Microsoft MVP성태의 닷넷 이야기
[답변]: ds:Signature 질문입니다. [링크 복사], [링크+제목 복사]
조회: 5031
글쓴 사람
윤용한 (yonghany at gmail.com)
홈페이지
첨부 파일
 
부모글 보이기/감추기
1) SignedXml 클래스로는 signature에 sha256을 사용 할 수가 없습니다.
그런데 digest는 xmlenc#sha256으로 지정해도 256비트 결과가 나오고 오류가 없더군요.

signedXml.SignedInfo.SignatureMethod = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";

rsa-sha256일 때 발생하는 예외
System.Security.Cryptography.CryptographicException: SignatureDescription could not be created for the signature algorithm supplied.
   at System.Security.Cryptography.Xml.SignedXml.ComputeSignature()


이걸 지원하지 않습니다. prefix 문제를 해결 하더라도 지원하지 않는 algorithm 때문에 에러가 날 것입니다.
관련 사이트
https://msdn.microsoft.com/en-us/library/windows/desktop/dd979768(v=vs.85).aspx

2) 서명 전에는 ds prefix가 없는 상태에서 진행합니다.
ancestor-or-self::ds:Signature => ancestor-or-self::Signature
ds:XPath => XPath

서명이 끝나면 SetPrefix()로 ds를 붙여줍니다.
제가 테스트해보니 이 함수를 그냥 쓰면 root node에는 ds가 붙지 않았고, namespace에도 붙지 않았습니다.
아래처럼 사용하세요.

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);


테스트 코드

        [Test]
        public void DoDigitalSign()
        {
            var priKey = GetSignPrivateKey("XmlSign.Test.Resources._2010.kmPri.key", "88888888");
            var signCert = new X509Certificate2(Datum.SIGNCERT);
            var transformXPath = "not(self::*[name()='TaxInvoice']" +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::Signature)";
            var transformXPath2 = "not(self::*[name()='TaxInvoice'] " +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::ds:Signature)";
            var signedFileName = "SignedTaxInvoice_Sampl.xml";
            var tbSignXml = GetResourceString("XmlSign.Test.Resources._2010.TaxInvoice_Sample.xml");

            SignXmlFile(
                tbSignXml,
                signedFileName,
                transformXPath, transformXPath2,
                priKey,
                signCert
                );
        }

        const string wszURI_XMLNS_DIGSIG_RSA_SHA256 = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";
        const string wszURI_XMLNS_DIGSIG_SHA256 = "http://www.w3.org/2001/04/xmlenc#sha256";

        public void SignXmlFile(string tbSignXml, string signedFileName, string xpath, string xpath2, RSA signKey, X509Certificate2 signCert)
        {
            XmlDocument doc = new XmlDocument { PreserveWhitespace = true };
            doc.LoadXml(tbSignXml);

            var signedXml = new SignedXml(doc);
            //signedXml.SignedInfo.SignatureMethod = SignedXml.XmlDsigRSASHA1Url;
            signedXml.SignedInfo.SignatureMethod = wszURI_XMLNS_DIGSIG_RSA_SHA256;
            //"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"; // see https://www.sysnet.pe.kr/Default.aspx?mode=3&sub=0&pageno=0&detail=1&wid=3653

            Reference reference = new Reference
            {
                Uri = "",
                //DigestMethod = SignedXml.XmlDsigSHA1Url
                DigestMethod = wszURI_XMLNS_DIGSIG_SHA256
            };
            reference.AddTransform(new XmlDsigC14NTransform(false));
            reference.AddTransform(CreateXPathTransform(xpath));
            signedXml.AddReference(reference);

            var keyInfo = new KeyInfo();
            keyInfo.AddClause(new KeyInfoX509Data(signCert));
            signedXml.KeyInfo = keyInfo;
            signedXml.SigningKey = signKey;

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);

            XmlElement root = doc.DocumentElement;
            root.InsertAfter(doc.ImportNode(xmldsigDoc.DocumentElement, true), root.FirstChild.NextSibling);
            doc.SelectSingleNode("descendant::ds:XPath", xmlNmMgr).InnerText = xpath2;
            
            using (XmlTextWriter writer = new XmlTextWriter(signedFileName, Encoding.UTF8))
            {
                doc.WriteTo(writer);
            }
        }

        #region functions

        public RSA GetSignPrivateKey(string uri, string passphrase)
        {
            PrivateKeyInfo privateKeyInfo =
                PrivateKeyInfoFactory.CreatePrivateKeyInfo(
                    passphrase.ToCharArray(),
                    EncryptedPrivateKeyInfo.GetInstance(
                        //Asn1Object.FromByteArray(GetResourceBytes(uri))));
                        Asn1Object.FromByteArray(Datum.SIGNPRIK)));
            return RsaUtils.GetRSAKey(privateKeyInfo);
        }

        private void SetPrefix(XmlNode node, string prefix = "ds")
        {
            foreach (XmlNode n in node.ChildNodes)
            {
                SetPrefix(n, prefix);
                n.Prefix = prefix;
            }
        }

        private static XmlDsigXPathTransform CreateXPathTransform(string xpath)
        {
            XmlDocument doc = new XmlDocument();
            // (note) 서명할 때는 ds prefix를 때고 해야 함
            XmlElement xPathElem = doc.CreateElement("XPath");
            xPathElem.InnerText = xpath;

            XmlDsigXPathTransform xForm = new XmlDsigXPathTransform();
            xForm.LoadInnerXml(xPathElem.SelectNodes("."));

            return xForm;
        }






[최초 등록일: ]
[최종 수정일: 11/28/2015 ]


비밀번호

댓글 쓴 사람
 



2015-11-28 06시09분
1번 사항에 대해서 추가해 드리면. 원래 해시는 단방향 해시 함수로 거기에 별다른 부가 인자가 없습니다. 즉, RSA 암호화 측면에서 보면 "개인키" 여부에 상관없이 그냥 단순하게 SHA256 해시 값을 구하는 기능이 있습니다. 그래서 DigestMethod에는 암호와 상관없는 단순 해시 알고리즘만이 선택가능한 것입니다.

그런데, 서명은 좀 다르죠. RSA의 경우 개인키의 영향을 받아야만 그것의 공개키로 검증했을 때 유일성을 보장받을 수 있으니까요. 그래서 RSA의 개인키(또는 그 외의 암호화 관련의 키)와 섞어서 해시를 구하는 것에는 rsa-sha256과 같이 암호화 알고리즘에 대한 문자열이 부가되는 것입니다. 그리고 이런 값들만 SignatureMethod속성에 지정될 수 있습니다.

근데, 굳이 그것을 왜 지적하셨는지 이유를 모르겠습니다. 질문자의 글에 보면 SignatureMethod에 rsa-sha256을 설정했고 DigestMethod에는 sha256을 지정해서 정상적으로 코드를 만들었는데요.
정성태
2015-11-29 04시50분
[윤용한] 정성태님 지적이 맞습니다. 오랜만에 이 분야를 들여다 봐서...
1번 상황은 .net 4.0으로 하다 보니 지원하지 않아 직접 등록을 해줘야 한다는 걸 알게되어 얘기한것입니다.
제가 너무 설레발이죠 ^^;
제가 테스트코드를 작성하는데 온 정신이 팔려 혼동했습니다.

지금 확인을 해보니, java로 작성한 hash와 .net으로 작성한 hash값이 다르게 나오고 있네요.
canonical transform, xpath transform 을 거쳐 hash를 만드는데, xpath transform이 java결과랑, .net결과가 달라서
hash가 다르게 나오네요. 그렇다고 ms로 서명한 파일이 잘못된건 아니지만 서로 다른 input을 사용하는 거 같습니다.

제 생각에는 mono security로 시도해보던지, 아니면 SignedXml을 직접 만들어야 해결이 될거 같네요...

- unit test 결과
c14ntransform 결과는 동일 (java결과는 Signature를 template형태로 미리 넣어두지만 hash에 영향을 미치지 않으니)
xpathtransform 결과는 다르게 나옴
[손님]
2015-11-30 12시45분
아니요. 썰렁한 제 게시판에 의견을 주셔서 감사드립니다. ^^ 그러게요. java/.net간이나 다른 언어들 간의 라이브러리가 잘 연동이 되면 좋을 텐데 꼭 한두가지씩 문제가 있는 것 같습니다. 제 경우에 예전에 Zip 연동이 그랬습니다. ^^

자바와 닷넷의 압축 호환
; http://www.sysnet.pe.kr/2/0/724
정성태

... 16  17  18  19  20  21  22  23  24  25  26  [27]  28  29  30  ...
NoWriterDateCnt.TitleFile(s)
3665김치사발면12/14/20156408C# 템플릿 설정이 이상해요ㅜㅜ [3]파일 다운로드1
3664KuLu12/10/20154499멀정하던 사이트 중 일부메뉴가 응답없음이 되어버립니다. [3]
3663Sungwoo Park12/10/20155511UWP 서버 프로그래밍 작업 중 [5]
3662Sungwoo Park12/9/20155294uwp앱에서 접속한 클라이언트 주소값을 받아서 표시하고 싶은데 어떤 메소드를 써야 할까요? [7]
3661김무진12/9/20155012Oracle 환경에서 데이터를 조회할때 한글이 ? 이렇게 표시가됩니다. [1]
3660질문자12/7/20156592OpenFileDialog 호출시 hang걸리는 문제 [4]
3659Sungwoo Park12/4/20155673UWP 앱에서 textBox로 클라에서 받은 값을 나타내고 싶은데 안되고 있습니다. [5]
3658강준12/3/20155771Visual Studio (Xamarin) vs Eclipse [2]
3656DEVYHJ12/1/20154250MasterPageFile 사용시 다국어 처리 질문입니다. [1]
3653DEVYHJ11/26/20155587ds:Signature 질문입니다. [7]
3654윤용한11/27/20155031    답변글 [답변]: ds:Signature 질문입니다. [3]
3657윤용한12/1/20156480    답변글 [답변]: ds:Signature 질문입니다. [1]
3651노태현11/20/201511652MariaDB - ASP.NET오류의 원인조차 못 찾고 있습니다.. [2]파일 다운로드2
3652노태현11/20/20155630    답변글 [답변]: MariaDB - ASP.NET오류의 원인조차 못 찾고 있습니다.. [3]
3649kokon11/17/20155749예제 파일 실행이 안 되네요 [5]
3647Sanghoon Lee11/15/20154455Part 3 목차? [5]
3646힘찬도약11/13/20157290c# mscorlib System.IO IOException [8]파일 다운로드2
3644힘찬도약11/11/20157153c# user.config파일 [2]
3645spowner11/13/20155279    답변글 [답변]: c# user.config파일 - Json.NET을 이용한 설정파일 처리 [1]파일 다운로드1
3643힘찬도약11/11/20156716C# 함수의 processing time과 재호출 [14]
3642.net11/10/20155548c# 으로 작성된 com+ 에 대한 문제입니다. [2]
3641힘참도약11/9/20155994c# log file 관련해서 질문드립니다. [5]
3638윤창선11/4/20155781사설IP가 부여된 무선라우터간 영상전송 관련 문의 [8]
3634Hyun Su An11/2/20154630c# 에서 webkit browser에서 webgl을 이용하는 사이트에 접속이 안됩니다. [1]
3633힘찬도약10/31/20154927mysql insert where not exists [6]
3632힘찬도약10/27/20155454C# Lock 관련해서 질문드립니다. [6]
... 16  17  18  19  20  21  22  23  24  25  26  [27]  28  29  30  ...