这个问题与这个问题有关,但有点具体。我怀疑我没有正确计算pdf的哈希值。
我想计算一个签名PDF的SHA256散列。
根据PDF32000,我应该:
- 获取
ByteRange值 - 连接两个块
- 计算SHA256
以下是我所做的:
$ grep -aPo 'ByteRange[s*(d+)s+(d+)s+(d+)s+(d+)s*]' dummy-signed.pdf
ByteRange[ 0 59718 72772 5058]
$ dd if=dummy-signed.pdf of=head.bin bs=1 skip=0 count=59718
59718 bytes (60 kB, 58 KiB) copied, 0.630196 s, 94.8 kB/s
$ dd if=dummy-signed.pdf of=tail.bin bs=1 skip=72772 count=5058
5058 bytes (5.1 kB, 4.9 KiB) copied, 0.064317 s, 78.6 kB/s
$ cat head.bin tail.bin > whole.bin
$ sha256sum whole.bin
04b69f55f12fa5cc7923f4307154f2702efde43b32e4a8d9dbb0507a56fcecd3 whole.bin
我检查过我没有包括<和>字符:
$ hexdump -C head.bin | tail -n3
0000e930 20 20 20 20 20 20 20 20 20 20 20 20 20 2f 43 6f | /Co|
0000e940 6e 74 65 6e 74 73 |ntents|
0000e946
$ hexdump -C tail.bin | head -n3
00000000 2f 46 69 6c 74 65 72 2f 41 64 6f 62 65 2e 50 50 |/Filter/Adobe.PP|
00000010 4b 4c 69 74 65 2f 4d 28 44 3a 32 30 31 39 30 31 |KLite/M(D:201901|
00000020 32 38 31 33 34 30 35 38 2b 30 31 27 30 30 27 29 |28134058+01'00')|
不幸的是,我的签名似乎是错误的,但在解码PKCS7签名后,我仔细检查了哈希是sha256WithRSAEncryption,所以在验证了这个摘要后,我得到了另一个哈希,而不是我计算的哈希。
我的/SubFilter是:
$ grep -aPo '/SubFilter.*?(?=>)' dummy-signed.pdf
/SubFilter/adbe.pkcs7.detached/Type/Sig
我的PDF版本是:
$ grep -aPo '%PDF-d.d' dummy-signed.pdf
%PDF-1.6
因此,从带有adbe.pkcs7.detached和PDF1.6的PDF32000来看,HASH应该是SHA256,这与我在PKCS7中发现的兼容。
为了记录在案,我从签名中得到的散列是:
#!/bin/bash
PKCS7='out.pkcs7'
# Extract Digest (SHA256)
OFFSET=$(openssl asn1parse -inform der -in $PKCS7 |
perl -ne 'print $1 + $2 if /(d+):d=ds+hl=(d).*?256 prim.*HEX DUMP/m')
dd if=$PKCS7 of=signed-sha256.bin bs=1 skip=$OFFSET count=256
# Extract Public key
openssl pkcs7 -print_certs -inform der -in $PKCS7 |
tac | sed '/-----BEGIN/q' | tac > client.pem
openssl x509 -in client.pem -pubkey -noout > client.pub.pem
# Verify the signature
openssl rsautl -verify -pubin -inkey client.pub.pem < signed-sha256.bin > verified.bin
# Get Hash and compare with the computed hash from the PDF
openssl asn1parse -inform der -in verified.bin | grep -Po '[HEX DUMP]:Kw+$' | tr A-F a-f
$ ./verify-signature.sh
256+0 records in
256+0 records out
256 bytes copied, 0.029548 s, 8.7 kB/s
2a3f629f7bdce750321da7f219ec5759dc9ed14818acbd3cd0b6092d5371c03a
你可以从我的要点访问测试PDF文件dummy-signed.pdf
curl https://gist.githubusercontent.com/nowox/94dd54e484df877e1232c18bd7b91c97/raw/d249f3757137e9b665e895c900f08b1156f1bc4f/dummy-signed.pdf.base64 | base64 --decode > dummy-signed.pdf
简而言之
您试图从签名容器中提取错误的哈希值
详细说明
我之前没有意识到这一点,因为我不是真正的openssl专家。然而,通过分析示例PDF,混淆的原因变得清晰起来
在PKCS#7/CMS签名容器中,通常(至少)有两个感兴趣的哈希值:
messageDigest签名属性中签名文档数据的哈希值,以及- 加密签名字节中的签名属性的哈希值(在旧RSA签名方案的情况下)
示例文档中签名容器中的messageDigest签名属性如下所示(如果您在openssl中asn1转储,则外观可能会有所不同,但该值应该是可识别的):
5306 47: . . . . . . SEQUENCE {
<06 09>
5308 9: . . . . . . . OBJECT IDENTIFIER messageDigest (1 2 840 113549 1 9 4)
: . . . . . . . . (PKCS #9)
<31 22>
5319 34: . . . . . . . SET {
<04 20>
5321 32: . . . . . . . . OCTET STRING
: . . . . . . . . . 04 B6 9F 55 F1 2F A5 CC ...U./..
: . . . . . . . . . 79 23 F4 30 71 54 F2 70 y#.0qT.p
: . . . . . . . . . 2E FD E4 3B 32 E4 A8 D9 ...;2...
: . . . . . . . . . DB B0 50 7A 56 FC EC D3
: . . . . . . . . }
: . . . . . . . }
: . . . . . . }
如您所知,此属性包含您计算的哈希值。
另一方面,您尝试从解密的签名字节中提取签名哈希值,该值不是文档的哈希,而是签名属性的哈希!
此外,在提取步骤中似乎出现了问题,您应该检索的值是
AB86B27177E388A1EE69A5C7479D74621E84473E0CAB5C647471B724FEFCE826
而不是
2a3f629f7bdce750321da7f219ec5759dc9ed14818acbd3cd0b6092d5371c03a
你得到了。