fumingxiaoshen 2024-02-25 15:56 采纳率: 50%
浏览 100

基于openssl编程,报错Handshake failure 40

使用openssl源码目录demos/bio下的测试代码,当指定支持的签名算法时,会出现如下所示的问题,报错Handshake failure 40,并提示不支持列出的签名算法。

img


(1)这个报错的原因是因为libcrypto不支持该签名算法吗?我查看了openssl对于签名和hash算法的支持,是包括ECDSA和SHA512的

img

(2)在wireshark截获的报文中,为何无法看到服务端选择的签名算法
当我删除掉配置文件中对于签名算法的指定,发现能够正常建立TLS连接。我观察整个建立连接过程的报文,无法定位服务端到底选择了哪一个签名算法。

img

附:
1.客户端的配置文件

# Example configuration file

# Comment out the next line to ignore configuration errors
# config_diagnostics = 1

# Connects to the default port of s_server
Connect = localhost:4433

# Disable TLS v1.2 for test.
# Protocol = ALL, -TLSv1.2
# Only support 3 curves
Curves = P-521:P-384:P-256

# Restricted signature algorithms
SignatureAlgorithms = ECDSA+SHA512
# RSA+SHA512:ECDSA+SHA512

2.服务端的配置文件

# Example configuration file

# Comment out the next line to ignore configuration errors
# config_diagnostics = 1

# Port to listen on
Port = 4433

# Disable TLS v1.2 for test.
# Protocol = ALL, -TLSv1.2
# Only support 3 curves
Curves = P-521:P-384:P-256

# Restricted signature algorithms
SignatureAlgorithms = ECDSA+SHA512
#RSA+SHA512:ECDSA+SHA512
Certificate=server.pem
PrivateKey=server.pem
ChainCAFile=root.pem
VerifyCAFile=root.pem

# Request certificate
VerifyMode=Request
ClientCAFile=root.pem
  • 写回答

2条回答 默认 最新

  • 码农阿豪@新空间 Java领域优质创作者 2024-02-25 16:02
    关注
    让阿豪来帮你解答,本回答参考chatgpt3.5编写提供,如需一对一服务私聊我哦
    1. 可能的原因是openssl版本不支持该签名算法。检查openssl版本是否最新,并确认该版本是否支持所需的签名算法。 案例:如果使用的openssl版本比较旧,可能不支持最新的签名算法,比如post-quantum密码学中常用的算法。需要更新openssl版本或使用其他支持该算法的库。
    1. 服务端选择的签名算法可能被压缩。TLS协议中的签名算法通常在ServerHello消息中被传输,但是这些算法可能被压缩到更短的表示形式中,以减少传输的数据量。因此,在wireshark中无法直接看到服务端选择的签名算法。 案例:可以使用sslkeylog插件将协商过程中使用的密钥信息写入文件,然后使用Wireshark中的"Decode As"功能,在TLS密钥日志文件中解码加密数据包,将其解密并查看服务端选择的签名算法。代码如下:
    export SSLKEYLOGFILE=keylogfile.txt  # 设置密钥日志文件
./openssl s_server -accept 443 -key key.pem -cert cert.pem -tls1_2 -cipher ECDHE-RSA-AES256-GCM-SHA384  # 启动服务端

    在Wireshark中,选择"Edit"->"Preferences"->"Protocols"->"SSL"->"Pre-Master Secret log filename",输入密钥日志文件的路径,然后选择"Decode As"->"TLS"->右键"TLS"->"Preferences",在"RSA Keylist"或"ECDHE Keylist"中导入密钥日志文件,完成解密和查看签名算法。

    评论

报告相同问题?

  • OpenSSL API入门和踩坑大全
    2021-05-24 16:45
    Go和分布式IM的博客 OpenSSL库基础 根据 官方的例子,OpenSSL常用的结构体和函数如下: 初始化OpenSSL库 SSL_library_init():初始化SSL算法库函数 SSL_load_error_strings():载入所有SSL 错误消息 OpenSSL_add_all_algorithms(): ...
  • 令人作呕的OpenSSL
    2017-11-12 15:34
    weixin_33795093的博客 OpenSSL心脏出血之后,我相信很多人都出了血,并且流了泪...网上瞬间出现了大量吐嘈OpenSSL的文章或段子,仿佛内心的窝火一瞬间被释放了出来,跟着这场疯闹,我也吐一下嘈,以雪这些年被OpenSSL蹂躏之辱,也许可以...
  • 使用Go基于国密算法实现双向认证
    2022-07-18 08:00
    Tony Bai的博客 国内做2B(to Biz)或2G(to Gov)产品和解决方案的企业都绕不过国密算法,越来越多的国内甲方在采购需求中包含了基于国密算法的认证、签名、加密等需求。对于国内的车联网平台来说,支持基于国密的双向认证也是大势所趋...
  • openssl man手册
    2014-12-09 11:57
    李洛克07的博客 标 题: openssl简介--前言       不久前接到有关ssl的活, 结果找遍中文网站资料实在奇缺。感觉是好象现在国内做这个技术的人不多所有有兴趣写点东西来介绍一下。     我使用的ssl的toolkit是openssl...
  • openssl详解
    2018-03-23 11:26
    liguangxian2018的博客 openssl详解目录目录第一章 前言第二章 证书第三章 加密算法第四章 协议第五章 入门第六章 指令 verify第七章 指令asn1parse第八章 指令CA(一)第九章 指令CA(二)第十章 指令cipher第十一章 指令dgst...
  • OpenSSL简介
    2016-05-25 20:45
    qq_30866297的博客 openssl简介
  • openssl简介
    2015-04-09 15:18
    Junkie0901的博客 第一章 前言 不久前接到有关ssl的活,结果找遍中文网站资料实在奇缺。感觉是好象现在国内做这个技术的人不多,所以有兴趣写点...我打算漫漫说清楚其主要指令的用法,主要API的中文说明,以及使用/编程的方法。工作
  • openssl——server和client
    2018-08-13 17:37
    G_sng的博客 openssl中的s_server命令与s_client命令 1.1 s_server的man函数     NAME  s_server - SSL/TLS server program   SYNOPSIS  openssl s_server [-accept port] [-context id] [-verify depth] [-Ver...
  • openssl的man中文文档
    2019-01-15 14:25
    gyqinag的博客 标 题:&...openssl简介–前言              &nbsp
  • 新手入坑GMSSL(二)GMSSL双证书生成
    2020-06-24 11:53
    JagnDC的博客 但项目必须得做身不由己,无奈只能自己试一试了。 如果有哪里不对的地方,请各位一定指出,也让我...相信看到这篇博客的同学对于openssl的认识应该都比我要深,我就不班门弄斧了。可能国密这个领域对于其他技术来说.
  • App 抓包利器:Charles 以及 App 爬虫心得
    2021-06-15 14:11
    AI悦创|编程1v1的博客 IP 地址范围略有不同是正常的 很明显,此处 有线网络 IP 是:10.108.129.xxx 而无线网络IP是:10.108.132.xxx 看起来不像同属一个网络, 但实际上也是同属于一个局域网的 是正常的,不需担心 3.3.5 手机端首次使用...
  • 没有解决我的问题, 去提问

问题事件

  • 创建了问题 2月25日