Форум программистов «Весельчак У»
  *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

  • Рекомендуем проверить настройки временной зоны в вашем профиле (страница "Внешний вид форума", пункт "Часовой пояс:").
  • У нас больше нет рассылок. Если вам приходят письма от наших бывших рассылок mail.ru и subscribe.ru, то знайте, что это не мы рассылаем.
   Начало  
Наши сайты
Помощь Поиск Календарь Почта Войти Регистрация  
 
Страниц: [1]   Вниз
  Печать  
Автор Тема: CAPICOM  (Прочитано 23007 раз)
0 Пользователей и 1 Гость смотрят эту тему.
blind rain
Гость
« : 24-01-2005 19:18 » 

Здравствуйте,
у меня возникла некоторая проблема при реализации механизма ЭЦП через CAPICOM.

Описание:
Нужно подписать из HTML-страницы (detached подпись) некоторые данные с помощью приватного ключа, хранимого на дискете.
Ключ генерируется при запросе сертификата через Web certificate enroll.
Используется Базовый CSP v1.0.
Если при генерации запроса, указывается что нужно сгенерировать новый набор ключей для хранилища My, то естественно, никаких проблем потом не возникает: ключ хранится на локальной машине в персональном хранилище текущего пользователя, в реестре появляется запись о хранилище My. После подтверждения сертификата и его установки, для подписи используется DataSigner объект, который по умолчанию использует установленный сертификат и соответствующий ему ключ локального хранилища “My” пользователя.

Альтернативно, при создании запроса на сертификат можно указать, что ключ будет экспортируемый, указать имя файла, в который сохранить сгенерированный набор ключей. При сохранении ключа в файл, получаемый сертификат не помещается в хранилище My.
Но в DataSigner можно указать объект Signer, с помощью которого подписываются данные. Я почему-то думал, что, используя метод Load объекта Signer, можно будет загрузить ключ на альтернативном носителе, типа дискета. Не получилось – выдает ошибку.
Тогда я подумал, что раз SignedData использует My-хранилище, то можно динамически открыть хранилище My, добавить туда сертификат из файла *.cer, при подписи использовать его и файл ключа, затем удалить все добавленные данные (подразумевается, что на любой машине пользователь может подпись делать).
Проблема как раз в «при подписи использовать сертификат и файл ключа», так как явной связи между Store объектом и SignedData нет. Попробовал связать так (VB):

code:--------------------------------------------------------------------------------
Store.Open(,“My”)
call Store.Load(“C:\test\newcert.cer”)
‘допустим добавленный сертификат по индексу 1
Set Signer.Certificate = Store.Certificates(1)  ‘НЕ РАБОТАЕТ
SignedData.Content = “Это надо подписать”
SignedData(Signer,,True) ‘подписываем без включения в подпись подписываемых данных
--------------------------------------------------------------------------------


В чем проблема?
Можно ли вообще подписать с помощью CAPICOM по ключу и сертификату на дискете.
Может, как-то по-особому надо было запрашивать сертификат и генерировать ключи, с определенными параметрами?

P.S. Извиняйте, если в коде ошибки. Сейчас нет CAPICOM-библиотеки под рукой, не могу проверить. И MSDN древний – 2001 года, в нем предварительная документация на CAPICOM только есть, многие методы отсутствуют.
Записан
Medved_
Гость
« Ответ #1 : 14-07-2005 04:35 » new

Set Signer.Certificate = Store.Certificates(1) ‘НЕ РАБОТАЕТ
У контейнера сертификатов есть свойство - количество сертификатов в этом контейнере
посему, ИМХО, надо написать так -
Set Signer.Certificate = Store.Certificates.Item(1)
Читаем:
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/seccrypto/security/capicom_reference.asp
Записан
poltora
Гость
« Ответ #2 : 28-04-2008 12:11 » 

вы нашли решение своей задачи?
может быть эта проблема аналогична вашей и вы сможете подсказать выход из тупика...

ниже представлен тестовый пример, который подписывает тестовые данные и тут же проверяет подпись.

проблема в том, что подпись является невалидной.

Код: (Perl)
my $data = '1234567890';
my $user = '18b729e9d7485c1b12964e2ef3fba8a8'; # идентификатор юзера, по которому находится сертияикат (ниже)


# ищем сертификат
my $Store = Win32::OLE->new('CAPICOM.Store') or die "Cannot start CAPICOM.Store";
$Store->Open( CAPICOM_CURRENT_USER_STORE, "My", CAPICOM_STORE_OPEN_READ_ONLY );

my $Certificates = $Store->Certificates;
my $certificate;
for ( my $i = 1 ; $i <= $Certificates->Count() ; $i++ ) {
  my $Certificate = $Certificates->Item($i);
  if ( hashSubjectName( $Certificate->SubjectName() ) eq $user ) {
    $certificate = $Certificate;
    last;
  }
}
print $certificate->SubjectName(); # да, наш сертификат, имеет приватный ключ $Certificate->HasPrivateKey()

# подписываем выше найденным сертификатом
my $Signer = Win32::OLE->new('CAPICOM.Signer') or die "Cannot start CAPICOM.Signer";
$Signer->LetProperty( 'Certificate', $certificate );

my $SignedData = Win32::OLE->new('CAPICOM.SignedData') or die "Cannot start CAPICOM.SignedData";
$SignedData->LetProperty( 'Content', $data ); # или $SignedData->Content($data) ?
my $signature = $SignedData->Sign( $Signer, 1, CAPICOM_ENCODE_BASE64 );

print $signature; # что-то есть

# проверяем подпись
my $SignedData = Win32::OLE->new('CAPICOM.SignedData') or die "Cannot start CAPICOM.SignedData";
$SignedData->LetProperty( 'Content', $data ); #или $SignedData->Content($data) ?

print $SignedData->Verify( $signature, 1, CAPICOM_VERIFY_SIGNATURE_ONLY );
# возвращается undef, что значает, что подпись неверна (и так ли это?)

если вывести все переменные сертификата из подписи(!) -
$SignedData->Certificates(1);
- то окажется, что он похож на исходный сертификатор (которым подписывали), НО он не имеет приватного ключа ($Certificate->HasPrivateKey())

в каком месте я допускаю ошибку?

имеет смысл использовать CAPICOM_VERIFY_SIGNATURE_AND_CERTIFICATE ?
заранее спасибо.
« Последнее редактирование: 28-04-2008 13:02 от RXL » Записан
RXL
Технический
Администратор

ru
Offline Offline
Пол: Мужской

WWW
« Ответ #3 : 28-04-2008 13:04 » 

poltora, ты немного припозднился - всего на три с лишним года... Ага

Обрати внимание на регистр! (Напр, 'Certificate' и 'certificate') Легко запутаться.

Ответ же стоит искать в MSDN, т.к. работаешь ты с их COM-объектами.
« Последнее редактирование: 28-04-2008 13:07 от RXL » Записан

... мы преодолеваем эту трудность без синтеза распределенных прототипов. (с) Жуков М.С.
Страниц: [1]   Вверх
  Печать  
 

Powered by SMF 1.1.21 | SMF © 2015, Simple Machines