xmlsec 库 - 获取签名密钥的主题
xmlsec library - obtain subject of signing key
我正在使用 xmlsec 网页上提供的 xmlsec library to verify the signature of an SAML assertion. My code is almost identical to the verify4.c 示例。
我正在链接 xmlsec-openssl 库,因此使用 openssl 作为加密引擎。
我原以为 xmlsec 只有在使用我加载到密钥管理器中的特定证书之一签名时才会认为签名有效。
但是,如果使用任何可以由 openssl 验证的证书签名,签名似乎被认为是有效的。这意味着有人可以通过从受信任的根 CA 购买证书并使用它来签署他们想要的任何响应来伪造 SAML 响应。
不仅如此,库提供的 xmlsec1 命令行工具似乎也做同样的事情:
xmlsec1 --verify --dtd-file saml.dtd --pubkey-cert-pem my_cert.cer sample_saml_assertion.xml
...
OK
SignedInfo References (ok/all): 1/1
Manifests References (ok/all): 0/0
实际上,在理想情况下,我很乐意使用任何有效的签名密钥,只要我能识别密钥的主题并因此确认它是由我期望的实体签名的。当 SAML 响应的发送者更改他们的签名密钥时,这将简化事情。但是我一直无法找到一种简单的方法来提取用于验证签名的证书的详细信息。
否则,我可以让它只接受我在验证签名时指定的证书吗?
在写问题时我意识到我没有尝试过 xmlsec1 的 --print-debug 选项。当我尝试时,我发现它确实打印了用于验证签名的证书的主题和颁发者。
这让我意识到信息必须存在,所以这是一个如何访问它的问题。通过代码追踪,我能够编写这个小片段来完成这个任务:
/* If signature is valid, then the list dsigCtx->signKey contains
the signing key, data dsigCtx->signKey->dataList contains the certificate */
xmlSecPtrListPtr keyDataList = dsigCtx->signKey->dataList;
/* Iterate through the data list to find the X509 cert */
xmlSecSize n = xmlSecPtrListGetSize(keyDataList);
xmlSecSize i;
for (i=0; i<n; i++) {
xmlSecKeyDataPtr item = xmlSecPtrListGetItem(keyDataList, i);
if (xmlSecKeyDataIsValid(item) && xmlSecKeyDataCheckId(item, xmlSecOpenSSLKeyDataX509Id)) {
/* Extract openssl cert */
X509* cert = xmlSecOpenSSLKeyDataX509GetKeyCert(item);
char cn_buff[256];
if(cert != NULL) {
/* Get the CN */
X509_NAME * subject_name = X509_get_subject_name(cert);
int nid_cn = OBJ_txt2nid("CN");
X509_NAME_get_text_by_NID(subject_name, nid_cn, cn_buff, 255);
/* Here you would compare it to the expected certificate */
fprintf(stdout, "CN=%s\n", cn_buff);
} else {
fprintf(stdout, "Failed to obtain signing key cert\n");
}
}
}
要获得如此基础的东西,这似乎是一种非常复杂的方法,所以我相信一定有更简单的方法。
我正在使用 xmlsec 网页上提供的 xmlsec library to verify the signature of an SAML assertion. My code is almost identical to the verify4.c 示例。
我正在链接 xmlsec-openssl 库,因此使用 openssl 作为加密引擎。
我原以为 xmlsec 只有在使用我加载到密钥管理器中的特定证书之一签名时才会认为签名有效。
但是,如果使用任何可以由 openssl 验证的证书签名,签名似乎被认为是有效的。这意味着有人可以通过从受信任的根 CA 购买证书并使用它来签署他们想要的任何响应来伪造 SAML 响应。
不仅如此,库提供的 xmlsec1 命令行工具似乎也做同样的事情:
xmlsec1 --verify --dtd-file saml.dtd --pubkey-cert-pem my_cert.cer sample_saml_assertion.xml
...
OK
SignedInfo References (ok/all): 1/1
Manifests References (ok/all): 0/0
实际上,在理想情况下,我很乐意使用任何有效的签名密钥,只要我能识别密钥的主题并因此确认它是由我期望的实体签名的。当 SAML 响应的发送者更改他们的签名密钥时,这将简化事情。但是我一直无法找到一种简单的方法来提取用于验证签名的证书的详细信息。
否则,我可以让它只接受我在验证签名时指定的证书吗?
在写问题时我意识到我没有尝试过 xmlsec1 的 --print-debug 选项。当我尝试时,我发现它确实打印了用于验证签名的证书的主题和颁发者。
这让我意识到信息必须存在,所以这是一个如何访问它的问题。通过代码追踪,我能够编写这个小片段来完成这个任务:
/* If signature is valid, then the list dsigCtx->signKey contains
the signing key, data dsigCtx->signKey->dataList contains the certificate */
xmlSecPtrListPtr keyDataList = dsigCtx->signKey->dataList;
/* Iterate through the data list to find the X509 cert */
xmlSecSize n = xmlSecPtrListGetSize(keyDataList);
xmlSecSize i;
for (i=0; i<n; i++) {
xmlSecKeyDataPtr item = xmlSecPtrListGetItem(keyDataList, i);
if (xmlSecKeyDataIsValid(item) && xmlSecKeyDataCheckId(item, xmlSecOpenSSLKeyDataX509Id)) {
/* Extract openssl cert */
X509* cert = xmlSecOpenSSLKeyDataX509GetKeyCert(item);
char cn_buff[256];
if(cert != NULL) {
/* Get the CN */
X509_NAME * subject_name = X509_get_subject_name(cert);
int nid_cn = OBJ_txt2nid("CN");
X509_NAME_get_text_by_NID(subject_name, nid_cn, cn_buff, 255);
/* Here you would compare it to the expected certificate */
fprintf(stdout, "CN=%s\n", cn_buff);
} else {
fprintf(stdout, "Failed to obtain signing key cert\n");
}
}
}
要获得如此基础的东西,这似乎是一种非常复杂的方法,所以我相信一定有更简单的方法。