книги хакеры / журнал хакер / 108_Optimized

3.protocol — протокол. Для TCP нужно указать IPPROTO_TCP.

Результатом выполнения будет новый сокет. Создав сокет, можно пробовать подключиться. Для этого в библиотеке реализована функция Connect.

function Connect (S:TSocket; var name:TSockAddr; namelen:integer):Integer:stdcall;

Параметрами для функции служат:

1.s — socket, созданный функцией socket.

2.name — структура SockAddr, содержащая данные, необходимые для подключения (протокол, адрес удаленного компьютера, порт).

3.namelen — размер структуры типа TSockAddr.

Успешно выполнившись, а значит, и установив соединение, функция вернет 0 или ошибку, которую можно получить с помощью WSAGetLastError(). Структура TSockAddr выглядит так:

TSockAddrIN = sockaddr_in; SockAddr_in = record

sin_family: u_short; //Семейство протоколов sin_port: u_short; //Порт, с которым нужно будет уста-

новить соединение

sin_addr: TInAddr; //Структура, в которой записана информация об адресе удаленного компьютера

sin_zero: array[0..7] of Char; //Совмещение по длине структуры sockaddr_in с sockaddr и наоборот

end;

Чтение и отправка данных удаленной стороне осуществляется с помощью функций send и recv. Они описаны следующим образом:

function send (s:TSocket, var Buf; len:integer; flags: integer):Integer;stdcall;

function recv (s:TSocket, var Buf; len:integer; flags: integer):Integer;stdcall;

Параметры для этих функций одинаковы:

1.s — сокет, на который нужно отправить (или принять) данные.

2.buf — буфер с данными для отправки (приема).

3.len — размер передаваемых (принимаемых) данных.

4.flags — флаги, отвечающие за метод отправки (приема). Выполнившись, функция вернет фактическое количество отправленных/ принятых байт.

function CloseSocket(s:TSocket):integer;stdcall;

Эта функция служит для закрытия сокета, переданного в качестве одногоединственного параметра.

Отливаем мыльницу

Вот мы с тобой и добрались до самого интересного — до практической части. От теории уже плавится мозг, нужно срочно упорядочивать полученные знания. Не вопрос! Запускай Delphi, создавай новый проект и срисовывай мою форму.

На форме у меня расположен компонент PageControl, благодаря которому созданы закладки. Первая закладка посвящена отправке писем, вторая

— чтению, третья — настройкам (адреса SMTP- и POP-серверов и т.д.), в четвертой ведутся логи происходящего. Каждая закладка забита полями ввода (TEdit), TMemo и т.д.

Шкодинг

Как я уже говорил, первое, с чего необходимо начинать программирование любого сетевого приложения, — это инициализация сетевой библиотеки. Код, отвечающий за эту функцию, я повесил на событие OnCreate() формы:

if WSAStartup(makeword(1,1), _wData) <> 0 then begin

ShowMessage('Ошибка при инициализации WinSock. Продолжение невозможно');

Application.Terminate; end;

В коде я проверяю результат выполнения функции. Если он не равен 0, значит возникла ошибка и нет смысла продолжать работу программы, поэтому показываем сообщение и прерываем работу приложения.

По нажатию кнопки «Отправить» на закладке «SMTP-клиент» напиши код из соответствующей врезки.

Листинг отправки письма получился довольно-таки большим. Рассмотрим его внутренности. Первое, что я делаю, — это создаю новый сокет. Причем создаю сокет не функцией socket, о которой рассказывал выше,

аеще неизвестной тебе CreateSocket(). Эту функцию я описал самостоятельно и реализовал в ней создание нового сокета и заполнение структуры TSockAddrIN. Результатом выполнения функции будет новый сокет и заполненная структура _server_addr (объявлена в глобальных переменных). Сокет создан, а это означает, что можно начинать попытки соединения с удаленным сервером. Вызываю функцию Connect(), сразу же проверяя результат ее выполнения. Если он равен значению константы SOCKET_ ERROR, то значит возникла ошибка и нужно узнать, какая именно. Для получения этой информации у меня определена процедура SocketsErrors(),

ауже из этой процедуры происходит занесение информации в лог.

Кодпонажатию кнопки«Отправить»

var _Socket:TSocket; _str:string; I,J:integer;

begin PageControl1.ActivePageIndex:=3; AddToLog('Подготовка сокета');

//Создаем сокет для подлючения к smtp серверу

_Socket := CreateSocket(smtpServerEdit.Text, StrToInt(SmtpPortEdit.Text));

//Пробуем подсоединиться к SMTP-серверу if (Connect(_Socket, _server_addr,

sizeOf(_server_addr)) = SOCKET_ERROR) then begin

SocketsErrors();

Exit; end;

sleep(1000);

//Прочитаем приветствие сервера

AddToLog(ReadFromSocket(_Socket)); SendToSocket(_socket, 'HELO ' + GetLocalHost); sleep(100); AddToLog(ReadFromSocket(_Socket)); SendToSocket(_socket, 'MAIL FROM:<' +

FromEdit.Text+'>');

sleep(100); AddToLog(ReadFromSocket(_socket));

SendToSocket(_socket, 'RCPT TO:<' + ToEdit.Text+'>'); sleep(100);

AddToLog(ReadFromSocket(_socket));

В случае успешного завершения работы функции я делаю небольшую задержку (в одну секунду). Задержка нужна для того, чтобы сервер успел среагировать и отправить нам свой ответ. Полученный ответ сохраняем в лог с помощью процедуры AddToLog(), в которой в качестве параметра передаем результат выполнения функции ReadFromSocket() — еще одной самописной функции, введение которой спасет код от большего числа одинаковых конструкций. Код функции ReadFromSocket() ты можешь найти на DVD.

ВызвавфункциюReadFromSocket,мыпрочиталипервуюпорциюданных отSMTP-сервера.Тывнимательноизучилтеориюитеперьзнаешь,чтоса- мымипервымиданными,которыеотправляетудаленныйсервер,является приветствие.Получивего,можноначинать«диалог»сSMTP-сервером.Все остальное,чтопроисходитвкоде,тебедолжнобытьужезнакомопорассмот- ренномунамивышепримерусессииобщениясSMTP-сервером.Давайлуч- шепоглядимпоближенаReadFromSocket()—процедуру,черезкоторуюмы получаемвседанные,пришедшиенамотсервера.Всамомначалепроцедурыяочищаюпеременную,вкоторуюбудуприниматьданныеотсервера.Для этогояполностьюзабиваюеенулями.Затемявызываюфункциюприема данныхrecv().Овходныхпараметрахдляэтойфункциияужерассказывал, поэтомусейчасмыихпропустим.Принявданные,можноначатьимираспоряжаться.Яподготавливаюихкформатированиюипоследующемувыводу наэкранпользователя.Подформатированиемяподразумеваюнормальный построчныйвыводполученныхданныхвкомпонентMemo.Дляотправки данныхсерверуясоздалфункцию—SendToSocket.Вкачествепараметров ейнужнопередатьлишьсокетиданные,которыебудутотправлены.Весь остальнойкод,отвечающийзаподключениекPOP3 серверу,яприводить небуду,постолькуонполностьюаналогиченкодунаврезке,заисключением лишьсамихкоманд,посылаемыхсерверу.Тыжевсегдаможешьпосмотреть прокомментированныйисходникнанашемдиске.Наэтомяхочуоткланятьсяипожелатьтебеудачивнелегкомкодерскомтруде.z

//Заполняем заголовок письма

SendToSocket(_socket, 'DATA'); sleep(100); AddToLog(ReadFromSocket(_socket)); //От кого

SendToSocket(_socket, 'From:<'+FromEdit.Text+'>'); //Кому

SendToSocket(_socket, 'To:<'+ToEdit.Text+'>'); //Тема письма

SendToSocket(_socket, 'Subject: ‘+SubjectEdit.Text); SendToSocket(_socket, 'Mime-Version: 1.0'+#13+#10+ 'Content-Type: text/plain; charset="windows-1251"'); //Программа-отправитель

SendToSocket(_socket, 'X-Mailer: MyMailProgram');

//Текст письма

For I:=0 to TextMemo.Lines.Count-1 do begin

_str:=TextMemo.Lines.Strings[i]; while _str<>'' do

begin

j:=SendToSocket(_socket, _str); if j=SOCKET_ERROR then

break; Delete(_str, 1, j);

end; end;

sendToSocket(_socket, #13 + #10+ '.'); AddToLog(ReadFromSocket(_socket)); sendToSocket(_socket, 'QUIT'); AddToLog(ReadFromSocket(_socket)); CloseSocket(_socket);

end;

Windows Crypto — время перемен

Aaloha, Guy! Думаешь, ты уже изучил Висту вдоль и поперек и познакомился со всеми ее фишками? Не тут-то было. Пора копнуть глубже и заглянуть ей под капот. Видишь во-о-он ту блестящую штуковину с моторчиком? Нравится? А знаешь, что это такое? Нет? Ну тогда слушай и запоминай.

Итак, на повестке дня — криптосистема Windows Vista.

Если тебе приходилось использовать криптографические возможности более ранних версий Винды, ты должен знать, что доступ к этим возможностям предоставляется системой CAPI (Crypto API). Так вот Vista несет на своем борту новую, не столь убогую, как в Windows XP, версию

CAPI. Но как это дело не причесывай, конфетку из него все равно не сделаешь. И в Microsoft это хорошо понимают. Нет, они не переписали CAPI с нуля (на фига напрягаться), они просто засунули CAPI в дальний темный угол системы. Теперь за взаимодействие с CAPI отвечает красивая блестящая обертка под названием CNG. Но парни действительно старались, и обертка получилась не только красивой, но и весьма полезной. О том, какие возможности перед тобой открывает система CNG, читай ниже.

Перечень изменений в криптографической системе выглядит следующим образом:

dvd

Специально для тебя мы выложили на наш диск CNG SDK! Шифруйся на здоровье.

Лучше один раз увидеть, чем бла- бла-бла... Забирай с диска архив с примерами, распаковывай и изучай.

links http://msdn2. microsoft.com/enus/library/aa376214. aspx — подробное описание CNG на сайте MSDN.

картинках»,ноникакневжурнале,которыйчитаюттакие реальныеперцы,кактыинашредакторАлександрЛозовский (хе-хе,отличнояпридумал,грубаялестьвадресчитателейи редакторавсегдаблаготворносказываетсянатиражахиразмерегонорара).Поэтомуяпростоограничусьпримером,иллюстрирующиммеханизмзавершенияработыспровайдером:

status = ::BCryptCloseAlgorithmProvider( algorithmProvider, flags); ASSERT(NT_SUCCESS(status));

То есть мы передаем функции BCryptCloseAlgorithmProvider()

ранее созданный дескриптор провайдера алгоритмов и забываем о том, что у нас вообще когда-то был такой объект.

Если ты будешь использовать CNG не в своих домашних поделках или на уроках труда в средней школе, а в серьезном приложении, тогда и в процесс создания, и в процесс уничтожения экземпляра провайдера крайне необходимо добавить обработчик ошибок, реагирующий на сигналы NT_SUCCESS.

CNG на практике

Прежде всего, если ты собрался использовать в своем проекте возможности CNG, не забудь о заголовочном файле <bcrypt.h>, а также укажи линкеру, что при сборке проекта понадобится библиотека bcrypt.dll. Большинство функций, входящих в CNG, может генерировать различные сообщения о текущем статусе. Для этого используется файл ntstatus.h, следовательно, если тебе понадобится обработка этих сообщений, используй вот такой макрос:

#ifndef NT_SUCCESS

#define NT_SUCCESS(Status)

(((NTSTATUS)(Status)) >= 0) #endif

Шифруем данные:

BCryptOpenAlgorithmProvider(&hAlg,...) BCryptGetProperty(hAlg,BCRYPT_BLOCK_ LENGTH,&dwBlockSize,...) BCryptGetProperty(hAlg,BCRYPT_OBJECT_LENGTH, &cbKeyObjectLen,...) BCryptGenerateSymmetricKey(hAlg,&hKey,...) BCryptEncrypt(hKey,...) BCryptDestroyKey(hKey) BcryptCloseAlgorithmProvider(hAlg,0)

Невсепонятно?Ок.Давайразбираться,чтотутнаписано.Первая строка подключает и инициализирует провайдера криптоалгоритмов. Дальше с помощью функции BCryptGetProperty() мы выделяем в буфере место под размещение кодируемых данных и ключа, которым будет осуществляться шифрование. После того как мы позаботимся о выделении памяти, можно приступать непосредственно к шифрованию. Оно выполняется в два этапа: сначала генерируем ключ симметричного шифрования — BCryptGenerateSymmetricKey(), затем шифру-

ем данные — BCryptEncrypt(). И не забываем убирать за собой

— BCryptDestroyKey(), BCryptCloseAlgorithmProvider(). Навер-

няка, у кого-то из гиков, привыкших к жесткому порно, точнее, к жесткой оптимизации (вроде того нарисованного хрена, который считает себя другом второго нарисованного хрена,

www.microsoft.com/ security/glossary. mspx — словарь терминов по IT-безо- пасности, используемых в технологиях компании Microsoft.

Модель CryptoAPI

более интеллигентного вида), возник вполне резонный вопрос: почему мы пошли в обход, использовав BCryptOpenAlgorithmProvider вместо обращения непосредственно к функциям шифрования?

Все дело в том, что обращение к кэшируемому объекту гораздо эффективнее, чем непосредственный вызов функций шифрования. Кстати, подобный подход использовался и раньше, например при обращении к функциям CAPI.

Так же просто с помощью CNG можно получить и хэш-функцию объекта:

BCryptOpenAlgorithmProvider(&hAlg,...)

BCryptGetProperty(hAlg,BCRYPT_OBJECT_

LENGTH,&cbHash,...)

BCryptCreateHash(hAlg,&hHash,...)

BCryptHashData(hHash,...)

BCryptFinishHash(hHash,...)

BCryptDestroyHash(hHash)

BСryptCloseAlgorithmProvider(hAlg,0)

По аналогии с предыдущим примером перво-наперво необходимо позаботиться о выделении адресного пространства для работы с объектами. За работу с хэш-функциями отвечают методы

BCryptCreateHash(), BCryptHashData() и BCryptFinishHash(). Ну и, как обычно, завершаем все уничтожением ненужных более объектов и ссылок: BСryptDestroyHash() и BCryptCloseAlgorithmPr ovider().

Идемдальше.Еслитынезнаешь,чтотакоеMAC,—бегомучить матчасть.Инеспешивозмущеннозаявлять,чтооMediaAccess Controlзнаютдажепервоклассники.MAC—этоещеиMessage AuthentificationCode,тоестьоднаизреализацийтехнологиициф- ровойподписи.СозданиеMACаналогичнорасчетухэш-функции, заисключениемдвухмоментов.Во-первых,привызовеBCryptOpen AlgorithmProviderпоследнимизпередаваемыхфункциипарамет-

ровдолженбытьBCRYTP_ALG_HANDLE_HMAC_FLAG.Во-вторых,

xàêåð 12 /108/ 07

Криптографические алгоритмы, реализованные в CNG

Стандарт

RFC2288

-

FIPS197

FIPS46-3,FIPS81

-

FIPS46-3,FIPS81,SP800-38A

FIPS46-3,FIPS81,SP800-38A

RFC1319

RFC1320

FC132

FIPS180-2,FIPS198

180-2,FIPS198

FIPS180-2,FIPS198

FIPS180-2,FIPS198

PKCS#1v1.5and v2.0.

PKCS#1v1.5and v2.0.

PKCS#3

FIPS186-2

дополнительнонужноуказатьсекретныйMAC-ключиегоразмер.Таким образом,вызовфункциибудетпохожнатот,чтоприведенниже:

BCRYPT_ALG_HANDLE hAlg = NULL; NTSTATUS status = STATUS_UNSUCCESSFUL;

status = BCryptOpenAlgorithmProvider(&hAlg, GetPreferredHmacAlg(),

NULL, BCRYPT_ALG_HANDLE_HMAC_FLAG)))

Но известная фирма на букву М не была бы сама собой, если бы все было прозрачно, ясно и понятно. Видишь функцию GetPreferredHmacAlg()? Так вот эта функция не является частью библиотеки CNG, как логично было бы предположить. Ее реализация отдается на откуп программисту, который сам должен решить, в соответствии с каким алгоритмом будет рассчитываться MAC. А ты как хотел: понавызывал кучу API-функций и айда на печку сметану есть? Нет, иногда еще и думать приходится. Такие вот дела, брат.

СистемабезопасностиWindowsVista основананаследующихэлементах:

•Контрольпользовательскихучетныхзаписей

•Подсистемаконтрактовисертификатов

•Контрольцелостностипрограммногокода

•Шифрованиеданных

•Изоляцияприложений

•Переадресацияданных

•Криптография

•Защитасистемныхсервисов

•WindowsDefender

•Системауправленияправамиипривилегиями

Ну и, наконец, такая полезная возможность, предоставляемая CNG, как генерация случайных чисел. С этой задачей справится даже стая леммингов, добравшаяся до клавиатуры:

BCRYPT_ALG_HANDLE hRngAlg = NULL;

if (BCryptOpenAlgorithmProvider(&hRngAlg, BCRYPT_RNG_ALGORITHM,

NULL,

0) == STATUS_SUCCESS) { BYTE buf[32];

if (BCryptGenRandom(hRngAlg, buf,

sizeof(buf),

0) == STATUS_SUCCESS) {

}

BCryptCloseAlgorithmProvider(hRngAlg,0); hRngAlg = NULL;

}

ПолныйсписокфункцийCNGAPIтыможешьнайтивдокументации,которой комплектуетсяCNGSDK,илиженасайтеMSDN.Крометого,надиске,идущем

вкомплектесжурналом,мывыложилиподборкупримеровиспользования CNG.Такчто,есликакие-томоментытебенеособопонятны,смотриисходники. И несколько слов о собственно использовании CNG. Прежде всего, это технология, тесно завязанная на криптофункциях Висты. Следовательно, не рассчитывай на то, что тебе удастся поюзать CNG, к примеру,

вWindows XP. Для разработки приложений, использующих новые криптографические возможности, понадобится Visual Studio 2005 с первым сервис-паком (естественно, бета-версия VS 2008, которая выкладывалась на диске к августовскому номеру журнала, тоже подойдет). Я тут уже упоминал, что CNG совместима только с WV. А это значит, что помимо IDE нам понадобится еще и Windows Vista SDK, позволяющий разрабатывать приложения для этой операционной системы. И, наконец, самое главное, без чего тебе не обойтись, — это CNG SDK,

Архитектура CNG

содержащий все необходимые заголовочные файлы, библиотеки и криптоинструменты. Где его взять? Ну, во-первых, на сайте производителя (хм... почему-то это слово у меня ассоциируется исключительно с мужской особью крупного рогатого скота). А во-вторых, на нашем диске

— такие вот мы добрые и щедрые.

И последнее замечание. Если ты фанат Visual Basic’a или крутой перец, не признающий ничего, кроме жутко модного C#, спешу тебя огорчить: CNG SDK совместим только с проектами, неписанными на приплюснутом Си.

Теперь детали...

Для того чтобы начать работать с CNG, нужно в свойствах проекта в группе параметров C/C++ (строка Additional Include Directories) прописать путь к файлам CNG SDK. Если ты не менял предложенный по умолчанию каталог установки SDK, тогда это будет C:\Program Files\Microsoft CNG Development Kit\Include.

Кроме того, в свойствах линкера необходимо указать, где он сможет найти необходимые DLL-файлы (C:\Program Files\Microsoft CNG Development Kit\Lib\X86).

Криптография нового поколения

Как видишь, парни из Microsoft действительно приложили немало усилий к тому, чтобы заменить малопопулярный у разработчиков CAPI более надежным и более функциональным набором инструментов. И это у них, безусловно, получилось. Хотя, возможно, они немного погорячились, назвав это криптографией нового поколения, поскольку ничего принципиально нового придумано не было. Просто широко известные и проверенные временем алгоритмы были объединены в криптоядро со своим API, доступным как из пользовательского режима, так и из режима ядра. Простая идея. Но, несмотря на свою простоту, она позволяет вывести криптографические возможности операционной системы на новый уровень. Считать ли это криптографией нового поколения, решать тебе. Adios! z