File: //usr/local/CyberCP/lib64/python3.10/site-packages/asyncssh/__pycache__/public_key.cpython-310.pyc
o
�������hF �����������������������@���s����U�d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m�Z���d�d�l�m Z m
Z
m�Z�m�Z�m
Z
��d�d�l�m�Z�m�Z���d�d�l�m�Z�m�Z�m�Z�m�Z�m�Z�m�Z�m�Z���d�d�l�m�Z�m�Z�m�Z�m�Z���d�d�l�m�Z���d d
l�m Z m!Z!��d d�l"m#Z#��d d�l$m%Z%��z�d d
l�m&Z&��d d�l�m'Z'm(Z(��d�Z)W�n���e*y�������d�Z)Y�n�w�z�d�d�l+Z+e,e+d���Z-W�n���e*y�������d�Z-Y�n�w�d d�l.m/Z/m0Z0m1Z1��d d�l.m2Z2m3Z3m4Z4��d d�l�m5Z5m6Z6��d d�l"m7Z7m8Z8��d d�l9m:Z:m;Z;m<Z<m=Z=��d d�l9m>Z>m?Z?m@Z@mAZA��d d�lBmCZCmDZDmEZEmFZF��d d�lBmGZGmHZH��d d�lImJZJmKZKmLZL��d d�lImMZMmNZN��d d�l$mOZOmPZP��e�e:��ZQe�eRe�eR��f���ZSe�eTeUe�eRf���ZVe�eWe�d���f���ZXe�eWe�e�e�d�����e�d���f���f���ZYe�eWeWf���ZZe�e�eWeTf���e�eWe�d���f���f���Z[e�eWe�d���f���Z\e�e1e�d���f���Z]e�eTe�e�d���e�e^d f���f���f���Z_e�eRe^f���Z`e�e^eTeTeWeWeTeTeWeWf ��Zae�e�eRe�e^g�eWf���f�����Zbe�eWe�eHg�e^f���f���Zce�d�eRe�eR��f���Zde�eWe<d�d�f���Zee�eee�ee��f���Zfe�eWe<d�f���Zge�e<e�eg��f���Zhe�eWe<d�f���Zie�eie�ei��f���Zje�d!ege�egeif���f���Zke�eke�ek��f���Zld"e ��o�e%f�d#e%f�d$e!f�d%e f�d&d'd(f�Zmd)Znd*Zoe e
e�e�e
d���Zpg�Zqe�eW��erd+<�g�Zse�eW��erd,<�g�Zte�eW��erd-<�g�Zue�eW��erd.<�g�Zve�eW��erd/<�g�Zwe�eW��erd0<�i�ZxeXerd1<�i�ZyeYerd2<�i�ZzeZerd3<�i�Z{e[erd4<�i�Z|e\erd5<�i�Z}e]erd6<�i�Z~e_erd7<�e��d8��Z�e��d9��Z�e��d:e�j���Z�d Z�d;Z�e^��Z�d<Z�d=Z�d>Z�d?eVd@eTf�dAdB��Z�d�dDeWdEeTd@eWf�dFdG��Z�G�dHdI��dIe���Z�G�dJdK��dKe���Z�G�dLdM��dMe���Z�G�dNdO��dOe���Z�G�dPdQ��dQe���Z�G�dRd���d���Z�G�dSd���d���Z�G�dTd���d�e���Z�G�dUdV��dVe���Z�G�dWdX��dXe���Z�G�dYdZ��dZe���Z�G�d[d!��d!��Z�G�d\d]��d]e���Z�dDeWd@e�eWe�eW��eWf���f�d^d_��Z�dDeWd@e�e�eWeWf���eWf���f�d`da��Z�dDeWd@e�e�eW��eWf���f�dbdc��Z�dDeWddeTdeeWdfeRd@e�eWeTf���f
dgdh��Z�d�dDeWdieWdje�d@e�e�eR��e�e�eT��f���f�dkdl��Z�dmeWdne^doe�e���d@e�f�dpdq��Z�dmeWdne^d@e�f�drds��Z�dne^doe�e���d@e�f�dtdu��Z�dne^d@e�f�dvdw��Z�dDeWdxe�e:��doe�e���d@e�f�dydz��Z�dDeWd@e�f�d{d|��Z�dne^dxe�e:��doe�e���d@e�f�d}d~��Z�dne^d@e�f�dd���Z� �d�dDeWd�eQd@e�f�d�d���Z�dmeWd�e�eWeWf���dDeWdxe�e:��doe�e���d@e�f�d�d���Z�dmeWdDeWd@e�f�d�d���Z�dmeWdDeWd@e�f�d�d���Z�dDeWdxe�e:��doe�e���d@e�e�e���e�eT��f���f�d�d���Z�dDeWd@e�e�e���e�eT��f���f�d�d���Z�dDeWd@e�e�e���e�eT��f���f�d�d���Z�dDeWdxe�e:��doe�e���d@e�e���f�d�d���Z�dDeWd@e�e���f�d�d���Z�dDeWd@e�e���f�d�d���Z�d�eTd�e�e���d�e^d@d�f�d�d���Z� �d�d�eWd�e�e���d�e�d�e�e�eW����d@d�f
d�d���Z�d�eTd�eWd�eWd�e�e���d�e�e���d�e�d@d�f�d�d���Z�d�eWd�e�d@d�f�d�d���Z�d@e�eW��f�d�d���Z�d@e�eW��f�d�d���Z�d@e�eW��f�d�d���Z�d@e�eW��f�d�d���Z�d@e�eW��f�d�d���Z�d@e�eW��f�d�d���Z�dDeWd@e�f�d�d���Z� �d�dDeWd�eQd@e�f�d�d���Z�d�d�eRd�eQd@e�f�d�d���Z� � �d�dDe:dxe�e:��doe�e���d@e�f�d�d���Z� � �d�dDeWdxe�e:��doe�e���d@e�e�e�e���f���f�d�d���Z�dDe:d@e�f�d�d���Z�dDe:d@e�f�d�dÄ�Z�dDeWd@e�e���f�d�dń�Z�dDeRd@eRf�d�dDŽ�Z� � �d�d�e<dxe�e:��doe�e���d@e�f�d�dʄ�Z� � �d�d�e<dxe�e:��doe�e���d@e�e�e�e���f���f�d�d̄�Z�d�e<d@e�f�d�d΄�Z�d�e<d@e�f�d�dЄ�Z� � �d�d�e<dxe�e:��doe�e���d@e�e���f�d�d҄�Z�d�e<d@e�e���f�d�dԄ�Z�d�e<d@e�e���f�d�dք�Z� � � � � �d�d�eldxe�e:��d�ejd�e�d�e�doe�e���d�e�e�j���d@e�e���f�d�dބ�Z� � �d�dxe�e:��d�ejd@e�e���f�d�d��Z�d�ehd@e�e���f�d�d��Z�d@e�e�e�e�f�����f�d�d��Z�d�ejd@e�e���f�d�d��Z� �d�d�efd�e�d@e�eW��f�d�d��Z�d@e�eW��f�d�d��Z�d�d�d�d��d�eRd�eRd�e�eR��d�e�d@e�e���f
d�d��Z�d�S�)�z"SSH asymmetric encryption handlers�����N)���datetime)���md5��sha1��sha256��sha384��sha512)���Path��PurePath)���Callable��Dict��List��Mapping��Optional��Sequence��Set)���Tuple��Type��Union��cast)���Protocol�����)���ed25519_available��ed448_available)��
Encryption)���sk_available)���X509Certificate)���generate_x509_certificate��import_x509_certificateTF��kdf)���ASN1DecodeError� BitString��ObjectIdentifier)��
der_encode�
der_decode��der_decode_partial)�� CryptoKey��PyCAKey)���get_encryption_params��get_encryption)��
BytesOrStr��DefTuple��FilePath� IPNetwork)��
ip_network� read_file�
write_file��parse_time_interval)���NameList��String��UInt32��UInt64)���PacketDecodeError� SSHPacket)���KeyEncryptionError�
pkcs1_encrypt�
pkcs8_encrypt)��
pkcs1_decrypt�
pkcs8_decrypt)���SSH_SK_USER_PRESENCE_REQD��sk_get_resident��SSHKey��SSHCertificate��SSHOpenSSHCertificate.�
SSHKeyPair�
id_ed25519_sk��id_ecdsa_sk��id_ed448�
id_ed25519)���id_ecdsaT)���id_rsaT)���id_dsaT)�z�/opt/local/etcz�/opt/local/etc/sshz�/usr/local/etcz�/usr/local/etc/sshz�/etcz�/etc/ssh)���ssh_host_ed448_key��ssh_host_ed25519_key��ssh_host_ecdsa_key��ssh_host_rsa_key��ssh_host_dsa_key��_public_key_algs��_default_public_key_algs��_certificate_algs��_default_certificate_algs��_x509_certificate_algs��_default_x509_certificate_algs��_public_key_alg_map��_certificate_alg_map��_certificate_sig_alg_map��_certificate_version_map��_pem_map��_pkcs8_oid_map��_sk_alg_mapz�\d{8}z�\d{14}z.(?:Distinguished[ -_]?Name|Subject|DN)[=:]?\s?�����s����openssh-key-v1�������F�����t��returnc��������������������C���s����t�|�t���r�|�S�t�|�t���r�t�|���S�t�|�t���r�t�|�������S�t�|�t���rd|�d�k�r*t�t�������S�t���|���}�|�r;t�t�� |�d���������S�t
��|���}�|�rLt�t�� |�d���������S�z�t�t�����t�|�������W�S���t�yc������Y�t�d�����w�t�d�����)�z�Parse a time value��nowz�%Y%m%dz�%Y%m%d%H%M%Sz�Unrecognized time value)
�
isinstance��int��floatr����� timestamp��str��time��_abs_date_pattern� fullmatch��strptime��_abs_time_patternr0����
ValueError)�r^�����match��rm����F/usr/local/CyberCP/lib/python3.10/site-packages/asyncssh/public_key.py��_parse_time����s,���
���
���
���
�����
�����
�������������������ro����@�����data��wrapc������������������������s<���t�������d�d�������d�������f�d�d���t�d�t���������D�����d���S�)�z)Break a Base64 value into multiple lines.N��������
c��������������������3���s �����|�]�}���|�|���������V���q�d�S���Nrm�������.0��i��rq���rr���rm���rn���� <genexpr>����s������������z�_wrap_base64.<locals>.<genexpr>r����)���binascii�
b2a_base64��join��range��lenry���rm���ry���rn�����_wrap_base64����s����������������r����c��������������������@��������e�Z�d�Z�d�Z�d�S�)���KeyGenerationErrora8���Key generation error
This exception is raised by :func:`generate_private_key`,
:meth:`generate_user_certificate() <SSHKey.generate_user_certificate>`
or :meth:`generate_host_certificate()
<SSHKey.generate_host_certificate>` when the requested parameters are
unsupported.
N����__name__�
__module__��__qualname__��__doc__rm���rm���rm���rn���r�����������������r����c��������������������@���r����)���KeyImportErrorz�Key import error
This exception is raised by key import functions when the
data provided cannot be imported as a valid key.
Nr����rm���rm���rm���rn���r��������r����r����c��������������������@���r����)���KeyExportErrorz�Key export error
This exception is raised by key export functions when the
requested format is unknown or encryption is requested for a
format which doesn't support it.
Nr����rm���rm���rm���rn���r��������r����r����c��������������������@���s"���e�Z�d�Z�d�Z�d�e�d�e�f�d�d���Z�d�S�)��
SigningKeyz$Protocol for signing a block of datarq���r_���c��������������������C��������d�S�)�z'Sign a block of data with a private keyNrm�������selfrq���rm���rm���rn�����sign�����������z�SigningKey.signN)�r����r����r����r������bytesr����rm���rm���rm���rn���r��������s����������r����c��������������������@���s&���e�Z�d�Z�d�Z�d�e�d�e�d�e�f�d�d���Z�d�S�)���VerifyingKeyz5Protocol for verifying a signature on a block of datarq�����sigr_���c��������������������C���r����)�z7Verify a signature on a block of data with a public keyNrm���)�r����rq���r����rm���rm���rn�����verify����r����z�VerifyingKey.verifyN)�r����r����r����r����r������boolr����rm���rm���rm���rn���r��������s����������r����c����������������%���@���s\���e�Z�d�Z�U�d�Z�d�Z�e�e�d�<�d�Z�e�e���e�d�<�d�Z e�e���e�d�<�d�Z
e�e���e�d�<�e���Z�e
e���e�d�<�d Z�e�e�d
<�d�Z�e�e�d�<�d�Z�e�e���e�d
<�d�Z�e�e�d�<�d�Z�e�e�d�<�d�d�e�e���f�d�d���Z�e�d�e�d�d�f�d�d�����Z�e�d�e�d�d�f�d�d�����Z�e�d�e�d�d�f�d�d�����Z�e�d�e�d�e�f�d�d�����Z�e�d�e�d�e�f�d�d ����Z�e�d!e�d"e�d�e�f�d#d$����Z e�d!e�d"e�d�e�f�d%d&����Z!e�d'e"d�e�f�d(d)����Z#e�d'e"d�e�f�d*d+����Z$e%d�e�f�d,d-����Z&e%d�e�f�d.d/����Z'e%d�e(f�d0d1����Z)d�d�d2e*d3e*d4e*d5e�d6e+d7e,d8e,d9e-d:e.e���d;e.e/��d�d<f�d=d>��Z0d�d�d?e�d@e�e���d3e�e*��d7e,d8e,dAe�dBe�e*��dCe1dDe+dEe+dFe.e���d;e.e/��d�dGf�dHdI��Z2d�e�f�dJdK��Z3d�e�f�dLdM��Z4d�e�e���f�dNdO��Z5 P Qd�dRe�dSe�d�e�e���f�dTdU��Z6 P Qd�d;e/dRe�dSe�d�d�f�dVdW��Z7d�e�e���f�dXdY��Z8dZe9d�e�e:f���d�d�f�d[d\��Z;d�dFe�d�e�f�d^d_��Z<d`e�d�d�f�dadb��Z=d"e�dFe�d�e�f�dcdd��Z>d"e�dee�d�e�f�dfdg��Z?d"e�dee�d'e"d�e�f�dhdi��Z@d"e�dee�d�e�f�djdk��ZAd"e�dle�d�e�f�dmdn��ZBd�e�f�dodp��ZCd�e�f�dqdr��ZDd�eEe�e�f���f�dsdt��ZFd�eEe�e�f���f�dudv��ZGd�e�f�dwdx��ZHd�e�f�dydz��ZId�e�f�d{d|��ZJd�d}d~��ZK � � � � � � � � � �d�d�d�d5e�d2e*d3e*d6e+d7e,d8e,d�e�e���d�e�e�e�����d�e�d�e�d�e�d�e�d�e�d`e�d�e.e���d;e.e/��d�d<f$d�d���ZL � � � � � �d�d�d�d5e�d2e*d3e*d6e+d7e,d8e,d�e.e���d;e.e/��d�d<f�d�d���ZM � � � � � �d�d�d�d?e�d@e�e���d3e�e*��d6e+d7e,d8e,dCe1d�e.e���d;e.e/��d�dGf�d�d���ZN � � � � � �d�d�d�d?e�d@e�e���d3e�e*��d6e+d7e,d8e,dCe1d�e.e���d;e.e/��d�dGf�d�d���ZO � � � � � � �d�d�d�d?e�d@e�e���d3e�e*��d7e,d8e,dBe�e*��d�e.e���d;e.e/��d�dGf�d�d���ZP � � � ] � �d�d�e�d�e�eQ��d�e�dFe�d�e*d�e*d�e�d�e�f�d�d���ZRd�d�e�d�e�f�d�d���ZSdZe:d�d�f�d�d���ZTdZe:d�d�f�d�d���ZUdZe:d�d�f�d�d���ZVdZe:d�d�f�d�d���ZWd�S�)�r>���z5Parent class which holds an asymmetric encryption key������ algorithmrm�����sig_algorithms��cert_algorithms��x509_algorithms��all_sig_algorithms����default_x509_hash��pem_nameN� pkcs8_oidF��use_executor��use_webauthn��keyc��������������������C���s����|�|�_�d�|�_�d�|�_�d�|�_�d�S�)�NF)���_key��_comment� _filename��_touch_required)�r����r����rm���rm���rn�����__init__����s����������
�z�SSHKey.__init__r_���c��������������������K��������t���)�z�Generate a new SSH private key����NotImplementedError)���clsr������kwargsrm���rm���rn�����generate�����������z�SSHKey.generate�
key_paramsc��������������������C���r����)�z�Construct a private keyr������r����r����rm���rm���rn�����make_private
���r����z�SSHKey.make_privatec��������������������C���r����)�z�Construct a public keyr����r����rm���rm���rn�����make_public����r����z�SSHKey.make_public��key_datac��������������������C���r����)��"Decode a PKCS#1 format private keyNrm�����r����r����rm���rm���rn�����decode_pkcs1_private����r����z�SSHKey.decode_pkcs1_privatec��������������������C���r����)��!Decode a PKCS#1 format public keyNrm���r����rm���rm���rn�����decode_pkcs1_public����r����z�SSHKey.decode_pkcs1_public�
alg_paramsrq���c��������������������C���r����)��"Decode a PKCS#8 format private keyNrm�����r����r����rq���rm���rm���rn�����decode_pkcs8_private����r����z�SSHKey.decode_pkcs8_privatec��������������������C���r����)��!Decode a PKCS#8 format public keyNrm���r����rm���rm���rn�����decode_pkcs8_public"���r����z�SSHKey.decode_pkcs8_public��packetc��������������������C���r����)�z Decode an SSH format private keyNrm�����r����r����rm���rm���rn�����decode_ssh_private&���r����z�SSHKey.decode_ssh_privatec��������������������C���r����)�z�Decode an SSH format public keyNrm���r����rm���rm���rn�����decode_ssh_public*���r����z�SSHKey.decode_ssh_publicc��������������������C��������t�|�j���|�������S�)�z0Return private key data in OpenSSH binary format)�r2���r������encode_ssh_private��r����rm���rm���rn�����private_data.����������z�SSHKey.private_datac��������������������C���r����)�z/Return public key data in OpenSSH binary format)�r2���r������encode_ssh_publicr����rm���rm���rn�����public_data4���r����z�SSHKey.public_datac��������������������C���s����|�j�d�u�s�J���|�j�j�S�)�z'Return PyCA key for use in X.509 moduleN)�r������pyca_keyr����rm���rm���rn���r����:���s��������z�SSHKey.pyca_key��version��serial� cert_type��key_id�
principals��valid_after��valid_before��cert_options��sig_alg_name��commentr@���c��������������������C���s����t�|�t���r�d�d���|���d���D���}�n�t�|���}�t�|���}�t�|���}�|�|�k�r$t�d�����|
d�k�r.|�j�d���}�n�t�t�|
������}�|�d�k�r=|�� ��}�z�t
|�j�|�f���\�}
}�W�n���t�yT������t
d���d���w�|���|�|
|�|�|�|�|�|�|�| |�|���S�) ��Generate a new SSH certificatec��������������������S���s����g�|�]�}�|�������q�S�rm���)���strip��rw�����prm���rm���rn����
<listcomp>L����������z0SSHKey._generate_certificate.<locals>.<listcomp>��,�5Valid before time must be later than valid after timerm���r����z�Unknown certificate versionN)�ra���re�����split��listro���rk���r����r������encode��get_comment_bytesrW���r������KeyErrorr����r����)�r����r����r����r����r����r����r����r����r����r����r����r������sig_algr������cert_handlerrm���rm���rn�����_generate_certificateA���s0���
��������������������������������
�������������z�SSHKey._generate_certificate��subject��issuer��ca��ca_path_len��purposes��user_principals��host_principals� hash_name��SSHX509Certificatec��������������������C���s����t�s�t�d�����|�j�s�t�d�|�������d�������t�|���}�t�|���}�|�|�k�r#t�d�����|�d�k�r*|�j�}�|
d�k�r2|�����}
t�� |�|�|�|�|�|�|�|�|�| |
|�|�|
��S�)�� Generate a new X.509 certificatez/X.509 certificate generation requires PyOpenSSLz/X.509 certificate generation not supported for z� keysr����rm���)
��_x509_availabler����r�����
get_algorithmro���rk���r����r����r����r����)�r����r����r����r����r����r����r����r����r����r����r����r����r����r����rm���rm���rn�����_generate_x509_certificatel���s,����
������������������������������������������z!SSHKey._generate_x509_certificatec��������������������C��������|�j���d���S�)�z-Return the algorithm associated with this key��ascii��r������decoder����rm���rm���rn���r���������������z�SSHKey.get_algorithmc��������������������C����
���t�|�j���S�)�zSReturn whether a comment is set for this key
:returns: `bool`
��r����r����r����rm���rm���rn�����has_comment���������
�z�SSHKey.has_commentc��������������������C��������|�j�p�|�j�S�)�znReturn the comment associated with this key as a byte string
:returns: `bytes` or `None`
��r����r����r����rm���rm���rn���r��������s������z�SSHKey.get_comment_bytes��utf-8��strict��encoding��errorsc��������������������C��������|�����}�|�r�|���|�|���S�d�S�)�a"���Return the comment associated with this key as a Unicode string
:param encoding:
The encoding to use to decode the comment as a Unicode
string, defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode decode errors
:type encoding: `str`
:type errors: `str`
:returns: `str` or `None`
:raises: :exc:`UnicodeDecodeError` if the comment cannot be
decoded using the specified encoding
N��r����r������r����r����r����r����rm���rm���rn�����get_comment����s��������z�SSHKey.get_commentc��������������������C����$���t�|�t���r�|���|�|���}�|�p�d�|�_�d�S�)�ab���Set the comment associated with this key
:param comment:
The new comment to associate with this key
:param encoding:
The Unicode encoding to use to encode the comment,
defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode encode errors
:type comment: `str`, `bytes`, or `None`
:type encoding: `str`
:type errors: `str`
:raises: :exc:`UnicodeEncodeError` if the comment cannot be
encoded using the specified encoding
N��ra���re���r����r������r����r����r����r����rm���rm���rn�����set_comment���������
�����z�SSHKey.set_commentc��������������������C��������|�j�S�)�z^Return the filename associated with this key
:returns: `bytes` or `None`
)�r����r����rm���rm���rn�����get_filename����s������z�SSHKey.get_filename��filenamec��������������������C���s4���t�|�t���r t�|���}�t�|�t���r�|���d���}�|�p�d�|�_�d�S�)�z�Set the filename associated with this key
:param filename:
The new filename to associate with this key
:type filename: `PurePath`, `str`, `bytes`, or `None`
r����N)�ra���r ���re���r����r����)�r����r����rm���rm���rn�����set_filename����s
���
��
�
���z�SSHKey.set_filenamer����c������������������������s����z�t�|���}�W�n���t�y�������t�d���d���w�|�|�j���}�|�d�k�r3|�������d�����f�d�d���t�d�t�����d���D�����}�n�|�����}�t �
|�����d ��d�d
������d���}�|��
��d���|���S�)�ar���Get the fingerprint of this key
Available hashes include:
md5, sha1, sha256, sha384, sha512
:param hash_name: (optional)
The hash algorithm to use to construct the fingerprint.
:type hash_name: `str`
:returns: `str`
:raises: :exc:`ValueError` if the hash name is invalid
z�Unknown hash algorithmNr������:c��������������������3���s �����|�]�}���|�|�d�������V���q�d�S�)�r[���Nrm���rv�������fprm���rn���rz�������s��������z)SSHKey.get_fingerprint.<locals>.<genexpr>r����r[���r����rs�����=)���_hashesr����rk���r����� hexdigestr}���r~���r�����digestr{���r|���r����r������upper)�r����r������hash_alg��h��fp_text��fpbrm���r����rn�����get_fingerprint����s����������
���
�����&�������z�SSHKey.get_fingerprint��touch_requiredc��������������������C���s
���|�|�_�d�S�)�z7Set whether touch is required when using a security keyN)�r����)�r����r����rm���rm���rn�����set_touch_required����s����
�z�SSHKey.set_touch_requiredc��������������������C���s����|�j�d�u�s�J���|�j���|�|���S�)�z,Return a raw signature of the specified dataN)�r����r����)�r����rq���r����rm���rm���rn�����sign_raw����s��������z�SSHKey.sign_raw�
sig_algorithmc��������������������C���r����)�z3Abstract method to compute an SSH-encoded signaturer������r����rq���r����rm���rm���rn�����sign_ssh%����������z�SSHKey.sign_sshc��������������������C���r����)�z2Abstract method to verify an SSH-encoded signaturer����)�r����rq���r����r����rm���rm���rn����
verify_ssh*���r����z�SSHKey.verify_sshc��������������������C���sB���|���d���r�|�d�d�����}�|�|�j�v�r�t�d�����d���t�|���|���|�|���f���S�)�z5Return an SSH-encoded signature of the specified data�����x509v3-�����Nz Unrecognized signature algorithmr����)��
startswithr����rk���r}���r2���r ���r����rm���rm���rn���r����0���s����
���
���
�
���z�SSHKey.signr����c��������������������C���sF���z�t�|���}�|�����}�|�|�j�v�r�W�d�S�|���|�|�|���W�S���t�y"������Y�d�S�w�)�z<Verify an SSH signature of the specified data using this keyF)�r6����
get_stringr����r"���r5���)�r����rq���r����r����r����rm���rm���rn���r����<���s����������
�����������z
SSHKey.verifyc��������������������C��������t�d�����)�z6Export parameters associated with a PKCS#1 private keyz'PKCS#1 private key export not supported��r����r����rm���rm���rn�����encode_pkcs1_privateJ����������z�SSHKey.encode_pkcs1_privatec��������������������C���r'���)�z5Export parameters associated with a PKCS#1 public keyz&PKCS#1 public key export not supportedr(���r����rm���rm���rn�����encode_pkcs1_publicP���r*���z�SSHKey.encode_pkcs1_publicc��������������������C���r'���)�z6Export parameters associated with a PKCS#8 private keyz'PKCS#8 private key export not supportedr(���r����rm���rm���rn�����encode_pkcs8_privateV���r*���z�SSHKey.encode_pkcs8_privatec��������������������C���r'���)�z5Export parameters associated with a PKCS#8 public keyz&PKCS#8 public key export not supportedr(���r����rm���rm���rn�����encode_pkcs8_public\���r*���z�SSHKey.encode_pkcs8_publicc��������������������C���r'���)�z8Export parameters associated with an OpenSSH private keyz(OpenSSH private key export not supportedr(���r����rm���rm���rn���r����b���r*���z�SSHKey.encode_ssh_privatec��������������������C���r'���)�z7Export parameters associated with an OpenSSH public keyz'OpenSSH public key export not supportedr(���r����rm���rm���rn���r����h���r*���z�SSHKey.encode_ssh_publicc��������������������C���r����)�z-Encode certificate private key data for agentr����r����rm���rm���rn�����encode_agent_cert_privaten���r!���z SSHKey.encode_agent_cert_privatec��������������������C���s&���t�|�j���}�|���|�j�����|���|�j�����|�S�)�a7���Return public key corresponding to this key
This method converts an :class:`SSHKey` object which contains
a private key into one which contains only the corresponding
public key. If it is called on something which is already
a public key, it has no effect.
)���decode_ssh_public_keyr����r����r����r
���r����)�r������resultrm���rm���rn�����convert_to_publics���s����
������z�SSHKey.convert_to_publicr����r���������������T��user_key�
force_command��source_address��permit_x11_forwarding��permit_agent_forwarding��permit_port_forwarding�
permit_pty��permit_user_rcr����c����������������
���C���s����i�}�|�r�|�|�d�<�| r�d�d���| D���|�d�<�|
r�d�|�d�<�|�r�d�|�d�<�|�r%d�|�d�<�|
r+d�|�d <�|�r1d�|�d
<�|�s7d�|�d�<�|���|�|�|�t�|�|�|�|�|�|�|���S�)�a����Generate a new SSH user certificate
This method returns an SSH user certificate with the requested
attributes signed by this private key.
:param user_key:
The user's public key.
:param key_id:
The key identifier associated with this certificate.
:param version: (optional)
The version of certificate to create, defaulting to 1.
:param serial: (optional)
The serial number of the certificate, defaulting to 0.
:param principals: (optional)
The user names this certificate is valid for. By default,
it can be used with any user name.
:param valid_after: (optional)
The earliest time the certificate is valid for, defaulting to
no restriction on when the certificate starts being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param valid_before: (optional)
The latest time the certificate is valid for, defaulting to
no restriction on when the certificate stops being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param force_command: (optional)
The command (if any) to force a session to run when this
certificate is used.
:param source_address: (optional)
A list of source addresses and networks for which the
certificate is valid, defaulting to all addresses.
:param permit_x11_forwarding: (optional)
Whether or not to allow this user to use X11 forwarding,
defaulting to `True`.
:param permit_agent_forwarding: (optional)
Whether or not to allow this user to use agent forwarding,
defaulting to `True`.
:param permit_port_forwarding: (optional)
Whether or not to allow this user to use port forwarding,
defaulting to `True`.
:param permit_pty: (optional)
Whether or not to allow this user to allocate a
pseudo-terminal, defaulting to `True`.
:param permit_user_rc: (optional)
Whether or not to run the user rc file when this certificate
is used, defaulting to `True`.
:param touch_required: (optional)
Whether or not to require the user to touch the security key
when authenticating with it, defaulting to `True`.
:param sig_alg: (optional)
The algorithm to use when signing the new certificate.
:param comment:
The comment to associate with this certificate. By default,
the comment will be set to the comment currently set on
user_key.
:type user_key: :class:`SSHKey`
:type key_id: `str`
:type version: `int`
:type serial: `int`
:type principals: `str` or `list` of `str`
:type force_command: `str` or `None`
:type source_address: list of ip_address and ip_network values
:type permit_x11_forwarding: `bool`
:type permit_agent_forwarding: `bool`
:type permit_port_forwarding: `bool`
:type permit_pty: `bool`
:type permit_user_rc: `bool`
:type touch_required: `bool`
:type sig_alg: `str`
:type comment: `str`, `bytes`, or `None`
:returns: :class:`SSHCertificate`
:raises: | :exc:`ValueError` if the validity times are invalid
| :exc:`KeyGenerationError` if the requested certificate
parameters are unsupported
�
force-commandc��������������������S���s����g�|�]�}�t�|�����q�S�rm���)�r-�����rw�����addrrm���rm���rn���r��������s����������z4SSHKey.generate_user_certificate.<locals>.<listcomp>��source-addressT��permit-X11-forwarding��permit-agent-forwarding��permit-port-forwarding�
permit-pty��permit-user-rc��no-touch-required)�r������CERT_TYPE_USER)�r����r3���r����r����r����r����r����r����r4���r5���r6���r7���r8���r9���r:���r����r����r����r����rm���rm���rn�����generate_user_certificate����s2����Z����������
�������������������������
�����������z SSHKey.generate_user_certificate��host_keyc
�����������
���
���C���s.���| d�k�r�|�����} |���|�|�|�t�|�|�|�|�i�|�| ��S�)�a!���Generate a new SSH host certificate
This method returns an SSH host certificate with the requested
attributes signed by this private key.
:param host_key:
The host's public key.
:param key_id:
The key identifier associated with this certificate.
:param version: (optional)
The version of certificate to create, defaulting to 1.
:param serial: (optional)
The serial number of the certificate, defaulting to 0.
:param principals: (optional)
The host names this certificate is valid for. By default,
it can be used with any host name.
:param valid_after: (optional)
The earliest time the certificate is valid for, defaulting to
no restriction on when the certificate starts being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param valid_before: (optional)
The latest time the certificate is valid for, defaulting to
no restriction on when the certificate stops being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param sig_alg: (optional)
The algorithm to use when signing the new certificate.
:param comment:
The comment to associate with this certificate. By default,
the comment will be set to the comment currently set on
host_key.
:type host_key: :class:`SSHKey`
:type key_id: `str`
:type version: `int`
:type serial: `int`
:type principals: `str` or `list` of `str`
:type sig_alg: `str`
:type comment: `str`, `bytes`, or `None`
:returns: :class:`SSHCertificate`
:raises: | :exc:`ValueError` if the validity times are invalid
| :exc:`KeyGenerationError` if the requested certificate
parameters are unsupported
rm���)�r����r������CERT_TYPE_HOST)
r����rG���r����r����r����r����r����r����r����r����rm���rm���rn�����generate_host_certificate����s�����5��
���������z SSHKey.generate_host_certificate��secureShellClientr����c��������������������C���s"���|���|�|�|�|�|�|�d�d�|�|�d�| |
�
S�)�a�
��Generate a new X.509 user certificate
This method returns an X.509 user certificate with the requested
attributes signed by this private key.
:param user_key:
The user's public key.
:param subject:
The subject name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs.
:param issuer: (optional)
The issuer name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs. If
not specified, the subject name will be used, creating
a self-signed certificate.
:param serial: (optional)
The serial number of the certificate, defaulting to a random
64-bit value.
:param principals: (optional)
The user names this certificate is valid for. By default,
it can be used with any user name.
:param valid_after: (optional)
The earliest time the certificate is valid for, defaulting to
no restriction on when the certificate starts being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param valid_before: (optional)
The latest time the certificate is valid for, defaulting to
no restriction on when the certificate stops being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param purposes: (optional)
The allowed purposes for this certificate or `None` to
not restrict the certificate's purpose, defaulting to
'secureShellClient'
:param hash_alg: (optional)
The hash algorithm to use when signing the new certificate,
defaulting to SHA256.
:param comment: (optional)
The comment to associate with this certificate. By default,
the comment will be set to the comment currently set on
user_key.
:type user_key: :class:`SSHKey`
:type subject: `str`
:type issuer: `str`
:type serial: `int`
:type principals: `str` or `list` of `str`
:type purposes: `str`, `list` of `str`, or `None`
:type hash_alg: `str`
:type comment: `str`, `bytes`, or `None`
:returns: :class:`SSHCertificate`
:raises: | :exc:`ValueError` if the validity times are invalid
| :exc:`KeyGenerationError` if the requested certificate
parameters are unsupported
FNrm�����r����)�r����r3���r����r����r����r����r����r����r����r����r����rm���rm���rn�����generate_x509_user_certificate:���s����
A����������z%SSHKey.generate_x509_user_certificate��secureShellServerc��������������������C���s"���|���|�|�|�|�|�|�d�d�|�d�|�| |
�
S�)�a
��Generate a new X.509 host certificate
This method returns an X.509 host certificate with the requested
attributes signed by this private key.
:param host_key:
The host's public key.
:param subject:
The subject name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs.
:param issuer: (optional)
The issuer name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs. If
not specified, the subject name will be used, creating
a self-signed certificate.
:param serial: (optional)
The serial number of the certificate, defaulting to a random
64-bit value.
:param principals: (optional)
The host names this certificate is valid for. By default,
it can be used with any host name.
:param valid_after: (optional)
The earliest time the certificate is valid for, defaulting to
no restriction on when the certificate starts being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param valid_before: (optional)
The latest time the certificate is valid for, defaulting to
no restriction on when the certificate stops being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param purposes: (optional)
The allowed purposes for this certificate or `None` to
not restrict the certificate's purpose, defaulting to
'secureShellServer'
:param hash_alg: (optional)
The hash algorithm to use when signing the new certificate,
defaulting to SHA256.
:param comment: (optional)
The comment to associate with this certificate. By default,
the comment will be set to the comment currently set on
host_key.
:type host_key: :class:`SSHKey`
:type subject: `str`
:type issuer: `str`
:type serial: `int`
:type principals: `str` or `list` of `str`
:type purposes: `str`, `list` of `str`, or `None`
:type hash_alg: `str`
:type comment: `str`, `bytes`, or `None`
:returns: :class:`SSHCertificate`
:raises: | :exc:`ValueError` if the validity times are invalid
| :exc:`KeyGenerationError` if the requested certificate
parameters are unsupported
FNrm���rK���)�r����rG���r����r����r����r����r����r����r����r����r����rm���rm���rn�����generate_x509_host_certificate����s����
@����������z%SSHKey.generate_x509_host_certificate��ca_keyc
�����������
�������C���s"���|���|�|�|�|�|�|�d�|�d�d�d�|�| �
S�)�a� ��Generate a new X.509 CA certificate
This method returns an X.509 CA certificate with the requested
attributes signed by this private key.
:param ca_key:
The new CA's public key.
:param subject:
The subject name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs.
:param issuer: (optional)
The issuer name in the certificate, expresed as a
comma-separated list of X.509 `name=value` pairs. If
not specified, the subject name will be used, creating
a self-signed certificate.
:param serial: (optional)
The serial number of the certificate, defaulting to a random
64-bit value.
:param valid_after: (optional)
The earliest time the certificate is valid for, defaulting to
no restriction on when the certificate starts being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param valid_before: (optional)
The latest time the certificate is valid for, defaulting to
no restriction on when the certificate stops being valid.
See :ref:`SpecifyingTimeValues` for allowed time specifications.
:param ca_path_len: (optional)
The maximum number of levels of intermediate CAs allowed
below this new CA or `None` to not enforce a limit,
defaulting to no limit.
:param hash_alg: (optional)
The hash algorithm to use when signing the new certificate,
defaulting to SHA256.
:param comment: (optional)
The comment to associate with this certificate. By default,
the comment will be set to the comment currently set on
ca_key.
:type ca_key: :class:`SSHKey`
:type subject: `str`
:type issuer: `str`
:type serial: `int`
:type ca_path_len: `int` or `None`
:type hash_alg: `str`
:type comment: `str`, `bytes`, or `None`
:returns: :class:`SSHCertificate`
:raises: | :exc:`ValueError` if the validity times are invalid
| :exc:`KeyGenerationError` if the requested certificate
parameters are unsupported
TNrm���rK���)
r����rO���r����r����r����r����r����r����r����r����rm���rm���rn�����generate_x509_ca_certificate����s����
=����������z#SSHKey.generate_x509_ca_certificate��openssh�
aes256-cbcr[���������format_name�
passphrase��cipher_name��pbe_version��rounds��ignore_few_roundsc����������������
���C���s����|�d�v�rNt�|�������}�|�d�u�r/|�d�k�r�t�d�����t�|�|�|���\�} }
}�d�| ��d���t���|
��������d���}�n�d�}�|�d k�rL|�j�d
��}�d�|���d���|���t�|�����d
��|���d���}�|�S�|�d�v�r�|�� ��\�}
}�|
t
u�rft�d�|�j�f�|�f���}�n
t�d�|�j�|
f�|�f���}�|�d�u�r|t�|�|�|�|�|���}�|�d�k�r�|�d�u�r�d�}�n�d�}�d�|���d���t�|�����d
��|���d���}�|�S�|�d�k���rrt
��d���}�d�}�d���|�|�|�j�t�|�j�p�d���f���}�|�d�u���r�z�|���d���} t�| ��\�}�}�}�}�}�}�W�n���t�t�f�y�������t�d�|�����d���w�t�s�t�d�����d�}�t
��t���}�d���t�|���t�|���f���}�t�|�t���r�|���d���}�t���|�|�|�|���|�|���}�t�| |�d�|�����|�|�d�������}�t |�d���}�n�d�}�d�} d�}�d�}�d�}�d�}�t!|���|���}�|���r@|�t"t#d�|�d���|���������}�|���rM|��$d�d�|���\�}�}�n�d�}�d���t%t�| ��t�|���t�|���t�|���t�|�j&��t�|���|�f���}�d�t�|�t'����d���S�t�d�����) a����Export a private key in the requested format
This method returns this object's private key encoded in the
requested format. If a passphrase is specified, the key will
be exported in encrypted form.
Available formats include:
pkcs1-der, pkcs1-pem, pkcs8-der, pkcs8-pem, openssh
By default, openssh format will be used.
Encryption is supported in pkcs1-pem, pkcs8-der, pkcs8-pem,
and openssh formats. For pkcs1-pem, only the cipher can be
specified. For pkcs8-der and pkcs-8, cipher, hash and PBE
version can be specified. For openssh, cipher and rounds
can be specified.
Available ciphers for pkcs1-pem are:
aes128-cbc, aes192-cbc, aes256-cbc, des-cbc, des3-cbc
Available ciphers for pkcs8-der and pkcs8-pem are:
aes128-cbc, aes192-cbc, aes256-cbc, blowfish-cbc,
cast128-cbc, des-cbc, des2-cbc, des3-cbc, rc4-40, rc4-128
Available ciphers for openssh format include the following
:ref:`encryption algorithms <EncryptionAlgs>`.
Available hashes include:
md5, sha1, sha256, sha384, sha512
Available PBE versions include 1 for PBES1 and 2 for PBES2.
Not all combinations of cipher, hash, and version are supported.
The default cipher is aes256. In the pkcs8 formats, the default
hash is sha256 and default version is PBES2.
In openssh format, the default number of rounds is 128.
.. note:: The openssh format uses bcrypt for encryption, but
unlike the traditional bcrypt cost factor used in
password hashing which scales logarithmically, the
encryption strength here scales linearly with the
rounds value. Since the cipher is rekeyed 64 times
per round, the default rounds value of 128 corresponds
to 8192 total iterations, which is the equivalent of
a bcrypt cost factor of 13.
:param format_name: (optional)
The format to export the key in.
:param passphrase: (optional)
A passphrase to encrypt the private key with.
:param cipher_name: (optional)
The cipher to use for private key encryption.
:param hash_name: (optional)
The hash to use for private key encryption.
:param pbe_version: (optional)
The PBE version to use for private key encryption.
:param rounds: (optional)
The number of KDF rounds to apply to the passphrase.
:type format_name: `str`
:type passphrase: `str` or `bytes`
:type cipher_name: `str`
:type hash_name: `str`
:type pbe_version: `int`
:type rounds: `int`
:returns: `bytes` representing the exported private key
��� pkcs1-der� pkcs1-pemNr[���z9PKCS#1 DER format does not support private key encryptions!���Proc-Type: 4,ENCRYPTED
DEK-Info: �����,s����
r����r\���s���� PRIVATE KEY�����-----BEGIN �����-----
� ���-----END ��z pkcs8-der� pkcs8-pemr����rb���s����ENCRYPTED PRIVATE KEY�����PRIVATE KEYrQ��������r����r������Unknown cipher: �?OpenSSH private key encryption requires bcrypt with KDF support�����bcryptr��������������nones$���-----BEGIN OPENSSH PRIVATE KEY-----
s"���-----END OPENSSH PRIVATE KEY-----
��Unknown export format)(r"���r)���r����r8���r{�����b2a_hexr����r����r����r,�����OMITr����r9�����os��urandomr}���r����r2���r����r����r'���r������UnicodeEncodeErrorr7�����_bcrypt_available��_OPENSSH_SALT_LENr3���ra���re�����bcryptr����r(�����maxr���r����r~�����encrypt_packet��_OPENSSH_KEY_V1r������_OPENSSH_WRAP_LEN)�r����rT���rU���rV���r����rW���rX���rY���rq�����alg��iv��headers��keytyper�����
pkcs8_data��check��nkeys��key_size��iv_size�
block_size��_r������salt��kdf_datar������cipher��mac��padrm���rm���rn�����export_private_key
���s�����Q��������������������������������
�
�������������������������������������������������
�������������������
�
���������
���
�������������������������
���
�
�������������������������������������������������������z�SSHKey.export_private_keyc��������������������C���s2���|�d�v�r%t�|�������}�|�d�k�r#|�j�d���}�d�|���d���t�|�����d���|���d���}�|�S�|�d�v�rW|�����\�}�}�t�|���}�|�t�u�r@t�|�j�f�|�f���}�n t�|�j�|�f�|�f���}�|�d�k�rUd t�|�����d
��}�|�S�|�d�k�ry|�j�rdd�|�j���}�n�d
}�|�j d���t
��|�j���d�d�������|���d���S�|�d�k�r�|�j�r�d�|�j���d���}�n�d
}�d�|���t�|�j�����d���S�t
d�����)�a����Export a public key in the requested format
This method returns this object's public key encoded in the
requested format. Available formats include:
pkcs1-der, pkcs1-pem, pkcs8-der, pkcs8-pem, openssh, rfc4716
By default, openssh format will be used.
:param format_name: (optional)
The format to export the key in.
:type format_name: `str`
:returns: `bytes` representing the exported public key
rZ���r\���s���� PUBLIC KEYr^���r_���r`���ra���rb���s����-----BEGIN PUBLIC KEY-----
s����-----END PUBLIC KEY-----
rQ�������� r����Nrs���rt�����rfc4716�
���Comment: "�����"
� ���---- BEGIN SSH2 PUBLIC KEY ----
�����---- END SSH2 PUBLIC KEY ----
rj���)�r"���r+���r����r����r-���r ���rl���r����r����r����r{���r|���r����r����)�r����rT���rq���rz���r����r{���r����rm���rm���rn�����export_public_key����sd���������
�
�������������������������������������������������������������������������������������������z�SSHKey.export_public_keyc��������������������O��������t�|�|�j�|�i�|���������d�S�)�a����Write a private key to a file in the requested format
This method is a simple wrapper around :meth:`export_private_key`
which writes the exported key data to a file.
:param filename:
The filename to write the private key to.
:param \*args,\ \*\*kwargs:
Additional arguments to pass through to
:meth:`export_private_key`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
N��r/���r������r����r������argsr����rm���rm���rn�����write_private_key�����������z�SSHKey.write_private_keyc��������������������O���r����)�a����Write a public key to a file in the requested format
This method is a simple wrapper around :meth:`export_public_key`
which writes the exported key data to a file.
:param filename:
The filename to write the public key to.
:param \*args,\ \*\*kwargs:
Additional arguments to pass through to
:meth:`export_public_key`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
N��r/���r����r����rm���rm���rn�����write_public_key����r����z�SSHKey.write_public_keyc��������������������O��������t�|�|�j�|�i�|�����d�����d�S�)�a����Append a private key to a file in the requested format
This method is a simple wrapper around :meth:`export_private_key`
which appends the exported key data to an existing file.
:param filename:
The filename to append the private key to.
:param \*args,\ \*\*kwargs:
Additional arguments to pass through to
:meth:`export_private_key`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
��abNr����r����rm���rm���rn�����append_private_key'����������z�SSHKey.append_private_keyc��������������������O���r����)�a����Append a public key to a file in the requested format
This method is a simple wrapper around :meth:`export_public_key`
which appends the exported key data to an existing file.
:param filename:
The filename to append the public key to.
:param \*args,\ \*\*kwargs:
Additional arguments to pass through to
:meth:`export_public_key`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
r����Nr����r����rm���rm���rn�����append_public_key8���r����z�SSHKey.append_public_keyru�����r����r����)�r����)�r_���r>���)�r����r����rm���r����r2���NNTTTTTTrm���rm���)�r����r����rm���r����r2���rm���rm���)�NNrm���r����r2���rJ���rm���rm���)�NNrm���r����r2���rM���rm���rm���)�NNr����r2���Nrm���rm���)�rQ���NrR���r����r[���rS���F��rQ���)Xr����r����r����r����r����r������__annotations__r����r����r����r������setr����r����r����re���r����r����r����r!���r����r����r����r%���r������classmethodr������objectr����r����r����r����r����r����r6���r����r������propertyr����r����r&���r����rb�����_CertPrincipals��_Time��_OpenSSHCertOptionsr*�����_Commentr������X509CertPurposesr����r����r����r����r����r����r����r����r+���r
���r����r����r����r ���r"���r����r����r)���r+���r����r,���r-���r����r����r.���r1���rF���rI���rL���rN���rP���r)���r����r����r����r����r����r����rm���rm���rm���rn���r>�������sV���
�������������������������������������������������������������������������������������������������������������
�
+����������������������������������������� ���
��,��� � ����������
�������������
���� ���!����
�������
�������������������
���������������������������������������������������������
�������������������� ��� ���
��������
��|������������������������������������������
��?������������������������������������������������������
��I������������������������������������������������������
��G��������������������������������������������
��C��������������������������������������
���<�@������c��������������������@���sB���e�Z�d�Z�d�Z�d�Z�d�Z�d�e�d�e�e���d�e�e���d�e�d�e�d�e f�d d
��Z
e�d�e�d�e�d�e
e�e�����d�e d
d�f
d�d�����Z�d�e�d
e�f�d�d���Z�d
e�f�d�d���Z�d
e�f�d�d���Z�d
e�f�d�d���Z�d
e
e���f�d�d���Z� � �d-d�e�d�e�d
e
e���f�d�d ��Z� � �d-d�e d�e�d�e�d
d!f�d"d#��Z�d.d%e�d
e�f�d&d'��Z� $d.d(e�d%e�d
d!f�d)d*��Z� $d.d(e�d%e�d
d!f�d+d,��Z�d!S�)/r?���z+Parent class which holds an SSH certificateFr����r������host_key_algorithmsr����r����r����c��������������������C���s,���|�|�_�|�|�_�|�|�_�|�|�_�|�|�_�|���|�����d�S�ru���)�r����r����r����r����r����r����)�r����r����r����r����r����r����r����rm���rm���rn���r����P���s����������������z�SSHCertificate.__init__r������key_handlerr_���c��������������������C���r����)��1Construct an SSH certificate from packetized datar������r����r����r����r����r����rm���rm���rn���� construct[����������z�SSHCertificate.construct��otherc��������������������C���s����t�|�t�|�����o�|�j�|�j�k�S�ru���)�ra�����typer����)�r����r����rm���rm���rn�����__eq__c���s������
���z�SSHCertificate.__eq__c��������������������C���r����ru���)���hashr����r����rm���rm���rn�����__hash__g���s����
�z�SSHCertificate.__hash__c��������������������C���r����)�z5Return the algorithm associated with this certificater����r����r����rm���rm���rn���r����j���r����z�SSHCertificate.get_algorithmc��������������������C���r����)�z[Return whether a comment is set for this certificate
:returns: `bool`
r����r����rm���rm���rn���r����o���r����z�SSHCertificate.has_commentc��������������������C���r
���)�z�Return the comment associated with this certificate as a
byte string
:returns: `bytes` or `None`
)�r����r����rm���rm���rn���r����x����������z SSHCertificate.get_comment_bytesr����r����r����r����c��������������������C���s����|�j�r
|�j���|�|���S�d�S�)�a5���Return the comment associated with this certificate as a
Unicode string
:param encoding:
The encoding to use to decode the comment as a Unicode
string, defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode decode errors
:type encoding: `str`
:type errors: `str`
:returns: `str` or `None`
:raises: :exc:`UnicodeDecodeError` if the comment cannot be
decoded using the specified encoding
N)�r����r����)�r����r����r����rm���rm���rn���r��������s������z�SSHCertificate.get_commentNc��������������������C���r����)�aj���Set the comment associated with this certificate
:param comment:
The new comment to associate with this key
:param encoding:
The Unicode encoding to use to encode the comment,
defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode encode errors
:type comment: `str`, `bytes`, or `None`
:type encoding: `str`
:type errors: `str`
:raises: :exc:`UnicodeEncodeError` if the comment cannot be
encoded using the specified encoding
Nr����r����rm���rm���rn���r��������r ���z�SSHCertificate.set_commentrQ���rT���c��������������������C���s����|�j�r�|�d�k�r�t�d�����n�|�d�v�r�t�d�����|�d�k�r�|�j�S�|�d�k�r(d�t�|�j�����d���S�|�d k�rJ|�j�r5d
|�j���}�n�d�}�|�j�d
��t���|�j���d�d
������|���d���S�|�d�k�rf|�j�rYd�|�j���d���}�n�d�}�d�|���t�|�j�����d���S�t�d�����)�a����Export a certificate in the requested format
This function returns this certificate encoded in the requested
format. Available formats include:
der, pem, openssh, rfc4716
By default, OpenSSH format will be used.
:param format_name: (optional)
The format to export the certificate in.
:type format_name: `str`
:returns: `bytes` representing the exported certificate
r����z6RFC4716 format is not supported for X.509 certificates)���der��pemz>DER and PEM formats are not supported for OpenSSH certificatesr����r����s����-----BEGIN CERTIFICATE-----
s����-----END CERTIFICATE-----
rQ���r����r����Nrs���rt���r����r����r����r����rj���)���is_x509r����r����r����r����r����r{���r|���)�r����rT���r����rm���rm���rn�����export_certificate����sJ�����������������������������������������������������������������������������z!SSHCertificate.export_certificater����c��������������������C���s����t�|�|���|�������d�S�)�a����Write a certificate to a file in the requested format
This function is a simple wrapper around export_certificate
which writes the exported certificate to a file.
:param filename:
The filename to write the certificate to.
:param format_name: (optional)
The format to export the certificate in.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:type format_name: `str`
N��r/���r������r����r����rT���rm���rm���rn�����write_certificate����s������z SSHCertificate.write_certificatec��������������������C���s����t�|�|���|���d�����d�S�)�a����Append a certificate to a file in the requested format
This function is a simple wrapper around export_certificate
which appends the exported certificate to an existing file.
:param filename:
The filename to append the certificate to.
:param format_name: (optional)
The format to export the certificate in.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:type format_name: `str`
r����Nr����r����rm���rm���rn�����append_certificate����s������z!SSHCertificate.append_certificater����r����)�r����r����r����r����r�����
is_x509_chainr����r����r>���r����r����r����r6���r����r����r����r����r����r����rb���r����re���r����r����r����r����r����r����r+���r����r����rm���rm���rm���rn���r?���J���sj���������������������������
���
�
�������������������� �
����������
�������������
����7��������
�������������c������������������������sZ���e�Z�d�Z�U�d�Z�d�Z�e�e�d�<�d�Z�e�e�d�<�d�Z�e�e�d�<�d�Z e�e�d�<�i�Z
e�e�d�<�i�Z�e�e�d�<�i�Z
e�e�d <�i�Z�e�e�d
<�d�e�d�e�d
e�d�e�e���d�e�d�e�d�e�d�e�d�e�d�e�d�e�d�e�f���f�d�d���Z�e�d�d�d�e�d�d�d�e�d�e�d�e�d�e�e���d�e�d�e�d�e�d�e�d�e�d�d�f�d�d�����Z�e�d�e�d�e�d�e�e�e�����d�e�d�d�f
d d!����Z�e�d�e�d�e�d�e�d�e�d�e�d�e�d�e�d�e�d"e�d�e�f�d#d$����Z�e�d�e�d�e�e���d�e�f�d%d&����Z�e d�e�d'e�d�e�f�d(d)����Z!e d*e"d�e�f�d+d,����Z#e d-e"d�e�f�d.d/����Z$e d0e"d�e�f�d1d2����Z%e d3e�d�e&f�d4d5����Z'e d�e�d�e�f�d6d7����Z(e d�e�d�e�e)��f�d8d9����Z*e :dCd�e�d;e�d<e&d�e�f�d=d>����Z+d�e�d?e�e���d�d@f�dAdB��Z,����Z-S�)Dr@���z(Class which holds an OpenSSH certificaterm�����_user_option_encoders��_user_extension_encoders��_host_option_encoders��_host_extension_encoders��_user_option_decoders��_user_extension_decoders��_host_option_decoders��_host_extension_decodersr����r����rq���r������options��signing_keyr����r����r����r����r����r����c
�����������
�����������sT���t�����|�|�j�|�j�p�|�f�|�|�|�����|�|�_�|�|�_�|�|�_�|�|�_�|�|�_�| |�_ |
|�_
|�|�_�d�S�ru���)���superr����r����r����r����r����r������_serial�
_cert_type��_key_id��_valid_after�
_valid_before)
r����r����r����rq���r����r����r����r����r����r����r����r����r������� __class__rm���rn���r��������s������
�������������������
�z�SSHOpenSSHCertificate.__init__r>���r����r_���c
�������������������C���s����d���d�d���|�D�����}
|�t�k�r�|���|
|�j���}�|���|
|�j���}�n�|���|
|�j���}�|���|
|�j���}�|�����}�d���t�|���|�� |�|�|�|�|
|�| |�|�� t�|�j
��f���}�|�t�|���|�|�����7�}�|�����}�|�|�|�|�|�|
|�|�|�|�|�| |���S�)�r����r����c��������������������s����������|�]�}�t�|���V���q�d�S�ru�����r2���r����rm���rm���rn���rz���4������������z1SSHOpenSSHCertificate.generate.<locals>.<genexpr>)�r}���rE�����_encode_optionsr����r����r����r����r1���r2�����_encoder����r����)�r����r����r����r����r����r����r����r����r����r����r����r����r������principal_bytesr������cert_extensionsrq���rm���rm���rn���r����,���s:���������������������������������
���������������������
�����z�SSHOpenSSHCertificate.generater����r����c����������������
���C���sl���|�d�u�s�J���|���|�|���\ }�}�}�}�} }
}�}�}
t�|�������}�|�����}�|�����}�|�������|���|�|���s1t�d�����|���|���}�|�����}�z�|���d���}�W�n���t yM������t�d���d���w�t
| ��}�g�} |�rsz |�������d���}�W�n���t yk������t�d���d���w�| ��|�����|�sV|�t�k�r�|��
|�|�j�d���}�|���|��
|
|�j�d�������n�|�t�k�r�|��
|�|�j�d���}�|���|��
|
|�j�d�������n�t�d�����|�|�|�|�| |�|�|�|�|�|
|�|���S�) r����Nz�Invalid certificate signaturer����z�Invalid characters in key IDz$Invalid characters in principal nameTFz�Unknown certificate type)���_decoder/���r&�����get_consumed_payload� check_endr����r����r����r������UnicodeDecodeErrorr6�����appendrE�����_decode_optionsr������updater����rH���r����r����)�r����r����r����r����r����r����r����r����r����r����r����r����r�����
extensionsr����rq���� signaturer������key_id_bytes� principalr����rm���rm���rn���r����R���sb�����
�
�����������������
���������
�����������������������
���� ������������������������������
�����z�SSHOpenSSHCertificate.constructr����c
�����������
�������C���r����)�z�Encode an SSH certificater�����
r����r����r����r����r����r����r����r����r����r����rm���rm���rn���r��������s������z�SSHOpenSSHCertificate._encodec��������������������C���r����)�z�Decode an SSH certificater����)�r����r����r����rm���rm���rn���r��������s������z�SSHOpenSSHCertificate._decode��encodersc��������������������C���sD���g�}�|�D�]�\�}�}�|���|���}�|�r�|���t�|���t�|�|�����������q�d���|���S�)�z(Encode options found in this certificater����)���getr����r2���r}���)�r����r����r0�����name��encoder��valuerm���rm���rn���r��������s��������
�������
�z%SSHOpenSSHCertificate._encode_options��_valuec��������������������C���r����)�z�Encode a boolean option valuer����rm���)�r����rm���rm���rn�����_encode_bool����r����z"SSHOpenSSHCertificate._encode_boolr4���c��������������������C���s����t�t�t�|�����S�)�z�Encode a force-command option)�r2���r����r)���)�r4���rm���rm���rn�����_encode_force_cmd����s������z'SSHOpenSSHCertificate._encode_force_cmdr5���c��������������������C���s����t�d�d���t�t�t���|���D�����S�)�z�Encode a source-address optionc��������������������s���s������|�]
}�t�|�����d���V���q�d�S�)�r����N)�re���r����r<���rm���rm���rn���rz�������s������������z<SSHOpenSSHCertificate._encode_source_addr.<locals>.<genexpr>)�r1���r����r����r,���)�r5���rm���rm���rn�����_encode_source_addr����s����������z)SSHOpenSSHCertificate._encode_source_addr��_packetc��������������������C���r����)�z�Decode a boolean option valueTrm���)�r����rm���rm���rn�����_decode_bool����r����z"SSHOpenSSHCertificate._decode_boolc��������������������C���s*���z�|�������d���W�S���t�y�������t�d���d���w�)�z�Decode a force-command optionr����z�Invalid characters in commandN)�r&���r����r����r������r����rm���rm���rn�����_decode_force_cmd����s
���������
���z'SSHOpenSSHCertificate._decode_force_cmdc���������������� ���C���s2���z
d�d���|�����D���W�S���t�t�f�y�������t�d���d���w�)�z�Decode a source-address optionc��������������������S���s����g�|�] }�t�|���d�������q�S�)�r����)�r-���r����r<���rm���rm���rn���r��������s����������z=SSHOpenSSHCertificate._decode_source_addr.<locals>.<listcomp>z�Invalid source addressN)���get_namelistr����rk���r����r����rm���rm���rn�����_decode_source_addr����s��������������
���z)SSHOpenSSHCertificate._decode_source_addrT��decoders��criticalc��������������������C���sp���t�|���}�i�}�|�r6|�����}�|���|���}�|�r't�|�������}�|�|���|�|���d���<�|�������n
|�r4t�d�|�j�d�d�d���������|�s�|�S�)�z(Decode options found in this certificater����z�Unrecognized critical option: ��replace��r����)�r6���r&���r����r����r����r����)�r����r����r����r����r0���r������decoder��data_packetrm���rm���rn���r��������s������������
�������
�������������z%SSHOpenSSHCertificate._decode_optionsr����Nc��������������������C���sj���|�j�|�k�r t�d�����t�����}�|�|�j�k�r�t�d�����|�|�j�k�r�t�d�����|�d�u�r/|�j�r1|�|�j�v�r3t�d�����d�S�d�S�d�S�)�z�Validate an OpenSSH certificatez�Invalid certificate typez�Certificate not yet validz�Certificate expiredNz�Certificate principal mismatch)�r����rk���rf���r����r����r����)�r����r����r����r`���rm���rm���rn�����validate����s����
�����
���
�����
�������z�SSHOpenSSHCertificate.validate)�T).r����r����r����r����r������_OpenSSHCertEncodersr����r����r����r����r������_OpenSSHCertDecodersr����r����r����r����r>���r����re���r����rb���r����r����r����r����r6���r����r����r����r������_OpenSSHCertParamsr������staticmethodr����r����r����r����r����r����r����r����r,���r����r����r�����
__classcell__rm���rm���r����rn���r@�������s����
������������������������������������������������������������������������������������������������������%
�
������������8���������������������������������������������������
����������������������� ������������"�c��������������������@���s����e�Z�d�Z�d�Z�d�e�j�f�d�e�j�f�f�Z�d�e�j�f�d�e�j�f�d�e�j�f�d�e�j�f�d�e�j�f�d e�j�f�f�Z e�j
e�j�d
��Z�e�j
e�j
e�j
e�j
e�j
e�j
d���Z�e�d�e�d
e�d�e�d�e�d�e�d�e�d�e�d�e�d�e�d�e�f�d�d�����Z�e�d�e�d�e�e���d�e�f�d�d�����Z�d�S�)���SSHOpenSSHCertificateV01z9Encoder/decoder class for version 01 OpenSSH certificatesr;���r>���r?���r@���rA���rB���rC���rD���)�s
���force-commands����source-address)�s����permit-X11-forwardings����permit-agent-forwardings����permit-port-forwardings
���permit-ptys����permit-user-rcs����no-touch-requiredr����r����r����r����r����r����r����r����r����r_���c
�����������
�������C���sR���d���t�t���d�����|�����t�|���t�|���t�|���t�|���t�|���t�|���t�|���t�| ��t�d���f���S�)�z#Encode a version 01 SSH certificater����� ���r����)�r}���r2���rm���rn���r����r4���r3���r����rm���rm���rn���r��������s����������������z SSHOpenSSHCertificateV01._encoder����r����c������������
��� ���C���sp���|�����}�|���|���}�|�����}�|�����}�|�����}�|�����}�|�����} |�����}
|�����}�|�����}�|�����}�|�|�|�|�|�| |
|�|�f S�)�z#Decode a version 01 SSH certificate)�r&���r�����
get_uint64�
get_uint32)
r����r����r����r����r����r����r����r����r����r����r����r����r����rm���rm���rn���r����)���s������
�������������������
�����z SSHOpenSSHCertificateV01._decodeN)�r����r����r����r����r@���r����r����r����r����r����r����r����r����r����r����r����r>���rb���re���r����r����r6���r����r����r����rm���rm���rm���rn���r��������sT����������������������������
������������������� ��������������������������������������r����c������������������������s.���e�Z�d�Z�d�Z�d�Z� �d.d�e�d�d�d�e�f���f�d�d �
Z�d
d�d�e�e ��d�e
d���d
d�f�d�d���Z�e�d�e
d�e�d�e�e�e�����d�e�d
d�f
d�d�����Z�e�d�d�d�d�d�e�d�e�e���d�e�e���d�e�d�e�d�e�d�e�e���d�e�d�e�d e�d!e�d�e�d
d�f�d"d#����Z�e� �d.d$e�d�e�d
d�f�d%d&����Z� ' 'd/d(e�d���d)e�d���d�e�e ��d�e�d*e�d+e�d
d�f�d,d-��Z�����Z�S�)0r����z0Encoder/decoder class for SSH X.509 certificatesTNr����� x509_certr����r����c������������������������sR���t�����d�|�j���|�j�|�j�|�|�j�|�j�p�|�����|�j�|�_�|�j�|�_�|�j�|�_�|�j |�_ |�|�_
d�S�)�Nr#���)�r����r����r����r����rq���r����r����r������issuer_hashr����r����)�r����r����r����r����r����rm���rn���r����C���s������
�������������
�z�SSHX509Certificate.__init__��cert��trusted_cert_paths��trust_storer_���c������������ ���
���C���s����|�j�}�|�D�]>}�d�}�z/ �t�|�|�d���t�|�������}�|�d�7�}�t�d�t�|�����}�|�j�|�j�k�s+|�|�v�r,q
|���|�����|���|�|�|�����q���t t
f�yC������Y�q�w�d�S�)�z:Look up certificates by issuer hash to build a trust storer����T��.r����r����N)�r����r����re���r������read_certificater����r������add��_expand_trust_store��OSErrorr����) r����r����r����r����r������path��idx� cert_path��crm���rm���rn���r ���O���s"�����������������������
�������������z&SSHX509Certificate._expand_trust_storer����r����r����c��������������������C���r����)��7Construct an SSH X.509 certificate from packetized data����RuntimeErrorr����rm���rm���rn���r����h���r����z�SSHX509Certificate.constructr����r>���r����r����r����r����r����r����r����r����r����r����r����c��������������������C���s8���|�����}�t�|�j�|�j�|�|�|�|�|�|�| |
|�|�|
|���}�|�|�|���S�)�r����)�r1���r����r����)�r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����rm���rm���rn���r����p���s�����
��������������
�z�SSHX509Certificate.generaterq���c����������������
���C���sJ���z�t�|���}�t�|�j���}�W�n���t�y���}���z�t�t�|�����d���d�}�~�w�w�|�|�|�|���S�)�z0Construct an SSH X.509 certificate from DER dataN)�r������import_public_keyr����rk���r����re���)�r����rq���r����r����r������excrm���rm���rn�����construct_from_der����s��������������������z%SSHX509Certificate.construct_from_derr������trust_chain�
trusted_certs��user_principal��host_principalc������������ �������C���s`���d�d���|�D���t�|���B�}�|�r |���|�|�|�����|�D�] }�|���|�|�|�����q�|�j���d�d���|�D���|�|�|�����d�S�)��#Validate an X.509 certificate chainc��������������������S���s����h�|�]
}�|�j�|�j�k�r�|���q�S�rm���)�r����r������rw���r����rm���rm���rn���� <setcomp>����s������z4SSHX509Certificate.validate_chain.<locals>.<setcomp>c��������������������S���s����g�|�]�}�|�j���q�S�rm���)�r����r����rm���rm���rn���r��������s������z5SSHX509Certificate.validate_chain.<locals>.<listcomp>N)�r����r ���r����r����) r����r����r����r����r����r����r����r����r����rm���rm���rn�����validate_chain����s������������������������z!SSHX509Certificate.validate_chainru�����r����r����)�r����r����r����r����r����r>���r����r����r����r+���r����r ���r����r6���r����r����r����r����re���rb���r����r����r����r����r����r����r����rm���rm���r����rn���r����>���s������������������������������
���
�
�����������������������������������������������������������������������������������������������������������r����c������������������������s����e�Z�d�Z�d�Z�d�Z�d�e�d�e�e���d�e�e���d�e�f���f�d�d���Z e
d�e�d�e�e���d�e�e���d e�f�d
d�����Z�e�d�e
d�e�d
e�e�e�����d�e�d d�f
d�d�����Z�e�d�e�d���d d�f�d�d�����Z�d�e�d e�f�d�d���Z� � �d�d�e�e���d�e�e���d�e�e���d�e�d�e�d�e�d d�f�d�d���Z�����Z�S�) ��SSHX509CertificateChainz8Encoder/decoder class for an SSH X.509 certificate chainTr������certs��ocsp_responsesr����c������������
�����������sx���|�d���j�}�|���|�|�|���}�t�����|�|�j�|�j�|�|�|�����t�t�t���|���}�|�d���}�|�d���} |�j�|�_�| j |�_ |�j
|�_
|�|�_�|�|�_�d�S�)�Nr����rs���)
r������_public_datar����r����r����r����r����r����r����r����r������_certs��_ocsp_responses)
r����r����r����r ���r����r����rq����
x509_certs�
first_cert� last_certr����rm���rn���r��������s����
�����������������������
�z SSHX509CertificateChain.__init__r_���c��������������������C���sH���t�|���t�t�|�������d���d�d���|�D�������t�t�|�������d���d�d���|�D�������S�)�z!Return the X509 chain public datar����c��������������������s���s������|�]�}�t�|�j���V���q�d�S�ru���)�r2���r����r����rm���rm���rn���rz�������s��������z7SSHX509CertificateChain._public_data.<locals>.<genexpr>c��������������������s���r����ru���r����)�rw�����resprm���rm���rn���rz�������r����)�r2���r3���r���r}���)�r����r����r ���rm���rm���rn���r!�������s����������
�������z$SSHX509CertificateChain._public_datar����r����c������������ �����������s^���������}���f�d�d���t�|���D���}�������}���f�d�d���t�|���D���}���������|�s(t�d�����|�|�|�|�|���S�)�r����c������������������������s����g�|�]�}�t�����������q�S�rm���)���import_certificater&�����rw���r����r����rm���rn���r��������s����������z5SSHX509CertificateChain.construct.<locals>.<listcomp>c������������������������s����g�|�]�}���������q�S�rm���)�r&���r)���r����rm���rn���r��������r����z�No certificates present)�r����r~���r����r����) r����r����r����r����r�����
cert_countr������ocsp_resp_countr ���rm���r����rn���r��������s������
�����������������z!SSHX509CertificateChain.constructr?���c��������������������C���s����|�d���}�|�|�j�|�d�|�������S�)�z:Construct an SSH X.509 certificate chain from certificatesr����rm���)�r����r����)�r����r����r����rm���rm���rn�����construct_from_certs����s��������z,SSHX509CertificateChain.construct_from_certsc��������������������C���s����|���|�|�j�|�j���S�)�z8Adjust public data to reflect chosen signature algorithm)�r!���r"���r#���)�r����r����rm���rm���rn�����adjust_public_data����s������z*SSHX509CertificateChain.adjust_public_datar����r����r�����
revoked_certsr����r����r����Nc��������������������C���sH���|�r�|�j�D�]
}�|�|�v�r�t�d�����q�|�j�d�����|�j�d�d�����|�|�|�|�|�����d�S�)�r����z.Revoked X.509 certificate in certificate chainr����r����N)�r"���rk���r����)�r����r����r����r.���r����r����r����r����rm���rm���rn���r��������s������
���������������z&SSHX509CertificateChain.validate_chainr����)�r����r����r����r����r����r����r����r?���r����r����r����r!���r����r6���r����r����r>���r����r,���r-���r����r+���r����r����re���r����r����rm���rm���r����rn���r��������sT��������������������������������
�
�������������
�������������������������������������r����c��������������������@���s6���e�Z�d�Z�d�Z�d�Z� � � � �d-d�e�d�e�d�e�e���d�e�e���d e�d
e�d�e�e ��d�e�e���d
e
d�e
f�d�d���Z�d�e�f�d�d���Z
e�d�e
f�d�d�����Z�e�d�e
f�d�d�����Z�d�e�f�d�d���Z�d�e�f�d�d���Z�d�e�e���f�d�d���Z� � �d.d e�d!e�d�e�e���f�d"d#��Z� � �d.d
e�d e�d!e�d�d�f�d$d%��Z�d�e d�d�f�d&d'��Z�d�e�d�d�f�d(d)��Z�d*e�d�e�f�d+d,��Z�d�S�)/rA���a7���Parent class which represents an asymmetric key pair
This is an abstract class which provides a method to sign data
with a private key and members to access the corresponding
algorithm and public key or certificate information needed to
identify what key was used for signing.
��unknownNFr����r����r����r����r����r����r����r����r����r����c��������������������C���s����|�|�_�|�|�_�|���|�����|�|�_�|�|�_�| |�_�|
|�_�|�rA|�j�j�|�j�k�r$t d�����|�j
|�_
|�j�r0|�j
|�_�n�|�|�_�|�j
|�_
|�j�|�_�|�j�|�_�d�S�|�|�_
|�|�_�|�|�_
|�|�_�|�|�_�d�S�)�N��Certificate key mismatch)��
key_algorithm��key_public_datar������_certr����r����r����r����r����rk���r����r����r����r����r����)�r����r����r����r����r����r����r����r����r����r����r����rm���rm���rn���r��������s,�������
�������������������
�����������������
�z�SSHKeyPair.__init__r_���c��������������������C���r
���)�z�Return what type of key pair this is
This method returns 'local' for locally loaded keys, and
'agent' for keys managed by an SSH agent.
)�� _key_typer����rm���rm���rn�����get_key_type/���r����z�SSHKeyPair.get_key_typec��������������������C���r����)�z/ Return if this key pair has an associated cert)�r����r3���r����rm���rm���rn�����has_cert9���s����
�z�SSHKeyPair.has_certc��������������������C���s����|�j�r�|�j�j�S�d�S�)�z; Return if this key pair has an associated X.509 cert chainF)�r3���r����r����rm���rm���rn�����has_x509_chain?���r����z�SSHKeyPair.has_x509_chainc��������������������C���r����)�z2Return the algorithm associated with this key pairr����r����r����rm���rm���rn���r����E���r����z�SSHKeyPair.get_algorithmc��������������������C���r'���)��9Return binary encoding of keypair for upload to SSH agentz)Private key export to agent not supported)�r����r����rm���rm���rn�����get_agent_private_keyJ���r*���z SSHKeyPair.get_agent_private_keyc��������������������C���r����)�z~Return the comment associated with this key pair as a
byte string
:returns: `bytes` or `None`
r����r����rm���rm���rn���r����P���s������z�SSHKeyPair.get_comment_bytesr����r����r����r����c��������������������C���r����)�a2���Return the comment associated with this key pair as a
Unicode string
:param encoding:
The encoding to use to decode the comment as a Unicode
string, defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode decode errors
:type encoding: `str`
:type errors: `str`
:returns: `str` or `None`
:raises: :exc:`UnicodeDecodeError` if the comment cannot be
decoded using the specified encoding
Nr����r����rm���rm���rn���r����Z���s��������z�SSHKeyPair.get_commentc��������������������C���r����)�ag���Set the comment associated with this key pair
:param comment:
The new comment to associate with this key
:param encoding:
The Unicode encoding to use to encode the comment,
defaulting to UTF-8
:param errors:
The error handling scheme to use for Unicode encode errors
:type comment: `str`, `bytes`, or `None`
:type encoding: `str`
:type errors: `str`
:raises: :exc:`UnicodeEncodeError` if the comment cannot be
encoded using the specified encoding
Nr����r����rm���rm���rn���r����r���r ���z�SSHKeyPair.set_commentc��������������������C���sX���|�j�j�|�j�k�r�t�d�����|�|�_�|�j�|�_�|�j�r�|�j�|�_�n�|�j�|�_�|�j |�_ |�j
|�_
|�j�|�_�d�S�)�z$Set certificate to use with this keyr0���N)�r����r����r2���rk���r3���r����r����r����r1���r����r����)�r����r����rm���rm���rn�����set_certificate����s��������������
���������z�SSHKeyPair.set_certificatec��������������������C���sb���z�t�|���}�W�n ��t�y�������Y�n�w�|�|�_�|�j�s�|�|�_�d�S�|�j�r/|�|�_�t�d�|�j���}�|���|���|�_ d�S�d�S�)�z4Set the signature algorithm to use when signing datar����N)
rV���r����r����r6���r����r7���r����r3���r-���r����)�r����r����r����rm���rm���rn�����set_sig_algorithm����s������������������
�����������z�SSHKeyPair.set_sig_algorithmrq���c��������������������C���r������z*Sign a block of data with this private keyr����r����rm���rm���rn���r��������r����z�SSHKeyPair.sign)�NNFFr����)�r����r����r����r����r4���r����r����r����r����r?���r����r����re���r5���r����r6���r7���r����r9���r����r����r����r:���r;���r����rm���rm���rm���rn���rA�������sb�������� ����������������������������������������
��'�
�������������
����������
�������������
�������c������������������������s`���e�Z�d�Z�d�Z�d�Z� � �d�d�e�d�e�e���d�e�e���f���f�d�d��
Z�d e f�d
d���Z
d�e d e f�d
d���Z�����Z�S�)���SSHLocalKeyPairz�Class which holds a local asymmetric key pair
This class holds a private key and associated public data
which can either be the matching public key or a certificate
which has signed that public key.
��localNr������pubkeyr����c������������������������s����|�r�|�j�|�j�k�r�t�d�����|�����r�|�����}�n�|�r |�����r |�����}�n
|�r+|�����r+|�����}�n�d�}�t�����|�j�|�j�|�j�|�j�|�j�|�|�|�����|�j |�j
�
��|�|�_�d�S�)�Nz�Public key mismatch)�r����rk���r����r����r����r����r����r����r����r����r����r����)�r����r����r?���r����r����r����rm���rn���r��������s����������
���
���
�����
�������
�z�SSHLocalKeyPair.__init__r_���c��������������������C���s4���|�j�r�t�|�j���|�j�������}�n�|�j�����}�t�|�j���|���S�)�r8���)�r3���r2���r����r����r.���r����r����r����rm���rm���rn���r9�������s������������
���z%SSHLocalKeyPair.get_agent_private_keyrq���c��������������������C���s����|�j���|�|�j���S�r<���)�r����r����r����r����rm���rm���rn���r���������������z�SSHLocalKeyPair.sign��NN)
r����r����r����r����r4���r>���r����r?���r����r����r9���r����r����rm���rm���r����rn���r=�������s������������������������r=���c��������������������C���s����|���d�d���}�t�|���d�k�r�t�d�����t�|���d�k�r�d�}�n�|�d���}�|�d���t�v�r-|�d���t�v�r-t�d�����z
|�d���|�t���|�d�����f�W�S���t�j�yG������t�d���d���w�)�z1Parse an OpenSSH format public key or certificateNr[���z)Invalid OpenSSH public key or certificater����z$Unknown OpenSSH public key algorithmr����)�r����r���r����rT���rU���r{����
a2b_base64��Error)�rq�����liner����rm���rm���rn�����_parse_openssh����s �����������������������������������rE���c��������������������C���s����d�}�d�}�i�}� �|���d�|���d���}�|�r�|�|�|�����n�|�|�d�����}�|�����}�d�|�v�r6|���d�d���\�}�}�|�����|�|�����<�n�n�|�d�k�r=|�n�t�|���}�q�z�|�t���|�|�d�������f�W�S���t�j�y[������t�d���d���w�)�z�Parse a PEM data blockr����NTrt���r���������:z�Invalid PEM data� ��find��rstripr����r����r���r{���rB���rC���r����)�rq�����start��endry���rD�����hdrr����rm���rm���rn����
_parse_pem����s$�����������������������������������
���rM���c��������������������C���s����d�}�d�}�d�}�d�}� �|���d�|���d���}�|�r�|�|�|�����n�|�|�d�����}�|�����}�|�d�d�����d�k�r4|�|�d�d�����7�}�n4|�|�7�}�d |�v�rg|���d d���\�}�}�|�����d
k�rd|�����}�|�d�d�����d�k�rd|�d�d�����d�k�rd|�d�d�����}�d�}�n�n�|�d�k�rn|�n�t�|���}�q z�|�t���|�|�d�������f�W�S���t�j�y�������t�d���d���w�)
z�Parse an RFC 4716 data blockr����Nr����Trt���r����rs��������\rF���s����Comment�����"z�Invalid RFC 4716 datarG���)�rq���rJ���rK���rL���r����rD���r����rm���rm���rn�����_parse_rfc4716� ��s4��������������������������������� �����������������
���rP���rJ�����header��fmtc��������������������C���sb���t���d�|�d�d�������d���|�d�d�������d���t�j�����|�|���}�|�s%t�d�|���d�������|�|�|���������|�����f�S�) z0Match a block of data wrapped in a header/footer�����^N�����s����END�
���s
���[ \t\r\f\v]*$z�Missing z� footer)���re��compile��M��searchr����rJ���rK���)�rq���rJ���rQ���rR���rl���rm���rm���rn�����_match_block> ��s����"�������������������rZ���rz�����publicc������������
�������C���s^���|���d���r�z
t�|���\�}�}�d�|�f�|�f�W�S���t�y�������Y�n�w�d�}�d�}�|�d�k�r�|���d�|���d���}�|�r4|�|�|�����n�|�|�d�����}�|�����}�|���d���rp|���d�|���d ����rp|�d
d�t�|���������������}�t�|�|�|�d���\�}�}�t |���\�}�}�d
|�|�|�f�|�f�S�|�r�|�d�k�r�t�|�|�|�d���\�}�}�d�t
|���|�f�S�z�t�|���} W�n ��t�y�������Y�n
w�d�| |�r�|�f�S�t�|���f�S�|�}�|�d�k�s$d�d�t�|���f�S�)�z=Find the next key/certificate and call the appropriate decode�����0r����r����Nrt���r����r^���r����s����-----������������PEMr����s����---- BEGIN SSH2 PUBLIC KEY ----z�RFC 4716r����rQ���rm���)
r%���r$���r����rH���rI�����endswithr���r����rZ���rM���rP���rE���r����)
rq���rz���r[���r����rK���rJ���rD���r����ry���r����rm���rm���rn�����_match_nextK ��sB���
�������������������������
���������������������������������������ra���r����r������unsafe_skip_rsa_key_validationc��������������������C���sn���t���|���}�|�d�u�r�t�d�|���d���������|���|���}�|�d�u�r&t�d�|���d�����d�������|�d�k�r2t�t�|���|�f���}�|���|���S�)�r����N��Unknown PEM key type: r������Invalid �� private keys����RSA)�rX���r����r����r����r����r����r����r����)�r����r����rb�����handlerr����rm���rm���rn�����_decode_pkcs1_privatex ��s����
���������
�����������������
�rg���c��������������������C���sV���t���|���}�|�d�u�r�t�d�|���d���������|���|���}�|�d�u�r&t�d�|���d�����d�������|���|���S�)�r����Nrc���r����rd����� public key)�rX���r����r����r����r����r����)�r����r����rf���r����rm���rm���rn�����_decode_pkcs1_public� ��s����
���������
�����
�ri���c��������������������C���s����t�|�t���r�t�|���d�k�r�|�d���d�v�r�t�|�d���t���r�d�t�|�d���������k�r&d�k�r�n���t�d
����t�|�d���t���r�t�|�d�����d�k�rA|�d���\�}�}�n |�d���d���t���}�}�t���|���}�|�d�u�rWt�d�����|���|�|�d�����}�|�d�u�rv|�j rl|�j �
d���n�d }�t�d
|���d�������|�t�d���k�r�t�t
|���|�f���}�|���|���S�t�d
����)�r���������r����)�r����r����r����r[���N��Unknown PKCS#8 algorithmr������PKCS#8rd���re���z�1.2.840.113549.1.1.1z�Invalid PKCS#8 private key)�ra�����tupler���r����rl���rY���r����r����r����r����r����r!���r����r����r����)�r����rb���rw���r����rf���r������key_typerm���rm���rn�����_decode_pkcs8_private� ��s0�������������������
���������������������������
���ro���c��������������������C���s����t�|�t���r}t�|���d�k�r}t�|�d���t���r}d�t�|�d���������k�r d�k�r}n���t�d
����t�|�d���t���r}|�d���j�d�k�r}t�|�d�����d�k�rB|�d���\�}�}�n |�d���d���t���}�}�t���|���}�|�d�u�rXt�d�����|�� |�|�d���j
��}�|�d�u�rx|�j�rn|�j���d���n�d�}�t�d�|���d ������|��
|���S�t�d
����)�r����r[���r����r����Nrk���r����rl���rd���rh���z�Invalid PKCS#8 public key)�ra���rm���r���r �����unusedrl���rY���r����r����r����r����r����r����r����)�r����rw���r����rf���r����rn���rm���rm���rn�����_decode_pkcs8_public� ��s.�������������������������
�������������������
���rq���rU���c��������������������C���s������z8|���t���s�t�d�����|�t�t���d�����}�t�|���}�|�����}�|�����}�|�����}�|�����}�|�����}�|�����} |�����}
|�d�k�r;t�d�����|�d�k�r�|�d�u�rGt�d�����z�t�|���\�}�}�}�}�}�}�W�n���t yd������t
d�|���d�������d���w�|�d k�rrt
d
|���d���������t�sxt
d�����t�|���}�|�����}
|�����}�|��
����t�|�t���r�|���d���}�z�t�j�|�|
|�|���|�d
d���}�W�n���t�y�������t
d���d���w�t�|�|�d�|�����|�|�d�������}�|���d�d�| d�|
��}�|�d�u�r�t
d�����|�} t�| ��}�|�����}�|�����}�|�|�k�r�|�d�k�r�t
d���d���t�d�����|�����}�t���|���}�|�s�t�d�����|���|���}�|�����}�|�����}�t�|���d�k���s�|�t�t�d�t�|���d�������k���r t�d�����|�d�k���r-t�t�|���|�f���}�|���|���}�|���|�����|�W�S���t���yF������t�d���d���w�)�z$Decode an OpenSSH format private key�%Unrecognized OpenSSH private key typeNr������Invalid OpenSSH private keyri����=Passphrase must be specified to import encrypted private keysre���r����rg���z
Unknown kdf: rf���r����T)�rY���r����r����z�Incorrect passphrasez%Unknown OpenSSH private key algorithm�����s����ssh-rsa) r%���ru���r����r���r6���r&���r������get_remaining_payloadr'���r����r7���r����rp���r����ra���re���r����rr���r����rk���r(�����decrypt_packetrT���r����r����r����r~���r����r����r����r����r5���)�rq���rU���rb���r����rV���r����r����r}���r����r����r����r~���r���r����rX����
bcrypt_keyr�����
decrypted_key��check1��check2rw���rf���r����r����r����r����rm���rm���rn�����_decode_openssh_private� ��s������
�������������������������������������������������������������������
�
�������
�������������
���������������������
�����
�����
�����*���
�������
�
�����
���r|���c��������������������C���s����z6|���t���s
t�d�����|�t�t���d�����}�t�|���}�|�����}�|�����}�|�����}�|�����}�|�����}�|�d�k�r2t�d�����t�|���W�S���t�yB������t�d���d���w�)�z3Decode public key within OpenSSH format private keyrr���Nr����rs���) r%���ru���r����r���r6���r&���r����r/���r5���)�rq���r����r����r}���r?���rm���rm���rn�����_decode_openssh_public;
��s �����
���������������������
���
���r}���c���������������� ���C���s����|�d�u�r�z�t�|�|���}�W�n ��t�y�������Y�n�w�z�t�|�|���W�S���t�y$������Y�n�w�t�D�]�}�z t�|�|�|���W�����S���t�y;������Y�q'w�t�d�����)�z�Decode a DER format private keyNz�Invalid DER private key)�r;���r7���ro���r����rX���rg���)�r����rU���rb���r����rm���rm���rn�����_decode_der_privateS
��s(���������������������������������
���������r~���c���������������� ���C���sR���z�t�|���W�S���t�y�������Y�n�w�t�D�]�}�z�t�|�|���W�����S���t�y$������Y�q�w�t�d�����)�z�Decode a DER format public keyz�Invalid DER public key)�rq���r����rX���ri���)�r����r����rm���rm���rn�����_decode_der_publics
��s������
���������������������r���r����c��������������������C���s����t���|�|���S�)�z%Decode a DER format X.509 certificate)�r����r����)�rq���r����rm���rm���rn�����_decode_der_certificate�
��s������r����ry���c������������ �������C���s:���|�d�k�r
t�|�|�|���S�|���d���d�k�r[|�d�u�r�t�d�����|���d�d�����d���}�t�|���d k�r,t�d
����|�\�}�}�z�t���|���}�W�n
��t�j�yD������t�d
��d���w�z t�|�|�|�|���}�W�n���t yZ������t�d���d���w�z�t
|���}�W�n���t�ym������t�d���d���w�|�d
k�r�|�d�u�rzt�d�����d�}�z�t�|�|���}�W�n���t y�������t�d���d���w�|�r�t
|�|�|���S�t�|�|���S�)�z�Decode a PEM format private key�����OPENSSHs ���Proc-Types����4,ENCRYPTEDNrt���s����DEK-Infor����r]���r[���z�Invalid PEM encryption paramsz$Unable to decrypt PKCS#1 private keyz�Invalid PEM private keys ���ENCRYPTEDz$Unable to decrypt PKCS#8 private key)�r|���r����r����r����r���r{�����a2b_hexrC���r:���r7���r#���r����r;���rg���ro���) r����ry���rq���rU���rb�����dek_inforw���rx���r����rm���rm���rn�����_decode_pem_private�
��sX�������������������������������
�����������������������
���������������������������������
�r����c��������������������C���s<���z�t�|���}�W�n���t�y�������t�d���d���w�|�r�t�|�|���S�t�|���S�)�z�Decode a PEM format public keyz�Invalid PEM public keyN)�r#���r����r����ri���rq���)�r����rq���r����rm���rm���rn�����_decode_pem_public�
��s����������
�����
���r����c��������������������C���sT���|�d�k�r�z�t�|���\�}�}�|�d�|�����}�W�n���t�y�������t�d���d���w�|�r%t�d�����t���|���S�)�z%Decode a PEM format X.509 certificates����TRUSTEDNz�Invalid PEM trusted certificatez�Invalid PEM certificate)�r$���r����r����r����r����)�r����rq���r����rK���rm���rm���rn�����_decode_pem_certificate�
��s��������������
�������
�r����c������������ �������C���sf���t�|�d���\�}�}�}�|�d�k�r�t�|�d���|�|���}�|�|�f�S�|�d�k�r-|�\�}�}�}�t�|�|�|�|�|���}�|�|�f�S�d�}�|�|�f�S�)�z�Decode a private keyrc���r����r����r����N)�ra���r~���r����) rq���rU���rb���rR�����key_inforK���r����r����ry���rm���rm���rn�����_decode_private�
��s��������
������ ��
�
�����������r����c������������ �������C���s����t�|�d�d�d���\�}�}�}�|�d�k�r�t�|�d�����}�|�|�f�S�|�d�k�r*|�\�}�}�}�t�|�|���}�|�|�f�S�|�d�k�rI|�\�}�}�}�t�|���}�|�|�j�k�r@t�d�����|���|�����|�|�f�S�|�d k�r^|�\�}�}�t�|���}�|���|�����|�|�f�S�t�|�d
��\�}�}�}�|�d�k�rz|�d���d�k�rzt�|�d�����}�|�|�f�S�t�|�d
d���\�}�}�|�r�|�� ��}�|�|�f�S�)�z�Decode a public keys
���PUBLIC KEYT��r[���r����r����r����rQ���z�Public key algorithm mismatchr����rc���r����r[���NF)
ra���r���r����r/���r����r����r����r}���r����r1���) rq���rR���r����rK���r����r����r����r����r����rm���rm���rn�����_decode_public�
��s8�������������
�
�����
���
���
���������
�������������������r����c������������ �������C���s����t�|�d�d�d���\�}�}�}�|�d�k�r�t�|�d�|�������}�|�|�f�S�|�d�k�r,|�\�}�}�}�t�|�|���}�|�|�f�S�|�d�k�rL|�\�}�}�}�|���d���rCt�|�|���}�|�|�f�S�t�|�|���}�|�|�f�S�|�d k�r]|�\�}�}�t�|�|���}�|�|�f�S�d�}�|�|�f�S�)
z�Decode a certificates����CERTIFICATETr����r����Nr����rQ���r#���r����)�ra���r����r����r%�����decode_ssh_certificate) rq���rR���r����rK���r����r����r����r����r����rm���rm���rn�����_decode_certificate"���s*�������������
�
�����
�
�
��
�������
�������r����c��������������������C���s:���g�}�|�r�t�|�|�|���\�}�}�|�r�|���|�����|�|�d�����}�|�s�|�S�)�z�Decode a private key listN)�r����r����)�rq���rU���rb�����keysr����rK���rm���rm���rn�����_decode_private_list?���s����������������
������ r����c��������������������C����6���g�}�|�r�t�|���\�}�}�|�r�|���|�����|�|�d�����}�|�s�|�S�)�z�Decode a public key listN)�r����r����)�rq���r����r����rK���rm���rm���rn�����_decode_public_listR����������������
�������r����c��������������������C���r����)�z�Decode a certificate listN)�r����r����)�rq���r����r����rK���rm���rm���rn�����_decode_certificate_listb���r����r������sk_algrf���r����c��������������������G���s����|�|�f�t�|�<�d�S�)�z%Register a new security key algorithmN)�rZ���)�r����rf���r����rm���rm���rn�����register_sk_algr���r@���r����r������defaultr����c��������������������C���sR���|�s�|�j�}�t���|�����|�r�t���|�����|�t�|�<�|�j�r�|�t�|�j�<�|�j�r'|�t�|�j�<�d�S�d�S�)�z#Register a new public key algorithmN) r����rN�����extendrO���rT���r����rX���r����rY���)�r����rf���r����r����rm���rm���rn�����register_public_key_algx���s��������
���
�����
�������r����r������cert_algorithmr����r����c��������������������C���s@���t���|�����|�r�t���|�����|�|�f�t�|�<�|�t�|�<�|�|�f�t�|�|�f�<�d�S�)�z$Register a new certificate algorithmN)�rP���r����rQ���rU���rV���rW���)�r����r����r����r����r����r����rm���rm���rn�����register_certificate_alg����s����
���
���������r����c��������������������C���s0���t�r�t���|�����|�r�t���|�����d�t�f�t�|�<�d�S�d�S�)�z*Register a new X.509 certificate algorithmN)�r����rR���r����rS���r����rU���)�r����r����rm���rm���rn�����register_x509_certificate_alg����s������
���
�����r����c��������������������C��������t�S�)�z&Return supported public key algorithms)�rN���rm���rm���rm���rn�����get_public_key_algs����r!���r����c��������������������C���r����)�z$Return default public key algorithms)�rO���rm���rm���rm���rn�����get_default_public_key_algs����r!���r����c��������������������C���r����)�z8Return supported certificate-based public key algorithms)�rP���rm���rm���rm���rn�����get_certificate_algs����r!���r����c��������������������C���r����)�z6Return default certificate-based public key algorithms)�rQ���rm���rm���rm���rn�����get_default_certificate_algs����r!���r����c��������������������C���r����)�z>Return supported X.509 certificate-based public key algorithms)�rR���rm���rm���rm���rn�����get_x509_certificate_algs����r!���r����c��������������������C���r����)�z<Return default X.509 certificate-based public key algorithms)�rS���rm���rm���rm���rn����!get_default_x509_certificate_algs����r!���r����c��������������������C���sv���z.t�|���}�|�����}�t���|���}�|�r$|���|���}�|�������|���|���}�|�|�_�|�W�S�t�d�|�j d�d�d�����������t
y:������t�d���d���w�)�z"Decode a packetized SSH public keyz�Unknown key algorithm: r����r����r������Invalid public keyN)�r6���r&���rT���r����r����r����r����r����r����r����r5���)�rq���r����rw���rf���r����r����rm���rm���rn���r/�������s ���������
���
���
�������������
���r/���c���������������� ���C���sj���z&t�|���}�|�����}�t���|�d���\�}�}�|�r�|���|�|�|�|���W�S�t�d�|�j�d�d�d�����������t�t�f�y4������t�d���d���w�)�z#Decode a packetized SSH certificaterA���z�Unknown certificate algorithm: r����r����r����z�Invalid OpenSSH certificateN) r6���r&���rU���r����r����r����r����r5���rk���)�rq���r����r����rw���r����r����rm���rm���rn���r��������s������������������������
���r������alg_namec����������������
���K���st���|���d���}�t���|���}�|�r-z�|�j�|�f�i�|�����}�W�n���t�t�f�y,��}���z�t�t�|�����d���d�}�~�w�w�t�d�|�������|���|�����|�S�)�a����Generate a new private key
This function generates a new private key of a type matching
the requested SSH algorithm. Depending on the algorithm, additional
parameters can be passed which affect the generated key.
Available algorithms include:
ssh-dss, ssh-rsa, ecdsa-sha2-nistp256, ecdsa-sha2-nistp384,
ecdsa-sha2-nistp521, ecdsa-sha2-1.3.132.0.10, ssh-ed25519,
ssh-ed448, sk-ecdsa-sha2-nistp256\@openssh.com,
sk-ssh-ed25519\@openssh.com
For dss keys, no parameters are supported. The key size is fixed at
1024 bits due to the use of SHA1 signatures.
For rsa keys, the key size can be specified using the `key_size`
parameter, and the RSA public exponent can be changed using the
`exponent` parameter. By default, generated keys are 2048 bits
with a public exponent of 65537.
For ecdsa keys, the curve to use is part of the SSH algorithm name
and that determines the key size. No other parameters are supported.
For ed25519 and ed448 keys, no parameters are supported. The key size
is fixed by the algorithms at 256 bits and 448 bits, respectively.
For sk keys, the application name to associate with the generated
key can be specified using the `application` parameter. It defaults
to `'ssh:'`. The user name to associate with the generated key can
be specified using the `user` parameter. It defaults to `'AsyncSSH'`.
When generating an sk key, a PIN can be provided via the `pin`
parameter if the security key requires it.
The `resident` parameter can be set to `True` to request that a
resident key be created on the security key. This allows the key
handle and public key information to later be retrieved so that
the generated key can be used without having to store any
information on the client system. It defaults to `False`.
You can enable or disable the security key touch requirement by
setting the `touch_required` parameter. It defaults to `True`,
requiring that the user confirm their presence by touching the
security key each time they use it to authenticate.
:param alg_name:
The SSH algorithm name corresponding to the desired type of key.
:param comment: (optional)
A comment to associate with this key.
:param key_size: (optional)
The key size in bits for RSA keys.
:param exponent: (optional)
The public exponent for RSA keys.
:param application: (optional)
The application name to associate with the generated SK key,
defaulting to `'ssh:'`.
:param user: (optional)
The user name to associate with the generated SK key, defaulting
to `'AsyncSSH'`.
:param pin: (optional)
The PIN to use to access the security key, defaulting to `None`.
:param resident: (optional)
Whether or not to create a resident key on the security key,
defaulting to `False`.
:param touch_required: (optional)
Whether or not to require the user to touch the security key
when authenticating with it, defaulting to `True`.
:type alg_name: `str`
:type comment: `str`, `bytes`, or `None`
:type key_size: `int`
:type exponent: `int`
:type application: `str`
:type user: `str`
:type pin: `str`
:type resident: `bool`
:type touch_required: `bool`
:returns: An :class:`SSHKey` private key
:raises: :exc:`KeyGenerationError` if the requested key parameters
are unsupported
r����Nz�Unknown algorithm: ) r����rT���r����r����� TypeErrorrk���r����re���r����)�r����r����r����r����rf���r����r����rm���rm���rn�����generate_private_key����s����
V
�����������������
���r����c��������������������C���sR���t�|�t���r�z�|���d���}�W�n���t�y�������t�d���d���w�t�|�|�|���\�}�}�|�r%|�S�t�d�����)�aB���Import a private key
This function imports a private key encoded in PKCS#1 or PKCS#8 DER
or PEM format or OpenSSH format. Encrypted private keys can be
imported by specifying the passphrase needed to decrypt them.
:param data:
The data to import.
:param passphrase: (optional)
The passphrase to use to decrypt the key.
:param unsafe_skip_rsa_key_validation: (optional)
Whether or not to skip key validation when loading RSA private
keys, defaulting to performing these checks unless changed by
calling :func:`set_default_skip_rsa_key_validation`.
:type data: `bytes` or ASCII `str`
:type passphrase: `str` or `bytes`
:type unsafe_skip_rsa_key_validation: bool
:returns: An :class:`SSHKey` private key
r������Invalid encoding for keyN��Invalid private key)�ra���re���r����ro���r����r����)�rq���rU���rb���r����r����rm���rm���rn�����import_private_key_���s����
�������
�����������r����c��������������������C���s0���t�|�|�|���\�}�}�|�r�|�t�|�|�d�������f�S�t�d�����)�z3Import a private key and optional certificate chainNr����)�r������import_certificate_chainr����)�rq���rU���rb���r����rK���rm���rm���rn�����import_private_key_and_certs����s����������������r����c��������������������C����N���t�|�t���r�z�|���d���}�W�n���t�y�������t�d���d���w�t�|���\�}�}�|�r#|�S�t�d�����)�a����Import a public key
This function imports a public key encoded in OpenSSH, RFC4716, or
PKCS#1 or PKCS#8 DER or PEM format.
:param data:
The data to import.
:type data: `bytes` or ASCII `str`
:returns: An :class:`SSHKey` public key
r����r����Nr����)�ra���re���r����ro���r����r����)�rq���r����r����rm���rm���rn���r�������������
�������
�����������r����c��������������������C���r����)�a
���Import a certificate
This function imports an SSH certificate in DER, PEM, OpenSSH, or
RFC4716 format.
:param data:
The data to import.
:type data: `bytes` or ASCII `str`
:returns: An :class:`SSHCertificate` object
r����r����Nz�Invalid certificate)�ra���re���r����ro���r����r����)�rq���r����r����rm���rm���rn���r(�������r����r(���c��������������������C���s"���t�|���}�|�r
t���|���}�|�S�d�}�|�S�)�z!Import an X.509 certificate chainN)�r����r����r,���)�rq���r������chainrm���rm���rn���r��������s��������
�������r����c��������������������C���sb���z�|�������d�d���\�}�}�W�n���t�y�������t�d���d���w�|���d���r-t���|���}�|�r-|�|�����d�����S�t�d�����)�z(Import an X.509 certificate subject nameNr����z%Missing certificate subject algorithmz�x509v3-z�Invalid certificate subject)�r����r����rk���r����r%�����_subject_patternrl���rK���)�rq���r����rl���rm���rm���rn�����import_certificate_subject����s����������
���
�
�������r����r����c��������������������C���s����t�t�|���|�|���}�|���|�����|�S�)�a=���Read a private key from a file
This function reads a private key from a file. See the function
:func:`import_private_key` for information about the formats
supported.
:param filename:
The file to read the key from.
:param passphrase: (optional)
The passphrase to use to decrypt the key.
:param unsafe_skip_rsa_key_validation: (optional)
Whether or not to skip key validation when loading RSA private
keys, defaulting to performing these checks unless changed by
calling :func:`set_default_skip_rsa_key_validation`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:type passphrase: `str` or `bytes`
:type unsafe_skip_rsa_key_validation: bool
:returns: An :class:`SSHKey` private key
)�r����r.���r
���)�r����rU���rb���r����rm���rm���rn�����read_private_key����s
���
�����
���r����c��������������������C���s&���t�t�|���|�|���\�}�}�|���|�����|�|�f�S�)�z=Read a private key and optional certificate chain from a file)�r����r.���r
���)�r����rU���rb���r����r����rm���rm���rn�����read_private_key_and_certs�
��s
���
�����
���r����c��������������������C���s����t�t�|�����}�|���|�����|�S�)�aw���Read a public key from a file
This function reads a public key from a file. See the function
:func:`import_public_key` for information about the formats
supported.
:param filename:
The file to read the key from.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:returns: An :class:`SSHKey` public key
)�r����r.���r
���)�r����r����rm���rm���rn�����read_public_key�
��s������
���r����c��������������������C��������t�t�|�����S�)�a����Read a certificate from a file
This function reads an SSH certificate from a file. See the
function :func:`import_certificate` for information about the
formats supported.
:param filename:
The file to read the certificate from.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:returns: An :class:`SSHCertificate` object
)�r(���r.�����r����rm���rm���rn���r����2
���������r����c��������������������C���s(���t�t�|���|�|���}�|�D�]�}�|���|�����q
|�S�)�a����Read a list of private keys from a file
This function reads a list of private keys from a file. See the
function :func:`import_private_key` for information about the
formats supported. If any of the keys are encrypted, they must
all be encrypted with the same passphrase.
:param filename:
The file to read the keys from.
:param passphrase: (optional)
The passphrase to use to decrypt the keys.
:param unsafe_skip_rsa_key_validation: (optional)
Whether or not to skip key validation when loading RSA private
keys, defaulting to performing these checks unless changed by
calling :func:`set_default_skip_rsa_key_validation`.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:type passphrase: `str` or `bytes`
:type unsafe_skip_rsa_key_validation: bool
:returns: A list of :class:`SSHKey` private keys
)�r����r.���r
���)�r����rU���rb���r����r����rm���rm���rn�����read_private_key_listD
��s����
�����������r����c��������������������C���s$���t�t�|�����}�|�D�]�}�|���|�����q�|�S�)�a����Read a list of public keys from a file
This function reads a list of public keys from a file. See the
function :func:`import_public_key` for information about the
formats supported.
:param filename:
The file to read the keys from.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:returns: A list of :class:`SSHKey` public keys
)�r����r.���r
���)�r����r����r����rm���rm���rn�����read_public_key_listh
��s������������r����c��������������������C���r����)�a����Read a list of certificates from a file
This function reads a list of SSH certificates from a file. See
the function :func:`import_certificate` for information about
the formats supported.
:param filename:
The file to read the certificates from.
:type filename: :class:`PurePath <pathlib.PurePath>` or `str`
:returns: A list of :class:`SSHCertificate` certificates
)�r����r.���r����rm���rm���rn�����read_certificate_list
��r����r����rm�����keylist��certlist��skip_public��ignore_encrypted��loopc��������������������C���s����g�}�t�|���}�d�d���|�D���}�t�|�t�t�f���rSz2t�|���r |�t�|�����} n�|�} |�r1t���| ��r1t���| |���� ��} t
|�| |���}
t�|
��d�k�rC|�g�}�| }�n�|
}�W�n"��t�yR������|�g�}�Y�n�w�t�|�t
t�t�t�f���rct�t�|���g�}�n�|�rg|�n�g�}�|�D���]�}�d�}
d�}�d�}�d�}�d�}�d�}�t�|�t�t�t�f���r�d�}
n t�|�t
��r�|�\�}�}�z\t�|�t�t�f���r�t�|���}�t�|���r�|�|���} n�|�} |�r�t���| ��r�t���| |���� ��} |
r�t�|�| |���\�}�}�|�s�|�d���}�n�t�|�| |���}�|�d���}�n�t�|�t���r�|
r�t�|�|�|���\�}�}�n t�|�|�|���}�n�|�}�W�n"��t���y���}���z�|���s�|���r�t�|�����d ����r�W�Y�d�}�~�qk��d�}�~�w�w�|���r:z�t�|���}�W�n���t�t�t�f���y0��}���z
|�}�d�}�W�Y�d�}�~�n�d�}�~�w�w�|���s9t�t�|���}�n�|���rRz�t�|���}�W�n���t�t�f���yQ������d�}�Y�n�w�d�}�|���r�z�t�|�t�t�f�����ret�|���}�n
t�|�t�����rpt�|���}�n�|�}�W�n���t�t�f���y�������d�}�Y�n�w�d�}�n�d�}�|���r�|���|���s�t�|�t�����r�|�j�}�n�|�j�}�|���|���}�|���r�|�j ��r�t!�"|���}�n�t�|���d�k���r�|�d
��j ��s�|�d
��}�n�t!�"|���}�t�|�t�����r�|���r�|��#|�����|��$|�����qk|���r�|��$t%|�|�|�������|��$t%|�|�������qk|�S�)�a����Load SSH private keys and optional matching certificates
This function loads a list of SSH keys and optional matching
certificates.
When certificates are specified, the private key is added to
the list both with and without the certificate.
:param keylist:
The list of private keys and certificates to load.
:param passphrase: (optional)
The passphrase to use to decrypt the keys, or a `callable` which
takes a filename and returns the passphrase to decrypt it.
:param certlist: (optional)
A list of certificates to attempt to pair with the provided
list of private keys.
:param skip_public: (optional)
An internal parameter used to skip public keys and certificates
when IdentitiesOnly and IdentityFile are used to specify a
mixture of private and public keys.
:param unsafe_skip_rsa_key_validation: (optional)
Whether or not to skip key validation when loading RSA private
keys, defaulting to performing these checks unless changed by
calling :func:`set_default_skip_rsa_key_validation`.
:type keylist: *see* :ref:`SpecifyingPrivateKeys`
:type passphrase: `str` or `bytes`
:type certlist: *see* :ref:`SpecifyingCertificates`
:type skip_public: `bool`
:type unsafe_skip_rsa_key_validation: bool
:returns: A list of :class:`SSHKeyPair` objects
c��������������������S���s����i�|�]�}�|�j�j�|���q�S�rm���)�r����r����)�rw���r����rm���rm���rn����
<dictcomp>�
��s������z!load_keypairs.<locals>.<dictcomp>r����FNT� -cert.pub��.pub�
Passphraser����)&��load_certificatesra���r ���re�����callable��inspect��isawaitable��asyncio��run_coroutine_threadsafer0���r����r���r����rm���r����r>���rA���r������_KeyPairArgr����r����r����r����r%���r����r
�����_KeyArgr����r����r2���r����r����r����r����r,���r:���r����r=���)�r����rU���r����r����r����rb���r����r0�����certdict��resolved_passphrase� priv_keys��keys_to_load��key_to_load��allow_certs�
key_prefix� saved_exc��pubkey_or_certs��pubkey_to_load�
certs_to_loadr����r����r����r?�����pubdatar����rm���rm���rn����
load_keypairs�
��s�����*��������������������������������������������
���������
�����������������
�����������
�������������������������������������
�
���������
�������������������������������� ����������������
�����������������������
���
���������������������������
���
�����
�
�����
�����������r����c���������������� ���C���sX���g�}�t�D�]%\�}�}�|�r)z�t�d�d�|�������}�|���t�|�|�|�d�d�������W�q���t�y(������Y�q�w�q�|�S�)�z<Return a list of default keys from the user's home directory��~��.sshT)�r����)���_DEFAULT_KEY_FILESr�����
expanduserr����r����r
���)�rU���r����r0�����file� conditionr����rm���rm���rn�����load_default_keypairsV���s������������������������������r����c��������������������C���s\���t�|�t�t�f���r�t�|���S�g�}�|�D�]�}�t�|�t�t�f���r�t�|���}�n t�|�t���r&t�|���}�|���|�����q�|�S�)�z�Load public keys
This function loads a list of SSH public keys.
:param keylist:
The list of public keys to load.
:type keylist: *see* :ref:`SpecifyingPublicKeys`
:returns: A list of :class:`SSHKey` objects
)�ra���r ���re���r����r����r����r����r����)�r����r0���r����rm���rm���rn�����load_public_keysi���s�����
��������
�
�������r����c��������������������C���s����g�}�t�D�]#}�t�D�]�}�z�t�t�|�|�d�������}�W�n���t�t�f�y ������Y�q�w�|���|�����q�q�t�D�]#}�t�D�]�}�z�t�t�|�|�d�������}�W�n���t�t�f�yF������Y�q.w�|���|�����q.q*|�S�)�z9Return a list of default host public keys or certificatesr����r����)���_DEFAULT_HOST_KEY_DIRS��_DEFAULT_HOST_KEY_FILESr����r����r
���r����r����r����)�r0�����host_key_dirr����r����r����rm���rm���rn�����load_default_host_public_keys����s(�������������������������������������������r����c��������������������C���s����t�|�t���r�|�g�S�t�|�t�t�t�f���r�|�g�}�g�}�|�D�](}�t�|�t�t�f���r%t�|���}�n�t�|�t���r/t�|���}�n�t�|�t���r8|�g�}�n�|�}�|���|�����q�|�S�)�a����Load certificates
This function loads a list of OpenSSH or X.509 certificates.
:param certlist:
The list of certificates to load.
:type certlist: *see* :ref:`SpecifyingCertificates`
:returns: A list of :class:`SSHCertificate` objects
)�ra���r?���r ���re���r����r����r����r����)�r����r0���r����r����rm���rm���rn���r��������s����
������������
�
�
�
���������r������skip_privatec��������������������C���s����t�|�t�t�t�t�t�f���r�|�g�}�n�|�}�g�}�|�D�]A}�t�|�t�t�f���rCz�t�|���j�}�W�n+��t�yB������z�t |���j�}�W�n
��t�y?������|�r>Y�Y�q���w�Y�n�w�t�|�t�t�f���rN|�j�}�n�|�}�|��
|�����q�|�S�)�z*Load public key and certificate identities)�ra���r����re���r ���r>���r?���r����r����r����r����r����)�r����r�����
identitiesr0�����identityr����rm���rm���rn�����load_identities����s.�������������������������������������������������r����c����������������
���C���s����g�}�t�D�]B\�}�}�|�rFz�t�t�d�d�|�d�������}�W�n���t�t�f�y!������Y�n�w�|���|�j�����z�t�t�d�d�|�d�������}�W�n���t�t�f�y?������Y�q�w�|���|�j�����q�|�S�)�z>Return a list of default public key and certificate identitiesr����r����r����r����)�r����r����r����r
���r����r����r����r����)�r0���r����r����r����r����rm���rm���rn�����load_default_identities����s"�������������������������������������r����z�ssh:)���application��userr������pinr����r����r����c����������������
���C���s����|�r�t�n�d�}�d�}�z�t�|�|�|���}�W�n���t�y#��}���z�t�t�|�����d���d�}�~�w�w�g�}�|�D�]$\�} }
}�}�t�| ��\�}
}�|�|�|�|�|�|�f�7�}�|
��|���}�|���|
����|���|�����q(|�S�)�a����Load keys resident on attached FIDO2 security keys
This function loads keys resident on any FIDO2 security keys
currently attached to the system. The user name associated
with each key is returned in the key's comment field.
:param pin:
The PIN to use to access the security keys, defaulting to `None`.
:param application: (optional)
The application name associated with the keys to load,
defaulting to `'ssh:'`.
:param user: (optional)
The user name associated with the keys to load. By default,
keys for all users are loaded.
:param touch_required: (optional)
Whether or not to require the user to touch the security key
when authenticating with it, defaulting to `True`.
:type application: `str`
:type user: `str`
:type pin: `str`
:type touch_required: `bool`
r����r����N) r<���r=���rk���r����re���rZ���r����r����r����)�r����r����r����r������flags��reserved�
resident_keysr����r0���r����r������public_value�
key_handlerf���r����r����rm���rm���rn�����load_resident_keys����s ���������������������������
�
�����r����)�rp���)�Fru���rA���)�Nrm���FFNN)�Nrm���)�r����r����r{���r����rm���rV���rf���r������hashlibr����r����r����r����r������pathlibr����r �����typingr
���r����r����r
���r����r����r����r����r����r����r������typing_extensionsr������cryptor����r�����
encryptionr������skr����r����r����r����r������ImportErrorrr�����hasattrrp�����asn1r����r ���r!���r"���r#���r$���r%���r&���r'���r(�����miscr)���r*���r+���r,���r-���r.���r/���r0���r����r1���r2���r3���r4���r5���r6�����pber7���r8���r9���r:���r;���r<���r=���r����re���r����rb���rc���r����r�����
_PubKeyAlgMap��_CertAlgMap��_CertSigAlgMap��_CertVersionMap��_PEMMap��_PKCS8OIDMapr����� _SKAlgMapr����r����r����r����r������_IdentityArg��IdentityListArgr�����
KeyListArg��_CertArg��CertListArgr������KeyPairListArgr����r����r����r����rN���r����rO���rP���rQ���rR���rS���rT���rU���rV���rW���rX���rY���rZ���rW���rg���rj����
IGNORECASEr����rE���rH���rl���ru���rq���rv���ro���r����rk���r����r����r����r����r����r>���r?���r@���r����r����r����rA���r=���rE���rM���rP���rZ���r����ra���rg���ri���ro���rq���r|���r}���r~���r���r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r����r/���r����r����r����r����r����r(���r����r����r����r����r����r����r����r����r������AbstractEventLoopr����r����r����r����r����r����r����r����rm���rm���rm���rn�����<module>����s������������������������$�����������������������������������������������������������������������
������������� �����������������������������������������������������������������������������������
�
���������������������������� �
�������������b��C��s�@�h�V��; 1"����%����
�
��
��
��-��������������
���������������
�� ����������������
��d����������������
�� ����������
�������
�����������������
��8������������������
�"��&��
�����������������
�������� ������
�����
�
�������������������
���������������������������
�����
��e������������������
��(������������������
�����������������������������
��"������������������
�������������������������
��$��������������������������������������������
���F����������
��������$��������
��!��������������������