OpenSSLライブラリを使ってプログラミング(3) 証明書・検証

OpenSSLライブラリを使ってプログラミング(1)
OpenSSLライブラリを使ってプログラミング(2) 証明書・検証についての予備知識
の続き

証明書ファイルの形式

証明書のエンコーディングにはPEM形式とDER形式(ASN.1形式)があるみたいだけど、OpenSSLではPEM形式の方が扱いやすいみたい(※PEM = Privacy Enhanced Mail、DER = ASN.1 Distinguished Encoding Rules)。PEM形式の証明書は次のようなもの。

OpenSSLでは、BEGIN行とEND行とに囲まれていない部分にはコメントを書いても良いみたい。
DER形式の証明書は、あらかじめPEM形式に変換しておけば良い。opensslコマンドで変換する場合は、

openssl x509 -inform der -in 入力ファイル -outform pem -out 出力ファイル

のようにする。
また自分の公開鍵証明書を使う場合、それに対応する私密鍵の読み込みも必要になるのだけど、鍵自体をパスワードで暗号化しておいた方がセキュリティ的には望ましい。暗号化されている場合は次のような感じになる。

相手に送る証明書チェーンと自分の私密鍵の読み込み

SSL/TLSで通信をおこなう場合、サーバ側はクライアント側に自分の公開鍵証明書を送る。クライアント側も、サーバ側が要求する場合には自分の公開鍵証明書を送らないといけないけど、そういうことはほとんどないと思う。たぶん。
そして証明書を受け取った側は、証明書を検証する。
でもOpenSSLライブラリを使ってプログラミング(2)に書いたように、証明書を検証する場合には、相手の証明書だけでなく、その証明書を発行したCAの証明書、そのCAの証明書を発行したCAの証明書、等々が必要になる(このような証明書の列を証明書チェーンという)。そのため、証明書を送る側は、検証を容易におこなえるように自分の証明書だけでなく、その証明書を発行したCAの証明書(以下略)、を送ることができる。この時、証明書チェーンの終わりにあたる自己署名証明書(ルート証明書)は送っても検証には役に立たないので、送っても送らなくても良い。また、証明書チェーンの途中までしか送らないということも可能(そうするメリットはあまり無いと思うけど)。
OpenSSLでは、自分の証明書の証明書チェーンを読み込むために次の関数を使う。読み込むファイルは、PEM形式の証明書を並べたもので、自分の証明書が一番最初で続く証明書も証明書チェーンの順番になっていないといけない。

int SSL_CTX_use_certificate_chain_file(SSL_CTX *ctx, const char *file);

それと、自分の公開鍵証明書を使う場合、それに対応する自分の私密鍵も必要になる。私密鍵を読み込む関数は次のもの。

int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);

typeは定数SSL_FILETYPE_PEMまたはSSL_FILETYPE_ASN1を指定する。読み込んだ鍵が暗号化されていると、デフォルトでは、プロンプトが出てパスワードを入力するようにうながされる。この動作を変える場合は、

void SSL_CTX_set_default_passwd_cb(SSL_CTX *ctx, pem_password_cb *cb);

を使う。くわしいことは省略する(http://www.openssl.org/docs/ssl/SSL_CTX_set_default_passwd_cb.html)。それと、パスワードを間違えると、鍵が使えないので、相手に証明書を送らないという動作になる。
証明書や鍵を読み込む関数は他にもたくさんあるみたい(http://www.openssl.org/docs/ssl/SSL_CTX_use_certificate.html)だけど、とりあえず上の関数だけで足りると思う。

信頼するCA(認証機関)の証明書の組み込み

相手から証明書(証明書チェーン)を受け取った側は、相手の証明書が信頼できるものかを検証する。その検証のためには、自分が信頼するCA(認証機関)の証明書が必要になる。
なのだけど、どのCAが信頼できるのかを決めたり、どうやってCAの証明書を手に入れるのかよくわからない(webブラウザに入っている証明書をエクスポートする、でも良いのか?)。
でもここでは、信頼できるCAの証明書は手に入っているとする。
信頼する証明書は次の関数で読み込む。

int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile, const char *CApath);

http://www.openssl.org/docs/ssl/SSL_CTX_load_verify_locations.html

SSL_CTX_load_verify_locations()を呼ぶタイミング

SSL_CTX_load_verify_locations()で組み込んだ証明書は送られてきた証明書の検証に使うのだけど、証明書の検証はハンドシェイクの時に自動でおこなわれる。そのためこの関数の呼び出しは、SSL_connect()を呼ぶ前でないといけない(サーバ側なら、SSL_accept()を呼ぶ前)。

SSL_CTX_load_verify_locations()の第2引数と第3引数

第2引数CAfileには証明書ファイルの名前を指定し、第3引数CApathには証明書ファイルの置いてあるディレクトリ名を指定する。
片方だけ指定しても良い。指定しない場合はNULLにする。
第2引数で指定する証明書ファイルには、複数の証明書が入っていて良い(各証明書はPEM形式)。
第3引数で指定するディレクトリに置かれた証明書ファイルは、各ファイルにつき一つの証明書だけを含んでいること。また各ファイル名は、証明書の持ち主の名前(subject name)のハッシュ値になっていないといけない。ディレクトリに対してc_rehashコマンドを実行すると、サフィックスが.crtと.pemのファイルに対して、ハッシュ値を名前に持つシンボリックリンクを作成してくれる。
関数の戻り値は証明書の読み込みに成功なら1、失敗なら0。第2引数と第3引数を両方ともNULLにすると0になる。第2引数に存在しないファイル名を指定すると0になる。でも存在しないディレクトリ名を指定しても0にはならない(ディレクトリで指定された場合、必要になるまで証明書の読み込みをおこなわない)ので注意。

証明書の検証

SSL_connect()でハンドシェイクをおこなうと、送られてきた証明書の検証を自動でやってくれる(検証の仕方を独自のものにしたい場合は、SSL_CTX_set_cert_verify_callback()関数で設定する。とりあえずは使わないのが無難)。
検証した結果は

long SSL_get_verify_result(const SSL *ssl);

で得られる。成功なら0、失敗なら0以外の値(失敗理由を表す整数)。ただし注意がいる。
もしも相手が証明書を送ってきていない場合、SSL_get_verify_result()は0を返す(つまり検証成功となる)。なのでSSL_get_peer_certificate()を呼んで戻り値がNULLでないこと(相手が自分の証明書をおくってきたこと)もチェックしておかないといけない。
それとSSL_get_verify_result()が成功を返したというのは「相手が送ってきた証明書は信頼できる認証機関から発行されたものです」といっているにすぎない。中間攻撃者もちゃんとした認証機関が発行した証明書を用意したり不正入手したりして、検証に成功する証明書を送ってくることができる。
だからSSL_get_verify_result()の結果の確認とは別に、相手の証明書の持ち主(subject name)部分を調べて、実際に通信したい相手なのかをチェックする必要がある。

SSL_get_verify_result()が0以外の場合

SSL_get_verify_result()が0(成功)以外の場合、失敗理由を表す整数コードが返ってくる。結果コードのそれぞれが何を意味しているのかは、マニュアルのverify(1)のところに出ている。
http://www.openssl.org/docs/apps/verify.html#DIAGNOSTICS
また、

const char* X509_verify_cert_error_string(long n);

にコードを入力すると、そのコードが表している失敗理由を文字列で得ることができる。
ただしこの失敗コードはそれだけではそんなに役には立たないと思う。証明書チェーンの中の複数の証明書のどの証明書で検証が失敗したのかわからないし、検証に失敗する理由が複数あってもそのうちの一つを返すだけなので。
検証のデフォルトの実行では、検証失敗となった時点で検証をやめ、それ以上検証をおこなわない。だから返される失敗コードは、検証の過程で最初に起こった失敗の理由を表す。
検証が失敗してもそのまま検証を続けるようにすることもできる(SSL_set_verify()関数を使って)けど、その場合は、検証に失敗するごとに失敗コードが上書きされていく。その結果、SSL_get_verify_result()が返すのは、複数の検証失敗のうち最後に起こったものを表すコードになる。

検証動作を少し変更する

デフォルトの検証の仕方を少しだけ変更したい場合や、検証の失敗理由を詳しく知りたい場合、

void SSL_set_verify(SSL *s, int mode, int (*verify_callback)(int, X509_STORE_CTX *));

を使う。第2引数のmodeをSSL_VERIFY_NONEにすると標準の動作。他のモードの説明は省略する。
第3引数verify_callbackは、検証中の特定の時点で呼び出される関数

int verify_callback(int preverify_ok, X509_STORE_CTX *x509_ctx);

で、これが呼び出されるタイミングは

(証明書チェーンのうちの)一つの証明書の検証が終了した時点(証明書の検証成功)
検証の失敗がおこった時点

のどちらか。第2引数preverify_okが1なら成功時の呼び出しで、0なら失敗時の呼び出し。
verify_callbackの戻り値については、1を返すと検証が続行され、0を返すとそこで検証が終了する。デフォルトの関数はpreverify_okを返している。
検証のくわしい状況は第3引数x509_ctxを調べるとわかる。

X509* X509_STORE_CTX_get_current_cert(X509_STORE_CTX *ctx);

で今調べていた証明書が得られる。また

int X509_STORE_CTX_get_error(X509_STORE_CTX *ctx);

によって失敗コードが得られるのだけど、失敗コードはただ上書きされていくだけ、ということに注意がいる。つまり、ある証明書の検証が成功した直後にこの関数を呼んでも、それ以前の証明書の検証に失敗していると0以外の値が返ってくることになる。これを避けるには、検証に失敗したときに、

void X509_STORE_CTX_set_error(X509_STORE_CTX *ctx,int s);

を使って、失敗コードを0に戻しておけば良い。ただし0にセットした後、全ての検証に成功すると、最終結果(SSL_get_verify_resultの返す値)も0(検証成功)になってしまう。逆に考えれば、この関数を使えば検証結果の変更ができるということにもなる。

プログラム例

OpenSSLライブラリを使ってプログラミング(1)に続き、プログラムはGauche + c-wrapper。
サーバ側は、証明書チェーンを送ったあと、クライアントが送ってくる内容をただ表示していくだけ。クライアント側は、サーバから受け取った証明書の検証して、検証失敗ならそこで終了し、検証できたら、あとはキーボードからの入力をただサーバ側に送りつづけるだけ。
以下のファイルを用意する。

サーバ側: 相手に送る証明書チェーン chain.crt
サーバ側: 自分の私密鍵 server_key.pem
クライアント側: 信頼するCAの証明書のリスト trustedCAs.crt

これらのファイルのサンプルは以下。
chain.crt

server's certificate
-----BEGIN CERTIFICATE-----
MIIBnDCCAQUCBAht6ywwDQYJKoZIhvcNAQEFBQAwGTEXMBUGA1UEAwwOaW50ZXJt
ZWRpYXRlQ0EwHhcNMDUwMTAxMDAwMDAwWhcNMjUwMTAxMDAwMDAwWjARMQ8wDQYD
VQQDDAZzZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAOep42FXEgy3
5GdJ4XMjMtb86unHqWU81qczvwbfFqDL2XjXqyYcMJiMcY87BzYqgnObpWi4nE/5
o/JJm9bI03j5Z9u2pK5DqevG85a3eBxrdYxmCVp8onzY3KDP28rohFjTKAf7eqJl
gYYo/9q1lR6oYc+yjAatE/BjZJQF/wwfAgMBAAEwDQYJKoZIhvcNAQEFBQADgYEA
KOg3VnMaKpmVhF3wPrpi7kWbn+qSlhvummAbU1rmbgDMBFYUlYN7/3lkyoTbvDnO
yuKDV+tcJhBH6C7AgMVLWDoTlw+Wa1PVMVUZuztElql6GiwTuatH49rIJfooQMhk
tiNLKWgRSqGPbw8XL72hkUEX1b7QCfQFHS/eL7K2S7U=
-----END CERTIFICATE-----

intermediateCA's certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

server_key.pem (パスワード: pass)

trustedCAs.crt

rootCA's certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

なお証明書や鍵の内容を見たい場合、opensslコマンドを次のように使えば良い。

openssl x509 -in 証明書ファイル -text
openssl dsa -in 鍵ファイル -text

次にプログラム。
まずはサーバのプログラム。
server.scm

#!/usr/bin/env gosh

(use gauche.net)
(use gauche.parseopt)
(use c-wrapper)
(c-load "openssl/ssl.h" :libs "-lssl -lcrypto")

(define (main args)
  (let-args (cdr args)
      ((port "p|port=i" 9999))

    (define socket0 (make-server-socket 'inet port :reuse-addr? #t))

    (SSL_library_init)
    (let1 context (SSL_CTX_new (SSLv23_method))
      (SSL_CTX_set_options context SSL_OP_NO_SSLv2)

      (SSL_CTX_use_certificate_chain_file context "chain.crt")
      (SSL_CTX_use_PrivateKey_file context "server_key.pem" SSL_FILETYPE_PEM)

      (let accept-loop ((socket (socket-accept socket0))
                        (ssl (SSL_new context)))
        (SSL_set_fd ssl (socket-fd socket))
        (SSL_accept ssl)

        (let* ((buffer-size 1000)
               (buffer (make (c-array <c-uchar> buffer-size))))
          (let read-loop ((read-size (SSL_read ssl buffer buffer-size)))
            (when (> read-size 0)
              (print (cast <string> (ptr buffer)))
              (read-loop (SSL_read ssl buffer buffer-size)))))

        (SSL_shutdown ssl)
        (SSL_free ssl)
        (accept-loop (socket-accept socket0) (SSL_new context)))
      (SSL_CTX_free context))))

次がクライアント側。
client.scm

#!/usr/bin/env gosh

(use gauche.net)
(use gauche.parseopt)
(use c-wrapper)
(c-load "openssl/ssl.h" :libs "-lssl -lcrypto")

(define (main args)
  (let-args (cdr args)
      ((host "h|host=s" "localhost")
       (port "p|port=i" 9999))

    (define socket (make-client-socket 'inet host port))
    (SSL_library_init)
    (let1 context (SSL_CTX_new (SSLv23_method))
      (SSL_CTX_set_options context SSL_OP_NO_SSLv2)
      (SSL_CTX_load_verify_locations context "trustedCAs.crt" (make-null-ptr))

      (let1 ssl (SSL_new context)
        (SSL_set_fd ssl (socket-fd socket))
        (SSL_connect ssl)

        (when (or (not (peer-certificate-received? ssl))
                    (not (peer-certificate-verified? ssl)))
            (format #t "Certificate chain is not verified\n~a\nverify: "
              (cast <string>
                (X509_verify_cert_error_string (SSL_get_verify_result ssl))))
            (exit 0))

        (print "Please input")
        (let loop ((line (read-line)))
          (when (not (eof-object? line))
            (SSL_write ssl line (string-size line))
            (loop (read-line))))


        (SSL_shutdown ssl)
        (SSL_free ssl))
      (SSL_CTX_free context))))

(define (peer-certificate-received? ssl)
  (let1 cert (SSL_get_peer_certificate ssl)
    (cond ((null-ptr? cert) #f)
          (else (X509_free cert) #t))))

(define (peer-certificate-verified? ssl)
  (zero? (SSL_get_verify_result ssl)))