cryptoapi和openssl

Question

我正在尝试使用cryptoapi和一些X.509证书对文件进行加密和签名。我想用openssl验证和解密这个文件。

在windows上，我认为我需要使用CryptSignAndEncryptMessage函数来加密和签名数据。我使用this example from MSDN创建了一个经过签名和加密的消息。

如何使用openssl解密/验证此文件？我从消息中删除了前4个字节，因为它包含消息的长度(来自windows blob)。当我调用openssl时，我得到的some output表明它是openssl可以解析的。

在尝试使用openssl验证签名时，我收到一个错误：

openssl rsautl -verify -inkey AlonsoCert.pem -keyform pem -certin -in sandvout-without-4byte.txt
RSA operation error
3073579208:error:0406706C:rsa routines:RSA_EAY_PUBLIC_DECRYPT:data greater than mod len:rsa_eay.c:680:

Answer 1

CryptSignAndEncrypt消息似乎使用带有空ASN.1参数字段的RC4密码，并且查看OpenSSL源代码，openssl在尝试生成IV (这不是RC4所需的)上卡住了。

尝试在CryptAndSignMessage中使用其他密码(例如AES)。无论如何，RC4是非常老的、不安全的和过时的。

Answer 2

您的ASN.1 dump information显示您已经从您的CryptoAPI代码创建了一个PKCS#7 CMS输出。因此，您无法使用基本的OpenSSL解密和验证方法。

请改用模式：

openssl cms -decrypt -inform DER -in sandvout-without-4byte.txt 
    -out decrypted.bin -recip testkey.pfx

(注意:我以前没有使用过这种模式，所以我认为我建议的语法是正确的。无论哪种方式，这应该是朝着解决这个问题的正确方向迈出的一步。)

Answer 3

尝试使用openssl smime验证和/或解密。语法相当简单，但您可以在此处找到相关信息：http://www.openssl.org/docs/apps/smime.html