如何在 Ruby 中使用 OpenSSL 验证 CMS/PKCS #7 消息?
PKCS #7 消息用作用户消息的数字签名,因此我需要签署一条新的用户消息并验证传入消息。
我在 documentation 中没有找到任何有用的信息和谷歌。
我发现很少有用于签名的代码示例,但没有找到用于验证的代码示例:
signed = OpenSSL::PKCS7::sign(crt, key, data, [], OpenSSL::PKCS7::DETACHED)
最佳答案
假设一切都按照它们在您的代码段中的方式定义,具有分离的签名,没有到受信任根的证书链,证书 crt,签名 signed 和数据 数据,下面应该做你想做的:
store = OpenSSL::X509::Store.new
p7 = OpenSSL::PKCS7.new(signed.to_der)
verified = p7.verify([crt], store, data,
OpenSSL::PKCS7::DETACHED || OpenSSL::PKCS7::NOVERIFY)
(我没有测试过这个,YMMV)
这是我如何找到它的完整故事,以及指向我使用的所有来源的链接,所以如果您需要更多信息,您可以去某个地方查看。
查看 OpenSSL::PKCS7 文档,我们发现 this morsel of wisdom :
PKCS7.new => pkcs7
PKCS7.new(string) => pkcs7
Many methods in this class aren’t documented.
而且快速谷歌也没有找到任何东西。也就是说,我们将不得不采取更极端的措施。让我们做一个Google code search适用于使用 OpenSSL::PKCS7 验证签名的任何人。
嗯。我们找到some test cases .那挺好的;至少它有单元测试,这可以帮助证明该功能确实有效,并提供其工作原理的演示。
store = OpenSSL::X509::Store.new
store.add_cert(@ca_cert)
ca_certs = [@ca_cert]
data = "aaaaa\r\nbbbbb\r\nccccc\r\n"
tmp = OpenSSL::PKCS7.sign(@ee1_cert, @rsa1024, data, ca_certs)
p7 = OpenSSL::PKCS7::PKCS7.new(tmp.to_der)
certs = p7.certificates
signers = p7.signers
assert(p7.verify([], store))
assert_equal(data, p7.data)
这还不算太糟糕。创建一个证书存储。签署您的数据,然后从签署的数据创建一个新的 OpenSSL::PKCS7 对象。然后,您可以在其上调用 certificates 来提取签名的证书链,调用 signers 来提取签名者,然后调用 verify以验证签名是否有效。看起来您将包含受信任的 CA 证书的证书库作为要验证的第二个参数传递。您可以通过对其调用 data 来提取数据。
但是第一个参数是什么意思呢?在我们的测试用例中,除了第一个参数的空列表之外,似乎没有人传递任何东西。唔。一个谜。我们会回到那个。
verify 的第三个可选参数看起来像是用于 verifying a detached signature :
data = "aaaaa\nbbbbb\nccccc\n"
flag = OpenSSL::PKCS7::BINARY|OpenSSL::PKCS7::DETACHED
tmp = OpenSSL::PKCS7.sign(@ee1_cert, @rsa1024, data, ca_certs, flag)
p7 = OpenSSL::PKCS7::PKCS7.new(tmp.to_der)
a1 = OpenSSL::ASN1.decode(p7)
certs = p7.certificates
signers = p7.signers
assert(!p7.verify([], store))
assert(p7.verify([], store, data))
回到第一个参数。当我们进行代码搜索时,我们发现的不仅仅是测试用例;我们还发现了一些其他用途。事实上,第二个似乎是use the first argument :
# 'true' if signature was created using given cert, 'false' otherwise
def match?(cert)
@p7.verify([cert.raw_cert], @store, nil, OpenSSL::PKCS7::NOVERIFY)
end
啊,好的。这是要检查的证书列表。现在有第四个参数,它似乎由标志组成。检查 OpenSSL docs ,我们看到这个不直观的名称(使用 NOVERIFY 标志验证?)意味着您应该只根据传入的证书和签名中嵌入的证书检查签名,而不是尝试根据您的可信 CA 存储验证整个证书链.
这些都是有用的信息,但还有什么我们遗漏的吗?值得庆幸的是,Ruby 是开源软件,因此我们可以“使用源代码,卢克!”在 Google 代码搜索上乱七八糟之后,我们找到了 definition of ossl_pkcs7_verify。 .一旦您了解了有些神秘的名称,代码就相当容易阅读了;它基本上只是将其参数转换为 OpenSSL 可以理解的格式,然后调用:
ok = PKCS7_verify(p7, x509s, x509st, in, out, flg);
所以,它看起来像 that'这是我们真正想要查找文档的地方。
DESCRIPTION
PKCS7_verify()verifies a PKCS#7 signedData structure. p7 is the PKCS7 structure to verify. certs is a set of certificates in which to search for the signer's certificate. store is a trusted certficate store (used for chain verification). indata is the signed data if the content is not present in p7 (that is it is detached). The content is written to out if it is not NULL.flags is an optional set of flags, which can be used to modify the verify operation.
PKCS7_get0_signers()retrieves the signer's certificates from p7, it does not check their validity or whether any signatures are valid. The certs and flags parameters have the same meanings as inPKCS7_verify().
参见 full man page了解更多详情。
哦,作为旁注,我找到了 this warning搜索时;它看起来像在 Ruby 1.9 中,可能在 Ruby 1.8 的某些更高版本中,该类已从冗余的 OpenSSL::PKCS7::PKCS7 移动到 OpenSSL::PKCS7。
warn("Warning: OpenSSL::PKCS7::PKCS7 is deprecated after Ruby 1.9; use OpenSSL::PKCS7 instead")
关于ruby - 使用 OpenSSL 进行数字签名验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/1999096/
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
我有一个字符串input="maybe(thisis|thatwas)some((nice|ugly)(day|night)|(strange(weather|time)))"Ruby中解析该字符串的最佳方法是什么?我的意思是脚本应该能够像这样构建句子:maybethisissomeuglynightmaybethatwassomenicenightmaybethiswassomestrangetime等等,你明白了......我应该一个字符一个字符地读取字符串并构建一个带有堆栈的状态机来存储括号值以供以后计算,还是有更好的方法?也许为此目的准备了一个开箱即用的库?
我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看rubyzip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
很好奇,就使用rubyonrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提
这似乎应该有一个直截了当的答案,但在Google上花了很多时间,所以我找不到它。这可能是缺少正确关键字的情况。在我的RoR应用程序中,我有几个模型共享一种特定类型的字符串属性,该属性具有特殊验证和其他功能。我能想到的最接近的类似示例是表示URL的字符串。这会导致模型中出现大量重复(甚至单元测试中会出现更多重复),但我不确定如何让它更DRY。我能想到几个可能的方向...按照“validates_url_format_of”插件,但这只会让验证干给这个特殊的字符串它自己的模型,但这看起来很像重溶液为这个特殊的字符串创建一个ruby类,但是我如何得到ActiveRecord关联这个类模型
假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于
我试图在一个项目中使用rake,如果我把所有东西都放到Rakefile中,它会很大并且很难读取/找到东西,所以我试着将每个命名空间放在lib/rake中它自己的文件中,我添加了这个到我的rake文件的顶部:Dir['#{File.dirname(__FILE__)}/lib/rake/*.rake'].map{|f|requiref}它加载文件没问题,但没有任务。我现在只有一个.rake文件作为测试,名为“servers.rake”,它看起来像这样:namespace:serverdotask:testdoputs"test"endend所以当我运行rakeserver:testid时
出于纯粹的兴趣,我很好奇如何按顺序创建PI,而不是在过程结果之后生成数字,而是让数字在过程本身生成时显示。如果是这种情况,那么数字可以自行产生,我可以对以前看到的数字实现垃圾收集,从而创建一个无限系列。结果只是在Pi系列之后每秒生成一个数字。这是我通过互联网筛选的结果:这是流行的计算机友好算法,类机器算法:defarccot(x,unity)xpow=unity/xn=1sign=1sum=0loopdoterm=xpow/nbreakifterm==0sum+=sign*(xpow/n)xpow/=x*xn+=2sign=-signendsumenddefcalc_pi(digits