Geekly articles weekly

Kami membongkar dan melihat sertifikat yang memenuhi syarat menggunakan Python / Tkinter

Sertifikat yang memenuhi syarat dengan cepat menjadi bagian integral dari kehidupan sehari-hari. Dan semakin banyak orang ingin melihat "binatang" ini dari dalam. Ini di satu sisi. Di sisi lain, semakin banyak aplikasi yang dikembangkan di mana informasi dari sertifikat ini digunakan. Dan ini bukan hanya atribut TIN atau BIN dari pemilik atau penerbit sertifikat. Ini dapat berupa informasi tentang penyedia kriptografi mana yang digunakan oleh pemegang sertifikat (atribut subjectSignTool) untuk menghasilkan kunci pribadi atau atas dasar yang disertifikasi berarti pusat sertifikasi (CA) dibuat yang mengeluarkan sertifikat. Dan jika Anda menulis sebuah program yang akan menganalisis sertifikat yang dikeluarkan, Anda dapat mengumpulkan statistik menarik tentang alat perlindungan informasi kriptografi yang digunakan oleh pemegang sertifikat dan atas dasar apa (meskipun kurang menarik) dana bersertifikasi (atau tidak bersertifikasi) yang digunakan CA (atribut issuerSignTools):



Di ruang terbuka Habr, upaya yang berhasil telah dilakukan untuk membongkar sertifikat yang memenuhi syarat. Sayangnya, analisis hanya menyangkut penerimaan atribut TIN, PSRN, dan SNILS yang merupakan bagian dari DN Distinguished Name. Meskipun, mengapa sayangnya? Penulis memiliki masalah khusus dan diselesaikan. Kami ingin mengakses atribut sertifikat yang memenuhi syarat melalui Python dan memberikan utilitas grafis untuk melihatnya.

Untuk mengakses atribut sertifikat, kami akan menggunakan paket fsb795 . Paket ini tersedia untuk Pytho2 dan Python3, baik untuk Linux dan untuk Windows. Untuk menginstalnya, jalankan saja perintah tradisional:

# python -m pip install fsb795 Collecting fsb795 Requirement already satisfied: pyasn1-modules>=0.2.2 in /usr/lib/python2.7/site-packages (from fsb795) (0.2.2) Collecting pyasn1>=0.4.4 (from fsb795) Using cached https://files.pythonhosted.org/packages/d1/a1/7790cc85db38daa874f6a2e6308131b9953feb1367f2ae2d1123bb93a9f5/pyasn1-0.4.4-py2.py3-none-any.whl Requirement already satisfied: six in /usr/lib/python2.7/site-packages (from fsb795) (1.11.0) Installing collected packages: pyasn1, fsb795 Successfully installed fsb795-1.5.2 pyasn1-0.4.4 [root@localhost GCryptGOST]#

Paket fsb795 membutuhkan paket modul pyasn1 dan pyasn1. Oleh karena itu, jika mereka tidak diinstal, akan dilakukan upaya untuk menginstalnya.

Untuk python3, perintah ini terlihat seperti ini:

 # python -m pip install fsb795 ... #

Anda juga dapat mengunduh paket instalasi python3 dan python2 dan menginstalnya secara lokal.
Nama paket, dengan analogi dengan modul dari paket pyasn1-modules, misalnya, rfc2459, dll., Menunjukkan bahwa ia dirancang untuk bekerja dengan sertifikat yang memenuhi persyaratan Orde Layanan Keamanan Federal Federasi Rusia 27 Desember 2011 No. 795 “Atas persetujuan persyaratan untuk bentuk sertifikat yang memenuhi syarat ... ".

Akses ke sertifikat dalam paket fsb795 diimplementasikan melalui kelas Sertifikat:

 # -*- coding: utf-8 -*- import os, sys import pyasn1 import binascii import six from pyasn1_modules import rfc2459, pem from pyasn1.codec.der import decoder from datetime import datetime, timedelta class Certificate: #  cert_full = '' cert = '' pyver = '' formatCert = '' def __init__ (self,fileorstr): #     if not os.path.exists(fileorstr): #  ,  ,     #    PEM- strcert = fileorstr.strip('\n') if (strcert[0:27] != '-----BEGIN CERTIFICATE-----'): return idx, substrate = pem.readPemBlocksFromFile(six.StringIO( strcert), ('-----BEGIN CERTIFICATE-----', '-----END CERTIFICATE-----') ) self.pyver = sys.version[0] try: self.cert_full, rest = decoder.decode(substrate, asn1Spec=rfc2459.Certificate()) self.cert = self.cert_full["tbsCertificate"] self.formatCert = 'PEM' except: self.pyver = '' self.formatCert = '' return #   #  self.pyver   python self.pyver = sys.version[0] filename = fileorstr if (self.pyver == '2'): if sys.platform != "win32": filename = filename.encode("UTF-8") else: filename = filename.encode("CP1251") #  DER file1 = open(filename, "rb") substrate = file1.read() if (self.pyver == '2'): b0 = ord(substrate[0]) b1 = ord(substrate[1]) else: b0 = substrate[0] b1 = substrate[1] #  PEM/DER,   0x30,       127  if (b0 == 48 and b1 > 128) : self.formatCert = 'DER' else: self.formatCert = 'PEM' file1 = open(filename, "r") idx, substrate = pem.readPemBlocksFromFile( file1, ('-----BEGIN CERTIFICATE-----', '-----END CERTIFICATE-----') ) file1.close() try: self.cert_full, rest = decoder.decode(substrate, asn1Spec=rfc2459.Certificate()) self.cert = self.cert_full["tbsCertificate"] except: self.pyver = '' self.formatCert = '' #       def subjectSignTool(self): . . . #,     if __name__ == "__main__": . . .

Untuk membuat instance objek untuk sertifikat tertentu, cukup untuk menjalankan pernyataan berikut:

 $ python Python 2.7.15 (default, May 23 2018, 14:20:56) [GCC 5.4.0] on linux Type "help", "copyright", "credits" or "license" for more information. >>import fsb795 >>tek_cert = fsb795.Certificate(</  >) >>

Sebagai parameter, saat membuat turunan kelas, sertifikat ditentukan, yang bisa berupa file PEM atau DER atau string dalam format PEM.

Setelah pembuatan, setiap instance memiliki empat atribut: pyver, formatCert, cert_full dan cert.
Dengan menggunakan atribut pengupas, Anda dapat memeriksa bagaimana penguraian sertifikat. Jika pengupas sama dengan string kosong, maka file atau string tidak mengandung sertifikat. Jika tidak, atribut pyver berisi versi bahasa python:

 >>> c1=fsb795.Certificate('     ') >>> if (c1.pyver == ''): ... print ('   ') ...     >>> c2 = fsb795.Certificate('/home/a513/cert_nss.der') >>> if (c2.pyver != ""): ... print(c2.pyver) ... 2 >>> print(c2.formatCert) DER >>>

Atribut formatCert, ketika berhasil membuat turunan dari kelas Sertifikat, berisi jenis file / string format sertifikat. Itu bisa PEM atau DER. Mengapa atribut ini diperlukan akan menjadi jelas di bawah ini.

Paket fsb795 dibuat menggunakan paket pyasn1 . Jadi, dua atribut tetap tidak diteliti. Atribut cert menyimpan sertifikat tbs, siap digunakan dengan paket pyasn1. Atribut cert_full lain menyimpan seluruh sertifikat yang didekodekan sehubungan dengan rfc2459. Kami menunjukkan cara mendapatkan algoritma kunci publik dengan atribut cert dan paket pyasn1 yang terhubung:

 >>> pubkey = c2.cert['subjectPublicKeyInfo'] >>> ff = pubkey['algorithm'] >>> ff1 = ff['algorithm'] >>> print (ff1) 1.2.643.2.2.19 >>>

Pada akhirnya, akan mungkin untuk mengevaluasi kemampuan paket fsb795 untuk mendapatkan informasi tentang kunci publik dari sertifikat yang berkualifikasi.

Ketika instance kelas Sertifikat berhasil dibuat, kami memiliki metode pembuangan kami yang membuatnya mudah untuk mendapatkan data yang diperlukan dari sertifikat. Semua informasi tentang kunci publik dapat diperoleh sebagai berikut:

 >>> c3 = fsb795.Certificate('cert.der') >>> key_info=c3.publicKey() >>> for opt in key_info.keys(): ... val = str(key_info[opt]) ... print (opt + '=' + val) ... curve=1.2.643.2.2.36.0 hash=1.2.643.2.2.30.1 valuepk=5b785f86f0dd5316ba37c8440e398e83f2ec0c34478f90da9c0c8046d341ff66f9044cd00a0e25530 acefd51e6be852dbecacbaabc55e807be8e1f861658bd58 algo=1.2.643.2.2.19 >>>

Saat ini, kelas Sertifikat berisi metode berikut:

  • subjectSignTool () - mengembalikan string dengan nama pemegang sertifikat perlindungan informasi kriptografis
  • issuerSignTool () - mengembalikan daftar empat elemen dengan alat kriptografi informasi dari penerbit sertifikat;
  • classUser () - mengembalikan string dengan oids dari kelas keamanan sertifikat perlindungan informasi kriptografis dari pemegang sertifikat, dipisahkan oleh karakter ";;";
  • issuerCert () - mengembalikan kamus dengan bidang dan nilai DN nama pembeda dari sertifikat dan nomor yang mengidentifikasi sertifikat (2 - badan hukum);
  • subjectCert () - mengembalikan kamus dengan bidang dan nilai DN nama dibedakan dari pemegang sertifikat dan nomor yang mengidentifikasi sertifikat (2 - badan hukum);
  • publicKey () - mengembalikan kamus yang berisi nilai kunci ('valuepk') dan parameter kunci ('kurva' dan 'hash');
  • signatureCert - mengembalikan dua nilai: algoritme tanda tangan dan nilai tanda tangan;
  • validityCert - mengembalikan kamus dengan dua tombol 'not_after' dan 'not_before';
  • keyUsage () - mengembalikan daftar cakupan kunci;
  • serialNumber () - mengembalikan nomor seri sertifikat dalam bentuk desimal;
  • prettyPrint () - mengembalikan string dengan 'cetakan' sertifikat dalam hal pyasn1 (self.cert_full.prettyPrint ()).

Spoiler berisi contoh uji yang dengan jelas menunjukkan pekerjaan metode ini.

Uji test795.py untuk menguji paket fsb795
 import fsb795 certpem = """ -----BEGIN CERTIFICATE----- MIIG3DCCBougAwIBAgIKE8/KkAAAAAAC4zAIBgYqhQMCAgMwggFKMR4wHAYJKoZI hvcNAQkBFg9kaXRAbWluc3Z5YXoucnUxCzAJBgNVBAYTAlJVMRwwGgYDVQQIDBM3 NyDQsy4g0JzQvtGB0LrQstCwMRUwEwYDVQQHDAzQnNC+0YHQutCy0LAxPzA9BgNV BAkMNjEyNTM3NSDQsy4g0JzQvtGB0LrQstCwLCDRg9C7LiDQotCy0LXRgNGB0LrQ sNGPLCDQtC4gNzEsMCoGA1UECgwj0JzQuNC90LrQvtC80YHQstGP0LfRjCDQoNC+ 0YHRgdC40LgxGDAWBgUqhQNkARINMTA0NzcwMjAyNjcwMTEaMBgGCCqFAwOBAwEB EgwwMDc3MTA0NzQzNzUxQTA/BgNVBAMMONCT0L7Qu9C+0LLQvdC+0Lkg0YPQtNC+ 0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAMB4XDTE4MDcwOTE1MjYy NFoXDTI3MDcwOTE1MjYyNFowggFVMR4wHAYJKoZIhvcNAQkBFg9jb250YWN0QGVr ZXkucnUxITAfBgNVBAMMGNCe0J7QniDCq9CV0LrQtdC5INCj0KbCuzEwMC4GA1UE Cwwn0KPQtNC+0YHRgtC+0LLQtdGA0Y/RjtGJ0LjQuSDRhtC10L3RgtGAMSEwHwYD VQQKDBjQntCe0J4gwqvQldC60LXQuSDQo9CmwrsxCzAJBgNVBAYTAlJVMRgwFgYD VQQIDA83NyDQnNC+0YHQutCy0LAxRDBCBgNVBAkMO9Cj0JvQmNCm0JAg0JjQm9Cs 0JjQndCa0JAsINCULjQsINCQ0J3QotCgIDMg0K3Qojsg0J/QntCcLjk0MRgwFgYD VQQHDA/Qsy7QnNC+0YHQutCy0LAxGDAWBgUqhQNkARINMTE0Nzc0NjcxNDYzMTEa MBgGCCqFAwOBAwEBEgwwMDc3MTA5NjQzNDgwYzAcBgYqhQMCAhMwEgYHKoUDAgIk AAYHKoUDAgIeAQNDAARAW3hfhvDdUxa6N8hEDjmOg/LsDDRHj5DanAyARtNB/2b5 BEzQCg4lUwrO/VHmvoUtvsrLqrxV6Ae+jh+GFli9WKOCA0AwggM8MBIGA1UdEwEB /wQIMAYBAf8CAQAwHQYDVR0OBBYEFMQYnG5GfYRnj2ehEQ5tv8Fso/qBMAsGA1Ud DwQEAwIBRjAdBgNVHSAEFjAUMAgGBiqFA2RxATAIBgYqhQNkcQIwKAYFKoUDZG8E Hwwd0KHQmtCX0JggwqvQm9CY0KDQodCh0JstQ1NQwrswggGLBgNVHSMEggGCMIIB foAUi5g7iRhR6O+cAni46sjUILJVyV2hggFSpIIBTjCCAUoxHjAcBgkqhkiG9w0B CQEWD2RpdEBtaW5zdnlhei5ydTELMAkGA1UEBhMCUlUxHDAaBgNVBAgMEzc3INCz LiDQnNC+0YHQutCy0LAxFTATBgNVBAcMDNCc0L7RgdC60LLQsDE/MD0GA1UECQw2 MTI1Mzc1INCzLiDQnNC+0YHQutCy0LAsINGD0LsuINCi0LLQtdGA0YHQutCw0Y8s INC0LiA3MSwwKgYDVQQKDCPQnNC40L3QutC+0LzRgdCy0Y/Qt9GMINCg0L7RgdGB 0LjQuDEYMBYGBSqFA2QBEg0xMDQ3NzAyMDI2NzAxMRowGAYIKoUDA4EDAQESDDAw NzcxMDQ3NDM3NTFBMD8GA1UEAww40JPQvtC70L7QstC90L7QuSDRg9C00L7RgdGC 0L7QstC10YDRj9GO0YnQuNC5INGG0LXQvdGC0YCCEDRoHkDLQe8zqaC3yHaSmikw WQYDVR0fBFIwUDAmoCSgIoYgaHR0cDovL3Jvc3RlbGVjb20ucnUvY2RwL2d1Yy5j cmwwJqAkoCKGIGh0dHA6Ly9yZWVzdHItcGtpLnJ1L2NkcC9ndWMuY3JsMIHGBgUq hQNkcASBvDCBuQwj0J/QkNCa0JwgwqvQmtGA0LjQv9GC0L7Qn9GA0L4gSFNNwrsM INCf0JDQmiDCq9CT0L7Qu9C+0LLQvdC+0Lkg0KPQpsK7DDbQl9Cw0LrQu9GO0YfQ tdC90LjQtSDihJYgMTQ5LzMvMi8yLTk5OSDQvtGCIDA1LjA3LjIwMTIMONCX0LDQ utC70Y7Rh9C10L3QuNC1IOKEliAxNDkvNy8xLzQvMi02MDMg0L7RgiAwNi4wNy4y MDEyMAgGBiqFAwICAwNBALvjFGhdFE9llvlvKeQmZmkI5J+yO2jFWTh8nXPjIpiL OutUew2hIZv15pJ1QM/VgRO3BTBGDOoIrq8LvgC+3kA= -----END CERTIFICATE----- """ #c1 = fsb795.Certificate('OOO_VOLGA.der') #c1 = fsb795.Certificate('cert.der') c1 = fsb795.Certificate(certpem) if (c1.pyver == ''): print('Context for certificate not create') exit(-1) print('=================formatCert================================') print(c1.formatCert) res = c1.subjectSignTool() print('=================subjectSignTool================================') print (res) print('=================issuerSignTool================================') res1 = c1.issuerSignTool() print (res1[0]) print (res1[1]) print (res1[2]) print (res1[3]) print('=================prettyPrint================================') res2 = c1.prettyPrint() #print(res2) print('=================classUser================================') res3 = c1.classUser() print (res3) print('=================issuerCert================================') iss, vlad_is = c1.issuerCert() print ('vlad_is=' + str(vlad_is)) for key in iss.keys(): print (key + '=' + iss[key]) print('=================subjectCert================================') sub, vlad_sub = c1.subjectCert() print ('vlad_sub=' + str(vlad_sub)) for key in sub.keys(): print (key + '=' + sub[key]) print('================publicKey=================================') key_info = c1.publicKey() print(key_info['curve']) print(key_info['hash']) print(key_info['valuepk']) print('================serialNumber=================================') print(c1.serialNumber()) print('================validityCert=================================') valid = c1.validityCert() print(valid['not_after']) print(valid['not_before']) print('================signatureCert=================================') algosign, value = c1.signatureCert() print(algosign) print(value) print('================KeyUsage=================================') ku = c1.KeyUsage() for key in ku: print (key) # print(ku) print('================END=================================')


Untuk menjalankan contoh pengujian, jalankan perintah:

 $python test795.py

Dengan paket fsb795 yang tersedia, adalah wajar untuk menulis dengan python sebuah utilitas grafis mandiri platform untuk melihat sertifikat yang memenuhi syarat. Paket Tkinter digunakan sebagai dukungan grafis:



Utilitas viewCertFL63 memiliki tiga tab. Tab About Certificate, antara lain, menampilkan waktu saat ini. Kami akan kembali ke bawah. Untuk memilih sertifikat, cukup klik tombol "Pilih":



Perhatikan tombol (mereka yang bekerja pada Windows tidak akan melihat tombol ini), ini memungkinkan Anda untuk menyembunyikan apa yang disebut file / direktori tidak terlihat (tersembunyi). Agar tombol ini muncul, cukup jalankan perintah berikut:

 if sys.platform != "win32": root.tk.call('set', '::tk::dialog::file::showHiddenBtn', '1') root.tk.call('set', '::tk::dialog::file::showHiddenVar', '0')

Tombol yang sangat berguna. Jadi, setelah memilih sertifikat, tab "Tentang Sertifikat" akan berbentuk:



Yang perlu diperhatikan di sini adalah bahwa jika sertifikat kedaluwarsa saat melihat sertifikat, maka cetakan pada ikon di sudut kiri atas akan pecah menjadi dua bagian. Semua orang dapat diyakinkan tentang hal ini, mengatur ulang jam di komputer selama satu tahun sebelumnya.
Pada tab Detail, Anda dapat melihat secara detail karakteristik atribut yang dipilih dari sertifikat yang memenuhi syarat:



Dan akhirnya, tab ketiga adalah "Teks". Tab ini menampilkan isi seluruh sertifikat:



Untuk melihat sertifikat, Anda dapat menggunakan tidak hanya Python (tombol "Python"), kemudian utilitas openssl dan pp dari Network Serurity Services (NSS). Jika seseorang tidak memiliki utilitas ini, maka yang pertama dapat diperoleh dengan mengumpulkan openssl dengan dukungan untuk kriptografi Rusia. Saat menggunakan utilitas pp, output sertifikat terlihat seperti ini:



Di atas, kami menyebutkan atribut formatCert dari kelas Sertifikat paket fsb795. Jadi kita perlu nilai atribut ini untuk menunjukkan format file dengan sertifikat saat menjalankan utilitas ini atau itu. Misalnya, menjalankan utilitas pp dengan format file PEM terlihat seperti ini:

 $pp –tc –u –a –i < >

Opsi -a menunjukkan format file PEM. Untuk format DER, itu tidak ditentukan.
Parameter "–inform" untuk openssl diatur dengan cara yang sama.
Tombol Utilitas digunakan untuk menunjukkan jalur ke openssl atau utilitas pp.
Distribusi utilitas ViewCertFL63 terletak di sini .
Distribusi dibangun menggunakan paket pyinstaller:

 $python pyinstaller.py --noconsole -F viewCertFL63.py

Source: https://habr.com/ru/post/id421107/

More articles:


All Articles