src/crypto/sslUtil.cpp

   1 #include "sslUtil.h"
   2
   3 #include <sys/types.h>
   4 #include <termios.h>
   5 #include <unistd.h>
   6
   7 #include <iostream>
   8
   9 #include "crypto/CRL.h"
  10 #include "log/logger.hpp"
  11
  12 std::shared_ptr<int> ssl_lib_ref(
  13     new int( SSL_library_init() ),
  14     []( int* ref ) {
  15         delete ref;
  16
  17         EVP_cleanup();
  18         CRYPTO_cleanup_all_ex_data();
  19     } );
  20
  21 std::shared_ptr<X509> loadX509FromFile( const std::string& filename ) {
  22     std::shared_ptr<FILE> f( fopen( filename.c_str(), "r" ), fclose );
  23
  24     if( !f ) {
  25         return std::shared_ptr<X509>();
  26     }
  27
  28     X509* key = PEM_read_X509( f.get(), NULL, NULL, 0 );
  29
  30     if( !key ) {
  31         return std::shared_ptr<X509>();
  32     }
  33
  34     return std::shared_ptr<X509>(
  35         key,
  36         []( X509 * ref ) {
  37             X509_free( ref );
  38         } );
  39 }
  40
  41 std::shared_ptr<EVP_PKEY> loadPkeyFromFile( const std::string& filename ) {
  42     std::shared_ptr<FILE> f( fopen( filename.c_str(), "r" ), []( FILE * ptr ) {
  43         if( ptr ) {
  44             fclose( ptr );
  45         }
  46     } );
  47
  48     if( !f ) {
  49         return std::shared_ptr<EVP_PKEY>();
  50     }
  51
  52     EVP_PKEY* key = PEM_read_PrivateKey( f.get(), NULL, NULL, 0 );
  53
  54     if( !key ) {
  55         return std::shared_ptr<EVP_PKEY>();
  56     }
  57
  58     return std::shared_ptr<EVP_PKEY>(
  59         key,
  60         []( EVP_PKEY * ref ) {
  61             EVP_PKEY_free( ref );
  62         } );
  63 }
  64
  65 int gencb( int a, int b, BN_GENCB* g ) {
  66     ( void ) a;
  67     ( void ) b;
  68     ( void ) g;
  69     std::cout << ( a == 0 ? "." : "+" ) << std::flush;
  70     return 1;
  71 }
  72
  73 static int verify_callback( int preverify_ok, X509_STORE_CTX* ctx ) {
  74     if( !preverify_ok ) {
  75         //auto cert = X509_STORE_CTX_get_current_cert(ctx);
  76         //BIO *o = BIO_new_fp(stdout,BIO_NOCLOSE);
  77         //X509_print_ex(o, cert, XN_FLAG_COMPAT, X509_FLAG_COMPAT);
  78         //BIO_free(o);
  79
  80         logger::errorf( "Verification failed: %s because %s", preverify_ok, X509_STORE_CTX_get_error( ctx ) );
  81     }
  82
  83     return preverify_ok;
  84 }
  85
  86 static std::shared_ptr<DH> dh_param;
  87
  88 std::shared_ptr<SSL_CTX> generateSSLContext( bool server ) {
  89     std::shared_ptr<SSL_CTX> ctx = std::shared_ptr<SSL_CTX>( SSL_CTX_new( TLSv1_2_method() ), []( SSL_CTX * p ) {
  90         SSL_CTX_free( p );
  91     } );
  92
  93     if( !SSL_CTX_set_cipher_list( ctx.get(), "HIGH:+CAMELLIA256:!eNull:!aNULL:!ADH:!MD5:-RSA+AES+SHA1:!RC4:!DES:!3DES:!SEED:!EXP:!AES128:!CAMELLIA128" ) ) {
  94         throw "Cannot set cipher list. Your source is broken.";
  95     }
  96
  97     SSL_CTX_set_verify( ctx.get(), SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, verify_callback );
  98     SSL_CTX_use_certificate_file( ctx.get(), server ? "keys/signer_server.crt" : "keys/signer_client.crt", SSL_FILETYPE_PEM );
  99     SSL_CTX_use_PrivateKey_file( ctx.get(), server ? "keys/signer_server.key" : "keys/signer_client.key", SSL_FILETYPE_PEM );
 100
 101     if( 1 != SSL_CTX_load_verify_locations( ctx.get(), "keys/ca.crt", 0 ) ) {
 102         throw "Cannot load CA store for certificate validation.";
 103     }
 104
 105     if( server ) {
 106         STACK_OF( X509_NAME ) *names = SSL_load_client_CA_file( "keys/env.crt" );
 107
 108         if( names ) {
 109             SSL_CTX_set_client_CA_list( ctx.get(), names );
 110         } else {
 111             // error
 112         }
 113
 114         if( !dh_param ) {
 115             std::shared_ptr<FILE> paramfile( fopen( "dh_param.pem", "r" ), fclose );
 116
 117             if( paramfile ) {
 118                 dh_param = std::shared_ptr<DH>( PEM_read_DHparams( paramfile.get(), NULL, NULL, NULL ), DH_free );
 119             } else {
 120                 dh_param = std::shared_ptr<DH>( DH_new(), DH_free );
 121                 logger::note( "Generating DH params" );
 122                 BN_GENCB cb;
 123                 cb.ver = 2;
 124                 cb.arg = 0;
 125                 cb.cb.cb_2 = gencb;
 126
 127                 if( !DH_generate_parameters_ex( dh_param.get(), 2048, 5, &cb ) ) {
 128                     throw "DH generation failed";
 129                 }
 130
 131                 std::cout << std::endl;
 132                 paramfile = std::shared_ptr<FILE>( fopen( "dh_param.pem", "w" ), fclose );
 133
 134                 if( paramfile ) {
 135                     PEM_write_DHparams( paramfile.get(), dh_param.get() );
 136                 }
 137             }
 138         }
 139
 140         if( !SSL_CTX_set_tmp_dh( ctx.get(), dh_param.get() ) ) {
 141             throw "Cannot set tmp dh.";
 142         }
 143     }
 144
 145     return ctx;
 146 }
 147
 148 void setupSerial( std::shared_ptr<FILE> f ) {
 149     struct termios attr;
 150
 151     if( tcgetattr( fileno( f.get() ), &attr ) ) {
 152         throw "failed to get attrs";
 153     }
 154
 155     attr.c_iflag &= ~( IGNBRK | BRKINT | PARMRK | ISTRIP | INLCR | IGNCR | ICRNL | IXON );
 156     attr.c_oflag &= ~OPOST;
 157     attr.c_lflag &= ~( ECHO | ECHONL | ICANON | ISIG | IEXTEN );
 158     attr.c_cflag &= ~( CSIZE | PARENB );
 159     attr.c_cflag |= CS8;
 160
 161     cfsetispeed( &attr, B115200 );
 162     cfsetospeed( &attr, B115200 );
 163
 164     if( tcsetattr( fileno( f.get() ), TCSANOW, &attr ) ) {
 165         throw "failed to get attrs";
 166     }
 167 }
 168
 169 std::shared_ptr<BIO> openSerial( const std::string& name ) {
 170     std::shared_ptr<FILE> f( fopen( name.c_str(), "r+" ), fclose );
 171
 172     if( !f ) {
 173         logger::error( "Opening serial device failed." );
 174         return std::shared_ptr<BIO>();
 175     }
 176
 177     setupSerial( f );
 178     return std::shared_ptr<BIO>(
 179         BIO_new_fd( fileno( f.get() ), 0 ),
 180         [f]( BIO* b ) {
 181             BIO_free(b);
 182         } );
 183 }
 184
 185 CAConfig::CAConfig( const std::string& name ) : path( "ca/" + name ), name( name ) {
 186     ca = loadX509FromFile( path + "/ca.crt" );
 187     caKey = loadPkeyFromFile( path + "/ca.key" );
 188     ASN1_TIME* tm = X509_get_notBefore( ca );
 189     notBefore = std::shared_ptr<ASN1_TIME>( tm, ASN1_TIME_free );
 190 }
 191
 192 std::string timeToString( std::shared_ptr<ASN1_TIME> time ) {
 193     std::shared_ptr<ASN1_GENERALIZEDTIME> gtime( ASN1_TIME_to_generalizedtime( time.get(), 0 ) );
 194     std::string strdate( ( char* ) ASN1_STRING_data( gtime.get() ), ASN1_STRING_length( gtime.get() ) );
 195
 196     if( strdate[strdate.size() - 1] != 'Z' ) {
 197         throw "Got invalid date?";
 198     }
 199
 200     return strdate.substr( 0, strdate.size() - 1 );
 201 }
 202
 203 void extractTimes( std::shared_ptr<X509> target,  std::shared_ptr<SignedCertificate> cert ) {
 204     cert->before = timeToString( std::shared_ptr<ASN1_TIME>( X509_get_notBefore( target.get() ), ASN1_TIME_free ) );
 205     cert->after = timeToString( std::shared_ptr<ASN1_TIME>( X509_get_notAfter( target.get() ), ASN1_TIME_free ) );
 206 }
 207
 208 bool CAConfig::crlNeedsResign() {
 209     std::shared_ptr<CRL> crl( new CRL( path + "/ca.crl" ) );
 210     return crl->needsResign();
 211 }