我想知道如何验证我创建的签名。我创建签名的代码类似这个: HMAC-SHA1: How to do it properly in Java?。
我发送消息、签名和公钥来验证签名。公钥和私钥是使用KeyPairGenerator生成的。我该如何使用我的公钥验证我的签名?或者你可以建议一些好的Java库,用于签名和验证使用HMAC SHA1的签名吗?
首先澄清一下,HMAC代码不生成签名。它是一种消息认证码(MAC)。
后面的链接这样解释了签名和MAC之间的区别:
MAC(Message Authentication Code)与数字签名不同,因为使用相同的密钥进行生成和验证。这意味着在启动通信之前,消息的发送方和接收方必须达成一致,使用相同的密钥,就像对称加密一样。出于同样的原因,在网络范围共享密钥的情况下,MACs无法提供数字签名所提供的不可否认属性:可以验证MAC的任何用户也能够为其他消息生成MAC。相反,数字签名是使用密钥对的私钥生成的,即非对称加密。由于此私钥仅对其持有者可用,因此数字签名证明文档是由该持有者签署的。因此,数字签名确实提供了不可否认性。但是,将密钥使用信息安全地绑定到MAC密钥的系统可以提供不可否认性。两个人拥有相同的密钥,但其中一个人拥有可用于MAC生成的密钥副本,而另一个人则拥有硬件安全模块中的密钥副本,只允许进行MAC验证。这在金融行业中很常见。 NONEwithRSA Signature算法,因为输入已经是SHA-1哈希。或者,您可以使用 SHA1withRSA 算法再次进行哈希。只要使用相同的算法生成签名并进行验证,就应该没有问题。
byte[] data = hmac.getBytes("UTF-8");
Signature mySig = Signature.getInstance("NONEwithRSA");
mySig.initSign(myPrivateKey);
mySig.update(data);
byte[] sigBytes = mySig.sign();
// And to verify.
Signature mySig2 = Signature.getInstance("NONEwithRSA");
mySig2.initVerify(myPublicKey);
boolean isSigValid = mySig2.verify(sigBytes);