1

所以我面临的问题是我正在向服务器发出请求,并且服务器正在通过 webhook 响应 -> 此通知可能需要一段时间才能回来。这就是为什么每次收到响应时,我都需要验证响应身份验证标头中发送的签名。

他们说他们使用以下方式生成签名:sign(apikey + nonce + timestamp + transactionid)

现在,显然我有 apikey,但我没有时间戳、nonce 和 transactionId 来验证签名是否正确。我不明白,那它甚至可以解决吗?

无论如何,他们说他们使用 SHA256withRSA (OID: 1.2.840.113549.1.1.11) 标准对其进行签名,因此我必须使用相同的东西来解密它。他们给了我他们的字符串公钥,没有别的(没有证书)。公钥格式为:

-----BEGIN PUBLIC KEY-----
<public key>
-----END PUBLIC KEY-----

我没有在 C# 中找到任何现成的解决方案来解决这个问题,因为我不能只使用 RSA。我能做些什么来解密他们的签名并验证它真的是他们?

4

1 回答 1

4

数据应包含您正在寻找的工件。签名不加密数据,而是通常附加(通常附加)到数据。虽然数据没有加密(通过签名生成过程),但它当然可以被编码,这意味着您可能必须首先解码数据(例如base 64)。然后签名通过数据的规范二进制表示。

所以一般来说,要验证签名:

  • 解码和聚合数据
  • 解码签名
  • 对数据进行正确的二进制表示
  • 散列二进制表示(通常是签名验证函数的一部分,例如"SHA256withRSA"),最后
  • 验证签名。

除了验证签名之外,您可能还需要执行签名验证。通常,签名的验证包括以下内容:

  • 验证之前没有使用过随机数(防止重放攻击);
  • 验证时间戳是否在一定范围内。

但如果可能的话,你应该让图书馆来处理这个问题。但是,请检查验证确实发生了,验证检查是否有用并且已经执行。

如果使用 PEM(就像您显示的公钥一样),可能是使用 CMS(加密消息语法)隐藏了数据和签名。这是一种二进制容器格式。如果这是真的,那么你肯定需要一个 CMS 库,因为解析消息结构需要大量的知识和实践。

于 2018-03-23T11:49:53.473 回答