web python pkcs11_信任链在哪里? [python] asn1crypto和pkcs11 Aladdin USB eToken

最新推荐文章于 2023-02-17 12:00:05 发布
最新推荐文章于 2023-02-17 12:00:05 发布
阅读量118 收藏
点赞数
文章标签: web python pkcs11

I have this code working fine. I am signing with an USB eToken. But after copying and pasting the PEM output of this code in the https://lapo.it/asn1js/ the trust chain is not shown. This eToken was provided by a CA and thus it has a trust chain of the signature. What's wrong?

lib = pkcs11.lib('/usr/lib/libeToken.so.9')

for slot in lib.get_slots():

try:

token = slot.get_token()

with token.open(user_pin='****') as session:

priv = session.get_key(object_class=pkcs11.constants.ObjectClass.PRIVATE_KEY)

pub = session.get_key(object_class=pkcs11.constants.ObjectClass.PUBLIC_KEY)

tbs = TbsCertificate({

'version': 'v1',

'serial_number': 1,

'issuer': Name.build({

'common_name': 'Test Certificate',

}),

'subject': Name.build({

'common_name': 'Test Certificate',

}),

'signature': {

'algorithm': 'sha256_rsa',

'parameters': None,

},

'validity': {

'not_before': Time({

'utc_time': datetime.datetime(2017, 1, 1, 0, 0),

}),

'not_after': Time({

'utc_time': datetime.datetime(2038, 12, 31, 23, 59),

}),

},

'subject_public_key_info': {

'algorithm': {

'algorithm': 'rsa',

'parameters': None,

},

'public_key': RSAPublicKey.load(encode_rsa_public_key(pub)),

}

})

# Sign the TBS Certificate

value = priv.sign(tbs.dump(),

mechanism=Mechanism.SHA256_RSA_PKCS)

cert = Certificate({

'tbs_certificate': tbs,

'signature_algorithm': {

'algorithm': 'sha256_rsa',

'parameters': None,

},

'signature_value': value,

})

print(pem.armor('CERTIFICATE', cert.dump()).decode())

except TokenNotPresent:

pass

解决方案

You have constructed and signed one individual X.509 certificate and then output it in PEM format. A chain of trust is multiple certificates, commonly provided as a list of PEM-encoded certificates starting from the leaf.

Thus you need to output the signing certificate as well. In X.509 there are two pieces of information: your public certificate (including public key) signed by the issuer and the private key you have used on your token.

PKCS#11 devices can store X.509 certificates so there's a good chance the signed X.509 object for this certificate is on your token and you can retrieve it with Session.get_objects.

# Retrieve first certificate object from the HSM

cert = next(session.get_objects({Attribute.CLASS: ObjectClass.CERTIFICATE}))

# Retrieve the DER-encoded value of the certificate

der_bytes = cert[Attribute.VALUE]

# Convert to PEM encoding

pem_bytes = pem.armor('CERTIFICATE', der_bytes)

If you have multiple certificates on your token you can include additional search parameters including the certificate type, issuer, etc. The docs contain more information on the parameters for certificate objects. The PKCS#11 spec contains further information still.

Alternatively, if you have the X.509 certificate in some other form you can simply append it. It does not need to be stored in the HSM.

weixin_39632467
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asn1crypto-0.24.0-py2.py3-none-any.whl
05-15
asn1crypto-0.24.0-py2.py3-none-any.whl
python-pkcs11:PKCS#11Cryptoki对Python的支持
05-02
Python PKCS#11-高级包装器API 到PKCS#11(Cryptoki)标准的高级“更多Pythonic”接口,以在Python中支持HSM和智能卡设备。 该界面设计为遵循HSM的逻辑结构,并为模糊记录的参数提供有用的默认值。 许多API可以选择接受迭代器并充当生成器,从而允许您流式传输大型数据块以进行对称加密。 python-pkcs11还包含许多实用程序功能,可在PKCS#11数据结构和常见的交换格式(包括PKCS#1和X.509)之间进行转换。 python-pkcs11已有完整文档,并具有针对所有功能的完整集成测试套件,并且可以与多个HSM平台进行持续集成,包括: Thales nCipher Opencryptoki TPM OpenSC /智能卡-HSM / Nitrokey HSM 来源: : 文档: : 入门 从Pip安装: pip
python2-asn1crypto-0.23.0-2.el7.noarch.rpm
12-29
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
web python pkcs11_使用PKCS#11在Python中提供SSL连接
weixin_39546520的博客
12-04 254
我必须在基于Linux的固件上为嵌入式系统组件实现基于Pythonweb服务器:class WebServer(http.server.HTTPServer)......要启用ssl连接,在服务器中创建ssl上下文^{pr2}$注意:cert是证书的文件路径,keyfile是私钥的路径。在根据请求,将调用get_request方法:def get_request(self):request = ...
PyKCS11:PKCS#11 Python包装器
05-19
PyKCS11-适用于Python的PKCS#11包装器-项目概述 作者 版权所有(C)2004 Midori(Midori-at-paipai dot net) 版权所有(C)2006-2018 Ludovic Rousseau( ) 执照 该文件是免费软件。 您可以根据自由软件基金会发布的GNU通用公共许可证的条款重新分发和/或修改它; 许可的版本2,或(由您选择)任何更高的版本。 分发该程序是希望它会有用,但是没有任何保证; 甚至没有对适销性或特定用途适用性的暗示保证。 有关更多详细信息,请参见GNU通用公共许可证。 您应该已经与该程序一起收到了GNU通用公共许可证的副本; 如果没有,请写信给自由软件基金会公司,美国马萨诸塞州波士顿,五楼富兰克林街51号,美国02110-1301 地位 原料药 有关API文档,请访问 Unix操作方法 安装:: $ make build
pkcs-11v2-20d3.rar_PKCS#1_PKCS#11 USBKey_RSA PKCS_pkcs_usbkey
07-13
在密码系统中,PKCS#11是公钥加密标准(PKCS, Public-Key Cryptography Standards)中的一份子 ,由RSA实验室(RSA Laboratories)发布[1],它为加密令牌定义了一组平台无关的API ,如硬件安全模块和智能卡。...
PKCS.rar_PKCS1_PKCS#11_pkcs_pkcs#
09-24
在你提供的文件中,我们重点关注两个PKCS标准:PKCS#1和PKCS#11。 **PKCS#1**,全称为RSA Laboratories' Public-Key Cryptography Standard Number 1,是定义RSA公钥加密算法的细节和实现方法的标准。它主要关注...
pkcs11-helper-1.06.rar_PKCS#11_pkcs_pkcs11_pkcs11-helper_pkcs11-
07-15
国外的一个用于使用和测试PKCS#11的代码,对使用PKCS#11和测试人员都有很大帮助
web python pkcs11_使用pkcs11模块用公钥加密数据失败
weixin_39876739的博客
12-04 611
我使用Pythonpkcs11包访问存储在Yubikey 5上的X.509证书。使用pkcs11对象访问证书、公钥和私钥可以正常工作,就像签名和签名验证一样。然而,在我的一生中,我不明白为什么用公钥加密不起作用。这是我的代码:import pkcs11from pkcs11 import Attribute, ObjectClass, KeyType, utillib = pkcs11.lib(...
pycryptoki:SafeNet 的 PKCS11 库实现的 Python 接口
05-31
密码学 Pycryptoki 是一个围绕 PKCS11 库的 Python 包装器。 文档 可以在上找到最新的 API 文档。 安装 pip 安装 git+ 密钥生成示例 from pycryptoki . default_templates import * from pycryptoki . defines import * from pycryptoki . key_generator import * from pycryptoki . session_management import * from pycryptoki . encryption import * c_initialize_ex () auth_session = c_open_session_ex ( 0 ) # HSM slot # in this example is 0 login_ex ( a
web python pkcs11_如何/如何使用python和加密模块生成PKCS#12文件?
weixin_39517520的博客
12-04 196
如何/如何使用python和cryptography模块生成PKCS#12文件?使用上述模块为私钥生成.pem文件的内容非常容易:keyPEMBytes = privateKey.private_bytes(encoding=serialization.Encoding.PEM,format=serialization.PrivateFormat.TraditionalOpenSSL,encryp...
python3可解密的简单加密方法
FatPuffer
08-24 1177
import base64 import os from cryptography.fernet import Fernet class AES(): def __init__(self, secret_key): self.key = secret_key def encrypt_p(self, password): f = Fernet(...
python实现RSA1签名及验签
qq_39132236的博客
02-07 387
签名,验签
Python】盘点全网下载量Top100的Python
最新发布
fengdu78的博客
02-17 909
Top1: boto3下载量:522,502,943https://pypi.org/project/boto3Amazon Web Services(AWS)SDKTop2: urllib3下载量:297,388,783https://pypi.org/project/urllib3功能强大、用户友好的HTTP客户端。Top3: requests下载量:268,780,067https://py...
PKCS#11的应用--USBKEY
Netfilter
07-19 8154
ssl是一个安全协议,为互联网应用提供了安全,数字证书被证明能够带来比单纯的密码或者指纹,瞳孔认证之类的方式更安全的保护,可是如此安全的机制需要一个安全的基层平台,事实证明计算机并不是一个足够安全的平台,计算机好比公共汽车,而操作系统以及C库的调用规范或者安全级别的设计被视为道德,众做周知道德不是强制的,它只在遵守它的实体中间起作用,比如堆栈的使用提供了强有力的安全机制和性能因素,可是还可以用于溢出,即使有弥补的方法也不能彻底根治,实为道高一筹魔高一丈,本质上说计算机是一个不安全的模型,公用内存就是黑客和白
Solaris中的PKCS11接口参考
happy井二胖
11-16 2837
转自http://blog.csdn.net/ymt/article/details/5033872 Cryptoki 库概述 Solaris 加密框架中的用户级应用程序通过 libpkcs11.so 模块中所提供的 cryptoki 库来访问 PKCS #11 函数。pkcs11_softtoken.so 模块是由 Sun Microsystems, Inc. 提供的 PKCS
PKCS11:查找公钥对象
密码开发者
10-30 3189
介绍在PKCS11中如何查找公钥对象。
Openssl和PKCS#11的故事
求索
11-24 5874
Openssl和PKCS#11的故事
CA证书的CAPI(CSP),PKCS11 读取数字证书
lifeneedyou的专栏
02-21 962
一  JAVA使用microsoft 的CAPI(CSP)读取CA客户端证书   package com.mchz.pki.capi; import java.security.KeyStore; import java.security.PrivateKey; import java.security.cert.X509Certificate; import java.util....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值