4

如标题,如何从 Java 中的 SSH RSA 公钥计算指纹?我从 sample.pub 获得了一个 rsaPublicKey 对象,我使用库 Apache Commons Codec 计算了指纹 DigestUtils.sha256Hex(rsaPublicKey.getEncoded()); 但是使用 ssh-keygen 命令 ssh-keygen -E sha256 -lf sample.pub sample.pub 时我得到了不同的指纹,如下所示 ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAsuVPKUpLYSCNVIHD+e6u81IUznkDoiOvn/t56DRcutRc4OrNsZZ+Lmq49T4JCxUSmaT8PeLGS/IC946CNQzFwMh++sVoc19UUkZtRaDgiYn+HkYk8VW4IFI1dKfXomKSbX/lB+ohzLzXLVP2/UJgfBmdaE10k+6b+/Yd8YGXIeS8/Z9zToHPo0ORNSGIolgq3xMXUtfAOK/0KC6IFc/FuvuOSAG1UWup91bcm5GSXv4BWWjgFtOxCLIknYjsDah4qfrP8Olp5eUDhn/65xRcZsmRXoYe1ylhlSjJoPDFWXVs9npwqQmi3JaZtgg7xJxMu1ZcdpYxoj280zM9/6w1Lw==

4

2 回答 2

7

您的主要问题是SSH 用于公钥的XDR 样式编码(OpenSSH 用于计算指纹)与 Java 加密使用的编码不同,后者是由 X.509 正式定义的 ASN.1 DER 格式称为SubjectPublicKeyInfo。事实上,我很惊讶你能用.pubJava 读取 OpenSSH 文件。没有直接的方法可以这样做。在ssh-keygen 上查看许多现有的 Q,openssl 提供了两个不同的公钥(披露:我的),但快速检查我认为它们中的任何一个都不是 Java,所以你需要做类似的事情:

byte[] n = rsapubkey.getModulus().toByteArray(); // Java is 2sC bigendian
byte[] e = rsapubkey.getPublicExponent().toByteArray(); // and so is SSH
byte[] tag = "ssh-rsa".getBytes(); // charset very rarely matters here
ByteArrayOutputStream os = new ByteArrayOutputStream();
DataOutputStream dos = new DataOutputStream(os);
dos.writeInt(tag.length); dos.write(tag);
dos.writeInt(e.length); dos.write(e);
dos.writeInt(n.length); dos.write(n);
byte[] encoded = os.toByteArray();
// now hash that (you don't really need Apache) 
// assuming SHA256-base64 (see below)
MessageDigest digest = MessageDigest.getInstance("SHA256");
byte[] result = digest.digest(encoded);
String output = Base64.getEncoder().encodeToString(result);

(旁白:感谢 linc01n 发现了这个错误——我总是在发布之前尝试编译,但我不确定我是怎么错过这个的。)

第二个问题是OpenSSH从未以十六进制显示 SHA256 指纹。它最初使用带有冒号的十六进制MD5指纹;在 6.8 中,它默认切换为base64 中的 SHA256(使用传统字母而不是 JSON 首选的“URLsafe”),尽管您仍然可以获得旧形式(正在ssh使用-oFingerprintHash=md5或等效的配置设置;正在ssh-keygen -l使用-E md5)。确定您想要哪个(s?)并相应地编码。

或者,如果您有该.pub文件,只需读取一行的第二个空格分隔字段,将 base64 转换为byte[],对其进行哈希处理并显示。

于 2018-06-27T11:17:05.790 回答
1

使用它从您的公钥计算指纹:

    /**
     * Calculate fingerprint
     *
     * @param publicKey public key
     * @return fingerprint
     */
    public static String calculateFingerprint(String publicKey) {
        String derFormat = publicKey.split(" ")[1].trim();
        MessageDigest messageDigest = null;
        try {
            messageDigest = MessageDigest.getInstance("MD5");
        } catch (NoSuchAlgorithmException e) {
            log.error(e.getMessage(), e);
            throw new RuntimeException("Could not get fingerprint", e);
        }
        byte[] digest = messageDigest.digest(Base64.getDecoder().decode(derFormat));
        final StringBuilder toRet = new StringBuilder();
        for (int i = 0; i < digest.length; i++) {
            if (i != 0) toRet.append(":");
            int b = digest[i] & 0xff;
            String hex = Integer.toHexString(b);
            if (hex.length() == 1) toRet.append("0");
            toRet.append(hex);
        }
        return toRet.toString();
    }

这将为您提供与以下相同的结果:

ssh-keygen -E md5 -l -f id_rsa.pub
于 2019-12-27T13:58:54.257 回答