【问题标题】:Python xmlsec XML Signature Value mismatchPython xmlsec XML 签名值不匹配
【发布时间】:2019-09-12 08:12:20
【问题描述】:

我是 xml 签名的新手,目前我正在使用 xmlsec 生成签名的 xml。我对示例代码进行了一些修改:

from lxml import etree
import xmlsec

parser = etree.XMLParser(remove_blank_text=True)
template = etree.parse('unsigned.xml', parser).getroot()

signature_node = xmlsec.tree.find_node(template, xmlsec.constants.NodeSignature)
ctx = xmlsec.SignatureContext()
key = xmlsec.Key.from_file('keys/private_key.pem', xmlsec.constants.KeyDataFormatPem)
ctx.key = key
sig_ = ctx.sign(signature_node)
formated = etree.tostring(template)
with open('signed_test.xml', 'wb') as the_file:
    the_file.write(formated)

现在我已经签署了 XML,并且从这里我试图了解值是在哪里或如何生成的。我正在关注this 以获取上下文。我能够验证DigestValue,现在我正在尝试获取SignatureValue。从stackoverflow中的链接和其他一些问题,我只需要:

  1. 规范整个SignedInfo元素
  2. 散列结果
  3. 对哈希签名

为了得到签名值。我正在使用 lxml 规范化 SignedInfo 元素:

from lxml import etree

parser = etree.XMLParser(remove_blank_text=True)
xmlTree = etree.parse('signed_info.xml', parser)
root = xmlTree.getroot()
formated = etree.tostring(root, method='c14n', exclusive=True)
# Write to file
with open('canon_sinfo.xml', 'wb') as the_file:
    the_file.write(formated)

以下是生成的SignedInfo

<SignedInfo><CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"></CanonicalizationMethod><SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"></SignatureMethod><Reference URI="#obj"><Transforms><Transform Algorithm="http://www.w3.org/2000/09/xmldsig#base64"></Transform></Transforms><DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"></DigestMethod><DigestValue>izbIdQ4tSAg6VKGpr1zd6kU9QpVQi/Bcwxjxu/k2oKk=</DigestValue></Reference></SignedInfo>

我正在使用cryptography 尝试生成SignatureValue,但是我无法获得与xmlsec 生成的结果相同的结果。

这是我这样做的代码 sn-p:

sign_info = '''String of the Sign Info'''
digest_sinfo = hashes.Hash(hashes.SHA256(), backend=default_backend())
digest_sinfo.update(bytes(sign_info, 'utf-8'))
digested_sinfo = digest_sinfo.finalize()

# Load private_key here...

# Sign the message
signature_1v15 = private_key.sign(
    digested_sinfo,
    padding.PKCS1v15(),
    hashes.SHA256()
)

我还尝试将SignedInfo 加载到单独的文件中,但是我仍然得到一个不匹配的 SignatureValue。我该如何做到这一点?

【问题讨论】:

    标签: python-3.x lxml xml-signature python-cryptography


    【解决方案1】:

    你的问题是你做了两次散列。 sign() 函数为您进行哈希处理,因此您可以跳过中间部分。

    只需使用您的规范化 SignedInfo 元素调用 sign()

    signature_1v15 = private_key.sign(
        sign_info,
        padding.PKCS1v15(),
        hashes.SHA256()
    )
    

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2016-06-13
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2020-10-08
      • 2014-02-09
      • 1970-01-01
      • 2018-03-24
      相关资源
      最近更新 更多