BouncyCastle CMS et S/MIME

Version imprimable

Voir 40 message(s) de cette discussion en une page

04/08/2008, 14h57
Piolet

Citation:

Envoyé par KindPlayer

Tu peux instantier ton wrapper CMS avec un tableau de bytes en principe. Un InputStream de toute façon c'est juste une classe abstraite, qui peut etre dérivé sous forme d'un tableau de bytes (ByteArrayInputStream). Ton message Mime ca correspond a une instance de quelle classe bouncycastle. Je pense qu'il doit yavoir une méthode pour convertir en tableau de byte auquel cas tu aurais un point d'entrée pour instancier un InputStream.
Regarde ici aussi, ca correspond peut etre a ce que tu veux
http://bouncycastle.gva.es/www.bounc...ataParser.html
C'est sur que ca serait plus simple si tu pouvais poster un bout de code;)

MimeMessage, c'est dans javax.mail (de mémoire)
et je sais que je peux donner un tableau de byte...
j'ai même essayé d'ecrire mon MimeMessage dans un fichier, puis de lire ce fichier pour le donner à mon CMS, mais ....y a un truc qu'il aime pas, parce qu'il me génère des fichier de plus de 200Mo pour un contenu quasi vide...

je vais regarder ton lien et dès que je peux, je mets un peu de code ;)
04/08/2008, 14h59
Piolet

je ne vois pas comment je pourrais utiliser la classe Parser dont tu parles :(
04/08/2008, 15h14
KindPlayer

Il y a la classe SMIMEEnveloped qui dérive de CMSEnvelopedData qu'on peut instancier directement avec un message mime:
http://bouncycastle.gva.es/www.bounc...et.MimeMessage)
Fais un test avec cette classe la et dis moi ce que ca donne.
04/08/2008, 15h29
Piolet

Citation:

Envoyé par KindPlayer

Il y a la classe SMIMEEnveloped qui dérive de CMSEnvelopedData qu'on peut instancier directement avec un message mime:
http://bouncycastle.gva.es/www.bounc...et.MimeMessage)
Fais un test avec cette classe la et dis moi ce que ca donne.

je me demande comment j'ai fait pour pas la voir...
bon bah ca doit etre ca...a mon avis, j'ai juste a utilisé ca convenablement

ensuite donc si tu veux un exemple de code sur ce que je mettais pour le CMS, t'as plus qu'a reprendre celui que j'ai mis à la première page, mais la, j'ai un problème de taille de clé....(initialement c'etait pour ca que j'avais posté d'ailleurs ;) )
mais des que je peux implémenter un test avec cette enveloppe SMIME je le met ici ;)
04/08/2008, 15h32
Piolet
tiens une autre question me vient la de suite

comment je fais ensuite pour envoyer ce SMIME ?

parce que d'habitude je fais
Code:

1 2 3 4 MimeMessage mimeMessage = new MimeMessage(); ... Transport.send(mimeMessage);
mais la, j'envoie toujours le mime ou bien le smime (qui ne passera pas dans la méthode send()) ?
04/08/2008, 16h35
KindPlayer

J'avoue que je suis un peu dépassé. apparement faudrait passer par MimeBodyPart pour le contenu du mail et envelopper ca à l'aide de SMimeEnvelopedGenerator. Je te laisse jeter un oeil sur ce pdf, malheureusement mi-anglais mi-allemand..
http://www.ei.rub.de/media/lehrmater...5/javamail.pdf
04/08/2008, 16h40
Piolet

Citation:

Envoyé par KindPlayer

J'avoue que je suis un peu dépassé. apparement faudrait passer par MimeBodyPart pour le contenu du mail et envelopper ca à l'aide de SMimeEnvelopedGenerator. Je te laisse jeter un oeil sur ce pdf, malheureusement mi-anglais mi-allemand..
http://www.ei.rub.de/media/lehrmater...5/javamail.pdf

j'ai deja du mal avec l'anglais...alors le deutsch :) ca va etre folklo :)
04/08/2008, 16h49
Piolet

c'est bien ce que je pensais,

j'aurais ptet pu comprendre, mais en allemand, ....c'est mort, mais par contre ca me donne d'autre possibilité pour chercher.
j'espère trouver ca rapidement ;)
04/08/2008, 16h53
KindPlayer

j'ai regardé un peu, en fait je pense qu'il y a plus simple. La méthode getEncryptedContent() de la classe SMimeEnveloped permet de rcupérer un MimePart que tu peux caster en MimeMessage et le passer à send(). Ca à l'air un peu crade mais tu peux essayer.
04/08/2008, 17h00
Piolet
Citation:

Envoyé par KindPlayer

j'ai regardé un peu, en fait je pense qu'il y a plus simple. La méthode getEncryptedContent() de la classe SMimeEnveloped permet de rcupérer un MimePart que tu peux caster en MimeMessage et le passer à send(). Ca à l'air un peu crade mais tu peux essayer.

donc la...

imaginons le code suivant :
Code:

1 2 3 4 5 6 7 8 9 MimeMessage mime = new MimeMessage(); ... SMIMEEnveloped smime = new SMIMEEnveloped(mime); //la, il va manquer qq chose ... Transport.send((MimeMessage) smime.getEncryptedContent());
la ou il manque qq chose, c'est la partie d'encryptage, et après le send..effectivement ca me parait crados...c'est ptet le mime message qu'il faut envoyer, ce dernier est ptet directement modifier via le SMime....
04/08/2008, 17h36
KindPlayer

Plutot que de continuer a dire des betises, je préfère te donner ce lien qui donne un exemple d'encryption au format SMIME:
http://eu.wiley.com/WileyCDA/WileyTi...-DOWNLOAD.html
tu download les sources, c'est dans le dossier "chapitre 9".

Bon j'ai repris le code que tu m'as donné, le voici une fois intégré dans mon code, tout d'abord, on va dire qu'il y aura une méthode d'envoi qui ressemblera a ceci :

Code:

1
2
3
 
MimeMessage mime = this.getMimeMessage();
Transport.send(mime);

maintenant la méthode getMimeMessage() :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
 
public MimeMessage getMimeMessage() throws Exception {
	KeyStore credentials = Utils.createCredentials();
	PrivateKey key = (PrivateKey)credentials.getKey(Utils.END_ENTITY_ALIAS, Utils.KEY_PASSWD);
	Certificate[] chain = credentials.getCertificateChain(Utils.END_ENTITY_ALIAS);
	CertStore certsAndCRLs = CertStore.getInstance("Collection", new CollectionCertStoreParameters(Arrays.asList(chain)), "BC");
	X509Certificate cert = (X509Certificate)chain[0];
 
	// create the message we want signed
	MimeBodyPart dataPart = new MimeBodyPart();
	dataPart.setText("Hello world!");
 
	// create the signed message
	MimeMultipart multiPart = Utils.createMultipartWithSignature(key, cert, certsAndCRLs, dataPart);
 
	// create the mail message
	MimeMessage mail = Utils.createMimeMessage("example signed message", multiPart, multiPart.getContentType());
	return mail;
}

alors ce code est le même que celui que j'ai pu récupérer.
Il utilise une classe auxilaire regroupant pas mal de méthode, la voici :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
 
public class Utils {
 
	public static char[] KEY_PASSWD = "keyPassword".toCharArray();
	public static String ROOT_ALIAS = "root";
	public static String INTERMEDIATE_ALIAS = "intermediate";
	public static String END_ENTITY_ALIAS = "end";
 
	private static final int VALIDITY_PERIOD = 7 * 24 * 60 * 60 * 1000; // one week
 
	public static MimeMultipart createMultipartWithSignature(PrivateKey key, X509Certificate cert, CertStore certsAndCRLs, MimeBodyPart dataPart) throws Exception {
		// create some smime capabilities in case someone wants to respond
		ASN1EncodableVector signedAttrs = new ASN1EncodableVector();
		SMIMECapabilityVector caps = new SMIMECapabilityVector();
 
//		caps.addCapability(SMIMECapability.aES256_CBC);
		caps.addCapability(SMIMECapability.dES_EDE3_CBC);
//		caps.addCapability(SMIMECapability.rC2_CBC, 128);
 
		signedAttrs.add(new SMIMECapabilitiesAttribute(caps));
		signedAttrs.add(new SMIMEEncryptionKeyPreferenceAttribute(SMIMEUtil.createIssuerAndSerialNumberFor(cert)));
 
		// set up the generator
		SMIMESignedGenerator gen = new SMIMESignedGenerator();
 
//		gen.addSigner(key, cert, SMIMESignedGenerator.DIGEST_SHA256, new AttributeTable(signedAttrs), null);
		gen.addSigner(key, cert, SMIMESignedGenerator.DIGEST_SHA1, new AttributeTable(signedAttrs), null);
 
		gen.addCertificatesAndCRLs(certsAndCRLs);
 
		// create the signed message
		return gen.generate(dataPart, "BC");
	}
 
	public static MimeMessage createMimeMessage(String subject, Object content, String contentType) throws MessagingException {
		Properties props = System.getProperties();
		Session session = Session.getDefaultInstance(props, null);
 
		Address fromUser = new InternetAddress("mon@adresse.fr");
		Address toUser = new InternetAddress("mon_autre_adresse@gmail.com");
 
		MimeMessage message = new MimeMessage(session);
		message.setFrom(fromUser);
		message.setRecipient(Message.RecipientType.TO, toUser);
		message.setSubject(subject);
		message.setContent(content, contentType);
		message.saveChanges();
 
		return message;
	}
 
	public static KeyStore createCredentials() throws Exception {
		KeyStore store = KeyStore.getInstance("JKS");
		store.load(null, null);
 
		X500PrivateCredential rootCredential = Utils.createRootCredential();
		X500PrivateCredential interCredential = Utils.createIntermediateCredential(rootCredential.getPrivateKey(), rootCredential.getCertificate());
		X500PrivateCredential endCredential = Utils.createEndEntityCredential(interCredential.getPrivateKey(), interCredential.getCertificate());
 
		store.setCertificateEntry(rootCredential.getAlias(), rootCredential.getCertificate());
		Certificate[] certificates = new Certificate[] { endCredential.getCertificate(), interCredential.getCertificate(), rootCredential.getCertificate() };
		store.setKeyEntry(endCredential.getAlias(), endCredential.getPrivateKey(), Utils.KEY_PASSWD, certificates);
 
		return store;
	}
 
	private static X500PrivateCredential createRootCredential() throws NoSuchAlgorithmException, NoSuchProviderException, CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, SignatureException {
		KeyPair rootPair = Utils.generateRSAKeyPair();
		X509Certificate rootCert = Utils.generateRootCert(rootPair);
 
		return new X500PrivateCredential(rootCert, rootPair.getPrivate(), ROOT_ALIAS);
	}
 
	private static X500PrivateCredential createIntermediateCredential(PrivateKey caKey, X509Certificate caCert) throws NoSuchAlgorithmException, NoSuchProviderException, CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, SignatureException {
		KeyPair interPair = Utils.generateRSAKeyPair();
		X509Certificate interCert = Utils.generateIntermediateCert(interPair.getPublic(), caKey, caCert);
 
		return new X500PrivateCredential(interCert, interPair.getPrivate(), INTERMEDIATE_ALIAS);
	}
 
	private static X500PrivateCredential createEndEntityCredential(PrivateKey caKey, X509Certificate caCert) throws NoSuchAlgorithmException, NoSuchProviderException, CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, SignatureException {
		KeyPair endPair = Utils.generateRSAKeyPair();
		X509Certificate endCert = Utils.generateEndEntityCert(endPair.getPublic(), caKey, caCert);
 
		return new X500PrivateCredential(endCert, endPair.getPrivate(), END_ENTITY_ALIAS);
	}
 
	private static X509Certificate generateRootCert(KeyPair pair) throws CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, NoSuchProviderException, NoSuchAlgorithmException, SignatureException {
		X509V1CertificateGenerator certGen = new X509V1CertificateGenerator();
 
		certGen.setSerialNumber(BigInteger.valueOf(1));
		certGen.setIssuerDN(new X500Principal("CN=Test CA Certificate"));
		certGen.setNotBefore(new Date(System.currentTimeMillis()));
		certGen.setNotAfter(new Date(System.currentTimeMillis() + Utils.VALIDITY_PERIOD));
		certGen.setSubjectDN(new X500Principal("CN=Test CA Certificate"));
		certGen.setPublicKey(pair.getPublic());
		certGen.setSignatureAlgorithm("SHA1WithRSAEncryption");
 
		return certGen.generate(pair.getPrivate(), "BC");
	}
 
	private static KeyPair generateRSAKeyPair() throws NoSuchAlgorithmException, NoSuchProviderException {
		KeyPairGenerator  kpGen = KeyPairGenerator.getInstance("RSA", "BC");
		kpGen.initialize(1024, new SecureRandom());
 
		return kpGen.generateKeyPair();
	}
 
	private static X509Certificate generateIntermediateCert(PublicKey intKey, PrivateKey caKey, X509Certificate caCert) throws CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, NoSuchProviderException, NoSuchAlgorithmException, SignatureException {
		X509V3CertificateGenerator  certGen = new X509V3CertificateGenerator();
 
		certGen.setSerialNumber(BigInteger.valueOf(1));
		certGen.setIssuerDN(caCert.getSubjectX500Principal());
		certGen.setNotBefore(new Date(System.currentTimeMillis()));
		certGen.setNotAfter(new Date(System.currentTimeMillis() + Utils.VALIDITY_PERIOD));
		certGen.setSubjectDN(new X500Principal("CN=Test Intermediate Certificate"));
		certGen.setPublicKey(intKey);
		certGen.setSignatureAlgorithm("SHA1WithRSAEncryption");
 
		certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
		certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(intKey));
		certGen.addExtension(X509Extensions.BasicConstraints, true, new BasicConstraints(0));
		certGen.addExtension(X509Extensions.KeyUsage, true, new KeyUsage(KeyUsage.digitalSignature | KeyUsage.keyCertSign | KeyUsage.cRLSign));
 
		return certGen.generate(caKey, "BC");
//		return certGen.generateX509Certificate(caKey, "BC");
	}
 
	private static X509Certificate generateEndEntityCert(PublicKey entityKey, PrivateKey caKey, X509Certificate caCert) throws CertificateParsingException, CertificateEncodingException, InvalidKeyException, IllegalStateException, NoSuchProviderException, NoSuchAlgorithmException, SignatureException {
		X509V3CertificateGenerator  certGen = new X509V3CertificateGenerator();
 
		certGen.setSerialNumber(BigInteger.valueOf(1));
		certGen.setIssuerDN(caCert.getSubjectX500Principal());
		certGen.setNotBefore(new Date(System.currentTimeMillis()));
		certGen.setNotAfter(new Date(System.currentTimeMillis() + Utils.VALIDITY_PERIOD));
		certGen.setSubjectDN(new X500Principal("CN=Test End Certificate"));
		certGen.setPublicKey(entityKey);
		certGen.setSignatureAlgorithm("SHA1WithRSAEncryption");
 
		certGen.addExtension(X509Extensions.AuthorityKeyIdentifier, false, new AuthorityKeyIdentifierStructure(caCert));
		certGen.addExtension(X509Extensions.SubjectKeyIdentifier, false, new SubjectKeyIdentifierStructure(entityKey));
		certGen.addExtension(X509Extensions.BasicConstraints, true, new BasicConstraints(false));
		certGen.addExtension(X509Extensions.KeyUsage, true, new KeyUsage(KeyUsage.digitalSignature | KeyUsage.keyEncipherment));
 
		return certGen.generate(caKey, "BC");
//		return certGen.generateX509Certificate(caKey, "BC");
	}
}

Alors ma première question, dans cet exemple, on génère "plein" de certificat au départ (via la méthode Certificate[] chain = credentials.getCertificateChain(Utils.END_ENTITY_ALIAS);), puis on se sert de ces certificats pour un tas de chose. Comme je l'ai expliqué, dans mon cas, j'ai déjà récupéré un certificat (celui d'un organisme de santé), et j'ai besoin de celui la pour encrypter la private key...

mais la...dans cet exemple, même si je comprends le fond, je ne comprends pas ou je pourrais glisser mon certificat et ce que je peux enlever.

Par exemple a quoi sert le CertStore, je m'aperçois que pour générer le MimeMultiPart, dans la méthode createMultipartWithSignature, on ne sert que d'une fois de ce CertStore :

Code:

gen.addCertificatesAndCRLs(certsAndCRLs);

, est-ce utile de renseigner cette ligne ? (ah oui, du centre d'organisme j'ai aussi récupéré une liste de Certificat révoqués, CRL, que je peux surement fournir également, mais est-ce nécessaire ?)

bref...un long message pour voir si quelqu'un y comprend plus que moi ? :mrgreen:

05/08/2008, 00h36
Piolet

en tout cas, j'ai fais le test, le message arrive bien dans ma boite mail, donc la dessus, ca a l'air de fonctionner, reste a comprendre le principe ;)
05/08/2008, 09h46
KindPlayer

c'est cool déjà si ca marche. Apres je pense que tu peux te passer de certaines choses, mais tout dépend ce que tu veux faire. Par exemple dans la classe Utils, il y a création d'un keystore contenant une chaine de certificat de profondeur 3: un certificat root, un certificat intermédiaire, un certificat terminal. Si tu n'as qu'un certificat à gérer tu peux simplifier à ce niveau là. Mais je suppose que ton certificat doit etre signé par un autorité non? En plus dans la classe Utils il y a aussi des fonctions pour créer des certificats, mais tu n'en as pas besoin à priori puisque tu as déja tes certificats (sous quelle forme d'ailleurs ?)
05/08/2008, 10h03
Piolet

Citation:

Envoyé par KindPlayer

c'est cool déjà si ca marche. Apres je pense que tu peux te passer de certaines choses, mais tout dépend ce que tu veux faire. Par exemple dans la classe Utils, il y a création d'un keystore contenant une chaine de certificat de profondeur 3: un certificat root, un certificat intermédiaire, un certificat terminal. Si tu n'as qu'un certificat à gérer tu peux simplifier à ce niveau là. Mais je suppose que ton certificat doit etre signé par un autorité non? En plus dans la classe Utils il y a aussi des fonctions pour créer des certificats, mais tu n'en as pas besoin à priori puisque tu as déja tes certificats (sous quelle forme d'ailleurs ?)

justement c'est ce genre de question que je me pose..
le certificat que je récupère, c'est sous forme d'objet (X509Certificate), je le télécharge sur un LDAP, donc je prends pas le tps de l'ecrire dans un fichier, ca me fait gagner un peu de temps comme ca.
Ensuite, si effectivement, les méthodes, dans Utils, liées à la création de certificats, ne servent qu'a générer des certificats inutiles, je ne vais pas me priver pour les zapper...
il va falloir que je remplace pas mal de choses...mais bon, tu vois, au tout début, il y a la méthode CreateCredential d'appelé, c'est cette méthode qui va créer des Certificats de 3 niveau (ca j'ai pas compris ce que tu as dis, mais je le reprends genre j'ai tout pigé ;) ), et c'est méthode la aussi qui va me permettre d'avoir ma clé privée...ainsi qu'une CRL...

moi ca me donne l'impression que tout est lié, et c'est un peu chiant, d'ou mon "déboussolage":mrgreen:
05/08/2008, 10h35
KindPlayer

Ouai j'avoue c'est un peu le bordel, je comprends pas tout non plus. Je suis un peu perdu entre les SMIMEEnveloped SMIMEEnvelopedGenerator SMIMESignedGenerator, les MimeBodyPart, les MimeMultiPart etc. Je vais essayer de mettre la main sur le bouquin lui-meme ca sera plus simple avec des explications (en anglais...:cry:)
Les 3 niveaux de certificats ca veut dire simplement que tu as le certificat racine qui est auto-signé, un certificat intermédiaire signé par le certificat racine et un certificat "terminal" signé par le certificat intermédiaire. Ca te fait une chaine de certification. Mais pour signer ton mail tu n'as besoin que du dernier certificat de la chaine, donc les autres oublie les pour le moment. Pour ce qui est de la CRL à toi de voir si tu veux en créer une ou pas, mais pour voir juste si ca marche t'as pas besoin de t'encombrer de ca aussi.
05/08/2008, 10h46
Piolet

Citation:

Envoyé par KindPlayer

Ouai j'avoue c'est un peu le bordel, je comprends pas tout non plus. Je suis un peu perdu entre les SMIMEEnveloped SMIMEEnvelopedGenerator SMIMESignedGenerator, les MimeBodyPart, les MimeMultiPart etc. Je vais essayer de mettre la main sur le bouquin lui-meme ca sera plus simple avec des explications (en anglais...:cry:)
Les 3 niveaux de certificats ca veut dire simplement que tu as le certificat racine qui est auto-signé, un certificat intermédiaire signé par le certificat racine et un certificat "terminal" signé par le certificat intermédiaire. Ca te fait une chaine de certification. Mais pour signer ton mail tu n'as besoin que du dernier certificat de la chaine, donc les autres oublie les pour le moment. Pour ce qui est de la CRL à toi de voir si tu veux en créer une ou pas, mais pour voir juste si ca marche t'as pas besoin de t'encombrer de ca aussi.

d'autant que j'ai une CRL, comme dit plus haut, je l'ai récupérée en meme tps que le certificat, mais est-ce bien celle la qu'il faut

après moi j'en ai pas forcément besoin, elle me sert juste a vérifier que mon certif est bon...donc après pour le mail, m'en fous un peu
06/08/2008, 23h08
Piolet

bon bah je confirme, je ne comprends rien, dès que j'intègre mon certificat, tout part en co****es :(

et pis ...la clé qui doit encrypter le message doit etre privée et selon algorithme DES3 (DESede/CBC/NoPadding)

donc forcément...la...dans le code, ou le placer...je vois pas

mais, mais....c'est impossible de créer une clé privée avec l'aglo DESede

dans le sens ou avec cet algo, on ne peut pas générer de private key mais seulement des Secret Key ou je ne sais quoi...

bref je ne comprends plus rien

et si je passe avec mon certificats et une clé privée quelconque , le mail part bien, mais la méthode de vérification avec le MimeMessage ne marche plus, donc je me dis que c'est pas bon :D
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 try { if (mail.isMimeType("multipart/signed")) { SMIMESigned signed = new SMIMESigned((MimeMultipart) mail.getContent()); // verification step if (Utils.isValid(signed, certificate)) { System.out.println("verification succeeded"); } else { System.out.println("verification failed"); } // content display step MimeBodyPart content = signed.getContent(); System.out.print("Content: "); System.out.println(content.getContent()); } else { System.out.println("wrong content found"); } } catch (Exception e) { e.printStackTrace(); }

07/08/2008, 00h00
Piolet

j'ai trouvé ce pdf en cherchant un peu

au niveau de la page 382, ca parle de ma problématique et la...ca zap complètement la partie BouncyCastle...bon après, si on continue de lire, ca précise aussi que BouncyCastle et OpenPGP implémentent ce principe de S/MIME....alors je me dis...doit y avoir moyen...mais impossible de le comprendre pour l'instant... :(

Voir 40 message(s) de cette discussion en une page