mirror
/
oragono
дзеркало https://github.com/oragono/oragono
Слідкувати 1
В обрані 0
Форк 0
Код Проблеми 0 Релізи 67 Вікі Активність
Ви не можете вибрати більше 25 тем Теми мають розпочинатися з літери або цифри, можуть містити дефіси (-) і не повинні перевищувати 35 символів.
5281 Коміти
19 Гілки
Гілка: master
Гілки Теги
${ item.name }
Створити гілку ${ searchTerm }
з 'master'
${ noResults }
oragono/irc/utils/crypto.go

crypto.go 2.5KB
Постійне посилання Історія Неформатований

12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394959697 
  1. // Copyright (c) 2018 Shivaram Lingamneni <slingamn@cs.stanford.edu>

  2. // released under the MIT license

  3. 

  4. package utils

  5. 

  6. import (

  7. 	"crypto/rand"

  8. 	"crypto/sha256"

  9. 	"crypto/subtle"

  10. 	"crypto/tls"

  11. 	"crypto/x509"

  12. 	"encoding/base32"

  13. 	"encoding/base64"

  14. 	"encoding/hex"

  15. 	"errors"

  16. 	"net"

  17. 	"strings"

  18. 	"time"

  19. )

  20. 

  21. var (

  22. 	// slingamn's own private b32 alphabet, removing 1, l, o, and 0

  23. 	B32Encoder = base32.NewEncoding("abcdefghijkmnpqrstuvwxyz23456789").WithPadding(base32.NoPadding)

  24. 

  25. 	ErrInvalidCertfp = errors.New("Invalid certfp")

  26. 

  27. 	ErrNoPeerCerts = errors.New("No certfp available")

  28. 

  29. 	ErrNotTLS = errors.New("Connection is not TLS")

  30. )

  31. 

  32. const (

  33. 	SecretTokenLength = 26

  34. )

  35. 

  36. // generate a secret token that cannot be brute-forced via online attacks

  37. func GenerateSecretToken() string {

  38. 	// 128 bits of entropy are enough to resist any online attack:

  39. 	var buf [16]byte

  40. 	rand.Read(buf[:])

  41. 	// 26 ASCII characters, should be fine for most purposes

  42. 	return B32Encoder.EncodeToString(buf[:])

  43. }

  44. 

  45. // securely check if a supplied token matches a stored token

  46. func SecretTokensMatch(storedToken string, suppliedToken string) bool {

  47. 	// XXX fix a potential gotcha: if the stored token is uninitialized,

  48. 	// then nothing should match it, not even supplying an empty token.

  49. 	if len(storedToken) == 0 {

  50. 		return false

  51. 	}

  52. 

  53. 	return subtle.ConstantTimeCompare([]byte(storedToken), []byte(suppliedToken)) == 1

  54. }

  55. 

  56. // generate a 256-bit secret key that can be written into a config file

  57. func GenerateSecretKey() string {

  58. 	var buf [32]byte

  59. 	rand.Read(buf[:])

  60. 	return base64.RawURLEncoding.EncodeToString(buf[:])

  61. }

  62. 

  63. // Normalize openssl-formatted certfp's to oragono's format

  64. func NormalizeCertfp(certfp string) (result string, err error) {

  65. 	result = strings.ToLower(strings.Replace(certfp, ":", "", -1))

  66. 	decoded, err := hex.DecodeString(result)

  67. 	if err != nil || len(decoded) != 32 {

  68. 		return "", ErrInvalidCertfp

  69. 	}

  70. 	return

  71. }

  72. 

  73. func GetCertFP(conn net.Conn, handshakeTimeout time.Duration) (fingerprint string, peerCerts []*x509.Certificate, err error) {

  74. 	tlsConn, isTLS := conn.(*tls.Conn)

  75. 	if !isTLS {

  76. 		return "", nil, ErrNotTLS

  77. 	}

  78. 

  79. 	// ensure handshake is performed

  80. 	tlsConn.SetDeadline(time.Now().Add(handshakeTimeout))

  81. 	err = tlsConn.Handshake()

  82. 	tlsConn.SetDeadline(time.Time{})

  83. 

  84. 	if err != nil {

  85. 		return "", nil, err

  86. 	}

  87. 

  88. 	peerCerts = tlsConn.ConnectionState().PeerCertificates

  89. 	if len(peerCerts) < 1 {

  90. 		return "", nil, ErrNoPeerCerts

  91. 	}

  92. 

  93. 	rawCert := sha256.Sum256(peerCerts[0].Raw)

  94. 	fingerprint = hex.EncodeToString(rawCert[:])

  95. 

  96. 	return fingerprint, peerCerts, nil

  97. }