在PKCS7(CMS)中使用相同的响应xml签名对多个位置进行签名
问题描述 投票:2回答:1
PDF文件需要与国家数字身份签订。 国家数字身份WebService提供签署文件的设施,在我的项目中我已经集成了相同的。
请求Esign服务以PKCS7(CMS)格式给出响应。我想在多个位置添加相同的响应,所以我创建多个空签名容器帖子我收到来自服务的响应。
我引用了这篇文章:Sign Pdf Using ITextSharp and XML Signature
但在给定的文章中,我们只有一个签名位置,但我有多个签名位置。
我正在使用itext sharp Library。使用MakeSignature.SignDeferred方法在多个位置附加签名但显示PDF无效。
请在下面找到我从Webservice收到的响应XML:
<?xml version="1.0" encoding="UTF-8"?>
<EsignResp errCode="NA" errMsg="NA" resCode="259A52453BE95D3A1071193995E062E3EAD796AD" status="1" ts="2019-03-18T14:26:59" txn="UKC:eSign:2998:20190318142602814">
<UserX509Certificate>--Usercerti in base64--</UserX509Certificate>
<Signatures>
<DocSignature error="" id="1" sigHashAlgorithm="SHA256">--Signature in base 64 in PKCS7(CMS)---</DocSignature>
</Signatures>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo xmlns="http://www.w3.org/2000/09/xmldsig#">
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"></CanonicalizationMethod>
<SignatureMethod Algorithm="http://www.w3.org/2001/04/xmldsig-more#rsa-sha256"></SignatureMethod>
<Reference URI="">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"></Transform>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2001/04/xmlenc#sha256"></DigestMethod>
<DigestValue>MrOfovytOIp/8qlEkgamrcyhGTSGTN5aS1P+08Fbwfk=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>BBexJyk47YaTdoDgXaFRCtJq1Gc3KsZNt48/I8X4TgNJ6gh2NI9Y5Y9Tc7bozrK/QRy1VYPOWYq5r/YdunjMQLmJJicyeqeqe2eD+TJ8oecpjCbmhPnDK2VgaJ2h00lIe/toKwAmV4PTBA1a5wkz77hj+HTkWXMkPEIsBUnBirVpHxe2bYaa7jcIIpWtJmqvcSurKTOeyFRa+AFWfwWHB/EzHJlDmgiMXzrNauxJ4HpphNaRU+bO5JdyzJs/8Zx4i6qwSEybkuprL3GdO9C7zMPiC98CTfO2UrbZWy1pSvwEqlVXQIfrkp+m2JRbFgT8EEIGfXUS+AJBPRwhY1Xsww==</SignatureValue>
<KeyInfo>
<KeyValue>
<RSAKeyValue>
<Modulus>0o9vohWZ3ztI9ea8D/zUEUBRq6c82BE7sFmr1hNMeuGSJQFf39ceesRtGUzlUYVWXcU23P8sVZ5419CHh7ApFzUXaLD72i/2d5FFI0n3iRlTQec9PEUHyrvOCVDpqBhbnrO/EHBqRluUQJTQUtMu5mhPNFV7IIJMTEAsUhCL9adZXXQK9NeK0foRr29Oq7VdEGfSeLzHIibpQmhNPh89oJXqu0cmbNSW4J4i2GmwHQpmsmHaSQcgh4mgVrykO64pAKXPreAPipDHQM1l/e5hilYlWfLHxhC5ObTCTcydQ218IVulFOFhdQt7xVV61TOmoTC2elhWbDqoLJBVU5mBfQ==</Modulus>
<Exponent>AQAB</Exponent>
</RSAKeyValue>
</KeyValue>
<X509Data>
<X509SubjectName>CN=DS NSDL E GOVERNANCE INFRASTRUCTURE LIMITED 3,ST=MAHARASHTRA,PostalCode=400013,O=NSDL E GOVERNANCE INFRASTRUCTURE LIMITED,C=IN</X509SubjectName>
<X509Certificate>--public certificate of provider--- </X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</EsignResp>
编辑:根据最新的通信,Web服务提供响应从我的端提供的任何哈希。他们没有验证它。哈希是任何64个字符的字符串。请告诉我有什么方法可以用来在PDF文档上附加PKCS7签名。
以下代码用于生成请求:
if (System.IO.File.Exists(tempPdf))
System.IO.File.Delete(tempPdf);
using (PdfReader reader = new PdfReader(pdfReadServerPath))
{
using (FileStream os = System.IO.File.OpenWrite(tempPdf))
{
PdfStamper stamper = PdfStamper.CreateSignature(reader, os, '\0',null,true);
PdfSignatureAppearance appearance = stamper.SignatureAppearance;
appearance.SetVisibleSignature(new Rectangle(15, 15, 100, 100), 1, "sign1");
appearance.CertificationLevel = PdfSignatureAppearance.NOT_CERTIFIED;
AllPagesSignatureContainer external = new AllPagesSignatureContainer(appearance);
MakeSignature.SignExternalContainer(appearance, external, 8192);
Stream data = appearance.GetRangeStream();
Stream data = appearance.GetRangeStream();
byte[] hash = ReadFully(data); //Convert stream to byte
_signatureHash = hash;
}
}
//create sha256 message digest
using (SHA256.Create())
{
_signatureHash = SHA256.Create().ComputeHash(_signatureHash);
}
bool check = false;
string hexencodedDigest = null;
//create hex encoded sha256 message digest
hexencodedDigest = new BigInteger(1, _signatureHash).ToString(16);
hexencodedDigest = hexencodedDigest.ToUpper();
if (hexencodedDigest.Length == 64)
{
**Send this hexencoded hash to webservice**
}
下面附加签名的代码:
//DLL Call
eSign2_1_Request_Response req_resp = new eSign2_1_Request_Response();
//// Response XML Digest process
string resp_xml = Request.Form["msg"].ToString();//signature response XML;
XmlDocument xmlDoc = new XmlDocument();
xmlDoc.LoadXml(resp_xml);
XmlElement EsignResp = xmlDoc.DocumentElement;
if (EsignResp.Attributes != null && EsignResp.Attributes["status"].Value != "1")
{
req_resp.WriteTextFileLog("errCode: " + EsignResp.Attributes["errCode"].Value + " & Error Message: " + EsignResp.Attributes["errMsg"].Value, "log", base_folder_path);
}
else
{
req_resp.WriteTextFileLog(resp_xml, "xml", base_folder_path + "\\" + file_withoutExtn + "_responseXML.txt");
//-------Continue to generate signed PDF by passing parameter to DLL
XmlNodeList nodeList = xmlDoc.GetElementsByTagName("Signatures");
string signature = nodeList[0].FirstChild.InnerText;
string signedPdf = @"D:\POC Hosted\TryNSDL\TryNSDL\wwwroot\TempPath\signedPdf.pdf";
string tempPdf = @"D:\POC Hosted\TryNSDL\TryNSDL\wwwroot\TempPath\tempPdf.pdf";
using (PdfReader reader = new PdfReader(tempPdf))
{
using (FileStream os = System.IO.File.OpenWrite(signedPdf))
{
byte[] encodedSignature = Convert.FromBase64String(signature);
IExternalSignatureContainer external = new MyExternalSignatureContainer(encodedSignature);
MakeSignature.SignDeferred(reader, "sign1", os, external);
}
}
}
Allsignature容器代码:
public class AllPagesSignatureContainer : IExternalSignatureContainer
{
public AllPagesSignatureContainer(PdfSignatureAppearance appearance)
{
this.appearance = appearance;
}
public void ModifySigningDictionary(PdfDictionary signDic)
{
signDic.Put(PdfName.FILTER, PdfName.ADOBE_PPKMS);
signDic.Put(PdfName.SUBFILTER, PdfName.ADBE_PKCS7_DETACHED);
PdfStamper stamper = appearance.Stamper;
PdfReader reader = stamper.Reader;
PdfDictionary xobject1 = new PdfDictionary();
PdfDictionary xobject2 = new PdfDictionary();
xobject1.Put(PdfName.N, appearance.GetAppearance().IndirectReference);
xobject2.Put(PdfName.AP, xobject1);
PdfIndirectReference PRef = stamper.Writer.PdfIndirectReference;
PdfLiteral PRefLiteral = new PdfLiteral((PRef.Number + reader.NumberOfPages) + " 0 R");
for (int i = 2; i < reader.NumberOfPages+1; i++)
{
var signatureField = PdfFormField.CreateSignature(stamper.Writer);
signatureField.Put(PdfName.T, new PdfString("ClientSignature_" + i.ToString()));
signatureField.Put(PdfName.V, PRefLiteral);
signatureField.Put(PdfName.F, new PdfNumber("132"));
signatureField.SetWidget(new Rectangle(15, 15, 100, 100), null);
signatureField.Put(PdfName.SUBTYPE, PdfName.WIDGET);
signatureField.Put(PdfName.AP, xobject1);
signatureField.SetPage();
Console.WriteLine(signatureField);
stamper.AddAnnotation(signatureField, i);
}
}
public byte[] Sign(Stream data)
{
return new byte[0];
}
PdfSignatureAppearance appearance;
}
我在创建签名中使用追加模式然后签名不来。在adobe reader中只能看到空签名:https://www.sendspace.com/file/5d1z0t
如果我没有appendmode PdfStamper stamper = PdfStamper.CreateSignature(reader, os, '\0');和PdfLiteral PRefLiteral = new PdfLiteral((PRef.Number + 1 + 2 * (reader.NumberOfPages - 1)) + " 0 R");尝试相同,那么它工作正常:https://www.sendspace.com/file/agat9a,但它只能用于单个签名者。 Nd如果我们再次尝试使用相同的pdf来辞职,则旧签名将变为无效。 (显然,因为没有使用附加模式。)
我想要签署在附加模式下工作,需要在PdfLiteral行中进行更改 - 我对它的实际工作方式不太了解。
签名文件:https://www.sendspace.com/file/5d1z0t输入文件:https://www.sendspace.com/file/wh2h2y
1个回答
投票
快速查看代码会发现两个主要错误。
Hashing twice
你将文档数据哈希两次(使用不同的API ......很奇怪!):
Stream data = appearance.GetRangeStream();
byte[] hash = DigestAlgorithms.Digest(data, "SHA256");
[...]
_signatureHash = hash;// signatureHash;
}
}
[...]
using (SHA256.Create())
{
_signatureHash = SHA256.Create().ComputeHash(_signatureHash);
}
这是错误的,这没有任何意义。
Injecting the wrong signature container
你说
请求Esign服务以PKCS7(CMS)格式给出响应。
但是,不是从结果中使用CMS签名容器,而是尝试构建自己的CMS容器,将Esign响应CMS容器注入,就好像它只是一个签名的哈希:
XmlNodeList UserX509Certificate = xmlDoc.GetElementsByTagName("UserX509Certificate");
byte[] rawdat = Convert.FromBase64String(UserX509Certificate[0].InnerText);
var chain = new List<Org.BouncyCastle.X509.X509Certificate>
{
Org.BouncyCastle.Security.DotNetUtilities.FromX509Certificate(new X509Certificate2(rawdat))
};
var signaturee = new PdfPKCS7(null, chain, "SHA256", false);
_signature = signaturee;
_signature.SetExternalDigest(Convert.FromBase64String(signature), null, "RSA");
byte[] encodedSignature = _signature.GetEncodedPKCS7(_hash, null, null, null, CryptoStandard.CMS);
根据你在XML中的评论
<DocSignature error="" id="1" sigHashAlgorithm="SHA256">--Signature in base 64 in PKCS7(CMS)---</DocSignature>
此DocSignature元素包含CMS签名容器。
因此,删除上面的代码段,而不是将DocSignature元素的内容(不要忘记base64解码)放入byte[] encodedSignature。现在您可以像以前一样将它注入准备好的签名中:
IExternalSignatureContainer external = new MyExternalSignatureContainer(encodedSignature);
MakeSignature.SignDeferred(reader, "sign1", os, external);
解决了上述问题之后,又有两个问题变得明显:
Using the wrong file mode
你打开流来写这样:
using (FileStream os = System.IO.File.OpenWrite(signedPdf))
File.OpenWrite是documented on docs.microsoft.com
相当于
FileStream(String, FileMode, FileAccess, FileShare)构造函数重载,文件模式设置为OpenOrCreate,访问权限设置为Write,共享模式设置为None。
文件模式OpenOrCreate依次是documented来指定
如果文件存在,操作系统应该打开一个文件;否则,应创建一个新文件。
因此,如果给定位置已存在文件,则该文件仍然存在并开始写入该文件。
如果您创建的新文件比旧文件长,则这没有问题,您最终会覆盖所有旧文件内容,然后文件会增长以容纳其他新内容。
但是如果您创建的新文件比旧文件短,则会出现问题:在新文件结束后,仍有来自较旧的较长文件的数据。因此,您的结果是两个文件的大杂烩。
这种情况发生在您共享的示例文件的情况下,您的新内容“signedPdf.pdf”只有175982字节长,但似乎有一些旧文件的名称长度为811986字节。因此,您共享的“signedPdf.pdf”文件长度为811986字节,第一个175982字节包含您的操作结果,其余数据来自其他一些文件。
如果将共享的“signedPdf.pdf”文件减少到其第一个175982字节,结果看起来要好得多!
要解决此问题,您应该使用Create文件模式documented
等同于请求如果文件不存在,请使用
CreateNew;否则,使用Truncate。
using (FileStream os = new FileStream(signedPdf, FileMode.Create, FileAccess.Write, FileShare.None))
An issue with your signing service - identity not yet valid
如上所述,如果将共享的“signedPdf.pdf”文件减少到其第一个175982字节,结果看起来要好得多!不幸的是,只是更好,还不好:
通过查看详细信息,您的“身份已过期或尚未生效”的原因变得更加清晰:
即PDF声明的签名时间是UTC时间09:47:59 UTC。
但看着证书:
即您的证书在UTC时间09:48:40之前有效。
因此,声称的签名时间超过用户证书生效前半分钟!这显然不能被验证者接受......
显然,您的签名服务会根据需要为您创建一个短期证书,从那时起有效半小时。您开始创建PDF签名的时间不在该时间间隔内。
我怀疑他们会根据您的要求改变签名服务的设计。因此,您将不得不作弊并在将来稍微使用签名时间。
默认情况下,签名时间由PdfSignatureAppearance构造函数设置为当前,即此行执行时:
PdfSignatureAppearance appearance = stamper.SignatureAppearance;
幸运的是,如果您立即使用,可以更改此声明的签名时间
appearance.SignDate = [some other date time];
在您拨打签名服务之后,您应该在此处使用的日期时间很短(我建议不超过5分钟)。
这当然意味着您不能随意等待,直到执行该服务调用。一旦您分配了上述声明的签名时间,您就致力于在声明的时间之前成功呼叫您的签名服务!
此外,如果该签名服务只是缓慢响应或仅在重试之后作出反应,则您的软件应明确检查您从中检索的签名容器中的证书,并将其有效间隔与您声称的签名时间进行比较。如果声明的签名时间不在该时间间隔内,请再次开始签名!
现在很明显,你使用的AllPagesSignatureContainer是为一个非常特殊的用例设计的,但仍然需要适应你的用例。
Adapting the AllPagesSignatureContainer for append mode
基本上从AllPagesSignatureContainer复制的this answer实现在没有登录附加模式时工作正常,但是当在追加模式下签名时它失败了。
这首先是合理的,因为该类必须预测将用于签名值的对象编号。此预测取决于确切的用例,并且切换附加模式会显着改变此用例。因此,我在评论中的建议是
如果您需要追加模式,请尝试替换
PdfLiteral PRefLiteral = ...在
AllPagesSignatureContainer的线路PdfLiteral PRefLiteral = new PdfLiteral((PRef.Number + reader.NumberOfPages) + " 0 R");
在我的测试中,但在测试中它仍然没有。对您签名文件的分析显示原因:我的测试文件在您使用交叉引用流时使用交叉引用表。
Adapting the AllPagesSignatureContainer for append mode and object streams
附加模式中的iText使用原始文件的压缩功能,即在文件的情况下,只要存储允许在对象流中存储的间接对象,它就会创建对象流。
如果您的文件iText保留了对象流的对象编号,并且它在AllPagesSignatureContainer预测签名值对象编号和实际生成签名值的时间之间这样做。因此,在您的文件中,实际签名值对象编号比预测编号高1。
因此,要解决具有交叉引用流的PDF的问题,可以简单地将PdfLiteral PRefLiteral = ...行替换为
PdfLiteral PRefLiteral = new PdfLiteral((PRef.Number + reader.NumberOfPages + 1) + " 0 R");
即通过将1加到原始预测值。不幸的是,对于带有交叉引用表的PDF,预测是错误的...
解决此问题的更好方法是强制iText在预测签名值对象编号之前为交叉引用流PDF保留对象流的对象编号,然后使用原始预测代码。实现此目的的一种方法是在预测之前创建和写入间接对象,例如,像这样:
stamper.Writer.AddToBody(new PdfNull(), stamper.Writer.PdfIndirectReference, true);
PdfIndirectReference PRef = stamper.Writer.PdfIndirectReference;
PdfLiteral PRefLiteral = new PdfLiteral((PRef.Number + reader.NumberOfPages) + " 0 R");
The answer AllPagesSignatureContainer实现基本上是从已经相应更新的复制。
最新问题
- (Java)字母子串比较最终得到错误的结果
- SwiftData 错误此模型实例已被破坏
- 安装最新版本的appmap-node时出错
- 函数是否应该始终用于传递数组或对象的 setState?
- 在方法调用之间缓存哪些(如果有)本地定义的委托?
- ApplicationInsights Web 代理配置
- UUIDGenerator 使用 new type() 而不是策略?
- 每个循环的偏移量
- 根据JSON字符串设置环境变量
- 在sql 2005中对大表进行分页
- 遍历二维数组
- 必须安装ANDROID AVD“模拟器”包
- Git 将 2 个具有相似更改的分支合并为 2 个不同的分支
- 如何在ngFor中显示span中的动态值
- 如何获取除“工资单”和“支票”之外的亚马逊文本 (cal_text_lending) 的分类输出的完整列表?有办法吗?
- Aes-256-GCM OpenSSL > nodeJS
- 如何在我的网页中定义类似FA图标的图标?
- 实体框架 |序列包含多个匹配元素
- 比 float 或 double 更精确的数据类型?
- 在 Numpy 中将 2D 数组与 3D 向量数组相乘