Search

'W5500 Security'에 해당되는 글 2건

  1. 2017.06.27 SSL/TLS embedded for IoT #8
  2. 2017.06.17 SSL/TLS embedded for IoT #6

SSL/TLS embedded for IoT #8

Embedded SSL 2017.06.27 16:34 Posted by Dwarp

SSL/TLS embedded for IoT


이 글은 embedded IoT device의 보안에 관한 글입니다.


embedded SSL/TLS 여덟번째입니다.


대만 출장으로 인해 이번 포스팅이 조금 늦었습니다. 그리고 이번 강의 후 인도 출장이 잡혀 있어 약 2-3주 간 글 업로드가 힘들 것 같습니다. 양해 바랍니다. 그럼 시작해봅시다.


저번 시간에 초기화와 handshake를 제외한 SSL 함수들을 만들어 보았습니다. 계속 이어서 가봅시다. 초기화입니다.


초기화 함수는 mbed의 example을 참고하였습니다. 해당 example은 다운로드 받은 mbedtls 소스 중 programs 폴더 -> ssl 폴더에 있습니다. 하지만 여러분들이 이 글을 읽는 이유는 embedded SSL을 구현에 시간을 단축하기 위함이므로 바로 정리해 놓은 초기화 함수를 올리겠습니다.



조금 길어요~


unsigned char wiz_mbedtls_ssl_init(wiz_ssl_context* sslContext, uint8_t* SocketHandler)
{
	int ret = 1;
#if defined (MBEDTLS_ERROR_C)
	char error_buf[100];
#endif

#if defined (MBEDTLS_DEBUG_C)
	debug_set_threshold(DEBUG_LEVEL);
#endif

	/*
	Initialize session data
	*/
#if defined (MBEDTLS_ENTROPY_C)
	sslContext->entropy = malloc(sizeof(mbedtls_entropy_context));
	mbedtls_entropy_init( sslContext->entropy);
#endif
	sslContext->ctr_drbg = malloc(sizeof(mbedtls_ctr_drbg_context));
	sslContext->ssl = malloc(sizeof(mbedtls_ssl_context));
	sslContext->conf = malloc(sizeof(mbedtls_ssl_config));
	sslContext->cacert = malloc(sizeof(mbedtls_x509_crt));

	mbedtls_ctr_drbg_init(sslContext->ctr_drbg);
	mbedtls_x509_crt_init(sslContext->cacert);
	mbedtls_ssl_init(sslContext->ssl);
	mbedtls_ssl_config_init(sslContext->conf);
	/*
	Initialize certificates
	*/
#if defined (MBEDTLS_X509_CRT_PARSE_C)
#if defined (MBEDTLS_DEBUG_C)
	printf(" Loading the CA root certificate \r\n");
#endif
	mbedtls_ssl_config_defaults((sslContext->conf),
								MBEDTLS_SSL_IS_CLIENT,
								MBEDTLS_SSL_TRANSPORT_STREAM,
								MBEDTLS_SSL_PRESET_DEFAULT);
	mbedtls_ssl_setup((sslContext->ssl), (sslContext->conf));
	//mbedtls_ssl_set_timer_cb(sslContext->ssl,NULL,SSLFSetTimerCB,SSLFGetTimerCB);
	//mbedtls_ssl_set_hostname(sslContext->ssl, HOST_NAME);
#if defined (MBEDTLS_CERTS_C)
	ret = mbedtls_x509_crt_parse((sslContext->cacert),(unsigned char *)CERTIFICATE,strlen(CERTIFICATE));
#else
	ret = 1;
#if defined (MBEDTLS_DEBUG_C)
	printf("SSL_CERTS_C not define .\r\n");
#endif
#endif
#endif
	if(ret < 0)
	{
#if defined (MBEDTLS_CERTS_C)
		printf("x509_crt_parse failed.%x \r\n",ret);
#endif
		return 0;
	}
	/*
	set ssl session para
	*/
	mbedtls_ssl_conf_ca_chain(sslContext->conf, sslContext->cacert, NULL);
	mbedtls_ssl_conf_endpoint(sslContext->conf,MBEDTLS_SSL_IS_CLIENT); 		//set the current communication method is SSL Client
	mbedtls_ssl_conf_authmode(sslContext->conf,MBEDTLS_SSL_VERIFY_REQUIRED);
	mbedtls_ssl_conf_rng(sslContext->conf,SSLRandomCB,sslContext->ctr_drbg);
        mbedtls_ssl_conf_read_timeout(sslContext->conf,WIZ_RECV_TIMEOUT_VALUE);
#if defined (MBEDTLS_DEBUG_C)
	mbedtls_ssl_conf_dbg(sslContext->conf,wiz_mbedtls_ssl_debug_cb,stdout);
#endif
	mbedtls_ssl_set_bio(sslContext->ssl,SocketHandler, wiz_mbedtls_ssl_send, wiz_mbedtls_ssl_recv, wiz_mbedtls_ssl_recvtimeout); //set client's socket send and receive functions

	return 1;
}

코드를 간단하게 설명하겠습니다.

함수 자체는 wiz_ssl_context* sslContext와 uint8_t* sockethandler인자를 받습니다. 여기서 sslContext는 ssl에 필요한 context 변수들을 structure로 선언해 놓은 것이고 sockethandler는 단순하게 소켓 번호라고 생각하시면 됩니다.

아래는 wiz_ssl_context의 structure definition 입니다.

typedef struct{
#if defined (MBEDTLS_ENTROPY_C)
	mbedtls_entropy_context* entropy;
#endif
	mbedtls_ctr_drbg_context* ctr_drbg;
	mbedtls_ssl_context* ssl;
	mbedtls_ssl_config* conf;
	mbedtls_x509_crt* cacert;
}wiz_ssl_context;

structure 내부에 여러가지 변수들이 있는데 각각의 의미는 별도의 블로깅이 필요합니다. 일단 우리는 embedded ssl library를 사용하는 것에 목적을 두고 블로깅을 하고 있으니 너무 심오하게 생각하지 말고 넘어갑시다.


이 후에는 각각의 변수를 malloc을 통해 memory를 할당합니다. embedded에서 왠 malloc? 이라고 생각하시는 분들이 많을 수도 있습니다. 그냥 쓰세요. 어차피 mbedtls 자체가 malloc을 사용하고 있으니까요. 그래도 malloc이 불편하신 분들은 global로 선언해서 사용하셔도 되는데 대신 유연성이 엄청 떨어지겠죠? 트레이드 오프가 필요합니다.(malloc을 사용하기 때문에 최소 48kb보다 큰 sram을 가지고 있는 mcu를 추천하는 것입니다.)


그리고 각각을 mbedtls의 내장 함수들로 초기화 합니다. 그 다음은 ssl configuration을 설정하구요. 여기서 client로 할지 TCP로 할지 결정을 합니다. 그 이후에는 mbedtls_ssl_setup함수를 통해 sslcontext와 configuration을 setup 하구요.


이 후 Certificate를 등록합니다. 여기에서 CERTIFICATE에 주목할 필요가 있는데요. 이 CERTIFICATE는 Server의 ROOT certificate를 등록해야 합니다. 해당 certificate는 시스템에 내장해야 하는데요. 내장하지 않으면 내가 접속하려는 server가 진짜인지 가짜인지 구분을 할 수 없습니다. 한마디로 피싱 사이트를 구분해내지 못한다고 생각하시면 됩니다.

ret = mbedtls_x509_crt_parse((sslContext->cacert),(unsigned char *)CERTIFICATE,strlen(CERTIFICATE)); 

해당 Certificate는 인터넷 브라우져에서 다운로드 받아 text로 저장한 뒤 certificate.h 라는 파일을 하나 만들어서 복붙하시고 다음과 같은 형식으로 수정하시면 됩니다. (Certificate를 코드에 적용하는 방)

const char	graph_facebook_com[] = \
"-----BEGIN CERTIFICATE-----\r\n"  \
"MIIEsTCCA5mgAwIBAgIQBOHnpNxc8vNtwCtCuF0VnzANBgkqhkiG9w0BAQsFADBs\r\n"  \
"MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3\r\n"  \
"d3cuZGlnaWNlcnQuY29tMSswKQYDVQQDEyJEaWdpQ2VydCBIaWdoIEFzc3VyYW5j\r\n"  \
"ZSBFViBSb290IENBMB4XDTEzMTAyMjEyMDAwMFoXDTI4MTAyMjEyMDAwMFowcDEL\r\n"  \
"MAkGA1UEBhMCVVMxFTATBgNVBAoTDERpZ2lDZXJ0IEluYzEZMBcGA1UECxMQd3d3\r\n"  \
"LmRpZ2ljZXJ0LmNvbTEvMC0GA1UEAxMmRGlnaUNlcnQgU0hBMiBIaWdoIEFzc3Vy\r\n"  \
"YW5jZSBTZXJ2ZXIgQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC2\r\n"  \
"4C/CJAbIbQRf1+8KZAayfSImZRauQkCbztyfn3YHPsMwVYcZuU+UDlqUH1VWtMIC\r\n"  \
"Kq/QmO4LQNfE0DtyyBSe75CxEamu0si4QzrZCwvV1ZX1QK/IHe1NnF9Xt4ZQaJn1\r\n"  \
"itrSxwUfqJfJ3KSxgoQtxq2lnMcZgqaFD15EWCo3j/018QsIJzJa9buLnqS9UdAn\r\n"  \
"4t07QjOjBSjEuyjMmqwrIw14xnvmXnG3Sj4I+4G3FhahnSMSTeXXkgisdaScus0X\r\n"  \
"sh5ENWV/UyU50RwKmmMbGZJ0aAo3wsJSSMs5WqK24V3B3aAguCGikyZvFEohQcft\r\n"  \
"bZvySC/zA/WiaJJTL17jAgMBAAGjggFJMIIBRTASBgNVHRMBAf8ECDAGAQH/AgEA\r\n"  \
"MA4GA1UdDwEB/wQEAwIBhjAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIw\r\n"  \
"NAYIKwYBBQUHAQEEKDAmMCQGCCsGAQUFBzABhhhodHRwOi8vb2NzcC5kaWdpY2Vy\r\n"  \
"dC5jb20wSwYDVR0fBEQwQjBAoD6gPIY6aHR0cDovL2NybDQuZGlnaWNlcnQuY29t\r\n"  \
"L0RpZ2lDZXJ0SGlnaEFzc3VyYW5jZUVWUm9vdENBLmNybDA9BgNVHSAENjA0MDIG\r\n"  \
"BFUdIAAwKjAoBggrBgEFBQcCARYcaHR0cHM6Ly93d3cuZGlnaWNlcnQuY29tL0NQ\r\n"  \
"UzAdBgNVHQ4EFgQUUWj/kK8CB3U8zNllZGKiErhZcjswHwYDVR0jBBgwFoAUsT7D\r\n"  \
"aQP4v0cB1JgmGggC72NkK8MwDQYJKoZIhvcNAQELBQADggEBABiKlYkD5m3fXPwd\r\n"  \
"aOpKj4PWUS+Na0QWnqxj9dJubISZi6qBcYRb7TROsLd5kinMLYBq8I4g4Xmk/gNH\r\n"  \
"E+r1hspZcX30BJZr01lYPf7TMSVcGDiEo+afgv2MW5gxTs14nhr9hctJqvIni5ly\r\n"  \
"/D6q1UEL2tU2ob8cbkdJf17ZSHwD2f2LSaCYJkJA69aSEaRkCldUxPUd1gJea6zu\r\n"  \
"xICaEnL6VpPX/78whQYwvwt/Tv9XBZ0k7YXDK/umdaisLRbvfXknsuvCnQsH6qqF\r\n"  \
"0wGjIChBWUMo0oHjqvbsezt3tkBigAVBRQHvFwY+3sAzm2fTYS5yh+Rp/BIAV0Ae\r\n"  \
"cPUeybQ=\r\n"  \
"-----END CERTIFICATE-----\r\n";

이제 session 파라미터들을 입력하고 앞서 만들어 놓은 random, recv, send 등의 콜백 함수를 등록하면 마무리 됩니다.


웁스! 한가지 말씀 안드린게 있어요. Debug용 call back도 등록하셔야 하는데 mbedtls에서 제공하는 형식만 맞추고 함수 내부에서 uart와 연결된 printf를 사용하시면 됩니다.

#if defined (MBEDTLS_DEBUG_C)
void wiz_mbedtls_ssl_debug_cb(void *ctx, int level, const char *file, int line, const char *str)
{
    if(level < DEBUG_LEVEL)
    {
       printf("%s\r\n",str);
    }
}
#endif

그럼 이것으로 초기화 함수에 대한 설명은 마무리 짓고 handshake로 넘어가겠습니다. SSL의 첫번째 과정이 바로 Handshake입니다. 구글링 해보시면 ssl handshake에 대해 많이 나오는데 딱히 이해못할 만한 내용은 없습니다. handshake 과정 중에서 암호화 방식을 결정하고 certificate 교환하는 게 전부입니다. handshake가 끝나면 암호화된 데이터로 통신이 가능하게 됩니다.


unsigned int wiz_mbedtls_ssl_handshake(wiz_ssl_context* sslContext)
{
    int ret;
    uint32_t flags;
//#if defined(MBEDTLS_ERROR_C)
//    unsigned char error_buf[100];
//    memset(error_buf, 0, 100);
//#endif
#if defined(WIZINTERFACE_DEBUG)
    printf( "  . Performing the SSL/TLS handshake..." );
#endif

    while( ( ret = mbedtls_ssl_handshake( sslContext->ssl ) ) != 0 )
    {
        if( ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE )
        {
//#if defined(MBEDTLS_ERROR_C)
//            mbedtls_strerror( ret, (char *) error_buf, 100 );
//            printf( " failed\n\r  ! mbedtls_ssl_handshake returned %d: %s\n\r", ret, error_buf );
//#endif
            return( -1 );
        }
    }
#if defined(WIZINTERFACE_DEBUG)
    printf( " ok\n\r    [ Ciphersuite is %s ]\n\r", mbedtls_ssl_get_ciphersuite( sslContext->ssl ) );
    printf( "  . Verifying peer X.509 certificate..." );
#endif
    /* In real life, we probably want to bail out when ret != 0 */
    if( ( flags = mbedtls_ssl_get_verify_result( sslContext->ssl ) ) != 0 )
    {
        //char vrfy_buf[512];
#if defined(WIZINTERFACE_DEBUG)
        printf( " failed.\n\r" );
#endif
        //mbedtls_x509_crt_verify_info( vrfy_buf, sizeof( vrfy_buf ), "  ! ", flags );

        //printf( "%s\n\r", vrfy_buf );
    }
    else
        printf( " ok.\n\r" );

    return( 0 );
}


handshake 함수는 생각보다 짧습니다. 위 코드를 보면 mbedtls_ssl_handshake로 handshake가 완료될 때까지 뺑뺑이를 돌린 후 certificate가 맞는지 확인만 하면 됩니다. 생각보다 간단하지요? 그럼 어느정도 ssl을 위한 함수가 준비되었습니다.


이제 실전!!! 실전!!! 실전!!! 음... SSL로 어디에 접속해보면 좋을까 생각해 올게요.


혹시 의견 있으시면 댓글 달아 주세요. 반영해 드립니다. ^^ 그럼 수고하시구요. 전 인도 벵갈루루에 다녀와야할 것 같아요.ㅠㅠ 인도는 덥고 지금 우기이고 ㅠㅠ 암튼 7월 10일 이후에나 다시 포스팅을 할 수 있을 것 같습니다. 다음에 봐요~ 안녕~


(일부 코드 내용이 틀린 점이 있습니다. 코드가 모두 완성되면 zip file로 업로드 할테니까 너무 조바심 내지 마시구요~ ^^)



저작자 표시
신고

'Embedded SSL' 카테고리의 다른 글

SSL/TLS embedded for IoT #8  (0) 2017.06.27
SSL/TLS embedded for IoT #7  (0) 2017.06.19
SSL/TLS embedded for IoT #6  (0) 2017.06.17
SSL/TLS embedded for IoT #5  (0) 2017.06.16
SSL/TLS embedded for IoT #4  (0) 2017.06.15
SSL/TLS embedded for IoT #3  (6) 2016.12.28

SSL/TLS embedded for IoT #6

Embedded SSL 2017.06.17 17:19 Posted by Dwarp

SSL/TLS embedded for IoT


이 글은 embedded IoT device의 보안에 관한 글입니다.


embedded SSL/TLS 여섯번째입니다.



너무 몰아붙이나요? ㅎㅎ 아니겠죠 ㅎㅎ 저만 ㅠㅠ 여러분들은 시간날 때 보면 되니까 ㅠㅠ 암튼 전 주말이지만 기다리시는 분들이 계셔서 계속 진행합니다. 오늘은 W5500 iolibrary와 mbedTLS를 이어 붙이는 시간이 될 거에요. 하지만 그 전에 SSL/TLS라는 게 서버든 클라이언트든 있어야 하잖아요?


또 그러기 위해서는 뭔가... 그 뭐냐... 그그그그그.... Application!이 있어야 하겠죠? 제가 건망증이 좀 있습니다. 양해 좀 ㅎㅎ


우리가 지금 IoT 하고 있잖아요? 그래서 네트워크 어플리케이션으로 MQTT를 정하겠습니다. MQTT는 뭐냐고요? 그건 뭐..... IoT에 특화된 네트워크 프로토콜입니다. 찾아보시면 금방 자료 나와요. 전 라즈베리파이에 MQTT 서버를 SSL 모드로 열어놨습니다. 특별한 문제가 없으면 오픈해 놓으려고 하니 테스트 해보셔요. 아래는 제가 open 해놓은 MQTT Broker(서버) 주소 입니다.


<라즈베리 파이>


IP: 222.98.173.239

Port 일반 TCP: 1883

Port 보안 TCP: 1884

Port 일반 websocket: 8883

Port 보안 websocket: 8884


** 경고!!!!!!!! 아시겠지만 테스트 용도로만 사용하시고 상업적인 용도로 사용하지 마세요. 제가 손해봐서 그러는게 아닙니다. 여러분들이 고생합니다. ㅠㅠ 사전 경고 없이 서버가 꺼지거나 할 수 있는데 정작 저는 모를 수 있어요.



<제 책상의 라즈베리파이 MQTT 서버 - 언제나 꺼질 지 모르는 완벽한 불안정 속에 위치해 있다.>


** 리눅스에 MQTT 서버 설치/Open SSL 인증서 만드는 법 등 요청하시면 따로 포스팅 하겠습니다.


자 그럼 다시 코드로 넘어가겠습니다. mbedTLS와 관련하여 만들어야 할 함수가 존재하겠죠? 근데 뭐가 필요하죠? mbedTLS 코드를 다운로드 받으면 여러 예제가 있긴 하지만 보고 있으면 괴롭기만 할 뿐입니다. 괴로운건 ㅠㅠ 제가 이미 봤으니까 여러분들은 핵심만 가져가세요. (왜 남 좋은 일 하냐구요? 뭐 고마운신 분들은 댓글 주세요. 계좌번호 드릴테니까 돈 좀 주세요. 아니면 연봉 1억쯤 주시고 데려가서 노예로 쓰시면 됩니다.)


자! 쓸데없는 소리 그만하고 만들어야 할 함수를 설명하겠습니다.


wiz_mbedtls_ssl_init();

먼저 SSL이라고 피해갈 수 없겠죠? 초기화를 해야만 합니다. 각종 메모리 할당, callback 등록 등의 과정이 들어 있을 겁니다.


wiz_mbedtls_ssl_deinit();

뭐 이건 초기화의 반대네요. mbedtls가 malloc/free를 쓰는 이상 리소스 관리를 하지 않을 수가 없겠죠? init가 malloc을 했다면 deinit은 free를 주로 하겠네요.


wiz_mbedtls_ssl_handshake();

handshake를 처음에 설명드렸는지 안했는지 기억이 안납니다. ㅎ 암튼 SSL은 암호화된 통신을 하기 전에 서버와 클라이언트 사이의 암호화 방법을 결정하고 인증서를 교환하는 등의 과정을 거칩니다. 이 과정을 handshake라고 부르는데요 이 과정도 약간 프로그래밍을 해줘야 합니다. 대놓고 mbedtls_ssl_handshake()라는 함수를 사용해도 되지만 전 일단 감싸주려고 합니다. 처리해야 할 것도 약간 있구요.


wiz_mbedtls_ssl_random();

거의 모든 보안 알고리즘들은 난수를 필요로 합니다. 완벽한 난수일 수록 좋지요. 어쨌든 mbedTLS도 random 함수를 callback으로 묶어줘야 합니다. 없으면 기본적으로 내장된 rand()함수를 사용하게 프로그래밍 되어 있겠지만 음.. analog 입력을 받아(open 상태로) 그거라도 SEED를 줘서 rand()를 돌리는 게 훨씬 좋을 것 같습니다.


wiz_mbedtls_ssl_send();

기본적인 send()라고 보시면 됩니다. 일반적인 socket프로그램을 사용하면 mbedtls option질로 안 만들어도 되는 함수가 되겠지만 iolibrary는 일반적인 socket 프로그래밍 방식과는 약간 차이가 있기 때문에 iolibrary의 send를 한 번 감싸준 함수입니다.


wiz_mbedtls_ssl_recv();

wiz_mbed_ssl_send() 함수와 같은 역할입니다. 기본적인 recv함수 입니다.


wiz_mbedtls_ssl_recvtimeout();

동작은 wiz_mbedtls_ssl_recv와 같지만 time out 값을 지정해 시간내 응답이 없으면 TIME_OUT ERROR를 발생시키기 위한 목적입니다. wiz_mbedtls_ssl_recv와 wiz_mbedtls_ssl_recvtimeout 둘 중 하나만 콜벡으로 등록하면 된다고 기억하고 있지만 어쨌든 둘 다 만들어 봅시다.


아~~ 오늘은 토요일이라서 하기 싫다~~~ 그냥 소주나 한잔 먹고 싶다~


그래서 오늘은 이만 여기까지 쓰겠습니다. ㅎㅎ 다음 시간에는 함수 구현해 봅시다~~


안녕~

저작자 표시
신고

'Embedded SSL' 카테고리의 다른 글

SSL/TLS embedded for IoT #8  (0) 2017.06.27
SSL/TLS embedded for IoT #7  (0) 2017.06.19
SSL/TLS embedded for IoT #6  (0) 2017.06.17
SSL/TLS embedded for IoT #5  (0) 2017.06.16
SSL/TLS embedded for IoT #4  (0) 2017.06.15
SSL/TLS embedded for IoT #3  (6) 2016.12.28