如何使用USB Key中的证书对数据进行签名

最新推荐文章于 2024-05-10 16:37:28 发布
置顶 最新推荐文章于 2024-05-10 16:37:28 发布
阅读量8.9k 收藏 4
点赞数 2
分类专栏: PKI技术 文章标签: 加密 byte null microsoft buffer windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/irvenwindson/article/details/1715352
版权
本文详细介绍了如何使用Gemalto的Gemsafe USB Key进行数据签名,通过加载PKI证书,利用USB Key内置的安全特性进行RSA算法签名,确保数据安全。文中提供了使用Visual C++ 6.0的示例代码,并解释了为何通过计算数据的SHA1哈希值进行签名的原因。
摘要由CSDN通过智能技术生成

 

    现在国内银行大量在网上银行中使用USB Key来加强网络银行的安全性,从技术角度来看,USB Key使用的PKI架构无疑比单纯的用户名/密码、动态密码以及文件证书来的安全很多。

   在本文中,我将演示如何使用USB Key来对一段信息(文件或者消息)进行签名。

   本文使用Gemalto(原为Gemplus)的Gemsafe解决方案作为示例,Gemsafe可以支持众多智能卡读卡器+智能卡卡片以及USB Key,本文使用的是GemeSeal USB Key。目前,国内有多家主流银行OEM使用Gem eSeal USB Key作为网上银行的安全方案。下图为两种在中国市场上可以看到的Gem eSeal USB Key。

GemeSeal 外观(中国版本)

   为完成本文的示例,读者需要在操作系统中安装有“Gemplus GemSAFE Card CSP”。CSP(Crypto Service Provider)是微软定义的一套安全API集合,开发人员可以通过这套API来抽象不同的安全实体(如USB Key,只能卡设备,安全存储设备驱动,生物识别设备等等),而不需要关心提供安全保障设备的具体细节。“Gemplus GemSAFE Card CSP”可以从单独的Gemsafe解决方案中安装,也可以从国内各个银行OEM的设备驱动中安装。目前,GemSAFE的主流版本为5.X,这个版本支持主流Windows操作系统以及Linux和Mac OS操作系统。

   如何检查GemSAFE CSP是否已经安装?在注册表“HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Cryptography/Defaults/Provider” 下可以看到目前操作系统上已经安装和操作系统内置的CSP。需要注意的是,Windows 2000,XP和2003内置了一个较低版本的“Gemplus GemSAFE Card CSP v1.0”,这个CSP只能支持智能卡设备和实现有限的功能,读者需要注意区别其与“Gemplus GemSAFE Card CSP”之间的区别。安装“Gemplus GemSAFE Card CSP”之后,这个较低版本的CSP会被移除。

   此外,为了能进行签名操作,还需要在USB Key上加载一个PKI证书,证书可以从不同的CA平台上生成和获得(如各个国内银行、政府机构和CA提供商),下面附有一个示例用途的证书。http://dl2.csdn.net/down4/20070729/29200708459.pfx

   一般而言,网络银行系统会将证书直接签发到USB Key上,USB Key通过内置的COS(Card OS)来保证证书中的机密信息(即证书的私钥)不能被导出,任何使用私钥的运算必须在USB Key内部完成,并需要用户校验USB Key的PIN码。USB Key PIN会在多次失败尝试后自动锁定以防止外界攻击。因此,相比使用软件证书的网络银行系统而言,使用USB Key的网络银行系统能更好的保证安全性。

   目前Gem eSeal USB Key可以支持主流的512bit、1024bit和2048bit长度的RSA算法密钥以及相应的证书,下图为加载了上文的示例用途的证书后的Gem eSeal USB Key。

加载证书之后

 

   下面,我们可以开始使用“Gemplus GemSAFE Card CSP”来进行开发。以Microsoft Visual C++ 6.0为例,一般而言,此类程序可以使用任何可以调用Windows API的开发环境来进行开发,例如MS Visual Studio 6.0/2003/2005, Delphi,Java,Dev C++等。

   首先新建一个窗口程序,下面为具体代码

//  CSDNDemo.cpp : 演示使用Gem eSeal进行签名操作的窗口程序代码
 //
#include  " stdafx.h "

#include  < stdlib.h >
#include  < stdio.h >
#include  < conio.h >
#include  < ctype.h >
#include  < windows.h >
#include  < tchar.h >
#include  < stdio.h >

#include  < wincrypt.h >     // 需要引入Windows Crypto API的头文件

int  main( int  argc,  char *  argv[])
{
   DWORD i;
    char *   szFileName[ 256 ];
   
   BOOL  rslt;             // 存放函数返回
   FILE   * fp = NULL;
   BYTE  Buffer[ 512 ];
   DWORD ulLen;
   
   HCRYPTPROV   hProv;             // CSP句柄
   HCRYPTKEY    hKey;              // 证书私钥句柄
   HCRYPTHASH   hHash;             // 哈希对象句柄
最低0.47元/天 解锁文章
irvenwindson
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
飞天诚信 一个usbkey进行签名,另一个usbkey进行签名验证
10-21 3753
飞天诚信usbkey签名与验证的示例代码 #include "stdafx.h" #define TEST_CSP_NAME "FEITIAN ePassNG RSA Cryptographic Service Provider" #define KEY_CA_CONTAINER "CSPKeyTest" void HandleError(char
signature:帮助在 Windows 上对应用程序(二进制文件)进行数字签名的实用工具
05-31
CodeTitans 签名项目 帮助在 Windows 上对应用程序(二进制文件)进行数字签名的实用工具。 概述 作为任何命令行工具、驱动程序或 Visual Studio 插件的作者,可能需要通过在其放入数字签名来确认其来源。 不幸的是,它不像在Windows上那样容易,并且此实用程序试图弥补这一空白。 它提供了一个易于使用的UI,可以指定二进制文件和证书(已安装或来自.pfx文件)来完成该过程。 它的灵感来自于上关于签署项目的一些问题和关于 VSIX 后处理。 证书 对于开源项目,您可以从获得一个免费的 1 年有效代码签名证书。 用法 图片价值超过一千字。 命名要签名的二进制文件 (Ctrl+O) 选择证书(通过使用过滤器查找已安装的证书或指定 .pfx 文件和密码的路径) 单击“签名”按钮 (Ctrl+S) 导航到结果(Ctrl + R) 要求 微软 .NET 框架 4.
使用USBKey登录Windows的解决方案
最新发布
www.andang.cn
05-10 960
安当SLA提供USB Key本地认证和远程认证两种解决方案,方便用户灵活选择。安当选用具有国密商密认证的USB Key硬件令牌,提升安全可靠性。
如何制作和使用签名证书
weixin_44654807的博客
05-25 243
简单方式制作和使用签名证书 #!/bin/bash UTPUT_FILENAME="dev-XXX.net" [req] prompt = no default_bits = 4096 default_md = sha256 encrypt_key = no string_mask = utf8only distinguished_name = cert_dist
如何用自签名证书给.Sis文件签名
demigod2009的专栏
06-19 1391
如何用自签名证书给.Sis文件签名 本文适用于S60第三版或更新版本。从S60第三版开始(基于Symbian OS 9),用户只能安装已签名的应用程序。 如果应用程序只需基本能力,那就能使用签名证书。基本能力包括有: LocalServices, NetworkServices, ReadUserData, UserEnvironment 和 WriteUserData。 从S60 3rd FP2发行版(S60 3.2),Location能力也能授予自签名程序。 不需要任何能力的应用程序也能用自签名证书
USB学习笔记连载(十六):USB数字签名
weixin_34032827的博客
04-05 1119
转载:http://blog.chinaaet.com/crazybingo/p/34487   曾记得在最开始安装驱动程序的时候出现过这个错误。。。。但是最近我在别的电脑安装的时候又不出现这个错误了。。。搞不清楚所以然。。就拿出来吹吹牛逼、、、、当时我是这样做的。、。。。 至此,由于Win7数字证书问题,安装失败。、。。蛋疼的要死掉。。(这是3个月以前的事情了、、、),然后有...
如何将USBKey证书注册到Windows系统、分享一个 证书 C++安装
chenyujing1234的专栏
09-05 6335
(1)        获取CSP句柄。 CryptAcquireContext( &hTokenProv,NULL, “EnterSafe ET199Auto CSP V1.0”, PROV_RSA_FULL, NULL) (2)        获取USBKey内密钥句柄,这时要注意锁内密钥的类型是签名密钥(AT_SIGNATURE)或者交换密钥(AT_KEYEXCHANGE)。 Cr
usb.rar_USB KEY_java Ca_usb_证书
09-23
在本例,提供的程序可能包含了一些用于与USB KEY交互的代码,允许用户通过Java应用程序安全地读取或使用存储在USB设备上的证书。 在描述提到,这个程序虽然不完整,但具有一定的实用性。这可能意味着它是一个...
PKCS11获取USBKEY最好的例子
05-19
在"PKCS11获取USBKEY最好的例子",我们将会深入探讨如何使用PKCS11 API来操作USB KEY,以便实现安全的密钥存储和签名功能。 首先,理解PKCS11的核心概念至关重要。PKCS11接口提供了一系列函数,这些函数允许应用...
USBKey.docx
03-05
再者,USB Key内置了CPU或智能卡芯片,这些芯片能执行各种密码算法,如数据加解密、签名验签、消息摘要等。通过硬件实现密码算法,计算过程完全在Key内部完成,密钥不会暴露在计算机的内存,降低了被黑客攻击的...
P11_USBKEY_Reader.zip
04-15
标题"P11_USBKEY_Reader.zip"和描述提到的"PKCS11读USBKEY示例"都指向了一个特定的IT技术应用场景:...通过对示例的分析和学习,开发者可以更熟练地处理与USBKEY相关的密码操作,如电子签名数据加密和密钥存储。
使用数字证书usb key进行PKCS#7数字签名
08-02
越来越多的应用需要我们使用USB接口数字证书进行PKCS#7数字签名。本文分别介绍了使用微软CryptoAPI方式和OpenSSL Engine方式进行数字签名。特别地,提出了OpenSSL Engine简化方式,这种方式更为灵活方便易行。
epass3000USBkey管理工具
04-14
压缩包的"3000"可能是软件的版本号或者相关文件的标识,这表明用户可能需要下载并安装这个特定版本的管理工具来配合EPASS3000USBkey使用。 总的来说,EPASS3000USBkey管理工具提供了一个方便的界面,让用户能够...
数字签名签名验证过程
Baby_加油_的博客
06-06 4665
数字签名签名验证过程
USBKey导入证书私钥
hhtang的专栏
08-14 4979
CAPI写密钥对到USBKey CSP                                        --------在前面了解了CryptoAPI和CSP的相关概念之后,我们具体分析了CryptoAPI的相关函数,实现了写证书、私钥的过程和更新证书的过程。写证书和私钥到CSP的方案:首先将CA返回给RA的证书和私钥进行封装,将它们封装成P12结构证书,然后将P12结构证书导入到
转载:公钥、私钥、USBKey、CSP、数字证书和CryptoAPI的简介
andersonanya的博客
10-11 5391
数字证书:英文digital certificate,在因特网上,用来标志和证明网络通信双方身份的数字信息文件。包含一个公开密钥、名称以及证书授权心的数字签名。 公开密钥:对外公开,私钥则有自己保存,用其一把密钥加密,另一把密钥用于解密。(非对称密钥,典型的算法代表是RSA) 私钥用来进行解密和签名,而公钥则由本人公开,为一组用户所共享,用于加密和验证签名。 在网上查阅了一些例证和示意图
USBKEY全解析---概要介绍
洋仔专栏
05-15 1万+
前言 USBKey简单的理解就是数字证书的容器,如果用杯子和水的关系就是:USBKEY是杯子、数字证书是水,USBKEY大部分人都见过,以前银行发的比较多,虽然名字各不相同:工行的叫u盾,农行称:K宝,样子都大差不差,例如下图: 最近几年随着支付宝和微信的支付习惯,用户都不习惯带硬件产品(去介质化),银行端USBKEY使用人群越来越VIP化,...
证书签名(一):数字签名是什么
热门推荐
MachineEye
04-21 2万+
文章由阮一峰翻译,作者为 David Youd。用图片通俗易懂地解释了,”数字签名”(digital signature)和”数字证书”(digital certificate)到底是什么。   原文网址:http://www.youdzone.com/signature.html   阮一峰:http://www.ruanyifeng.com/blog/2011/08/what_is_a_di
.NET操作数字证书
weixin_30767921的博客
07-13 304
NET操作数字证书,包括如何生成证书、编程操作证书、创建发行者证书等等步骤。.NET为我们提供了操作数字证书的两个主要的类,分为为:System.Security.Cryptography.X509Certificates.X509Certificate2类, 每个这个类的实例可以表示一个证书;System.Security.Cryptography.X509Certificates.X509S...
usbkey java实现
06-13
要实现USBKey的Java应用程序,您需要使用Java Cryptography Architecture(JCA)和Java Cryptography Extension(JCE)等Java安全API。以下是一个简单的USBKey Java实现的示例: ```java import java.io.FileInputStream; import java.security.KeyStore; import java.security.PrivateKey; import java.security.Signature; import java.security.cert.Certificate; public class USBKey { private static final String USBKEY_FILE = "path/to/usbkey/file"; private static final String USBKEY_PASSWORD = "usbkey-password"; private static final String KEY_ALIAS = "key-alias"; private static final String SIGNATURE_ALGORITHM = "SHA256withRSA"; public static void main(String[] args) throws Exception { // 加载USBKey文件 KeyStore keyStore = KeyStore.getInstance("PKCS12"); FileInputStream fis = new FileInputStream(USBKEY_FILE); keyStore.load(fis, USBKEY_PASSWORD.toCharArray()); // 获取私钥和证书 PrivateKey privateKey = (PrivateKey) keyStore.getKey(KEY_ALIAS, USBKEY_PASSWORD.toCharArray()); Certificate cert = keyStore.getCertificate(KEY_ALIAS); // 签名数据 byte[] data = "Hello, USBKey!".getBytes(); Signature signature = Signature.getInstance(SIGNATURE_ALGORITHM); signature.initSign(privateKey); signature.update(data); byte[] signedData = signature.sign(); // 验证签名 signature.initVerify(cert); signature.update(data); boolean valid = signature.verify(signedData); System.out.println("签名是否合法: " + valid); } } ``` 该示例加载了USBKey文件,获取了私钥和证书,并使用SHA256withRSA算法对数据进行签名和验证。您可以根据需要调整代码,以便在您的应用程序使用USBKey进行身份验证和数据保护。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值