Using OpenSSL in Android

Taking HMAC-SHA256 as an example

Posted on March 2, 2016 -

由於Java較爲容易被反編譯,因此把一些重要代碼放在so文件中成爲了一個代價不太高的選擇。雖然so文件依舊可以反編譯,但對so進行逆向分析的門檻則要比分析Java字節碼的門檻高出不少。很多安全相關的代碼都依賴OpenSSL,然而網絡上在NDK中使用OpenSSL的教程並不多見,經過一天的探索,我終於可以成功在NDK中調用OpenSSL了。本文將以調用OpenSSL中的HMAC算法爲例,介紹如何使用Gradle配置NDK並在NDK中使用OpenSSL。

在Gradle中配置NDK

2015年7月,Google發佈了新的Gradle插件,提供了對NDK的支持,從此,編寫NDK程序不再需要編寫Android.mk文件,也不再需要使用ndk-build腳本,只需要在Gradle中簡單的配置一下,即可方便的編譯程序了。

目前,新的插件仍處在beta版本,本文選用當前時間(2016年3月2日)最新的0.6.0-beta5作介紹。要獲取最新的更新,請訪問這裏

從傳統的Android Gradle插件遷移到新的插件並不困難,只需要修改原有目錄結構中的三個文件即可。以如下目錄爲例:

.
├── app/
│   ├── build.gradle
│   └── src/
├── build.gradle
├── gradle/
│   └── wrapper/
│       ├── gradle-wrapper.jar
│       └── gradle-wrapper.properties
├── gradle.properties
├── gradlew
├── gradlew.bat
├── local.properties
└── settings.gradle

需要修改的文件包括兩個build.gradlegradle-wrapper.propertieslocal.properties文件。

分別來看對它們的修改:

每個版本的插件都只支持特定的Gradle版本,因此請務必對照上文給出的鏈接填寫正確的版本。

  • ./local.properties

需要在文件中指定ndk.dir屬性,指向NDK的路徑。

  • ./gradle/wrapper/gradle-wrapper.properties

這個文件定義了Gradle的版本,這裏需要使用gradle-2.10,因此需要把最後一行的版本替換掉。

  • ./build.gradle

這裏定義了構建時使用的插件,需要替換爲com.android.tools.build:gradle-experimental:0.6.0-beta5

  • ./app/build.gradle

這個文件變化較大,主要的變化包括:

  1. 插件名由原來的com.android.application變爲com.android.model.application
  2. 所有的配置放置在model { }塊中。
  3. minSdkVersiontargetSdkVersion都需要配置它們的apiLevel屬性。

下面是一個完整的示例:

apply plugin: 'com.android.model.application'

model {
    android {
        compileSdkVersion 23
        buildToolsVersion "23.0.2"

        defaultConfig {
            applicationId "com.example.openssltest"
            minSdkVersion.apiLevel 14
            targetSdkVersion.apiLevel 23
            versionCode 1
            versionName "1.0"
        }

        ndk {
            moduleName = "openssl-jni"
            platformVersion = 14
            ldFlags.add("-lcrypto")
            abiFilters.add("armeabi-v7a")
        }
    }
}

dependencies {
    compile 'com.android.support:appcompat-v7:23.1.1'
}

這個配置中,多出了ndk部分,下面就來解釋一下這部分的配置:

  • moduleName決定了編譯出來的庫的名稱,這個選項是必須的。
  • platformVersion指定了NDK的platform版本,這裏使用14是因爲minSdkVersion使用14。
  • ldFlags指定了鏈接時的參數,由於本例中只用到了HMAC算法,因此這裏添加了對crypto,如果還需要TLS的支持,這裏需要改爲ldFlags.addAll(["-lcrypto", "-lssl"])
  • abiFilters裏指定了abi的版本armeabi-v7a

在NDK中使用OpenSSL

Android裏已經內置了OpenSSL,但NDK中並沒有提供相應的庫。只需要把OpenSSL的.so文件放在NDK中即可:

$adb pull /system/lib/libssl.so /myndk/platforms/android-14/arch-arm/usr/lib

$adb pull /system/lib/libcrypto.so /myndk/platforms/android-14/arch-arm/usr/lib

然後把OpenSSL的頭文件放在/myndk/platforms/android-14/arch-arm/usr/include目錄中即可。

編寫代碼請參考JNI的文檔,下面給出一個調用HMAC-SHA256的實現:

#include <jni.h>
#include <openssl/hmac.h>

#ifdef __cplusplus
extern "C" {
#endif
jbyteArray
Java_com_example_openssltest_MainActivity_hmacSha256(JNIEnv *env,
                                                     jobject obj,
                                                     jbyteArray content) {
  unsigned char key[] = {0x6B, 0x65, 0x79};

  unsigned int result_len;
  unsigned char result[EVP_MAX_MD_SIZE];

  // get data from java array
  jbyte *data = env->GetByteArrayElements(content, NULL);
  size_t dataLength = env->GetArrayLength(content);

  HMAC(EVP_sha256(),
       key, 3,
       (unsigned char *) data, dataLength,
       result, &result_len);

  // release the array
  env->ReleaseByteArrayElements(content, data, JNI_ABORT);

  // the return value
  jbyteArray return_val = env->NewByteArray(result_len);
  env->SetByteArrayRegion(return_val, 0, result_len, (jbyte *) result);
  return return_val;
}
#ifdef __cplusplus
}
#endif

在Java中調用也很容易,只需要引用build.gradle中指定的庫即可:

public native byte[] hmacSha256(byte[] data);

static {
    System.loadLibrary("openssl-jni");
}

DEMO項目鏈接

https://github.com/terro/android-ndk-openssl

需要注意的是,這裏只是一個簡單的DEMO,不要直接在項目中保存密鑰之類的信息。


題圖:Enter key in a blue light. Macro shot.

作者:Danil Roudenko