OPENSSL-PKCS7入门知识介绍

已于 2024-02-26 00:38:14 修改
阅读量1.8k 收藏 23
点赞数 15
文章标签: c++ 安全 网络安全
于 2024-02-25 16:20:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013688006/article/details/103337997
版权
1 PKCS7数据结构说明

p7包括6种数据内容:数据(data),签名数据(sign),数字信封数据(enveloped),签名数字信封数据(signed_and_enveloped),摘要数据(digest),加密数据(encrypted)。

数据(data):明文打包
type为NID_pkcs7_data,ASN1_OCTET_STRING类型,即为简单的ASN1_STRING数据类型。


签名数据(sign):把数据以及签名值打包,其中包括签名者的证书,CRL等,目的为确定发送者的身份。
type为NID_pkcs7_signed。PKCS7_SIGNED类型的数据,PKCS7_SIGNED定义如下:
typedef struct pkcs7_signed_st
{
ASN1_INTEGER *version; /* version 1 */ //版本
STACK_OF(X509_ALGOR) *md_algs; /* md used */ //摘要算法
STACK_OF(X509) *cert; /* [ 0 ] */ //签名证书
STACK_OF(X509_CRL) *crl; /* [ 1 ] */ //证书吊销列表
STACK_OF(PKCS7_SIGNER_INFO) *signer_info; 签名信息
struct pkcs7_st *contents;
} PKCS7_SIGNED;

数字信封数据(enveloped):使用接收者的公钥(从证书获取)加密数据。目的为保护数据,拥有私钥的接收者才能解开数据。
type为NID_pkcs7_enveloped。PKCS7_ENVELOPE类型的数据,PKCS7_ENVELOPE定义如下
typedef struct pkcs7_enveloped_st
{
ASN1_INTEGER *version; /* version 0 */
STACK_OF(PKCS7_RECIP_INFO) *recipientinfo;       //接收者的信息(可能存在多个)
PKCS7_ENC_CONTENT *enc_data;                          //用接收者公钥加密的信息
} PKCS7_ENVELOPE;

typedef struct pkcs7_recip_info_st {

    ASN1_INTEGER *version;      /* version 0 */

    PKCS7_ISSUER_AND_SERIAL *issuer_and_serial;   // 证书序列号

    X509_ALGOR *key_enc_algor;                                  //加密算法对象标识

    ASN1_OCTET_STRING *enc_key;                           //加密的报文秘钥

    X509 *cert;                                                            /* get the pub-key from this */

    const PKCS7_CTX *ctx;

} PKCS7_RECIP_INFO;

typedef struct pkcs7_enc_content_st {

    ASN1_OBJECT *content_type;

    X509_ALGOR *algorithm;                                      //加密算法

    ASN1_OCTET_STRING *enc_data; /* [ 0 ] */        // 加密内容信息

    const EVP_CIPHER *cipher;

    const PKCS7_CTX *ctx;

} PKCS7_ENC_CONTENT;


签名数字信封数据(signed_and_enveloped)
数字信封加签名
type为NID_pkcs7_signedAndEnveloped。

PKCS7_SIGN_ENVELOPE定义如下
typedef struct pkcs7_signedandenveloped_st
{
ASN1_INTEGER *version; /* version 1 */
STACK_OF(X509_ALGOR) *md_algs; /* md used */
STACK_OF(X509) *cert; /* [ 0 ] */
STACK_OF(X509_CRL) *crl; /* [ 1 ] */
STACK_OF(PKCS7_SIGNER_INFO) *signer_info;

PKCS7_ENC_CONTENT *enc_data;
STACK_OF(PKCS7_RECIP_INFO) *recipientinfo;
} PKCS7_SIGN_ENVELOPE;


加密数据(encrypted)
使用对称算法加密数据。
type为NID_pkcs7_encrypted。PKCS7_ENCRYPT类型的数据,PKCS7_ENCRYPT定义如下
typedef struct pkcs7_encrypted_st
{
ASN1_INTEGER *version; /* version 0 */
PKCS7_ENC_CONTENT *enc_data;
} PKCS7_ENCRYPT;

2 pkcs7内容类型的编码解码
2.1pkcs7-data内容类型的编码解码

:Data内容类型旨在表示任意的字节串,比如ASCII文本文件;其翻译留给应用。这样的串无需任何内部的结构.
Data ::= OCTET STRING
pkcs7的类型为NID_pkcs7_data,
d为ASN1_OCTET_STRING *data;

一:对data内容进行编码
1.  新建一个PKCS7结构体。
p7 = PKCS7_new();
2.  设置p7结构体的类型为NID_pkcs7_data
PKCS7_set_type(p7,NID_pkcs7_data);
3.设置原文到ASN1_OCTET_STRING *data;
M_ASN1_OCTET_STRING_set(p7->d.data,src,srcLen);
4.   转换pkcs7结构体为der编码
derLen = i2d_PKCS7(p7,&tmpder);
i2d_PKCS7的返回值为der编码的长度。第二个参数为der编码输出。
注意:openssl输出后会更改tmpder的指针,故使用时应该用临时指针。比如欲输出der编码内容到变量der中。
代码应如下:
unsigned char *der = NULL;
unsigned char *dertmp = NULL;
unsigned long derLen;
derLen = i2d_PKCS7(p7,NULL);
der = malloc(derLen);
dertmp = der;
derLen = i2d_PKCS7(p7,&dertmp);
...
free(der);
二:对data内容p7数据包进行解码
解码的过程和编码相反。
1。转换der编码为pkcs7结构体
p7 =d2i_PKCS7 (NULL,dertmp,derLen)
2。检查p7 type是否是NID_pkcs7_data
if(OBJ_obj2nid(p7->type) != NID_pkcs7_data)  //数据类型是否为pkcs7_data
3。取出源数据
srcLen = p7->d.data->length;
memcpy(src,p7->d.data->data,srcLen);
2.2pkcs7- signed-data内容类型的编码解码

PKCS7_SIGNED 在openssl中的定义如下:
typedef struct pkcs7_signed_st
{
ASN1_INTEGER *version; /* version 1 */
STACK_OF(X509_ALGOR) *md_algs; /* md used */
STACK_OF(X509) *cert; /* [ 0 ] */
STACK_OF(X509_CRL) *crl; /* [ 1 ] */
STACK_OF(PKCS7_SIGNER_INFO) *signer_info;
struct pkcs7_st *contents;
} PKCS7_SIGNED;
signed内容类型由任意类型的内容和数字签名组成。任何类型的内容能够同时被任意数量的签名者签名。
签名数据的产生过程有如下几步:
1. 对于每一个签名者,他用消息摘要算法计算出摘要值 。
2. 对于每一个签名者,消息摘要和相关的信息用自己(发送方)的私钥加密。
3. 对于每一个签名者,把加密的消息摘要和其他的签名者特定信息放入signer_info值中。每个 签名者的证书、crl等也在这一步被收集进来。
4. 把所有签名者的信息摘要算法、他们的signer_info值和内容一起放进sign值中。

调用openssl的代码如下:
PKCS7* p7 = PKCS7_new();
PKCS7_set_type(p7, NID_pkcs7_signed);//设置类型为NID_pkcs7_signed
PKCS7_content_new(p7, NID_pkcs7_data);
PKCS7_set_detached(p7, 0);
//添加签名者信息,
//x509:签名证书,pkey:签名者私钥。EVP_sha1()签名者摘要算法。
PKCS7_SIGNER_INFO* info = PKCS7_add_signature(p7, x509, pkey, EVP_sha1());
//添加签名者证书
PKCS7_add_certificate(p7, x509);
//添加签名者的CA证书链
for (int i=0; i<sk_X509_num(ca); i++)
{
  PKCS7_add_certificate(p7, sk_X509_value(ca, i));
}
BIO* p7bio = PKCS7_dataInit(p7, NULL);
BIO_write(p7bio, "How are you!", strlen("How are you!"));//加入原始数据,
PKCS7_dataFinal(p7, p7bio); //处理数据。
//转换为der编码输出
i2d_PKCS7(p7,&dertmp);
PKCS7_free(p7);
BIO_free(p7bio);
解析P7签名的代码:
//der编码转换为PKCS7结构体
PKCS7 * p7 =d2i_PKCS7(NULL,dertmp,derLen)
//解析出原始数据
BIO *p7bio= PKCS7_dataDecode(p7,NULL,NULL,NULL);
//从BIO中读取原始数据,将得到"How are you!"
srcLen = BIO_read(p7bio,src,1024);
//获得签名者信息stack
STACK_OF(PKCS7_SIGNER_INFO) *sk = PKCS7_get_signer_info(p7);
//获得签名者个数(本例只有1个)
int signCount = sk_PKCS7_SIGNER_INFO_num(sk );
for(int i=0;i
{
//获得签名者信息
PKCS7_SIGNER_INFO *signInfo = sk_PKCS7_SIGNER_INFO_value(sk,i);
//获得签名者证书
X509 *cert= PKCS7_cert_from_signer_info(p7,signInfo);
//验证签名
if(PKCS7_signatureVerify(p7bio,p7,signInfo,cert) != 1)
{
    printf("signatureVerify Err\n");
}
}
2.3pkcs7-Enveloped-data内容类型的编码解码

PKCS7_ENVELOPE. enveloped在openssl中的定义如下:
typedef struct pkcs7_enveloped_st
{
ASN1_INTEGER             *version;     /* version 0 */
STACK_OF(PKCS7_RECIP_INFO)   *recipientinfo;
PKCS7_ENC_CONTENT         *enc_data;
} PKCS7_ENVELOPE;
enveloped-data内容类型由任意类型的加密内容和加密的一个/多个接收者的内容加密密钥组成。内容的密文和加密密钥一起构成了接收者的“数字信封”。任意类型的内容能够同时为任意数量的接收者进行封装。
Enveloped-data的组建过程分以下几步:
1.       随机产生一个对称密钥用于加密内容。
2.       内容加密密钥用每个接收者的公钥加密。
3.       对于每一个接收者,把内容加密密钥的密文和接收者的其他信息放入recipientinfo值中。
4.       用加密密钥加密内容。
5.       将所有接收者的recipientinfo值和加了密的内容放入EnvelopedData值中
接收者用自己的私钥解开内容加密密钥,然后用该密钥解密密文内容。
调用openssl的代码如下:
 

 PKCS7* p7 = PKCS7_new();
  //设置类型为NID_pkcs7_enveloped
PKCS7_set_type(p7, NID_pkcs7_enveloped);
//DES算法,用于加密内容“How are you!”
EVP_CIPHER *evp_cipher = EVP_des_cbc();
PKCS7_set_cipher(p7,cipher);
//设置接收者证书,获取公钥用于加密对称密钥
PKCS7_RECIP_INFO *p7recipinfo = PKCS7_add_recipient(p7,x509_Cert);
BIO *p7bio = PKCS7_dataInit(p7, NULL);
BIO_write(p7bio,”How Are You!”,strlen(“How Are You!”));
//完成数字信封的运算
PKCS7_dataFinal(p7, p7bio);
//转换PKCS7结构体为DER编码
derLen = i2d_PKCS7(p7,&derTmp);
BIO_free(p7bio);
PKCS7_free(p7);    
   
解P7数字信封的代码:
//der编码转换为PKCS7结构体
PKCS7* p7 = d2i_PKCS7(NULL,&derTmp,DataLen);
//解析出原始数据, evp_key:接收者私钥,x509_cert:接收者证书
BIO * p7bio = PKCS7_dataDecode(p7,evp_key,NULL,x509_cert);
//从BIO中读取原始数据,将得到"How are you!"
srcLen = BIO_read(p7bio,src,4096);
BIO_free(p7bio);
PKCS7_free(p7);
2.4pkcs7-Signed-and-enveloped-data内容类型的编码解码


PKCS7_SIGN_ENVELOPE *signed_and_enveloped在openssl中的定义如下:
typedef struct pkcs7_signedandenveloped_st
    {
    ASN1_INTEGER           *version; /* version 1 */
    STACK_OF(X509_ALGOR)         *md_algs;     /* md used */
    STACK_OF(X509)             *cert;         /* [ 0 ] */
    STACK_OF(X509_CRL)         *crl;     /* [ 1 ] */
    STACK_OF(PKCS7_SIGNER_INFO)     *signer_info;
    PKCS7_ENC_CONTENT       *enc_data;
    STACK_OF(PKCS7_RECIP_INFO)   *recipientinfo;
    } PKCS7_SIGN_ENVELOPE;
signed-and-enveloped-data内容类型由任意类型的加密内容、加了密的一个/多个接收者的内容加密密钥和双重加密的一个/多个签名者的消息摘要。“双重加密”由签名者私钥的加密和内容加密密钥的加密组成。
加了密的内容和加了密的内容加密密钥一起构成了接收者的“数字信封”。恢复的签名者单个加密的消息摘要是恢复的签名者内容的“数字签名”。任意类型的内容能够同时为任意数量的接收者进行封装和被任意数量的签名者进行签名。
signed-and-enveloped data的组建过程包括以下几步:
1. 随机产生一个对应于特定加密算法的内容加密密钥,比如des算法的8字节密钥。
2. 内容加密密钥用每个接收者的公钥加密。
3. 对于每一个接收者,把加了密的内容加密密钥和接收者的其他信息放入recipientinfo值中。
4. 对于每一个签名者,他用自己的消息摘要算法计算出摘要值 (如果两个签名者使用同样的算法,那么摘要值只需计算一次)。
5. 对于每一个签名者,消息摘要和相关的信息用自己的私钥加密(即签名),结果再用内容加密密钥加密。
6. 对于每一个签名者,把双重加密的消息摘要和其他的签名者特定信息放入signer_info值中。
7. 用内容加密密钥加密内容。
8. 把所有签名者的消息摘要算法、所有签名者的signer_info值、所有接收者的recipientinfo值和加了密的内容一起放入PKCS7_SIGN_ENVELOPE值中
接收者打开信封并验证签名分两步:
1. 加了密的内容加密密钥用接收者的私钥解开,并用内容加密密钥解开加密的内容。
2. 每个签名者双重加密的消息摘要用恢复的内容加密密钥解开,结果再用签名者公钥解密,恢复的消息摘要再和独立计算的消息摘要进行比较。
调用openssl的代码如下:

PKCS7* p7 = PKCS7_new();
  //设置类型为NID_pkcs7_signedAndEnveloped
    PKCS7_set_type(p7, NID_pkcs7_signedAndEnveloped);
    //DES算法,用于加密内容“How are you!”
    EVP_CIPHER *evp_cipher = EVP_des_cbc();
    PKCS7_set_cipher(p7,cipher);
//设置接收者证书,获取公钥用于加密对称密钥
    PKCS7_RECIP_INFO *p7recipinfo = PKCS7_add_recipient(p7, x509_RecCert);
    //x509:签名证书,pkey:签名者私钥。EVP_sha1()签名者摘要算法。
PKCS7_SIGNER_INFO* info = PKCS7_add_signature(p7, x509, pkey, EVP_sha1());
//添加签名者证书
PKCS7_add_certificate(p7, x509t);
//添加签名者的CA证书链
for (int i=0; i<sk_X509_num(ca); i++)
{
  PKCS7_add_certificate(p7, sk_X509_value(ca, i));
}
    BIO *p7bio = PKCS7_dataInit(p7, NULL);
    BIO_write(p7bio,”How Are You!”,strlen(“How Are You!”));
    //完成签名&数字信封的运算
    PKCS7_dataFinal(p7, p7bio);
    //转换PKCS7结构体为DER编码
    derLen = i2d_PKCS7(p7,&derTmp);
    BIO_free(p7bio);
    PKCS7_free(p7);  
3 PKCS7常量

心怀梦想
关注
  • 15
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
数据填充规则之PKCS7
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
01-12 1853
在数据加解密应用中,数据填充又是其中重要的组成部分。因为即便你的数据长度符合blockSize的整数倍时,也需要填充,填充的长度反而是最大的,要填充blockSize个char(blockSize)字符在数据尾部,这样牺牲了数据长度的做法是为了更为灵活透明的去解包数据,发送端和接收端不需要约定好blockSize,接收端总能通过数据包的最后一个字符得到填充的数据长度。特别注意的一点是如果是数据刚好满足数据块长度也要在元数据后在按PKCS7规则填充一个数据块数据,这样做的目的是为了区分有效数据和补齐数据。
OpenSSL库验证PKCS7签名
wangsifu2009的专栏
05-12 9165
使用Crypto库签名和验证签名请参考Crypto库实现PKCS7签名与签名验证,可以使用OpenSSL库验证Crypto签名,OpenSSL验证签名可使用简单的代码描述如下: //signature_msg为PKCS7签名串int Openssl_Verify(unsigned char* signature_msg,unsigned int length) { unsigned cha
PKCS#7格式加解密验签
12-26
提到PKCS,首先想到的是RSA的证书格式(类似,PKCS8,P12等),最近在和一家俄罗斯支付对接时,对方说加密成PKCS#7格式,当时就懵了,以为对方说错了,在这块卡了好几天,通过查资料,终于找到方法了。确实是PKCS#7加密,看来还是自己懂得太少。现在把方法分享出来,希望对遇到类似问题的朋友有所帮助
OpensslPkcs7之3 Signed-Data内容类型的编码解码
taosh2020的博客
04-22 1107
OpensslPkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*md_algs;/* md used */ STACK...
OpenSSL实现AES的ECB和CBC加解密,可一次性加解密任意长度的明文字符串或字节流(QT C++环境)
最新发布
wu10188的博客
05-06 856
OpenSSL实现AES的ECB和CBC加解密,可一次性加解密任意长度的明文字符串或字节流(QT C++环境)
PKCS7 签名
08-05 1018
���¼���ԭʼ��ҳ��ӡ OpensslPkcs7之3 Signed-Data内容类型的编码解码 PKCS7_SIGNED.sign在openssl中的定义如下: typedef struct pkcs7_signed_st { ASN1_INTEGER*version;/* version 1 */ STACK_OF(X509_ALGOR)*m...
调用OpenSSL实现数字签名功能例程(二)
求索
01-13 6454
// PKCS7Sign.cpp : Defines the entry point for the console application. // #include "stdafx.h" #include     #include   #include #include #include #include #include #include #include
PKCS7
qq_42873640的博客
06-02 5315
Enveloped-data 内容类型 enveloped-data内容类型由任意类型的加密内容和加密的一个/多个接收者的内容加密密钥组成。加了密的内容和加了密的内容加密密钥一起构成了接收者的“数字信封”。 Enveloped-data的组建过程分以下几步: 随机产生一个对应于特定加密算法的内容加密密钥。 内容加密密钥用每个接收者的公钥加密。 对于每一个接收者,把加了密的内容加密密钥和接收者的其他信息放入RecipientInfo值中。 用内容加密密钥加密内容。(内容加密可能会需要填充一些块;见Secti
密码学基础
gugugutime.com
09-12 2358
密码学概念
PKCS7的基础总结
热门推荐
hstjbj的博客
07-08 1万+
PKCS7的基础总结一、什么是PKCS7?二、PKCS7和X509的关系?三、P7的结构3.1 六种内容类型3.1.1 Data内容类型 ----->明文信息3.1.2 Signed-data内容类型 ----->数字签名3.1.3 Enveloped-data 内容类型 ----->数字信封3.1.4 Signed-and-enveloped-data 内容类型 ----->带签名的数字信封3.1.5 Digested-data内容类型 ----->信息摘要3.1.6 Enc
PKCS1签名&PKCS7签名&PKCS7信封格式
amuxie_1899的专栏
08-16 9447
PKCS1签名&PKCS7签名&PKCS7信封格式 1.1.1.1  PKCS#1标准格式签名 1.1.1.1.1 PKCS#1签名格式 被签名的数据为字节数组。 对给出的被签名原数据进行HASH运算,HASH结果按PKCS#1标准进行填充: B = 00 01 ff ff … ff 00 30 … H[00],H[01],…,H[13] 其中H[00],…,H[13]为HAS
opensslpkcs7 - squallxun的日志 - 网易博客.png
11-03
opensslpkcs7 - squallxun的日志 - 网易博客.png
pkcs#7标准格式
04-10
文档介绍了pkcs#7的格式和结构,里面虽然是英文的,但是很详细的,能看到,另外用ASN1工具和这个结合能很快的理解pkcs#7的结构。
openssl-pkcs11-0.4.10-2.el8.i686.rpm
12-06
官方离线安装包,亲测可用
opensslopenssl-devel的rpm
01-29
openssl-1.0.2n-2.58.1.x86_64.rpm,libopenssl1_0_0-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-1.0.2n-2.58.1.x86_64.rpm,libopenssl-devel-64bit-1.0.2j-10.1.aarch64_ilp32.rpm
Win64OpenSSL-3-2-1
02-02
Win64OpenSSL-3_2_1
opensslopenssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve
09-21
OpenResty或nginx安装依赖的openssl离线安装依赖库。当无法使用yum等联网安装命令时
openssl-devel-3.0.10-1.el7.x86-64.rpm
09-08
openssl 3.0.10 开发包 适用于centos 7 redhat 7 操作系统 ,当前2023年9月8日最新版
Openssl pkcs7命令
weixin_33676492的博客
07-24 422
一、简介 pkcs7命令用于处理DER或者PEM格式的pkcs#7文件   二、语法 openssl pkcs7 [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-out filename] [-print] [-print_certs] [-text] [-noout] [-engine id] 选项 -infor...
openssl-pkcs11
06-12
openssl-pkcs11是一个OpenSSL的扩展模块,用于支持PKCS#11(Public-Key Cryptography Standards #11)标准的加密设备。它可以用于在Linux系统中使用硬件加密设备进行加密和解密操作,提高系统的安全性和性能。 PKCS#11是一种公钥密码学标准接口,用于访问和操作加密设备,如智能卡、USB加密令牌等。openssl-pkcs11模块可以将PKCS#11兼容的加密设备与OpenSSL库进行集成,提供一种安全的、高效的加密解决方案。 openssl-pkcs11支持多种加密算法和密钥长度,如RSA、DSA、AES等,可以满足各种加密需求。它还提供了一些命令行工具和API,方便用户进行加密设备的管理和操作。 openssl-pkcs11被广泛地应用于各种Linux系统中,特别是需要使用硬件加密设备进行加密操作的场景,如数字证书管理、网络安全、数据加密等。它是保障系统安全和数据隐私的重要工具之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值