从命令行测试自定义 openSSL 引擎答案

【问题标题】：Testing a custom openSSL engine from the command line从命令行测试自定义 openSSL 引擎
【发布时间】：2017-05-23 00:39:35
【问题描述】：

快速问题：如何验证我从命令行编写的自定义 openSSL 引擎的功能？

现在我正在关注this 很棒的教程，并且能够使用我的测试程序（source code here，位于 test/wssha256engine_test 的测试程序）成功地运行引擎（返回全 2 的摘要值） .c).

brett@wintermute:~/openssl_ws/wssha256engine$ make test
make[1]: Entering directory 
/home/brett/openssl_ws/wssha256engine/test
make[1]: '../bin/test' is up to date.
make[1]: Leaving directory 
/home/brett/openssl_ws/wssha256engine/test
brett@wintermute:~/openssl_ws/wssha256engine$ bin/test
Engine Loaded...
Initializing wssha256 engine...
*TEST: Successfuly initialized engine [A test engine for the ws sha256 hardware encryption module, on the Xilinx ZYNQ7000]
    init result = 1
Digest NID=672 requested
SHA256 algorithm context initialized
*TEST: Digest INIT 1
SHA256 update
*TEST: Digest Update 1
SHA256 final: sizeof(EVP_MD)= 120
SHA256 cleanup
*TEST: Digest Final 1 Digest size:32
22222222222222222222222222222222

但是，由于某些原因，我还想使用 openssl 命令行界面来运行我刚刚编写的引擎，并让它计算像this other tutorial 中的随机字符串的摘要，只使用 sha256 而不是 md5。

但是当我尝试这样做时，引擎不会加载并导致错误告诉我我的摘要的 NID 不存在，而是使用标准算法对字符串进行哈希处理：

brett@wintermute:~/openssl_ws/wssha256engine$ echo "Hello" | openssl dgst -engine /home/brett/Thesis/openssl_ws/wssha256engine/bin/libwssha256engine.so -sha256
ERROR: Digest is empty! (NID = 0)
engine "wssha256" set.
(stdin)= 66a045b452102c59d840ec097d59d9467e13a3f34f6494e539ffd32c1bb35f18

为什么我不能在命令行上使用我的引擎，但我可以创建一个 C 程序来加载它？以及如何使用我的引擎从命令行计算摘要？

注意：我可以从命令行加载引擎，只是不使用它。

【问题讨论】：

如果我遵循您的最后一个问题，答案将是您的shell 不知道初始化由您编写的 C 程序加载的 openssl 环境以加载它。据我所知，也没有办法告诉 openssl 接口使用单独的引擎。如果您想通过 CLI 界面使您的引擎可用，那么您需要实现一个小 shell（通过execv 等）将命令传递给您的引擎，或者为您的引擎提供一个输入例程，您可以重定向想要命令。
@DavidC.Rankin 我认为情况并非如此。许多教程按照我的意图使用引擎 API
现在你变得更有意义了。您的 C 程序是根据特定的 API 编写的。您是说 openssl CLI 为您使用的 API 提供了特定的钩子，但是当您尝试使用 C 程序时，您会在尝试初始化引擎时收到ERROR: Digest is empty!。您是否遵守了页面准备部分的所有要求？特别是“OpenSSL 引擎存储在 /usr/lib/engines/”？

标签： c openssl libcrypto evp-cipher openssl-engine

【解决方案1】：

经过一番挖掘，我能够弄清楚为什么我的引擎的 CLI 调用不起作用，并解决了这个问题。

问题出在我的摘要选择器函数中（原始损坏的代码在下面注释掉）。最初，我从摘要选择器函数返回了一个失败状态，而不是返回引擎支持的摘要 ID 的数量。

static int wssha256engine_digest_selector(ENGINE *e, const EVP_MD **digest, const int **nids, int nid)
{
    if (!digest)
  {
    *nids = wssha256_digest_ids;

    // THIS ORIGINAL CODE CAUSES THE ENGINE TO NEVER INITIALIZE FROM A CLI INVOCATION
    //printf("ERROR: Digest is empty! (NID = %d)\n",nid);
    //return FAIL;

    // THIS FIXES IT
    int retnids = sizeof(wssha256_digest_ids - 1) / sizeof(wssha256_digest_ids[0]);
    printf("wssha256engine: digest nids requested...returning [%d]\n",retnids);
    return retnids;
}

仔细阅读，我们可以发现 OpenSSL 通过以下（单独的）方式调用摘要选择器函数：

摘要为 NULL。在这种情况下，*nids 应该被分配一个以零结尾的 NID 数组，调用返回可用 NID 的数量。 OpenSSL 使用它来确定该引擎支持哪些摘要。
摘要为非NULL。在这种情况下，*digest 应该被分配指向与 nid 给出的 NID 对应的 EVP_MD 结构的指针。如果请求 NID 是该引擎支持的，则调用返回 1，否则返回 0。

因此，即使我的引擎支持 sha256，CLI 调用也不起作用，因为在调用摘要选择器函数之前它必须没有使用摘要初始化（使用 CLI 时不知道操作顺序）。但是，当我在测试程序中手动初始化它时，一切正常。更改为非失败返回值以支持上述调用 1. 解决了问题。

【讨论】：