Branch data Line data Source code
1 : : /*
2 : : * This file is part of the MicroPython project, http://micropython.org/
3 : : *
4 : : * The MIT License (MIT)
5 : : *
6 : : * Copyright (c) 2016 Linaro Ltd.
7 : : * Copyright (c) 2019 Paul Sokolovsky
8 : : * Copyright (c) 2023 Damien P. George
9 : : *
10 : : * Permission is hereby granted, free of charge, to any person obtaining a copy
11 : : * of this software and associated documentation files (the "Software"), to deal
12 : : * in the Software without restriction, including without limitation the rights
13 : : * to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
14 : : * copies of the Software, and to permit persons to whom the Software is
15 : : * furnished to do so, subject to the following conditions:
16 : : *
17 : : * The above copyright notice and this permission notice shall be included in
18 : : * all copies or substantial portions of the Software.
19 : : *
20 : : * THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
21 : : * IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
22 : : * FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
23 : : * AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
24 : : * LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
25 : : * OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN
26 : : * THE SOFTWARE.
27 : : */
28 : :
29 : : #include "py/mpconfig.h"
30 : : #if MICROPY_PY_SSL && MICROPY_SSL_MBEDTLS
31 : :
32 : : #include <stdio.h>
33 : : #include <string.h>
34 : : #include <errno.h> // needed because mp_is_nonblocking_error uses system error codes
35 : :
36 : : #include "py/runtime.h"
37 : : #include "py/stream.h"
38 : : #include "py/objstr.h"
39 : : #include "py/reader.h"
40 : : #include "extmod/vfs.h"
41 : :
42 : : // mbedtls_time_t
43 : : #include "mbedtls/platform.h"
44 : : #include "mbedtls/ssl.h"
45 : : #include "mbedtls/x509_crt.h"
46 : : #include "mbedtls/pk.h"
47 : : #include "mbedtls/entropy.h"
48 : : #include "mbedtls/ctr_drbg.h"
49 : : #include "mbedtls/debug.h"
50 : : #include "mbedtls/error.h"
51 : : #if MBEDTLS_VERSION_NUMBER >= 0x03000000
52 : : #include "mbedtls/build_info.h"
53 : : #else
54 : : #include "mbedtls/version.h"
55 : : #endif
56 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
57 : : #include "mbedtls/ecdsa.h"
58 : : #include "mbedtls/asn1.h"
59 : : #endif
60 : :
61 : : #define MP_STREAM_POLL_RDWR (MP_STREAM_POLL_RD | MP_STREAM_POLL_WR)
62 : :
63 : : // This corresponds to an SSLContext object.
64 : : typedef struct _mp_obj_ssl_context_t {
65 : : mp_obj_base_t base;
66 : : mbedtls_entropy_context entropy;
67 : : mbedtls_ctr_drbg_context ctr_drbg;
68 : : mbedtls_ssl_config conf;
69 : : mbedtls_x509_crt cacert;
70 : : mbedtls_x509_crt cert;
71 : : mbedtls_pk_context pkey;
72 : : int authmode;
73 : : int *ciphersuites;
74 : : mp_obj_t handler;
75 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
76 : : mp_obj_t ecdsa_sign_callback;
77 : : #endif
78 : : } mp_obj_ssl_context_t;
79 : :
80 : : // This corresponds to an SSLSocket object.
81 : : typedef struct _mp_obj_ssl_socket_t {
82 : : mp_obj_base_t base;
83 : : mp_obj_ssl_context_t *ssl_context;
84 : : mp_obj_t sock;
85 : : mbedtls_ssl_context ssl;
86 : :
87 : : uintptr_t poll_mask; // Indicates which read or write operations the protocol needs next
88 : : int last_error; // The last error code, if any
89 : : } mp_obj_ssl_socket_t;
90 : :
91 : : static const mp_obj_type_t ssl_context_type;
92 : : static const mp_obj_type_t ssl_socket_type;
93 : :
94 : : static const MP_DEFINE_STR_OBJ(mbedtls_version_obj, MBEDTLS_VERSION_STRING_FULL);
95 : :
96 : : static mp_obj_t ssl_socket_make_new(mp_obj_ssl_context_t *ssl_context, mp_obj_t sock,
97 : : bool server_side, bool do_handshake_on_connect, mp_obj_t server_hostname);
98 : :
99 : : /******************************************************************************/
100 : : // Helper functions.
101 : :
102 : : #ifdef MBEDTLS_DEBUG_C
103 : : static void mbedtls_debug(void *ctx, int level, const char *file, int line, const char *str) {
104 : : (void)ctx;
105 : : (void)level;
106 : : mp_printf(&mp_plat_print, "DBG:%s:%04d: %s\n", file, line, str);
107 : : }
108 : : #endif
109 : :
110 : : // Given a string-like object holding PEM or DER formatted ASN.1 data, return a
111 : : // pointer to its buffer and the correct length for mbedTLS APIs.
112 : : //
113 : : // (mbedTLS >= 3.5 rejects DER formatted data with trailing bytes within keylen,
114 : : // but PEM must include a terminating NUL byte in the keylen...)
115 : 20 : static const unsigned char *asn1_get_data(mp_obj_t obj, size_t *out_len) {
116 : 20 : size_t len;
117 : 20 : const char *str = mp_obj_str_get_data(obj, &len);
118 : : #if defined(MBEDTLS_PEM_PARSE_C)
119 : : if (strstr(str, "-----BEGIN ") != NULL) {
120 : : ++len;
121 : : }
122 : : #endif
123 : 18 : *out_len = len;
124 : 18 : return (const unsigned char *)str;
125 : : }
126 : :
127 : 14 : static NORETURN void mbedtls_raise_error(int err) {
128 : : // Handle special cases.
129 [ - + ]: 14 : if (err == MBEDTLS_ERR_SSL_ALLOC_FAILED) {
130 : 0 : mp_raise_OSError(MP_ENOMEM);
131 [ + + ]: 14 : } else if (err == MBEDTLS_ERR_PK_BAD_INPUT_DATA) {
132 : 2 : mp_raise_ValueError(MP_ERROR_TEXT("invalid key"));
133 [ + + ]: 12 : } else if (err == MBEDTLS_ERR_X509_BAD_INPUT_DATA) {
134 : 6 : mp_raise_ValueError(MP_ERROR_TEXT("invalid cert"));
135 : : }
136 : :
137 : : // _mbedtls_ssl_send and _mbedtls_ssl_recv (below) turn positive error codes from the
138 : : // underlying socket into negative codes to pass them through mbedtls. Here we turn them
139 : : // positive again so they get interpreted as the OSError they really are. The
140 : : // cut-off of -256 is a bit hacky, sigh.
141 [ - + ]: 6 : if (err < 0 && err > -256) {
142 : 0 : mp_raise_OSError(-err);
143 : : }
144 : :
145 : : #if defined(MBEDTLS_ERROR_C)
146 : : // Including mbedtls_strerror takes about 1.5KB due to the error strings.
147 : : // MBEDTLS_ERROR_C is the define used by mbedtls to conditionally include mbedtls_strerror.
148 : : // It is set/unset in the MBEDTLS_CONFIG_FILE which is defined in the Makefile.
149 : :
150 : : // Try to allocate memory for the message
151 : : #define ERR_STR_MAX 80 // mbedtls_strerror truncates if it doesn't fit
152 : 6 : mp_obj_str_t *o_str = m_new_obj_maybe(mp_obj_str_t);
153 : 6 : byte *o_str_buf = m_new_maybe(byte, ERR_STR_MAX);
154 [ - + ]: 6 : if (o_str == NULL || o_str_buf == NULL) {
155 : 0 : mp_raise_OSError(err);
156 : : }
157 : :
158 : : // print the error message into the allocated buffer
159 : 6 : mbedtls_strerror(err, (char *)o_str_buf, ERR_STR_MAX);
160 : 6 : size_t len = strlen((char *)o_str_buf);
161 : :
162 : : // Put the exception object together
163 : 6 : o_str->base.type = &mp_type_str;
164 : 6 : o_str->data = o_str_buf;
165 : 6 : o_str->len = len;
166 : 6 : o_str->hash = qstr_compute_hash(o_str->data, o_str->len);
167 : : // raise
168 : 6 : mp_obj_t args[2] = { MP_OBJ_NEW_SMALL_INT(err), MP_OBJ_FROM_PTR(o_str)};
169 : 6 : nlr_raise(mp_obj_exception_make_new(&mp_type_OSError, 2, 0, args));
170 : : #else
171 : : // mbedtls is compiled without error strings so we simply return the err number
172 : : mp_raise_OSError(err); // err is typically a large negative number
173 : : #endif
174 : : }
175 : :
176 : : // Stores the current SSLContext for use in mbedtls callbacks where the current state is not passed.
177 : : static inline void store_active_context(mp_obj_ssl_context_t *ssl_context) {
178 : : #if MICROPY_PY_SSL_MBEDTLS_NEED_ACTIVE_CONTEXT
179 : : MP_STATE_THREAD(tls_ssl_context) = ssl_context;
180 : : #endif
181 : : }
182 : :
183 : 18 : static void ssl_check_async_handshake_failure(mp_obj_ssl_socket_t *sslsock, int *errcode) {
184 : 18 : if (
185 : : #if MBEDTLS_VERSION_NUMBER >= 0x03000000
186 [ + + + - : 18 : (*errcode < 0) && (mbedtls_ssl_is_handshake_over(&sslsock->ssl) == 0) && (*errcode != MBEDTLS_ERR_SSL_CONN_EOF)
+ + ]
187 : : #else
188 : : (*errcode < 0) && (*errcode != MBEDTLS_ERR_SSL_CONN_EOF)
189 : : #endif
190 : : ) {
191 : : // Asynchronous handshake is done by mbdetls_ssl_read/write. If the return code is
192 : : // MBEDTLS_ERR_XX (i.e < 0) and the handshake is not done due to a handshake failure,
193 : : // then notify peer with proper error code and raise local error with mbedtls_raise_error.
194 : :
195 [ - + ]: 2 : if (*errcode == MBEDTLS_ERR_SSL_NO_CLIENT_CERTIFICATE) {
196 : : // Check if TLSv1.3 and use proper alert for this case (to be implemented)
197 : : // uint8_t alert = MBEDTLS_SSL_ALERT_MSG_CERT_REQUIRED; tlsv1.3
198 : : // uint8_t alert = MBEDTLS_SSL_ALERT_MSG_HANDSHAKE_FAILURE; tlsv1.2
199 : 0 : mbedtls_ssl_send_alert_message(&sslsock->ssl, MBEDTLS_SSL_ALERT_LEVEL_FATAL,
200 : : MBEDTLS_SSL_ALERT_MSG_HANDSHAKE_FAILURE);
201 : : }
202 : :
203 [ - + ]: 2 : if (*errcode == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
204 : : // The certificate may have been rejected for several reasons.
205 : 0 : char xcbuf[256];
206 : 0 : uint32_t flags = mbedtls_ssl_get_verify_result(&sslsock->ssl);
207 : 0 : int ret = mbedtls_x509_crt_verify_info(xcbuf, sizeof(xcbuf), "\n", flags);
208 : : // The length of the string written (not including the terminated nul byte),
209 : : // or a negative err code.
210 [ # # ]: 0 : if (ret > 0) {
211 : 0 : sslsock->sock = MP_OBJ_NULL;
212 : 0 : mbedtls_ssl_free(&sslsock->ssl);
213 : 0 : mp_raise_msg_varg(&mp_type_ValueError, MP_ERROR_TEXT("%s"), xcbuf);
214 : : }
215 : : }
216 : :
217 : 2 : sslsock->sock = MP_OBJ_NULL;
218 : 2 : mbedtls_ssl_free(&sslsock->ssl);
219 : 2 : mbedtls_raise_error(*errcode);
220 : : }
221 : 16 : }
222 : :
223 : 0 : static int ssl_sock_cert_verify(void *ptr, mbedtls_x509_crt *crt, int depth, uint32_t *flags) {
224 : 0 : mp_obj_ssl_context_t *o = ptr;
225 [ # # ]: 0 : if (o->handler == mp_const_none) {
226 : : return 0;
227 : : }
228 : 0 : mp_obj_array_t cert;
229 : 0 : mp_obj_memoryview_init(&cert, 'B', 0, crt->raw.len, crt->raw.p);
230 : 0 : return mp_obj_get_int(mp_call_function_2(o->handler, MP_OBJ_FROM_PTR(&cert), MP_OBJ_NEW_SMALL_INT(depth)));
231 : : }
232 : :
233 : : /******************************************************************************/
234 : : // SSLContext type.
235 : :
236 : 42 : static mp_obj_t ssl_context_make_new(const mp_obj_type_t *type_in, size_t n_args, size_t n_kw, const mp_obj_t *args) {
237 : 42 : mp_arg_check_num(n_args, n_kw, 1, 1, false);
238 : :
239 : : // This is the "protocol" argument.
240 : 40 : mp_int_t endpoint = mp_obj_get_int(args[0]);
241 : :
242 : : // Create SSLContext object.
243 : : #if MICROPY_PY_SSL_FINALISER
244 : 40 : mp_obj_ssl_context_t *self = mp_obj_malloc_with_finaliser(mp_obj_ssl_context_t, type_in);
245 : : #else
246 : : mp_obj_ssl_context_t *self = mp_obj_malloc(mp_obj_ssl_context_t, type_in);
247 : : #endif
248 : :
249 : : // Initialise mbedTLS state.
250 : 40 : mbedtls_ssl_config_init(&self->conf);
251 : 40 : mbedtls_entropy_init(&self->entropy);
252 : 40 : mbedtls_ctr_drbg_init(&self->ctr_drbg);
253 : 40 : mbedtls_x509_crt_init(&self->cacert);
254 : 40 : mbedtls_x509_crt_init(&self->cert);
255 : 40 : mbedtls_pk_init(&self->pkey);
256 : 40 : self->ciphersuites = NULL;
257 : 40 : self->handler = mp_const_none;
258 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
259 : : self->ecdsa_sign_callback = mp_const_none;
260 : : #endif
261 : :
262 : : #ifdef MBEDTLS_DEBUG_C
263 : : // Debug level (0-4) 1=warning, 2=info, 3=debug, 4=verbose
264 : : mbedtls_debug_set_threshold(3);
265 : : #endif
266 : :
267 : : // Whenever the PSA interface is used (if MBEDTLS_PSA_CRYPTO), psa_crypto_init() needs to be called before any TLS related operations.
268 : : // TLSv1.3 depends on the PSA interface, TLSv1.2 only uses the PSA stack if MBEDTLS_USE_PSA_CRYPTO is defined.
269 : : #if defined(MBEDTLS_SSL_PROTO_TLS1_3) || defined(MBEDTLS_USE_PSA_CRYPTO)
270 : : psa_crypto_init();
271 : : #endif
272 : :
273 : 40 : const byte seed[] = "upy";
274 : 40 : int ret = mbedtls_ctr_drbg_seed(&self->ctr_drbg, mbedtls_entropy_func, &self->entropy, seed, sizeof(seed));
275 [ - + ]: 40 : if (ret != 0) {
276 : 0 : mbedtls_raise_error(ret);
277 : : }
278 : :
279 : 40 : ret = mbedtls_ssl_config_defaults(&self->conf, endpoint,
280 : : MBEDTLS_SSL_TRANSPORT_STREAM, MBEDTLS_SSL_PRESET_DEFAULT);
281 [ - + ]: 40 : if (ret != 0) {
282 : 0 : mbedtls_raise_error(ret);
283 : : }
284 : :
285 [ + + ]: 40 : if (endpoint == MBEDTLS_SSL_IS_CLIENT) {
286 : 28 : self->authmode = MBEDTLS_SSL_VERIFY_REQUIRED;
287 : : } else {
288 : 12 : self->authmode = MBEDTLS_SSL_VERIFY_NONE;
289 : : }
290 : 40 : mbedtls_ssl_conf_authmode(&self->conf, self->authmode);
291 : 40 : mbedtls_ssl_conf_verify(&self->conf, &ssl_sock_cert_verify, self);
292 : 40 : mbedtls_ssl_conf_rng(&self->conf, mbedtls_ctr_drbg_random, &self->ctr_drbg);
293 : : #ifdef MBEDTLS_DEBUG_C
294 : : mbedtls_ssl_conf_dbg(&self->conf, mbedtls_debug, NULL);
295 : : #endif
296 : :
297 : 40 : return MP_OBJ_FROM_PTR(self);
298 : : }
299 : :
300 : 148 : static void ssl_context_attr(mp_obj_t self_in, qstr attr, mp_obj_t *dest) {
301 : 148 : mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
302 [ + + ]: 148 : if (dest[0] == MP_OBJ_NULL) {
303 : : // Load attribute.
304 [ + + ]: 88 : if (attr == MP_QSTR_verify_mode) {
305 : 8 : dest[0] = MP_OBJ_NEW_SMALL_INT(self->authmode);
306 [ - + ]: 80 : } else if (attr == MP_QSTR_verify_callback) {
307 : 0 : dest[0] = self->handler;
308 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
309 : : } else if (attr == MP_QSTR_ecdsa_sign_callback) {
310 : : dest[0] = self->ecdsa_sign_callback;
311 : : #endif
312 : : } else {
313 : : // Continue lookup in locals_dict.
314 : 80 : dest[1] = MP_OBJ_SENTINEL;
315 : : }
316 [ + + ]: 60 : } else if (dest[1] != MP_OBJ_NULL) {
317 : : // Store attribute.
318 [ + + ]: 58 : if (attr == MP_QSTR_verify_mode) {
319 : 56 : self->authmode = mp_obj_get_int(dest[1]);
320 : 56 : dest[0] = MP_OBJ_NULL;
321 : 56 : mbedtls_ssl_conf_authmode(&self->conf, self->authmode);
322 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
323 : : } else if (attr == MP_QSTR_ecdsa_sign_callback) {
324 : : dest[0] = MP_OBJ_NULL;
325 : : self->ecdsa_sign_callback = dest[1];
326 : : #endif
327 [ - + ]: 2 : } else if (attr == MP_QSTR_verify_callback) {
328 : 0 : dest[0] = MP_OBJ_NULL;
329 : 0 : self->handler = dest[1];
330 : : }
331 : : }
332 : 148 : }
333 : :
334 : : #if MICROPY_PY_SSL_FINALISER
335 : 40 : static mp_obj_t ssl_context___del__(mp_obj_t self_in) {
336 : 40 : mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
337 : 40 : mbedtls_pk_free(&self->pkey);
338 : 40 : mbedtls_x509_crt_free(&self->cert);
339 : 40 : mbedtls_x509_crt_free(&self->cacert);
340 : 40 : mbedtls_ctr_drbg_free(&self->ctr_drbg);
341 : 40 : mbedtls_entropy_free(&self->entropy);
342 : 40 : mbedtls_ssl_config_free(&self->conf);
343 : 40 : return mp_const_none;
344 : : }
345 : : static MP_DEFINE_CONST_FUN_OBJ_1(ssl_context___del___obj, ssl_context___del__);
346 : : #endif
347 : :
348 : : // SSLContext.get_ciphers()
349 : 2 : static mp_obj_t ssl_context_get_ciphers(mp_obj_t self_in) {
350 : 2 : mp_obj_t list = mp_obj_new_list(0, NULL);
351 [ + + ]: 38 : for (const int *cipher_list = mbedtls_ssl_list_ciphersuites(); *cipher_list; ++cipher_list) {
352 : 36 : const char *cipher_name = mbedtls_ssl_get_ciphersuite_name(*cipher_list);
353 : 36 : mp_obj_list_append(list, MP_OBJ_FROM_PTR(mp_obj_new_str_from_cstr(cipher_name)));
354 : : }
355 : 2 : return list;
356 : : }
357 : : static MP_DEFINE_CONST_FUN_OBJ_1(ssl_context_get_ciphers_obj, ssl_context_get_ciphers);
358 : :
359 : : // SSLContext.set_ciphers(ciphersuite)
360 : 6 : static mp_obj_t ssl_context_set_ciphers(mp_obj_t self_in, mp_obj_t ciphersuite) {
361 : 6 : mp_obj_ssl_context_t *ssl_context = MP_OBJ_TO_PTR(self_in);
362 : :
363 : : // Check that ciphersuite is a list or tuple.
364 : 6 : size_t len = 0;
365 : 6 : mp_obj_t *ciphers;
366 : 6 : mp_obj_get_array(ciphersuite, &len, &ciphers);
367 [ - + ]: 4 : if (len == 0) {
368 : 0 : mbedtls_raise_error(MBEDTLS_ERR_SSL_BAD_CONFIG);
369 : : }
370 : :
371 : : // Parse list of ciphers.
372 : 4 : ssl_context->ciphersuites = m_new(int, len + 1);
373 [ + + ]: 6 : for (size_t i = 0; i < len; ++i) {
374 : 4 : const char *ciphername = mp_obj_str_get_str(ciphers[i]);
375 : 4 : const int id = mbedtls_ssl_get_ciphersuite_id(ciphername);
376 [ + + ]: 4 : if (id == 0) {
377 : 2 : mbedtls_raise_error(MBEDTLS_ERR_SSL_BAD_CONFIG);
378 : : }
379 : 2 : ssl_context->ciphersuites[i] = id;
380 : : }
381 : 2 : ssl_context->ciphersuites[len] = 0;
382 : :
383 : : // Configure ciphersuite.
384 : 2 : mbedtls_ssl_conf_ciphersuites(&ssl_context->conf, (const int *)ssl_context->ciphersuites);
385 : :
386 : 2 : return mp_const_none;
387 : : }
388 : : static MP_DEFINE_CONST_FUN_OBJ_2(ssl_context_set_ciphers_obj, ssl_context_set_ciphers);
389 : :
390 : 10 : static void ssl_context_load_key(mp_obj_ssl_context_t *self, mp_obj_t key_obj, mp_obj_t cert_obj) {
391 : 10 : size_t key_len;
392 : 10 : const unsigned char *key = asn1_get_data(key_obj, &key_len);
393 : 10 : int ret;
394 : : #if MBEDTLS_VERSION_NUMBER >= 0x03000000
395 : 10 : ret = mbedtls_pk_parse_key(&self->pkey, key, key_len, NULL, 0, mbedtls_ctr_drbg_random, &self->ctr_drbg);
396 : : #else
397 : : ret = mbedtls_pk_parse_key(&self->pkey, key, key_len, NULL, 0);
398 : : #endif
399 [ + + ]: 10 : if (ret != 0) {
400 : 2 : mbedtls_raise_error(MBEDTLS_ERR_PK_BAD_INPUT_DATA); // use general error for all key errors
401 : : }
402 : :
403 : 8 : size_t cert_len;
404 : 8 : const unsigned char *cert = asn1_get_data(cert_obj, &cert_len);
405 : 6 : ret = mbedtls_x509_crt_parse(&self->cert, cert, cert_len);
406 [ + + ]: 6 : if (ret != 0) {
407 : 4 : mbedtls_raise_error(MBEDTLS_ERR_X509_BAD_INPUT_DATA); // use general error for all cert errors
408 : : }
409 : :
410 : 2 : ret = mbedtls_ssl_conf_own_cert(&self->conf, &self->cert, &self->pkey);
411 [ - + ]: 2 : if (ret != 0) {
412 : 0 : mbedtls_raise_error(ret);
413 : : }
414 : 2 : }
415 : :
416 : : // SSLContext.load_cert_chain(certfile, keyfile)
417 : 10 : static mp_obj_t ssl_context_load_cert_chain(mp_obj_t self_in, mp_obj_t cert, mp_obj_t pkey) {
418 : 10 : mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
419 : 10 : ssl_context_load_key(self, pkey, cert);
420 : 2 : return mp_const_none;
421 : : }
422 : : static MP_DEFINE_CONST_FUN_OBJ_3(ssl_context_load_cert_chain_obj, ssl_context_load_cert_chain);
423 : :
424 : 2 : static void ssl_context_load_cadata(mp_obj_ssl_context_t *self, mp_obj_t cadata_obj) {
425 : 2 : size_t cacert_len;
426 : 2 : const unsigned char *cacert = asn1_get_data(cadata_obj, &cacert_len);
427 : 2 : int ret = mbedtls_x509_crt_parse(&self->cacert, cacert, cacert_len);
428 [ + - ]: 2 : if (ret != 0) {
429 : 2 : mbedtls_raise_error(MBEDTLS_ERR_X509_BAD_INPUT_DATA); // use general error for all cert errors
430 : : }
431 : :
432 : 0 : mbedtls_ssl_conf_ca_chain(&self->conf, &self->cacert, NULL);
433 : 0 : }
434 : :
435 : : // SSLContext.load_verify_locations(cadata)
436 : 2 : static mp_obj_t ssl_context_load_verify_locations(mp_obj_t self_in, mp_obj_t cadata) {
437 : :
438 : 2 : mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(self_in);
439 : 2 : ssl_context_load_cadata(self, cadata);
440 : 0 : return mp_const_none;
441 : : }
442 : : static MP_DEFINE_CONST_FUN_OBJ_2(ssl_context_load_verify_locations_obj, ssl_context_load_verify_locations);
443 : :
444 : 18 : static mp_obj_t ssl_context_wrap_socket(size_t n_args, const mp_obj_t *pos_args, mp_map_t *kw_args) {
445 : 18 : enum { ARG_server_side, ARG_do_handshake_on_connect, ARG_server_hostname };
446 : 18 : static const mp_arg_t allowed_args[] = {
447 : : { MP_QSTR_server_side, MP_ARG_KW_ONLY | MP_ARG_BOOL, {.u_bool = false} },
448 : : { MP_QSTR_do_handshake_on_connect, MP_ARG_KW_ONLY | MP_ARG_BOOL, {.u_bool = true} },
449 : : { MP_QSTR_server_hostname, MP_ARG_KW_ONLY | MP_ARG_OBJ, {.u_rom_obj = MP_ROM_NONE} },
450 : : };
451 : :
452 : : // Parse arguments.
453 : 18 : mp_obj_ssl_context_t *self = MP_OBJ_TO_PTR(pos_args[0]);
454 : 18 : mp_obj_t sock = pos_args[1];
455 : 18 : mp_arg_val_t args[MP_ARRAY_SIZE(allowed_args)];
456 : 18 : mp_arg_parse_all(n_args - 2, pos_args + 2, kw_args, MP_ARRAY_SIZE(allowed_args), allowed_args, args);
457 : :
458 : : // Create and return the new SSLSocket object.
459 : 34 : return ssl_socket_make_new(self, sock, args[ARG_server_side].u_bool,
460 : 18 : args[ARG_do_handshake_on_connect].u_bool, args[ARG_server_hostname].u_obj);
461 : : }
462 : : static MP_DEFINE_CONST_FUN_OBJ_KW(ssl_context_wrap_socket_obj, 2, ssl_context_wrap_socket);
463 : :
464 : : static const mp_rom_map_elem_t ssl_context_locals_dict_table[] = {
465 : : #if MICROPY_PY_SSL_FINALISER
466 : : { MP_ROM_QSTR(MP_QSTR___del__), MP_ROM_PTR(&ssl_context___del___obj) },
467 : : #endif
468 : : { MP_ROM_QSTR(MP_QSTR_get_ciphers), MP_ROM_PTR(&ssl_context_get_ciphers_obj)},
469 : : { MP_ROM_QSTR(MP_QSTR_set_ciphers), MP_ROM_PTR(&ssl_context_set_ciphers_obj)},
470 : : { MP_ROM_QSTR(MP_QSTR_load_cert_chain), MP_ROM_PTR(&ssl_context_load_cert_chain_obj)},
471 : : { MP_ROM_QSTR(MP_QSTR_load_verify_locations), MP_ROM_PTR(&ssl_context_load_verify_locations_obj)},
472 : : { MP_ROM_QSTR(MP_QSTR_wrap_socket), MP_ROM_PTR(&ssl_context_wrap_socket_obj) },
473 : : };
474 : : static MP_DEFINE_CONST_DICT(ssl_context_locals_dict, ssl_context_locals_dict_table);
475 : :
476 : : static MP_DEFINE_CONST_OBJ_TYPE(
477 : : ssl_context_type,
478 : : MP_QSTR_SSLContext,
479 : : MP_TYPE_FLAG_NONE,
480 : : make_new, ssl_context_make_new,
481 : : attr, ssl_context_attr,
482 : : locals_dict, &ssl_context_locals_dict
483 : : );
484 : :
485 : : /******************************************************************************/
486 : : // SSLSocket type.
487 : :
488 : 30 : static int _mbedtls_ssl_send(void *ctx, const byte *buf, size_t len) {
489 : 30 : mp_obj_t sock = *(mp_obj_t *)ctx;
490 : :
491 : 30 : const mp_stream_p_t *sock_stream = mp_get_stream(sock);
492 : 30 : int err;
493 : :
494 : 30 : mp_uint_t out_sz = sock_stream->write(sock, buf, len, &err);
495 [ + + ]: 30 : if (out_sz == MP_STREAM_ERROR) {
496 [ - + ]: 2 : if (mp_is_nonblocking_error(err)) {
497 : : return MBEDTLS_ERR_SSL_WANT_WRITE;
498 : : }
499 : 0 : return -err; // convert an MP_ERRNO to something mbedtls passes through as error
500 : : } else {
501 : 28 : return out_sz;
502 : : }
503 : : }
504 : :
505 : : // _mbedtls_ssl_recv is called by mbedtls to receive bytes from the underlying socket
506 : 66 : static int _mbedtls_ssl_recv(void *ctx, byte *buf, size_t len) {
507 : 66 : mp_obj_t sock = *(mp_obj_t *)ctx;
508 : :
509 : 66 : const mp_stream_p_t *sock_stream = mp_get_stream(sock);
510 : 66 : int err;
511 : :
512 : 66 : mp_uint_t out_sz = sock_stream->read(sock, buf, len, &err);
513 [ + + ]: 66 : if (out_sz == MP_STREAM_ERROR) {
514 [ - + ]: 12 : if (mp_is_nonblocking_error(err)) {
515 : : return MBEDTLS_ERR_SSL_WANT_READ;
516 : : }
517 : 0 : return -err;
518 : : } else {
519 : 54 : return out_sz;
520 : : }
521 : : }
522 : :
523 : 18 : static mp_obj_t ssl_socket_make_new(mp_obj_ssl_context_t *ssl_context, mp_obj_t sock,
524 : : bool server_side, bool do_handshake_on_connect, mp_obj_t server_hostname) {
525 : :
526 : : // Store the current SSL context.
527 : 18 : store_active_context(ssl_context);
528 : :
529 : : // Verify the socket object has the full stream protocol
530 : 18 : mp_get_stream_raise(sock, MP_STREAM_OP_READ | MP_STREAM_OP_WRITE | MP_STREAM_OP_IOCTL);
531 : :
532 : : #if MICROPY_PY_SSL_FINALISER
533 : 18 : mp_obj_ssl_socket_t *o = mp_obj_malloc_with_finaliser(mp_obj_ssl_socket_t, &ssl_socket_type);
534 : : #else
535 : : mp_obj_ssl_socket_t *o = mp_obj_malloc(mp_obj_ssl_socket_t, &ssl_socket_type);
536 : : #endif
537 : 18 : o->ssl_context = ssl_context;
538 : 18 : o->sock = sock;
539 : 18 : o->poll_mask = 0;
540 : 18 : o->last_error = 0;
541 : :
542 : 18 : int ret;
543 : 18 : uint32_t flags = 0;
544 : :
545 : 18 : mbedtls_ssl_init(&o->ssl);
546 : :
547 : 18 : ret = mbedtls_ssl_setup(&o->ssl, &ssl_context->conf);
548 [ - + ]: 18 : if (ret != 0) {
549 : 0 : goto cleanup;
550 : : }
551 : :
552 [ + + ]: 18 : if (server_hostname != mp_const_none) {
553 : 2 : const char *sni = mp_obj_str_get_str(server_hostname);
554 : 2 : ret = mbedtls_ssl_set_hostname(&o->ssl, sni);
555 [ - + ]: 2 : if (ret != 0) {
556 : 0 : goto cleanup;
557 : : }
558 [ - + - - ]: 16 : } else if (ssl_context->authmode == MBEDTLS_SSL_VERIFY_REQUIRED && server_side == false) {
559 : :
560 : 0 : o->sock = MP_OBJ_NULL;
561 : 0 : mbedtls_ssl_free(&o->ssl);
562 : 0 : mp_raise_ValueError(MP_ERROR_TEXT("CERT_REQUIRED requires server_hostname"));
563 : : }
564 : :
565 : 18 : mbedtls_ssl_set_bio(&o->ssl, &o->sock, _mbedtls_ssl_send, _mbedtls_ssl_recv, NULL);
566 : :
567 [ + + ]: 18 : if (do_handshake_on_connect) {
568 [ + - ]: 2 : while ((ret = mbedtls_ssl_handshake(&o->ssl)) != 0) {
569 [ + - ]: 2 : if (ret != MBEDTLS_ERR_SSL_WANT_READ && ret != MBEDTLS_ERR_SSL_WANT_WRITE) {
570 : 2 : goto cleanup;
571 : : }
572 : 0 : mp_event_wait_ms(1);
573 : : }
574 : : }
575 : :
576 : 16 : return MP_OBJ_FROM_PTR(o);
577 : :
578 : 2 : cleanup:
579 [ - + ]: 2 : if (ret == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
580 : 0 : flags = mbedtls_ssl_get_verify_result(&o->ssl);
581 : : }
582 : :
583 : 2 : o->sock = MP_OBJ_NULL;
584 : 2 : mbedtls_ssl_free(&o->ssl);
585 : :
586 [ - + ]: 2 : if (ret == MBEDTLS_ERR_X509_CERT_VERIFY_FAILED) {
587 : 0 : char xcbuf[256];
588 : 0 : int ret_info = mbedtls_x509_crt_verify_info(xcbuf, sizeof(xcbuf), "\n", flags);
589 : : // The length of the string written (not including the terminated nul byte),
590 : : // or a negative err code.
591 [ # # ]: 0 : if (ret_info > 0) {
592 : 0 : mp_raise_msg_varg(&mp_type_ValueError, MP_ERROR_TEXT("%s"), xcbuf);
593 : : }
594 : : }
595 : :
596 : 2 : mbedtls_raise_error(ret);
597 : : }
598 : :
599 : : #if defined(MBEDTLS_SSL_KEEP_PEER_CERTIFICATE)
600 : : static mp_obj_t mod_ssl_getpeercert(mp_obj_t o_in, mp_obj_t binary_form) {
601 : : mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
602 : : if (!mp_obj_is_true(binary_form)) {
603 : : mp_raise_NotImplementedError(NULL);
604 : : }
605 : : const mbedtls_x509_crt *peer_cert = mbedtls_ssl_get_peer_cert(&o->ssl);
606 : : if (peer_cert == NULL) {
607 : : return mp_const_none;
608 : : }
609 : : return mp_obj_new_bytes(peer_cert->raw.p, peer_cert->raw.len);
610 : : }
611 : : static MP_DEFINE_CONST_FUN_OBJ_2(mod_ssl_getpeercert_obj, mod_ssl_getpeercert);
612 : : #endif
613 : :
614 : 0 : static mp_obj_t mod_ssl_cipher(mp_obj_t o_in) {
615 : 0 : mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
616 : 0 : const char *cipher_suite = mbedtls_ssl_get_ciphersuite(&o->ssl);
617 : 0 : const char *tls_version = mbedtls_ssl_get_version(&o->ssl);
618 : 0 : mp_obj_t tuple[2] = {mp_obj_new_str_from_cstr(cipher_suite),
619 : 0 : mp_obj_new_str_from_cstr(tls_version)};
620 : :
621 : 0 : return mp_obj_new_tuple(2, tuple);
622 : : }
623 : : static MP_DEFINE_CONST_FUN_OBJ_1(mod_ssl_cipher_obj, mod_ssl_cipher);
624 : :
625 : 24 : static mp_uint_t socket_read(mp_obj_t o_in, void *buf, mp_uint_t size, int *errcode) {
626 : 24 : mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
627 : 24 : o->poll_mask = 0;
628 : :
629 [ + + ]: 24 : if (o->last_error) {
630 : 4 : *errcode = o->last_error;
631 : 4 : return MP_STREAM_ERROR;
632 : : }
633 : :
634 : : // Store the current SSL context.
635 : 20 : store_active_context(o->ssl_context);
636 : :
637 : 20 : int ret = mbedtls_ssl_read(&o->ssl, buf, size);
638 [ + - ]: 20 : if (ret == MBEDTLS_ERR_SSL_PEER_CLOSE_NOTIFY) {
639 : : // end of stream
640 : : return 0;
641 : : }
642 [ + + ]: 20 : if (ret >= 0) {
643 : 6 : return ret;
644 : : }
645 [ + + ]: 14 : if (ret == MBEDTLS_ERR_SSL_WANT_READ) {
646 : 10 : ret = MP_EWOULDBLOCK;
647 [ + + ]: 4 : } else if (ret == MBEDTLS_ERR_SSL_WANT_WRITE) {
648 : : // If handshake is not finished, read attempt may end up in protocol
649 : : // wanting to write next handshake message. The same may happen with
650 : : // renegotiation.
651 : 2 : ret = MP_EWOULDBLOCK;
652 : 2 : o->poll_mask = MP_STREAM_POLL_WR;
653 : : #if defined(MBEDTLS_SSL_PROTO_TLS1_3)
654 : : } else if (ret == MBEDTLS_ERR_SSL_RECEIVED_NEW_SESSION_TICKET) {
655 : : // It appears a new session ticket being issued by the server right after
656 : : // completed handshake is not uncommon and shouldn't be treated as fatal.
657 : : // mbedtls itself states "This error code is experimental and may be
658 : : // changed or removed without notice."
659 : : ret = MP_EWOULDBLOCK;
660 : : #endif
661 : : } else {
662 : 2 : o->last_error = ret;
663 : : }
664 : 14 : ssl_check_async_handshake_failure(o, &ret);
665 : 12 : *errcode = ret;
666 : 12 : return MP_STREAM_ERROR;
667 : : }
668 : :
669 : 10 : static mp_uint_t socket_write(mp_obj_t o_in, const void *buf, mp_uint_t size, int *errcode) {
670 : 10 : mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(o_in);
671 : 10 : o->poll_mask = 0;
672 : :
673 [ + + ]: 10 : if (o->last_error) {
674 : 2 : *errcode = o->last_error;
675 : 2 : return MP_STREAM_ERROR;
676 : : }
677 : :
678 : : // Store the current SSL context.
679 : 8 : store_active_context(o->ssl_context);
680 : :
681 : 8 : int ret = mbedtls_ssl_write(&o->ssl, buf, size);
682 [ + + ]: 8 : if (ret >= 0) {
683 : 4 : return ret;
684 : : }
685 [ - + ]: 4 : if (ret == MBEDTLS_ERR_SSL_WANT_WRITE) {
686 : 0 : ret = MP_EWOULDBLOCK;
687 [ + + ]: 4 : } else if (ret == MBEDTLS_ERR_SSL_WANT_READ) {
688 : : // If handshake is not finished, write attempt may end up in protocol
689 : : // wanting to read next handshake message. The same may happen with
690 : : // renegotiation.
691 : 2 : ret = MP_EWOULDBLOCK;
692 : 2 : o->poll_mask = MP_STREAM_POLL_RD;
693 : : } else {
694 : 2 : o->last_error = ret;
695 : : }
696 : 4 : ssl_check_async_handshake_failure(o, &ret);
697 : 4 : *errcode = ret;
698 : 4 : return MP_STREAM_ERROR;
699 : : }
700 : :
701 : 4 : static mp_obj_t socket_setblocking(mp_obj_t self_in, mp_obj_t flag_in) {
702 : 4 : mp_obj_ssl_socket_t *o = MP_OBJ_TO_PTR(self_in);
703 : 4 : mp_obj_t sock = o->sock;
704 : 4 : mp_obj_t dest[3];
705 : 4 : mp_load_method(sock, MP_QSTR_setblocking, dest);
706 : 4 : dest[2] = flag_in;
707 : 4 : return mp_call_method_n_kw(1, 0, dest);
708 : : }
709 : : static MP_DEFINE_CONST_FUN_OBJ_2(socket_setblocking_obj, socket_setblocking);
710 : :
711 : 56 : static mp_uint_t socket_ioctl(mp_obj_t o_in, mp_uint_t request, uintptr_t arg, int *errcode) {
712 : 56 : mp_obj_ssl_socket_t *self = MP_OBJ_TO_PTR(o_in);
713 : 56 : mp_uint_t ret = 0;
714 : 56 : uintptr_t saved_arg = 0;
715 : 56 : mp_obj_t sock = self->sock;
716 : :
717 [ + + ]: 56 : if (request == MP_STREAM_CLOSE) {
718 : : // Clear the SSL context.
719 : 28 : store_active_context(NULL);
720 : :
721 [ + + ]: 28 : if (sock == MP_OBJ_NULL) {
722 : : // Already closed socket, do nothing.
723 : : return 0;
724 : : }
725 : 14 : self->sock = MP_OBJ_NULL;
726 : 14 : mbedtls_ssl_free(&self->ssl);
727 [ + + ]: 28 : } else if (request == MP_STREAM_POLL) {
728 [ + + + - ]: 22 : if (sock == MP_OBJ_NULL || self->last_error != 0) {
729 : : // Closed or error socket, return NVAL flag.
730 : : return MP_STREAM_POLL_NVAL;
731 : : }
732 : :
733 : : // If the library signaled us that it needs reading or writing, only check that direction,
734 : : // but save what the caller asked because we need to restore it later
735 [ + + + - ]: 16 : if (self->poll_mask && (arg & MP_STREAM_POLL_RDWR)) {
736 : 8 : saved_arg = arg & MP_STREAM_POLL_RDWR;
737 : 8 : arg = (arg & ~saved_arg) | self->poll_mask;
738 : : }
739 : :
740 : : // Take into account that the library might have buffered data already
741 : 16 : int has_pending = 0;
742 [ + + ]: 16 : if (arg & MP_STREAM_POLL_RD) {
743 : 10 : has_pending = mbedtls_ssl_check_pending(&self->ssl);
744 [ + + ]: 10 : if (has_pending) {
745 : 2 : ret |= MP_STREAM_POLL_RD;
746 [ - + ]: 2 : if (arg == MP_STREAM_POLL_RD) {
747 : : // Shortcut if we only need to read and we have buffered data, no need to go to the underlying socket
748 : : return MP_STREAM_POLL_RD;
749 : : }
750 : : }
751 : : }
752 : : } else {
753 : : // Unsupported ioctl.
754 : 6 : *errcode = MP_EINVAL;
755 : 6 : return MP_STREAM_ERROR;
756 : : }
757 : :
758 : : // Pass all requests down to the underlying socket
759 : 28 : ret |= mp_get_stream(sock)->ioctl(sock, request, arg, errcode);
760 : :
761 [ + + ]: 28 : if (request == MP_STREAM_POLL) {
762 : : // The direction the library needed is available, return a fake result to the caller so that
763 : : // it reenters a read or a write to allow the handshake to progress
764 [ - + ]: 14 : if (ret & self->poll_mask) {
765 : 0 : ret |= saved_arg;
766 : : }
767 : : }
768 : : return ret;
769 : : }
770 : :
771 : : static const mp_rom_map_elem_t ssl_socket_locals_dict_table[] = {
772 : : { MP_ROM_QSTR(MP_QSTR_read), MP_ROM_PTR(&mp_stream_read_obj) },
773 : : { MP_ROM_QSTR(MP_QSTR_readinto), MP_ROM_PTR(&mp_stream_readinto_obj) },
774 : : { MP_ROM_QSTR(MP_QSTR_readline), MP_ROM_PTR(&mp_stream_unbuffered_readline_obj) },
775 : : { MP_ROM_QSTR(MP_QSTR_write), MP_ROM_PTR(&mp_stream_write_obj) },
776 : : { MP_ROM_QSTR(MP_QSTR_setblocking), MP_ROM_PTR(&socket_setblocking_obj) },
777 : : { MP_ROM_QSTR(MP_QSTR_close), MP_ROM_PTR(&mp_stream_close_obj) },
778 : : #if MICROPY_PY_SSL_FINALISER
779 : : { MP_ROM_QSTR(MP_QSTR___del__), MP_ROM_PTR(&mp_stream_close_obj) },
780 : : #endif
781 : : #if MICROPY_UNIX_COVERAGE
782 : : { MP_ROM_QSTR(MP_QSTR_ioctl), MP_ROM_PTR(&mp_stream_ioctl_obj) },
783 : : #endif
784 : : #if defined(MBEDTLS_SSL_KEEP_PEER_CERTIFICATE)
785 : : { MP_ROM_QSTR(MP_QSTR_getpeercert), MP_ROM_PTR(&mod_ssl_getpeercert_obj) },
786 : : #endif
787 : : { MP_ROM_QSTR(MP_QSTR_cipher), MP_ROM_PTR(&mod_ssl_cipher_obj) },
788 : : };
789 : : static MP_DEFINE_CONST_DICT(ssl_socket_locals_dict, ssl_socket_locals_dict_table);
790 : :
791 : : static const mp_stream_p_t ssl_socket_stream_p = {
792 : : .read = socket_read,
793 : : .write = socket_write,
794 : : .ioctl = socket_ioctl,
795 : : };
796 : :
797 : : static MP_DEFINE_CONST_OBJ_TYPE(
798 : : ssl_socket_type,
799 : : MP_QSTR_SSLSocket,
800 : : MP_TYPE_FLAG_NONE,
801 : : protocol, &ssl_socket_stream_p,
802 : : locals_dict, &ssl_socket_locals_dict
803 : : );
804 : :
805 : : /******************************************************************************/
806 : : // ssl module.
807 : :
808 : : #if MICROPY_PY_SSL_ECDSA_SIGN_ALT
809 : : int micropy_mbedtls_ecdsa_sign_alt(const mbedtls_mpi *d, const unsigned char *hash, size_t hlen, unsigned char *sig, size_t sig_size, size_t *slen) {
810 : : uint8_t key[256];
811 : :
812 : : // Check if the current context has an alternative sign function.
813 : : mp_obj_ssl_context_t *ssl_ctx = MP_STATE_THREAD(tls_ssl_context);
814 : : if (ssl_ctx == NULL || ssl_ctx->ecdsa_sign_callback == mp_const_none) {
815 : : return MBEDTLS_ERR_PLATFORM_FEATURE_UNSUPPORTED;
816 : : }
817 : :
818 : : size_t klen = mbedtls_mpi_size(d);
819 : : if (klen > sizeof(key)) {
820 : : return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
821 : : }
822 : :
823 : : // Convert the MPI private key (d) to a binary array
824 : : if (mbedtls_mpi_write_binary(d, key, klen) != 0) {
825 : : return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
826 : : }
827 : :
828 : : nlr_buf_t nlr;
829 : : mp_buffer_info_t sig_buf;
830 : : if (nlr_push(&nlr) == 0) {
831 : : mp_obj_t ret = mp_call_function_2(ssl_ctx->ecdsa_sign_callback,
832 : : mp_obj_new_bytearray_by_ref(klen, (void *)key),
833 : : mp_obj_new_bytearray_by_ref(hlen, (void *)hash));
834 : : if (ret == mp_const_none) {
835 : : // key couldn't be used by the alternative implementation.
836 : : nlr_pop();
837 : : return MBEDTLS_ERR_PLATFORM_FEATURE_UNSUPPORTED;
838 : : }
839 : : mp_get_buffer_raise(ret, &sig_buf, MP_BUFFER_READ);
840 : : nlr_pop();
841 : : } else {
842 : : // The alternative implementation failed to sign.
843 : : mp_obj_print_exception(&mp_plat_print, MP_OBJ_FROM_PTR(nlr.ret_val));
844 : : return MBEDTLS_ERR_ECP_BAD_INPUT_DATA;
845 : : }
846 : :
847 : : // Check if the buffer fits.
848 : : if (sig_buf.len > sig_size) {
849 : : return MBEDTLS_ERR_ECP_BUFFER_TOO_SMALL;
850 : : }
851 : :
852 : : // Copy ASN.1 signature to buffer.
853 : : *slen = sig_buf.len;
854 : : memcpy(sig, sig_buf.buf, sig_buf.len);
855 : : return 0;
856 : : }
857 : : #endif
858 : :
859 : : static const mp_rom_map_elem_t mp_module_tls_globals_table[] = {
860 : : { MP_ROM_QSTR(MP_QSTR___name__), MP_ROM_QSTR(MP_QSTR_tls) },
861 : :
862 : : // Classes.
863 : : { MP_ROM_QSTR(MP_QSTR_SSLContext), MP_ROM_PTR(&ssl_context_type) },
864 : :
865 : : // Constants.
866 : : { MP_ROM_QSTR(MP_QSTR_MBEDTLS_VERSION), MP_ROM_PTR(&mbedtls_version_obj)},
867 : : { MP_ROM_QSTR(MP_QSTR_PROTOCOL_TLS_CLIENT), MP_ROM_INT(MBEDTLS_SSL_IS_CLIENT) },
868 : : { MP_ROM_QSTR(MP_QSTR_PROTOCOL_TLS_SERVER), MP_ROM_INT(MBEDTLS_SSL_IS_SERVER) },
869 : : { MP_ROM_QSTR(MP_QSTR_CERT_NONE), MP_ROM_INT(MBEDTLS_SSL_VERIFY_NONE) },
870 : : { MP_ROM_QSTR(MP_QSTR_CERT_OPTIONAL), MP_ROM_INT(MBEDTLS_SSL_VERIFY_OPTIONAL) },
871 : : { MP_ROM_QSTR(MP_QSTR_CERT_REQUIRED), MP_ROM_INT(MBEDTLS_SSL_VERIFY_REQUIRED) },
872 : : };
873 : : static MP_DEFINE_CONST_DICT(mp_module_tls_globals, mp_module_tls_globals_table);
874 : :
875 : : const mp_obj_module_t mp_module_tls = {
876 : : .base = { &mp_type_module },
877 : : .globals = (mp_obj_dict_t *)&mp_module_tls_globals,
878 : : };
879 : :
880 : : MP_REGISTER_MODULE(MP_QSTR_tls, mp_module_tls);
881 : :
882 : : #endif // MICROPY_PY_SSL && MICROPY_SSL_MBEDTLS
|
