数字签名是一种用于验证数字文档的技术,它可以确保文档的完整性和来源。本文将介绍数字签名的概念和原理,以及如何使用.Net Core创建和验证数字签名。
什么数字签名?数字签名的原理是使用非对称加密算法,即公钥和私钥。公钥是公开的,任何人都可以用它来验证签名,而私钥是保密的,只有签名者才能用它来创建签名。数字签名的过程如下:
签名者使用私钥对文档的哈希值进行加密,得到数字签名。
签名者将文档和数字签名一起发送给接收者。
接收者使用公钥对数字签名进行解密,得到文档的哈希值。
接收者使用相同的哈希算法对文档进行哈希,得到文档的哈希值。
接收者比较两个哈希值,如果相同,说明文档没有被篡改,且来源可信。
点个关注吧????
.Net Core中如何使用数字签名
.Net Core提供了一些类和方法来生成密钥、签名和验证,使用很方便。我们以一个简单的示例来说明,假设有这样一个文档,内容如下:
Hello, this is a document that needs to be signed.
我们目的是使用数字签名来保护这个文档的完整性和来源。以下是具体的步骤:
一、创建密钥
创建数字签名的第一步是获取公钥和私钥,我们可以有两种方式来获取密钥,一种是以编程方式生成密钥,另一种是通过外部工具创建导入。
1、以编程方式生成密钥
首先,我们需要创建一个RSA对象,用于生成公钥和私钥。可以使用RSA.Create方法来创建一个RSA对象,也可以使用RSACryptoServiceProvider类的构造函数来创建一个RSACryptoServiceProvider对象,它是RSA类的一个子类。例如:
// 使用RSA.Create方法创建一个RSA对象RSA rsa = RSA.Create;// 使用RSACryptoServiceProvider类的构造函数创建一个RSACryptoServiceProvider对象RSACryptoServiceProvider rsa = new RSACryptoServiceProvider;
然后,我们需要导出公钥和私钥,以便于存储和传输。可以使用RSA.ExportRSAPublicKey方法和RSA.ExportRSAPrivateKey方法来导出公钥和私钥,它们会返回一个字节数组,表示公钥和私钥的二进制格式。例如:
// 创建一个 RSA 对象RSA rsa = RSA.Create;rsa.KeySize = 2048;/********可保存到文件或数据库*********/// 导出公钥byte publicKey = rsa.ExportRSAPublicKey;// 导出私钥byte privateKey = rsa.ExportRSAPrivateKey;/********创建RSA对象存储密钥*********/// 导出公钥RSAParameters publicKeyParameters = rsa.ExportParameters(false);// 导出私钥RSAParameters privateKeyParameters = rsa.ExportParameters(true);// 创建一个新的RSA对象,用于存储公钥RSA publicKey = RSA.Create;// 导入公钥参数publicKey.ImportParameters(publicKeyParameters);// 创建一个新的RSA对象,用于存储私钥RSA privateKey = RSA.Create;// 导入私钥参数privateKey.ImportParameters(privateKeyParameters);
2、通过外部工具创建导入
首先,我们需要使用一些外部工具,例如OpenSSL或者Windows的证书管理器,来创建一个X.509证书或者一个Pem文件,它们包含了公钥和私钥。例如,通过以下的命令来使用OpenSSL创建一个X.509证书:
# 生成一个私钥openssl genrsa -out mykey.pem 2048# 生成一个自签名的证书openssl req -new -x509 -key mykey.pem -out mycert.pem -days 365
然后,使用以下的代码来从一个X.509证书中导入公钥和私钥:
// 从一个文件中加载一个X.509证书X509Certificate2 cert = new X509Certificate2("mycert.pfx", "password");// 从X.509证书中获取RSA公钥RSA publicKey = cert.GetRSAPublicKey;// 从X.509证书中获取RSA私钥RSA privateKey = cert.GetRSAPrivateKey
或者,使用以下的代码来从一个Pem文件中导入公钥和私钥:
//公钥string publicPem = "-----BEGIN PUBLIC KEY-----MIGfM……";//私钥string privatePem = "-----BEGIN PRIVATE KEY-----MIICdg……";RSA publicKey = RSA.Create;// 导入公钥publicKey.ImportFromPem(publicPem);RSA privateKey = RSA.Create;//导入私钥privateKey.ImportFromPem(privatePem);
二、创建和验证数字签名
无论我们是以编程方式生成密钥,还是通过外部工具创建导入,我们都可以使用相同的方法来使用密钥创建和验证数字签名。以下是具体的步骤:
首先,我们需要对文档进行哈希,以便于生成数字签名,可以使用SHA256类来计算文档的哈希值,使用SHA256.ComputeHash方法来对文档的字节数组进行哈希,它会返回一个字节数组,表示文档的哈希值。例如:
// 创建一个SHA256对象SHA256 sha256 = SHA256.Create;// 将文档转换为字节数组byte document = Encoding.UTF8.GetBytes("Hello, this is a document that needs to be signed.");// 对文档进行哈希byte hash = sha256.ComputeHash(document);
然后,我们需要使用私钥对文档的哈希值进行加密,以生成数字签名。可以使用RSA.SignHash方法来对文档的哈希值进行加密,它会返回一个字节数组,表示数字签名。同时指定哈希算法的名称和填充模式,这里我们使用SHA256和Pkcs1。例如:
// 使用私钥对文档的哈希值进行加密,生成数字签名byte signature = privateKey.SignHash(hash, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
最后,我们需要使用公钥对数字签名进行解密,以验证文档的完整性和来源。可以使用RSA.VerifyHash方法来对数字签名进行解密,它会返回一个布尔值,表示验证的结果。同时指定相同的哈希算法名称和填充模式,例如:
// 使用公钥对数字签名进行解密,验证文档的完整性和来源bool result = publicKey.VerifyHash(hash, signature, HashAlgorithmName.SHA256, RSASignaturePadding.Pkcs1);
如果result为true,说明文档没有被篡改,且来源可信,如果为false 说明文档可能被篡改,或者来源不可信。
数字签名可以保护文档的真实性和完整性,是安全文档管理的关键技术。通过ASP.NET Core,我们可以轻松地在应用程序中实现数字签名的功能。
参考资料:
https://stackoverflow.com/questions/50227580/create-x509certificate2-from-pem-file-in-net-corehttps://stackoverflow.com/questions/243646/how-to-read-a-pem-rsa-private-key-from-nethttps://stackoverflow.com/questions/52383226/specify-web-service-x509-certificate-endpoint-identity-in-net-corehttps://github.com/dotnet/aspnetcore/issues/4706
文章出自猿惑豁微信公众号
