1

我正在使用xmlsec库来验证SAML断言的签名。我的代码几乎与xmlsec 网页上提供的verify4.c示例相同。

我正在链接 xmlsec-openssl 库,因此使用 openssl 作为加密引擎。

我期望 xmlsec 仅在使用我已加载到密钥管理器中的特定证书之一签名时才认为签名有效。

但是,如果使用可以由 openssl 验证的任何证书签名,则签名似乎被认为是有效的。这意味着有人可以通过从受信任的根 CA 购买证书并使用该证书签署他们想要的任何响应来伪造 SAML 响应。

不仅如此,该库提供的xmlsec1命令行工具似乎也在做同样的事情:

xmlsec1 --verify --dtd-file saml.dtd --pubkey-cert-pem my_cert.cer sample_saml_assertion.xml

...
OK
SignedInfo References (ok/all): 1/1
Manifests References (ok/all): 0/0

实际上,在理想情况下,只要我能够识别密钥的主题并因此确认它是由我预期的实体签名的,我就会很高兴使用任何有效的签名密钥。当 SAML 响应的发送者更改其签名密钥时,这将简化问题。但是我还没有找到一种简单的方法来提取用于验证签名的证书的详细信息。

如果做不到这一点,我可以让它只接受我在验证签名时指定的证书吗?

4

1 回答 1

0

在写这个问题时,我意识到我没有尝试过--print-debugxmlsec1 的选项。当我尝试这样做时,我发现它确实打印了用于验证签名的证书的主题和颁发者。

这让我意识到信息必须存在,所以这是一个如何访问它的问题。跟踪代码,我能够编写这个小片段来解决问题:

/* If signature is valid, then the list dsigCtx->signKey contains
   the signing key, data dsigCtx->signKey->dataList contains the certificate */
xmlSecPtrListPtr keyDataList = dsigCtx->signKey->dataList;

/* Iterate through the data list to find the X509 cert */
xmlSecSize n = xmlSecPtrListGetSize(keyDataList);
xmlSecSize i;
for (i=0; i<n; i++) {
    xmlSecKeyDataPtr item = xmlSecPtrListGetItem(keyDataList, i);
    if (xmlSecKeyDataIsValid(item) && xmlSecKeyDataCheckId(item, xmlSecOpenSSLKeyDataX509Id)) {

        /* Extract openssl cert */
        X509* cert = xmlSecOpenSSLKeyDataX509GetKeyCert(item);
        char cn_buff[256];
        if(cert != NULL) {
            /* Get the CN */
            X509_NAME * subject_name = X509_get_subject_name(cert);
            int nid_cn = OBJ_txt2nid("CN");
            X509_NAME_get_text_by_NID(subject_name, nid_cn, cn_buff, 255);

            /* Here you would compare it to the expected certificate */
            fprintf(stdout, "CN=%s\n", cn_buff);
        } else {
            fprintf(stdout, "Failed to obtain signing key cert\n");
        }
    }
}

这似乎是一种非常复杂的方法来获得如此基本的东西,所以我相信一定有一种更简单的方法。

于 2015-03-24T01:09:16.973 回答