我正在使用 Bouncycastle 来管理我项目的加密功能。
我设法使用 CMS 进行加密和解密,其中两个密钥都存储在我的文件系统中(.cert和.p12)。
这是我实际使用的两个功能:
private static byte[] CmsEncrypt(byte[] message)
{
var envelopGenerator = new CmsEnvelopedDataGenerator();
var certificateStream = new FileStream("Test.cer", FileMode.Open, FileAccess.Read);
var cert = new X509CertificateParser().ReadCertificate(certificateStream);
envelopGenerator.AddKeyTransRecipient(cert);
return
envelopGenerator.Generate(new CmsProcessableByteArray(message), CmsEnvelopedGenerator.DesEde3Cbc)
.GetEncoded();
}
private static byte[] CmsDecrypt(byte[] encrypted, AsymmetricKeyParameter key, X509Certificate cert)
{
return new CmsEnvelopedData(encrypted).GetRecipientInfos().GetFirstRecipient(new RecipientID()
{
SerialNumber = cert.SerialNumber,
Issuer = cert.IssuerDN
}).GetContent(key);
}
现在我必须向前迈出一步,私钥必须在智能卡上,但在这种情况下我真的无法使用 CMS 。
我可以初始化卡并解密一条简单的消息(使用标准的 pkcs11 ,我找到了一个很好的c#封装器)但我找不到任何线索如何做 CMS 使用智能卡解密。
答案 0 :(得分:3)
AFAIK BouncyCastleSharp只能使用可以暴露在主机内存中的加密密钥开箱即用。但是,一定不要忘记Bouncy Castle C#是一个通用的加密库,如果你愿意在更低级别的API 上做一些额外的工作,你也可以将它用于无法公开的密钥。主机内存。这些密钥通常存储在专用的加密硬件中,即智能卡,HSM,TPM,并且通常只能通过专用的加密API访问和使用,例如MS CryptoAPI(仅限Windows)和/或PKCS#11 API(多平台)。
我创建了一个示例应用程序 - Pkcs7SignatureGenerator - 用于Pkcs11Interop(我是其作者)和Bouncy Castle库创建CMS签名。在此应用程序中,Pkcs11Interop库通过PKCS#11 API执行签名操作,私钥存储在硬件设备中,Bouncy Castle库负责构建CMS(PKCS#7)签名结构。
在您的情况下,您需要使用BouncyCastle库(低级API)来解析CMS结构,然后使用PKCS#11库进行低级解密。这种方法要求您进行更多编码并对CMS有更深入的了解,但肯定可以做到。
几个月前,我正在评估可用的选项,以便更紧密地集成Pkcs11Interop和BouncyCastle库,但我发现BouncyCastle密钥材料处理API不能提供所需的抽象级别,因此这种集成需要对库进行重大改写。这将打破其向后兼容性,IMO不会被上游开发人员轻易接受。所以我决定不再继续了。希望这有帮助。