使用 OpenSSL 验证 Java 签名类签名答案

【问题标题】：Verify Java Signature Class Signature With OpenSSL使用 OpenSSL 验证 Java 签名类签名
【发布时间】：2017-03-04 01:59:17
【问题描述】：

我正在编写一些代码，试图对一些数据进行签名。在将 openssl 生成的私钥转换为 Java Keystore 之后，我正在使用带有 SHA256withRSA 的 Java Signature 类。我正在尝试确认从 openssl 中的 Java 类返回的签名，但由于某种原因，我无法让 openssl 进行验证。我最终将需要在 iOS Swift 3 中实现此签名验证，但在我找到一个库之前，我想尝试根据 openssl 标准检查 Java 签名。

例如，我从我们的登录服务器得到这个响应（签名是作为 Signature.sign() 给出的字节数组的 base64 编码版本给出的）：

HTTP/1.1 200 OK
Connection: keep-alive
X-Powered-By: Undertow/1
TokenSignature: WtHSxFAy6yO2Bepb4NgRxYhRUEmKS793gd1NBX/bDErBjD3CTiLA8p05RNIG8U96bkwyi/ZySmQVwQf2w4meHMDBBpf7AnCSd1yZeBDeuWChiP3pGdUb3yuGIAnJdlKFHjaElDaJ3eqZD7JZcpcNeZv6xSQUZVi+xgZiUCtnZTYUZmkoRltkcEEbIv0rkERIsMhuuKAuLli7x76/XCpwNZ8dGc356Zzsq/gRhh8BrGejGKDJh/1D1iWAI6tfnBufs0EBe0E5kVm++3QVHNawETSjglBtUvre4ineSW9eTgzYfamijw2fvXOLVYf0p7iCdXJDFb9Pgm5ZDLGW4t/y6A==
Server: WildFly/10
Content-Type: application/json
Content-Length: 343
Date: Mon, 06 Mar 2017 23:28:57 GMT

{"tokenId":8728935,"studentID":8580329,"username":"pkirkland","deviceName":"iPhone","expirationDate":1488842937819,"blacklisted":false,"employeeType":"student","groups":[{"id":9235,"name":"Software","ldapName":"cn=Software, cn=Groups, dc=example, dc=com"},{"id":9257,"name":"Students","ldapName":"cn=Students, cn=Groups, dc=example, dc=com"}]}

来自使用私钥的 Java 签名类。

以下是密钥库中的公钥：

以下是密钥库中的私钥（我们不在产品上）：

这与 openssl 密钥中的公钥相同。我知道私钥看起来不同，因为一个是 PKCS#1，一个是 PKCS#8，但我认为这并不重要，因为它只是一种不同的存储格式。

问题是，当我使用原始 .pub 表单中的公钥使用 openssl 验证该签名时，openssl 告诉我“验证失败”。某处的填充或编码是否有区别？如果是这样，我该怎么做才能使用 openssl 进行检查？

编辑

我正在尝试验证包含用户信息的 JSON 对象上的签名。该代码是基本的 Java 签名代码，但无论如何都在这里。

byte[] unsigned = objString.getBytes("UTF-8");
Signature signer = Signature.getInstance("SHA256withRSA");
signer.initSign(cs.getPrivateKey());
signer.update(unsigned); //prepare for signature
byte[] signature = signer.sign();

其中 objString 是 JSON 对象，cs 是 Crypto Singleton，用于访问数据库中的密钥。

编辑：我的合作伙伴确认我们正在根据数据检查二进制版本，这就是失败的原因。

为了在openssl中验证，我将签名保存到一个txt文件并传递给

base64 -d sig.txt> sig.bin
openssl dgst -sha256 -verify pubkey.pub -signature sig.bin data.json

【问题讨论】：

在编辑中添加了相关信息。

标签： java openssl rsa digital-signature

【解决方案1】：

旁白：Java Signature API 和一般的 PKC 签名使用散列，但生成的签名不是散列。 RSA 签名有时被松散地描述为“加密哈希”，但这在技术上是错误的，对于其他签名方案，甚至没有加密的概念。

Signature.sign() 生成的实际签名是（如您的代码所示）一个包含二进制文件的byte[]。您发布的值显然是base64-encoded，这是表示现代加密数据和其他二进制数据的常用方式。如果您将该 base64 转换回二进制，它至少会验证为 SHA256 哈希恢复有效的 PKCS1v1.5 'type 1' 块。 试试：

openssl base64 -d -A <sig.txt >sig.bin   # if version 1.1.0+ can omit -A
openssl dgst -sha256 -verify pubkey.pub -signature sig.bin data.json

另外一点：大小为 1024 位的 RSA，尽管就众所周知的情况而言实际上并没有被破坏，但不再（自 2014 年以来）被评为为可接受的安全性提供足够的余量。大多数权威机构现在要求 2048，从技术上讲，您应该至少使用 1280 或 1536——除非量子计算取得重大进展，这目前还无法预测。但是，这是 security.SX 或 crypto.SX 的问题，而不是 SO。

【讨论】：

我与我的合作伙伴进行了仔细检查，我们目前正在对二进制签名而不是 base64 编码版本进行验证。此外，我们目前使用的是 2048 位 RSA。尝试了其他所有方法后，我尝试了您发布的命令，不幸的是得到了相同的结果：验证失败
那你的Q不是'当前'？ Q 中的密钥和签名都是 1024 位的。当我用明显的（？）填充你的 Q 中的内容来填充省略的部分时，它会起作用。您是否可以添加与签名匹配的数据，或者如果您更喜欢一些虚拟数据及其签名——如果不是完全 ASCII 图形（即没有 CRLF 等）使用 b64 或十六进制来准确保留所有字节？