Java 的 BouncyCastle 并不总是验证 OpenSSL ECDSA 签名

【问题标题】:Java's BouncyCastle doesn't always verify OpenSSL ECDSA signatureJava 的 BouncyCastle 并不总是验证 OpenSSL ECDSA 签名
【发布时间】:2018-09-02 06:24:20
【问题描述】:

我使用 OpenSSL(在 C++ 中)对文本进行签名,但是我的 Java 程序并不总是验证签名消息(只有 5 个中的 1 个得到验证)。有趣的是https://kjur.github.io/jsrsasign/sample/sample-ecdsa.html 没有验证任何一个:

曲线名称:secp256k1 签名算法:SHA256withECDSA

私钥

431313701ec60d303fa7d027d5f1579eaa57f0e870b23e3a25876e61bed2caa3

公钥

035bcefc4a6ca257e394e82c20027db2af368474afb8917273713644f11a7cecb3

失败

text to sign=
    pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867163229

signature=
    3044022061dff8e39f9324b0794ec2c58abda971898f694ca980baf3c2a4045a9048b441022054a2fb8ef3d383fd7eeb31425dba440e2fd2053778d4ab3725046385c7845cff0000

成功

text to sign=
    pcax2727gRo8M6vf9Vjhr1JDrQ3rdPYu6xx81000pcax273z8kaV5Ugsiqz3tvWGo8Gg6sch6V4912341535867122614

signature=
    3046022100f200d0fb9e86a16bd46ee2dd11f1840a436d0a5c6823001a516e975a44906fcf022100d062a60611fc0f21d81fa3140741c8b6e650fff33d2c48aef69a3a40d7c7b3ca

Java

private static final String SHA256WITH_ECDSA = "SHA256withECDSA";

public static boolean isValidSignature(PublicKey pub, byte[] dataToVerify, byte[] signature) {

    try {

        Signature sign = Signature.getInstance(SHA256WITH_ECDSA, BouncyCastleProvider.PROVIDER_NAME);

        sign.initVerify(pub);

        sign.update(dataToVerify);

        return sign.verify(signature);

    } catch (Exception e) {
        log.error("Error: " + e.getMessage());
    }

    return false;

}

C++

std::vector<unsigned char> utils::crypto::sign(std::string& private_key_58, std::string& message) {

    auto priv_bytes = utils::base58::decode_base(private_key_58);

    auto digest = utils::crypto::sha256(message);

    auto key = utils::crypto::ec_new_keypair(priv_bytes);

    auto signature = ECDSA_do_sign(digest.data(), digest.size(), key);

    auto der_len = ECDSA_size(key);
    auto der = (uint8_t*) calloc(der_len, sizeof(uint8_t));
    auto der_copy = der;
    i2d_ECDSA_SIG(signature, &der_copy);

    std::vector<unsigned char> s (der, der+der_len);

    return s;

}

std::vector<unsigned char> utils::crypto::sha256(std::string& str) {

    unsigned char hash[SHA256_DIGEST_LENGTH];
    SHA256_CTX sha256;
    SHA256_Init(&sha256);
    SHA256_Update(&sha256, str.c_str(), str.size());
    SHA256_Final(hash, &sha256);

    std::vector<unsigned char> data(hash, hash + SHA256_DIGEST_LENGTH);

    return data;

}

EC_KEY *utils::crypto::ec_new_keypair(std::vector<unsigned char>& priv_bytes) {

    EC_KEY *key = nullptr;
    BIGNUM *priv = nullptr;
    BN_CTX *ctx = nullptr;
    const EC_GROUP *group = nullptr;
    EC_POINT *pub = nullptr;

    key = EC_KEY_new_by_curve_name(NID_secp256k1);

    if (!key) {
        std::cerr << "Can't generate curve secp256k1\n";
        std::abort();
    }

    priv = BN_new();
    BN_bin2bn(priv_bytes.data(), 32, priv);
    EC_KEY_set_private_key(key, priv);

    ctx = BN_CTX_new();
    BN_CTX_start(ctx);

    group = EC_KEY_get0_group(key);
    pub = EC_POINT_new(group);
    EC_POINT_mul(group, pub, priv, NULL, NULL, ctx);
    EC_KEY_set_public_key(key, pub);

    EC_POINT_free(pub);
    BN_CTX_end(ctx);
    BN_CTX_free(ctx);
    BN_clear_free(priv);

    return key;
}

【问题讨论】:

    标签: java openssl bouncycastle ecdsa


    【解决方案1】:

    Neardupes ECDSA signature lengthhow to specify signature length for java.security.Signature sign method(以及更多链接)

    ASN.1 DER 编码是可变大小的,对于除某些非常有限的数据之外的所有数据,尤其是对于 ECDSA(或 DSA)签名。 ECDSA_size 返回给定密钥可能的 最大 长度,但每个实际签名可能是该长度或更短,具体取决于签名中值 r 和 s 的二进制表示,这对于您目的本质上可以视为随机数。

    在实际签名比ECDSA_size 短的情况下,您仍然对整个缓冲区进行编码并将其传递给您的Java;注意“失败”示例末尾的两个零字节(十六进制的0000)? DER 解码器可以忽略尾随垃圾,当我在较旧的 BouncyCastle 和 SunEC 提供程序上测试这种情况时,它实际上工作正常,但从 BouncyCastle 1.54 开始对我来说失败了——有一个相当明显的例外, java.security.SignatureException: error decoding signature bytes. -- 和 SunEC 从 8u121 开始,原因或异常类似于java.security.SignatureException: Invalid encoding for signature

    在成功攻击“松散”编码(包括比特币中的 secp256k1 签名)后,最近许多实现都使 DER 解码更加严格——请参阅https://bitcoin.stackexchange.com/questions/51706/what-can-be-changed-in-signed-bitcoin-transactionhttps://en.bitcoin.it/wiki/Transaction_malleability。这在the Oracle Java 8u121 release notes 项目“更多检查添加到 DER 编码解析代码”中提到,尽管我没有看到 Bouncy 有任何类似的东西。

    由于 secp256k1 是 Certicom/X9 'prime' (Fp) 曲线组,其辅因子为 1,其阶非常接近底层字段大小,后者又非常接近 256 位,即 8 的倍数,因此,该组中的签名将 DER 编码到最大长度(和工作),几乎恰好是 1/4 (25%) 的时间;其余时间他们将失败。

    官方和最好的解决方案是使用指针中的更新值,这里是der_copy,由(任何)i2d* 例程输出,以确定编码的长度,并使用该长度。如果由于某种原因您无法处理可变长度,您可以传输整个缓冲区,然后在传递给 BouncyCastle(或 SunEC)之前将其截断,使用 2+signature[1] 作为有效长度 - 但如果您更改为更大的曲线,则不会超过约 480 位;除此之外,它是不同的,更复杂。

    【讨论】:

    • 哇,欣赏!
    猜你喜欢
    • 1970-01-01
    • 2020-06-11
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2018-04-20
    • 1970-01-01
    • 1970-01-01
    • 2015-04-30
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode