1

我在加载 pkcs#7 文件时遇到问题,请您帮忙找出我做错了什么。

我使用 OpenSSL 0.9.8g(如 Ubuntu 9.4 中存在的)运行 M2Crypto-0.21.1,并使用 SWIG 1.3.36 和 python 2.6.2 构建。

“python setup.py test --test-suite=tests.test_smime”运行 15 个测试,退出状态为“OK”;所以安装似乎没问题。

我使用数字签名程序创建了一个 PEM 格式的 pkcs#7 文件,并从命令行使用 OpenSSL 对其进行了测试:

openssl smime -verify -inform PEM -in mandato-PEM.p7m -noverify

打印信封中包含的内容(我签名的文本文件)和“验证成功”。所以 OpenSSL(与 M2Crypto 使用的版本相同)似乎喜欢我的文件。

但是,当我在 M2Crypto 中尝试相同的操作时,它会在一开始就阻塞:

p7, 数据 = SMIME.smime_load_pkcs7('mandato-PEM.p7m')

我得到以下异常:

Traceback (most recent call last):
File "./sign.py", line 110, in <module>
p7, data = SMIME.smime_load_pkcs7('mandato-PEM.p7m') 
File "/usr/local/lib/python2.6/dist-packages/M2Crypto-0.21.1-py2.6-linux-i686.egg/M2Crypto/SMIME.py", line 91, in smime_load_pkcs7
p7_ptr, bio_ptr = m2.smime_read_pkcs7(bio)
M2Crypto.SMIME.SMIME_Error: no content type

虽然我在 Ubuntu(https://lists.ubuntu.com/archives/ubuntu-server-bugs/2010-July/038683.html)中找到了有关问题的信息,但在我看来,这不适用于我构建手动安装最新的 M2Crypto,测试套件运行良好。

对解决我的问题的任何帮助将不胜感激!

非常感谢

-芽

4

4 回答 4

3

经过大量的汗水,这里为遇到同样问题的其他人提供了解决方案。

我按照食谱 http://code.activestate.com/recipes/285211/并在网上发现许多讨论只是“验证(p7)”[SMIME 方法] 不正确和“验证(p7,数据)”是正确的做法。

这仅适用于签名分离的 SMIME 文档。我的 pkcs#7 文件和所有其他意大利数字签名文档都是包含签名和文件内容(DER 格式)的 pkcs#7 信封。

封装的 p7m 文件必须进行如下验证:

s=SMIME.SMIME()    
st = X509.X509_Store()   
st.load_info(trustedCAsPEMfileName)    
s.set_x509_store(st)    
p7bio = BIO.MemoryBuffer(p7strPEM)
p7 = SMIME.load_pkcs7_bio(p7bio)
certStack = p7.get0_signers(X509.X509_Stack())
s.set_x509_stack(certStack)
try:
    docContent = s.verify(p7)
except SMIME.PKCS7_Error, e:
    print "An exception occurred!!!!"
    print e

为了测试它是否有效,我编辑了 p7m 文件,使得签名不再验证,并且正确打印出“摘要失败”。

于 2011-09-09T14:31:20.947 回答
2

您也可以直接验证 .p7m 文件(附加的 DER 格式),但您需要通过 m2 直接调用 OpenSSL ( m2.pkcs7_read_bio_der(input_bio._ptr())) 从 DER 格式加载 PKCS #7 对象,因为在 M2Crypto SMIME 模块中没有此功能。有关建议的补丁,请参阅SMIME.py 的小补丁

这里有一个示例代码:

import logging

from M2Crypto import SMIME, X509, m2, BIO

certstore_path = "/etc/ssl/certs/ca-certificates.crt"
file_descriptor = open('test_file.p7m', 'rb')
input_bio = BIO.File(file_descriptor)
signer = SMIME.SMIME()
cert_store = X509.X509_Store()
cert_store.load_info(certstore_path)
signer.set_x509_store(cert_store)
try: 
    p7 = SMIME.PKCS7(m2.pkcs7_read_bio_der(input_bio._ptr()), 1)
except SMIME.SMIME_Error, e:
    logging.error('load pkcs7 error: ' + str(e))
sk3 = p7.get0_signers(X509.X509_Stack())
signer.set_x509_stack(sk3)
data_bio = None
try:
    v = signer.verify(p7, data_bio)
except SMIME.SMIME_Error, e:
    logging.error('smime error: ' + str(e))
except SMIME.PKCS7_Error, e:
    logging.error('pkcs7 error: ' + str(e))

代码来源:pysmime 核心

于 2012-11-09T16:41:30.400 回答
1

如果您只想从 .p7m 文件中提取原始文件(不对其进行验证),则需要安装 M2Crypto pip install M2Crypto(您可能必须先运行sudo apt-get install libssl-dev),然后运行以下 Python 代码:

from M2Crypto import BIO, SMIME, X509

# Load file in memory just to showcase BIO usage
with open('file.p7m', 'rb') as file:
    p7m = file.read()

smime = SMIME.SMIME()
smime.set_x509_store(X509.X509_Store())
smime.set_x509_stack(X509.X509_Stack())
original_file_content = smime.verify(
    SMIME.load_pkcs7_bio_der(BIO.MemoryBuffer(p7m)),
    flags=SMIME.PKCS7_NOVERIFY
)

您可以根据您的用例使用 , 代替:内存中 ( SMIME.load_pkcs7)或SMIME.load_pkcs7_bio文件系统上的 .p7m 文件,以及 PEM 或 DER ( ) 格式。SMIME.load_pkcs7_derSMIME.load_pkcs7_bio_der_bio_der

于 2018-12-20T10:19:04.197 回答
0

我发现签名和取消签名的最佳参考是此处的 M2Crypto 测试:

http://svn.osafoundation.org/m2crypto/trunk/tests/test_smime.py

def test_sign(self):
    buf = BIO.MemoryBuffer(self.cleartext)
    s = SMIME.SMIME()
    s.load_key('tests/signer_key.pem', 'tests/signer.pem')
    p7 = s.sign(buf, SMIME.PKCS7_DETACHED)
    assert len(buf) == 0
    assert p7.type() == SMIME.PKCS7_SIGNED, p7.type()
    assert isinstance(p7, SMIME.PKCS7), p7
    out = BIO.MemoryBuffer()
    p7.write(out)

    buf = out.read()

    assert buf[:len('-----BEGIN PKCS7-----')] == '-----BEGIN PKCS7-----'
    buf = buf.strip()
    assert buf[-len('-----END PKCS7-----'):] == '-----END PKCS7-----', buf[-len('-----END PKCS7-----'):]
    assert len(buf) > len('-----END PKCS7-----') + len('-----BEGIN PKCS7-----')

    s.write(out, p7, BIO.MemoryBuffer(self.cleartext))
    return out

def test_verify(self):
    s = SMIME.SMIME()

    x509 = X509.load_cert('tests/signer.pem')
    sk = X509.X509_Stack()
    sk.push(x509)
    s.set_x509_stack(sk)

    st = X509.X509_Store()
    st.load_info('tests/ca.pem')
    s.set_x509_store(st)

    p7, data = SMIME.smime_load_pkcs7_bio(self.signed)

    assert isinstance(p7, SMIME.PKCS7), p7
    v = s.verify(p7, data)
    assert v == self.cleartext

    t = p7.get0_signers(sk)
    assert len(t) == 1
    assert t[0].as_pem() == x509.as_pem(), t[0].as_text()

请注意文档(http://svn.osafoundation.org/m2crypto/trunk/doc/howto.smime.html),因为它没有更新。

看到这个补丁:

https://bugzilla.osafoundation.org/show_bug.cgi?id=13020

于 2012-11-14T19:13:56.150 回答