Доступ к магазину X509 в Silverlight

Question

Доступ к магазину X509 в Silverlight

1

В настоящее время я разрабатываю приложение Silverlight для доступа к X509Store для подписывания данных с помощью закрытого ключа, встроенного в токен безопасности USB.

Я начал с приложения С#, которое работает следующим образом:

public byte[] SignData(byte[] HashTosign, string Cert_To_Use_b64)
{
    byte[] Signature = null;

    X509Store store = new X509Store(StoreName.My, StoreLocation.CurrentUser);
    store.Open(OpenFlags.ReadOnly | OpenFlags.OpenExistingOnly);
    X509Certificate2Collection collection = (X509Certificate2Collection)store.Certificates;
    store.Close();

    try {
        foreach (X509Certificate2 Certificate in collection) {

            if (ToBase64(Certificate.RawData) == Cert_To_Use_b64) {

                RSACryptoServiceProvider Rsa = new RSACryptoServiceProvider();
                Rsa = (RSACryptoServiceProvider)Certificate.PrivateKey;

                try {
                    RSACryptoServiceProvider aesRsa = new RSACryptoServiceProvider();
                    string strPk = Certificate.PrivateKey.ToXmlString(true);
                    aesRsa.FromXmlString(strPk);
                    Signature = aesRsa.SignHash(HashTosign, CryptoConfig.MapNameToOID("SHA256"));


                } catch (Exception ex) {
                    Throw new exception("FAILURE : " + ex.Message());
                }


                lgSignature = Signature.Length;
                return 0;
            }
        }
    } catch (CryptographicException ex) {
        Throw new exception("FAILURE : " + ex.Message());
    } catch (Exception ex) {
        Throw new exception("FAILURE : " + ex.Message());
    }
}

Этот метод отлично работает в приложении С#. Но когда я пытаюсь адаптировать его к Silverlight, X509Store, похоже, не реализован.

The name "X509Store" does not exist in the namespace System.Security.Cryptography. Are you missing an assembly reference?

Я попытался применить DLL.NET Framework, но получил следующую ошибку:

It is not possible to add a reference to System.Security.dll because it was not created with the Silverlight runtime. Silverlight projects only work with Silverlight assemblies.

Можно ли воссоздать сборку System.Security.dll для Silverlight? Или есть лучшее средство для выполнения того, что я хочу сделать?

Заранее спасибо.

Thordax 11 сен. 2014, в 15:23

Источник

0

В приложении SL нет «текущего пользовательского хранилища», и сообщения об ошибках подтверждают это. Вам нужно найти способ конвертировать <code> string Cert_To_Use_b64 </ code> в <code> Certificate </ code>.
r.pankevicius 13 сен. 2014, в 20:10
0

PS. Если MS не поддерживает его в SL, на bouncycastle.org/csharp есть криптоманьяки надувных замков
r.pankevicius 13 сен. 2014, в 20:24
0

Я пытался с BC, но BC не может получить доступ к хранилищу сертификатов Windows: stackoverflow.com/questions/6549565/… . На самом деле, наиболее ценным вариантом является использование Java-апплета.
Thordax 16 сен. 2014, в 14:12
0

Разве вы не можете изменить дизайн своего приложения, чтобы подпись выполнялась только на сервере, а не на клиенте SL? Как обычно.
r.pankevicius 16 сен. 2014, в 14:19
0

Мое приложение должно использовать подписи RSA аппаратного токена от USB-драйвера клиента, что связано с протоколом EBICS, протоколом, используемым для отправки банковских файлов с высокой аутентификацией.
Thordax 16 сен. 2014, в 14:23
0

Проверьте, что могут делать доверенные приложения в SL. Никогда не использовал это, но если вам этого достаточно, удачи. msdn.microsoft.com/en-us/library/ee721083(v=vs.95).aspx
r.pankevicius 16 сен. 2014, в 14:33
0

«Мое приложение должно использовать подписи аппаратного токена RSA от USB-драйвера клиента» - это то же самое, что «мое приложение должно обращаться к файлу на USB-накопителе»?
r.pankevicius 16 сен. 2014, в 15:01
0

Это не совсем то же самое, потому что подпись файла, который был подписан с помощью SHA256WithRSA аппаратным токеном, должна впоследствии отправляться на сервер EBICS Bank, поэтому нам нужен поток byteArray Stream, определяющий подпись файла. Это очень частный случай. Что мне удается заставить его работать с помощью апплета Java, обращающегося к Магазину сертификатов Windows в Windows, и Магазину сертификатов Firefox в Apple OSX
Thordax 17 сен. 2014, в 07:55
0

Я думал о случае, когда вы отображаете форму загрузки для пользователя, он выбирает файл сертификата, но вместо отправки файла на сервер вы обрабатываете его в клиенте SL и получаете поток байтового массива. Затем вы создаете X509Certificate2 из него. В этом случае вам не понадобятся какие-либо специальные разрешения для приложения SL.
r.pankevicius 17 сен. 2014, в 08:01
0

Да, это хорошая начальная ошибка, сертификат должен быть подписан AC, поэтому я не могу сгенерировать его.
Thordax 17 сен. 2014, в 08:34

Показать ещё 8 комментариев

Теги:

c#

silverlight

x509

1 ответ

Ещё вопросы

В приложении SL нет «текущего пользовательского хранилища», и сообщения об ошибках подтверждают это. Вам нужно найти способ конвертировать <code> string Cert_To_Use_b64 </ code> в <code> Certificate </ code>.
PS. Если MS не поддерживает его в SL, на bouncycastle.org/csharp есть криптоманьяки надувных замков
Я пытался с BC, но BC не может получить доступ к хранилищу сертификатов Windows: stackoverflow.com/questions/6549565/… . На самом деле, наиболее ценным вариантом является использование Java-апплета.
Разве вы не можете изменить дизайн своего приложения, чтобы подпись выполнялась только на сервере, а не на клиенте SL? Как обычно.
Мое приложение должно использовать подписи RSA аппаратного токена от USB-драйвера клиента, что связано с протоколом EBICS, протоколом, используемым для отправки банковских файлов с высокой аутентификацией.
Проверьте, что могут делать доверенные приложения в SL. Никогда не использовал это, но если вам этого достаточно, удачи. msdn.microsoft.com/en-us/library/ee721083(v=vs.95).aspx
«Мое приложение должно использовать подписи аппаратного токена RSA от USB-драйвера клиента» - это то же самое, что «мое приложение должно обращаться к файлу на USB-накопителе»?
Это не совсем то же самое, потому что подпись файла, который был подписан с помощью SHA256WithRSA аппаратным токеном, должна впоследствии отправляться на сервер EBICS Bank, поэтому нам нужен поток byteArray Stream, определяющий подпись файла. Это очень частный случай. Что мне удается заставить его работать с помощью апплета Java, обращающегося к Магазину сертификатов Windows в Windows, и Магазину сертификатов Firefox в Apple OSX
Я думал о случае, когда вы отображаете форму загрузки для пользователя, он выбирает файл сертификата, но вместо отправки файла на сервер вы обрабатываете его в клиенте SL и получаете поток байтового массива. Затем вы создаете X509Certificate2 из него. В этом случае вам не понадобятся какие-либо специальные разрешения для приложения SL.
Да, это хорошая начальная ошибка, сертификат должен быть подписан AC, поэтому я не могу сгенерировать его.

Gniady · Accepted Answer · 2014-10-05T07-20-00.000Z

Существует два возможных способа сделать то, что вы хотите:

CryptoAPI через P/Invoke

Мой кулак предполагал использовать собственную библиотеку Windows crypt32.dll (обычно называемую CryptoApi). Ведь System.Security.dll - это всего лишь управляемая оболочка (просмотр декомпилированного источника с помощью инструмента, такого как ILSpy, покажет вам, как MS его обертывает). Вы можете использовать его в Silverlight с P/Invoke при запуске с повышенным доверием (Properties → Silverlight → Требовать повышенное доверие) и правами администратора (чтобы открыть хранилище сертификатов). Однако есть несколько недостатков:

Это довольно недружелюбно (возвращает мне старые хорошие C/C++ дни)
Вам необходимо работать с низкоуровневыми структурами и операциями (например, указателями)
Вам понадобится использовать этот стиль для получения и получения сертификата

Ссылка на документацию:

MSDN CryptoApi

Таким образом мне удалось получить дескриптор (указатель IntPtr) для сертификата, зарегистрированного на моей смарт-карте:

using System;
using System.Runtime.InteropServices;

namespace SilverlightX509Store
{
    public static class CapiNative
    {
        public const string MY = "MY";
        public const uint PKCS_7_ASN_ENCODING = 0x00010000;
        public const uint X509_ASN_ENCODING = 0x00000001;
        public const uint CERT_FIND_SUBJECT_STR = 0x00080007;
        public const int ACCESS_DENIED = 5;

        [DllImport("crypt32.dll", CharSet = CharSet.Auto, SetLastError = true)]
        public static extern IntPtr CertOpenSystemStore(
            IntPtr hCryptProv,
            string storename);

        [DllImport("crypt32.dll", SetLastError = true)]
        public static extern IntPtr CertFindCertificateInStore(
            IntPtr hCertStore,
            uint dwCertEncodingType,
            uint dwFindFlags,
            uint dwFindType,
            [In, MarshalAs(UnmanagedType.LPWStr)]String pszFindString,
            IntPtr pPrevCertCntxt);
    }

    public class CapiWrapper
    {
        public IntPtr FindCert(string subject)
        {
            IntPtr storeHandle = CapiNative.CertOpenSystemStore(
                IntPtr.Zero, 
                CapiNative.MY);

            if (Marshal.GetLastWin32Error() == CapiNative.ACCESS_DENIED)
            {
                return IntPtr.Zero;
            }

            IntPtr certHandle = CapiNative.CertFindCertificateInStore(
                storeHandle,
                CapiNative.PKCS_7_ASN_ENCODING | CapiNative.X509_ASN_ENCODING,
                0,
                CapiNative.CERT_FIND_SUBJECT_STR,
                "subject to find",
                IntPtr.Zero);

            return certHandle;
        }
    }
}

Преобразование.NET dll в Silverlight

Кажется, есть способ конвертировать.NET-библиотеку в SL. См. Статью Reusing.NET Assemblies в Silverlight. Я еще не тестировал его. Потенциальная проблема может заключаться в том, что шифрование конечной защиты.NET встроено глубоко в mscorlib и System.Security, и может быть не так просто преобразовать эти библиотеки (или даже вообще невозможно).

Спасибо за исчерпывающий и полезный ответ. Это действительно поможет моим будущим разработкам.