Discussion :

[amr_at_work]

Bonjour,

Je débute en cryptographie et j'ai mis en pratique le super tutoriel Cryptographie avec Bouncy Castle de nyal. Bravo c'est vraiment bien fait et j'ai beaucoup appris.

L'exemple de code pour vérifier une signature procède à la vérification pour une signature attachée au document original à signer.

Pour mon travail mon problème est que j'ai le document à signer + une signature distincte (sous forme de fichier Pk7) et que je dois procéder à la vérification avec ça.

Comment procéder ? Dois-je trouver une moyen de concaténer "bêtement" les deux fichiers puis lancer la vérification ? Je n'ai pas encore essayé, ça paraît un peu simpliste comme idée [je répète que je débute, hein ]. Evidemment je n'ai pas la clé privée de la personne qui a signé le document.

Quelqu'un peut-il me donner la piste SVP ? Je ne pense pas être le premier sur Terre à vouloir faire ça En parallèle après avoir parcouru les forums je vais faire des recherches sur Google.

D'avance merci !

[ragingcat]

Exemple de methode pour verifier la signature detachee (KeyTool IUI 2.0), a adapter:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
private boolean _verifyDetachedSignature(
        String strCrtSigAlgo,
        byte[] bytsText,
        PublicKey pkyPublic,
        byte[] bytsSignature)
            throws Exception
    {
         Signature sig = Signature.getInstance(strCrtSigAlgo, "BC");
         sig.initVerify(pkyPublic);
         sig.update(bytsText);
 
         return sig.verify(bytsSignature);      
    }

"BC" pour "BouncyCastle"

[mbarbosa]

... quand on utilise bouncy castle pour génerée la signature détachée (PKCS#7) , le resultat c'est pas la signature qu'on a besoin pour utilizer avéc cette example qui vous présente.

PS: Pardon le français, mais je ne parle ni écrit trés bien. Je suis Portugais :c )

Comment-faire pour détacher seulement la signature qu'on a besoin pour la validation?

// Generation du fichier CMS/PKCS#7
// L'argument deux permet de signifier si le document doit être attaché avec la signature
// Valeur true: le fichier est attaché
// Valeur false: le fichier est détaché (c'est le cas ici)

CMSSignedData signedData = signGen.generate(content, false, "BC");
byte[] signeddata = signedData.getEncoded();

signeddata n'est pas le signature seulement. Il y a quelquer chose plus (le certificat publique?) et il va retourner false à la validation!

[ragingcat]

... quand on utilise bouncy castle pour génerée la signature détachée (PKCS#7) , le resultat c'est pas la signature qu'on a besoin pour utilizer avéc cette example qui vous présente.

CMSSignedData signedData = signGen.generate(content, false, "BC");
byte[] signeddata = signedData.getEncoded();

signeddata n'est pas le signature seulement. Il y a quelquer chose plus (le certificat publique?) et il va retourner false à la validation!

C'est different avec une signature de type CMS (Cryptographic Message Syntax) generee par "bouncyCastle".
tu peux utiliser la methode "BC"

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
boolean SignerInformation.verify(...);

[cokaite]

Voici la solution :
//chargement du fichier signé
File file_to_sign = new File("toto.doc");
int taille = (int)file_to_sign.length();
byte[] buffer = new byte[taille];
DataInputStream in = new DataInputStream(new FileInputStream(file_to_sign));
try {
in.readFully(buffer);
in.close();
} catch (IOException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}

//validation
CMSProcessableByteArray content = new CMSProcessableByteArray(buffer);
CMSSignedData sig = new CMSSignedData(content, signature);
SignerInformation signer = (SignerInformation)sig
.getSignerInfos().getSigners().iterator().next();

CertStore cs = sig
.getCertificatesAndCRLs("Collection", "BC");
Iterator iter = cs.getCertificates(signer.getSID()).iterator();
X509Certificate certificate = (X509Certificate) iter.next();

boolean v = signer.verify(certificate, "BC");
return v;