Microsoft MVP성태의 닷넷 이야기
[답변]: ds:Signature 질문입니다. [링크 복사], [링크+제목 복사]
조회: 5956
글쓴 사람
윤용한 (yonghany at gmail.com)
홈페이지
첨부 파일
 
부모글 보이기/감추기
1) SignedXml 클래스로는 signature에 sha256을 사용 할 수가 없습니다.
그런데 digest는 xmlenc#sha256으로 지정해도 256비트 결과가 나오고 오류가 없더군요.

signedXml.SignedInfo.SignatureMethod = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";

rsa-sha256일 때 발생하는 예외
System.Security.Cryptography.CryptographicException: SignatureDescription could not be created for the signature algorithm supplied.
   at System.Security.Cryptography.Xml.SignedXml.ComputeSignature()


이걸 지원하지 않습니다. prefix 문제를 해결 하더라도 지원하지 않는 algorithm 때문에 에러가 날 것입니다.
관련 사이트
https://msdn.microsoft.com/en-us/library/windows/desktop/dd979768(v=vs.85).aspx

2) 서명 전에는 ds prefix가 없는 상태에서 진행합니다.
ancestor-or-self::ds:Signature => ancestor-or-self::Signature
ds:XPath => XPath

서명이 끝나면 SetPrefix()로 ds를 붙여줍니다.
제가 테스트해보니 이 함수를 그냥 쓰면 root node에는 ds가 붙지 않았고, namespace에도 붙지 않았습니다.
아래처럼 사용하세요.

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);


테스트 코드

        [Test]
        public void DoDigitalSign()
        {
            var priKey = GetSignPrivateKey("XmlSign.Test.Resources._2010.kmPri.key", "88888888");
            var signCert = new X509Certificate2(Datum.SIGNCERT);
            var transformXPath = "not(self::*[name()='TaxInvoice']" +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::Signature)";
            var transformXPath2 = "not(self::*[name()='TaxInvoice'] " +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::ds:Signature)";
            var signedFileName = "SignedTaxInvoice_Sampl.xml";
            var tbSignXml = GetResourceString("XmlSign.Test.Resources._2010.TaxInvoice_Sample.xml");

            SignXmlFile(
                tbSignXml,
                signedFileName,
                transformXPath, transformXPath2,
                priKey,
                signCert
                );
        }

        const string wszURI_XMLNS_DIGSIG_RSA_SHA256 = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";
        const string wszURI_XMLNS_DIGSIG_SHA256 = "http://www.w3.org/2001/04/xmlenc#sha256";

        public void SignXmlFile(string tbSignXml, string signedFileName, string xpath, string xpath2, RSA signKey, X509Certificate2 signCert)
        {
            XmlDocument doc = new XmlDocument { PreserveWhitespace = true };
            doc.LoadXml(tbSignXml);

            var signedXml = new SignedXml(doc);
            //signedXml.SignedInfo.SignatureMethod = SignedXml.XmlDsigRSASHA1Url;
            signedXml.SignedInfo.SignatureMethod = wszURI_XMLNS_DIGSIG_RSA_SHA256;
            //"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"; // see https://www.sysnet.pe.kr/Default.aspx?mode=3&sub=0&pageno=0&detail=1&wid=3653

            Reference reference = new Reference
            {
                Uri = "",
                //DigestMethod = SignedXml.XmlDsigSHA1Url
                DigestMethod = wszURI_XMLNS_DIGSIG_SHA256
            };
            reference.AddTransform(new XmlDsigC14NTransform(false));
            reference.AddTransform(CreateXPathTransform(xpath));
            signedXml.AddReference(reference);

            var keyInfo = new KeyInfo();
            keyInfo.AddClause(new KeyInfoX509Data(signCert));
            signedXml.KeyInfo = keyInfo;
            signedXml.SigningKey = signKey;

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);

            XmlElement root = doc.DocumentElement;
            root.InsertAfter(doc.ImportNode(xmldsigDoc.DocumentElement, true), root.FirstChild.NextSibling);
            doc.SelectSingleNode("descendant::ds:XPath", xmlNmMgr).InnerText = xpath2;
            
            using (XmlTextWriter writer = new XmlTextWriter(signedFileName, Encoding.UTF8))
            {
                doc.WriteTo(writer);
            }
        }

        #region functions

        public RSA GetSignPrivateKey(string uri, string passphrase)
        {
            PrivateKeyInfo privateKeyInfo =
                PrivateKeyInfoFactory.CreatePrivateKeyInfo(
                    passphrase.ToCharArray(),
                    EncryptedPrivateKeyInfo.GetInstance(
                        //Asn1Object.FromByteArray(GetResourceBytes(uri))));
                        Asn1Object.FromByteArray(Datum.SIGNPRIK)));
            return RsaUtils.GetRSAKey(privateKeyInfo);
        }

        private void SetPrefix(XmlNode node, string prefix = "ds")
        {
            foreach (XmlNode n in node.ChildNodes)
            {
                SetPrefix(n, prefix);
                n.Prefix = prefix;
            }
        }

        private static XmlDsigXPathTransform CreateXPathTransform(string xpath)
        {
            XmlDocument doc = new XmlDocument();
            // (note) 서명할 때는 ds prefix를 때고 해야 함
            XmlElement xPathElem = doc.CreateElement("XPath");
            xPathElem.InnerText = xpath;

            XmlDsigXPathTransform xForm = new XmlDsigXPathTransform();
            xForm.LoadInnerXml(xPathElem.SelectNodes("."));

            return xForm;
        }




donaricano-btn



[최초 등록일: ]
[최종 수정일: 11/28/2015


비밀번호

댓글 쓴 사람
 



2015-11-28 06시09분
1번 사항에 대해서 추가해 드리면. 원래 해시는 단방향 해시 함수로 거기에 별다른 부가 인자가 없습니다. 즉, RSA 암호화 측면에서 보면 "개인키" 여부에 상관없이 그냥 단순하게 SHA256 해시 값을 구하는 기능이 있습니다. 그래서 DigestMethod에는 암호와 상관없는 단순 해시 알고리즘만이 선택가능한 것입니다.

그런데, 서명은 좀 다르죠. RSA의 경우 개인키의 영향을 받아야만 그것의 공개키로 검증했을 때 유일성을 보장받을 수 있으니까요. 그래서 RSA의 개인키(또는 그 외의 암호화 관련의 키)와 섞어서 해시를 구하는 것에는 rsa-sha256과 같이 암호화 알고리즘에 대한 문자열이 부가되는 것입니다. 그리고 이런 값들만 SignatureMethod속성에 지정될 수 있습니다.

근데, 굳이 그것을 왜 지적하셨는지 이유를 모르겠습니다. 질문자의 글에 보면 SignatureMethod에 rsa-sha256을 설정했고 DigestMethod에는 sha256을 지정해서 정상적으로 코드를 만들었는데요.
정성태
2015-11-29 04시50분
[윤용한] 정성태님 지적이 맞습니다. 오랜만에 이 분야를 들여다 봐서...
1번 상황은 .net 4.0으로 하다 보니 지원하지 않아 직접 등록을 해줘야 한다는 걸 알게되어 얘기한것입니다.
제가 너무 설레발이죠 ^^;
제가 테스트코드를 작성하는데 온 정신이 팔려 혼동했습니다.

지금 확인을 해보니, java로 작성한 hash와 .net으로 작성한 hash값이 다르게 나오고 있네요.
canonical transform, xpath transform 을 거쳐 hash를 만드는데, xpath transform이 java결과랑, .net결과가 달라서
hash가 다르게 나오네요. 그렇다고 ms로 서명한 파일이 잘못된건 아니지만 서로 다른 input을 사용하는 거 같습니다.

제 생각에는 mono security로 시도해보던지, 아니면 SignedXml을 직접 만들어야 해결이 될거 같네요...

- unit test 결과
c14ntransform 결과는 동일 (java결과는 Signature를 template형태로 미리 넣어두지만 hash에 영향을 미치지 않으니)
xpathtransform 결과는 다르게 나옴
[손님]
2015-11-30 12시45분
아니요. 썰렁한 제 게시판에 의견을 주셔서 감사드립니다. ^^ 그러게요. java/.net간이나 다른 언어들 간의 라이브러리가 잘 연동이 되면 좋을 텐데 꼭 한두가지씩 문제가 있는 것 같습니다. 제 경우에 예전에 Zip 연동이 그랬습니다. ^^

자바와 닷넷의 압축 호환
; http://www.sysnet.pe.kr/2/0/724
정성태

... 16  17  18  19  20  21  22  23  24  25  26  27  28  29  [30]  ...
NoWriterDateCnt.TitleFile(s)
4718ds4/27/20165340오라클 DB 칼럼에 있는 특정 데이터를 가져올수가 있나여? [1]
4717최령진4/26/20164956모바일 웹 앱 관련문의 드립니다 [1]
4715과객4/7/20166274TFS 와 Stylecop Integration 시 체크인 정책 적용 방법이 궁금합니다. [1]
4714임형복4/7/20165778DLL 을 프로세스처럼 사용하기 [3]파일 다운로드1
4713김태훈4/5/20166333하위 폴더 권한 상속 문제 [1]
4712차가워4/5/20166956멀티코어 스레드 문의 [1]
4711이대희4/1/20165897Xamarin 라이센스 변경 (Visual Sutuio 무료 사용) [2]
4709가가멜3/25/201621655국내 WPF 책은 왜 2010 년 이후로 전멸인지요? [1]
4704최훈3/15/20167611C# 6.0 예제 7.1 관련 질문입니다. [2]
4702popo3/14/20167803C# WeakReference이 CPU 플랫폼 설정 마다 결과가 틀리게 나옵니다. [9]
4701쌉쓰릅3/13/20167128uwp에서 그림판의 지우개 기능을 구현하려고하는데요 참고할 만한 정보가 있을가요? [2]
4700정우진3/12/20166152안녕하세요. 10049소켓에러의 해결법을 알고싶습니다. - 수정본 [1]파일 다운로드1
4699정우진3/11/20167401안녕하세요. 10049소켓에러의 해결법을 알고싶습니다. [1]
4698지나가는3/10/20167560안녕하세요. 주기적으로 일어나는 .net 관련 질문이 있습니다 [1]
4697정우진3/9/20164948안녕하세요. AWS EC2를 이용한 서버 개발에 대해 질문드립니다. [1]
4696삽질맨3/9/20168687Winform Cold Start 로딩 속도 개선 방법이 없을까요? [1]
4695popo3/9/20166417wpf의 ICommand 질문 입니다. [5]파일 다운로드1
4694아무개2/28/20166194책 잘보고있습니다~ [1]
4693초보2/25/20164926카카오톡 오류 질문 [1]
3701강준2/19/2016114502개의 DataTable Join 결과 전체 컬럼을 DataTable 로 리턴하기 [5]
3700박성훈2/18/20165642시작하세요! C# 6.0 프로그래밍 105쪽 예제 질문 [1]
3699박성훈2/18/20165561공부 방향성 질문 [2]
3698강준2/16/20165848Entity Framework 에서 Select for Update 가 가능한가요??? [1]
3697ds2/16/20165424어느 정도 문법을 알고 나면 [6]
3695Beren Ko2/15/20166326호출당한 메서드가 호출한 메서드를 알 수 있는 방법이 일반적인 방법 말고도 있을까요? [2]
3693조영준2/11/20167797UWP 앱을 만들고 있습니다. 죄송하지만 몇 가지 질문 드립니다. [4]
... 16  17  18  19  20  21  22  23  24  25  26  27  28  29  [30]  ...