当前位置: 移动技术网 > IT编程>开发语言>JavaScript > 详解Node.js 中使用 ECDSA 签名遇到的坑

详解Node.js 中使用 ECDSA 签名遇到的坑

2018年11月30日  | 移动技术网IT编程  | 我要评论

最近有个朋友问我关于 node.js 下使用 ecdsa 的问题,主要是使用 node.js 的 crypto 模块无法校验网络传输过来的签名结果。在踩坑无数后,终于搞清楚了原因。

坑 0x00:签名输出格式

在排除了证书、消息不一致的可能之后,我开始对比使用 node.js 签名的结果与网络传输过来的签名,发现长度不一致,大约差了5~7个字节。于是去网上搜索了一下,才知道原来 node.js (基于 openssl)签名得到的是 der 格式的内容,而网络上常用的 ecdsa 签名结果是 ieee p1363 格式的。(也可以写作 r|s)

参考:

知道问题了就好解决了。但是,der 和 ieee p1363 两个格式互转也不是那么容易的。

简单科普一下,ecdsa 是指基于 ecc 椭圆加密算法的签名方式,签名结果是两个整数 r 和 s。 r 和 s 一般长度相同,或者接近。如果长度不同,在各自前面补字节 0x00 直到等长。把 r 和 s 以大头字节序表示,然后依次前后拼接,就是所谓 ieee p1363 格式。

坑 0x01:der 的整数问题

先来了解一下 ecdsa 的 der 输出格式,大概如下:

sequence <length>
 integer <integer_length> <integer_value...> # 整数 r
 integer <integer_length> <integer_value...> # 整数 s

其中

sequence 是 der 数组(串?)标头,用一个字节 0x30 表示

<length> 是 sequence 的长度,用一个字节表示,不包括标头和这个长度本身

integer 是整数标头,用一个字节 0x02 表示

<integer_length> 是整数的字节长度,用一个字节表示。

<integer_value> 是整数的内容,以大头字节序表示。

另一个坑我也已经写出来了,不知道有人发现没有?没想到的话,继续往下。

ieee p1363 格式下,r 和 s 都是等长的。所以只要把 ieee p1363 格式的签名从中间切分就可以得到 r 和 s 的内容了。而且 ieee p1363 格式下,r 和 s 也是以大头字节序表示的,因此没有字节序转换问题了。现在,只需要按上面的格式构造一个 der 即可。

坑 0x01.0:缺少整数前置字节 0x00

我第一次尝试将 ieee p1363 格式的签名转换成 der 格式,并没有失败,但是当我换一个签名结果,却失败了……我对比了 der 和 ieee p1363 的区别,发现了一个特点,在 der 格式下,r 和 s 偶尔会有前置字节 0x00,但不是一定的。

查资料后才明白,der 下没有“无符号整数”之说,也就是说整数都是有符号的。如果 integer 所表示的整数最高字节大于 0x7f,也就是最高位(符号位)为 1,则表示负数。如果要表示正数,必须在前面补一个字节 0x00……

参考

坑 0x01.1:多余的整数前置字节 0x00

在我修改代码后,虽然提高了成功率,可仍然有失败的情况,仔细看了下,原来是因为 ieee p1363 格式里,r 和 s 可能被补了不止 1 个字节 0x00……

而 der 下虽然要求补字节 0x00,却是有且只能有一个字节 0x00。

到此,问题都解决了——直到我测试了 521-bit (是的,你没看错,不是 512) 长度的密钥时,完全失败,毫无例外。

坑 0x02:der sequence 的长度超过 0x7f

前面说了,<length> 只能用一个字节表示,这是一个整数,前文我提到的整数正负问题,这里也存在!

即是说,ecdsa 签名使用 der 输出格式时,如果使用 521-bit (是的,你没看错,不是 512) 长度的密钥时,der的长度将超出 0x7f,使得 <length> 变成了负数!

而解决方案不是补字节 0x00,而是用字节 0x81 填充 <length>,再在下一个字节用一个无符号整数的表示长度(0 ~ 255)。

参考:

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持移动技术网。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网