방법: 서명된 메시지에 인증된 특성 추가
이 예제에서는 System.Security.Cryptography.Pkcs를 사용하여 CMS/PKCS #7 서명된 메시지를 만듭니다. 한 명의 서명자가 메시지에 서명합니다. 메시지에는 타임스탬프가 인증된 특성으로 포함됩니다. 이는 메시지 내용 및 타임스탬프 모두가 서명됨을 의미합니다. 그런 다음 해당 메시지의 내용 및 타임스탬프를 모두 인증하는 메시지의 서명을 확인합니다.
예제
또한 이 예제에서는 분리된 CMS/PKCS #7 메시지를 사용하는 방법을 보여 줍니다. 이는 메시지 내용이 CMS/PKCS #7 메시지에 저장되지 않음을 의미합니다. 따라서 메시지 내용은 CMS/PKCS #7 메시지를 확인하는 메서드로 전달되어야 합니다.
이 예제에서는 다음 클래스를 사용합니다.
다음 예제에서는 주체 이름이 "MessageSigner1"인 공개 키 인증서가 내 인증서 저장소에 포함되어야 하고 연관된 개인 키가 있어야 합니다.
.gif) 참고: |
|---|
이 예제는 예시 목적으로만 사용됩니다. 프로덕션 환경에서는 메시지를 보낸 사람 및 받는 사람이 고유한 공개 키 자격 증명을 사용하여 서로 다른 프로세스에서 실행하는 다른 모델을 사용할 수 있습니다. |
이를 위한 여러 방법 중 하나로서 Makecert.exe 유틸리티를 사용하여 이 예제를 설정합니다. Certificate Creation Tool (Makecert.exe)는 테스트 인증서를 생성하는 편리한 유틸리티입니다. 프로덕션 환경에서는 인증 기관에서 인증서를 생성합니다.
다음 Makecert 명령은 필요한 공개 키 인증서 및 개인 키를 생성합니다.
Makecert -n "CN=MessageSigner1" -ss My
// Copyright (c) Microsoft Corporation. All rights reserved.
#region Using directives
using System;
using System.Security.Cryptography;
using System.Security.Cryptography.Pkcs;
using System.Security.Cryptography.X509Certificates;
using System.Text;
#endregion
namespace AddAnAuthenticatedAttributeToASignedMessage
{
class SignedCmsAuthenticatedAttribute
{
const String signerName = "MessageSigner1";
static void Main(string[] args)
{
Console.WriteLine("System.Security.Cryptography.Pkcs " +
"Sample: Single-signer signed and verified message");
// Original message.
const String msg = "This is the message to be signed. " +
"A time stamp is included as an authenticated " +
"attribute.";
Console.WriteLine("\nOriginal message (len {0}): {1} ",
msg.Length, msg);
// Convert message to array of bytes for signing.
Encoding unicode = Encoding.Unicode;
byte[] msgBytes = unicode.GetBytes(msg);
Console.WriteLine("\n\n------------------------------");
Console.WriteLine(" SETUP OF CREDENTIALS ");
Console.WriteLine("------------------------------\n");
X509Certificate2 signerCert = GetSignerCert();
Console.WriteLine("\n\n----------------------");
Console.WriteLine(" SENDER SIDE ");
Console.WriteLine("----------------------\n");
byte[] encodedSignedCms = SignMsg(msgBytes, signerCert);
Console.WriteLine("\n\n------------------------");
Console.WriteLine(" RECIPIENT SIDE ");
Console.WriteLine("------------------------\n");
if (VerifyMsg(msgBytes, encodedSignedCms))
{
Console.WriteLine("\nMessage verified");
}
else
{
Console.WriteLine("\nMessage failed to verify");
}
}
// Open the My (or Personal) certificate store and search for
// credentials to sign the message with. The certificate
// must have the subject name "MessageSigner1".
static public X509Certificate2 GetSignerCert()
{
// Open the My certificate store.
X509Store storeMy = new X509Store(StoreName.My,
StoreLocation.CurrentUser);
storeMy.Open(OpenFlags.ReadOnly);
// Display certificates to help troubleshoot
// the example's setup.
Console.WriteLine("Found certs with the following subject " +
"names in the {0} store:", storeMy.Name);
foreach (X509Certificate2 cert in storeMy.Certificates)
{
Console.WriteLine("\t{0}", cert.SubjectName.Name);
}
// Find the signer's certificate.
X509Certificate2Collection certColl =
storeMy.Certificates.Find(X509FindType.FindBySubjectName,
signerName, false);
Console.WriteLine(
"Found {0} certificates in the {1} store with name {2}",
certColl.Count, storeMy.Name, signerName);
// Check to see if the certificate suggested by the example
// requirements is not present.
if (certColl.Count == 0)
{
Console.WriteLine(
"A suggested certificate to use for this example " +
"is not in the certificate store. Select " +
"an alternate certificate to use for " +
"signing the message.");
}
storeMy.Close();
// If more than one matching cert, return the first one.
return certColl[0];
}
// Sign the message with the private key of the signer.
static public byte[] SignMsg(
Byte[] msg,
X509Certificate2 signerCert)
{
// Place message in a ContentInfo object.
// This is required to build a SignedCms object.
ContentInfo contentInfo = new ContentInfo(msg);
// Instantiate SignedCms object with the ContentInfo above.
// Has default SubjectIdentifierType IssuerAndSerialNumber.
// Set the Detached property value to true, so message is
// not included in the encoded SignedCms.
SignedCms signedCms = new SignedCms(contentInfo, true);
// Formulate a CmsSigner object for the signer.
CmsSigner cmsSigner = new CmsSigner(signerCert);
// Add an authenticated time stamp attribute to the signer.
// The signing time is the current time.
cmsSigner.SignedAttributes.Add(new Pkcs9SigningTime());
// Sign the CMS/PKCS #7 message.
Console.Write("Computing signature with signer subject " +
"name {0} ... ", signerCert.SubjectName.Name);
signedCms.ComputeSignature(cmsSigner);
Console.WriteLine("Done.");
// Encode the CMS/PKCS #7 message.
return signedCms.Encode();
}
// Verify the encoded SignedCms message and return a Boolean
// value that specifies whether the verification was successful.
static public bool VerifyMsg(byte[] msgBytes, byte[] encodedSignedCms)
{
Pkcs9SigningTime st = new Pkcs9SigningTime();
// Build a ContentInfo object with the message bytes. This
// is necessary because the message is detached from the
// SignedCms object.
ContentInfo contentInfo = new ContentInfo(msgBytes);
// Prepare an object in which to decode and verify.
SignedCms signedCms = new SignedCms(contentInfo, true);
signedCms.Decode(encodedSignedCms);
// Catch a verification exception if you want to
// advise the message recipient that
// security actions might be appropriate.
try
{
// Verify signature. Do not validate signer
// certificate for the purposes of this example.
// Note that in a production environment, validating
// the signer certificate chain will probably
// be necessary.
Console.Write("Checking signature on message ... ");
signedCms.CheckSignature(true);
Console.WriteLine("Done.");
// Report the signing time for the CMS/PKCS #7 message.
for (int i = 0; i < signedCms.SignerInfos[0].SignedAttributes.Count; i++)
{
//if (signedCms.SignerInfos[0].SignedAttributes[i].
//Values[0].GetType().Equals(st.GetType()))
if (signedCms.SignerInfos[0].SignedAttributes[i].Values[0] is Pkcs9SigningTime)
{
Pkcs9SigningTime signingTime = (Pkcs9SigningTime)signedCms.SignerInfos[0].SignedAttributes[i].Values[0];
Console.WriteLine("Signing time: {0}", signingTime.SigningTime);
}
}
}
catch (System.Security.Cryptography.CryptographicException e)
{
Console.WriteLine("VerifyMsg caught exception: {0}",
e.Message);
Console.WriteLine("Verification of the signed PKCS #7 " +
"failed. The message, signatures, " +
" countersignatures, or authenticated attributes " +
" may have been modified in transit or storage. The " +
" message signers or countersigners may not be who " +
" they claim to be. The message's authenticity or " +
" integrity, or both, are not guaranteed.");
return false;
}
return true;
}
}
}
참고 항목
참조
CmsSigner
ContentInfo
SignedCms
X509Certificate2
X509Certificate2Collection
X509Store
.gif)
Copyright © 2007 by Microsoft Corporation. All rights reserved.