Функция c2i_ASN1_INTEGER в Openssl 1.1.0
Недавно я обновил openssl с 1.0.2n до 1.1.0g в системе Linux.
Раньше я использовал
ASN1_INTEGER *c2i_ASN1_INTEGER(ASN1_INTEGER **a, const unsigned char **pp, long len) функция. Поскольку эта функция удалена в openssl 1.1.0, теперь я заменил ее на
ASN1_INTEGER *d2i_ASN1_UINTEGER(ASN1_INTEGER **a, const unsigned char **pp, long length) .
Теперь, когда я запускаю свое приложение, я получаю предупреждение как
Warning:0:-- SSL Error queue report --
Warning:0: - asn1 encoding routines|d2i_ASN1_UINTEGER|expecting an integer:218718323
Каково решение этой проблемы?
Ответы 2
Кодирование ASN.1 INTEGER (как BER или DER) состоит из 1 или более октетов «идентификатора» (обычно 1), за которыми следует 1 или более октетов «длины», за которыми следуют октеты «содержимого» (длина которых определяется предыдущими октетами «длины»).
Функция c2i_ASN1_INTEGER предполагает, что вы уже проанализировали октеты «идентификатор» и «длина» и конвертирует байты «содержимого» в целое число. Это было удалено из OpenSSL 1.1.0, поскольку это считается операцией синтаксического анализа очень низкого уровня, которую приложения не должны вызывать напрямую.
Функция d2i_ASN1_UINTEGER не является прямой заменой c2i_ASN1_INTEGER. Он анализирует все целое число (включая октеты «идентификатор» и «длина»). Если вы передадите ему только октеты содержимого, он будет интерпретировать первый байт как октет «идентификатор». Это, вероятно, будет иметь неправильное значение для целого числа, поэтому, вероятно, поэтому вы видите ошибку «ожидание целого числа».
Вам нужно будет переписать свой код, чтобы передать целое число в d2i_ASN1_UINTEGER.
Это очень сложный вопрос. По сути, чтобы заменить c2i_ASN_INTEGER на d2i_ASN1_UINTEGER, вам нужно удалить любой код, который у вас был для анализа идентификатора и длины. Поскольку я не знаю, как выглядит ваш код, я не могу посоветовать, как убрать этот синтаксический анализ.
Хорошо Спасибо за ответ. Я думал, что может быть новый API для разбора. В любом случае попробую. Спасибо еще раз
@Matt Согласно этой статье objc.io/issues/17-security/receipt-validation Как заставить d2i_ASN1_UINTEGER работать с openssl выше 1.1.0? Спасибо
Это действительно отдельный вопрос, который, вероятно, не относится к разделу комментариев этого ответа.
Используйте d2i_ASN1_UINTEGER, только если вы ожидаете положительное целое число, в противном случае используйте d2i_ASN1_INTEGER.
здесь также решение https://stackoverflow.com/a/66932816/11079607
Вот пример кода, использующего c2i_ASN1_INTEGER().
ASN1_get_object(&ptr, &length, &type, &xclass, end - ptr);
if (type == V_ASN1_INTEGER) {
integer = c2i_ASN1_INTEGER(NULL, &ptr, length);
value = ASN1_INTEGER_get(integer);
ASN1_INTEGER_free(integer);
// do something with value
} else
ptr += length;
Вот как я изменил код, чтобы вместо этого использовать d2i_ASN1_UINTEGER().
save_ptr = ptr;
ASN1_get_object(&ptr, &length, &type, &xclass, end - ptr);
if (type == V_ASN1_INTEGER) {
ptr = save_ptr;
integer = d2i_ASN1_UINTEGER(NULL, &ptr, end - ptr);
value = ASN1_INTEGER_get(integer);
ASN1_INTEGER_free(integer);
// do something with value
} else
ptr += length;
Сначала я сохранил ptr в save_ptr. ASN1_get_object() принимает ptr, указывающий на начало BER/DER. ASN1_get_object() обновляет ptr, чтобы он указывал на содержимое. c2i_ASN1_INTEGER() принимает ptr, указывающий на содержимое, продвигает ptr за пределы содержимого, чтобы указать на начало следующего BER/DER, и возвращает ASN1_INTEGER. Теперь d2i_ASN1_UINTEGER() тоже возвращает ASN1_INTEGER, но ей нужно взять ptr, указывающий на начало BER/DER. Поэтому я просто вернул ptr его значение до вызова ASN1_get_object(). d2i_ASN1_UINTEGER() принимает ptr, указывающий на начало BER/DER, продвигает ptr к началу следующего BER/DER и возвращает ASN1_INTEGER.
Отличное объяснение. Отлично сработало для меня. Спасибо, KGBird.
Привет @Matt Спасибо за ваш ответ. Просматривая некоторые ссылки, я подумал, что могу напрямую заменить c2i функцией d2i. Можете ли вы предложить мне код, как анализировать идентификатор и длину из целого числа.