Python: 实现pkcs7格式数字签名方法_20170407_七侠镇莫尛貝

最新推荐文章于 2024-06-18 17:19:23 发布
最新推荐文章于 2024-06-18 17:19:23 发布
阅读量6.3k 收藏 2
点赞数
分类专栏: PKI/CA PKI/CA技术研究 文章标签: PKI/CA Python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kimqcn4/article/details/69561191
版权

需求:在python下实现pkcs7格式的数字签名。

环境:Python2.7, pyopenssl-16.2.0 , cryptography 1.8.1 。

实现方法:参考http://stackoverflow.com/questions/33634379/pkcs-7-detached-signature-with-python-and-pyopenssl

注意:这个办法只能默认用sha256算法。2015年传出SHA1不安全的问题后, cryptography的PKCS7_sign 方法默认使用SHA256算法,且目前版本无法切换到SHA1(因为不支持PKCS7_sign_add_signer。cryptography旧版本可能使用的SHA1,但官网找半天没找到下载)。

#!/usr/bin/env python
# coding=utf-8
# pkcs7格式签名
# http://stackoverflow.com/questions/33634379/pkcs-7-detached-signature-with-python-and-pyopenssl

import base64
from OpenSSL import crypto

def sign_p7():
    f = open(r'../../temp/msa.pfx','rb')
    pfx_buffer = f.read()
    p12 = crypto.load_pkcs12(pfx_buffer,'1234')
    signcert = p12.get_certificate()
    pkey = p12.get_privatekey()
    bio_in = crypto._new_mem_buf('xxx')

    # define PKCS7_TEXT		0x1
    # define PKCS7_NOCERTS		0x2
    # define PKCS7_NOSIGS		0x4
    # define PKCS7_NOCHAIN		0x8
    # define PKCS7_NOINTERN		0x10
    # define PKCS7_NOVERIFY		0x20
    # define PKCS7_DETACHED		0x40
    # define PKCS7_BINARY		0x80
    # define PKCS7_NOATTR		0x100
    # define	PKCS7_NOSMIMECAP	0x200
    # define PKCS7_NOOLDMIMETYPE	0x400
    # define PKCS7_CRLFEOL		0x800
    # define PKCS7_STREAM		0x1000
    # define PKCS7_NOCRL		0x2000

    PKCS7_TEXT = 0x1
    PKCS7_NOSIGS = 0x4
    PKCS7_DETACHED = 0x40
    PKCS7_NOATTR = 0x100
    PKCS7_NOSMIMECAP = 0x200
    PKCS7_PARTIAL = 0x4000

    # 默认使用SHA256算法,暂未找到方法切换到SHA1
    pkcs7 = crypto._lib.PKCS7_sign(signcert._x509, pkey._pkey, crypto._ffi.NULL, bio_in, PKCS7_DETACHED|PKCS7_NOATTR)
    bio_out = crypto._new_mem_buf()
    crypto._lib.i2d_PKCS7_bio(bio_out, pkcs7)
    sigbytes = crypto._bio_to_string(bio_out)
    sigb64 = base64.b64encode(sigbytes)
    print sigb64

    f = open(r'sign_logon_bin.p7b', 'wb')
    f.write(sigbytes)
    f.close()

    #SignedData = base64.urlsafe_b64encode(sigbytes)
    SignedData = base64.b64encode(sigbytes)
    print "SignedData = " + SignedData

    f = open(r'sign_logon_b64.p7b','w')
    f.write(SignedData)
    f.close()


if __name__ == "__main__":
    print "sign start..."

    sign_p7()

    print "sign end..."


如不要求pkcs7格式,可这样(可使用SHA1):

#!/usr/bin/env python
# coding=utf-8

import base64

from OpenSSL import crypto
from OpenSSL.crypto import load_certificate, load_privatekey

def sign_verify():

    f = open(r'../../temp/msa.cer', 'r')
    cert_buffer = f.read()
    f.close()
    # print "cert_buffer = " + cert_buffer
    x509 = load_certificate(crypto.FILETYPE_PEM, cert_buffer)
    pubkey = x509.get_pubkey()

    f = open(r'../../temp/msa_pkcs8.key', 'r')
    pkey_buffer = f.read()
    f.close()
    # print "pkey_buffer = " + pkey_buffer
    privkey = load_privatekey(crypto.FILETYPE_PEM, pkey_buffer)
    tosign = "xxxx"
    sign_data_bin = crypto.sign(pkey=privkey, data=tosign, digest='sha1')
    sign_data = str(base64.standard_b64encode(sign_data_bin))
    # print "sign_data = " + sign_data

    try:
        ret = crypto.verify(x509, sign_data_bin, "xxxx", "sha1")
        print "签名验证成功"
    except Exception, e:
        print "签名验证失败,原文或签名可能已经被篡改!"


if __name__ == "__main__":
    print "sign start..."

    sign_verify()

    print "sign end..."

如果要求一定是sha1算法,且必须是pkcs7格式,只能os.system调用openssl命令行了(如有其他更好方法,请大拿们留言指教!):

1.分别指定cert和key来签名:

openssl smime -sign -noattr   -in msg.txt -signer msa.cer -inkey msa_pkcs8.key -outform PEM -out sign.p7b


2.或者使用pfx来签名:

先将pfx转成pem格式的,不加密:
openssl pkcs12 -in msa.pfx -out msa_nodes.pem -nodes

openssl smime -sign -noattr  -in msg.txt -signer msa_nodes.pem -outform PEM -out sign.p7b

附:

查看p7信息:

openssl asn1parse -inform PEM -in sign.p7b > sign_info.txt



七侠镇莫尛貝大侠2023
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
PKCS#7格式数字签名
tourstar的专栏
01-10 1万+
<br />最近先来无事,对PKCS#7格式数字签名和数字信封产生了兴趣,在安全领域混饭吃,不把这些东西搞搞懂可不行啊。<br />   PKCS#7是由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准,最近本的标准有PKCS#1、#3、#5、#6、#7、#8、#9和#10,分别定义不同的协议标准。PKCS#7为密码信封封装标准,描述了密码操作(例如数字签名和数字信封)的数据的通用语法。该语法允许递归,例如一个数字信封可以嵌套在另一个数字信封里面,或者一个实体可以在一个已经封装的数据上签名。该
python实现pkcs7填充
weixin_46491183的博客
01-18 2832
PKCS7填充 以SM4算法为例 SM4算法数据块长度为16字节,按照PKCS7填充,最后一个数据块不满16字节时,将针对最后一个数据块补满16字节。 如最后一个数据块长度为16字节时,将在尾部填充16个字节的数据。 示例: 明文为0123456789abcdeffedcba9876543210(16进制)共16个字节 此时将在明文后再次补充16个字节的10(16进制),16进制的10为10进制的16,如明文长度为16字节的倍数,将在尾部填充16个10 此时填充后的明文为:0123456789abcdef
AES加密与PKCS7填充:安全数据传输实践
最新发布
m0_51710745的博客
06-18 303
在当今数字化时代,数据安全是企业和个人隐私保护的关键。加密技术作为数据安全的关键保障,其重要性不言而喻。本文将探讨AES加密算法与PKCS7填充在安全数据传输中的应用,并通过Python代码实践展示其工作原理。一、AES加密算法简介AES(Advanced Encryption Standard)是一种广泛使用的对称加密算法,由美国国家标准与技术研究院(NIST)制定。AES支持128位、192位和256位密钥长度,数据块长度固定为128位。由于其高效性和安全性,AES被广泛应用于各个领域的数据加密。
OpenSSL中PKCS#7格式数字签名
热门推荐
宁静以致远
02-18 1万+
最近在看OpenSSL相关的资料,看了很久还是感觉有点不得其法,尤其对其与python内的应用还是没多大头绪, 先把知道的整理一下出来,目前会用到的加密方法是基于PKCS7数字签名,不知道这样的描述算不算准确 SSL(Secure Socket Layer) 是一种加密技术,可以提供对称加密和非对称加密。由于它在协议层里正好是在传输层与应用层之间,这就决定了上层应用必须经过它,这就是它广泛流
调用OpenSSL实现数字签名功能例程(二)
求索
01-13 6461
// PKCS7Sign.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include     #include   #include #include #include #include #include #include #include
RSA签名算法,PKCS7格式
10-24
本资源包含:RSA签名算法,格式PKCS7。RSA签名算法,格式PKCS7。RSA签名算法,格式PKCS7。RSA签名算法,格式PKCS7。 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。(积分总会乱掉,实在需要请私信我)
web python pkcs11_Python: 实现pkcs7格式数字签名方法_20170407_七侠
weixin_39628864的博客
12-04 207
需求:在python实现pkcs7格式数字签名。环境:Python2.7, pyopenssl-16.2.0 , cryptography 1.8.1 。实现方法:参考http://stackoverflow.com/questions/33634379/pkcs-7-detached-signature-with-python-and-pyopenssl注意:这个办法只能默认用sha256算...
pkcs7.rar_openssl 签名_openssl pkcs7_openssl数字签名_openssl签名_pkcs7
07-14
利用OpenSSL PKCS7进行数字签名的示例代码,仅供参考
pkcs7_trust.rar_The Chain_pkcs7_pkcs7#_trust
09-14
PKCS7(Public-Key Cryptography Standards #7)是由RSA安全公司提出的加密标准,它定义了在互联网上安全传输数据的方法,包括数字签名、加密、证书等。在这个“pkcs7_trust.rar_The Chain_pkcs7_pkcs7#_trust”主题...
PKCS7签名的ASN1格式
02-22
可使用此格式,通过ASN1C生成完整的PKCS7签名C语言代码,实现诸如SM2算法数字签名及验证。 注意,CertificateSerialNumber本来在PKCS7标准ASN1结构中定义为INTEGER类型,但由于ASN1C将INTEGER类型翻译成long,不支持...
php 通过CFCA证书实现RSA的PKCS7格式的签名和验签步骤
07-09
php 通过CFCA证书实现RSA的PKCS7格式的签名和验签步骤demo文件和扩展文件,php通过.pfx和.cer结尾证书进行CFCA签名 通过具体可以查看https://blog.csdn.net/weixin_39934453/article/details/125695880 你是不是遇到...
C# pkcs # 7 签名 验签
01-09
C# 语言,.net平台下实现pkcs # 7 签名 验签,C# 语言,.net平台下实现pkcs # 7 签名 验签
C# SHA256 PKCS#7 生成验名、验签源码 中行支付.rar
12-06
C# SHA256 PKCS#7 生成验名、验签源码 中行支付.
ElAES.zip_AES CBC pkcs7_EISE单元加密_aes pkcs7_aes Pkcs7 cbc_aes加密
07-14
AES加密,加密算法包含BCB,CBC等,跟其他平台通讯需要从新编写PKCS7的填充部分
Python】| 利用Python实现AES256/CBC/PKCS7加密算法
小管博客空间站
01-06 5292
利用Python实现AES256/CBC/PKCS7对称加解密算法
PKCS1签名&PKCS7签名&PKCS7信封格式
amuxie_1899的专栏
08-16 9471
PKCS1签名&PKCS7签名&PKCS7信封格式 1.1.1.1  PKCS#1标准格式签名 1.1.1.1.1 PKCS#1签名格式 被签名的数据为字节数组。 对给出的被签名原数据进行HASH运算,HASH结果按PKCS#1标准进行填充: B = 00 01 ff ff … ff 00 30 … H[00],H[01],…,H[13] 其中H[00],…,H[13]为HAS
python与openssl 进行rsa签名与验证
qq_38493182的博客
12-18 1718
1、Python生成RSA秘钥,与签名验证 # rsa签名,保存私钥公钥到本地 from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives import hashes from cryptography.hazmat.primitives import serialization from OpenSSL import crypto rsa_key = crypto.r
如何构造PKCS 7签名(一)
weixin_45303938的博客
07-26 2342
PKCS#7定义了加密消息的语法标准,也就是加密数据、数字信封、数字签名这些密码运算结果的数据格式标准。基于这一标准,使得不同密码体系之间交换数据成为可能。PKCS#7作为RSA安全体系的一部分,被广泛支持和使用,如CryptoAPI、OpenSSL、PDF加密签名等。但在某些情况下,如Java自带的加密库并不支持PKCS#7,或者使用PKCS#7不支持的国密算法时,就可能需要我们自己实现PKCS#7标准。 今天先结合代码讲解一下如何创建使用最多的PKCS#7数字签名。说明的是,提供的代码示例只能是示例,因
如何构造PKCS7签名(三)
weixin_45303938的博客
07-26 540
所谓有来有往,前面介绍了如何拼装构造PKCS#7签名,今天就讲一下如何验证它。如果已经掌握了构造的方法,验证就相对容易很多。最核心的就是读取signerInfos(签名者信息)里的authenticatedAttributes(用户认证属性)和encryptedDigest(签名),然后进行验证。 首先读取签名用的证书,这里用了遍历,也可以直接取索引值3去访问。 //检查DER数据类型 ASN1_TAG tag=TAG_UNIVERSAL; hr=signDer->get_Tag(&tag);

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值