Можете ли вы дать больше информации о вашей среде.Прежде всего: какой пакет обновления имеет Windows 2003 Server.Например, существует ошибка «Выбор сертификата Diffie-Hellman SChannel по умолчанию на странице регистрации через Интернет. Причины ошибки: 0x80090008 - NTE_BAD_ALGID», которые исправлены в SP3 http://support.microsoft.com/kb/324953/en..бинарный файл с тестовым сообщением где-то в сети и размещенный здесь URLТогда можно будет воспроизвести и протестировать проблему.
Полагаю, чтобы исправить вашу проблему (если последний пакет обновления установлен на Windows Server 2003), нужно будет изменить некоторые свойства сертификата.с которым сообщение подписано.
Не думаю, кстати, что в вашем сертификате используются алгоритмы SHA-2 (SHA-256, SHA-384 и SHA-512).Если вы используете этот пакет и у вас установлен последний пакет обновления, тогда может потребоваться явно использовать «Microsoft Enhanced RSA и AES Cryptographic Provider» (или «Microsoft Enhanced RSA и AES Cryptographic Provider (Prototype)», как он вызывается в Windows.XP SP3) или PROV_RSA_AES или MS_ENH_RSA_AES_PROV вместо поставщика PROV_RSA_FULL по умолчанию.(см., например, http://blogs.msdn.com/alejacma/archive/2009/01/23/sha-2-support-on-windows-xp.aspx)
Обновлено 1: После получения тестового файла проблема становится более ясной. Прежде всего, хорошие новости. Ваша программа работает правильно! На моем тестовом сервере Windows 2003 с пакетом обновления 2 (SP2) он работает без проблем. Итак, у нас административная проблема, а не разработка программного обеспечения. Я рекомендую вам протестировать программу на другом сервере Windows 2003. На этом серверевы можете переустановить пакет обновления 2, а затем перейти в раздел «Обновления Microsoft» и установить все обновления.
Кстати, у вас нет проблем с SHA256 или другими алгоритмами SHA-2. В вашем примере вы используете стандарт 1.2.840.113549.1.1.5. Алгоритм sha1RSA.
Теперь о вашей программе. Я прочитал подробный ваш код и точно понимаю, что вы делаете. Вы получаете подписанное сообщение PKCS # 7, которое содержит текстовую плитку (файл XML) внутри. Как я понимаюваш пример взят из http://blogs.msdn.com/alejacma/archive/2010/04/09/how-to-call-cryptmsg-api-in-streaming-mode-c.aspx, который описывает проблему с расшифровкой файлов размером более 100 МБ (см. также http://blogs.msdn.com/alejacma/archive/2010/03/17/asn1-value-too-large-error-when-calling-signedcms-computesignature.aspx). Если у вас нет этого cКроме того, я рекомендую вам использовать криптографические функции .NET из пространства имен System.Security.Cryptography.Pkcs.Если у вас есть большие данные, ваш текущий код в порядке.Единственное подозрительное место - чтение входного файла.Я не читаю stream.ReadBytes () call.Я бы использовал файлы с лучшим отображением в памяти вместо загрузки огромного файла в память.Чтобы сделать это в нативном коде, вы можете использовать код, подобный следующему
DWORD MapFileInMemory (IN LPCWSTR pszFileName,
OUT PBYTE *ppbyFile, OUT PDWORD pdwFileSizeLow, OUT PDWORD pdwFileSizeHigh)
{
HANDLE hFile = INVALID_HANDLE_VALUE, hFileMapping = NULL;
DWORD dwStatus = (DWORD)E_UNEXPECTED;
__try {
// Open the input file to be encrypted or decrypted
hFile = CreateFileW (pszFileName, FILE_READ_DATA, FILE_SHARE_READ, NULL, OPEN_EXISTING,
FILE_ATTRIBUTE_NORMAL | FILE_FLAG_SEQUENTIAL_SCAN, NULL);
if (hFile == INVALID_HANDLE_VALUE) {
dwStatus = GetLastError();
__leave;
}
*pdwFileSizeLow = GetFileSize (hFile, pdwFileSizeHigh);
if (*pdwFileSizeLow == INVALID_FILE_SIZE){
dwStatus = GetLastError();
__leave;
}
hFileMapping = CreateFileMapping (hFile, NULL, PAGE_READONLY, 0, 0, NULL);
if (!hFileMapping){
dwStatus = GetLastError();
__leave;
}
*ppbyFile = (PBYTE) MapViewOfFile (hFileMapping, FILE_MAP_READ, 0, 0, 0);
if (*ppbyFile == NULL) {
dwStatus = GetLastError();
__leave;
}
dwStatus = NO_ERROR;
}
__finally {
if (hFileMapping)
CloseHandle (hFileMapping);
if (hFile != INVALID_HANDLE_VALUE)
CloseHandle (hFile);
}
return dwStatus;
}
BOOL UnmapFileFromMemory (LPCVOID lpBaseAddress)
{
return UnmapViewOfFile (lpBaseAddress);
}
Написание соответствующего кода .NET не будет проблемой.Используя файлы с отображением в памяти, создайте только виртуальное сопоставление адресов с файлом, данные будут считываться только при доступе к соответствующей части данных.
Еще одно замечание.Часть кода, в которой вы проверяете сообщение, не заполнена.Что вам нужно сделать, это проверка сертификата, с которым подписано сообщение.Если вы используете нативный CryptoAPI , вы можете сделать это в отношении CertGetCertificateChain().Только тогда вы будете уверены, что сертификат и все его родители действительны.Вы также должны проверить в отношении CertVerifyCertificateChainPolicy(), что цепочка сертификатов позволяет использовать сертификат для подписи сообщений.
Между прочим, текущий код работает без сообщений об ошибках, но с эмитентом сертификата, с которым сообщениеподписаны "CN = PostSignum Qualified CA, O =" Ceská pošta, sp [IC 47114983] ", C = CZ", и внутри вашего сообщения сертифицированный не существует.Вы можете использовать, например, certutil.exe -dump 31602.zfo, чтобы увидеть детали:
Missing Issuer: CN=PostSignum Qualified CA, O="Ceská pošta, s.p. [IC 47114983]", C=CZ
Issuer: CN=PostSignum Qualified CA, O="Ceská pošta, s.p. [IC 47114983]", C=CZ
NotBefore: 03.12.2009 11:23
NotAfter: 03.12.2010 10:33
Subject: SERIALNUMBER=S7464, CN=Informacní systém datových schránek - zkušební prostredí, O="Ceská pošta, s.p. [IC 47114983]", C=CZ
Serial: 04d3c5
SubjectAltName: RFC822 Name=postsignum@cpost.cz, Other Name:Description=13 00
59 c7 20 ba 70 b1 e6 93 ea c4 83 4b 3c 1e 35 dc b9 15 f5 ff
A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486)
Возможно, вы не хотите, чтобы любое подписанное сообщение считалось действительным.Проверка сертификата обязательна.Более того, во многих сценариях было бы хорошо определить диапазон источников, от которых эмитент хочет разрешить подписанные сообщения в качестве входных данных.Подумай об этом.
Обновлено 2: Вы правы в новом файле 331879.zfo, который вы действительно используете sha256RSA (1.2.840.113549.1.1.11) для подписи. Попробуйте установить http://support.microsoft.com/kb/968730/en, который мне нравится
http://thehotfixshare.net/board/index.php?showtopic=12629&hl=968730.
Это файл с цифровой подписью. Так что я должен быть в безопасности. Чтобы быть абсолютно уверенным, вы можете получить это исправление от Microsoft. Я надеюсь, что это исправление решит вашу проблему.
Обновлено 3 : Я немного больше подумал о вашем примере кода. Мне кажется, что для получения наилучшей реализации вы должны реализовать весь код декодирования сообщений как неуправляемый (нативный) код. Таким образом, вы не будете тратить дополнительное время на маршалинг между собственным и управляемым кодом при декодировании больших данных. Этот нативный код вы должны поместить в DLL и экспортировать функцию, которую вы можете использовать внутри основного управляемого кода.
Еще одно замечание по поводу использования памяти в поле. Использование отображаемой памяти в поле в основном оптимизировано для доступа к любому файлу в Windows как для чтения, так и для записи. Одна вещь, которую вы должны знать, это использование памяти. Если вы посмотрите в диспетчере задач на использованную память, вы увидите, что программа, использующая технику отображенного в память файла, может использовать очень большой объем памяти. Это не проблема вообще. Эта память не является физической памятью и не выгружается из файла подкачки . Виртуальный адрес будет привязан непосредственно к файлу, который вы отобразили в памяти. Таким образом, подкачка данных будет выполняться в отношении самих данных файла. Никаких дополнительных частей файла подкачки операционной системы не требуется. Этот ввод / вывод из файла значительно оптимизирован и реализован с учетом соответствующих функций встроенного процессора.
Конечное решение : Поскольку я не мог перестать думать об этой проблеме, мне пришлось ее решить. Вот решение, которое полностью основано на том, что я уже написал ранее.
public const int PROV_RSA_AES = 24;
public const String MS_ENH_RSA_AES_PROV =
"Microsoft Enhanced RSA and AES Cryptographic Provider";
public const String MS_ENH_RSA_AES_PROV_XP =
"Microsoft Enhanced RSA and AES Cryptographic Provider (Prototype)";
public const int CRYPT_VERIFYCONTEXT = unchecked((int)0xF0000000U);
[StructLayout (LayoutKind.Sequential)]
public struct OSVERSIONINFOEX {
public int dwOSVersionInfoSize;
public int dwMajorVersion;
public int dwMinorVersion;
public int dwBuildNumber;
public int dwPlatformId;
[MarshalAs (UnmanagedType.ByValTStr, SizeConst = 128)]
public string szCSDVersion;
public short wServicePackMajor;
public short wServicePackMinor;
public short wSuiteMask;
public byte wProductType;
public byte wReserved;
}
[DllImport ("kernel32.dll")]
public static extern bool GetVersionEx (ref OSVERSIONINFOEX osVersionInfo);
- Измените
public void Decode(FileStream inFile, FileStream outFile), чтобы явно использовать поставщик шифрования RSA и AES в Windows Server 2003 или XP
// insert next line before of try block like after this line
IntPtr hStore = IntPtr.Zero;
IntPtr hProv = IntPtr.Zero;
//...
// insert Windows versions test before CryptMsgOpenToDecode like after this line
StreamInfo.pfnStreamOutput = new Win32.StreamOutputCallbackDelegate(StreamOutputCallback);
Win32.OSVERSIONINFOEX osVersionInfo = new Win32.OSVERSIONINFOEX ();
osVersionInfo.dwOSVersionInfoSize = Marshal.SizeOf (typeof (Win32.OSVERSIONINFOEX));
if (Win32.GetVersionEx (ref osVersionInfo)) {
Console.WriteLine ("dwMajorVersion={0}, dwMinorVersion={1}, wProductType={2}",
osVersionInfo.dwMajorVersion, osVersionInfo.dwMinorVersion, osVersionInfo.wProductType);
if (osVersionInfo.dwMajorVersion == 5 &&
(osVersionInfo.dwMinorVersion == 2 || osVersionInfo.dwMinorVersion == 1)) {
// Windows 2003 or XP
string provider = Win32.MS_ENH_RSA_AES_PROV;
if (osVersionInfo.dwMajorVersion == 5 && osVersionInfo.dwMinorVersion == 1)
provider = Win32.MS_ENH_RSA_AES_PROV_XP;
Win32.CryptAcquireContext (ref hProv, null, provider,
Win32.PROV_RSA_AES, Win32.CRYPT_VERIFYCONTEXT);
}
}
// Open message to decode
hMsg = Win32.CryptMsgOpenToDecode(
Win32.X509_ASN_ENCODING | Win32.PKCS_7_ASN_ENCODING,
0,
0,
hProv,
IntPtr.Zero,
ref StreamInfo
);
- после декодирования закрывать дескриптор с учетом функции CryptReleaseContext
<pre>//...
// insert CryptReleaseContext somewhere inside of finally block like after this line
if (!hMsg.Equals(IntPtr.Zero))
{
Win32.CryptMsgClose(hMsg);
}
if (hProv != IntPtr.Zero)
Win32.CryptReleaseContext (hProv, 0);
Теперь программа работает с данными, подписанными с помощью алгоритмов SHA-2 (например, 331879.zfo, подписанных с 1.2.840.113549.1.1.11 sha256RSA)
Рекомендую не забывать о файлах, отображенных в память. Если вы используете .NET 4.0, вы можете использовать новые классы .NET Framework (см. http://msdn.microsoft.com/en-us/library/dd997372%28v=VS.100%29.aspx).