PKCS#7的签名和验证

最新推荐文章于 2024-08-06 11:01:19 发布
最新推荐文章于 2024-08-06 11:01:19 发布
阅读量1.1w 收藏 3
点赞数
分类专栏: 安全技术 文章标签: byte exception 算法 string null 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lylhelin/article/details/1540321
版权
对于PKCS#7的签名和验证本来已经无需再谈,但考虑到默认的PKCS#7签名数据中包含原始数据,这样会带来两个问题:
1,如果原始数据量太大,则会严重影响网络传输速度。
2,如果需要对外部的原始数据进行验证,则难以进行(或者还没发现方法)。
解决第一个问题的方法有两个:
1,在签名时通过参数控制不加入原始数据。
2,对原始数据进行MD5或者SHA1算法后再将该hash值作为原始数据进行签名,因为hash值是固定长度(16或者20byte)。
解决第二个问题的方法也相应有两个:
1,验证时通过传入原始数据进行验证。
2,将原始数据进行一次MD5或者SHA1算法后与PKCS#7中的原始数据进行比较,或者将原始数据进行二次MD5或者SHA1算法后与PKCS#7中的hash值进行比较。
验证部分代码如下:
     /**
     * 验证pkcs7格式的签名数据,从外部传入原始数据
     * @param signedData pkcs7格式的签名数据
     * @param signData 原始数据
     * @return 验证结果
     * @throws Exception
     */
     public   boolean  verify( byte [] signedData, byte [] signData)  throws  Exception  {
        CMSSignedData sign = new CMSSignedData(signedData);
        CertStore certs = sign.getCertificatesAndCRLs("Collection""BC");
        SignerInformationStore signers = sign.getSignerInfos();
        Collection c = signers.getSigners();
        Iterator it = c.iterator();
        boolean  bresult = true;
        //当有多个签名者信息时需要进行全部验证
        while (it.hasNext()) {
            SignerInformation signer = (SignerInformation) it.next();
            Collection certCollection = certs.getCertificates(signer.getSID());
            Iterator certIt = certCollection.iterator();
            X509Certificate cert = (X509Certificate) certIt.next();//证书链????
            byte[] data = signer.getSignature();
            logger.debug("签名后数据:" + data.length);
            for (int i = 0; i < data.length; i++{
                System.out.print(" " + data[i]);
            }
            System.out.println();
            logger.debug("签名后数据Base64: " + new String(Base64.encode(data),"utf8"));
            if (signer.verify(cert.getPublicKey(), "BC")) {//验证过程???
                logger.info(" pkcs7 verifed success!");
                //对原始数据计算两次MD5后与签名数据进行比较
                MessageDigest md = MessageDigest.getInstance("MD5","BC");
                md.update(signData);
//                System.out.println("signData=" + new String(signData,"utf8"));
                byte[] digestedData1 = md.digest();
//                md.update(digestedData1);
//                byte[] digestedData2 = md.digest();
                //签名原始数据,即原始内容的一次MD5值
                byte[] content = (byte[])sign.getSignedContent().getContent();
//                System.out.println("content=" + new String(content,"utf8"));                
//                bresult = CommonUtil.isEqual(digestedData2,signer.getContentDigest());
                bresult = CommonUtil.isEqual(digestedData1,content,digestedData1.length);            
                CommonUtil.displayData(content);
                CommonUtil.displayData(digestedData1);
//                  CommonUtil.displayData(signer.getContentDigest());
            }else{
                bresult = false;
            }
        }
        return bresult;
    }
注意:
在MS的cryptoapi中得到的PKCS#7的原始数据即原始数据的MD5 hash值是17byte的,即多出了一个NULL byte,所以只需要比较前16个即可。
lylhelin
关注
专栏目录
PKCS#7签名介绍与代码实现
new9232的博客
06-23 575
本文章主要介绍了PKCS#7签名PKCS#7签名数据的结构、PKCS#7 Attach 和 Deatch的区别。并通过OpenSSL,用C代码实现了PKCS#7签名和验签,对签名数据进行了分析。
PKCS#7格式数字签名验证
17号
06-07 2697
名词解释        数字签名:在ISO7498-2标准中定义为:"附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造"。          PKCS#7:也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。PKCS#7描述数字证
PKCS7标准签名与验签
05-08
PKCS7标准签名与验签,SHA1算法(项目添加引用System.Security)
Pkcs7Attach 数字签名、验签、解密
最新发布
java_sso_yw的博客
08-06 1181
Pkcs7Attach 数字签名、验签的实现过程,附带源码
PKCS7 签名
08-05 1054
���¼���ԭʼ��ҳ��ӡ Openssl之Pkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*m...
PKCS#7格式加解密验签
12-26
提到PKCS,首先想到的是RSA的证书格式(类似,PKCS8,P12等),最近在和一家俄罗斯支付对接时,对方说加密成PKCS#7格式,当时就懵了,以为对方说错了,在这块卡了好几天,通过查资料,终于找到方法了。确实是PKCS#7加密,看来还是自己懂得太少。现在把方法分享出来,希望对遇到类似问题的朋友有所帮助
C# BouncyCastle实现带原文数据PKCS#7 签名、验签
06-12
PKCS#7是一种标准格式,用于打包和加密数字签名、证书和数据。它允许在一个单一的结构中包含签名和原始数据,确保了数据在传输过程中的完整性和来源的真实性。在C#中使用BouncyCastle库实现PKCS#7签名和验签的过程,...
C# pkcs # 7 签名 验签
01-09
在.NET平台上,C#语言提供了丰富的库和API来处理各种加密和签名操作,其中包括PKCS #7标准。PKCS(Public Key Cryptography Standards)是由RSA安全公司提出的公钥加密标准,其中的第7号标准(PKCS #7)定义了数据的...
C# BouncyCastle实现带原文数据PKCS#7 签名
02-16
在IT领域,尤其是在网络安全...总之,使用C#和BouncyCastle实现带原文数据的PKCS#7签名是一项重要的安全任务,涉及了加密、解密、签名验证等多个环节。理解并正确应用这些知识点对于开发安全的网络应用程序至关重要。
C# SHA256 PKCS#7 生成验名、验签源码 中行支付.rar
12-06
"C# SHA256 PKCS#7 生成验名、验签源码 中行支付.rar"这个压缩包文件提供了使用C#编程语言实现SHA256哈希算法PKCS#7标准来创建和验证签名的源代码。以下将详细解释这两个关键概念及其在金融支付中的应用。 1. SHA...
使用数字证书进行PKCS#7数字签名
08-02
越来越多的应用需要我们使用USB接口数字证书进行PKCS#7数字签名。本文分别介绍了使用微软CryptoAPI方式和OpenSSL Engine方式进行数字签名。特别地,提出了OpenSSL Engine简化方式,这种方式更为灵活方便易行。
PKCS#7,也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。
11-22
PKCS#7,也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。
PKCS#7格式的数字签名
热门推荐
tourstar的专栏
01-10 1万+
<br />最近先来无事,对PKCS#7格式的数字签名和数字信封产生了兴趣,在安全领域混饭吃,不把这些东西搞搞懂可不行啊。<br />   PKCS#7是由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准,最近本的标准有PKCS#1、#3、#5、#6、#7、#8、#9和#10,分别定义不同的协议标准。PKCS#7为密码信封封装标准,描述了密码操作(例如数字签名和数字信封)的数据的通用语法。该语法允许递归,例如一个数字信封可以嵌套在另一个数字信封里面,或者一个实体可以在一个已经封装的数据上签名。该
PKCS1签名&PKCS7签名&PKCS7信封格式
amuxie_1899的专栏
08-16 9747
PKCS1签名&PKCS7签名&PKCS7信封格式 1.1.1.1  PKCS#1标准格式签名 1.1.1.1.1 PKCS#1签名格式 被签名的数据为字节数组。 对给出的被签名原数据进行HASH运算,HASH结果按PKCS#1标准进行填充: B = 00 01 ff ff … ff 00 30 … H[00],H[01],…,H[13] 其中H[00],…,H[13]为HAS
PKCS7
qq_42873640的博客
06-02 6161
Enveloped-data 内容类型 enveloped-data内容类型由任意类型的加密内容和加密的一个/多个接收者的内容加密密钥组成。加了密的内容和加了密的内容加密密钥一起构成了接收者的“数字信封”。 Enveloped-data的组建过程分以下几步: 随机产生一个对应于特定加密算法的内容加密密钥。 内容加密密钥用每个接收者的公钥加密。 对于每一个接收者,把加了密的内容加密密钥和接收者的其他信息放入RecipientInfo值中。 用内容加密密钥加密内容。(内容加密可能会需要填充一些块;见Secti
PKCS7签名代码
记录成长的博客
08-21 534
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值