На данный момент есть несколько обходных вариантов:
Использовать "сырое" шифрование\расшифрование с помощью PKCS#11. Пример можно посмотреть тут - sdk\pkcs11\samples\Standard\EncDecRSA
Если нужен именно CMS, то использовать openssl. Пример можно посмотреть тут - sdk\openssl\rtengine\samples\EncryptCMS (DecryptCMS)
Какое именно устройство Вы используете?
Использую смарт-карту Рутокен ЭЦП 2.0.
в каком именно у Вас не заработали сертификаты с RSA
Сертификаты с RSA не заработали во всех нижеперечисленных сценариях:
1. Сертификат с ключевой парой RSA (1024), выданный моим местным контроллером домена (файл обмена личной информацией .pfx). Импорт сертификата на устройство проходит успешно, приватный ключ перечисляется в общем списке c помощью методов Pkcs11Device::enumeratePrivateKeys и Pkcs11UserCert::getCorrespondingPrivateKey. Но при попытке выполнить enveloped_data.decrypt(cms::EnvelopedData::DecryptParams{ cert }) для сертификата с RSA-ключем, получаю исключение "Key is not permitted to be used in operation"
2. Сертификат, сделанный на ключевой паре RSA, которая была сгенерирована в самом устройстве. Для этого я генерил ключевую пару RSA (2048), на ее основе выдавал запрос на выдачу сертификата. Получал сертификат, экспортировал его на устройство. В итоге на устройстве получался сертификат с нормальной ключевой парой, которой вел себя точно так же, как описано в первом случае.
Единственное, что пока заработало - это выполнение п.2, но для ключевой пары, полученной на устройстве с помощью Pkcs11Device::generateKeyPair с настройками Pkcs11Device::Gost34102012_512KeyGenParams.
Такой сертификат перечисляется, объект его приватного ключа можно получить обеими указанными выше методами и при этом enveloped_data.decrypt(cms::EnvelopedData::DecryptParams{ cert }) для указанного сертификата нормально выполняется и расшифровывает ранее зашифрованное сообщение.
Однако, по определенным причинам хотелось бы того же, но для RSA 1024 и выше.
Импорт ГОСТ ключей на сертифицированные Рутокен ЭЦП запрещен регулятором (ФСБ), такие токены генерируют ключи на борту и никогда не выдают их наружу, что гарантирует их существование в единственном экземпляре.
Это очевидно, я и не пытался экспортировать ключевую пару наружу из устройства или импортировать имеющийся (у меня такого и нет). Создавал сертификат на основе запроса из устройства и импортировал его на устройство, где он уже самостоятельно подклеивал приватный ключ, от сгенерированной ранее ключевой пары.
]]>Вы описали несколько сценариев работы и не совсем понятно в каком именно у Вас не заработали сертификаты с RSA. Можете уточнить? Какое именно устройство Вы используете?
Судя по тому, что Вам не удалось импортировать ГОСТ ключевую пару, скорее всего это одна из моделей смарт-карты семейства Рутокен ЭЦП. Импорт ГОСТ ключей на сертифицированные Рутокен ЭЦП запрещен регулятором (ФСБ), такие токены генерируют ключи на борту и никогда не выдают их наружу, что гарантирует их существование в единственном экземпляре.
]]>Код примерно такой:
try
{
cout << boolalpha;
rutoken::pkicore::initialize(".");
SCOPE_EXIT() { rutoken::pkicore::deinitialize(); };
auto devices = Pkcs11Device::enumerate();
const std::string plaint_text = "Hello, World!"; //Типа секретные данные
const std::vector<uint8_t> plaint_data{ plaint_text.begin(), plaint_text.end() };
for (auto&& device : devices)
{
device.login("12345678");
SCOPE_EXIT(&device) { device.logout(); };
auto cert_file_data = readFile("D:\\Temp\\123-dev.cer");
ExternalCert cert_file(cert_file_data.data(), cert_file_data.size());
cms::EnvelopParams enlelop_params{ device };
enlelop_params.addRecipient(cert_file);
auto enveloped_data = cms::envelop(plaint_data, enlelop_params);
auto certs = device.enumerateCerts();
if (certs.empty())
{
throw runtime_error("Token has no certificates.");
}
auto cert = move(certs.front());
try
{
cert.getCorrespondingPrivateKey();
}
catch (std::exception&)
{
throw runtime_error("Certificate has no private key.");
}
auto message = enveloped_data.decrypt(cms::EnvelopedData::DecryptParams{ cert }); // <<= Вот тут вылетает исключение с сообщением "Key is not permitted to be used in operation"
if (message.contentType() != cms::ContentType::data)
{
throw runtime_error("Unsupported content type of enveloped data");
}
}
}
catch (const exception& e)
{
cerr << e.what() << endl;
return 1;
}