python rfc3161验证失败但openssl验证正常
python rfc3161 verification failed but openssl verification is ok
我正在尝试为我的内容添加时间戳,以便我知道它何时更改。首先,我使用了 shell 脚本,但我想在我的 python 程序中实现它。 shell 脚本目前工作正常,但我无法让 python 版本为我工作。
这是 工作 shell 版本
in_file='test_content'
out_file="${in_file}.tsr"
ts_server='http://time.certum.pl/'
openssl ts -query -data "$in_file" -sha1 -cert | curl -o "$out_file" -sSH 'Content-Type: application/timestamp-query' --data-binary @- "$ts_server"
openssl ts -verify -data "$in_file" -in "$out_file" -CAfile "/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem"
openssl ts -reply -in "$out_file" -text
我试图用 rfc3161 package 来模仿这个,但验证没有按预期进行。这是python代码
import rfc3161
cert = file('/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem').read()
rt = rfc3161.RemoteTimestamper('http://time.certum.pl/', certificate=cert)
data_to_sign = file('test_content').read()
print rt.timestamp(data=data_to_sign)
>>> (False, 'Bad signature')
我不知道哪里出了问题,因为两个脚本应该做同样的事情。有人可以告诉我 python 版本有什么问题吗?
问题出在我使用的库rfc3161上。作者似乎没有包括检查 TSA 权威证书,所以我不得不对库进行更改。
更改的代码在 api.py 中的 check_timestamp 函数中。您必须使用此更改证书加载的代码块:
编辑:
来自响应的证书应该针对某些证书存储进行验证。如果您无法验证它,您应该引发异常
if certificate != "":
try:
certificate = X509.load_cert_der_string(encoder.encode(signed_data['certificates'][0][0]))
# YOU SHOULD VALIDATE THE CERTIFICATE AGAINST SOME CERTIFICATE STORE !!!!
if not validate_certificate(certificate): #NOTE: I am not ready with this function.
raise TypeError('The TSA returned certificate should be valid one')
except:
raise AttributeError("missing certificate")
else:
try:
certificate = X509.load_cert_string(certificate)
except:
certificate = X509.load_cert_der_string(certificate)
EDIT2: 您可以使用 here:
中描述的代码进行验证
现在验证工作正常。
python-rfc3161 的作者在这里。如果返回错误的签名,说明你为TSA申报的证书不是真正用于签名的证书。
melanholly 提供的补丁对我来说似乎不正确,你不应该使用与签名捆绑在一起的证书来检查你是否无法验证其来源(例如使用 PKI)。这里好像不是这样。
以下代码使用
因为
- Python 2 和模块 rfc3161 不再维护
- 我不确定 certum.pl 端点 url 以及在哪里可以获得正确的 CA 证书
您应该选择哈希算法(默认为 sha1,已弃用)。
import rfc3161ng
import os
from struct import unpack
with open('freetsa.pem', 'rb') as cert_fh:
cert = cert_fh.read()
rt = rfc3161ng.RemoteTimestamper('https://freetsa.org/tsr', certificate=cert, hashname='sha256')
with open('test_content', 'rb') as content_fh:
data_to_sign = content_fh.read()
nonce = unpack('<q', os.urandom(8))[0]
print(rt.timestamp(data=data_to_sign))
安全警告
Nonce 是可选的,但建议使用,如 RFC3161
的第 2.4.1 段所述
The nonce, if included, allows the client to verify the timeliness of
the response when no local clock is available. The nonce is a large
random number with a high probability that the client generates it
only once (e.g., a 64 bit integer).
我正在尝试为我的内容添加时间戳,以便我知道它何时更改。首先,我使用了 shell 脚本,但我想在我的 python 程序中实现它。 shell 脚本目前工作正常,但我无法让 python 版本为我工作。 这是 工作 shell 版本
in_file='test_content'
out_file="${in_file}.tsr"
ts_server='http://time.certum.pl/'
openssl ts -query -data "$in_file" -sha1 -cert | curl -o "$out_file" -sSH 'Content-Type: application/timestamp-query' --data-binary @- "$ts_server"
openssl ts -verify -data "$in_file" -in "$out_file" -CAfile "/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem"
openssl ts -reply -in "$out_file" -text
我试图用 rfc3161 package 来模仿这个,但验证没有按预期进行。这是python代码
import rfc3161
cert = file('/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem').read()
rt = rfc3161.RemoteTimestamper('http://time.certum.pl/', certificate=cert)
data_to_sign = file('test_content').read()
print rt.timestamp(data=data_to_sign)
>>> (False, 'Bad signature')
我不知道哪里出了问题,因为两个脚本应该做同样的事情。有人可以告诉我 python 版本有什么问题吗?
问题出在我使用的库rfc3161上。作者似乎没有包括检查 TSA 权威证书,所以我不得不对库进行更改。
更改的代码在 api.py 中的 check_timestamp 函数中。您必须使用此更改证书加载的代码块:
编辑: 来自响应的证书应该针对某些证书存储进行验证。如果您无法验证它,您应该引发异常
if certificate != "":
try:
certificate = X509.load_cert_der_string(encoder.encode(signed_data['certificates'][0][0]))
# YOU SHOULD VALIDATE THE CERTIFICATE AGAINST SOME CERTIFICATE STORE !!!!
if not validate_certificate(certificate): #NOTE: I am not ready with this function.
raise TypeError('The TSA returned certificate should be valid one')
except:
raise AttributeError("missing certificate")
else:
try:
certificate = X509.load_cert_string(certificate)
except:
certificate = X509.load_cert_der_string(certificate)
EDIT2: 您可以使用 here:
中描述的代码进行验证现在验证工作正常。
python-rfc3161 的作者在这里。如果返回错误的签名,说明你为TSA申报的证书不是真正用于签名的证书。
melanholly 提供的补丁对我来说似乎不正确,你不应该使用与签名捆绑在一起的证书来检查你是否无法验证其来源(例如使用 PKI)。这里好像不是这样。
以下代码使用
因为
- Python 2 和模块 rfc3161 不再维护
- 我不确定 certum.pl 端点 url 以及在哪里可以获得正确的 CA 证书
您应该选择哈希算法(默认为 sha1,已弃用)。
import rfc3161ng
import os
from struct import unpack
with open('freetsa.pem', 'rb') as cert_fh:
cert = cert_fh.read()
rt = rfc3161ng.RemoteTimestamper('https://freetsa.org/tsr', certificate=cert, hashname='sha256')
with open('test_content', 'rb') as content_fh:
data_to_sign = content_fh.read()
nonce = unpack('<q', os.urandom(8))[0]
print(rt.timestamp(data=data_to_sign))
安全警告
Nonce 是可选的,但建议使用,如 RFC3161
的第 2.4.1 段所述The nonce, if included, allows the client to verify the timeliness of the response when no local clock is available. The nonce is a large random number with a high probability that the client generates it only once (e.g., a 64 bit integer).