Программная работа с ЭЦП

Question

[Валерий Осипов]

Добрый день. Пользуюсь программой Технокад-Экспресс, которая работает с ЭЦП, выданным «УЦ Технокад».
Стоит задача подписать файл этой подписью в своей программе: для бинарного файла создать имя_файла.sig, который будет являться его валидной цифровой подписью

В криптографии я полный ноль, не знаю с чего начать, чтобы побыстрее разобраться с даным вопросом.

Что известно о предмете:
1) Язык программирования: C#
2) Технокад-Экспресс использует программу Крипто-ПРО для работы с сертификатами
3) Сайт-получатель использует что-то вроде CAPICOM для работы с ЭЦП
4) ЭЦП хранится в реестре
5) Экспортированная на флешку ЭЦП состоит из файлов: header.key masks.key masks2.key name.key primary.key primary2.key
6) Стандарт подписи PKCS#7, кодировка DER
7) Информация из документации: Расчет хэш-сумм ГОСТ Р 34.11-94 www.w3.org/2001/04/xmldsig-more#gostr3411
Формирования подписи ГОСТ Р 34.10-2001 www.w3.org/2001/04/xmldsig-more#gostr34102001-gostr3411
Каноникализация Exclusive XML Canonicalization от 18 July 2002 www.w3.org/2001/10/xml-exc-c14n#

Скачал библиотеку BouncyCasle, пытаюсь разобраться в ней. Смущает, что там реализован не PKCS#7, а PKCS#12, эти стандарты обратно совместимы?

Подскажите, пожалуйста, в какую сторону следует копать, какие-нибудь сайты с примерами?

Comments

[Валерий Осипов]

Заранее спасибо, не смогу сразу ответить

Answer 1

[Juralis]

К сожалению, C# не знаю, могу поделиться своей функцией на IronPython. Порядок действий, классы и методы будут одинаковые.

from System.Security.Cryptography import Pkcs
from System.Security.Cryptography.X509Certificates import X509Store, OpenFlags, X509Certificate2Collection,\
    X509Certificate2, X509Certificate2UI, StoreName

def sign(content, tp):
    store = X509Store(StoreName.My)
    store.Open(OpenFlags.ReadOnly)
    storecollection = X509Certificate2Collection(store.Certificates)
    myCert = None
    for cert in storecollection:
        if cert.Thumbprint.ToLower == tp.ToLower:
            myCert = cert
    if not myCert:
        return None
    else:
        contentInfo = Pkcs.ContentInfo(content)
        signedCms = Pkcs.SignedCms(contentInfo, True)
        cmsSigner = Pkcs.CmsSigner(myCert)
        signedCms.ComputeSignature(cmsSigner)
        sign = signedCms.Encode()
        return sign

Соответственно, тут на входе байты файла и строка с отпечатком (Tumbprint, его можно посмотреть в свойствах сертификата, но если захотите скопировать прямо от туда, то нужно убрать пробелы)
Вместо передачи отпечатка можно прямо просить выбрать сертификат. У класса X509Certificate2UI есть метод SelectFromCollection, который показывает стандартное окошко выбора сертификата и возвращает коллекцию с выбранными сертификатами.
Касательно того, что это криптопровайдер от КриптоПро — в общем-то, в данном случае не имеет значения.

Ну, соответственно, остаётся прочитать файл и сохранить байты подписи в имя_файла.sig

Comments

[Валерий Осипов]

На строке signedCms.ComputeSignature(cmsSigner) вылетело исключение: CryptographicException: Ключ не существует.

[Juralis]

Нет закрытого ключа, связанного с выбранным сертификатом
Там я кстати как-то неправильно написал

[Juralis]

Вместо

if cert.Thumbprint.ToLower == tp.ToLower:

должно быть

if cert.Thumbprint.ToLower() == tp.ToLower():

Но не суть. Раз возникло данное исключение, то этот момент вы уже обошли.
Собственно, если у вас КриптоПро, то сертификат нужно поставить через элемент «Панели управления» > КриптоПро CSP и там во вкладке Сервис, «Установить личный сертификат...», выбрать, соответственно, сам сертификат, указать ключ (который в реестре у вас) и указать хранилище («Личное», в данном случае). Тогда файл подпишется.

[Juralis]

кстати, ещё одна потенциальная проблема может быть в строке

signedCms.ComputeSignature(cmsSigner)

Если тут вознинет исключение, значит КриптоПро накрылся. К пример, истекла лицензия или что-то ещё случилось. Это я так, на всякий случай

[Валерий Осипов]

Сертификаты устанавливались с сайта Технокада, как я понимаю, сразу в Крипто-Про (через какое-то Api, доступное только в Internet Explorer).

В Крипто-Про все сертификаты видны, есть сообщение о том, что для сертификата есть закрытый ключ.
При экспорте сертификата доступен только формат PKCS#12, формат файла *.pfx
При импорте сертификата доступны только форматы
1) X.509 (.cer, .crt)
2) PKCS #7 (.p7b, .p7m, .der
3) Хранилище сериализованных сертификатов (.sst)

Сама Windows понимает формат файла *.pfx, при импорте сертификата в папку «Личное» запросила у меня пароль на закрытый ключ. Смутило, что в коде у меня ничего нет про этот пароль

[Juralis]

В коде его (пароля) быть не должно. Запрос на ввод пароля появляется сам.
А что значит фраза «В КриптоПро все сертификаты видны»?
В принципе, можно попробовать пойти другим путем.

signedCms = Pkcs.SignedCms(contentInfo, True)
signedCms.ComputeSignature()
sign = signedCms.Encode()

Тогда появится окно выбора сертификата. Если так работать не будет, точно вопрос в том, как сертификат установлен. Но я в принципе и так попробовал, у меня такая ошибка прекрасно воспроизводится, если установить сертификат штатными средствами windows. Если ставить вручную по описанному выше методу, через оснастку КриптоПро — подписывает успешно.

[Валерий Осипов]

Решилось все гораздо проще, вроде бы. Нашел в папке технокада CPCryptoNet.dll
Шифрование работает тремя строчками.
var crypto = new CPCryptoNet.CPCrypto_PInvoke(); crypto.SetSelfCertificate(kryukov); crypto.Sign(filename,filename+".sig",SignCertIncludeMode.All);

Осталось разобраться с лицензией, не вылетит ли программа в самый неподходящий момент. На сайте криптопро эта библиотека, вроде бы платная

Answer 2

[ystr]

Рекомендую первично ознакомиться с понятием Crypto API и для начала почитать мою давнюю статью Использование Crypto API. Также рекомендую почитать форум фирмы Крипто-ПРО. Различных примеров там приводится множество.