翻译:《PKCS#7 - SignedData》

最新推荐文章于 2024-02-25 16:20:08 发布
最新推荐文章于 2024-02-25 16:20:08 发布
阅读量4.5k 收藏 15
点赞数 1
文章标签: pkcs7 SignedData 电子签名

本文翻译于 PKI Globe的《PKCS#7 - SignedData》

(欢迎提出修改意见)

以下为翻译文

在开始PKCS#7 SignedData之前还是很有必要先了解下电子签名是如何产生和校验的。

签名和验签

以下是签名计算所需要的步骤:

  • 通过任何一种密钥对生成算法(如RSA)生成一对公钥和私钥。

  • 准备需要用于计算签名的数据。

  • 使用任何一种哈希算法(如SHA256)对数据做摘要。

  • 使用私钥对哈希后的数据进行加密,输出来的就是签名值。

为了验证签名,以下是所需的步骤

  • 为了验证签名,你需要知道已签的数据(译者注:这里应该指的是原文),签名,哈希算法和公钥。

  • 使用签名过程用到的同样的哈希算法对数据进行哈希。

  • 利用公钥解密签名,你会得到哈希值。

  • 现在比较上面两步得到的哈希,如果它们相等,就意味着数据没有被篡改或者说这个签名是认证的,否则就是被篡改了。

一般来说,一方是签名,另一方是验签。如果你已经注意到了签名验签过程中里的第一步,你会发现在验签之前我们是需要一些标准的方法来存放这些信息。那么PKCS# 7的SignedData就是其中一种存放这些信息的格式。当然还有其它的一些格式,像PDF签名,XML签名等等,但这些它们底层的生成和验签的原理是一样的。

SignedData

PKCS# 7 SignedData是一种针对任意数据生成电子签名的标准格式。像有些数据如果他自身的格式规范不能让它有自己的电子签名,那么你就可以使用这种格式。比如说:你想签署一份文本文件,但因为它没有自己的签名规范,那就能用PKCS# 7 SignedData;而PDF文件因为有它自己的签名规范,所以它就可以用PDF的签名规范进行签名。此外微软的Office文档也有自己的签名规范。你也可以说PKCS# 7 SignedData可以对源数据进行签名。

在PKCS# 7 SignedData里,支持带原文和不带原文两种格式。在带原文的格式里,已签名的数据是SignedData里的一部分,那么在验签的时候,就不需要携带源数据了。而在不带原文的格式里,已签名的数据没有被放在SignedData里,而是在其它外部的地方,所以验签的时候就需要携带原文。

PKCS# 7 SignedData里支持两种类型的签名:

  • 独立签名

  • 会签

在独立签名里,所有的签名者签的都是同一份数据;而在会签里,一个签名者签完后,下一个签名者是在上一个签名者的签名上进行签名。

结构

以下展示的是ASN.1格式下的PKCS# 7 SignedData。因此你需要有能力阅读ASN.1才能完全理解下图。

这里写图片描述

这里写图片描述

这里写图片描述

1)指定了SignedData的结构;
2)指定了生成签名的哈希算法。OID 2.16.840.1.101.3.4.2.1显示使用的是SHA256哈希算法;
3)指定了使用的是不带原文的格式,因为当前没有内容;如果是带原文,那么这里应该是有内容的。
4)包含用于验签时需要用到的公钥的签名证书。它也可以包含签名者的完整证书链。
5)指定了签名信息结构,如果是独立签名,那么应该包含多个签名者的信息。
6)指定了证书发行者和序列号的结构。
7)指定了生成签名用到的哈希算法,这应该跟2)提到的是一样的。
8)显示认证属性的信息,这些属性是签名计算里的部分,如果任何一部分的属性被修改了,那么签名就会失效。另外如果对于未认证属性被修改了,那它就还是能照样验签通过。未认证的属性不会显示在ASN.1结构里。
9)指定了加密算法。
10)指定了签名值。

以上PKCS# 7 结构是用BouncyCastle库生成的。

J_D_Chi
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
PKCS#7签名介绍与代码实现
new9232的博客
06-23 253
本文章主要介绍了PKCS#7签名、PKCS#7签名数据的结构、PKCS#7 Attach 和 Deatch的区别。并通过OpenSSL,用C代码实现了PKCS#7签名和验签,对签名数据进行了分析。
PKCS#7格式加解密验签
12-26
提到PKCS,首先想到的是RSA的证书格式(类似,PKCS8,P12等),最近在和一家俄罗斯支付对接时,对方说加密成PKCS#7格式,当时就懵了,以为对方说错了,在这块卡了好几天,通过查资料,终于找到方法了。确实是PKCS#7加密,看来还是自己懂得太少。现在把方法分享出来,希望对遇到类似问题的朋友有所帮助
PKCS7Tool 取得签名工具加载证书库, 取得签名证书链和私钥
二八开的博客
06-29 1886
参考:https://www.oschina.net/code/snippet_1434_1503 /** * @(#)PKCS7Tool.java 1.0 2008-9-23 * Copyright (c) 2008 Bank Of China Software Center * All rights reserved. */ import java.io.ByteArrayInputStream; import java.io.ByteArrayOutputStream; import ja
PKCS7SignData.java
04-07
PKCS7签名数据的解析和构造,符合ASN1数据格式要求,可以直接直接替换main函数中的数据直接进行PKCS7数据的解析和构造。如果数据进行了base64编码则需要先进行base64解码转成字节数组,否则不需要解码操作。
PKCS7 签名
08-05 1019
���¼���ԭʼ��ҳ��ӡ Openssl之Pkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*m...
PKCS#7格式数字签名验证
王浩的技术博客
04-28 1万+
 名词解释       数字签名:在ISO7498-2标准中定义为:"附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造"。        PKCS#7:也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。PKCS#7描述
Openssl之Pkcs7之3 Signed-Data内容类型的编码解码
taosh2020的博客
04-22 1128
Openssl之Pkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*md_algs;/* md used */ STACK...
PKCS7签名代码
记录成长的博客
08-21 502
C# pkcs # 7 签名 验签
01-09
在.NET平台上,C#语言提供了丰富的库和API来处理各种加密和签名操作,其中包括PKCS #7标准。PKCS(Public Key Cryptography Standards)是由RSA安全公司提出的公钥加密标准,其中的第7号标准(PKCS #7)定义了数据的...
C# BouncyCastle实现带原文数据PKCS#7 签名、验签
06-12
这可以通过`Pkcs7SignedData`类来完成,该类可以添加签名、证书链以及其他信息到PKCS#7结构中。 5. **序列化PKCS#7结构**:将封装好的PKCS#7结构转换为字节数组或Base64字符串,以便在网络上传输或存储。 6. **...
ietf-cms:Go的CMS(PKCS#7)库
05-24
它是从PKCS#7演变而来,是更高级别协议(例如S / MIME)的基础。 该软件包实现了SignedData CMS内容类型,允许用户对数据进行数字签名以及验证其他人签名的数据。 签名和验证数据 提供了高级API,用于使用证书和...
C# SHA256 PKCS#7 生成验名、验签源码 中行支付.rar
12-06
C# SHA256 PKCS#7 生成验名、验签源码 中行支付.
PKCS7标准文档中英文翻译.zip
04-13
**PKCS#7标准概述** PKCS(Public Key Cryptography Standards)是由RSA安全公司发起的一系列公开密钥加密标准,其中PKCS#7,全称为"Privacy Enhanced Mail Standard Version 7",即增强隐私邮件标准第7版。随着...
jsrsasign:“ jsrsasign”(RSA-Sign JavaScript库)是一个免费的开源加密库,支持RSARSAPSSECDSADSA签名验证,ASN.1,PKCS#158私钥,X.509证书,CRL,OCSP,CMS SignedData,TimeStamp,CAdES JSON Web纯JavaScript中的SignatureToken
02-14
“ jsrsasign”(RSA-Sign JavaScript库)是一个免费的开源加密库,支持RSA / RSAPSS / ECDSA / DSA签名/验证,ASN.1,PKCS#1/5/8私钥/公钥,X.509证书,纯JavaScript中的CRL,OCSP,CMS SignedData,TimeStamp,...
PKCS7带签名的数字信封
weixin_43432215的博客
12-07 2317
PKCS7带签名的数字信封两种不同方法进行解密
PKCS#7 signature not signed with a trusted key
martinkeith的博客
07-13 3494
这是由于nvidia驱动出现问题,因此需要删除原驱动。并重新安装驱动 sudo apt-get purge nvidia* sudo service lightdm stop sudo su sh ./NVIDIA-...linux.run
OPENSSL-PKCS7入门知识介绍
最新发布
记录成长的博客
02-25 2065
数据(data):明文打包type为NID_pkcs7_data,ASN1_OCTET_STRING类型,即为简单的ASN1_STRING数据类型。签名数据(sign):把数据以及签名值打包,其中包括签名者的证书,CRL等,目的为确定发送者的身份。type为NID_pkcs7_signedPKCS7_SIGNED类型的数据,PKCS7_SIGNED定义如下:/* version 1 */ //版本/* md used */ //摘要算法/* [ 0 ] */ //签名证书。
PKCS7的基础总结
热门推荐
hstjbj的博客
07-08 1万+
PKCS7的基础总结一、什么是PKCS7?二、PKCS7和X509的关系?三、P7的结构3.1 六种内容类型3.1.1 Data内容类型 ----->明文信息3.1.2 Signed-data内容类型 ----->数字签名3.1.3 Enveloped-data 内容类型 ----->数字信封3.1.4 Signed-and-enveloped-data 内容类型 ----->带签名的数字信封3.1.5 Digested-data内容类型 ----->信息摘要3.1.6 Enc
TR34ObjectIdentifers DEFINITIONS EXPLICIT TAGS ::= BEGIN -- Content types, from PKCS #7 -- pkcs7 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs7(7) } id-data OBJECT IDENTIFIER ::= { pkcs7 data(1) } id-signedData OBJECT IDENTIFIER ::= { pkcs7 signedData(2) } id-envelopedData OBJECT IDENTIFIER ::= { pkcs7 envelopedData (3) } id-digestedData OBJECT IDENTIFIER ::= { pkcs7 digestedData(5) } id-encryptedData OBJECT IDENTIFIER ::= { pkcs7 encryptedData (6) } pkcs9 OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) } smime OBJECT IDENTIFIER ::= { pkcs9 smime(16) } -- Signed attributes, from PKCS #9, S/MIME, and ANS X9.73 -- id-contentType OBJECT IDENTIFIER ::= { pkcs9 contentType(3) } id-messageDigest OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs9(9) 4 } id-signingTime OBJECT IDENTIFIER ::= { pkcs9 signingTime(5) } id-contentIdentifier OBJECT IDENTIFIER ::= { smime id-aa(2) contentIdentifier(7) } id-msgSequenceNo OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) x973(10060) attribute(1) msgSequenceNo(1) } id-signingCertificate OBJECT IDENTIFIER ::= { smime id-aa(2) signingCertificate(12) } id-otherSigningCert OBJECT IDENTIFIER ::= { itu-t(0) identified-organization(4) etsi(0) electronic-signature-standard(1733) part1(1) attributes(1) 12 } id-biometricSyntax OBJECT IDENTIFIER ::= { iso(1) member-body(2) us(840) x973(10060) attribute(1) biometricSyntax(2) } END 请理解这段代码,并使用openssl的接口,采用linux c编程完成对数据的编码和解码
06-02
其中,pkcs7pkcs9、smime是定义在PKCS #7和PKCS #9标准中的OID,其他的OID则是定义在不同的标准中,如X9.73、ETSI等。 要使用openssl的接口进行数据编码和解码,可以使用以下函数: 1. 数据编码: ``` int i2d_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值