本文由雲+社區發表作者:mariolu
一、什麼是PSS模式?
1.1、兩種簽名方式之一RSA-PSS
PSS (Probabilistic Signature Scheme)私鑰簽名流程的一種填充模式。目前主流的RSA簽名包括RSA-PSS和RSA-PKCS#1 v1.5。相對應PKCS(Public Key Cryptography Standards)是一種能夠自我從簽名,而PSS無法從簽名中恢恢復原來的簽名。openssl-1.1.x以後默認使用更安全的PSS的RSA簽名模式。
1.2、填充的必要性
RSA算法比較慢,一般用於非對稱加密的private key簽名和public key驗證。因RSA算法沒有加入亂數,當出現重複性的原始資料,攻擊者會通過相同加密密文而猜測出原文,因此導入padding的機制來加強安全性。
TLS流程中的密鑰材料若不進行填充而直接加密,那麼顯然相同的key,會得到相同的密文。這種在語義上來說,是不安全的。以下例子說明了無填充模式的安全漏洞。
- m:明文
- e,n:RSA參數(公鑰)
- d:RSA參數(私鑰)
- c:網絡傳輸密文
加密方加密m:c = m^e mod n,傳輸c
解密方解密c:m = c^d mod n,還原m
- c':篡改密文
- k:篡改碼
由於c在網絡上傳輸,如果網絡上有人對其進行c' = c*k^e mod n,這樣的替換
那麼解密方將得到的結果是
(c*k^e)^d mod n
= (c^d mod n)* (k^ed mod n)
= m*k
即中間人有辦法控制m。
1.3、PSS的基本要素
使用PSS模式的RSA簽名流程如下:
相比較PKCS#1 v1.5的padding簡單許多:
PSS的一些概念:
- hash算法,一般使用SHA-1
- MGF函數(mask generation function)。默認是MGF1。
- salt length,一般由hLen決定。當爲0時,簽名值變成了唯一確定的。
- 截斷符號,一般是0xbc
二、RSA簽名實際操作
這節例子中所涉及到的文件說明:
/tmp/wildcard_domain.sports.qq.com.v2.key:私鑰
/tmp/pub: 公鑰
/tmp/data: 明文
/tmp/endata: 密文
/tmp/sign: 簽名
/tmp/de_sign: 解簽名
2.1、前期準備:公鑰和私鑰
- 通過key文件提取出public key
openssl rsa -in /usr/local/services/ssl_agent/ca/wildcard_domain.sports.qq.com.v2.key -pubout -out /tmp/pub- 原始數據:
echo -n "1234567890" > /tmp/data
- 這樣就有一對公鑰和私鑰,用來測試RSA加密解密(encrypt、decrypt)和簽名驗證(sign,verify)
- RSA加密的兩種算法分別是RSAES-PKCS-v1_5 and RSAES-OAEP。
2.2、加密和解密(encrypt,decrypt)
- 加密:
openssl rsautl -pubin -inkey /tmp/data -in /tmp/data -encrypt -out /tmp/endata- 解密,用private key解密,得到原本的值:
openssl rsautl -inkey /tmp/wildcard_domain.sports.qq.com.v2.key -in /tmp/en_data -decrypt2.3、簽名和驗證(sign, verify)
簽名過程包括hash和加密。hash函數一般使用sha1。這樣輸入明文,直接生成sign簽名。
如果是私鑰簽名所做的事就是先hash再加密,選擇一種hash算法把原始消息計算後成ASN1格式,再把這個資料用private key加密後送出,資料本身不加密,這種方式主要是用來驗證資料來源是否可信任的,送出時把原始資料和簽名一起送出。
- 簽名:
openssl sha1 -sign /tmp/wildcard_domain.sports.qq.com.v2.key /tmp/data > /tmp/data/sign/tmp/data/sign- 解開簽名:
openssl rsautl -pubin -inkey /tmp/pub -in sign -verify -out /tmp/de_sign 用public key解開簽名,並且保留padding
openssl rsautl -pubin -inkey /tmp/pub -in /tmp/sign -encrypt -raw -hexdump使用解開ASN1解開簽名,或者簽名後用ASN1工具解析
openssl rsautl -pubin -inkey /tmp/pub -in /tmp/sign -verify -asn1parse或者:
openssl asn1parse -inform der -in /tmp/de_sign和本地sha1對比
openssl sha1 /tmp/data如果兩者hash結果是一樣,那麼確定簽名送過來是正確的。
2.4、openssl rsautl工具支持的填充模式
openssl rsautl --help,可以看到支持的padding模式有,在rsautl加上以下選項可以重複做2.2~2.3的實驗。
-ssl Use SSL v2 padding
-raw Use no padding
-pkcs Use PKCS#1 v1.5 padding (default)
-oaep Use PKCS#1 OAEP三、PSS填充模式的特點
PSS是RSA的填充模式中的一種。
完整的RSA的填充模式包括:
RSA_SSLV23_PADDING(SSLv23填充)
RSA_NO_PADDING(不填充)
RSA_PKCS1_OAEP_PADDING (RSAES-OAEP填充,強制使用SHA1,加密使用)
RSA_X931_PADDING(X9.31填充,簽名使用)
RSA_PKCS1_PSS_PADDING(RSASSA-PSS填充,簽名使用)
RSA_PKCS1_PADDING(RSAES-PKCS1-v1_5/RSASSA-PKCS1-v1_5填充,簽名可使用)其中主流的填充模式是PKCS1和PSS模式。
PSS的優缺點如下:
- PKCS#1 v1.5比較簡易實現,但是缺少security proof。
- PSS更安全,所以新版的openssl-1.1.x優先使用PSS進行私鑰簽名(具體在ssl握手的server key exchange階段)
此文已由騰訊雲+社區在各渠道發佈
獲取更多新鮮技術乾貨,可以關注我們騰訊雲技術社區-雲加社區官方號及知乎機構號