Bouncy Castle使用(一)【开始】

bouncy castle(轻量级密码术包)是一种用于 Java 平台的开放源码的轻量级密码术包;它支持大量的密码术算法,并提供JCE 1.2.1的实现。

保持Bouncy Castle项目进行

随着各种算法的更改,更新,协议中的安全问题,以及不得不为诸如CERT等组织编写供应商声明,保持Bouncy Castle项目的进行正在变成一个全职工作,我们中的几个人现在已经放弃了稳定的工作,以释放上班时间。如果您正在使用我们的软件,并且有兴趣确保在需要我们时总是在这里,有两种主要的方式可以帮助您。

第一个是通过获得支持合同或通过赞助项目的具体工作。不仅你会得到Bouncy Castle开发商的热线,咨询时间,如果需要的话可以发布警报,但是如果你愿意,我们也会公开承认你的支持。您可以在Crypto Workshop找到有关支持合同和咨询的更多信息。

其次, Bouncy Castle APIs现已由一个注册澳大利亚慈善组织,Bouncy Castle Inc,ABN 84 166 338 567正式拥有。在不考虑实际做我们做的事情的成本的同时,我们也在筹集资金允许我们获得诸如API的FIP等认证。我们可以通过PayPal,比特币或直接转账接受捐款。

当前功能列表:

  • 生成和解析PKCS-12文件。
  • X.509:V1和V3证书的生成器和解析器,V2 CRLs和属性证书。
  • 由PbeUtilities支持的PBE算法:PBEwithMD2andDES-CBC, PBEwithMD2andRC2-CBC,
    PBEwithMD5andDES-CBC, PBEwithMD5andRC2-CBC, PBEwithSHA1andDES-CBC,
    PBEwithSHA1andRC2-CBC, PBEwithSHA-1and128bitRC4,
    PBEwithSHA-1and40bitRC4, PBEwithSHA-1and3-keyDESEDE-CBC,
    PBEwithSHA-1and2-keyDESEDE-CBC, PBEwithSHA-1and128bitRC2-CBC,
    PBEwithSHA-1and40bitRC2-CBC, PBEwithHmacSHA-1, PBEwithHmacSHA-224,
    PBEwithHmacSHA-256, PBEwithHmacRIPEMD128, PBEwithHmacRIPEMD160, and
    PBEwithHmacRIPEMD256
  • SignerUtilities支持的签名算法:MD2withRSA, MD4withRSA, MD5withRSA,
    RIPEMD128withRSA, RIPEMD160withECDSA, RIPEMD160withRSA,
    RIPEMD256withRSA, SHA-1withRSA, SHA-224withRSA,
    SHA-256withRSAandMGF1, SHA-384withRSAandMGF1, SHA-512withRSAandMGF1,
    SHA-1withDSA, and SHA-1withECDSA.
  • 对称密钥算法: AES, Blowfish, Camellia, CAST5, CAST6, ChaCha, DES, DESede,
    GOST28147, HC-128, HC-256, IDEA, ISAAC, Noekeon, RC2, RC4, RC5-32,
    RC5-64, RC6, Rijndael, Salsa20, SEED, Serpent, Skipjack, TEA/XTEA,
    Threefish, Tnepres, Twofish, VMPC and XSalsa20.
  • 对称密钥模式:CBC,CFB,CTS,GOFB,OFB,OpenPGPCFB和SIC(或CTR)。
  • 对称密钥填充: ISO10126d2, ISO7816d4, PKCS-5/7, TBC, X.923, and Zero Byte.
  • 不对称密钥算法: ElGamal, DSA, ECDSA, NaccacheStern and RSA (with blinding).
  • 非对称密钥填充/编码:ISO9796d1, OAEP, and PKCS-1.
  • AEAD块密码模式:CCM,EAX,GCM和OCB。
  • 摘要:GOST3411,Keccak,MD2,MD4,MD5,RIPEMD128,RIPEMD160,RIPEMD256,RIPEMD320,SHA-1,SHA-224,SHA-256,SHA-384,SHA-512,SHA3,Tiger和Whirlpool。
  • XOFs:SHAKE。
  • 签名机制:DSA,ECDSA,ECGOST3410,ECNR,GOST3410,ISO9796d2,PSS,RSA,X9.31-1998。
  • 密钥协议:Diffie-Hellman,EC-DH,EC-MQV,J-PAKE,SRP-6a。
  • Macs: CBCBlockCipher, CFBBlockCipher, CMAC, GMAC, GOST28147, HMac,
    ISO9797 Alg. 3, Poly1305, SipHash, SkeinMac, VMPCMAC.
  • PBE生成器:PKCS-12PKCS-5 - 方案1和2。
  • OpenPGP(RFC 4880)
  • 加密消息语法(CMS,RFC 3852),包括流式API。
  • 在线证书状态协议(OCSP,RFC 2560)。
  • 时间戳协议(TSP,RFC 3161)。
  • TLS / DTLS客户端/服务器,最高版本1.2,支持最常见的密码和扩展,以及许多较不常见的密码。非阻塞API可用。
  • 椭圆曲线密码:支持通用的F2mFp曲线,用于许多标准化曲线的高性能定制实现。
  • 读/写PEM文件,包括RSA和DSA密钥,具有各种加密功能。
  • PKIX证书路径验证

编程方式读取X.509证书吊销列表(CRL)(一)应用Bouncy Castle Crypto

X.509 结构的证书被吊销后,序列号会出现在Certificate Revocation List (CRL) 中,我们可以将它另存为一个.crl的文件,就能够查看被吊销的证书信息,但.NET Framework并没有提供可对Crl进行属性访问的类(Java中提供了X509Crl),要实现这样的功能,我们得借助.NET框架之外的技术:Bouncy Castle Crypto或者Mono SDK。

先介绍如何使用Bouncy Castle Crypto(Version 1.4)读取X.509证书及吊销列表。
首先加入X.509证书所在的命名空间:

using Org.BouncyCastle.X509;

其中的几个有关的类:

X509CrlParser 用于构建一个crl对象,支持从字节数组和内存流中获取数据。

X509Crl crl对象,包含证书吊销组织、吊销证书列表、时间戳等信息。

X509CrlEntry crl对象中被吊销的证书对象。

ISet 在Org.BouncyCastle.Utilities.Collections下,X509Crl中被读取所有证书对象放在HashSet中,以ISet接口类型返回,HashSet支持迭代器。

下面是读取Crl的示例:

//获取obj
List<int> numbers = new List<int>();

X509CrlParser parser = new X509CrlParser();
X509Crl crl = parser.ReadCrl((byte[])obj);
//获取所有的吊销证书
ISet crlSet = crl.GetRevokedCertificates();
if (crlSet != null && crlSet.Count > 0)
{
    foreach (object o in crlSet)
    {
        X509CrlEntry crlEntry = (X509CrlEntry)o;
        int serialNumber = crlEntry.SerialNumber.IntValue;
        if (!numbers.Contains(serialNumber))
        {
            numbers.Add(serialNumber);
        }
    }
}

X509CrlEntry.SerialNumber.IntValue将16进制的证书序列号以10进制的Int32类型输出。

另外再提一下BC Crypto的X509Certificate类和.NET Framework下的X509Certificate2类的区别:

X509Certificate2输出证书DN信息时,属性SubjectName是将个人信息按照从小到大(姓名-组织-市-省-国家)排列,而BC Crypto的X509Certificate使用SubjectDN属性,将个人信息从大到小排列,市的标识是ST,.NET是S。如果需要根据证书生成组织结构,这个需要特别注意。

没有更多推荐了,返回首页