Неотсоединенная подпись PKCS#7 SHA1+RSA без M2Crypto

Я пытаюсь создать неотделимую подпись на python3. В настоящее время у меня есть код, который делает это на python2 с m2crypto, но m2crypto недоступен для python3.

Я пробовал rsa, pycrypto и openssl, но не нашел, как это сделать.

Вот эквивалентная команда OpenSSL:

openssl smime -sign -signer $CRTFILE -inkey $KEYFILE -outformDER -nodetach

Это вариант nodetach, который я не могу имитировать с помощью rsa, pyopenssl или pycrypto.

Кто-нибудь делает это на python3? Я бы хотел максимально избегать использования Popen+openssl.


python rsa pyopenssl signing pycrypto
person WhyNotHugo    schedule 15.08.2015    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Похоже, вы можете добиться этого с помощью pyca/cryptography, если вы не против заняться программированием OpenSSL более низкого уровня. Вы можете попробовать это:

from cryptography import x509
from cryptography.hazmat.backends import default_backend
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.bindings.openssl.binding import Binding

_lib = Binding.lib
_ffi = Binding.ffi

msg = "Hello, World!"

with open('key.pem', 'rb') as key_file:
    private_key = serialization.load_pem_private_key(
        key_file.read(), None, default_backend())

with open('cert.pem', 'rb') as cert_file:
    cert = x509.load_pem_x509_certificate(
        cert_file.read(), default_backend())

bio_in = _lib.BIO_new_mem_buf(msg.encode('utf-8'), len(msg))
pkcs7 = _lib.PKCS7_sign(cert._x509, private_key._evp_pkey, _ffi.NULL, bio_in, 0)

bio_out=_lib.BIO_new(_lib.BIO_s_mem())
_lib.PEM_write_bio_PKCS7(bio_out, pkcs7)

result_buffer = _ffi.new('char**')
buffer_length = _lib.BIO_get_mem_data(bio_out, result_buffer)
sout = _ffi.buffer(result_buffer[0], buffer_length)[:]

print(sout.decode('utf-8'))

Этот сценарий предназначен только для иллюстрации, и могут быть лучшие способы сделать это. Этот подход в основном имитирует вашу команду openssl smime.

Если вы действительно хотите пойти по этому пути, вам придется повнимательнее присмотреться к управлению памятью и освободить вещи, когда вы закончите. Есть причина, по которой этот материал называется hazmat...

person Reinier Torenbeek    schedule 12.10.2018

arrow_upward
1
arrow_downward

На самом деле я решил это с помощью OpenSSL.crypto, хотя и с некоторыми внутренними методами:

from OpenSSL import crypto

PKCS7_NOSIGS = 0x4  # defined in pkcs7.h


def create_embeded_pkcs7_signature(data, cert, key):
    """
    Creates an embeded ("nodetached") pkcs7 signature.

    This is equivalent to the output of::

        openssl smime -sign -signer cert -inkey key -outform DER -nodetach < data

    :type data: bytes
    :type cert: str
    :type key: str
    """  # noqa: E501

    assert isinstance(data, bytes)
    assert isinstance(cert, str)

    try:
        pkey = crypto.load_privatekey(crypto.FILETYPE_PEM, key)
        signcert = crypto.load_certificate(crypto.FILETYPE_PEM, cert)
    except crypto.Error as e:
        raise ValueError('Certificates files are invalid') from e

    bio_in = crypto._new_mem_buf(data)
    pkcs7 = crypto._lib.PKCS7_sign(
        signcert._x509, pkey._pkey, crypto._ffi.NULL, bio_in, PKCS7_NOSIGS
    )
    bio_out = crypto._new_mem_buf()
    crypto._lib.i2d_PKCS7_bio(bio_out, pkcs7)
    signed_data = crypto._bio_to_string(bio_out)

    return signed_data
person WhyNotHugo    schedule 03.11.2017