使用 Google 服务帐户私钥签署数据失败

【问题标题】:Signing Data with Google Service Account Private Key Fails使用 Google 服务帐户私钥签署数据失败
【发布时间】:2014-06-23 10:59:00
【问题描述】:

我无法使用从 Google 开发者控制台下载的服务应用程序私钥对数据进行签名。我收到以下错误:

OAuthTests.TestCrypto.testSha256SignWithGoogleKey:
System.Security.Cryptography.CryptographicException : Invalid algorithm specified.

at System.Security.Cryptography.CryptographicException.ThrowCryptogaphicException(Int32 hr)
at System.Security.Cryptography.Utils._SignValue(SafeKeyHandle hKey, Int32 keyNumber, Int32 calgKey, Int32 calgHash, Byte[] hash, Int32 dwFlags)
at System.Security.Cryptography.RSACryptoServiceProvider.SignHash(Byte[] rgbHash, String str)
at OAuthTests.TestCrypto.testSha256SignWithGoogleKey() in e:\Development\MiscellaneousProjects\RSSNewsFeeder\Oauth\OAuthTests.cs:line 43

是的,我以前问过这个问题,但没有得到太多帮助,而且由于 Stack 的论坛模型不容易添加到现有线程中,似乎我最好的改写问题的最佳方式就是这样做;改写并提出一个新问题。

我已经编写了三个单元测试(代码如下)。第一个单元测试表明我可以使用带有 SHA256 的 RSACryptoServiceProvider 对数据进行签名和验证,但该测试不使用我的 Google 证书的私钥。
当我使用谷歌的私钥证书和测试(下面的第二次测试)时,代码错误(上面的错误消息)。
第三次测试演示了使用 Google 的私钥并使用 SHA1 进行测试,这很有效!但根据规范无效。

下面的代码有问题还是证书有问题,或者可能是我的操作系统或其他环境问题?我正在 Windows 8.1 机器上使用 Windows C# 3.5 进行开发。

** 可行 **
不使用 Google 证书 

        var cert = new X509Certificate2(@"E:\Development\MiscellaneousProjects\RSSNewsFeeder\Samples\9d16ba9bd04468b4cd0dd241e34b980643fd5b21-privatekey.p12", "notasecret", X509KeyStorageFlags.Exportable);
        byte[] data = new byte[] { 0, 1, 2, 3, 4, 5 };
        using (RSACryptoServiceProvider rsa = (RSACryptoServiceProvider)cert.PrivateKey)
        {
            byte[] signature = rsa.SignData(data, "SHA256");

            if (rsa.VerifyData(data, "SHA256", signature))
            {
                Console.WriteLine("RSA-SHA256 signature verified");
            }
            else
            {
                Console.WriteLine("RSA-SHA256 signature failed to verify");
            }
        }

** 失败 **
使用 Google 证书和 SHA256
失败于:byte[] signature = rsa.SignData(data, "SHA256");

    [Test]
    public void testSha256SignWithGoogleKey()
    {
        var cert = new X509Certificate2(@"....41e34b980643fd5b21-privatekey.p12", "notasecret", X509KeyStorageFlags.Exportable);
        byte[] data = new byte[] { 0, 1, 2, 3, 4, 5 };
        using (RSACryptoServiceProvider rsa = (RSACryptoServiceProvider)cert.PublicKey.Key)
        {
            byte[] signature = rsa.SignData(data, "SHA256");

            if (rsa.VerifyData(data, "SHA256", signature))
            {
                Console.WriteLine("RSA-SHA256 signature verified");
            }
            else
            {
                Console.WriteLine("RSA-SHA256 signature failed to verify");
            }
        }
    }

** 这有效 **
使用 Google 证书但 SHA1

[Test]
public void testShaSignWithGoogleKey()
{
    var cert = new X509Certificate2(@"....dd241e34b980643fd5b21-privatekey.p12", "notasecret", X509KeyStorageFlags.Exportable);
    byte[] data = new byte[] { 0, 1, 2, 3, 4, 5 };
    using (RSACryptoServiceProvider rsa = (RSACryptoServiceProvider)cert.PrivateKey)
    {
        byte[] signature = rsa.SignData(data, "SHA1");

        if (rsa.VerifyData(data, "SHA1", signature))
        {
            Console.WriteLine("RSA-SHA1 signature verified");
        }
        else
        {
            Console.WriteLine("RSA-SHA1 signature failed to verify");
        }

    }
}

【问题讨论】:

  • “失败”怎么办?来自 .NET、Google 或什么的错误消息?
  • 指定的算法无效 - 此故障发生在 .NET 中
  • 我看到错误源自 SignHash 方法,但我没有看到在您的任何代码示例中调用了该方法。您在此处提供的信息似乎不匹配。
  • 这里失败(第二次测试)byte[] signature = rsa.SignData(data, "SHA256");

标签: c# cryptography google-plus google-oauth


【解决方案1】:

首先,您的示例 #2 中有一个错误:您尝试使用公钥进行签名。您应该会收到错误消息:“对象仅包含密钥对的公共部分。还必须提供私钥。”

但我想这只是一个复制/粘贴错误,您已经尝试过使用私钥。

从谷歌证书PrivateKey获取的RSACryptoServiceProvider使用“Microsoft Base Cryptographic Provider v1.0”,而新创建的RSACryptoServiceProvider对象使用“Microsoft Enhanced RSA and AES Cryptographic Provider”。

解决此问题的技巧是将裸数学从 cert 的 RSACSP 导出到新的 RSACSP 对象:

[Test]
public void testSha256SignWithGoogleKey()
{
    var cert = new X509Certificate2(@"....41e34b980643fd5b21-privatekey.p12", "notasecret", X509KeyStorageFlags.Exportable);

    byte[] data = new byte[] { 0, 1, 2, 3, 4, 5 };

    using (RSACryptoServiceProvider rsa = (RSACryptoServiceProvider)cert.PrivateKey)
    {
        using (RSACryptoServiceProvider myRsa = new RSACryptoServiceProvider())
        {
            myRsa.ImportParameters(rsa.ExportParameters(true));

            byte[] signature = myRsa.SignData(data, "SHA256");

            if (myRsa.VerifyData(data, "SHA256", signature))
            {
                Console.WriteLine("RSA-SHA256 signature verified");
            }
            else
            {
                Console.WriteLine("RSA-SHA256 signature failed to verify");
            }
        }
    }
}

【讨论】:

  • 这要求密钥是可导出的,我认为从安全角度来看这并不理想。这个对类似问题的回答提供了一个不错的选择:stackoverflow.com/a/27637121/543814
  • @Timo,在此示例中,文件是从文件加载的,而不是从证书存储中加载的。可导出的要求在这里不适用,因为存储在文件中的私钥始终是“可导出的”。
  • 好点。我没有意识到这种可导出性仅适用于商店中的钥匙,但仔细想想,这是有道理的。
猜你喜欢
  • 1970-01-01
  • 2018-09-24
  • 1970-01-01
  • 1970-01-01
  • 2015-02-26
  • 2019-06-12
  • 1970-01-01
  • 2022-10-18
  • 1970-01-01
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode