如标题,如何从 Java 中的 SSH RSA 公钥计算指纹?我从 sample.pub 获得了一个 rsaPublicKey 对象,我使用库 Apache Commons Codec 计算了指纹
DigestUtils.sha256Hex(rsaPublicKey.getEncoded());
但是使用 ssh-keygen 命令
ssh-keygen -E sha256 -lf sample.pub
sample.pub 时我得到了不同的指纹,如下所示
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAsuVPKUpLYSCNVIHD+e6u81IUznkDoiOvn/t56DRcutRc4OrNsZZ+Lmq49T4JCxUSmaT8PeLGS/IC946CNQzFwMh++sVoc19UUkZtRaDgiYn+HkYk8VW4IFI1dKfXomKSbX/lB+ohzLzXLVP2/UJgfBmdaE10k+6b+/Yd8YGXIeS8/Z9zToHPo0ORNSGIolgq3xMXUtfAOK/0KC6IFc/FuvuOSAG1UWup91bcm5GSXv4BWWjgFtOxCLIknYjsDah4qfrP8Olp5eUDhn/65xRcZsmRXoYe1ylhlSjJoPDFWXVs9npwqQmi3JaZtgg7xJxMu1ZcdpYxoj280zM9/6w1Lw==
2 回答
您的主要问题是SSH 用于公钥的XDR 样式编码(OpenSSH 用于计算指纹)与 Java 加密使用的编码不同,后者是由 X.509 正式定义的 ASN.1 DER 格式称为SubjectPublicKeyInfo
。事实上,我很惊讶你能用.pub
Java 读取 OpenSSH 文件。没有直接的方法可以这样做。在ssh-keygen 上查看许多现有的 Q,openssl 提供了两个不同的公钥(披露:我的),但快速检查我认为它们中的任何一个都不是 Java,所以你需要做类似的事情:
byte[] n = rsapubkey.getModulus().toByteArray(); // Java is 2sC bigendian
byte[] e = rsapubkey.getPublicExponent().toByteArray(); // and so is SSH
byte[] tag = "ssh-rsa".getBytes(); // charset very rarely matters here
ByteArrayOutputStream os = new ByteArrayOutputStream();
DataOutputStream dos = new DataOutputStream(os);
dos.writeInt(tag.length); dos.write(tag);
dos.writeInt(e.length); dos.write(e);
dos.writeInt(n.length); dos.write(n);
byte[] encoded = os.toByteArray();
// now hash that (you don't really need Apache)
// assuming SHA256-base64 (see below)
MessageDigest digest = MessageDigest.getInstance("SHA256");
byte[] result = digest.digest(encoded);
String output = Base64.getEncoder().encodeToString(result);
(旁白:感谢 linc01n 发现了这个错误——我总是在发布之前尝试编译,但我不确定我是怎么错过这个的。)
第二个问题是OpenSSH从未以十六进制显示 SHA256 指纹。它最初使用带有冒号的十六进制MD5指纹;在 6.8 中,它默认切换为base64 中的 SHA256(使用传统字母而不是 JSON 首选的“URLsafe”),尽管您仍然可以获得旧形式(正在ssh
使用-oFingerprintHash=md5
或等效的配置设置;正在ssh-keygen -l
使用-E md5
)。确定您想要哪个(s?)并相应地编码。
或者,如果您有该.pub
文件,只需读取一行的第二个空格分隔字段,将 base64 转换为byte[]
,对其进行哈希处理并显示。
使用它从您的公钥计算指纹:
/**
* Calculate fingerprint
*
* @param publicKey public key
* @return fingerprint
*/
public static String calculateFingerprint(String publicKey) {
String derFormat = publicKey.split(" ")[1].trim();
MessageDigest messageDigest = null;
try {
messageDigest = MessageDigest.getInstance("MD5");
} catch (NoSuchAlgorithmException e) {
log.error(e.getMessage(), e);
throw new RuntimeException("Could not get fingerprint", e);
}
byte[] digest = messageDigest.digest(Base64.getDecoder().decode(derFormat));
final StringBuilder toRet = new StringBuilder();
for (int i = 0; i < digest.length; i++) {
if (i != 0) toRet.append(":");
int b = digest[i] & 0xff;
String hex = Integer.toHexString(b);
if (hex.length() == 1) toRet.append("0");
toRet.append(hex);
}
return toRet.toString();
}
这将为您提供与以下相同的结果:
ssh-keygen -E md5 -l -f id_rsa.pub