Google KMS 非对称密钥验证失败

【问题标题】:Google KMS asymmetric keys validation failureGoogle KMS 非对称密钥验证失败
【发布时间】:2020-04-28 16:15:49
【问题描述】:

我正在开发用于自定义目的的 OAuth 服务器实现,并尝试使用 Google 的 KMS 服务来签名/验证 JWT 令牌。

我能够很好地创建签名,问题从验证步骤开始 - 总是导致错误(无效令牌)。然后我继续简化代码以找到原因,最终得到了一个我无法进一步简化但仍然无法工作的代码。我的代码基于Google KMS Docs 中的示例。

export async function sign (message: string): Promise<Buffer> {
    const name = getKeyPath();
    const digest = crypto.createHash('sha512').update(message).digest();

    const [ result ] = await client.asymmetricSign({
        name,
        digest: {
            sha512: digest
        }
    });

    return result.signature as Buffer;
}

export async function verify (message: string, signature: Buffer): Promise<boolean> {
    const publicKey = await getPublicKey();
    const verifier = crypto.createVerify('SHA512');

    verifier.write(message);
    verifier.end();

    return verifier.verify(publicKey, signature);
}

export async function getPublicKey (): Promise<string> {
    const name = getKeyPath();

    const [ publicKey ] = await client.getPublicKey({ name });

    return publicKey.pem;
}

(async () => {
    const message = 'test';
    const signature = await sign(message);
    const valid = await verify(message, signature);

    console.log(message);
    console.log(signature);
    console.log(valid);
})();

结果:

test
<Buffer 19 a2 89 37 e5 43 78 c8 63 6b 7e 19 28 10 f7 93 ad c0 fa 10 ce 0a 06 2d 79 52 58 9a a4 7c d5 77 1c 99 b2 cb ce 67 e8 93 d6 0e ef b9 f6 95 89 19 4e 28 ... 462 more bytes>
false

【问题讨论】:

    标签: node.js typescript digital-signature google-cloud-kms


    【解决方案1】:

    哦,我的,哦,我的好时机。我正在处理rewriting the Node.js Cloud KMS samples,昨晚在调试过程中浪费了 2 个小时。我猜这是一个 RSA 密钥?

    问题在于 Node 丢弃/忽略了填充规范,导致验证失败。您必须通过构造一个关键对象来强制它使用 PSS 填充:

    async function verify(message, signatureBuffer) {
  // Get public key
  const [publicKey] = await client.getPublicKey({
    name: 'projects/my-p/locations/.../cryptoKeyVersions/123',
  });

  // Create the verifier. The algorithm must match the algorithm of the key.
  const crypto = require('crypto');
  const verify = crypto.createVerify('sha512');
  verify.update(message);
  verify.end();

  const key = {
    key: publicKey.pem,
    padding: crypto.constants.RSA_PKCS1_PSS_PADDING, // <-- THIS
  };

  const verified = verify.verify(key, signatureBuffer);
  return verified;
}

    【讨论】:

    • 是的,它是一个 RSA 密钥。就是这样!有趣,那么它是 node.js 中的一个错误,然后(加密库)?
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2021-12-25
    • 2013-02-16
    • 1970-01-01
    • 2011-05-08
    • 2022-12-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode