mbedtls с PSK, приводящим к ошибке
Я пытаюсь использовать PSK с библиотекой mbedtls в сочетании с SGX. Без PSK соединение работает нормально, как и должно.
Вот соответствующий код на стороне клиента:
mbedtls_entropy_context entropy;
mbedtls_ctr_drbg_context ctr_drbg;
mbedtls_ssl_context ssl;
mbedtls_ssl_config conf;
mbedtls_x509_crt cacert;
mbedtls_net_init(&server_fd);
mbedtls_ssl_init(&ssl);
mbedtls_ssl_config_init(&conf);
mbedtls_x509_crt_init(&cacert);
mbedtls_ctr_drbg_init(&ctr_drbg);
mbedtls_entropy_init( &entropy );
if ((mbedtls_ctr_drbg_seed(&ctr_drbg, mbedtls_entropy_func, &entropy, (const unsigned char*) pers, strlen(pers))) != 0) {
mbedtls_printf( " failed\n ! mbedtls_ctr_drbg_seed returned %d\n", ret );
ret = -1;
break;
}
ret = mbedtls_x509_crt_parse(&cacert, (const unsigned char *) mbedtls_crt, mbedtls_crt_len);
if ((ret = mbedtls_net_connect(&server_fd, SERVER_NAME, SERVER_PORT, MBEDTLS_NET_PROTO_TCP )) != 0) {
mbedtls_printf( " failed\n ! mbedtls_net_connect returned %d\n\n", ret );
break;
}
if ((ret = mbedtls_ssl_config_defaults(&conf,
MBEDTLS_SSL_IS_CLIENT,
MBEDTLS_SSL_TRANSPORT_STREAM,
MBEDTLS_SSL_PRESET_DEFAULT)) != 0 )
{
mbedtls_printf( " failed\n ! mbedtls_ssl_config_defaults returned %d\n\n", ret );
break;
}
mbedtls_ssl_conf_authmode( &conf, MBEDTLS_SSL_VERIFY_OPTIONAL );
mbedtls_ssl_conf_ca_chain( &conf, &cacert, NULL );
mbedtls_ssl_conf_rng( &conf, mbedtls_ctr_drbg_random, &ctr_drbg );
mbedtls_ssl_conf_dbg( &conf, my_debug, NULL );
mbedtls_ssl_conf_verify( &conf, my_verify, NULL );
const unsigned char psk_key[] = {
0x00, 0x01, 0x02, 0x03, 0x04, 0x05, 0x06, 0x07,
0x08, 0x09, 0x0a, 0x0b, 0x0c, 0x0d, 0x0e, 0x0f
};
size_t psk_len = sizeof( psk_key );
const char psk_id[] = "Client_identity";
if ((ret = mbedtls_ssl_conf_psk(&conf, psk_key, psk_len,
(const unsigned char *) psk_id,
strlen(psk_id))) != 0 )
{
mbedtls_printf( " mbedtls_ssl_conf_psk returned %d\n\n", ret );
break;
}
if( ( ret = mbedtls_ssl_setup( &ssl, &conf ) ) != 0 )
{
mbedtls_printf( " failed\n ! mbedtls_ssl_setup returned %d\n\n", ret );
break;
}
if( ( ret = mbedtls_ssl_set_hostname( &ssl, "mbed TLS Server 1" ) ) != 0 )
{
mbedtls_printf( " failed\n ! mbedtls_ssl_set_hostname returned %d\n\n", ret );
break;
}
mbedtls_ssl_set_bio( &ssl, &server_fd, mbedtls_net_send, mbedtls_net_recv, NULL );
mbedtls_printf( " ok\n" );
mbedtls_printf( " . Performing the SSL/TLS handshake..." );
while ((ret = mbedtls_ssl_handshake(&ssl)) != 0) {
if (ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE) {
mbedtls_printf( " failed\n ! mbedtls_ssl_handshake returned -0x%x\n\n", -ret);
break;
}
}
....
У меня тестовый сервер openssl работает с:
openssl s_server -accept 4433 -cert server.pem -psk 000102030405060708090a0b0c0d0e0f -psk_hint Client_identity -cipher PSK-AES256-CBC-SHA -debug
Сервер получает соединение и также обменивается сообщениями PSK, но в точке расшифровки я получаю следующую ошибку:
error:1408F119:SSL routines:SSL3_GET_RECORD:decryption failed or bad record mac:s3_pkt.c:532:
Я также пытался изменить -cipher PSK-AES256-CBC-SHA в другой шифр, но все та же ошибка. При полном пропуске шифра соединение работает, но PSK не выполняется!?
1 ответ
После нескольких попыток мне удалось найти причину этой проблемы. Причина сбоя подразумевается из следующего журнала в журналах openssl s_server (я использовал -debug -tlsextdebug):
создано ПСК лен =15
Это происходит из кода openssl. Однако ключ, который вы используете, составляет 16 байт. когда я изменил psk на "010102030405060708090a0b0c0d0e0f", соединение TLS работало со следующим журналом:
создано ПСК лен =16
Я считаю, что коренная причина этой неудачи находится внутри OPENSSL_hexstr2buf() реализация, которая игнорирует наиболее значимые нули, тем самым возвращая ложную длину ключа.