zoukankan      html  css  js  c++  java
  • openssl dgst(生成和验证数字签名)

    该伪命令是单向加密工具,用于生成文件的摘要信息,也可以进行数字签名,验证数字签名。

    首先要明白的是,数字签名的过程是计算出数字摘要,然后使用私钥对数字摘要进行签名,而摘要是使用md5、sha512等算法计算得出的,理解了这一点,openssl dgst命令的用法就完全掌握了。

    openssl dgst [-md5|-sha1|...] [-hex | -binary] [-out filename] [-sign filename] [-passin arg] [-verify filename] [-prverify filename] [-signature filename] [file...]
    
    选项说明:
    
    file...:指定待签名的文件。
    
    -hex:以hex格式输出数字摘要。如果不以-hex显示,签名或验证签名时很可能乱码。
    
    -binary:以二进制格式输出数字摘要,或以二进制格式进行数字签名。这是默认格式。
    
    -out filename:指定输出文件,若不指定则输出到标准输出。
    
    -sign filename:使用filename中的私钥对file数字签名。签名时绝对不能加-hex等格式的选项,否则验证签名必失败,亲测。
    
     
    
    -signature filename:指定待验证的签名文件。
    
    -verify filename:使用filename中的公钥验证签名。
    
    -prverify filename:使用filename中的私钥验证签名。
    
    -passin arg:传递解密密码。若验证签名时实用的公钥或私钥文件是被加密过的,则需要传递密码来解密。密码的格式见"openssl 密码格式"

    支持如下几种单向加密算法,即签名时使用的hash算法。

    -md4            to use the md4 message digest algorithm
    
    -md5            to use the md5 message digest algorithm
    
    -ripemd160      to use the ripemd160 message digest algorithm
    
    -sha            to use the sha message digest algorithm
    
    -sha1           to use the sha1 message digest algorithm
    
    -sha224         to use the sha224 message digest algorithm
    
    -sha256         to use the sha256 message digest algorithm
    
    -sha384         to use the sha384 message digest algorithm
    
    -sha512         to use the sha512 message digest algorithm
    
    -whirlpool      to use the whirlpool message digest algorithm

    注意:openssl dgst -md5和openssl md5的作用是一样的,其他单向加密算法也一样,例如openssl dgst -sha等价于openssl sha。

    例如:

    (1).随机生成一段摘要信息。

    [root@docker-01 ~]# echo 123456 | openssl md5
    (stdin)= f447b20a7fcbf53a5d5be013ea0b15af

    (2).对/tmp/a.txt文件生成MD5和sha512摘要信息。

    [root@docker-01 ~]# openssl dgst -md5 a.txt
    MD5(a.txt)= c62ec9f6414f3238cfa8ab024a912f78
    [root@docker-01 ~]# openssl sha512 a.txt  
    SHA512(a.txt)= 21b2663eff14be6d892ec9f979be79549088ebbf67e55be7c036603d2ad07fac2ec50a9cef578d7e96df99bc4fbf9e274a87a28408455d4fe44e74c5b596943f

    (3).生成一个私钥genrsa.pri,然后使用该私钥对/tmp/a.txt文件签名。使用-hex选项,否则默认输出格式为二进制会乱码。

    [root@docker-01 ~]# openssl genrsa -out genrsa.pri
    Generating RSA private key, 2048 bit long modulus
    ........................................+++
    ............+++
    e is 65537 (0x10001)

    如果要验证签名,那么这个生成的签名要保存到一个文件中,且一定不能使用"-hex"选项,否则验证签名必失败。以下分别生成使用和不使用hex格式的签名文件以待验证签名测试。

    [root@docker-01 ~]# openssl dgst -md5 -hex -out md5_hex.sign -sign genrsa.pri a.txt     
    [root@docker-01 ~]# openssl dgst -md5 -out md5_nohex.sign -sign genrsa.pri a.txt
    [root@docker-01 ~]# 

    (4).验证签名。验证签名的过程实际上是对待验证文件新生成签名,然后与已有签名文件进行比对,如果比对结果相同,则验证通过。所以,在验证签名时不仅要给定待验证的签名文件,也要给定相同的算法,相同的私钥或公钥文件以及待签名文件以生成新签名信息。

    以下先测试以私钥来验证数字签名文件。

    首先对未使用hex格式的签名文件md5_nohex.sign进行验证。由于生成md5_nohex.sign时使用的是md5算法,所以这里必须也要指定md5算法。

    [root@docker-01 ~]# openssl dgst -md5 -prverify genrsa.pri -signature md5_nohex.sign a.txt
    Verified OK

    再对使用了hex格式的签名文件md5_hex.sign进行验证,不论在验证时是否使用了hex选项,结果都是验证失败。

    [root@docker-01 ~]# openssl dgst -md5 -prverify genrsa.pri -signature md5_hex.sign a.txt  
    Verification Failure
    [root@docker-01 ~]# openssl dgst -md5 -hex -prverify genrsa.pri -signature md5_hex.sign a.txt
    Verification Failure

    再测试使用公钥来验证数字签名。

    [root@docker-01 ~]# openssl rsa -in genrsa.pri -pubout -out rsa.pub
    writing RSA key
    [root@docker-01 ~]# openssl dgst -md5 -verify rsa.pub -signature md5_nohex.sign a.txt
    Verified OK
  • 相关阅读:
    在 Eclipse Workbench 之外使用 Eclipse GUI
    GB2312,GBK,Unicode
    木偶一之推荐系统
    Matlab:任意矩阵计算分布密度(海明距离的分布密度)
    live555在arm linux下的交叉编译,并下载的Arm板播放H264文件
    java设计模式之原型模式
    HDU 1102
    poj3661另一种做法(滚动数组)
    基于QT的小游戏细菌病毒战
    某代码查看器的保护突破
  • 原文地址:https://www.cnblogs.com/liujunjun/p/12398692.html
Copyright © 2011-2022 走看看