6

我有一个二进制文件:

foo.bin

此文件已使用 gpg 密钥签名以创建:

foo.bin.sig

我有一个包含用于签署二进制文件的公钥的文件。

我想做的是能够使用 Go 来验证这个签名。

我正在阅读 go.crypto/openpgp 文档,它们对这个用例并不是特别有用。

验证将在远程机器上完成。理想情况下,我想避免在运行此代码的机器上使用密钥环。公钥可以简单地存储在可执行文件本身中……如果我能弄清楚如何完成此验证。

我认为我需要做的步骤如下:

  • 创建一个仅代表公钥的实体
  • 打开二进制文件和签名并将其传递给某个验证函数

问题主要是:如何仅使用公钥编写此验证功能?

4

1 回答 1

6

openpgp API 不是最简单易用的,但我试了一下(双关语),这就是我想出的

package main

import (
    "bytes"
    "code.google.com/p/go.crypto/openpgp/packet"
    "encoding/hex"
    "errors"
    "fmt"
    "io/ioutil"
    "os"
)

// gpg --export YOURKEYID --export-options export-minimal,no-export-attributes | hexdump /dev/stdin -v -e '/1 "%02X"'
var publicKeyHex string = "99[VERY LONG HEX STRING]B6"

func main() {
    if len(os.Args) != 3 {
        fmt.Println("Usage: " + os.Args[0] + " <file> <signature file>")
        return
    }

    err := checkSig(os.Args[1], os.Args[2])

    if err != nil {
        fmt.Println("Invalid signature : ")
        fmt.Println(err)
    } else {
        fmt.Println("Valid signature")
    }
}

func checkSig(fileName string, sigFileName string) error {
    // First, get the content of the file we have signed
    fileContent, err := ioutil.ReadFile(fileName)
    if err != nil {
        return err
    }

    // Get a Reader for the signature file
    sigFile, err := os.Open(sigFileName)
    if err != nil {
        return err
    }

    defer func() {
        if err := sigFile.Close(); err != nil {
            panic(err)
        }
    }()

    // Read the signature file
    pack, err := packet.Read(sigFile)
    if err != nil {
        return err
    }

    // Was it really a signature file ? If yes, get the Signature
    signature, ok := pack.(*packet.Signature)
    if !ok {
        return errors.New(os.Args[2] + " is not a valid signature file.")
    }

    // For convenience, we have the key in hexadecimal, convert it to binary
    publicKeyBin, err := hex.DecodeString(publicKeyHex)
    if err != nil {
        return err
    }

    // Read the key
    pack, err = packet.Read(bytes.NewReader(publicKeyBin))
    if err != nil {
        return err
    }

    // Was it really a public key file ? If yes, get the PublicKey
    publicKey, ok := pack.(*packet.PublicKey)
    if !ok {
        return errors.New("Invalid public key.")
    }

    // Get the hash method used for the signature
    hash := signature.Hash.New()

    // Hash the content of the file (if the file is big, that's where you have to change the code to avoid getting the whole file in memory, by reading and writting in small chunks)
    _, err = hash.Write(fileContent)
    if err != nil {
        return err
    }

    // Check the signature
    err = publicKey.VerifySignature(hash, signature)
    if err != nil {
        return err
    }

    return nil
}

根据要求,我将公钥放入代码中。你可以这样测试它:

$ go run testpgp.go foo.bin foo.bin.sig

如果您签署的文件非常大,您可能需要稍微更改代码以避免将其加载到内存中。

于 2013-12-30T13:10:20.223 回答