openssl 中 engine 怎样实现

为一个基于密码学的安全开发包，OpenSSL提供的功能相当强大和全面，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。

1.对称加密算法

OpenSSL一共提供了8种对称加密算法，其中7种是分组加密算法，仅有的一种流加密算法是RC4。这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5，都支持电子密码本模式（ECB）、加密分组链接模式（CBC）、加密反馈模式（CFB）和输出反馈模式（OFB）四种常用的分组密码加密模式。其中，AES使用的加密反馈模式（CFB）和输出反馈模式（OFB）分组长度是128位，其它算法使用的则是64位。事实上，DES算法里面不仅仅是常用的DES算法，还支持三个密钥和两个密钥3DES算法。

2.非对称加密算法

OpenSSL一共实现了4种非对称加密算法，包括DH算法、RSA算法、DSA算法和椭圆曲线算法（EC）。DH算法一般用户密钥交换。RSA算法既可以用于密钥交换，也可以用于数字签名，当然，如果你能够忍受其缓慢的速度，那么也可以用于数据加密。DSA算法则一般只用于数字签名。

3.信息摘要算法

OpenSSL实现了5种信息摘要算法，分别是MD2、MD5、MDC2、SHA（SHA1）和RIPEMD。SHA算法事实上包括了SHA和SHA1两种信息摘要算法，此外，OpenSSL还实现了DSS标准中规定的两种信息摘要算法DSS和DSS1。

4.密钥和证书管理

密钥和证书管理是PKI的一个重要组成部分，OpenSSL为之提供了丰富的功能，支持多种标准。

首先，OpenSSL实现了ASN.1的证书和密钥相关标准，提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序，同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能，使得密钥可以安全地进行存储和分发。

在此基础上，OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库，支持证书的管理功能，包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。

事实上，OpenSSL提供的CA应用程序就是一个小型的证书管理中心（CA），实现了证书签发的整个流程和证书管理的大部分机制。

5.SSL和TLS协议

OpenSSL实现了SSL协议的SSLv2和SSLv3，支持了其中绝大部分算法协议。OpenSSL也实现了TLSv1.0，TLS是SSLv3的标准化版，虽然区别不大，但毕竟有很多细节不尽相同。

虽然已经有众多的软件实现了OpenSSL的功能，但是OpenSSL里面实现的SSL协议能够让我们对SSL协议有一个更加清楚的认识，因为至少存在两点：一是OpenSSL实现的SSL协议是开放源代码的，我们可以追究SSL协议实现的每一个细节；二是OpenSSL实现的SSL协议是纯粹的SSL协议，没有跟其它协议（如HTTP）协议结合在一起，澄清了SSL协议的本来面目。

#include<stdio.h>

#include<stdlib.h>

#include<string.h>

#include<openssl/rsa.h>

#include<openssl/engine.h>

int main(int argc, char* argv[])

{

   printf("openssl_test begin\n")

   RSA* rsa=NULL

   char originstr[]="hello\n"   //这是我们需要加密的原始数据

   //allocate RSA structure，首先需要申请一个RSA结构题用于存放生成的公私钥，这里rsa就是这个结构体的指针

   rsa = RSA_new()

   if(rsa==NULL)

    {

         printf("RSA_new failed\n")          

         return -1

    }

    //generate RSA keys

   BIGNUM* exponent

    exponent = BN_new()        //生成RSA公私钥之前需要选择一个奇数（odd number）来用于生成公私钥

    if(exponent ==NULL)

    {

       printf("BN_new failed\n") 

       goto FAIL1

    }

    if(0==BN_set_word(exponent,65537))    //这里选择奇数65537

    {

      printf("BN_set_word failed\n") 

      goto FAIL1

    }

    

    

    //这里modulus的长度选择4096，小于1024的modulus长度都是不安全的，容易被破解

    if(0==RSA_generate_key_ex(rsa,4096,exponent,NULL))  

    {

       printf("RSA_generate_key_ex failed\n") 

       goto FAIL      

    }

    char* cipherstr = NULL

    //分配一段空间用于存储加密后的数据，这个空间的大小由RSA_size函数根据rsa算出

    cipherstr = malloc(RSA_size(rsa)) 

    if(cipherstr==NULL)

    {

       printf("malloc cipherstr buf failed\n")

       goto FAIL1

    }

   //下面是实际的加密过程，最后一个参数padding type，有以下几种。    

/*

RSA_PKCS1_PADDINGPKCS #1 v1.5 padding. This currently is the most widely used mode.

RSA_PKCS1_OAEP_PADDING

EME-OAEP as defined in PKCS #1 v2.0 with SHA-1, MGF1 and an empty encoding parameter. This mode is recommended for all new applications.

RSA_SSLV23_PADDING

PKCS #1 v1.5 padding with an SSL-specific modification that denotes that the server is SSL3 capable.

RSA_NO_PADDING

Raw RSA encryption. This mode should only be used to implement cryptographically sound padding modes in the application code. Encrypting user data directly with RSA is insecure.

*/  

  //这里首先用公钥进行加密，选择了RSA_PKCS1_PADDING

  if(RSA_size(rsa)!=RSA_public_encrypt(strlen(originstr)+1,originstr,cipherstr,rsa,RSA_PKCS1_PADDING))

    {

       printf("encryption failure\n")

        goto FAIL2

    }

    printf("the original string is %s\n",originstr)

    printf("the encrypted string is %s\n",cipherstr)

    //Now, let's decrypt the string with private key

    //下面来用私钥解密，首先需要一个buffer用于存储解密后的数据，这个buffer的长度要足够（小于RSA_size(rsa)）

    //这里分配一个长度为250的字符数组，应该是够用的。

    char decrypted_str[250]

    int decrypted_len

    if(-1=(decrypted_len=RSA_private_decrypt(256,cipherstr,decrypted_str,rsa,RSA_PKCS1_PADDING)))

    {

       printf("decryption failure\n")

        goto FAIL2

    }

    printf("decrypted string length is %d,decryped_str is %s\n",decrypted_len,decrypted_str)

FAIL2:

      free(cipherstr)

FAIL1:

    BN_free(exponent)

FAIL:

   RSA_free(rsa)

   return 0

}

以上是源代码，下面使用下面的编译命令在源码所在路径下生成可执行文件

    gcc *.c -o openssl_test -lcrypto -ldl -L/usr/local/ssl/lib -I/usr/local/ssl/include

其中，-lcrypto和-ldl是必须的，前者是OpenSSL中的加密算法库，后者是用于成功加载动态库。

在Windows下编译OpenSSL （VS2010使用VC10的cl编译器）

1、安装ActivePerl//初始化的时候,需要用到perl解释器

2、使用VS2010下的Visual Studio 2010 Command Prompt进入控制台模式（这个模式会自动设置各种环境变量）

3、解压缩openssl的包,进入openssl的目录

4、perl configure VC-WIN32

尽量在这个目录下执行该命令，否则找不到Configure文件，或者指定完整的Configure文件路径。

5、ms\do_ms.bat

在解压目录下执行ms\do_ms.bat命令

6、nmake -f ms\ntdll.mak

7、nmake -f ms\nt.mak

编译后

在openssl解压目录下执行，完成编译后。输出的文件在out32dll (6), out32 (7)里面，包括应用程序的可执行文件、lib文件和dll文件

注意：在运行第五步时，cl编译器会抱怨说.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated（不被推荐的），建议使用_read。呵呵，我可不想将OpenSSL中的所有的read函数修改为_read。再看cl的错误代码error C2220，于是上MSDN上查找：

warning treated as error - no object file generated

/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.

是由于设置了/WX选项，将所有的警告都作为错误对待，所以。。。

于是打开OpenSSL目录下的MS目录下的ntdll.mak文件，将CFLAG的/WX选项去掉，存盘。。。

继续执行nmake -f ms\ntdll.mak

=================================

一、编译并安装OpenSSL

1、按照标准步骤从源代码编译安装OpenSSL

在编译OpenSSL前，需要正确安装Perl，因为在编译OpenSSL时需要使用到该程序。

下载最新版本的Perl然后安装之。

下载最新版本的OpenSSL

然后将源码解压缩到某个目录（如 C:\openssl-0.9.8j）中。

进入openssl源码目录。

cd c:\openssl-1.0.1e

以下为参照该目录下的文件INSTALL.W32的执行过程：

运行configure：

perl Configure VC-WIN32

创建Makefile文件：

ms\do_ms.bat

编译动态库：

nmake -f ms\ntdll.mak

编译静态库：

nmake -f ms\nt.mak

测试动态库：

nmake -f ms\ntdll.mak test

测试静态库：

nmake -f ms\nt.mak test

安装动态库：

nmake -f ms\ntdll.mak install

安装静态库：

nmake -f ms\nt.mak install

清除上次动态库的编译，以便重新编译：

nmake -f ms\ntdll.mak clean

清除上次静态库的编译，以便重新编译：

nmake -f ms\nt.mak clean

2、如果嫌麻烦，不想编译，可以直接用别人做好的windows OpenSSL 安装包（我用的是0.9.8j版），

可以下载 OpenSSL for Windows，直接安装。

P.S. OpenSSL for Windows 的源代码有一些数据类型和VC6的编译器不兼容，我发现的不兼容的数据类型如下：

在OpenSSL安装目录的下的include/bn.h文件中，将

#define BN_ULLONG unsigned long long

#define BN_ULONG unsigned long long

#define BN_LONG long long

分别修改为：

#define BN_ULLONG ULONGLONG

#define BN_ULONG ULONGLONG

#define BN_LONG LONGLONG

否则，会出现编译错误。

二、使用OpenSSL

在VC中配置使用以上的函数库：

点击菜单：Tools ->Options，d出对话框"Options"，在该对话框中选择"Directories"标签。

在"Show directories for:"的"Include files"选项中新增目录"C:\openssl\include"；

"Library files"选择中新增目录"C:\openssl\lib"。

然后在需要链接OpenSSL函数库的工程中加入如下两句：

#pragma comment(lib, "ssleay32.lib")

#pragma comment(lib, "libeay32.lib")

其作用是将OpenSSL所需的库导入工程中。

三、问题

我在链接OpenSSL的静态函数库时遇到类似以下的问题：

Linking...

msvcrt.lib(MSVCRT.dll) : error LNK2005: _strchr already defined in libcmtd.lib(strchr.obj)

...

这是由于OpenSSL的静态函数库使用的是了VC的多线程DLL的Release版本，而我的程序使用了多线程静态链接的Release版本。

调整OpenSSL的静态函数库使用的库函数版本即可，调整过程如下：

编辑文件 ms\nt.mak，将该文件第19行

"CFLAG= /MD /Ox /O2 /Ob2 /W3 /WX /Gs0 /GF /Gy /nologo -DOPENSSL_SYSNAME_WIN32 -DWIN32_LEAN_AND_MEAN -DL_ENDIAN -DDSO_WIN32 -D_CRT_SECURE_NO_DEPRECATE -

D_CRT_NONSTDC_NO_DEPRECATE /Fdout32 -DOPENSSL_NO_CAMELLIA -DOPENSSL_NO_SEED -DOPENSSL_NO_RC5 -DOPENSSL_NO_MDC2 -DOPENSSL_NO_TLSEXT -DOPENSSL_NO_KRB5 -

DOPENSSL_NO_DYNAMIC_ENGINE"

中的"/MD"修改为"/MT"。然后重新编译安装OpenSSL即可。

四、附录：在VC中对C/C++ 运行时库不同版本编译指令说明

《在VC中对C/C++ 运行时库不同版本编译指令说明》一文中详细介绍了连接不同版本库的编译指令如下：

C Runtime Library：

/MDMSVCRT.LIB 多线程DLL的Release版本

/MDd MSVCRTD.LIB多线程DLL的Debug版本

/MTLIBCMT.LIB 多线程静态链接的Release版本

/MTd LIBCMTD.LIB多线程静态链接的Debug版本

/clr MSVCMRT.LIB托管代码和非托管代码混合

/clr:pure MSVCURT.LIB纯托管代码

C++ Standard Library：

/MD MSVCPRT.LIB 多线程DLL的Release版本

/MDd MSVCPRTD.LIB多线程DLL的Debug版本

/MT LIBCPMT.LIB 多线程静态链接的Release版本

/MTd LIBCPMTD.LIB多线程静态链接的Debug版本

===============================================

一 配置编译参数

配置编译参数是进行OpenSSL编译的第一步,这一步可以确定系统的环境,使用什么编译器,默认安装路径以及其他一些选项.步骤如下:

1.安装perl:下载ActivePerl-5.8.8.822-MSWin32-x86-280952.msi,然后点击msi文件进行安装!

2..配置编译参数:下载openssl-1.0.1e.tar.gz,解压.

vc:首先在C:\Program Files\Microsoft Visual Studio .NET 2010\VC10\bin\目录下执行vcvars32.bat,然后在解压后的openssl-1.0.1e目录,执行命令配置编译参数:perl Configure VC-WIN32

bc:在解压后的openssl-0.9.8g目录下执行:perl Configure BC-32

二 生成批处理文件

在使用configure脚本配置好的编译参数后,就可以使用批处理命令来生成编译脚本.生成编译脚本根据采用编译器的不同通常使用不同的批处理文件.就目前来说,使用vc编译的时候有三种选择:do_ms,do_masm和do_nasm来创建一系列编译脚本文件,即.mak脚本.步骤如下:

vc:在openssl-1.0.1e目录下,执行命令来批处理文件:do_ms,do_masm和do_nasm

bc:1.下载nsm09839.zip微软汇编编译器,解压,拷贝到c:/windows目录下,修改名称为nasmw.exe2.在openssl-1.0.1e目录下,执行命令来批处理文件:ms\do_nasm

三 代码编译

vc:

完成上面步骤后,可以看到两个关键脚本文件:nt.mak和ntdll.mak.如果我们需要编译后的OpenSSL库是支持动态DLL形式的,那么应该使用ntddll.mak文件进行编译,这样编译完成我们会得到四个与OpenSSL的API库有关文件:ssleay32.lib,libeay32.lib,ssleay32.dll和libeay32.dll.执行的编译命令形式如下:nmake -f ms\ntdll.mak

如果不希望以动态库的形式使用OpenSSL,那么可以使用nt.mak文件进行编译.这样编译后使用OpenSSL的时候,回直接将代码链接进我们的程序里面.执行命令如下:nmake -f ms\nt.mak

bc:执行命令来完成代码编译:make -f ms\bcb.mak

四 ELSE

1)测试动态库：

nmake -f ms\ntdll.mak test

测试静态库：

nmake -f ms\nt.mak test

安装动态库：

nmake -f ms\ntdll.mak install

安装静态库：

nmake -f ms\nt.mak install

清除上次动态库的编译，以便重新编译：

nmake -f ms\ntdll.mak clean

清除上次静态库的编译，以便重新编译：

nmake -f ms\nt.mak clean

2)使用OpenSSL

在VC中配置使用以上的函数库：

点击菜单：Tools ->Options，d出对话框"Options"，在该对话框中选择"Directories"标签。

在"Show directories for:"的"Include files"选项中新增目录"C:\openssl\include"；"Library files"选择中新增目录"C:\openssl\lib"。

然后在需要链接OpenSSL函数库的工程中编译时加入"libeay32.lib"就可以了。

---