Командная строка openssl для проверки подписи

Привет, я создал пару ключей и использовал закрытый ключ для генерации сигнатуры.

openssl rsautl -sign -in helloworld.txt -inkey aa.pem -out sig

Однако я не могу проверить подпись с помощью открытого ключа:

openssl rsautl -verify -in helloworld.txt -inkey aa.pub -sigfile sig

Я знаю, что -sigfile устарел. и некоторые из онлайн-документов от openssl.org ошибочны.

Какую команду я должен использовать для проверки sig с открытым ключом?

Ответы

Ответ 1

Я нашел два решения вашей проблемы.

Вы можете использовать rsautl таким образом: (с закрытым ключом: my.key и открытым ключом my-pub.pem)

$ openssl rsautl -sign -inkey my.key -out in.txt.rsa -in in.txt
Enter pass phrase for my.key:
$ openssl rsautl -verify -inkey my-pub.pem -in in.txt.rsa -pubin
Bonjour

С помощью этого метода весь документ включен в файл подписи и выводится окончательной командой.

Но в моем случае мой сертификат говорит: Алгоритм подписи: sha1WithRSAEncryption. Поэтому я бы рекомендовал вам использовать стандартный способ подписания документа в 4 этапа: (Этот метод используется для всех асимметричных электронных подписей, чтобы не перезаряжать файл подписи и/или использование ЦП)

  • Создать дайджест документа для подписания (отправителя)
  • Знак дайджест с закрытым ключом (отправителем)
  • Создать дайджест документа для подтверждения (получателя)
  • Проверить подпись с открытым ключом (получателем)

OpenSSL делает это в два этапа:

$ openssl dgst -sha256 -sign my.key -out in.txt.sha256 in.txt 
Enter pass phrase for my.key:
$ openssl dgst -sha256 -verify my-pub.pem -signature in.txt.sha256 in.txt  
Verified OK

С помощью этого метода вы отправили получателю два документа: исходный файл обычного текста, подписанный файл подписи с подписью. Внимание: файл подписи не включает весь документ! Только дайджест.

Ответ 2

Ваш метод в основном правильный. Что вы пропустите, так это сказать rsautl, что файл файла inut key является открытым ключом, добавив "-pubin". Документ "-pubin" OpenSSL rsautl не является точным " -pubin входной файл является открытым ключом RSA. "должно быть" -pubin входной файл ключа является открытым ключом RSA. " Поскольку входной файл должен быть файлом подписи.

Ответ 3

Проверить использование открытого ключа

echo "plop" > "helloworld.txt"
openssl rsautl -sign -in hello.txt -inkey private.pem -out sig
openssl rsautl -verify -in sig -inkey public.pem -pubin
> plop

Ответ 4

Вы можете проверить документ rsautl

В вашем примере это даст:

openssl rsautl -verify -in sig -inkey aa.pem

Я скопировал всю свою историю ниже:

echo "plop" > "helloworld.txt"
openssl rsautl -sign -in helloworld.txt -inkey aa.pem -out sig
openssl rsautl -verify -in sig -inkey aa.pem
> plop