如何列出靜態鏈接的python版本中可用的所有openssl密碼?
[英]How to list all openssl ciphers available in statically linked python releases?
問題描述
在python 2.7.8到2.7.9升級中,ssl模塊從使用中更改
_DEFAULT_CIPHERS = 'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'
至
_DEFAULT_CIPHERS = (
'ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+HIGH:'
'DH+HIGH:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+HIGH:RSA+3DES:ECDH+RC4:'
'DH+RC4:RSA+RC4:!aNULL:!eNULL:!MD5'
)
我想知道這是如何影響在Windows上與我的python安裝建立SSL / TLS連接時使用的實際“有序SSL密碼首選項列表”。
例如,要弄清楚密碼列表擴展到什么“有序SSL密碼首選項列表”,我通常使用openssl ciphers命令行(參見手冊頁 ),例如使用openssl v1.0.1k我可以看到默認的python 2.7 .8密碼列表擴展為:
$ openssl ciphers -v 'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'
ECDHE-RSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AESGCM(256) Mac=AEAD
ECDHE-ECDSA-AES256-GCM-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AESGCM(256) Mac=AEAD
ECDHE-RSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA384
ECDHE-ECDSA-AES256-SHA384 TLSv1.2 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA384
ECDHE-RSA-AES256-SHA SSLv3 Kx=ECDH Au=RSA Enc=AES(256) Mac=SHA1
ECDHE-ECDSA-AES256-SHA SSLv3 Kx=ECDH Au=ECDSA Enc=AES(256) Mac=SHA1
SRP-DSS-AES-256-CBC-SHA SSLv3 Kx=SRP Au=DSS Enc=AES(256) Mac=SHA1
SRP-RSA-AES-256-CBC-SHA SSLv3 Kx=SRP Au=RSA Enc=AES(256) Mac=SHA1
...
snip!
在Linux上,當python動態加載openssl ciphers使用的相同OpenSSL庫時,這非常有用:
$ ldd /usr/lib/python2.7/lib-dynload/_ssl.x86_64-linux-gnu.so | grep libssl
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007ff75d6bf000)
$ ldd /usr/bin/openssl | grep libssl
libssl.so.1.0.0 => /lib/x86_64-linux-gnu/libssl.so.1.0.0 (0x00007fa48f0fe000)
但是 ,在Windows上,Python構建似乎靜態鏈接OpenSSL庫。 這意味着openssl ciphers命令無法幫助我,因為它使用了不同版本的庫,它可能支持不同的密碼,而不是python中內置的庫。
我可以很容易地找到使用哪個版本的OpenSSL來構建兩個python版本中的每一個:
$ python-2.7.8/python -c 'import ssl; print ssl.OPENSSL_VERSION'
OpenSSL 1.0.1h 5 Jun 2014
$ python-2.7.9/python -c 'import ssl; print ssl.OPENSSL_VERSION'
OpenSSL 1.0.1j 15 Oct 2014
但是,即使我可以找到並下載1.0.1h和1.0.1j版本的openssl命令行的構建,我也不能確定它們是使用與python內置的lib相同的選項進行編譯的,並且來自man頁面,我們知道
OpenSSL的某些編譯版本可能不包括此處列出的所有密碼,因為在編譯時排除了某些密碼。
那么,有沒有辦法讓python的ssl模塊給我類似於openssl ciphers -v命令的輸出?
2 個解決方案
解決方案1
5 2015-02-10 22:06:24
您可能需要查看openssl cipher的源代碼, 網址為https://github.com/openssl/openssl/blob/master/apps/ciphers.c
關鍵步驟似乎是:
-
meth = SSLv23_server_method(); -
ctx = SSL_CTX_new(meth); -
SSL_CTX_set_cipher_list(ctx, ciphers),而ciphers是你的字符串 -
ssl = SSL_new(ctx); -
sk = SSL_get1_supported_ciphers(ssl); -
for (i = 0; i < sk_SSL_CIPHER_num(sk); i++) { print SSL_CIPHER_get_name(sk_SSL_CIPHER_value(sk, i)); }
SSL_CTX_set_cipher_list函數在Python 3.4中的set_ciphers用於上下文的set_ciphers方法中調用。 你可以使用以下方法實現:
import socket
from ssl import SSLSocket
sslsock = SSLSocket(socket.socket(socket.AF_INET, socket.SOCK_STREAM))
sslsock.context.set_ciphers('DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2')
下一步是調用SSL_get1_supported_ciphers() ,遺憾的是,它沒有在Python的_ssl.c 。 您可以獲得的最接近的是SSLSocket實例的shared_ciphers()方法。 (當前)實現是
static PyObject *PySSL_shared_ciphers(PySSLSocket *self)
{
[...]
ciphers = sess->ciphers;
res = PyList_New(sk_SSL_CIPHER_num(ciphers));
for (i = 0; i < sk_SSL_CIPHER_num(ciphers); i++) {
PyObject *tup = cipher_to_tuple(sk_SSL_CIPHER_value(ciphers, i));
[...]
PyList_SET_ITEM(res, i, tup);
}
return res;
}
也就是說,這個循環與上面的ciphers.c實現非常相似,並返回一個密碼的Python列表,其順序與ciphers.c的循環相同。
繼續上面的sslsock = SSLSocket(...)示例,在連接套接字之前不能調用sslsock.shared_ciphers() 。 否則,Python的_ssl模塊不會創建低級OpenSSL SSL對象,這是讀取密碼所必需的。 這與ciphers.c的實現不同,后者在不需要連接的情況下創建低級SSL對象。
這就是我有多遠,我希望有所幫助,也許你可以根據這些發現弄清楚你需要什么。
解決方案2
3 2015-02-12 11:38:57
Jan-Philip Gehrcke的回答要求一個尚未發布的python版本有用(請參閱注釋),這使得回答有關舊版python的問題變得不切實際。 但是這一段激勵了我:
...在連接套接字之前,您無法調用sslsock.shared_ciphers()。 否則,Python的_ssl模塊不會創建低級OpenSSL SSL對象,這是讀取密碼所必需的。
這讓我想到了一個可能的解決方案。 所有在同一個python程序中:
- 創建一個接受任何密碼的服務器套接字(
ciphers='ALL:aNULL:eNULL')。 - 使用配置了我們要檢查的密碼列表的客戶端套接字連接到服務器套接字(例如
'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2'如果我們想要測試python 2.7.8的默認值) - 建立連接后,檢查客戶端實際選擇的密碼並打印出來,例如
'AES256-GCM-SHA384'。 客戶端將從其配置的密碼列表中選擇與服務器提供的密碼相匹配的最高優先級密碼。 服務器接受任何密碼,並在同一個具有相同OpenSSL庫的python程序中運行,因此服務器列表保證是客戶端列表的超集。 因此,使用的密碼必須是提供給客戶端套接字的擴展列表中的最高優先級。 萬歲。 - 現在重復一遍,再次連接到服務器套接字, 但這次排除了在上一輪中選擇的密碼,將它的否定附加到客戶端套接字的密碼列表,例如
'DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2:!AES256-GCM-SHA384') - 重復直到SSL握手失敗,因為我們已經用完了密碼。
這是代碼(也可以作為github gist ):
"""An attempt to produce similar output to "openssl ciphers -v", but for
python's built-in ssl.
To answer https://stackoverflow.com/q/28332448/445073
"""
from __future__ import print_function
import argparse
import logging
import multiprocessing
import os
import socket
import ssl
import sys
def server(log_level, queue):
logging.basicConfig(level=log_level)
logger = logging.getLogger("server")
logger.debug("Creating bind socket")
bind_sock = socket.socket()
bind_sock.bind(('127.0.0.1', 0))
bind_sock.listen(5)
bind_addr = bind_sock.getsockname()
logger.debug("Listening on %r", bind_addr)
queue.put(bind_addr)
while True:
logger.debug("Waiting for connection")
conn_sock, fromaddr = bind_sock.accept()
conn_sock = ssl.wrap_socket(conn_sock,
ssl_version=ssl.PROTOCOL_SSLv23,
server_side=True,
certfile="server.crt",
keyfile="server.key",
ciphers="ALL:aNULL:eNULL")
data = conn_sock.read()
logger.debug("Read %r", data)
conn_sock.close()
logger.debug("Done")
def parse_args(argv):
parser = argparse.ArgumentParser(
formatter_class=argparse.ArgumentDefaultsHelpFormatter)
parser.add_argument("--verbose", "-v", action="store_true",
help="Turn on debug logging")
parser.add_argument("--ciphers", "-c",
default=ssl._DEFAULT_CIPHERS,
help="Cipher list to test. Defaults to this python's "
"default client list")
args = parser.parse_args(argv[1:])
return args
if __name__ == "__main__":
args = parse_args(sys.argv)
log_level = logging.DEBUG if args.verbose else logging.INFO
logging.basicConfig(level=log_level)
logger = logging.getLogger("client")
if not os.path.isfile('server.crt') or not os.path.isfile('server.key'):
print("Must generate server.crt and server.key before running")
print("Try:")
print("openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -nodes -days 365 -subj '/CN=127.0.0.1'")
sys.exit(1)
queue = multiprocessing.Queue()
server_proc = multiprocessing.Process(target=server, args=(log_level, queue))
server_proc.start()
logger.debug("Waiting for server address")
server_addr = queue.get()
chosen_ciphers = []
try:
cipher_list = args.ciphers
while True:
client_sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client_sock = ssl.wrap_socket(client_sock,
ssl_version=ssl.PROTOCOL_SSLv23,
ciphers=cipher_list)
logger.debug("Connecting to %r", server_addr)
client_sock.connect(server_addr)
logger.debug("Connected")
chosen_cipher = client_sock.cipher()
chosen_ciphers.append(chosen_cipher)
client_sock.write("ping")
client_sock.close()
# Exclude the first choice cipher from the list, to see what we get
# next time.
cipher_list += ':!' + chosen_cipher[0]
except ssl.SSLError as err:
if 'handshake failure' in str(err):
logger.debug("Handshake failed - no more ciphers to try")
else:
logger.exception("Something bad happened")
except Exception:
logger.exception("Something bad happened")
else:
server_proc.join()
finally:
server_proc.terminate()
print("Python: {}".format(sys.version))
print("OpenSSL: {}".format(ssl.OPENSSL_VERSION))
print("Expanding cipher list: {}".format(args.ciphers))
print("{} ciphers found:".format(len(chosen_ciphers)))
print("\n".join(repr(cipher) for cipher in chosen_ciphers))
注意它是如何默認測試內置到python的默認密碼列表:
day@laptop ~/test
$ python --version
Python 2.7.8
day@laptop ~/test
$ python ssltest.py -h
usage: ssltest.py [-h] [--verbose] [--ciphers CIPHERS]
optional arguments:
-h, --help show this help message and exit
--verbose, -v Turn on debug logging (default: False)
--ciphers CIPHERS, -c CIPHERS
Cipher list to test. Defaults to this python's default
client list (default:
DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2)
所以我們可以很容易地看到默認的客戶端密碼列表擴展到什么,以及它如何從python 2.7.8更改為2.7.9:
day@laptop ~/test
$ ~/dists/python-2.7.8-with-pywin32-218-x86/python ssltest.py
Python: 2.7.8 (default, Jun 30 2014, 16:03:49) [MSC v.1500 32 bit (Intel)]
OpenSSL: OpenSSL 1.0.1h 5 Jun 2014
Expanding cipher list: DEFAULT:!aNULL:!eNULL:!LOW:!EXPORT:!SSLv2
12 ciphers found:
('AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('AES256-SHA256', 'TLSv1/SSLv3', 256)
('AES256-SHA', 'TLSv1/SSLv3', 256)
('CAMELLIA256-SHA', 'TLSv1/SSLv3', 256)
('DES-CBC3-SHA', 'TLSv1/SSLv3', 168)
('AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA', 'TLSv1/SSLv3', 128)
('SEED-SHA', 'TLSv1/SSLv3', 128)
('CAMELLIA128-SHA', 'TLSv1/SSLv3', 128)
('RC4-SHA', 'TLSv1/SSLv3', 128)
('RC4-MD5', 'TLSv1/SSLv3', 128)
day@laptop ~/test
$ ~/dists/python-2.7.9-with-pywin32-219-x86/python ssltest.py
Python: 2.7.9 (default, Dec 10 2014, 12:24:55) [MSC v.1500 32 bit (Intel)]
OpenSSL: OpenSSL 1.0.1j 15 Oct 2014
Expanding cipher list: ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+HIGH:DH+HIGH:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+HIGH:RSA+3DES:ECDH+RC4:DH+RC4:RSA+RC4:!aNULL:!eNULL:!MD5
18 ciphers found:
('ECDHE-RSA-AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-AES256-SHA384', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES256-SHA', 'TLSv1/SSLv3', 256)
('ECDHE-RSA-AES128-SHA256', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-AES128-SHA', 'TLSv1/SSLv3', 128)
('ECDHE-RSA-DES-CBC3-SHA', 'TLSv1/SSLv3', 112)
('AES256-GCM-SHA384', 'TLSv1/SSLv3', 256)
('AES128-GCM-SHA256', 'TLSv1/SSLv3', 128)
('AES256-SHA256', 'TLSv1/SSLv3', 256)
('AES256-SHA', 'TLSv1/SSLv3', 256)
('AES128-SHA256', 'TLSv1/SSLv3', 128)
('AES128-SHA', 'TLSv1/SSLv3', 128)
('CAMELLIA256-SHA', 'TLSv1/SSLv3', 256)
('CAMELLIA128-SHA', 'TLSv1/SSLv3', 128)
('DES-CBC3-SHA', 'TLSv1/SSLv3', 112)
('ECDHE-RSA-RC4-SHA', 'TLSv1/SSLv3', 128)
('RC4-SHA', 'TLSv1/SSLv3', 128)
我認為這回答了我的問題。 除非有人能看到這種方法的問題嗎?
Python Paramiko - 確定可用的密碼和密鑰交換算法
[英]Python Paramiko - Determine what ciphers and key-exchange algorithms are available
使用 Cython 將 Python 代碼編譯為靜態鏈接的可執行文件
[英]Compile Python code to statically linked executable with Cython
如何在 python 控制台中列出所有可用的 Windows 語言環境?
[英]How can I list all available windows locales in python console?
如何在 openpyxl 或 python-pptx 中獲取所有可用的 fonts 的列表?
[英]How to get list of all available fonts in openpyxl or python-pptx?
Python HTTPS下載失敗,原因是“ <urlopen error [SSL: NO_CIPHERS_AVAILABLE] no ciphers available (_ssl.c:661)> ”
[英]Python HTTPS download fails due to “<urlopen error [SSL: NO_CIPHERS_AVAILABLE] no ciphers available (_ssl.c:661)>”
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
Windows上靜態鏈接的python
使用 OpenSSL 靜態編譯 Python 3.6
Python Openssl未與brew鏈接
Python Paramiko - 確定可用的密碼和密鑰交換算法
使用 Cython 將 Python 代碼編譯為靜態鏈接的可執行文件
如何在我的 windows 中列出所有可用的 python 版本
如何在 python 控制台中列出所有可用的 Windows 語言環境?
如何在 openpyxl 或 python-pptx 中獲取所有可用的 fonts 的列表?
Python HTTPS下載失敗,原因是“ <urlopen error [SSL: NO_CIPHERS_AVAILABLE] no ciphers available (_ssl.c:661)> ”
如何在ssl python套接字中設置密碼
相關標簽