如何在 python 上使用 RSA 私钥和 SHA256 进行解密

Question

我正在为学校学习如何使用公钥和私钥编码来加密和解密文件。

我使用此代码对消息进行编码。 （产生公钥≠不是私钥错误）

from Crypto.Signature import pkcs1_15
from Crypto.Hash import SHA256
from Crypto.PublicKey import RSA



def signing():
    #open file = message als binary
    message = open('C:/Users/Gebruiker/Desktop/message.txt', "rb").read()
    #open public key -> key     
    key = RSA.import_key(open('C:/Users/Gebruiker/Desktop/public.pem').read())
    #message becomes a hash
    h = SHA256.new(message)  
    #f = open file as write binary
    f = open('C:/Users/Gebruiker/Desktop/message.signature', 'wb')
    # sign hash message with private key  
    signature = pkcs1_15.new(key).sign(h) 
    #write signed hash to file 
    f.write(signature)
    f.close()

但现在我正在尝试解码此消息，我发现所有这些人都以不同的方式进行解码，并使用不同类型的编码和加密。而且我找不到明确的答案。

我现在拥有的是这个

首先我必须阅读消息

def decrypt():
    f = open('C:/Users/Gebruiker/Desktop/message.signature', 'rb').read()

然后我打开我的私钥

    key = RSA.import_key(open('C:/Users/Gebruiker/Desktop/private.pem').read())

因为我用二进制写和读，我必须把它转回散列

    h = SHA256.new(f)

然后我必须使用我的私钥解密哈希。???

相反，我看到很多人使用这样的东西。

    h = pkcs1_15.new(key).sign(h)  # sign hash message with private key

我不明白。你应该解码它吧？不要再签了。这部分对我来说毫无意义。

现在我有 2 个问题。

1. 我收到一个编码错误，提示我的公钥不是私钥。这有点像公钥加密的重点。所以只有私钥可以解密？为什么我会收到错误消息？
2. 我不知道如何继续解密我的消息

谁能帮我解决这个问题？

非常感谢！

Answer 1

您的问题存在混淆。 RSA 的签名生成需要使用 私钥 的值进行模幂运算，而不是公钥。模幂运算也用于使用公钥加密。但是，尽管使用了相同的数学公式 - 至少在表面上 - 并不意味着签名生成是 使用私钥加密，因为 does not exist 这样的事情。当前的 PKCS#1 标准不遗余力地解释了这一事实，尽管较早PKCS#1 标准用于识别使用 RSA 加密生成的签名。

您要做的是验证消息。这是您所期望的功能，而不是 sign。验证由受信任的公钥执行，而不是由私钥执行。您不是在尝试解码消息，而是在尝试验证消息的字节确实由与受信任的公钥属于同一密钥对的私钥签名。通常，消息未恢复，甚至部分恢复。 PKCS#1 被称为带有附录的签名生成，它与其他称为签名生成的方案形成对比给予消息恢复。附录是签名值，它需要附加（包含在）消息中才能使用。

实际上，您至少可以恢复 消息的哈希这一事实是特定于某些方案的，例如 PKCS#1 签名生成（在 the standard 中正式称为 RSASSA-PKCS1-v1_5）。其他方案如同一标准中的 PSS 甚至可能无法恢复哈希。只要验证（可以在给定数据和因此散列的情况下进行）可以成功或失败，就可以了。换句话说，验证至少应该产生一个布尔真/假，但它不需要生成任何其他信息。

或者，在简化的伪代码中：

ciphertext = encrypt(publicKey, plaintext)
(recovered) plaintext = decrypt(privateKey, ciphertext)

和

signature = sign(privateKey, data)
verificationResult = verify(publicKey, data, signature)

其中数据散列算法是签名生成和验证算法的配置参数。如果你想包括它，你可以例如包括它作为初始参数：

signature = sign(SHA256alg, privateKey, data)
verificationResult = verify(SHA256alg, publicKey, data, signature)

---

最后，您在谈论“解码”。您使用编码方案解码已编码的消息。编码/解码不假定密钥的存在。我们谈论的是加密/解密和签名生成/验证。编码的示例是将二进制转换为文本的十六进制/base 64。 字符编码比如UTF-8就是把文本转成二进制。

Answer 2

约定是使用接收到的公共 RSA 密钥进行加密，这样只有相应私钥的持有者才能解密消息。

同样按照惯例，您将使用您的 RSA 私钥来创建签名，其他拥有相应公钥的人都可以验证该签名。

原则上，您可以使用公钥来创建签名，但这将是密钥的错误用例，并且通常在实现 RSA 的库中被阻止。在您的情况下，当您尝试在 sign(..) 调用中使用公钥时，您会得到一个 "public key ≠ not private key error"。

签名时，您不会使用完整的消息作为 RSA 的输入，而是计算哈希值（您使用 SHA256）。此哈希不需要在签名验证中“解密”，而是在您要验证的原始消息上重新计算。