免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 程序设计 › C/C++ › openssl的一个bug?

12 / 2 页下一页

最近访问板块

发新帖

查看: 4721 | 回复: 14

上一主题

下一主题

[算法] openssl的一个bug? [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2012-10-10 16:03 |只看该作者 |倒序浏览

本帖最后由 osmanthusgfy 于 2012-10-10 16:03 编辑

我写一段DSA签名算法的测试demo:

#include <openssl/dsa.h>
int main( int argc, char** argv )
{
unsigned char plaintext[] = "hhhhhhhhjjjjjjjjkkkkkkkwwwwwqqqqvvvvx" ;
unsigned char* sig;
unsigned int siglen;
DSA* dsa = DSA_generate_parameters( 1024, NULL, 0, NULL, NULL, NULL, NULL );
DSA_generate_key( dsa );
sig = (unsigned char*)malloc( DSA_size(dsa) );
if ( NULL == sig ) {
DSA_free( dsa );
return 1;
}
int ret = DSA_sign( 0, plaintext, strlen( (char*)plaintext ), sig, &siglen, dsa );
if ( ret == 0 ) {
free( sig );
DSA_free( dsa );
return 1;
}
uint8_t str[] = "hhhhhhhhjjjjjjjjkkkkkkkwwwwwqqqqvvvvx";
ret = DSA_verify( 0, str, strlen( (char*)str ), sig, siglen, dsa);
if ( 1 == ret ) {
printf( "yes\n" );
} else {
printf( "no\n" );
}
free( sig );
DSA_free( dsa );
return 0;
}

复制代码

在调用DSA_verify的时候, str和plaintext一样的时候, 验证肯定通过,
于是我分别将str改成"hhhhhhhhjjjjjjjjkkkkkkkwwwwwqqqqvvvvxabc", "hhhhhhhhjjjjjjjjkkkkkkkkwwwwwqqqqvvvvx",
"hhhhhhhhjjjjjjjjkkkkkkkwwwwwqqqqqvvvvx", "hhhhhhhhjjjjjjjjkkkkkkkwwwwwqqqqvvvvvx"
之类, 验证依旧通过. 按道理, 我把原文都改了, 为什么签名依旧通过了?
是我的代码有问题? 还是这真的是一个bug?

我使用的是版本: openssl-1.0.1c

文库|博客

论坛徽章:: 0

2楼 [报告]

发表于 2012-10-11 13:18 |只看该作者

没人研究过，自己再顶下.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

3楼 [报告]

发表于 2012-10-11 18:23 |只看该作者

报告:
我用同样方法测试了下openssl ECDSA, 同样有此问题.

我总结下: 签名的内容不变(可以理解为密文), 原文在某些情况被篡改, DSA检验依旧通过.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

4楼 [报告]

发表于 2012-10-11 19:56 |只看该作者

这两个算法没试过

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2012-10-11 19:57 |只看该作者

你试下rsa算法，如果还一样，那肯定是你的代码有问题

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

6楼 [报告]

发表于 2012-10-11 19:58 |只看该作者

openssl不太可能出问题

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2012-10-11 20:10 |只看该作者

strlen( (char*)str ),

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

8楼 [报告]

发表于 2012-10-11 20:11 |只看该作者

挺别扭的，用sizeof吧

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

9楼 [报告]

发表于 2012-10-11 20:11 |只看该作者

也许就这个问题

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

10楼 [报告]

发表于 2012-10-11 20:12 |只看该作者

openssl不可能出这个问题的额

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

发新帖

Chinaunix › 论坛 › 程序设计 › C/C++ › openssl的一个bug?

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP