Вопрос или проблема
Подпись кода с помощью сертификата и двоичного дайджеста
Я работаю над требованием к кодовой подписи для проекта. Я планирую получить сертификат кодовой подписи и закрытый ключ от внешних поставщиков, таких как DigiCert, и использовать их.
Шаг 1: Создание дайджеста бинарного файла
openssl dgst -sha256 -binary < ваш_бинарный_файл > digest.bin
Шаг 2: Подписание дайджеста
openssl pkeyutl -sign -in digest.bin -inkey private.key -out signature.bin -pkeyopt digest:sha256
Шаг 3: Я мог бы использовать подпись из предыдущего шага, но мне нужно сделать следующее
соединить дайджест с сертификатом кодовой подписи для создания блока подписи
Как я могу реализовать этот шаг с помощью openssl? Также правильный ли это способ для кодовой подписи бинарных исполняемых файлов .deb/.rpm?
Ответ или решение
Для выполнения задачи кодовой подписи бинарных файлов с использованием сертификата и дайджеста, необходимо следовать нескольким шагам. Вы уже правильно указали основные этапы, такие как создание дайджеста бинарного файла и его подпись с использованием закрытого ключа. Давайте подробнее рассмотрим шаги, необходимые для создания сигнатурного блока, который будет сочетать дайджест с сертификатом кодовой подписи.
Шаг 1: Создание дайджеста бинарного файла
Вы уже привели правильную команду для этого этапа:
openssl dgst -sha256 -binary < ваш_бинарный_файл > digest.binШаг 2: Подпись дайджеста
Для этой задачи вам необходимо использовать закрытый ключ, чтобы подписать созданный дайджест. Ваш код тоже здесь правильный:
openssl pkeyutl -sign -in digest.bin -inkey private.key -out signature.bin -pkeyopt digest:sha256Шаг 3: Комбинирование дайджеста с сертификатом для создания сигнатурного блока
Теперь, чтобы объединить дайджест с сертификатом кода и создать сигнатурный блок, вам необходимо выполнить следующие действия:
-
Преобразование сертификата в DER-формат (если он еще не в DER):
openssl x509 -in your_certificate.crt -outform der -out certificate.der - Создание файла с подписью:
Для создания сигнатурного блока, который будет включать как подпись, так и сертификат, вы можете использовать следующую команду. Предполагается, что вы уже подписали дайджест, и его подпись хранится в signature.bin.
cat signature.bin certificate.der > signature_block.binПроверка корректности
После создания signature_block.bin, вам следует проверить правильность подписи и сертификата. Лучше всего выполнить это с помощью OpenSSL, чтобы убедиться, что подпись корректно связана с исходным бинарным файлом.
# Проверка подписи
openssl dgst -sha256 -verify <(openssl x509 -in your_certificate.crt -pubkey -noout) -signature signature.bin your_binaryЗаключение
Таким образом, вы сможете создать правильный сигнатурный блок для кода с использованием сертификата и дайджеста. Данный процесс будет принят для кодирования бинарных файлов, таких как .deb или .rpm. Убедитесь, что вы соблюдаете все меры безопасности при управлении вашим закрытым ключом и сертификатом.
Если у вас возникнут дополнительные вопросы по процессу или его конкретным аспектам, не стесняйтесь их задавать!