gmssl 国密ssl流程测试

最新推荐文章于 2024-09-24 14:54:23 发布
最新推荐文章于 2024-09-24 14:54:23 发布
阅读量5.8k 收藏 12
点赞数 3
分类专栏: 加密 文章标签: ssl ca证书 tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39952971/article/details/115178980
版权

gmssl 国密ssl流程测试

前言

普通ssl/TLS中使用的是单证书,而国密ssl(gmtls)要求的是双证书,即加密证书+签名证书。
gmssl中保留了openssl中ssl、tls的流程,同时也实现了gmtls的流程。
本章将使用gmssl命令行工具,对ssl和gmtls的流程进行测试。

注:本章使用的国密证书在之前的章节中讲了如何生成。
https://blog.youkuaiyun.com/qq_39952971/article/details/115168241

一 gmssl ssl流程测试 单证书单向认证

服务端命令:

gmssl s_server -accept 44330 -key gmcrt/2_sign.key -cert gmcrt/2_sign.crt  -CAfile gmcrt/ca.crt

客户端:

gmssl s_client -connect localhost:44330 -key gmcrt/1_sign.key -cert gmcrt/1_sign.crt -CAfile gmcrt/ca.crt

测试日志(服务端):可以看出ssl的通信流程

Using default temp DH parameters
[GMTLS_DEBUG] set sm2 signing certificate
[GMTLS_DEBUG] set sm2 signing private key
ACCEPT
SSL_accept:before SSL initialization
SSL_accept:before SSL initialization
SSL_accept:SSLv3/TLS read client hello
SSL_accept:SSLv3/TLS write server hello
SSL_accept:SSLv3/TLS write certificate
SSL_accept:SSLv3/TLS write key exchange
SSL_accept:SSLv3/TLS write server done
SSL_accept:SSLv3/TLS write server done
SSL_accept:SSLv3/TLS read client key exchange
SSL_accept:SSLv3/TLS read change cipher spec
SSL_accept:SSLv3/TLS read finished
SSL_accept:SSLv3/TLS write session ticket
SSL_accept:SSLv3/TLS write change cipher spec
SSL_accept:SSLv3/TLS write finished
-----BEGIN SSL SESSION PARAMETERS-----
CIPHER is ECDHE-SM2-WITH-SMS4-GCM-SM3
Secure Renegotiation IS supported

二 gmssl ssl 流程 单证书 双向认证

服务端命令:

gmssl s_server -verify 1 -accept 44330 -key gmcrt/2_sign.key -cert gmcrt/2_sign.crt  -CAfile gmcrt/ca.crt -state

其中-verify 1 参数表示服务端要对客户端的证书进行验证。默认只是客户端验证服务端的证书。

客户端:

gmssl s_client -connect localhost:44330 -key gmcrt/1_sign.key -cert gmcrt/1_sign.crt -CAfile gmcrt/ca.crt -state

测试日志-服务端:

verify depth is 1
Using default temp DH parameters
[GMTLS_DEBUG] set sm2 signing certificate
[GMTLS_DEBUG] set sm2 signing private key
ACCEPT
SSL_accept:before SSL initialization
SSL_accept:before SSL initialization
SSL_accept:SSLv3/TLS read client hello
SSL_accept:SSLv3/TLS write server hello
SSL_accept:SSLv3/TLS write certificate
SSL_accept:SSLv3/TLS write key exchange
SSL_accept:SSLv3/TLS write certificate request   
//  服务端发出证书请求
SSL_accept:SSLv3/TLS write server done
SSL_accept:SSLv3/TLS write server done

verify return:1
SSL_accept:SSLv3/TLS read client certificate
SSL_accept:SSLv3/TLS read client key exchange
SSL_accept:SSLv3/TLS read certificate verify
SSL_accept:SSLv3/TLS read change cipher spec
SSL_accept:SSLv3/TLS read finished
SSL_accept:SSLv3/TLS write session ticket
SSL_accept:SSLv3/TLS write change cipher spec
SSL_accept:SSLv3/TLS write finished

三 gmssl gmtls 流程 双证书 单向认证

服务端命令:

gmssl s_server -gmtls -accept 44330 -key gmcrt/2_sign.key -cert gmcrt/2_sign.crt  -dkey gmcrt/2_enc.key -dcert gmcrt/2_enc.crt -CAfile gmcrt/ca.crt -state

-state参数表示打印跟多信息,方便调试。

客户端:

gmssl s_client -gmtls -connect localhost:44330 -key gmcrt/1_sign.key -cert gmcrt/1_sign.crt -dkey gmcrt/1_enc.key -dcert gmcrt/1_enc.crt -CAfile gmcrt/ca.crt -state

日志-客户端:

[GMTLS_DEBUG] set sm2 signing certificate
[GMTLS_DEBUG] set sm2 signing private key
[GMTLS_DEBUG] set sm2 encryption certificate
[GMTLS_DEBUG] set sm2 decryption private key
CONNECTED(00000003)
SSL_connect:before SSL initialization
SSL_connect:SSLv3/TLS write client hello
SSL_connect:SSLv3/TLS write client hello
SSL_connect:SSLv3/TLS read server hello
depth=1 C = CN, ST = Some-State, L = beijing, O = Internet Widgits Pty Ltd, OU = xd, CN = yaomingyue
verify return:1
depth=0 C = CN, ST = Some-State, O = Internet Widgits Pty Ltd, OU = xd, CN = yao
verify return:1
SSL_connect:SSLv3/TLS read server key exchange
SSL_connect:SSLv3/TLS read server done
SSL_connect:SSLv3/TLS write client key exchange
SSL_connect:SSLv3/TLS write change cipher spec
ssl_get_algorithm2=4a58fcd008x
SSL_connect:SSLv3/TLS write finished
SSL_connect:SSLv3/TLS write finished
SSL_connect:SSLv3/TLS read change cipher spec
SSL_connect:SSLv3/TLS read finished


New, GMTLSv1.1, Cipher is SM2-WITH-SMS4-SM3
SSL-Session:
    Protocol  : GMTLSv1.1
    Cipher    : SM2-WITH-SMS4-SM3
    Session-ID: C59ADB1090F5948375648E1172F299FC6E722D0EF6C94490EE992A5852EEA087
    Session-ID-ctx: 
    Master-Key: BF9BCB2B31359649CC4F0EA373B5B8674F462FA24C90147D0A8861F0129FB09E7D7F4E5AE1965A5BA336903BB6608B7C
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    Start Time: 1616571315
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
    Extended master secret: no

可以看出,现在使用的协议已经变成gmtlsv1.1了。

四 gmssl gmtls 流程 双证书 双向认证

服务端命令:

gmssl s_server -verify 1 -gmtls -accept 44330 -key gmcrt/2_sign.key -cert gmcrt/2_sign.crt  -dkey gmcrt/2_enc.key -dcert gmcrt/2_enc.crt -CAfile gmcrt/ca.crt

客户端:

gmssl s_client -gmtls -connect localhost:44330 -key gmcrt/1_sign.key -cert gmcrt/1_sign.crt -dkey gmcrt/1_enc.key -dcert gmcrt/1_enc.crt -CAfile gmcrt/ca.crt -state

目前运行服务端报错:

crypto/sm2/sm2_sign.c 510: sm2_do_verify
ERROR
139865536943936:error:1417B07B:SSL routines:tls_process_cert_verify:bad signature:ssl/statem/statem_srvr.c:2941:

应该是gmssl的GMTLS的双证书双向验证流程还有问题,需要改gmssl的源码。

总结

在测试的过程中可以进行抓包查看,可以更清晰的看到ssl和gmtls的通信流程:
在这里插入图片描述

注:GMTLS协议的抓包查看
因为wireshark目前不支持GMTLS协议解析,所以需要改变下。
用UE将抓包文件打开,找到160101等ssl开头的数据,然后改成160303 ,再用wireshark打开,当做TLS1.3 来看。
参考如下博文:
https://blog.youkuaiyun.com/mrpre/article/details/78015580

SSL通信的调试技巧
云水木石
05-09 3067
前面写了几篇开发相关的文章:解读非对称加算法SM2啥?双证书?详解SM2的加和解详解SSL ECC_SM4_SM3套件详解SM2的数字签名这篇文章来聊一聊S...
linux安装gmssl(最新版)
最新发布
LM306的博客
04-23 222
再按照依赖和cmake即可,安装make同样是命令:sudo apt install make。若安装任何库都有问题,考虑是源的问题,更新源:sudo apt-get update。若报错考虑先安装g++依赖:sudo apt install g++
GmSSL制作算法自签证书和 HTTPS 配置
jingzhiz 专属移动笔记
10-09 6985
GmSSL 是一个开源(遵循 BSD 协议)的码工具箱,支持 SM2 / SM3 / SM4 / SM9 / ZUC 等(家商用码)算法、SM2 数字证书及基于 SM2 证书SSL / TLS 安全通信协议,支持硬件码设备,提供符合规范的编程接口与命令行工具,可以用于构建 PKI / CA 、安全通信、数据加等符合标准的安全应用。GmSSL 项目是 OpenSS...
gmssl测试sm2加解、签名、随机数
12-22
gmssl测试代码基础上修改,实现sm2加解调用、sm2签名调用和验证、符合标的随机数生成方式调用
gmssl ssl 源码测试 --非BIO接口
viqjeee的博客
03-24 1321
gmssl ssl 源码测试 --非BIO接口前言一 服务端流程1 ssl初始化2 配置验证对方证书,并加载ca证书3 配置本端双证书和私钥4 开启一个socket5 建立ssl连接6 从ssl连接中读写数据二 客户端流程1 初始化ssl2 配置验证服务端证书,并加载ca证书3 加载双证书4 建立socket,连接到服务端。5 建立ssl连接6 从ssl连接中读写数据三 测试数据和日志服务端:客户端: 前言 之前的章节中使用gmssl的命令行对ssl gmtls 进行了测试,这里,使用gms
gmssl 2.0测试sm2加解、签名 sm3摘要
12-14
GmSSL 2.0 - OpenSSL 1.1.0d 26 Jan 2017 版本上,编写的sm2 加解 ,签名验签,sm3摘要的测试程序
GmSSL库和源码和测试程序.rar
03-09
里面包含了最新的gmssl源码和用vs2013在电脑上编译出来的windows库,库包含ssl和crypt两个模块。还有测试程序。直接调用库即可。里面还有客户端源码和服务端源码,以及测试程序需要的下载好的证书,可以直接运行。所有资源全部包括。
Gmssl
fswsky的博客
09-24 986
这行命令生成了一个自签名的根证书,该证书的主题信息包括了 "CN=ROOTCA, OU=CS, O=PKU, L=Haidian, ST=Beijing, C=CN",有效期为 3650 天。生成证书时使用了之前生成的根私钥 rootcakey.pem,并且指定了该证书可以用于签发证书和签发 CRL(证书吊销列表)这行命令生成了一个证书请求(CSR),请求的主题信息包括了 "CN=Sub CA, OU=CS, O=PKU, L=Haidian, ST=Beijing, C=CN",有效期为 3650 天。
SSL浏览器访问SSL规范Tomcat服务器的完整方法(附演示DEMO访问方法)
04-09
3. 使用新安装的浏览器访问 https://127.0.0.1 地址,浏览器通过GMSSL_ECC_WITH_SM4_CBC_SM3码套件与TOMCAT服务器建立SSL规范的单向加通道,并打开指定网页 以上步骤经过实际测试 感谢大宝CA...
GMSSL算法配置实战:一步步搭建高效安全环境
![GMSSL算法配置实战:一步步搭建高效安全环境]...随后,详细介绍了GMSSL算法的安装与配置步骤,包括选择合适版本、安装过程、SSL/TLS协议配置、套件和证书的配置以及测试与验
GMSSL算法升级指南:旧系统到新系统的平滑过渡
GMSSL算法是应对信息安全挑战的关键技术之一,升级工作涉及对算法原理的深入理解、与际标准的对比以及在不同系统环境中的集成与配置。本文概述了GMSSL算法的升级过程,详细介绍了其基础知识、在旧系统中的...
sm2测试加签名验签性能代码(基于Gmssl)c语言
09-04
sm2测试加签名验签性能代码(基于Gmssl)c语言
Windows 下使用Visual Studio 2013编译算法库GMSSL
09-29
Windows 下使用Visual Studio 2013编译算法库GMSSL
iOS gmssl
10-25
编译好的供iOS使用的库,直接导入引用即可。支持SM系列!
死磕GMSSL通信-java/Netty系列(二)
qq_36577699的博客
04-16 2247
Netty-tcnative再linux编译比较好编译,但是再window编译,我尝试了各种办法,总是编译失败,所以我采用半自动的方式进行编译,Netty-tcnative会生成临时文件,直接用vs打开,设置openssl的头文件和静态库路径,然后生成静态库,静态库改个名字放到jar包里边,其实自动编译也是这个原理哈哈O(∩_∩)O。直接传输五个证书的路径吗,之前有的是说要转成x509之类的,转来转去的有点麻烦,这个是直接传输证书路径,由底层gmssl去解析,格式必须是pem格式。然而,若项目已依赖于。
GMSSL
weixin_45471729的博客
11-23 873
GmSSL是一个开源的加包的python实现,支持SM2/SM3/SM4等(家商用码)算法、项目采用对商业应用友好的类BSD开源许可证,开源且可以用于闭源的商业应用。 安装 pip install gmssl SM2算法 RSA算法的危机在于其存在亚指数算法,对ECC算法而言一般没有亚指数攻击算法 SM2椭圆曲线公钥码算法:我自主知识产权的商用码算法,是ECC(Elliptic Curve Cryptosystem)算法的一种,基于椭圆曲线离散对数问题,计算复杂度是指数级,求解难度
使用Clion和gmssl动态库实现服务器server和客户端client之间的SSL通信,测试指定码套件
CHYabc123456hh的博客
07-25 1940
使用Clion和gmssl动态库实现服务器server和客户端client之间的SSL通信,测试指定码套件
GMSSL-通信
qq_36577699的博客
04-12 821
GmSSL这个库的问题很多,发现许多库和它都不能正常通信,都需要修改代码,不是修改客户端就是修改服务端,而且这个开源项目基本处于不维护的状态,如果准备集成的GM通信的,优先选择。最近再做通信的项目开发,以为也就简单的集成一个库就可以完事了,没想到能有这么多坑。理论上客户端和服务端的证书应该是俩套,也可以直接客户端和服务器用一样的证书,我这里直接用了一套,大家可以自行测试俩套的。这里就不提供证书生成的过程了,网上生成的教程很多,GMSSL需要五个证书。1、经过最近几天的测试,发现。
You are given two arrays a and b , both of length n . Your task is to count the number of pairs of integers (i,j) such that 1≤i<j≤n and ai⋅aj=bi+bj .
05-29
To solve this problem, we can first preprocess the array b to create a hash table that maps each value in b to its frequency. Then, for each pair of indices (i,j) such that i<j, we can check if ai⋅aj is equal to bi+bj by computing ai/bj and aj/bi and checking if they are equal. If they are equal, we can check if the values ai/bj and aj/bi are present in the hash table. If both values are present, we can increment our count by the product of their frequencies in the hash table. The time complexity of this algorithm is O(n^2) due to the nested loops, but the constant factor is small due to the hash table lookups. Here is the Python code for the algorithm: ``` from collections import defaultdict def count_pairs(a, b): n = len(a) freq = defaultdict(int) for x in b: freq[x] += 1 count = 0 for i in range(n): for j in range(i+1, n): if a[i]*a[j] == b[i]+b[j]: if b[i] != 0 and b[j] % b[i] == 0 and a[j] == (b[j] // b[i]) * a[i]: x = b[i] y = b[j] // b[i] if x in freq and y in freq: count += freq[x] * freq[y] if b[j] != 0 and b[i] % b[j] == 0 and a[i] == (b[i] // b[j]) * a[j]: x = b[j] y = b[i] // b[j] if x in freq and y in freq: count += freq[x] * freq[y] return count ``` Note that we need to check both possible orderings of ai and aj in case one of them is zero or the corresponding value in b is not present in the hash table.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

viqjeee

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值