c++ - 使用带有 OpenSSL API 的私钥生成签名

Question

我正在尝试实现 SSL 等效于:

openssl dgst -sha1 -binary -out digest.txt what.txt

openssl rsautl -sign -inkey key.pem -in what.txt -out signature.txt

我有我的 7 行私钥，304 个字符:

const char* k = "-----BEGIN... \n... \n... END RSA.."

我使用的代码是这个:

BIO* bio = BIO_new_mem_buf((void*)k, (int)strlen(k));

RSA* privateKey = PEM_read_bio_RSAPrivateKey(bio, NULL, 0, NULL);

std::string appName = "hello";

unsigned char SHA[20];

SHA1((const unsigned char*)appName.c_str(), appName.size(), SHA);

然后我使用以下代码进行签名，传递 SHA 及其大小作为 buffer 和 bufferSize(在这种情况下应始终为 20，并且它是正确的)，而签名大小为 32:

unsigned int privateKeySize = RSA_size(privateKey);
*signature = new unsigned char[ privateKeySize ];

RSA_sign(NID_sha1, buffer, bufferSize, *signature, signatureSize, privateKey);

RSA_sign 返回 0，我找不到任何错误代码等。SHA[] 数组内容与文件digest.txt 相同，但签名完全错误。我找不到这方面的任何示例。您是否知道这应该如何工作，或者为我指出正确的方向？

谢谢。

Answer 1

首先，摘要在签名中永远不会被视为十六进制，这似乎是您通过 digest.txt 的扩展假设的。 OpenSSL 中 dgst 命令的输出也是二进制的(尽管我系统上的手册页似乎另有说明 - openssl 的文档不是很准确)。这只是一个表面问题，因为您的其余代码似乎确实将 SHA-1 哈希视为二进制。

可能对您造成伤害的是，虽然 openssl rsautl -sign 似乎填充了数据，但它似乎并没有用表明所使用的哈希算法的结构包围它。您需要自己附加此结构。这可能是 OpenSSL 对 SSLv3 RSA 身份验证的支持遗留下来的，其中可能缺少此结构。

实际上是一个快速而肮脏的修复 present in the PKCS#1 standard是在签名之前为散列加上前缀。在 SHA-1 的情况下，您应该在散列前面加上以下十六进制表示的二进制值:

30 21 30 09 06 05 2b 0e 03 02 1a 05 00 04 14

这在您选择的 shell 语言中应该很容易做到。 即使是 windows 命令行也可以通过 COPY 命令来完成此操作。