eSpressif esp8266芯片組是三美元的“事物互聯網”發展委員會的經濟現實。根據流行的自動固件建築工地Nodemcu-Builds,在過去的60天內有13,341個自定義固件為該平台構建。其中,只有19%的SSL支持,10%包括加密模塊。
我們往往批評IOT部門缺乏安全,經常覆蓋殭屍網絡和其他攻擊,但我們將把我們的項目置於我們需求的相同標準嗎?我們會停下來識別問題,還是我們可以成為解決方案的一部分?
本文將專注於使用運行Nodemcu固件的流行ESP8266芯片對MQTT協議應用AES加密和哈希授權功能。我們的目的不是提供複製/粘貼靈棍,而是逐步完成流程,沿途識別挑戰和解決方案。結果是一個系統,該系統是端到端加密和認證,防止沿途竊聽,並欺騙有效數據,而無需依賴於SSL。
我們知道還有更強大的平台,可以輕鬆地支持SSL(例如Raspberry PI,Orange Pi,FriendlyArm),但讓我們從我們大多數人躺在最便宜的硬件上開始,以及適合我們許多項目的協議。如果您需要,AES是您可以在AVR上實施的東西。
理論
MQTT是一個輕量化的消息傳遞協議,在TCP / IP之上運行,通常用於IOT項目。客戶端設備訂閱或發佈到主題(例如,傳感器/溫度/廚房),這些消息由MQTT代理中繼。有關MQTT的更多信息,可在其網頁或我們自己的入門系列中提供。
MQTT協議沒有超出用戶名/密碼身份驗證的任何內置安全功能,因此通過SSL對網絡進行加密和認證是通用的。但是,SSL對ESP8266和啟用時,SSL可能更加苛刻,因此您將留下更少的內存為您的應用程序。作為輕量級替代方案,您只能加密已發送的數據有效負載,並使用會話ID和散列函數進行身份驗證。
直接執行此操作的是使用Lua和Nodemcu加密模塊,包括支持CBC模式中AES算法以及HMAC哈希函數。使用AES加密正確需要三件事來生成密文:消息,密鑰和初始化向量(IV)。消息和鍵是簡單的概念,但初始化向量值得一些討論。
當您在具有靜態鍵的AES中對消息進行編碼時,它將始終產生相同的輸出。例如,用key“1234567890abcdef”加密的消息“UsernamePassword”可能會產生“E40D86C04D723AFF”等結果。如果使用相同的密鑰和消息再次運行加密,則會獲得相同的結果。這為您打開了幾種常見類型的攻擊,特別是模式分析和重放攻擊。
在模式分析攻擊中,您可以使用給定數據的知識始終產生相同的密文來猜測不同消息的目的或內容而沒有實際知道密鑰。例如,如果在所有其他通信之前發送消息“E40D86C04D723AFF”,則可能會迅速猜測它是登錄。簡而言之,如果登錄系統是簡單的,則發送該數據包(重播攻擊)可能足以將自己標識為授權用戶,並且混亂隨之而來。
IVS使模式分析更加困難。 IV是與修改結束密文結果的密鑰一起發送的數據。顧名思義,它在數據進入之前初始化加密算法的狀態。對於發送的每條消息,IV需要不同,以便重複的數據加密到不同的密文,以及一些密碼(如AES-CBC)需要它是不可預測的 – 實現這一目標的實用方法只是為了每次隨機調整它。 IVS不必保密,但典型以某種方式混淆它們是典型的。
雖然這可以防止模式分析,但它沒有幫助重播攻擊。例如,重傳給定的一組加密數據仍將重複結果。為防止,我們需要驗證發件人。我們將使用公共,偽偽裝生成的每條消息的會話ID。通過發佈到MQTT主題,可以由接收設備生成此會話ID。
防止這些類型的攻擊在幾種常見用例中是重要的。互聯網控制的爐灶存在,拋開效用,如果他們沒有使用不安全的命令,那將是很好的。其次,如果我是從一百個傳感器的數據記錄,我不希望任何人用垃圾填充我的數據庫。
實用加密
在Nodemcu上實施上述需要一些努力。您將需要編譯的固件,除了任何其他人之外,還包括“加密”模塊您的申請。不需要SSL支持。
首先,讓我們假設您與以下內容的內容連接到MQTT代理。您可以將其實現為來自加密學的單獨功能,以保持清潔。客戶端訂閱了SessionID頻道,該頻道適當地發布了很長的偽隨機會話ID。您可以加密它們,但這不是必需的。
1
2
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
m = mqtt.client(“ClientId”,120)
M:連接(“myserver.com”,1883,0,
功能(客戶)
打印(“連接”)
客戶:訂閱(“mytopic / sessionid”,0,
功能(客戶)打印(“訂閱成功”)結束
的)
結尾,
功能(客戶,原因)
打印("失敗原因:“..原因)
結尾
的)
M:ON(“消息”,函數(客戶端,主題,SessionID)結束)
繼續前進,節點ID是幫助識別數據源的便捷方式。您可以使用您希望的任何字符串:nodeId = node.chipid()。
然後,我們設置了靜態初始化向量和密鑰。這僅用於使用每條消息發送的隨機初始化向量,不用於任何數據。我們還為數據選擇一個單獨的鍵。這些鍵是16位十六進制,只需用您的方式替換它們。
最後,我們將需要一個密碼,以便哈希函數我們稍後使用。一串合理的長度很好。
1
2
3.
4.
staticiv =“abcdef2345678901”abcdef2345678901“
IVKEY =“2345678901ABCDEF”
datakey =“0123456789abcdef”
passphrase =“myPassphrase”。
我們還假設您有一些數據來源。對於此示例,它將是從ADC讀取的值。 DATA = ADC.READ(0)
現在,我們生成偽隨機初始化向量。對於偽隨機數函數,一個16位十六進制號碼太大,因此我們將其生成兩半(16 ^ 8.1減1)並連接它們。
1
2
3.
4.
5.
half1 = node.random(4294967295)
half2 = node.random(4294967295)
i = string.format(“%8x”,半)
v = string.format(“%8x”,harm2)
IV = I .. V
我們現在可以運行實際加密。在這裡,我們正在加密當前初始化向量,節點ID和一條傳感器數據。
1
2
3.
Encrypted_iv = crypto.encrypt(“AES-CBC”,Ivkey,IV,Staticiv)
加密_NodeDID = Crypto.encrypt(“AES-CBC”,Datakey,NodeID,IV)
加密_data = crypto.encrypt(“aes-cbc”,datakey,data,iv)
現在我們應用哈希函數進行身份驗證。首先,我們將NodeID,IV,數據和會話ID組合成一個消息,然後使用我們之前定義的密碼來計算HMAC SHA1哈希。我們將其轉換為Hex,使其對任何調試更具人性化。
1
2
fullmessage = nodeid .. IV ..數據..會話方式
hmac = crypto.tohex(Crypto.hmac(“sha1”,fullmessage,passphrase))
既然,既有加密和認證檢查都已到位,我們可以將所有這些信息放在某些結構中並發送它。在這裡,我們將使用逗號分隔值,因為它方便:
1
2
payload = table.concat({encrypted_iv,eid,data1,hmac},",“)
M:發布(“yourmqtttttttttopic”,有效載荷,2,1,功能(客戶端)p =“發送”打印(P)結束)
當我們在實際的nodemcu上運行上面的代碼時,我們會得到這樣的輸出:
1d54dd1af0f75a91a00d4dcd8f4ad28d,
D1A0B14D187C5ADFC948DFD77C2B2EE5,
564633A4A053153BCBD6ed25370346D5,
C66697DF7E7D467112757C841BFB6BCE051D6289
總之,加密程序如下(用於清晰度的MQTT部分):
1
2
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
nodeId = node.chipid()
staticiv =“abcdef2345678901”abcdef2345678901“
IVKEY =“2345678901ABCDEF”
datakey =“0123456789abcdef”
passphrase =“myPassphrase”。
DATA = ADC.READ(0)
half1 = node.random(4294967295)
half2 = node.random(4294967295)
i = string.format(“%8x”,半)
v = string.format(“%8x”,harm2)
IV = I .. V
Encrypted_iv = crypto.encrypt(“AES-CBC”,Ivkey,IV,Staticiv)
加密_NodeDID = Crypto.encrypt(“AES-CBC”,Datakey,NodeID,IV)
加密_data = crypto.encrypt(“aes-cbc”,datakey,data,iv)
fullmessage = nodeid .. IV ..數據..會話方式
hmac = crypto.tohex(Crypto.hmac(“sha1”,fullmessage,passphrase)))
payload = table.concat({encrypted_iv,encrypted_nodeid,encrypted_data,hmac},",“)
解密
現在,您的MQTT經紀人不知道或關心數據加密,它只通過它。因此,您的其他MQTT客戶端訂閱主題將需要知道如何解密數據。在Nodemcu上,這很容易。只需通過逗號將所接收的數據拆分為字符串,並執行以下操作。注意此目端將生成會話ID所以已經知道它。
1
2
3.
4.
5.
6.
7.
8.
9.
10.
staticiv =“abcdef2345678901”abcdef2345678901“
IVKEY =“2345678901ABCDEF”
datakey =“0123456789abcdef”
passphrase =“myPassphrase”。
IV = crypto.decrypt(“AES-CBC”,IVKEY,ENCRYPTED_IV,STATIDIV)
nodeId = crypto.decrypt(“AES-CBC",代購,加密_NodeID,IV)
data = crypto.decrypt(“aes-cbc”,datakey,crecrypted_data,iv)
fullmessage = nodeid .. IV ..數據..會話方式
hmac = crypto.tohex(Crypto.hmac(“sha1”,fullmessage,passphrase)))
然後將接收和計算的HMAC進行比較,而無論結果如何,都會通過生成新的結果使得該會話ID無效。
再次,在Python
對於一點品種,請考慮我們如何在Python中處理解密,如果我們在同一虛擬機上作為正在分析數據或將其存儲在數據庫中的經紀人的MQTT客戶端。假設您已收到數據作為字符串“有效載荷”,從類似於Python的優秀Paho MQTT客戶端。
在這種情況下,在發送之前,它方便十六進制在Nodemcu上編碼加密數據。所以在Nodemcu上,我們將所有加密數據轉換為hex,例如:encrypted_iv = crypto.ctohex(Crypto.encrypt(“AES-CBC”,IVKEY,IV,STOTYIV))
發布隨機化的SessionID未在下面討論,但使用OS.urandom()和Paho MQTT客戶端很容易。解密處理如下:
1
2
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
29.
30.
31.
32.
33.
34.
35
來自Crypto.Cipher Import AES
進口Binascii.
來自Crypto.Hash進口沙,HMAC
#定義所有鍵
IVKEY =’2345678901abcdef’
datakey =’0123456789abcdef’
staticiv =’abcdef2345678901′
passphrase =’mypassphrase’
#將收到的字符串轉換為列表
data = payload.split(“,”)
#提取列表項
Encrypted_iv = binascii.unhexlify(數據[0])
加密_nodeid = binascii.unhexlify(數據[1])
Encrypted_data = binascii.unhexlify(數據[2])
收到_hash = binascii.unhexlify(數據[3])
#解密初始化向量
IV_DECRYPTION_SUITE = AES.NEW(IVKEY,AES.MODE_CBC,Staticiv)
IV = IV_DECRYPTION_SUITE.DECRYPT(ENCRYPTED_IV)
#使用初始化向量解密數據
id_decryption_suite = aes.new(datakey,aes.mode_cbc,iv)
nodeId = id_decryption_suite.decrypt(加密_nodeid)
data_decryption_suite = aes.new(datakey,aes.mode_cbc,iv)
sensoldata = data_decryption_suite.decrypt(encrypted_data)
#compute哈希函數比較收到_hash
fullmessage = s.join([nodeid,iv,sensoldata,sessionid])
hmac = hmac.new(passphrase,fullmessage,sha)
computed_hash = hmac.hexdigest()
#查看docs.python.org/2/library/hmac.html如何牢固地比較散列
結束,開始
現在我們有一個系統,通過MQTT服務器向另一個ESP8266客戶端或正在運行Python的更大系統發送加密的身份驗證消息。如果你自己實施這個,仍有重要的鬆散目的是為了捆綁。鍵全部存儲在ESP8266S的閃存中,因此您需要控制對這些設備的訪問,以防止逆向工程。鍵也存儲在接收數據的計算機上的代碼中,在此處運行Python。此外,您可能希望每個客戶端都有一個不同的密鑰和密碼。這是許多秘密材料,以在必要時保持安全和可能更新。解決關鍵分佈問題是留作動機讀者的練習。
在閉幕筆記上,關於編寫涉及密碼學的文章的可怕事物之一是在互聯網上有錯誤的可能性。這是一種相當簡單的應用與HMAC的測試和真正的AES-CBC模式應用,所以它應該非常堅固。儘管如此,如果您在上面找到了任何有趣的缺點,請在評論中告知我們。