怎样用OpenSSL进行数字签名验证

使用OpenSSL进行数字签名验证的步骤如下：

准备工作

1. 获取公钥：

   • 确保你有签名者的公钥文件（通常是.pem或.crt格式）。

2. 获取签名和原始数据：

   • 签名文件（通常是.sig或.bin格式）。
   • 原始数据文件（可以是任何文本或二进制文件）。

3. 安装OpenSSL：

   • 如果尚未安装，请根据你的操作系统进行安装。例如，在Ubuntu上可以使用以下命令：

     sudo apt-get update
     sudo apt-get install openssl
     

验证步骤

方法一：使用命令行

1. 打开终端。

2. 运行验证命令： 使用以下命令格式进行验证：

   openssl dgst -verify public_key.pem -signature signature_file.sig original_data_file
   

   其中：

   • public_key.pem 是签名者的公钥文件。
   • signature_file.sig 是签名文件。
   • original_data_file 是原始数据文件。

3. 查看输出：

   • 如果验证成功，输出将显示“Verified OK”。
   • 如果验证失败，输出将显示错误信息。

方法二：使用脚本自动化

如果你需要频繁进行验证，可以编写一个简单的脚本来自动化这个过程。以下是一个示例Bash脚本：

#!/bin/bash

# 参数检查
if [ "$#" -ne 3 ]; then
    echo "Usage: $0 <public_key.pem> <signature_file.sig> <original_data_file>"
    exit 1
fi

PUBLIC_KEY=$1
SIGNATURE=$2
ORIGINAL_DATA=$3

# 执行验证
openssl dgst -verify $PUBLIC_KEY -signature $SIGNATURE $ORIGINAL_DATA

# 检查退出状态
if [ $? -eq 0 ]; then
    echo "Verification successful."
else
    echo "Verification failed."
fi

将上述脚本保存为verify_signature.sh，然后赋予执行权限并运行：

chmod +x verify_signature.sh
./verify_signature.sh public_key.pem signature_file.sig original_data_file

注意事项

• 确保所有文件路径正确无误。
• 如果原始数据文件很大，可以考虑使用-binary选项来避免文本模式下的换行符问题。
• 在某些情况下，可能需要指定哈希算法（如SHA256），可以使用-sha256等选项。

通过以上步骤，你应该能够成功地使用OpenSSL进行数字签名验证。