Как использовать дайджест SHA1 во время подписания с OpenSSL :: PKCS7.sign при создании сообщения SMIME - PullRequest
Новая
       20

Как использовать дайджест SHA1 во время подписания с OpenSSL :: PKCS7.sign при создании сообщения SMIME

0 голосов
/ 29 октября 2018

следующий код 

body = "This is the message body"
pkcs7 = OpenSSL::PKCS7.sign @certificate, @pkey, body
pkcs7.detached = true
smime_signed = OpenSSL::PKCS7.write_smime pkcs7, body

будет генерировать 

MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha-256"; boundary="----F1B5E0635C071F76431AEFB127A7DF88"

This is an S/MIME signed message

------F1B5E0635C071F76431AEFB127A7DF88
This is the message body
------F1B5E0635C071F76431AEFB127A7DF88
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"

MIIHSgYJKoZIhvcNAQcCoIIHOzCCBzcCAQExDzANBglghkgBZQMEAgEFADALBgkq
hkiG9w0BBwGgggRqMIIEZjCCA06gAwIBAgIQQNnrBxVw4uQUu6QaUH9huTANBgkq
[omitted]

Можно ли установить специальный дайджест, например, OpenSSL::Digest::SHA1.new для микала? И если да, то как?

Я пробовал следующее: 

pkcs7 = OpenSSL::PKCS7.new
pkcs7.type = :signed
signer = OpenSSL::PKCS7::Signer.new(@certificate, @pkey, OpenSSL::Digest::SHA1.new)
pkcs7.add_data body
pkcs7.add_certificate(@certificate)
pkcs7.add_signer signer
pkcs7.detached = true
smime_signed = OpenSSL::PKCS7.write_smime pkcs7, body

это сгенерирует 

MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha1"; boundary="----0986A4FB87D37510B8051AB492BBF7A2"

This is an S/MIME signed message

------0986A4FB87D37510B8051AB492BBF7A2
This is the message body
------0986A4FB87D37510B8051AB492BBF7A2
Content-Type: application/x-pkcs7-signature; name="smime.p7s"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="smime.p7s"

MIIFcwYJKoZIhvcNAQcCoIIFZDCCBWACAQExCzAJBgUrDgMCGgUAMAsGCSqGSIb3
DQEHAaCCBGowggRmMIIDTqADAgECAhBA2esHFXDi5BS7pBpQf2G5MA0GCSqGSIb3
[omitted]

Кажется, это работает и меняет micalg, но разница составляет pkcs7#data now returns #<OpenSSL::PKCS7:0x007fbe866d9420 @data=nil>

Итак, возможно ли использовать другой дайджест с OpenSSL::PKCS7.sign? А если нет, то что эквивалентно 

body = "This is the message body"
pkcs7 = OpenSSL::PKCS7.sign @certificate, @pkey, body
pkcs7.detached = true
smime_signed = OpenSSL::PKCS7.write_smime pkcs7, body

в openssl?

1 Ответ

0 голосов
/ 05 ноября 2018

Я не знаю, возможно ли указать алгоритм дайджеста, используя привязки Ruby, но эквивалентная команда OpenSSL: 

openssl smime -sign -in body.txt -out out.txt -signer cert.pem -inkey key.pem -md sha1

Вы можете проверить подпись дайджеста с помощью: 

openssl smime -verify -in out.txt -noverify
...