<![CDATA[Форум Рутокен — Вопросы по работе с OpenSSL C++]]> 2019-12-04T08:53:12Z PunBB https://forum.rutoken.ru/topic/3090/ <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Binger, других вариантов получить issuer через openssl мне не известно.

]]> https://forum.rutoken.ru/user/7338/ 2019-12-04T08:53:12Z https://forum.rutoken.ru/post/13677/#p13677 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, Подскажите, пожалуйста, есть ли в OpenSSL функция подобная CMS_RecipientInfo_ktri_get0_signer_id, которая давала бы мне поле "Issuer"? Или его я могу получить только с помощью парсинга CMS?

]]> https://forum.rutoken.ru/user/11270/ 2019-12-03T12:59:25Z https://forum.rutoken.ru/post/13675/#p13675 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, огромное спасибо

]]> https://forum.rutoken.ru/user/11270/ 2019-12-03T09:47:05Z https://forum.rutoken.ru/post/13674/#p13674 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Binger, вам нужна CMS_get0_RecipientInfos https://www.openssl.org/docs/man1.0.2/m … t_cmp.html

Пример вызова: https://github.com/WestCoastRomS/androi … cs7.c#L591

]]> https://forum.rutoken.ru/user/7338/ 2019-12-03T09:15:39Z https://forum.rutoken.ru/post/13673/#p13673 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, я хотел получить сертификаты получателей шифрованного сообщения, а не пользовательский. Какую тогда функцию можно использовать?

]]> https://forum.rutoken.ru/user/11270/ 2019-12-03T09:11:28Z https://forum.rutoken.ru/post/13672/#p13672 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> CMS не обязательно должна содержать информацию о сертификате подписанта. Вы уверены, что сертификат пользователя есть в  CMS?

]]> https://forum.rutoken.ru/user/7338/ 2019-12-03T09:08:30Z https://forum.rutoken.ru/post/13671/#p13671 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, добрый день. Подскажите, пожалуйста, что я не так делаю? Хотел получить сертификаты из cms для дальнейшей работы с ними и получения информации о серийном номере. Однако функция CMS_get1_certs() возвращает NULL. 

#include "stdafx.h"

#define HARDWARE_KEYS

#include <assert.h>
#include <CommonOpenSSL.h>
#include <openssl/cms.h>


int main(void)
{
    EVP_PKEY* key;                                        // Описатель ключевой пары
    ENGINE* rtEngine;                                     // rtengine
    BIO* inBio;                                           // Описатель потока ввода
    BIO* outBio;                                          // Описатель потока вывода
    STACK_OF(X509) * certs = NULL;
    CMS_ContentInfo* cms;                                 // Описатель CMS структуры

    int r;                                                // Код возврата
    int errorCode = 1;                                    // Флаг ошибки

    printf("Sample has started.\n\n");
    /*************************************************************************
    * Создание rtengine и регистрация его в OpenSSL                          *
    *************************************************************************/
    r = rt_eng_init();
    CHECK("  rt_eng_init", r == 1, exit);

    /*************************************************************************
    * Получение rtengine                                                     *
    *************************************************************************/
    rtEngine = rt_eng_get0_engine();
    assert(rtEngine);

    /*************************************************************************
    * Установка rtengine реализацией по умолчанию                            *
    *************************************************************************/
    r = ENGINE_set_default(rtEngine, ENGINE_METHOD_ALL - ENGINE_METHOD_RAND);
    CHECK("  ENGINE_set_default", r == 1, finalize_engine);

    /*************************************************************************
    * Получение ключевой пары                                                *
    *************************************************************************/
    printf("  get_key_pair...\n");
    key = get_key_pair();
    CHECK("  get_key_pair", key != NULL, unregister_engine);

    /*************************************************************************
    * Открытие поточного ввода из файла                                      *
    *************************************************************************/
    inBio = BIO_new_file("cms_encrypted.pem", "rb");
    CHECK("  BIO_new_file", inBio != NULL, free_key);

    /*************************************************************************
    * Чтение CMS структуры из файла                                          *
    *************************************************************************/
    cms = PEM_read_bio_CMS(inBio, NULL, NULL, NULL);
    CHECK("  PEM_read_bio_CMS", cms != NULL, free_in_bio);

   certs = CMS_get1_certs(cms);
    
   for (int i = 0; certs && i < sk_X509_num(certs); i++) 
  {
    X509 *cert = sk_X509_value(certs, i);
    const ASN1_INTEGER *serial = X509_get_serialNumber(cert);
  }
    ...

]]> https://forum.rutoken.ru/user/11270/ 2019-12-03T08:10:09Z https://forum.rutoken.ru/post/13670/#p13670 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Ориентируйтесь на возвращаемое значение CMS_decrypt https://www.openssl.org/docs/man1.0.2/m … crypt.html

Особенности функции decrypt: она всегда будет возвращать какие-то данные, даже когда на входе не соответствующий CMS сертификат. Это гарантирует одинаковое время выполнения функции для защиты от MMA атак.

]]> https://forum.rutoken.ru/user/7338/ 2019-11-29T15:38:43Z https://forum.rutoken.ru/post/13664/#p13664 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, хотя может быть я не так поступал: я изменил значение CK_BYTE g_keyPairIdGost2012RtEngine[] = { "1234567890" } в Common.h,
где 1234567890- CKA_ID ключевой пары на токене.
Или каким образом можно выбрать ключевую пару для расшифрования?

]]> https://forum.rutoken.ru/user/11270/ 2019-11-29T15:32:42Z https://forum.rutoken.ru/post/13663/#p13663 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, попробовал расшифровать зашифрованный файл, используя ключ сертификата, которого нет в списке получателей и  никаких ошибок не было в работе программы. Так и должно разве быть? Я просто в конечном итоге получил неверные данные расшифрованные:

ЎП\жH€s№вlMсAуПSP”e—8¦µўSЮy
ЯЛё‹–

вместо:

1 2 3 4 5 
ONE TWO THREE FOUR FIVE

Павел, как можно данную ситуацию превратить в ошибку?

]]> https://forum.rutoken.ru/user/11270/ 2019-11-29T15:24:15Z https://forum.rutoken.ru/post/13662/#p13662 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Вместо

r = PEM_write_bio_CMS(outBio.get(), cmsCntInfo);
CHECK("  PEM_write_bio_CMS", r > 0, free_cms);

на

r = i2d_CMS_bio(outBio.get(), cmsCntInfo);
CHECK("  i2d_CMS_bio", r > 0, free_cms);
]]> https://forum.rutoken.ru/user/7338/ 2019-11-29T13:56:59Z https://forum.rutoken.ru/post/13661/#p13661 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, есть ли аналогия PEM_write_bio_CMS(outBio.get(), cms) для DER формата?

]]> https://forum.rutoken.ru/user/11270/ 2019-11-29T12:26:53Z https://forum.rutoken.ru/post/13660/#p13660 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> 
std::vector<uint8_t> readMemBio(BIO* bio) {
    char* ptr;
    int len = BIO_get_mem_data(bio, &ptr);
    if (len < 0) return {};

    std::vector<uint8_t> result(ptr, ptr + len);

    // normally returns 1 for success and 0 or -1 for failure.
    // File BIOs are an exception, they return 0 for success and -1 for failure.
    int r = BIO_reset(bio);
    if (r <= 0) return {};

    return result;
}
...

bioPtr outBio(nullptr, BIO_free_all);
std::vector<uint8_t> cmsBuf;
...
cmsCntInfo = CMS_encrypt(certs, inBio.get(), cipher, 0);
CHECK("  CMS_encrypt", cms != NULL, free_sk_certs);

outBio.reset(BIO_new(BIO_s_mem()));
CHECK("  BIO_new", outBio != NULL, free_cms);

r = PEM_write_bio_CMS(outBio.get(), cmsCntInfo);
CHECK("  PEM_write_bio_CMS", r > 0, free_cms);

cmsBuf = readMemBio(outBio.get());
]]> https://forum.rutoken.ru/user/7338/ 2019-11-29T11:52:30Z https://forum.rutoken.ru/post/13658/#p13658 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Павел Анфимов, подскажите, пожалуйста, как шифрованное сообщение не выводить через поток вывода, а передать байты сообщения в массив unsigned char?

       /*************************************************************************
        * Открытие поточного вывода в файл                                       *
        *************************************************************************/
        outBio = BIO_new_file("cms_encrypted.pem", "wb");
        CHECK("  BIO_new_file", outBio != NULL, free_cms);

        /*************************************************************************
        * Запись CMS структуры в файл                                            *
        *************************************************************************/
        r = PEM_write_bio_CMS(outBio, cms);
        CHECK("  PEM_write_bio_CMS", r == 1, free_out_bio);
]]> https://forum.rutoken.ru/user/11270/ 2019-11-29T11:49:26Z https://forum.rutoken.ru/post/13656/#p13656 <![CDATA[Re: Вопросы по работе с OpenSSL C++]]> Binger, вам нужно передать владение сертификатом контейнеру хранения сертификатов STACK_OF(X509) * certs.

Для этого у unique_ptr есть метод release():

r = sk_X509_push(certs, cert.release());
]]> https://forum.rutoken.ru/user/7338/ 2019-11-29T10:40:14Z https://forum.rutoken.ru/post/13652/#p13652