我正在研究替换一个遗留系统,该系统(除其他外)接收任意文件的SHA1哈希,并使用简单的PHP web服务使用私钥对其进行签名。
它应该看起来像这样:
$providedInput = '13A0227580C5DE137C2EBB2907A3F2D7F00CA71D';
// pseudo "= sha1(somefile.txt); file not available server side!
$expectedOutput = 'DBC9CC4CB0BECEE313BB100DD1AD39AEC045714D72767211FD574E3E3546EB55E77D2EBFE33BA2974BB74CE051608BFF45A73A52612C5FC418DD3A76CAC0AE0C8FB3FC6CE4F7A516013A9743A36424DDACFE889B3D45E86E6853FD9A55B5B4F0F0D8A574A0B244C0946A99B81CCBD1A7AF7C11072745B11C06AD680BE8AC4CB4';
// pseudo: "= openssl_sign(file_get_contents(somefile.txt), signature, privateKeID);
为了简单起见,我使用了PHP内置的openssl扩展。我遇到的问题是,openssl_sign似乎根据openssl_ssign上的德国手册条目,在内部再次对输入数据进行SHA1散列。由于某种原因,英文条目缺少该信息。
这将产生预期的输出。。。
$privateKeyID = openssl_get_privatekey(file_get_contents($privateKey));
openssl_sign(file_get_contents("x.txt"), $signature, $privateKeyID);
var_dump(bin2hex($signature));
但由于我无法访问服务器端的实际输入文件,所以这并没有多大帮助。
有没有一种方法可以在没有第三方libs的情况下绕过额外的哈希?我已经尝试过简单地加密收到的哈希,但根据"如何计算RSA-SHA1(sha1WithRSAEncryption)"值,我知道加密和签名会产生不同的输出。
更新以使事情更加清楚:
我收到一个SHA1散列作为输入,服务必须将其转换为有效签名(使用私钥),该签名可以简单地使用openssl_verify进行验证。客户端无法访问,因此无法更改其实现。
从如何计算RSA-SHA1(sha1WithRSAEncryption)值:
如果您复制此EM并使用RSA_private_encrypt,那么您将获得正确的PKCS#1 v1.5签名编码,与RSA_sign相同,甚至更好,使用通用EVP_PKEY_sign。
我想我可以根据这个规范简单地实现DER编码,但结果(EM)似乎太长了,无法用我的密钥加密
// 1. Apply the hash function to the message M to produce a hash value H
$H = hex2bin($input); // web service receives sha1 hash of an arbitrary file as input
$emLen = 128; // 1024 rsa key
// 2. Encode the algorithm ID for the hash function and the hash value into
// an ASN.1 value of type DigestInfo
$algorithmIdentifier = pack('H*', '3021300906052b0e03021a05000414');
$digest = $H;
$digestInfo = $algorithmIdentifier.$digest;
$tLen = strlen($digestInfo);
// 3. error checks omitted ...
// 4. Generate an octet string PS consisting of emLen - tLen - 3 octets
// with hexadecimal value 0xff. The length of PS will be at least 8
// octets.
$ps = str_repeat(chr(0xFF), $emLen - $tLen - 3);
//5. Concatenate PS, the DER encoding T, and other padding to form the
// encoded message EM as
$em = "'0'1$ps'0$digestInfo";
if(!openssl_private_encrypt($em, $signature, $privateKeyID)) {
echo openssl_error_string();
}
else {
echo bin2hex($signature);
}
输出:
错误:0406C06E:rsa例程:rsa_padding_add_PKCS1_type_1:数据对于密钥大小来说太大
有什么提示吗?
更新
正如您在下面的代码中看到的,openssl_verify为openssl_sign的结果返回1,甚至为openssl_private_encrypt结果返回1。我在我的机器上测试过。只有在使用数字签名中的sha1摘要时,此解决方案才能工作。
// Content of file
$data = 'content of file somewhere far away';
// SHA1 hash from file - input data
$digest = hash('sha1', $data);
// private and public keys used for signing
$private_key = openssl_pkey_get_private('file://mykey.pem');
$public_key = openssl_pkey_get_public('file://mykey.pub');
// Encoded ASN1 structure for encryption
$der = pack('H*', '3021300906052b0e03021a05000414') . pack('H*', $digest);
// Signature without openssl_sign()
openssl_private_encrypt($der, $signature, $private_key);
// Signature with openssl_sign (from original data)
openssl_sign($data, $opensslSignature, $private_key);
// Verifying - both should return 1
var_dump(openssl_verify($data, $signature, $public_key));
var_dump(openssl_verify($data, $opensslSignature, $public_key));
我刚刚通过解密openssl_sign()结果捕获了DER编码的结构。
原始答案
openssl_sign()从数据中创建摘要,因为这就是数字签名的工作方式。数字签名始终是数据的加密摘要。
您可以在sha1摘要中使用openssl_private_encrypt()和openssl_public_decrypt(),而无需担心。总的来说,这是一样的,但是的,有区别。如果你自己加密一些东西,加密过程不关心数据,只加密它们。您应该知道,稍后要解密的是一些数据的sha1摘要。事实上,它只是用私钥进行数据加密,而不是真正的数字签名。
openssl_sign()从数据中创建摘要,并加密关于摘要类型和摘要本身的信息(这是链接中的ASN.1 DER结构)。这是因为openssl_verify()需要知道签名时使用了哪种摘要。
根据openssl_sign:的英文页面
bool openssl_sign ( string $data , string &$signature , mixed $priv_key_id [, mixed $signature_alg = OPENSSL_ALGO_SHA1 ] )
我认为显而易见的建议是使用OPENSSL_ALGO_SHA256。有关支持的算法的列表,请参阅openssl_get_md_methods。