<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@DengXian";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Consolas;
        panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:1655180795;
        mso-list-type:hybrid;
        mso-list-template-ids:808901314 -1 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level2
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level3
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level4
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level5
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level6
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
@list l0:level7
        {mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level8
        {mso-level-number-format:alpha-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l0:level9
        {mso-level-number-format:roman-lower;
        mso-level-tab-stop:none;
        mso-level-number-position:right;
        text-indent:-9.0pt;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style></head><body lang=EN-US link=blue vlink="#954F72"><div class=WordSection1><p class=MsoNormal>Hello everyone,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m new at OpenSSL programming and encountered a problem while build TLS connection. I’m working on a crypto chip ATECC508A. So the client private key is stored in the chip and no way to get it out. However during standard TLS handshake, I need to provide client private key by “SSL_CTX_use_private_key()” if server needs to identify the client. Because the server will give a “challenge” to client and client needs to encrypt it by client private key. Then the server will decode it by client public key and check if they match. For your reference: <a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake"><span style='font-size:11.5pt;font-family:"Arial",sans-serif;color:#005999;border:none windowtext 1.0pt;padding:0in;background:white'>https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_handshake</span></a><o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I have written my sample client and server code. Everything works fine if I use my own test certificates: selft-signed CA and client cert signed by CA (this means I have the test client cert private key so that I could use SSL_CTX_use_private_key() to import it). <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The problem is here, in ATECC508A, I’m not able to provide private key directly but have API to sign any digests. So I wonder are there any ways to do some “modification” during handshake? I have tried following two ways:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><ol style='margin-top:0in' start=1 type=1><li class=MsoListParagraph style='margin-left:0in;mso-list:l0 level1 lfo1'>Using OpenSSL Engine. I see that we could set our own algorithms inside engine to overwrite original methods. I think signing “challenge” is at EC_KEY_METHOD. So I write an EC_KEY_METHOD engine and load it successful. Besides I print “enter” and “leave” at the beginning and end of every function in EC_KEY_METHOD. When I do some tests using “ECDSA_sign”, I could see “enter” and “leave” printed from my sign_sig and sign function. However if I run TLS connection, nothing printed (except engine initialization log) and authentication failed (obviously). Those means my own sign and verify functions hasn’t been called.<o:p></o:p></li></ol><p class=MsoNormal><o:p> </o:p></p><ol style='margin-top:0in' start=2 type=1><li class=MsoListParagraph style='margin-left:0in;mso-list:l0 level1 lfo1'>Set callback in SSL or SLL_ctx? I have checked the source code of these two structures but not sure how to do that.<o:p></o:p></li></ol><p class=MsoListParagraph><o:p> </o:p></p><p class=MsoNormal>Those are what I tried and of course failed every try. :( So could anyone point me what should I do? Maybe I used wrong engine, missed some important callback or others?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Best Regards,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Jim<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>=========<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I post my client test code for your reference:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>#include <openssl/ssl.h><o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>#include <openssl/conf.h><o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>#include "openssl/eccx08_engine.h"<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>#include "openssl/eccx08_engine_internal.h"<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>int main()<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>{<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    static ENGINE *ateccx08_engine;<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    OpenSSL_add_all_algorithms();<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    ERR_load_crypto_strings();<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    PRINTF("ENGINE_load_dynamic");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    ENGINE_load_dynamic();<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    printf("CONF_modules_load_file");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    if (!CONF_modules_load_file(NULL, NULL, CONF_MFLAGS_DEFAULT_SECTION))<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    {<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>        printf("Config failed to load");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    }<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    printf("ENGINE_by_id");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    ateccx08_engine = ENGINE_by_id("ateccx08");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    if (ateccx08_engine == NULL)<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    {<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>        printf("Engine failed to load");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    }<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // after some initialization<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // load client-side cert and key, signed by intermediate cert<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    SSL_CTX_use_certificate_file(m_ctx, ClientCertificateFileTest, SSL_FILETYPE_PEM);<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // no need anymore because no way to extract private key<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // SSL_CTX_use_PrivateKey_file(m_ctx, ClientPrivateKeyFileTest, SSL_FILETYPE_PEM);<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // load intermediate cert, signed by CA<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>     X509* chaincert = X509_new();<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    BIO* bio_cert = BIO_new_file(SignerCertificateFileTest, "rb");<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    PEM_read_bio_X509(bio_cert, &chaincert, NULL, NULL);<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    SSL_CTX_add1_chain_cert(m_ctx, chaincert)<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    m_ssl = SSL_new(m_ctx);<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // get_seocket is my own API<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    m_sock = get_socket();<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    SSL_set_fd(m_ssl, m_sock)<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'><o:p> </o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    // doing handshake and build connection, however no output from ECDSA sign algorithm<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>    auto r = SSL_connect(m_ssl);<o:p></o:p></span></p><p class=MsoListParagraph style='background:#F6F8FA'><span style='font-size:9.0pt;font-family:Consolas;color:#24292E;border:none windowtext 1.0pt;padding:0in'>}</span><span style='font-size:9.0pt;font-family:Consolas;color:#24292E'><o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>