sdk/go/arvados/blob_signature.go

   1 // Copyright (C) The Arvados Authors. All rights reserved.
   2 //
   3 // SPDX-License-Identifier: Apache-2.0
   4
   5 // Generate and verify permission signatures for Keep locators.
   6 //
   7 // See https://dev.arvados.org/projects/arvados/wiki/Keep_locator_format
   8
   9 package arvados
  10
  11 import (
  12         "crypto/hmac"
  13         "crypto/sha1"
  14         "errors"
  15         "fmt"
  16         "regexp"
  17         "strconv"
  18         "strings"
  19         "time"
  20 )
  21
  22 var (
  23         // ErrSignatureExpired - a signature was rejected because the
  24         // expiry time has passed.
  25         ErrSignatureExpired = errors.New("Signature expired")
  26         // ErrSignatureInvalid - a signature was rejected because it
  27         // was badly formatted or did not match the given secret key.
  28         ErrSignatureInvalid = errors.New("Invalid signature")
  29         // ErrSignatureMissing - the given locator does not have a
  30         // signature hint.
  31         ErrSignatureMissing = errors.New("Missing signature")
  32 )
  33
  34 // makePermSignature generates a SHA-1 HMAC digest for the given blob,
  35 // token, expiry, and site secret.
  36 func makePermSignature(blobHash, apiToken, expiry, blobSignatureTTL string, permissionSecret []byte) string {
  37         hmac := hmac.New(sha1.New, permissionSecret)
  38         hmac.Write([]byte(blobHash))
  39         hmac.Write([]byte("@"))
  40         hmac.Write([]byte(apiToken))
  41         hmac.Write([]byte("@"))
  42         hmac.Write([]byte(expiry))
  43         hmac.Write([]byte("@"))
  44         hmac.Write([]byte(blobSignatureTTL))
  45         digest := hmac.Sum(nil)
  46         return fmt.Sprintf("%x", digest)
  47 }
  48
  49 var (
  50         mBlkRe      = regexp.MustCompile(`^[0-9a-f]{32}.*`)
  51         mPermHintRe = regexp.MustCompile(`\+A[^+]*`)
  52 )
  53
  54 // SignManifest signs all locators in the given manifest, discarding
  55 // any existing signatures.
  56 func SignManifest(manifest string, apiToken string, expiry time.Time, ttl time.Duration, permissionSecret []byte) string {
  57         return regexp.MustCompile(`\S+`).ReplaceAllStringFunc(manifest, func(tok string) string {
  58                 if mBlkRe.MatchString(tok) {
  59                         return SignLocator(mPermHintRe.ReplaceAllString(tok, ""), apiToken, expiry, ttl, permissionSecret)
  60                 } else {
  61                         return tok
  62                 }
  63         })
  64 }
  65
  66 // SignLocator returns blobLocator with a permission signature
  67 // added. If either permissionSecret or apiToken is empty, blobLocator
  68 // is returned untouched.
  69 //
  70 // This function is intended to be used by system components and admin
  71 // utilities: userland programs do not know the permissionSecret.
  72 func SignLocator(blobLocator, apiToken string, expiry time.Time, blobSignatureTTL time.Duration, permissionSecret []byte) string {
  73         if len(permissionSecret) == 0 || apiToken == "" {
  74                 return blobLocator
  75         }
  76         // Strip off all hints: only the hash is used to sign.
  77         blobHash := strings.Split(blobLocator, "+")[0]
  78         timestampHex := fmt.Sprintf("%08x", expiry.Unix())
  79         blobSignatureTTLHex := strconv.FormatInt(int64(blobSignatureTTL.Seconds()), 16)
  80         return blobLocator +
  81                 "+A" + makePermSignature(blobHash, apiToken, timestampHex, blobSignatureTTLHex, permissionSecret) +
  82                 "@" + timestampHex
  83 }
  84
  85 var SignedLocatorRe = regexp.MustCompile(
  86         //1                 2          34                         5   6                  7                 89
  87         `^([[:xdigit:]]{32})(\+[0-9]+)?((\+[B-Z][A-Za-z0-9@_-]*)*)(\+A([[:xdigit:]]{40})@([[:xdigit:]]{8}))((\+[B-Z][A-Za-z0-9@_-]*)*)$`)
  88
  89 // VerifySignature returns nil if the signature on the signedLocator
  90 // can be verified using the given apiToken. Otherwise it returns
  91 // ErrSignatureExpired (if the signature's expiry time has passed,
  92 // which is something the client could have figured out
  93 // independently), ErrSignatureMissing (if there is no signature hint
  94 // at all), or ErrSignatureInvalid (if the signature is present but
  95 // badly formatted or incorrect).
  96 //
  97 // This function is intended to be used by system components and admin
  98 // utilities: userland programs do not know the permissionSecret.
  99 func VerifySignature(signedLocator, apiToken string, blobSignatureTTL time.Duration, permissionSecret []byte) error {
 100         matches := SignedLocatorRe.FindStringSubmatch(signedLocator)
 101         if matches == nil {
 102                 return ErrSignatureMissing
 103         }
 104         blobHash := matches[1]
 105         signatureHex := matches[6]
 106         expiryHex := matches[7]
 107         if expiryTime, err := parseHexTimestamp(expiryHex); err != nil {
 108                 return ErrSignatureInvalid
 109         } else if expiryTime.Before(time.Now()) {
 110                 return ErrSignatureExpired
 111         }
 112         blobSignatureTTLHex := strconv.FormatInt(int64(blobSignatureTTL.Seconds()), 16)
 113         if signatureHex != makePermSignature(blobHash, apiToken, expiryHex, blobSignatureTTLHex, permissionSecret) {
 114                 return ErrSignatureInvalid
 115         }
 116         return nil
 117 }
 118
 119 func parseHexTimestamp(timestampHex string) (ts time.Time, err error) {
 120         if tsInt, e := strconv.ParseInt(timestampHex, 16, 0); e == nil {
 121                 ts = time.Unix(tsInt, 0)
 122         } else {
 123                 err = e
 124         }
 125         return ts, err
 126 }