7

我正在尝试进行RRSIG验证,我正在尝试在 PHP 中使用 openssl 库。但是我在将公钥传递给openssl_verify函数时遇到了问题。

这是一个基本代码,使用 Net/DNS2 库通过 DNSSEC 选项进行 DNS 查询。并获取 DNSKEY 和 RRSIG。

<?php

require_once 'Net/DNS2.php';

$r = new Net_DNS2_Resolver(array('nameservers' => array('127.0.0.1')));
$r->dnssec = true;

try {
        $result = $r->query('ip4afrika.nl', 'DNSKEY');

} catch(Net_DNS2_Exception $e) {

        echo "::query() failed: ", $e->getMessage(), "\n";
        die(); // 
}

// print_r($result->answer);

$public_key_bin = base64_decode( $result->answer[0]->key ) ;
$public_key_str = $result->answer[0]->key; //echo $public_key_str; die();
// $public_key_res = openssl_x509_parse($public_key_bin);
$public_key_res = openssl_x509_read($public_key_str);
// $public_key_res = openssl_pkey_get_public($public_key_str);

while ($msg = openssl_error_string()) echo $msg . PHP_EOL;

我收到此错误消息,

使用时:

$public_key_res = openssl_x509_read($public_key_str);

 PHP Warning:  openssl_x509_read(): supplied parameter cannot be
 coerced into an X509 certificate! in /src/Net_DNS2-1.4.3/i.php on line
 34 PHP Stack trace: PHP   1. {main}() /src/Net_DNS2-1.4.3/i.php:0 PHP 
 2. openssl_x509_read() /src/Net_DNS2-1.4.3/i.php:34 error:0906D06C:PEM routines:PEM_read_bio:no start line

所以我尝试添加 BEGIN/END 标头

$public_key_str = '-----BEGIN CERTIFICATE-----' . PHP_EOL . $result->answer[0]->key . PHP_EOL . '-----END CERTIFICATE-----' ;

并收到此错误消息,

error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag
error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error
error:0906700D:PEM routines:PEM_ASN1_read_bio:ASN1 lib

所以看来我给函数提供了错误的格式,我还在谷歌搜索,但欢迎任何帮助。

最终,我喜欢使用以下方法验证签名:

openssl_verify($data, $signature, $public_key_res, 'RSA-SHA256');
4

2 回答 2

2

简短的回答:

如果您只需要 PHP 中的功能,您可以使用https://github.com/metaregistrar/php-dnssec-validator

长答案:

您无法加载 KEY 数据的原因是它的格式略有不同。根据rfc3110

Field             Size
-----             ----
exponent length   1 or 3 octets (see text)
exponent          as specified by length field
modulus           remaining space

而 RSA 公钥有点复杂——除了指数和模数之外,您需要在它前面加上正确的 OID (第二个答案)

之后的过程有点粗糙:

  1. 获取RRSIG记录获取签名和密钥标签(确定使用哪个密钥)

  2. 使用来自正确 DNSKEY RR 的公钥来验证签名。

这里还描述了一个过程(在python中)

于 2017-05-21T08:21:57.633 回答
0

PHP_EOL是特定于平台的,不确定您要在哪个平台上测试此代码,但请尝试用'\n'显式替换常量。看看是否有帮助。

于 2017-05-16T21:29:39.640 回答