登录
首页 >  Golang >  Go问答

Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID

来源:stackoverflow

时间:2024-04-14 09:09:33 244浏览 收藏

珍惜时间,勤奋学习!今天给大家带来《Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID》,正文内容主要涉及到等等,如果你正在学习Golang,或者是对Golang有疑问,欢迎大家关注我!后面我会持续更新相关内容的,希望都能帮到正在学习的大家!

问题内容

我正在使用加载了可信证书的 yubikey 上的 piv 与服务器进行相互 tls。我正在使用这个 golang pkcs11 库 这是 opensc-pkcs11.so 的包装器

我正在使用 yubikey 实现一个签名者接口,以便它可以用作 go 的 crypto/tls 库的私钥。

我的签名者函数如下所示(我在错误中添加了数据以进行调试):

func (signer *pkcs11privatekeyecdsa) sign(rand io.reader, digest []byte, opts crypto.signeropts) ([]byte, error) {
    return signer.yubi.dsageneric(signer.handle, pkcs11.ckm_ecdsa, digest)
}

func (yubi yubiinfo) dsageneric(key pkcs11.objecthandle, mechanism uint, digest []byte) ([]byte, error) {
    var err error
    var sigbytes []byte
    var sig dsasignature
    mech := []*pkcs11.mechanism{pkcs11.newmechanism(mechanism, nil)}
    fmt.println("siging with key: ", key)
    if err = yubi.ctx.signinit(yubi.ses, mech, key); err != nil {
        return nil, fmt.errorf("signer init: %v", err)
    }
    sigbytes, err = yubi.ctx.sign(yubi.ses, digest)
    if err != nil {
        return nil, fmt.errorf("signer sign: %v, len: %d, \n %s", err, len(digest), string(digest))
    }
    err = sig.unmarshalbytes(sigbytes)
    if err != nil {
        return nil, err
    }

    return sig.marshalder()
}

尝试与上述代码中的签名者进行 tls 握手会产生以下错误消息:

rpc error: code = Unavailable desc = connection error: desc = "transport: authentication handshake failed: signer sign: pkcs11: 0x20: CKR_DATA_INVALID, len: 32, \n ZX\xe0ތ\xcdў\xbf\xdeTh.\xacS\x1d\x89\xeeH\xe0\xf0$\xd1\xda\xf7\t\xfan:\xa7\b\xb6"

什么可能会使摘要对签名者无效?根据我在网上找到的错误含义:

ckr_data_invalid:加密操作的明文输入数据无效。该返回值的优先级低于 ckr_data_len_range。

数据的长度显然是正确的,pkcs11 在签名之前还在摘要中检查什么?

谢谢!


正确答案


加载到插槽中的密钥是 RSA 密钥,而不是 EC 密钥,这意味着执行 ECDSA 失败。

以上就是《Pkcs11 ECDSA 签名返回 CKR_DATA_INVALID》的详细内容,更多关于的资料请关注golang学习网公众号!

声明:本文转载于:stackoverflow 如有侵犯,请联系study_golang@163.com删除
相关阅读
更多>
最新阅读
更多>
课程推荐
更多>