python SM2证书解析-证书链验证具体实现【含资源!见页首】

已于 2023-12-28 15:11:29 修改
阅读量1k 收藏 4
点赞数 2
分类专栏: 国密算法系列 文章标签: 安全 密码学 python ssl 测试工具
于 2023-10-31 02:52:51 首次发布
复制完记得给我点赞啊!——爱来自CSDN:中二病也要吃饭啊
本文链接:https://blog.csdn.net/weixin_42437696/article/details/134131784
版权
本文详细介绍了SM2证书的验证过程,包括使用上级证书公钥验证下级证书的基本证书域,以及执行步骤中的证书签名校验、读取和验证证书信息,CRL请求等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录

一、SM2证书验证简述

主要的:需要实现的功能主要是用上级证书的<公钥>验证下级证书的<基本证书域>。
次要的:证书过没过期,证书上的公钥是否与证书本体绑定等…

二、执行

1.先写一个SM2验签模块
gmssl version 3.2.1

# -*- coding: utf-8 -*-
import binascii

from gmssl import sm3, func, sm2
from gmssl.sm2 import default_ecc_table


def Verify(pubkey, M, sign):
    ID = "31323334353637383132333435363738"
    ENTL = "0080"  # 1234567812345678的长度为:16 * 8 = 128个bit即为0x80长度
    a = "FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFC"  # 默认值
    b = "28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93"  # 默认值
    x_G = "32c4ae2c1f1981195f9904466a39c9948fe30bbff2660be1715a4589334c74c7"  # 默认值
    y_G = "bc3736a2f4f6779c59bdcee36b692153d0a9877cc62a474002df32e52139f0a0"  # 默认值
    pubKey = pubkey  # 测试用公钥常量
    sign_value = sign  # 签名值

    z_object = bytes.fromhex(ENTL + ID + a + b + x_G + y_G + pubKey)  # (ENTL || ID || a || b || x_P || y_P)
    # print("常量+密钥的byte总和:", z_object)

    Z = sm3.sm3_hash(func.bytes_to_list(z_object))  # hash(ENTL || ID || a || b || x_P || y_P)
    # print("Z的值是:", Z)

    # 基本证书域内容——已经过工具测试
    m = M

    # hash(Z + m)计算出验签data
    e1 = sm3.sm3_hash(func.bytes_to_list(bytes.fromhex(Z) + m))
    # print("总杂凑值e1:", e1)

    # 验签环节:
    verify_func = sm2.CryptSM2(private_key=None,
                               public_key=pubKey,
                               ecc_table=default_ecc_table)
    verify_done = verify_func.verify(
        sign_value,  # 签名值(R,S)
        bytes.fromhex(e1))  # hash(Z || M)的杂凑值e1
    print("验签结果:", verify_done)
    return verify_done

# if __name__ == '__main__':
#     Material_Z()

证书验证效果

2.再写一个读取证书的模块

# -*- coding: utf-8 -*-
import binascii
import cryptography.x509 as x509

def sign_get(Certificate):  # 获取签名值
    # 读取数字证书文件
    with open(Certificate, 'rb') as f:
        cert_data = f.read()
    # 解析证书
    cert = x509.load_pem_x509_certificate(cert_data)

    # 获取签名值
    signature = cert.signature

    # 将签名值以16进制格式打印出来
    hex_signature = signature.hex()
    print("签名值:", hex_signature)

    S = hex_signature[-64:]
    Newfile_half = hex_signature[:-64]
    if Newfile_half[-1] == "0" and Newfile_half[-2] == "0":
        Newfile_half = Newfile_half[:-6]
        R = Newfile_half[-64:]
    else:
        Newfile_half = Newfile_half[:-4]
        R = Newfile_half[-64:]
    print("提取的签名值:\nR:", R, "\nS:", S)
    return R + S


def mainArea_get(Certificate):  # 获取基本证书域
    cer_file = Certificate
    with open(cer_file, 'rb') as f:
        cert_data = f.read()
        cert = x509.load_pem_x509_certificate(cert_data)
        # 获取签名值
        mainArea = cert.tbs_certificate_bytes
        return mainArea

在获取证书签名值域的时候可以用的偷懒小技巧:已知证书签名值的编码格式为TLV,即:R(TLV), S(TLV)。然而SM2验签模块需要的值只有R和S,那么我们对签名值后32字节进行截取,这32字节的内容即为S。接下来只需要判断S对应的Type和Length即可。我们已知证书签名值的Type为02,签名值长度一般会出现20(16进制-对应32字节),21(16进制-对应33字节)两种。因为SM2一个点的坐标长度为32字节,那么当长度为34字节时,其Length前方必然带有00填充。则可把规则写成:签名值域-截掉32字节S,判断末尾16进制字符串是否为“00”,若是“00”,则剥除前方3字节-4个16进制字符串(Type和length和填充“00”)-再从签名值字符串末尾取32字节(64个HexStr字符)-即为点R的值。

获取签名值域和基本证书域信息 3.再写一个CRL请求-验证模块,从证书中获取最新的CRL列表

import binascii
import requests
from der2crt import dataType_exchange
from cryptography import x509
from cryptography.hazmat.backends import default_backend

class crlGet:
    def __init__(self, Cert_get):
        self.cert = Cert_get.strip('"')

    def crlUriGet(self):
        # Load the certificate
        uri_value = ""
        with open(self.cert, "rb") as cert_file:
            cert_data = cert_file.read()

        certificate = x509.load_pem_x509_certificate(cert_data, default_backend())

        # Extract CRL Distribution Points extension
        crl_distribution_points = certificate.extensions.get_extension_for_class(x509.CRLDistributionPoints)

        # Iterate over CRLs and print URI values
        for distribution_point in crl_distribution_points.value:
            for uri in distribution_point.full_name:
                if isinstance(uri, x509.UniformResourceIdentifier):
                    uri_value = uri.value

                try:
                    crl_data = requests.get(uri_value).content
                except requests.RequestException as e:
                    print(f"Error downloading CRL: {e}")
                    return None

                    # 保存CRL文件
                try:
                    with open(f'{self.cert}_crl.crl', 'wb') as crl_file:
                        crl_file.write(crl_data)
                except IOError as e:
                    print(f"Error saving CRL file: {e}")
                    return None

                return f'{self.cert}_crl.crl', uri_value

def get_crl_serial_numbers(file_path):
    with open(file_path, 'rb') as crl_file:
        crl_data = crl_file.read()
        crl = x509.load_der_x509_crl(crl_data, default_backend())
        serial_numbers = [entry.serial_number for entry in crl]
    return serial_numbers

def normal(certstrip):
    xxx = crlGet(certstrip)
    crl = xxx.crlUriGet()[0]
    list0fcrl = get_crl_serial_numbers(crl)
    return list0fcrl

使用效果1:半自动验证crl:
半自动验证CRL
使用效果2:全自动验证crl:
全自动验证
4.可以顺带写个次要的:读取证书信息的模块,如果只为了验证证书链真实性,这个不写也行。

# -*- coding: utf-8 -*-
import binascii
import base64
import sys
import OpenSSL
import time
from dateutil import parser

def read_Cert(a):
    with open(a, "r") as fp:
        crt_data = fp.read()

    cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, crt_data.encode())
    certIssue = cert.get_issuer()

    print("证书版本:            ", cert.get_version() + 1)

    print("证书序列号:          ", hex(cert.get_serial_number()))

    print("证书中使用的签名算法: ", cert.get_signature_algorithm().decode("UTF-8"))

    print("颁发者:              ", certIssue.commonName)

    datetime_struct = parser.parse(cert.get_notBefore().decode("UTF-8"))

    print("有效期从:             ", datetime_struct.strftime('%Y-%m-%d %H:%M:%S'))

    datetime_struct = parser.parse(cert.get_notAfter().decode("UTF-8"))

    print("到:                   ", datetime_struct.strftime('%Y-%m-%d %H:%M:%S'))

    if cert.has_expired():
        print("证书已过期")
    else:
        print("证书未过期")

    print("公钥长度", cert.get_pubkey().bits())

    print("公钥:\n", OpenSSL.crypto.dump_publickey(OpenSSL.crypto.FILETYPE_PEM, cert.get_pubkey()).decode("utf-8"))
    # print(OpenSSL.crypto.dump_publickey(OpenSSL.crypto.FILETYPE_PEM, cert.get_pubkey()))


def pub_key_Get(input):
    with open(input, "r") as fp:
        crt_data = fp.read()
    cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, crt_data.encode())
    a = OpenSSL.crypto.dump_publickey(OpenSSL.crypto.FILETYPE_PEM, cert.get_pubkey())[27:-26]
    # print("a:", a, type(a))
    single_Public_Key = ((base64.b64decode(a)).hex())[-128:]
    # print("公钥16进制模式:", single_Public_Key, type(single_Public_Key))
    return single_Public_Key


def main_info(a):
    print("主体信息:")
    with open(a, "r") as fp:
        crt_data = fp.read()
    # print("CN : 通用名称  OU : 机构单元名称")
    # print("O  : 机构名    L  : 地理位置")
    # print("S  : 州/省名   C  : 国名")
    cert = OpenSSL.crypto.load_certificate(OpenSSL.crypto.FILETYPE_PEM, crt_data.encode())
    certIssue = cert.get_issuer()
    dictCert = {"国家:": None, "机构名:": None, "机构单元名称:": None, "通用名称:": None, "地理位置:": None, "州/省名:": None}
    for item in certIssue.get_components():
        if item[0].decode("utf-8") == "C":
            dictCert["国家:"] = item[1].decode("utf-8")
        elif item[0].decode("utf-8") == "O":
            dictCert["机构名:"] = item[1].decode("utf-8")
        elif item[0].decode("utf-8") == "OU":
            dictCert["机构单元名称:"] = item[1].decode("utf-8")
        elif item[0].decode("utf-8") == "CN":
            dictCert["通用名称:"] = item[1].decode("utf-8")
        elif item[0].decode("utf-8") == "L":
            dictCert["地理位置:"] = item[1].decode("utf-8")
        elif item[0].decode("utf-8") == "S":
            dictCert["州/省名:"] = item[1].decode("utf-8")
        # print(item[0].decode("utf-8"), "  ——  ", item[1].decode("utf-8"))

    # print(cert.get_extension_count())
    return dictCert

获取证书基本信息

5.最后写个main,来使用这些模块:
在这里插入图片描述

内容:【3.证书基本信息解析】的代码抄了:【B站:阿里武】https://blog.csdn.net/qq874455953/article/details/85041415
谢谢啦~

使用Python OpenSSL解析X509证书信息
2301_78484069的博客
06-04 872
然后,我们使用get_version()、get_serial_number()、get_issuer()等方法展示了证书的一些基本信息,包括证书版本、序列号、颁发者、有效期开始时间、有效期结束时间、主体名以及公钥信息。在Python中,可以使用OpenSSL库来解析X.509证书,获取证书的各种信息,如证书颁发机构、证书过期时间、证书公钥等。本篇文章介绍了如何使用Python OpenSSL解析X.509证书信息,所展示的代码可以帮助开发者快速获取X.509证书的各种信息。
python实现SM2算法
qq_42568323的博客
09-01 2180
SM2是中国国家密码管理局发布的国家密码标准(GB/T 32918-2016)中的公钥密码算法,基于椭圆曲线离散对数问题,具有较高的安全性和性能。它在数字签名、密钥交换和加密等应用中都能提供安全的解决方案。SM2与国际通用的椭圆曲线加密算法(如ECC)相似,采用的是椭圆曲线加密的思想,但针对国密需求和应用进行了优化。SM2安全性基于难解的椭圆曲线离散对数问题(ECDLP),并且具有更短的密钥长度和更高的计算效率。
python 指定证书验证_Python SSL证书验证问题解决方案
weixin_39857792的博客
12-11 1352
Python SSL证书验证问题解决方案这篇文章主要介绍了Python SSL证书验证问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下一、SSL问题1、在你不启用fiddler时,python代码直接发送https请求,不会有SSL问题(也就是说不想看到SSL问题,关掉fiddler就行)2.启用fiddler会报出以下错误:raise...
使用 Python 解析 X.509 格式的公钥证书
最新发布
2007 年 ~ 2025 年,深耕 SAP 技术 18 年
03-09 448
从文件的内容来看,它是一个典型的 X.509 格式的证书,通常用于 SSL/TLS 证书或者身份认证中。这类证书通常以 “-----BEGIN CERTIFICATE-----” 和 “-----END CERTIFICATE-----” 标签包围,而其中的内容是经过 Base64 编码的二进制数据。为了提取其中的人类可读信息,接下来需要进行解码,并分析文件中的相关信息。以下是逐步解析和提取人类可读信息的过程。
二元扩域sm2签名与验签算法python实现(已封装,可直接使用)
分享产生双倍快乐
09-22 2645
python实现F2^m域sm2签名与验签算法,包sm3杂凑算法,不调用其他库,完全自主实现,已通过测试,可直接使用,方便初学者对sm2算法进行学习研究。 完全按照国家密码局发布的《SM2椭圆曲线公钥密码算法》进行实现,其中分为三个部分,第一部分为sm3杂凑算法的实现,完全依照国家密码管理局发布的《SM3密码杂凑算法》进行实现,并通过测试。第二部分为F2^m域上的模运算的点运算实现,被封装为一个类,方便使用,并附带测试代码。第三部分为F2^m域上的签名与验签算法的实现,其中要用到素数域Fn上的模逆
Python OpenSSL 解析证书
冷慕寒
08-17 1433
Python OpenSSL 解析证书
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性
12-11
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性 0.306版本:解决了Win10系统下程序与证书链不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b链、PEM格式p7b链、...
商用密码应用安全性评估-SM2证书签名验证-密评现场测评
12-19
需要注意的是,SM2证书签名验证需要满足一定的条件,例如用户证书、根证书等。同时,签名值的长度和格式也需要符合SM2的规范。 SM2证书签名验证是商用密码应用安全性评估的一个重要部分,通过正确的签名验证,可以...
SM2算法--python3实现.zip
01-17
Python3中实现SM2算法,需要理解以下几个核心概念: 1. **椭圆曲线**: ECC是SM2的基础,它使用椭圆曲线上的点进行数学运算。在SM2中,特定的椭圆曲线参数被定义,如曲线方程、基点等。 2. **公钥与私钥**: 每个...
国密数字证书验证-SM2、SM3、SM4
11-22
2. 验证证书链:逐级向上验证所有中间证书直至根证书,确保每个证书都由上一级的CA签名,并且证书没有过期。 3. 验证证书主体:核对证书中的主体信息(如域名、组织名等)是否与预期通信方相符。 4. 验证证书吊销...
Python实现国密SM2密钥分配加解密、数字签名和SM3杂凑值
12-26
Python实现符合国家保密局文档的SM2密钥分配、加解密、数字签名和SM3杂凑值的计算,算法自己写的,供学习使用。
sm2、sm3源代码,openssl可直接调用
04-17
这是与openssl等开源包相结合的国密算法包,包括sm2和sm3,在openssl中嵌入相应接口就可以直接调用
Python3 实现SM2中国商用密码
01-21
推荐使用素数域256位椭圆曲线。 椭圆曲线方程:y2 = x3 + ax + b。 曲线参数: p=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFF a=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF FFFFFFFF 00000000 FFFFFFFF FFFFFFFC b=28E9FA9E 9D9F5E34 4D5A9E4B CF6509A7 F39789F5 15AB8F92 DDBCBD41 4D940E93 n=FFFFFFFE FFFFFFFF FFFFFFFF FFFFFFFF 7203DF6B 21C6052B 53BBF409 39D54123 Gx=32C4AE2C 1F198119 5F990446 6A39C994 8FE30BBF F2660BE1 715A4589 334C74C7 Gy=BC3736A2 F4F6779C 59BDCEE3 6B692153 D0A9877C C62A4740 02DF32E5 2139F0A0
hggm - 国密算法 SM2 SM3 SM4 SM9 ZUC Python实现完整代码-算法实现资源
11-21
密码学领域,Python能够帮助研究人员快速实现验证算法的正确性,同时也方便其他开发者在不同的应用场景中复用和部署这些算法。Python在处理字符串、列表和其他数据结构方面的高效性,使得加密操作可以以更加直观...
Python解析证书结构方法
PFzcnds8310__的博客
10-26 1491
Python解析证书结构方法示例代码 示例代码 推荐使用:Python库 pyasn1 和 pyasn1-modules,pip安装失败的话,用conda安装即可。 from pyasn1_modules import rfc2437, rfc2459 from pyasn1.codec.der import decoder import pyasn1.type.univ as univ # 读证书文件 f = open("../static/certificates/DRM_Device_Cert.de
Python3使用国密SM2生成密钥、签名
出去玩去的博客
12-12 4042
因项目需用到国密不熟悉,在网上找了材料,最后签名验证完成,亲测可用。操作方式记录如下,特此记录,方便日后回顾。包生成密钥、签名、加密、解密。
Python中处理HTTPS请求和SSL证书验证
2401_86544677的博客
11-05 3166
else:通过将verify参数设置为自签名证书的路径,我们可以确保与内部服务的通信安全,同时避免因证书不受信任而导致的验证错误。requests库的设计理念体现了Python社区对易用性和强大功能的追求。它不仅简化了HTTPS请求的处理过程,还提供了丰富的高级功能,如会话管理、自定义证书验证等,使开发者能够在各种复杂场景下高效完成任务。无论是在小型项目还是大规模企业级应用中,requests库都能展现出其独特的优势。urllib库。
Python爬虫:解决SSL证书验证问题
一个Python小白的博客
02-22 5857
None
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

中二病也要吃饭啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值