证书链验证(国密)

最新推荐文章于 2025-10-14 08:15:00 发布
原创 最新推荐文章于 2025-10-14 08:15:00 发布 · 2.7k 阅读 · 37 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#密码学 #笔记 #学习

本文详细描述了如何通过Snooper工具和ASN1解析来验证SM2证书链,涉及获取上级证书公钥、解析下级证书数据、提取签名值并使用指定方法进行验证,最终结果显示验证通过。

证书链验证

材料:

工具:

Snooper;ASN1;notepad++

已知证书链签发过程中,为上级证书对下级证书进行签名,故通过验证上级证书对下级证书的签名,验证证书链是否完整;

前置条件:上级证书对下级证书签名原文对【基本证书域】,如不理解可参考教材(商用密码应用与安全性评估)

验证SM2签名需要数据:

  1. 签名原文;签名值;公钥(上级)
  2. 签名hash;签名值;公钥(上级)

步骤1:选取方法(1)进行验证,获取上级证书,也就是2级证书的公钥

数据:

04

efa4b6c12db09f355ab28d84869029f402eb256901b1c064a6e9cc101bf0240c169d61bd4b069e7d7aa78e3d440626724989d497864746c5b15c281c2f074b9f

其中04为标志位,不参与验签计算

长度为64个字节,符合SM2公钥长度

步骤2:使用工具ASN1解析下级证书数据,本次验证选取3级加密证书

根据教材可知,上级证书对下级证书的证书基本域进行签名,获取证书基本域数据

3082034da003020102021067328a0176dadd22f96a06049352d827300a06082a811ccf550183753064310b300906035504061302434e312d302b060355040a0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb83126302406035504030c1de59bbde5af86534d32e69c8de58aa1e599a8e6a0b9e8af81e4b9a65633301e170d3232303332313037333033365a170d3233303332313037333033365a3081ae310b300906035504061302434e3112301006035504080c09e5b9bfe4b89ce79c813112301006035504070c09e6b7b1e59cb3e5b882312d302b060355040a0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb8312d302b060355040b0c24e6b283e9809ae794b5e5ad90e8aea4e8af81e69c8de58aa1e69c89e99990e585ace58fb83119301706035504030c10736d32746573742e6f7673736c2e636e3059301306072a8648ce3d020106082a811ccf5501822d034200045ea83b4aeaa17c5176c5fc8318f93e74fa05242e6e31bbf7ac0c68ab07facfb87190ff1db62f393f57383596a873f37725dd041ae47db9e7fa00b8a4e60f1641a382019430820190300e0603551d0f0101ff040403020520301d0603551d250416301406082b0601050507030106082b0601050507030230090603551d1304023000301d0603551d0e04160414f9f40158b647925571835fc2dfcb1f194489b9fb301f0603551d230418301680148e8668b92cd8aecb2026f65fb63b5a5eea9b9966306506082b0601050507010104593057302206082b060105050730018616687474703a2f2f6f6373702e776f747275732e636f6d303106082b060105050730028625687474703a2f2f6169612e776f747275732e636f6d2f77732d736d322d73736c332e63657230360603551d1f042f302d302ba029a0278625687474703a2f2f63726c2e776f747275732e636f6d2f77732d736d322d73736c332e63726c301b0603551d11041430128210736d32746573742e6f7673736c2e636e30580603551d200451304f3008060667810c010202300906072a811c89982a0d303806092a811c89982a030103302b302906082b06010505070201161d687474703a2f2f7777772e776f747275732e636f6d2f706f6c6963792f

可知上述数据为签名原文

步骤3:获取签名值

使用note工具解析,拆分

已知SM2签名值通过标志为0220和022100拆分R和S

075eb4c4cc64db5fc8fe71bbefc21078834b77e05d241aadcd9e3d9ff8982bb0cdace214639818124b1482d610be75e4ed46a74cd89a45c5e92b2686ed7f85be

步骤4:使用工具Snooper验证

结果为00,表示通过。

[SPDM]SPDM 证书链验证过程详解
元直的博客
06-12 1455
摘要:SPDM协议中的证书链验证是确认设备身份合法性的关键环节。该过程包括设备发送包含根证书、中间证书和设备证书的完整证书链,客户端逐级验证证书签名和有效期,并通过挑战响应机制验证设备私钥的持有性。整个流程采用逐级签名验证、随机数挑战和可信根证书检查等机制,确保防篡改和防中间人攻击。在国密算法环境下,可结合SM2签名验证和SM3哈希算法实现安全验证。该验证机制有效保障了通信设备身份的真实性和数据传输的安全性。
TongWeb8是否支持国密证书链完整校验?
**My Coding Family**
07-07 804
🏆本文收录于 《全栈Bug调优(实战版)》 专栏,该专栏专注于分享我在真实项目开发中遇到的各类疑难Bug及其深层成因,并系统提供高效、可复现的解决思路和实操方案。无论你是刚入行的新手开发者,还是拥有多年项目经验的资深工程师,本专栏都将为你提供一条系统化、高质量的问题排查与优化路径,助力你加速成长,攻克技术壁垒,迈向技术价值最大化与职业发展的更高峰🚀!    📌 特别说明: 文中部分技术问题来源于真实生产环境及网络公开案例,均经过精挑细选与系统化整理,并结合多位一线资深架构师和工程师多年实战经验沉淀,提
验证证书链验证证书链
01-22
验证证书链 检查证书是不是在证书链内的证书下发的。
Certificate chain 证书链
Adrian 博客
06-26 1万+
http://publib.boulder.ibm.com/infocenter/wmqv6/v6r0/index.jsp?topic=/com.ibm.mq.csqzas.doc/sy10600_.htm How certificate chains work   When you receive the certificate for another entity, you mi
密码学实战】openHiTLS verify命令行:证书有效性验证工具
最新发布
开源代码仓:https://gitcode.com/openHiTLS/openhitls
10-14 1052
hitls verify是openHiTLS套件中的X.509证书链验证工具,支持PEM格式证书验证,核心功能包括自动构建证书链、信任锚校验、密钥用法检查及有效期验证。该工具通过--CAfile指定信任锚证书文件,可结合--verbose输出详细验证日志,--nokeyusage跳过密钥用法检查。适用于HTTPS服务部署、物联网设备认证等场景,支持批量验证和错误代码定位。常见问题包括证书格式错误、时间不同步等,建议集成到CI/CD流程实现自动化验证
iOS 中对 HTTPS 证书链验证
weixin_33816821的博客
09-22 722
这篇文章是我一边学习证书验证一边记录的内容,稍微整理了下,共扯了三部分内容: HTTPS 简要原理; 数字证书的内容、生成及验证; iOS 上对证书链验证。 HTTPS 概要 HTTPS 是运行在 TLS/SSL 之上的 HTTP,与普通的 HTTP 相比,在数据传输的安全性上有很大的提升。要了解它安全性的巧妙之处,需要先简单地了解对称加密和非对称加密的区别: ...
RSA证书链验证
一个认真摸鱼的商用密码从业人员
03-20 2659
到这一步基本可以说明,证书链验证通过了,如果觉得不太能确认的话,可以通过对三级证书签名原文hash,验证是否同上述哈希值一致,一致则证明验证通过。因为上图中,可以看到证书使用的签名算法为SHA256,故数据后32字节为哈希值。使用工具解析三级证书,在签名值域中截取上级证书的签名值。使用SHA256算法对签名原文计算哈希,检查是否一致。获取上级证书公钥,使用工具解析二级证书。对比一致,证书链验证通过。
SM2国密证书合法性验证
weixin_34186128的博客
11-14 1035
  通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。   SM2国密证书与RSA证书一样,一般内容都是以BASE...
证书链-证书校验
大力海棠的博客
02-03 9233
先来打开一个网站的证书链看看: 它的结构是,顶端根证书DigiCert,中间证书GeoTrust RSA CA 2018,和最下级的服务器证书*.youkuaiyun.com。为什么会有中间证书?原因上一篇日志说过,由于权威的CA机构数量不多,如果所有的服务器申请证书都将CSR证书请求文件发送到CA机构,那么CA机构的工作量就会非常大,因此CA机构采取授权二级机构的方式来管理证书申请,经授权的二级机构也...
使用国密算法数字证书的验证签名
01-22
给定两个数字证书,其中一个数字证书给另一个数字证书签名,签名算法为国密算法。文档中给出了证书解析的结果及所有有关的数据,详细说明了签名的过程,感兴趣的可以关注一下,值得一看。数据详细,不需要其它的任何数据。
国密数字证书验证-SM2、SM3、SM4
11-22
2. 验证证书链:逐级向上验证所有中间证书直至根证书,确保每个证书都由上一级的CA签名,并且证书没有过期。 3. 验证证书主体:核对证书中的主体信息(如域名、组织名等)是否与预期通信方相符。 4. 验证证书吊销...
java 国密算法实现包含SM2 SM3 SM4和数字签名、数字证书的验证
05-05
java 国密算法实现,包含SM2 SM3 SM4和数字签名、数字证书的验证以及相应的说明文档
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性
12-11
p7b证书链验证工具-结合SM2证书验证工具用于验证SM2 p7b证书链的真实性 0.306版本:解决了Win10系统下程序与证书链不同盘会闪退的问题 程序属性:需要安装OpenssL64环境 0.309:可验证二进制p7b链、PEM格式p7b链、...
一文详解 HTTPS 与 TLS证书链校验
赶路人儿
11-07 1万+
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议,是一种通过计算机网络进行安全通信的传输协议。HTTPS利用SSL/TLS来加密数据包,经由HTTP进行通信。其设计的主要目的是,提供对网站服务器的身份认证、保护交换数据的隐私与完整性。SSL/TLS握手协商:用非对称加密的手段传递密钥,然后用密钥进行对称加密传递数据。
ssl证书链验证的其它方式
TCP/IP
04-01 7907
<!--v/:* {behavior:url(#default#VML);}o/:* {behavior:url(#default#VML);}w/:* {behavior:url(#default#VML);}.shape {behavior:url(#default#VML);}--> Normal 0 7.8 磅 0 2
ec java sm2证书_SM2国密证书合法性验证
weixin_39637059的博客
12-24 958
通常我们遇到过的X509证书都是基于RSA-SHA1算法的,目前国家在大力推行国密算法,未来银行发行的IC卡也都是基于PBOC3.0支持国密算法的,因此我们来学习一下如何验证SM2国密证书的合法性。至于SM2与SM3的算法实现不在本文讨论范围之内,可以用openssl、BouncyCastle.Crypto.dll等第三方库来实现。SM2国密证书与RSA证书一样,一般内容都是以BASE64格式编码...
国密SM2证书的有效性验证
热门推荐
liyong314159265的专栏
01-09 1万+
通常的X509证书是国际通用的RSA证书,现在国家推出了自己的加密算法,SM2算法,本文根据自己工作中遇到的情况,试图讲一下国密SM证书的有效性验证。 证书在本地存储一般是DER(二进制)格式的,网络传输则是base64格式,需要解码。           可以用Asn1View工具查看二进制文件的十六进制格式,查看证书可以看到 SM2证书是TLV格式的,分为三大模块,第一模块是证书的实际
密信浏览器添加信任根、国密Key双向认证(测试)
Oh~Why not!
03-17 3276
密信浏览器 信任根 国密Key双向认证
https网站访问/检测 显示“证书链不完整”
qq_36849161的博客
03-10 757
HTTPS 证书链不完整通常是由于服务器在配置 SSL/TLS 证书时,未能正确提供完整的证书链(Certificate Chain)所导致的。
python国密证书
06-30
在Python中处理国密证书通常需要依赖特定的库来实现对SM2/SM3/SM4等国密算法的支持。由于标准的OpenSSL模块对国密算法的支持有限,因此需要借助第三方库或对现有库进行扩展以满足需求。 一种解决方案是使用`cryptography`库,这是一个为Python开发者设计的强大且易于使用的加解密原语库[^1]。该库已经支持了包括SM2在内的国密算法,允许用户执行诸如生成密钥对、签名和验证操作、加密和解密等功能。要使用`cryptography`库中的国密算法特性,确保安装的是最新版本,并且可能需要特定于供应商的补丁或者配置才能完全启用所有国密功能。 另一个选项是利用`PyOpenSSL`,它是基于OpenSSL的一个Python接口。然而,需要注意的是,默认情况下`PyOpenSSL`并不直接支持国密算法。为了使`PyOpenSSL`能够解析国密证书,可能需要应用一些自定义修改或是采用已经打了相应补丁的OpenSSL版本[^2]。此外,在某些情况下,如果使用的Wireshark版本不够新,则无法正确导出PCAP文件中的国密证书,这也意味着即使是非Python环境下的分析工具链也需要更新以适应国密标准。 对于希望集成更全面国密算法支持的应用程序来说,可以考虑从OpenSSL移植相关的代码片段[^3]。尽管如此,这种方法涉及较高的工作量并且不保证能被社区接受,所以通常不是首选方案。 最后,如果你打算配置HTTPS服务并启用国密算法(例如通过Nginx),你可以参考OpenSSL命令行工具生成SM2证书的过程以及相应的Nginx配置示例[^4]。虽然这一步骤本身不属于Python范畴,但这些证书可以在Python Web框架或其他网络组件中被用来建立安全连接。 综上所述,针对Python中处理国密证书的需求,推荐优先尝试使用`cryptography`库;若有必要,再评估是否对其他库如`PyOpenSSL`进行定制化开发,同时注意保持整个技术栈与国密标准的一致性。 ```python # 示例:使用 cryptography 库生成 SM2 密钥对 from cryptography.hazmat.primitives.asymmetric import ec from cryptography.hazmat.backends import default_backend # 使用 SM2 曲线创建私钥 private_key = ec.generate_private_key(ec.SECP384R1(), default_backend()) public_key = private_key.public_key() print("Private Key:", private_key) print("Public Key:", public_key) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值