OpenSSL中的验证是先对原始数据计算摘要, 再对摘要进行私钥加密. 验证的过程是对原始消息计算摘要,解密验证值, 和摘要对比是否一致.如果一致, 说明验证有效:否则,则认为原文或验证值已经被篡改.
函数介绍:
因为要先对原始数据计算摘要, 所以在计算摘要时用的函数是计算摘要的函数一样. 最后在结束函数中进行验证或验证. 为了方便描述, OpenSSL对计算摘要函数进行了宏定义封装.下边是函数定义:
1、 签名初始化函数
#define EVP_SignInit_ex(a, b, c) EVP_DigestInit_ex(a, b, c)
Int EVP_DigestInit_ex(EVP_MD_CTX *ctx, const EVP_MD *type, ENGINE *imp1);
2、 签名更新函数
#define EVP_SignUpdate(a, b, c) EVP_DigestUpdate(a, b, c)
Int EVP_DigestUpdate(EVP_MD_CTX *ctx, const *d, size_t cnt);
3、 签名结束函数
Int EVP_SignFinal(EVP_MD_CTX *ctx, unsigned char *md, unsigned int *s, EVP_PKey pkey);
功能:计算签名结束, 输出签名值。
参数说明:
Ctx:[IN]上下文变量
Md:[OUT] 签名结果输出值的指针 s:[OUT] 签名的长度
Pkey:[IN] 签名的私钥。(*后面有私钥的计算过程)
4、 验证初始化函数 (* 跟签名调用同一个函数)
#define EVP_VerifyInit_ex(a, b, c) EVP_DigestInit_ex(a, b, c)
Int EVP_DigestInit_ex(EVP_MD_CTX *ctx, const EVP_MD *type, ENGINE *imp1);
5、 验证更新函数(* 跟签名调用同一个函数)
#define EVP_VerifyUpdate(a, b, c) EVP_DigestUpdate(a, b, c)
Int EVP_DigestUpdate(EVP_MD_CTX *ctx, const *d, size_t cnt);
6、 验证结束函数
Int EVP_VerifyFinal(EVP_MD_CTX *ctx, const unsigned char *sigbuf, unsigned int siglen, EVP_PKey pkey);
功能:计算验证结束, 输出验证值。
参数说明:
Ctx:[IN]上下文变量
sigbuf:[IN] 签名值 siglen:[IN] 签名的长度
Pkey:[IN] 验证签名的公钥。
计算私钥过程: 直接写代码出来(*下面的代码如果按百分算的话,最多只能得三十分, 所以不要照搬, 我这么写只是想把过程说得简单清楚点)
RSA rsa = RSA_generate_key(1024, RSA_F4, NULL, NULL);//产生一个1024位的RSA密钥
EVP_PKEY *evpKey = EVP_PKEY_new(); //新建一个EVP_PKEY变量
EVP_PKEY_set1_RSA(evpKey, rsa); //保存RSA结构体到EVP_PKEY结构体
//完成任务后面就可以用evpKey来签名了。
注:上面资源大多源自《精通PKI网络安全论证技术与编程实现》一书。