Как вы проверяете подпись RSA SHA1 в Python?

У меня есть строка, подпись и открытый ключ, и я хочу проверить подпись в строке. Ключ выглядит следующим образом:

Я читал pycrypto docs некоторое время, но я не могу понять, как сделать RSAobj с таким ключом. Если вы знаете PHP, я пытаюсь сделать следующее:

openssl_verify($data, $signature, $public_key, OPENSSL_ALGO_SHA1);

Кроме того, если я запутался в какой-либо терминологии, сообщите мне.

Ответ 1

Данные между маркерами представляют собой кодировку base64 кодировки DER ASN.1 PKCS # 8 PublicKeyInfo, содержащей PKCS # 1 RSAPublicKey.

Это много стандартов, и вам будет лучше всего использовать крипто-библиотеку для его декодирования (например, M2Crypto как предложенную joeforker). Относитесь к следующей информации о формате:

Если вы хотите, вы можете его декодировать следующим образом:

Base64-декодировать строку:

30819f300d06092a864886f70d010101050003818d0030818902818100df1b822e14eda1fcb74336
6a27c06370e6cad69d4116ce806b3d117534cf0baa938c0f8e4500fb59d4d98fb471a8d01012d54b
32244197c7434f27c1b0d73fa1b8bae55e70155f907879ce9c25f28a9a92ff97de1684fdaff05dce
196ae76845f598b328c5ed76e0f71f6a6b7448f08691e6a556f5f0d773cb20d13f629b6391020301
0001

Это DER-кодировка:

   0 30  159: SEQUENCE {
   3 30   13:   SEQUENCE {
   5 06    9:     OBJECT IDENTIFIER rsaEncryption (1 2 840 113549 1 1 1)
  16 05    0:     NULL
            :     }
  18 03  141:   BIT STRING 0 unused bits, encapsulates {
  22 30  137:       SEQUENCE {
  25 02  129:         INTEGER
            :           00 DF 1B 82 2E 14 ED A1 FC B7 43 36 6A 27 C0 63
            :           70 E6 CA D6 9D 41 16 CE 80 6B 3D 11 75 34 CF 0B
            :           AA 93 8C 0F 8E 45 00 FB 59 D4 D9 8F B4 71 A8 D0
            :           10 12 D5 4B 32 24 41 97 C7 43 4F 27 C1 B0 D7 3F
            :           A1 B8 BA E5 5E 70 15 5F 90 78 79 CE 9C 25 F2 8A
            :           9A 92 FF 97 DE 16 84 FD AF F0 5D CE 19 6A E7 68
            :           45 F5 98 B3 28 C5 ED 76 E0 F7 1F 6A 6B 74 48 F0
            :           86 91 E6 A5 56 F5 F0 D7 73 CB 20 D1 3F 62 9B 63
            :           91
 157 02    3:         INTEGER 65537
            :         }
            :       }
            :   }

Для 1024-битного ключа RSA вы можете рассматривать "30819f300d06092a864886f70d010101050003818d00308189028181" как заголовок константы, за которым следует 00-байтовый код, за которым следуют 128 байтов модуля RSA. После этого 95% времени вы получите 0203010001, что означает открытый показатель RSA 0x10001 = 65537.

Вы можете использовать эти два значения как n и e в кортеже для создания RSAobj.

Ответ 2

Используйте M2Crypto. Здесь, как проверить RSA и любой другой алгоритм, поддерживаемый OpenSSL:

pem = """-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDfG4IuFO2h/LdDNmonwGNw5srW
nUEWzoBrPRF1NM8LqpOMD45FAPtZ1NmPtHGo0BAS1UsyJEGXx0NPJ8Gw1z+huLrl
XnAVX5B4ec6cJfKKmpL/l94WhP2v8F3OGWrnaEX1mLMoxe124Pcfamt0SPCGkeal
VvXw13PLINE/YptjkQIDAQAB
-----END PUBLIC KEY-----""" # your example key

from M2Crypto import BIO, RSA, EVP
bio = BIO.MemoryBuffer(pem)
rsa = RSA.load_pub_key_bio(bio)
pubkey = EVP.PKey()
pubkey.assign_rsa(rsa)

# if you need a different digest than the default 'sha1':
pubkey.reset_context(md='sha1')
pubkey.verify_init()
pubkey.verify_update('test  message')
assert pubkey.verify_final(signature) == 1

Ответ 3

Открытый ключ содержит как модуль (очень длинное число, может быть 1024 бит, 2058 бит, 4096 бит), так и показатель открытого ключа (гораздо меньшее число, обычно равное одной, а не второй). Вам нужно выяснить, как разделить этот открытый ключ на два компонента, прежде чем вы сможете что-либо с ним сделать.

Я не знаю много о pycrypto, но чтобы проверить подпись, возьмите хэш строки. Теперь мы должны расшифровать подпись. Прочитайте модульное возведение в степень; формула для дешифрования сигнатуры message^public exponent % modulus. Последний шаг - проверить, был ли хэш, который вы сделали, и расшифрованная подпись, которую вы получили, одинаковы.

Ответ 4

Возможно, это не тот ответ, который вы ищете, но если все, что вам нужно, это превратить ключ в биты, это похоже на кодировку Base64. Посмотрите на модуль codecs (я думаю) в стандартной библиотеке Python.

Ответ 5

Я думаю, ezPyCrypto может сделать это немного проще. Высокоуровневые методы класса key включают эти два метода, которые, я надеюсь, помогут решить вашу проблему:

~~verifyString - проверить строку подписи~~
~~importKey - импортировать открытый ключ (и, возможно, закрытый ключ)~~

Rasmus указывает на комментарии, что verifyString жестко закодирован для использования MD5, и в этом случае ezPyCryto не может помочь Эндрю, если он не войдет в его код. Я откладываю ответ joeforker: рассмотрим M2Crypto.

Ответ 6

Подробнее о декодировании DER.

Кодирование DER всегда следует за триплетным форматом TLV: (тег, длина, значение)

Тег указывает тип (т.е. структуру данных) значения
Длина указывает количество байтов, которое это поле значения занимает
Значение - это фактическое значение, которое может быть другим триплетом

Тег в основном говорит, как интерпретировать байтовые данные в поле Значение. ANS.1 имеет систему типов, например. 0x02 означает целое число, 0x30 означает последовательность (упорядоченная коллекция одного или нескольких экземпляров другого типа)

Длина представления имеет специальную логику:

Если длина < 127, поле L использует только один байт и кодируется как значение длины номера напрямую
Если длинa > 127, то в первом байте поля L первый бит должен быть 1, а остальные 7 бит представляют собой число следующих байты, используемые для указания длины поля Значение. Значение, фактически байты самого значения.

Например, скажем, я хочу кодировать число из 256 байтов, тогда это будет как

02  82  01  00  1F  2F  3F  4F  …   DE  AD  BE  EF

Тег, 0x02 означает его число
Длина, 0x82, битовая презентация - 1000 0010, что означает следующие два байта определяют фактическую длину значения, которое его значение 0x0100 означает, что значение имеет длину 256 байтов.
Значение, от 1F до EF, фактическое 256 байт.

Теперь посмотрим на ваш пример

30819f300d06092a864886f70d010101050003818d0030818902818100df1b822e14eda1fcb74336
6a27c06370e6cad69d4116ce806b3d117534cf0baa938c0f8e4500fb59d4d98fb471a8d01012d54b
32244197c7434f27c1b0d73fa1b8bae55e70155f907879ce9c25f28a9a92ff97de1684fdaff05dce
196ae76845f598b328c5ed76e0f71f6a6b7448f08691e6a556f5f0d773cb20d13f629b6391020301
0001

Он интерпретирует как раз то, что Rasmus Faber ввел в ответ

Ответ 7

Используя M2Crypto, приведенные выше ответы не работают. Вот пример.

import base64
import hashlib
import M2Crypto as m2

# detach the signature from the message if it required in it (useful for url encoded data)
message_without_sign = message.split("&SIGN=")[0]
# decode base64 the signature
binary_signature = base64.b64decode(signature)
# create a pubkey object with the public key stored in a separate file
pubkey = m2.RSA.load_pub_key(os.path.join(os.path.dirname(__file__), 'pubkey.pem'))
# verify the key
assert pubkey.check_key(), 'Key Verification Failed'
# digest the message
sha1_hash = hashlib.sha1(message_without_sign).digest()
# and verify the signature
assert pubkey.verify(data=sha1_hash, signature=binary_signature), 'Certificate Verification Failed'

И что об этом

Ответ 8

Я пробую код, указанный joeforker, но он не работает. Вот мой примерный код, и он отлично работает.

from Crypto.Signature import PKCS1_v1_5
from Crypto.PublicKey import RSA 
from Crypto.Hash import SHA

pem = """-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDfG4IuFO2h/LdDNmonwGNw5srW
nUEWzoBrPRF1NM8LqpOMD45FAPtZ1NmPtHGo0BAS1UsyJEGXx0NPJ8Gw1z+huLrl
XnAVX5B4ec6cJfKKmpL/l94WhP2v8F3OGWrnaEX1mLMoxe124Pcfamt0SPCGkeal
VvXw13PLINE/YptjkQIDAQAB
-----END PUBLIC KEY-----""" # your example key

key = RSA.importKey(pem)
h = SHA.new(self.populateSignStr(params))
verifier = PKCS1_v1_5.new(key)
if verifier.verify(h, signature):
  print "verified"
else:
  print "not verified"