Facebook开源Fizz - 快速安全的TLS 1.3工具

最新推荐文章于 2024-06-12 09:33:11 发布
最新推荐文章于 2024-06-12 09:33:11 发布
阅读量316 收藏
点赞数
文章标签: python
原文链接:https://my.oschina.net/u/1433482/blog/1926798
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Facebook开源Fizz - 快速安全的TLS 1.3工具

2018年8月7日,莫特·库马尔(Mohit Kumar)
 

Facebook开源了Fizz-a库,旨在帮助开发人员实施TLS 1.3协议。

自上个月以来,谷歌Chrome网络浏览器已开始将所有非HTTPS网站标记为“不安全”,以使网络更安全,迫使网站管理员切换到HTTPS。

TLS 1.3是运输层安全(TLS)的最新且最安全的加密协议,TLS是安全套接字层(SSL)的后继者,它加密客户端和服务器之间传输的数据,以防止数据被盗或被篡改。

为了使互联网流量更加安全,TLS 1.3集成了几项新功能,例如加密握手消息以保持证书私密,重新设计密钥的派生方式,以及零往返(0-RTT)连接设置,使某些请求比TLS1.2更快。

Fizz是用C ++ 14编写,可靠且高性能,支持所有主要的握手模式,强大的加密算法和性能优化,旨在以超过10%的速度安全地传输数据。

Facebook已经用Fizz取代了其旧的自定义协议,称为Zero协议,Fizz现在负责每天在Facebook上处理数万亿的连接。

Facebook表示:“在我们的移动应用程序,Proxygen,负载均衡器,内部服务,甚至我们的QUIC库mvfst中部署了Fizz和TLS 1.3。我们现在有超过50%的互联网流量通过TLS1.3保护“。

通过开源Fizz,Facebook正在与全世界分享这项技术,并帮助推动在互联网上部署最新的TLS 1.3协议,使应用和服务比以往更快,更安全。

Fizz 的github地址:https://github.com/facebookincubator/fizz

参考资料  

代码示例

/*
 *  Copyright (c) 2018-present, Facebook, Inc.
 *  All rights reserved.
 *
 *  This source code is licensed under the BSD-style license found in the
 *  LICENSE file in the root directory of this source tree.
 */

#include <fizz/crypto/openssl/OpenSSLKeyUtils.h>

#include <openssl/err.h>

namespace fizz {
namespace detail {

void validateECKey(const folly::ssl::EvpPkeyUniquePtr& key, int curveNid) {
  folly::ssl::EcKeyUniquePtr ecKey(EVP_PKEY_get1_EC_KEY(key.get()));
  if (!ecKey) {
    throw std::runtime_error("Wrong key type");
  }
  if (EC_KEY_check_key(ecKey.get()) != 1) {
    throw std::runtime_error("Private key not valid");
  }
  folly::ssl::EcGroupUniquePtr curve(EC_GROUP_new_by_curve_name(curveNid));
  if (!curve) {
    throw std::runtime_error("Failed to create curve");
  }
  auto keyGroup = EC_KEY_get0_group(ecKey.get());
  if (EC_GROUP_cmp(keyGroup, curve.get(), nullptr) != 0) {
    throw std::runtime_error("Invalid group");
  }
}

std::unique_ptr<folly::IOBuf> generateEvpSharedSecret(
    const folly::ssl::EvpPkeyUniquePtr& key,
    const folly::ssl::EvpPkeyUniquePtr& peerKey) {
  folly::ssl::EvpPkeyCtxUniquePtr ctx(EVP_PKEY_CTX_new(key.get(), nullptr));
  if (EVP_PKEY_derive_init(ctx.get()) != 1) {
    throw std::runtime_error("Initializing derive context failed");
  }
  // Start deriving the key.
  if (EVP_PKEY_derive_set_peer(ctx.get(), peerKey.get()) != 1) {
    throw std::runtime_error("Error setting peer key");
  }
  size_t secretLen = 0;
  if (EVP_PKEY_derive(ctx.get(), nullptr, &secretLen) != 1) {
    throw std::runtime_error("Error deriving key");
  }
  // secretLen is now the maximum secret length.
  auto buf = folly::IOBuf::create(secretLen);
  if (EVP_PKEY_derive(ctx.get(), buf->writableData(), &secretLen) != 1) {
    throw std::runtime_error("Error deriving key");
  }
  buf->append(secretLen);
  return buf;
}

folly::ssl::EvpPkeyUniquePtr generateECKeyPair(int curveNid) {
  folly::ssl::EcKeyUniquePtr ecParamKey(EC_KEY_new_by_curve_name(curveNid));
  folly::ssl::EvpPkeyUniquePtr params(EVP_PKEY_new());
  if (!ecParamKey || !params) {
    throw std::runtime_error("Error initializing params");
  }
  if (EVP_PKEY_set1_EC_KEY(params.get(), ecParamKey.get()) != 1) {
    throw std::runtime_error("Error setting ec key for params");
  }
  folly::ssl::EvpPkeyCtxUniquePtr kctx(EVP_PKEY_CTX_new(params.get(), nullptr));
  if (!kctx) {
    throw std::runtime_error("Error creating kctx");
  }
  if (EVP_PKEY_keygen_init(kctx.get()) != 1) {
    throw std::runtime_error("Error initializing ctx");
  }
  EVP_PKEY* pkey = nullptr;
  if (EVP_PKEY_keygen(kctx.get(), &pkey) != 1) {
    throw std::runtime_error("Error generating key");
  }
  folly::ssl::EvpPkeyUniquePtr evpKey(pkey);
  folly::ssl::EcKeyUniquePtr ecKey(EVP_PKEY_get1_EC_KEY(evpKey.get()));
  validateECKey(evpKey, curveNid);
  return evpKey;
}

folly::ssl::EvpPkeyUniquePtr decodeECPublicKey(
    folly::ByteRange range,
    int curveNid) {
  // Get the peer key.
  folly::ssl::EcGroupUniquePtr curve(EC_GROUP_new_by_curve_name(curveNid));
  folly::ssl::EcKeyUniquePtr peerKey(EC_KEY_new_by_curve_name(curveNid));
  if (!curve || !peerKey) {
    throw std::runtime_error("Error initializing peer key");
  }
  folly::ssl::EcPointUniquePtr point(EC_POINT_new(curve.get()));
  if (!point) {
    throw std::runtime_error("Error initializing point");
  }
  if (EC_POINT_oct2point(
          curve.get(), point.get(), range.data(), range.size(), nullptr) != 1) {
    throw std::runtime_error("Error decoding peer key");
  }
  if (EC_POINT_is_on_curve(curve.get(), point.get(), nullptr) != 1) {
    throw std::runtime_error("Peer key is not on curve");
  }
  if (!EC_KEY_set_public_key(peerKey.get(), point.get())) {
    throw std::runtime_error("Error setting public key");
  }
  folly::ssl::EvpPkeyUniquePtr peerPkey(EVP_PKEY_new());
  if (EVP_PKEY_assign_EC_KEY(peerPkey.get(), peerKey.release()) != 1) {
    throw std::runtime_error("Error assigning EC key");
  }
  return peerPkey;
}

std::unique_ptr<folly::IOBuf> encodeECPublicKey(
    const folly::ssl::EvpPkeyUniquePtr& key) {
  folly::ssl::EcKeyUniquePtr ecKey(EVP_PKEY_get1_EC_KEY(key.get()));
  if (!ecKey) {
    throw std::runtime_error("Wrong key type");
  }
  return encodeECPublicKey(ecKey);
}

std::unique_ptr<folly::IOBuf> encodeECPublicKey(
    const folly::ssl::EcKeyUniquePtr& ecKey) {
  auto point = EC_KEY_get0_public_key(ecKey.get());
  auto group = EC_KEY_get0_group(ecKey.get());

  size_t len = EC_POINT_point2oct(
      group, point, POINT_CONVERSION_UNCOMPRESSED, nullptr, 0, nullptr);
  auto buf = folly::IOBuf::create(len);
  // TLS 1.3 only allows uncompressed point formats, so we only support that
  // for now.
  len = EC_POINT_point2oct(
      group,
      point,
      POINT_CONVERSION_UNCOMPRESSED,
      buf->writableData(),
      len,
      nullptr);
  if (len == 0) {
    throw std::runtime_error("Failed to encode key");
  }
  buf->append(len);
  return buf;
}

std::string getOpenSSLError() {
  auto err = ERR_get_error();
  if (err == 0) {
    return "";
  }
  char errMsg[256];
  ERR_error_string_n(ERR_get_error(), errMsg, sizeof(errMsg));
  return std::string(errMsg);
}
} // namespace detail
} // namespace fizz

转载于:https://my.oschina.net/u/1433482/blog/1926798

weixin_33717117
关注
java发版工具fizz,微服务最强开源API网关Fizz Gateway
weixin_34832150的博客
03-21 959
Fizz Gateway 1.1.1版本发布!支持更多方便的后台管理功能特性:(Java 语言中最好的API网关)1、禁止default网关分组的编辑删除;2、修改插件配置时同时向网关推送数据;3、限制插件名称唯一,网关分组、插件名称、增加appID字段长度限制;4、修复插件管理校验bug,插件表单定义可为空;5、增加路由管理详情字段必填标记;6、修复管理后台路由配置的app为空时, 授权插件无法...
微服务API聚合网关 An Aggregation API Gateway-fizz-gateway-node.zip
11-07
Fizz-Gateway-Node项目中,我们看到的是一个基于Node.js实现的API Gateway。这个网关的主要作用是简化客户端的调用逻辑,隐藏微服务的复杂性,并提供安全、路由、限流、监控等多种功能。 1. **统一入口**:API ...
开源项目-wI2L-fizz.zip
09-03
开源项目-wI2L-fizz.zip,Gin wrapper with OAS3 spec generation.
(D)TLS1.3大揭秘之环境工具
qq_16106195的博客
06-19 201
Linux系统 为了统一环境,本书中所有测试,服务均在Ubuntu18.04系统上进行。 OpenSSL OpenSSL是包含传输层安全TLS)和安全套接字层(SSL)协议的开源软件库,其同时也是一个通用的密码库。 源码安装 OpenSSL最新的稳定版本为1.1.1系列,长期支持到2023年,本书中以OpenSSL 1.1.1g版本为例。 # 克隆源码 git clone https://github.com/openssl/openssl # 切换到1.1.1g版本 git checkout OpenS
ubuntu18 安装 Facebook 开源库 folly
01-06
官网 1、安装依赖 folly 要求 gcc 5.1+ 版本,以及c++14 编译支持的boost版本 . folly 的测试代码需要 googletest  库,可以用以下命令下载安装: wget https://github.com/google/googletest/archive/release-1.8.0.tar.gz && \ tar zxf release-1.8.0.tar.gz && \ rm -f release-1.8.0.tar.gz && \ cd googletest-release-1.8.0 && \ cmake . && \ make && \ make i
TLS1.3规范
06-15
TLS1.3草拟规范,供提前研究
Facebook App对TLS的魔改造:实现0-RTT
share
02-10 3490
Facebook App对TLS的魔改造:实现0-RTT 感谢    大愚若智 译移动开发前线移动开发前线 我们爱HTTPS,然而它建立连接耗时太长,在移动网络环境下这个问题尤为突出,Facebook为了解决这个问题,对QUIC协议和TLS进行了一些改造,实现了0-RTT协议,大幅提升了TLS连接效率,让我们来看看它是怎么做的。 每天都有数十亿人在Android和iOS设备上通过
fizzTLS-1.3标准的C ++ 14实现
02-15
FizzTLS 1.3的实现。 Fizz当前支持TLS 1.3草案28、26(与最终规范有线兼容)和23。支持所有主要的握手模式,包括PSK恢复,早期数据,客户端身份验证和HelloRetryRequest。 更多背景和详细信息,请访问 。 依存...
cpp-FizzTLS13标准的C14实现
08-16
FizzFacebook开源的一个C++14实现的TLS(Transport Layer Security)1.3协议库。TLS1.3是目前最新的TLS版本,旨在提供更高效、更安全的数据传输服务,广泛应用于互联网通信,如HTTPS等。Fizz库的目标是为开发者...
基于Java的Fizz-Gateway-Node微服务API聚合设计源码
最新发布
09-28
该项目为基于Java的Fizz-Gateway-Node微服务API聚合设计源码,包含322个文件,其中包括274个Java源文件、10个XML配置文件、9个YAML文件、6个Git忽略文件、6个属性文件、3个Markdown文件、3个Shell脚本文件、2个...
亚马逊开源它的 TLS
weixin_34101784的博客
06-08 317
亚马逊在Apache许可证下开源了它的TLS实现库s2n,代码托管在Github上。s2n只有6000多行代码,只相当于OpenSSL的1%多一点。OpenSSL备受人诟病的一点就是代码过于复杂,难以检查和安全评估,去年OpenSSL曝出高危漏洞Heartbleed之后,OpenBSD就创建了分支LibreSSL。亚马逊明确表示会支持OpenSSL,s2n...
Fizz企业级微服务网关-服务编排,祭出终结BFF层的大杀器
dxfeng10的博客
04-22 526
服务编排是Fizz网关提供的一个强大的功能,能够基于现有的业务微服务通过在线配置的方式快速的生成一个聚合接口,减少中间层胶水代码以及降低编码投入。本文介绍服务编排三个常见场景的使用:单API结果裁剪、多API数据聚合、多API之间传递依赖。
maven私服-详细部署搭建笔记
wzq294328238的专栏
09-17 9165
因为经常需要自行编译,每次从maven下载依赖都是一件很头疼的事情,而且不同的网络环境速度也不一样,因此在自己的笔记本(windows 64位)上自行搭建一个nexus oss maven仓库,是一件很必要的事情,本文记录了我搭建全部过程,以及遇到的全部问题:下载http://www.sonatype.org/nexus/ nexus-2.11.4-01-bundle.tar.gz 注意下载bu
推荐项目:mvfst-rl —— 利用强化学习优化QUIC的网络拥堵控制新框架
gitblog_00080的博客
06-12 638
推荐项目:mvfst-rl —— 利用强化学习优化QUIC的网络拥堵控制新框架 项目地址:https://gitcode.com/facebookresearch/mvfst-rl 在当今高节奏的数据传输需求中,高效且智能的网络拥堵控制策略至关重要。mvfst-rl,一个基于Facebook创新技术的开源项目,正为这一挑战提供了前沿解决方案。结合了最先进的人工智能技术与网络通信科学,该项目旨在通过...
E百科 | 第2期 扒一扒能加速互联网的QUIC协议
阿里云云栖号
04-07 1424
简介:众所周知,QUIC(Quick UDP Internet Connection)是谷歌制定的一种互联网传输层协议,它基于UDP传输层协议,同时兼具TCP、TLS、HTTP/2等协议的可靠性与安全性,可以有效减少连接与传输延迟,更好地应对当前传输层与应用层的挑战。目前阿里云CDN线上提供GQUIC版本服务,已经有Tbps级别的流量承载,并对客户来带了显著的延迟收益。本文将由低向上分层讨论QUIC协议的特点。 众所周知,QUIC(Quick UDP Internet Connection)是谷歌制定的.
Fizz Gateway 二次开发集成教程
OpenApp+的专栏
06-04 922
概述 fizz 2.0 采用分模块设计,包括: fizz-spring-boot-starter 模块,方便第三方快速集成 fizz 网关。 fizz-bootstrap 模块,演示模块,展示第三方如何集成 fizz,建议第三方以此模块为骨架应用网关,并进行二次开发。 下面以网关日志插件的例子介绍主题。 集成 fizz 网关 创建 spring boot maven 工程,建议 2.2.13.RELEASE 版本 调整 pom 配置 properties <p
Evaluation copa congestion control on ns3
u010643777的专栏
04-03 1603
 copa是mit提出的拥塞控制算法[1],在mvfst[2]中实现。mvfst是facebook实现的quic协议。我把mvfst中实现的代码,移植到ns3[4]平台上,评价一下这个算法的性能。  建立一条点到点的链路,链路带宽3Mbps,单向时延100ms,,队列长度300ms。一共测试了三条数据流。收据数据包每次发送时的带宽,以及数据传输到对端时的单向时延。  当网络中三条数据流全是copa...
fizz nodes
05-29
它是由阿里巴巴集团开发并开源的。Fizz Nodes 在处理海量数据时,能够提供高吞吐量、低延迟和高容错性。它通过支持类 SQL 语法的 Fizz 语言,可以轻松实现数据的过滤、聚合、计算和转换等操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值