Смешанный (клиент/сервер) алгоритм формирования цифровой подписи xmlDsig на основе CryptoPro Browser Plugin

от автора

На хабре уже была обзорная статья о механизмах создания ЭЦП в браузере, где было рассказано о связке Крипто-Про CSP +их же плагин к браузерам. Как там было сказано, предварительные требования для работы — это наличие CryptoPro CSP на компьютере и установка сертификата, которым собираемся подписывать. Вариант вполне рабочий, к тому же в версии 1.05.1418 плагина добавлена работа с подписью XMLDsig. Если есть возможность гонять файлы на клиент и обратно, то для того, чтобы подписать документ на клиенте, достаточно почитать КриптоПрошную справку. Все делается на JavaScript вызовом пары методов.
Однако, что если файлы лежат на сервере и хочется минимизировать трафик и подписывать их, не гоняя на клиент целиком?
Интересно?
Итак, клиент/серверный алгоритм формирования цифровой подписи XMLDSig.
Информацию об спецификации по XMLDsig можно найти по адресу тут.
Я буду рассматривать формирование enveloping signature (обворачивающей подписи) для xml-документа.
Простой пример подписанного xml:

<MyTestXml>     <MySomeData>....</MySomeData>     <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">         <SignedInfo>             <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />             <SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102001-gostr3411" />             <Reference URI="">                 <Transforms>                     <Transform Algorithm="http://www.w3.org/TR/1999/REC-xpath-19991116">                         <XPath xmlns:dsig="http://www.w3.org/2000/09/xmldsig#">not(ancestor-or-self::dsig:Signature)</XPath>                      </Transform>                 </Transforms>                 <DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr3411" />                 <DigestValue>...</DigestValue>             </Reference>         </SignedInfo>         <SignatureValue>...</SignatureValue>         <KeyInfo>             <X509Data>                 <X509Certificate>...</X509Certificate>             </X509Data>          </KeyInfo>          </Signature> </MyTestXml> 

Чтобы лучше понять, что из себя представляет enveloping signature, предлагаю краткий перевод описания тэгов из спецификации:

  • Signature -содержит данные подписи, включая саму подпись и сертификат.
  • SignedInfo -содержит информация о подписываемых данных и алгоритмах, которые будут применяться при формировании подписи.
  • CanonicalizationMethod -указывает канокализирующий алгоритм, который будет применен к SignedInfo перед вычислением подписи.
  • SignatureMethod -указывает алгоритм, используемый для генерации и валидации подписи. На вход алгоритму приходит канокализированный тэг SignedInfo.
  • Reference -может встречаться 1 или больше раз. Содержит информацию о подписываемых данных, включая местоположение данных в документе, алгоритм вычисления хэша от данных, преобразования, и сам хэш.
  • Transforms и Transform -перобразования над данными. На вход первого transform приходит результат разыменовании(dereferencing ) атрибута URI тэга Reference. На вход каждому последующему transform приходит результат предыдущего, результат последнего transform приходит на вход алгоритма, указанного в DigestMethod. Обычно в transform указывают XPath, определяющий защищаемые части документа.
  • DigestMethod -алгоритм вычисления хэша от результатов Transforms.
  • DigestValue -значение хэша от результатов Transforms.Часто это хэш от данных, на которые указывает Reference URI.
  • SignatureValue -собственно сама подпись, ради формирования которой все и затевается.
  • KeyInfo — информация о ключе, на тут интересует тэг X509Certificate, который содержит base64encoded сертификат из ключа, которым подписаны данные.

Итак, исходные данные:

  • на сервере имеем xml-документ, который надо подписать. Также я использовал на сервере CryptoPro .Net, но можно и без него.
  • на клиенте нам нужны ОС, поддерживающая работу с CryptoPro CSp 3.6 (в моем случае это была Windows 7), браузер, поддерживающий работу с КриптоПро ЭЦП Browser Plugin, и, собственно, ключ, которым собираемся подписывать (в моем случае ключ был на флешке).

Подготовка клиента:

  • устанавливаем CryptoPro CSP 3.6
  • устанавливаем КриптоПро ЭЦП Browser Plugin
  • устанавливаем сертификат с флешки в локальное хранилище (см. инструкцию
    пункт «2.5.2.2. Установка личного сертификата, хранящегося в контейнере закрытого ключа»)

Шаг №1. (сервер)
Подготавливаем шаблон подписи для документа, который собираемся подписать.
На этом этапе мы должны получить заготовку тэга Signature c посчитанными хэшами (DigestValue) от защищаемых данных. Алгоритм ручного высчитывания этих хэшей подробно описан здесь, но так как у нас в конторе куплен КриптоПро .Net и на его основе написана внутренняя библиотека по работе с подписями, то я просто подписывал с помощью этой библиотеки документ на сервере другим ключом, в результате получал нужный мне шаблон с посчитанными хэшами от данных, но с невалидными SignatureValue и X509Certificate.

Шаг №2. (сервер)
Каноникализируем SignedInfo, сформированный на шаге №1
Алгоритм следующий (взято отсюда с дополнениями. В спорных местах оставил оригинальный текст):

  • первый символ "<", последний ">".
  • все помежуточные пробелым внутри тэгов сохраняются (оригинал All leading space characters inbetween are retained.)
  • элементы вида
    <tag /> 

    заменяем на

    <tag></tag> 
  • окончания строк заменяем на LF (0x0A).
  • выставляем namespace xmlns=«www.w3.org/2000/09/xmldsig#» тэгу SignedInfo (оригинал на английском The namespace xmlns=«www.w3.org/2000/09/xmldsig#» is propagated down from the parent Signature element.)
  • атрибуты тэгов должны быть расположены внутри тэгов в алфавитном порядке (эта проблема проявилась при формировании подписи, содержащей SignatureProperties)

Код на C#, который заработал в моем случае:

 XmlNode xmlNode = xmlElement.GetElementsByTagName("SignedInfo")[0];  XmlDocument xmlDocumentSignInfo = new XmlDocument();  xmlDocumentSignInfo.PreserveWhitespace = true;  xmlDocumentSignInfo.LoadXml(xmlNode.OuterXml);  result = Canonicalize(xmlDocumentSignInfo); 

где:

        public string Canonicalize(XmlDocument document)         {             XmlDsigExcC14NTransform xmlTransform = new XmlDsigExcC14NTransform();             xmlTransform.LoadInput(document);             string result = new StreamReader((MemoryStream)xmlTransform.GetOutput()).ReadToEnd();             //C# метод канокализации не добавляет в XPath неймсппейс             result  = s.Replace("<XPath>", "<XPath xmlns:dsig=\"http://www.w3.org/2000/09/xmldsig#\">");                          return result ;         } 

Шаг №3.
Берем хэш от канокализированного SignedInfo.
Тут возможны 2 варианта-серверный и клиентский.
3.1) Взятие хэша на клиенте. Именно его я использую, так что опишу его первым:
На сервере кодируем канокализированный SignedInfo в base64
C#:

       string b64CanonicalizeSignedInfo= Convert.ToBase64String(Encoding.UTF8.GetBytes(s)); 

и отправляем эти данные на клиент.
На клиенте берем хэш с помощь криптопрошного плагина
JavaScript:

        var CADESCOM_HASH_ALGORITHM_CP_GOST_3411 = 100;         var CADESCOM_BASE64_TO_BINARY = 1;          var hashObject = CreateObject("CAdESCOM.HashedData");         hashObject.Algorithm = CADESCOM_HASH_ALGORITHM_CP_GOST_3411;         hashObject.DataEncoding = CADESCOM_BASE64_TO_BINARY;         hashObject.Hash(hexCanonicalSignedInfo); 

Посмотреть хэш можно с помощью hashObject.Value
3.2)Считаем хэш на сервере и отправляем на клиент. Этот вариант у меня так и не заработал, но честно сказать я особо и не пытался.

Берем хэш(сервер C#):

 HashAlgorithm myhash = HashAlgorithm.Create("GOST3411");  byte[] hashResult = myhash.ComputeHash(сanonicalSignedInfoByteArr); 

Возможно хэш надо преобразовывать в base64.

Отправляем на клиент, там используем

var hashObject = CreateObject("CAdESCOM.HashedData"); hashObject.SetHashValue(hashFromServer); 

Именно на методе hashObject.SetHashValue у меня падала ошибка. Разбираться я не стал, но криптопрошном форуме говорят, что можно как-то заставить ее работать.

Если соберетесь реализовывать серверный алгоритм генерации хэша, то вот пара полезных советов:
1) Посчитайте хэш на клиенте и на сервере от пустой строки. он должен совпадать, это значит ваши алгоритмы одинаковые.
Для GOST3411 это следующие значения:
base64: mB5fPKMMhBSHgw+E+0M+E6wRAVabnBNYSsSDI0zWVsA=
hex: 98 1e 5f 3c a3 0c 84 14 87 83 0f 84 fb 43 3e 13 ac 11 01 56 9b 9c 13 58 4a c4 83 23 4c d6 56 c0
2) Добейтесь, чтобы у вас совпадали хэши для произвольных данных, генерируемые на клиенте и на сервере.
После этого можно пересылать клиенту только хэш от SignedInfo вместо всего SignedInfo.

Шаг №4.(клиент)
Генерируем SignatureValue и отсылаем на сервер SignatureValue и информацию о сертификате

         var certNumber=2; //номер нужного вам сертификата из хранилища         var CAPICOM_CURRENT_USER_STORE = 2;         var CAPICOM_MY_STORE = "my";         var CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED = 2;         var oStore = CreateObject("CAPICOM.Store");         oStore.Open(CAPICOM_CURRENT_USER_STORE, CAPICOM_MY_STORE, CAPICOM_STORE_OPEN_MAXIMUM_ALLOWED);         var certificate=oStore.Certificates.Item(certNumber)                             var rawSignature = CreateObject("CAdESCOM.RawSignature");         var signatureHex = rawSignature.SignHash(hashObject, certificate);         //в base64 и переворачиваем         var binReversedSignatureString = utils.reverse(utils.hexToString(signatureHex));          var certValue = certificate.Export(certNumber); 

Возвращем на сервер binReversedSignatureString и certValue.

Код функций из utils не выкладываю. Мне его подсказали на форуме криптоПро и его можно посмотреть в этой теме

Шаг №5. (сервер)
Заменяем в сгенерированном на шаге №1 тэге Signature значения тэгов SignatureValue и X509Certificate значениями, полученными с клиента

Шаг №6. (сервер)
Верифицируем карточку.
Если верификация прошла успешно, то все хорошо. В результате мы получаем на сервере документ, подписанный клиентским ключом, не гоняя туда-обратно сам файл.

Примечание: если работа ведется с документом, уже содержащим подписи, то их надо отсоединить от документа до шага №1 и присоединить к документу обратно после шага №6

В заключение хочется сказать большое спасибо за помощь в нахождении алгоритма участникам форума КриптоПро dmishin и Fomich.
Без их советов я бы плюхался с этим в разы дольше.

ссылка на оригинал статьи http://habrahabr.ru/post/189596/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *