我是openssl API的新手。
我的目标是验证我的公钥是否与我隐藏的私钥“相关”。
解决方案使用openssl cli:
我有证书,私钥被隐藏(在HSM中) 我有一个缓冲区:
echo "hello world!!!!" > sign.txt
使用以下命令我创建缓冲区的sha256签名,类似于我的HSM:
openssl dgst -sha256 -sign myrootca.key.insecure -out sign.sha256 sign.txt
提取公钥:
openssl x509 -pubkey -noout -in myrootca.crt > myrootca.publicKey.pem
验证公钥:
openssl dgst -sha256 -verify myrootca.publicKey.pem -signature sign.sha256 sign.txt
我想我知道如何正确表示我的公钥和签名文件
sigkey = load_pubkey(bio_err, keyfile, keyform, 0, NULL,
e, "key file");
sigbio = BIO_new_file(sigfile, "rb");
但找不到合适的API可以从这里继续
答案 0 :(得分:0)
我遇到的问题是弄清楚签名前的签名长度是什么,必须事先了解RSA密钥大小和散列类型的签名位置
sha256 + RSA1024 ~ 128byte
sha256 + RSA2048 ~ 256byte
使用openssl API based of this guide我已设法使用以下代码验证签名:
Verifyx509VsPrivKeySig(X509* x509Cert,char* signature,size_t sigLen,char* message,size_t messageLen)
{
int rc;
EVP_PKEY* pPubkey = NULL;
EVP_MD_CTX* ctx = NULL;
rc = getX509Publickey(x509Cert, &pPubkey);
if (rc != SSL_OK)
{
goto err_verify;
}
ctx = EVP_MD_CTX_create();
if(ctx == NULL) {
PRINT_LOG_ERR("EVP_MD_CTX_create failed, error 0x%lx\n", ERR_get_error());
/* failed */
goto err_verify;
}
rc = EVP_DigestVerifyInit(ctx, NULL, EVP_sha256(), NULL, pPubkey);
if(rc != 1) {
PRINT_LOG_ERR("EVP_DigestVerifyInit failed, error 0x%lx\n", ERR_get_error());
goto err_EVP_XTX_destroy; /* failed */
}
rc = EVP_DigestVerifyUpdate(ctx, message, messageLen);
if(rc != 1) {
PRINT_LOG_ERR("EVP_DigestVerifyUpdate failed, error 0x%lx\n", ERR_get_error());
goto err_EVP_XTX_destroy; /* failed */
}
/* Clear any errors for the call below */
ERR_clear_error();
rc = EVP_DigestVerifyFinal(ctx,(const unsigned char*) signature, sigLen);
if(rc != 1) {
PRINT_LOG_ERR("EVP_DigestVerifyFinal failed, error 0x%lx\n", ERR_get_error());
goto err_EVP_XTX_destroy; /* failed */
}
/*if we got to here , verify sig finished with good result!!*/
if(ctx) {
EVP_MD_CTX_destroy(ctx);
ctx = NULL;
}
return true;
//////////////////// ERROR HANDLING ///////////////////////////
err_EVP_XTX_destroy:
EVP_MD_CTX_destroy(ctx);
err_verify:
return false;
}