RSA加密解密原理(二)

PKCS

PKCS(Public Key Cryptography Standards, PKCS)公钥加密标准,是美国RSA信息安全公司旗下的RSA实验室开发的一系列编译标准,非对称密钥一般都包含其他信息,所以PKCS通过ASN.1的格式标准定义密钥展示

一个PKCS#1 公钥用asn.1表示格式如下:

      RSAPublicKey ::= SEQUENCE {
        modulus           INTEGER,  -- n
        publicExponent    INTEGER   -- e
      }

modulus就是n,publicExponent就是e,n和e就代表了公钥。上面asn.1格式的标准
一个PKCS#1私钥用asn.1表示格式如下:

      RSAPrivateKey ::= SEQUENCE {
        version           Version,
        modulus           INTEGER,  -- n
        publicExponent    INTEGER,  -- e
        privateExponent   INTEGER,  -- d
        prime1            INTEGER,  -- p
        prime2            INTEGER,  -- q
        exponent1         INTEGER,  -- d mod (p-1)
        exponent2         INTEGER,  -- d mod (q-1)
        coefficient       INTEGER,  -- (inverse of q) mod p
        otherPrimeInfos   OtherPrimeInfos OPTIONAL
      }

openssl默认使用的是PKCS#1,但这个已经非常旧了,openssl主要是为了兼容,推进使用PKCS#8
PKCS#8是一个专门用于编码私钥的标准,可用于编码 DSA/RSA/ECC 私钥。它通常被编码成 PEM 格式存储。相比较PKCS#1,它比较安全可以兼容任何格式的私钥,因此建议用PKCS#8来代替

X.509

X.509是密码学里公钥证书的格式标准。比如ssl用的就是它

x.509是公钥标准,基本上现在的库公钥都使用x.509,私钥标准符合pkcs。pkcs#8相比较在pkcs#1的标准上增加了一些头部信息,比pkcs#1安全性高
X.509的RSA公钥格式:

      RSAPublicKey ::= SEQUENCE {
         algorithm AlgorithmIdentifier , // 这就是增加的头信息
         publicKey RSAPublicKey  // 这就是PKCS#1的RSA公钥的内容
      }

PKCS#8的RSA私钥格式:

      PrivateKey ::= SEQUENCE {
          version Version ,  // 这就是增加的头信息
          privateKeyAlgorithm PrivateKeyAlgorithmIdentifier , // 这也是增加的头信息,表示使用的什么算法,可以是 RSA,也可以是其它的算法,比如 DES、AES 等对称加密算法等。
          privateKey RSAPrivateKey // 这就是PKCS#1的RSA私钥的内容
      }

上面的公钥用der编码得到二进制格式,而为了方便看再用base64编码就是pem格式的字符串了。

PEM 和 DER编码

ASN.1通过DER编码把公钥和私钥编码成二进制格式以便于网络上传输而PEM则是为了方便,对DER进行base64编码同时在头和尾处加上一行字符串进行标记PEM格式,这样字符串就比较方便复制查看

pkcs#1的例子用pem编码后的格式如下:

      // 公钥
      -----BEGIN RSA PUBLIC KEY-----
      BASE64编码的DER密钥文本
      -----END RSA PUBLIC KEY-----
      
      // 私钥
      -----BEGIN RSA PRIVATE KEY-----
      BASE64编码的DER密钥文本
      -----END RSA PRIVATE KEY-----

pkcs#8编码后的未加密的私钥格式:

      -----BEGIN PRIVATE KEY-----
      BASE64编码的DER密钥文本
      -----END PRIVATE KEY-----
      
      -----BEGIN ENCRYPTED PRIVATE KEY-----
      BASE64编码的DER密钥文本
      -----END ENCRYPTED PRIVATE KEY-----

x.509的公钥编码后的格式:

      -----BEGIN PUBLIC KEY-----
      BASE64编码的DER密钥文本
      -----END PUBLIC KEY-----

相比较pkcs#1,就少了个rsa字符
通常以DER格式存储的证书,大都使用 .cer .crt .der 拓展名,在 Windows 系统比较常见,而PEM 格式的数据通常以 .pem .key .crt .cer 等拓展名存储,打开查看就是一堆字符串,openssl 默认使用的就是pem格式。

pkcs填充规则

在rsa加密的过程中,密文的长度不能大于密钥的长度,也就是必须满足0 < m < n,如果长了则需要对数据进行分段加密,但是如果m太短则需要对m进行填充

rsa加密的密文m是不能超过密钥的长度的,如果m>n,该公式就不能成立 m=pow(y, d) % n 无法解密,运算就会出错。
填充规则常用的标准有NoPPadding,OAEPPadding,PKCS1Padding这几种,go 在crypto/rsa库中用的是PKCS #1 v1.5 padding,PKCS1Padding的填充总共占用11个字节,对于1024位长度的密钥占用128个字节,减去11个字节,那明文最长的长度就是128-11=117个字节。1024长度的被破解过已经不建议使用了,至少使用2048或以上长度的密钥比较安全。PKCS1Padding 8.1 Encryption-block formatting填充规则如下:

      // M为明文
      // BT 代表block type块类型,有0x00,0x01,0x02, 如是是私钥则BT=00x0或01x0。如果是公钥操作,BT=0x02。
      // PS为填充的字节,BT=0x00则PS=0x00,BT=0x01则PS=0xFF,BT=0x02则PS=非0伪随机数
      EM = 0x00 || BT || PS || 0x00 || M
      
      // 假设密钥长度是2048,也就是256个字节,BT=0x02,M = 100个字节,则PS = 256 - 100 - 3 字节,填充的结构如下:
      em = 0x00 + 0x02 + (256 - 100 - 3)字节的随机数 + 0x00 + m

go 在crypto/rsa中的公钥填充加密代码示例

      // https://pkg.go.dev/crypto/rsa#EncryptPKCS1v15
      func EncryptPKCS1v15(rand io.Reader, pub *PublicKey, msg []byte) ([]byte, error) {
        randutil.MaybeReadByte(rand)
      
        if err := checkPub(pub); err != nil {
            return nil, err
        }
        k := pub.Size()
        if len(msg) > k-11 {
            return nil, ErrMessageTooLong
        }
      
        // EM = 0x00 || 0x02 || PS || 0x00 || M
        em := make([]byte, k)
        em[1] = 2
        ps, mm := em[2:len(em)-len(msg)-1], em[len(em)-len(msg):]
        err := nonZeroRandomBytes(ps, rand)
        if err != nil {
            return nil, err
        }
        em[len(em)-len(msg)-1] = 0
        copy(mm, msg)
      
        m := new(big.Int).SetBytes(em)
        c := encrypt(new(big.Int), pub, m)
      
        return c.FillBytes(em), nil
      }
      
      func encrypt(c *big.Int, pub *PublicKey, m *big.Int) *big.Int {
        e := big.NewInt(int64(pub.E))
          // 这里就是加密的过程了,就是上面我们说的公式pow(m,e)%n,不写第三个参数,可以单独调用Mod取模算出最终加密结果
        c.Exp(m, e, pub.N)
        return c
      }
      
      func (x *Int) FillBytes(buf []byte) []byte {
        // Clear whole buffer. (This gets optimized into a memclr.)
        for i := range buf {
            buf[i] = 0
        }
        x.abs.bytes(buf)
        return buf
      }

签名

签名就是用私钥加密,而验签是用公钥解密。签名的目的是为了证明发出消息的人以及消息是否完整,拥有私有签名的数据,则只有持有公钥的人才可以解开

签名分为以下几步:

  1. 对数据进行哈希运算得到一个短的哈希值,因为rsa加密有长度限制。h= hash(m)
  2. 对哈希值和摘要算法标识符OID进行asn.1编码
              DigestInfo ::= SEQUENCE {
                   digestAlgorithm DigestAlgorithmIdentifier, // 消息摘要算法
                   digest Digest  // 就是哈希运算的结果 h
              }
    
  3. der编码后对数据进行填充然后利用私钥进行加密,和上面加密的填充过程一样,区别是这次是用私钥,填充的块类型BT和PS有些区别
              EM = 0x00 || 0x01 || PS || 0x00 || T
              
              // 以上面的例子为参考,2048长度的密钥,密文的长度最多256个字节,假设len(m)=100,m为der编码后的数据
              em = 0x00 + 0x01 + (256 - 100 - 3)字节的0xff + 0x00 + m
    
  4. 私钥加密
    go 在crypto/rsa中的签名,验签代码示例
      // 签名
      func SignPKCS1v15(rand io.Reader, priv *PrivateKey, hash crypto.Hash, hashed []byte) ([]byte, error) {
        hashLen, prefix, err := pkcs1v15HashInfo(hash, len(hashed))
        if err != nil {
            return nil, err
        }
      
        tLen := len(prefix) + hashLen
        k := priv.Size()
        if k < tLen+11 {
            return nil, ErrMessageTooLong
        }
      
        // EM = 0x00 || 0x01 || PS || 0x00 || T
        em := make([]byte, k)
        em[1] = 1
        for i := 2; i < k-tLen-1; i++ {
            em[i] = 0xff
        }
        copy(em[k-tLen:k-hashLen], prefix)
        copy(em[k-hashLen:k], hashed)
      
        m := new(big.Int).SetBytes(em)
        c, err := decryptAndCheck(rand, priv, m)
        if err != nil {
            return nil, err
        }
      
        return c.FillBytes(em), nil
      }
      
      // 验签
      // VerifyPKCS1v15 verifies an RSA PKCS #1 v1.5 signature.
      // hashed is the result of hashing the input message using the given hash
      // function and sig is the signature. A valid signature is indicated by
      // returning a nil error. If hash is zero then hashed is used directly. This
      // isn't advisable except for interoperability.
      func VerifyPKCS1v15(pub *PublicKey, hash crypto.Hash, hashed []byte, sig []byte) error {
        hashLen, prefix, err := pkcs1v15HashInfo(hash, len(hashed))
        if err != nil {
            return err
        }
      
        tLen := len(prefix) + hashLen
        k := pub.Size()
        if k < tLen+11 {
            return ErrVerification
        }
      
        // RFC 8017 Section 8.2.2: If the length of the signature S is not k
        // octets (where k is the length in octets of the RSA modulus n), output
        // "invalid signature" and stop.
        if k != len(sig) {
            return ErrVerification
        }
      
        c := new(big.Int).SetBytes(sig)
        m := encrypt(new(big.Int), pub, c)
        em := m.FillBytes(make([]byte, k))
        // EM = 0x00 || 0x01 || PS || 0x00 || T
      
        ok := subtle.ConstantTimeByteEq(em[0], 0)
        ok &= subtle.ConstantTimeByteEq(em[1], 1)
        ok &= subtle.ConstantTimeCompare(em[k-hashLen:k], hashed)
        ok &= subtle.ConstantTimeCompare(em[k-tLen:k-hashLen], prefix)
        ok &= subtle.ConstantTimeByteEq(em[k-tLen-1], 0)
      
        for i := 2; i < k-tLen-1; i++ {
            ok &= subtle.ConstantTimeByteEq(em[i], 0xff)
        }
      
        if ok != 1 {
            return ErrVerification
        }
      
        return nil
      }
      
      func pkcs1v15HashInfo(hash crypto.Hash, inLen int) (hashLen int, prefix []byte, err error) {
        // Special case: crypto.Hash(0) is used to indicate that the data is
        // signed directly.
        if hash == 0 {
            return inLen, nil, nil
        }
      
        hashLen = hash.Size()
        if inLen != hashLen {
            return 0, nil, errors.New("crypto/rsa: input must be hashed message")
        }
        prefix, ok := hashPrefixes[hash]
        if !ok {
            return 0, nil, errors.New("crypto/rsa: unsupported hash function")
        }
        return
      }
      
      // For performance, we don't use the generic ASN1 encoder. Rather, we
      // precompute a prefix of the digest value that makes a valid ASN1 DER string
      // with the correct contents.
      
      var hashPrefixes = map[crypto.Hash][]byte{
        crypto.MD5:       {0x30, 0x20, 0x30, 0x0c, 0x06, 0x08, 0x2a, 0x86, 0x48, 0x86, 0xf7, 0x0d, 0x02, 0x05, 0x05, 0x00, 0x04, 0x10},
        crypto.SHA1:      {0x30, 0x21, 0x30, 0x09, 0x06, 0x05, 0x2b, 0x0e, 0x03, 0x02, 0x1a, 0x05, 0x00, 0x04, 0x14},
        crypto.SHA224:    {0x30, 0x2d, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x04, 0x05, 0x00, 0x04, 0x1c},
        crypto.SHA256:    {0x30, 0x31, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x01, 0x05, 0x00, 0x04, 0x20},
        crypto.SHA384:    {0x30, 0x41, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x02, 0x05, 0x00, 0x04, 0x30},
        crypto.SHA512:    {0x30, 0x51, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x03, 0x05, 0x00, 0x04, 0x40},
        crypto.MD5SHA1:   {}, // A special TLS case which doesn't use an ASN1 prefix.
        crypto.RIPEMD160: {0x30, 0x20, 0x30, 0x08, 0x06, 0x06, 0x28, 0xcf, 0x06, 0x03, 0x00, 0x31, 0x04, 0x14},
      }

go在hashPrefixes里提前计算好了没个哈希算法标识符的der编码后的值,注释里说是为了提升性能。我以sha256为例,实现如下,发现除了首尾4个字节,中间部分一致:

      package main
      
      import (
        "crypto/x509/pkix"
        "encoding/asn1"
        "encoding/hex"
        "fmt"
      )
      
      func main() {
        // hash256算法标识oid
        oidSHA256 := asn1.ObjectIdentifier{2, 16, 840, 1, 101, 3, 4, 2, 1}
      
        mgf1Params := pkix.AlgorithmIdentifier{
            Algorithm:  oidSHA256,
            Parameters: asn1.NullRawValue,
        }
        d, err := asn1.Marshal(mgf1Params)
        if err != nil {
            fmt.Println(err)
        }
        oid := hex.EncodeToString(d)
        fmt.Println(oid) 
          // 输出如下:
          // 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00
          // {0x30, 0x31, 0x30, 0x31, 0x30, 0x0d, 0x06, 0x09, 0x60, 0x86, 0x48, 0x01, 0x65, 0x03, 0x04, 0x02, 0x01, 0x05, 0x00, 0x04, 0x20}
      }

可以看到输出的和上面hashPrefixes里sha256的值除了首尾4个字节不同,首部2个字节分别是0x30,0x31,尾部2个字节分别是 0x04, 0x20,至于这4个分别代表什么暂时不清楚,🤷♂️。

经查阅文档发现是我构造的签名数据结构问题,然后我们加上签名的数据m,按照文档定义数据结构(参考RFC 2313 10.1.2),发现得到的der编码前半部分刚好与hashPrefixes里sha256的值是一样的,后半部分刚好是哈希值编码后的值,如果对编码后的数据进行填充,然后私钥加密,其实就是实现了一次签名的完整过程。

        /* ASN1 DER structures
        DigestInfo ::= SEQUENCE {
            digestAlgorithm AlgorithmIdentifier,
            digest OCTET STRING
        }
        */

            // 算法标识符
        type AlgorithmIdentifier struct {
            Algorithm  asn1.ObjectIdentifier
            Parameters asn1.RawValue `asn1:"optional"`
        }

        // 签名的数据结构
        type DigestInfo struct {
            DigestAlgorithm AlgorithmIdentifier
            Digest          []byte
        }

        sha := sha256.New()
        m := []byte{50}
        sha.Write(m)
        h := sha.Sum(nil)

        var digestInfo = DigestInfo{
            DigestAlgorithm: AlgorithmIdentifier{
                Algorithm: oidSHA256,
                Parameters: asn1.RawValue{
                    Tag: asn1.TagNull,
                },
            },
            Digest: h,
        }

        d, err := asn1.Marshal(digestInfo)
        if err != nil {
            fmt.Println(err)
            return
        }
        oid := hex.EncodeToString(d)
        fmt.Println(oid)

          // 输出
          // 3031300d060960864801650304020105000420 d4735e3a265e16eee03f59718b9b5d03019c07d8b6c51f90da3a666eec13ab35

但是上面代码如果我们去掉生成哈希值的部分,然后 Digest 字段的值定义为空或者不填写则生成的值和hashPrefixes[sha256]是不一样,这种区别刚好区分在首部2个字节,那么问题来了这2个字节分别代表什么意思呢?这里牵扯到ans.1的der编码规则,不是很懂,后边这块的知识需要再补补,简单来说0x30指的是类型,代表着一个sequence结构,0x31指的是后边数据的长度。

asn.1的der编码规则是遵循了type-length-value 规则,由几个部分组成

Identifier octets Type Length octets Contents octets End-of-Contents octets
Type Length Value (only if indefinite form)

Type用高2位表示Tag class,高位第3位表示是否是复合数据类型P/C,后边则是 TagNumber

0x30就指的是Type,0x30转换成二进制 0011 0000,可以看到前面2个位是0。可以看到 00是tag class,代表asn.1的原生数据类型,1是 P/C C指的是复合数据类型,由于签名是 SEQUENCE 结构体所以这里是复合数据类型,所以是1,后边的 1 0000 转换成10进制是16,而16所在的tagNumber刚好代表 SEQUENCE,参考x.690 BER encoding Identifier octets
0x31指的是数据长度,长度又分定长和不定长等,说起来就比较多了,详细的另写一篇记录。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 216,142评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,298评论 3 392
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 162,068评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 58,081评论 1 291
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 67,099评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 51,071评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,990评论 3 417
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,832评论 0 273
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,274评论 1 310
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,488评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,649评论 1 347
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,378评论 5 343
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,979评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,625评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,796评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,643评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,545评论 2 352

推荐阅读更多精彩内容