如何列出静态链接的python版本中可用的所有openssl密码?
如何列出静态链接的python版本中可用的所有openssl密码?
提问于 2015-02-04 14:09:47
在python 2.7.8到2.7.9升级中,ssl模块从
_DEFAULT_CIPHERS = 'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'至
_DEFAULT_CIPHERS = (
'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+HIGH:'
'DH+HIGH:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+HIGH:RSA+3DES:ECDH+RC4:'
'DH+RC4:RSA+RC4:!aNULL:!eNULL:!MD5'
)--我想知道这对实际的“有序SSL密码首选项列表”有什么影响,在Windows.上与我的python建立SSL/TLS连接时使用该列表。
例如,为了弄清楚密码列表扩展到什么“顺序SSL密码首选列表”,我通常使用openssl ciphers命令行(参见手册页),例如,在OpenSSLv1.0.1k中,我可以看到默认python2.7.8密码列表扩展到的内容:
$ openssl ciphers -v 'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(256) Mac=SHA1
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
...
snip!在Linux上,python动态加载与openssl ciphers使用的相同的openssl ciphers库时,这是非常有效的:
$ ldd /usr/lib/python2.7/lib-dynload/_ssl.x86_64-linux-gnu.so | grep libssl
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007ff75d6bf000)
$ ldd /usr/bin/openssl | grep libssl
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fa48f0fe000)但是,在上,Python似乎静态地链接了OpenSSL库。这意味着openssl ciphers命令无法帮助我,因为它使用了库的不同版本,它可能支持与内置在python中的库不同的密码。
我可以很容易地找到OpenSSL的哪个版本用于构建这两个python版本中的每个版本:
$ python-2.7.8/python -c 'import ssl; print ssl.OPENSSL_VERSION'
OpenSSL 1.0.1h 5 Jun 2014
$ python-2.7.9/python -c 'import ssl; print ssl.OPENSSL_VERSION'
OpenSSL 1.0.1j 15 Oct 2014但是,即使我能够为1.0.1h和1.0.1j版本找到并下载openssl命令行的构建,我也不能确定它们是用与编译到python的库相同的选项编译的,而且从手册页中我们知道
某些已编译版本的OpenSSL可能不包括此处列出的所有密码,因为某些密码在编译时被排除在外。
那么,是否有一种方法可以获得python模块,以便提供类似于openssl ciphers -v 命令的输出?
回答 2
Stack Overflow用户
发布于 2015-02-10 14:06:24
您可能想看看openssl cipher在https://github.com/openssl/openssl/blob/master/apps/ciphers.c上的源代码。
关键的步骤似乎是:
meth = SSLv23_server_method();ctx = SSL_CTX_new(meth);SSL_CTX_set_cipher_list(ctx, ciphers),而ciphers是您的字符串ssl = SSL_new(ctx);sk = SSL_get1_supported_ciphers(ssl);for (i = 0; i < sk_SSL_CIPHER_num(sk); i++) { print SSL_CIPHER_get_name(sk_SSL_CIPHER_value(sk, i)); }
SSL_CTX_set_cipher_list函数在Python3.4in_ssl的上下文set_ciphers方法中调用。您可以使用以下方法实现相同的目标:
import socket
from ssl import SSLSocket
sslsock = SSLSocket(socket.socket(socket.AF_INET, socket.SOCK_STREAM))
sslsock.context.set_ciphers('DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2')下一步是调用SSL_get1_supported_ciphers(),不幸的是,它没有在Python的_ssl.c中使用。最近可以得到的是SSLSocket实例的SSLSocket方法。(当前)实现是
static PyObject *PySSL_shared_ciphers(PySSLSocket *self)
{
[...]
ciphers = sess->ciphers;
res = PyList_New(sk_SSL_CIPHER_num(ciphers));
for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
PyObject *tup = cipher_to_tuple(sk_SSL_CIPHER_value(ciphers, i));
[...]
PyList_SET_ITEM(res, i, tup);
}
return res;
}也就是说,这个循环与上面的ciphers.c实现非常相似,并以与ciphers.c中的循环相同的顺序返回密码的Python。
继续上面的sslsock = SSLSocket(...)示例,在连接套接字之前不能调用sslsock.shared_ciphers()。否则,Python的_ssl模块不会创建一个低级别的OpenSSL SSL对象,这是读取密码所需的。这与ciphers.c中的实现不同,后者在不需要连接的情况下创建一个低级别的SSL对象。
这就是我所取得的成就,我希望这能有所帮助,也许你可以根据这些发现找出你需要什么。
Stack Overflow用户
发布于 2015-02-12 03:38:57
简-菲利普·盖尔克的回答要求一个尚未发布的python版本是有用的(请参阅注释),这使得回答关于早期版本的python的问题变得不现实。但这一段启发了我:
在连接套接字之前,...you不能调用sslsock.shared_ciphers()。否则,Python的_ssl模块不会创建一个低级别的OpenSSL SSL对象,这是读取密码所需的。
这让我想到了一个可能的解决方案。都在同一个python程序中:
- 创建接受任何密码(
ciphers='ALL:aNULL:eNULL')的服务器套接字。 - 使用配置了密码列表的客户端套接字连接到服务器套接字(如果要测试python2.7.8中的默认值,请使用
'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2')。 - 建立连接后,检查客户端实际选择的密码,并打印它,例如
'AES256-GCM-SHA384'。客户端将从其配置的密码列表中选择与服务器提供的密码列表匹配的最高优先级密码。服务器接受任何密码,并使用相同的OpenSSL库在同一个python程序中运行,因此服务器的列表保证是客户端列表的超集。因此,所使用的密码必须是提供给客户端套接字的扩展列表中的最高优先级密码。万岁。 - 现在重复,再次连接到服务器套接字,但这一次,通过在客户端套接字的密码列表(例如
'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2:!AES256-GCM-SHA384')中附加对它的否定,排除上一轮选择的密码。 - 重复,直到SSL握手失败,因为我们的密码用完了。
下面是代码(也可作为github要点):
"""An attempt to produce similar output to "openssl ciphers -v", but for
python's built-in ssl.
To answer https://stackoverflow.com/q/28332448/445073
"""
from __future__ import print_function
import argparse
import logging
import multiprocessing
import os
import socket
import ssl
import sys
def server(log_level, queue):
logging.basicConfig(level=log_level)
logger = logging.getLogger("server")
logger.debug("Creating bind socket")
bind_sock = socket.socket()
bind_sock.bind(('127.0.0.1', 0))
bind_sock.listen(5)
bind_addr = bind_sock.getsockname()
logger.debug("Listening on %r", bind_addr)
queue.put(bind_addr)
while True:
logger.debug("Waiting for connection")
conn_sock, fromaddr = bind_sock.accept()
conn_sock = ssl.wrap_socket(conn_sock,
ssl_version=ssl.PROTOCOL_SSLv23,
server_side=True,
certfile="server.crt",
keyfile="server.key",
ciphers="ALL:aNULL:eNULL")
data = conn_sock.read()
logger.debug("Read %r", data)
conn_sock.close()
logger.debug("Done")
def parse_args(argv):
parser = argparse.ArgumentParser(
formatter_class=argparse.ArgumentDefaultsHelpFormatter)
parser.add_argument("--verbose", "-v", action="store_true",
help="Turn on debug logging")
parser.add_argument("--ciphers", "-c",
default=ssl._DEFAULT_CIPHERS,
help="Cipher list to test. Defaults to this python's "
"default client list")
args = parser.parse_args(argv[1:])
return args
if __name__ == "__main__":
args = parse_args(sys.argv)
log_level = logging.DEBUG if args.verbose else logging.INFO
logging.basicConfig(level=log_level)
logger = logging.getLogger("client")
if not os.path.isfile('server.crt') or not os.path.isfile('server.key'):
print("Must generate server.crt and server.key before running")
print("Try:")
print("openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -nodes -days 365 -subj '/CN=127.0.0.1'")
sys.exit(1)
queue = multiprocessing.Queue()
server_proc = multiprocessing.Process(target=server, args=(log_level, queue))
server_proc.start()
logger.debug("Waiting for server address")
server_addr = queue.get()
chosen_ciphers = []
try:
cipher_list = args.ciphers
while True:
client_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_sock = ssl.wrap_socket(client_sock,
ssl_version=ssl.PROTOCOL_SSLv23,
ciphers=cipher_list)
logger.debug("Connecting to %r", server_addr)
client_sock.connect(server_addr)
logger.debug("Connected")
chosen_cipher = client_sock.cipher()
chosen_ciphers.append(chosen_cipher)
client_sock.write("ping")
client_sock.close()
# Exclude the first choice cipher from the list, to see what we get
# next time.
cipher_list += ':!' + chosen_cipher[0]
except ssl.SSLError as err:
if 'handshake failure' in str(err):
logger.debug("Handshake failed - no more ciphers to try")
else:
logger.exception("Something bad happened")
except Exception:
logger.exception("Something bad happened")
else:
server_proc.join()
finally:
server_proc.terminate()
print("Python: {}".format(sys.version))
print("OpenSSL: {}".format(ssl.OPENSSL_VERSION))
print("Expanding cipher list: {}".format(args.ciphers))
print("{} ciphers found:".format(len(chosen_ciphers)))
print("\n".join(repr(cipher) for cipher in chosen_ciphers))请注意默认情况下如何测试内置到python中的默认密码列表:
day@laptop ~/test
$ python --version
Python 2.7.8
day@laptop ~/test
$ python ssltest.py -h
usage: ssltest.py [-h] [--verbose] [--ciphers CIPHERS]
optional arguments:
-h, --help show this help message and exit
--verbose, -v Turn on debug logging (default: False)
--ciphers CIPHERS, -c CIPHERS
Cipher list to test. Defaults to this python's default
client list (default:
DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2)因此,我们可以很容易地看到默认的客户端密码列表扩展到什么,以及它是如何从python 2.7.8扩展到2.7.9的:
day@laptop ~/test
$ ~/dists/python-2.7.8-with-pywin32-218-x86/python ssltest.py
Python: 2.7.8 (default, Jun 30 2014, 16:03:49) [MSC v.1500 32 bit (Intel)]
OpenSSL: OpenSSL 1.0.1h 5 Jun 2014
Expanding cipher list: DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2
12 ciphers found:
('AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('AES256-SHA256', 'TLSv1/SSLv3', 256)
('AES256-SHA', 'TLSv1/SSLv3', 256)
('CAMELLIA256-SHA', 'TLSv1/SSLv3', 256)
('DES-CBC3-SHA', 'TLSv1/SSLv3', 168)
('AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA', 'TLSv1/SSLv3', 128)
('SEED-SHA', 'TLSv1/SSLv3', 128)
('CAMELLIA128-SHA', 'TLSv1/SSLv3', 128)
('RC4-SHA', 'TLSv1/SSLv3', 128)
('RC4-MD5', 'TLSv1/SSLv3', 128)
day@laptop ~/test
$ ~/dists/python-2.7.9-with-pywin32-219-x86/python ssltest.py
Python: 2.7.9 (default, Dec 10 2014, 12:24:55) [MSC v.1500 32 bit (Intel)]
OpenSSL: OpenSSL 1.0.1j 15 Oct 2014
Expanding cipher list: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+HIGH:DH+HIGH:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+HIGH:RSA+3DES:ECDH+RC4:DH+RC4:RSA+RC4:!aNULL:!eNULL:!MD5
18 ciphers found:
('ECDHE-RSA-AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-AES256-SHA384', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES256-SHA', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES128-SHA256', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-AES128-SHA', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-DES-CBC3-SHA', 'TLSv1/SSLv3', 112)
('AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('AES256-SHA256', 'TLSv1/SSLv3', 256)
('AES256-SHA', 'TLSv1/SSLv3', 256)
('AES128-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA', 'TLSv1/SSLv3', 128)
('CAMELLIA256-SHA', 'TLSv1/SSLv3', 256)
('CAMELLIA128-SHA', 'TLSv1/SSLv3', 128)
('DES-CBC3-SHA', 'TLSv1/SSLv3', 112)
('ECDHE-RSA-RC4-SHA', 'TLSv1/SSLv3', 128)
('RC4-SHA', 'TLSv1/SSLv3', 128)我想这回答了我的问题。除非有人能发现这种方法的问题?
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/28332448
复制相关文章
点击加载更多
相似问题
使用any()函数进行Python筛选数组
使用python 3.4安装numpy
有状态筛选EXT js 3.4
使用Python 3.4旋转视频
Python3.4:如何进行xml验证
添加站长 进交流群
领取专属 10元无门槛券
AI混元助手 在线答疑
关注 腾讯云开发者公众号
洞察 腾讯核心技术
剖析业界实践案例
腾讯云开发者
