Go语言openpgp库用户ID签名无效问题深度解析与解决方案

程序猿 • 2025年12月16日 19:54:43 • 好文分享 • 阅读 0

本文深入探讨go语言中`go.crypto/openpgp`库在进行openpgp用户id签名时生成“坏签名”的问题。核心原因是库内部`signuserid()`实现存在缺陷，错误地使用了密钥签名算法而非用户id签名算法。文章将分析问题根源，并提供解决方案，包括迁移至最新库版本和加强错误处理，以确保生成有效的pgp签名。

Go语言OpenPGP用户ID签名问题概述

在使用Go语言的go.crypto/openpgp库尝试使用私钥签名公钥（特别是其用户ID）时，开发者可能会遇到一个令人困惑的问题：生成的PGP签名在通过GnuPG等外部工具验证时，会被报告为“坏签名”（bad Signature）。这通常意味着签名数据不符合OpenPGP规范，或者使用了错误的算法或数据结构。

以下是一个典型的Go语言实现，旨在从ASCII armored格式的公钥和私钥中读取并进行用户ID签名：

package mainimport (    "bytes"    "code.google.com/p/go.crypto/openpgp"    "code.google.com/p/go.crypto/openpgp/armor"    "code.google.com/p/go.crypto/openpgp/packet"    "fmt")// SignPubKeyPKS 接收ASCII armored格式的公钥、私钥和私钥密码，返回ASCII armored格式的已签名公钥。func SignPubKeyPKS(asciiPub string, asciiPri string, pripwd string) (asciiSignedKey string) {    // 获取私钥实体    _, priEnt := getPri(asciiPri, pripwd)    // 获取公钥实体    _, pubEnt := getPub(asciiPub)    // 提取用户ID字符串    usrIdstring := ""    for _, uIds := range pubEnt.Identities {        usrIdstring = uIds.Name        break // 假设只有一个用户ID或只签名第一个    }    fmt.Println("尝试签名用户ID:", usrIdstring)    // 签名用户ID    errSign := pubEnt.SignIdentity(usrIdstring, &priEnt, nil)    if errSign != nil {        fmt.Println("签名用户ID失败:", errSign.Error())        return ""    }    // 将签名后的公钥实体转换为ASCII armored格式    asciiSignedKey = PubEntToAsciiArmor(pubEnt)    return asciiSignedKey}// getPub 从ASCII armored格式字符串中解析出公钥和实体func getPub(asciiPub string) (pubKey packet.PublicKey, retEntity openpgp.Entity) {    read1 := bytes.NewReader([]byte(asciiPub))    entityList, errReadArm := openpgp.ReadArmoredKeyRing(read1)    if errReadArm != nil {        fmt.Println("读取公钥失败:", errReadArm.Error())        return    }    if len(entityList) == 0 {        fmt.Println("未找到公钥实体")        return    }    for _, pubKeyEntity := range entityList {        if pubKeyEntity.PrimaryKey != nil {            pubKey = *pubKeyEntity.PrimaryKey            retEntity = *pubKeyEntity            break        }    }    return}// getPri 从ASCII armored格式字符串中解析出私钥和实体，并解密func getPri(asciiPri string, pripwd string) (priKey packet.PrivateKey, priEnt openpgp.Entity) {    read1 := bytes.NewReader([]byte(asciiPri))    entityList, errReadArm := openpgp.ReadArmoredKeyRing(read1)    if errReadArm != nil {        fmt.Println("读取私钥失败:", errReadArm.Error())        return    }    if len(entityList) == 0 {        fmt.Println("未找到私钥实体")        return    }    for _, can_pri := range entityList {        if can_pri.PrivateKey == nil {            fmt.Println("实体中不包含私钥")            continue        }        smPr := can_pri.PrivateKey        retEntity := can_pri        priKey = *smPr        errDecr := priKey.Decrypt([]byte(pripwd))        if errDecr != nil {            fmt.Println("解密私钥失败:", errDecr.Error())            return        }        retEntity.PrivateKey = &priKey        priEnt = *retEntity        break // 假设只有一个私钥或只处理第一个    }    return}// PubEntToAsciiArmor 将openpgp.Entity转换为ASCII armored格式func PubEntToAsciiArmor(pubEnt openpgp.Entity) (asciiEntity string) {    gotWriter := bytes.NewBuffer(nil)    wr, errEncode := armor.Encode(gotWriter, openpgp.PublicKeyType, nil)    if errEncode != nil {        fmt.Println("编码Armor失败:", errEncode.Error())        return ""    }    errSerial := pubEnt.Serialize(wr)    if errSerial != nil {        fmt.Println("序列化公钥失败:", errSerial.Error())    }    errClosing := wr.Close()    if errClosing != nil {        fmt.Println("关闭writer失败:", errClosing.Error())    }    asciiEntity = gotWriter.String()    return asciiEntity}func main() {    // 示例用法（需要替换为实际的公钥、私钥和密码）    // asciiPublicKey := `-----BEGIN PGP PUBLIC KEY BLOCK-----...`    // asciiPrivateKey := `-----BEGIN PGP PRIVATE KEY BLOCK-----...`    // privateKeyPassword := "your-password"    // signedKey := SignPubKeyPKS(asciiPublicKey, asciiPrivateKey, privateKeyPassword)    // if signedKey != "" {    //  fmt.Println("n--- Signed Public Key ---")    //  fmt.Println(signedKey)    // } else {    //  fmt.Println("签名失败。")    // }}

上述代码逻辑上看起来合理，但却无法生成一个被GnuPG认可的有效签名。

问题根源分析：库内部实现缺陷

经过深入调查，发现此问题的根本原因在于code.google.com/p/go.crypto/openpgp库的内部实现缺陷，而非开发者代码逻辑错误。具体来说：

立即学习“go语言免费学习笔记（深入）”；

错误的签名算法选择：openpgp库中用于签名用户ID的方法（例如Signature.SignUserId()或通过pubEnt.SignIdentity间接调用）错误地使用了用于密钥签名的算法和数据结构。OpenPGP规范中，用户ID签名和密钥签名（用于认证子密钥属于主密钥）是两种不同的操作，需要生成不同类型的签名包（Packet Tag 2, Certification Signature Packet）。不正确的哈希上下文：在验证用户ID签名时，库的PublicKey.VerifyUserIdSignature()方法也存在问题，它没有使用正确的公钥作为哈希上下文，导致只能验证自签名用户ID，而无法正确验证由其他密钥签名的用户ID。

这些问题导致库生成的用户ID签名不符合OpenPGP标准，因此会被GnuPG等严格遵循标准的工具识别为无效。

官方Bug报告与补丁

此问题在Go社区中已被识别并报告。相关的官方Bug报告可以在https://www.php.cn/link/99c3c828637e01c4337451ab836f62ef找到，其中也包含了针对该缺陷的补丁。这表明该问题是openpgp库早期版本的一个已知且已修复的内部错误。

解决方案与最佳实践

鉴于问题根源在于库本身的实现缺陷，解决此问题的关键在于升级和迁移到已修复该bug的库版本。

1. 升级并迁移至最新库版本

code.google.com/p/go.crypto/openpgp是Go语言加密库的旧路径，已被弃用。官方推荐和维护的加密库路径是golang.org/x/crypto/openpgp。

推荐操作步骤：

更新依赖：将项目中的code.google.com/p/go.crypto/openpgp及相关子包的导入路径全部替换为golang.org/x/crypto/openpgp。获取最新版本：确保您的Go模块依赖已更新到golang.org/x/crypto的最新稳定版本。您可以使用以下命令更新：

go get -u golang.org/x/crypto/openpgp

并确保您的go.mod文件反映了最新的版本。

golang.org/x/crypto/openpgp的最新版本已经包含了对Bug 7371的修复，能够正确生成和验证用户ID签名。迁移后，原有的签名代码（如示例中的SignPubKeyPKS函数）在逻辑上将能正常工作，生成符合OpenPGP规范的有效签名。

2. 增强错误处理

尽管核心问题是库的bug，但在任何生产级代码中，健壮的错误处理都是至关重要的。在上述示例代码中，虽然有一些错误打印，但对于某些关键错误路径（例如getPri或getPub未能找到实体），函数的返回值可能没有被充分利用或导致后续操作空指针。

改进建议：

对于可能返回nil或空切片的操作，应在返回前进行显式检查并返回有意义的错误。避免在函数内部直接fmt.Println错误信息并返回空值，而是将错误返回给调用者，由调用者决定如何处理（例如，日志记录、重试、向用户报告）。在处理openpgp.Entity或packet.PrivateKey时，始终检查其是否为nil。

例如，可以修改getPub和getPri函数，使其在失败时返回error：

// getPub 从ASCII armored格式字符串中解析出公钥和实体func getPub(asciiPub string) (pubKey packet.PublicKey, retEntity openpgp.Entity, err error) {    read1 := bytes.NewReader([]byte(asciiPub))    entityList, errReadArm := openpgp.ReadArmoredKeyRing(read1)    if errReadArm != nil {        return packet.PublicKey{}, openpgp.Entity{}, fmt.Errorf("读取公钥失败: %w", errReadArm)    }    if len(entityList) == 0 {        return packet.PublicKey{}, openpgp.Entity{}, fmt.Errorf("未找到公钥实体")    }    for _, pubKeyEntity := range entityList {        if pubKeyEntity.PrimaryKey != nil {            pubKey = *pubKeyEntity.PrimaryKey            retEntity = *pubKeyEntity            return pubKey, retEntity, nil        }    }    return packet.PublicKey{}, openpgp.Entity{}, fmt.Errorf("未在实体列表中找到主公钥")}// getPri 从ASCII armored格式字符串中解析出私钥和实体，并解密func getPri(asciiPri string, pripwd string) (priKey packet.PrivateKey, priEnt openpgp.Entity, err error) {    read1 := bytes.NewReader([]byte(asciiPri))    entityList, errReadArm := openpgp.ReadArmoredKeyRing(read1)    if errReadArm != nil {        return packet.PrivateKey{}, openpgp.Entity{}, fmt.Errorf("读取私钥失败: %w", errReadArm)    }    if len(entityList) == 0 {        return packet.PrivateKey{}, openpgp.Entity{}, fmt.Errorf("未找到私钥实体")    }    for _, can_pri := range entityList {        if can_pri.PrivateKey == nil {            continue // 跳过没有私钥的实体        }        smPr := can_pri.PrivateKey        retEntity := can_pri        priKey = *smPr        errDecr := priKey.Decrypt([]byte(pripwd))        if errDecr != nil {            return packet.PrivateKey{}, openpgp.Entity{}, fmt.Errorf("解密私钥失败: %w", errDecr)        }        retEntity.PrivateKey = &priKey        priEnt = *retEntity        return priKey, priEnt, nil    }    return packet.PrivateKey{}, openpgp.Entity{}, fmt.Errorf("未在实体列表中找到可用的私钥")}// SignPubKeyPKS 签名函数也应返回错误func SignPubKeyPKS(asciiPub string, asciiPri string, pripwd string) (asciiSignedKey string, err error) {    _, priEnt, err := getPri(asciiPri, pripwd)    if err != nil {        return "", fmt.Errorf("获取私钥失败: %w", err)    }    _, pubEnt, err := getPub(asciiPub)    if err != nil {        return "", fmt.Errorf("获取公钥失败: %w", err)    }    usrIdstring := ""    for _, uIds := range pubEnt.Identities {        usrIdstring = uIds.Name        break    }    if usrIdstring == "" {        return "", fmt.Errorf("公钥实体中未找到用户ID")    }    fmt.Println("尝试签名用户ID:", usrIdstring)    errSign := pubEnt.SignIdentity(usrIdstring, &priEnt, nil)    if errSign != nil {        return "", fmt.Errorf("签名用户ID失败: %w", errSign)    }    asciiSignedKey, err = PubEntToAsciiArmor(pubEnt)    if err != nil {        return "", fmt.Errorf("转换为ASCII Armor格式失败: %w", err)    }    return asciiSignedKey, nil}// PubEntToAsciiArmor 转换函数也应返回错误func PubEntToAsciiArmor(pubEnt openpgp.Entity) (asciiEntity string, err error) {    gotWriter := bytes.NewBuffer(nil)    wr, errEncode := armor.Encode(gotWriter, openpgp.PublicKeyType, nil)    if errEncode != nil {        return "", fmt.Errorf("编码Armor失败: %w", errEncode)    }    errSerial := pubEnt.Serialize(wr)    if errSerial != nil {        return "", fmt.Errorf("序列化公钥失败: %w", errSerial)    }    errClosing := wr.Close()    if errClosing != nil {        return "", fmt.Errorf("关闭writer失败: %w", errClosing)    }    return gotWriter.String(), nil}

3. 验证签名有效性

即使代码逻辑和库版本都已正确，在涉及加密操作时，始终建议进行严格的端到端测试。使用GnuPG等外部工具验证Go程序生成的PGP签名，是确保其符合标准和互操作性的最佳实践。

# 假设您已将Go程序生成的签名公钥保存到 signed_public_key.ascgpg --check-sigs signed_public_key.asc

如果签名有效，GnuPG将显示正确的签名信息，而不会报告“bad Signature”。

总结

Go语言openpgp库在早期版本中存在一个关键缺陷，导致其生成的用户ID签名被GnuPG等工具判定为无效。该问题源于库内部对OpenPGP规范的错误实现，尤其是在签名算法和哈希上下文的处理上。

解决此问题的核心在于：

迁移并升级：将项目中的code.google.com/p/go.crypto/openpgp依赖更新为golang.org/x/crypto/openpgp的最新稳定版本，该版本已包含了对相关bug的修复。强化错误处理：在Go代码中实现更健壮的错误检查和传播机制，以提高程序的稳定性和可维护性。外部验证：始终使用G

以上就是Go语言openpgp库用户ID签名无效问题深度解析与解决方案的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/1425784.html

ai crypto go golang google go语言 igs iis red word 工具编码

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

Go HTTP Handler扩展：统一错误处理与中间件链式调用实践

上一篇 2025年12月16日 19:54:35

如何在Golang中实现多通道数据处理_Golang 多通道数据处理实践

下一篇 2025年12月16日 19:54:49

好文分享

Uniapp 中如何不拉伸不裁剪地展示图片？

灵活展示图片：如何不拉伸不裁剪在界面设计中，常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。对于不同尺寸的图片，可以采用以下处理方式：极端宽高比：撑满屏幕宽度或高度，再等比缩放居中。非极端宽高比：居中显示，若能撑满则撑满。然而，如果需要不拉伸不…

程序猿
2025年12月24日
4000
好文分享

如何让小说网站控制台显示乱码，同时网页内容正常显示？

如何在不影响用户界面的情况下实现控制台乱码？当在小说网站上下载小说时，大家可能会遇到一个问题：网站上的文本在网页内正常显示，但是在控制台中却是乱码。如何实现此类操作，从而在不影响用户界面（UI）的情况下保持控制台乱码呢？答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体，并通过在客户端…

程序猿
2025年12月24日
8000
好文分享

如何在地图上轻松创建气泡信息框？

地图上气泡信息框的巧妙生成地图上气泡信息框是一种常用的交互功能，它简便易用，能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。利用地图库的原生功能大多数地图库，如高德地图，都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现：高德地图 JS API 参考文…

程序猿
2025年12月24日
4000
好文分享

如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画？

如何实现元素scrollleft变化时的平滑动画效果？在许多网页应用中，滚动容器的水平滚动条（scrollleft）需要频繁使用。为了让滚动动作更加自然，你希望给scrollleft的变化添加动画效果。解决方案：scroll-behavior 属性要实现scrollleft变化时的平滑动画效果…

程序猿
2025年12月24日
0000
好文分享

如何为滚动元素添加平滑过渡，使滚动条滑动时更自然流畅？

给滚动元素平滑过渡如何在滚动条属性（scrollleft）发生改变时为元素添加平滑的过渡效果？解决方案：scroll-behavior 属性为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码： click the button to slide right!…

程序猿
2025年12月24日
5000
好文分享

如何选择元素个数不固定的指定类名子元素？

灵活选择元素个数不固定的指定类名子元素在网页布局中，有时需要选择特定类名的子元素，但这些元素的数量并不固定。例如，下面这段 html 代码中，activebar 和 item 元素的数量均不固定： *n *n 如果需要选择第一个 item元素，可以使用 css 选择器 :nth-child()。该…

程序猿
2025年12月24日
2000
好文分享

使用 SVG 如何实现自定义宽度、间距和半径的虚线边框？

使用 svg 实现自定义虚线边框如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片，但是这种方法存在引入外部资源、性能低下的缺点。为了避免上述问题，可以使用 svg（可缩放矢量图形）来创建纯代码实现。一种方…

程序猿
2025年12月24日
1000
好文分享

如何让“元素跟随文本高度，而不是撑高父容器？

如何让元素跟随文本高度，而不是撑高父容器在页面布局中，经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中，父容器被较高的图片撑开，而文本的高度没有被考虑。本问答将提供纯css解决方案，让图片跟随文本高度，确保父容器的高度不会被图片影响。解决方法为了解决这个问题，需要将图片从文档流中脱离…

程序猿
2025年12月24日
0000
好文分享

为什么 CSS mask 属性未请求指定图片？

解决 css mask 属性未请求图片的问题在使用 css mask 属性时，指定了图片地址，但网络面板显示未请求获取该图片，这可能是由于浏览器兼容性问题造成的。问题如下代码所示：立即学习“前端免费学习笔记（深入）”； icon [data-icon=”cloud”] { –icon-cl…

程序猿
2025年12月24日
2000
好文分享

如何利用 CSS 选中激活标签并影响相邻元素的样式？

如何利用 css 选中激活标签并影响相邻元素？为了实现激活标签影响相邻元素的样式需求，可以通过 :has 选择器来实现。以下是如何具体操作：对于激活标签相邻后的元素，可以在 css 中使用以下代码进行设置： li:has(+li.active) { border-radius: 0 0 10px…

程序猿
2025年12月24日
1000
好文分享

如何模拟Windows 10 设置界面中的鼠标悬浮放大效果？

win10设置界面的鼠标移动显示周边的样式（探照灯效果）的实现方式在windows设置界面的鼠标悬浮效果中，光标周围会显示一个放大区域。在前端开发中，可以通过多种方式实现类似的效果。使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

程序猿
2025年12月24日
2000
好文分享

为什么我的 Safari 自定义样式表在百度页面上失效了？

为什么在 Safari 中自定义样式表未能正常工作？在 Safari 的偏好设置中设置自定义样式表后，您对其进行测试却发现效果不同。在您自己的网页中，样式有效，而在百度页面中却失效。造成这种情况的原因是，第一个访问的项目使用了文件协议，可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

程序猿
2025年12月24日
0000
好文分享

如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果？

如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果，可以通过以下途径： CSS 解决方案 DEMO 1: Windows 10 网格悬停效果：https://codepen.io/tr4553r7/pe…

程序猿
2025年12月24日
0000
好文分享

使用CSS mask属性指定图片URL时，为什么浏览器无法加载图片？

css mask属性未能加载图片的解决方法使用css mask属性指定图片url时，如示例中所示： mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是，在网络面板中却…

程序猿
2025年12月24日
0000
好文分享

如何用CSS Paint API为网页元素添加时尚的斑马线边框？

为元素添加时尚的斑马线边框在网页设计中，有时我们需要添加时尚的边框来提升元素的视觉效果。其中，斑马线边框是一种既醒目又别致的设计元素。实现斜向斑马线边框要实现斜向斑马线间隔圆环，我们可以使用css paint api。该api提供了强大的功能，可以让我们在元素上绘制复杂的图形。立即学习“前端…

程序猿
2025年12月24日
0000
好文分享

图片如何不撑高父容器？

如何让图片不撑高父容器？当父容器包含不同高度的子元素时，父容器的高度通常会被最高元素撑开。如果你希望父容器的高度由文本内容撑开，避免图片对其产生影响，可以通过以下 css 解决方法：绝对定位元素： .child-image { position: absolute; top: 0; left: …

程序猿
2025年12月24日
0000
CSS 帮助

我正在尝试将文本附加到棕色框的左侧。我不能。我不知道代码有什么问题。请帮助我。 css .hero { position: relative; bottom: 80px; display: flex; justify-content: left; align-items: start; color:…

程序猿
2025年12月24日 • 好文分享
2000
好文分享

前端代码辅助工具：如何选择最可靠的AI工具？

前端代码辅助工具：可靠性探讨对于前端工程师来说，在HTML、CSS和JavaScript开发中借助AI工具是司空见惯的事情。然而，并非所有工具都能提供同等的可靠性。个性化需求关于哪个AI工具最可靠，这个问题没有一刀切的答案。每个人的使用习惯和项目需求各不相同。以下是一些影响选择的重要因素：立…

程序猿
2025年12月24日
0000
好文分享

如何用 CSS Paint API 实现倾斜的斑马线间隔圆环？

实现斑马线边框样式：探究 css paint api 本文将探究如何使用 css paint api 实现倾斜的斑马线间隔圆环。问题：给定一个有多个圆圈组成的斑马线图案，如何使用 css 实现倾斜的斑马线间隔圆环？答案：立即学习“前端免费学习笔记（深入）”；使用 css paint api…

程序猿
2025年12月24日
0000
好文分享

如何使用CSS Paint API实现倾斜斑马线间隔圆环边框？

css实现斑马线边框样式想定制一个带有倾斜斑马线间隔圆环的边框？现在使用css paint api，定制任何样式都轻而易举。 css paint api 这是一个新的css特性，允许开发人员创建自定义形状和图案，其中包括斑马线样式。立即学习“前端免费学习笔记（深入）”；实现倾斜斑马线间隔圆环 …

程序猿
2025年12月24日
1000