Zero-Trust-Projekt mit C++20 Coroutinen und Secure mTLS Services

Hallo zusammen, das ist mein erster Post hier. Ich möchte mein aktuelles Projekt vorstellen, mit dem ich mich tiefer in die Netzwerksicherheit mittels modernem C++ einarbeite. Es geht um den Aufbau einer Zero-Trust-Architektur mittels mTLS.

Warum mTLS und nicht nur einfaches TLS?

In vielen Systemen wird darauf vertraut, dass der Server sicher ist. Aber in einer Zero-Trust-Umgebung reicht das nicht aus. Ich wollte verstehen, wie man sicherstellt, dass auch der Server genau weiß, wer der Client ist. Bei mutual TLS (mTLS) müssen beide Seiten ein gültiges X.509-Zertifikat vorweisen. Das ist die Basis für echte Identitätsprüfung im Netzwerk, statt nur für reine Verschlüsselung.

Der Tech-Stack

Ich habe aktuelle Standards genutzt, um zu sehen, wie sie in der Praxis zusammenspielen:

• C++20 Coroutinen: Um den asynchronen Netzwerk-Code lesbar zu halten.
• Boost.Asio & OpenSSL: Das technische Fundament für die mTLS-Abwicklung.
• Docker & GitHub Actions: Für eine saubere Build-Umgebung und automatisierte Tests.

Ein Blick auf den Code

Mein Interesse galt der Nutzung von co_await, um damit die Zersplitterung asynchroner Abläufe durch Callback-Strukturen zu vermeiden. Hier ist ein kleiner Ausschnitt des Handshakes:

// Ein einfacher asynchroner mTLS Handshake
asio::awaitable<void> handle_session(asio::ssl::stream<tcp::socket> socket) {
    try {
        // 1. Handshake durchführen: asynchrones Warten auf den Handshake
        co_await socket.async_handshake(asio::ssl::stream_base::server, asio::use_awaitable);

        // Daten sicher verarbeiten...
    } catch (const std::exception& e) {
        // Fehlerbehandlung für fehlgeschlagene Zertifikatsprüfung
    }
}

DevOps

Neben dem C++ Code habe ich gemerkt, dass die Infrastruktur oft die meiste Zeit benötigt. Damit die mTLS-Tests funktionieren, habe ich die PKI-Erzeugung (Zertifikate mit SAN) automatisiert.

Ein nützliches Nebenprodukt war ein kleines PowerShell-Skript (sort_logs.ps1), das die verzahnten Logs von Client und Server aus den Docker-Containern chronologisch sortiert, um die Fehlersuche im Handshake zu erleichtern.

Dokumentation

Ich habe den Code mit Doxygen dokumentiert und die Ergebnisse via GitHub Actions direkt als Pages bereitgestellt. Wer einen Blick in die Details werfen möchte:

franzsteinkress / Zero-Trust-Architektur

mTLS C++ Microservices Demonstration

🛡️ Zero-Trust-Architektur: mTLS C++ Microservices

Dieses Projekt demonstriert eine hochsichere Service-to-Service Kommunikation in verteilten Systemen. Es wurde als technischer Proof-of-Concept für zwei zentrale Säulen moderner Softwareentwicklung entworfen:

1. Moderne Asynchronität: Nutzung von C++20 Coroutinen in Verbindung mit Boost.Asio, um hocheffiziente, nicht-blockierende Netzwerkoperationen bei gleichzeitig lesbarem Code-Fluss zu ermöglichen.
2. Sicherheit durch Design (DSA-Compliance): Im Kontext des Digital Services Act (DSA) der EU rücken Sicherheit, Identitätsprüfung und der Schutz digitaler Infrastrukturen in den Fokus. Diese Implementierung nutzt mTLS (Mutual TLS), um eine Zero-Trust-Umgebung zu schaffen, in der jeder Dienst seine Identität kryptographisch nachweisen muss.

---

🚀 Features

• Mutual TLS (mTLS): Beidseitige Zertifikatsprüfung (Server prüft Client, Client prüft Server).
• C++20 Standard: Nutzung von std::format, std::chrono und moderner Speicherverwaltung.
• Zero-Trust-Prinzip: Kein Vertrauen ohne explizite Identitätsbestätigung.
• Docker-Native: Vollständig isolierte Umgebung für reproduzierbare Tests.

---

🛠️ Voraussetzungen

Das Projekt ist für die Nutzung mit VS Code DevContainers optimiert, was die Installation von Abhängigkeiten (OpenSSL, Boost, CMake)…

View on GitHub

• Source Code: GitHub Repository
• API-Referenz: Doxygen Dokumentation

Fazit: Ich bin gespannt auf euer Feedback oder Tipps, wie man solche mTLS-Strukturen heute noch robuster gestalten könnte.