您的signature.sig文件似乎是base64编码的。像这样解码:
$ base64 -d signature.sig >signature.bin
让我们看看我们拥有什么:
$ hexdump -C signature.bin
00000000 24 98 70 45 e1 de bf c7 31 3a c3 4a 09 1e 6d fc |$.pE....1:.J..m.|
00000010 47 b7 59 4f 5c ee d9 1f f5 1b 86 35 a9 97 76 95 |G.YO\......5..v.|
00000020 d0 bb d3 8b f1 92 a7 b2 b6 e5 08 ee ef 12 63 97 |..............c.|
00000030 18 a1 ab 93 a3 6c 80 0e 49 66 94 21 5c ed c0 d5 |.....l..If.!\...|
00000040
出于比较目的,我根据您的公钥所使用的同一曲线(P-256)创建了一个新的ECDSA私钥:
$ openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 -out key.pem
然后使用它签名一些数据:
$ echo "HELLO" > hello.txt
$ openssl dgst -sha256 -sign key.pem -out hello.sig hello.txt
$ openssl asn1parse -in hello.sig -inform DER
0:d=0 hl=2 l= 68 cons: SEQUENCE
2:d=1 hl=2 l= 32 prim: INTEGER :2C1599C7765B047A2E98E2265CF6DB91232200559909D7F97CA3E859A39AC02C
36:d=1 hl=2 l= 32 prim: INTEGER :14E748DF692A8A7A2E41F984497782FF03F970DDB6591CCC68C71704B959A480
因此,您会注意到这里拥有的是序列中的两个整数,其中每个整数正好是32个字节长。这对应于ECDSA_SIG ASN.1定义:
ECDSA-Sig-Value ::= SEQUENCE { r INTEGER,s INTEGER }
原始ECDSA签名由两个整数“ r”和“ s”组成。 OpenSSL希望将它们包装在DER编码表示中。但是,由于您已经发现签名所拥有的内容不是有效的DER。但是 的长度恰好是64个字节-这表明它由2个32个字节的整数串联在一起组成。
出于本练习的目的,我们可以使用十六进制编辑器将原始r和s值转换为DER格式。让我们看一下我之前创建的hello.sig文件的十六进制转储:
$ hexdump -C hello.sig
00000000 30 44 02 20 2c 15 99 c7 76 5b 04 7a 2e 98 e2 26 |0D.,...v[.z...&|
00000010 5c f6 db 91 23 22 00 55 99 09 d7 f9 7c a3 e8 59 |\...#".U....|..Y|
00000020 a3 9a c0 2c 02 20 14 e7 48 df 69 2a 8a 7a 2e 41 |...,. ..H.i*.z.A|
00000030 f9 84 49 77 82 ff 03 f9 70 dd b6 59 1c cc 68 c7 |..Iw....p..Y..h.|
00000040 17 04 b9 59 a4 80 |...Y..|
00000046
我们从30
开始,它告诉我们我们有一个序列。下一个字节是44
,它是剩余数据的长度。接下来是02
,它是整数的标记,后跟20
(十进制等于32),它是整数的长度。接下来的32个字节是整数(r
值)。然后,我们还有另一个02
字节(整数)和20
(长度为32),后跟s
值的32个字节。
因此,如果我们将字节30 44 02 20
添加到二进制签名数据的前面,然后是数据的前32个字节,然后是02 20
,然后是后32个字节,那么我们应该得到想要...
...不幸的是,它不是那么简单。您的s
值很复杂。您会注意到它以字节d0
开头。此字节具有其最高有效位集-在整数的DER编码中表示该整数值为负。那不是我们想要的。为了解决这个问题,我们必须在00
值的前面添加一个额外的s
字节。
这样做会改变总长度,因此我们现在必须将这些字节添加到开头的30 45 02 20
中,然后是签名数据中的前32个字节,然后是02 21 00
,然后是后32个字节签名数据。我在十六进制编辑器中完成了此操作,并提出了以下内容:
$ hexdump -C signature2.bin
00000000 30 45 02 20 24 98 70 45 e1 de bf c7 31 3a c3 4a |0E. $.pE....1:.J|
00000010 09 1e 6d fc 47 b7 59 4f 5c ee d9 1f f5 1b 86 35 |..m.G.YO\......5|
00000020 a9 97 76 95 02 21 00 d0 bb d3 8b f1 92 a7 b2 b6 |..v..!..........|
00000030 e5 08 ee ef 12 63 97 18 a1 ab 93 a3 6c 80 0e 49 |.....c......l..I|
00000040 66 94 21 5c ed c0 d5 |f.!\...|
00000047
让我们检查一下看起来是否理智:
$ openssl asn1parse -in signature2.bin -inform DER
0:d=0 hl=2 l= 69 cons: SEQUENCE
2:d=1 hl=2 l= 32 prim: INTEGER :24987045E1DEBFC7313AC34A091E6DFC47B7594F5CEED91FF51B8635A9977695
36:d=1 hl=2 l= 33 prim: INTEGER :D0BBD38BF192A7B2B6E508EEEF12639718A1AB93A36C800E496694215CEDC0D5
现在让我们尝试验证签名:
$ openssl dgst -sha256 -verify pubkey.pem -signature signature2.bin hello.txt
Verification Failure
该死。如此近而又远。但是至少我们摆脱了ASN.1错误。那为什么不起作用呢?我直觉地做到了这一点:
echo -n "HELLO" > hello2.txt
回显的“ -n” arg抑制输出中的换行符。也许不应将换行符包含在要为签名摘要的数据中。因此,尝试一下:
$ openssl dgst -sha256 -verify pubkey.pem -signature signature2.bin hello2.txt
Verified OK
成功!
,
您拥有的是所谓的平面签名,它由R和S的值组成-签名由元组(R,S)组成。这些数字被编码为两个静态大小的,无符号的大字节序整数,其大小与键大小相同。
但是,OpenSSL在SEQUENCE中需要两个ASN.1 / DER编码的INTEGER值。这是两个动态大小的,带符号的大字节序值(顺序相同)。因此,您需要重新编码签名以使其生效。
在两者之间转换相对容易,但是命令行OpenSSL似乎并不直接支持它。因此,我建议使用Perl,Python或C应用程序。
例如在Python 3中(减去文件处理,很抱歉):
from array import array
import base64
def encodeLength(vsize) -> bytearray:
tlv = bytearray()
if (vsize < 128):
tlv.append(vsize)
elif (vsize < 256):
tlv.append(0x81)
tlv.append(vsize)
else:
raise
return tlv
def encodeInteger(i) -> bytearray:
signedSize = (i.bit_length() + 8) // 8
value = i.to_bytes(signedSize,byteorder='big',signed = True)
tlv = bytearray()
tlv.append(0x02)
tlv += encodeLength(len(value))
tlv += value
return tlv
def encodeSequence(value) -> bytearray:
tlv = bytearray()
tlv.append(0x30)
tlv += encodeLength(len(value))
tlv += value
return tlv
# test only
bin = base64.b64decode("JJhwReHev8cxOsNKCR5t/Ee3WU9c7tkf9RuGNamXdpXQu9OL8ZKnsrblCO7vEmOXGKGrk6NsgA5JZpQhXO3A1Q==")
# size of the curve (not always a multiple of 8!)
keysize = 256
csize = (keysize + 8 - 1) // 8
if (len(bin) != 2 * csize):
raise
r = int.from_bytes(bin[0:csize],signed = False)
s = int.from_bytes(bin[csize:csize * 2],signed = False)
renc = encodeInteger(r)
senc = encodeInteger(s)
rsenc = encodeSequence(renc + senc)
print(base64.b64encode(rsenc))
本文链接:https://www.f2er.com/2715511.html