Проверьте RFC 3161 доверенную временную метку
В моем процессе сборки я хочу включить временную метку из RFA-3161-совместимого TSA. Во время выполнения код проверяет эту временную метку, предпочтительно без помощи сторонней библиотеки. (Это приложение.NET, поэтому в моем распоряжении стандартные функции хеширования и асимметричной криптографии.)
RFC 3161, опирающийся на ASN.1 и X.690 и тому подобное, не прост в реализации, поэтому сейчас, по крайней мере, я использую Bouncy Castle для генерации TimeStampReq (запрос) и анализа TimeStampResp (ответ). Я просто не могу понять, как проверить ответ.
До сих пор я выяснил, как извлечь саму сигнатуру, публичный сертификат, время создания метки времени, а также дайджест отпечатка сообщения и одноразовый номер, который я отправил (для проверки во время сборки). Чего я не могу понять, так это как собрать эти данные, чтобы получить хешированные и подписанные данные.
Вот примерное представление о том, что я делаю и что я пытаюсь сделать. Это тестовый код, поэтому я взял несколько ярлыков. Мне придётся почистить пару вещей и сделать их правильно, как только я получу что-то, что работает.
Генерация метки времени во время сборки:
// a lot of fully-qualified type names here to make sure it's clear what I'm using
static void WriteTimestampToBuild(){
var dataToTimestamp = Encoding.UTF8.GetBytes("The rain in Spain falls mainly on the plain");
var hashToTimestamp = new System.Security.Cryptography.SHA1Cng().ComputeHash(dataToTimestamp);
var nonce = GetRandomNonce();
var tsr = GetTimestamp(hashToTimestamp, nonce, "http://some.rfc3161-compliant.server");
var tst = tsr.TimeStampToken;
var tsi = tst.TimeStampInfo;
ValidateNonceAndHash(tsi, hashToTimestamp, nonce);
var cms = tst.ToCmsSignedData();
var signer =
cms.GetSignerInfos().GetSigners()
.Cast<Org.BouncyCastle.Cms.SignerInformation>().First();
// TODO: handle multiple signers?
var signature = signer.GetSignature();
var cert =
tst.GetCertificates("Collection").GetMatches(signer.SignerID)
.Cast<Org.BouncyCastle.X509.X509Certificate>().First();
// TODO: handle multiple certs (for one or multiple signers)?
ValidateCert(cert);
var timeString = tsi.TstInfo.GenTime.TimeString;
var time = tsi.GenTime; // not sure which is more useful
// TODO: Do I care about tsi.TstInfo.Accuracy or tsi.GenTimeAccuracy?
var serialNumber = tsi.SerialNumber.ToByteArray(); // do I care?
WriteToBuild(cert.GetEncoded(), signature, timeString/*or time*/, serialNumber);
// TODO: Do I need to store any more values?
}
static Org.BouncyCastle.Math.BigInteger GetRandomNonce(){
var rng = System.Security.Cryptography.RandomNumberGenerator.Create();
var bytes = new byte[10]; // TODO: make it a random length within a range
rng.GetBytes(bytes);
return new Org.BouncyCastle.Math.BigInteger(bytes);
}
static Org.BouncyCastle.Tsp.TimeStampResponse GetTimestamp(byte[] hash, Org.BouncyCastle.Math.BigInteger nonce, string url){
var reqgen = new Org.BouncyCastle.Tsp.TimeStampRequestGenerator();
reqgen.SetCertReq(true);
var tsrequest = reqgen.Generate(Org.BouncyCastle.Tsp.TspAlgorithms.Sha1, hash, nonce);
var data = tsrequest.GetEncoded();
var webreq = WebRequest.CreateHttp(url);
webreq.Method = "POST";
webreq.ContentType = "application/timestamp-query";
webreq.ContentLength = data.Length;
using(var reqStream = webreq.GetRequestStream())
reqStream.Write(data, 0, data.Length);
using(var respStream = webreq.GetResponse().GetResponseStream())
return new Org.BouncyCastle.Tsp.TimeStampResponse(respStream);
}
static void ValidateNonceAndHash(Org.BouncyCastle.Tsp.TimeStampTokenInfo tsi, byte[] hashToTimestamp, Org.BouncyCastle.Math.BigInteger nonce){
if(tsi.Nonce != nonce)
throw new Exception("Nonce doesn't match. Man-in-the-middle attack?");
var messageImprintDigest = tsi.GetMessageImprintDigest();
var hashMismatch =
messageImprintDigest.Length != hashToTimestamp.Length ||
Enumerable.Range(0, messageImprintDigest.Length).Any(i=>
messageImprintDigest[i] != hashToTimestamp[i]
);
if(hashMismatch)
throw new Exception("Message imprint doesn't match. Man-in-the-middle attack?");
}
static void ValidateCert(Org.BouncyCastle.X509.X509Certificate cert){
// not shown, but basic X509Chain validation; throw exception on failure
// TODO: Validate certificate subject and policy
}
static void WriteToBuild(byte[] cert, byte[] signature, string time/*or DateTime time*/, byte[] serialNumber){
// not shown
}
Проверка метки времени во время выполнения (клиентский сайт):
// a lot of fully-qualified type names here to make sure it's clear what I'm using
static void VerifyTimestamp(){
var timestampedData = Encoding.UTF8.GetBytes("The rain in Spain falls mainly on the plain");
var timestampedHash = new System.Security.Cryptography.SHA1Cng().ComputeHash(timestampedData);
byte[] certContents;
byte[] signature;
string time; // or DateTime time
byte[] serialNumber;
GetDataStoredDuringBuild(out certContents, out signature, out time, out serialNumber);
var cert = new System.Security.Cryptography.X509Certificates.X509Certificate2(certContents);
ValidateCert(cert);
var signedData = MagicallyCombineThisStuff(timestampedHash, time, serialNumber);
// TODO: What other stuff do I need to magically combine?
VerifySignature(signedData, signature, cert);
// not shown: Use time from timestamp to validate cert for other signed data
}
static void GetDataStoredDuringBuild(out byte[] certContents, out byte[] signature, out string/*or DateTime*/ time, out byte[] serialNumber){
// not shown
}
static void ValidateCert(System.Security.Cryptography.X509Certificates.X509Certificate2 cert){
// not shown, but basic X509Chain validation; throw exception on failure
}
static byte[] MagicallyCombineThisStuff(byte[] timestampedhash, string/*or DateTime*/ time, byte[] serialNumber){
// HELP!
}
static void VerifySignature(byte[] signedData, byte[] signature, System.Security.Cryptography.X509Certificates.X509Certificate2 cert){
var key = (RSACryptoServiceProvider)cert.PublicKey.Key;
// TODO: Handle DSA keys, too
var okay = key.VerifyData(signedData, CryptoConfig.MapNameToOID("SHA1"), signature);
// TODO: Make sure to use the same hash algorithm as the TSA
if(!okay)
throw new Exception("Timestamp doesn't match! Don't trust this!");
}
Как вы можете догадаться, где я думаю, что застрял MagicallyCombineThisStuff функция.
3 ответа
Я наконец понял это сам. Это не должно вызывать удивления, но ответ тошнотворно сложен и косвен.
Недостающие части головоломки были в RFC 5652. Я действительно не понимал структуру TimeStampResp, пока не прочитал (ну, пролистал) этот документ.
Позвольте мне кратко описать структуры TimeStampReq и TimeStampResp. Интересные поля запроса:
- "отпечаток сообщения", который представляет собой хэш данных, которые должны быть помечены
- OID алгоритма хеширования, используемого для создания отпечатка сообщения
- необязательный "nonce", который представляет собой выбранный клиентом идентификатор, используемый для проверки того, что ответ генерируется специально для этого запроса. Это фактически просто соль, используемая, чтобы избежать повторных атак и обнаружить ошибки.
Основой ответа является структура CMS SignedData. Среди полей в этой структуре:
- сертификат (ы), использованный для подписи ответа
- член EncapsulatedContentInfo, содержащий структуру TSTInfo. Эта структура, что важно, содержит:
- отпечаток сообщения, который был отправлен в запросе
- одноразовый номер, который был отправлен в запросе
- время, сертифицированное TSA
- набор структур SignerInfo, обычно с одной структурой в наборе. Для каждого SignerInfo интересными полями в структуре являются:
- последовательность "подписанных атрибутов". DER-кодированный большой двоичный объект этой последовательности - это то, что фактически подписано. Среди этих атрибутов:
- время, подтвержденное TSA (снова)
- хэш DER-кодированного BLOB-объекта структуры TSTInfo
- издатель и серийный номер или идентификатор ключа субъекта, который идентифицирует сертификат подписывающего лица из набора сертификатов, найденных в структуре SignedData
- сама подпись
- последовательность "подписанных атрибутов". DER-кодированный большой двоичный объект этой последовательности - это то, что фактически подписано. Среди этих атрибутов:
Основной процесс проверки временной метки заключается в следующем:
- Прочитайте данные с меткой времени и пересчитайте отпечаток сообщения, используя тот же алгоритм хеширования, который использовался в запросе метки времени.
- Прочитайте одноразовый номер, используемый в запросе метки времени, который для этой цели должен быть сохранен вместе с меткой времени.
- Прочитайте и проанализируйте структуру TimeStampResp.
- Убедитесь, что структура TSTInfo содержит правильные выходные данные сообщения и одноразовые номера.
- Из TimeStampResp прочитайте сертификат (ы).
- Для каждого SignerInfo:
- Найдите сертификат для этого подписанта (там должен быть только один).
- Проверьте сертификат.
- Используя этот сертификат, проверьте подпись подписавшего.
- Убедитесь, что подписанные атрибуты содержат правильный хэш структуры TSTInfo
Если все в порядке, то мы знаем, что все подписанные атрибуты действительны, так как они подписаны, и так как эти атрибуты содержат хэш структуры TSTInfo, то мы также знаем, что это нормально. Поэтому мы подтвердили, что данные с метками времени не изменились со времени, указанного TSA.
Поскольку подписанные данные представляют собой BLOB в кодировке DER (который содержит хэш другого BLOB в кодировке DER, содержащей информацию, которая действительно важна для верификатора), невозможно обойтись без какой-либо библиотеки на клиенте (верификаторе), который понимает X Кодировка.690 и типы ASN.1. Поэтому я согласился включить Bouncy Castle в клиент, а также в процесс сборки, поскольку у меня нет времени, чтобы самому внедрить эти стандарты.
Мой код для добавления и проверки временных меток похож на следующее:
Генерация метки времени во время сборки:
// a lot of fully-qualified type names here to make sure it's clear what I'm using
static void WriteTimestampToBuild(){
var dataToTimestamp = ... // see OP
var hashToTimestamp = ... // see OP
var nonce = ... // see OP
var tsq = GetTimestampRequest(hashToTimestamp, nonce);
var tsr = GetTimestampResponse(tsq, "http://some.rfc3161-compliant.server");
ValidateTimestamp(tsq, tsr);
WriteToBuild("tsq-hashalg", Encoding.UTF8.GetBytes("SHA1"));
WriteToBuild("nonce", nonce.ToByteArray());
WriteToBuild("timestamp", tsr.GetEncoded());
}
static Org.BouncyCastle.Tsp.TimeStampRequest GetTimestampRequest(byte[] hash, Org.BouncyCastle.Math.BigInteger nonce){
var reqgen = new TimeStampRequestGenerator();
reqgen.SetCertReq(true);
return reqgen.Generate(TspAlgorithms.Sha1/*assumption*/, hash, nonce);
}
static void GetTimestampResponse(Org.BouncyCastle.Tsp.TimeStampRequest tsq, string url){
// similar to OP
}
static void ValidateTimestamp(Org.BouncyCastle.Tsp.TimeStampRequest tsq, Org.BouncyCastle.Tsp.TimeStampResponse tsr){
// same as client code, see below
}
static void WriteToBuild(string key, byte[] value){
// not shown
}
Проверка метки времени во время выполнения (клиентский сайт):
/* Just like in the OP, I've used fully-qualified names here to avoid confusion.
* In my real code, I'm not doing that, for readability's sake.
*/
static DateTime GetTimestamp(){
var timestampedData = ReadFromBuild("timestamped-data");
var hashAlg = Encoding.UTF8.GetString(ReadFromBuild("tsq-hashalg"));
var timestampedHash = System.Security.Cryptography.HashAlgorithm.Create(hashAlg).ComputeHash(timestampedData);
var nonce = new Org.BouncyCastle.Math.BigInteger(ReadFromBuild("nonce"));
var tsq = new Org.BouncyCastle.Tsp.TimeStampRequestGenerator().Generate(System.Security.Cryptography.CryptoConfig.MapNameToOID(hashAlg), timestampedHash, nonce);
var tsr = new Org.BouncyCastle.Tsp.TimeStampResponse(ReadFromBuild("timestamp"));
ValidateTimestamp(tsq, tsr);
// if we got here, the timestamp is okay, so we can trust the time it alleges
return tsr.TimeStampToken.TimeStampInfo.GenTime;
}
static void ValidateTimestamp(Org.BouncyCastle.Tsp.TimeStampRequest tsq, Org.BouncyCastle.Tsp.TimeStampResponse tsr){
/* This compares the nonce and message imprint and whatnot in the TSTInfo.
* It throws an exception if they don't match. This doesn't validate the
* certs or signatures, though. We still have to do that in order to trust
* this data.
*/
tsr.Validate(tsq);
var tst = tsr.TimeStampToken;
var timestamp = tst.TimeStampInfo.GenTime;
var signers = tst.ToCmsSignedData().GetSignerInfos().GetSigners().Cast<Org.BouncyCastle.Cms.SignerInformation>();
var certs = tst.GetCertificates("Collection");
foreach(var signer in signers){
var signerCerts = certs.GetMatches(signer.SignerID).Cast<Org.BouncyCastle.X509.X509Certificate>().ToList();
if(signerCerts.Count != 1)
throw new Exception("Expected exactly one certificate for each signer in the timestamp");
if(!signerCerts[0].IsValid(timestamp)){
/* IsValid only checks whether the given time is within the certificate's
* validity period. It doesn't verify that it's a valid certificate or
* that it hasn't been revoked. It would probably be better to do that
* kind of thing, just like I'm doing for the signing certificate itself.
* What's more, I'm not sure it's a good idea to trust the timestamp given
* by the TSA to verify the validity of the TSA's certificate. If the
* TSA's certificate is compromised, then an unauthorized third party could
* generate a TimeStampResp with any timestamp they wanted. But this is a
* chicken-and-egg scenario that my brain is now too tired to keep thinking
* about.
*/
throw new Exception("The timestamp authority's certificate is expired or not yet valid.");
}
if(!signer.Verify(signerCerts[0])){ // might throw an exception, might not ... depends on what's wrong
/* I'm pretty sure that signer.Verify verifies the signature and that the
* signed attributes contains a hash of the TSTInfo. It also does some
* stuff that I didn't identify in my list above.
* Some verification errors cause it to throw an exception, some just
* cause it to return false. If it throws an exception, that's great,
* because that's what I'm counting on. If it returns false, let's
* throw an exception of our own.
*/
throw new Exception("Invalid signature");
}
}
}
static byte[] ReadFromBuild(string key){
// not shown
}
Я не уверен, что понимаю, почему вы хотите перестроить структуру данных, подписанную в ответе. На самом деле, если вы хотите извлечь подписанные данные из ответа сервера отметки времени, вы можете сделать это:
var tsr = GetTimestamp(hashToTimestamp, nonce, "http://some.rfc3161-compliant.server");
var tst = tsr.TimeStampToken;
var tsi = tst.TimeStampInfo;
var signature = // Get the signature
var certificate = // Get the signer certificate
var signedData = tsi.GetEncoded(); // Similar to tsi.TstInfo.GetEncoded();
VerifySignature(signedData, signature, certificate)
Если вы хотите перестроить структуру данных, вам нужно создать новую Org.BouncyCastle.Asn1.Tsp.TstInfo пример (tsi.TstInfo это Org.BouncyCastle.Asn1.Tsp.TstInfo объект) со всеми элементами, содержащимися в ответе.
В RFC 3161 подписанная структура данных определяется как последовательность ASN.1:
TSTInfo ::= SEQUENCE {
version INTEGER { v1(1) },
policy TSAPolicyId,
messageImprint MessageImprint,
-- MUST have the same value as the similar field in
-- TimeStampReq
serialNumber INTEGER,
-- Time-Stamping users MUST be ready to accommodate integers
-- up to 160 bits.
genTime GeneralizedTime,
accuracy Accuracy OPTIONAL,
ordering BOOLEAN DEFAULT FALSE,
nonce INTEGER OPTIONAL,
-- MUST be present if the similar field was present
-- in TimeStampReq. In that case it MUST have the same value.
tsa [0] GeneralName OPTIONAL,
extensions [1] IMPLICIT Extensions OPTIONAL }
Поздравляем с выполнением этой сложной протокольной работы!
Смотрите также реализацию клиента Python в rfc3161ng 2.0.4.
Обратите внимание, что с протоколом TSP RFC 3161, как обсуждалось в Исследовательской группе по веб-науке и электронным библиотекам: 2017-04-20: надежная временная метка для меменсов и других публикаций, вы и ваши доверенные стороны должны доверять, что орган по отметке времени (TSA) работает правильно и надежно. Конечно, очень трудно, если не невозможно, реально защитить онлайн-серверы, подобные тем, которые работают в большинстве TSA.
Как также обсуждалось в этом документе, в сравнении с TSP, теперь, когда в мире существует множество общедоступных цепочек блоков, в которых доверие распределяется и (иногда) тщательно контролируется, появляются новые надежные метки времени (обеспечивающие "подтверждение существования" для документов)., Например, см. OriginStamp - метка доверенного времени с биткойнами. Протокол намного проще, и они предоставляют клиентский код для большого количества языков. Хотя его онлайн-сервер также может быть скомпрометирован, клиент может проверить, правильно ли были встроены его хеши в цепочку биткойнов, и, таким образом, обойти необходимость доверять самой службе OriginStamp. Недостатком является то, что временные метки публикуются только один раз в день, если не производится дополнительная оплата. Транзакции с биткойнами стали довольно дорогими, поэтому сервис рассчитывает на поддержку других блокчейнов, чтобы снизить затраты и сделать более дешевыми более своевременные публикации.