BouncyCastle C库中RSA签名实现差异分析

背景介绍

BouncyCastle是一个广泛使用的加密库，提供了多种加密算法的实现。在C#版本2.6.0中，RSA签名实现发生了一些变化，导致部分原有代码无法正常工作。本文将深入分析这一变化的原因，并提供正确的实现方式。

问题现象

在BouncyCastle C# 2.6.0版本中，使用NoneWithRSA签名器对数据进行签名时，可能会抛出"failed to construct sequence from byte[]: long form definite-length more than 31 bits"异常。而在2.5.1版本中，同样的代码可以正常工作。

技术分析

RSA签名流程

标准的RSA签名通常包含以下步骤：

1. 对原始数据进行哈希计算
2. 创建包含哈希算法和哈希值的DigestInfo ASN.1结构
3. 对DigestInfo结构进行DER编码
4. 对DER编码结果执行RSA运算

版本差异

在2.5.1版本中，NoneWithRSA签名器会直接对输入数据执行RSA运算，不做任何验证。而在2.6.0版本中，增加了对输入数据是否为有效DigestInfo编码的验证，这是更安全的行为。

OpenSSL兼容性问题

OpenSSL的rsautl -sign命令实际上只应用PKCS#1 v1.5填充(不带DigestInfo编码)，这与BouncyCastle的NoneWithRSA签名器在2.6.0版本中的行为不兼容。

解决方案

通用解决方案

如果需要完全模拟OpenSSL的rsautl -sign行为，可以使用以下代码：

ISigner signer = new GenericSigner(new Pkcs1Encoding(new RsaBlindedEngine()), new NullDigest());

特定哈希算法解决方案

如果已知要签名的数据是SHA-256哈希值，可以使用：

ISigner signer = new GenericSigner(
    new Pkcs1Encoding(new RsaBlindedEngine()), 
    new Prehash.ForDigest(new Sha256Digest()));

包含哈希计算的签名

如果希望将哈希计算作为签名过程的一部分，可以使用：

ISigner signer = new GenericSigner(
    new Pkcs1Encoding(new RsaBlindedEngine()), 
    new Sha256Digest());

最佳实践建议

1. 对于新项目，建议直接使用SHA256withRSA等标准签名算法，而不是NoneWithRSA
2. 如果需要与OpenSSL兼容，使用上述提供的解决方案
3. 考虑使用更现代的签名算法如Ed25519，它们通常更安全且实现更简单

总结

BouncyCastle C# 2.6.0版本对RSA签名的实现进行了安全增强，这可能导致部分原有代码需要调整。理解RSA签名的内部机制有助于开发者选择正确的实现方式。本文提供的解决方案可以帮助开发者在不同场景下实现正确的RSA签名功能。