4

NSData クラスにカテゴリ メソッドを実装しました。このメソッドは、SHA-1 ハッシュを使用してデータの署名を返し、次のように秘密鍵で暗号化します。

- (NSData *)signatureWithKey:(SecKeyRef)keyRef {

    if (keyRef == NULL) {
        return nil;
    }

    NSData *sha1Digest = [self dataWithSHA1Digest];

    size_t maxLength = SecKeyGetBlockSize(keyRef) - 11;

    if ([sha1Digest length] > maxLength) {
        NSString *reason = [NSString stringWithFormat:@"Digest is too long to sign with this key, max length is %ld and actual length is %ld", maxLength, (unsigned long)[self length]];
        NSException *ex = [NSException exceptionWithName:@"BMInvalidArgumentException" reason:reason userInfo:nil];
        @throw ex;
    }

#if TARGET_OS_IPHONE
    OSStatus status = noErr;

    uint8_t *plainBuffer = (uint8_t *)[sha1Digest bytes];
    size_t plainBufferSize = [sha1Digest length];
    size_t cipherBufferSize = SecKeyGetBlockSize(keyRef);
    uint8_t *cipherBuffer = malloc(cipherBufferSize * sizeof(uint8_t));

    status = SecKeyRawSign(keyRef,
                           kSecPaddingPKCS1SHA1,
                           plainBuffer,
                           plainBufferSize,
                           &cipherBuffer[0],
                           &cipherBufferSize
                           );

    if (status == noErr) {
        return [NSData dataWithBytesNoCopy:cipherBuffer length:cipherBufferSize freeWhenDone:YES];
    }

    free(cipherBuffer);
    return nil;
#else
    CFErrorRef error = NULL;
    SecTransformRef signer = NULL;
    CFTypeRef signature = NULL;
    if ((signer = SecSignTransformCreate(keyRef, &error))) {
        if (SecTransformSetAttribute(
                                 signer,
                                 kSecTransformInputAttributeName,
                                 (CFDataRef)sha1Digest,
                                     &error)) {
            signature = SecTransformExecute(signer, &error);
        }
    }

    if (error) {
        LogWarn(@"Could not sign: %@", error);
        CFRelease(error);
    }

    if (signer) {
        CFRelease(signer);
    }

    if (signature) {
        NSData *data = [NSData dataWithData:(NSData *)signature];
        CFRelease(signature);
        return data;
    } else {
        return nil;
    }

#endif

}

奇妙なことに、同じ秘密鍵 (p12 ファイルからロードされた) を使用して、同じデータに署名すると、iOS と MacOSX で 2 つの異なる結果が得られます。私はこれに完全に困惑しています。上記の方法では、セキュリティ トランスフォームを使用して MacOSX 用に別の実装を使用していることに気付くかもしれませんが、MacOSX で iOS 実装を使用しても (コンパイル警告が表示されますが、正常に動作します)、同じ結果が得られます。

ファイルから秘密鍵をロードする方法は次のとおりです。

+ (SecKeyRef)newPrivateKeyRefWithPassword:(NSString *)password fromData:(NSData *)data {
    NSMutableDictionary * options = [[NSMutableDictionary alloc] init];

    SecKeyRef privateKeyRef = NULL;

    // Set the public key query dictionary
    //change to your .pfx  password here
    [options setObject:password forKey:(id)kSecImportExportPassphrase];

    CFArrayRef items = CFArrayCreate(NULL, 0, 0, NULL);

    OSStatus securityError = SecPKCS12Import((CFDataRef)data,
                                             (CFDictionaryRef)options, &items);

    if (securityError == noErr && CFArrayGetCount(items) > 0) {
        CFDictionaryRef identityDict = CFArrayGetValueAtIndex(items, 0);
        SecIdentityRef identityApp =
        (SecIdentityRef)CFDictionaryGetValue(identityDict,
                                             kSecImportItemIdentity);

        securityError = SecIdentityCopyPrivateKey(identityApp, &privateKeyRef);
        if (securityError != noErr) {
            privateKeyRef = NULL;
        }
    }
    [options release];
    if (items) CFRelease(items);
    return privateKeyRef;
}

そして、これは私が使用するテストケースです。iOS と MacOSX では 2 つの異なる文字列が出力されることに注意してください。

    NSString *test = @"bla";
    NSData *testData = [test dataUsingEncoding:NSUTF8StringEncoding];

    NSString *p12Path= [[NSBundle mainBundle] pathForResource:@"private_key" ofType:@"p12"];

    NSData *p12Data = [NSData dataWithContentsOfFile:p12Path];

    SecKeyRef keyRef = [BMSecurityHelper newPrivateKeyRefWithPassword:@"xxxxxxxx" fromData:p12Data];

    NSData *signatureData = [testData signatureWithKey:keyRef];
    NSString *signatureString = [BMEncodingHelper base64EncodedStringForData:signatureData withLineLength:0];

    if (keyRef) CFRelease(keyRef);

    NSLog(@"signatureString: %@", signatureString);
4

1 に答える 1

8

あなた自身の質問に答えることができれば、いつでもいいです。私は次のことを見逃していました: MacOSX では、iOS の実装とは対照的に、セキュリティ トランスフォームは SHA-1 ハッシュも自動的に計算します。

MacOSX 実装に以下を追加して問題を修正しました。

SecTransformSetAttribute(signer, kSecInputIsAttributeName, kSecInputIsDigest, &error)
于 2013-06-27T17:22:16.473 に答える