根据 ASN.1 语法解析 X.509 证书信息

<h1 id="asn1--x509-">ASN.1 语法及 X.509 证书格式解析解析</h1>
实验室有个项目需要用 Zeek 解析证书公钥信息，不过 <a href="https://lists.zeek.org/archives/list/zeek@lists.zeek.org/thread/HBADUGUQ4TOBLOGSQXF2YN7YAXI3CZOT/?sort=date">zeek 并不支持该功能</a>。而目前网上都是直接调用 openssl 来提取公钥。无奈之下，只能自己实现一个了。
<h2 id="heading">语法</h2>
<h3 id="asn1-">ASN.1 语法格式</h3>
ASN.1（Abstract Syntax Notation dot one）是一种抽象语法标记。用来定义抽象数据类型形式的标准，可以用来描述一个协议、数据结构应该长什么模样。尽管设计目的上不涉及数据结构如何存储，但由于使用广泛，实际上存在一套默认的规范。
作为一个抽象语法，其主要目的是描述数据结构（类型定义），可以与 TypeScript 做类比（某种程度上，这里的语法和 TS 很相似）。需要考虑的语法只有一个 <code>类型名 ::= 基础类型 { 类型具体描述 }</code>，根据不同的基础类型进行拼接组合即可（基础类型见下文）
如果我们需要设计一个 Blog 协议，包含地址、标题、日期、正文、状态。那么可以按照如下格式进行定义
<pre style="background-color:#fff">Blog ::= SEQUENCE {
	address 	PrintableString,
	title 		UTF8String,
	date 		UTCTime,
	content 	String,
	status		BlogStatus 
}

BlogStatus ::= ENUMERATED {
	Draft(0),
	Published(1),
	Hidden(2)
}
</pre><h3 id="x509-">X.509 证书定义样例</h3>
<pre style="background-color:#fff">Certificate ::= SIGNED SEQUENCE{
 version [0] Version DEFAULT v1988,
 serialNumber CertificateSerialNumber,
 signature AlgorithmIdentifier,
 issuer Name,
 validity Validity,
 subject Name,
 subjectPublicKeyInfo SubjectPublicKeyInfo
}

Version ::= INTEGER {v1988(0)}

CertificateSerialNumber ::= INTEGER

Validity ::= SEQUENCE{
 notBefore UTCTime,
 notAfter UTCTime
}

SubjectPublicKeyInfo ::= SEQUENCE{
 algorithm AlgorithmIdentifier,
 subjectPublicKey BIT STRING
}


AlgorithmIdentifier ::= SEQUENCE{
 algorithm OBJECT IDENTIFIER,
 parameters ANY DEFINED BY algorithm OPTIONAL
}
</pre><h2 id="heading-1">编码</h2>
ASN.1 严格包含三部分内容：类型编码、长度编码、数据
<h3 id="heading-2">类型编码</h3>
ASN.1 中类型共占一个字节，由三部分组成：类别位、结构化位、原始类型
<h4 id="heading-3">类别位</h4>
表示类型要解释的上下文，占据高 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>2</mn></mrow><annotation encoding="application/x-tex">2</annotation></semantics></math>2 位
<table>
<thead>
<tr>
<th style="text-align:center">第 8 位</th>
<th style="text-align:center">第 7 位</th>
<th style="text-align:center">含义</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:center">0</td>
<td style="text-align:center">0</td>
<td style="text-align:center">通用（Universal）</td>
</tr>
<tr>
<td style="text-align:center">0</td>
<td style="text-align:center">1</td>
<td style="text-align:center">应用（Application）</td>
</tr>
<tr>
<td style="text-align:center">1</td>
<td style="text-align:center">0</td>
<td style="text-align:center">上下文特定（Context Specific）</td>
</tr>
<tr>
<td style="text-align:center">1</td>
<td style="text-align:center">1</td>
<td style="text-align:center">专用（Private）</td>
</tr>
</tbody>
</table>
<h4 id="heading-4">结构化位</h4>
对于容器类型（如列表），用来表示容器内各个元素类型是否相同。如果相同，则可以只声明一次类型。占据第 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>6</mn></mrow><annotation encoding="application/x-tex">6</annotation></semantics></math>6 位
<h4 id="heading-5">原始类型</h4>
表示数据的基本类型，占据低 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>5</mn></mrow><annotation encoding="application/x-tex">5</annotation></semantics></math>5 位
<table>
<thead>
<tr>
<th style="text-align:center">序号</th>
<th style="text-align:center">十六进制</th>
<th style="text-align:center">类型</th>
<th style="text-align:center">解释</th>
</tr>
</thead>
<tbody>
<tr>
<td style="text-align:center">1</td>
<td style="text-align:center"><code>0x01</code></td>
<td style="text-align:center">BOOLEAN</td>
<td style="text-align:center">布尔类型</td>
</tr>
<tr>
<td style="text-align:center">2</td>
<td style="text-align:center"><code>0x02</code></td>
<td style="text-align:center">INTEGER</td>
<td style="text-align:center">整数</td>
</tr>
<tr>
<td style="text-align:center">3</td>
<td style="text-align:center"><code>0x03</code></td>
<td style="text-align:center">BIT_STRING</td>
<td style="text-align:center">比特流</td>
</tr>
<tr>
<td style="text-align:center">4</td>
<td style="text-align:center"><code>0x04</code></td>
<td style="text-align:center">OCTET_STRING</td>
<td style="text-align:center">字节流</td>
</tr>
<tr>
<td style="text-align:center">5</td>
<td style="text-align:center"><code>0x05</code></td>
<td style="text-align:center">NULL</td>
<td style="text-align:center">空值</td>
</tr>
<tr>
<td style="text-align:center">6</td>
<td style="text-align:center"><code>0x06</code></td>
<td style="text-align:center">OID</td>
<td style="text-align:center">对象标识符</td>
</tr>
<tr>
<td style="text-align:center">16</td>
<td style="text-align:center"><code>0x10</code></td>
<td style="text-align:center">SEQUENCE</td>
<td style="text-align:center">数组</td>
</tr>
<tr>
<td style="text-align:center">17</td>
<td style="text-align:center"><code>0x11</code></td>
<td style="text-align:center">SNMP_SET</td>
<td style="text-align:center">集合</td>
</tr>
<tr>
<td style="text-align:center">19</td>
<td style="text-align:center"><code>0x13</code></td>
<td style="text-align:center">PrintableString</td>
<td style="text-align:center">ASCII编码可视字符</td>
</tr>
<tr>
<td style="text-align:center">20</td>
<td style="text-align:center"><code>0x14</code></td>
<td style="text-align:center">T61_STRING</td>
<td style="text-align:center"></td>
</tr>
<tr>
<td style="text-align:center">22</td>
<td style="text-align:center"><code>0x16</code></td>
<td style="text-align:center">IA5_String</td>
<td style="text-align:center">ASCII编码</td>
</tr>
<tr>
<td style="text-align:center">23</td>
<td style="text-align:center"><code>0x17</code></td>
<td style="text-align:center">UTCTIME</td>
<td style="text-align:center">时间戳</td>
</tr>
</tbody>
</table>
<h3 id="heading-6">长度编码</h3>
长度编码由一个字节作为起始，包含如下三种类型
<h4 id="heading-7">短编码</h4>
最高位为 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>0</mn></mrow><annotation encoding="application/x-tex">0</annotation></semantics></math>0，低 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>7</mn></mrow><annotation encoding="application/x-tex">7</annotation></semantics></math>7 位表示 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mo stretchy="false">[</mo><mn>1</mn><mo separator="true">,</mo><mn>127</mn><mo stretchy="false">]</mo></mrow><annotation encoding="application/x-tex">[1,127]</annotation></semantics></math>[1,127] 的长度。
如 <code>0x05</code> 表示数据长度为 <code>5</code>
<h4 id="heading-8">长编码</h4>
最高位为 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>1</mn></mrow><annotation encoding="application/x-tex">1</annotation></semantics></math>1，低 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>7</mn></mrow><annotation encoding="application/x-tex">7</annotation></semantics></math>7 位表示 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mo stretchy="false">[</mo><mn>1</mn><mo separator="true">,</mo><mn>127</mn><mo stretchy="false">]</mo></mrow><annotation encoding="application/x-tex">[1,127]</annotation></semantics></math>[1,127] 的长度，而后存在该长度的字节存储实际的长度。
如 <code>0x82 0x04 0x92</code> 中，<code>0x82</code> 表示使用长编码，且长度位为 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>2</mn></mrow><annotation encoding="application/x-tex">2</annotation></semantics></math>2，后续 <code>0x04 0x92</code> 为实际的数据长度，为 <math xmlns="http://www.w3.org/1998/Math/MathML"><semantics><mrow><mn>1170</mn></mrow><annotation encoding="application/x-tex">1170</annotation></semantics></math>1170
<h2 id="zeek-">Zeek 解析证书公钥</h2>
根据上面的语法，可以看出来实际上 ASN.1 只需要一个简单的递归函数即可搞定。 
由于这里只需要提取一个字段，甚至不必全文解析。
首先要实现一个 ASN.1 类型解析的函数（Zeek Script 语法，别的语言肯定比这写起来更容易）
<pre style="background-color:#fff">function read_part(content:string): ASN1Object {
 local result = ReadBytesResult();
 

 result= read_n_bytes(content, 1);
 content = result$content;
 local object_type = bytestring_to_count(result$result);
 if (object_type == 0) {
 return ASN1Object(
 $data_type=object_type,
 $length=0,
 $value=&#34;&#34;,
 $rest=content
 );
 }

 result = read_n_bytes(content, 1);
 content = result$content;
 local object_length = bytestring_to_count(result$result);
 if (object_length &amp; 0x80 &gt; 0) {
 object_length = object_length &amp; 0x7f;

 result = read_n_bytes(content, object_length);
 content = result$content;
 object_length = bytestring_to_count(result$result);
 }

 result = read_n_bytes(content, object_length);
 local object_value = result$result;
 content = result$content;

 return ASN1Object(
 $data_type=object_type,
 $length=object_length,
 $value=object_value,
 $rest=content
 );
}
</pre>接下来按照 X.509 规定的格式，反复调用该函数即可
<h2 id="heading-9">参考资料</h2>
<ul>
<li><a href="https://blog.csdn.net/liaowenfeng/article/details/8777595">ASN.1数据类型_wind的专栏-CSDN博客</a></li>
<li><a href="https://www.cnblogs.com/nathanyang/p/9951282.html">ASN.1编码方式详解 - AstrophelYang - 博客园</a></li>
<li><a href="https://www.cnblogs.com/20175211lyz/p/12722360.html">asn.1 格式学习 - MustaphaMond - 博客园</a></li>
<li><a href="https://javacfox.github.io/2019/07/18/ASN-1%E5%85%A5%E9%97%A8%EF%BC%88%E8%B6%85%E8%AF%A6%E7%BB%86%EF%BC%89/">ASN.1入门（超详细） | 胖胖</a></li>
<li><a href="https://datatracker.ietf.org/doc/html/rfc5280">RFC 5280 - Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile</a></li>
<li><a href="https://datatracker.ietf.org/doc/html/rfc1422#appendix-A.1">RFC 1422 Certificate Syntax</a></li>
<li><a href="http://www.lapo.it/asn1js">ASN.1 在线解析</a></li>
</ul>