「使用C#讀取自然人憑證(MOICA)及數位簽章」的迴響 http://www.blave.net.tw/454 相機是我的畫筆,世界是我的畫紙 Fri, 24 Jun 2011 08:39:10 +0000 hourly 1 http://wordpress.org/?v=3.2.1 由:Blave Huang http://www.blave.net.tw/454/comment-page-1#comment-202 Blave Huang Fri, 24 Jun 2011 08:39:10 +0000 http://www.blave.net.tw/?p=454#comment-202 新書已出版囉~有需要的朋友們請參考參考囉~ http://www.blave.net.tw/599 新書已出版囉~有需要的朋友們請參考參考囉~
http://www.blave.net.tw/599

]]> 由:Admin http://www.blave.net.tw/454/comment-page-1#comment-191 Admin Mon, 21 Mar 2011 08:28:42 +0000 http://www.blave.net.tw/?p=454#comment-191 嗯!我也記得好像有序號長度的問題,有機會再來試試囉~~ 嗯!我也記得好像有序號長度的問題,有機會再來試試囉~~

]]> 由:fongming http://www.blave.net.tw/454/comment-page-1#comment-190 fongming Mon, 21 Mar 2011 07:20:28 +0000 http://www.blave.net.tw/?p=454#comment-190 是的,我也是看到他sample code中似乎是打錯字來的~ 但是我想因為他是memcpy進去的,那個打錯字似乎是沒有影響才對 VB版本的我可能再試試看, 如果真的不行就先參考您的c#版本了XD 另外,針對OCSP的certStatus回傳值是2 我剛剛得到中華電信的解釋 原來要丟進去的SerialNumber如果第一個byte為00,ㄧ定要拿掉= = 我試過,拿掉之後果真回傳值就是0了 :em29: 至於為什麼要拿掉,我也不解, 我猜想可能是他們當初在做時 工商憑證跟自然人的都做同一套所以一定要ㄧ樣的規則吧 :em39: 以下是他們mail給我的解釋: GPKI中所使用的憑證序號是一個長度為16 bytes的正整數, 但根據DER編碼對正數所使用2補數規則, 所以若遇到憑證序號開頭是a_或b_或c_或d_或e_或f_, 則會在最開頭補上0(16進位顯示為00),因此憑證序號長度就變成17 bytes(例:MOEACA憑證序號); 若遇到憑證序號開頭是0~9,則憑證序號長度為16 bytes(例: GRCA自簽憑證)。 結論是:憑證序號長度有16 bytes和17 bytes兩種。 建議可以到MOEACA網站下載"GRCA自簽憑證"和"MOEACA憑證"來比較一下會更清楚。 GRCA自簽憑證 1f 9d 59 5a d7 2f c2 06 44 a5 80 08 69 e3 5e f6 MOEACA憑證 00 fd b3 f5 36 49 99 e6 4e 8c cb 36 62 12 90 e3 2b 是的,我也是看到他sample code中似乎是打錯字來的~
但是我想因為他是memcpy進去的,那個打錯字似乎是沒有影響才對
VB版本的我可能再試試看, 如果真的不行就先參考您的c#版本了XD
另外,針對OCSP的certStatus回傳值是2
我剛剛得到中華電信的解釋
原來要丟進去的SerialNumber如果第一個byte為00,ㄧ定要拿掉= =
我試過,拿掉之後果真回傳值就是0了 :em29:
至於為什麼要拿掉,我也不解, 我猜想可能是他們當初在做時
工商憑證跟自然人的都做同一套所以一定要ㄧ樣的規則吧 :em39:
以下是他們mail給我的解釋:

GPKI中所使用的憑證序號是一個長度為16 bytes的正整數,
但根據DER編碼對正數所使用2補數規則,
所以若遇到憑證序號開頭是a_或b_或c_或d_或e_或f_,
則會在最開頭補上0(16進位顯示為00),因此憑證序號長度就變成17 bytes(例:MOEACA憑證序號);
若遇到憑證序號開頭是0~9,則憑證序號長度為16 bytes(例: GRCA自簽憑證)。
結論是:憑證序號長度有16 bytes和17 bytes兩種。

建議可以到MOEACA網站下載"GRCA自簽憑證"和"MOEACA憑證"來比較一下會更清楚。

GRCA自簽憑證

1f 9d 59 5a d7 2f c2 06 44 a5 80 08 69 e3 5e f6

MOEACA憑證
00 fd b3 f5 36 49 99 e6 4e 8c cb 36 62 12 90 e3 2b

]]> 由:Admin http://www.blave.net.tw/454/comment-page-1#comment-189 Admin Mon, 21 Mar 2011 06:52:03 +0000 http://www.blave.net.tw/?p=454#comment-189 我記得當時搞這個也搞很久… 後來發現查詢時間應為RequestTime,應為API開發人員將R誤植為P,因此只能將錯就錯。 因此OCSstruct裡的最後一個property,故意改為public fixed byte PequestTime[32];就可以了,您試試看? 我記得當時搞這個也搞很久…
後來發現查詢時間應為RequestTime,應為API開發人員將R誤植為P,因此只能將錯就錯。
因此OCSstruct裡的最後一個property,故意改為public fixed byte PequestTime[32];就可以了,您試試看?

]]> 由:fongming http://www.blave.net.tw/454/comment-page-1#comment-188 fongming Mon, 21 Mar 2011 06:15:42 +0000 http://www.blave.net.tw/?p=454#comment-188 hi 不好意思我又來了 試了一下您的code之後,果然是可以正常得到ost的回傳值 :em69: 但是很奇怪的也跟您一樣certStatus永遠都是2 :em35: 這點真的是不知道為什麼,我是拿我自己的卡試的= = 難道說這個OCSP是不能用的嗎 :em35: 另外一點就是回到我最原始的問題,之前我說我會有一個 -603912959的err code, 當時是用vb.net寫的 後來把您的code翻成vb.net也會有同樣error 我對照了一下我原始的code跟您的,發覺差異的地方就在於 一些宣告的部份,現在我還沒有找到原因,如果您熟悉vb.net的話 是否也能指教一下呢? 我試著把vb的code貼一下 _ Private Shared Function BuildTobesignedOCSPRequest(ByRef OCSp As OCSstruct, ByVal num As Integer, _ ByVal Nounce As String, ByVal iNounceLength As Integer, _ ByRef RequestIssueCertificate As Byte(), ByRef ucppTobesignedOCSPReq As Byte(), _ ByRef iTobesignedOCSPReqLength As Integer) As Integer End Function _ Public Structure OCSstruct _ Public SerialNumber As Byte() '憑證序號 Public ResponseStatus As Integer 'OCS之Response狀態 Public CertStatus As Integer '憑證狀態 Public RevokeReason As Integer '廢止理由代碼 _ Public RequestTime As Byte() 'Request時間 End Structure Public Shared Function VerifyCertViaOCSP(ByVal certCA As X509Certificate2, ByVal certOCSP As X509Certificate2, ByVal certUser As X509Certificate2) As OCSstruct Dim ocs As New OCSstruct() Dim strSN As String = certUser.SerialNumber ocs.SerialNumber = New Byte(19) {} For i As Integer = 0 To 19 If i <= strSN.Length \ 2 - 1 Then ocs.SerialNumber(i) = Convert.ToByte(strSN.Substring(i * 2, 2), 16) Else ocs.SerialNumber(i) = Convert.ToByte("0", 16) End If Next ocs.CertStatus = 0 ocs.ResponseStatus = 0 ocs.RevokeReason = 0 ocs.RequestTime = New Byte(31) {} For i As Integer = 0 To 31 ocs.RequestTime(i) = Convert.ToByte("0", 16) Next Dim TBSReq As Byte() = New Byte(0) {} Dim iTBSReqLength As Integer = 0 Dim iReturn As Integer = BuildTobesignedOCSPRequest(ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, _ iTBSReqLength) TBSReq = New Byte(iTBSReqLength - 1) {} iReturn = BuildTobesignedOCSPRequest(ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, _ iTBSReqLength) Return ocs End Function 在第一次呼叫BuildTobesignedOCSPRequest就會彈那個錯了 而且iTBSReqLength也沒法正常拿到值 至於結構的宣告,試過改用VBFixedArray 也沒有用 目前對於這點感到相當苦惱中 :em41: hi
不好意思我又來了
試了一下您的code之後,果然是可以正常得到ost的回傳值 :em69:
但是很奇怪的也跟您一樣certStatus永遠都是2 :em35:
這點真的是不知道為什麼,我是拿我自己的卡試的= =
難道說這個OCSP是不能用的嗎 :em35:

另外一點就是回到我最原始的問題,之前我說我會有一個
-603912959的err code, 當時是用vb.net寫的
後來把您的code翻成vb.net也會有同樣error
我對照了一下我原始的code跟您的,發覺差異的地方就在於
一些宣告的部份,現在我還沒有找到原因,如果您熟悉vb.net的話
是否也能指教一下呢? 我試著把vb的code貼一下

_
Private Shared Function BuildTobesignedOCSPRequest(ByRef OCSp As OCSstruct, ByVal num As Integer, _
ByVal Nounce As String, ByVal iNounceLength As Integer, _
ByRef RequestIssueCertificate As Byte(), ByRef ucppTobesignedOCSPReq As Byte(), _
ByRef iTobesignedOCSPReqLength As Integer) As Integer
End Function

_
Public Structure OCSstruct
_
Public SerialNumber As Byte() '憑證序號
Public ResponseStatus As Integer 'OCS之Response狀態
Public CertStatus As Integer '憑證狀態
Public RevokeReason As Integer '廢止理由代碼
_
Public RequestTime As Byte() 'Request時間
End Structure

Public Shared Function VerifyCertViaOCSP(ByVal certCA As X509Certificate2, ByVal certOCSP As X509Certificate2, ByVal certUser As X509Certificate2) As OCSstruct
Dim ocs As New OCSstruct()

Dim strSN As String = certUser.SerialNumber
ocs.SerialNumber = New Byte(19) {}
For i As Integer = 0 To 19
If i <= strSN.Length \ 2 - 1 Then
ocs.SerialNumber(i) = Convert.ToByte(strSN.Substring(i * 2, 2), 16)
Else
ocs.SerialNumber(i) = Convert.ToByte("0", 16)
End If
Next

ocs.CertStatus = 0
ocs.ResponseStatus = 0
ocs.RevokeReason = 0
ocs.RequestTime = New Byte(31) {}
For i As Integer = 0 To 31
ocs.RequestTime(i) = Convert.ToByte("0", 16)
Next

Dim TBSReq As Byte() = New Byte(0) {}
Dim iTBSReqLength As Integer = 0
Dim iReturn As Integer = BuildTobesignedOCSPRequest(ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, _
iTBSReqLength)
TBSReq = New Byte(iTBSReqLength - 1) {}
iReturn = BuildTobesignedOCSPRequest(ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, _
iTBSReqLength)

Return ocs
End Function

在第一次呼叫BuildTobesignedOCSPRequest就會彈那個錯了
而且iTBSReqLength也沒法正常拿到值
至於結構的宣告,試過改用VBFixedArray 也沒有用
目前對於這點感到相當苦惱中 :em41:

]]> 由:fongming http://www.blave.net.tw/454/comment-page-1#comment-187 fongming Mon, 21 Mar 2011 01:18:29 +0000 http://www.blave.net.tw/?p=454#comment-187 真是太感謝您了, 小弟研究一下,另外也祝您的新書大賣!! 真是太感謝您了,
小弟研究一下,另外也祝您的新書大賣!!

]]> 由:Admin http://www.blave.net.tw/454/comment-page-1#comment-186 Admin Fri, 18 Mar 2011 12:12:21 +0000 http://www.blave.net.tw/?p=454#comment-186 抱歉…現在才看到這則留言… Delphi弟不熟,但應該還是可以Access CSP才對~ 您再試試看囉~ 抱歉…現在才看到這則留言…
Delphi弟不熟,但應該還是可以Access CSP才對~
您再試試看囉~

]]> 由:Admin http://www.blave.net.tw/454/comment-page-1#comment-185 Admin Fri, 18 Mar 2011 12:09:48 +0000 http://www.blave.net.tw/?p=454#comment-185 弟近日將出版一本介紹數位憑證的書,以下是節錄第12章的部分內容,希望對您有幫助。 1. 先弄一個struct: [StructLayout(LayoutKind.Sequential, CharSet = CharSet.Auto, Pack = 1)] unsafe public struct OCSstruct { public fixed byte SerialNumber[20]; public int ResponseStatus; public int CertStatus; public int RevokeReason; public fixed byte PequestTime[32]; } CertStatus回傳值的代表:  0:憑證存在且未廢止  1:憑證已經永久或暫時廢止  2:無此憑證(該憑證不是MOICA所發行) 2. 建立Entry Points: [DllImport("CHTHiSECURE5_NetFuncva.dll")] private static extern int BuildTobesignedOCSPRequest( ref OCSstruct ocs, int num, // OCS個數,填1即可 string Nounce, // OCSPRequest的Nounce欄位資料(填1~0) int NounceLength, // Nounce的長度 byte[] RequestIssueCertificate, // MOICA憑證 byte[] ToBeSignedRequest, // 用來簽章的資料 ref int ToBeSignedRequestLength ); [DllImport("CHTHiSECURE5_NetFuncva.dll")] private static extern int QueryOCSfromOCSPRequest( ref OCSstruct ocs, int num, byte[] ToBeSignedOCSPReq, int ToBeSingedOCSPReqLength, byte[] RequstSignature, int RequestSignatureLength, byte[] RequestIssueCertificate, // MOICA憑證 byte[] SenderCertificate, // 要檢查的憑證 byte[] OCSPServerCertificate, // OCSP憑證 string ServerURL, // OCSP網址 string ProxyName, int ProxyPort); 3. 下面這個方法,用來呼叫API,請API幫我們檢驗指定的憑證是否有問題: unsafe public static OCSstruct VerifyCertViaOCSP(X509Certificate2 certCA, X509Certificate2 certOCSP, X509Certificate2 certUser) { OCSstruct ocs = new OCSstruct(); string strSN = certUser.SerialNumber; for (int i = 0; i < strSN.Length / 2; i++) ocs.SerialNumber[i] = Convert.ToByte(strSN.Substring(i * 2, 2), 16); byte[] TBSReq = new byte[0]; int iTBSReqLength = 0; int iReturn = BuildTobesignedOCSPRequest( ref ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, ref iTBSReqLength); TBSReq = new byte[iTBSReqLength]; iReturn = BuildTobesignedOCSPRequest( ref ocs, 1, "1234567890", 10, certCA.Export(X509ContentType.Cert), TBSReq, ref iTBSReqLength); iReturn = QueryOCSfromOCSPRequest( ref ocs, 1, TBSReq, iTBSReqLength, null, 0, certCA.Export(X509ContentType.Cert), certUser.Export(X509ContentType.Cert), certOCSP.Export(X509ContentType.Cert), "moica.nat.gov.tw", null, 0); return ocs; } 4. 在專案屬性中,將「容許Unsafe程式碼」打勾 屆時出版,還請大家多多支持~ 弟近日將出版一本介紹數位憑證的書,以下是節錄第12章的部分內容,希望對您有幫助。
1. 先弄一個struct:
[StructLayout(LayoutKind.Sequential, CharSet = CharSet.Auto, Pack = 1)]
unsafe public struct OCSstruct
{
public fixed byte SerialNumber[20];
public int ResponseStatus;
public int CertStatus;
public int RevokeReason;
public fixed byte PequestTime[32];
}
CertStatus回傳值的代表:
 0:憑證存在且未廢止
 1:憑證已經永久或暫時廢止
 2:無此憑證(該憑證不是MOICA所發行)

2. 建立Entry Points:
[DllImport("CHTHiSECURE5_NetFuncva.dll")]
private static extern int BuildTobesignedOCSPRequest(
ref OCSstruct ocs,
int num, // OCS個數,填1即可
string Nounce, // OCSPRequest的Nounce欄位資料(填1~0)
int NounceLength, // Nounce的長度
byte[] RequestIssueCertificate, // MOICA憑證
byte[] ToBeSignedRequest, // 用來簽章的資料
ref int ToBeSignedRequestLength
);

[DllImport("CHTHiSECURE5_NetFuncva.dll")]
private static extern int QueryOCSfromOCSPRequest(
ref OCSstruct ocs,
int num,
byte[] ToBeSignedOCSPReq,
int ToBeSingedOCSPReqLength,
byte[] RequstSignature,
int RequestSignatureLength,
byte[] RequestIssueCertificate, // MOICA憑證
byte[] SenderCertificate, // 要檢查的憑證
byte[] OCSPServerCertificate, // OCSP憑證
string ServerURL, // OCSP網址
string ProxyName,
int ProxyPort);

3. 下面這個方法,用來呼叫API,請API幫我們檢驗指定的憑證是否有問題:
unsafe public static OCSstruct VerifyCertViaOCSP(X509Certificate2 certCA, X509Certificate2 certOCSP, X509Certificate2 certUser)
{
OCSstruct ocs = new OCSstruct();

string strSN = certUser.SerialNumber;
for (int i = 0; i < strSN.Length / 2; i++)
ocs.SerialNumber[i] = Convert.ToByte(strSN.Substring(i * 2, 2), 16);

byte[] TBSReq = new byte[0];
int iTBSReqLength = 0;
int iReturn = BuildTobesignedOCSPRequest(
ref ocs,
1,
"1234567890",
10,
certCA.Export(X509ContentType.Cert),
TBSReq,
ref iTBSReqLength);
TBSReq = new byte[iTBSReqLength];
iReturn = BuildTobesignedOCSPRequest(
ref ocs,
1,
"1234567890",
10,
certCA.Export(X509ContentType.Cert),
TBSReq,
ref iTBSReqLength);

iReturn = QueryOCSfromOCSPRequest(
ref ocs,
1,
TBSReq,
iTBSReqLength,
null,
0,
certCA.Export(X509ContentType.Cert),
certUser.Export(X509ContentType.Cert),
certOCSP.Export(X509ContentType.Cert),
"moica.nat.gov.tw",
null,
0);
return ocs;
}

4. 在專案屬性中,將「容許Unsafe程式碼」打勾

屆時出版,還請大家多多支持~

]]> 由:fongming http://www.blave.net.tw/454/comment-page-1#comment-184 fongming Fri, 18 Mar 2011 09:48:06 +0000 http://www.blave.net.tw/?p=454#comment-184 您好 我最近也在弄這塊,從您的程式學到不少東西! 現在碰到的問題是要弄OCSP時 呼叫他的BuildTobesignedOCSPRequest 都會彈一個-603912959的錯誤 不知道您之前有做這塊嗎 如果有的話是否能指教一下呢?感激不盡! 您好
我最近也在弄這塊,從您的程式學到不少東西!
現在碰到的問題是要弄OCSP時
呼叫他的BuildTobesignedOCSPRequest 都會彈一個-603912959的錯誤
不知道您之前有做這塊嗎
如果有的話是否能指教一下呢?感激不盡!

]]> 由:nanwaychen http://www.blave.net.tw/454/comment-page-1#comment-178 nanwaychen Tue, 28 Sep 2010 05:31:40 +0000 http://www.blave.net.tw/?p=454#comment-178 Hi 請教一下 HiSecure 的API 有辦法在 DELPHI 下編譯成WIN32 的程式使用嗎!! 在 DELPHI 下 要呼叫DLL 都需要 自行去宣告的!! 有這方面的資料或宣告檔可提供參考嗎?? 只是要單純讀出卡號和比對USER輸入的PINCODE 是否符合的功能即可!! 若不使用 HiSecure ~ 那使用微軟的CSP 方式是否也可做到?? Hi 請教一下
HiSecure 的API 有辦法在 DELPHI 下編譯成WIN32 的程式使用嗎!!
在 DELPHI 下 要呼叫DLL 都需要 自行去宣告的!!
有這方面的資料或宣告檔可提供參考嗎??
只是要單純讀出卡號和比對USER輸入的PINCODE 是否符合的功能即可!!
若不使用 HiSecure ~ 那使用微軟的CSP 方式是否也可做到??

]]>