥则是随机生成的。
wireguard-go-docker:Wireguard Docker映像
05-03
docker run --rm -i masipcat/wireguard-go wg genkey > privatekey # Generate publickey from privatekey docker run --rm -i masipcat/wireguard-go wg pubkey < privatekey> publickey 运行服务器 码头工人 ...
wireguard-role
05-05
Wireguard专用网络的多用例角色灵活安装wireguard专用网络: 单个或多个中继服务器可以使用ansible或作为外部客户端配置文件来配置多个客户端可以多次使用,以在不同的重叠机器组上创建多个Wireguard接口用例去做...
Protel2004_SP3-SP4_Genkey
04-28
这个名为"Protel2004_SP3-SP4_Genkey"的压缩包包含了一个关键生成器,用于激活Protel2004的Service Pack 3 (SP3) 至 Service Pack 4 (SP4) 的版本。Genkey工具通常是用来生成软件序列号或者激活码,以解锁软件的全部...
Protel2004_sp2_Genkey_37@106380.exe
04-20
先退出运行的DXP.exe和DXPSecurityService.exe,把Protel2004_sp2_Genkey.exe放入目录 下运行并选择单机版或网络版的SerialNumber,点击注册生成!
dynamix.wireguard
02-11
dynamix.wireguard Dynamix WireGuard允许使用WireGuard作为底层应用程序配置VPN隧道。
WireGuardServer:WireGuard构造,全部保持替换设置,不做特殊修改
02-17
WireGuard服务器 警告 :warning: :此技术仅限用于个人构建游戏加速器使用!!!如果使用其他违法目的,后果自负!!! WireGuard构建(全部从官方源下载附件,不做拦截规则等配置,交替打开谷歌原版BBR) 国内服务器直接运行(仅支持CentOS7): yum install -y gcc wget && curl https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/hosts > /etc/hosts && wget https://cdn.jsdelivr.net/gh/HXHGTS/WireGuardServer/WireGuard.c -O WireGuard.c && chmod +x WireGuard.c && gcc -o WireGuard WireGuard.c && chmod +x WireGuard && .
wireguard-go:仅镜像。 官方存储库位于https://git.zx2c4.comwireguard-go
02-10
实施 这是Go中WireGuard的实现。 用法 大多数Linux内核WireGuard用户习惯于使用ip link add wg0 type wireguard接口。 使用wireguard-go,只需运行: $ wireguard-go wg0 这将创建一个界面并派生到后台。 要删除接口,请使用常用的ip link del wg0 ,或者,如果系统不支持直接删除接口,则可以通过rm -f /var/run/wireguard/wg0.sock删除控制套接字。护线板关闭。 要在不分叉后台的情况下运行wireguard-go,请传递-f或--foreground : $ wireguard-go -f wg0 当接口运行时,您可以使用以及常规的ip(8)和ifconfig(8)命令对其进行配置。 要运行更多日志记录,可以设置环境变量LOG_LEVEL=debug 。 平台类 Li
wireguard-yaml
03-12
Wireguard-Yaml 要求: Python3 设置 转到文件夹 virtualenv venv pip3 install --editable . . venv/bin/activate 打开脚本,修改硬编码的API密钥(TODO :) 用法 wireguard 还要检查wireguard --help以获取选项列表
wireguard_config_maker:简单的Java程序可创建Wireguard客户端配置文件
05-16
Wireguard Config Maker 我之所以使用Java,是因为不同操作系统之间具有可移植性,因此任何人都可以自由地使用不同的平台来构建类似的东西。 当前仅支持ipv4地址。 用于创建wireguard客户端配置文件的简单Java程序。 您需要在OS上安装Java才能使用该程序。 您可以将生成的配置文件与官方的wireguard客户端一起使用。 指示 不同字段的说明。 服务器端点 您服务器的公共IP。 服务器端口 应该与wireguard配置文件中提到的端口相同。 服务器公钥 在此处输入服务器的公共密钥。 要查看它,请在服务器上的/ etc / wireguard文件夹(或放置wireguard密钥的任何位置)中运行cat publickey 。 客户端子网 您的客户端的IP(应为Wireguard子网IP的子网),在IP后面放置/ 32。 域名解析 您选择的任何Dns(如果
Protel2004_sp2_Genkey.rar
07-06
仅供学习,侵权删除,Protel2004_sp2_Genkey.rarProtel2004_sp2_Genkey.rarProtel2004_sp2_Genkey.rar
wireguard-configure:Wireguard的命令行配置管理
04-27
线卫配置 wireguard-configure是一个命令行实用程序,可帮助管理Wireguard配置。 它假定一个基本设置,其中一个节点充当“路由器”,并且有多个客户端在中央路由器节点之间连接和路由通信。 它允许您生成和转储Wireguard配置以及bash脚本,这些脚本还配置接口和路由。 您必须具有可通过路径访问的命令行工具wg 。 这用于自动生成专用/公用线卫密钥。 配置存储在yaml中,可以从命令行修改,也可以直接在yaml文件中进行修改。 $ wireguard-configure --help wireguard-configure 0.0.1 Alex Eubanks <endeavor> Simple wireguard configuration USAGE: wireguard-configure [FLAGS]
wireguard-windows:用于Perimeter81的Wireguard Config Generator
02-24
适用于Windows的Perimeter81 Wireguard Config Generator 如果客户选择使用Windows机器作为其Wireguard连接器,wireguard配置生成器将帮助构建所需的配置文件以方便导入,并且还将确保在Windows中启用了IP转发。 当前仅在Windows 10 1909上进行了测试 注意:此脚本需要Windows注册表访问权限才能启用IP转发(IPEnableRouter注册表项)。 需要重启 1.下载并安装适用于Windows的Wireguard 或在此存储库中使用随附的wireguard-installer.exe,但是它可能不是最新版本 2.从工作空间获取配置文件: 单击您的线卫隧道,转到“配置” 仅将https链接部分复制到剪贴板(“ curl -s”之后和“ | sudo bash”之前的所有内容) 将其粘贴到Web浏览器中
转python写法:#!/bin/sh time_stamp=`date +%s` function CheckStop() { if [ $? -ne 0 ]; then echo "execute fail, error on line_no:"$1" exit!!!" exit fi } function GenEcdsaKey() { ec_param_file_path="/tmp/ec_param.pem."$time_stamp openssl ecparam -out $ec_param_file_path -name prime256v1 -genkey CheckStop $LINENO openssl genpkey -paramfile $ec_param_file_path -out $1 CheckStop $LINENO openssl pkey -in $1 -inform PEM -out $2 -outform PEM -pubout CheckStop $LINENO rm $ec_param_file_path echo "gen_ecdsa_key succ prikey_path:"$1" pubkey_path:"$2 } function GenEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl pkeyutl -sign -in $ec_sign_info_sha256 -out $ec_binary_sign_file -inkey $3 -keyform PEM CheckStop $LINENO openssl base64 -e -in $ec_binary_sign_file -out $4 CheckStop $LINENO rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file echo "gen_ecdsa_sign succ sign_file_path:"$4 } function VerifyEcdsaSign() { ec_sign_info_file="/tmp/ec_sign_info_file."$time_stamp ec_sign_info_sha256="/tmp/ec_sign_info_sha256."$time_stamp ec_binary_sign_file="/tmp/ec_binary_sign_file."$time_stamp echo -n "$1"_"$2" > $ec_sign_info_file openssl dgst -sha256 -binary -out $ec_sign_info_sha256 $ec_sign_info_file CheckStop $LINENO openssl base64 -d -in $4 -out $ec_binary_sign_file CheckStop $LINENO openssl pkeyutl -verify -in $ec_sign_info_sha256 -sigfile $ec_binary_sign_file -pubin -inkey $3 -keyform PEM rm $ec_sign_info_file $ec_sign_info_sha256 $ec_binary_sign_file } function Usage() { echo "Usage:" echo "mmiot_ecdsa_sign.sh gen_ecdsa_key <private_key_file_path> <public_key_file_path>" echo "mmiot_ecdsa_sign.sh gen_ecdsa_sign <product_id> <sn> <private_
05-31
以下是转换后的 Python 代码: ```python #!/usr/bin/env python import os import subprocess import base64 time_stamp = str(int(time.time())) def check_stop(line_no, ret): if ret != 0: print("execute fail, error on line_no: ", line_no, " exit!!!") exit() def gen_ecdsa_key(private_key_file_path, public_key_file_path): ec_param_file_path = "/tmp/ec_param.pem." + time_stamp ret = subprocess.call(["openssl", "ecparam", "-out", ec_param_file_path, "-name", "prime256v1", "-genkey"]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "genpkey", "-paramfile", ec_param_file_path, "-out", private_key_file_path]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkey", "-in", private_key_file_path, "-inform", "PEM", "-out", public_key_file_path, "-outform", "PEM", "-pubout"]) check_stop(sys._getframe().f_lineno, ret) os.remove(ec_param_file_path) print("gen_ecdsa_key succ prikey_path:", private_key_file_path, " pubkey_path:", public_key_file_path) def gen_ecdsa_sign(product_id, sn, private_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) ret = subprocess.call(["openssl", "pkeyutl", "-sign", "-in", ec_sign_info_sha256, "-out", ec_binary_sign_file, "-inkey", private_key_file_path, "-keyform", "PEM"]) check_stop(sys._getframe().f_lineno, ret) with open(ec_binary_sign_file, 'rb') as f: sign_binary = f.read() sign_base64 = base64.b64encode(sign_binary).decode() with open(sign_file_path, 'w') as f: f.write(sign_base64) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("gen_ecdsa_sign succ sign_file_path:", sign_file_path) def verify_ecdsa_sign(product_id, sn, public_key_file_path, sign_file_path): ec_sign_info_file = "/tmp/ec_sign_info_file." + time_stamp ec_sign_info_sha256 = "/tmp/ec_sign_info_sha256." + time_stamp ec_binary_sign_file = "/tmp/ec_binary_sign_file." + time_stamp with open(ec_sign_info_file, 'w') as f: f.write(product_id + "_" + sn) ret = subprocess.call(["openssl", "dgst", "-sha256", "-binary", "-out", ec_sign_info_sha256, ec_sign_info_file]) check_stop(sys._getframe().f_lineno, ret) with open(sign_file_path, 'r') as f: sign_base64 = f.read() sign_binary = base64.b64decode(sign_base64) with open(ec_binary_sign_file, 'wb') as f: f.write(sign_binary) ret = subprocess.call(["openssl", "pkeyutl", "-verify", "-in", ec_sign_info_sha256, "-sigfile", ec_binary_sign_file, "-pubin", "-inkey", public_key_file_path, "-keyform", "PEM"]) os.remove(ec_sign_info_file) os.remove(ec_sign_info_sha256) os.remove(ec_binary_sign_file) print("verify_ecdsa_sign result:", "succ" if ret == 0 else "fail") if len(sys.argv) < 2: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") exit() if sys.argv[1] == "gen_ecdsa_key": gen_ecdsa_key(sys.argv[2], sys.argv[3]) elif sys.argv[1] == "gen_ecdsa_sign": gen_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) elif sys.argv[1] == "verify_ecdsa_sign": verify_ecdsa_sign(sys.argv[2], sys.argv[3], sys.argv[4], sys.argv[5]) else: print("Usage:") print("python mmiot_ecdsa_sign.py gen_ecdsa_key <private_key_file_path> <public_key_file_path>") print("python mmiot_ecdsa_sign.py gen_ecdsa_sign <product_id> <sn> <private_key_file_path> <sign_file_path>") print("python mmiot_ecdsa_sign.py verify_ecdsa_sign <product_id> <sn> <public_key_file_path> <sign_file_path>") ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值