Question

我正在尝试使用OpenSSL进行签名和验证签名的基本练习。签名工作正常

$ openssl pkeyutl -hexdump -sign -inkey id_rsa -in test.txt > test.sig
Enter pass phrase for id_rsa:
$ cat test.sig
0000 - 20 ab 34 00 ff 87 50 1e-de fb c9 3d 10 2f 7b fd    .4...P....=./{.
0010 - 99 a1 61 e0 3d 5f 93 82-63 e9 0a 6f 1a 22 4f 04   ..a.=_..c..o."O.
etc...

但是，当我尝试验证签名时，我收到错误。

$ openssl pkeyutl -verify -pubin -inkey id_rsa.pub.pem -signature test.sig test.txt
unable to load Public Key

我尝试使用的公钥是以PEM格式转换的SSH公钥：

使用命令

生成

ssh-keygen -f key.pub -e -m pem

根据我读过的有关此问题的讨论和文档，应该工作。但事实并非如此。

任何提示？

编辑：我刚刚尝试使用OpenSSL生成的一对密钥而不是转换的SSH密钥进行相同的处理。这只是无声地失败而不是产生错误（openssl给我pkeyutl使用信息而不是验证签名。

编辑2 ：使用二进制签名（省略-hexdump）对使用OpenSSL生成的密钥具有相同的效果。在转换的RSA密钥上，我得到了

unable to load Public Key
Error initializing context
[snip usage output]

Answer 1

您提供了不存在的选项-signature。正确是-sigfile。以下作品：

$ openssl pkeyutl -sign -inkey key.pem -in data.txt > test.sig
$ openssl pkeyutl -verify -pubin -inkey pubkey.pem -sigfile test.sig -in data.txt
Signature Verified Successfully

Answer 2

我想使用-hexdump选项是因为你不想得到二进制文件？您可以使用base64将二进制sig编码为ascii：

openssl pkeyutl -sign -inkey id_rsa -in test.txt | base64 > test.sig

然而，当您验证这一点时，您将不得不将其转换回二进制文件，在一些临时文件中：

cat test.sig | base64 -d > ~test.sig.bin

您的公钥文件采用'rsa公钥格式'，您可以在标题行'BEGIN RSA PUBLIC KEY'中看到。您可以将其转换为非rsa公钥格式，该格式将包含标题'BEGIN PUBLIC KEY'：

openssl rsa -in id_rsa.pub.pem -RSAPublicKey > id.pub.pem

最后，使用'PUBLIC KEY'pem和二进制sigfile，您可以验证：

openssl pkeyutl -verify -pubin -inkey id.pub.pem -sigfile ~test.sig.bin -in test.txt

输出：

Signature Verified Successfully

使用OpenSSL进行签名和验证

2 个答案: