【问题标题】:Data signed on iOS can't be verified in Java在 iOS 上签名的数据无法在 Java 中验证
【发布时间】:2018-10-31 01:53:14
【问题描述】:

我有一些数据要在 iOS 上使用椭圆曲线私钥使用 SecKeyRawSign 进行签名。但是,使用 Signature.verify() 验证 Java 中的数据会返回 false

数据是一个随机的64位整数,像这样分割成字节

uint64_t nonce = (some 64 bit integer)
NSData *nonceData = [NSData dataWithBytes: &nonce length: sizeof(nonce)];

根据这些数据,我正在创建一个 SHA256 摘要

int digestLength = CC_SHA256_DIGEST_LENGTH;
uint8_t *digest = malloc(digestLength);
CC_SHA256(nonceData.bytes, (CC_LONG)nonceData.length, digest);
NSData *digestData = [NSData dataWithBytes:digest length:digestLength];

然后用私钥签名

size_t signedBufferSize = kMaxCipherBufferSize;
uint8_t *signedBuffer = malloc(kMaxCipherBufferSize);

OSStatus status = SecKeyRawSign(privateKeyRef,
                                kSecPaddingPKCS1SHA256,
                                (const uint8_t *)digestData.bytes,
                                digestData.length,
                                &signedBuffer[0],
                                &signedBufferSize);

NSData *signedData = nil;
if (status == errSecSuccess) {
    signedData = [NSData dataWithBytes:signedBuffer length:signedBufferSize];
}

一切似乎都运行良好。

然后,在 Java 服务器中,我正在尝试验证签名数据

PublicKey publicKey = (a public key sent from iOS, X509 encoded)

Long nonce = (64 bit integer sent from iOS)
String signedNonce = (base64 encoded signed data)

ByteBuffer buffer = ByteBuffer.allocate(Long.BYTES);
buffer.putLong(nonce);
byte[] nonceBytes = buffer.array();
byte[] signedNonceBytes = Base64.getDecoder().decode(signedNonce.getBytes());

Signature signer = Signature.getInstance( "SHA256withECDSA" );
signer.initVerify( publicKey );
signer.update( nonceBytes );
Boolean isVerified = signer.verify( signedNonceBytes );

此时,signer.verify() 返回false

我也尝试签署纯数据,而不是 SHA256 摘要,但这也不起作用。

我错过了什么?我是否正确签署数据?我使用正确的填充吗?是否需要对数据进行其他处理才能使用SHA256withECDSA 算法对其进行验证?

【问题讨论】:

  • 你能用相同的算法在 Java 中加密相同的 Nonce,看看加密版本是否会有所不同?所以基本上你在两端都加密,看看加密的数据是否相同
  • 我会建议检查 ObjC 端是否正确:(1)生成签名的大小是预期大小吗? (2) 你能验证 ObjC 代码中的签名吗?一个疯狂的猜测:这可能是一个字节顺序问题吗?即[NSData dataWithBytes: &nonce... 访问实际的原始内存,而Java 端可能会在更通用的“网络”字节序中看到随机数。因此,尝试 0 的随机数是否有效。
  • 其中一个错误是字节顺序。 iOS 是小端。你创建nonceData的方式,这个顺序被保留了。但是在 Java 方面,ByteBuffer 默认为大端。所以需要添加:buffer.order(ByteOrder.LITTLE_ENDIAN);
  • @Codo 就是这样。请写为答案,以便我接受。
  • 好的,我已将其添加为答案。

标签: java ios objective-c java-security commoncrypto


【解决方案1】:

字节顺序不匹配:

  • iOS 是 little endian。你创建nonceData的方式,这个顺序会保留。
  • 在 Java 端,ByteBuffer 默认为 big endian,独立于底层操作系统/硬件。

所以你需要改变字节顺序:

ByteBuffer buffer = ByteBuffer.allocate(Long.BYTES);
buffer.order(ByteOrder.LITTLE_ENDIAN);
buffer.putLong(nonce);

【讨论】:

    【解决方案2】:

    在 getBytes() 中,您可以使用 java.nio.charset.StandardCharsets 指定编码技术。并对解码器执行相同的操作。

    https://docs.oracle.com/javase/7/docs/api/java/nio/charset/StandardCharsets.html

    【讨论】:

    【解决方案3】:

    我可以建议您使用一些适用于 iOS 和 JAVA 端的 Crypto Library (f.e.:https://github.com/VirgilSecurity/virgil-crypto)。这将确保算法和块类型(等)在两种情况下都是相同的,您不再需要担心它。我相信你会在 GitHub 上找到很多加密库。

    【讨论】:

      【解决方案4】:

      我是一个 java 人,所以我不能说关于 iOS 方面的任何事情,但是可以使用注释的假设来快速检查 java 方面:

      // Generate a new random EC keypair for testing
      KeyPair keys = KeyPairGenerator.getInstance("EC").generateKeyPair();
      PrivateKey privateKey = keys.getPrivate();
      PublicKey publicKey = keys.getPublic();
      
      // Generate a Random nonce to test with
      byte[] nonceBytes = new byte[8]; // (some 64 bit integer)
      new Random(System.nanoTime()).nextBytes(nonceBytes);
      
      // sign     
      Signature sign = Signature.getInstance("SHA256withECDSA");
      sign.initSign(privateKey);
      sign.update(nonceBytes);
      byte[] signature = sign.sign();
      
      //verify
      Signature verify = Signature.getInstance("SHA256withECDSA");
      verify.initVerify(publicKey);
      verify.update(nonceBytes);
      Boolean isVerified = verify.verify(signature);
      
      // print results
      System.out.println("nonce used  ::" + Base64.getEncoder().encodeToString(nonceBytes));
      System.out.println("Signed nonce ::" + Base64.getEncoder().encodeToString(signature));
      System.out.println("nonce used ::" + isVerified);
      

      正如您所期望的那样,上面的代码将始终返回签名已验证。检查您的假设是否准确,并验证所使用的密钥在双方方面都是正确的。

      【讨论】:

        猜你喜欢
        • 1970-01-01
        • 2013-06-14
        • 2019-06-27
        • 1970-01-01
        • 1970-01-01
        • 2017-07-30
        • 1970-01-01
        • 2021-06-19
        相关资源
        最近更新 更多