Java验签踩坑记：当SHA256withRSA/PSS遇到只有摘要没有原文时怎么办？

Java验签实战：当SHA256withRSA/PSS遭遇仅有摘要的挑战

最近在对接一个外部支付系统时，遇到了一个颇为棘手的签名验证问题。对方使用C#平台，采用SHA256withRSA/PSS算法生成签名，但传给我们Java端的参数只有SHA256摘要和签名值，没有原始数据。按照常规思路，Java的Signature.verify()方法需要传入原始数据，这让我陷入了困境——没有原文，怎么验签？

这不仅仅是技术实现的问题，更涉及到跨平台协作中的协议设计差异。很多开发者在遇到类似场景时，第一反应是“Java应该能直接处理”，但实际深入后发现，Java标准库的设计哲学与这种特定需求存在微妙的不匹配。本文将分享我如何绕过这个限制，并深入探讨背后的原理和多种解决方案。

1. 理解SHA256withRSA/PSS的验签困境

1.1 算法组合的独特之处

SHA256withRSA/PSS不是简单的“先哈希再加密”。PSS（Probabilistic Signature Scheme）是一种概率性签名方案，与传统的PKCS#1 v1.5填充有本质区别。

PSS的核心特点：

• 随机盐值：每次签名都会生成随机盐，即使对同一数据多次签名，结果也不同
• 编码结构：包含MGF（掩码生成函数）和特定的编码流程
• 安全性证明：在随机预言机模型下可证明安全

// Java标准库中典型的验签代码（需要原文）
public boolean standardVerify(byte[] data, byte[] signature, PublicKey publicKey) 
    throws Exception {
    Signature sig = Signature.getInstance("SHA256withRSA/PSS");
    sig.initVerify(publicKey);
    sig.update(data);  // 这里需要原始数据！
    return sig.verify(signature);
}

问题就出在sig.update(data)这一步——如果你只有摘要，没有data，这个方法就走不通。

1.2 Java API的设计限制

Java安全体系的设计遵循“完整验签流程”的原则。Signature类的工作流程是：

1. 初始化验证器
2. 传入原始数据（通过update()方法）
3. 内部计算摘要
4. 验证签名

这个设计在大多数情况下是合理的，但当我们只有摘要时，就遇到了障碍。Signature类没有提供verify(byte[] digest, byte[] signature)这样的方法重载。

为什么Java不提供直接验证摘要的API？

• 安全性考虑：防止摘要替换攻击
• 算法完整性：确保签名算法完整执行
• 历史兼容性：保持API简洁统一

注意：有些第三方库（如Bouncy Castle）提供了更灵活的低级API，但标准Java Cryptography Architecture (JCA) 没有暴露这个功能。

2. OpenSSL命令行方案：实用但笨重

当标准路径走不通时，我首先想到的是借助外部工具。OpenSSL作为密码学工具箱的瑞士军刀，提供了丰富的命令行接口。

2.1 完整的Java+OpenSSL实现

下面是我最初实现的解决方案，虽然不够优雅，但确实有效：

import org.bouncycastle.util.io.pem.*;

public class DigestOnlyVerifier {
    private static final String TEMP_DIR = "/tmp/verify_";
    private static final Logger LOG = LoggerFactory.getLogger(DigestOnlyVerifier.class);
    
    /**
     * 使用OpenSSL验证仅提供摘要的签名
     * @param hexDigest 十六进制格式的SHA256摘要
     * @param hexSignature 十六进制格式的签名
     * @param publicKeyPem PEM格式的公钥字符串
     * @return 验证结果
     */
    public boolean verifyWithOpenSSL(String hexDigest, String hexSignature, 
                                    String publicKeyPem) {
        Path tempDir = null;
        try {
            // 1. 创建临时工作目录
            tempDir = Files.createTempDirectory("verify_");
            
            // 2. 将摘要写入文件（原始字节，不是十六进制字符串）
            byte[] digestBytes = hexToBytes(hexDigest);
            Path digestFile = tempDir.resolve("digest.bin");
            Files.write(digestFile, digestBytes);
            
            // 3. 将签名写入文件
            byte[] signatureBytes = hexToBytes(hexSignature);
            Path signatureFile = tempDir.resolve("signature.bin");
            Files.write(signatureFile, signatureBytes);
            
            // 4. 将公钥写入PEM文件
            Path keyFile = tempDir.resolve("public.pem");
            Files.writeString(keyFile, publicKeyPem);
            
            // 5. 构建OpenSSL命令
            String command = String.format(
                "openssl pkeyutl -verify -pubin -inkey %s " +
                "-sigfile %s -in %s " +
                "-pkeyopt rsa_padding_mode:pss " +
                "-pkeyopt rsa_pss_saltlen:32 " +
                "-pkeyo