CryptodevATECCx08 Auth: различия между версиями
Xenols (обсуждение | вклад) |
Xenols (обсуждение | вклад) |
||
| Строка 32: | Строка 32: | ||
Для этого сгенерируем ключевую пару: | Для этого сгенерируем ключевую пару: | ||
<pre>openssl genrsa -out ca.key 2048<pre> | |||
И сертификат нашего '''CA''': | И сертификат нашего '''CA''': | ||
| Строка 52: | Строка 51: | ||
в файле /etc/hostname: | в файле /etc/hostname: | ||
<pre> | |||
cat /etc/hostname | cat /etc/hostname | ||
wirenboard-AP6V5MDG | wirenboard-AP6V5MDG | ||
</pre> | |||
Далее этот запрос подписываем в нашем центре сертификации: | Далее этот запрос подписываем в нашем центре сертификации: | ||
| Строка 59: | Строка 60: | ||
В этой команде мы уазываем файл запроса, и файлы CA необходимые для подписи. В итоге получаем сертификат устройства device_AP6V5MDG.crt. | В этой команде мы уазываем файл запроса, и файлы CA необходимые для подписи. В итоге получаем сертификат устройства device_AP6V5MDG.crt. | ||
Файл device_AP6V5MDG.crt копируем на контроллер WB, он будет необходим для авторизацци. | Файл '''device_AP6V5MDG.crt''' копируем на контроллер WB, он будет необходим для авторизацци. | ||
Давайте посмотрим, что содержится в файлах сертификатов CA и устройства: | Давайте посмотрим, что содержится в файлах сертификатов CA и устройства: | ||
<pre> | |||
openssl x509 -text -noout -in device_AP6V5MDG.crt | |||
Certificate: | |||
Data: | |||
Version: 1 (0x0) | |||
Serial Number: | |||
bf:85:29:be:19:67:f5:3e | |||
Signature Algorithm: sha256WithRSAEncryption | |||
Issuer: CN = MY CA | |||
Validity | |||
Not Before: Feb 4 14:50:14 2019 GMT | |||
Not After : Feb 4 14:50:14 2020 GMT | |||
Subject: CN = wirenboard-AP6V5MDG | |||
Subject Public Key Info: | |||
Public Key Algorithm: id-ecPublicKey | |||
Public-Key: (256 bit) | |||
pub: | |||
04:66:80:f6:83:ea:4f:88:a5:05:df:8f:2c:62:f3: | |||
ad:71:55:87:7f:ae:12:ae:b1:74:4b:68:68:fd:f7: | |||
e0:8a:f4:44:87:45:ab:c1:07:3f:54:2a:a9:ea:c6: | |||
71:1d:41:63:67:1b:75:f4:00:42:8d:fd:f6:d5:b6: | |||
52:38:e8:5a:a9 | |||
ASN1 OID: prime256v1 | |||
NIST CURVE: P-256 | |||
Signature Algorithm: sha256WithRSAEncryption | |||
be:d1:f8:04:fb:34:a9:84:ff:25:b6:04:04:c0:f1:1d:4a:a4: | |||
04:b8:54:6c:a8:46:61:5f:6c:e7:ab:16:8f:ae:45:46:02:99: | |||
c6:d3:90:42:91:20:c7:89:d5:cf:4e:23:3a:33:64:ab:1b:c9: | |||
78:18:82:f4:39:8b:97:ae:6c:ee:a4:13:0c:5a:54:6b:69:c8: | |||
1e:fa:24:3d:48:2c:ea:0e:5c:0d:c3:43:c2:49:ea:b2:f8:5e: | |||
d7:0b:b5:4e:67:87:53:84:76:23:aa:10:77:5d:f1:21:9e:b0: | |||
4b:16:99:7c:d4:d3:d6:e7:00:9c:bf:53:a1:4b:f4:2c:fc:0b: | |||
64:10:fb:77:fc:3d:b2:71:cf:be:0b:b1:a2:62:ed:8c:92:e4: | |||
78:73:dc:69:c4:61:10:22:66:11:11:8b:d4:3c:b6:4f:7f:2c: | |||
24:07:61:47:15:2a:56:7e:71:69:59:15:8b:53:c8:e2:b5:ed: | |||
34:a0:78:70:d4:f6:cf:0f:6d:df:45:00:3b:0a:39:a2:fb:e7: | |||
89:f3:d9:88:7f:6b:bd:fa:ca:5e:44:94:74:70:5e:86:0b:93: | |||
ca:16:71:42:67:eb:77:bd:15:e3:90:2f:68:fd:bc:61:25:a3: | |||
a6:e7:8b:b1:42:bc:c2:36:d4:17:67:b3:77:fb:bd:06:e9:35: | |||
3b:8e:08:48 | |||
</pre> | |||
Видим, что сертификат выписан Центром сертификации с именем "MY CA" на 1 год, начная с "Feb 4 14:50:14 2019 GMT" (для этого мы указывали -days 365 в команде подписи), | |||
устройству с именем '''wirenboard-AP6V5MDG''', имеющим приватный ключ соответствующий публичному Subject Public Key Info. | |||
Сертификат подписан цифровой подписью. | |||
Цифровая подпись гарантирует, что никакая часть сертификата не может быть незаметно изменена. В случае изменения проверка публичным | |||
ключом '''CA''' даст ошибку. | |||
Версия 17:58, 5 февраля 2019
Использование встроенного чипа ATECCx08 для авторизации на внешних сервисах.
В контроллеры WirenBoard встроен чип ATECCx08, назначением которого является генерация ключевых пар, хранение приватных ключей а также операции асимметричного шифрования с использованием эллиптических кривых. Приватный ключ после начальной инициализации хранится в микросхеме и не покидает ее, тем самым исключается его компрометация.
Используя данную микросхему можно организовать авторизацию контроллера и защиту соединения по SSL на внешних сервисах и быть уверенным, что запрос выполнен с использованием именно этого экземпляра микросхемы.
В данной статье пойдет речь о трех вариантах применения: nginx, openssl, mosquitto.
Для доступа к криптоустройству нужна библиотека libateccssl1.1, установим ее командой:
apt install libateccssl1.1
Далее нужно отредактировать файл /etc/ssl/openssl.cnf, добавив в нем следующие строчки:
openssl_conf = openssl_init [openssl_init] engines = engine_section [engine_section] ateccx08 = ateccx08_section [ateccx08_section] init = 1
Теперь приступим к созданию сертификатов. Для начала создадим свой центр сертификации (Certification Authority, CA):
Для этого сгенерируем ключевую пару:
openssl genrsa -out ca.key 2048<pre> И сертификат нашего '''CA''': <pre>openssl req -x509 -new -days 3650 -key ca.key -out ca.crt -subj "/CN=MY CA"
CA является основой безопасности в данной схеме, поэтому эти операции выполняем на машине доступ к которой есть только у владельца CA.
Далее на конроллере WB создаем запрос на сертификат устройства:
openssl req -new -engine ateccx08 -keyform engine -key ATECCx08:00:04:C0:00 -subj "/CN=wirenboard-AP6V5MDG" -out device_AP6V5MDG.csr
В этой команде мы указываем, что запрос подписывается приватным ключом, находящимся в криптоустройстве ateccx08 ключом с идентификатором ATECCx08:00:04:C0:00 и публичным именем wirenboard-AP6V5MDG. Запрос помещаем в файл device_AP6V5MDG.csr.
Имя можно выбрать любое уникальное, удобно для этой цели спользовать идентификатор устройства, который по умолчанию прописывается в файле /etc/hostname:
cat /etc/hostname wirenboard-AP6V5MDG
Далее этот запрос подписываем в нашем центре сертификации: openssl x509 -req -in device_AP6V5MDG.csr -CA ca.crt -CAkey ca.key -out device_AP6V5MDG.crt -days 365 -CAcreateserial
В этой команде мы уазываем файл запроса, и файлы CA необходимые для подписи. В итоге получаем сертификат устройства device_AP6V5MDG.crt. Файл device_AP6V5MDG.crt копируем на контроллер WB, он будет необходим для авторизацци.
Давайте посмотрим, что содержится в файлах сертификатов CA и устройства:
openssl x509 -text -noout -in device_AP6V5MDG.crt
Certificate:
Data:
Version: 1 (0x0)
Serial Number:
bf:85:29:be:19:67:f5:3e
Signature Algorithm: sha256WithRSAEncryption
Issuer: CN = MY CA
Validity
Not Before: Feb 4 14:50:14 2019 GMT
Not After : Feb 4 14:50:14 2020 GMT
Subject: CN = wirenboard-AP6V5MDG
Subject Public Key Info:
Public Key Algorithm: id-ecPublicKey
Public-Key: (256 bit)
pub:
04:66:80:f6:83:ea:4f:88:a5:05:df:8f:2c:62:f3:
ad:71:55:87:7f:ae:12:ae:b1:74:4b:68:68:fd:f7:
e0:8a:f4:44:87:45:ab:c1:07:3f:54:2a:a9:ea:c6:
71:1d:41:63:67:1b:75:f4:00:42:8d:fd:f6:d5:b6:
52:38:e8:5a:a9
ASN1 OID: prime256v1
NIST CURVE: P-256
Signature Algorithm: sha256WithRSAEncryption
be:d1:f8:04:fb:34:a9:84:ff:25:b6:04:04:c0:f1:1d:4a:a4:
04:b8:54:6c:a8:46:61:5f:6c:e7:ab:16:8f:ae:45:46:02:99:
c6:d3:90:42:91:20:c7:89:d5:cf:4e:23:3a:33:64:ab:1b:c9:
78:18:82:f4:39:8b:97:ae:6c:ee:a4:13:0c:5a:54:6b:69:c8:
1e:fa:24:3d:48:2c:ea:0e:5c:0d:c3:43:c2:49:ea:b2:f8:5e:
d7:0b:b5:4e:67:87:53:84:76:23:aa:10:77:5d:f1:21:9e:b0:
4b:16:99:7c:d4:d3:d6:e7:00:9c:bf:53:a1:4b:f4:2c:fc:0b:
64:10:fb:77:fc:3d:b2:71:cf:be:0b:b1:a2:62:ed:8c:92:e4:
78:73:dc:69:c4:61:10:22:66:11:11:8b:d4:3c:b6:4f:7f:2c:
24:07:61:47:15:2a:56:7e:71:69:59:15:8b:53:c8:e2:b5:ed:
34:a0:78:70:d4:f6:cf:0f:6d:df:45:00:3b:0a:39:a2:fb:e7:
89:f3:d9:88:7f:6b:bd:fa:ca:5e:44:94:74:70:5e:86:0b:93:
ca:16:71:42:67:eb:77:bd:15:e3:90:2f:68:fd:bc:61:25:a3:
a6:e7:8b:b1:42:bc:c2:36:d4:17:67:b3:77:fb:bd:06:e9:35:
3b:8e:08:48
Видим, что сертификат выписан Центром сертификации с именем "MY CA" на 1 год, начная с "Feb 4 14:50:14 2019 GMT" (для этого мы указывали -days 365 в команде подписи), устройству с именем wirenboard-AP6V5MDG, имеющим приватный ключ соответствующий публичному Subject Public Key Info. Сертификат подписан цифровой подписью.
Цифровая подпись гарантирует, что никакая часть сертификата не может быть незаметно изменена. В случае изменения проверка публичным ключом CA даст ошибку.