为什么我使用OpenSSL和Java生成的RSA-SHA256签名不同?

我想用Java生成一个RSA-SHA256签名,但是我不能在控制台上生成与OpenSSL相同的签名。

这就是我使用OpenSSL所做的(接下来的教程 ):

生成密钥对:

openssl genrsa -out private.pem 1024 

提取公钥:

 openssl rsa -in private.pem -out public.pem -outform PEM -pubout 

创build数据的散列:

 echo 'data to sign' > data.txt openssl dgst -sha256 < data.txt > hash 

生成的哈希文件以(stdin)=开头(stdin)=我忘了提及它,谢谢)。

签名哈希:

 openssl rsautl -sign -inkey private.pem -keyform PEM -in hash > signature 

为了在Java中重现结果,我首先将私钥从PEM转换为DER:

 openssl pkcs8 -topk8 -inform PEM -outform DER -in private.pem -nocrypt > private.der 

现在我编写了这个Java类来生成相同的签名:

 public class RSATest { public static void main(String[] args) throws IOException, NoSuchAlgorithmException, InvalidKeySpecException, InvalidKeyException, SignatureException { byte[] encodedPrivateKey = readFile("private.der"); byte[] content = readFile("data.txt"); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(encodedPrivateKey); RSAPrivateKey privateKey = (RSAPrivateKey) keyFactory .generatePrivate(keySpec); Signature signature = Signature.getInstance("SHA256withRSA"); signature.initSign(privateKey); signature.update(content); byte[] signatureBytes = signature.sign(); FileOutputStream fos = new FileOutputStream("signature-java"); fos.write(signatureBytes); fos.close(); } private static byte[] readFile(String filename) throws IOException { File file = new File(filename); BufferedInputStream bis = new BufferedInputStream(new FileInputStream( file)); byte[] bytes = new byte[(int) file.length()]; bis.read(bytes); bis.close(); return bytes; } } 

不幸的是结果不一样,所以我觉得我一定做错了什么,但是我弄不清楚是什么。 有人能帮我find这个bug吗?

 openssl dgst -sha256 < data.txt 

会产生类似于

 (stdin)= b39eaeb437e33087132f01c2abc60c6a16904ee3771cd7b0d622d01061b40729

注意(stdin)= '? 你不希望它成为你的散列的一部分,如果你需要创build一个摘要,使用-binary选项。

尝试使用它来签署你的数据:

 openssl sha -sha256 -sign private.pem < data.txt 

这做你需要的一切。


编辑 – 多一点解释:

让我们创build一个摘要并显示它

 $ openssl dgst -sha256 -binary < data.txt > digest $ hd digest 00000000 26 3b 0a a1 2e b9 32 db b8 dc d3 6f 37 94 0b 05 |&;....2....o7...| 00000010 71 9c ba 79 46 34 28 9f 5c 5b 98 9a 64 61 c9 ec |q..yF4(.\[..da..| 

现在我们接受这个摘要并使用rsautl标记int:

 $ openssl rsautl -sign -inkey private.pem < digest > sign1 $ hd sign1 00000000 1b 7a cf a4 8d 41 8e 04 ed 3a bb ba 86 f1 f8 e0 |.z...A...:......| 00000010 df f7 47 3e d7 a7 f4 90 7a 05 f8 7f 45 e5 29 e7 |..G>....z...E.).| 00000020 9f f4 2c 91 97 2f e7 26 69 9f 6a 07 a3 48 1b 85 |..,../.&i.j..H..| 00000030 2e f8 ee 44 4d 25 9f ae 05 95 81 c9 e3 07 68 ad |...DM%........h.| 

现在让我们直接使用dgst签署相同的文件:

 $ openssl dgst -sha256 -sign private.pem < data.txt > sign2 $ hd sign2 00000000 15 c2 94 87 eb e6 cb 45 c8 63 0c 97 60 d3 07 f3 |.......Ec.`...| 00000010 dc 65 32 ad 44 1c c2 2a 7f a3 e1 fc dd 84 27 8c |.e2.D..*......'.| 00000020 77 a6 97 2b 33 6b c6 d7 7d e1 1d 39 5c 48 b6 48 |w..+3k..}..9\HH| 00000030 cb 18 be bf 6a 66 90 d3 88 89 52 6c dd d1 b9 99 |....jf....Rl....| 

那么这里有什么不同? 要看到这一点,我们可以validation签名并显示原始输出。 两个文件都包含摘要,但元数据和填充不同:

 $ openssl rsautl -raw -verify -inkey private.pem < sign1 | hd 00000000 00 01 ff ff ff ff ff ff ff ff ff ff ff ff ff ff |................| 00000010 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff 00 |................| 00000020 26 3b 0a a1 2e b9 32 db b8 dc d3 6f 37 94 0b 05 |&;....2....o7...| 00000030 71 9c ba 79 46 34 28 9f 5c 5b 98 9a 64 61 c9 ec |q..yF4(.\[..da..| $ openssl rsautl -raw -verify -inkey private.pem < sign2 | hd 00000000 00 01 ff ff ff ff ff ff ff ff ff ff 00 30 31 30 |.............010| 00000010 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 |...`.He...... | 00000020 26 3b 0a a1 2e b9 32 db b8 dc d3 6f 37 94 0b 05 |&;....2....o7...| 00000030 71 9c ba 79 46 34 28 9f 5c 5b 98 9a 64 61 c9 ec |q..yF4(.\[..da..| 

为了更清楚地看到这一点,我们可以尝试使用-asn1parse标志,这对第一个签名不起作用,但是第二个标志显示签名的正确结构:

 $ openssl rsautl -verify -inkey private.pem -asn1parse < sign1 Error in encoding 139931349546656:error:0D07209B:asn1 encoding routines:ASN1_get_object:too long:asn1_lib.c:142: $ openssl rsautl -verify -inkey private.pem -asn1parse < sign2 0:d=0 hl=2 l= 49 cons: SEQUENCE 2:d=1 hl=2 l= 13 cons: SEQUENCE 4:d=2 hl=2 l= 9 prim: OBJECT :sha256 15:d=2 hl=2 l= 0 prim: NULL 17:d=1 hl=2 l= 32 prim: OCTET STRING 0000 - 26 3b 0a a1 2e b9 32 db-b8 dc d3 6f 37 94 0b 05 &;....2....o7... 0010 - 71 9c ba 79 46 34 28 9f-5c 5b 98 9a 64 61 c9 ec q..yF4(.\[..da..