openssl - 使用 OpenSSL 进行签名和验证

Question

我正在尝试使用 OpenSSL 进行签名和验证签名的基本练习。签名工作正常

$ openssl pkeyutl -hexdump -sign -inkey id_rsa -in test.txt > test.sig
Enter pass phrase for id_rsa:
$ cat test.sig
0000 - 20 ab 34 00 ff 87 50 1e-de fb c9 3d 10 2f 7b fd    .4...P....=./{.
0010 - 99 a1 61 e0 3d 5f 93 82-63 e9 0a 6f 1a 22 4f 04   ..a.=_..c..o."O.
etc...

但是，当我尝试验证该签名时，出现错误。

$ openssl pkeyutl -verify -pubin -inkey id_rsa.pub.pem -signature test.sig test.txt
unable to load Public Key

我尝试使用的公钥是 PEM 格式的转换后的 SSH 公钥：

用命令生成

ssh-keygen -f key.pub -e -m pem

根据我阅读过的有关此问题的讨论和文档，这应该可行。但事实并非如此。

有什么提示吗？

编辑：我刚刚尝试了使用 OpenSSL 生成的一对密钥而不是转换后的 SSH 密钥的相同过程。那只是默默地失败而不是产生错误（openssl给我pkeyutl使用信息而不是验证签名）。

编辑 2：使用二进制签名（省略-hexdump）对使用 OpenSSL 生成的密钥具有相同的效果。在转换后的 RSA 密钥上，我得到

unable to load Public Key
Error initializing context
[snip usage output]

score 2 · Accepted Answer

你给了不存在的选项-signature。正确的是-sigfile。以下作品：

$ openssl pkeyutl -sign -inkey key.pem -in data.txt > test.sig
$ openssl pkeyutl -verify -pubin -inkey pubkey.pem -sigfile test.sig -in data.txt
Signature Verified Successfully

score 0 · Accepted Answer

我猜这个-hexdump选项是因为你不想得到一个二进制文件而被使用的？您可以使用base64将二进制 sig 编码为 ascii：

openssl pkeyutl -sign -inkey id_rsa -in test.txt | base64 > test.sig

但是，当您验证这一点时，您将不得不在某个临时文件中将其转换回二进制文件：

cat test.sig | base64 -d > ~test.sig.bin

您的公钥文件采用“rsa 公钥格式”，您可以在标题行“BEGIN RSA PUBLIC KEY”中看到。您可以将其转换为非 rsa 公钥格式，该格式将具有标头“BEGIN PUBLIC KEY”：

openssl rsa -in id_rsa.pub.pem -RSAPublicKey > id.pub.pem

最后，使用 'PUBLIC KEY' pem 和二进制 sigfile，您可以验证：

openssl pkeyutl -verify -pubin -inkey id.pub.pem -sigfile ~test.sig.bin -in test.txt

输出：

Signature Verified Successfully

openssl - 使用 OpenSSL 进行签名和验证

2 回答 2

Related

Reference