OpenSSL中PKCS7_sign和CMS_sign默认摘要算法的文档错误解析

在OpenSSL密码学库中，PKCS7_sign和CMS_sign这两个函数用于创建数字签名。根据官方文档描述，这两个函数在没有明确指定摘要算法时，会使用签名算法的默认摘要算法，并且文档中声称对于RSA和DSA密钥，默认摘要算法都是SHA1。

然而，经过深入代码分析发现，这一文档描述实际上已经过时且不准确。自2016年OpenSSL代码库中的一次重要提交（44e0c2bae4bfd87d770480902618dbccde84fd81）以来，默认摘要算法的行为已经发生了变化。

技术实现上，PKCS7_sign和CMS_sign函数内部实际上调用的是EVP_PKEY_get_default_digest_nid函数来获取默认摘要算法。这个函数在近十年来对于RSA和DSA密钥返回的默认摘要算法都是SHA-256，而非文档中声称的SHA1。

这种文档与实现不一致的情况可能会给开发者带来困惑，特别是在处理向后兼容性或安全审计时。SHA-256作为更安全的哈希算法，其摘要长度更长，抗碰撞性更强，因此OpenSSL将其设为默认值是合理的，但文档未能及时跟进这一变更。

对于开发者而言，了解这一细节非常重要：

1. 如果依赖默认摘要算法，实际得到的是SHA-256而非SHA1
2. 在需要明确使用特定摘要算法时，应该显式指定而非依赖默认值
3. 在安全敏感的上下文中，应该定期检查所使用的摘要算法是否符合预期

OpenSSL团队已经注意到这个问题，并在最新版本中更新了文档以反映实际的默认行为。这一变更也向后移植到了多个稳定版本分支中，包括3.0、3.2、3.3、3.4和3.5版本。

这一案例也提醒我们，在使用开源加密库时，除了参考官方文档外，还应该：

• 关注代码实现细节
• 了解关键函数的实际行为
• 注意版本间的行为变化
• 在安全关键场景中进行充分的测试验证

密码学实现中的此类细节差异虽然微小，但在安全上下文中可能产生重大影响，值得开发者特别关注。