我正在关注generating and verifying digital signature 的帖子。签名数据在所有运行中保持不变,但分离信封签名在每次运行时都不同。相同的文本如何生成不同的分离信封签名?
【问题讨论】:
signature 对一些文本进行签名,然后将生成的签名字节包装在使用ContentSigner sha1Signer 签名的CMSTypedData msg 中。这样的重复签名很可能没有意义。
标签: java digital-signature bouncycastle
为了让 cmets 成为答案……
同一私钥对同一数据的签名可能不同的主要原因有两个。
某些签名算法,首先是DSA 和ECDSA,明确地将签名创建基于随机选择的值k。这种“随机性”是必需的,随机签名值的熵、保密性和唯一性 k 至关重要。违反这三个要求中的任何一个都可以将整个私钥泄露给攻击者,这一点非常重要。两次使用相同的值(即使对 k 保密),使用可预测的值,或者在几个签名中的每一个中泄露 k 的几位,都足以破坏算法。该要求可以通过实际随机的 k 或以确定性方式构建的 k 来满足,这也保证了熵、保密性和唯一性,参见。 RFC 6967.
不过,OP 指的是使用RSA 的代码。该算法不需要这样的随机参数(即使填充方案可能包含随机性)。
变化的另一个原因是签名数据不仅仅包含文档数据。
在谈论“签名”时,人们通常不仅仅指签名过程字节数组输出,而是指符合CMS标准的签名容器。
这样的容器中可能有多个单独的签名,每个签名都可能有许多未签名或已签名的属性。顾名思义,签名值计算也包括这些属性。
这些签名属性通常包括签名时间。由于签名时间在不同的签名运行中通常会有所不同,因此实际签名值也会有所不同。
OP 使用 CMS 签名容器。因此,这很可能是 OP 签名不同的原因。
【讨论】:
ContentSigner sha1Signer = new JcaContentSignerBuilder("SHA1withRSA").setProvider("BC").build(privKey); 用于生成 JcaSignerInfoGeneratorBuilder,而 JcaSignerInfoGeneratorBuilder 又添加到 CMSSignedDataGenerator。