使用 S/MIME 对文件进行签名和加密答案

【问题标题】：Sign and encrypt a file using S/MIME使用 S/MIME 对文件进行签名和加密
【发布时间】：2015-05-29 05:30:08
【问题描述】：

我目前正在尝试调整一些脚本，我们使用 OpenSSL 和 S/MIME 使用 Java 和 BouncyCastle 对加密/解密 xml 文件进行签名。

对我们的文件进行签名和加密的命令：

openssl smime -sign -signer Pub1.crt -inkey Priv.key -in foo.xml | openssl smime -encrypt -out foo.xml.smime Pub2.crt Pub1.crt

这会生成一个包含我们的 xml 文件的签名和加密的 smime 文件。目前，这发生在使用 OpenSSL 库的 linux 下的一组 shell 脚本中。将来我们希望将此过程集成到我们的 Java 应用程序中。

我发现使用 BouncyCastle 库应该可以做到这一点（请参阅 this post）。那里的答案提供了两个 Java 类，展示了如何使用 BouncyCastle 和 S/MIME 对电子邮件进行签名和加密。将此与我们的 OpenSSL 命令进行比较，我们的方法似乎不需要签署加密电子邮件所需的许多事情。

来自我们生成的文件的更多元信息：

签名文件

MIME-Version: 1.0
Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha-256"; boundary="----709621D94E0377688356FAAE5A2C1321"

加密文件

MIME-Version: 1.0
Content-Disposition: attachment; filename="smime.p7m"
Content-Type: application/x-pkcs7-mime; smime-type=enveloped-data; name="smime.p7m"
Content-Transfer-Encoding: base64

是否可以像我们使用 OpenSSL 那样对简单文件进行签名和加密？我目前对签名和解密/加密的了解不是很高，所以请原谅我没有提供代码示例。我想我正在寻找的是对我需要做的事情的更多投入，也许是已经做过这件事的人的一些专业知识。我希望这是问这个问题的正确地方。如果不是，请纠正我。

【问题讨论】：

Encrypt mail with SMIME and X.509 using Bouncy Castle、SMIME can't be validated by receiver when using newer version of Bouncy Castle、Email with attachments and images signed with Bouncy Castle can't be verified by email client等

标签： java openssl bouncycastle encryption-asymmetric smime

【解决方案1】：

我和你有类似的问题，但我设法解决了。我必须警告你，我对签名和加密的了解也不高。但是这段代码似乎对我有用。

在我的例子中，我使用了来自 globalsign 的个人签名 pro 3 证书，之前我只是从 java 中调用了 openssl。但是我想清理我的代码并决定改用充气城堡。

 public static boolean signAllFiles(List<File> files) {
    Boolean signingSucceeded = true;
    KeyStore ks = null;
    char[] password = null;

    Security.addProvider(new BouncyCastleProvider());
    try {
        ks = KeyStore.getInstance("PKCS12");
        password = "yourpass".toCharArray();
        ks.load(new FileInputStream("full/path/to/your/original/certificate.pfx"), password);
    } catch (Exception e) {
        signingSucceeded = false;
    }

    // Get privatekey and certificate
    X509Certificate cert = null;
    PrivateKey privatekey = null;

    try {
        Enumeration<String> en = ks.aliases();
        String ALIAS = "";
        Vector<Object> vectaliases = new Vector<Object>();

        while (en.hasMoreElements())
            vectaliases.add(en.nextElement());
        String[] aliases = (String[])(vectaliases.toArray(new String[0]));
        for (int i = 0; i < aliases.length; i++)
            if (ks.isKeyEntry(aliases[i]))
            {
                ALIAS = aliases[i];
                break;
            }
        privatekey = (PrivateKey)ks.getKey(ALIAS, password);
        cert = (X509Certificate)ks.getCertificate(ALIAS);
        // publickey = ks.getCertificate(ALIAS).getPublicKey();
    } catch (Exception e) {
        signingSucceeded = false;
    }

    for (File source : files) {
        String fileName = "the/path/andNameOfYourOutputFile";

        try {
            // Reading files which need to be signed
            File fileToSign = source;
            byte[] buffer = new byte[(int)fileToSign.length()];
            DataInputStream in = new DataInputStream(new FileInputStream(fileToSign));
            in.readFully(buffer);
            in.close();

            // Generate signature
            ArrayList<X509Certificate> certList = new ArrayList<X509Certificate>();
            certList.add(cert);
            Store<?> certs = new JcaCertStore(certList);
            CMSSignedDataGenerator signGen = new CMSSignedDataGenerator();

            ContentSigner sha1signer = new JcaContentSignerBuilder("SHA1withRSA").setProvider("BC").build(
                    privatekey);
            signGen.addSignerInfoGenerator(new JcaSignerInfoGeneratorBuilder(
                    new JcaDigestCalculatorProviderBuilder().build()).build(sha1signer, cert));
            signGen.addCertificates(certs);
            CMSTypedData content = new CMSProcessableByteArray(buffer);
            CMSSignedData signedData = signGen.generate(content, false);
            byte[] signeddata = signedData.getEncoded();

            // Write signature to Fi File
            FileOutputStream envfos = new FileOutputStream(fileName);
            byte[] outputString = Base64.encode(signeddata);
            int fullLines = (int)Math.floor(outputString.length / 64);
            for (int i = 0; i < fullLines; i++) {
                envfos.write(outputString, i * 64, 64);
                envfos.write("\r\n".getBytes());
            }

            envfos.write(outputString, fullLines * 64, outputString.length % 64);
            envfos.close();
        } catch (Exception e) {
            signingSucceeded = false;
        }
    }
    return signingSucceeded;
}

这只是签署文件的代码，希望对您有所帮助。

【讨论】：

谢谢。这看起来很有希望，应该给我足够的指导来进一步研究这个！