Мне нужно подписать запросы перед отправкой на сервер backend. Однако мне предоставляется частный ключ. Поэтому мне нужно импортировать его, а затем использовать его для подписи. Я могу импортировать и подписываться, но эти данные отличаются от того, что я получаю, подписываясь с помощью openssl. Я знаю, что это неправильно, потому что когда я импортирую открытый ключ, я тоже не могу его проверить. Если есть способ, я могу избежать импорта в цепочку ключей, это тоже будет здорово. <Б > Мы много работаем над этим в течение нескольких дней, и для нас это очень важная работа. Может кто-нибудь, пожалуйста, помогите.
- (SecKeyRef) getPrivateKey {
//RSA KEY BELOW IS DUMMY.
key = @"-----BEGIN RSA PRIVATE KEY-----\nORtMei3ImKI2ZKI636I4+uNCwFfZv9pyJzXyfr1ZNo7iaiW7A0NjLxikNxrWpr/M\n6HD8B2j/CSjRPW3bhsgDXAx/AI1aSfJFxazjiTxx2Lk2Ke3jbhE=\n-----END RSA PRIVATE KEY-----\n";
NSString * tag = @"adpPrivateKey";
NSString *s_key = [NSString string];
NSArray *a_key = [key componentsSeparatedByString:@"\n"];
BOOL f_key = FALSE;
for (NSString *a_line in a_key) {
if ([a_line isEqualToString:@"-----BEGIN RSA PRIVATE KEY-----"]) {
f_key = TRUE;
}
else if ([a_line isEqualToString:@"-----END RSA PRIVATE KEY-----"]) {
f_key = FALSE;
}
else if (f_key) {
s_key = [s_key stringByAppendingString:a_line];
}
}
if (s_key.length == 0) return(nil);
// This will be base64 encoded, decode it.
NSData *d_key = [NSData dataFromBase64String:s_key];
if(d_key == nil) return nil;
NSData *d_tag = [NSData dataWithBytes:[tag UTF8String] length:[tag length]];
// Delete any old lingering key with the same tag
NSMutableDictionary *privateKey = [[NSMutableDictionary alloc] init];
[privateKey setObject:(id) kSecClassKey forKey:(id)kSecClass];
[privateKey setObject:(id) kSecAttrKeyTypeRSA forKey:(id)kSecAttrKeyType];
[privateKey setObject:d_tag forKey:(id)kSecAttrApplicationTag];
SecItemDelete((CFDictionaryRef)privateKey);
CFTypeRef persistKey = nil;
// Add persistent version of the key to system keychain
[privateKey setObject:d_key forKey:(id)kSecValueData];
[privateKey setObject:(id) kSecAttrKeyClassPrivate forKey:(id)
kSecAttrKeyClass];
[privateKey setObject:[NSNumber numberWithBool:YES] forKey:(id)
kSecReturnPersistentRef];
OSStatus secStatus = SecItemAdd((CFDictionaryRef)privateKey, &persistKey);
if (persistKey != nil) CFRelease(persistKey);
if ((secStatus != noErr) && (secStatus != errSecDuplicateItem)) {
[privateKey release];
return(nil);
}
// Now fetch the SecKeyRef version of the key
SecKeyRef keyRef = nil;
[privateKey removeObjectForKey:(id)kSecValueData];
[privateKey removeObjectForKey:(id)kSecReturnPersistentRef];
[privateKey setObject:[NSNumber numberWithBool:YES] forKey:(id)kSecReturnRef
];
[privateKey setObject:(id) kSecAttrKeyTypeRSA forKey:(id)kSecAttrKeyType];
secStatus = SecItemCopyMatching((CFDictionaryRef)privateKey,
(CFTypeRef *)&keyRef);
if(secStatus != noErr)
return nil;
[privateKey release];
return keyRef;
}
Для подписи используется код ниже. Часть кода взята из примера Apple (http://developer.apple.com/library/ios/#samplecode/CryptoExercise/Listings/Classes_SecKeyWrapper_m.html#//apple_ref/doc/uid/DTS40008019-Classes_SecKeyWrapper_m-DontLinkElementID_17)
- (NSData *)getSignatureBytes:(NSString *)plainText {
OSStatus sanityCheck = noErr;
NSData * signedHash = nil;
uint8_t * signedHashBytes = NULL;
size_t signedHashBytesSize = 0;
SecKeyRef privateKey = NULL;
privateKey = [self getPrivateKey];
signedHashBytesSize = SecKeyGetBlockSize(privateKey);
//Create a SHA Encoded
NSString * shaEncoded = [self sha256:plainText];
NSLog(@"%@", shaEncoded);
// Malloc a buffer to hold signature.
signedHashBytes = malloc( signedHashBytesSize * sizeof(uint8_t) );
memset((void *)signedHashBytes, 0x0, signedHashBytesSize);
NSData *inputData = [self getHashBytes:[plainText dataUsingEncoding:NSUTF8StringEncoding]];
int bytesLengthUINT8 = [inputData length];
sanityCheck = SecKeyRawSign ( privateKey, kSecPaddingPKCS1, (const uint8_t *)inputData, CC_SHA256_DIGEST_LENGTH,(uint8_t *)signedHashBytes, &signedHashBytesSize);
if(sanityCheck != noErr)
return nil;
signedHash = [NSData dataWithBytes:(const void *)signedHashBytes length:(NSUInteger)signedHashBytesSize];
NSString *string = [signedHash base64EncodedString];
NSLog(@"%@", string);
if (signedHashBytes) free(signedHashBytes);
return signedHash;
}
Я использовал образец кода в http://blog.flirble.org/2011/01/05/rsa-public-key-openssl-ios/ для импорта открытого ключа и проверки и его сбоя.
Взгляните на последний метод в принятом ответе: Преобразование NSData в SecKeyRef
Проблема в том, что iOS обрабатывает общедоступные и закрытые ключи несколько иначе, если заголовок идентификации, который обычно существует и ожидаемый другими API-интерфейсами безопасности (например, в Java), не ожидается в iOS. Поэтому вы должны их раздеть.
Возможно, вместо хранения всего вашего ключа в цепочке ключей вы можете просто сохранить простую символьную строку в цепочке ключей (как secret_hash). Кроме того, сделайте безопасные вызовы для веб-служб бэкэнд, используя общую широко распространенную библиотеку AFNetworking.
Поэтому, если вам нужно подписать свои запросы к серверной службе с помощью закрытого ключа, я предлагаю вам сделать это: (a) используя надежную библиотеку обертки для вызова службы (AFNetworking) и (b) сохранение закрытого ключа как .pfx в месте, доступном для приложения (я бы сохранил файл .pfx в корне проекта.)
Итак, создайте свой собственный подкласс AFHTTPClient и используйте подкласс для создания AFHTTPRequestOperations с помощью блоков запросов, установленных для использования учетных данных, извлеченных из .pfx.
Таким образом, вместо прямого создания AFHTTPRequestOperation - создайте их, используя метод MySignedAFHTTPRequestOperation вашего подкласса AFHTTPClient. Этот метод должен создать AFHTTPRequestOperation, а затем установить контрольный блок следующим образом:
[myOperationObject setAuthenticationChallengeBlock:^(NSURLConnection *connection, NSURLAuthenticationChallenge *challenge)
{
NSString * pfxPath = [[NSBundle mainBundle]
pathForResource:@"pvtKeyFile" ofType:@"pfx"];
NSData *PKCS12Data = [[NSData alloc] initWithContentsOfFile: pfxPath];
CFDataRef inPKCS12Data = (__bridge CFDataRef)PKCS12Data;
SecIdentityRef identity;
SecTrustRef trust;
myIdentityAndTrustExtractionHelper(inPKCS12Data, &identity, &trust);
SecCertificateRef certificate = NULL;
SecIdentityCopyCertificate (identity, &certificate);
const void *certs[] = {certificate};
CFArrayRef certArray = CFArrayCreate(kCFAllocatorDefault, certs, 1, NULL);
NSURLCredential *credential = [NSURLCredential
credentialWithIdentity:identity
certificates:(__bridge NSArray*)certArray
persistence:NSURLCredentialPersistencePermanent];
[[challenge sender] useCredential:credential
forAuthenticationChallenge:challenge];
CFRelease(certArray);
}
Вот более подробная информация о вспомогательной функции удаления идентификатора, которая была использована выше...
OSStatus myIdentityAndTrustExtractionHelper(CFDataRef inPKCS12Data,
SecIdentityRef *mySecIdentityRef,
SecTrustRef *myTrustRef)
{
//modify to get secret-hash from keychain
CFStringRef mySecretHash = CFSTR(secret_hash);
const void *keys[] = { kSecImportExportPassphrase };
const void *values[] = { mySecretHash };
CFArrayRef pkscItems = CFArrayCreate(NULL, 0, 0, NULL);
OSStatus mySecurityError = SecPKCS12Import(inPKCS12Data,
CFDictionaryCreate(NULL,keys, values, 1,
NULL, NULL),
&pkscItems);
if (mySecurityError == 0)
{
CFDictionaryRef myIdentityAndTrust = CFArrayGetValueAtIndex (pkscItems, 0);
const void *tempIdentity = NULL;
tempIdentity = CFDictionaryGetValue (myIdentityAndTrust,
kSecImportItemIdentity);
*mySecIdentityRef = (SecIdentityRef)tempIdentity;
const void *tempTrust = NULL;
tempTrust = CFDictionaryGetValue (myIdentityAndTrust, kSecImportItemTrust);
*myTrustRef = (SecTrustRef)tempTrust;
}
return mySecurityError;
}
Как только вы создаете AFHTTPRequest таким образом (т.е. с помощью метода MySignedAFHTTPRequestOperation вашего подкласса AFHTTPClient), добавьте его в NSOperationsQueue для выполнения (конечно, вам нужно правильно установить блоки успеха и обработчиков ошибок при создании операции)
Вкратце:
Надеюсь, что это поможет.
Если вы просто хотите сохранить AES-256 RSA PEM, который у вас есть в стандартном PHP-формате base64 string type, в системный брелок, это работает для меня.
Я размещаю это здесь, потому что много мест, я читал, что вы не можете просто вставлять PEM файл прямо в iOS; или вам нужно снять с него некоторые заголовки; и т.д. Однако, по крайней мере, на iOS 9.3, теперь это работает, и если бы я видел это где-то, это бы сэкономило мне много времени. (Примечание: ниже приведена сильно измененная версия части Objective-C -RSA из https://github.com/ideawu/Objective-C-RSA, см. я не подразумеваю никаких утверждений. У них также есть версия Swift: https://github.com/btnguyen2k/swift-rsautils, которая выглядит гораздо более полной и будет решать проблемы для много людей.)
#define BR (__bridge id)
#define BRD (__bridge CFDictionaryRef)
+ (SecKeyRef)storePrivateKey:(NSString *)key inSystemKeychainWithTag:(NSString *)tag {
NSRange spos;
NSRange epos;
spos = [key rangeOfString:@"-----BEGIN RSA PRIVATE KEY-----"];
if(spos.length > 0) {
epos = [key rangeOfString:@"-----END RSA PRIVATE KEY-----"];
}
else {
spos = [key rangeOfString:@"-----BEGIN PRIVATE KEY-----"];
epos = [key rangeOfString:@"-----END PRIVATE KEY-----"];
}
if(spos.location != NSNotFound && epos.location != NSNotFound){
NSUInteger s = spos.location + spos.length;
NSUInteger e = epos.location;
NSRange range = NSMakeRange(s, e-s);
key = [key substringWithRange:range];
}
key = [key stringByReplacingOccurrencesOfString:@"\r" withString:@""];
key = [key stringByReplacingOccurrencesOfString:@"\n" withString:@""];
key = [key stringByReplacingOccurrencesOfString:@"\t" withString:@""];
key = [key stringByReplacingOccurrencesOfString:@" " withString:@""];
// This will be base64 encoded, decode it.
NSData *data = [[NSData alloc] initWithBase64EncodedString:key options:0];
if(data == nil){
return nil;
}
//a tag to read/write keychain storage
NSData *d_tag = [NSData dataWithBytes:[tag UTF8String] length:[tag length]];
// Delete any old lingering key with the same tag
NSMutableDictionary *options = [
@{
BR kSecClass: BR kSecClassKey,
BR kSecAttrKeyType: BR kSecAttrKeyTypeRSA,
BR kSecAttrApplicationTag: d_tag,
}
mutableCopy];
SecItemDelete(BRD options);
// Add persistent version of the key to system keychain
[options addEntriesFromDictionary:
@{
BR kSecValueData:data,
BR kSecAttrKeyClass: BR kSecAttrKeyClassPrivate,
BR kSecReturnPersistentRef: @YES,
}];
CFTypeRef persistKey = nil;
OSStatus status = SecItemAdd(BRD options, &persistKey);
if (persistKey != nil){
CFRelease(persistKey);
}
if ((status != noErr) && (status != errSecDuplicateItem)) {
return nil;
}
[options removeObjectForKey:BR kSecValueData];
[options removeObjectForKey:BR kSecReturnPersistentRef];
[options addEntriesFromDictionary:
@{
BR kSecReturnRef:@YES,
BR kSecAttrKeyType:BR kSecAttrKeyTypeRSA,
}];
// Now fetch the SecKeyRef version of the key
SecKeyRef keyRef = nil;
status = SecItemCopyMatching(BRD options, (CFTypeRef *)&keyRef);
if(status != noErr){
return nil;
}
return keyRef;
}