有没有办法在 Postgres 中验证签名摘要？

Question

运行以下命令，并将 content_file、signature_file 和 id_rsa.pub（或 pem）的内容插入 Postgres 数据库。

openssl dgst -sign id_rsa content_file > signature_file

有什么方法可以验证签名是否与 Postgres 中的内容/公钥相对应？

我查看了 pgcrypto 函数，但唯一相关的函数似乎是需要密钥的 pgp_pub_decrypt。

基本上我希望在 Postgres 中执行以下操作：

openssl dgst -verify .\id_rsa.pem -signature .\signature_file .\content_file

Answer 1

根据 Craig 的建议，我最终使用 plpythonu 来解决这个问题。

CREATE OR REPLACE FUNCTION api.verify(
  p_data text,
  p_signature text,
  p_publickey text
)
  RETURNS boolean AS
$$
   try:
     import rsa

     pubkey = rsa.PublicKey.load_pkcs1(p_publickey)
     signature = bytearray.fromhex(p_signature)
     verified = rsa.verify(p_data, signature, pubkey)

     return verified
   except:
     return False

$$ LANGUAGE plpythonu VOLATILE
  SECURITY DEFINER;

由于我缺乏 python 知识，这其中最困难的部分实际上是设置所需的 python 包（在我的例子中是 Docker 环境）。以下是 Dockerfile 的相关摘录：

FROM postgres:9.6

# Install necessary python packages to work with postgres
RUN apt-get update \
 && apt-get install -y --no-install-recommends \
    "postgresql-plpython-$PG_MAJOR" \
 && apt-get install -y python-pip python-dev

# Install python rsa module for signature verification
RUN pip install rsa

在给定以下参数的情况下，该函数起作用：

-- Generate private key. Provide secure passphrase when prompted.
openssl genrsa -aes256 -out private.pem 4096

--Export public KEY
openssl rsa -in private.pem -RSAPublicKey_out -out public.pem

--Sign data. Provide secure passphrase when prompted.
--Remove first line (RSA-SHA256(data.txt)=) when passing into database verify function.
openssl dgst -hex -sign private.pem data.txt > signature.txt