File: //opt/saltstack/salt/lib/python3.10/site-packages/salt/__pycache__/crypt.cpython-310.pyc
o
�����N�g�������������������������@���s����d�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l Z d�d�l
Z
d�d�l�Z�d�d�l�Z�d�d�l
Z
d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�Z�d�d�l�m Z m!Z!m"Z"m#Z#m$Z$m%Z%��z"d�d�l&Z'd�d�l(m)Z)m*Z*��d�d�l+m,Z,m-Z-��d�d�l.m/Z/m0Z0m1Z1��d�Z2W�n���e3y�������d�Z2Y�n�w�e��4e5��Z6d Z7d
Z8d�Z9d�Z:e7��d
e9����Z;e7��d
e:����Z<e8��d
e9����Z=e8��d
e:����Z>e9e:f�Z?e8f�Z@e7f�ZAe;e<f�ZBe=e>f�ZCd�d���ZDd�d���ZEd5d�d���ZFd6d�d���ZGG�d�d���d���ZHG�d�d���d�eH��ZIG�d�d���d�eH��ZJe�jKjLjMd�d�����ZNd�d ��ZOd!d"��ZPd�e=f�d#d$��ZQe=f�d%d&��ZRd5d'd(��ZSd)d*��ZTd+d,��ZUG�d-d.��d.eV��ZWG�d/d0��d0��ZXG�d1d2��d2eX��ZYG�d3d4��d4��ZZd�S�)7z�
The crypt module manages all of the cryptography functions for minions and
masters, encrypting and decrypting payloads, preparing messages, and
authenticating peers
�����N)���AuthenticationError��InvalidKeyError�
MasterExit��SaltClientError��SaltReqTimeoutError��UnsupportedAlgorithm)���hashes�
serialization)���padding��rsa)���Cipher�
algorithms��modesTF��OAEP��PKCS1v15��SHA1��SHA224��-c��������������������C���s����t�r
d�d�l�}�|�j�j�j�j�j�S�d�S�)�Nr����)���HAS_CRYPTOGRAPHYZ,cryptography.hazmat.backends.openssl.backendZ�hazmatZ�backends��opensslZ�backendZ
_fips_enabled)���cryptography��r�����>/opt/saltstack/salt/lib/python3.10/site-packages/salt/crypt.py��fips_enabledY���s������������r����c��������������������C���s����d���|�����������S�)�zH
Clean the key so that it only has unix style line endings (\n)
��
)���join��strip�
splitlines)���keyr����r����r����� clean_key`����������r����c��������������������C���sN���t�j���|�d���}�t�j�j���d�������t���d�����t�j�� |���r(t���d����� �W�d���������d�S�t�j�� |���r?t��
|�t�j���s?t���|�t
j�t
j�B�����t�j�j���|�d����
}�|���d�����W�d���������n�1�sWw�������Y���t���|�t
j�����|�r�z�d�d�l�}�|���|���j�}�t���|�|�d ����W�n���t�t�t�f�y�������Y�n�w�W�d���������d�S�W�d���������d�S�W�d���������d�S�1�s�w�������Y���d�S�)
zR
Set an AES dropfile to request the master update the publish session key
z�.dfn����z�Rotating AES keyz"AES key rotation already requestedN��wb+�����r�������)���os��pathr������salt��utils��files� set_umask��log��info��isfile��access��W_OK��chmod��stat��S_IRUSR��S_IWUSR��fopen��write��pwd��getpwnam��pw_uid��chown��KeyError��ImportError��OSError)�Z�cachedir��userZ�dfn��fp_r6�����uidr����r����r������dropfileg���s6�������
���
�������������������������������������������"�r@��������c����������������
���C���s����t�j���|�|���}�|���d���}�|���d���}�t���|�|���} t�j���|���r�|�S�t���|�t�j���s4t�d�� t�j��
|���t�����������t
j�j���d����L��t
j�j���|�d����4}
|�rZt���|�������}�t�j�j�}�t���rYt�j�j�}�n�t�����}�t�j�j�}�| j�t�j�j�|�|�d���}
|
��|
����W�d���������n�1�s{w�������Y���W�d���������n�1�s�w�������Y���| ����}�t
j�j���|�d�����}
|�j�t�j�j�t�j j!d���}
|
��|
����W�d���������n�1�s�w�������Y���t��"|�d ����|�r�z�d
d�l#}�|��$|���j%}�t��&|�|�d�����t��&|�|�d�����W�|�S���t't(t�f�y�������Y�|�S�w�|�S�)�a����
Generate a RSA public keypair for use with salt
:param str keydir: The directory to write the keypair to
:param str keyname: The type of salt server for whom this key should be written. (i.e. 'master' or 'minion')
:param int keysize: The number of bits in the key
:param str user: The user on the system who should own this keypair
:param str passphrase: The passphrase which should be used to encrypt the private key
:rtype: str
:return: Path on the filesystem to the RSA private key
��.pem��.pubz*Write access denied to "{}" for user "{}".r!���r"�������encoding��format��encryption_algorithmN��rE���rF��������r����r$���))r%���r&���r����r����Z�generate_private_keyr-���r.���r/���r<���rF�����abspath��getpassZ�getuserr'���r(���r)���r*���r4���r ���Z�BestAvailableEncryption��encode�
PrivateFormat��TraditionalOpenSSLr����Z�PKCS8��NoEncryption�
private_bytes��Encoding��PEMr5����
public_key��public_bytes��PublicFormat��SubjectPublicKeyInfor0���r6���r7���r8���r9���r:���r;���)�Z�keydirZ�keyname��keysizer=����
passphrase��e��baseZ�priv��pub��gen��f��enc��_format��pem��pubkeyr6���r?���r����r����r������gen_keys����sh����
�
���������������������������������������������������������������������������������������������������rb���c��������������������@���s0���e�Z�d�Z�e�d�d�����Z�e�d�d�����Z�e�d�d�����Z�d�S�)���BaseKeyc��������������������C����F���|�t�v�r�t�d�|���������|���d�d���\�}�}�|�t�v�r�t�d�|���������t�t�|���S�)�Nz�Invalid signing algorithm: r�����������Invalid padding algorithm: )���VALID_SIGNING_ALGORITHMSr������split��VALID_PADDING_FOR_SIGNING��getattrr
������ algorithmZ�_pad��_hashr����r����r������parse_padding_for_signing�������������������
�z!BaseKey.parse_padding_for_signingc��������������������C���rd���)�N��Invalid encryption algorithm: r����re���rf���)���VALID_ENCRYPTION_ALGORITHMSr����rh�����VALID_PADDING_FOR_ENCRYPTIONrj���r
���rk���r����r����r������parse_padding_for_encryption����ro���z$BaseKey.parse_padding_for_encryptionc��������������������C���s@���d�|�v�r�t�d�|���������|���d�d���\�}�}�|�t�v�r�t�d�����t�t�|���S�)�Nr����rp���re���z�Invalid hashing algorithm)�r����rh�����VALID_HASHES� Exceptionrj���r����rk���r����r����r�����
parse_hash����s��������������
�z�BaseKey.parse_hashN)���__name__�
__module__��__qualname__��staticmethodrn���rs���rv���r����r����r����r����rc�������s��������
���
�����rc���c��������������������@���s6���e�Z�d�Z�d
d�d���Z�d�d���Z�e�f�d�d���Z�e�f�d�d ��Z�d�S�)��
PrivateKeyNc��������������������C���s����t�|�|���|�_�d�S���N)���get_rsa_keyr����)���selfr&���rX���r����r����r������__init__����s������z�PrivateKey.__init__c��������������������C���s2���|�j�j�t�j�j�t�j�j�t�����d���}�t�j j
��|�����|���S�)�NrD���)
r����rP���r ���rQ���rR���rM���rN���rO���r'���r(�����rsax931Z
RSAX931Signer��sign)�r~�����datar`���r����r����r������encrypt����s����������������z�PrivateKey.encryptc��������������������C���sV���|���|���}�|���|���}�z�|�j���t�j�j���|���|���|�����W�S���t�j j
y*������t
d�|���������w�)�N��Unsupported algorithm: )�rn���rv���r����r����r'���r(�����stringutils��to_bytesr�����
exceptionsr������r~���r����rl�����_paddingrm���r����r����r����r��������s����
�
���������������z�PrivateKey.signc��������������������C���s\���|���|���}�|���|���}�z�|�j���|�|�t�j�|���d���|���d�d�����W�S���t�j�j�y-������t�d�|���������w���N��rl���)�Z�mgfrl���Z�labelr����) rs���rv���r������decryptr
�����MGF1r����r����r����r����r����r����r����r��������s����
�
�������������������������z�PrivateKey.decryptr|���) rw���rx���ry���r���r�����
PKCS1v15_SHA1r����� OAEP_SHA1r����r����r����r����r����r{�������s
�����
������
r{���c��������������������@���s4���e�Z�d�Z�d�d���Z�e�f�d�d���Z�e�f�d�d���Z�d�d���Z�d S�)
� PublicKeyc��������������������C���sl���t�j�j���|�d����$}�z
t���|�������|�_�W�n���t�y#��}���z�t d�����d�}�~�w�w�W�d���������d�S�1�s/w�������Y���d�S�)�N��rbz�Invalid key)
r'���r(���r)���r4���r �����load_pem_public_key��readr�����
ValueErrorr����)�r~���r&�����fp��excr����r����r����r�������s��������������������"�z�PublicKey.__init__c��������������������C���sj���|���|���}�|���|���}�t�j�j���|���}�z�|�j���|�|�t�j |���d���|���d�d�����W�S���t
j�j�y4������t�d�|���������w�r����)
rs���rv���r'���r(���r����r����r����r����r
���r����r����r����r����)�r~���r����rl���r����rm���Z�bdatar����r����r����r��������s����
�
���������������������������z�PublicKey.encryptc��������������������C���s^���|���|���}�|���|���}�z�|�j���t�j�j���|���t�j�j���|���|���|�������W�d�S���t�j j
y.������Y�d�S�w�)�NFT)�rn���rv���r������verifyr'���r(���r����r����r����r����Z�InvalidSignature)�r~���r����� signaturerl���r����rm���r����r����r����r����'���s����
�
�����������������������z�PublicKey.verifyc��������������������C���s0���|�j�j�t�j�j�t�j�j�d���}�t�j�j �
|���}�|���|���S�)�NrH���)�r����rT���r ���rQ���rR���rU���rV���r'���r(���r����Z�RSAX931Verifierr����)�r~���r����r`���Z�verifierr����r����r����r����5���s��������������
�z�PublicKey.decryptN) rw���rx���ry���r���r����r����r����r����r����r����r����r����r����r��������s
�������������r����c��������������������C���sb���t���d�����|�r�|�����}�n�d�}�t�j�j���|�d�����}�t�j�|�� ��|�d���W���d���������S�1�s*w�������Y���d�S�)�a����
Load a private key from disk. `timestamp` above is intended to be the
timestamp of the file's last modification. This fn is memoized so if it is
called with the same path and timestamp (the file's last modified time) the
second time the result is returned from the memoization. If the file gets
modified then the params are different and the key is loaded from disk.
z3salt.crypt._get_key_with_evict: Loading private keyNr��������password)
r+�����debugrL���r'���r(���r)���r4���r �����load_pem_private_keyr����)�r&���� timestamprX���r����r]���r����r����r������_get_key_with_evict>���s����
��
�������������$�r����c��������������������C���s"���t���d�����t�|�t�t�j���|�����|���S�)�a=���
Read a private key off the disk. Poor man's simple cache in effect here,
we memoize the result of calling _get_rsa_with_evict. This means the first
time _get_key_with_evict is called with a path and a timestamp the result
is cached. If the file (the private key) does not change then its
timestamp will not change and the next time the result is returned from the
cache. If the key DOES change the next time _get_rsa_with_evict is called
it is called with different parameters and the fn is run fully to retrieve
the key from disk.
z+salt.crypt.get_rsa_key: Loading private key)�r+���r����r������strr%���r&�����getmtime)�r&���rX���r����r����r����r}���S���s����
���r}���c��������������������C���s����t���d�����z#t�j�j���|�d�����}�t���|�������W���d���������W�S�1�s!w�������Y���W�d�S���t y3������t
d�������t�j�j
y?������t
d�����w�)�z)
Read a public key off the disk.
z.salt.crypt.get_rsa_pub_key: Loading public keyr����Nz�Encountered bad RSA public keyz�Unsupported key algorithm)�r+���r����r'���r(���r)���r4���r ���r����r����r����r����r����r����r����)�r&���r����r����r����r������get_rsa_pub_keyb���s����
�������(�����������r����c��������������������C���s����t�|�|�����|�|���S�)�zS
Use Crypto.Signature.PKCS1_v1_5 to sign a message. Returns the signature.
)�r{���r����)�Z�privkey_path��messagerX���rl���r����r����r������sign_messagep���r ���r����c��������������������C���s����t���d�����t�|�����|�|�|���S�)�zu
Use Crypto.Signature.PKCS1_v1_5 to verify the signature on a message.
Returns True for valid signature.
z/salt.crypt.verify_signature: Loading public key)�r+���r����r����r����)���pubkey_pathr����r����rl���r����r����r������verify_signaturew���s����
���r����c������������ �������C���s����t�j�j���|�����}�|�����}�W�d���������n�1�s�w�������Y���t�|�|�|���}�t���|���}�t�j �
|���r.d�S�t���d�t�j �
|���t�j �
|�������t�j �
|���rKt���d�|�����d�S�t�j�j���|�d�����}�|���t�j�j���|�������W�d���������n�1�shw�������Y���t���d�|�����d�S�)�zp
creates a signature for the given public-key with
the given private key and writes it to sign_path
NFz$Calculating signature for %s with %szFSignature file %s already exists, please remove it first and try againr"���z�Wrote signature to %sT)�r'���r(���r)���r4���r����r������binascii�
b2a_base64r%���r&���r-���r+���Z�trace��basenamer5���r����r����) Z priv_path��pub_pathZ sign_pathrX���r>���Z�mpub_64Z�mpub_sigZ�mpub_sig_64Z�sig_fr����r����r�����
gen_signature����s.�����
�����
���������
�
�������������������������r����c��������������������C���s
���|���|���S�)�a����
Generate an M2Crypto-compatible signature
:param Crypto.PublicKey.RSA._RSAobj key: The RSA key object
:param str message: The message to sign
:rtype: str
:return: The signature, or an empty string if the signature operation failed
)�r����)�r����r����r����r����r������private_encrypt����s����
r����c��������������������C���s0���t�j�|�����d�d���}�|���|�t�������}�t�j�j�� |���S�)�Nr����)
r ���r����rL���r����r
���r����r'���r(���r����Z
to_unicode)�Z�rsa_keyZ�pwdatar����r����r����r����r������pwdata_decrypt����s����������������r����c������������������������s\���e�Z�d�Z�d�Z���f�d�d���Z�d�d���Z�d�d���Z�d�d
d���Z�d�d�d
��Z�d�d���Z d�d���Z
d�d���Z�����Z�S�)��
MasterKeysz�
The Master Keys class is used to manage the RSA public key pair used for
authentication by the master.
It also generates a signing key-pair if enabled with master_sign_key_name.
c������������������������s����t���������|�|�_�t�j���|�j�d���d���|�_�t�j���|�j�d���d���|�_�t�j j
��|�j�d���|�j���}�|�j�|�d���|�_
d�|�_�|�d���r�|�d���r�t�j���|�j�d���|�d�����|�_�t�j���|�j���r�t�j j���|�j�����}�t�|�������|�_�W�d���������n�1�sjw�������Y���t���d t�j���|�j���|�j�d�������d�S�t���d
|�j�����t���d�����t���d�����d�S�t�j j
��|�j�d
��|�j���}�t�j���|�j�d���|�d���d�����|�_�t�j���|�j�d���|�d���d�����|�_�|�j�|�d���d���|�_�d�S�d�S�)�N��pki_dirz
master.pubz
master.pem��key_pass)�rX���Z�master_sign_pubkeyZ�master_use_pubkey_signatureZ�master_pubkey_signaturez�Read %s's signature from %szmSigning the master.pub key with a signature is enabled but no signature file found at the defined location %szgThe signature-file may be either named differently or has to be created with 'salt-key --gen-signature're���Z�signing_key_pass��master_sign_key_namerC���rB���)���name)���superr�����optsr%���r&���r����r������rsa_pathr'���r(���Z�sdbZ�sdb_get��_MasterKeys__get_keysr�����
pub_signatureZ�sig_pathr-���r)���r4���r����r����r+���r,���r������error��sys��exit�
pub_sign_path�
rsa_sign_pathZ�sign_key)�r~���r����r����r>������ __class__r����r����r�������sP���
�������������������������������������������������������������������������������z�MasterKeys.__init__c��������������������C���s����|���|�d�������d�S���Nr����)�r���)�r~�����stater����r����r������__setstate__����s������z�MasterKeys.__setstate__c��������������������C���s
���d�|�j�i�S�r����)�r������r~���r����r����r������__getstate__����s����
�z�MasterKeys.__getstate__��masterNc����������������
���C���sN���t�j���|�j�d���|�d�����}�t�j���|���s.t���d�|�|�j�d�������t�|�j�d���|�|�j�d���|�j���d���|�����z�t |�|���}�W�n_��t
yM��}���z�d�|���d���}�W�Y�d�}�~�nUd�}�~�w���t�yd��}���z�d�|���d ��}�W�Y�d�}�~�n>d�}�~�w���t�y{��}���z�d�|���d
��}�W�Y�d�}�~�n'd�}�~�w���t
j�j�y���}���z�d�|���d
��}�W�Y�d�}�~�n�d�}�~�w�w�t���d�|�|�����|�S�t���|�����t�|�����)�z?
Returns a key object for a key in the pki-dir
r����rB���z�Generating %s keys: %srW���r=���z�Unable to read key: z�; file may be corruptNz�; passphrase may be incorrectz$; key contains unsupported algorithmz�Loaded %s key: %s)�r%���r&���r����r������existsr+���r,���rb�����getr{���r����� TypeErrorr����r����r����r����r����r����r����)�r~���r����rX���r&���r����rY���r����r����r����r����Z
__get_keys����s:�����������������
���������������������������������������
���z�MasterKeys.__get_keysc��������������������C���s����t�j���|�j�d���|�d�����}�t�j���|���s=|�j�����}�t�j�j �
|�d�����}�|���|�j�t
j�j�t
j�j�d�������W�d���������n�1�s8w�������Y���t�j�j �
|�����}�t�|�������W���d���������S�1�sUw�������Y���d�S�)�z_
Return the string representation of a public key
in the pki-directory
r����rC���r"���rH���N)�r%���r&���r����r����r-���r����rS���r'���r(���r)���r4���r5���rT���r ���rQ���rR���rU���rV���r����r����)�r~���r����r&���ra���r]���Z�rfhr����r����r������get_pub_str����s��������
�������������������
�$�z�MasterKeys.get_pub_strc��������������������C��������|�j�|�j�f�S�r|���)�r����r����r����r����r����r������get_mkey_paths-����������z�MasterKeys.get_mkey_pathsc��������������������C���r����r|���)�r����r����r����r����r����r������get_sign_paths0���r����z�MasterKeys.get_sign_pathsc��������������������C��������|�j�S�)�z�
returns the base64 encoded signature from the signature file
or None if the master has its own signing keys
)�r����r����r����r����r������pubkey_signature3���s������z�MasterKeys.pubkey_signature)�r����N)�r����)
rw���rx���ry�����__doc__r���r����r����r����r����r����r����r�����
__classcell__r����r����r����r����r��������s�����������;��
�
�������r����c��������������������@���s����e�Z�d�Z�d�Z�e�����Z�i�Z�d4d�d���Z�e d4d�d�����Z
d4d�d���Z�d4d d
��Z�d�d���Z
e�d
d�����Z�e�d�d�����Z�e�d�d�����Z�d�d���Z�d4d�d���Z�e�j�j�j�j�d�d�����Z�e�j�j�j�j�d5d�d�����Z�d�d���Z�d d!��Z�d"d#��Z�d$d%��Z�d6d&d'��Z�d(d)��Z d*d+��Z!d,d-��Z"d6d.d/��Z#d6d0d1��Z$d2d3��Z%d�S�)7� AsyncAuthzP
Set up an Async object to maintain authentication with the salt master
Nc��������������������C���s����|�p t�j�j�j�j�����}�|�t�j�v�r�t�� ��t�j�|�<�t�j�|���}�|��
|���}�|���|���}�|�d�u�rAt��
d�|�����t���|���}�|�j�|�|�d�����|�|�|�<�|�S�t��
d�|�����|�S�)�zC
Only create one instance of AsyncAuth per __key()
Nz!Initializing new AsyncAuth for %s����io_loopz�Re-using AsyncAuth for %s)�r'�����ext��tornado��ioloop��IOLoop��currentr������instance_map��weakref��WeakValueDictionary��_AsyncAuth__keyr����r+���r������object��__new__��__singleton_init__)���clsr����r����Z�loop_instance_mapr������authr����r����r����r����G���s������
���
�
�
�����
�����������z�AsyncAuth.__new__c��������������������C��������|�d���|�d���|�d���f�S���Nr������id�
master_urir������r����r����r����r����r����r������__key_����������������z�AsyncAuth.__keyc��������������������C���s����d�S�r|���r������r~���r����r����r����r����r����r���h���s������z�AsyncAuth.__init__c��������������������C���s����|�|�_�t�j�j���t�������|�_�t�j �
|�j�d���d���|�_�t�j �
|�j�d���d���|�_�|�j�d���d�k�r.d�|�_
n�d�|�_
t�j ��|�j���s<|�������|�pEt�j�j�j�j�����|�_�|���|�j���}�|�t�j�v�rst�j�|���}�|�|�_�t�|�j�|�d�����|�_�t�j�j�j�����|�_�|�j���d ����d
S�|�������d
S�)���
Init an Auth instance
:param dict opts: Options for this server
:return: Auth instance
:rtype: Auth
r�����
minion.pub�
minion.pem��__roleZ�syndic��syndic_master.pub��minion_master.pub��aesTN) r����r'���r(���r����r����� Crypticle��generate_key_string��tokenr%���r&���r����r����r������mpubr-�����get_keysr����r����r����r����r����r����r����r����� creds_map��_creds�
_crypticle�
concurrent��Future��_authenticate_future�
set_result��authenticate)�r~���r����r����r������credsr����r����r����r����l���s$�������������������������
�
�����������z�AsyncAuth.__singleton_init__c��������������������C���s\���|�j�}�|���|�t���|�j�|�����}�|�|�t�|���<�|�j�D�]�}�|�d�v�r�q�t�|�|�t���|�j�|���|�������q�|�S���Nr����)�r����r������copy��deepcopyr����r������__dict__��setattr)�r~�����memor������resultr����r����r����r������__deepcopy__����s����������
���������z�AsyncAuth.__deepcopy__c��������������������C���r����r|���)�r����r����r����r����r����r���������������z�AsyncAuth.credsc��������������������C���r����r|���)�r����r����r����r����r����� crypticle����r����z�AsyncAuth.crypticlec��������������������C���s"���t�|�d���o�|�j�����o�|�j�����d�u�S�)�Nr����)���hasattrr������done� exceptionr����r����r����r�����
authenticated����s
���
���������z�AsyncAuth.authenticatedc��������������������C���s4���|�j�r�|�`�|���|�j���}�|�t�j�v�r�t�j�|�=�d�S�d�S�d�S�r|���)�r����r����r����r����r����r����)�r~���r����r����r����r�����
invalidate����s����������
�������z�AsyncAuth.invalidatec������������������������sb���t���d���r���j�����s���j�}�n�t�j�j�j�����}�|���_���j�� ��j
������d�u�r/����f�d�d���}�|���|�����|�S�)�z�
Ask for this client to reconnect to the origin
This function will de-dupe all calls here and return a *single* future
for the sign-in-- whis way callers can all assume there aren't others
r����Nc������������������������s����|�����}���j�����|�����d�S�r|���)�r����r������add_callback)���future��response����callbackr~���r����r�����
handle_future����s��������z-AsyncAuth.authenticate.<locals>.handle_future)�r����r����r ���r'���r����r����r����r����r����r
����
_authenticateZ�add_done_callback)�r~���r����r����r����r����r����r����r��������s����� ������������������
���z�AsyncAuth.authenticatec������������ �������c���s������|�j�d���}�|�j�d���}�|�s�|�}�d�}�t�j�j�j�j�|�j�d�|�j�d������\}�d�}� �z |�j�|�d���V�}�W�n���t�y@��}���z�|�}�W�Y�d�}�~�nfd�}�~�w�w�|�d�k�r�|�j�� d ��d�u�rRt�d
��}�nP|�j�� d���rm|�j�� d�d���rdt�d
��}�n>t
d
����t���d�����|�r~t
��d�|�����t�j�j�j���|���V���|�|�k�r�|�|�7�}�t
��d�|�����q"|�d�k�r�t
��d�����n�|�d�k�r�t
��d�����n� �t�|�t���r�d�|�v�r�|�j�� d ��d�u�r�t�d���}�z
t�j�|���|�j���=�W�n ��t�y�������Y�n�w�|�s�t�d���}�|�j���|�����n�|���|�j���}�|�t�j�v�r�t
��d�|�����|�t�j�|�<�|�|�_�t�|�j�|�d�����|�_�n!|�j�d���|�d���k���r�t
��d�|�����|�t�j�|�<�|�|�_�t�|�j�|�d�����|�_�|�j�� d�����|�j�� d���d�u���rkt�j!j"j#|�j�� d���|�j�d�d�����}�|��$|�|�d���t�j!j"j%d�d d!������W�d���������n!1���sVw�������Y���W�d���������d�S�W�d���������d�S�W�d���������d�S�W�d���������d�S�1���sw�������Y���d�S�)"�]���
Authenticate with the master, this method breaks the functional
paradigm, it will update the master information from a fresh sign
in, signing in can occur as often as needed to keep up with the
revolving master AES key.
:rtype: Crypticle
:returns: A crypticle used for encryption operations
��acceptance_wait_time��acceptance_wait_time_maxN��clear����cryptr����T����channel��retry��detect_modez�Detect mode is on��caller�
local_masters�PMinion failed to authenticate with the master, has the minion key been accepted?������ Waiting %s seconds before retry.��Authentication wait time is %s��bad enc algozyThis minion is using a encryption algorithm that is not supported by it's Master. Please check your minion configutation.��bad sig algozvThis minion is using a signing algorithm that is not supported by it's Master. Please check your minion configutation.r����z -|RETRY|-z3Attempt to authenticate with the salt master failed��%s Got new master aes key.�$%s The master's aes key has changed.Z�auth_eventsr����F)�r������listen)�r����r����r����r����)���prefix��suffix)&r����r'���r������client��AsyncReqChannel��factoryr������sign_inr����r������printr����r����r+���r,���r����r����r\�����sleepr����r�����
isinstance��dictr����r����r����r:���r����Z
set_exceptionr����r����r����r����r(�����eventZ get_eventZ
fire_eventZ�tagify) r~���r����r����r����r����r����r����r����r3���r����r����r����r��������s������
�
�������
�
�������������������������������������������������
�������������������������������������������������������������������������
���
���������
����������������������������� ����A���S���T$�z�AsyncAuth._authenticate�<���Tre���c������������
���
���c���s4�����|�j���d�d���}�|�d�u�r�|�}�|�j���d�d���}�|�d�u�r�|�}�|�j���d�d���}�|�d�u�r(|�}�d�}�|�s;d�}�t�j�j�j�j�|�j�d�|�j�d���}�|�����} zDz�|�j | |�|�d ��V�}
W�n0��t
y{��}���z$|�rct���d
|�����t�j
j�j���d�����|�j���d���d�u�rst�j
j�j���d�����t�d
����d�}�~�w�w�W�|�r�|�������n�|�r�|�������w�w�|���| |
��}�t�j
j�j���|�����)�����
Send a sign in request to the master, sets the key information and
returns a dict containing the master publish interface to bind to
and the decrypted aes key for transport decryption.
:param int timeout: Number of seconds to wait before timing out the sign-in request
:param bool safe: If True, do not raise an exception on timeout. Retry instead.
:param int tries: The number of times to try to authenticate before giving up.
:raises SaltReqTimeoutError: If the sign-in request has timed out and :param safe: is not set
:return: Return a string on failure indicating the reason for failure. On success, return a dictionary
with the publication port and the shared AES key.
��auth_timeoutN�
auth_safemode�
auth_triesFTr����r��������tries��timeout��SaltReqTimeoutError: %sr����r�����FAttempt to authenticate with the salt master failed with timeout error)�r����r����r'���r����r+���r,���r-���r������minion_sign_in_payload��sendr����r+�����warningr����r����r\���Z�Returnr������close��handle_signin_response)
r~���r;�����safer:���r����r6���r7���r8����
close_channel��sign_in_payload��payloadrY�����retr����r����r����r.���8���sN�����������������������������
�
����������������������������������
������
�������z�AsyncAuth.sign_inc������������ �������C���s����i�}�t�j���|�j�d���|�j���}�|�j�d���|�d�<�t�|�t���r�d�|�v�r%t���d�|�����d�S�t�|�d���t���rRd�|�d���v�rR|�d���d���d�k�rBt���d�|�����d�S�|�d���d���d�k�rRt���d�|�����d�S�|�d���}�|�d ��}�t j
��|���}�d
|�v�r�|�j�|�d�|�v�d���|�d
<�|�d
��s�t��
d�t j�j�|�����t�d�����t�j���|�j�d���|�j���}�t�j���|���r�t�|�|�|�|�j�d���d���s�t��
d�����t�d�����|�d���|�d���k�r�t��
d�����t�d�����d�|�v�r�|�d���s�|�j�d���r�t���d�����d�S�t��
d�����t���t���d�d�������t���t j�j�j�����n�|�d���d�k�r�d�S�t���d�|�j�d�������d�S�|�j���d d�����r!|�j���d!|�j���d"d�����}�|���r t j�j�j�|�|�j�d#��d$��|�k���r |�� |�|�����n#|�j���d"d�����rDt j�j�j�|�|�j�d#��d$��|�j�d"��k���rD|�� |�j�d"��|�����|�d%��|�d%<�|�S�)&Nr����r������loadz�Sign-in attempt failed: %sFrG���r$���r%�����sig��pub_keyr�������
master_pubr����a6���The Salt Master server's public key did not authenticate!
The master may need to be updated if it is a version of Salt lower than %s, or
If you are confident that you are connecting to a valid Salt Master, then remove the master public key and restart the Salt Minion.
The master public key can be found at:
%sz�Invalid master key��signing_algorithmr����z'The payload signature did not validate.z�Invalid signature��noncez#The payload nonce did not validate.z
Invalid nonceZ�rejected_retryz�The Salt Master has rejected this minion's public key.
To repair this issue, delete the public key for this minion on the Salt Master.
The Salt Minion will attempt to re-authenicate.r����z�The Salt Master has rejected this minion's public key!
To repair this issue, delete the public key for this minion on the Salt Master and restart this minion.
Or restart the Salt Master in open mode to clean out the keys. The Salt Minion will now exit.�
����������fullz�The Salt Master has cached the public key for this node, this salt minion will wait for %s seconds before attempting to re-authenticater�����
syndic_master�
syndic_fingerZ
master_finger� hash_type��Z�sum_typeZ�publish_port)!r%���r&���r����r����r����r1���r2���r+���r����r'���rF�����loads�
verify_master��critical��version��__version__r����r����r������timer0�����random��randintr����r������defaultsZ exitcodes� EX_NOPERMr����r(���r�����
pem_finger��_finger_fail) r~���rE���rF���r������m_pub_fnZ�clear_signed_dataZ�clear_signatureZ�master_pubkey_pathrS���r����r����r����rB���o���s������������������������������������������
�����������������������������
�����
�������
����������������
����������������������������
���������������
�������������z AsyncAuth.handle_signin_responsec��������������������C���s����|�j���d�d���}�t�j�j���|�j�d���|�����t�j���|�j ��s3t
��d�|�j�d�������t�|�j�d���d�|�j�d���|�j���d�������t
|�j d���}�t
��d�|�j ����|�S�) z�
Return keypair object for the minion.
:rtype: Crypto.PublicKey.RSA._RSAobj
:return: The RSA keypair
r=�����rootr����z�Generating keys: %sZ�minionrW���Nz�Loaded minion key: %s)�r����r����r'���r(���r����Z�check_path_traversalr%���r&���r����r����r+���r,���rb���r{���r����)�r~���r=���r����r����r����r����r��������s��������������������
���������z�AsyncAuth.get_keysc��������������������C���s����t�|�����|���S�)�z�
Encrypt a string with the minion private key to verify identity
with the master.
:param str clear_tok: A plaintext token to encrypt
:return: Encrypted token
:rtype: str
)�r����r����)�r~���Z clear_tokr����r����r����� gen_token����s����� z�AsyncAuth.gen_tokenc����������������
���C���sL���i�}�d�|�d�<�|�j�d���|�d�<�t�����j�|�d�<�|�j�d���|�d�<�|�j�d���|�d�<�d |�j�v�r@i�}�|�j�d ��D�]
}�|�j�d
����|�d���|�|�<�q.|�|�d <�z�t�j���|�j�d���|�j���}�t |���}�|��
|�j�|�j�d�����|�d
<�W�n%��t�yk������t
��d�����Y�n���t�y���}���z�t
��d�|�����W�Y�d�}�~�n�d�}�~�w�w�t�j�j���|�j�����}�t�|�������|�d�<�W�d���������|�S�1�s�w�������Y���|�S�)�a����
Generates the payload used to authenticate with the master
server. This payload consists of the passed in id_ and the ssh
public key to encrypt the AES key sent back from the master.
:return: Payload dictionary
:rtype: dict
Z�_auth��cmdr����rN���rG���Z�enc_algorM���Z�sig_algo��autosign_grainsZ�grainsNr����r����z�Master public key not foundz#Exception while encrypting token %sr[���)�r������uuidZ�uuid4��hexr����r%���r&���r����r����r����r����r������FileNotFoundErrorr+���r����ru���r'���r(���r)���r4���r����r����r����)�r~���rF���rf���Z�grainr����r[���r����r]���r����r����r����r>�������s:���� ����������
�������������������������������������
�������z AsyncAuth.minion_sign_in_payloadc������������
�������C���s,���|�j���d�d���r�t���d�d���t�����������n�t���d�����|�����}�|�� |�d���|�j�d�����}�d�|�v�rit
j���|�j�d ��|�j���}�t
j��
|���rhz�t�|���}�W�n
��t�yL������Y�d
S�w�t���|�������}�t�j�j���|���}�|�� |�d�����}�|�|�k�rhd
S�n�d
S�t�j�j���|���}�d�|�v�r{|���d���S�d�|�v�r�|�� |�d���|�j�d�����} |�| f�S�|�s�|�d�f�S�d
S�)
af���
This function is used to decrypt the AES seed phrase returned from
the master server. The seed phrase is decrypted with the SSH RSA
host key.
Pass in the encrypted AES key.
Returns the decrypted AES seed key, a string
:param dict payload: The incoming payload. This is a dictionary which may have the following keys:
'aes': The shared AES key
'enc': The format of the message. ('clear', 'pub', etc)
'sig': The message signature
'publish_port': The TCP port which published the message
'token': The encrypted token used to verify the message.
'pub_key': The public key of the sender.
:rtype: str
:return: The decrypted token that was provided, with padding.
:rtype: str
:return: The decrypted AES seed key
Z�auth_trbFz�Auth Called: %s��z%Decrypting the current master AES keyr����rG���rI���r����)�rj���rj���z�_|-r����)�r����r����r+���r@���r����� traceback��format_stackr����r����r����r%���r&���r����r����r����ru�����hashlib��sha256� hexdigestr'���r(���r����r����Z�to_strrh���)
r~���rF���rL���r����Z�key_strZ�m_pathZ�mkey��digestZ�m_digestr����r����r����r������decrypt_aes"���s:�������
���������������������������������������
�������������z�AsyncAuth.decrypt_aesc��������������������C���s����|�j�d���rKt�j���|�j�d���|�j�d���d�����}�t�j���|���r)t�|�|�t���|���|�j�d���d���}�n�t�� d�t�j��
|�������d�S�|�rDt���d�|�j�d���d�������d S�t���d
����d�S�t�� d�����d�S�)�z�
Wraps the verify_signature method so we have
additional checks.
:rtype: bool
:return: Success or failure of public key verification
r����r����rC���rM���r����zkVerification public key %s does not exist. You need to copy it from the master to the minions pki directoryFzTSuccessfully verified signature of master public key with verification public key %sTz(Failed to verify signature of public keyz�Failed to verify the signature of the message because the verification key-pairs name is not defined. Please make sure that master_sign_key_name is defined.)�r����r%���r&���r����r-���r����r�����
a2b_base64r+���r����r����r����)�r~���r����rI���r&�����resr����r����r������verify_pubkey_sig[���s8���
�������������������������
�����������������
�����������z�AsyncAuth.verify_pubkey_sigc����������������
���C���s����za|���|�d���|�d�����rVt���d�|�j�d�������t�j���|�j�d���|�j���}�t�j j
��|�j���d�d�����}�t�j j
j�|�d�|�d�����}�|���t�j j���|�d���������W�d���������W�d S�1�sNw�������Y���W�d S�t���d
|�j�d�������W�d�S���t�yv��}���z t���d�����t�|�����d�}�~�w�w�)
NrJ�����pub_sigz9Received signed and verified master pubkey from master %sr����r����r=���r"���)�r?���TzLReceived signed public-key from master %s but signature verification failed!FzCThere was an error while verifying the masters public-key signature)�rt���r+���r,���r����r%���r&���r����r����r'���r(���r=���Z�get_uidr����r)���Z�fpopenr5���r����r����r����ru���)�r~���rF���rb���r?���Z�wfhZ�sign_excr����r����r������verify_signing_master����s4�����������������������
�������������������������������z�AsyncAuth.verify_signing_masterc��������������������C���st���d�|�v�r�|�j�d���r�d�S�d�|�v�r�|�j�d���s�d�S�d�|�v�r&|�j�d���s&t���d�����d�S�d�|�v�r6|�j�d���r8t���d�����d�S�d�S�d�S�)�a%���
Checks if both master and minion either sign (master) and
verify (minion). If one side does not, it should fail.
:param dict payload: The incoming payload. This is a dictionary which may have the following keys:
'aes': The shared AES key
'enc': The format of the message. ('clear', 'pub', 'aes')
'publish_port': The TCP port which published the message
'token': The encrypted token used to verify the message.
'pub_key': The RSA public key of the sender.
ru�����verify_master_pubkey_signTz�The masters sent its public-key signature, but signature verification is not enabled on the minion. Either enable signature verification on the minion or disable signing the public key on the master!Fz�The master did not send its public-key signature, but signature verification is enabled on the minion. Either disable signature verification on the minion or enable signing the public on the master!N)�r����r+���r����)�r~���rF���r����r����r������check_auth_deps����s�����
����������������������������z�AsyncAuth.check_auth_depsc��������������������C���sh���|�r*z�|���|�|���\�}�}�|�|�j�k�r�t���d�����W�d�S�W�|�S���t�y)������t���d�����Y�d�S�w�|���|�|���\�}�}�|�S�)�ag���
Return the AES key received from the master after the minion has been
successfully authenticated.
:param dict payload: The incoming payload. This is a dictionary which may have the following keys:
'aes': The shared AES key
'enc': The format of the message. ('clear', 'pub', etc)
'publish_port': The TCP port which published the message
'token': The encrypted token used to verify the message.
'pub_key': The RSA public key of the sender.
:rtype: str
:return: The shared AES key received from the master.
z4The master failed to decrypt the random minion tokenrj���)�rq���r����r+���r����ru���)�r~���rF���rL���r����r����r����r����r������extract_aes����s����������
�
���������
���������z�AsyncAuth.extract_aesc��������������������C���s����t�j���|�j�d���|�j���}�t�j���|���}�|�r�|�r�|�j�d���s�t�j�j�� |�����}�t
|�������}�W�d���������n�1�s2w�������Y���|�d���|�k�r^|���|���sDd�S�|�j�d���rW|��
|���rU|�j�|�d�d���S�d�S�t���d ����d�S�|���|���sed�S�|�j�d
��r�|��
|���rt|���|���S�t���d�|�j�d���d
������d�S�|���|���S�|���|���s�d�S�|�j�d���r�|��
|���r�|�j�|�d�d���S�d�S�|�s�t�j�j�� |�d�����}�|���t�j�j���|�d���������W�d���������n�1�s�w�������Y���|�j�|�d�d���S�)�a����
Verify that the master is the same one that was previously accepted.
:param dict payload: The incoming payload. This is a dictionary which may have the following keys:
'aes': The shared AES key
'enc': The format of the message. ('clear', 'pub', etc)
'publish_port': The TCP port which published the message
'token': The encrypted token used to verify the message.
'pub_key': The RSA public key of the sender.
:param bool master_pub: Operate as if minion had no master pubkey when it sent auth request, i.e. don't verify
the minion signature
:rtype: str
:return: An empty string on verification failure. On success, the decrypted AES message in the payload.
r����Z open_modeNrJ���rj���rw���FrK���zfThe master key has changed, the salt master could have been subverted, verify salt master's public keyZ�always_verify_signaturezSThe masters public could not be verified. Is the verification pubkey %s up to date?r����rC���r"���)�r%���r&���r����r����r����r-���r'���r(���r)���r4���r����r����rx���rv���ry���r+���r����r5���r����r����)�r~���rF���rL���rb���Z�m_pub_existsr>���Z�local_master_pubr����r����r����rW�������sN�����������������
���
�
�������������
���
�
�
�����������
�
���
�
���������������z�AsyncAuth.verify_masterc��������������������C���s0���t���d�|�t�j�j�j�|�|�j�d���d�������t���d�����d�S�)�Na ���The specified fingerprint in the master configuration file:
%s
Does not match the authenticating master's key:
%s
Verify that the configured fingerprint matches the fingerprint of the correct master and that this minion is not subject to a man-in-the-middle attack.rT���rU����*���) r+���rX���r'���r(���r����r`���r����r����r����)�r~���Z�fingerZ
master_keyr����r����r����ra���1���s��������������� z�AsyncAuth._finger_failr|�����r4���Tre���N)�T)&rw���rx���ry���r����r������WeakKeyDictionaryr����r����r������classmethodr����r���r����r������propertyr����r����r����r����r����r'���r����r����r\���� coroutiner����r.���rB���r����rd���r>���rq���rt���rv���rx���ry���rW���ra���r����r����r����r����r����;���sB�����������
�����
�
����
���
���
���
�
�
�
l���6�o����
"�9�-��
&
��Mr����c������������������������sx���e�Z�d�Z�d�Z�e�����Z�d�d�d���Z�e�d�d�d�����Z d���f�d�d�� Z
d�d d
��Z�e�d�d�����Z
e�d
d�����Z�d�d�d���Z�d�d�d���Z�����Z�S�)���SAuthzJ
Set up an object to maintain authentication with the salt master
Nc��������������������C���s\���|���|���}�t�j���|���}�|�d�u�r&t���d�|�����t���|���}�|���|�����|�t�j�|�<�|�S�t���d�|�����|�S�)�z?
Only create one instance of SAuth per __key()
Nz�Initializing new SAuth for %sz�Re-using SAuth for %s) ��_SAuth__keyr����� instancesr����r+���r����r����r����r����)�r����r����r����r����r����r����r����r����r����G���s����
�������
�
�
�������z
SAuth.__new__c��������������������C���r����r����r����r����r����r����r����r����V���r����z�SAuth.__keyc������������������������s����t���j�|�|�d�����d�S�r����)�r����r���r����r����r����r����r���_���s������z�SAuth.__init__c��������������������C���s����|�|�_�t�j�j���t�������|�_�t�j �
|�j�d���d���|�_�t�j �
|�j�d���d���|�_�d�|�_
d�|�j�v�r/d�|�_�n�d�|�j�v�r8d�|�_�n�d |�_�t�j ��|�j���sH|�������d�S�d�S�)
r����r����r����r����NrR���r����Z�alert_masterz�monitor_master.pubr����)�r����r'���r(���r����r����r����r����r����r%���r&���r����r����r����r����r����r-���r����r����r����r����r����r����c���s��������������
���
�����������z�SAuth.__singleton_init__c��������������������C��������t�|�d���s |�������|�j�S�)�Nr����)�r����r����r����r����r����r����r����r����y��������
�����z�SAuth.credsc��������������������C���r����)�Nr����)�r����r����r����r����r����r����r����r�������r����z�SAuth.crypticlec��������������������C���sd���|�j�d���}�|�j�d���}�|�s�|�}�t�j�j�j�j�|�j�d�d�����}� �|�j�|�d���}�|�d�k�r\|�j���d���r@|�j���d d
��r7t�d���}�n&t d�����t
��d�����|�rMt��
d
|�����t���|�����|�|�k�r[|�|�7�}�t���d�|�����q� �|�j�d
u�rut���d�|�����|�|�_�t�|�j�|�d�����|�_�n+|�j�d���|�d���k�r�t���d�|�����|�|�_�t�|�j�|�d�����|�_�W�d
��������d
S�W�d
��������d
S�W�d
��������d
S�1�s�w�������Y���d
S�)�r����r����r����r������r����Tr����r����r����r����Nr ���r!���r"���r#���r&���r����r'���)�r����r'���r����r+����
ReqChannelr-���r.���r����r����r/���r����r����r+���r,���r[���r0���r����r����r����r����r����)�r~�����_r����r����r����r����r����r����r����r����r��������s\���
�����
�������������������������������
���������
���������������
������������������&���%"�z�SAuth.authenticater4���Tre���c����������������
���C���s4���i�}�|�j���d�d���}�|�d�u�r�|�}�|�j���d�d���}�|�d�u�r�|�}�|�j���d�d���}�|�d�u�r)|�}�t�j���|�j�d���|�j���} |�j�d���|�d�<�d�}
|�sLd�}
t�j�j�j j
|�j�d d
��}�|�����}�z;z
|�j�|�|�|�d���}�W�n(��t
y���}
��z�|�r{t���d�|
����W�Y�d�}
~
W�|
ry|�������d
S�d
S�t�d�����d�}
~
w�w�W�|
r�|�������n�|
r�|�������w�w�|���|�|���S�)�r5���r6���Nr7���r8���r����r����FTr����r����r9���r<���r����r=���)�r����r����r%���r&���r����r����r'���r����r+���r����r-���r>���r?���r����r+���r@���rA���r����rB���)�r~���r;���rC���r:���r����r����r6���r7���r8���rb���rD���rE���rF���rY���r����r����r����r.�������sN�������������������������������������������������������������������� ������
�����z
SAuth.sign_inr|���r{���)�rw���rx���ry���r����r����r����r����r����r}���r����r���r����r~���r����r����r����r.���r����r����r����r����r����r����?���s����������
�������
���
���
�
��9r����c��������������������@���sj���e�Z�d�Z�d�Z�d�Z�d�Z�e�����j�Z d�d�d���Z
e�d�d�d ����Z�e�d
d�����Z
d�d
��Z�d�d���Z�d�d�d���Z�d�d�d���Z�d�S�)�r����zn
Authenticated encryption class
Encryption algorithm: AES-CBC
Signing algorithm: HMAC-SHA256
s����pickle::���������r����c��������������������C���s&���|�|�_�|���|�j�|���|�_�|�|�_�|�|�_�d�S�r|���)��
key_string��extract_keys��keys��key_size��serial)�r~���r����r����r����r����r����r����r����r�������s����������
�z�Crypticle.__init__c��������������������C���s4���t���|�d���|�j�����}�t���|���}�|���d���}�|���d�d���S�)�N�����z�utf-8r����rj���)�r%�����urandom��SIG_SIZE��base64� b64encode��decode��replace)�r����r����r����Z�b64keyr����r����r����r��������s������
�
���z�Crypticle.generate_key_stringc��������������������C���sR���t�j�j���t���|�����}�t�|���|�d���|�j���k�s�J�d�����|�d�|�j�������|�|�j���d�����f�S�)�Nr����z�invalid key)�r'���r(���r����r����r����� b64decode��lenr����)�r����r����r����r����r����r����r����r��������s�������� �z�Crypticle.extract_keysc������������
�������C���s����|�j�\�}�}�|�j�t�|���|�j�����}�|�t�j�j���|�t�|���������}�t�� |�j���}�t
t���|���t
��|�����}�|�����}�|���|���}�|�|�����7�}�|�|���}�t���|�|�t�j�������} |�| ��S�)�zH
encrypt data with AES-CBC and sign it with HMAC-SHA256
)�r������AES_BLOCK_SIZEr����r'���r(���r����r������chrr%���r����r����r
�����AESr������CBC� encryptor��update��finalize��hmac��newrm���rn���rp���)
r~���r������aes_key��hmac_key��pad��iv_bytes��cipherr����Z�encrrI���r����r����r����r��������s����
�����������
���������z�Crypticle.encryptc��������������������C���s����|�j�\�}�}�|�|�j���d�����}�|�d�|�j�������}�t�|�t���s!t�j�j���|���}�t�� |�|�t
j�������}�t
|���t
|���k�r<t���d�����t�d�����d�}�t�|�|���D�]
\�}�}�|�|�|�A�O�}�qC|�d�k�r[t���d�����t�d�����|�d�|�j�����} |�|�j�d�����}�t�t���|���t���| ����}
|
����}�|���|���|�������}�|�d�|�d���������S�)�zL
verify HMAC-SHA256 signature and decrypt data with AES-CBC
Nz�Failed to authenticate messagez�message authentication failedr����r$���)�r����r����r1�����bytesr'���r(���r����r����r����r����rm���rn���rp���r����r+���r����r������zipr����r����r
���r����r����r����� decryptorr����r����)�r~���r����r����r����rI���Z mac_bytesr����Z�zipped_xZ�zipped_yr����r����r����r����r����r����r����$���s*���
�����
�������
�����������
���������������z�Crypticle.decryptNc��������������������C���s<���|�r�|�j�|�������t�j���|�����}�n |�j�t�j���|�����}�|���|���S�)�z7
Serialize and encrypt a python object
)��
PICKLE_PADrL���r'���rF�����dumpsr����)�r~�����objrN���Z toencryptr����r����r����r����>���s����������
�z�Crypticle.dumpsFc��������������������C���s����|���|���}�|���|�j���s
i�S�|�t�|�j���d�����}�|�r.|�d�d���������}�|�d�d�����}�|�|�k�r.t�d�����t�j�j�|�|�d���}�t |�t
��rVd�|�v�rV|���d���}�|�|�j�k�rSt
��d�|�|�j�����i�S�|�|�_�|�S�)�z:
Decrypt and un-serialize a python object
N� ���z�Nonce verification error)���rawr����zvA message with an invalid serial was received.
this serial: %d
last serial: %d
The minion will not honor this request.)�r�����
startswithr����r����r����r����r'���rF���rV���r1���r2�����popr����r+���rX���)�r~���r����r����rN���Z ret_noncerF���r����r����r����r����rV���H���s,���
�������������������
���
�
�����������������z�Crypticle.loads)�r����r����)�r����r|���)�FN)�rw���rx���ry���r����r����r����rm���rn�����digest_sizer����r���r}���r����r����r����r����r����rV���r����r����r����r����r��������s������������
�
�������
�����
��
r����r|���)�NNrA���)[r����r����r����r����rK���rm���r������loggingr%���r\���r1���r����r[���rk���rg���r����Z�salt.channel.clientr'���Z�salt.defaults.exitcodesZ�salt.ext.tornado.genZ�salt.payloadZ�salt.utils.cryptZ�salt.utils.decoratorsZ�salt.utils.eventZ�salt.utils.filesZ�salt.utils.rsax931Z�salt.utils.sdbZ�salt.utils.stringutilsZ�salt.utils.userZ�salt.utils.verifyZ�salt.versionZ�salt.exceptionsr����r����r����r����r����r����Z�cryptography.exceptionsr����Z�cryptography.hazmat.primitivesr����r ���Z)cryptography.hazmat.primitives.asymmetricr
���r����Z&cryptography.hazmat.primitives.ciphersr����r
���r����r����r;���� getLoggerrw���r+���r����r����r����r����r����Z�OAEP_SHA224r����Z�PKCS1v15_SHA224rt���ri���rr���rq���rg���r����r����r@���rb���rc���r{���r����r(���Z
decoratorsZ�memoizer����r}���r����r����r����r����r����r����r2���r����r����r����r����r����r����r����r������<module>����s���������������������������������������������������������������� �� ����������������
�������������������������������������������
�
��H���'�/
���������
����� ����������
��6