使用有效证书时,SignedCms.CheckSignature()总是失败

时间:2020-01-30 00:34:24

标签: .net cryptography pkcs#7

我正在尝试使用.NET Framework 4.7.2中的SignedCms.CheckSignature来验证我知道有效的消息,并使用我知道有效的证书。我正在使用以下代码执行此操作:

    using System.Security.Cryptography.Pkcs;
    using System.Security.Cryptography.X509Certificates;
    using System.Collections.Generic;

    public class VerifySignature {

        public static void Main(string [] args) {
            byte[] signature = FromHexString(secKey);
            byte[] certBytes = FromHexString(sCert);
            var certificate = new X509Certificate2(certBytes);
            var collection = new X509Certificate2Collection(certificate);
            var verifyCms = new SignedCms();
            verifyCms.Decode(signature);
            verifyCms.CheckSignature(collection, true);
        }

        // Disposable certificate + secKey
        private const string sCert
        private const string secKey

        private byte[] FromHexString(string hexString) {
            var bytes = new List<byte>();
            int by = 0;
            int hexDigits = 0;
            for (int i = 0; i < hexString.Length; ++i) {
                char c = hexString[i];
                if ('0' <= c && c <= '9') {
                    by = (by << 4) | (c - '0');
                    ++hexDigits;
                } else if ('A' <= c && c <= 'F') {
                    by = (by << 4) | (c - 'A' + 10);
                    ++hexDigits;
                }
                if (hexDigits == 2) {
                    bytes.Add((byte)by);
                    hexDigits = 0;
                }
            }
            return bytes.ToArray();
        }
    }

我已验证X509Certificate2是有效的,并且secKey已正确解码。但是,当我致电SignedCms.CheckSignature时,收到消息“哈希值不正确”的加密异常。

我是否期望此代码能正常工作?

1 个答案:

答案 0 :(得分:2)

secKey中的CMS SignedData值是使用分离的内容构建的,这意味着它只是签名。您尝试进行验证的方法是验证签名是否适用于new byte[0]

  • new byte[0]的SHA-1哈希为DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
  • 签名适用于SHA-1哈希为1A1A7B63F70EA93616A10297BA4D27FB9255753B的内容
  • 异常:哈希值不正确。

您需要找到内容,并将文档结构更改为

ContentInfo detachedData = new ContentInfo(data);
SignedCms verifyCms = new SignedCms(detachedData, detached: true);
// rest of code goes here.

一旦可以验证内部摘要,就可以根据给定的公钥成功地验证签名(基于调试器中的某些数据操作)。