Microsoft MVP성태의 닷넷 이야기
[답변]: ds:Signature 질문입니다. [링크 복사], [링크+제목 복사]
조회: 12040
글쓴 사람
윤용한 (yonghany at gmail.com)
홈페이지
첨부 파일
 
부모글 보이기/감추기

1) SignedXml 클래스로는 signature에 sha256을 사용 할 수가 없습니다.
그런데 digest는 xmlenc#sha256으로 지정해도 256비트 결과가 나오고 오류가 없더군요.

signedXml.SignedInfo.SignatureMethod = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";

rsa-sha256일 때 발생하는 예외
System.Security.Cryptography.CryptographicException: SignatureDescription could not be created for the signature algorithm supplied.
   at System.Security.Cryptography.Xml.SignedXml.ComputeSignature()


이걸 지원하지 않습니다. prefix 문제를 해결 하더라도 지원하지 않는 algorithm 때문에 에러가 날 것입니다.
관련 사이트
https://msdn.microsoft.com/en-us/library/windows/desktop/dd979768(v=vs.85).aspx

2) 서명 전에는 ds prefix가 없는 상태에서 진행합니다.
ancestor-or-self::ds:Signature => ancestor-or-self::Signature
ds:XPath => XPath

서명이 끝나면 SetPrefix()로 ds를 붙여줍니다.
제가 테스트해보니 이 함수를 그냥 쓰면 root node에는 ds가 붙지 않았고, namespace에도 붙지 않았습니다.
아래처럼 사용하세요.

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);


테스트 코드

        [Test]
        public void DoDigitalSign()
        {
            var priKey = GetSignPrivateKey("XmlSign.Test.Resources._2010.kmPri.key", "88888888");
            var signCert = new X509Certificate2(Datum.SIGNCERT);
            var transformXPath = "not(self::*[name()='TaxInvoice']" +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::Signature)";
            var transformXPath2 = "not(self::*[name()='TaxInvoice'] " +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::ds:Signature)";
            var signedFileName = "SignedTaxInvoice_Sampl.xml";
            var tbSignXml = GetResourceString("XmlSign.Test.Resources._2010.TaxInvoice_Sample.xml");

            SignXmlFile(
                tbSignXml,
                signedFileName,
                transformXPath, transformXPath2,
                priKey,
                signCert
                );
        }

        const string wszURI_XMLNS_DIGSIG_RSA_SHA256 = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";
        const string wszURI_XMLNS_DIGSIG_SHA256 = "http://www.w3.org/2001/04/xmlenc#sha256";

        public void SignXmlFile(string tbSignXml, string signedFileName, string xpath, string xpath2, RSA signKey, X509Certificate2 signCert)
        {
            XmlDocument doc = new XmlDocument { PreserveWhitespace = true };
            doc.LoadXml(tbSignXml);

            var signedXml = new SignedXml(doc);
            //signedXml.SignedInfo.SignatureMethod = SignedXml.XmlDsigRSASHA1Url;
            signedXml.SignedInfo.SignatureMethod = wszURI_XMLNS_DIGSIG_RSA_SHA256;
            //"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"; // see https://www.sysnet.pe.kr/Default.aspx?mode=3&sub=0&pageno=0&detail=1&wid=3653

            Reference reference = new Reference
            {
                Uri = "",
                //DigestMethod = SignedXml.XmlDsigSHA1Url
                DigestMethod = wszURI_XMLNS_DIGSIG_SHA256
            };
            reference.AddTransform(new XmlDsigC14NTransform(false));
            reference.AddTransform(CreateXPathTransform(xpath));
            signedXml.AddReference(reference);

            var keyInfo = new KeyInfo();
            keyInfo.AddClause(new KeyInfoX509Data(signCert));
            signedXml.KeyInfo = keyInfo;
            signedXml.SigningKey = signKey;

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);

            XmlElement root = doc.DocumentElement;
            root.InsertAfter(doc.ImportNode(xmldsigDoc.DocumentElement, true), root.FirstChild.NextSibling);
            doc.SelectSingleNode("descendant::ds:XPath", xmlNmMgr).InnerText = xpath2;
            
            using (XmlTextWriter writer = new XmlTextWriter(signedFileName, Encoding.UTF8))
            {
                doc.WriteTo(writer);
            }
        }

        #region functions

        public RSA GetSignPrivateKey(string uri, string passphrase)
        {
            PrivateKeyInfo privateKeyInfo =
                PrivateKeyInfoFactory.CreatePrivateKeyInfo(
                    passphrase.ToCharArray(),
                    EncryptedPrivateKeyInfo.GetInstance(
                        //Asn1Object.FromByteArray(GetResourceBytes(uri))));
                        Asn1Object.FromByteArray(Datum.SIGNPRIK)));
            return RsaUtils.GetRSAKey(privateKeyInfo);
        }

        private void SetPrefix(XmlNode node, string prefix = "ds")
        {
            foreach (XmlNode n in node.ChildNodes)
            {
                SetPrefix(n, prefix);
                n.Prefix = prefix;
            }
        }

        private static XmlDsigXPathTransform CreateXPathTransform(string xpath)
        {
            XmlDocument doc = new XmlDocument();
            // (note) 서명할 때는 ds prefix를 때고 해야 함
            XmlElement xPathElem = doc.CreateElement("XPath");
            xPathElem.InnerText = xpath;

            XmlDsigXPathTransform xForm = new XmlDsigXPathTransform();
            xForm.LoadInnerXml(xPathElem.SelectNodes("."));

            return xForm;
        }








[최초 등록일: ]
[최종 수정일: 11/28/2015]


비밀번호

댓글 작성자
 



2015-11-28 06시09분
1번 사항에 대해서 추가해 드리면. 원래 해시는 단방향 해시 함수로 거기에 별다른 부가 인자가 없습니다. 즉, RSA 암호화 측면에서 보면 "개인키" 여부에 상관없이 그냥 단순하게 SHA256 해시 값을 구하는 기능이 있습니다. 그래서 DigestMethod에는 암호와 상관없는 단순 해시 알고리즘만이 선택가능한 것입니다.

그런데, 서명은 좀 다르죠. RSA의 경우 개인키의 영향을 받아야만 그것의 공개키로 검증했을 때 유일성을 보장받을 수 있으니까요. 그래서 RSA의 개인키(또는 그 외의 암호화 관련의 키)와 섞어서 해시를 구하는 것에는 rsa-sha256과 같이 암호화 알고리즘에 대한 문자열이 부가되는 것입니다. 그리고 이런 값들만 SignatureMethod 속성에 지정될 수 있습니다.

근데, 굳이 그것을 왜 지적하셨는지 이유를 모르겠습니다. 질문자의 글에 보면 SignatureMethod에 rsa-sha256을 설정했고 DigestMethod에는 sha256을 지정해서 정상적으로 코드를 만들었는데요.
정성태
2015-11-29 04시50분
[윤용한] 정성태님 지적이 맞습니다. 오랜만에 이 분야를 들여다 봐서...
1번 상황은 .net 4.0으로 하다 보니 지원하지 않아 직접 등록을 해줘야 한다는 걸 알게되어 얘기한것입니다.
제가 너무 설레발이죠 ^^;
제가 테스트코드를 작성하는데 온 정신이 팔려 혼동했습니다.

지금 확인을 해보니, java로 작성한 hash와 .net으로 작성한 hash값이 다르게 나오고 있네요.
canonical transform, xpath transform 을 거쳐 hash를 만드는데, xpath transform이 java결과랑, .net결과가 달라서
hash가 다르게 나오네요. 그렇다고 ms로 서명한 파일이 잘못된건 아니지만 서로 다른 input을 사용하는 거 같습니다.

제 생각에는 mono security로 시도해보던지, 아니면 SignedXml을 직접 만들어야 해결이 될거 같네요...

- unit test 결과
c14ntransform 결과는 동일 (java결과는 Signature를 template형태로 미리 넣어두지만 hash에 영향을 미치지 않으니)
xpathtransform 결과는 다르게 나옴
[guest]
2015-11-30 12시45분
아니요. 썰렁한 제 게시판에 의견을 주셔서 감사드립니다. ^^ 그러게요. java/.net 간이나 다른 언어들 간의 라이브러리가 잘 연동이 되면 좋을 텐데 꼭 한두 가지씩 문제가 있는 것 같습니다. 제 경우에 예전에 Zip 연동이 그랬습니다. ^^

자바와 닷넷의 압축 호환
; http://www.sysnet.pe.kr/2/0/724
정성태

... [46]  47  48  49  50  51  52  53  54  55  56  57  58  59  60  ...
NoWriterDateCnt.TitleFile(s)
3700박성훈2/18/201610939시작하세요! C# 6.0 프로그래밍 105쪽 예제 질문 [1]
3699박성훈2/18/201610546공부 방향성 질문 [2]
3698강준2/16/201611153Entity Framework 에서 Select for Update 가 가능한가요??? [1]
3697ds2/16/201610706어느 정도 문법을 알고 나면 [6]
3695Bere...2/15/201612950호출당한 메서드가 호출한 메서드를 알 수 있는 방법이 일반적인 방법 말고도 있을까요? [2]
3693조영준2/11/201613637UWP 앱을 만들고 있습니다. 죄송하지만 몇 가지 질문 드립니다. [4]
3692후배2/8/201612643html/css/js를 이용한 winForm의 UI표현이 가능 한가요? [3]
3690김대석2/5/201611113문의 드립니다. [2]
3687허재영2/3/201612704web api 보안관련 질문입니다. [2]
3685조진우2/1/201612639메인 응용 프로그램에서 DLL을 실시간으로 접근하여 사용하는데 이것을 모니터링 할 수 있을 까요? [1]
3684나그네1/27/201611996안녕하세요..wcf 관련하여 질문있습니다. [4]파일 다운로드1
3683김태형1/25/201612307 안녕하세요 저작도서를 구매하려는데 한가지 문의 사항이 있어서 질문드립니다. [1]
3681이영균1/8/201614870IE브라우저 추가기능관리의 항목을 사용함으로 c#코드로 변경을 하려고 합니다. [8]
3680후배1/6/201615075추천할만한 소켓 라이브러리 있으신가요? [2]
3679초록물꼬기1/6/201613944Parallel.For 에서 동기화문제에 관한 질문입니다. [11]파일 다운로드1
3678김민우1/3/201612380IHS 오류에 대한 질문입니다. [2]파일 다운로드1
3677초록색우산12/31/201513966HTTP 통신 - WebClient 이용시 한글깨짐 현상 발생 [2]
3676서정열12/31/201512808안녕하세요 WebService SoapExtensionImporter 에 대해서 질문드립니다. [3]
3675차가워12/30/201511869윈폼, 폼인폼 상황에서 하위컨트롤 포커스 문제 [1]
3673Sung...12/24/201512915UWP예외 발생 : 'System.Runtime.InteropServices.COMException'(mscorlib.ni.dll) 해결방법 [2]
3672Sung...12/23/201512171global::System.Diagnostics.Debugger.Break();가 노랗게 표시될시 [2]
3671이상준12/22/201516329한글 키보드 입력에 대해서 질문이 있습니다. [3]
3670Sung...12/18/201513100UWP 주기적으로 신호를 보내고 클라이언트에서 신호가 오면 받는 프로그램을 하려고 합니다. [5]
3669다비드12/18/201511382인터넷 임시파일 삭제 관련 질문. [1]
3668김치사발면12/16/201510846템플릿이 자꾸 초기화? 되버리네요 [1]
3667김치사발면12/15/201510761템플릿 설정 추가 질문 [1]파일 다운로드1
... [46]  47  48  49  50  51  52  53  54  55  56  57  58  59  60  ...