Импортировать открытый ключ RSA из сертификата
Наш клиент хранит свой открытый ключ RSA в сертификате.
Этот ключ нам нужен в нашем приложении WinRT, чтобы мы могли шифровать его на стороне клиента. Однако у нас есть проблемы с импортом ключа в экземпляр класса CryptographicKey.
Мы используем ImportPublicKey на RSAProvider:
rsaProvider = AsymmetricKeyAlgorithmProvider.OpenAlgorithm(AsymmetricAlgorithmNames.RsaPkcs1);
key = rsaProvider.ImportPublicKey(publicKeyBuffer);
Мы попытались загрузить несколько вещей в publicKeyBuffer: сертификат, открытый ключ, экспортированный из сертификата в нескольких форматах.
Как мы загружаем их открытый ключ?
3 ответа
Я нашел эту статью на форуме MSDN очень полезным. Карлос Лопес постет некоторый код, чтобы получить открытый ключ из закодированного в Base64 сертификата.
Вот код:
public static CryptographicKey GetCryptographicPublicKeyFromCert(string strCert)
{
int length;
CryptographicKey CryptKey = null;
byte[] bCert = Convert.FromBase64String(strCert);
// Assume Cert contains RSA public key
// Find matching OID in the certificate and return public key
byte[] rsaOID = EncodeOID("1.2.840.113549.1.1.1");
int index = FindX509PubKeyIndex(bCert, rsaOID, out length);
// Found X509PublicKey in certificate so copy it.
if (index > -1)
{
byte[] X509PublicKey = new byte[length];
Array.Copy(bCert, index, X509PublicKey, 0, length);
AsymmetricKeyAlgorithmProvider AlgProvider = AsymmetricKeyAlgorithmProvider.OpenAlgorithm(AsymmetricAlgorithmNames.RsaPkcs1);
CryptKey = AlgProvider.ImportPublicKey(CryptographicBuffer.CreateFromByteArray(X509PublicKey));
}
return CryptKey;
}
static int FindX509PubKeyIndex(byte[] Reference, byte[] value, out int length)
{
int index = -1;
bool found;
length = 0;
for (int n = 0; n < Reference.Length; n++)
{
if ((Reference[n] == value[0]) && (n + value.Length < Reference.Length))
{
index = n;
found = true;
for (int m = 1; m < value.Length; m++)
{
if (Reference[n + m] != value[m])
{
found = false;
break;
}
}
if (found) break;
else index = -1;
}
}
if (index > -1)
{
// Find outer Sequence
while (index > 0 && Reference[index] != 0x30) index--;
index--;
while (index > 0 && Reference[index] != 0x30) index--;
}
if (index > -1)
{
// Find the length of encoded Public Key
if ((Reference[index + 1] & 0x80) == 0x80)
{
int numBytes = Reference[index + 1] & 0x7F;
for (int m = 0; m < numBytes; m++)
{
length += (Reference[index + 2 + m] << ((numBytes - 1 - m) * 8));
}
length += 4;
}
else
{
length = Reference[index + 1] + 2;
}
}
return index;
}
static public byte[] EncodeOID(string szOID)
{
int[] OIDNums;
byte[] pbEncodedTemp = new byte[64];
byte[] pbEncoded = null;
int n, index, num, count;
OIDNums = ParseOID(szOID);
pbEncodedTemp[0] = 6;
pbEncodedTemp[2] = Convert.ToByte(OIDNums[0] * 40 + OIDNums[1]);
count = 1;
for (n = 2, index = 3; n < OIDNums.Length; n++)
{
num = OIDNums[n];
if (num >= 16384)
{
pbEncodedTemp[index++] = Convert.ToByte(num / 16384 | 0x80);
num = num % 16384;
count++;
}
if (num >= 128)
{
pbEncodedTemp[index++] = Convert.ToByte(num / 128 | 0x80);
num = num % 128;
count++;
}
pbEncodedTemp[index++] = Convert.ToByte(num);
count++;
}
pbEncodedTemp[1] = Convert.ToByte(count);
pbEncoded = new byte[count + 2];
Array.Copy(pbEncodedTemp, 0, pbEncoded, 0, count + 2);
return pbEncoded;
}
static public int[] ParseOID(string szOID)
{
int nlast, n = 0;
bool fFinished = false;
int count = 0;
int[] dwNums = null;
do
{
nlast = n;
n = szOID.IndexOf(".", nlast);
if (n == -1) fFinished = true;
count++;
n++;
} while (fFinished == false);
dwNums = new int[count];
count = 0;
fFinished = false;
do
{
nlast = n;
n = szOID.IndexOf(".", nlast);
if (n != -1)
{
dwNums[count] = Convert.ToInt32(szOID.Substring(nlast, n - nlast), 10);
}
else
{
fFinished = true;
dwNums[count] = Convert.ToInt32(szOID.Substring(nlast, szOID.Length - nlast), 10);
}
n++;
count++;
} while (fFinished == false);
return dwNums;
}
Для тех, кто ломает голову над тем, как вы можете использовать открытый ключ, хранящийся в сертификате в приложении WinRT, позвольте мне облегчить вашу боль: вы не можете, по крайней мере, не напрямую.
AsymmetricKeyAlgorithmProvider.ImportPublicKey Функция принимает IBuffer и CryptographicPublicKeyBlobType, параметр keyBlob (IBuffer) - это открытый ключ сертификата, а не полный сертификат, только его открытый ключ.
Но вы не можете получить открытый ключ сертификата без его предварительного разбора, вот в чем проблема, нет способа проанализировать сертификат в WinRT, учитывая, что наиболее используемый класс для этой задачи, X509Certificate, не не доступно и его пространство имен, а средства для сертификатов должны использоваться только при подключении к веб-службам.
Единственный способ обойти это - внедрить анализатор сертификатов или перенести такую функциональность из проекта с открытым исходным кодом, такого как Bouncy Castle. Итак, если вы знаете, пожалуйста, оставьте это в комментариях.
Кстати, чтобы экспортировать открытый ключ из сертификата (в простом.NET) в формате, который можно использовать в приложении WinRT, используйте это:
X509Certificate2 Certificate;
....
byte[] CertificatePublicKey = Certificate.PublicKey.EncodedKeyValue.RawData;
Затем в приложении WinRT используйте это:
AsymmetricKeyAlgorithmProvider algorithm = AsymmetricKeyAlgorithmProvider.OpenAlgorithm(AsymmetricAlgorithmNames.RsaSignPkcs1Sha1);
IBuffer KeyBuffer = CryptographicBuffer.DecodeFromBase64String(CertificatePublicKeyContent);
CryptographicKey key = algorithm.ImportPublicKey(KeyBuffer, CryptographicPublicKeyBlobType.Pkcs1RsaPublicKey);
Обратите внимание, что сначала я закодировал открытый ключ в base 64, но вместо этого вы можете использовать необработанные двоичные данные (класс CryptographicBuffer имеет больше методов для этой цели).
Две вещи:
- Аргументом ключа ImportPublicKey является IBuffer. Самый простой способ получить это - использовать метод расширения ToBuffer для байта [].
- Используйте переопределение ImportPublicKey, которое принимает как IBuffer, так и CryptographicPublicKeyBlobType, в частности CryptographicPublicKeyBlobType.X509SubjectPublicKeyInfo. Перейдите в информационное поле открытого ключа субъекта из сертификата.