0

我正在尝试为我的内容添加时间戳,以便我知道它何时更改。首先,我使用了一个 shell 脚本,但我想在我的 python 程序中实现它。shell 脚本现在工作正常,但我无法让 python 版本为我工作。这是工作外壳版本

in_file='test_content'
out_file="${in_file}.tsr"
ts_server='http://time.certum.pl/'
openssl ts -query -data "$in_file" -sha1 -cert | curl -o "$out_file" -sSH 'Content-Type: application/timestamp-query' --data-binary @- "$ts_server"
openssl ts -verify -data "$in_file" -in "$out_file" -CAfile "/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem"
openssl ts -reply -in "$out_file" -text

我试图用rfc3161 包来模拟这一点,但验证没有按预期进行。这是python代码

import rfc3161

cert = file('/usr/lib/ssl/certs/Certum_Trusted_Network_CA.pem').read()
rt = rfc3161.RemoteTimestamper('http://time.certum.pl/', certificate=cert)
data_to_sign = file('test_content').read()
print rt.timestamp(data=data_to_sign)
>>> (False, 'Bad signature')

我不知道出了什么问题,因为两个脚本都应该做同样的事情。有人可以告诉我python版本有什么问题吗?

4

3 回答 3

2

以下代码使用

因为

  • Python 2 和模块 rfc3161 不再维护
  • 我不确定 certum.pl 端点 url 以及从哪里获得正确的 CA 证书

您应该选择哈希算法(默认为 sha1,已弃用)。

import rfc3161ng
import os
from struct import unpack

with open('freetsa.pem', 'rb') as cert_fh:
    cert = cert_fh.read()

rt = rfc3161ng.RemoteTimestamper('https://freetsa.org/tsr', certificate=cert, hashname='sha256')

with open('test_content', 'rb') as content_fh:
    data_to_sign = content_fh.read()

nonce = unpack('<q', os.urandom(8))[0]

print(rt.timestamp(data=data_to_sign))

安全警告

Nonce 是可选的,但建议使用,如RFC3161的第 2.4.1 段所述

随机数(如果包含)允许客户端在没有本地时钟可用时验证响应的及时性。nonce 是一个很大的随机数,客户端很可能只生成一次(例如,64 位整数)。

于 2020-04-27T14:25:22.537 回答
1

python-rfc3161的作者在这里。如果返回错误的签名,则意味着您为 TSA 声明的证书不是真正用于签名的证书。

melanholly 提供的补丁对我来说似乎不正确,您永远不应该使用与签名捆绑的证书来检查您是否无法验证其来源(例如使用 PKI)。这里似乎并非如此。

于 2016-08-06T23:26:49.513 回答
0

问题在于我使用的库rfc3161 。似乎作者不包括对 TSA 授权证书的检查,所以我不得不对库进行更改。

更改后的代码api.pycheck_timestamp功能中。您必须使用以下代码块更改证书加载的代码块:

编辑: 响应中的证书应针对某些证书存储进行验证。如果您无法验证它,您应该引发异常

if certificate != "":
    try:
        certificate = X509.load_cert_der_string(encoder.encode(signed_data['certificates'][0][0]))
        # YOU SHOULD VALIDATE THE CERTIFICATE AGAINST SOME CERTIFICATE STORE !!!! 
        if not validate_certificate(certificate): #NOTE: I am not ready with this function.
            raise TypeError('The TSA returned certificate should be valid one')
    except:
        raise AttributeError("missing certificate")
else:
    try:
        certificate = X509.load_cert_string(certificate)
    except:
        certificate = X509.load_cert_der_string(certificate)

EDIT2:对于验证,您可以使用此处描述的代码:

现在验证按预期工作。

于 2016-08-05T07:57:15.767 回答