mbedtls安装与入门

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了mbedtls安装与入门相关的知识,希望对你有一定的参考价值。

mbedtls简介

ARM mbedtls使开发人员可以非常轻松地在(嵌入式产品中加入加密和 SSL/TLS 功能。它提供了具有直观的 API 和可读源代码的 SSL 库。该工具即开即用,可以在大部分系统上直接构建它,也可以手动选择和配置各项功能。

mbedtls 库提供了一组可单独使用和编译的加密组件,还可以使用单个配置头文件加入或排除这些组件。
从功能角度来看,该mbedtls分为三个主要部分:
- SSL/TLS 协议实施。
- 一个加密库。
- 一个 X.509 证书处理库。

mbedtls安装

下面介绍如何在 Ubuntu/Debian/raspbian环境下正确安装mbedtls。

克隆源代码

前往github克隆最新版的mbedtls源代码。获取最新版源代码之前需要在Ubuntu/Debian中正确安装Git工具

 git clone https://github.com/ARMmbed/mbedtls.git
  • 1
  • 1

切换分支(可选)

切换到某个release分支,此处选择mbedtls-2.4。

git checkout -b mbedtls-2.4 origin/mbedtls-2.4
  • 1
  • 1

通过git checkout可检出具体分支
- checkout 切换分支
- -b mbedtls-2.4 创建本地分支
- origin/mbedtls-2.4 切换到远程分支mbedtls-2.4

查看分支

通过git branch查看分支,确认已经切换到mbedtls-2.4分支

git branch 
  development
* mbedtls-2.4
  • 1
  • 2
  • 3
  • 4
  • 1
  • 2
  • 3
  • 4

安装

mbedtls支持make、cmake等多种安装方式。下面介绍make方式和cmake方式编译源代码,并在目标主机中安装mbedtls动态链接库和头文件。本文推荐使用cmake工具安装mbedtls。

make方式

make SHARED=1
sudo make install
  • 1
  • 2
  • 1
  • 2
  • 使用make时默认情况下并不会生成动态链接库
  • SHARED=1 生成动态链接库

cmake方式(推荐)

cmake方式比make方式的步骤要多一些,如果目标主机并没有安装cmake工具,可通过apt-get工具安装cmake。

# 更新软件源
sudo apt-get update
# 通过软件源安装cmake
sudo apt-get install cmake
# 生成makefile文件,启用生成动态链接库选项
cmake -DUSE_SHARED_MBEDTLS_LIBRARY=On .
# 以下步骤和make方式相同
make
sudo make install
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • -DUSE_SHARED_MBEDTLS_LIBRARY=On 生成动态链接库
  • 使用cmake时,不要忘记之后cmake指令之后的 . ,该点表示当前目录

修改mbedtls配置

mbedtls也可以通过修改配置文件的方式进行裁剪,mbedtls提供了几个参考模板,具体的config.h文件可参考mbedtls/configs目录,该目录中包括config-ccm-psk-tls1_2.h, config-mini-tls1_1.h等文件。和mbedtls安装方法相似,可通过make方法和cmake方法修改具体配置。

make方法

# 设置MBEDTLS_CONFIG_FILE宏,指向config-ccm-psk-tls1_2.h
CFLAGS="-I$PWD/configs -DMBEDTLS_CONFIG_FILE=‘<config-ccm-psk-tls1_2.h>‘" 
# 重新编译
make
  • 1
  • 2
  • 3
  • 4
  • 1
  • 2
  • 3
  • 4

cmake方法

# 删除之前cmake相关中间文件,但是不包括CMakeLists.txt文件
find . -iname ‘*cmake*‘ -not -name CMakeLists.txt -exec rm -rf {} +
# 指定配置文件为 config-ccm-psk-tls1_2.h,重新编译
CFLAGS="-I$PWD/configs -DMBEDTLS_CONFIG_FILE=‘<config-ccm-psk-tls1_2.h>‘" cmake .
  • 1
  • 2
  • 3
  • 4
  • 1
  • 2
  • 3
  • 4

安装总结

  • 默认情况下 动态链接库安装至 /usr/local/lib 包括libmbedtls.so libmbedcrypto.so libmbedx509.so
  • 默认情况下 头文件安装至 /usr/local/include/mbedtls
  • 默认情况下 mbedtls的相关工具将安装只 /usr/local/bin目录下,例如gen_key等

基础示例

示例代码

下面我们通过一个示例来说明如何使用mbedtls。这个示例通过介绍如何使用HMAC算法生成一个消息认证码。hmac-test.c代码如下:

#include <string.h>
#include <stdio.h>
#include "mbedtls/md.h"

#define mbedtls_printf     printf

int main(void)
{
    int ret;
    unsigned char secret[] = "a secret";
    unsigned char buffer[] = "some data to hash";
    unsigned char digest[32];
    mbedtls_md_context_t sha_ctx;

    mbedtls_md_init(&sha_ctx);
    memset(digest, 0x00, sizeof(digest));

    ret = mbedtls_md_setup(&sha_ctx, mbedtls_md_info_from_type(MBEDTLS_MD_SHA256), 1);
    if (ret != 0)
    {
        mbedtls_printf("  ! mbedtls_md_setup() returned -0x%04x\n", -ret);
        goto exit;
    }

    mbedtls_md_hmac_starts(&sha_ctx, secret, sizeof(secret) - 1);
    mbedtls_md_hmac_update(&sha_ctx, buffer, sizeof(buffer) - 1);
    mbedtls_md_hmac_finish(&sha_ctx, digest );

    mbedtls_printf("HMAC: ");
    for (int i = 0; i < sizeof(digest); i++)
        mbedtls_printf("%02X", digest[i]);
    mbedtls_printf("\n");

exit:
    mbedtls_md_free( &sha_ctx );

    return ret;
}
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31
  • 32
  • 33
  • 34
  • 35
  • 36
  • 37
  • 38
  • hmac算法需要两个参数,一个称为秘钥,此处为secret,另一个称为消息,此处为buffer
  • 消息认证码保留在 digest 数组中
  • 此处hmac算法选择sha256算法作为单向散列函数,所以hmac的计算结果一定为32字节。
  • 在mbedtls中,消息认证码的生成分为三个步骤
    1. mbedtls_md_hmac_starts 设置密钥
    2. mbedtls_md_hmac_update 填充消息,本示例仅填充了一次
    3. mbedtls_md_hmac_finish 生成消息认证码,结果保存至digest中
  • 最后把digest使用HEX格式打印至控制台

cmake

在hmac-test.c同目录中新建一个名为Cmakelists.txt的文件,文件内容如下

cmake_minimum_required(VERSION 2.6)
# 定义工程名称
project("hmac-test")

# 定义依赖动态链接库
set(libs
    mbedtls
    mbedcrypto 
    mbedx509
)

set(targets
    hmac-test
)

add_executable(hmac-test hmac-test.c)
target_link_libraries(hmac-test ${libs})
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17

验证测试

# 生成makefile文件
cmake .
# 执行makefile,生成可执行文件hmac-test
make
# 运行可执行文件hmac-test
./hmac-test
# 控制台输出运行结果
HMAC: 7FD04DF92F636FD450BC841C9418E5825C17F33AD9C87C518115A45971F7F77E
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9

更多角度验证

如果不确定mbedtls的运算结果,也可以编写一个Node.js脚本,使用相同参数的情况下两者的计算结果应该完全相同。

const crypto = require(‘crypto‘);
const hmac = crypto.createHmac(‘sha256‘, ‘a secret‘);

hmac.update(‘some data to hash‘);
console.log(hmac.digest(‘hex‘));
// Prints:
// 7fd04df92f636fd450bc841c9418e5825c17f33ad9c87c518115a45971f7f77e
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

总结

  1. 安装mbedtls可使用make方法和cmake方法,两种方式均可正确安装mbedtls
  2. mbedtls提供三个重要动态链接库——libmbedtls.so libmbedcrypto.so libmbedx509.so
  3. 通过cmake方式可更方便的编写mbedtls应用

以上是关于mbedtls安装与入门的主要内容,如果未能解决你的问题,请参考以下文章

如何在 julia-1.6.2 上安装包 MbedTLS?

未使用 mbedTLS+ATECC608A 创建 JITP 证书(与 moquitto_pub 一起使用)

具有不同端口的同一服务器上的 2 个连接 mbedtls

使用 mbedtls 生成的 RSA 签名,无法使用 C# (bouncycastle) 应用程序进行验证

在Tomcat的安装目录下conf目录下的server.xml文件中增加一个xml代码片段,该代码片段中每个属性的含义与用途

如何使用 mbedtls 验证证书是不是验证密钥?