`

tlslite readme摘要

阅读更多

 

python之TLS使用

 

版本

tlslite version 0.3.8

 

下载

http://trevp.net/tlslite/

 

安装

sudo python setup.py install

 

测试安装

cd test

tls.py servertest localhost:4443 .

tls.py clienttest localhost:4443 .

 

ubuntu/python2.7:

/usr/local/bin/tls.py

/usr/local/lib/python2.7/dist-packages/tlslite/TLSConnection.py

 

命令行

'tlsdb.py' 管理共享钥和验证用户-共享钥,SRP密码数据库

'tls.py' 测试其他TLS实现

 

运行SRP server:

 tlsdb.py createsrp verifierDB

 tlsdb.py add verifierDB alice abra123cadabra 1024

 tlsdb.py add verifierDB bob swordfish 2048

 sudo tls.py serversrp localhost:443 verifierDB

连接server:

 tls.py clientsrp localhost:443 alice abra123cadabra

 

基本使用步骤

Step 1 - 创建socket

记得设置超时处理

 from socket import *

 sock = socket(AF_INET, SOCK_STREAM)

 sock.connect( ("www.amazon.com", 443) )

 sock.settimeout(10)  #Only on python 2.3 or greater

Step 2 - 创建TLS连接

 from tlslite.api import *

 connection = TLSConnection(sock)

Step 3 - 调用握手函数(client)

可以根据验证方式,使用不同的握手实现:

 connection.handshakeClientCert() #无需客户端验证(authentication)

 connection.handshakeClientCert(certChain, privateKey)

 connection.handshakeClientSRP("alice", "abra123cadabra")

 connection.handshakeClientSharedKey("alice", "PaVBVZkYqAjCQCu6UBL2xgsnZhw")

 connection.handshakeClientUnknown(srpCallback, certCallback)

ClientCert私钥获取:

#Load cryptoID certChain and privateKey.  Requires cryptoIDlib.

from cryptoIDlib.CertChain import CertChain

s = open("./test/clientCryptoIDChain.xml").read()

certChain = CertChain()

certChain.parse(s)

s = open("./test/clientCryptoIDKey.xml").read()

privateKey = parseXMLKey(s, private=True)

#Load X.509 certChain and privateKey.

s = open("./test/clientX509Cert.pem").read()

x509 = X509()

x509.parse(s)

certChain = X509CertChain([x509])

s = open("./test/clientX509Key.pem").read()

privateKey = parsePEMKey(s, private=True)

SRP and SharedKey都需要手动验证用户名和密码.

不同的是,SRP较慢,但对低熵密码安全;shared keys快速,但只对高熵密码安全。

一般情况下,SRP用于人类可识别记忆的密码,在使用随机码作为密码时才使用shared keys

Unknown用于当无法知道server是否需要client authentication的时候

两个回调函数SRP callback和certificate callback 通常接受一个包含(username, password),(certChain,privateKey)或者的tuple

通过HandshakeSettings 更多地控制handshake:

settings = HandshakeSettings()

settings.minKeySize = 2048

settings.cipherNames = ["aes256"]

settings.minVersion = (3,1)

connection.handshakeClientSRP("alice", "abra123cadabra", settings=settings)

重用session:

connection.handshakeClientSRP("alice", "abra123cadabra")

……

oldSession = connection.session

connection2.handshakeClientSRP("alice", "abra123cadabra", session= oldSession)

Step 3 - 调用握手函数(server)

server只有一个handshake函数,但不同的验证方式参数不同

SRP authentication要通过VerifierDB来验证数据库的密码

verifierDB = VerifierDB("./test/verifierDB") #无参数代表内存数据库

#打开已存在的

verifierDB.open()

#创建新的

verifier = VerifierDB.makeVerifier("alice", "abra123cadabra", 2048)

verifierDB["alice"] = verifier

#执行握手

connection.handshakeServer(verifierDB=verifierDB)

shared key authentication

sharedKeyDB = SharedKeyDB("./test/sharedkeyDB")

sharedKeyDB.open()

sharedKeyDB["alice"] = "PaVBVZkYqAjCQCu6UBL2xgsnZhw"

connection.handshakeServer(sharedKeyDB=sharedKeyDB)

a certificate and private key authentication

connection.handshakeServer(certChain=certChain, privateKey=privateKey, reqCert=True)

 

通过SessionCache重用客户端session

sessionCache = SessionCache()

connection.handshakeServer(verifierDB=verifierDB, sessionCache=sessionCache)

Step 4 - 检查结果

如果握手结束没有出现异常,验证结果将被保存在connection's session object

如下variables是常用的:

connection.session.srpUsername       #string

connection.session.sharedKeyUsername #string

connection.session.clientCertChain   #X509CertChain or cryptoIDlib.CertChain.CertChain

connection.session.serverCertChain   #X509CertChain or cryptoIDlib.CertChain.CertChain

Both types of certificate chain object support the getFingerprint() function,

X.509对象返回 the end-entity fingerprint并忽略其他证书

CryptoID fingerprints (也就是 "cryptoIDs") 是基于根证书(root cryptoID certificate)的, 所以必须在CertChain中调用validate()确保真的和cryptoID通话.

try:

checker = Checker(\x509Fingerprint='e049ff930af76d43ff4c658b268786f4df1296f2')

connection.handshakeClientCert(checker=checker)

except TLSAuthenticationError:

print "Authentication failure"

错误类型略

Step 5 - 交换数据

创建连接后,使用socket.SSL对象的read() and write() 

或者使用socket对象的send(), sendall(), recv(), 和makefile()

会导致的异常:TLSLocalAlert,TLSRemoteAlert, socket.error, or TLSAbruptCloseError

Step 6 - 关闭连接

调用close()

 

 

HTTPTLSConnection对httplib的扩展

  #没有验证

  h = HTTPTLSConnection("www.amazon.com", 443)

  h.request("GET", "")

  r = h.getresponse()

……

 

  #基于服务器X.509 fingerprint的验证

  h = HTTPTLSConnection("www.amazon.com", 443, x509Fingerprint="e049ff930af76d43ff4c658b268786f4df1296f2")

……

 

  #基于服务器 X.509 chain (需要cryptlib_py)的验证

  h = HTTPTLSConnection("www.amazon.com", 443, x509TrustList=[verisignCert], x509CommonName="www.amazon.com")

……

 

  #基于服务器cryptoID的验证

  h = HTTPTLSConnection("localhost", 443, cryptoID="dmqb6.fq345.cxk6g.5fha3")

……

 

  #使用SRP手动验证

  h = HTTPTLSConnection("localhost", 443, username="alice", password="abra123cadabra")

……

 

  #使用shared key手动验证

  h = HTTPTLSConnection("localhost", 443, username="alice", sharedKey="PaVBVZkYqAjCQCu6UBL2xgsnZhw")

……

 

  #基于服务器cryptoID 使用SRP, *AND*手动验证

  h = HTTPTLSConnection("localhost", 443, username="alice", password="abra123cadabra", cryptoID="dmqb6.fq345.cxk6g.5fha3")

……

 

 

XMLRPCTransport对xmlrpclib的扩展

  from tlslite.api import XMLRPCTransport

  from xmlrpclib import ServerProxy

 

  #No authentication whatsoever

  transport = XMLRPCTransport()

  server = ServerProxy("https://localhost", transport)

  server.someFunc(2, 3)

……

 

  #Authenticate server based on its X.509 fingerprint

  transport = XMLRPCTransport(\

          x509Fingerprint="e049ff930af76d43ff4c658b268786f4df1296f2")  

……

 

 

POP3_TLS对poplib的扩展

IMAP4_TLS对imaplib的扩展

 

  #To connect to a POP3 server over SSL and display its fingerprint:

  from tlslite.api import *

  p = POP3_TLS("---------.net")

  print p.sock.session.serverCertChain.getFingerprint()

……

 

  #To connect to an IMAP server once you know its fingerprint:

  from tlslite.api import *

  i = IMAP4_TLS("cyrus.andrew.cmu.edu", x509Fingerprint="00c14371227b3b677ddb9c4901e6f2aee18d3e45")

……  

 

 

SMTP_TLS对smtplib的扩展

  #To connect to an SMTP server once you know its fingerprint:

  from tlslite.api import *

  s = SMTP_TLS("----------.net")

  s.starttls(x509Fingerprint="7e39be84a2e3a7ad071752e3001d931bf82c32dc")

……

 

 

SocketServer的使用

 

  from SocketServer import *

  from BaseHTTPServer import *

  from SimpleHTTPServer import *

  from tlslite.api import *

 

  s = open("./serverX509Cert.pem").read()

  x509 = X509()

  x509.parse(s)

  certChain = X509CertChain([x509])

 

  s = open("./serverX509Key.pem").read()

  privateKey = parsePEMKey(s, private=True)

 

  sessionCache = SessionCache()

 

  class MyHTTPServer(ThreadingMixIn, TLSSocketServerMixIn, HTTPServer):

      def handshake(self, tlsConnection):

          try:

              tlsConnection.handshakeServer(certChain=certChain,

                                            privateKey=privateKey,

                                            sessionCache=sessionCache)

              tlsConnection.ignoreAbruptClose = True

              return True

          except TLSError, error:

              print "Handshake failure:", str(error)

              return False

 

  httpd = MyHTTPServer(('localhost', 443), SimpleHTTPRequestHandler)

  httpd.serve_forever()

 

 

TLSAsyncDispatcherMixIn.py 

 

  class http_tls_channel(TLSAsyncDispatcherMixIn, http_server.http_channel):

      ac_in_buffer_size = 16384

 

      def __init__ (self, server, conn, addr):

          http_server.http_channel.__init__(self, server, conn, addr)

          TLSAsyncDispatcherMixIn.__init__(self, conn)

          self.tlsConnection.ignoreAbruptClose = True

          self.setServerHandshakeOp(certChain=certChain, privateKey=privateKey)

 

Twisted协议

 

  from twisted.internet.protocol import Protocol, Factory

  from twisted.internet import reactor

  from twisted.protocols.policies import WrappingFactory

  from twisted.protocols.basic import LineReceiver

  from twisted.python import log

  from twisted.python.failure import Failure

  import sys

  from tlslite.api import *

 

  s = open("./serverX509Cert.pem").read()

  x509 = X509()

  x509.parse(s)

  certChain = X509CertChain([x509])

 

  s = open("./serverX509Key.pem").read()

  privateKey = parsePEMKey(s, private=True)

 

  verifierDB = VerifierDB("verifierDB")

  verifierDB.open()

 

  class Echo(LineReceiver):

      def connectionMade(self):

          self.transport.write("Welcome to the echo server!\r\n")

 

      def lineReceived(self, line):

          self.transport.write(line + "\r\n")

 

  class Echo1(Echo):

      def connectionMade(self):

          if not self.transport.tlsStarted:

              self.transport.setServerHandshakeOp(certChain=certChain,

                                                  privateKey=privateKey,

                                                  verifierDB=verifierDB)

          else:

              Echo.connectionMade(self)

 

      def connectionLost(self, reason):

          pass #Handle any TLS exceptions here

 

  class Echo2(Echo):

      def lineReceived(self, data):

          if data == "STARTTLS":

              self.transport.setServerHandshakeOp(certChain=certChain,

                                                  privateKey=privateKey,

                                                  verifierDB=verifierDB)

          else:

              Echo.lineReceived(self, data)

 

      def connectionLost(self, reason):

          pass #Handle any TLS exceptions here

 

  factory = Factory()

  factory.protocol = Echo1

  #factory.protocol = Echo2

 

  wrappingFactory = WrappingFactory(factory)

  wrappingFactory.protocol = TLSTwistedProtocolWrapper

 

  log.startLogging(sys.stdout)

  reactor.listenTCP(1079, wrappingFactory)

  reactor.run()

 

 

安全考虑

TLS Lite 是beta-quality code,尚未经过安全分析,风险自保

1
0
分享到:
评论

相关推荐

    开源的readme.md编写工具

    **开源的README.md编写工具** 在软件开发领域,README文件是项目的重要组成部分,它提供了项目的概述、安装指南、使用说明以及贡献方式等信息。随着Markdown的流行,许多开发者选择使用Markdown格式来编写README,...

    README_readme_

    【标题】:“README_readme_”通常是指一个项目或软件中的README文件,它是用来提供关于项目基本信息、如何运行以及使用指南的重要文档。 【描述】:“A basic readme file for running benami games”说明这个...

    README文件模板-New.zip

    在软件开发领域,README文件是项目中的重要组成部分,它提供了关于项目的基本信息,帮助用户理解项目的用途、如何安装和使用,以及如何贡献代码等。"README文件模板-New.zip" 是一个压缩包,包含了两种类型的README...

    readme.rar

    《readme.rar 文件详解及其在IT中的重要性》 在信息技术领域,`readme.rar`文件是一个常见的元素,它在软件开发、数据管理和共享、项目协作等场景中扮演着重要的角色。本文将深入探讨`readme`文件的含义、功能以及...

    从Readmemd文件创建美观简单的HTML页面

    const readmeContent = fs.readFileSync('Readme.md', 'utf8'); const htmlContent = marked(readmeContent); // 将生成的HTML写入新的文件 fs.writeFileSync('index.html', htmlContent); ``` 虽然这会生成一个...

    Readme 破解使用说明

    Readme 破解使用说明

    matlab README.md

    readme,matlab处理文件

    README.md编写教程(基本语法)

    README.md编写教程(基本语法) Markdown是一种纯文本格式的标记语言。通过简单的标记语法,它可以使普通文本内容具有一定的格式。

    README.mdown

    缺少README.mdown可以下载使用

    loadrunner 9.5 crack readme

    loadrunner 9.5 crack readme

    Carsim_Programs_solvers_ReadMe.rar

    标题中的"Carsim_Programs_solvers_ReadMe.rar"是一个压缩包文件,主要涉及的内容是关于 Carsim 软件与 Simulink 的联合仿真操作,尤其是解决输入输出信号选择的问题。Carsim 是一款广泛用于汽车动力学模拟的高级...

    Go-Rebecca是一个Go开发的readme内容生成器

    3. **生成README**:使用`rebecca generate`命令,结合你的模板和项目信息,Rebecca会生成一个全新的README文件。 4. **版本控制**:将生成的README文件加入到版本控制系统(如Git)中,以便历史记录和版本对比。 ...

    Grub4Dos 中文ReadMe

    Grub4dos 中文ReadMe 0.4.4版

    精心总结50多家国内外大厂的README文档的书写规范

    精心总结50多家国内外大厂的README文档的规范写法,无论大中小型公司都可以参照这个规范去写文档。适用类型:于个人或公司的开源项目,项目文档,接口文档,测试文档等文档的书写。适宜人群:无论小白还是老司机都...

    Readme-说明

    Readme-说明

    README.md

    README.md

    Readme-说明.htm

    Readme-说明.htm

    README.html

    README.html

    uboot readme 中文注释

    《UBoot Readme 中文注释详解》 UBoot,全称Microcontroller Bootloader,是一款广泛应用的开源固件,主要用于启动嵌入式设备的操作系统。本文将深入解析UBoot的Readme文件,以便理解其组织结构和核心功能,这对于...

    DOS下的中文README制作软件CTXT2EXE

    标题中的“DOS下的中文README制作软件CTXT2EXE”指的是在DOS操作系统环境下运行的一个工具,它的主要功能是将纯文本格式的README文件转换为可执行的EXE文件。这种转换对于早期的计算机用户来说尤其重要,因为在DOS...

Global site tag (gtag.js) - Google Analytics