无法读取 s/mime 格式的 PKCS7 签名文件（大尺寸）

Question

我想验证 s/mime 格式的签名文件，pkcs7 文件大小为 500MB。

openssl smime -verify -in test.pk7 -inform DER

读取 S/MIME 消息时出错 715956256：错误：07069041：内存缓冲区例程：BUF_MEM_grow_clean：malloc失败：buffer.c：152： 715956256：错误：0D06B041：asn1编码例程：ASN1_D2I_READ_BIO：malloc失败：a_d2i_fp.c：229：

是否可以使用有限的内存使用例如200MB？

Answer 1

不幸的是，OpenSSL 会将整个文件加载到内存中。

如果可能的话，切换 PKCS#7 分离签名将显着减少内存需求。这意味着将数据和签名作为两个单独的文件。

Answer 2

我遇到了一个 1.4GB 加密文件的问题，在 32 位主机上它在 malloc 上失败，在 64 位上它通过了。

Answer 3

正如 Mathias 提到的，如果签名被分离，您可以在 OpenSSL 中流式处理数据。

现在，如果您的签名没有分离，您应该仍然可以自己分离它。 PKCS#7 格式有详细记录。 asn1c 可以分块工作，所以你应该能够使用它。

当然，正确的解决方案是首先获得独立的签名。

Answer 4

我使用了支持基于块的处理的 NSS 库，并且它运行得很好。