常連

### 前提

WSL2 Ubuntu20.04環境で、rbenvを使用してRubyのインストールを試みました。
結果、依存関係エラーが発生したので解決したく、質問を投稿しました。
どうか、よろしくお願いします。

### 実現したいこと

rbenv install 3.2.2を成功させたい。

### 発生している問題・エラーメッセージ

```log
BUILD FAILED (Ubuntu 22.04 using ruby-build 20230717)

Inspect or clean up the working tree at /tmp/ruby-build.20230804085854.629.oqpo4c
Results logged to /tmp/ruby-build.20230804085854.629.log

Last 10 log lines:
Try running `apt-get install -y libssl-dev` to fetch missing dependencies.

Configure options used:
  --prefix=/home/soludev/.rbenv/versions/3.1.4
  --enable-shared
  --with-readline-dir=/home/linuxbrew/.linuxbrew/opt/readline
  --with-libyaml-dir=/home/linuxbrew/.linuxbrew/opt/libyaml
  --with-openssl-dir=/home/linuxbrew/.linuxbrew/bin/openssl
  LDFLAGS=-L/home/soludev/.rbenv/versions/3.1.4/lib
  CPPFLAGS=-I/home/soludev/.rbenv/versions/3.1.4/include
```

### 試したこと

Homebrewで、rbenvとruby-buildをインストールした後、`rbenv install 3.2.2`を実行してRubyのインストールを実行しました。

実行後、上記のログが表示されたため中身を見たところ、

```log
Try running `apt-get install -y libssl-dev` to fetch missing dependencies.
```

とあったので `dpkg-query -l`コマンドでインストールされているパッケージを確認しましたが、すでにlibssl-devがインストールされていました。

```dpkg list 抜粋
ii  libss2:amd64                  1.46.5-2ubuntu1.1                       amd64        command-line interface parsing library
ii  libssh-4:amd64                0.9.6-2build1                           amd64        tiny C SSH library (OpenSSL flavor)
ii  libssl-dev:amd64              3.0.2-0ubuntu1.10                       amd64        Secure Sockets Layer toolkit - development files
ii  libssl3:amd64                 3.0.2-0ubuntu1.10                       amd64        Secure Sockets Layer toolkit - shared libraries
```

libsslがインストールされているのにインストールが失敗し、上記のログが出るということはrbenvがopensslの参照に失敗していると考え、`echo $RUBY_CONFIGURE_OPTS`してみたところ、

```result
--with-openssl-dir=/home/linuxbrew/.linuxbrew/bin/openssl
```

と出力されました。

(追記)
なんとなくOpensslの参照で詰まっている気がするのですが、原因がわかりません。
aptの方では、libsslとOpensslの両方がインストールされており、HomebrewでもOpensslがインストールされているので、それが競合しているのかとも思いましたが、参照先はHomebrewにインストールされているOpensslなので関係ない気がしています。

### 補足情報（FW/ツールのバージョンなど）

Windows 10 Pro
WSL2
Ubuntu20.04
zsh 5.8.1
Homebrew 4.1.3
rbenv 1.2.0
ruby-build 20230717
OpenSSL 3.1.2


WSL Ubuntu環境でRubyインストール時に依存関係エラーが発生する(libssl)

「過去に投稿した質問と同じ内容の質問」という指摘を受けていますが、内容が異なるので予めご了承ください

openssl enc -e aes-256-cbc -base64 -iv iv値 -k 暗号鍵 ファイル  -in 暗号化前ファイル名 -out 暗号化後ファイル名　-md sha256
上記コマンドで暗号化されたcsvファイルを、pythonコードで復号したいです

```ここに言語を入力
import base64
import hashlib
from Crypto.Cipher import AES

# 暗号化されたファイルを読み込み、Base64デコードする
with open('encrypted.csv', 'rb') as f:
    encrypted_data = base64.b64decode(f.read())

# 暗号鍵とIVをセットアップ
key = hashlib.sha256(キー.encode()).digetst() 
iv = bytes.fromhex(iv値)   

# 復号化
cipher = AES.new(key, AES.MODE_CBC, iv)
decrypted_data = cipher.decrypt(encrypted_data)

# PKCS#7パディングを除去
pad = decrypted_data[-1]
decrypted_data = decrypted_data[:-pad]

# 復号化されたデータを保存
with open('decrypted.csv', 'wb') as d:
    d.write(decrypted_data)
```

上記コードで復号化を試みていますが、文字化けしたようなファイルが生成されます

暗号化時に-kオプションを-Kにし、
key = hashlib.sha256(キー.encode()).digetst() の箇所を
key = bytes.fromhex(キー)
とする場合、復号ができることは確認済みです   
よって、keyの復号に失敗していると思われます。

なにかお気づきの点があれば教えていただきたいです




opensslコマンドで暗号化したファイルをpythonコードで復号したい


### 質問
Linuxでscpのトンネルとしての機能するsshdについて
クライアント側とサーバ側とでどのようにしてホスト認証やクライアント認証などの
コンセンサスの取り方について
### 前提

Linuxにおいて
自動認証用のパスフレーズなしの秘密鍵を利用したSCPを行おうと思うのですが
scpを利用してパスフレーズを設定しない公開鍵を利用する場合
パスフレーズを設定していない秘密鍵と公開鍵を「ssh-kegen」コマンドで作成したうえで

-i オプション を利用して

scp -i 秘密鍵ファイル ファイル名 送信先のアドレス：ディレクトリパス
というコマンドを利用し
また
相手サーバのauthorized_keyには公開鍵一つにつきコマンドを一つを関連付けられるのでそこでscpを設定すればscpを利用できるということを参考書で読みました。


### 疑問
scpは裏でsshdが動作しているらしいのですが
クライアント側とサーバ側とでどのようにしてホスト認証やクライアント認証などの
コンセンサスをとっているのでしょうか？

**というのは**

リスト番号リスト参考書を確認するとサーバ側のauthorized_keyの鍵に
「command="scp -f ファイル名"」と追加することで公開鍵に対してコマンド設定が可能となるとのこと
scpはクライアント側で作成したパスフレーズなしの秘密鍵を利用してユーザ認証を行いますが
以下のコマンド
scp -i 秘密鍵ファイル ファイル名 送信先のアドレス：ディレクトリパス

これを実行することでどうしてサーバ側はコマンド設定をした公開鍵を選定できるのでしょうか？
authorized_keyの中身をみるとただの英数字の羅列な訳でしかも同じクライアント側の公開鍵を複数登録する
ということも可能なわけですよね？
で、しかも改めてコマンドを確認すると
秘密鍵をオプションで設定しているようです。
ということはLinuxのクライアント側で秘密鍵に対する公開鍵の紐づけがされているのでしょうか？
それで公開鍵を相手サーバ側に提示しているのでしょうか？

**それとも**

別の質問サイトでもこの質問をしたところ
scpはというのは
「sshd は、clinet より渡された鍵を元に authorized_keys から検索し適合した鍵、及び、トンネル設定があればそれに従います。」
「ssh 接続した、socket をトンネルに見立て、その中に別の自動車(scp)が通行しているイメージです。」なのだそうです。

ということでした
コマンド設定されているscpが使用する公開鍵をsshdで使用する共通鍵で暗号化して渡しているのでしょうか？


### 質問内容をまとめます
Linuxでscpで接続する際に利用する公開鍵のサーバ側での選定方法(今回の例だとコマンド付のパスフレーズなし)
Linuxでscpで接続する際に設定する秘密鍵に対して公開鍵は紐づけられているか否か

ちょっと漠然とした質問ですいません
どなたかSSHないしはSCPについてお詳しいかたはいらっしゃいませんでしょうか？

ここにより詳細な情報を記載してください。


Linuxでscpのトンネルとしての機能するsshdの鍵の選定方法

openssl enc -e aes-256-cbc -base64 -iv iv値 -k 暗号鍵 ファイル -in 暗号化前ファイル名 -out 暗号化後ファイル名　-md sha256

上記コマンドと同等のpythonコードを書きたいです

```ここに言語を入力
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
from cryptography.hazmat.primitives import padding
from cryptography.hazmat.backends import default_backend
from base64 import b64encode

def test_enc():
    # IVとキーを16進数からバイトに変換
    iv = bytes.fromhex(iv値)
    key = hashlib.sha256(bytes.fromhex(キー))

    # ファイルを読み込む
    with open('before_encrypt.csv', 'rb') as f:
        data = f.read()

    # パディング処理
    padder = padding.PKCS7(128).padder()
    padder_data = padder.update(data) + padder.finalize()

    cipher = Cipher(algorithms.AES(key), modes.CBC(iv), backend=default_backend())
    encryptor = cipher.encryptor()

    # データを暗号化
    encrypted_data = encryptor.update(padder_data) + encryptor.finalize()

    # 暗号化されたデータをBase64エンコードしてファイルに書き込む
    with open('encrypted.csv', 'wb') as f:
        f.write(b64encode(encrypted_data))

```

ライブラリ変えたパターン
```ここに言語を入力
from Crypto.Cipher import AES
from base64 import b64encode
import hashlib
def test_enc():
    # IVとキーをバイトに変換
    iv = bytes.fromhex(iv値)
    key = hashlib.sha256(キー.encode()).digest()

    # ファイルの読み込み
    with open('before_encrypt.csv', 'rb') as f:
        data = f.read()

    # パディング処理
    padder = padding.PKCS7(128).padder()
    padder_data = padder.update(data) + padder.finalize()

    cipher = AES.new(key, AES.MODE_CBC, iv)

    # データを暗号化
    encrypted_data = cipher.encrypt(padder_data)

    # 暗号化されたデータをBase64エンコードしてファイルに書き込む
    with open('encrypted.csv', 'wb') as f:
        f.write(b64encode(encrypted_data))

```

このようなコードを書いているのですが、暗号化後のファイルの中身がopensslコマンドを実行する場合と全く異なるものになります。

例えばaaaaaaaaaとだけ書いた適当なファイルを暗号化してみた結果
openssl暗号化→U2FsdGVkX19p4HtziF4MIqmV58VE9860Tc1oyQ2x+oI=
コードによる暗号化→OgSvtBFb7lqtEJYWzcpUJA==

のようになります

-kオプションと-md sha256によるキーの変換が再現できていないように思われるのですが、なにかお気づきの方がいれば教えていただきたいです。

pythonコードでopensslコマンドと同等の暗号化をしたい

### 環境
- OS：CentOS Linux release 7.7.1908 (Core)
- AWS環境
- 用途：社内ツールサーバ（Apache,MySQL）

### 実現したいこと
OpenSSLのバージョンアップを試行しています。
1.0.2kのOpenSSLを使用していますが、
今回1.1.1dにバージョンアップしようとしています。

### 現状
恥ずかしながら、システム経験が浅く知識がないため、
基本的にこのような込み入った作業時にはインターネット上の文献を参考にしながら
作業を行っています。

今回の参考文献は以下の通りです。
- [OpenSSLを最新版へバージョンアップ(＋OpenSSH)](https://bacchi.me/linux/reinstall-openssl/)
- [OpenSSL バージョンアップ後も旧バージョンが居座り続ける問題](https://server.etutsplus.com/openssl-version-up-trouble/)
- [UbuntuでOpenSSLを最新バージョンにする](http://www.trusted-design.net/archives/933/)

上記「OpenSSLを最新版へバージョンアップ(＋OpenSSH)」の文献を基に、
「OpenSSL-1.0.1iのインストール」の項目のコマンドの流れの通りに実行しました。

### 発生している問題
`openssl version`コマンドを実行した際には、
今回インストールした「**OpenSSL 1.1.1d  10 Sep 2019**」が表示されました。

しかし、以下のコマンドを実行した際には、旧バージョンが表示されます。
```
[root@test_server ~]# rpm -qa | grep openssl
openssl-libs-1.0.2k-19.el7.x86_64
openssl-1.0.2k-19.el7.x86_64
openssl-devel-1.0.2k-19.el7.x86_64
```
```
[root@test_server ~]# yum list installed | grep openssl
Repository epel is listed more than once in the configuration
openssl.x86_64                 1:1.0.2k-19.el7                 @base
openssl-devel.x86_64           1:1.0.2k-19.el7                 @base
openssl-libs.x86_64            1:1.0.2k-19.el7                 @base
```

### 補足
他文献を読んでいると、OpenSSLはバージョンアップしない方がよいとか、
依存しているアプリケーションが動作しなくなるとか言われているものもありますが、
その明確な理由もイマイチ分かっていません。

そもそも脆弱性が出ているのにバージョンをあげなくてよい状況はあるのでしょうか。
※自社システムが脆弱性の対象外である場合を除いて

### その他
情報の不備や知識不足に伴う認識の齟齬等があるかもしれませんが、
是非ご協力いただけますと幸いですm(_ _)m

###追記(2019/12/2)
CentOSについては、バックポートがされているという情報より、
手動での1.1.1系へのバージョンアップは行わない方針になりそうですが、以下の点が気になります。

1. 実際にバックポートしているという公式の文献はあるのでしょうか？
　　`rpm -q --changelog openssl`で更新履歴は確認済みですが、
　　今回調査対象としている自社のサーバでは、
　　「CVE-2019-1547」「CVE-2019-1563」の2つについては、
　　更新履歴が確認できませんでした。※[上記CVEについての参考文献](https://jvn.jp/vu/JVNVU94367039/)
　※[CentOS公式](https://wiki.centos.org/Download)は拝見しましたが、この文献のどこの記述が
　いつまでバックポートするのかについての記述か分かっていません。。


2. [OpenSSLの公式](https://www.openssl.org/news/secadv/20190910.txt)によると、1.0.2系のサポートは**2019/12/31**をもって終了するとあります。
サポートが終了した場合はバックポートもされない認識で合っていますでしょうか？

OpenSSLバージョンアップ（1.0.2系⇒1.1.1系）

openssl enc -e aes-256-cbc -base64 -v iv値 -k 暗号鍵 ファイル -md sha256
上記コマンドで暗号化されたcsvファイルを、pythonコードで復号したいです

```ここに言語を入力
import base64
from Crypto.Cipher import AES

# 暗号化されたファイルを読み込み、Base64デコードする
with open('encrypted.csv', 'rb') as f:
    encrypted_data = base64.b64decode(f.read())

# 暗号鍵とIVをセットアップ
key = bytes.fromhex(キー) 
iv = bytes.fromhex(iv値)   

# 復号化
cipher = AES.new(key, AES.MODE_CBC, iv)
decrypted_data = cipher.decrypt(encrypted_data)

# PKCS#7パディングを除去
pad = decrypted_data[-1]
decrypted_data = decrypted_data[:-pad]

# 復号化されたデータを保存
with open('decrypted.csv', 'wb') as d:
    d.write(decrypted_data)
```

このようなコードで復号すると、復号化されたファイルの中身が空になります
気になる点としては

気になる点としては、encrypted_dataの長さが１１２であること（本来16の倍数であるべき？）、
padの値が116であること（0~16であるべき）
です
openssl enc -dコマンドで正しく復号できることは確認済みです。

なにかお気づきの点があれば教えていただきたいです

opennsslコマンドで暗号化したファイルをpythonで復号したい

いつもありがとうございます。
今回はPHPとOpenSSLで悩んでおり、お力をお借りしたいです。

**困っていること**
PHPのプログラムから、stream_socket_client()で同一サーバ上のPHPを実行しようとすると、OpenSSLでエラーとなり困っています。
> エラーメッセージ「stream_socket_client(): SSL operation failed with code 1. OpenSSL Error messages:\nerror:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed」
色々調べてみたのですが自分一人では解決できず、
・phpに正しい証明書の場所を認識させる方法
・stream_socket_client()を自己証明書だけで利用する設定方法
・あるいは、このエラーを無視する方法
について、皆様からアドバイス頂けると助かります。


**詳細状況**
PCのVMWare上に作成した環境なので、証明書はいわゆる自己証明書で、OpenSSLの標準のディレクトリ(/etc/pki/配下)には作成せず、別のディレクトリ/etc/test/pki/を作成（/etc/pkiと同じディレクトリ構成）し、crtファイルkeyファイルを各ディレクトリに格納しました。中間証明書はありません。
ブラウザからhttps通信ができることは確認済で、phpinfoを表示するphpプログラムもhttps通信で表示できています。
stream_socket_client()の利用は、snoopyクラス(ver2.0)を過去に利用したことがあったので、それを利用しています。

＜試してみたこと１＞
stream_socket_client()で証明書を無効にしようと思ったのですが、設定方法がよく分かっていない為か、verify_peer、verufy_perr_nameをfalseにしてもエラーを回避できませんでした。

        if ($this->scheme == 'https') {
            if (isset($this->cafile) || isset($this->capath)) {
                $context_opts['ssl'] = array(
                 ~~~~ 'verify_peer' => true,~~~~
                    'verify_peer' => false, 
                    'verify_peer_name' => false, 
                   'CN_match' => $this->host,
                    'disable_compression' => true,
                );
                if (isset($this->cafile))
                    $context_opts['ssl']['cafile'] = $this->cafile;
                if (isset($this->capath))
                    $context_opts['ssl']['capath'] = $this->capath;
            }
            $host = 'ssl://' . $host;
        }
        $context = stream_context_create($context_opts);

＜試してみたこと２＞
エラーメッセージをネットで調べていたところ、phpinfoのopenssl.cafile欄が空白だったのでエラーになっていたという方がおられたのを参考に確認したところ、私の環境でもopenssl.cafileが空白でした。
![イメージ説明](https://ddjkaamml8q8x.cloudfront.net/questions/2022-04-25/81c62b88-60c8-4f57-bdab-e49b93c5db21.png)
これが原因でそもそもstream_context_create()を実行するための情報が不足し、SSLのエラーになっているかと思い、php.iniで以下の様にcrtファイルを設定。httpdを再起動してみたのですが、phpinfoの内容が変わりません。
openssl.cafile=/etc/test/pki/tls/certs/localhost.crt


**環境：**
OS:RHEL8
Apache、OpenSSL、PHPいずれもSRPMからビルドしました。
Apacheは正常に起動中
OpenSSLの自己証明書も作成できておりhttpsでブラウザからサイトを確認できます。


このエラーについて、自分でも問題の切り分けが上手くできていないことを実感しているのですが、どうにもうまくいかず、日曜の夜中の質問で見てくださる方がいらっしゃればよいのですが…
不足情報等ありましたらご指摘くださいませ。

どうぞよろしくお願いいたします。


PHPで発生するSSLエラー(1416F086:SSL routines:tls_process_server_certificate:certificate verify failed)対応について

Apache、SSLプロトコルを、TLS1.2のみに設定しようとしていますがエラーになり解決方法を探しています。

サーバの環境は以下の通りです。
```
[root@xxx-xxx-xxx-xxx conf.d]# uname -a
Linux xxx-xxx-xxx-xxx.example.com 2.6.18-238.el5 #1 SMP Thu Jan 13 15:51:15 EST 2011 x86_64 x86_64 x86_64 GNU/Linux
[root@xxx-xxx-xxx-xxx conf.d]# openssl version
OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
```


変更前
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol all -SSLv2 -SSLv3
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定ｈではTLS1.0のみ有効になります。

変更後
```shell
<VirtualHost *:443>
    DocumentRoot /var/www/html
    ServerName www.example.com
    SSLEngine on
    SSLProtocol +TLSv1.2
    SSLCipherSuite ALL:!ADH:!EXPORT:!SSLv2:RC4+RSA:+HIGH:+MEDIUM:+LOW:!RC4:!DES-CBC-SHA:!EDH-RSA-DES-CBC-SHA
    SSLHonorCipherOrder on
    Header always set Strict-Transport-Security "max-age=315360000; includeSubDomains"
    SSLCertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.crt
    SSLCertificateKeyFile /etc/httpd/conf.ssl/www.example.com/domainname.key
    SSLCACertificateFile /etc/httpd/conf.ssl/www.example.com/domainname.ca
</VirtualHost>
```

上記設定では以下のエラーになります。

```ここに言語を入力
[root@xxx-xxx-xxx-xxx conf.d]# /etc/init.d/httpd restart
httpd を停止中:                                            [  OK  ]
httpd を起動中: Syntax error on line 46 of /etc/httpd/conf.d/php.conf:
SSLProtocol: Illegal protocol 'TLSv1.2'
                                                           [失敗]
[root@xxx-xxx-xxx-xxx conf.d]# openssl s_client -connect 127.0.0.1:443
socket: Connection refused
connect:errno=29
```

何卒ご教授頂きたく質問します。