Microsoft MVP성태의 닷넷 이야기
[답변]: ds:Signature 질문입니다. [링크 복사], [링크+제목 복사]
조회: 7284
글쓴 사람
윤용한 (yonghany at gmail.com)
홈페이지
첨부 파일
 
부모글 보이기/감추기
1) SignedXml 클래스로는 signature에 sha256을 사용 할 수가 없습니다.
그런데 digest는 xmlenc#sha256으로 지정해도 256비트 결과가 나오고 오류가 없더군요.

signedXml.SignedInfo.SignatureMethod = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";

rsa-sha256일 때 발생하는 예외
System.Security.Cryptography.CryptographicException: SignatureDescription could not be created for the signature algorithm supplied.
   at System.Security.Cryptography.Xml.SignedXml.ComputeSignature()


이걸 지원하지 않습니다. prefix 문제를 해결 하더라도 지원하지 않는 algorithm 때문에 에러가 날 것입니다.
관련 사이트
https://msdn.microsoft.com/en-us/library/windows/desktop/dd979768(v=vs.85).aspx

2) 서명 전에는 ds prefix가 없는 상태에서 진행합니다.
ancestor-or-self::ds:Signature => ancestor-or-self::Signature
ds:XPath => XPath

서명이 끝나면 SetPrefix()로 ds를 붙여줍니다.
제가 테스트해보니 이 함수를 그냥 쓰면 root node에는 ds가 붙지 않았고, namespace에도 붙지 않았습니다.
아래처럼 사용하세요.

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);


테스트 코드

        [Test]
        public void DoDigitalSign()
        {
            var priKey = GetSignPrivateKey("XmlSign.Test.Resources._2010.kmPri.key", "88888888");
            var signCert = new X509Certificate2(Datum.SIGNCERT);
            var transformXPath = "not(self::*[name()='TaxInvoice']" +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::Signature)";
            var transformXPath2 = "not(self::*[name()='TaxInvoice'] " +
                                 "|ancestor-or-self::*[name()='ExchangedDocument']" +
                                 "|ancestor-or-self::ds:Signature)";
            var signedFileName = "SignedTaxInvoice_Sampl.xml";
            var tbSignXml = GetResourceString("XmlSign.Test.Resources._2010.TaxInvoice_Sample.xml");

            SignXmlFile(
                tbSignXml,
                signedFileName,
                transformXPath, transformXPath2,
                priKey,
                signCert
                );
        }

        const string wszURI_XMLNS_DIGSIG_RSA_SHA256 = "http://www.w3.org/2001/04/xmldsig-more#rsa-sha256";
        const string wszURI_XMLNS_DIGSIG_SHA256 = "http://www.w3.org/2001/04/xmlenc#sha256";

        public void SignXmlFile(string tbSignXml, string signedFileName, string xpath, string xpath2, RSA signKey, X509Certificate2 signCert)
        {
            XmlDocument doc = new XmlDocument { PreserveWhitespace = true };
            doc.LoadXml(tbSignXml);

            var signedXml = new SignedXml(doc);
            //signedXml.SignedInfo.SignatureMethod = SignedXml.XmlDsigRSASHA1Url;
            signedXml.SignedInfo.SignatureMethod = wszURI_XMLNS_DIGSIG_RSA_SHA256;
            //"http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"; // see https://www.sysnet.pe.kr/Default.aspx?mode=3&sub=0&pageno=0&detail=1&wid=3653

            Reference reference = new Reference
            {
                Uri = "",
                //DigestMethod = SignedXml.XmlDsigSHA1Url
                DigestMethod = wszURI_XMLNS_DIGSIG_SHA256
            };
            reference.AddTransform(new XmlDsigC14NTransform(false));
            reference.AddTransform(CreateXPathTransform(xpath));
            signedXml.AddReference(reference);

            var keyInfo = new KeyInfo();
            keyInfo.AddClause(new KeyInfoX509Data(signCert));
            signedXml.KeyInfo = keyInfo;
            signedXml.SigningKey = signKey;

            signedXml.ComputeSignature();

            XmlElement xmlDisigXml = signedXml.GetXml();
            var nameTable = new NameTable();
            XmlNamespaceManager xmlNmMgr = new XmlNamespaceManager(nameTable);
            xmlNmMgr.AddNamespace("ds", SignedXml.XmlDsigNamespaceUrl);
            xmlNmMgr.AddNamespace("xsi", "http://www.w3.org/2001/XMLSchema-instance");
            xmlNmMgr.AddNamespace("schemaLocation", "http://www.w3.org/2000/09/xmldsig# http://www.w3.org/TR/2002/REC-xmldsig-core-20020212/xmldsig-core-schema.xsd");

            var xmldsigDoc = new XmlDocument(nameTable);
            xmldsigDoc.LoadXml(xmlDisigXml.OuterXml);
            SetPrefix(xmldsigDoc);

            XmlElement root = doc.DocumentElement;
            root.InsertAfter(doc.ImportNode(xmldsigDoc.DocumentElement, true), root.FirstChild.NextSibling);
            doc.SelectSingleNode("descendant::ds:XPath", xmlNmMgr).InnerText = xpath2;
            
            using (XmlTextWriter writer = new XmlTextWriter(signedFileName, Encoding.UTF8))
            {
                doc.WriteTo(writer);
            }
        }

        #region functions

        public RSA GetSignPrivateKey(string uri, string passphrase)
        {
            PrivateKeyInfo privateKeyInfo =
                PrivateKeyInfoFactory.CreatePrivateKeyInfo(
                    passphrase.ToCharArray(),
                    EncryptedPrivateKeyInfo.GetInstance(
                        //Asn1Object.FromByteArray(GetResourceBytes(uri))));
                        Asn1Object.FromByteArray(Datum.SIGNPRIK)));
            return RsaUtils.GetRSAKey(privateKeyInfo);
        }

        private void SetPrefix(XmlNode node, string prefix = "ds")
        {
            foreach (XmlNode n in node.ChildNodes)
            {
                SetPrefix(n, prefix);
                n.Prefix = prefix;
            }
        }

        private static XmlDsigXPathTransform CreateXPathTransform(string xpath)
        {
            XmlDocument doc = new XmlDocument();
            // (note) 서명할 때는 ds prefix를 때고 해야 함
            XmlElement xPathElem = doc.CreateElement("XPath");
            xPathElem.InnerText = xpath;

            XmlDsigXPathTransform xForm = new XmlDsigXPathTransform();
            xForm.LoadInnerXml(xPathElem.SelectNodes("."));

            return xForm;
        }








[최초 등록일: ]
[최종 수정일: 11/28/2015]


비밀번호

댓글 작성자
 



2015-11-28 06시09분
1번 사항에 대해서 추가해 드리면. 원래 해시는 단방향 해시 함수로 거기에 별다른 부가 인자가 없습니다. 즉, RSA 암호화 측면에서 보면 "개인키" 여부에 상관없이 그냥 단순하게 SHA256 해시 값을 구하는 기능이 있습니다. 그래서 DigestMethod에는 암호와 상관없는 단순 해시 알고리즘만이 선택가능한 것입니다.

그런데, 서명은 좀 다르죠. RSA의 경우 개인키의 영향을 받아야만 그것의 공개키로 검증했을 때 유일성을 보장받을 수 있으니까요. 그래서 RSA의 개인키(또는 그 외의 암호화 관련의 키)와 섞어서 해시를 구하는 것에는 rsa-sha256과 같이 암호화 알고리즘에 대한 문자열이 부가되는 것입니다. 그리고 이런 값들만 SignatureMethod속성에 지정될 수 있습니다.

근데, 굳이 그것을 왜 지적하셨는지 이유를 모르겠습니다. 질문자의 글에 보면 SignatureMethod에 rsa-sha256을 설정했고 DigestMethod에는 sha256을 지정해서 정상적으로 코드를 만들었는데요.
정성태
2015-11-29 04시50분
[윤용한] 정성태님 지적이 맞습니다. 오랜만에 이 분야를 들여다 봐서...
1번 상황은 .net 4.0으로 하다 보니 지원하지 않아 직접 등록을 해줘야 한다는 걸 알게되어 얘기한것입니다.
제가 너무 설레발이죠 ^^;
제가 테스트코드를 작성하는데 온 정신이 팔려 혼동했습니다.

지금 확인을 해보니, java로 작성한 hash와 .net으로 작성한 hash값이 다르게 나오고 있네요.
canonical transform, xpath transform 을 거쳐 hash를 만드는데, xpath transform이 java결과랑, .net결과가 달라서
hash가 다르게 나오네요. 그렇다고 ms로 서명한 파일이 잘못된건 아니지만 서로 다른 input을 사용하는 거 같습니다.

제 생각에는 mono security로 시도해보던지, 아니면 SignedXml을 직접 만들어야 해결이 될거 같네요...

- unit test 결과
c14ntransform 결과는 동일 (java결과는 Signature를 template형태로 미리 넣어두지만 hash에 영향을 미치지 않으니)
xpathtransform 결과는 다르게 나옴
[손님]
2015-11-30 12시45분
아니요. 썰렁한 제 게시판에 의견을 주셔서 감사드립니다. ^^ 그러게요. java/.net간이나 다른 언어들 간의 라이브러리가 잘 연동이 되면 좋을 텐데 꼭 한두가지씩 문제가 있는 것 같습니다. 제 경우에 예전에 Zip 연동이 그랬습니다. ^^

자바와 닷넷의 압축 호환
; http://www.sysnet.pe.kr/2/0/724
정성태

... 31  32  33  [34]  35  36  37  38  39  40  41  42  43  44  45  ...
NoWriterDateCnt.TitleFile(s)
4748Beren Ko8/3/20167032그냥 생각이 들어서 여기 글 써봅니다. [1]
4746힘찬도약8/2/20167503[asp.net] local에서 cookies값이 읽혀지지 않는 경우 [1]
4747힘찬도약8/3/20167582    답변글 [예제 첨부]: [asp.net] local에서 cookies값이 읽혀지지 않는 경우 [3]파일 다운로드1
4745힘찬도약7/27/20168068.NET 자식창 데이터를 부모창에 전달시 오류 질문드립니다. [4]파일 다운로드1
4744변찬연7/27/20168099안녕하세요 그 edge를 이용하는 데 조금 불편함이 있어서 문의드립니다 [1]
4743딸랑구아빠7/26/20166994IE 사용 시 인증 정보 계속 보내기? [1]
4741차가워7/20/20167966UWP 에서 COM 참조 불가능한가요? [6]
4740lunacy807/19/20168554clickonce manifest 파일 질문 [1]
4739윤똘씨7/19/20167654정말 감동적입니다... [7]
4738닷넷초보7/7/20167111안녕하세요. C#의 개체 전달방식(참조)에 관련해서 질문 있습니다. [3]파일 다운로드1
4737beaujava7/6/20168934python embedding 한 c++ 프로그램의 배포에 관해서 질문드리고 싶습니다. [1]
4736spowner7/6/20166648Property Lambda에 대한 심층 분석을 의뢰합니다 [7]
4735힘찬도약7/5/20167171.Net/Web.config에서 MSSQL을 쓰는데, MysqlSiteMap 참조오류 [3]파일 다운로드1
4734spowner6/28/20166634Visual Studio 2015 + Windows Forms 환경에서 컴파일 할 때 드물게 개발환경이 Crash 됩니다 [1]
4733feeling6/15/20167358타 서버로 소스 이전 중 [3]파일 다운로드1
4732구봉근6/14/20166280안녕하세요 [1]파일 다운로드1
4731초급개발자6/7/20168924Windows Form Application는 사라질까요? [2]
4730김시현6/4/20166910책으로 공부하던 도중 생성자에 대해서 궁금한게 생겼는데 혹시 답변좀 해주실수 있나요? [1]
4729Jeahoon Jeong6/3/20168601C#.Net 프로그램에서 C++로 만들어진 dll 파일 이용관련 문의 하나 드립니다. [3]
4727링거5/30/20167165WPF MediaElement 파일 실행 후 삭제시 오류 문의 [1]파일 다운로드1
4728링거5/30/20167037    답변글 [답변]: WPF MediaElement 파일 실행 후 삭제시 오류 문의 [2]파일 다운로드1
4726spowner5/25/20166933덧글을 달고 나서 F5를 눌렀을 때 똑같은 덧글이 달리는 현상 고쳐주세요 [4]
4725FutureBread5/23/20167255책 잘보고 있습니다. Task관련 질문을!!! [1]
4724학생15/23/20167588웹소켓과 소켓 관련해서 질문 드립니다. [2]
4722지나가던학생5/15/20168437Part 3 pdf파일 그림 재수정 문의 [1]
4723지나가던 학생5/16/20167342    답변글 [답변]: Part 3 pdf파일 그림 재수정 문의 [1]
... 31  32  33  [34]  35  36  37  38  39  40  41  42  43  44  45  ...