Move the key manager from leap_client repo to its own repo.
authordrebs <drebs@leap.se>
Tue, 2 Jul 2013 18:30:02 +0000 (15:30 -0300)
committerdrebs <drebs@leap.se>
Tue, 2 Jul 2013 18:30:02 +0000 (15:30 -0300)
LICENSE [new file with mode: 0644]
README.rst [new file with mode: 0644]
setup.py [new file with mode: 0644]
src/leap/__init__.py [new file with mode: 0644]
src/leap/keymanager/__init__.py [new file with mode: 0644]
src/leap/keymanager/errors.py [new file with mode: 0644]
src/leap/keymanager/gpg.py [new file with mode: 0644]
src/leap/keymanager/keys.py [new file with mode: 0644]
src/leap/keymanager/openpgp.py [new file with mode: 0644]
src/leap/keymanager/tests/__init__.py [new file with mode: 0644]
src/leap/keymanager/tests/test_keymanager.py [new file with mode: 0644]

diff --git a/LICENSE b/LICENSE
new file mode 100644 (file)
index 0000000..5f7cfba
--- /dev/null
+++ b/LICENSE
@@ -0,0 +1,698 @@
+                    GNU GENERAL PUBLIC LICENSE
+                       Version 3, 29 June 2007
+
+ Copyright (C) 2007 Free Software Foundation, Inc. <http://fsf.org/>
+ Everyone is permitted to copy and distribute verbatim copies
+ of this license document, but changing it is not allowed.
+
+                            Preamble
+
+  The GNU General Public License is a free, copyleft license for
+software and other kinds of works.
+
+  The licenses for most software and other practical works are designed
+to take away your freedom to share and change the works.  By contrast,
+the GNU General Public License is intended to guarantee your freedom to
+share and change all versions of a program--to make sure it remains free
+software for all its users.  We, the Free Software Foundation, use the
+GNU General Public License for most of our software; it applies also to
+any other work released this way by its authors.  You can apply it to
+your programs, too.
+
+  When we speak of free software, we are referring to freedom, not
+price.  Our General Public Licenses are designed to make sure that you
+have the freedom to distribute copies of free software (and charge for
+them if you wish), that you receive source code or can get it if you
+want it, that you can change the software or use pieces of it in new
+free programs, and that you know you can do these things.
+
+  To protect your rights, we need to prevent others from denying you
+these rights or asking you to surrender the rights.  Therefore, you have
+certain responsibilities if you distribute copies of the software, or if
+you modify it: responsibilities to respect the freedom of others.
+
+  For example, if you distribute copies of such a program, whether
+gratis or for a fee, you must pass on to the recipients the same
+freedoms that you received.  You must make sure that they, too, receive
+or can get the source code.  And you must show them these terms so they
+know their rights.
+
+  Developers that use the GNU GPL protect your rights with two steps:
+(1) assert copyright on the software, and (2) offer you this License
+giving you legal permission to copy, distribute and/or modify it.
+
+  For the developers' and authors' protection, the GPL clearly explains
+that there is no warranty for this free software.  For both users' and
+authors' sake, the GPL requires that modified versions be marked as
+changed, so that their problems will not be attributed erroneously to
+authors of previous versions.
+
+  Some devices are designed to deny users access to install or run
+modified versions of the software inside them, although the manufacturer
+can do so.  This is fundamentally incompatible with the aim of
+protecting users' freedom to change the software.  The systematic
+pattern of such abuse occurs in the area of products for individuals to
+use, which is precisely where it is most unacceptable.  Therefore, we
+have designed this version of the GPL to prohibit the practice for those
+products.  If such problems arise substantially in other domains, we
+stand ready to extend this provision to those domains in future versions
+of the GPL, as needed to protect the freedom of users.
+
+  Finally, every program is threatened constantly by software patents.
+States should not allow patents to restrict development and use of
+software on general-purpose computers, but in those that do, we wish to
+avoid the special danger that patents applied to a free program could
+make it effectively proprietary.  To prevent this, the GPL assures that
+patents cannot be used to render the program non-free.
+
+  The precise terms and conditions for copying, distribution and
+modification follow.
+
+                       TERMS AND CONDITIONS
+
+  0. Definitions.
+
+  "This License" refers to version 3 of the GNU General Public License.
+
+  "Copyright" also means copyright-like laws that apply to other kinds of
+works, such as semiconductor masks.
+
+  "The Program" refers to any copyrightable work licensed under this
+License.  Each licensee is addressed as "you".  "Licensees" and
+"recipients" may be individuals or organizations.
+
+  To "modify" a work means to copy from or adapt all or part of the work
+in a fashion requiring copyright permission, other than the making of an
+exact copy.  The resulting work is called a "modified version" of the
+earlier work or a work "based on" the earlier work.
+
+  A "covered work" means either the unmodified Program or a work based
+on the Program.
+
+  To "propagate" a work means to do anything with it that, without
+permission, would make you directly or secondarily liable for
+infringement under applicable copyright law, except executing it on a
+computer or modifying a private copy.  Propagation includes copying,
+distribution (with or without modification), making available to the
+public, and in some countries other activities as well.
+
+  To "convey" a work means any kind of propagation that enables other
+parties to make or receive copies.  Mere interaction with a user through
+a computer network, with no transfer of a copy, is not conveying.
+
+  An interactive user interface displays "Appropriate Legal Notices"
+to the extent that it includes a convenient and prominently visible
+feature that (1) displays an appropriate copyright notice, and (2)
+tells the user that there is no warranty for the work (except to the
+extent that warranties are provided), that licensees may convey the
+work under this License, and how to view a copy of this License.  If
+the interface presents a list of user commands or options, such as a
+menu, a prominent item in the list meets this criterion.
+
+  1. Source Code.
+
+  The "source code" for a work means the preferred form of the work
+for making modifications to it.  "Object code" means any non-source
+form of a work.
+
+  A "Standard Interface" means an interface that either is an official
+standard defined by a recognized standards body, or, in the case of
+interfaces specified for a particular programming language, one that
+is widely used among developers working in that language.
+
+  The "System Libraries" of an executable work include anything, other
+than the work as a whole, that (a) is included in the normal form of
+packaging a Major Component, but which is not part of that Major
+Component, and (b) serves only to enable use of the work with that
+Major Component, or to implement a Standard Interface for which an
+implementation is available to the public in source code form.  A
+"Major Component", in this context, means a major essential component
+(kernel, window system, and so on) of the specific operating system
+(if any) on which the executable work runs, or a compiler used to
+produce the work, or an object code interpreter used to run it.
+
+  The "Corresponding Source" for a work in object code form means all
+the source code needed to generate, install, and (for an executable
+work) run the object code and to modify the work, including scripts to
+control those activities.  However, it does not include the work's
+System Libraries, or general-purpose tools or generally available free
+programs which are used unmodified in performing those activities but
+which are not part of the work.  For example, Corresponding Source
+includes interface definition files associated with source files for
+the work, and the source code for shared libraries and dynamically
+linked subprograms that the work is specifically designed to require,
+such as by intimate data communication or control flow between those
+subprograms and other parts of the work.
+
+  The Corresponding Source need not include anything that users
+can regenerate automatically from other parts of the Corresponding
+Source.
+
+  The Corresponding Source for a work in source code form is that
+same work.
+
+  2. Basic Permissions.
+
+  All rights granted under this License are granted for the term of
+copyright on the Program, and are irrevocable provided the stated
+conditions are met.  This License explicitly affirms your unlimited
+permission to run the unmodified Program.  The output from running a
+covered work is covered by this License only if the output, given its
+content, constitutes a covered work.  This License acknowledges your
+rights of fair use or other equivalent, as provided by copyright law.
+
+  You may make, run and propagate covered works that you do not
+convey, without conditions so long as your license otherwise remains
+in force.  You may convey covered works to others for the sole purpose
+of having them make modifications exclusively for you, or provide you
+with facilities for running those works, provided that you comply with
+the terms of this License in conveying all material for which you do
+not control copyright.  Those thus making or running the covered works
+for you must do so exclusively on your behalf, under your direction
+and control, on terms that prohibit them from making any copies of
+your copyrighted material outside their relationship with you.
+
+  Conveying under any other circumstances is permitted solely under
+the conditions stated below.  Sublicensing is not allowed; section 10
+makes it unnecessary.
+
+  3. Protecting Users' Legal Rights From Anti-Circumvention Law.
+
+  No covered work shall be deemed part of an effective technological
+measure under any applicable law fulfilling obligations under article
+11 of the WIPO copyright treaty adopted on 20 December 1996, or
+similar laws prohibiting or restricting circumvention of such
+measures.
+
+  When you convey a covered work, you waive any legal power to forbid
+circumvention of technological measures to the extent such circumvention
+is effected by exercising rights under this License with respect to
+the covered work, and you disclaim any intention to limit operation or
+modification of the work as a means of enforcing, against the work's
+users, your or third parties' legal rights to forbid circumvention of
+technological measures.
+
+  4. Conveying Verbatim Copies.
+
+  You may convey verbatim copies of the Program's source code as you
+receive it, in any medium, provided that you conspicuously and
+appropriately publish on each copy an appropriate copyright notice;
+keep intact all notices stating that this License and any
+non-permissive terms added in accord with section 7 apply to the code;
+keep intact all notices of the absence of any warranty; and give all
+recipients a copy of this License along with the Program.
+
+  You may charge any price or no price for each copy that you convey,
+and you may offer support or warranty protection for a fee.
+
+  5. Conveying Modified Source Versions.
+
+  You may convey a work based on the Program, or the modifications to
+produce it from the Program, in the form of source code under the
+terms of section 4, provided that you also meet all of these conditions:
+
+    a) The work must carry prominent notices stating that you modified
+    it, and giving a relevant date.
+
+    b) The work must carry prominent notices stating that it is
+    released under this License and any conditions added under section
+    7.  This requirement modifies the requirement in section 4 to
+    "keep intact all notices".
+
+    c) You must license the entire work, as a whole, under this
+    License to anyone who comes into possession of a copy.  This
+    License will therefore apply, along with any applicable section 7
+    additional terms, to the whole of the work, and all its parts,
+    regardless of how they are packaged.  This License gives no
+    permission to license the work in any other way, but it does not
+    invalidate such permission if you have separately received it.
+
+    d) If the work has interactive user interfaces, each must display
+    Appropriate Legal Notices; however, if the Program has interactive
+    interfaces that do not display Appropriate Legal Notices, your
+    work need not make them do so.
+
+  A compilation of a covered work with other separate and independent
+works, which are not by their nature extensions of the covered work,
+and which are not combined with it such as to form a larger program,
+in or on a volume of a storage or distribution medium, is called an
+"aggregate" if the compilation and its resulting copyright are not
+used to limit the access or legal rights of the compilation's users
+beyond what the individual works permit.  Inclusion of a covered work
+in an aggregate does not cause this License to apply to the other
+parts of the aggregate.
+
+  6. Conveying Non-Source Forms.
+
+  You may convey a covered work in object code form under the terms
+of sections 4 and 5, provided that you also convey the
+machine-readable Corresponding Source under the terms of this License,
+in one of these ways:
+
+    a) Convey the object code in, or embodied in, a physical product
+    (including a physical distribution medium), accompanied by the
+    Corresponding Source fixed on a durable physical medium
+    customarily used for software interchange.
+
+    b) Convey the object code in, or embodied in, a physical product
+    (including a physical distribution medium), accompanied by a
+    written offer, valid for at least three years and valid for as
+    long as you offer spare parts or customer support for that product
+    model, to give anyone who possesses the object code either (1) a
+    copy of the Corresponding Source for all the software in the
+    product that is covered by this License, on a durable physical
+    medium customarily used for software interchange, for a price no
+    more than your reasonable cost of physically performing this
+    conveying of source, or (2) access to copy the
+    Corresponding Source from a network server at no charge.
+
+    c) Convey individual copies of the object code with a copy of the
+    written offer to provide the Corresponding Source.  This
+    alternative is allowed only occasionally and noncommercially, and
+    only if you received the object code with such an offer, in accord
+    with subsection 6b.
+
+    d) Convey the object code by offering access from a designated
+    place (gratis or for a charge), and offer equivalent access to the
+    Corresponding Source in the same way through the same place at no
+    further charge.  You need not require recipients to copy the
+    Corresponding Source along with the object code.  If the place to
+    copy the object code is a network server, the Corresponding Source
+    may be on a different server (operated by you or a third party)
+    that supports equivalent copying facilities, provided you maintain
+    clear directions next to the object code saying where to find the
+    Corresponding Source.  Regardless of what server hosts the
+    Corresponding Source, you remain obligated to ensure that it is
+    available for as long as needed to satisfy these requirements.
+
+    e) Convey the object code using peer-to-peer transmission, provided
+    you inform other peers where the object code and Corresponding
+    Source of the work are being offered to the general public at no
+    charge under subsection 6d.
+
+  A separable portion of the object code, whose source code is excluded
+from the Corresponding Source as a System Library, need not be
+included in conveying the object code work.
+
+  A "User Product" is either (1) a "consumer product", which means any
+tangible personal property which is normally used for personal, family,
+or household purposes, or (2) anything designed or sold for incorporation
+into a dwelling.  In determining whether a product is a consumer product,
+doubtful cases shall be resolved in favor of coverage.  For a particular
+product received by a particular user, "normally used" refers to a
+typical or common use of that class of product, regardless of the status
+of the particular user or of the way in which the particular user
+actually uses, or expects or is expected to use, the product.  A product
+is a consumer product regardless of whether the product has substantial
+commercial, industrial or non-consumer uses, unless such uses represent
+the only significant mode of use of the product.
+
+  "Installation Information" for a User Product means any methods,
+procedures, authorization keys, or other information required to install
+and execute modified versions of a covered work in that User Product from
+a modified version of its Corresponding Source.  The information must
+suffice to ensure that the continued functioning of the modified object
+code is in no case prevented or interfered with solely because
+modification has been made.
+
+  If you convey an object code work under this section in, or with, or
+specifically for use in, a User Product, and the conveying occurs as
+part of a transaction in which the right of possession and use of the
+User Product is transferred to the recipient in perpetuity or for a
+fixed term (regardless of how the transaction is characterized), the
+Corresponding Source conveyed under this section must be accompanied
+by the Installation Information.  But this requirement does not apply
+if neither you nor any third party retains the ability to install
+modified object code on the User Product (for example, the work has
+been installed in ROM).
+
+  The requirement to provide Installation Information does not include a
+requirement to continue to provide support service, warranty, or updates
+for a work that has been modified or installed by the recipient, or for
+the User Product in which it has been modified or installed.  Access to a
+network may be denied when the modification itself materially and
+adversely affects the operation of the network or violates the rules and
+protocols for communication across the network.
+
+  Corresponding Source conveyed, and Installation Information provided,
+in accord with this section must be in a format that is publicly
+documented (and with an implementation available to the public in
+source code form), and must require no special password or key for
+unpacking, reading or copying.
+
+  7. Additional Terms.
+
+  "Additional permissions" are terms that supplement the terms of this
+License by making exceptions from one or more of its conditions.
+Additional permissions that are applicable to the entire Program shall
+be treated as though they were included in this License, to the extent
+that they are valid under applicable law.  If additional permissions
+apply only to part of the Program, that part may be used separately
+under those permissions, but the entire Program remains governed by
+this License without regard to the additional permissions.
+
+  When you convey a copy of a covered work, you may at your option
+remove any additional permissions from that copy, or from any part of
+it.  (Additional permissions may be written to require their own
+removal in certain cases when you modify the work.)  You may place
+additional permissions on material, added by you to a covered work,
+for which you have or can give appropriate copyright permission.
+
+  Notwithstanding any other provision of this License, for material you
+add to a covered work, you may (if authorized by the copyright holders of
+that material) supplement the terms of this License with terms:
+
+    a) Disclaiming warranty or limiting liability differently from the
+    terms of sections 15 and 16 of this License; or
+
+    b) Requiring preservation of specified reasonable legal notices or
+    author attributions in that material or in the Appropriate Legal
+    Notices displayed by works containing it; or
+
+    c) Prohibiting misrepresentation of the origin of that material, or
+    requiring that modified versions of such material be marked in
+    reasonable ways as different from the original version; or
+
+    d) Limiting the use for publicity purposes of names of licensors or
+    authors of the material; or
+
+    e) Declining to grant rights under trademark law for use of some
+    trade names, trademarks, or service marks; or
+
+    f) Requiring indemnification of licensors and authors of that
+    material by anyone who conveys the material (or modified versions of
+    it) with contractual assumptions of liability to the recipient, for
+    any liability that these contractual assumptions directly impose on
+    those licensors and authors.
+
+  All other non-permissive additional terms are considered "further
+restrictions" within the meaning of section 10.  If the Program as you
+received it, or any part of it, contains a notice stating that it is
+governed by this License along with a term that is a further
+restriction, you may remove that term.  If a license document contains
+a further restriction but permits relicensing or conveying under this
+License, you may add to a covered work material governed by the terms
+of that license document, provided that the further restriction does
+not survive such relicensing or conveying.
+
+  If you add terms to a covered work in accord with this section, you
+must place, in the relevant source files, a statement of the
+additional terms that apply to those files, or a notice indicating
+where to find the applicable terms.
+
+  Additional terms, permissive or non-permissive, may be stated in the
+form of a separately written license, or stated as exceptions;
+the above requirements apply either way.
+
+  8. Termination.
+
+  You may not propagate or modify a covered work except as expressly
+provided under this License.  Any attempt otherwise to propagate or
+modify it is void, and will automatically terminate your rights under
+this License (including any patent licenses granted under the third
+paragraph of section 11).
+
+  However, if you cease all violation of this License, then your
+license from a particular copyright holder is reinstated (a)
+provisionally, unless and until the copyright holder explicitly and
+finally terminates your license, and (b) permanently, if the copyright
+holder fails to notify you of the violation by some reasonable means
+prior to 60 days after the cessation.
+
+  Moreover, your license from a particular copyright holder is
+reinstated permanently if the copyright holder notifies you of the
+violation by some reasonable means, this is the first time you have
+received notice of violation of this License (for any work) from that
+copyright holder, and you cure the violation prior to 30 days after
+your receipt of the notice.
+
+  Termination of your rights under this section does not terminate the
+licenses of parties who have received copies or rights from you under
+this License.  If your rights have been terminated and not permanently
+reinstated, you do not qualify to receive new licenses for the same
+material under section 10.
+
+  9. Acceptance Not Required for Having Copies.
+
+  You are not required to accept this License in order to receive or
+run a copy of the Program.  Ancillary propagation of a covered work
+occurring solely as a consequence of using peer-to-peer transmission
+to receive a copy likewise does not require acceptance.  However,
+nothing other than this License grants you permission to propagate or
+modify any covered work.  These actions infringe copyright if you do
+not accept this License.  Therefore, by modifying or propagating a
+covered work, you indicate your acceptance of this License to do so.
+
+  10. Automatic Licensing of Downstream Recipients.
+
+  Each time you convey a covered work, the recipient automatically
+receives a license from the original licensors, to run, modify and
+propagate that work, subject to this License.  You are not responsible
+for enforcing compliance by third parties with this License.
+
+  An "entity transaction" is a transaction transferring control of an
+organization, or substantially all assets of one, or subdividing an
+organization, or merging organizations.  If propagation of a covered
+work results from an entity transaction, each party to that
+transaction who receives a copy of the work also receives whatever
+licenses to the work the party's predecessor in interest had or could
+give under the previous paragraph, plus a right to possession of the
+Corresponding Source of the work from the predecessor in interest, if
+the predecessor has it or can get it with reasonable efforts.
+
+  You may not impose any further restrictions on the exercise of the
+rights granted or affirmed under this License.  For example, you may
+not impose a license fee, royalty, or other charge for exercise of
+rights granted under this License, and you may not initiate litigation
+(including a cross-claim or counterclaim in a lawsuit) alleging that
+any patent claim is infringed by making, using, selling, offering for
+sale, or importing the Program or any portion of it.
+
+  11. Patents.
+
+  A "contributor" is a copyright holder who authorizes use under this
+License of the Program or a work on which the Program is based.  The
+work thus licensed is called the contributor's "contributor version".
+
+  A contributor's "essential patent claims" are all patent claims
+owned or controlled by the contributor, whether already acquired or
+hereafter acquired, that would be infringed by some manner, permitted
+by this License, of making, using, or selling its contributor version,
+but do not include claims that would be infringed only as a
+consequence of further modification of the contributor version.  For
+purposes of this definition, "control" includes the right to grant
+patent sublicenses in a manner consistent with the requirements of
+this License.
+
+  Each contributor grants you a non-exclusive, worldwide, royalty-free
+patent license under the contributor's essential patent claims, to
+make, use, sell, offer for sale, import and otherwise run, modify and
+propagate the contents of its contributor version.
+
+  In the following three paragraphs, a "patent license" is any express
+agreement or commitment, however denominated, not to enforce a patent
+(such as an express permission to practice a patent or covenant not to
+sue for patent infringement).  To "grant" such a patent license to a
+party means to make such an agreement or commitment not to enforce a
+patent against the party.
+
+  If you convey a covered work, knowingly relying on a patent license,
+and the Corresponding Source of the work is not available for anyone
+to copy, free of charge and under the terms of this License, through a
+publicly available network server or other readily accessible means,
+then you must either (1) cause the Corresponding Source to be so
+available, or (2) arrange to deprive yourself of the benefit of the
+patent license for this particular work, or (3) arrange, in a manner
+consistent with the requirements of this License, to extend the patent
+license to downstream recipients.  "Knowingly relying" means you have
+actual knowledge that, but for the patent license, your conveying the
+covered work in a country, or your recipient's use of the covered work
+in a country, would infringe one or more identifiable patents in that
+country that you have reason to believe are valid.
+
+  If, pursuant to or in connection with a single transaction or
+arrangement, you convey, or propagate by procuring conveyance of, a
+covered work, and grant a patent license to some of the parties
+receiving the covered work authorizing them to use, propagate, modify
+or convey a specific copy of the covered work, then the patent license
+you grant is automatically extended to all recipients of the covered
+work and works based on it.
+
+  A patent license is "discriminatory" if it does not include within
+the scope of its coverage, prohibits the exercise of, or is
+conditioned on the non-exercise of one or more of the rights that are
+specifically granted under this License.  You may not convey a covered
+work if you are a party to an arrangement with a third party that is
+in the business of distributing software, under which you make payment
+to the third party based on the extent of your activity of conveying
+the work, and under which the third party grants, to any of the
+parties who would receive the covered work from you, a discriminatory
+patent license (a) in connection with copies of the covered work
+conveyed by you (or copies made from those copies), or (b) primarily
+for and in connection with specific products or compilations that
+contain the covered work, unless you entered into that arrangement,
+or that patent license was granted, prior to 28 March 2007.
+
+  Nothing in this License shall be construed as excluding or limiting
+any implied license or other defenses to infringement that may
+otherwise be available to you under applicable patent law.
+
+  12. No Surrender of Others' Freedom.
+
+  If conditions are imposed on you (whether by court order, agreement or
+otherwise) that contradict the conditions of this License, they do not
+excuse you from the conditions of this License.  If you cannot convey a
+covered work so as to satisfy simultaneously your obligations under this
+License and any other pertinent obligations, then as a consequence you may
+not convey it at all.  For example, if you agree to terms that obligate you
+to collect a royalty for further conveying from those to whom you convey
+the Program, the only way you could satisfy both those terms and this
+License would be to refrain entirely from conveying the Program.
+
+  13. Use with the GNU Affero General Public License.
+
+  Notwithstanding any other provision of this License, you have
+permission to link or combine any covered work with a work licensed
+under version 3 of the GNU Affero General Public License into a single
+combined work, and to convey the resulting work.  The terms of this
+License will continue to apply to the part which is the covered work,
+but the special requirements of the GNU Affero General Public License,
+section 13, concerning interaction through a network will apply to the
+combination as such.
+
+  14. Revised Versions of this License.
+
+  The Free Software Foundation may publish revised and/or new versions of
+the GNU General Public License from time to time.  Such new versions will
+be similar in spirit to the present version, but may differ in detail to
+address new problems or concerns.
+
+  Each version is given a distinguishing version number.  If the
+Program specifies that a certain numbered version of the GNU General
+Public License "or any later version" applies to it, you have the
+option of following the terms and conditions either of that numbered
+version or of any later version published by the Free Software
+Foundation.  If the Program does not specify a version number of the
+GNU General Public License, you may choose any version ever published
+by the Free Software Foundation.
+
+  If the Program specifies that a proxy can decide which future
+versions of the GNU General Public License can be used, that proxy's
+public statement of acceptance of a version permanently authorizes you
+to choose that version for the Program.
+
+  Later license versions may give you additional or different
+permissions.  However, no additional obligations are imposed on any
+author or copyright holder as a result of your choosing to follow a
+later version.
+
+  15. Disclaimer of Warranty.
+
+  THERE IS NO WARRANTY FOR THE PROGRAM, TO THE EXTENT PERMITTED BY
+APPLICABLE LAW.  EXCEPT WHEN OTHERWISE STATED IN WRITING THE COPYRIGHT
+HOLDERS AND/OR OTHER PARTIES PROVIDE THE PROGRAM "AS IS" WITHOUT WARRANTY
+OF ANY KIND, EITHER EXPRESSED OR IMPLIED, INCLUDING, BUT NOT LIMITED TO,
+THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
+PURPOSE.  THE ENTIRE RISK AS TO THE QUALITY AND PERFORMANCE OF THE PROGRAM
+IS WITH YOU.  SHOULD THE PROGRAM PROVE DEFECTIVE, YOU ASSUME THE COST OF
+ALL NECESSARY SERVICING, REPAIR OR CORRECTION.
+
+  16. Limitation of Liability.
+
+  IN NO EVENT UNLESS REQUIRED BY APPLICABLE LAW OR AGREED TO IN WRITING
+WILL ANY COPYRIGHT HOLDER, OR ANY OTHER PARTY WHO MODIFIES AND/OR CONVEYS
+THE PROGRAM AS PERMITTED ABOVE, BE LIABLE TO YOU FOR DAMAGES, INCLUDING ANY
+GENERAL, SPECIAL, INCIDENTAL OR CONSEQUENTIAL DAMAGES ARISING OUT OF THE
+USE OR INABILITY TO USE THE PROGRAM (INCLUDING BUT NOT LIMITED TO LOSS OF
+DATA OR DATA BEING RENDERED INACCURATE OR LOSSES SUSTAINED BY YOU OR THIRD
+PARTIES OR A FAILURE OF THE PROGRAM TO OPERATE WITH ANY OTHER PROGRAMS),
+EVEN IF SUCH HOLDER OR OTHER PARTY HAS BEEN ADVISED OF THE POSSIBILITY OF
+SUCH DAMAGES.
+
+  17. Interpretation of Sections 15 and 16.
+
+  If the disclaimer of warranty and limitation of liability provided
+above cannot be given local legal effect according to their terms,
+reviewing courts shall apply local law that most closely approximates
+an absolute waiver of all civil liability in connection with the
+Program, unless a warranty or assumption of liability accompanies a
+copy of the Program in return for a fee.
+
+                     END OF TERMS AND CONDITIONS
+
+            How to Apply These Terms to Your New Programs
+
+  If you develop a new program, and you want it to be of the greatest
+possible use to the public, the best way to achieve this is to make it
+free software which everyone can redistribute and change under these terms.
+
+  To do so, attach the following notices to the program.  It is safest
+to attach them to the start of each source file to most effectively
+state the exclusion of warranty; and each file should have at least
+the "copyright" line and a pointer to where the full notice is found.
+
+    <one line to give the program's name and a brief idea of what it does.>
+    Copyright (C) <year>  <name of author>
+
+    This program is free software: you can redistribute it and/or modify
+    it under the terms of the GNU General Public License as published by
+    the Free Software Foundation, either version 3 of the License, or
+    (at your option) any later version.
+
+    This program is distributed in the hope that it will be useful,
+    but WITHOUT ANY WARRANTY; without even the implied warranty of
+    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
+    GNU General Public License for more details.
+
+    You should have received a copy of the GNU General Public License
+    along with this program.  If not, see <http://www.gnu.org/licenses/>.
+
+Also add information on how to contact you by electronic and paper mail.
+
+  If the program does terminal interaction, make it output a short
+notice like this when it starts in an interactive mode:
+
+    <program>  Copyright (C) <year>  <name of author>
+    This program comes with ABSOLUTELY NO WARRANTY; for details type `show w'.
+    This is free software, and you are welcome to redistribute it
+    under certain conditions; type `show c' for details.
+
+The hypothetical commands `show w' and `show c' should show the appropriate
+parts of the General Public License.  Of course, your program's commands
+might be different; for a GUI interface, you would use an "about box".
+
+  You should also get your employer (if you work as a programmer) or school,
+if any, to sign a "copyright disclaimer" for the program, if necessary.
+For more information on this, and how to apply and follow the GNU GPL, see
+<http://www.gnu.org/licenses/>.
+
+  The GNU General Public License does not permit incorporating your program
+into proprietary programs.  If your program is a subroutine library, you
+may consider it more useful to permit linking proprietary applications with
+the library.  If this is what you want to do, use the GNU Lesser General
+Public License instead of this License.  But first, please read
+<http://www.gnu.org/philosophy/why-not-lgpl.html>.
+
+--------------------------------------------------------------------------------
+
+Leap-client also uses third party icons:
+
+---
+data/images/Arrow-Up-32.png
+data/images/Arrow-Down-32.png
+
+Author: Liam McKay
+License: GNU General Public License - http://en.wikipedia.org/wiki/GNU_General_Public_License
+WebSite: http://wefunction.com/
+IconPackage: WooFunction icon pack - http://www.iconspedia.com/pack/woofunction-icons-4136/
+---
+data/images/Globe.png
+
+Author: Everaldo Coelho
+License: LGPL - http://www.gnu.org/licenses/lgpl.html
+WebSite: http://www.everaldo.com/
+---
+data/images/oxygen-icons/
+
+License: LGPL - http://www.gnu.org/licenses/lgpl.html
+Website: http://www.oxygen-icons.org/
diff --git a/README.rst b/README.rst
new file mode 100644 (file)
index 0000000..f542214
--- /dev/null
@@ -0,0 +1,6 @@
+LEAP's Key Manager
+==================
+
+The Key Manager is a Nicknym agent for LEAP client:
+
+  https://leap.se/pt/docs/design/nicknym
diff --git a/setup.py b/setup.py
new file mode 100644 (file)
index 0000000..83aeddb
--- /dev/null
+++ b/setup.py
@@ -0,0 +1,58 @@
+# -*- coding: utf-8 -*-
+# setup.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+from setuptools import (
+    setup,
+    find_packages
+)
+
+
+install_requirements = [
+    'leap.common',
+    'simplejson',
+    'requests',
+    'python-gnupg',
+]
+
+
+tests_requirements = [
+    'mock',
+    'leap.soledad',
+]
+
+
+setup(
+    name='leap.keymanager',
+    version='0.2.1',
+    url='https://leap.se/',
+    license='GPLv3+',
+    description='LEAP\'s Key Manager',
+    author='The LEAP Encryption Access Project',
+    author_email='info@leap.se',
+    long_description=(
+        "The Key Manager handles all types of keys to allow for "
+        "point-to-point encryption between parties communicating through "
+        "LEAP infrastructure."
+    ),
+    namespace_packages=["leap"],
+    packages=find_packages('src', exclude=['leap.keymanager.tests']),
+    package_dir={'': 'src'},
+    test_suite='leap.keymanager.tests',
+    install_requires=install_requirements,
+    tests_require=tests_requirements,
+)
diff --git a/src/leap/__init__.py b/src/leap/__init__.py
new file mode 100644 (file)
index 0000000..f48ad10
--- /dev/null
@@ -0,0 +1,6 @@
+# See http://peak.telecommunity.com/DevCenter/setuptools#namespace-packages
+try:
+    __import__('pkg_resources').declare_namespace(__name__)
+except ImportError:
+    from pkgutil import extend_path
+    __path__ = extend_path(__path__, __name__)
diff --git a/src/leap/keymanager/__init__.py b/src/leap/keymanager/__init__.py
new file mode 100644 (file)
index 0000000..e1f318c
--- /dev/null
@@ -0,0 +1,336 @@
+# -*- coding: utf-8 -*-
+# __init__.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+"""
+Key Manager is a Nicknym agent for LEAP client.
+"""
+
+import requests
+
+from leap.common.check import leap_assert
+from leap.keymanager.errors import (
+    KeyNotFound,
+    NoPasswordGiven,
+)
+from leap.keymanager.keys import (
+    build_key_from_dict,
+    KEYMANAGER_KEY_TAG,
+    TAGS_PRIVATE_INDEX,
+)
+from leap.keymanager.openpgp import (
+    OpenPGPKey,
+    OpenPGPScheme,
+)
+
+
+#
+# The Key Manager
+#
+
+class KeyManager(object):
+
+    #
+    # server's key storage constants
+    #
+
+    OPENPGP_KEY = 'openpgp'
+    PUBKEY_KEY = "user[public_key]"
+
+    def __init__(self, address, nickserver_uri, soledad, session_id=None,
+                 ca_cert_path=None, api_uri=None, api_version=None, uid=None):
+        """
+        Initialize a Key Manager for user's C{address} with provider's
+        nickserver reachable in C{url}.
+
+        :param address: The address of the user of this Key Manager.
+        :type address: str
+        :param url: The URL of the nickserver.
+        :type url: str
+        :param soledad: A Soledad instance for local storage of keys.
+        :type soledad: leap.soledad.Soledad
+        :param session_id: The session ID for interacting with the webapp API.
+        :type session_id: str
+        :param ca_cert_path: The path to the CA certificate.
+        :type ca_cert_path: str
+        :param api_uri: The URI of the webapp API.
+        :type api_uri: str
+        :param api_version: The version of the webapp API.
+        :type api_version: str
+        :param uid: The users' UID.
+        :type uid: str
+        """
+        self._address = address
+        self._nickserver_uri = nickserver_uri
+        self._soledad = soledad
+        self._session_id = session_id
+        self.ca_cert_path = ca_cert_path
+        self.api_uri = api_uri
+        self.api_version = api_version
+        self.uid = uid
+        # a dict to map key types to their handlers
+        self._wrapper_map = {
+            OpenPGPKey: OpenPGPScheme(soledad),
+            # other types of key will be added to this mapper.
+        }
+        # the following are used to perform https requests
+        self._fetcher = requests
+        self._session = self._fetcher.session()
+
+    #
+    # utilities
+    #
+
+    def _key_class_from_type(self, ktype):
+        """
+        Return key class from string representation of key type.
+        """
+        return filter(
+            lambda klass: str(klass) == ktype,
+            self._wrapper_map).pop()
+
+    def _get(self, uri, data=None):
+        """
+        Send a GET request to C{uri} containing C{data}.
+
+        :param uri: The URI of the request.
+        :type uri: str
+        :param data: The body of the request.
+        :type data: dict, str or file
+
+        :return: The response to the request.
+        :rtype: requests.Response
+        """
+        leap_assert(
+            self._ca_cert_path is not None,
+            'We need the CA certificate path!')
+        res = self._fetcher.get(uri, data=data, verify=self._ca_cert_path)
+        # assert that the response is valid
+        res.raise_for_status()
+        leap_assert(
+            res.headers['content-type'].startswith('application/json'),
+            'Content-type is not JSON.')
+        return res
+
+    def _put(self, uri, data=None):
+        """
+        Send a PUT request to C{uri} containing C{data}.
+
+        The request will be sent using the configured CA certificate path to
+        verify the server certificate and the configured session id for
+        authentication.
+
+        :param uri: The URI of the request.
+        :type uri: str
+        :param data: The body of the request.
+        :type data: dict, str or file
+
+        :return: The response to the request.
+        :rtype: requests.Response
+        """
+        leap_assert(
+            self._ca_cert_path is not None,
+            'We need the CA certificate path!')
+        leap_assert(
+            self._session_id is not None,
+            'We need a session_id to interact with webapp!')
+        res = self._fetcher.put(
+            uri, data=data, verify=self._ca_cert_path,
+            cookies={'_session_id': self._session_id})
+        # assert that the response is valid
+        res.raise_for_status()
+        return res
+
+    def _fetch_keys_from_server(self, address):
+        """
+        Fetch keys bound to C{address} from nickserver and insert them in
+        local database.
+
+        :param address: The address bound to the keys.
+        :type address: str
+
+        @raise KeyNotFound: If the key was not found on nickserver.
+        """
+        # request keys from the nickserver
+        server_keys = self._get(
+            self._nickserver_uri, {'address': address}).json()
+        # insert keys in local database
+        if self.OPENPGP_KEY in server_keys:
+            self._wrapper_map[OpenPGPKey].put_ascii_key(
+                server_keys['openpgp'])
+
+    #
+    # key management
+    #
+
+    def send_key(self, ktype):
+        """
+        Send user's key of type C{ktype} to provider.
+
+        Public key bound to user's is sent to provider, which will sign it and
+        replace any prior keys for the same address in its database.
+
+        If C{send_private} is True, then the private key is encrypted with
+        C{password} and sent to server in the same request, together with a
+        hash string of user's address and password. The encrypted private key
+        will be saved in the server in a way it is publicly retrievable
+        through the hash string.
+
+        :param ktype: The type of the key.
+        :type ktype: KeyType
+
+        @raise KeyNotFound: If the key was not found in local database.
+        """
+        leap_assert(
+            ktype is OpenPGPKey,
+            'For now we only know how to send OpenPGP public keys.')
+        # prepare the public key bound to address
+        pubkey = self.get_key(
+            self._address, ktype, private=False, fetch_remote=False)
+        data = {
+            self.PUBKEY_KEY: pubkey.key_data
+        }
+        uri = "%s/%s/users/%s.json" % (
+            self._api_uri,
+            self._api_version,
+            self._uid)
+        self._put(uri, data)
+
+    def get_key(self, address, ktype, private=False, fetch_remote=True):
+        """
+        Return a key of type C{ktype} bound to C{address}.
+
+        First, search for the key in local storage. If it is not available,
+        then try to fetch from nickserver.
+
+        :param address: The address bound to the key.
+        :type address: str
+        :param ktype: The type of the key.
+        :type ktype: KeyType
+        :param private: Look for a private key instead of a public one?
+        :type private: bool
+
+        :return: A key of type C{ktype} bound to C{address}.
+        :rtype: EncryptionKey
+        @raise KeyNotFound: If the key was not found both locally and in
+            keyserver.
+        """
+        leap_assert(
+            ktype in self._wrapper_map,
+            'Unkown key type: %s.' % str(ktype))
+        try:
+            # return key if it exists in local database
+            return self._wrapper_map[ktype].get_key(address, private=private)
+        except KeyNotFound:
+            # we will only try to fetch a key from nickserver if fetch_remote
+            # is True and the key is not private.
+            if fetch_remote is False or private is True:
+                raise
+            self._fetch_keys_from_server(address)
+            return self._wrapper_map[ktype].get_key(address, private=False)
+
+    def get_all_keys_in_local_db(self, private=False):
+        """
+        Return all keys stored in local database.
+
+        :return: A list with all keys in local db.
+        :rtype: list
+        """
+        return map(
+            lambda doc: build_key_from_dict(
+                self._key_class_from_type(doc.content['type']),
+                doc.content['address'],
+                doc.content),
+            self._soledad.get_from_index(
+                TAGS_PRIVATE_INDEX,
+                KEYMANAGER_KEY_TAG,
+                '1' if private else '0'))
+
+    def refresh_keys(self):
+        """
+        Fetch keys from nickserver and update them locally.
+        """
+        addresses = set(map(
+            lambda doc: doc.address,
+            self.get_all_keys_in_local_db(private=False)))
+        for address in addresses:
+            # do not attempt to refresh our own key
+            if address == self._address:
+                continue
+            self._fetch_keys_from_server(address)
+
+    def gen_key(self, ktype):
+        """
+        Generate a key of type C{ktype} bound to the user's address.
+
+        :param ktype: The type of the key.
+        :type ktype: KeyType
+
+        :return: The generated key.
+        :rtype: EncryptionKey
+        """
+        return self._wrapper_map[ktype].gen_key(self._address)
+
+    #
+    # Setters/getters
+    #
+
+    def _get_session_id(self):
+        return self._session_id
+
+    def _set_session_id(self, session_id):
+        self._session_id = session_id
+
+    session_id = property(
+        _get_session_id, _set_session_id, doc='The session id.')
+
+    def _get_ca_cert_path(self):
+        return self._ca_cert_path
+
+    def _set_ca_cert_path(self, ca_cert_path):
+        self._ca_cert_path = ca_cert_path
+
+    ca_cert_path = property(
+        _get_ca_cert_path, _set_ca_cert_path,
+        doc='The path to the CA certificate.')
+
+    def _get_api_uri(self):
+        return self._api_uri
+
+    def _set_api_uri(self, api_uri):
+        self._api_uri = api_uri
+
+    api_uri = property(
+        _get_api_uri, _set_api_uri, doc='The webapp API URI.')
+
+    def _get_api_version(self):
+        return self._api_version
+
+    def _set_api_version(self, api_version):
+        self._api_version = api_version
+
+    api_version = property(
+        _get_api_version, _set_api_version, doc='The webapp API version.')
+
+    def _get_uid(self):
+        return self._uid
+
+    def _set_uid(self, uid):
+        self._uid = uid
+
+    uid = property(
+        _get_uid, _set_uid, doc='The uid of the user.')
diff --git a/src/leap/keymanager/errors.py b/src/leap/keymanager/errors.py
new file mode 100644 (file)
index 0000000..89949d2
--- /dev/null
@@ -0,0 +1,86 @@
+# -*- coding: utf-8 -*-
+# errors.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+"""
+Errors and exceptions used by the Key Manager.
+"""
+
+
+class KeyNotFound(Exception):
+    """
+    Raised when key was no found on keyserver.
+    """
+    pass
+
+
+class KeyAlreadyExists(Exception):
+    """
+    Raised when attempted to create a key that already exists.
+    """
+    pass
+
+
+class KeyAttributesDiffer(Exception):
+    """
+    Raised when trying to delete a key but the stored key differs from the key
+    passed to the delete_key() method.
+    """
+    pass
+
+
+class NoPasswordGiven(Exception):
+    """
+    Raised when trying to perform some action that needs a password without
+    providing one.
+    """
+    pass
+
+
+class InvalidSignature(Exception):
+    """
+    Raised when signature could not be verified.
+    """
+    pass
+
+
+class EncryptionFailed(Exception):
+    """
+    Raised upon failures of encryption.
+    """
+    pass
+
+
+class DecryptionFailed(Exception):
+    """
+    Raised upon failures of decryption.
+    """
+    pass
+
+
+class EncryptionDecryptionFailed(Exception):
+    """
+    Raised upon failures of encryption/decryption.
+    """
+    pass
+
+
+class SignFailed(Exception):
+    """
+    Raised when failed to sign.
+    """
+    pass
diff --git a/src/leap/keymanager/gpg.py b/src/leap/keymanager/gpg.py
new file mode 100644 (file)
index 0000000..15c1d9f
--- /dev/null
@@ -0,0 +1,397 @@
+# -*- coding: utf-8 -*-
+# gpgwrapper.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+"""
+A GPG wrapper used to handle OpenPGP keys.
+
+This is a temporary class that will be superseded by the a revised version of
+python-gnupg.
+"""
+
+
+import os
+import gnupg
+import re
+from gnupg import (
+    logger,
+    _is_sequence,
+    _make_binary_stream,
+)
+
+
+class ListPackets():
+    """
+    Handle status messages for --list-packets.
+    """
+
+    def __init__(self, gpg):
+        """
+        Initialize the packet listing handling class.
+
+        :param gpg: GPG object instance.
+        :type gpg: gnupg.GPG
+        """
+        self.gpg = gpg
+        self.nodata = None
+        self.key = None
+        self.need_passphrase = None
+        self.need_passphrase_sym = None
+        self.userid_hint = None
+
+    def handle_status(self, key, value):
+        """
+        Handle one line of the --list-packets status message.
+
+        :param key: The status message key.
+        :type key: str
+        :param value: The status message value.
+        :type value: str
+        """
+        # TODO: write tests for handle_status
+        if key == 'NODATA':
+            self.nodata = True
+        if key == 'ENC_TO':
+            # This will only capture keys in our keyring. In the future we
+            # may want to include multiple unknown keys in this list.
+            self.key, _, _ = value.split()
+        if key == 'NEED_PASSPHRASE':
+            self.need_passphrase = True
+        if key == 'NEED_PASSPHRASE_SYM':
+            self.need_passphrase_sym = True
+        if key == 'USERID_HINT':
+            self.userid_hint = value.strip().split()
+
+
+class GPGWrapper(gnupg.GPG):
+    """
+    This is a temporary class for handling GPG requests, and should be
+    replaced by a more general class used throughout the project.
+    """
+
+    GNUPG_HOME = os.environ['HOME'] + "/.config/leap/gnupg"
+    GNUPG_BINARY = "/usr/bin/gpg"  # this has to be changed based on OS
+
+    def __init__(self, gpgbinary=GNUPG_BINARY, gnupghome=GNUPG_HOME,
+                 verbose=False, use_agent=False, keyring=None, options=None):
+        """
+        Initialize a GnuPG process wrapper.
+
+        :param gpgbinary: Name for GnuPG binary executable.
+        :type gpgbinary: C{str}
+        :param gpghome: Full pathname to directory containing the public and
+            private keyrings.
+        :type gpghome: C{str}
+        :param keyring: Name of alternative keyring file to use. If specified,
+            the default keyring is not used.
+        :param verbose: Should some verbose info be output?
+        :type verbose: bool
+        :param use_agent: Should pass `--use-agent` to GPG binary?
+        :type use_agent: bool
+        :param keyring: Path for the keyring to use.
+        :type keyring: str
+        @options: A list of additional options to pass to the GPG binary.
+        :type options: list
+
+        @raise: RuntimeError with explanation message if there is a problem
+            invoking gpg.
+        """
+        gnupg.GPG.__init__(self, gnupghome=gnupghome, gpgbinary=gpgbinary,
+                           verbose=verbose, use_agent=use_agent,
+                           keyring=keyring, options=options)
+        self.result_map['list-packets'] = ListPackets
+
+    def find_key_by_email(self, email, secret=False):
+        """
+        Find user's key based on their email.
+
+        :param email: Email address of key being searched for.
+        :type email: str
+        :param secret: Should we search for a secret key?
+        :type secret: bool
+
+        :return: The fingerprint of the found key.
+        :rtype: str
+        """
+        for key in self.list_keys(secret=secret):
+            for uid in key['uids']:
+                if re.search(email, uid):
+                    return key
+        raise LookupError("GnuPG public key for email %s not found!" % email)
+
+    def find_key_by_subkey(self, subkey, secret=False):
+        """
+        Find user's key based on a subkey fingerprint.
+
+        :param email: Subkey fingerprint of the key being searched for.
+        :type email: str
+        :param secret: Should we search for a secret key?
+        :type secret: bool
+
+        :return: The fingerprint of the found key.
+        :rtype: str
+        """
+        for key in self.list_keys(secret=secret):
+            for sub in key['subkeys']:
+                if sub[0] == subkey:
+                    return key
+        raise LookupError(
+            "GnuPG public key for subkey %s not found!" % subkey)
+
+    def find_key_by_keyid(self, keyid, secret=False):
+        """
+        Find user's key based on the key ID.
+
+        :param email: The key ID of the key being searched for.
+        :type email: str
+        :param secret: Should we search for a secret key?
+        :type secret: bool
+
+        :return: The fingerprint of the found key.
+        :rtype: str
+        """
+        for key in self.list_keys(secret=secret):
+            if keyid == key['keyid']:
+                return key
+        raise LookupError(
+            "GnuPG public key for keyid %s not found!" % keyid)
+
+    def find_key_by_fingerprint(self, fingerprint, secret=False):
+        """
+        Find user's key based on the key fingerprint.
+
+        :param email: The fingerprint of the key being searched for.
+        :type email: str
+        :param secret: Should we search for a secret key?
+        :type secret: bool
+
+        :return: The fingerprint of the found key.
+        :rtype: str
+        """
+        for key in self.list_keys(secret=secret):
+            if fingerprint == key['fingerprint']:
+                return key
+        raise LookupError(
+            "GnuPG public key for fingerprint %s not found!" % fingerprint)
+
+    def encrypt(self, data, recipient, sign=None, always_trust=True,
+                passphrase=None, symmetric=False):
+        """
+        Encrypt data using GPG.
+
+        :param data: The data to be encrypted.
+        :type data: str
+        :param recipient: The address of the public key to be used.
+        :type recipient: str
+        :param sign: Should the encrypted content be signed?
+        :type sign: bool
+        :param always_trust: Skip key validation and assume that used keys
+            are always fully trusted?
+        :type always_trust: bool
+        :param passphrase: The passphrase to be used if symmetric encryption
+            is desired.
+        :type passphrase: str
+        :param symmetric: Should we encrypt to a password?
+        :type symmetric: bool
+
+        :return: An object with encrypted result in the `data` field.
+        :rtype: gnupg.Crypt
+        """
+        # TODO: devise a way so we don't need to "always trust".
+        return gnupg.GPG.encrypt(self, data, recipient, sign=sign,
+                                 always_trust=always_trust,
+                                 passphrase=passphrase,
+                                 symmetric=symmetric,
+                                 cipher_algo='AES256')
+
+    def decrypt(self, data, always_trust=True, passphrase=None):
+        """
+        Decrypt data using GPG.
+
+        :param data: The data to be decrypted.
+        :type data: str
+        :param always_trust: Skip key validation and assume that used keys
+            are always fully trusted?
+        :type always_trust: bool
+        :param passphrase: The passphrase to be used if symmetric encryption
+            is desired.
+        :type passphrase: str
+
+        :return: An object with decrypted result in the `data` field.
+        :rtype: gnupg.Crypt
+        """
+        # TODO: devise a way so we don't need to "always trust".
+        return gnupg.GPG.decrypt(self, data, always_trust=always_trust,
+                                 passphrase=passphrase)
+
+    def send_keys(self, keyserver, *keyids):
+        """
+        Send keys to a keyserver
+
+        :param keyserver: The keyserver to send the keys to.
+        :type keyserver: str
+        :param keyids: The key ids to send.
+        :type keyids: list
+
+        :return: A list of keys sent to server.
+        :rtype: gnupg.ListKeys
+        """
+        # TODO: write tests for this.
+        # TODO: write a SendKeys class to handle status for this.
+        result = self.result_map['list'](self)
+        gnupg.logger.debug('send_keys: %r', keyids)
+        data = gnupg._make_binary_stream("", self.encoding)
+        args = ['--keyserver', keyserver, '--send-keys']
+        args.extend(keyids)
+        self._handle_io(args, data, result, binary=True)
+        gnupg.logger.debug('send_keys result: %r', result.__dict__)
+        data.close()
+        return result
+
+    def encrypt_file(self, file, recipients, sign=None,
+                     always_trust=False, passphrase=None,
+                     armor=True, output=None, symmetric=False,
+                     cipher_algo=None):
+        """
+        Encrypt the message read from the file-like object 'file'.
+
+        :param file: The file to be encrypted.
+        :type data: file
+        :param recipient: The address of the public key to be used.
+        :type recipient: str
+        :param sign: Should the encrypted content be signed?
+        :type sign: bool
+        :param always_trust: Skip key validation and assume that used keys
+            are always fully trusted?
+        :type always_trust: bool
+        :param passphrase: The passphrase to be used if symmetric encryption
+            is desired.
+        :type passphrase: str
+        :param armor: Create ASCII armored output?
+        :type armor: bool
+        :param output: Path of file to write results in.
+        :type output: str
+        :param symmetric: Should we encrypt to a password?
+        :type symmetric: bool
+        :param cipher_algo: Algorithm to use.
+        :type cipher_algo: str
+
+        :return: An object with encrypted result in the `data` field.
+        :rtype: gnupg.Crypt
+        """
+        args = ['--encrypt']
+        if symmetric:
+            args = ['--symmetric']
+            if cipher_algo:
+                args.append('--cipher-algo %s' % cipher_algo)
+        else:
+            args = ['--encrypt']
+            if not _is_sequence(recipients):
+                recipients = (recipients,)
+            for recipient in recipients:
+                args.append('--recipient "%s"' % recipient)
+        if armor:  # create ascii-armored output - set to False for binary
+            args.append('--armor')
+        if output:  # write the output to a file with the specified name
+            if os.path.exists(output):
+                os.remove(output)  # to avoid overwrite confirmation message
+            args.append('--output "%s"' % output)
+        if sign:
+            args.append('--sign --default-key "%s"' % sign)
+        if always_trust:
+            args.append("--always-trust")
+        result = self.result_map['crypt'](self)
+        self._handle_io(args, file, result, passphrase=passphrase, binary=True)
+        logger.debug('encrypt result: %r', result.data)
+        return result
+
+    def list_packets(self, data):
+        """
+        List the sequence of packets.
+
+        :param data: The data to extract packets from.
+        :type data: str
+
+        :return: An object with packet info.
+        :rtype ListPackets
+        """
+        args = ["--list-packets"]
+        result = self.result_map['list-packets'](self)
+        self._handle_io(
+            args,
+            _make_binary_stream(data, self.encoding),
+            result,
+        )
+        return result
+
+    def encrypted_to(self, data):
+        """
+        Return the key to which data is encrypted to.
+
+        :param data: The data to be examined.
+        :type data: str
+
+        :return: The fingerprint of the key to which data is encrypted to.
+        :rtype: str
+        """
+        # TODO: make this support multiple keys.
+        result = self.list_packets(data)
+        if not result.key:
+            raise LookupError(
+                "Content is not encrypted to a GnuPG key!")
+        try:
+            return self.find_key_by_keyid(result.key)
+        except:
+            return self.find_key_by_subkey(result.key)
+
+    def is_encrypted_sym(self, data):
+        """
+        Say whether some chunk of data is encrypted to a symmetric key.
+
+        :param data: The data to be examined.
+        :type data: str
+
+        :return: Whether data is encrypted to a symmetric key.
+        :rtype: bool
+        """
+        result = self.list_packets(data)
+        return bool(result.need_passphrase_sym)
+
+    def is_encrypted_asym(self, data):
+        """
+        Say whether some chunk of data is encrypted to a private key.
+
+        :param data: The data to be examined.
+        :type data: str
+
+        :return: Whether data is encrypted to a private key.
+        :rtype: bool
+        """
+        result = self.list_packets(data)
+        return bool(result.key)
+
+    def is_encrypted(self, data):
+        """
+        Say whether some chunk of data is encrypted to a key.
+
+        :param data: The data to be examined.
+        :type data: str
+
+        :return: Whether data is encrypted to a key.
+        :rtype: bool
+        """
+        return self.is_encrypted_asym(data) or self.is_encrypted_sym(data)
diff --git a/src/leap/keymanager/keys.py b/src/leap/keymanager/keys.py
new file mode 100644 (file)
index 0000000..44bd587
--- /dev/null
@@ -0,0 +1,285 @@
+# -*- coding: utf-8 -*-
+# keys.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+"""
+Abstact key type and encryption scheme representations.
+"""
+
+
+try:
+    import simplejson as json
+except ImportError:
+    import json  # noqa
+import re
+
+
+from abc import ABCMeta, abstractmethod
+from leap.common.check import leap_assert
+
+
+#
+# Dictionary keys used for storing cryptographic keys.
+#
+
+KEY_ADDRESS_KEY = 'address'
+KEY_TYPE_KEY = 'type'
+KEY_ID_KEY = 'key_id'
+KEY_FINGERPRINT_KEY = 'fingerprint'
+KEY_DATA_KEY = 'key_data'
+KEY_PRIVATE_KEY = 'private'
+KEY_LENGTH_KEY = 'length'
+KEY_EXPIRY_DATE_KEY = 'expiry_date'
+KEY_FIRST_SEEN_AT_KEY = 'first_seen_at'
+KEY_LAST_AUDITED_AT_KEY = 'last_audited_at'
+KEY_VALIDATION_KEY = 'validation'
+KEY_TAGS_KEY = 'tags'
+
+
+#
+# Key storage constants
+#
+
+KEYMANAGER_KEY_TAG = 'keymanager-key'
+
+
+#
+# key indexing constants.
+#
+
+TAGS_PRIVATE_INDEX = 'by-tags-private'
+TAGS_ADDRESS_PRIVATE_INDEX = 'by-tags-address-private'
+INDEXES = {
+    TAGS_PRIVATE_INDEX: [
+        KEY_TAGS_KEY,
+        'bool(%s)' % KEY_PRIVATE_KEY,
+    ],
+    TAGS_ADDRESS_PRIVATE_INDEX: [
+        KEY_TAGS_KEY,
+        KEY_ADDRESS_KEY,
+        'bool(%s)' % KEY_PRIVATE_KEY,
+    ]
+}
+
+
+#
+# Key handling utilities
+#
+
+def is_address(address):
+    """
+    Return whether the given C{address} is in the form user@provider.
+
+    :param address: The address to be tested.
+    :type address: str
+    :return: Whether C{address} is in the form user@provider.
+    :rtype: bool
+    """
+    return bool(re.match('[\w.-]+@[\w.-]+', address))
+
+
+def build_key_from_dict(kClass, address, kdict):
+    """
+    Build an C{kClass} key bound to C{address} based on info in C{kdict}.
+
+    :param address: The address bound to the key.
+    :type address: str
+    :param kdict: Dictionary with key data.
+    :type kdict: dict
+    :return: An instance of the key.
+    :rtype: C{kClass}
+    """
+    leap_assert(
+        address == kdict[KEY_ADDRESS_KEY],
+        'Wrong address in key data.')
+    return kClass(
+        address,
+        key_id=kdict[KEY_ID_KEY],
+        fingerprint=kdict[KEY_FINGERPRINT_KEY],
+        key_data=kdict[KEY_DATA_KEY],
+        private=kdict[KEY_PRIVATE_KEY],
+        length=kdict[KEY_LENGTH_KEY],
+        expiry_date=kdict[KEY_EXPIRY_DATE_KEY],
+        first_seen_at=kdict[KEY_FIRST_SEEN_AT_KEY],
+        last_audited_at=kdict[KEY_LAST_AUDITED_AT_KEY],
+        validation=kdict[KEY_VALIDATION_KEY],  # TODO: verify for validation.
+    )
+
+
+#
+# Abstraction for encryption keys
+#
+
+class EncryptionKey(object):
+    """
+    Abstract class for encryption keys.
+
+    A key is "validated" if the nicknym agent has bound the user address to a
+    public key. Nicknym supports three different levels of key validation:
+
+    * Level 3 - path trusted: A path of cryptographic signatures can be traced
+      from a trusted key to the key under evaluation. By default, only the
+      provider key from the user's provider is a "trusted key".
+    * level 2 - provider signed: The key has been signed by a provider key for
+      the same domain, but the provider key is not validated using a trust
+      path (i.e. it is only registered)
+    * level 1 - registered: The key has been encountered and saved, it has no
+      signatures (that are meaningful to the nicknym agent).
+    """
+
+    __metaclass__ = ABCMeta
+
+    def __init__(self, address, key_id=None, fingerprint=None,
+                 key_data=None, private=None, length=None, expiry_date=None,
+                 validation=None, first_seen_at=None, last_audited_at=None):
+        self.address = address
+        self.key_id = key_id
+        self.fingerprint = fingerprint
+        self.key_data = key_data
+        self.private = private
+        self.length = length
+        self.expiry_date = expiry_date
+        self.validation = validation
+        self.first_seen_at = first_seen_at
+        self.last_audited_at = last_audited_at
+
+    def get_json(self):
+        """
+        Return a JSON string describing this key.
+
+        :return: The JSON string describing this key.
+        :rtype: str
+        """
+        return json.dumps({
+            KEY_ADDRESS_KEY: self.address,
+            KEY_TYPE_KEY: str(self.__class__),
+            KEY_ID_KEY: self.key_id,
+            KEY_FINGERPRINT_KEY: self.fingerprint,
+            KEY_DATA_KEY: self.key_data,
+            KEY_PRIVATE_KEY: self.private,
+            KEY_LENGTH_KEY: self.length,
+            KEY_EXPIRY_DATE_KEY: self.expiry_date,
+            KEY_VALIDATION_KEY: self.validation,
+            KEY_FIRST_SEEN_AT_KEY: self.first_seen_at,
+            KEY_LAST_AUDITED_AT_KEY: self.last_audited_at,
+            KEY_TAGS_KEY: [KEYMANAGER_KEY_TAG],
+        })
+
+    def __repr__(self):
+        """
+        Representation of this class
+        """
+        return u"<%s 0x%s (%s - %s)>" % (
+            self.__class__.__name__,
+            self.key_id,
+            self.address,
+            "priv" if self.private else "publ")
+
+
+#
+# Encryption schemes
+#
+
+class EncryptionScheme(object):
+    """
+    Abstract class for Encryption Schemes.
+
+    A wrapper for a certain encryption schemes should know how to get and put
+    keys in local storage using Soledad, how to generate new keys and how to
+    find out about possibly encrypted content.
+    """
+
+    __metaclass__ = ABCMeta
+
+    def __init__(self, soledad):
+        """
+        Initialize this Encryption Scheme.
+
+        :param soledad: A Soledad instance for local storage of keys.
+        :type soledad: leap.soledad.Soledad
+        """
+        self._soledad = soledad
+        self._init_indexes()
+
+    def _init_indexes(self):
+        """
+        Initialize the database indexes.
+        """
+        # Ask the database for currently existing indexes.
+        db_indexes = dict(self._soledad.list_indexes())
+        # Loop through the indexes we expect to find.
+        for name, expression in INDEXES.items():
+            if name not in db_indexes:
+                # The index does not yet exist.
+                self._soledad.create_index(name, *expression)
+                continue
+            if expression == db_indexes[name]:
+                # The index exists and is up to date.
+                continue
+            # The index exists but the definition is not what expected, so we
+            # delete it and add the proper index expression.
+            self._soledad.delete_index(name)
+            self._soledad.create_index(name, *expression)
+
+    @abstractmethod
+    def get_key(self, address, private=False):
+        """
+        Get key from local storage.
+
+        :param address: The address bound to the key.
+        :type address: str
+        :param private: Look for a private key instead of a public one?
+        :type private: bool
+
+        :return: The key bound to C{address}.
+        :rtype: EncryptionKey
+        @raise KeyNotFound: If the key was not found on local storage.
+        """
+        pass
+
+    @abstractmethod
+    def put_key(self, key):
+        """
+        Put a key in local storage.
+
+        :param key: The key to be stored.
+        :type key: EncryptionKey
+        """
+        pass
+
+    @abstractmethod
+    def gen_key(self, address):
+        """
+        Generate a new key.
+
+        :param address: The address bound to the key.
+        :type address: str
+
+        :return: The key bound to C{address}.
+        :rtype: EncryptionKey
+        """
+        pass
+
+    @abstractmethod
+    def delete_key(self, key):
+        """
+        Remove C{key} from storage.
+
+        :param key: The key to be removed.
+        :type key: EncryptionKey
+        """
+        pass
diff --git a/src/leap/keymanager/openpgp.py b/src/leap/keymanager/openpgp.py
new file mode 100644 (file)
index 0000000..d19bb2b
--- /dev/null
@@ -0,0 +1,636 @@
+# -*- coding: utf-8 -*-
+# openpgp.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+"""
+Infrastructure for using OpenPGP keys in Key Manager.
+"""
+import logging
+import os
+import re
+import shutil
+import tempfile
+
+from leap.common.check import leap_assert, leap_assert_type
+from leap.keymanager import errors
+from leap.keymanager.keys import (
+    EncryptionKey,
+    EncryptionScheme,
+    is_address,
+    build_key_from_dict,
+    KEYMANAGER_KEY_TAG,
+    TAGS_ADDRESS_PRIVATE_INDEX,
+)
+from leap.keymanager.gpg import GPGWrapper
+
+logger = logging.getLogger(__name__)
+
+
+#
+# gpg wrapper and decorator
+#
+
+def temporary_gpgwrapper(keys=None):
+    """
+    Returns a unitary gpg wrapper that implements context manager
+    protocol.
+
+    :param key_data: ASCII armored key data.
+    :type key_data: str
+
+    :return: a GPGWrapper instance
+    :rtype: GPGWrapper
+    """
+    # TODO do here checks on key_data
+    return TempGPGWrapper(keys=keys)
+
+
+def with_temporary_gpg(fun):
+    """
+    Decorator to add a temporary gpg wrapper as context
+    to gpg related functions.
+
+    Decorated functions are expected to return a function whose only
+    argument is a gpgwrapper instance.
+    """
+    def wrapped(*args, **kwargs):
+        """
+        We extract the arguments passed to the wrapped function,
+        run the function and do validations.
+        We expect that the positional arguments are `data`,
+        and an optional `key`.
+        All the rest of arguments should be passed as named arguments
+        to allow for a correct unpacking.
+        """
+        if len(args) == 2:
+            keys = args[1] if isinstance(args[1], OpenPGPKey) else None
+        else:
+            keys = None
+
+        # sign/verify keys passed as arguments
+        sign = kwargs.get('sign', None)
+        if sign:
+            keys = [keys, sign]
+
+        verify = kwargs.get('verify', None)
+        if verify:
+            keys = [keys, verify]
+
+        # is the wrapped function sign or verify?
+        fun_name = fun.__name__
+        is_sign_function = True if fun_name == "sign" else False
+        is_verify_function = True if fun_name == "verify" else False
+
+        result = None
+
+        with temporary_gpgwrapper(keys) as gpg:
+            result = fun(*args, **kwargs)(gpg)
+
+            # TODO: cleanup a little bit the
+            # validation. maybe delegate to other
+            # auxiliary functions for clarity.
+
+            ok = getattr(result, 'ok', None)
+
+            stderr = getattr(result, 'stderr', None)
+            if stderr:
+                logger.debug("%s" % (stderr,))
+
+            if ok is False:
+                raise errors.EncryptionDecryptionFailed(
+                    'Failed to encrypt/decrypt in %s: %s' % (
+                        fun.__name__,
+                        stderr))
+
+            if verify is not None:
+                # A verify key has been passed
+                if result.valid is False or \
+                        verify.fingerprint != result.pubkey_fingerprint:
+                    raise errors.InvalidSignature(
+                        'Failed to verify signature with key %s: %s' %
+                        (verify.key_id, stderr))
+
+            if is_sign_function:
+                # Specific validation for sign function
+                privkey = gpg.list_keys(secret=True).pop()
+                rfprint = result.fingerprint
+                kfprint = privkey['fingerprint']
+                if result.fingerprint is None:
+                    raise errors.SignFailed(
+                        'Failed to sign with key %s: %s' %
+                        (privkey['keyid'], stderr))
+                leap_assert(
+                    result.fingerprint == kfprint,
+                    'Signature and private key fingerprints mismatch: '
+                    '%s != %s' %
+                    (rfprint, kfprint))
+
+            if is_verify_function:
+                # Specific validation for verify function
+                pubkey = gpg.list_keys().pop()
+                valid = result.valid
+                rfprint = result.fingerprint
+                kfprint = pubkey['fingerprint']
+                if valid is False or rfprint != kfprint:
+                    raise errors.InvalidSignature(
+                        'Failed to verify signature '
+                        'with key %s.' % pubkey['keyid'])
+                result = result.valid
+
+            # ok, enough checks. let's return data if available
+            if hasattr(result, 'data'):
+                result = result.data
+        return result
+    return wrapped
+
+
+class TempGPGWrapper(object):
+    """
+    A context manager returning a temporary GPG wrapper keyring, which
+    contains exactly zero or one pubkeys, and zero or one privkeys.
+
+    Temporary unitary keyrings allow the to use GPG's facilities for exactly
+    one key. This function creates an empty temporary keyring and imports
+    C{keys} if it is not None.
+    """
+    def __init__(self, keys=None):
+        """
+        :param keys: OpenPGP key, or list of.
+        :type keys: OpenPGPKey or list of OpenPGPKeys
+        """
+        self._gpg = None
+        if not keys:
+            keys = list()
+        if not isinstance(keys, list):
+            keys = [keys]
+        self._keys = keys
+        for key in filter(None, keys):
+            leap_assert_type(key, OpenPGPKey)
+
+    def __enter__(self):
+        """
+        Calls the unitary gpgwrapper initializer
+
+        :return: A GPG wrapper with a unitary keyring.
+        :rtype: gnupg.GPG
+        """
+        self._build_keyring()
+        return self._gpg
+
+    def __exit__(self, exc_type, exc_value, traceback):
+        """
+        Ensures the gpgwrapper is properly destroyed.
+        """
+        # TODO handle exceptions and log here
+        self._destroy_keyring()
+
+    def _build_keyring(self):
+        """
+        Create an empty GPG keyring and import C{keys} into it.
+
+        :param keys: List of keys to add to the keyring.
+        :type keys: list of OpenPGPKey
+
+        :return: A GPG wrapper with a unitary keyring.
+        :rtype: gnupg.GPG
+        """
+        privkeys = [key for key in self._keys if key and key.private is True]
+        publkeys = [key for key in self._keys if key and key.private is False]
+        # here we filter out public keys that have a correspondent
+        # private key in the list because the private key_data by
+        # itself is enough to also have the public key in the keyring,
+        # and we want to count the keys afterwards.
+
+        privaddrs = map(lambda privkey: privkey.address, privkeys)
+        publkeys = filter(
+            lambda pubkey: pubkey.address not in privaddrs, publkeys)
+
+        listkeys = lambda: self._gpg.list_keys()
+        listsecretkeys = lambda: self._gpg.list_keys(secret=True)
+
+        self._gpg = GPGWrapper(gnupghome=tempfile.mkdtemp())
+        leap_assert(len(listkeys()) is 0, 'Keyring not empty.')
+
+        # import keys into the keyring:
+        # concatenating ascii-armored keys, which is correctly
+        # understood by the GPGWrapper.
+
+        self._gpg.import_keys("".join(
+            [x.key_data for x in publkeys + privkeys]))
+
+        # assert the number of keys in the keyring
+        leap_assert(
+            len(listkeys()) == len(publkeys) + len(privkeys),
+            'Wrong number of public keys in keyring: %d, should be %d)' %
+            (len(listkeys()), len(publkeys) + len(privkeys)))
+        leap_assert(
+            len(listsecretkeys()) == len(privkeys),
+            'Wrong number of private keys in keyring: %d, should be %d)' %
+            (len(listsecretkeys()), len(privkeys)))
+
+    def _destroy_keyring(self):
+        """
+        Securely erase a unitary keyring.
+        """
+        # TODO: implement some kind of wiping of data or a more
+        # secure way that
+        # does not write to disk.
+
+        try:
+            for secret in [True, False]:
+                for key in self._gpg.list_keys(secret=secret):
+                    self._gpg.delete_keys(
+                        key['fingerprint'],
+                        secret=secret)
+            leap_assert(len(self._gpg.list_keys()) is 0, 'Keyring not empty!')
+
+        except:
+            raise
+
+        finally:
+            leap_assert(self._gpg.gnupghome != os.path.expanduser('~/.gnupg'),
+                        "watch out! Tried to remove default gnupg home!")
+            shutil.rmtree(self._gpg.gnupghome)
+
+
+#
+# API functions
+#
+
+@with_temporary_gpg
+def encrypt_asym(data, key, passphrase=None, sign=None):
+    """
+    Encrypt C{data} using public @{key} and sign with C{sign} key.
+
+    :param data: The data to be encrypted.
+    :type data: str
+    :param pubkey: The key used to encrypt.
+    :type pubkey: OpenPGPKey
+    :param sign: The key used for signing.
+    :type sign: OpenPGPKey
+
+    :return: The encrypted data.
+    :rtype: str
+    """
+    leap_assert_type(key, OpenPGPKey)
+    leap_assert(key.private is False, 'Key is not public.')
+    if sign is not None:
+        leap_assert_type(sign, OpenPGPKey)
+        leap_assert(sign.private is True)
+
+    # Here we cannot assert for correctness of sig because the sig is in
+    # the ciphertext.
+    # result.ok    - (bool) indicates if the operation succeeded
+    # result.data  - (bool) contains the result of the operation
+
+    return lambda gpg: gpg.encrypt(
+        data, key.fingerprint,
+        sign=sign.key_id if sign else None,
+        passphrase=passphrase, symmetric=False)
+
+
+@with_temporary_gpg
+def decrypt_asym(data, key, passphrase=None, verify=None):
+    """
+    Decrypt C{data} using private @{key} and verify with C{verify} key.
+
+    :param data: The data to be decrypted.
+    :type data: str
+    :param privkey: The key used to decrypt.
+    :type privkey: OpenPGPKey
+    :param verify: The key used to verify a signature.
+    :type verify: OpenPGPKey
+
+    :return: The decrypted data.
+    :rtype: str
+
+    @raise InvalidSignature: Raised if unable to verify the signature with
+        C{verify} key.
+    """
+    leap_assert(key.private is True, 'Key is not private.')
+    if verify is not None:
+        leap_assert_type(verify, OpenPGPKey)
+        leap_assert(verify.private is False)
+
+    return lambda gpg: gpg.decrypt(
+        data, passphrase=passphrase)
+
+
+@with_temporary_gpg
+def is_encrypted(data):
+    """
+    Return whether C{data} was encrypted using OpenPGP.
+
+    :param data: The data we want to know about.
+    :type data: str
+
+    :return: Whether C{data} was encrypted using this wrapper.
+    :rtype: bool
+    """
+    return lambda gpg: gpg.is_encrypted(data)
+
+
+@with_temporary_gpg
+def is_encrypted_asym(data):
+    """
+    Return whether C{data} was asymmetrically encrypted using OpenPGP.
+
+    :param data: The data we want to know about.
+    :type data: str
+
+    :return: Whether C{data} was encrypted using this wrapper.
+    :rtype: bool
+    """
+    return lambda gpg: gpg.is_encrypted_asym(data)
+
+
+@with_temporary_gpg
+def sign(data, privkey):
+    """
+    Sign C{data} with C{privkey}.
+
+    :param data: The data to be signed.
+    :type data: str
+
+    :param privkey: The private key to be used to sign.
+    :type privkey: OpenPGPKey
+
+    :return: The ascii-armored signed data.
+    :rtype: str
+    """
+    leap_assert_type(privkey, OpenPGPKey)
+    leap_assert(privkey.private is True)
+
+    # result.fingerprint - contains the fingerprint of the key used to
+    #                      sign.
+    return lambda gpg: gpg.sign(data, keyid=privkey.key_id)
+
+
+@with_temporary_gpg
+def verify(data, key):
+    """
+    Verify signed C{data} with C{pubkey}.
+
+    :param data: The data to be verified.
+    :type data: str
+
+    :param pubkey: The public key to be used on verification.
+    :type pubkey: OpenPGPKey
+
+    :return: The ascii-armored signed data.
+    :rtype: str
+    """
+    leap_assert_type(key, OpenPGPKey)
+    leap_assert(key.private is False)
+
+    return lambda gpg: gpg.verify(data)
+
+
+#
+# Helper functions
+#
+
+
+def _build_key_from_gpg(address, key, key_data):
+    """
+    Build an OpenPGPKey for C{address} based on C{key} from
+    local gpg storage.
+
+    ASCII armored GPG key data has to be queried independently in this
+    wrapper, so we receive it in C{key_data}.
+
+    :param address: The address bound to the key.
+    :type address: str
+    :param key: Key obtained from GPG storage.
+    :type key: dict
+    :param key_data: Key data obtained from GPG storage.
+    :type key_data: str
+    :return: An instance of the key.
+    :rtype: OpenPGPKey
+    """
+    return OpenPGPKey(
+        address,
+        key_id=key['keyid'],
+        fingerprint=key['fingerprint'],
+        key_data=key_data,
+        private=True if key['type'] == 'sec' else False,
+        length=key['length'],
+        expiry_date=key['expires'],
+        validation=None,  # TODO: verify for validation.
+    )
+
+
+#
+# The OpenPGP wrapper
+#
+
+class OpenPGPKey(EncryptionKey):
+    """
+    Base class for OpenPGP keys.
+    """
+
+
+class OpenPGPScheme(EncryptionScheme):
+    """
+    A wrapper for OpenPGP keys.
+    """
+
+    def __init__(self, soledad):
+        """
+        Initialize the OpenPGP wrapper.
+
+        :param soledad: A Soledad instance for key storage.
+        :type soledad: leap.soledad.Soledad
+        """
+        EncryptionScheme.__init__(self, soledad)
+
+    def gen_key(self, address):
+        """
+        Generate an OpenPGP keypair bound to C{address}.
+
+        :param address: The address bound to the key.
+        :type address: str
+        :return: The key bound to C{address}.
+        :rtype: OpenPGPKey
+        @raise KeyAlreadyExists: If key already exists in local database.
+        """
+        # make sure the key does not already exist
+        leap_assert(is_address(address), 'Not an user address: %s' % address)
+        try:
+            self.get_key(address)
+            raise errors.KeyAlreadyExists(address)
+        except errors.KeyNotFound:
+            pass
+
+        def _gen_key(gpg):
+            params = gpg.gen_key_input(
+                key_type='RSA',
+                key_length=4096,
+                name_real=address,
+                name_email=address,
+                name_comment='Generated by LEAP Key Manager.')
+            gpg.gen_key(params)
+            pubkeys = gpg.list_keys()
+            # assert for new key characteristics
+            leap_assert(
+                len(pubkeys) is 1,  # a unitary keyring!
+                'Keyring has wrong number of keys: %d.' % len(pubkeys))
+            key = gpg.list_keys(secret=True).pop()
+            leap_assert(
+                len(key['uids']) is 1,  # with just one uid!
+                'Wrong number of uids for key: %d.' % len(key['uids']))
+            leap_assert(
+                re.match('.*<%s>$' % address, key['uids'][0]) is not None,
+                'Key not correctly bound to address.')
+            # insert both public and private keys in storage
+            for secret in [True, False]:
+                key = gpg.list_keys(secret=secret).pop()
+                openpgp_key = _build_key_from_gpg(
+                    address, key,
+                    gpg.export_keys(key['fingerprint'], secret=secret))
+                self.put_key(openpgp_key)
+
+        with temporary_gpgwrapper() as gpg:
+            # TODO: inspect result, or use decorator
+            _gen_key(gpg)
+
+        return self.get_key(address, private=True)
+
+    def get_key(self, address, private=False):
+        """
+        Get key bound to C{address} from local storage.
+
+        :param address: The address bound to the key.
+        :type address: str
+        :param private: Look for a private key instead of a public one?
+        :type private: bool
+
+        :return: The key bound to C{address}.
+        :rtype: OpenPGPKey
+        @raise KeyNotFound: If the key was not found on local storage.
+        """
+        leap_assert(is_address(address), 'Not an user address: %s' % address)
+        doc = self._get_key_doc(address, private)
+        if doc is None:
+            raise errors.KeyNotFound(address)
+        return build_key_from_dict(OpenPGPKey, address, doc.content)
+
+    def put_ascii_key(self, key_data):
+        """
+        Put key contained in ascii-armored C{key_data} in local storage.
+
+        :param key_data: The key data to be stored.
+        :type key_data: str
+        """
+        leap_assert_type(key_data, str)
+        # TODO: add more checks for correct key data.
+        leap_assert(key_data is not None, 'Data does not represent a key.')
+
+        def _put_ascii_key(gpg):
+            gpg.import_keys(key_data)
+            privkey = None
+            pubkey = None
+
+            try:
+                privkey = gpg.list_keys(secret=True).pop()
+            except IndexError:
+                pass
+            pubkey = gpg.list_keys(secret=False).pop()  # unitary keyring
+            # extract adress from first uid on key
+            match = re.match('.*<([\w.-]+@[\w.-]+)>.*', pubkey['uids'].pop())
+            leap_assert(match is not None, 'No user address in key data.')
+            address = match.group(1)
+            if privkey is not None:
+                match = re.match(
+                    '.*<([\w.-]+@[\w.-]+)>.*', privkey['uids'].pop())
+                leap_assert(match is not None, 'No user address in key data.')
+                privaddress = match.group(1)
+                leap_assert(
+                    address == privaddress,
+                    'Addresses in pub and priv key differ.')
+                leap_assert(
+                    pubkey['fingerprint'] == privkey['fingerprint'],
+                    'Fingerprints for pub and priv key differ.')
+                # insert private key in storage
+                openpgp_privkey = _build_key_from_gpg(
+                    address, privkey,
+                    gpg.export_keys(privkey['fingerprint'], secret=True))
+                self.put_key(openpgp_privkey)
+            # insert public key in storage
+            openpgp_pubkey = _build_key_from_gpg(
+                address, pubkey,
+                gpg.export_keys(pubkey['fingerprint'], secret=False))
+            self.put_key(openpgp_pubkey)
+
+        with temporary_gpgwrapper() as gpg:
+            # TODO: inspect result, or use decorator
+            _put_ascii_key(gpg)
+
+    def put_key(self, key):
+        """
+        Put C{key} in local storage.
+
+        :param key: The key to be stored.
+        :type key: OpenPGPKey
+        """
+        doc = self._get_key_doc(key.address, private=key.private)
+        if doc is None:
+            self._soledad.create_doc_from_json(key.get_json())
+        else:
+            doc.set_json(key.get_json())
+            self._soledad.put_doc(doc)
+
+    def _get_key_doc(self, address, private=False):
+        """
+        Get the document with a key (public, by default) bound to C{address}.
+
+        If C{private} is True, looks for a private key instead of a public.
+
+        :param address: The address bound to the key.
+        :type address: str
+        :param private: Whether to look for a private key.
+        :type private: bool
+        :return: The document with the key or None if it does not exist.
+        :rtype: leap.soledad.document.SoledadDocument
+        """
+        doclist = self._soledad.get_from_index(
+            TAGS_ADDRESS_PRIVATE_INDEX,
+            KEYMANAGER_KEY_TAG,
+            address,
+            '1' if private else '0')
+        if len(doclist) is 0:
+            return None
+        leap_assert(
+            len(doclist) is 1,
+            'Found more than one %s key for address!' %
+            'private' if private else 'public')
+        return doclist.pop()
+
+    def delete_key(self, key):
+        """
+        Remove C{key} from storage.
+
+        :param key: The key to be removed.
+        :type key: EncryptionKey
+        """
+        leap_assert(key.__class__ is OpenPGPKey, 'Wrong key type.')
+        stored_key = self.get_key(key.address, private=key.private)
+        if stored_key is None:
+            raise errors.KeyNotFound(key)
+        if stored_key.__dict__ != key.__dict__:
+            raise errors.KeyAttributesDiffer(key)
+        doc = self._get_key_doc(key.address, key.private)
+        self._soledad.delete_doc(doc)
diff --git a/src/leap/keymanager/tests/__init__.py b/src/leap/keymanager/tests/__init__.py
new file mode 100644 (file)
index 0000000..e69de29
diff --git a/src/leap/keymanager/tests/test_keymanager.py b/src/leap/keymanager/tests/test_keymanager.py
new file mode 100644 (file)
index 0000000..09a6183
--- /dev/null
@@ -0,0 +1,676 @@
+## -*- coding: utf-8 -*-
+# test_keymanager.py
+# Copyright (C) 2013 LEAP
+#
+# This program is free software: you can redistribute it and/or modify
+# it under the terms of the GNU General Public License as published by
+# the Free Software Foundation, either version 3 of the License, or
+# (at your option) any later version.
+#
+# This program is distributed in the hope that it will be useful,
+# but WITHOUT ANY WARRANTY; without even the implied warranty of
+# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
+# GNU General Public License for more details.
+#
+# You should have received a copy of the GNU General Public License
+# along with this program. If not, see <http://www.gnu.org/licenses/>.
+
+
+"""
+Tests for the Key Manager.
+"""
+
+
+from mock import Mock
+from leap.common.testing.basetest import BaseLeapTest
+from leap.soledad import Soledad
+from leap.keymanager import (
+    KeyManager,
+    openpgp,
+    KeyNotFound,
+    NoPasswordGiven,
+    errors,
+)
+from leap.keymanager.openpgp import OpenPGPKey
+from leap.keymanager.keys import (
+    is_address,
+    build_key_from_dict,
+)
+
+
+ADDRESS = 'leap@leap.se'
+ADDRESS_2 = 'anotheruser@leap.se'
+
+
+class KeyManagerUtilTestCase(BaseLeapTest):
+
+    def setUp(self):
+        pass
+
+    def tearDown(self):
+        pass
+
+    def test_is_address(self):
+        self.assertTrue(
+            is_address('user@leap.se'),
+            'Incorrect address detection.')
+        self.assertFalse(
+            is_address('userleap.se'),
+            'Incorrect address detection.')
+        self.assertFalse(
+            is_address('user@'),
+            'Incorrect address detection.')
+        self.assertFalse(
+            is_address('@leap.se'),
+            'Incorrect address detection.')
+
+    def test_build_key_from_dict(self):
+        kdict = {
+            'address': ADDRESS,
+            'key_id': 'key_id',
+            'fingerprint': 'fingerprint',
+            'key_data': 'key_data',
+            'private': 'private',
+            'length': 'length',
+            'expiry_date': 'expiry_date',
+            'first_seen_at': 'first_seen_at',
+            'last_audited_at': 'last_audited_at',
+            'validation': 'validation',
+        }
+        key = build_key_from_dict(OpenPGPKey, ADDRESS, kdict)
+        self.assertEqual(
+            kdict['address'], key.address,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['key_id'], key.key_id,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['fingerprint'], key.fingerprint,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['key_data'], key.key_data,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['private'], key.private,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['length'], key.length,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['expiry_date'], key.expiry_date,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['first_seen_at'], key.first_seen_at,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['last_audited_at'], key.last_audited_at,
+            'Wrong data in key.')
+        self.assertEqual(
+            kdict['validation'], key.validation,
+            'Wrong data in key.')
+
+
+class KeyManagerWithSoledadTestCase(BaseLeapTest):
+
+    def setUp(self):
+        # mock key fetching and storing so Soledad doesn't fail when trying to
+        # reach the server.
+        Soledad._get_secrets_from_shared_db = Mock(return_value=None)
+        Soledad._put_secrets_in_shared_db = Mock(return_value=None)
+
+        self._soledad = Soledad(
+            "leap@leap.se",
+            "123456",
+            secrets_path=self.tempdir + "/secret.gpg",
+            local_db_path=self.tempdir + "/soledad.u1db",
+            server_url='',
+            cert_file=None,
+            auth_token=None,
+        )
+
+    def tearDown(self):
+        km = self._key_manager()
+        for key in km.get_all_keys_in_local_db():
+            km._wrapper_map[key.__class__].delete_key(key)
+        for key in km.get_all_keys_in_local_db(private=True):
+            km._wrapper_map[key.__class__].delete_key(key)
+
+    def _key_manager(self, user=ADDRESS, url=''):
+        return KeyManager(user, url, self._soledad)
+
+
+class OpenPGPCryptoTestCase(KeyManagerWithSoledadTestCase):
+
+    def _test_openpgp_gen_key(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        self.assertRaises(KeyNotFound, pgp.get_key, 'user@leap.se')
+        key = pgp.gen_key('user@leap.se')
+        self.assertIsInstance(key, openpgp.OpenPGPKey)
+        self.assertEqual(
+            'user@leap.se', key.address, 'Wrong address bound to key.')
+        self.assertEqual(
+            '4096', key.length, 'Wrong key length.')
+
+    def test_openpgp_put_delete_key(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+        pgp.put_ascii_key(PUBLIC_KEY)
+        key = pgp.get_key(ADDRESS, private=False)
+        pgp.delete_key(key)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+
+    def test_openpgp_put_ascii_key(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+        pgp.put_ascii_key(PUBLIC_KEY)
+        key = pgp.get_key(ADDRESS, private=False)
+        self.assertIsInstance(key, openpgp.OpenPGPKey)
+        self.assertEqual(
+            ADDRESS, key.address, 'Wrong address bound to key.')
+        self.assertEqual(
+            '4096', key.length, 'Wrong key length.')
+        pgp.delete_key(key)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+
+    def test_get_public_key(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+        pgp.put_ascii_key(PUBLIC_KEY)
+        self.assertRaises(
+            KeyNotFound, pgp.get_key, ADDRESS, private=True)
+        key = pgp.get_key(ADDRESS, private=False)
+        self.assertEqual(ADDRESS, key.address)
+        self.assertFalse(key.private)
+        self.assertEqual(KEY_FINGERPRINT, key.fingerprint)
+        pgp.delete_key(key)
+        self.assertRaises(KeyNotFound, pgp.get_key, ADDRESS)
+
+    def test_openpgp_encrypt_decrypt_asym(self):
+        # encrypt
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PUBLIC_KEY)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        cyphertext = openpgp.encrypt_asym('data', pubkey)
+        # assert
+        self.assertTrue(cyphertext is not None)
+        self.assertTrue(cyphertext != '')
+        self.assertTrue(cyphertext != 'data')
+        self.assertTrue(openpgp.is_encrypted_asym(cyphertext))
+        self.assertTrue(openpgp.is_encrypted(cyphertext))
+        # decrypt
+        self.assertRaises(
+            KeyNotFound, pgp.get_key, ADDRESS, private=True)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        privkey = pgp.get_key(ADDRESS, private=True)
+        plaintext = openpgp.decrypt_asym(cyphertext, privkey)
+        pgp.delete_key(pubkey)
+        pgp.delete_key(privkey)
+        self.assertRaises(
+            KeyNotFound, pgp.get_key, ADDRESS, private=False)
+        self.assertRaises(
+            KeyNotFound, pgp.get_key, ADDRESS, private=True)
+
+    def test_verify_with_private_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        signed = openpgp.sign(data, privkey)
+        self.assertRaises(
+            AssertionError,
+            openpgp.verify, signed, privkey)
+
+    def test_sign_with_public_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PUBLIC_KEY)
+        data = 'data'
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        self.assertRaises(
+            AssertionError,
+            openpgp.sign, data, pubkey)
+
+    def test_verify_with_wrong_key_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        signed = openpgp.sign(data, privkey)
+        pgp.put_ascii_key(PUBLIC_KEY_2)
+        wrongkey = pgp.get_key(ADDRESS_2)
+        self.assertRaises(
+            errors.InvalidSignature,
+            openpgp.verify, signed, wrongkey)
+
+    def test_encrypt_asym_sign_with_public_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        self.assertRaises(
+            AssertionError,
+            openpgp.encrypt_asym, data, privkey, sign=pubkey)
+
+    def test_decrypt_asym_verify_with_private_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        encrypted_and_signed = openpgp.encrypt_asym(
+            data, pubkey, sign=privkey)
+        self.assertRaises(
+            AssertionError,
+            openpgp.decrypt_asym,
+            encrypted_and_signed, privkey, verify=privkey)
+
+    def test_decrypt_asym_verify_with_wrong_key_raises(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        encrypted_and_signed = openpgp.encrypt_asym(data, pubkey, sign=privkey)
+        pgp.put_ascii_key(PUBLIC_KEY_2)
+        wrongkey = pgp.get_key(ADDRESS_2)
+        self.assertRaises(
+            errors.InvalidSignature,
+            openpgp.verify, encrypted_and_signed, wrongkey)
+
+    def test_sign_verify(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        data = 'data'
+        privkey = pgp.get_key(ADDRESS, private=True)
+        signed = openpgp.sign(data, privkey)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        self.assertTrue(openpgp.verify(signed, pubkey))
+
+    def test_encrypt_asym_sign_decrypt_verify(self):
+        pgp = openpgp.OpenPGPScheme(self._soledad)
+        pgp.put_ascii_key(PRIVATE_KEY)
+        pubkey = pgp.get_key(ADDRESS, private=False)
+        privkey = pgp.get_key(ADDRESS, private=True)
+        pgp.put_ascii_key(PRIVATE_KEY_2)
+        pubkey2 = pgp.get_key(ADDRESS_2, private=False)
+        privkey2 = pgp.get_key(ADDRESS_2, private=True)
+        data = 'data'
+        encrypted_and_signed = openpgp.encrypt_asym(
+            data, pubkey2, sign=privkey)
+        res = openpgp.decrypt_asym(
+            encrypted_and_signed, privkey2, verify=pubkey)
+        self.assertTrue(data, res)
+
+
+class KeyManagerKeyManagementTestCase(KeyManagerWithSoledadTestCase):
+
+    def test_get_all_keys_in_db(self):
+        km = self._key_manager()
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PRIVATE_KEY)
+        # get public keys
+        keys = km.get_all_keys_in_local_db(False)
+        self.assertEqual(len(keys), 1, 'Wrong number of keys')
+        self.assertEqual(ADDRESS, keys[0].address)
+        self.assertFalse(keys[0].private)
+        # get private keys
+        keys = km.get_all_keys_in_local_db(True)
+        self.assertEqual(len(keys), 1, 'Wrong number of keys')
+        self.assertEqual(ADDRESS, keys[0].address)
+        self.assertTrue(keys[0].private)
+
+    def test_get_public_key(self):
+        km = self._key_manager()
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PRIVATE_KEY)
+        # get the key
+        key = km.get_key(ADDRESS, OpenPGPKey, private=False,
+                         fetch_remote=False)
+        self.assertTrue(key is not None)
+        self.assertEqual(key.address, ADDRESS)
+        self.assertEqual(
+            key.fingerprint.lower(), KEY_FINGERPRINT.lower())
+        self.assertFalse(key.private)
+
+    def test_get_private_key(self):
+        km = self._key_manager()
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PRIVATE_KEY)
+        # get the key
+        key = km.get_key(ADDRESS, OpenPGPKey, private=True,
+                         fetch_remote=False)
+        self.assertTrue(key is not None)
+        self.assertEqual(key.address, ADDRESS)
+        self.assertEqual(
+            key.fingerprint.lower(), KEY_FINGERPRINT.lower())
+        self.assertTrue(key.private)
+
+    def test_send_key_raises_key_not_found(self):
+        km = self._key_manager()
+        self.assertRaises(
+            KeyNotFound,
+            km.send_key, OpenPGPKey)
+
+    def test_send_key(self):
+        """
+        Test that request is well formed when sending keys to server.
+        """
+        km = self._key_manager()
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PUBLIC_KEY)
+        km._fetcher.put = Mock()
+        # the following data will be used on the send
+        km.ca_cert_path = 'capath'
+        km.session_id = 'sessionid'
+        km.uid = 'myuid'
+        km.api_uri = 'apiuri'
+        km.api_version = 'apiver'
+        km.send_key(OpenPGPKey)
+        # setup expected args
+        data = {
+            km.PUBKEY_KEY: km.get_key(km._address, OpenPGPKey).key_data,
+        }
+        url = '%s/%s/users/%s.json' % ('apiuri', 'apiver', 'myuid')
+        km._fetcher.put.assert_called_once_with(
+            url, data=data, verify='capath',
+            cookies={'_session_id': 'sessionid'},
+        )
+
+    def test__fetch_keys_from_server(self):
+        """
+        Test that the request is well formed when fetching keys from server.
+        """
+        km = self._key_manager(url='http://nickserver.domain')
+
+        class Response(object):
+            status_code = 200
+            headers = {'content-type': 'application/json'}
+
+            def json(self):
+                return {'address': ADDRESS_2, 'openpgp': PUBLIC_KEY_2}
+
+            def raise_for_status(self):
+                pass
+
+        # mock the fetcher so it returns the key for ADDRESS_2
+        km._fetcher.get = Mock(
+            return_value=Response())
+        km.ca_cert_path = 'cacertpath'
+        # do the fetch
+        km._fetch_keys_from_server(ADDRESS_2)
+        # and verify the call
+        km._fetcher.get.assert_called_once_with(
+            'http://nickserver.domain',
+            data={'address': ADDRESS_2},
+            verify='cacertpath',
+        )
+
+    def test_refresh_keys_does_not_refresh_own_key(self):
+        """
+        Test that refreshing keys will not attempt to refresh our own key.
+        """
+        km = self._key_manager()
+        # we add 2 keys but we expect it to only refresh the second one.
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PUBLIC_KEY)
+        km._wrapper_map[OpenPGPKey].put_ascii_key(PUBLIC_KEY_2)
+        # mock the key fetching
+        km._fetch_keys_from_server = Mock(return_value=[])
+        km.ca_cert_path = ''  # some bogus path so the km does not complain.
+        # do the refreshing
+        km.refresh_keys()
+        km._fetch_keys_from_server.assert_called_once_with(
+            ADDRESS_2
+        )
+
+    def test_get_key_fetches_from_server(self):
+        """
+        Test that getting a key successfuly fetches from server.
+        """
+        km = self._key_manager(url='http://nickserver.domain')
+
+        class Response(object):
+            status_code = 200
+            headers = {'content-type': 'application/json'}
+
+            def json(self):
+                return {'address': ADDRESS_2, 'openpgp': PUBLIC_KEY_2}
+
+            def raise_for_status(self):
+                pass
+
+        # mock the fetcher so it returns the key for ADDRESS_2
+        km._fetcher.get = Mock(return_value=Response())
+        km.ca_cert_path = 'cacertpath'
+        # try to key get without fetching from server
+        self.assertRaises(
+            KeyNotFound, km.get_key, ADDRESS_2, OpenPGPKey,
+            fetch_remote=False
+        )
+        # try to get key fetching from server.
+        key = km.get_key(ADDRESS_2, OpenPGPKey)
+        self.assertIsInstance(key, OpenPGPKey)
+        self.assertEqual(ADDRESS_2, key.address)
+
+
+# Key material for testing
+
+# key 24D18DDF: public key "Leap Test Key <leap@leap.se>"
+KEY_FINGERPRINT = "E36E738D69173C13D709E44F2F455E2824D18DDF"
+PUBLIC_KEY = """
+-----BEGIN PGP PUBLIC KEY BLOCK-----
+Version: GnuPG v1.4.10 (GNU/Linux)
+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+=MuOY
+-----END PGP PUBLIC KEY BLOCK-----
+"""
+PRIVATE_KEY = """
+-----BEGIN PGP PRIVATE KEY BLOCK-----
+Version: GnuPG v1.4.10 (GNU/Linux)
+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+=JTFu
+-----END PGP PRIVATE KEY BLOCK-----
+"""
+
+# key 7FEE575A: public key "anotheruser <anotheruser@leap.se>"
+PUBLIC_KEY_2 = """
+-----BEGIN PGP PUBLIC KEY BLOCK-----
+Version: GnuPG v1.4.10 (GNU/Linux)
+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=
+=Thdu
+-----END PGP PUBLIC KEY BLOCK-----
+"""
+
+PRIVATE_KEY_2 = """
+-----BEGIN PGP PRIVATE KEY BLOCK-----
+Version: GnuPG v1.4.10 (GNU/Linux)
+
+lQHYBFGMCV4BBADG0yh7jyefxpN+JfWdOn/tFgl0w13bXtVAaA7WdXqwG7nYAuDD
+kYKriqqI9x4cNPyC6ifPBnDiZiiv2xKCALimqpcwxe1AGKTrD2WWJrUXzwtqUwp1
+6mdb3Xqi8E21LKal35ZApBbX4RijKuax/BleWt7V2ZEVmYXTcIVV2WoAtwARAQAB
+AAP7BLuSAx7tOohnimEs74ks8l/L6dOcsFQZj2bqs4AoY3jFe7bV0tHr4llypb/8
+H3/DYvpf6DWnCjyUS1tTnXSW8JXtx01BUKaAufSmMNg9blKV6GGHlT/Whe9uVyks
+7XHk/+9mebVMNJ/kNlqq2k+uWqJohzC8WWLRK+d1tBeqDsECANZmzltPaqUsGV5X
+C3zszE3tUBgptV/mKnBtopKi+VH+t7K6fudGcG+bAcZDUoH/QVde52mIIjjIdLje
+uajJuHUCAO1mqh+vPoGv4eBLV7iBo3XrunyGXiys4a39eomhxTy3YktQanjjx+ty
+GltAGCs5PbWGO6/IRjjvd46wh53kzvsCAO0J97gsWhzLuFnkxFAJSPk7RRlyl7lI
+1XS/x0Og6j9XHCyY1OYkfBm0to3UlCfkgirzCYlTYObCofzdKFIPDmSqHbQhYW5v
+dGhlcnVzZXIgPGFub3RoZXJ1c2VyQGxlYXAuc2U+iLgEEwECACIFAlGMCV4CGwMG
+CwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEH+d+mh/7ldai24D/i0s3gSBSvsh
+8vLYeQcDHPDsDiup8w33YMgz2ZmsMZpZGs6fdpUXtVTVQbswOQd8++n9wXB7OgLD
+izgigdVz+lWU6RwdLK3j9F+Hbjy1gQmYUIlcYemQrzdUgpgkCK2E1xwnpDgkT+jT
+oy1/i6H9wDUdQvhrhx6pSG2kslQst4qjnQHYBFGMCV4BBADsyQI7GR0wSAxzVayL
+juPzgT+bjbFeymIhjuxKIEwnIKwYkovztW+4bbOcQs785k3Lp6RzvigTpQQtZ/hw
+cLOqZbZw8t/24+D+Pq9mMP2uUvCFFqLlVvA6D3vKSQ/XNN+YB919WQ04jh63yuRe
+94WenT1RJd6xU1aaUff4rKizuQARAQABAAP9EyElqJ3dq3EErXwwT4mMnbd1SrVC
+rUJrNWQZL59mm5oigS00uIyR0SvusOr+UzTtd8ysRuwHy5d/LAZsbjQStaOMBILx
+77TJveOel0a1QK0YSMF2ywZMCKvquvjli4hAtWYz/EwfuzQN3t23jc5ny+GqmqD2
+3FUxLJosFUfLNmECAO9KhVmJi+L9dswIs+2Dkjd1eiRQzNOEVffvYkGYZyKxNiXF
+UA5kvyZcB4iAN9sWCybE4WHZ9jd4myGB0MPDGxkCAP1RsXJbbuD6zS7BXe5gwunO
+2q4q7ptdSl/sJYQuTe1KNP5d/uGsvlcFfsYjpsopasPjFBIncc/2QThMKlhoEaEB
+/0mVAxpT6SrEvUbJ18z7kna24SgMPr3OnPMxPGfvNLJY/Xv/A17YfoqjmByCvsKE
+JCDjopXtmbcrZyoEZbEht9mko4ifBBgBAgAJBQJRjAleAhsMAAoJEH+d+mh/7lda
+z2UEAKgs0crDpbvHs+z7ogQ+Enm4EalpcWtUxdbo83y5rj4r0TmdlysOWkLLcYBk
+o6Ae7WnOPbNIboeF/FyvgbSQX1POCUvCXNrGrZX8KMmd+Sx+rA2XJCPkUv98Hus6
+THx7N776fcYHGumbqUMYrxrcZSbNveE6SaK8fphRam1dewM0
+=a5gs
+-----END PGP PRIVATE KEY BLOCK-----
+"""
+import unittest
+if __name__ == "__main__":
+    unittest.main()