<a href="https://colab.research.google.com/github/PolovnikovaOS/Repo_Alg_Secure_Multi_Sys/blob/main/%D0%98%D0%BD%D0%B4%D0%B8%D0%B2%D0%B8%D0%B4%D1%83%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B5_%D0%B7%D0%B0%D0%B4%D0%B0%D0%BD%D0%B8%D0%B5_1__%D0%9C%D0%B5%D1%82%D0%BE%D0%B4%D1%8B_%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D0%B8_%D0%B2_%D0%BC%D1%83%D0%BB%D1%8C%D1%82%D0%B8%D0%B0%D0%B3%D0%B5%D0%BD%D1%82%D0%BD%D1%8B%D1%85_%D1%81%D1%80%D0%B5%D0%B4%D0%B0%D1%85.ipynb" target="_parent"><img src="https://colab.research.google.com/assets/colab-badge.svg" alt="Open In Colab"/></a>



> # **Этот модуль полный наземных мин, драконов и динозавров с лазерными пушками**





# Аутентифицированное шифрование

Аутентифицированное шифрование с соответствующими данными (AEAD) — это схемы шифрования которые обеспечивают как конфиденциальность, так и целостность своего зашифрованного текста. Они также поддерживается обеспечение целостности для связанных данных, которые не зашифрованы.

In [None]:
!pip install cryptography

Конструкция ChaCha20Poly1305 определена в RFC 7539, раздел 2.8. Это потоковый шифр в сочетании с MAC, который обеспечивает надежную гарантию целостности.

In [4]:
import os
from cryptography.hazmat.primitives.ciphers.aead import ChaCha20Poly1305
data = b"a secret message"
aad = b"authenticated but unencrypted data"
key = ChaCha20Poly1305.generate_key()
chacha = ChaCha20Poly1305(key)
nonce = os.urandom(12)
ct = chacha.encrypt(nonce, data, aad)
chacha.decrypt(nonce, ct, aad)

b'a secret message'

Конструкция AES-GCM состоит из блока AES шифра, использующий режим счетчика Галуа (GCM).

In [6]:
import os
from cryptography.hazmat.primitives.ciphers.aead import AESGCM
data = b"a secret message"
aad = b"authenticated but unencrypted data"
key = AESGCM.generate_key(bit_length=128)
aesgcm = AESGCM(key)
nonce = os.urandom(12)
ct = aesgcm.encrypt(nonce, data, aad)
aesgcm.decrypt(nonce, ct, aad)

b'a secret message'

Конструкция OCB3 определена в RFC 7253. Это режим AEAD что обеспечивает надежные гарантии целостности и хорошую производительность. Безопасно генерирует случайный ключ AES-OCB3.

In [7]:
import os
from cryptography.hazmat.primitives.ciphers.aead import AESOCB3
data = b"a secret message"
aad = b"authenticated but unencrypted data"
key = AESOCB3.generate_key(bit_length=128)
aesocb = AESOCB3(key)
nonce = os.urandom(12)
ct = aesocb.encrypt(nonce, data, aad)
aesocb.decrypt(nonce, ct, aad)

b'a secret message'

Конструкция SIV (synthetic initialization vector) определена в RFC5297. В зависимости от того, как он используется, SIV позволяет осуществлять: детерминированное аутентифицированное шифрование или nonce-based, защищенное шифрование от злонамеренного использования с проверкой подлинности.

In [8]:
import os
from cryptography.hazmat.primitives.ciphers.aead import AESSIV
data = b"a secret message"
nonce = os.urandom(16)
aad = [b"authenticated but unencrypted data", nonce]
key = AESSIV.generate_key(bit_length=512)  # AES256 requires 512-bit keys for SIV
aessiv = AESSIV(key)
ct = aessiv.encrypt(data, aad)
aessiv.decrypt(ct, aad)

b'a secret message'

Конструкция AES-CCM состоит из блока AES шифра, использующий счетчик с CBC-MAC(CCM)


In [9]:
import os
from cryptography.hazmat.primitives.ciphers.aead import AESCCM
data = b"a secret message"
aad = b"authenticated but unencrypted data"
key = AESCCM.generate_key(bit_length=128)
aesccm = AESCCM(key)
nonce = os.urandom(13)
ct = aesccm.encrypt(nonce, data, aad)
aesccm.decrypt(nonce, ct, aad)

b'a secret message'

# Асимметричные алгоритмы

## Ed25519 - алгоритм цифровой подписи 

Ed25519 — алгоритм подписи эллиптической кривой с использованием EdDSA и Curve25519

In [12]:
from cryptography.hazmat.primitives.asymmetric.ed25519 import Ed25519PrivateKey
private_key = Ed25519PrivateKey.generate()
signature = private_key.sign(b"my authenticated message")
public_key = private_key.public_key()
# Raises InvalidSignature if verification fails
public_key.verify(signature, b"my authenticated message")

## Обмен ключами X25519

X25519 представляет собой эллиптическую кривую обмена ключами Диффи-Хеллмана с использованием Curve25519. Это позволяет двум сторонам совместно договориться об общей тайне, используя небезопасный канал.

In [11]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric.x25519 import X25519PrivateKey
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate a private key for use in the exchange.
private_key = X25519PrivateKey.generate()
# In a real handshake the peer_public_key will be received from the
# other party. For this example we'll generate another private key and
# get a public key from that. Note that in a DH handshake both peers
# must agree on a common set of parameters.
peer_public_key = X25519PrivateKey.generate().public_key()
shared_key = private_key.exchange(peer_public_key)
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# For the next handshake we MUST generate another private key.
private_key_2 = X25519PrivateKey.generate()
peer_public_key_2 = X25519PrivateKey.generate().public_key()
shared_key_2 = private_key_2.exchange(peer_public_key_2)
derived_key_2 = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key_2)

## Ed448 - алгоритм цифровой подписи

Ed448 — алгоритм подписи эллиптической кривой с использованием EdDSA.

In [13]:
from cryptography.hazmat.primitives.asymmetric.ed448 import Ed448PrivateKey
private_key = Ed448PrivateKey.generate()
signature = private_key.sign(b"my authenticated message")
public_key = private_key.public_key()
# Raises InvalidSignature if verification fails
public_key.verify(signature, b"my authenticated message")

## Обмен ключами X448

X448 представляет собой эллиптическую кривую обмена ключами Диффи-Хеллмана с использованием Curve448. Это позволяет двум сторонам совместно договориться об общей тайне, используя небезопасный канал.

In [14]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric.x448 import X448PrivateKey
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate a private key for use in the exchange.
private_key = X448PrivateKey.generate()
# In a real handshake the peer_public_key will be received from the
# other party. For this example we'll generate another private key and
# get a public key from that. Note that in a DH handshake both peers
# must agree on a common set of parameters.
peer_public_key = X448PrivateKey.generate().public_key()
shared_key = private_key.exchange(peer_public_key)
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# For the next handshake we MUST generate another private key.
private_key_2 = X448PrivateKey.generate()
peer_public_key_2 = X448PrivateKey.generate().public_key()
shared_key_2 = private_key_2.exchange(peer_public_key_2)
derived_key_2 = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key_2)

## Криптография эллиптических кривых

**ECDSA - алгоритмы сигнатуры эллиптической кривой**

Алгоритм подписи ECDSA впервые стандартизирован в публикации NIST FIPS 186-3, а затем в FIPS 186-4. алгоритм с открытым ключом, использующийся для построения и проверки электронной цифровой подписи при помощи криптографии на эллиптических кривых.

Алгоритм достаточно популярен в области электронных цифровых подписей из-за сложности задачи, на которой основано вычисление закрытого ключа из открытого. ECDSA принят различными организациями в качестве стандарта. Алгоритм состоит из четырёх частей: генерация основных параметров, генерация ключевой пары, создание и проверка цифровой подписи. В общем случае, считается достаточно безопасным (для соответствующих уровней криптостойкостей), а также имеет реализации в множестве криптографических библиотек.

In [17]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import ec
private_key = ec.generate_private_key(
    ec.SECP384R1()
)
data = b"this is some data I'd like to sign"
signature = private_key.sign(
    data,
    ec.ECDSA(hashes.SHA256())
)
public_key = private_key.public_key()
public_key.verify(signature, data, ec.ECDSA(hashes.SHA256()))

Если ваши данные слишком велики для передачи за один вызов, вы можете хэшировать их отдельно и передать это значение с помощью Prehashed.

In [18]:
from cryptography.hazmat.primitives.asymmetric import utils
chosen_hash = hashes.SHA256()
hasher = hashes.Hash(chosen_hash)
hasher.update(b"data & ")
hasher.update(b"more data")
digest = hasher.finalize()
sig = private_key.sign(
    digest,
    ec.ECDSA(utils.Prehashed(chosen_hash))
)
public_key = private_key.public_key()
public_key.verify(signature, data, ec.ECDSA(hashes.SHA256()))

**ECDH - алгоритм обмена ключами эллиптической кривой**

Алгоритм обмена ключами Диффи-Хеллмана эллиптической кривой впервые стандартизирован в публикации NIST 800-56A, а затем в 800-56Ar2.

In [19]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import ec
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate a private key for use in the exchange.
server_private_key = ec.generate_private_key(
    ec.SECP384R1()
)
# In a real handshake the peer is a remote client. For this
# example we'll generate another local private key though.
peer_private_key = ec.generate_private_key(
    ec.SECP384R1()
)
shared_key = server_private_key.exchange(
    ec.ECDH(), peer_private_key.public_key())
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# And now we can demonstrate that the handshake performed in the
# opposite direction gives the same final value
same_shared_key = peer_private_key.exchange(
    ec.ECDH(), server_private_key.public_key())
# Perform key derivation.
same_derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(same_shared_key)
derived_key == same_derived_key

True

**ECDHE**

ECDHE (или EECDH), эфемерная форма этого обмена, сильно предпочтительнее простого ECDH и обеспечивает прямую секретность при использовании. 

In [20]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import ec
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate a private key for use in the exchange.
private_key = ec.generate_private_key(
    ec.SECP384R1()
)
# In a real handshake the peer_public_key will be received from the
# other party. For this example we'll generate another private key
# and get a public key from that.
peer_public_key = ec.generate_private_key(
    ec.SECP384R1()
).public_key()
shared_key = private_key.exchange(ec.ECDH(), peer_public_key)
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# For the next handshake we MUST generate another private key.
private_key_2 = ec.generate_private_key(
    ec.SECP384R1()
)
peer_public_key_2 = ec.generate_private_key(
    ec.SECP384R1()
).public_key()
shared_key_2 = private_key_2.exchange(ec.ECDH(), peer_public_key_2)
derived_key_2 = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key_2)

**Сериализация**

В этом примере показано, как создать закрытый ключ и сериализовать его.

In [21]:
from cryptography.hazmat.primitives import serialization
from cryptography.hazmat.primitives.asymmetric import ec

private_key = ec.generate_private_key(ec.SECP384R1())

serialized_private = private_key.private_bytes(
    encoding=serialization.Encoding.PEM,
    format=serialization.PrivateFormat.PKCS8,
    encryption_algorithm=serialization.BestAvailableEncryption(b'testpassword')
)
serialized_private.splitlines()[0]

b'-----BEGIN ENCRYPTED PRIVATE KEY-----'

## RSA 


RSA — это алгоритм с открытым ключом для шифрования и подписи сообщений.

In [24]:
from cryptography.hazmat.primitives.asymmetric import rsa
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
)

**Сериализация ключей**

Если у вас есть закрытый ключ, который вы загрузили, вы можете использовать private_bytes() для сериализации ключа.

In [23]:
from cryptography.hazmat.primitives import serialization
pem = private_key.private_bytes(
   encoding=serialization.Encoding.PEM,
   format=serialization.PrivateFormat.PKCS8,
   encryption_algorithm=serialization.BestAvailableEncryption(b'mypassword')
)
pem.splitlines()[0]

b'-----BEGIN ENCRYPTED PRIVATE KEY-----'

Также возможна сериализация без шифрования с помощью NoEncryption

In [25]:
pem = private_key.private_bytes(
   encoding=serialization.Encoding.PEM,
   format=serialization.PrivateFormat.TraditionalOpenSSL,
   encryption_algorithm=serialization.NoEncryption()
)
pem.splitlines()[0]

b'-----BEGIN RSA PRIVATE KEY-----'

Для открытых ключей можно использовать public_bytes() для сериализации ключа

In [26]:
from cryptography.hazmat.primitives import serialization
public_key = private_key.public_key()
pem = public_key.public_bytes(
   encoding=serialization.Encoding.PEM,
   format=serialization.PublicFormat.SubjectPublicKeyInfo
)
pem.splitlines()[0]

b'-----BEGIN PUBLIC KEY-----'

**Подписание**

Закрытый ключ можно использовать для подписи сообщения. Вот пример подписи с помощью RSA

In [29]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import padding
message = b"A message I want to sign"
signature = private_key.sign(
    message,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    hashes.SHA256()
)

Если ваши данные слишком велики для передачи за один вызов, вы можете хэшировать их отдельно и передать это значение с помощью Prehashed.

In [28]:
from cryptography.hazmat.primitives.asymmetric import utils
chosen_hash = hashes.SHA256()
hasher = hashes.Hash(chosen_hash)
hasher.update(b"data & ")
hasher.update(b"more data")
digest = hasher.finalize()
sig = private_key.sign(
    digest,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    utils.Prehashed(chosen_hash)
)

**Проверка**

Если у вас есть открытый ключ, сообщение, подпись и Алгоритм подписи, который был использован, можно проверить, связан ли закрытый ключ с заданным открытым ключом, который использовался для подписи конкретного сообщения. 

In [31]:
public_key = private_key.public_key()
public_key.verify(
    signature,
    message,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    hashes.SHA256()
)

Если ваши данные слишком велики для передачи за один вызов, вы можете хэшировать их отдельно и передать это значение с помощью Prehashed.

In [30]:
chosen_hash = hashes.SHA256()
hasher = hashes.Hash(chosen_hash)
hasher.update(b"data & ")
hasher.update(b"more data")
digest = hasher.finalize()
public_key.verify(
    sig,
    digest,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    utils.Prehashed(chosen_hash)
)

**Шифрование** 

Шифрование RSA интересно тем, что шифрование выполняется с использованием открытого ключа, что означает, что любой может зашифровать данные. Затем данные расшифровываются. используя закрытый ключ.

In [33]:
message = b"encrypted data"
ciphertext = public_key.encrypt(
    message,
    padding.OAEP(
        mgf=padding.MGF1(algorithm=hashes.SHA256()),
        algorithm=hashes.SHA256(),
        label=None
    )
)

**Расшифровка**

После того, как у вас есть зашифрованное сообщение, его можно расшифровать с помощью закрытого ключа:

In [34]:
plaintext = private_key.decrypt(
    ciphertext,
    padding.OAEP(
        mgf=padding.MGF1(algorithm=hashes.SHA256()),
        algorithm=hashes.SHA256(),
        label=None
    )
)
plaintext == message

True

## Обмен ключами Диффи-Хеллмана

Обмен ключами Диффи-Хеллмана (D-H) - это метод, который позволяет двум сторонам совместно договориться об общей тайне, используя небезопасный канал.

In [35]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import dh
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate some parameters. These can be reused.
parameters = dh.generate_parameters(generator=2, key_size=2048)
# Generate a private key for use in the exchange.
server_private_key = parameters.generate_private_key()
# In a real handshake the peer is a remote client. For this
# example we'll generate another local private key though. Note that in
# a DH handshake both peers must agree on a common set of parameters.
peer_private_key = parameters.generate_private_key()
shared_key = server_private_key.exchange(peer_private_key.public_key())
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# And now we can demonstrate that the handshake performed in the
# opposite direction gives the same final value
same_shared_key = peer_private_key.exchange(
    server_private_key.public_key()
)
same_derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(same_shared_key)
derived_key == same_derived_key

True

**DHE**

DHE (или EDH), краткосрочная форма этого обмена, сильно предпочтительнее простого DH и обеспечивает прямую секретность при использовании. 

In [36]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import dh
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
# Generate some parameters. These can be reused.
parameters = dh.generate_parameters(generator=2, key_size=2048)
# Generate a private key for use in the exchange.
private_key = parameters.generate_private_key()
# In a real handshake the peer_public_key will be received from the
# other party. For this example we'll generate another private key and
# get a public key from that. Note that in a DH handshake both peers
# must agree on a common set of parameters.
peer_public_key = parameters.generate_private_key().public_key()
shared_key = private_key.exchange(peer_public_key)
# Perform key derivation.
derived_key = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key)
# For the next handshake we MUST generate another private key, but
# we can reuse the parameters.
private_key_2 = parameters.generate_private_key()
peer_public_key_2 = parameters.generate_private_key().public_key()
shared_key_2 = private_key_2.exchange(peer_public_key_2)
derived_key_2 = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=None,
    info=b'handshake data',
).derive(shared_key_2)

## DSA


DSA — это алгоритм с открытым ключом для подписи сообщений. DSA является устаревшим алгоритмом и, как правило, его следует избегать в пользу EdDSA с использованием curve25519 или ECDSA.

Алгоритм цифровой подписи (DSA) — это криптосистема с открытым ключом и федеральный стандарт обработки информации для цифровых подписей, основанный на математической концепции модульной экспоненциации и задаче дискретного логарифма. DSA является вариантом схем подписи Шнорра и Эль-Гамаля.

DSA работает в рамках криптосистем с открытым ключом и основана на алгебраических свойствах модульной экспоненциации вместе с задачей дискретного логарифма, которая считается вычислительно неразрешимой. Алгоритм использует пару ключей, состоящую из открытого ключа и закрытого ключа. Закрытый ключ используется для создания цифровой подписи для сообщения, и такая подпись может быть проверена с помощью соответствующего открытого ключа подписывающего лица. Цифровая подпись обеспечивает проверку подлинности сообщения (получатель может проверить происхождение сообщения), целостность (получатель может проверить, что сообщение не было изменено с момента его подписания) и неотрекаемость (отправитель не может ложно утверждать, что он не подписал сообщение).

**Подписание**

In [37]:
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import dsa
private_key = dsa.generate_private_key(
    key_size=1024,
)
data = b"this is some data I'd like to sign"
signature = private_key.sign(
    data,
    hashes.SHA256()
)

**Проверка**

Проверка выполняется с помощью экземпляра DSAPublicKey. Объект открытого ключа можно получить с помощью *load_pem_public_key(), load_der_public_key(), public_key() или public_key()*.

In [40]:
public_key = private_key.public_key()
public_key.verify(
    signature,
    data,
    hashes.SHA256()
)

## Сериализация ключей


Существует несколько распространенных схем сериализации асимметричных частных и публичных ключей. Они, как правило, поддерживают шифрование закрытых ключей и дополнительные ключевые метаданные. Многие форматы сериализации поддерживают несколько различных типов асимметричных ключей и возвращают экземпляр соответствующего типа

In [47]:
    import base64

    pem_data = b"""
    -----BEGIN RSA PRIVATE KEY-----
    MIICXgIBAAKBgQDn09PV9KPE7Q+N5K5UtNLT1DLl8z/pKM2pP5tXqWx2OsEw00lC
    kDHdHESwzS050s/8rtkERKKyusCzCm9+vC1pQzUlmtibfF4PQAQc1pJL6KHqlidg
    Hw49atYmnC25CaeXt65pAYXoIacOZ8k5X7FW3Eagex8nG0iMw4ObOtg6CwIDAQAB
    AoGBAL31l/4YYN1rNrSZLrQgGyUSGsbLxJHEKolFon95R3O1fzoH117gkstQb4TE
    Cwv3jw/JIfBaYUq8tku/AE9D2Jx51x7kYaCuQIMTavKIgkXKfxTQCQDjSEfkvXMW
    4WOIj5sYdSCNbzLbaeFsWG32bSsBTy/sSheDIlCEFnqDuqwBAkEA+wYfJEMDf5nS
    VCQd9VKGM4HVeTWBioaWBFCflFdhc1Vb65dsNDp8iIMZgAHC2LEX5dMUmgqXk7AT
    lwFlIeW4CwJBAOxsSfuIVMuPKyx1xQ6ebpC7zeVxIOdswcM8ain91MSGDdKZw6pF
    ioFh3kUbKHw4yqqHbdRmUDAJ1mcgGJQOxgECQQCmQaGylKfmhWymyd0FtIip6J4I
    z4ViyEznwrZOu6kRiEF/QiUqWmpMx/fFrmTsvC5Fy43jkIxgBsiSxRvEXa+NAkB+
    5m0bhwTEslchKSGZhC6inzuYAQ4BSh4C1mXBnk5bIf0/Ymtk9KiwY8CzZS1o5+7Y
    c5LfI/+8mTss5UxsBDYBAkEA6NqhcsNWndIJZiWUU4u+RjFUQXqH8WCyJmEDCNxs
    7SGRS1DTUGX4Y70m9dQpguy6Zg+gpHC+o+ERZR06uEQr+w==
    -----END RSA PRIVATE KEY-----
    """.strip()
    public_pem_data = b"""
    -----BEGIN PUBLIC KEY-----
    MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDn09PV9KPE7Q+N5K5UtNLT1DLl
    8z/pKM2pP5tXqWx2OsEw00lCkDHdHESwzS050s/8rtkERKKyusCzCm9+vC1pQzUl
    mtibfF4PQAQc1pJL6KHqlidgHw49atYmnC25CaeXt65pAYXoIacOZ8k5X7FW3Eag
    ex8nG0iMw4ObOtg6CwIDAQAB
    -----END PUBLIC KEY-----
    """.strip()
    der_data = base64.b64decode(
        b"MIICdwIBADANBgkqhkiG9w0BAQEFAASCAmEwggJdAgEAAoGBALskegl+DrI3Msw5Z63x"
        b"nj1rgoPR0KykwBi+jZgAwHv/B0TJyhy6NuEnaf+x442L7lepOqoWQzlUGXyuaSQU9mT/"
        b"vHTGZ2xM8QJJaccr4eGho0MU9HePyNCFWjWVrGKpwSEAd6CLlzC0Wiy4kC9IoAUoS/IP"
        b"jeyLTQNCddatgcARAgMBAAECgYAA/LlKJgeJUStTcpHgGD6mXjHvnAwWJELQKDP5+tA8"
        b"VAQGwBX1G5qzJDGrPGtHQ7DSqdwF4YFZtgTpZmGq1wsAjz3lv6L4XiVsHiIPtP1B4gMx"
        b"X9ogxcDzVQ7hyezXPioMAcp7Isus9Csn8HhftcL56BRabn6GvWqbIAy6zJcgEQJBAMlZ"
        b"nymKW5/jKth+wkCfqEXlPhGNPO1uq87QZUbYxwdjtSM09J9+HMfH+WXR9ARCOL46DJ0I"
        b"JfyjcdmuDDlh9IkCQQDt76up1Tmc7lkb/89IRBu2MudGJPMEf96VCG11nmcXulyk1OLi"
        b"TXfO62YpxZbgYrvlrNxEYlSG7WQMztBgA51JAkBU2RhyJ+S+drsaaigvlVgSxCyotszi"
        b"/Q0XZMgY18bfPUwanvkqsLkuEv3sw1HB7an9t3aTQdjIIpQad/acw8OJAkEAjvmnCK21"
        b"KgTbjQShtQYgNNLPwImxcjG4OYvP4o6l2k9FHlNCZsQwSymOwWkXKYyK5g+CaKFBs7Zw"
        b"mXWpJxjk6QJBAInqbm1w3yVfGD9I2mMQi/6oDJQP3pdWU4mU4h4sdDyRgTQLpkD4yypg"
        b"jOACt4mTzxifSVT9fT+a79SkT8FFmZE="
    )
    public_der_data = base64.b64decode(
        b"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7JHoJfg6yNzLMOWet8Z49a4KD0dCs"
        b"pMAYvo2YAMB7/wdEycocujbhJ2n/seONi+5XqTqqFkM5VBl8rmkkFPZk/7x0xmdsTPEC"
        b"SWnHK+HhoaNDFPR3j8jQhVo1laxiqcEhAHegi5cwtFosuJAvSKAFKEvyD43si00DQnXW"
        b"rYHAEQIDAQAB"
    )
    message = b""

    def sign_with_rsa_key(key, message):
        return b""

    def sign_with_dsa_key(key, message):
        return b""

    parameters_pem_data = b"""
    -----BEGIN DH PARAMETERS-----
    MIGHAoGBALsrWt44U1ojqTy88o0wfjysBE51V6Vtarjm2+5BslQK/RtlndHde3gx
    +ccNs+InANszcuJFI8AHt4743kGRzy5XSlul4q4dDJENOHoyqYxueFuFVJELEwLQ
    XrX/McKw+hS6GPVQnw6tZhgGo9apdNdYgeLQeQded8Bum8jqzP3rAgEC
    -----END DH PARAMETERS-----
    """.strip()

    parameters_der_data = base64.b64decode(
        b"MIGHAoGBALsrWt44U1ojqTy88o0wfjysBE51V6Vtarjm2+5BslQK/RtlndHde3gx+ccNs+In"
        b"ANsz\ncuJFI8AHt4743kGRzy5XSlul4q4dDJENOHoyqYxueFuFVJELEwLQXrX/McKw+hS6GP"
        b"VQnw6tZhgG\no9apdNdYgeLQeQded8Bum8jqzP3rAgEC"
    )


In [48]:
from cryptography.hazmat.primitives.asymmetric import dsa, rsa
from cryptography.hazmat.primitives.serialization import load_pem_private_key
key = load_pem_private_key(pem_data, password=None)
if isinstance(key, rsa.RSAPrivateKey):
    signature = sign_with_rsa_key(key, message)
elif isinstance(key, dsa.DSAPrivateKey):
    signature = sign_with_dsa_key(key, message)
else:
    raise TypeError

PEM - это формат инкапсуляции, что означает, что ключи в нем могут быть фактически любым из несколько различных типов ключей.
Преобразование ключа pem в формат rsa

In [49]:
from cryptography.hazmat.primitives.serialization import load_pem_public_key
key = load_pem_public_key(public_pem_data)
isinstance(key, rsa.RSAPublicKey)

True

DER является типом кодировки ASN.1.


In [50]:
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives.serialization import load_der_private_key
key = load_der_private_key(der_data, password=None)
isinstance(key, rsa.RSAPrivateKey)

True

Десериализация открытого ключа из данных в кодировке DER в один из поддерживаемых асимметричных типов открытых ключей.

In [51]:
from cryptography.hazmat.primitives.asymmetric import rsa
from cryptography.hazmat.primitives.serialization import load_der_public_key
key = load_der_public_key(public_der_data)
isinstance(key, rsa.RSAPublicKey)

True

In [52]:
from cryptography.hazmat.primitives.asymmetric import dh
from cryptography.hazmat.primitives.serialization import load_der_parameters
parameters = load_der_parameters(parameters_der_data)
isinstance(parameters, dh.DHParameters)

True

**Конструктор сертификатов SSH**

**PKCS12**

PKCS12 — это двоичный формат, описанный в RFC 7292. Он может содержать сертификаты, ключи и многое другое. Файлы PKCS12 обычно имеют суффикс или файл.pfxp12

**PKCS7**

PKCS7 — это формат, описанный в RFC 2315, среди других спецификаций. Он может содержат сертификаты, списки отзыва сертификатов и многое другое.

## Асимметричные утилиты

Принимает подписи, сгенерированные подписывающими DSA/ECDSA, и возвращает кортеж. Эти сигнатуры представляют собой последовательности в кодировке ASN.1 (как определено в RFC 3279).

In [66]:
import hashlib
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.asymmetric import (
   padding, rsa, utils
)
private_key = rsa.generate_private_key(
    public_exponent=65537,
    key_size=2048,
)
prehashed_msg = hashlib.sha256(b"A message I want to sign").digest()
signature = private_key.sign(
    prehashed_msg,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    utils.Prehashed(hashes.SHA256())
)
public_key = private_key.public_key()
public_key.verify(
    signature,
    prehashed_msg,
    padding.PSS(
        mgf=padding.MGF1(hashes.SHA256()),
        salt_length=padding.PSS.MAX_LENGTH
    ),
    utils.Prehashed(hashes.SHA256())
)

# Функция константы времени

Этот модуль содержит функции для работы с секретными данными таким образом, чтобы информация об этих данных не утекала из-за того, сколько времени требуется для выполнения операция. Эти функции следует использовать при работе с секретными данными вместе с данными, предоставленными пользователем.
Примером может служить сравнение подписи HMAC, полученной от клиента, с подписью, сгенерированной серверным кодом для целей аутентификации.

In [67]:
from cryptography.hazmat.primitives import constant_time
constant_time.bytes_eq(b"foo", b"foo")

True

In [68]:
constant_time.bytes_eq(b"foo", b"bar")

False

# Производные функции ключей

Производные функции ключей выводят байты, подходящие для криптографических операций из паролей или других источников данных с использованием псевдослучайной функции (PRF). Различные KDF подходят для различных задач, таких как:
*   Получение криптографического ключа
*   Хранение паролей


## Алгоритмы переменных затрат

**PBKDF2**

PBKDF2 (функция вывода ключа на основе пароля) обычно используется для получение криптографического ключа из пароля.

In [69]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.pbkdf2 import PBKDF2HMAC
# Salts should be randomly generated
salt = os.urandom(16)
# derive
kdf = PBKDF2HMAC(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    iterations=480000,
)
key = kdf.derive(b"my great password")
# verify
kdf = PBKDF2HMAC(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    iterations=480000,
)
kdf.verify(b"my great password", key)

**Scrypt**

Scrypt - это KDF, предназначенный для хранения паролей.
Адаптивная криптографическая функция формирования ключа на основе пароля, созданная офицером безопасности FreeBSD Колином Персивалем для системы хранения резервных копий Tarsnap. Функция создана таким образом, чтобы усложнить атаку перебором при помощи ПЛИС. Для её вычисления требуется значительный объём памяти со случайным доступом.

In [70]:
import os
from cryptography.hazmat.primitives.kdf.scrypt import Scrypt
salt = os.urandom(16)
# derive
kdf = Scrypt(
    salt=salt,
    length=32,
    n=2**14,
    r=8,
    p=1,
)
key = kdf.derive(b"my great password")
# verify
kdf = Scrypt(
    salt=salt,
    length=32,
    n=2**14,
    r=8,
    p=1,
)
kdf.verify(b"my great password", key)

## Алгоритмы фиксированных затрат

**ConcatKDFHash**

ConcatKDFHash (функция вывода ключа конкатенации). ConcatKDFHash не следует использовать для хранения паролей.

In [71]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.concatkdf import ConcatKDFHash
otherinfo = b"concatkdf-example"
ckdf = ConcatKDFHash(
    algorithm=hashes.SHA256(),
    length=32,
    otherinfo=otherinfo,
)
key = ckdf.derive(b"input key")
ckdf = ConcatKDFHash(
    algorithm=hashes.SHA256(),
    length=32,
    otherinfo=otherinfo,
)
ckdf.verify(b"input key", key)

**HKDF**

HKDF (функция извлечения и расширения ключа на основе HMAC) подходит для получения ключей фиксированного размера

In [72]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.hkdf import HKDF
salt = os.urandom(16)
info = b"hkdf-example"
hkdf = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    info=info,
)
key = hkdf.derive(b"input key")
hkdf = HKDF(
    algorithm=hashes.SHA256(),
    length=32,
    salt=salt,
    info=info,
)
hkdf.verify(b"input key", key)

**HKDFExpand**

In [73]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.hkdf import HKDFExpand
info = b"hkdf-example"
key_material = os.urandom(16)
hkdf = HKDFExpand(
    algorithm=hashes.SHA256(),
    length=32,
    info=info,
)
key = hkdf.derive(key_material)
hkdf = HKDFExpand(
    algorithm=hashes.SHA256(),
    length=32,
    info=info,
)
hkdf.verify(key_material, key)

**KBKDF** (Key Based Key Derivation Function)

In [74]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.kbkdf import (
   CounterLocation, KBKDFHMAC, Mode
)
label = b"KBKDF HMAC Label"
context = b"KBKDF HMAC Context"
kdf = KBKDFHMAC(
    algorithm=hashes.SHA256(),
    mode=Mode.CounterMode,
    length=32,
    rlen=4,
    llen=4,
    location=CounterLocation.BeforeFixed,
    label=label,
    context=context,
    fixed=None,
)
key = kdf.derive(b"input key")
kdf = KBKDFHMAC(
    algorithm=hashes.SHA256(),
    mode=Mode.CounterMode,
    length=32,
    rlen=4,
    llen=4,
    location=CounterLocation.BeforeFixed,
    label=label,
    context=context,
    fixed=None,
)
kdf.verify(b"input key", key)

**KBKDF** (Key Based Key Derivation Function) 

In [75]:
from cryptography.hazmat.primitives.ciphers import algorithms
from cryptography.hazmat.primitives.kdf.kbkdf import (
   CounterLocation, KBKDFCMAC, Mode
)
label = b"KBKDF CMAC Label"
context = b"KBKDF CMAC Context"
kdf = KBKDFCMAC(
    algorithm=algorithms.AES,
    mode=Mode.CounterMode,
    length=32,
    rlen=4,
    llen=4,
    location=CounterLocation.BeforeFixed,
    label=label,
    context=context,
    fixed=None,
)
key = kdf.derive(b"32 bytes long input key material")
kdf = KBKDFCMAC(
    algorithm=algorithms.AES,
    mode=Mode.CounterMode,
    length=32,
    rlen=4,
    llen=4,
    location=CounterLocation.BeforeFixed,
    label=label,
    context=context,
    fixed=None,
)
kdf.verify(b"32 bytes long input key material", key)

**X963KDF**

X963KDF (функция вывода ключей ANSI X9.63) определяется ANSI в документе ANSI X9.63:2001

In [76]:
import os
from cryptography.hazmat.primitives import hashes
from cryptography.hazmat.primitives.kdf.x963kdf import X963KDF
sharedinfo = b"ANSI X9.63 Example"
xkdf = X963KDF(
    algorithm=hashes.SHA256(),
    length=32,
    sharedinfo=sharedinfo,
)
key = xkdf.derive(b"input key")
xkdf = X963KDF(
    algorithm=hashes.SHA256(),
    length=32,
    sharedinfo=sharedinfo,
)
xkdf.verify(b"input key", key)

# Инкапсуляция ключей

это криптографическая конструкция, использующая симметричное шифрование для инкапсулировать ключевой материал. Иногда используются алгоритмы обертывания ключей для защиты неактивных ключей или передачи их по небезопасным каналам связи.  Большинство инкапсуляций ключей предпологают использование симметричного шифрования с проверкой подлинности. 

Эта функция выполняет обмотку ключей AES (без заполнения)



```
# cryptography.hazmat.primitives.keywrap. aes_key_wrap(wrapping_key, key_to_wrap)
```



Эта функция выполняет развертку ключа AES (без заполнения)


```
# cryptography.hazmat.primitives.keywrap. aes_key_wrap_with_padding(wrapping_key, key_to_wrap)
```



# Коды проверки подлинности сообщений

## Код проверки подлинности сообщений на основе шифра (CMAC)

Шифрованные коды проверки подлинности сообщений (или CMAC) являются инструментом для вычисление кодов проверки подлинности сообщений с использованием блочного шифра в сочетании с секретный ключ. CMAC можно использовать для проверки целостности и подлинности сообщения.


In [77]:
from cryptography.hazmat.primitives import cmac
from cryptography.hazmat.primitives.ciphers import algorithms
c = cmac.CMAC(algorithms.AES(key))
c.update(b"message to authenticate")
c.finalize()

b'\x8aH\xb3j\x9cBix\x98z\xad\x1f\xae\x1f\xa1R'

Чтобы проверить правильность данной подписи, используйте метод verify(). Вы получите исключение, если подпись неверна:

In [78]:
c = cmac.CMAC(algorithms.AES(key))
c.update(b"message to authenticate")
c.verify(b"an incorrect signature")

InvalidSignature: ignored

## Коды проверки подлинности сообщений на основе хэша (HMAC)

Коды проверки подлинности сообщений на основе хэша (или HMAC) являются инструментом для вычисления проверки подлинности сообщений с использованием криптографической хэш-функции в сочетании с секретный ключ. HMAC можно использовать для проверки целостности и подлинности сообщения. Это реализация RFC 2104.

In [79]:
from cryptography.hazmat.primitives import hashes, hmac
key = b'test key. Beware! A real key should use os.urandom or TRNG to generate'
h = hmac.HMAC(key, hashes.SHA256())
h.update(b"message to hash")
signature = h.finalize()
signature

b'k\xd9\xb29\xefS\xf8\xcf\xec\xed\xbf\x95\xe6\x97X\x18\x9e%\x11DU1\x9fq}\x9a\x9c\xe0)y`='

Чтобы проверить правильность данной подписи, используйте метод verify(). Вы получите исключение, если подпись неверна:

In [80]:
h = hmac.HMAC(key, hashes.SHA256())
h.update(b"message to hash")
h_copy = h.copy() # get a copy of `h' to be reused
h.verify(signature)
h_copy.verify(b"an incorrect signature")

InvalidSignature: ignored

## Poly1305 

Poly1305 - это аутентификатор, который принимает 32-байтовый ключ и сообщение и создает 16-байтовый тег. Этот тег используется для проверки подлинности сообщения. Каждый ключ должен использоваться только один раз. Использование одного и того же ключа для создания тегов для нескольких сообщения позволяют злоумышленнику подделывать теги.

In [82]:
key = b"\x01" * 32
from cryptography.hazmat.primitives import poly1305
p = poly1305.Poly1305(key)
p.update(b"message to authenticate")
p.finalize()

b'T\xae\xff3\xbdW\xef\xd5r\x01\xe2n=\xb7\xd2h'

Чтобы проверить правильность данного тега, используйте метод verify(). Вы получите исключение, если тег неправильный:

In [None]:
p = poly1305.Poly1305(key)
p.update(b"message to authenticate")
p.verify(b"an incorrect tag")

In [83]:
poly1305.Poly1305.generate_tag(key, b"message to authenticate")

b'T\xae\xff3\xbdW\xef\xd5r\x01\xe2n=\xb7\xd2h'

# Дайджесты сообщений (Хеширование)

Криптографическая хэш-функция принимает произвольный блок данных и вычисляет битовую строку фиксированного размера (дайджест), так что разные данные получаются (с высокой вероятностью) в разных дайджестах. Криптографические хэши со временем становятся только сильнее, и что часто алгоритмы, которые когда-то считались надежными, становятся неработоспособными. Из-за этого важно включить план обновления используемого вами хэш-алгоритма с течением времени.

In [84]:
from cryptography.hazmat.primitives import hashes
digest = hashes.Hash(hashes.SHA256())
digest.update(b"abc")
digest.update(b"123")
digest.finalize()

b'l\xa1=R\xcap\xc8\x83\xe0\xf0\xbb\x10\x1eBZ\x89\xe8bM\xe5\x1d\xb2\xd29%\x93\xafj\x84\x11\x80\x90'

**SHA-2 family**

In [89]:
from cryptography.hazmat.primitives.hashes import SHA256


**BLAKE2**

In [91]:
from cryptography.hazmat.primitives.hashes import BLAKE2s
BLAKE2s=1

**SHA-3 family**

In [92]:
from cryptography.hazmat.primitives.hashes import SHA3_256

**SHA-1**

In [93]:
from cryptography.hazmat.primitives.hashes import SHA1

**MD5**

In [94]:
from cryptography.hazmat.primitives.hashes import MD5

**SM3**

In [95]:
from cryptography.hazmat.primitives.hashes import SM3

**Interfaces**

In [96]:
from cryptography.hazmat.primitives.hashes import HashAlgorithm

In [97]:
from cryptography.hazmat.primitives.hashes import HashContext

# Симметричное шифрование

Симметричное шифрование - это способ шифрования или сокрытия содержимого материала, при котором отправитель и получатель используют один и тот же секретный ключ. Обратите внимание, что симметричного шифрования недостаточно для большинства приложений, поскольку оно обеспечивает только секретность, но не подлинность. Это означает, что злоумышленник не может увидеть сообщение, но злоумышленник может создавать поддельные сообщения и заставлять приложение расшифровывать их. Во многих контекстах отсутствие аутентификации в зашифрованных сообщениях также может привести к потере секретности.

По этой причине почти во всех контекстах необходимо комбинировать шифрование с кодом аутентификации сообщения, таким как HMAC.

In [98]:
import os
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
key = os.urandom(32)
iv = os.urandom(16)
cipher = Cipher(algorithms.AES(key), modes.CBC(iv))
encryptor = cipher.encryptor()
ct = encryptor.update(b"a secret message") + encryptor.finalize()
decryptor = cipher.decryptor()
decryptor.update(ct) + decryptor.finalize()

b'a secret message'

## Алгоритмы

**ChaCha20**

ChaCha20 — это потоковый шифр, используемый в нескольких протоколах IETF. 

In [101]:
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
nonce = os.urandom(16)
algorithm = algorithms.ChaCha20(key, nonce)
cipher = Cipher(algorithm, mode=None)
encryptor = cipher.encryptor()
ct = encryptor.update(b"a secret message")
decryptor = cipher.decryptor()
decryptor.update(ct)

b'a secret message'

## Режимы

**CBC**

CBC (Cipher Block Chaining) - это режим работы для блочных шифров. Он считается криптографически надежным.

In [100]:
import os
from cryptography.hazmat.primitives.ciphers.modes import CBC
iv = os.urandom(16)
mode = CBC(iv)

**GCM**

GCM (Galois Counter Mode) — режим работы блочных шифров. Режим AEAD (аутентифицированное шифрование с дополнительными данными) - это тип режима блочного шифрования, который одновременно шифрует сообщение и аутентифицирует его. Дополнительные незашифрованные данные также могут быть аутентифицированы. Дополнительные средства проверки целостности, такие как HMAC, не требуются.

In [102]:
import os

from cryptography.hazmat.primitives.ciphers import (
    Cipher, algorithms, modes
)

def encrypt(key, plaintext, associated_data):
    # Generate a random 96-bit IV.
    iv = os.urandom(12)

    # Construct an AES-GCM Cipher object with the given key and a
    # randomly generated IV.
    encryptor = Cipher(
        algorithms.AES(key),
        modes.GCM(iv),
    ).encryptor()

    # associated_data will be authenticated but not encrypted,
    # it must also be passed in on decryption.
    encryptor.authenticate_additional_data(associated_data)

    # Encrypt the plaintext and get the associated ciphertext.
    # GCM does not require padding.
    ciphertext = encryptor.update(plaintext) + encryptor.finalize()

    return (iv, ciphertext, encryptor.tag)

def decrypt(key, associated_data, iv, ciphertext, tag):
    # Construct a Cipher object, with the key, iv, and additionally the
    # GCM tag used for authenticating the message.
    decryptor = Cipher(
        algorithms.AES(key),
        modes.GCM(iv, tag),
    ).decryptor()

    # We put associated_data back in or the tag will fail to verify
    # when we finalize the decryptor.
    decryptor.authenticate_additional_data(associated_data)

    # Decryption gets us the authenticated plaintext.
    # If the tag does not match an InvalidTag exception will be raised.
    return decryptor.update(ciphertext) + decryptor.finalize()

iv, ciphertext, tag = encrypt(
    key,
    b"a secret message!",
    b"authenticated but not encrypted payload"
)

print(decrypt(
    key,
    b"authenticated but not encrypted payload",
    iv,
    ciphertext,
    tag
))

b'a secret message!'


## Интерфейсы

In [103]:
import os
from cryptography.hazmat.primitives.ciphers import Cipher, algorithms, modes
key = os.urandom(32)
iv = os.urandom(16)
cipher = Cipher(algorithms.AES(key), modes.CBC(iv))
encryptor = cipher.encryptor()
# the buffer needs to be at least len(data) + n - 1 where n is cipher/mode block size in bytes
buf = bytearray(31)
len_encrypted = encryptor.update_into(b"a secret message", buf)
# get the ciphertext from the buffer reading only the bytes written to it (len_encrypted)
ct = bytes(buf[:len_encrypted]) + encryptor.finalize()
decryptor = cipher.decryptor()
len_decrypted = decryptor.update_into(ct, buf)
# get the plaintext from the buffer reading only the bytes written (len_decrypted)
bytes(buf[:len_decrypted]) + decryptor.finalize()

b'a secret message'

# Симметричное дополнение

Дополнение - это способ взять данные, которые могут быть кратны размеру блока для шифра, а могут и не быть, и расширить их так, чтобы они были кратны размеру блока. Это требуется для многих режимов блочного шифрования, поскольку они требуют, чтобы зашифруемые данные были точно кратны размеру блока.


## PKCS7

 PKCS #7 (синтаксис криптографических сообщений) — это стандартный метод заполнения, который определяет количество байтов заполнения, а затем объявляет его в качестве значения.

In [104]:
from cryptography.hazmat.primitives import padding
padder = padding.PKCS7(128).padder()
padded_data = padder.update(b"11111111111111112222222222")
padded_data


b'1111111111111111'

In [105]:
padded_data += padder.finalize()
padded_data

b'11111111111111112222222222\x06\x06\x06\x06\x06\x06'

In [106]:
unpadder = padding.PKCS7(128).unpadder()
data = unpadder.update(padded_data)
data

b'1111111111111111'

In [107]:
data + unpadder.finalize()

b'11111111111111112222222222'

## ANSI X9.23

Заполнение ANSI X9.23 работает путем добавления байтов со значением и последнего байта со значением , где - количество байтов, необходимое для того, чтобы конечный блок данных имел тот же размер, что и размер блока. 

In [109]:
padder = padding.ANSIX923(128).padder()
padded_data = padder.update(b"11111111111111112222222222")
padded_data

b'1111111111111111'

In [110]:
padded_data += padder.finalize()
padded_data

b'11111111111111112222222222\x00\x00\x00\x00\x00\x06'

In [111]:
unpadder = padding.ANSIX923(128).unpadder()
data = unpadder.update(padded_data)
data

b'1111111111111111'

In [112]:
data + unpadder.finalize()


b'11111111111111112222222222'

# Двухфакторная аутентификация

Этот модуль содержит алгоритмы, связанные с двухфакторной аутентификацией.

В настоящее время он содержит алгоритм для генерации и проверки значений одноразового пароля на основе кодов аутентификации сообщений на основе хэша (HMAC).

## HOTP

Объекты HOTP принимают параметры. Это должны быть случайно сгенерированные байты, и рекомендуется, чтобы их длина составляла 160 бит. Параметр определяет длину сгенерированного одноразового пароля и должен быть >= 6 и <= 8.

Это реализация RFC 4226

In [113]:
import os
from cryptography.hazmat.primitives.twofactor.hotp import HOTP
from cryptography.hazmat.primitives.hashes import SHA1
key = os.urandom(20)
hotp = HOTP(key, 6, SHA1())
hotp_value = hotp.generate(0)
hotp.verify(hotp_value, 0)

## Повторная синхронизация счетчика

Значение счетчика сервера следует увеличивать только при успешной аутентификации по протоколу HOTP. Однако счетчик на клиенте увеличивается каждый раз, когда запрашивается новое значение HOTP. Это может привести к тому, что значение счетчика не будет синхронизировано между клиентом и сервером.

В связи с этим настоятельно рекомендуется, чтобы сервер установил окно предварительного просмотра, которое позволяет серверу вычислять следующие значения HOTP и сверять их с предоставленным значением HOTP. Это может быть достигнуто с помощью чего-то похожего на следующий код.

In [114]:
def verify(hotp, counter, look_ahead):
    assert look_ahead >= 0
    correct_counter = None

    otp = HOTP(key, 6)
    for count in range(counter, counter + look_ahead):
        try:
            otp.verify(hotp, count)
            correct_counter = count
        except InvalidToken:
            pass

    return correct_counter

**TOTP**

Объекты TOTP принимают параметры. Это должны быть случайно сгенерированные байты, и рекомендуется, чтобы они были такой же длины, как выходные данные вашей хэш-функции (например, 256-битные для SHA256. Параметр определяет длину сгенерированного одноразового пароля и должен быть >= 6 и <= 8.

Это реализация RFC 6238.

In [115]:
import os
import time
from cryptography.hazmat.primitives.twofactor.totp import TOTP
from cryptography.hazmat.primitives.hashes import SHA1
key = os.urandom(20)
totp = TOTP(key, 8, SHA1(), 30)
time_value = time.time()
totp_value = totp.generate(time_value)
totp.verify(totp_value, time_value)

## URI инициализации

URI инициализации HOTP и TOTP является функцией Google Authenticator и фактически не является частью HOTP или TOTP Rfc. Однако он широко поддерживается веб-сайтами и мобильными приложениями, которые используют двухфакторную аутентификацию.

Для генерации URI инициализации вы можете использовать метод экземпляров HOTP/TOTP.


Распространенным способом использования является кодирование URI инициализации в QR-код и указание пользователям сканировать его с помощью приложений двухфакторной аутентификации на своих мобильных устройствах.

In [116]:
counter = 5
account_name = 'alice@example.com'
issuer_name = 'Example Inc'

hotp_uri = hotp.get_provisioning_uri(account_name, counter, issuer_name)
totp_uri = totp.get_provisioning_uri(account_name, issuer_name)