我正在开发一个需要验证OpenPGP公钥的go项目,以便能够使用它来验证文件签名。
我已经生成了一个根密钥,另一个密钥是我用root密钥签名的(让我们调用第二个密钥签名)。我已将签名密钥的公共部分导出到装甲文本文件中,以便于分发:
gpg --export -a signed > signed.asc
我写了这个代码,说明了我想做的事情,最后:
package main
import (
"flag"
"fmt"
"golang.org/x/crypto/openpgp"
"os"
)
func main() {
var keyringpath string
var signedkeypath string
flag.StringVar(&keyringpath, "keyring", "", "keyring")
flag.StringVar(&signedkeypath, "signedkey", "", "signed key")
flag.Parse()
// read the keyring
keyring, err := os.Open(keyringpath)
if err != nil {
panic(err)
}
el, err := openpgp.ReadKeyRing(keyring)
if err != nil {
panic(err)
}
var rootidentity *openpgp.Entity
for _, entity := range el {
if _, ok := entity.Identities["root"]; ok {
rootidentity = entity
}
}
fmt.Printf("%+v\n", rootidentity)
// read the public armored key
signedkey, err := os.Open(signedkeypath)
if err != nil {
panic(err)
}
el, err = openpgp.ReadArmoredKeyRing(signedkey)
if err != nil {
panic(err)
}
signed := el[0]
fmt.Printf("%+v\n", signed)
// there is only one signature on signed, the one produced by root
signature := signed.Identities["signed"].Signatures[0]
err = rootidentity.PrimaryKey.VerifyKeySignature(signed.PrimaryKey, signature)
if err != nil {
panic(err)
}
}
当我运行它时,我提供keyring我的公钥匙(~/.gnupg/pubring.gpg)和signedkey我导出的签名密钥(signed.asc)。
在制作中,我们的想法是将根公钥从pubring.gpg导出到装甲文本中,并将其嵌入到代码中。
签名无法验证以下错误:
panic: openpgp: invalid signature: hash tag doesn't match
查看VerifyKeySignature(尤其是this comment)的代码,我觉得它只是用来验证子键上的签名,而不是其他键。< / p>
所以,问题是,给定两个公共PGP密钥,一个由另一个签名,如何使用openpgp库验证该签名?
答案 0 :(得分:1)
不确定我是否应该关闭这个问题:我找到了答案。在文档中不是很清楚,但VerifyKeySignature确实可能只用于子键。要验证其他用户的公钥上的签名,请使用VerifyUserIdSignature,如下所示:
err = rootidentity.PrimaryKey.VerifyUserIdSignature("signed", signed.PrimaryKey, signature)
if err != nil {
panic(err)
}