在下面的示例中,我们使用RSA 256-bit private key来加密32字节的消息而不填充,并将结果存储在同一个内存块中。
#include <openssl/ssl.h>
unsigned char err[256],
msg[] = "This is a message of some sort.",
key[] = "-----BEGIN RSA PRIVATE KEY-----\n"\
"MIGrAgEAAiEA6sZFpHqqFkpskc2GNMl6RHdiEuOqlX3LcW1TnYVgQFECAwEAAQIh\n"\
"AKqoe8FHJVJUwTzvMAo5FrU/t6Cc6GwYDELpU3xxs4nBAhEA+TwHM5ArwBgTtB2y\n"\
"AKlEKQIRAPElwlKWyde1KqHRCjOWX+kCEQDqWYZP9rUcp8cHKpDwTDiZAhBPldOd\n"\
"KDCzJRJN10yTm/RJAhANYsX4BteC/W7VRUjV5jSH\n"\
"-----END RSA PRIVATE KEY-----\n";
void main()
{
//msg[0] = 255;
if (RSA_private_encrypt(32, msg, msg,
PEM_read_bio_RSAPrivateKey(BIO_new_mem_buf(key, -1), NULL, NULL, NULL),
RSA_NO_PADDING) != 32)
{
ERR_load_crypto_strings();
ERR_error_string(ERR_get_error(), err);
puts(err);
}
}
当我们通过删除评论来更改第0个消息字符的值时,加密失败并显示消息:
rsa routines:RSA_EAY_PRIVATE_ENCRYPT:data too large for modulus
请注意,非常短的RSA密钥和硬编码的消息长度仅用于演示问题。密钥是使用openssl二进制文件生成的,function也会因不同大小的密钥而失败(对于4096位密钥,the msg[0] = 192导致失败)。
似乎该函数将消息的开头解释为长度描述符,即使明确声明了RSA_NO_PADDING。这是一个错误吗?
答案 0 :(得分:5)
在RSA中,模数组和数据数组被解释为大整数。数据整数必须小于模数整数。否则,无法恢复加密值。
我已解码您的private key。模数的第一个字节是0xEA。这意味着您签名的数据不能以大于0xEA(234)的字节开头。如果您指定msg[0] = 235;,则会再次导致错误。
填充物来的地方。填充数据的第一个字节通常是0x00(或者甚至是0x0001,具体取决于填充方案),这使得填充数据不可能在数值上大于模数。
所以,不,你还没找到错误。您只是使用加密错误。我建议你使用一些更高级别的API来签名消息。
请注意,填充对RSA至关重要。没有它,有办法恢复明文或伪造签名。请使用OAEP进行加密,使用PSS进行签名。此外,密钥大小很重要。如今,应该使用4096位密钥。 256位的钥匙是玩具尺寸,现在可能会被智能手机打破。