0

AWS KMS 非対称 ECC (ES256) キーを使用して、Python3 で API 呼び出しを使用してトークンに署名および検証しています。応答が返されます

{
    "KeyId": "arn:aws:kms:us-east-1:000000000000:key/1234",
    "Signature": "b'0D\\x02 \\x18\\xd9\\x13\\x96\\x9d\\xb00p\\xc9H\\'-\\xc6@{\\xd1V\\xf5\\xeb\\x83\"1\\x0e:\\x98\\xb4\\xea6P\\x0f\\xdf\\x82\\x02 \\x1fPt\\xc0\\x81pB\\xaa\\xe7_\\xf2~\\x91BlU\\x05\\xba1\\xe0\\xfe\\xf6\\xe4\\xebL\\nl\\xfc\\xf8\\xce\\xc6_'",
    "SigningAlgorithm": "ECDSA_SHA_256" 

}

AWS CLI を使用すると、応答「署名」は base64 でエンコードされます。

{
    "KeyId": "arn:aws:kms:us-east-1:000000000000:key/1234",
    "Signature": "MEQCIBqjAiAnMKkugooWU6/AqCyfhQUocoiVeIIf8lL2p7YbAiBEJOl2cp9HzQNufiMBezIjZuSGW6ID13l7JSzTgLlv+g==",
    "SigningAlgorithm": "ECDSA_SHA_256"
}

base64.urlsafe_b64encode(string)Python3 で API 応答を使用して「署名」をbase64 エンコードしようとすると、署名を検証できません。私が受け取るエラーの例を次に示します。

Verify 操作の呼び出し時にエラー (InvalidKeyUsageException) が発生しました: asn1: 構造エラー: タグが一致しません (16 vs {class:1 tag:2 length:39 isCompound:true}) {optional:false explicit:false application:false private:false defaultValue: tag: stringType:0 timeType:0 set:false omitEmpty:false} ecdsaSignature @2

API から返された「署名」バイト文字列を base64 でエンコードし、検証できるようにするにはどうすればよいですか?

アップデート:

base64.b4encode代わりに更新するとbase64.urlsafe_encode、同じ結果が得られます。

def _sign_token(self, key_id, message):
    signature = kms_client.sign(
        KeyId=key_id,
        Message=message,
        MessageType="RAW",
        SigningAlgorithm="ECDSA_SHA_256",
    )
    logger.log(msg=signature, level=cl.log_level)
    return base64.b64encode(signature["Signature"]).decode()

ログメッセージは次を返します:

{"asctime": "2021-04-03 19:40:27,593", "levelname": "INFO", "name": "util.sign", "lineno": 214, "message": null, "env ": "local", "KeyId": "arn:aws:kms:us-east-1:000000000000:key/309d8dc5-409e-4f57-96a8-c71223c84dc2", "署名": "b'0E\x02!\ x00\xcc\x82\xf4$@?\x9e\n\xd7$\x94\x9f.\x1d5\x19{W\x1e\xcff\x8b&\xf0\xef\x88\xcf^"\xf6\xa4\x1b \x02 \x0c\x18\xab?\x93\xd5\x88Cx\xf6\x0c\x1b\xcf\xd9\xd9\xd2\xd4"\xcf\x94\xede_>\x8c\x01~J\xea\x0ezB' "、"SigningAlgorithm": "ECDSA_SHA_256"、"ResponseMetadata": {"HTTPStatusCode": 200、"HTTPHeaders": {"content-type": "application/x-amz-json-1.1"、"content-length": "233","connection": "close", "access-control-allow-origin": "*", "access-control-allow-methods": "HEAD,GET,PUT,POST,DELETE,OPTIONS,PATCH", "access -control-allow-headers": "authorization,content-type,content-length,content-md5,cache-control,x-amz-content-sha256,x-amz-date,x-amz-security-token,x -amz-user-agent,x-amz-target,x-amz-acl,x-amz-version-id,x-localstack-target,x-amz-tagging", "access-control-expose-headers": "x-amz-version-id", "date": "Sat, 03 Apr 2021 19:40:27 GMT", "server": "hypercorn-h11"}, "RetryAttempts": 0}}PATCH", "access-control-allow-headers": "authorization,content-type,content-length,content-md5,cache-control,x-amz-content-sha256,x-amz-date,x-amz-セキュリティトークン,x-amz-user-agent,x-amz-target,x-amz-acl,x-amz-version-id,x-localstack-target,x-amz-tagging", "access-control- Exposure-headers": "x-amz-version-id", "date": "Sat, 03 Apr 2021 19:40:27 GMT", "server": "hypercorn-h11"}, "RetryAttempts": 0} }PATCH", "access-control-allow-headers": "authorization,content-type,content-length,content-md5,cache-control,x-amz-content-sha256,x-amz-date,x-amz-セキュリティトークン,x-amz-user-agent,x-amz-target,x-amz-acl,x-amz-version-id,x-localstack-target,x-amz-tagging", "access-control- Exposure-headers": "x-amz-version-id", "date": "Sat, 03 Apr 2021 19:40:27 GMT", "server": "hypercorn-h11"}, "RetryAttempts": 0} }"Sat, 03 Apr 2021 19:40:27 GMT", "server": "hypercorn-h11"}, "RetryAttempts": 0}}"Sat, 03 Apr 2021 19:40:27 GMT", "server": "hypercorn-h11"}, "RetryAttempts": 0}}

エラーの確認:

"stacktrace": "Verify オペレーションの呼び出し時にエラー (InvalidKeyUsageException) が発生しました: asn1: 構造エラー: タグが一致しません (16 vs {class:1 tag:13 length:69 isCompound:false}) {optional:false explicit :false application:false private:false defaultValue: tag: stringType:0 timeType:0 set:false omitEmpty:false} ecdsaSignature @2"

def _verify_signature(self, key_id, message, signature):
    response = kms_client.verify(
        KeyId=key_id,
        Message=message,
        MessageType="RAW",
        Signature=signature,
        SigningAlgorithm="ECDSA_SHA_256",
    )
    logger.log(msg=response, level=cl.log_level)
    return response

client.verify には署名がバイトである必要がありますhttps://boto3.amazonaws.com/v1/documentation/api/1.11.4/reference/services/kms.html#KMS.Client.verify

私がオフのまま.encode()にすると、同じ結果になります:

"stacktrace": "Verify オペレーションの呼び出し時にエラー (InvalidKeyUsageException) が発生しました: asn1: 構造エラー: タグが一致しません (16 vs {class:1 tag:13 length:69 isCompound:false}) {optional:false explicit :false application:false private:false defaultValue: tag: stringType:0 timeType:0 set:false omitEmpty:false} ecdsaSignature @2"

def _sign_token(self, key_id, message):
    signature = kms_client.sign(
        KeyId=key_id,
        Message=message,
        MessageType="RAW",
        SigningAlgorithm="ECDSA_SHA_256",
    )
    logger.log(msg=signature, level=cl.log_level)
    return base64.b64encode(signature["Signature"])

ノート:

base64 エンコーディングなしで client.sign 応答「Signature」を client.verify に渡すと、検証はパスします。

4

2 に答える 2

0

AWS cli によってエンコードされた文字列は、 urlsafe-base64 でエンコードされていません! これは、標準の base64 を使用してエンコードされますbase64.b64encode

標準の base64 エンコーディングでは、3 つのメタ文字/+および=. /+をパスまたはクエリ文字列で使用するのは安全ではありません。URL セーフ エンコーディングでは、これら 2 つをそれぞれ と に置き換え_ます-/とは AWS CLI でエンコードされた文字列に存在するため+、URL セーフではなく標準の base64 エンコードを使用していると推測できます。

の戻り値base64.b64encodebytesオブジェクトです。通常、Base-64 エンコーディングは、バイナリをテキストにエンコードするために使用されます。代わりにテキストとして値を取得するには、それが必要ですdecode(たとえば、UTF-8 を Unicode 文字列に変換するなど):

base64_encoded_as_str = base64.b64encode(binary_value).decode()
于 2021-04-03T19:51:27.030 に答える
0

AWS サポート プロセスが機能しました。decode()代わりに検証しようとしたときに、base64でエンコードされた署名で操作を行っていたことが判明しましたbase64.b64decode()

于 2021-04-07T17:20:56.307 に答える