archive.git - Gitblit

Ë  
 
çúh¼,ãó
ddlZddlZddlZddlmZmZddlZddlZddlm    Z    m
Z
ddlmZddl mZddlmZddlmZmZddlmZdd    lmZdd
lmZmZddlmZmZddlmZdd lm Z m!Z!dZ"ddZ#dZ$dZ%ddZ&Gdd«Z'y)éN)ÚurljoinÚurlparse)ÚhazmatÚx509)ÚInvalidSignature)Úbackends)ÚDSAPublicKey)ÚECDSAÚEllipticCurvePublicKey)ÚPKCS1v15)ÚRSAPublicKey)ÚSHA1ÚHash)ÚEncodingÚPublicFormat)Úocsp)ÚAuthorizationErrorÚConnectionErrorcóR|j«}    t|t«r;|j|j|j
t «|j«yt|t«r2|j|j|j
|j«yt|t«r;|j|j|j
t|j««y|j|j|j
«y#t$rtd«wxYw)Nzfailed to valid ocsp response) Ú
public_keyÚ
isinstancer ÚverifyÚ    signatureÚtbs_response_bytesrÚsignature_hash_algorithmr    rr
rr)Úissuer_certÚ ocsp_responseÚpubkeys   õ]H:\é¡¹ç®\archive\æµè¯ç»\èæ¬\Change_password\venv_build\Lib\site-packages\redis/ocsp.pyÚ_verify_responser sîØ × #Ñ #Ó %Fð?ÜflÔ+ØMMØ×'Ñ'Ø×0Ñ0Ü
Ø×6Ñ6õ     ô¤Ô -ØMMØ×'Ñ'Ø×0Ñ0Ø×6Ñ6õ ô
Ô 6Ô 7ØMMØ×'Ñ'Ø×0Ñ0Üm×<Ñ<Ó=õ ð MM-×1Ñ1°=×3SÑ3SÕTøÜò?ÜÐ=Ó>Ð>ð?ús A
DÁADÂA
DÃ*&DÄD&cóvtj|«}|jtjjk(rtd«|jtjjk(r[|jtjjk7r?tdt|j«jd«dd«td«|jtjj«k\rtd«|j r6|j tjj«krtd«|j"}|j$}|j&}|}|||j(k(s||k(r|}n|j*}t-||||«}        |    d    }
|
j0j3t4j6«}|0t4j8j:j<|j>vrtd«|
}|rtA||«y#t.$rtd
«wxYw) z=A wrapper the return the validity of a known ocsp certificatez4you are not authorized to view this ocsp certificatezReceived an ú.éz ocsp certificate statusz@failed to retrieve a successful response from the ocsp responderz)ocsp certificate was issued in the futurez1ocsp certificate has invalid update - in the pastrz'no certificates found for the responderz'delegate not autorized for ocsp signingT)!rÚload_der_ocsp_responseÚresponse_statusÚOCSPResponseStatusÚUNAUTHORIZEDrÚ
SUCCESSFULÚcertificate_statusÚOCSPCertStatusÚGOODrÚstrÚsplitÚthis_updateÚdatetimeÚnowÚnext_updateÚresponder_nameÚissuer_key_hashÚresponder_key_hashÚsubjectÚcertificatesÚ_get_certificatesÚ
IndexErrorÚ
extensionsÚget_extension_for_classrÚExtendedKeyUsageÚoidÚExtendedKeyUsageOIDÚOCSP_SIGNINGÚvaluer )rÚ
ocsp_bytesÚvalidaterr2Úissuer_hashÚresponder_hashÚcert_to_validateÚcertsÚresponder_certsÚresponder_certÚexts            rÚ_check_certificaterI2sô×/Ñ/°
Ó;Mà×$Ñ$¬×(?Ñ(?×(LÑ(LÒLÜ Ð!WÓXÐXØ×$Ñ$¬×(?Ñ(?×(JÑ(JÒJØ×+Ñ+¬t×/BÑ/B×/GÑ/GÒGÜ!Øs =×#CÑ#CÓD×JÑJÈ3ÓOÐPQÑRÐSðT*ð*óð ô
ØNó
ð    
ð× Ñ ¤H×$5Ñ$5×$9Ñ$9Ó$;Ò;ÜÐIÓJÐJð    ×!Ò!Ø×%Ñ%¬×(9Ñ(9×(=Ñ(=Ó(?Ò?äÐQÓRÐRà"×1Ñ1NØ×/Ñ/KØ"×5Ñ5Nà"ÐàÐ"Øk×1Ñ1Ò1Ø[Ò(à&Ñà×*Ñ*Ü+Ø; °ó
ð    MØ,¨QÑ/Nð×'Ñ'×?Ñ?Ä×@UÑ@UÓVØ;$((×6Ñ6×CÑCÈ3Ï9É9ÑTÜ!Ð"KÓLÐLØ)ÐáÜÐ)¨=Ô9Øøôò    MÜ!Ð"KÓLÐLð    MúsÆ'H#È#H8cóü|8|Dcgc]+}t|«|k(r|j|jk(r|-}}|S|Dcgc],}|j|k(r|j|jk(r|.}}|Scc}wcc}w©N)Ú_get_pubkey_hashÚissuerr5)rErr2rCÚcr6s      rr7r7msØÐðö
àÜ Ó" nÒ4¸¿¹À[×EXÑEXÒ9Xò ð
ð
ðÐð    ö
àØyyNÒ*¨q¯x©x¸;×;NÑ;NÒ/Nò ð
ð
ðÐùò
ùò
s
0A4¿1A9có
|j«}t|t«r/|jtj
tj«}nmt|t«r/|jtjtj«}n.|jtj
tj«}tt«tj«¬«}|j!|«|j#«S)N)Úbackend)rrr Úpublic_bytesrÚDERrÚPKCS1rÚX962ÚUncompressedPointÚSubjectPublicKeyInforrrÚdefault_backendÚupdateÚfinalize)ÚcertificaterÚhÚsha1s    rrLrL~s©Ø × #Ñ #Ó %Fô&,Ô'Ø×Ñ¤§¡¬l×.@Ñ.@ÓAÜ    FÔ2Ô    3Ø×Ñ¤§ ¡ ¬|×/MÑ/MÓNà×Ñ¤§¡¬l×.OÑ.OÓPä¤× 8Ñ 8Ó :Ô;DØKKNØ==?Ðócód|dvrtd«d}|j«j«}|j«D]/}|j«}|j|j
k(s-|}n|td«|%t j|«}||k7rtd«t||«S)zÌAn implementation of a function for set_ocsp_client_callback in PyOpenSSL.
 
    This function validates that the provide ocsp_bytes response is valid,
    and matches the expected, stapled responses.
    )r]Nzno ocsp response presentNz2no matching issuer cert found in certificate chainz/received and expected certificates do not match)    rÚget_peer_certificateÚto_cryptographyÚget_peer_cert_chainr5rMrÚload_pem_x509_certificaterI)Úconr@ÚexpectedrÚ    peer_certrNÚcertÚes        rÚocsp_staple_verifierrhs¾ð[Ñ ÜÐ8Ó9Ð9àKØ×(Ñ(Ó*×:Ñ:Ó<IØ × $Ñ $Ó &òØ× Ñ Ó"Ø<<9×+Ñ+Ó+ØKÙð    ðÐÜÐRÓSÐSàÐÜ×*Ñ*¨8Ó4Ø>Ü!Ð"SÓTÐTäk¨:Ó6Ð6r]cóBeZdZdZddZdZdZdZdZdZ    d    Z
d
Zy)ÚOCSPVerifieraA class to verify ssl sockets for RFC6960/RFC6961. This can be used
    when using direct validation of OCSP responses and certificate revocations.
 
    @see https://datatracker.ietf.org/doc/html/rfc6960
    @see https://datatracker.ietf.org/doc/html/rfc6961
    Ncó<||_||_||_||_yrK)ÚSOCKÚHOSTÚPORTÚCA_CERTS)ÚselfÚsockÚhostÚportÚca_certss     rÚ__init__zOCSPVerifier.__init__²sØ    Ø    Ø    Ø  r]cótj|«}tj|j    «tj««}|S)z?Convert SSL certificates in a binary (DER) format to ASCII PEM.)ÚsslÚDER_cert_to_PEM_certrrbÚencoderrW)rpÚderÚpemrfs    rÚ
_bin2asciizOCSPVerifier._bin2ascii¸s:ô×&Ñ& sÓ+Ü×-Ñ-¨c¯j©j«l¼H×<TÑ<TÓ<VÓWØr]có|jjd«}|durtd«|j|«}|j    |«S)zThis function returns the certificate, primary issuer, and primary ocsp
        server in the chain for a socket already wrapped with ssl.
        TFz!no certificate found for ssl peer)rlÚgetpeercertrr|Ú_certificate_components)rprzrfs   rÚcomponents_from_socketz#OCSPVerifier.components_from_socket¿sJðii×#Ñ# DÓ)Ø%<Ü!Ð"EÓFÐFØsÓ#Ø×+Ñ+¨DÓ1Ð1r]cóÖ    |jjtjjj
«j}|Dcgc]5}|jtjjjk(r|7}}    |djj}|Dcgc]5}|jtjjjk(r|7}}    |djj}|||fS#tjjj$rtd«wxYwcc}w#t$rd}Y§wxYwcc}w#t$rtd«wxYw)zÌGiven an SSL certificate, retract the useful components for
        validating the certificate status with an OCSP server.
 
        Args:
            cert ([bytes]): A PEM encoded ssl certificate
        z-No AIA information present in ssl certificaterNzno ocsp servers in certificate)r9Úget_extension_for_oidrr<ÚExtensionOIDÚAUTHORITY_INFORMATION_ACCESSr?ÚcryptographyÚExtensionNotFoundrÚ access_methodÚAuthorityInformationAccessOIDÚ
CA_ISSUERSÚaccess_locationr8ÚOCSP)rprfÚaiaÚiÚissuersrMÚocspsrs        rrz$OCSPVerifier._certificate_componentsËs_ð    SØ//×7Ñ7Ü×%Ñ%×BÑBóçeð ðö
àØ¤$§(¡(×"HÑ"H×"SÑ"SÒSò ð
ð
ð
    ØQZ×/Ñ/×5Ñ5Fðö
àØ¤$§(¡(×"HÑ"H×"MÑ"MÒMò ð
ð
ð    DØ8×+Ñ+×1Ñ1DðVTÐ!Ð!øô5× Ñ ×+Ñ+×=Ñ=ò    SÜ!Ð"QÓRÐRð    Süò
øôò    ØFð    üò
øôò    DÜ!Ð"BÓCÐCð    Dús6ADÁ :D8Â
D=Â':EÃ$EÄ3D5Ä=EÅ
EÅE(cóþtj|j|jf|j¬«}tj|j«tj««}|j|«S)zÎReturn the certificate, primary issuer, and primary ocsp server
        from the host defined by the socket. This is useful in cases where
        different certificates are occasionally presented.
        )rt)rwÚget_server_certificatermrnrorrbryrrWr)rpr{rfs   rÚ!components_from_direct_connectionz.OCSPVerifier.components_from_direct_connectionósYô×(Ñ(¨$¯)©)°T·Y±YÐ)?È$Ï-É-ÔXÜ×-Ñ-¨c¯j©j«l¼H×<TÑ<TÓ<VÓWØ×+Ñ+¨DÓ1Ð1r]cóªtj«}|j||tjj
jj««}|j«}tj|jtj
jjj««}t||j!d««}|S)z#Return the complete url to the ocspÚascii)rÚOCSPRequestBuilderÚadd_certificaterrÚ
primitivesÚhashesÚSHA256ÚbuildÚbase64Ú    b64encoderQÚ serializationrrRrÚdecode)rpÚserverrfrÚorbÚrequestÚpathÚurls        rÚbuild_certificate_urlz"OCSPVerifier.build_certificate_urlýs£ä×%Ñ%Ó'ð×!Ñ!Ø+|×2Ñ2×=Ñ=×DÑD×KÑKÓMó
ð))+ä×ÑØ× Ñ ¤×!2Ñ!2×!@Ñ!@×!IÑ!I×!MÑ!MÓNó
ôfdkk¨'Ó2Ó3Ø
r]cóttj|«}|jstd«|j}|j|«}|j |||«}t|«jdd}tj||¬«}|jstd«t||jd«S)z3Checks the validity of an ocsp server for an issuerz"failed to fetch issuer certificatezapplication/ocsp-request)ÚHostzContent-Type)Úheadersz failed to fetch ocsp certificateT)
ÚrequestsÚgetÚokrÚcontentr|r¤rÚnetlocrI)    rprrfÚ
issuer_urlÚrrzrÚocsp_urlÚheaders             rÚcheck_certificatezOCSPVerifier.check_certificate s¢ô LLÓ$ØttÜ!Ð"FÓGÐGØiiØoo cÓ*à×-Ñ-¨f°d¸KÓHôXÓ&×-Ñ-Ø6ñ
ô LL¨6Ô2ØttÜ!Ð"DÓEÐEÜ! +¨q¯y©y¸$Ó?Ð?r]cóò    |j«\}}}|td«|j|||«S#t$r7|j    «\}}}|td«|j|||«cYSwxYw)aDReturns the validity of the certificate wrapping our socket.
        This first retrieves for validate the certificate, issuer_url,
        and ocsp_server for certificate validate. Then retrieves the
        issuer certificate from the issuer_url, and finally checks
        the validity of OCSP revocation status.
        z%no issuers found in certificate chain)rrr±rr)rprfrÚocsp_servers    rÚis_validzOCSPVerifier.is_valid"sð        IØ,0×,GÑ,GÓ,IÑ)D*kØÐ!Ü%Ð&MÓNÐNØ×)Ñ)¨+°t¸ZÓHÐHøÜ!ò    IØ,0×,RÑ,RÓ,TÑ)D*kØÐ!Ü%Ð&MÓNÐNØ×)Ñ)¨+°t¸ZÓHÒHð        Iús36¶=A6Á5A6rK)Ú__name__Ú
__module__Ú__qualname__Ú__doc__rur|rrrr¤r±r´©r]rrjrjªs2ñó!òò
2ò&"òP2òò @ó*Ir]rj)TrK)(rr/rwÚurllib.parserrÚ%cryptography.hazmat.primitives.hashesrr¨rrÚcryptography.exceptionsrÚcryptography.hazmatrÚ-cryptography.hazmat.primitives.asymmetric.dsar    Ú,cryptography.hazmat.primitives.asymmetric.ecr
rÚ1cryptography.hazmat.primitives.asymmetric.paddingrÚ-cryptography.hazmat.primitives.asymmetric.rsar rrÚ,cryptography.hazmat.primitives.serializationrrÚcryptography.x509rÚredis.exceptionsrrr rIr7rLrhrjr¹r]rú<module>rÅs`ðÛ ÛÛ
ß*ã,Ûß%Ý4Ý(ÝFßVÝFÝFß<ßOÝ"ç@ò?ó88òvò" ó 7÷8JIòJIr]