Question

我正在尝试使用openSSL验证XML数字签名。当我实际使用EVP_VerifyFinal时，我得到错误代码0D07209B（ASN1_get_object：太长）。他是我如何从证书加载KeyInfo：

<KeyInfo>
 <KeyValue>
  <DSAKeyValue>
    <P>/KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64B81uRpH5t9jQTxeEu0ImbzRMqzVDZkVG9xD7nN1kuFw==</P>
    <Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q>
    <G>Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG541Awtx/XPaF5Bpsy4pNWMOHCBiNU0NogpsQW5QvnlMpA==</G>
    <Y>butK4tBy8dwSJFjTRpTvmYZYnsDGO4CzMVgcD8EQ2UJrQZd0ZapQI/Ea2DZzQBTFjjdnNkFuNOtjVI615lhiBQ==</Y>
  </DSAKeyValue>
 </KeyValue>
</KeyInfo>

用于加载PDSA的我的（伪代码）方法：

 pDSA = DSA_new();
 pDSA.p = BN_bin2bn(base64Decode(text of P element));
 pDSA.q = BN_bin2bn(base64Decode(text of Q element));
 pDSA.g = BN_bin2bn(base64Decode(text of G element));
 pDSA.pub_key = BN_bin2bn(base64Decode(text of Y element));

在此之后使用BN_bn2hex给出了值：

p: FCA682CE8E12CABA26EFCCF7110E526DB078B05EDECBCD1EB4A208F3AE1617AE01F35B91A47E6DF63413C5E12ED0899BCD132ACD50D99151BDC43EE737592E17
q: 962EDDCC369CBA8EBB260EE6B6A126D9346E38C5
g: 678471B27A9CF44EE91A49C5147DB1A9AAF244F05A434D6486931D2D14271B9E35030B71FD73DA179069B32E2935630E1C2062354D0DA20A6C416E50BE794CA4
pub_key: 6EEB4AE2D072F1DC122458D34694EF9986589EC0C63B80B331581C0FC110D9426B41977465AA5023F11AD836734014C58E376736416E34EB63548EB5E6586205

，验证签名：

  <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
      <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
      <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#dsa-sha1"/>
      <Reference URI="">
        <Transforms>
         <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
       </Transforms>
       <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>      
       <DigestValue>uooqbWYa5VCqcJCbuymBKqm17vY=</DigestValue>
      </Reference>
    </SignedInfo>    
    <SignatureValue>L4h4TFDj5rDKCHm0D+aH2LeSfAMV2t0V5S91Afu6U0NlfpjxdTXRUA==</SignatureValue> 
    <KeyInfo>
     <KeyValue>
      <DSAKeyValue>         
       <P>/KaCzo4Syrom78z3EQ5SbbB4sF7ey80etKII864WF64B81uRpH5t9jQTxeEu0ImbzRMqzVDZkVG9xD7nN1kuFw=</P> 
       <Q>li7dzDacuo67Jg7mtqEm2TRuOMU=</Q> 
       <G>Z4Rxsnqc9E7pGknFFH2xqaryRPBaQ01khpMdLRQnG541Awtx/XPaF5Bpsy4pNWMOHCBiNU0NogpsQW5QvnlMpA==</G>
       <Y>POKkQtGuazaz6OEWi91P4C9z1tREpeP9f7L3piRD/3TiNFzvt0BmYzNO0CoPSjEVTXYKIRo/+HXK6MhBRk2eUw=</Y>
     </DSAKeyValue>
    </KeyValue>
   </KeyInfo>
  </Signature>
</Envelope>

以下是我验证签名的方法：

  pkey = EVP_PKEY_new;
  EVP_PKEY_set1_DSA(pkey, pdsa)
  EVP_MD_CTX_init(ctx);
  EVP_VerifyInit(@ctx, EVP_sha1)
  EVP_VerifyUpdate(@ctx, digest of SignedInfo);
  bytes = unbase64(text of SignatureValue)
  EVP_VerifyFinal(@ctx, btes, length(bytes)}, pKey);

验证最终返回以下错误：

0D07207B:asn1 encoding routines:ASN1_get_object:header too long)
0D068066:asn1 encoding routines:ASN1_CHECK_TLEN:bad object header)
0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error)

所以我要么错误地加载证书或签名值。根据规范，签名值是“签名值由两个八位字节流的串联的base64编码组成，这两个八位字节流分别由按顺序的值r和s的八位字节编码产生” - 但我找不到任何地方openSSL文档应该传递给EVP_VerifyInit以获取DSA签名的签名值。我在电子邮件归档中找到一个引用，指向RFC 3279，它似乎指定了相同的格式，据我所知（Dss-Sig-Value :: = SEQUENCE {r INTEGER，s INTEGER}

Answer 1

是的，您实际上已经回答了自己的问题。您应该将收到的签名拆分为两个（XML-DSig指定的两个20字节值），然后创建ASN.1签名。它确实包含以下ASN.1 DER结构：

Dss-Sig-Value ::= SEQUENCE {
    r INTEGER,
    s INTEGER
}

DER是＆＃34;标签，长度，值＆＃34;结构体。现在SEQUENCE的标签编码为30，然后是两个编码的整数的DER长度，r和s是INTEGER值，用标签02编码，然后是长度有符号大端整数的最短表示。

由于编程ASN.1充其量是棘手而且最容易受到攻击（所有版本高达1.0.1的OpenSSL都有内存损坏错误，旧的Windows NT身份验证完全被破坏）我将展示如何使用伪代码创建此结构：

将base64转换为字节（unsigned chars，其中40个）
使用rData的前20个字节，sData的第二个字节（或更好，分成两半）
删除00和rData

sData

如果前导字节为80或更高，请将00字节前加rData sData
创建一个结构30 LL { 02 LL { rData } 02 LL { sData } }，其中LL是大括号之间结构的字节大小

我会留给你执行编码。请注意，只要LL永远不是128或更高的值（这应该是DSA的情况），这将有效。

您可能希望顺便切换到ECDSA;请注意，它可能需要上面相同的结构。另请注意，我无法看到摘要的输入是否正确，但它至少应该解决ASN.1错误。

最后，您应该获得this structure当前签名（请注意，这个签名有点无聊，因为它不包含00的任何初始值且它不包含任何初始字节等于或高于128）。

如何使用openSSL从KeyInfo加载DSA密钥

1 个答案: