В С# подпишите xml с сертификатом x.509 и проверьте подпись

Я пытаюсь подписать файл XML с помощью сертификата x.509, я могу использовать закрытый ключ для подписывания документа, а затем использовать метод CheckSignature (у него есть перегрузка, которая получает сертификат как параметр), чтобы проверить подпись.

Проблема заключается в том, что пользователь, который проверяет подпись, должен иметь сертификат, я беспокоюсь, если у пользователя есть сертификат, то у него есть доступ к закрытому ключу, и, как я понимаю, это личное и должно быть доступно только для пользователя, который подписывает.

Что мне не хватает?

Спасибо за вашу помощь.

Ответ 1

В .NET, если вы получаете сертификат X509 из файла .pfx, например:

 X509Certificate2 certificate = new X509Certificate2(certFile, pfxPassword);
 RSACryptoServiceProvider rsaCsp = (RSACryptoServiceProvider) certificate.PrivateKey;

Затем вы можете экспортировать часть открытого ключа так:

 rsaCsp.ToXmlString(false);

В "ложной" части говорится, что только экспортировать публичный кусок, не экспортируйте частную часть. (doc для RSA.ToXmlString)

И затем в проверяющем приложении используйте

 RSACryptoServiceProvider csp = new RSACryptoServiceProvider();
 csp.FromXmlString(PublicKeyXml);
 bool isValid = VerifyXml(xmlDoc, rsa2);

И VerifyXml вызывает CheckSignature(). Это выглядит примерно так:

private Boolean VerifyXml(XmlDocument Doc, RSA Key)
{
    // Create a new SignedXml object and pass it
    // the XML document class.
    var signedXml = new System.Security.Cryptography.Xml.SignedXml(Doc);

    // Find the "Signature" node and create a new XmlNodeList object.
    XmlNodeList nodeList = Doc.GetElementsByTagName("Signature");

    // Throw an exception if no signature was found.
    if (nodeList.Count <= 0)
    {
        throw new CryptographicException("Verification failed: No Signature was found in the document.");
    }

    // Though it is possible to have multiple signatures on 
    // an XML document, this app only supports one signature for
    // the entire XML document.  Throw an exception 
    // if more than one signature was found.
    if (nodeList.Count >= 2)
    {
        throw new CryptographicException("Verification failed: More that one signature was found for the document.");
    }

    // Load the first <signature> node.  
    signedXml.LoadXml((XmlElement)nodeList[0]);

    // Check the signature and return the result.
    return signedXml.CheckSignature(Key);
}

Ответ 2

Любой сертификат имеет открытую и частную часть. Вы отправляете только общественную часть. Просто откройте любой веб-сайт с поддержкой SSL в своем браузере, нажмите на символ замка и посмотрите на их сертификат.

Ответ 3

Прежде всего, вы должны быть уверены, что сертификат .pfx или .cer который вы используете, предназначен для подписания цели.

You can check same in General Tab of a certificate

*.Proves your identity to a remote computer
*.Protects e-mail messages
*.Allows data to be signed with the current time
*.Allows data on disk to be encrypted
*.2.16.356.100.2
**Document Signing**

Полное консольное приложение для цифровой подписи/проверки XmlDocument в С# написано здесь.