Comment faire une signature numérique dans une application web (JavaScript) à l'aide d'une carte à puce?

Nous avons rédigé un document de système de gestion et souhaitez signer numériquement des documents en utilisant le client web. Notre client Java application est déjà capable d'appliquer et de vérifier la signature numérique, mais nous tenons à faire signature, même avec nos client web. C'est écrit dans GWT et donc, lorsqu'il est exécuté sur le côté client, c'est une application JavaScript.

Nous voulons pas créer une applet Java et de le télécharger sur le client et de l'exécuter. Nous aimerions utiliser le navigateur de la sécurité de l'appareil ou dans le navigateur de l'API afin de signer un document. Nous tenons également à garder le document complet côté serveur, et de le déplacer pour le client que le document de hachage.

Nous pensons que cela devrait être possible en utilisant NSS ou npapi/npruntime, mais nous n'avons pas trouvé aucune information à ce sujet. (En passant, c'est npruntime disponible également dans IE? Devrions-nous utiliser ActiveX pour atteindre le même résultat avec IE?)

Avez-vous des conseils?

OriginalL'auteur eppesuig | 2012-05-11

  1. 9

    Après quelques recherches sur google j'ai trouvé la réponse. Mozilla exporter une partie de sa NSS module via de la fenêtre.crypto objet. Un plus standard de la manière de faire une telle opération est probablement par l'intermédiaire de DOMCrypt, qui est actuellement examine en du W3C.
    Google Chrome developer attendre W3C pour normaliser DOMCrypt, tandis que Microsoft nécessitent l'utilisation d'un objet ActiveX comme expliqué ici (cela fonctionne aussi avec Firefox/Chrome/Opera sur Windows).

    DOMCrypt lien n'est pas ce que son supposé être.
    Merci @ares , le DOMcrypt.org DNS semble être attribué à un propriétaire différent maintenant. J'ai changé le lien vers une autre page, le contenu est semblable.
    de la fenêtre.crypto a pas supprimé après la version 33?

    OriginalL'auteur eppesuig

  2. 4

    Actuellement (mai 2016), il n'est pas possible.

    Chrome a abandonné le support de Java. "Windows edge" n'auront pas. IE11 soutien est mauvais, et l'Oracle a décidé d'arrêter le plugin java. Il serait possible uniquement avec Firefox, les anciennes versions d'IE et le plugin Java.

    La nouvelle WebCryptographyApi norme fournit signature numérique de soutien pour les navigateurs, mais il n'a pas pcks#11

    Réel e-gouvernement solution pour résoudre ce problème:
    1) Installer un local d'une application Java sur le PC de l'utilisateur. L'application est à l'écoute sur un port, par exemple 5678
    2) Dans votre page, javascript détecte si il ya un soutien pour les applets
    3) Si il n'y a pas de soutien, se connecte à l'application sous la forme http://127.0.01:5678/sign et envoie les données à signer.
    4) L'application est locale et n'a pas de difficulté à utiliser le système d'exploitation du fichier de clés, qui comprend des pilotes PKCS # 11. Faire de signature numérique et prépare la suite
    5) page javascript périodiquement le résultat de la requête et récupère quand vous serez prêt

    Les applets Java peuvent être lancés via Java Web Start. Cela fonctionne dans tous les navigateurs de bureau, bien que des efforts supplémentaires sont nécessaires.
    Il y a une solution en Espagne dans l'e-gouvernement pour les résoudre. Je vais document dans la réponse

    OriginalL'auteur pedrofb

  3. 0

    Un projet que j'ai été impliqué avec fait avec Chrome et Natif de Messagerie:

    https://github.com/CACBridge/ChromeCAC

    Cela nécessite l'installation du plugin chrome, mais sinon fonctionne très bien. Idéal pour, par exemple, Intranet/Groupe des environnements où vous savez que vous aurez besoin de le faire à l'avance.

    OriginalL'auteur Yablargo

  4. 0

    Dans Win/IE, vous pouvez toujours utiliser CAPICOM http://en.wikipedia.org/wiki/CAPICOM sans un tiers des contrôles ActiveX ou des bibliothèques externes.
    Cela fonctionne n'importe où IE est installé.
    C'est être à la retraite.

    Ci-dessous est ce que j'utilise pour signer dans IE. J'appelle cela avec e.g: var signature = signDigest(stringToBeSigned);

    function signDigest(text) {
if (window.event)
    window.event.cancelBubble = true;

var dest = sign(text); //TODO  

return dest;
}

//CAPICOM constants  

var CAPICOM_STORE_OPEN_READ_ONLY = 0;
var CAPICOM_CURRENT_USER_STORE = 2;
var CAPICOM_CERTIFICATE_FIND_SHA1_HASH = 0;
var CAPICOM_CERTIFICATE_FIND_EXTENDED_PROPERTY = 6;
var CAPICOM_CERTIFICATE_FIND_TIME_VALID = 9;
var CAPICOM_CERTIFICATE_FIND_KEY_USAGE = 12;
var CAPICOM_DIGITAL_SIGNATURE_KEY_USAGE = 0x00000080;
var CAPICOM_AUTHENTICATED_ATTRIBUTE_SIGNING_TIME = 0;
var CAPICOM_INFO_SUBJECT_SIMPLE_NAME = 0;
var CAPICOM_ENCODE_BASE64 = 0;
var CAPICOM_E_CANCELLED = -2138568446;
var CERT_KEY_SPEC_PROP_ID = 6;

function IsCAPICOMInstalled() {
    if (typeof (oCAPICOM) == "object") {
        if ((oCAPICOM.object != null)) {
            //We found CAPICOM!  
            return true;
        }
    }
}

function FindCertificateByHash() {

    try {
        //instantiate the CAPICOM objects  
        var MyStore = new ActiveXObject("CAPICOM.Store");
        //open the current users personal certificate store  
        MyStore.Open(CAPICOM_CURRENT_USER_STORE, "My", CAPICOM_STORE_OPEN_READ_ONLY);

        //find all of the certificates that have the specified hash  
        var FilteredCertificates = MyStore.Certificates.Find(CAPICOM_CERTIFICATE_FIND_SHA1_HASH, strUserCertigicateThumbprint);

        var Signer = new ActiveXObject("CAPICOM.Signer");
        Signer.Certificate = FilteredCertificates.Item(1);
        return Signer;

        //Clean Up  
        MyStore = null;
        FilteredCertificates = null;
    }
    catch (e) {
        if (e.number != CAPICOM_E_CANCELLED) {
            return new ActiveXObject("CAPICOM.Signer");
        }
    }
}

function sign(src) {
    if (window.crypto && window.crypto.signText)
        return sign_NS(src);
    else

        return sign_IE(src);
}

function sign_NS(src) {
    var s = crypto.signText(src, "ask");
    return s;
}

function sign_IE(src) {
    try {
        //instantiate the CAPICOM objects  
        var SignedData = new ActiveXObject("CAPICOM.SignedData");
        var TimeAttribute = new ActiveXObject("CAPICOM.Attribute");

        //Set the data that we want to sign  
        SignedData.Content = src;
        var Signer = FindCertificateByHash();


        //Set the time in which we are applying the signature  
        var Today = new Date();
        TimeAttribute.Name = CAPICOM_AUTHENTICATED_ATTRIBUTE_SIGNING_TIME;
        TimeAttribute.Value = Today.getVarDate();
        Today = null;
        Signer.AuthenticatedAttributes.Add(TimeAttribute);

        //Do the Sign operation  
        var szSignature = SignedData.Sign(Signer, true, CAPICOM_ENCODE_BASE64);
        return szSignature;
    }
    catch (e) {
        if (e.number != CAPICOM_E_CANCELLED) {
            alert("An error occurred when attempting to sign the content, the error was: " + e.description);
        }
    }
    return "";
}

    J'ai eu quelques problèmes avec l'encodage,etc, de sorte que j'ai inclus dans mon contrôleur (.net) ainsi

            byte[] decbuff = Convert.FromBase64String(signature);


    //CAPICOM USES 16 BIT ENCODING
    Encoding utf16Enc = Encoding.GetEncoding("UTF-16LE");


    byte[] utf16Data = utf16Enc.GetBytes(getContent);


    ContentInfo content = new ContentInfo(utf16Data);

    System.Security.Cryptography.Pkcs.SignedCms cms = new System.Security.Cryptography.Pkcs.SignedCms(content,true);
    cms.Decode(decbuff);

    int length = decbuff.Length;         

    X509Certificate2 cert = cms.SignerInfos[0].Certificate;


    X509Chain chain = new X509Chain();
    bool theVal = chain.Build(cert);
    cms.CheckHash();       
    cms.CheckSignature(false);
    J'utilise aussi CAPICOM de signer un document xml avec X509Certificate2 signe. Lorsque je choisis un certificat dans le magasin il ne me demande pas après cela d'entrer le nom d'utilisateur et le mot de passe pour le certificat. Est-ce la même situation et avec votre code ci-dessus?
    Seulement, parfois, s'il est 'foiré' -- je ferme le navigateur, ouvrir, et il demande des informations d'identification. Je reçois parfois un point où il cesse de lui demander, mais à recharger le navigateur a toujours semble résoudre ce problème.

    OriginalL'auteur Yablargo

  5. -1

    Maintenant vous pouvez le faire. Application Web basée sur PKCS#11 cartes à puce ou des jetons peuvent être mises en œuvre à l'aide de la version Silverlight de NCryptoki. Voir http://www.ncryptoki.com

    Vous avez deux chanches:

    1) à l'aide de la version Silverlight de NCryptoki et de développer votre propre Silverlight de Contrôle de l'Utilisateur qui l'implémente la logique, une Signature Numérique dans votre cas, à l'aide de PKCS#11 fonctions fournies par la carte à puce

    2) à l'aide du plugin JQuery basé sur la ci-dessus version Silverlight et de mettre en œuvre votre application en JavaScript en appelant le PKCS#11 fonctions en JavaScript

    Aussi, vous pouvez utiliser la version Silverlight de NDigitSign (voir à nouveau http://www.ncryptoki.com) qui fait tout que vous avez besoin et peut être mis en œuvre dans n'importe quel navigateur web.

    Merci pour cette solution. Je n'étais pas au courant de ncryptoki projet, mais depuis qu'il silverlight, il encore besoin de faire installer des logiciels sur la machine client (comme pour l'applet java) et, plus important, il serait sans doute ne fonctionne que sur les machines Windows. Enfin, qui aurait besoin d'écrire une application qui utilise directement le fichier PKCS#11, et je voudrais vraiment éviter ce genre de programme.

    OriginalL'auteur Ugo