Tiger Blog

自作 Socks Tunnel の暗号化について

前回の Firewall を貫くツールを自作してみた の続きです。今回は暗号化の部分を補完します。

基本的は SSL/TLS のデータ送受信の段階と同じ共通鍵暗号を使えばいいです。
今回はとりあえず一番普通の AES-256-CBC で暗号化しようと思ういます。(アルゴリズムは簡単に変えられます)

Ruby でやるなら OpenSSL::Cipher を使えば簡単に実装できます。

暗号化と復号化用のクラスはこんな感じです。基本的は Ruby のドキュメント通りです。

coder.rb
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

require "openssl"

CIPHER = "AES-256-CBC"
SALT = "V\x11\x97\xA6r\xEF[\xFE"
PASSWORD = "mypassword"

class Coder
  def initialize
    cipher = OpenSSL::Cipher.new(CIPHER)
    key_iv = OpenSSL::PKCS5.pbkdf2_hmac_sha1(PASSWORD, SALT, 2000, cipher.key_len + cipher.iv_len)
    @key = key_iv[0, cipher.key_len]
    @iv = key_iv[cipher.key_len, cipher.iv_len]

    @encoder = OpenSSL::Cipher.new(CIPHER)
    @encoder.encrypt
    @encoder.key = @key

    @decoder = OpenSSL::Cipher.new(CIPHER)
    @decoder.decrypt
    @decoder.key = @key
  end

  def encode(data)
    @encoder.iv = @iv
    @encoder.update(data) + @encoder.final
  end

  def decode(data)
    @decoder.iv = @iv
    @decoder.update(data) + @decoder.final
  end
end

キーと IV を手元で作っても構わないが、ドキュメント通りに PBKDF2 を使って、パスワードとソルトから生成したほうが正しい道と思います。
もちろんパスワードとソルトをソースコードに書くのも良くないですけど、ここは一旦置いといて、とりあえず暗号化と復号化ができればいいです。

1
2
3
4
5
6
7
8

irb
2.3.0 :001 > require_relative "coder"
2.3.0 :002 > coder = Coder.new
 => #<Coder:0x007ffa4a04b1d0 @key="\xE4\xC6\xDF\x80\xE7\x81k\x7F\b@\ezo\x18@~U}\xE9\xA9\xE4++\xAE\x92X\x81\xE8\tu\xD6(", @iv="S\x8C\xC6\xB8\x97l\xACu\xD4O\xB7\xEF\xAA\x11\xCB\xD3", @encoder=#<OpenSSL::Cipher:0x007ffa4a04b108>, @decoder=#<OpenSSL::Cipher:0x007ffa4a04b0e0>>
2.3.0 :003 > encoded = coder.encode("test12345")
 => ",\x81\xFD\xEE\v\x91fr\xA1eC\xECR:\x00\xF0"
2.3.0 :004 > coder.decode(encoded)
 => "test12345"

後は前回残した TODO のところにこの Coder を適用すればいいです。

ここでちょっとハマったところは、EventMachine::Connection#send_data はメッセージをまるごと送信するとは限らないです。途切れ途切れになるかもしれません。
暗号化しない場合は特に問題ないだけど、暗号化すると、どこからどこまでは1つのメッセージなのかがわからないと、ちゃんと複合できなくなります。
だから人為的に区切りのものをメッセージの間に入れることになりました。

1
2
3
4
5

def send_encoded_data(data)
  return if data.nil? || data.empty?
  send_data(@coder.encode(data))
  send_data("DRECOMADVENTCALENDAR")  # 文字列にするかバイナリにするかはお好きにどうぞ
end

通信内容はこんな感じになります。

1
2
3
4
5
6

HOST:PORT (Encoded)
DRECOMADVENTCALENDAR <- Delimiter
DATA (Encoded)
DRECOMADVENTCALENDAR <- Delimiter
DATA (Encoded)
DRECOMADVENTCALENDAR <- Delimiter

複合するところも一旦バッファに入れて、区切りのところまで切り取って順番に復号します。

1
2
3
4
5
6
7
8
9
10

def receive_data(data)
  return if data.nil? || data.empty?
  @buffer << data
  loop do
    fore, rest = @buffer.split("DRECOMADVENTCALENDAR", 2)
    break unless rest
    server.send_data(@coder.decode(fore))
    @buffer = rest
  end
end

これで通信が暗号化され、安心で使えるようになりました。\(^▽^)/
作りはまだ雑だけど、もう実用できると思います。

具体的なコードはまた Github のほうへどうぞ。

Firewall を貫くツールを自作してみた

これは 【その2】ドリコム Advent Calendar 2015 24日目の記事です。
23日目の記事は hayato240 さんの二郎を思い浮かべながら、RSpecを学んだことの振り返り です。
【その1】ドリコム Advent Calendar 2015 もあわせてどうぞ。

自己紹介

こんにちは、タイガーです。

中国上海からきてます。ドリコム歴はもう4年目です。
本業はサーバーサイドのエンジニアです。今年は iOS と Android のクライアントの開発も結構やりました。

まえがき

この間 Great Firewall が VPN も遮断するニュースがありまして、ちょっと周りの人とその話をしました。

多分エンジニアの皆さんはご存知と思います。中国にいるならこれを越えないといろいろ不便になります。そのためにいろんなツールも作られています。一番有名のは shadowsocks、見ての通りいつかその存在が消えるかもしれませんね。エンジニアとしてはやはり自分がその仕組を理解すれば一番いいと思います。

本題

Firewall を通過するには、SOCKS5 っていうプロトコルが存在します。具体的な仕様は RFC1928 に定義されています。8ページしかないので、割りとすぐ読み終えます。基本的は SOCKS5 をベースにして作ればいろいろ汎用出来ます。

すでに shadowsocks 大先輩があるので、それを参考にしながら作ってみましょう。言語はもちろん Ruby です。