Geekly articles weekly

Validierung elektronischer Signaturen in C # mit Crypto PRO

Wenn Sie das Gespräch zum Thema elektronische Signaturen (im Folgenden als elektronische Signatur bezeichnet) fortsetzen, sollten Sie sich mit der Überprüfung befassen. Im vorherigen Artikel habe ich den schwierigeren Teil der Aufgabe analysiert - das Erstellen einer Signatur. Dieser Artikel ist etwas einfacher. Der größte Teil des Codes ist eine Anpassung von Beispielen aus dem Crypto PRO .NET SDK. Wir werden zunächst die Signaturen nach GOST R 34.10-2001 und GOST R 34.10-2012 prüfen, dafür benötigen wir CRYPTO PRO.

Die Aufgabe für uns gliedert sich in drei Teile: eine separate Signatur, eine Signatur in PDF und eine Signatur in MS Word.

Überprüfung der getrennten Unterschrift:

//dataFileRawBytes -     ContentInfo contentInfo = new ContentInfo(dataFileRawBytes); SignedCms signedCms = new SignedCms(contentInfo, true); //signatureFileRawBytes -    signedCms.Decode(signatureFileRawBytes); if (signedCms.SignerInfos.Count == 0) { //     } foreach (SignerInfo signerInfo in signedCms.SignerInfos) { //   DateTime? signDate = (signerInfo.SignedAttributes .Cast<CryptographicAttributeObject>() .FirstOrDefault(x => x.Oid.Value == "1.2.840.113549.1.9.5") ?.Values[0] as Pkcs9SigningTime)?.SigningTime; bool valid; try { signerInfo.CheckSignature(true); valid = true; } catch (CryptographicException exc) { valid = false; } //   .     X509Certificate2 certificate = signerInfo.Certificate;

Alle Kommentare sind im Code enthalten. Ich werde Ihre Aufmerksamkeit nur darauf lenken, ein Zertifikat zu erhalten. Wir werden es später benötigen, da Wir werden das Zertifikat separat prüfen.

Vergessen Sie nicht, alles in Try-Catch und andere zu verpacken. Im Beispiel mache ich das absichtlich nicht, um die Lautstärke zu reduzieren

Signaturvalidierung in PDF. Hier benötigen wir iTextSharp (die aktuelle Version zum Zeitpunkt des Schreibens von 5.5.13):

  using (MemoryStream fileStream = new MemoryStream(dataFileRawBytes)) using (PdfReader pdfReader = new PdfReader(fileStream)) { AcroFields acroFields = pdfReader.AcroFields; //    List<string> signatureNames = acroFields.GetSignatureNames(); if (!signatureNames.Any()) { //   } foreach (string signatureName in signatureNames) { //       PdfDictionary singleSignature = acroFields.GetSignatureDictionary(signatureName); PdfString asString1 = singleSignature.GetAsString(PdfName.CONTENTS); byte[] signatureBytes = asString1.GetOriginalBytes(); RandomAccessFileOrArray safeFile = pdfReader.SafeFile; PdfArray asArray = singleSignature.GetAsArray(PdfName.BYTERANGE); using ( Stream stream = new RASInputStream( new RandomAccessSourceFactory().CreateRanged( safeFile.CreateSourceView(), asArray.AsLongArray()))) { using (MemoryStream ms = new MemoryStream((int)stream.Length)) { stream.CopyTo(ms); byte[] data = ms.GetBuffer(); ContentInfo contentInfo = new ContentInfo(data); SignedCms signedCms = new SignedCms(contentInfo, true); signedCms.Decode(signatureBytes); bool checkResult; //    ,    try { signedCms.CheckSignature(true); checkResult = true; } catch (Exception) { checkResult = false; } foreach (SignerInfo signerInfo in signedCms.SignerInfos) { //   DateTime? signDate = (signerInfo.SignedAttributes .Cast<CryptographicAttributeObject>() .FirstOrDefault(x => x.Oid.Value == "1.2.840.113549.1.9.5") ?.Values[0] as Pkcs9SigningTime)?.SigningTime; //  X509Certificate2 certificate = signerInfo.Certificate; } } } } }

Auch hier gibt es besonders nichts zu kommentieren. Sofern ich nicht zu Oid sagen muss, ist „1.2.840.113549.1.9.5“ die Oid des Unterzeichnungsdatums.

Und der letzte auf unserer Liste ist docx, vielleicht die einfachste Option:

  using (MemoryStream fileStream = new MemoryStream(dataFileRawBytes)) using (Package filePackage = Package.Open(fileStream)) { PackageDigitalSignatureManager digitalSignatureManager = new PackageDigitalSignatureManager(filePackage); if (!digitalSignatureManager.IsSigned) { //    } foreach (PackageDigitalSignature signature in digitalSignatureManager.Signatures) { DateTime? signDate = signature.SigningTime; bool checkResult = signature.Verify() == VerifyResult.Success; //      X509Certificate2 certificate = new X509Certificate2(signature.Signer); } }

Jetzt analysieren wir das Zertifikat und validieren die gesamte Zertifikatskette. Daher sollte die Assembly unter einem Benutzer funktionieren, der Zugriff auf das Netzwerk hat.

Und dann beginnt die Hölle, weil Ich weiß nicht, wie ich über Oid Informationen über den Zertifikatsinhaber erhalten kann, daher werde ich die Zeichenfolge analysieren. Lauter lachen: Der Zirkus beginnt.

Aber im Ernst, Sie können gerne diejenigen kommentieren, die wissen, wie man das durch Oids macht:

  private static void FillElectronicSignature(X509Certificate2 certificate) { foreach (KeyValuePair<string, string> item in ParseCertificatesSubject(certificate.Subject)) { switch (item.Key) { case "C": string certificatesCountryName = item.Value; break; case "S": string certificatesState = item.Value; break; case "L": string certificatesLocality = item.Value; break; case "O": string certificatesOrganizationName = item.Value; break; case "OU": string certificatesOrganizationalUnitName = item.Value; break; case "CN": string certificatesCommonName = item.Value; break; case "E": string certificatesEmail = item.Value; break; case "STREET": string certificatesStreet = item.Value; break; //  ,  Window ,     ,   ,  INN //       deploy    // ,   -  case "": case "INN": case "1.2.643.3.131.1.1": string certificatesInn = item.Value; break; //  case "": case "OGRN": case "1.2.643.100.1": string certificatesOgrn = item.Value; break; //  case "": case "SNILS": case "1.2.643.100.3": string certificatesSnils = item.Value; break; case "SN": string certificatesOwnerLastName = item.Value; break; case "G": string certificatesOwnerFirstName = item.Value; break; //    default           } } DateTime certificateNotBefore = certificate.NotBefore; DateTime certificateNotAfter = certificate.NotAfter; string certificatesSerialNumber = certificate.SerialNumber; if (!certificate.Verify()) { //   using (X509Chain x509Chain = new X509Chain()) { x509Chain.Build(certificate); //    X509ChainStatus[] statuses = x509Chain.ChainStatus; //      int,    int certificatesErrorCode = statuses.Aggregate(X509ChainStatusFlags.NoError, (acc, chainStatus) => acc | chainStatus.Status, result => (int)result); } } } /// <summary> ///        /// </summary> private static Dictionary<string, string> ParseCertificatesSubject(string subject) { Dictionary<string, string> result = new Dictionary<string, string>(); //  ,     int quotationMarksCount = 0; //    "  " bool isKey = true; //    string key = string.Empty; //    string value = string.Empty; for (int i = 0; i < subject.Length; i++) { char c = subject[i]; if (isKey && c == '=') { isKey = false; continue; } if (isKey) key += c; else { if (c == '"') quotationMarksCount++; bool isItemEnd = (c == ',' && subject.Length >= i + 1 && subject[i + 1] == ' '); bool isLastChar = subject.Length == i + 1; if ((isItemEnd && quotationMarksCount % 2 == 0) || isLastChar) { if (isItemEnd) i++; if (isLastChar) value += c; isKey = true; if (value.StartsWith("\"") && value.EndsWith("\"")) value = value.Substring(1, value.Length - 2); value = value.Replace("\"\"", "\""); result.Add(key, value); key = string.Empty; value = string.Empty; quotationMarksCount = 0; continue; } value += c; } } return result; }

Der Code ist so kurz wie möglich, um das Wesentliche besser zu verstehen.

Im Allgemeinen ist dies alles, ich warte auf Kommentare zum Erhalt von Oid aus dem Zertifikat und auf begründete Kritik.

Source: https://habr.com/ru/post/de426645/

More articles:


All Articles