使用 PHP 进行签名的 RSA 和 SHA-256 加密

Question

我正在从 Web 服务 API 接收请求中的 XML。它包含一个由请求者的私钥签名的签名，我必须通过请求者的公钥对其进行验证。然后我必须发送带有签名的响应，由我的私钥签名。

此过程应使用 PHP 中的 RSA 和 SHA-256 来完成。

我目前有以下代码：

$data_to_encrypt = "MsgBody..../MsgBody"; // xml 

$msgbody = simplexml_load_string($data_to_encrypt);
$result = $msgbody->xpath('//MsgBody'); 

openssl_private_encrypt(json_encode($result), $encrypted, $private_key, OPENSSL_PKCS1_PADDING);

$signature = $encrypted;
$verify = openssl_verify($encrypt, $signature ,$publick_key, OPENSSL_ALGO_SHA256); 

$verify的结果= 0。为什么这是一个错误的验证？

Answer 1

对应的openssl_private_encrypt是openssl_public_decrypt. 这两种方法都允许使用 PKCS#1 v1.5 填充 ( RSASSA-PKCS1-v1_5 )进行低级别签名/验证，其中数据隐式不进行哈希处理，所用摘要的 ID 也不添加到哈希值之前。即，为了使结果符合 PKCS#1 v1.5 填充，两者都必须显式完成完成。

相反，散列和添加摘要 ID 是在 RSA 和 PKCS#1 v1.5 填充的上下文中隐式考虑的，因此签名自动符合 PKCS#1 v1.5 填充。openssl_signopenssl_verify

一般来说，后者是更有效的签名/验证方式。然而，openssl_private_encrypt也有一个用途，即当不是要签名的数据本身，而是只有已经散列的数据可用于签名时。

代码中的问题是openssl_private_encrypt和的组合openssl_verify。当然，您可以将两者结合起来，但是您必须实现散列并添加 的摘要 ID openssl_private_encrypt，这在代码中是缺失的。或者（正如评论中已经指出的那样）openssl_sign可以应用，这在这里更有效。
另一个不一致之处是签名和验证必须在相同的数据上完成。在代码中，json_encode($result)用于签名和$encrypt（从中json_encode($result)派生）用于验证。

以下 PHP 代码演示了openssl_private_encrypt和的组合openssl_verify（参见测试 1）：

function getRSAKeys(){
    $keyPairResource = openssl_pkey_new(array("private_key_bits" => 2048, "private_key_type" => OPENSSL_KEYTYPE_RSA)); 
    openssl_pkey_export($keyPairResource, $privateKey);
    return [$privateKey, openssl_pkey_get_details($keyPairResource)["key"]];
}

// Create test key
$newKeyPair = getRSAKeys();
$privateKey = $newKeyPair[0];
$publicKey = $newKeyPair[1];

// Test 1: openssl_private_encrypt and openssl_verify
$dataToSign = 'Test 1: The data to sign'; // Could correspond to e.g. json_encode($result) in the code
$dataToSignHashed = hash('sha256', $dataToSign, true);
$dataToSignHashedWithID = hex2bin("3031300d060960864801650304020105000420") . $dataToSignHashed; // ID from https://www.rfc-editor.org/rfc/rfc8017#page-47
openssl_private_encrypt($dataToSignHashedWithID, $signature, $privateKey, OPENSSL_PKCS1_PADDING);
$verified = openssl_verify($dataToSign, $signature, $publicKey, OPENSSL_ALGO_SHA256);
print($verified) . PHP_EOL;

// Test 2: openssl_sign and openssl_verify
$dataToSign = 'Test 2: The data to sign'; // Could correspond to e.g. json_encode($result) in the code
openssl_sign($dataToSign, $signature, $privateKey, OPENSSL_ALGO_SHA256);
$verified = openssl_verify($dataToSign, $signature, $publicKey, OPENSSL_ALGO_SHA256);
print($verified) . PHP_EOL;

// Test 3: openssl_private_encrypt and openssl_public_decrypt (without hashing and adding the digest id)
$dataToSign = 'Test 3: The data to sign'; // Could correspond to e.g. json_encode($result) in the code
openssl_private_encrypt($dataToSign, $signature, $privateKey, OPENSSL_PKCS1_PADDING);
openssl_public_decrypt($signature, $decrypted, $publicKey, OPENSSL_PKCS1_PADDING);
print($dataToSign === $decrypted) . PHP_EOL;

编辑：最后一个例子应该被理解为纯粹的技术性的，并且应该证明openssl_private_encrypt没有散列且没有添加 ID 的加密可以用 解密openssl_public_decrypt。实际上，签名时会应用散列，请参阅kelalaka的评论和例如此处。这两种方法都不是为了直接签署/验证消息，而是，如上所述，允许用户签署/验证已经散列的消息。